Ataki hakerskie – jak się przed nimi zabezpieczyć?

Ataki hakerskie są dziś bardzo poważnym problemem. Coraz częściej pojawiają się w mediach informacje związane z wyciekiem zbiorów wrażliwych danych z dużych organizacji państwowych i prywatnych. Tego typu wiadomości są niestety tylko wierzchołkiem całego problemu, gdyż ataki hakerskie mające na celu średniej i małej wielkości przedsiębiorstwa w ogóle nie są nagłaśniane w mediach, podobnie jak ataki na maszyny prywatnych użytkowników.

Na rynku pojawiają się coraz częściej bardzo drogie urządzenia sieciowe, w tym routery, firewalle, zarządzalne przełączniki, które wedle producenta są w stanie zapewnić pełną ochronę infrastruktury IT.

routerek

Ceny biznesowych urządzeń sieciowych, które powszechnie uznawane są za skuteczne w walce z hakerami, sięgają często ponad 30.000 złotych. Bogate przedsiębiorstwa chętnie kupują tego typu sprzęt w nadziej na pełną ochronę przed atakami hakerskimi. Niestety prawda jest taka, że nawet tego typu rozwiązania nie są w stanie zapewnić całkowitej ochrony w tym zakresie. Dlaczego? Otóż dlatego, że po pierwsze stosowane dziś protokoły sieciowe są pozbawione zabezpieczeń, a po drugie dlatego, że najsłabszym ogniwem w obronie przed atakami hakerskimi nie jest sprzęt, lecz człowiek.

Pierwszy problem – archaiczne protokoły sieciowe

Oficjalna specyfikacja protokołu TCP została zatwierdzona i opublikowana w roku 1974. Co to oznacza? Otóż to, że protokół TCP nie jest wyposażony w jakiekolwiek mechanizmy, które mogły by gwarantować bezpieczeństwo. Ponieważ sytuacja wygląda tak a nie inaczej, hakerzy mogą dziś bezproblemowo manipulować wartościami transmitowanych w sieci ramek dokładnie tak jak im się podoba. Pozwala im to na przeprowadzanie różnego rodzaju ataków zarówno na osprzęt sieciowy, jak i na poszczególne maszyny znajdujące się w sieci.

Drugi problem – czynnik ludzki

Najbardziej skuteczne ataki hakerskie to dziś ataki socjotechniczne, czyli te, które oparte są na inżynierii społecznej. Niestety tego typu ataki mogą dziś przeprowadzać nawet osoby nie posiadające dogłębnej wiedzy informatycznej.  Powszechnie dostępne frameworki hakerskie, takie jak Metasploit, zawierają bardzo szeroką gamę łatwych w użyciu narzędzi umożliwiających przeprowadzanie ataków socjotechnicznych.

Ataki hakerskie – Jak się chronić?

Jak się więc skutecznie chronić przed hakerami? Czy istnieje jakaś skuteczna metoda? Jako specjalista ds. bezpieczeństwa IT przygotowałem specjalny artykuł, w którym udzielam ważnych zaleceń w tym zakresie. Treść znajduje się tutaj:  Ataki hakerskie. Jak się chronić? W artykule znajduje się nie tylko omówienie podstaw teorii bezpieczeństwa informacji, lecz także podstawowy poradnik związany z ochroną przed cyberzagrożeniami. Opracowany przeze mnie artykuł zawiera kilka prostych zaleceń, które mogą zapewnić dość wysoki poziom bezpieczeństwa, głównie w warunkach domowych, ale nie tylko.   Czytaj dalej

Dane MySQL z poziomu PHP

Sposobów na połączenie się z serwerem MySQL ze skryptów PHP jest dziś kilka. Można jednak śmiało stwierdzić, że jeden z nich zupełnie odpada ze względów bezpieczeństwa, a chodzi mi oczywiście o archaiczną na dzień dzisiejszy funkcję mysql_connect(), która została uznana za przestarzałą już w PHP 5.5. Została ona całkowicie wycofana z PHP 7.x

Do dyspozycji mamy więc 2 konkretne rozwiązania, umożliwiające nam bezpieczne operacje na danych przechowywanych na serwerze MySQL: klasa PDO oraz MySQLi. Którą z tych metod wybrać? Otóż każda z nich ma swoje wady i zalety, ale osobiście stawiam na klasę PDO głównie z dwóch powodów. Pierwszym z nich jest możliwość obsługi różnorodnych serwerów bazodanowych, oprócz oczywiście samego MySQL o którym głównie tutaj mowa. Migracja do innych rozwiązań bazodanowych staje się prosta i nie wymaga dużej ingerencji w kod aplikacji. Drugim zaś powodem jest przygotowywanie zapytań SQL po stronie klienta.

Php i MySQL stanowią podstawę funkcjonalności większości rozbudowanych aplikacji web oraz firmowych witryn internetowych. Każdy zawodowy twórca aplikacji web dobrze wie jak ważny jest wybór odpowiedniej platformy bazodanowej dla swoich projektów. Kluczowe znaczenie w tym zakresie ma także sposób łączenia się z serwerem baz danych z poziomu skryptów php, tak aby interakcja użytkowników z tabelami…

via PHP a połączenie z serwerem MySQL — Blog Informatyczny

Serwis gwarancyjny Lenovo i uszkodzenie mechaniczne laptopa – jak się nie dać!

Sytuacje tego typu zdarzają się coraz częściej. W sieci widnieje bardzo duża ilość skarg na autoryzowany serwis Lenovo. Bardzo dużo klientów tej firmy skarży się na nieuzasadnioną odmowę bezpłatnej naprawy sprzętu w ramach gwarancji z powodu rzekomego „uszkodzenia mechanicznego”. Jak prawnie rozwiązać problem na własną korzyść w bardzo szybki i skuteczny sposób. Przede wszystkim należy zwrócić uwagę na kilka ważnych spraw podczas przekazywania sprzętu do naprawy w ramach gwarancji.

Pod adresem http://informatyka-porady.blogspot.com/2017/04/serwis-lenovo-uszkodzenie-mechaniczne.html została opisana ciekawa historia klienta firmy Lenovo, który wygrał z autoryzowanym serwisem w związku z odmową naprawy gwarancyjnej z powodu „usterki mechanicznej”.  Niestety nie było to tak banalnie proste, pomimo sporządzenia protokołu przekazania sprzętu do naprawy, który już z góry wykluczał tak zwane uszkodzenia mechaniczne. Pomoc adwokata okazała się bezcenna!

W połowie zeszłego roku zdecydowałem się na zakup laptopa dla graczy Lenovo Y700-17. Laptop sprawował się świetnie przez wiele miesięcy, lecz w lutym tego roku sprzęt zdecydowanie zaczął odmawiać posłuszeństwa. Niedowierzając w to, że praktycznie nowy i mało używany sprzęt za ponad 4000 zł mógł się tak szybko popsuć, postanowiłem spróbować przywrócić system Windows 10,…

via Serwis Lenovo: uszkodzenie mechaniczne laptopa — Porady informatyczne

Tandeta w sklepach

W związku z planowanym zbliżającym się wyjazdem w góry, byłem dziś na sporych zakupach, na jakie nie wybierałem się od co najmniej 2 lat, ale wróciłem do domu z pustymi torbami, poza produktami spożywczymi, które oczywiście kupuję codziennie świeże.

Miałem zamiar kupić namiot, 4 śpiwory, 2 kurtki, w czym jedna kurtka przeciwdeszczowa, 2 pary sportowych spodni, kilka par skarpet, buty do spacerów po górach no i trochę sprzętu niezbędnego do górskich wycieczek. Miały to być naprawdę spore zakupy. Wybrałem się więc do sklepu z sieci Decathlon, znany z oferowania tego typu sprzętu.

Jakie było moje zdziwienie, gdy zacząłem uważnie przyglądać się produktów dostępnym na półkach tego sklepu. Drodzy czytelnicy! Według mojej skromnej opinii, to co oferuje Decathlon, to pierwszej jakości TANDETA, wyprodukowana tanim kosztem i z toksycznych materiałów. W całym sklepie dominuje jedna – według mnie kompletnie gówniana – marka. Nie będę już pisał o jaką markę konkretnie chodzi, ale nic innego na myśl nie przychodzi mi niż nazwać tego producenta Sromyos. Totalne badziewie, nie nadające się nawet do zabawy. Ponieważ wolę wydać więcej ale mieć coś jakościowego, nie zważałem nawet na cenę i uważnie oglądałem najdroższe produkty, ale pomimo ich nieco wyższej ceny, wszystkie pachniały bardzo kiepską jakością. Po spędzonej w sklepie Decathlon pełniej godzinie zegarowej, wyszedłem z niego z postanowieniem aby tam już nigdy ale to przenigdy nie wrócić.

 

tandethlon_jpg

 

Ogólnie rzecz biorąc i nie krytykując wyłącznie sklepów z sieci Decathlon, zauważam w sklepach coraz to większą tandetę. Jeżeli chodzi o jakość tego co oferują nam sklepy dziś, to w porównaniu z sytuacją z przed około 10 lat temu, jest obecnie o wiele gorzej. Produkty codziennego użytku, które można nabyć w przeciętnym sklepie, za przeciętną cenę, to przeważnie towar wyprodukowany masowo w Chinach. Aby kupić coś dobrego trzeba się długo naszukać i wydać bardzo spore sumy. Ponieważ coraz to bardziej chciwie i bezmyślnie sięgamy po zasoby naszej Matki Ziemi, do produkcji przedmiotów codziennego użytku, których wachlarz powiększa się z roku na rok bo mamy coraz to więcej wyimaginowanych potrzeb, używa się coraz to gorszej jakości materiały.

Problem tkwi w tym, że ludzie przeznaczają coraz to większe ilości czasu na pracę. Wszystkie inne czynności, poza pracą, wykonujemy w sposób bardzo powierzchowny i amatorski, a do tego wystarczy nam niskiej jakości sprzęt, który, ze względu na bardzo ograniczoną ilość naszego wolnego czasu, będzie przez nas używany bardzo sporadycznie. Wizyty w sklepie też mają swoją typową specyfikę. Na zakupach śpieszymy się i wybieramy co popadnie, aby tylko było tanie i aby jak najszybciej wyjść z zatłoczonego sklepu. Zakupionego sprzętu i tak nie mamy zamiaru wyciskać do granic jego możliwości. Praca pochłania całe nasze czasowe i umysłowe zasoby, przy czym otaczamy się najgorszą tandetą z Chin, jaką nam wciskają coraz to bardziej cwani producenci gównianych marek. Pracujemy aby kupować tandetę.

Kiedyś kupowało się przykładowo lodówkę, która potrafiła bezawaryjnie pracować przez nawet 15 do 20 lat. Z pralkami było podobnie. A jak jest teraz? Pralka wysiada średnio po upływie terminu gwarancji, lodówka może popracuje do 5 lat. Niestety takie czasy.

Apple iPhone – Gwarancja 12 miesięcy a prawo Unijne – Konsumentom przysługuje 24-miesięczna ochrona

Uwaga na 12 miesięczną gwarancję dla produktów Apple

Uwaga na 12 miesięczną gwarancję dla produktów Apple

Belgisjka organizacja ochrony konsumentów, podobnie jak miało to miejsce uprzednio we Włoszech, złożyła pozew przeciwko firmie Apple, ze względu na fakt, iż producent wprowadza do sprzedaży urządzenia z 12 miesięcznym okresem gwarancyjnym. Jest to pewna forma wprowadzania klienta w błąd, ponieważ w świetle przepisów unijnych, konsument ma prawo do 24 miesięcy gwarancji.

Prawdopodobnie w Polsce będzie miał miejsce nalot ze strony Urzędu Ochrony Konkurencji i Konsumentów na operatorów sieci komórkowych oferujących komórki Apple iPhone w niesamowicie interesujących promocjach z niezgodnym z przepisami unijnymi okresem gwarancyjnym. 

Jest naprawdę na co uważać w przypadku zdecydowania się na zakup produktów firmy Apple. Otóż okazuje się, że nie tylko promocyjne telefony Apple iPhone dostępne u operatorów sieci komórkowych, ale także inne urządzenia firmy Apple, a również te zakupione poza wszelkimi promocjami, posiadają 12-miesięczny okres gwarancyjny, podczas gdy unijne przepisy z zakresu ochrony konsumenta przewidują minimalny okres gwarancyjny wynoszący 24 miesiące na tego typu produkty. A zatem co oznacza taki stan rzeczy? Co mówią obecne przepisy w tej kwestii? Otóż okazuje się, że w świetle prawa konsumentom przysługuje 24 miesięczny okres gwarancyjny, nawet wtedy gdy producent oferuje na swoje produkty tylko 12 miesięcy takiej ochrony.

Art. 10. 1. ” Sprzedawca odpowiada za niezgodność towaru konsumpcyjnego z umową jedynie w przypadku jej stwierdzenia przed upływem dwóch lat od wydania tego towaru kupującemu; termin ten biegnie na nowo w razie wymiany towaru. (…) „.

Przepisy prawne wyraźnie mówią, że okres gwarancyjny wynosi 24 miesięcy, więc jasne staje się to, że konsument ma prawo do 24 miesięcznej ochrony gwarancyjnej, nawet jeśli producent przewiduje 12 miesięcy gwarancji.

W praktyce więc, jeśli przed upływem 24 miesięcy od daty zakupu popsuje się nam sprzęt zakupiony z 12 miesięcznym okresem gwarancyjnym, mamy prawo żądać jego naprawy w ramach 24 miesięcznej gwarancji przewidzianej przez prawo unijne, nawet jeśli od momentu zakupu minęło ponad 12 miesięcy! W przypadku usterki sprzętu zakupionego od operatora sieci komórkowej, to właśnie operator udziela nam gwarancji na sprzęt w chwili podpisania z nim promocyjnej umowy i właśnie od niego należy żądać naprawy sprzętu. Także w takim przypadku konsument ma prawo do 24 miesięcy gwarancji. W praktyce jednak, operatorzy sieci komórkowych, którzy oferują sprzęt z 12 miesięczną gwarancją, w przypadku usterki sprzedanego sprzętu po upływie 12 miesięcy, próbują wywinąć się z trudnej dla nich sytuacji, zwalając winę na producenta, który udziela wyłącznie 12 miesięcy gwarancji. Jednak prawda jest taka, że także w przypadku promocyjnych umów z operatorami sieci komórkowych oraz ewentualnej awarii sprzętu, konsument ma prawo żądać gwarancyjnej naprawy przed upływem 24 miesięcznego okresu przewidzianego przez prawo unijne, nawet jeśli producent wystawił 12 miesięczną gwarancję na produkt. Co zatem zrobić gdy sprzedawca, lub operator odmawia naprawy powołując się na 12 miesięczny okres gwarancyjny przewidziany przez producenta sprzętu? W takim przypadku najlepiej jest udać do Rzecznika Praw Konsumenta osobiście, llub zgłosić sprawę pisemnie.

 

Podpis elektroniczny vs. „profil zaufany ePUAP”

Powszechne jest obecnie przekonanie, iż bezpieczny podpis elektroniczny to przywilej dla bogatych. Prawdą jest fakt, że w pierwszej dekadzie dwudziestego pierwszego wieku, podpis elektroniczny był bardzo drogim narzędziem, a przeciętny obywatel nie widział uzasadnienia posiadania tak drogiego gadżetu, zwłaszcza, że korzyści płynące z posiadania podpisu elektronicznego były wówczas bardzo ograniczone w porównaniu do dzisiejszych możliwości. Dziś podpis elektroniczny to jednorazowy wydatek rzędu 300zł, który obejmuje koszt karty kryptograficznej, koszt czytnika kart kryptograficznych, koszty aktywowania podpisu, koszt kwalifikowanego certyfikatu klucza publicznego ważnego rok czasu, jak również koszt specjalistycznego oprogramowania zawartego w pakiecie. Certyfikat kwalifikowany posiada ważność ograniczoną do jednego roku lub dwóch lat, w zależności od wyboru dokonanego przez użytkownika. Po upływie terminu ważności certyfikat kwalifikowany powinien zostać odnowiony aby umożliwić użytkownikowi dalsze korzystanie z podpisu elektronicznego. Koszt odnowienia certyfikatu kwalifikowanego na kolejny rok czasu to na dziś dzień wydatek rzędu 100zł.

Kolejnym dziś panującym przekonaniem, które zniechęca wiele osób do nabycia bezpiecznego podpisu elektronicznego to fakt, że posiadanie tak zwanego „profilu zaufanego”, które jest zupełnie darmowe, może w pełni, a zarazem bezpiecznie, zastąpić podpis elektroniczny.  Przekonanie to, jest tylko w małej części prawdziwe. Profil zaufany może owszem częściowo zastąpić podpis elektroniczny, lecz tylko w sytuacjach związanych z korzystaniem z portali administracji publicznej. W żadnym stopniu podpis elektroniczny nie może być zastąpiony w innych przypadkach, a w szczególności jeżeli chodzi o podpisywanie dokumentów w formie elektronicznej, bądź ich znakowanie czasem. Poza tym, w przeciwieństwie do podpisu elektronicznego, który jest w 100% bezpieczny i praktycznie niemożliwy do podrobienia, jest należycie zabezpieczony przed użyciem przez osoby niepowołane, swoją drogą tak zwany profil zaufany, okazuje się iż bezpieczny wcale nie jest, ponieważ każdy komu uda się przejąć kontrolę nad skrzynką mailową użytkownika profilu zaufanego, może zacząć się nielegalnie podszywać pod posiadacza profilu zaufanego i zacząć w jego imieniu kontaktować się z różnymi urzędami, czego konsekwencje ponosi użytkownik profilu. Podczas gdy klucz prywatny podpisu elektronicznego, który służy do samego składania podpisu, jest zapisany na karcie kryptograficznej w sposób niemożliwy do jego skopiowania stamtąd, a dostęp do samej karty chroniony jest kodem PIN, to w przypadku profilu zaufanego, jedynym zabezpieczeniem jest hasło użytkownika profilu, które może, w przypadku jego zapomnienia, zostać ponownie wysłane na adres mailowy podany podczas procedury tworzenia profilu zaufanego, w więc idzie za tym wniosek, iż profil zaufany nie jest w pełni bezpieczny. Zresztą przyznaje się do tego sam twórca bezpiecznego profilu ePUAP…

 

 

Podpis elektroniczny w Polsce

Początki podpisu elektronicznego sięgają końca dekady lat siedemdziesiątych ubiegłego wieku. W roku 1978 zostaje opracowana teoria kryptograficznego systemu klucza publicznego, na której w praktyce bazuje dzisiejszy podpis elektroniczny. Niemal 10 lat później powstaje pierwszy standard klucza publicznego, znany do dziś jako X.509. W roku 1995 zostaje założone pierwsze na świecie centrum certyfikacji, które 4 lata później zostaje zakupione przez korporację Verisign, jeden ze światowych potentatów świadczących usługi certyfikacyjne.

Podpis elektroniczny posiada szeroki wachlarz podstaw prawnych. Pierwsze z nich sięgają roku 1995, w którym to zostaje uchwalona pierwsza na świecie ustawa prawna dotycząca podpisu elektronicznego. Rok później powstaje pierwsze w Europie centrum certyfikacji. W roku 1997 zostają natomiast uchwalone ustawy o podpisie elektronicznym we Włoszech oraz w Niemczech. Niedługo potem zostają uchwalone podobne ustawy również w Austrii, Danii, Hiszpanii, Portugalii,  Australii oraz sukcesywnie w wielu innych Państwach. W roku 1998 powstaje pierwsze centrum certyfikacji działające w Polsce. Jest nim firma CERTUM. Kilka lat później, a mianowicie w połowie roku 2001, TP Internet Sp. z o.o. należąca do Telekomunikacji Polskiej S.A, uruchamia centrum certyfikacji Signet. W styczniu 2002 podpis elektroniczny zyskuje moc prawną nawet w Federacji Rosyjskiej. W tym samym roku podpis elektroniczny staje się narzędziem o podstawie prawnej w Chorwacji, Słowacji, Białorusi i na Malcie. W kwietniu 2002 pod nazwą Sigillum powstaje kolejne polskie centrum certyfikacji. Rok później podpis elektroniczny witają Kazachstan i Ukraina.

Rok 2007 przynosi prawdziwą rewolucję w świecie podpisu elektronicznego, w sensie rozpoczęcia państwowych projektów mających na celu stworzenie infrastruktury informatycznej umożliwiającej obywatelom Państw unijnych posługiwanie się podpisem elektronicznym na bardzo szeroką skalę. Chodzi głównie o bezpieczny dostęp do usług administracji publicznej, portale aukcyjne, dostęp do archiwów i repozytoriów stosując podpis elektroniczny. Od roku 2008 jest w Polsce możliwe składanie deklaracji podatkowych stosując podpis elektroniczny. W tym samym roku liczba osób posługujących się w Polsce podpisem elektronicznym sięga dwustu tysięcy użytkowników.

Z roku na rok rośnie zakres spraw, które można załatwić korzystając z podpisu elektronicznego, a ich wachlarz jest obecnie bardzo szeroki. Przykładowo podpis elektroniczny umożliwia zarejestrowanie własnej działalności gospodarczej online w przeciągu kilkunastu minut, bez konieczności udania się osobiście do jakiegokolwiek Urzędu. Aby zdać sobie sprawę z ogromnej ilości spraw, jakie mogą być załatwione stosując podpis elektroniczny, wystarczy odwiedzić kilka portali, które wspierają infrastrukturę podpisu elektronicznego. Dla przykładu wymienię kilka z nich: e-puap.pl, ceidg.gov.pl, e-przetargi.pl

 

programmer-girl

Zawodowo początkująca programistka. W pracy zajmuję się głównie aplikacjami webowymi. Prywatnie wielbicielka gier planszowych, escape roomów i dobrej lektury.

Kawa z Rudą

smok kawopij

Paulina's Sandbox

Coding like a girl

Opowieści o duchowości

dawniej "Świat Ducha"

SmarterKids

Programowanie i robotyka dla dzieci i nie tylko.