Ko gero man ne visai tiksliai pavyko išversti straipsnio pavadinimą (net nežinau kaip lietuviškai skambėtų terminas "typosquating"), bet manu, kad esmę perteikiau.

Taigi, apie ką mes čia? Kiek kartų jums atsitiko taip, kad naršyklės adresų juostoje klaidingai surinkus kokios nors kompanijos ar organizacijos adresą, negavote pranešimo, kad tokio tinklalapio nėra, o atsidūrėte kažkur, kas gan panašu į reikiamą? Ko gero taip tikrai buvo ne kartą, ypač naršant pagal gerai žinomus užsienio adresus.

Taip, egzistuoja tokia praktika, kai registruojami domenų vardai, kurie yra ne tik panašūs į originalius žinomų prekių ženklų ar organizacijų pavadinimus,o tiksliau į pirminį domeno vardą, bet ir tokie, kurie taip pat gali būti panašūs, įvertinant galimas adreso rinkimo klaidas. Kam to reikia? Tai paprastai naudojama taip vadinamam phishing’ui, kai vartotojas nukreipiamas klaidingu adresu, siekiant išgauti kokią nors svarbią informaciją. Tas pats vyksta ir su elektroniniu paštu. Tik šiuo atveju tam naudojamas ne web, o el. pašto serveris, kuris aptarnauja galybę tokių priregistruotų "klaidingų" adresų ir priima laiškus, kurie ten patenka, netyčia blogai surinkus adresą. Tokiu būdu, į blogiukų rankas gali pakliūti tikrai svarbi informacija, kurią kokiai nors kompanijai ar organizacijai siuntė klientas ar partneris.

"As part of his investigation, Friedrichs registered 124 domains consisting of common misspellings of the primary domains of candidates in the U.S. presidential election. In a strictly controlled experiment, Friedrichs used a mail server to count the number of e-mail messages sent to the misspelled domains, finding 1,121 connection attempts from 12 distinct IP addresses in a 24-hour period. Friedrichs stressed that he did not look at the e-mails and bounced the messages back to the sender to let them know they had misspelled the address."

Mano patirtis administruojant el. pašto serverius tik patvirtina tą faktą, kad vartotojai pakankami dažnai klysta rašydami el. pašto adresus. O ką daryti, kad tokių apmaudžių klaidų išvengti?

Domenų vardų savininkams tiesiog cituoju:

"Companies and political organizations should put more effort into registering mis-typed versions of their primary domain, not only to protect visitors to their Web sites but also to prevent e-mails from accidentally leaking out, a security researcher said on Wednesday."

Vartotojams. Visus svarbius el.pašto adresus įrašykite į savo pašto programos kontaktų knygą ir venkite adresus rašyti tiesiogiai žinutės adreso laukelyje. Su pele pasirikti iš jau įvestų žymiai paprasčiau ir klaidos tikimybė mažesnė.

Ir visiems. El.pašto laiškas yra tolygus atvirlaiškiui, todėl, siunčiant svarbią informaciją, visada pravartu pagalvoti apie tokio laiško užkodavimą.

E-mail typosquatting poses leakage threat

Na ką, visokių skaitmeninių žaisliukų mylėtojai? Štai dar jums viena dovanėlė nuo Kinijos skaitmeninių paveikslėlių rėmelių gamintojų – rėmeliai su virusu. Dalykas nenaujas, bet gerai veikiantis ir dar vienas argumentas tam, kad savo kompiuteriuose su Windows OS atjungti autorun funkciją ir dirbant nenaudoti vartotojo paskyros, turinčios administratoriaus teises.

Šiaip problema tikrai rimta, nes tokių virusų galima aptikti tiek ir USB atmintinėse, atminties kortelėse, skaitmeniniuose grotuvuose ir t.t. Ir tokie dalykėliai tikrai toliau plis. Tad neatsipalaiduokite .

Steve Riley on Security : Throw away your digital picture frames

Kai kalbame apie privatumą elektroninėje erdvėje, paprastai automatiškai susiejame tik du dalykus: internetą ir kompiuterius. Kadangi apie tai jau nemažai rašyta, daugelis jau žino, kad negalima kur papuola įvedinėti savo asmeninės informacijos, PIN kodų, slaptažodžių, be to reikia vengti tokią informcija siuntinėti elektroniniu paštu, o tuo labiau tai daryti iš darbo ar viešos prieigos kompiuterių.

O kaip su mobiliais telefonais bei tokia paplitusia ir daugelio mėgstama paslaga kaip trumposios tekstinės žinutės (SMS)? Ar pagalvojame, kas toliau vyksta, kai jas išsiunčiame iš savo telefono? O vyksta lygiai tas pats kaip ir su informacija, kuri iškeliauja iš mūsų kompiuterių, t.y jei kokia informacija patenka į internetą, ji jau nebepriklauso mums.

Ką turiu omeny visa tai susiedamas su SMS? Viskas labai paprasta. Jei ką nors išsiunčiate kam nors, kyla klausimas ką gavėjas su ta informacija darys. kas gali atsitikti su jūsų ir gavėjo aparatu, pagaliau mes nežinome, ką su ta žinute daro paslaugos teikėjas: persiunčia ir iš karto pašalina iš savo tinklo, kažkiek laiko ją saugo, jei saugo tai kur ir kaip tai saugu? Todėl visai nenuostabu, kad tokiu būdu persiųsta informacija laisvai gali būti paviešinta ir panaudota prieš mus. Ji gali tapti preinama pašaliniams net ir tuo atveju, kai mes ar mūsų respondentas perleidžia savo aparatą kitiems, nepasirūpinęs tinkamai pašalintį visą informaciją, ar kažkokių būdu tą aparatą netikėtai praranda, t.y kas nors pavogė ar paprasčiausiai pametė. Ką reiktų daryti, kad mums taip nenutiktų? Kaip tik į šiuos klausimus ir atsako žemiau nurodytas straipsnelis, kurį tikrai rekomenduoju jums perskaityti.

Text Messaging Privacy : Gina Hughes : Yahoo! Tech

Šiandien visą dieną prasėdėjau šiame seminare. Ir galiu konstatuoti, kad ir šis renginys, kaip ir, beje, visi seminarai, kuriuos veda Rafal Lukawecki, buvo tikrai geras. Retai kada sutiksi aukštos kvalifikacijos specialistą, kuris ne tik gerai išmano savo reikalą, bet dar ir sugeba tai perteikti kitiems. Šiuo atveju, net jei jus nieko nenutuokiate apie duomenų  analizę, tai po seminaro tikrai žinosite, kas tai yra ir kaip tai daroma.

Kadangi šio renginio organizatorius yra Microsoft, tai viskas buvo demonstruojama MS SQL Server 2005 ir, truputi pažvelgiant į ateitį, MS SQL Server 2008 priemonėmis, bei tai pat apžvelgiant ir kitų rinkos žaidėjų sprendimus.

Benaršydamas radau štai tokią gan naudingą svetainę, kuri skirta tiems, kas naudojasi e-omercija ir turi ar turėjo kokių nors nesusipratimų. Šiaip nieko gudraus, bet nauda neabejotina, nes į vieną vietą sudėta daug atsakymų į įvairius klausimus, be to galima paklausti ir pačiam.

Ieškojau panašaus lietuviško varianto, bet kažkaip neradau, o būtų visai naudinga net ir patiems prekeiviams kažką panašus sukurti, nes nemaža dalis potencialių pirkėjų privengia naudotis internetinėmis parduotuvėmis būtent dėl daugelio jiems nežinomų niuansų, o vienos tokios vietos kur pasižiūrėti ar pasibėdavoti ir gauti patarimą kaip ir nėra.

e-victims.org

Darbuotojų kontrolė arba, kitaip tariant, sekimas įvairiose kompanijose nėra nei naujiena nei kažkas tokio išskirtinio, tačiau straipsnyje pateikti faktai tiesiog gali priblokšti. Stačiai neįtikėtina ko gali imtis didžiosios korporacijos, kokios pajėgos ir resursai gali būti tam naudojami. Kalba eina ne tik apie savo darbuotojų sekimą, bet ir pirkėjų, partnerių, žurnalistų, t.y visų, kurie tik kada nors turėjo sąlyti su šia korporacija. Tokių monitoringo duomenų kiekis taip pat nerealus.

"At a gathering of security specialists in New York City in January of 2006, David Harrison, the former Army military intelligence officer who was hired by Senser to head Wal-Mart’s analytical security research center, provided a rare glimpse into the company’s monitoring operations. Harrison told the gathering Wal-Mart faces a wide range of threats: "A bombing in China, an armed robbery in Brazil, an armed robbery in Las Vegas, another bomb threat, and that was just yesterday," Harrison said.

To safeguard its employees and operations Wal-Mart has tapped its massive data warehouse of information, now believed to be larger than 4 petabytes (4,000 terabytes), to look for potential threats. It tracks customers who buy propane tanks, for example, or anyone who has fraudulently cashed a check, or anyone making bulk purchases of pre-paid cell phones, which could be tied to criminal activities. "If you try to buy more than three cell phones at one time, it will be tracked," he reportedly told the audience."

"Gabbard, the Wal-Mart employee fired for recording reporters’ phone calls, said in his interview with The Wall Street Journal that Wal-Mart uses software from Raytheon Oakley Networks to monitor activity on its network. The Oakley product was originally developed for the U.S. Department of Defense.

The Oakley software is so sophisticated it can allow administrators to visually see what types of information are moving across the network, from Excel spreadsheets to job searches on Monster.com, or photos with flesh tones that might indicate a user is viewing pornography."

Baugina ir kitas dalykas. Reikalas tame, kad tokiems darbams pritraukiami vyriausybinių struktūrų darbuotojai, kaip spec. tarnybų specialistai ir agentai bei policijos darbuotojai.

Bet straipsnis ne tik apie šios korporacijos "pomėgius", bet jame nagrinėjamas klausimas o kaip tai turėtų būti daroma (niekas nesiginčija, kad kompanijos vienaip ar kitaip saugodamos savo informaciją, kontroliuoja savo darbuotojus): ar viešai, t.y informuojant apie tai suinteresuotus asmenis ir paaiškinant kodėl tai daroma, ar slaptai, niekam nieko nesakant.

"But in 2008 CIOs will be increasingly drawn into discussions about who should be in charge of monitoring employees, what software tools should be deployed to protect corporate resources, and which electronic activities corporations should or shouldn’t watch. "There used to be an argument over whether we should be doing this at all," says Alan Paller, director of research at the SANS Institute, an industry-sponsored research group and computer security training body. "It rarely comes up as an issue any more."

David Zweig, an associate professor of organizational behavior with the Rotman School of Management at the University of Toronto who has written books on the issue of workplace monitoring, says that it is now believed close to 75% of employers have some form of electronic monitoring in the workplace.

Zweig is not against monitoring. He believes in today’s environment, where companies face a wide range of internal and external threats, some levels of monitoring are necessary. However, he believes the monitoring should be in relation to the risk, and that companies need to do more to inform employees exactly how they are being monitored and why. "If you give people a rational explanation for monitoring, they will at least see why the company is doing it," he says. "But you should be open and inform them exactly how it’s being done and what controls are in place.

"It’s easy to monitor—it’s much more difficult to develop proper controls and processes," he says.

Ira Winkler, president of Internet Security Advisors Group of Baltimore, Md., and author of books such as "Spies Among Us" and "Zen and the Art of Information Security," doesn’t believe in coddling employees with lengthy disclosures and explanations for why monitoring is taking place. "Get over it. Companies need to protect themselves," says Winkler. "The fact is nobody should have any expectations of privacy when they’re using the company’s computers."

In fact, Winkler advocates companies apply a blanket approach to security and use of the Internet in particular. Simply tell employees or suppliers accessing a corporation’s network, they are being monitored and non-approved activities will not be tolerated. End of story.

Is that fair? "I think it’s totally fair," he says. "If I want to go shop on eBay or download porn on a company computer, that’s my stupidity, not the company’s," he says."

Šiaip jau man labiau priimtinas pirmasis variantas, nors patirtis rodo, kad net ir informuoti apie monitoringą darbuotojai yra linkę pažeisti ar apeiti nustatytas taisykles. Tačiau kur yra tas "aukso viduriukas", kad būtų apsaugoti ir kompanijų interesai ir darbuotoju ar kitų žmonių privatumas – tai, ko gero, sunkiai sprendžiama problema.

Straipsnį tikrai rekomenduoju perskaityti visiems, net ir tiems, kurie laiko save nesusijusiais su IT.

CIOZone.com – Professional Social Network for CIOs – Wal-Mart Spying: Good, Bad, Or Just The Wave Of The Future?

"Skirtingi tyrimai rodo, kad dauguma vartotojų supranta taisykles, bet vis tiek jas laužo."

Tikrai įdomus straipsnis tiems, kas domisi informacijos sauga. Jame atskleista tendencija, kad saugumo taisykles pažeidžia ne tik tie žmonės, kurie nežino apie apie tokių egzistavimą ar sąmoningai siekia kokių nors kenkėjiškų tikslų, bet ir tie, kurie stengiasi apeidami nustatytas politikas geriau , jų manymu, atlikti savo darbą. Tai gali būti daroma parasčiausiai persiunčiant konfidencialius duomenis į savo namų kompiuterį ar jungiantis prie kompanijos tinklų blogai apsaugotais ryšiais ar pan. Svarbiausia, kad tokių darbuotojų vis daugėja. Be to, dar straipsnyje nagrinėjama ir statistika, ir galimi motyvacijos būdai, kad darbuotojai laikytusi nustatytų taisyklių.

Bet, mano manymu, be šios problemos informacijos saugos politikų kūrėjai bei realizuotojai susiduria su kita problema: kaip rasti tą "aukso vidurį", kad ir informacija būtų apsaugota ir nenukentėtų darbuotojų galimybės atlikti savo darbą. Bet tai jau atskiro straipsnio tema. Beje, ši tema buvo aptarta viename iš MS TechED vykusių seminarų.

End Users Flout Enterprise Security Policies – Security services News Analysis – Dark Reading

Bevartant Microsoft Technet blogus užkliuvo toks trumpas straipsnelis apie tai, kad ir toks, iš pirmo žvilgsnio, nekaltas daiktas kaip Sony PS3 žaidimų konsolė gali būti panaudotas negeriems dalykams:

"Saugumo tyrinėtojas Nick Breese panaudojo PS3 manomai stiprių 8 simbolių slaptažodžių nulaužimui valandų bėgyje. Paprastai tokie ankstesni bandymai, kad gauti tokius pažius rezultatus, užimdavo kelias dienas."

Vertimas gal ir grubus, bet esmę nusako. Man jau senokai pasidarė aišku, kad kompiuterių apsaugojimas tik slaptažodžiu, kad ir teisingai sukonstruotu, yra nepakankams ir laikas pamąstyti apie daugiakomponentinį identifikavimą, kaip pvz., slaptažodis + pirštų atspaudai. Tai ko gero labiausiai prieinamas būdas, nes daugumoje naujų kompiuterių jau gamykloje įmontuojami pirštų atspaudų skaitytuvai, kurie yra pakankamai gudrūs, kad jų lengvai neapgautum. Bet aš asmeniškai dar nesiryžtu savo HP laptope su MS Vista (o ir kitame su XP taip pat) ir HP Credential Menager įjungti politikos, kuri reikalautų tokio identifikavimo, nes kartas atspaudo nuskaitymas "sudurniuoja", tad naudoju arba vieną, arba kitą. Kita išeitis, įvairūs USB raktai ar Smart Card’ai, bet šie daiktai reikalauja tiek papildomos įrangos, tiek ir papildomų tinklo nustatymų. Tad šiuo atveju jie, ko gero, paprastam smulkios kompanijos ar namų vartotojui nėra labai priimtini.

Tad jei pamatysite, kad kas nors prie jūsų tinklo prijungė žaidimų konsolė, tai gali būti ne vien tik noras atsipalaiduoti po sunkių darbo valandų .

Keith Combs’ Blahg : If you see one of these in your conf room, call security!!!

Perkant internetinėse parduotuvėse ar aukciuonuose galima sutaupyti nemažai laiko ir pinigų, nes prekės dažnai čia būna pigesnės nei normaliose parduotuvėse. Plečiantis elektroninei prekybai tuo pačiu didėja ir nukentėjusių nuo elektroninių sukčių aukų skaičius. O dar artėja ir didysis išlaidavimo metas, t.y Kalėdos. Tam, kad mažiau nukentėtumėme, verta prisiminti ar bent jau susipažinti su kai kuriais saugaus apsipirkimo internete patarimais:

• How to shop online more safely this holiday season
• Bid in online auctions and avoid ID theft
• Protect your privacy with online payment services

Deja, turiu pripažinti, kad kai kurie patarimai visiškai naudingi tik tuo atveju, jei jūs naudositės žinomomis užsienio elektroninės prekybos sistemomis. Lietuviškoje erdvėje mes, ko gero, nerasime jokios vietos, kur mes galime pasitikrinti informaciją apie lietuviškas elektronines parduotuves ar pasižiūrėti jų saugumo reitingus. Taip pat net visose sistemose galima pasitikitėti svetainių sertifikatais ir pan. (Gal lietuviškas taupumas ar manymas, kad ir taip gerai, bele veikia?) Nei Ryšių reguliavimo tarnybos svetainėje, nei esaugumo apie tai net neužsimenama. O gal jau metas būtų tai padaryti?

Tačiau aš vistiek manau, kad šie patarimai daugeliui pravers. Tad smagus ir saugaus apsipirkimo !

Taigi, mano konferencijų maratonas Berselona kaip ir nesibaigė. Nespėjus išsisklaidyti įspūdžiams iš MS TechED IT Forum, apilankiau ir šiandien vykusiame simpoziume. Nors vadinti šį renginį simpoziumu, ko gero, per daug drąsu. Tai greičiau VMWare produktų ir kai kurių IT infrastruktūros virtualizacijos sprendimų pristatymas.

Tie, kas jau yra susidūrę su šios kompanijos produktais, greičiausiai daug naujienų neišgirdo. Tačiau kai kurie pristatymai tikrai man buvo įdomūs. Pvz., VMWare sprendimai rezerviniams duomenų centrams bei Cisco atstovo pristatytos ateities (ne tokios jau ir tolimos) Ethernet ir Fiber Channel integracijos galimybės, t.y FCoE (Fiber Channel over Ethernet). Paprasčiau sakant, tai yra mums įprasto kompiuterinio tinklo ir optinio tinklo, kuris aptarnauja duomenų saugyklas (SAN – Storage Area Network), integracija per vieną tinklo adapterį. Paaiškinimas, ko gero, grubus, bet esmę nusako. Kokios to pasekmės, tikriausiai IT profesionalams aiškinti nereikia.

IBM, DELL ir EMC atstovai pristatė savo tiek "geležies", tiek ir programinius sprendimus skirtus virtualizacijai. Ko pasekoje galima drąsiai teigti, kad rinka savo sprendimą dėl virtualizacijos jau senai padarė, ir tik nuo mūsų pačių priklauso ar spėsime į tą traukinį įšokti, nors lietuvaičiai tikrai nėra šiame procese naujokai. Vienas kas nepatiko, o gi tai, kad visi pranešėjai savo pristatymus pradėdavo nuo Adomo ir Ievos, t.y kas ta virtualizacija yra, kokia jos nauda ir t.t, nors tai padarė VMWare atstovas. Bet tai, greičiausiai, sąlygojo tai, kad pristatytojai buvo iš skirtingų kompanijų ir savo pranešimų tikrai nederino.

Dar ganėtinai įdomus buvo ir Baltic Data Center atstovo pristatymas apie virtualizacijos sprendimus pas juos. Iš šio pasisakymo tapo aišku, kad visi virtualizacijos sprendimai turi savo vietą ir panaudojimo galimybes, ar tai būtų VMWare platforma, ar tai Microsoft Virtual Server, ar kiti. Viskas priklauso nuo verslo poreikių, kurie ir diktuoja atitinkamus sprendimus.

Virtualizacijos simpoziumas 2007