Vis labiau populiarėjant visokioms informacijos apsikeitimo online paslaugoms (nebūtinai Google), atsirado visai realus pavojus netyčia nutekinti pakankamai svarbią ar net konfidencialią informaciją. Po to, kai Google padarė įvykių paiešką per savo vartotojų viešuosius kalendorius, panašu kad atsirado visai patraukli terpė pramoniniam šnipinėjimui arba pradinės informacijos įsilaužimams rinkimui. Pasinaudojus tokia paieška galima rasti visokius intranetinius adresus, dial-in prisijungimo numerius ar net slaptažodžius ir pan. Taip atsitinka dažnai dėl to, kad žmonės, kurie mėgsta naudotis tokiomis paslaugomis, nepakankamai dėmesingai apsirašo (sudeda teises) kas privatu, o kas vieša. Kita vertus, dažnai suplakami į vieną krūvą privatūs ir darbiniai dalykai tiek dėl patogumo, tiek ir tingėjimo naudotis skirtingomis sistemomis. Šiaip, mano galva, tvarkyti savo darbinę informaciją naudojantis kitų viešomis paslaugomis, netgi apsaugotomis kokiu nors slaptažodžiu – ydinga praktika, nors tai turėtų priklausyti nuo kompanijos informacinės saugos politikos arba tokios politikos nebuvimo.

O jei norite sužinoti ką galima rasti, paspauskite ant nuorodų .

Link to ha.ckers.org web application security lab – Archive » Internal Info Leak Via Google Calendar

Link to InfoWorld – Corporate data slips out via Google calendar

Paskutiniu metu bloginimas, t.y savo internetinio dienoraščio rašymas, tapo vos ne mada . Juos rašo visi kas tik netingi, ir paaugliai taip pat. Bet kokios informacijos ieško ir lengviausiai randa pradedantieji blogeriai? Aišku, kad dažniausiai apie tai, kaip efektyviai rašyti, kaip padidinti savo dienoraščio lankomumą, pagaliau kaip atkreipti į save spaudos dėmesį  ir taip toliau, ir panašiai. Bet ar daug kur matome informacijos kaip tai daryti saugiai? Tą patį galima būtų pasakyti apie dalyvavimą įvairuose internetiniuose forumuose, pažinčių svetainėse arba, trumpai apibrėžiant, socialiniuose tinkluose. Praktiškai nei pas vieną lietuvišką tokių paslaugų tiekėją neradau aiškiai matomų nuorodų į saugumą. Tad visai nenuostabu, kad bloguose ar kituose bendravimo svetainėse galima rasti kalną privačios informacijos, provokuojančių nuotraukų ir panašiai, o tėvai, ko gero, net nenutuokia kiek tokios informacijos apie jų vaikus, šeimą, jos aplinką yra ten prikrauta. Kartais man kyla klausimas: jeigu aš bučiau koks blogiukas-manijakas, kaip greitai galėčiau nuo pasirinkto virtualaus taikinio prisikasti iki realaus?

Kad taip nenutiktų, siūlau pradžiai bent jau užmesti akį į šias taisykles:

12 safety tips on blogging for parents and kids

Taip pat dar keletas naudingų nuorodų:

• Draugiškas internetas 
• Vaikai ir internetas
• A parent’s guide to online safety: Ages and stages
• Kids, blogs and too much information
• WiredSafety

Mano galva, nuorodos į informaciją apie sauguma turėtų būti pas kiekvieną save gerbiantį tokių paslaugų tiekėją, kaip tai yra pas Windows Live Spaces ar MySpace.

 Kas tai per virusas ir kaip jis veikia galite pasiskaityti nuėję pagal nuorodą. Bet ką aš noriu pasakyti…

Gavę bet kokį paveiksliuką, nuotrauką, prezentaciją, pagaliau, bet ką iš savo draugų ar pažįstamų, nepatingėkite, prieš atidarydami "siuntinėlį", paklausti siuntėjo ar šis tikrai tai siuntė. Tai tikrai padeda apsisaugoti nuo daugelio nemalonumų.

Link to vz.lt

Toptelėjo tokia mintis, kad būtų visai neblogai savo vidiniame bloge, kuris sukasi kompanijos portale, aprašyti kai kuriuos Microsoft produktus, kurie sukasi pas mus. Tikslas – padėti vartotojams suprasti jų paskirtį bei patarti juos naudojant. Tam, kad nebūti netikusiu vertėju, nusprendžiau geriau pateikti nuorodas į Microsoft lietuviškus resursus. Ups… ir ką ten radau? O gi nieko, nežiūrint to, kad Lietuvoje su trenksmu buvo pristatyti 2007 versijos produktai. Ten padėti tik 2003 versijos aprašymai.

Ei, publika, šiaip jau 2007-ieji, jei kas…

Link to Microsoft Office sistemos apžvalga

Vakar teko dalyvauti vienos kompanijos informacijos saugumo audito pristatyme. Ten, diskusijos metu, kompanijos vadovas labai teisingai pastebėjo, kad visos IT saugumo pagrindinės bėdos atsiranda dėl to, kad programinės įrangos gamintojai savo produktuose palieka nemažai saugumo spragų. Todėl, norėdami apsaugoti savo duomenis, privatumą bei verslą, esame priversti mokėti nemažus pinigus už papildomą aparatinę ir programinę įrangą tam, kad kompensuotume ar bent dalinai eliminuotume dėl  šių spragų atsirandančias grėsmes.  

O kodėl taip yra?

Visu pirma – klysti yra žmogiška. Bet kokią programinę įranga sudaro šimtai, tūkstančiai ar net milijonai programinio kodo eilučių. Tad nereiktų stebėtis, kad ten pasitaiko klaidų, ir kuo sistema sudėtingesnė, tuo klaidų tikimybė yra didesnė. Bandomųjų versijų pateikimas vartotojams – tik dalinai gelbėja, nes tai, mano galva, lazda su dviem galais: iš vienos pusės vartotojai kažkiek padeda aptikti ir pataisyti dalį klaidų (dažniausiai funkcionalumo), iš kitos pusės – tai gera proga išsiaiškinti saugumo spragas ir pasilaikyti šią informaciją sau ateičiai.

Antra – programinės įrangos gamintojai paklūsta tokiem pat rinkos dėsniams kaip ir bet kas kitas. Todėl yra skubama kuo greičiau į rinką išmesti naują produktą ar naują versiją. Dažnai yra susitaikoma su tuo, kad po to reikės išleidinėti pataisymus, bet tai laikoma mažesne blogybe, nei rinkos praradimas. Kita medalio pusė – labiau būdinga taikomosios programinės įrangos gamintojams, dirbantiems konkrečių klientų užsakymu, saugumo analizės ir sprendimų praskipinimas projektavimo stadijoje. Tokiu būdu stengiamasi sumažinti kaštus, sutaupyti laiką ar kompensuoti bei nuslėpti atitinkamos srities specialistų trūkumą. Dažnai po to tai yra tvarkoma, bet jau kliento sąskaita, teigiant, kad tai yra papildomas funkcionalumas arba paprasčiausiai paliekama klientui su ta bėda tvarkytis pačiam.

Kas belieka mums?

O mums belieka ir toliau pirkti antivirusines ir panašias programas, ugniasienes, turinio analizės ir kitokias apsaugos sistemas vien tam, kad pridengtume gamintojo broką. O gal reiktų ir IT srityje pereiti prie normalių gamintojo, pardavėjo ir pirkėjo santykių, kur galioja vartotojo teisių saugos mechanizmai, kai už brokuotą prekę ar paslaugą grąžinami pinigai ar taikomos nuolaidos ir kompensacijos, o ne laukiama gamintojo malonės, kada jis teiksis ištaisyti savo klaidas?

Kompanijos Microsoft saugumo centras, apibendrindamas problemas, su dėl kurių dažniausiai į juos kreipiamasi, sutvėrė dešimt saugumo dėsnių, kuriuos tikrai pravartu žinoti kiekvienam dirbančiam su kompiuteriu. Šiaip aš juos tiktai išvardinsiu, nes apie kievieną dėsnį galima pasiskaityti nužingsniavus pagal nuorodą.

Štai jie:

1. Jei jūs paleidote blogiuko programą savo kompiuteryje, tai jau nebe jūsų kompiuteris. "Labai svarbu ne tik nepaleidinėti, bet net neįdieginėti programų, gautų iš šaltinių, kuriais jūs nepasitikite, – svarbu tai, kad "šaltiniu" laikomas ne tas žmogus, iš kurio gavote programą, o tas, kas ją sukūrė."
2. Jei blogiukas įdiegė pakeitimus jūsų kompiuterio operacinėje sistemoje, tai jau nebe jūsų kompiuteris.
3. Jei blogiukas gali fiziškai prieiti prie jūsų kompiuterio, tai jau nebe jūsų kompiuteris. Verta paskaityti ką tuomet blogiukas gali padaryti su jūsų kompiuteriu. Ypač patiko pirmas punktas.
4. Jei blogiukas įdiegė ar paleido programą jūsų WEB serveryje, tai jau nebe jūsų WEB serveris. Veidrodinis atspindys pirmo punkto.
5. Nepatikimi slaptažodžiai bet kokią sugumo sistemą padaro beverte.
6. Kompiuterio saugumas tiesiogiai priklauso nuo administratoriaus patikimumo. Tikrai svarbus punktas, patiko mintis apie "dviejų atsakingų" taisyklę.
7. Užšifruotų duomenų saugumas tiesiogiai priklauso nuo to, kaip gerai apsaugoti šifravimo raktai.
8. Pasenusi antivirusinė programinė įranga tik nedaug geriau nei jokios. Visada yra svarbu atnaujinti ne tik antivirusinės sistemos duomenų bazę, bet ir pačią proramą.
9. Absoliutus anonimiškumas nepasiekiamas nei gyvenime, nei internete. "Vienok jei norite visiško anonimiškumo, geriau pradėkite ieškotis tinkamos olos." – čia tiksliai pasakyta.
10. Technologija pati savaime nėra panacėja. Yra svarbios kelios taisyklės:
    1. Saugumo sistema apjungia savyje tiek technologinius komponentus, tiek ir politikas, t.y sistemos saugumo lygį nusako technolgijos ir jos taikymo metodikų derinys.
    2. Saugumo užtikrinimas – tai begalinis procesas, o ne baigtinis tikslas. Kompanijų vadovai turi būti užtikrinti, kad darbuotojai žino apie galimas saugumo problemas ir moka teisingai įvertinti situaciją, t.y darbuotojus reikia mokyti.

Šiaip tai nieko naujo ir stebuklingo, bet, jei tai pamištama, tada lauk bėdos.

Link to Microsoft TechNet: Десять непреложных законов безопасности

Taigi, dauguma namų vartotojų, kurie vienu ar kitu būdu nori prisijungti prie interneto, net negalvodami įdiegia į savos kompiuterius programinę įranga, kurią gauna iš savo interneto paslaugų tiekėjo (IPT). Aišku, kad daugumai tai labai patogu ir nereikia pačiam maigyti nustatymų kad prisijungti, bet ar pagalvojame apie tai, o kokias dar "paslaugas" tas softas teikia, ko mes tikriausiai irgi nenorėtume. Nežinau ar tai daro lietuviški IPT, nes viską mėgstu susikonfigūruoti pats, bet gal ko gero ir reiktų patyrinėti.

Link to Friendly Reminder: Don’t Install ISP-provided Software – Gizmodo

Pasirodžius pranešimams apie naują tinklo atakų rūšį "Drive-by Farming", kurios labiausiai yra pavojingos bevieliams tinklams, pagalvojau, kad būtų neblogai prisiminti keletą dalykų, kurie padėtų savo namų ar kompanijos bevielį tinklą padaryti saugesniu. Nes, kaip rodo statistika, nuo 50% korporatyvinių bevielių tinklų iki 80% namų tokio pat tipo tinklų yra nepakankamai apsaugoti nuo nesankcionuoto prisijungimo.

Taigi, keletas patarimų, kaip padaryti jūsų Wi-Fi tinklą saugesniu:

1. Pakeiskite administratoriaus slaptažodį ir prisijungimo vardą. Dauguma namų vartotojų, kurie patys paleidinėja tokio tipo įrenginius, dažnai palieka gamintojo nustatytus prisijungimo vardus ir slaptažodžius. Tai leidžia bet kam prieiti prie jūsų įrenginio nustatymų ir daryti ten ką nori, tuo labiau, kad internete galima rasti pakankamai svetainių su tinklo įrenginių gamintojo nustatytais prisijungimo vardais ir slaptažodžiais.
2. Pakeiskite savo Wi-Fi tinklo kriptavimą. Jei informacija, varinėjama ten ir atgal per bevielį tinklą, nėra pakankamai gerai užšifruota, įsilaužėlis pakankamai lengvai gali prisijungti prie tinklo ir stebėti kas čia vyksta. Kai jūs įvedinėjate kokią nors asmeninę ar finansinę informaciją į kažkokią interneto sveitainę, tai gali būti nesunkiai perimta ir panaudota kad ir jūsų banko sąskaitos pakraustymui. Problema tame, kad senasis šifravimo standartas Wired Equivalent Privacy (WEP) gali būti nulaužtas per 30 sekundžių, nesvarbu kokio sudėtingumo bebūtų slaptažodis (passphrase). Deja, absoliuti dauguma namų vartotojų palieka būtent šį šifravimo būdą. Iš kitos pusės, kai kurie tinklo renginiai arba mobilūs žaisliukai su Wi-Fi palaiko tik šį algoritmą arba, geriausiu atveju, WPA-Personal (WPA-PSK), todėl, prieš renkantis įrangą, verta pasidomėti bei atkreipti dėmesį ir į tai. Sprendimas – pakeisti nustatymus į WPA2, prieš tai įsitikinus ar jūsų operacinė sistema, bevielio tinklo adapteris tai palaiko ir, esant reikalui, įsidiegus atitinkamus programinės įrangos pataisymus, pvz. WPA2 hotfix’ą Windows XP sistemai. Toliau savo tinklo įrenginuke pasirenkame saugumo nustatymus "WPA2 Personal" ir algoritmą "TKIP+AES". Galiausiai įvedame slaptažodį (būtinai užsirašykite ir saugiai pasidėkite!) į "SharedKey" laukelį ir išsaugome pakeitimus.
3. Tuoj pat pakeiskite sistemos ID. Paprastai gamintojai savo gaminiams suteikia vienodus sistemų vardus, dar kitaip vadinamus SSID (Service Set Identifier) arba ESSID (Extend Service Set Identifier). Tokių vardų kaip "Default", "Linksys" ir panašiai palikimas savo sistemoje – tai aiškus signalas, tarsi pakvietimas, piktavaliams, kad ir kiti parametrai gali būti palikti nepakeisti. Šiaip pačio vardo pakeitimas techniškai neturi įtakos sistemos saugumui, tačiau jis suteikia tinklui tam tikro asmeniškumo, pvz. "Vardenio Pavardenio Tinklas", bei iš karto atskiria jį nuo kitų neapsaugotų tinklų. Tuo labiau unikalus tinklo vardas yra tikrai patogu, kai aplinkui egzistuoja dar keletas svetimų bevielių tinklų.
4. MAC adresų filtravimas. Norėdami pamatyti, kas yra prisijungęs prie jūsų tinklo, paprastai privalote patikrinti MAC adresus. Kiekvienas daiktas, kuris gali jungtis prie kokio nors kompiuterinio tinklo, turi unikalų identifikavimo kodą, kuris dar vadinamas "fiziniu adresu" arba "MAC adresu". Jūsų tinklo įrenginys visada automatiškai įsirašo visų savo "klientų", kurie jungiasi prie jo, MAC adresus. Tokiu būdu jūs galite atskirti kurie įrenginiai yra jūsų, o kurie – svetimi ir turi būti "išprašyti" lauk. Tam, kad svetimieji negalėtų prisijungti, reikia savo įrenginyje nurodyti MAC adresus tų, kurie gali prisijungti. Tačiau tai gali nebent apsaugoti nuo atsitiktinio pasijungimo arba pradedančio įsilaužėlio bandymų jungtis. Rimtesni blogiukai naudoja specialią programinę įrangą, kuri gali perimti MAC adresus, o pasikeisti savo tinklo kortos fizinį adresą tikrai nėra sudėtinga.
5. Išjunkite tinklo sistemos ID viešinimą. Taigi, pakeisdami savo tinklo pavadinimą jūs tartum parodote, kad savo sistema pasirūpinote. Bet gal geriau, kad smalsūs kaimynai ar potencialūs blogiečiai iš viso nežinotų apie jūsų Wi-Fi tinklo egzistavimą? Šiaip asmeniniam naudojimui visai nebūtina, kad tinkls būtų matomas ir kitiems. Užtenka, kad jūs žinote jo SSID ir prisijungimo būdą. Kad tai padaryti? Dauguma tinklo įrenginių turi tinklo SSID viešinimo atjungimo galimybę. Tai daroma per disable/enable SSID brodcasting nustatymus. Kur ir kaip tai padaryti, pasiskaitykite savo įrenginio instrukcijoje.
6. Automatinis pasijungimas prie atvirų (viešų) bevielių tinklų. Dauguma kompiuterių bei mobilių įrenginių yra suderinti taip, kad automatiškai jungtųsi prie viešųjų neapsaugotų (unsecured) Wi-Fi tinklų. Jei tai nėra išankstinis gamintojo nustatmas, tai daugelis ji vistiek nustato, nes taip patogiau keliaujant ar prisijungimt prie draugo tinklo. Be to, daugelis nustato tokio prisijungimo galimybę ir tiems tinklams, prie kurių jungiamasi pastoviai (čia saugesnis atvejis). Tačiau tada nereikia pamiršti savo tinklui suteikti unikalų SSID ir vengti jungtis prie tokių, kur palikti gamintojo nustatyti pavadinimai, tokie kaip "Default", "Linksys" ir panašūs, nes taip labai lengva patekti į tinklus kvailiams medžioti, kurie yra specialiai sutverti pagauti nieko neįtariančius vartotojus ir tuo pačiu įsilaužti į jų kompiuterius.
7. Jei Wi-Fi įrenginys turi ugniasienę, būtinai ją įjunkite. IT saugumas reikalauja, kad tinklo apsauga būtų sudaryta iš kelių lygių. Vieno apsaugos lygio jau nebepakanka, kad apsisaugoti nuo tinklo atakų, virusų ir kenksmingo kodo patekimo į jūsų sistemą. Tai yra labai svarbu bevieliams tinklams, nes jie neapsiriboja kokiu nors fiziniu perimetru, o pasiekia jūsų kaimynus ar kitas viešas erdves. Esant nedideliam tinklui turime bent jau minimaliai du labai svarbius apsaugos lygius – tai Wi-Fi stotelės ar maršrutizatoriaus ugniasienę ir jūsų kompiuterio asmeninę ugniasienę. Įsitikinkite, kad abi ugniasienės yra įjungtos ir nustatytos taip, kad blokuotų anonimines interneto užklausas ar tinklo užklausas (ping). Tai padės jums paslėpti savo tinklą internete ir tuo pačiu apsaugoti jį nuo bereikalingų bandymu prisijungti.
8. Vietos Wi-Fi įrenginiui parinkimas. Bevielio tinklo signalas nežino kur baigiasi jūsų namai ar teritorija ir kur prasideda svetima erdvė. Jei signalas nedaug išeina iš jūsų erdvės, tai nieko baisaus, bet tai reikia stengtis minimizuoti. Priešingu atveju, stipraus signalo patekimas į viešą erdvę padidina tokio tinklo aptikimo ir pažeidžiamumo galimybę. Šiaip reikia stengtis nestatyti įrenginio prie langų ar įšorinių sienų, nebent norite, kad signalas apimtų ir, pavyzdžiui, nuosavo namo kiemą. Tačiau reikia bent jau pasistengti nustatyti, koks pakankamo stiprumo prisijungimui signalo spindulys ir atitinkamai pakoreguoti jo stiprumą. Nepamirškite, kad skirtingos sienų medžiagos ir storis bei langai turi skirtingą signalo slopinimą.
9. Kada reikia išjunginėti Wi-Fi tinklą. Dauguma iš mūsų žino kaip yra nepatogu ir nepraktiška pastoviai išjunginėti tinklo įrenginius. Deja, tinklas yra pažeidžiamas tada, kai jis įjungtas. Šiuo atveju patarimas gan paprastas. Išjunkite tada, kai planuojate nesinaudoti tinklu ilgesnį laiką, pvz. išvykstate atostogauti ar pan.
10. Jūsų pakeitimų testavimas. Kai jau padarėte visus minėtus nustatymus, būtų gerai išsiaiškinti pasiekto saugumo lygį. Deja, tikrąjį saugumo lygį gali parodyti rimtas bandymas įsilaužti. Problema ta, kad nėra paprastų būdų vidutiniam namų bevielio tinklo vartotojui įsitikinti savo saugumu. Vienas iš būdų, tai pasinaudoti bevielio tinklo skanavimo programomis, kaip Nestumbler, kurią galima laisvai parsisiųsti. Šio įrankio pagalba galima patikrinti tinklo pažeidžiamumus bei patikrinti signalo stiprumą įvairiose vietose.

Technorati tags: IT, Wi-Fi, bevielis tiklas, tiklai, saugumas, nustatymai, patarimai, mariukasm
del.icio.us tags: IT, Wi-Fi, bevielis tiklas, tiklai, saugumas, nustatymai, patarimai, mariukasm

Tikrai neblogas, savalaikis ir aktualus straipsnelis, nežiūrint į truputį savireklamos .

Su kuo sutinku yra tai, kad kūriant programinę įranga Lietuvoje dažniausiai saugumo analizė, resursų poreikio analizė, kliento IT infrastruktūros analizė yra dalinai, o dažniausiai visiškai ignoruojami. Net gi testavimas būna atliekamas neadekvačioje aplinkoje. To pasekoje visos bėdos išryškėja jau diegiant arba ekploatuojant produktą gamybinėje aplinkoje, dėl ko atsiranda poreikis nenumatytiems resursams ir darbams, kas stipriai pabrangina ir prailgina patį projektą, aišku kliento nenaudai.

Nesutinku, kad vienoks ar kitoks saugumo specialistas yra nereikalingas pačioje kompanijoje, ypač vidutinėse ar didelėse. Galima būtų kalbėti kaip reikia organizuoti informacinę saugą, bet tai jau kita tema. Bet, kaip žinome, informacinio saugumo įgyvendinimas nėra vienkartinis veiksmas, atseit pripirkome gudrios įrangos, viską sukonfigūravome, patikrinome ir užmiršome. Bet koks saugumas, tame tarpe ir IT, yra nesibaigiantis procesas. Taip pat saugumo negarantuoja tik pats IT technologinio saugumo diegimas, nes tai tik dalis viso informacinės saugos proceso.

Link to DELFI – Ar saugi lietuviška programinė įranga?

 Iki kokio debilizmo reikia prieiti, kad sugalvoti ir įgyvendinti tokį dalyką, kaip pajamų deklaravimas viešosiose interneto prieigose. Jei perskaitytumėt elektroninio deklaravimo taisykles, suprastumėt, kad visą savo privačią informaciją paliekat viešame kompiuteryje. O ar daugelis paprastų vartotojų žino kaip ją pašalinti? Todėl, kaip teisingai pastebėjo vienas šio Delfi straipsnio komentatorius, belieka sulaukti straipsnių apie padažnėjusias elektronines vagystes iš bankų sąskaitų ar šiaip deklaracijų paviešinimą. Jei vienas iš pagrindinių visokio kenksmingo šlamšto plitimo šaltinių yra prastai apsaugoti namų kompiuteriai-zombiai, tai ką jau kalbėti apie kompiuterius, kurie skirti viešam naudojimui !!! Nors šiais visuotino ekshibicionizmo laikais, kai privatumas elektroninėje erdvėje tampa fikcija, tai, matyt, yra visiškai priimtina.

P.S. Nuo šiol tikrai nesinaudosiu VMI teikiamomis elektroninėmis paslaugomis, nes saugumas ir ši organizacija  – du nesuderinami dalykai (bent jau man).

Link to DELFI – Internetu pajamas deklaruoja jau ir kaimo žmonės