Cyber

Strona główna Cyber Strona 2

Ryzyko internetu rzeczy (i wszechrzeczy)

0
ryzyko internetu rzeczy

Kiedy parę tygodni temu przyszedł do mnie dwukrotnie zawyżony rachunek za prąd pomyślałem: oho! jaki piękny przypadek na ryzyko Internetu Rzeczy. No, może trochę koloryzuję to zadowolenie, ale najnowocześniejsze „sprytne” liczniki prądu, które jak Polska długa i szeroka instalują zakłady energetyczne, oprócz wielu korzyści mogą być przyczyną błędnych zdalnych odczytów. Nawiasem mówiąc dyrektywy unijne zobowiązują Polskę do wymiany 80 % liczników prądu na „smart meters” już do 2020 roku. Nawiasem podwójnym mówiąc, to ryzyka z „inteligentnym licznikami” wychodzą już na etapie wdrażania tego mega projektu. Zupełnie niedawno media doniosły o dużym sporze gospodarczym pomiędzy jednym z operatorów a dostawcą licznikowych rozwiązań, gdzie przedmiotem sporu był „protokół komunikacyjny”, czyli właśnie właściwości odczytu liczników na odległość. A spór dotyczy, bagatela 310 tysięcy zainstalowanych liczników.

Ale wracając do mojego małego case study, to tym razem okazało się, że to akurat błąd ludzki (zresztą każdy błąd jest ludzki, należałoby dodać). Nie zmartwiło mnie, że kolejne przypadki ryzyka związanych z Internetem rzeczy wypadnie mi trochę poczekać, bo zapewne niedługo.

IOT na 9 000 000 000

Internet Rzeczy (Internet of Things, IoT) to w istocie niezbyt precyzyjnie zdefiniowany termin; zazwyczaj pod tym pojęciem rozumie się różnego rodzaju przedmioty użytku prywatnego lub gospodarczego, które są podłączone do Sieci. Szacuje się, że takich „przedmiotów” w 2013 było już ponad 9 miliardów, w roku 2020 będzie 20 miliardów, rynek IoT jest już na dzisiaj warty ponad 200 miliardów dolarów. Nie bez powodu więc pojawia się nawet inna koncepcja Internetu Wszechrzeczy, Internetu Wszystkiego (Internet of Everything). Nie wiem jak Czytelnikowi, średnio mi się taki taka przyszłość podoba.

Podoba się jednak czy nie, to tak jest i już i nawet zaryzykować można prognozę, że choć źródła mówią o udziale Internetu we Wszystkim na poziomie 50 % w wspomnianym 2020 to zaryzykujemy, że pewnie sięgnie procent 99,9.

Stuxnet i inni

Uinternetowienie rzeczy to cicha rewolucja, która jednak bardzo przyśpiesza, co również powoduje, że wiele ryzyk z nią związanych jest wciąż niedostrzegana i zupełnie nie zarządzana. Ryzyko internetu rzeczy jest wręcz sowjego rodzaju czarnym, choć już znanym łabędziem.
A już przecież pojawiają się pierwsze czarne jaskółki zagrożeń i ryzykonomiczne studia przypadków związane z IoT. Jakiś czas temu głośna była sprawa z rzekomym przejęciem kontroli nas sterami odrzutowca pasażerskiego przez dowcipnisia, jako „demonstrator” ryzyk IoT podawane są różne elektryczne black-outy, a nawet katastrofa tamy Taum Sauk w Stanach,  gdzie zawiodły systemy sterownicze. Zupełnie realny jest przykład wirusa Stuxnet zapuszczonego przez „nieznanych sprawców” do irańskiego programu nuklearnego z zupełnie materialnymi zniszczeniami. Natomiast, co do możliwych przyszłych manifestacji ryzyk interesu rzeczy, no tu już można sypać jak z rękawa. Ataki na pompy insulinowe, przejęcie kontroli nad samochodami, „zwykłe „cyberataki”, ataki o charakterze militarnym, ataki na sterowniki urządzeń przemysłowych i tak dalej i tak dalej.

Oczywiście identyfikacja ryzyka będzie inna dla sprzężonego z Internetem ekspresu do kawy (już są!), a inna dla elektrowni jądrowej, a nawet szczytowo-pompowej. Choć, jakby pomyśleć, że wszystkie ekspresy do kawy odmawiają na całym świecie jednocześnie posłuszeństwa o 8 rano, to skutki mogłyby być zaprawdę, równie katastrofalnie. Wolne żarty!

Ryzyko internetu rzeczy chadza parami

Co jednak najważniejsze, w Internecie Wszech(Rzeczy) znajdujemy mieszaninę chyba wszystkich znanych i nieznanych na świecie ryzyk. Bo są i techniczne, i cyber, i reputacyjne, i compliance, i środowiskowe, i finansowe i reputacyjne. I wszystkie mogą się urealnić na raz, prawdziwy Perfect Storm o zgrozo!

Co najgorsze, jak się wydaje większość potencjalnym „ofiar” zupełnie nie zdaje sobie sprawy z mnogości ich połączeń ich Rzeczy z Internetem, nie mówiąc o rodzaju zagrożeń. Konia z rzędem temu, kto zidentyfikował wszystkie rodzaje połączeń z siecią, które występują w jego biznesie zarówno pośrednie, jak i bezpośrednie – bo przecie mamy całą gamę ryzyk w łańcuchach dostaw. Odpowiednia identyfikacja zagrożeń, ich analiza i ewentualne sposoby postępowania z ryzykiem Rzeczy to chyba w ogóle, a na pewno w Polsce czarna magia. No, może częściowo zaadresowana w ramach cyber ryzyka i pewnie tylko w finansach i energetyce. gdzie ryzyko internetu rzeczy jest już chyba dostrzegane.

Cała temat zagrożeń z IoT jest wciąż traktowany jako rodzaj futurologii, niestety problem jest jak najbardziej realny i już wszechobecny. Jak „świeży” jest to temat z punktu widzenia jego nie-zaadresowania świadczy chociażby fakt, że 23 wiodących ubezpieczycieli w 2015 (sic) roku zawiązało zespól roboczy, think tank, który ma zająć się analizą tego niezwykle wielowątkowego dla ubezpieczeń problemu.

Także, jako rzekł poeta „przyszłość to jest dzisiaj tylko cokolwiek dalej”, rozumiał chłop dobrze risk menadżement… A my przejęci pisaniem o Wszechrzeczy idziemy na małą przebieżkę po lesie w wysłużonych butach sportowych. Niepodłączonych do Internetu, jeszcze…

Tekst ten ukazał się w Gazecie Ubezpieczeniowej z dnia 30.05.16 

10 metod hakowania

1
10 metod hakowania

10 metod hakowania, które najczęściej stosują cyberprzestępcy można znaleźć na ciekawym pictorialu, którego źródłem maja być badanie przeprowadzone przez amerykańską firmę z branży IT security Balabit (link). 

Według tej analizy lista 10 metod hakowania czyli najczęście stosowanych sposobów cyberataków na organizacje jest następująca:

  1. Social engineering (np. bardzo efektywne grzebanie w śmietnikach)
  2. Przejmowanie kont (np. dzięki hasłom typu admin1, 2 etc.)
  3. Ataki na aplikacje webowe ( np. SQL injection)
  4. Client side (np exploity wykorzystujące słabości w oprogramowaniu klienckim (Outlook, Explorer, etc.)
  5. Exploity atakujące oprogramowanie serwerów
  6. Pozostawiony bez nadzoru hardware
  7. Włamania fizyczne
  8. Shadow IT (rozwiązania, usługi IT wykorzystywane przez pracowników bez zgody organizacji np. styki USB )
  9. Outsourcowana infrastruktura
  10. Usługi w chmurze

Informacje te podajemy za prasą specjalistyczną dla choćby pobieżnej refeleksji, nie kreując się na eksperta od IT wydaje się jednak, że świadomość kierunków zagrożeń jest dzisiaj niezbędna dla każdego menadżera. 

10 metod hakowania

Ransomware – ryzyko rozpoznane?

0
ransomware ryzyko

Ransomware ryzyko to ma coraz większe znaczenie w obszarze cyber security. Mówiąc po laicku i dla laików, to złośliwe oprogramowanie, które po zagnieżdżeniu się w naszym komputerze, szyfruje (koduje, ankryptuje) nasze (cenne) dane żądając wpłaty opłaty odblokowującej, po prostu okupu (ransom). Może być on włacony na przykład na otwarte w tym celu konto-słup albo co zdaje się również popularne wplacone przez ofiarę w bitcoinach.

Cyber-wymuszanie okupu to niestety coraz bardziej popularne cyberprzestępstwo. Wcześneij głośna w Polsce była sprawa pewnej kancelarii prawnej, która okupu nie zapłaciła, co prezypłaciła ujawninieniem danych swoich klientów w internecie, to jeszcze inne zagrożenie związane z tym przestępstwem.

Kilka dni temu w mediach pojawiła się też informacja o zhakowaniu pewnego portalu towarzysko – erotycznego kamerkowego (taka dziwna defincja skądś) gdzie zażądano wypłaty wszystkiego 1 miliona złotych, a część użytkowników jest podobno szantażowana ujwanieniem swoich zdjęć rodzinie, znajomym i zapewne teściowym.

No więc nikt nie jest dzisiaj bezpieczny ale branżowe cyberportale podają, że jakby co pojawiło się światełko w tunelu dla potencjalnych ofiar, czylu nas wszystkich, oprogramiowanie (znowu!) które rozpoznaje potencjalne ransomware. Tamże link do portalu gdzie można wgrać próbki ransomware (rozumiemy np. z otrzymanego feralnego maila) i potem „postępować zgodnie z wskazówkami”.

Poniżej załączamy stosowany link do tego mamy nadzieję pomocnego serwisu anty ransomware, dla naszych Czytelników i siebie , ad acta:

 

Cyberataki w Bangladeszu

0
cyberataki

Cyberataki wchodzą jak się wydaje na coraz to nowe bardziej zaawansowane poziomy, bo jak donoszą właśnie rozliczne źródła niezidentyfikowani hackerzy wyprowadzili 101 milionów dolarów (USD 101 000 000 !!!) z rezerw banku centralnego Bangladeszu zdeponowanych w… amerykańskim Banku Rezerwy Federalnej! To się dzieje naprawdę!

Jak się dowiadujemy, pieniądze Bangladesh Bank zostały przetransferowane następnie na Filipiny, gdzie co najmniej 80 milionów jest „still outstanding” , czyli komletnie nie wiadomo gdzie. Doszło przy okazji, co w sumie nie dziwi przy takiej przewałce rodem z Hollywood do afery prawie politycznej w Bangladeszu między bankiem centralnym, a tamtejszym ministrem finansów, który publicznie oskarżył okradzionych o niekompetencje.

Zespół dochodzeniowych konsultantów z USA, który powołano i opłacono zapewne słono, inwastyguje sprawę, przy czym Fed umywa ręce od oskarzeń, bo jak się dowiadujemy, zlecenia płatności zostały odpowiednio potwierdzone za pomocą kodów SWIFT-a.

Sprawa jest w toku, nikt dziś nie jest bezpieczny, nawet banki centralne, a nawet pieniądze w samych Fed-zie, cale szczęście złota w For Knox nie da się zhakować, choć kto wie, jak tak dalej pójdzie tylko Bruce Willis może nas uratować, który jak wiadomo z tego rodzaju wydarzeniami radzi sobie bezkompromisowo i skuteczne, to gorzka ironia oczywiście…

[wysija_form id=”1″]

Facebook broni przed rządami

0
facebook

Facebook broni użytkowników przed zakusami rządowych intruzów, trochę trudno nam uwierzyć, ale…

…ale jak donoszą źródła największy na świecie portal społecznościowy (a propos, czy polubiliście już fan page Ryzykonomii na Facebook?) ma informować swoich użytkowników o atakach, które mogłyby wyprowadzać służby różnych rządów niezadowolonych na przykład z krytki przez społecznościowe fora. Jednak bezpośrednim przyczynkiem do podjęcia przez FB takich kroków zapobiegawczych miały być ataki na oficjalne profile rządowych instytucji amerykańskich przez irańskie rządowe cyberkompanie.

Oficjalne info o działaniach podejmowanych przez portal można znaleźć tutaj (link)

Ciekawe, bo fejs podobnie jak inni internetowi giganci był nadzywczaj spolegliwy wobec rządowych inwigilatorów, ale coś się zmienia chyba, bo ostatnio przecież pojawiały sie możliwości bezpośredniego anonimizowania swojej Facebookowej obecności z wykorzystaniem sieci TOR.

Ciekawe, to ciekawe, bo jak wiadomo rządów zatroskanych o nasze szkodliwe i niewłaściwe poglądy jak się wydaje niestety, przybywa.

MON zhakowany

0
MON

Dziennik Rzeczpospolita donosi  że MON został zhakowany. Skompromitowano kilkaset kont pocztowych, które były przez kilka lat (sic) w rękach nieznanych, ale jak się domyślamy bardzo oczytanych włamywaczy.

Wsród kopiowanych dokądś korespondencji Inspektorat Uzbrojenia, Kadry, konta Kierownictwa MON. Informacja o tym skandalu idzie gdzieś w trzydzistej-trzeciej linii headline-ów, Ryzykonomia nie jest nawet przerażona jak powinna, bo trzesie się ze śmiechu. W tygodniku militarnym Raport , który ma być źródłem tych wiadomości także infromacja, że z kolei badanie NIK miażdży (to modne ostatnio słowo) stan IT security w ministerstwach, choć wspomniany MON (z pewnymi zastrzeżeniami) miałby byc tu światełkiem w tunelu. Ciekawe, ciekawe przecież mamy kontrolę zarządczą w pełni, a sam NIK znamy skądinąd, wypada tu wtrącić, z innych ryzyk ostatnio. Specjaliści od IT rozwodzą się nad kwestiami techniczno-informatycznymi zdarzenia, my popuszczamy wodzę fantazji analizując wszystkie możliwe aspekty i scenariusze następstw ryzyka takiego zhakowania…

Cyberataki i pentesty, ogólny zarys.

0
cyberataki

Pentesty: bezpieczeństwo teleinformatyczne jest w dzisiejszych czasach bardzo ważne i nie może być lekceważone zarówno przez duże firmy, jak i zwyczajnych użytkowników internetu.

Nieodpowiedni poziom bezpieczeństwa w sieciach firm i innych organizacji może mieć fatalne konsekwencje, takie jak

Cyberchłopcy z ferajny

3
cyber

I dziewczyny oczywiście też, bo przecież mamy równość, także w cyber ryzyku, gdzie współczesnym archetypem hackera stała się niedawno milenijna Elka Salander. Wreszcie, nie bez powodu wychodzą nam spod pióra te filmowo-powieściowe reminiscencje, bo mówiąc o cyberryzyku zbyt małą wciąż mówimy i rozumiemy, kto i dlaczego popełnia cyber czyny, nie zawsze przecież też cyberkryminalne. Co prawda pierwszy z brzegu zapytany, o jakich cyber przestępcach mowa, orzeknie zaraz „hackerzy” i utwierdzają nas w tej uproszczonej wizji cyber świata media i telewizyjni speakerzy, czytający bezmyślnie z prompterów przygotowane przez ghost writerów treści. Ale, już ktoś obeznany z tematem oburzy się usłyszawszy w dzienniku, że „hackerzy” zniszczyli czy ukradli dane, bo przecież tak postępują „crakerzy”, a prawdziwy haker swoją etykietę ma i przestępcą nie jest, choć po prawdzie czasami staje się nim lub od czasu do czasu, nim bywa.

Hackerami nie są również „script kidd-y”, najniższy organizm w świecie cyber czynów; to ktoś kto
kupuje lub inną drogą zdobywa gotowe skrypty, napisane przez innych programy umożliwiające mniej lub bardziej zaawansowane atakowanie systemów. Dla szpanu, dla nauki, albo nawet z nudów, po szkole. Analizując problem od strony jego „ludzkich” źródeł trzeba też pamiętać, że neofici cyberświata bardzo szybko się uczą i po opanowaniu coraz wyższych poziomów cyber wtajemniczeń niechybnie stają przed pokusami jasnych i ciemnych stronach cyber Mocy. Więc…

Zacznijmy od tych „lepszych” cyberczyńców, a przynajmniej tych, których motywację są czystsze, chociaż i tu nie do końca wiadomo. Mamy więc różnych hacktywistów walczących w cyberprzestrzeni ze złem tego świata, jak WikiLeaks czy Snowden, którego ucieczka przez siepaczami z FBI zagnała aż pod opiekuńcze skrzydła FSB. Są i Anonymousi, choć już tu próby zdefiniowanie kim są i czego chcą są mocno utrudnione. Dalej mamy klasycznych whistleblowerów ujawniających dane o przestępczych działaniach, jak dzielny pracownik znanego banku, który ujawnił informacje o „optymalizujących” się w Szwajcarii (między innymi polskich ) bogaczach zupełnie za darmo. Co prawda, jak donoszą media dopiero po tym gdy żaden rząd nie chciał wypłacić mu spodziewanej gotówki…

Mówiąc o ciemnych i jasnych stronach cybermocy trzeba więc być przygotowanym na to, że z natury rzeczy się one przenikają. O! Nie można też zapomnieć o motywach politycznych, bo cyber bronie już teraz zajęły pierwszorzędowe miejsca w światowych arsenałach. Przecież już starożytni teoretycy wojny podkreślali, że informacja ma kluczowe znaczenie dla ostatecznego zwycięstwa, więc szpiegują się i włamują dokładnie wszyscy naokoło. Nawet polskie służby rozpisują przetargi publiczne na wytworzenie wirusów, a cyber świat obiega niedawno informacja, jak to włamano się do znanej stajni koi trojańskich Hacking Team z Milanu. Tamże nasze centralne antykorupcyjne kupowało cyber rumaki za ca. 250 tysięcy euro, co można podobno prześledzić na ujawnionych w necie przez niezidentyfikowanych hakerów-hakerów fakturach.
Mamy więc dzisiaj cyber armie i to dosłownie, jak na przykład Syryjska Armia Elektroniczna wspierająca tamtejszego dyktatora, która ma na koncie ataki na czołowe światowe media, a nawet podobno dlaczegoś na FIFA. Jest znana na świecie Koreańska Cyber Armia, walcząca pod sztandarami Wielkiego Wodza, Programisty i Najukochańszego Hackera. Ta z kolei odnotowuje kilka sławnych nacięć na klawiaturach, jak to Sony Pictures w zemście za wyprodukowanie parodii na temat Wielkiego Brata. A całe Hollywood zadrżało z podziwu na wieść, jaką gigantyczną i darmową reklamę zgotowały kolejnemu „dziełku” krainy snów północnokoreańskie cyberkompanie uderzeniowe.
Oczywiście sprawiedliwszy świat i toczone o niego brutalne polityczne walki to jedno, a konkretny pieniądz (także robiący karierę w wirtualnym świecie bitcoin), to drugie. Kwitnie więc „uczciwa” cyberprzestępczość o tyle, że tu nikt nie ma złudzeń, o co chodzi. Mamy więc i cyber freelancerów którzy realizują swoje cyberzdobycze indywidualnie albo wystawiają na cyber kryminalny rynek, który istnieje i kwitnie. 

Może tysiąc skradzionych numerów kart kredytowych z PIN codami? Proszę bardzo! Kto da więcej? A może paczuszkę danych osobowych skradzionych w Ameryce (lub gdzie indziej), tylko „n” dolarów za jedną, dostawa natychmiastowa, najświeższy towar! Są pakiety usługowe! Na przykład 1 godzinny DDoS (atak „zapychający” serwery ofiary), a może 1 tygodniowy, ceny już od 30 dolarów!
Nic więc dziwnego, że przy tak wielkim rynku cyber towarowo – usługowym nie może również zabraknąć zorganizowanych cybergangów i cyberband. Tu prym wiodą nasi sąsiedzi ze wschodu i dalej, których… póki co w tym felietonie nie będziemy analizowali, a w każdym razie przed jego ukazaniem się w starym, bezpiecznym druku, którego póki co, choć nigdy nie wiadomo, zhakować się nie da.

Cyber felieton ukazał się w Gazecie Ubezpieczeniowej z dnia 19 sierpnia 2015 roku (link)     

Konferencja „Cyberryzyko…”

2
Konferencja Cyberryzyko

Konferencja „Cyberryzyko…” Bierzemy udział. I ty możesz jeszcze dołączyć ! 
Więcej informacji na stronie Konferencji (kliknij tutaj)

Konferencja Cyberryzyko

 

W dryfie – bez Mapy ryzyka

0
W dryfie
W dryfie  do naszej kanciapy wpadł Naczelny Bloga machając jakimś papierem wołając „ Nooo. I proszę ! To lubią Czytelnicy! Mapa ryzyka, to jest to co chcą oglądać. Dawać więcej Map ryzyka na Blogu !!!” Dawać!  I wybiegł !
Stary szajby w pogoni za tą klikalnością dostaje, raportami analityków macha, pono ostatnio o sukcesach KasiTe przeczytał, tego wdzięczny naród oczekuje (prawi),  (cynicznie). A wie, że za wysokie to progi dla Jacka Pod-czaszyca nogi…..
Także do adremu wracając bardzo nas to zainteresowanie mapowaniem ryzyka cieszy  i intryguje, i że artykuł o Mapie ryzyka się na topie Czytalności wciąż lokuje, chociaż przyznajemy my wśród ulubionych umieszcamy nasz wywiad dotyczący wojskowego ERM – którzyśmy onegdaj z pewnym  narażeniem w terenie przeprowadzili. No, bo wogółe lubimy pracę w terenie.
Także, obiecujemy, do uaktualniania naszej Mapy Ryzyka 2012 , której aktualny stan na pasku pod tytułem bloga znajdziecie wrócimy,  już w kolejny poście. Równiez kolejne odcinki naszego Kryminal Story cz. 3  z mroku podświadomości Naczelnego już wychynęły a i nowości wydawnicze na Blogu przygotowujemy ale o tym cichoszanarazie….
Póki co jako, że się ostatnio mocno makro-ryzykonomicznie rozwijamy chcieliśmy polecić Czytelnikom lekturę ciekawego i (co u nas nieczęsto) dobrze napisanego raportu przesławnego kiedyś Hausnera  a dzisiaj profesora , którego pod wodzą Zespół wydał opracowanie pod znamiennym tytułem, „Kurs na innowacje. Jak wyprowadzić Polskę z rozwojowego dryfu ? ” .
Link poniżej…..

 

Warto to przeczytać,  bo choć o ryzyku się tam explicite nie mówi ( choćbyśmy chcieli oj chcieli….wszystko jasne by było gdyby Kraj ERM–em potraktować) Raport właśnie masywną analizę makro-ryzyka obecnej naszej strategii  rozwojowej ( a raczej dryfowej ) zawiera.
Po cichu również taką zachętę do czytania tegoż dorzucamy, że w dokumencie autorzy zamieścili sprytnie liczne kwadraciki , zawierające najważniejsze i bardzo celne podsumowanka i jak się te kwadraciki przeczyta to główną esencję z dokumentu każdy Czytelników wyciągnąć może.
Oto niektóre wybrane myśli z kwadracików :
  • W Europie przez kilka dekad konsumpcji rosła szybciej niż produktywnoś
  • Przed światem dekada niskiego wzrostu
  • Każde ograniczenie handlu światowego , które odczuje gospodarka niemiecka rykoszetem uderzy w dynamikę polskiej gospodarki
  • W porównaniu z Europą poziom innowacyjności jest w Polsce relatywnie niski
  • Masowe, ale słabe jakościowo kształcenie na poziomie wyższym
  • Twarde instytucjonalne bariery dla przedsiębiorczości
  • Pomaga nam napływ kapitału zagranicznego, ale może się to okazać rozwojową pułapką
  • Świat jest iglicowaty. Świat obok iglic jest płaski
  • Dyslokacji nie podlega ” wysoki” segment gospodarki
  • Pasywne przywództwo polityczne
  • Władza dla władzy marketing polityczny w miejsce rządzenia
  • Zanik strategicznej suwerennej myśli rozwojowej
  • Utożsamianie wydatkowania środków finansowych z polityką rozwoju
  • Schematyczna i bezrefleksyjna polityka rozwoju
  • Zmarginalizowanie debaty publicznej
  • Represyjna i nieustanna kontrola zamiast audytu
  • Środki są wydawane a innowacji nie ma
….. i wiele wiele innych
Także – warto przeczytać. Tylko nie widomo, czy śmiać się, czy płakać. Wszystko o tych ryzykach z grubsza od dawna wiadomo, oczywista oczywistośc, tylko kto chce i odważy się nimi zarządzić ?