phishing

Przy okazji dyskusji o elektronicznych wyborach (por. Przestrzegam przed inicjatywą Polski Młodych w sprawie wyborów) relacjonowałem doniesienia o wykryciu przez serwis hacking.pl luk bezpieczeństwa w serwisach internetowych mBanku. Generalny Inspektor Ochrony Danych Osobowych będzie badał, czy nie doszło do naruszenia ustawy o ochronie danych osobowych w tym banku...

W Polsce trwają prace nad nowelizacją prawa telekomunikacyjnego, gdzie będzie (najprawdopodobniej) uregulowana w nowy sposób kwestia spamu, czyli przesyłania niezamówionej informacji drogą elektroniczną. Jest z tym trochę problemów, gdyż zarówno materia jest trudna (bo chodzi o regulacje mającą ograniczyć w pewien sposób wolność słowa), ale też nie mamy wypracowanych technik legislacyjnych do regulowania tego typu spraw. Komisja Europejska zaś wezwała wczoraj do walki ze spamem i innymi szkodliwymi zjawiskami. Wedle danych Komisji - Polska jest na szóstym miejscu w zestawieniu dwunastu krajów "z których pochodzi najwięcej spamu". Komisja zapowiada wnioski legislacyjne...

Na początku 2007 roku w Wielkiej Brytanii wejdzie w życie nowa ustawa - Fraud Act 2006. Ocenia się, że nowa ustawa ma "zamknąć" kilka luk legislacyjnych, które istnieją w tamtejszym prawie, a które uniemożliwiają ściganie niektórych czynów nagannych społecznie. Wiadomo - nullum crimen sine lege

Przed Europejskim Trybunałem Praw Człowieka toczy się sprawa K.U. - Finland/Finlande (No 2872/02). Pytanie brzmi - czy istnieją prawne możliwości dochodzenia ujawnienia danych osoby, która dopuściła się w internecie opublikowania materiału stanowiącego zniesławienie/pomówienie (defamatory). A co zrobić, gdy osoba, która jest przedmiotem ataku to dwunastoletnie dziecko? Co z ochroną prywatności? W pewnej mierze dyskusja na podobny temat była już w Polsce prowadzona: por. Policja przyjmuje ustną lub pisemną skargę, Wolność słowa ma granice, ale jak ścigać za ich przekroczenie?.

Kilka razy zastanawiałem się w tym serwisie nad konsekwencjami nieusuwania "kopii lokalnej" z wyników wyszukiwania wskazując, że w przypadku naruszenia dóbr osobistych "dopełnienie czynności potrzebnych do usunięcia jego skutków" nie może ograniczać się do usunięcia spornego materiału z serwera, ale jeszcze np. na innych działaniach. W tym kontekście zainteresowałem się doniesieniem na temat usługi polegającej na tropieniu kompromitujących materiałów opublikowanych w internecie i usuwaniu ich w imieniu zleceniodawcy. Chodzi o komentarze na witrynach społecznościowych, zdjęcia z imprez firmowych, informacje publikowane w internecie przez własne dzieci... Interesujące.

Aresztowano 17 osób. Aresztowań dokonało FBI w USA i Policja w Polsce. W USA zatrzymano cztery osoby, zaś w Polsce zatrzymano ich... trzynaście, a jak donoszą źródła - FBI potrafi połączyć poczynania phisherów z atakami z 2004 roku. Grupa miała być odpowiedzialna za kradzieże tożsamości (w tym związane z atakami na instytucje finansowe). Operacja, w której zatrzymano te wszystkie osoby nosi kryptonim Operation Cardkeeper. Główne Polskie media masowe milczą o tym wydarzeniu.

Niedawno relacjonowałem doniesienia prasy na temat koncepcji "jednego okienka" (por. Jedno okienko będzie jednak zamknięte). Wedle aktualnego stanu prawnego - od 1 stycznia 2007 roku mają wejść w życie niektóre przepisy ustawy o swobodzie działalności gospodarczej, a konkretnie te, które stanowią ramy prawne dla utworzenia i działania Centralnej Informacja o Działalności Gospodarczej. Podnoosi się jednak, że gminy nie są przygotowane, że nie ma pieniędzy na realizację ustawy, etc. Stąd konieczność zweryfikowania nieco stanu prawa. Wedle nowej koncepcji – zamiast w gminach – „jedno okienko” realizowane będzie za pomocą urzędów skarbowych. Poniżej kilka słów na temat aktualnych koncepcji z prośbą o dopisywanie w komentarzach własnych uwag (również od webmasterów), dotyczących zagrożeń dla systemu.

O grzebaniu w śmieciach wspominał już Kevin Mitnick w swojej książce science fiction "Sztuka podstępu", napisanej przez Williama Simona. Socjologowie z Uniwersytetu Wrocławskiego postanowili sprawdzić jak Warszawiacy dbają o poufne dane i przebadali trzy warszawskie wysypiska. W sumie, nie zdziwiłem się ogłoszonymi wynikami. Wysypiska śmieci to skarbnica wiedzy.

To żadna nowość, aczkolwiek kilka osób może przyjąć tę informację ze zdziwieniem. Zwłaszcza, gdy jeszcze 12-14 lat temu znały one praktycznie wszystkich internautów w Polsce (internet w Polsce ma 15 lat). Słaba wiedza dotycząca sposobu działania protokołów, narzędzi, zasad bezpieczeństwa - wśród użytkowników (czemu się dziwić? postęp techniczny, nowinki, dynamiczna zmiana), a jednocześnie coraz lepiej przygotowane grupy przestępców. Przestępczość w Sieci ma się dobrze, coraz częściej jest też dobrze zorganizowana.

Skoro baczni obserwatorzy działania serwerów gry Second Life zauważyli błędną konfigurację - wykorzystali exploit'a i z serwera wyciągnęli dane dotyczące użytkowników: imiona, nazwiska, hasła dostępu, historię płatności, adresy zamieszkania w realnym, nie zaś wirtualnym, świecie.