bezpieczeństwo

Jest i dalszy ciąg historii, która medialnie rozpoczęła się od wycieku danych z brytyjskiego HM Revenue and Customs (por. Dyskusja po brytyjskich wyciekach danych): zarejestrowano masowy atak typu phishing z wykorzystaniem danych osobowych Brytyjczyków. Przypomnijmy, że w Wielkiej Brytanii utracono dane około 25 milionów obywateli...

Prawnicy szwajcarskiego banku Julius Baer doprowadzili do rozstrzygnięcia kalifornijskiego sądu, w wyniku którego serwis WikiLeaks został odcięty od systemu domenowego. W serwisie tym opublikowano szereg dokumentów na temat działalności banku, część z nich była poufna. Po raz kolejny stajemy przed pytaniem: jak daleko sięga tajemnica (w tym tajemnica przedsiębiorstwa czy tajemnica handlowa) i czy można mówić o tajemnicy tam, gdzie wszyscy wszystko potencjalnie mogą poznać? Serwis WikiLeaks nie jest dostępny pod pierwotną domeną ".org". Po rozstrzygnięciu sądu i usunięciu wpisów w DNS'ach dokumenty dostępne są w alternatywnych serwisach, chociaż serwisy te stały się celem ataku DDoS.

Wczoraj niemiecki federalny Trybunał Konstytucyjny uznał przepisy umożliwiające zdalną inwigifishlację zawartości komputerów obywateli za niezgodne z konstytucją. Trzeba jeszcze dodać, że Trybunał oceniał zgodność przepisów kraju związkowego Nadrenii Północnej-Westfalii - Gesetz über den Verfassungsschutz in Nordrhein-Westfalen (Verfassungsschutzgesetz Nordrhein-Westfalen - VSG NRW) - ustawa znowelizowana 20 grudnia 2006 r. O pomysłach na zdalne przeszukiwanie komputerów pisałem wcześniej w tekście Koń jaki jest, nie każdy widzi, czyli niemieckie prace nad projektem "Federal trojan" (przeczytaj również Wspólny przekaz - komentarze dotyczące przedłużenia w Polsce czasu tzw. retencji danych)...

Jeden z czytelników serwisu przesłał mi do wykorzystania materiały, które zebrał przy okazji dochodzenia roszczeń wynikających z opublikowania przez dwie witryny internetowe treści naruszających - zdaniem czytelnika - jego dobra osobiste. Pan Ryszard Marek napisał mi: "pragnę podzielić się z Panem (i Pana Czytelnikami) informacjami, których zdobycie zajęło mi prawie pięć miesięcy korespondencji z Sądami i policją".

Google Inc. wraz z Cleveland Clinic testują system przechowywania i wyszukiwania danych medycznych. Pacjenci, którzy wyrażą zgodę na transfer informacji na temat swojego stanu zdrowia będą mogli skorzystać z rozszerzonych możliwości przeszukiwarki. Informacje na temat stanu zdrowia należą do tak zwanych danych wrażliwych (dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym). Przechowywanie i - generalnie - przetwarzanie takich danych jest w wielu krajach koncentrujących się na ochronie danych osobowych poddane większym restrykcjom. Dodatkowo korporacja gromadzi już dość potężny zasób informacji o internautach. Stąd doniesienie może wzbudzać uzasadnione obawy obrońców praw człowieka...

W Chodzieży trwa postępowanie wyjaśniające, które może zakończyć się wszczęciem postępowania dyscyplinarnego wobec policjanta. Pewien mężczyzna zadzwonił do dyżurnego policjanta "przez internet". Dyżurny wiedział kto dzwoni. "Piotruś" pewnie dzwonił do Chodzieży nie pierwszy raz. Cała rozmowa została nagrana przez dzwoniącego, a do Sieci trafiła mp'trójka. Dzwonił poszukiwany przez Policję, a - jak się wydaje - po to, by trochę Policję skompromitować (na początku rozmowy chciał by funkcjonariusz podał: imię, nazwisko, stopień - by mogło się nagrać, ale dyżurny poznał dzwoniącego po głosie, więc na nagraniu tych danych nie ma).

To doniesienie ma już kilka tygodni, ale i tak warto odnotować, że znalazł się ktoś, kto postanowił przygotować klucz (fizyczny klucz) otwierający maszynę do elektronicznego głosowania firmy Diebold, opierając się wyłącznie na zdjęciu tego klucza. Zdjęcie znaleziono na firmowej stronie internetowej. Po ujawnieniu faktu, że dzięki zdjęciu można odtworzyć realny klucz - zdjęcie ze strony firmy usunięto. Klucz, o który chodzi, potrafi otworzyć każdą maszynę Diebold (chodzi o maszynę AccuVote-TS), która wykorzystywana jest do "elektronicznych głosowań". Podobny klucz wykorzystano do eksperymentu naukowców z Princeton, mającego obrazować atak wirusów na amerykański system wyborczy. Aby zainfekować system trzeba otworzyć maszynkę.

Organizacje zajmujące się ochroną praw człowieka, a za nimi również media, zaczynają uważniej przyglądać się praktykom władz USA, które dokonują przeszukań elektronicznych mediów wwożonych na teren Stanów. Chodzi o przeszukania polegające na przeglądaniu zawartości laptopów, urządzeń mobilnych, przeglądaniu treści zgromadzonej tam korespondencji, dokumentów, etc. Ciekawe, że o te praktyki zapytano Departament Bezpieczeństwa Wewnętrznego (Department of Homeland Security) w trybie amerykańskiej ustawy o dostępie do informacji publicznej (Freedom of Information Act), ale na razie bez widocznego efektu.

opis:
Zostałem zaproszony, by w czasie IV Kongresu Bezpieczeństwa Sieci wygłosić referat "Czy administrator niezabezpieczonej sieci powinien ponosić odpowiedzialność za współsprawstwo?". W ramach Kongresu odbędą się 3 równoległe konferencje: Firewall & VPN GigaCon, Network Security GigaCon, Secure Mail GigaCon. Mój referat ma zainaugurować pierwszy dzień obrad (20 lutego, godz. 09:30). Mam tremę.

Urząd Miasta Zakopane stanął przed jasnym sygnałem, że może warto poważniej podejść do swoich zasobów informacyjnych, w szczególności do negocjacji umów o utrzymanie witryny internetowej. Sygnał wysłał niedawny wykonawca witryny, kiedy wywiesił pod internetowym adresem urzędu znak "pie***lę nie robię". Urząd Miasta powiadomił prokuraturę o podejrzeniu popełnienia przestępstwa, a to właśnie z powodu tego napisu. Zdaniem urzędu dotychczasowy usługodawca "naruszył dobre imię urzędu". Interesująco wygląda jednak relacja drugiej strony, tj. relacja wykonawcy, a dotycząca prób dogadania się z urzędem jeszcze przed tym, gdy umowa o opiekę nad witryną wygasła...