Bezpieczeństwo usług w Internecie Edward Krawczyński Nowa Era Bezpieczeństwo usług w Internecie RODN „WOM” 2015

Menu 1. Wiarygodność i bezpieczeństwo informacji oraz transakcji w sieci Internet 1.2. Ocena wiarygodności informacji 1.3. Polityka domen - Ustalenie właściciela serwisu WWW I.4. Wiarygodne serwisy 2. Bezpieczeństwo usług internetowych e-mail 2.1. Zagrożenia udostępniania osobistych danych w Internecie 2.3. Lokalizacja i dane po IP 3. Bezpieczeństwo danych aplikacji biurowych 4. Urządzenia (Komputerowe) klasy TEMPEST 5. Bezpieczeństwo komputerowe w warsztacie prawnika 6. Szeroko rozumiana Ochrona antywirusowa, … Bibliografia

1. Wiarygodność i bezpieczeństwo informacji oraz transakcji w sieci Internet Ogrom informacji, problemy to: - wyszukanie żądanych informacji, selekcja, - ocena wiarygodności , przydatności, ---- zrozumienie oraz optymalne wykorzystanie praktyczne Oto przykład perpetuum mobile  !!!: http://tesla.pl/index.php?option=com_content&view=article&id=3:nowe-rewelacyjne-zrodlo-energii-elektrycznej-podwodna-elektrownia&catid=8&Itemid=102 udostępnianie informacji musi uwzględniać prawa autorskie (plagiat!)

I.2. Ocena wiarygodności informacji Sprawdź, kto jest właścicielem serwisu, Oceń wiarygodność informacji Oceń zakres odpowiedzialności prawnej właściciela serwisu, Oceń, czy serwis zawiera treści moralnie wątpliwe lub niedopuszczalne, W razie poważnych wątpliwości sprawdź informację w kilku niezależnych źródłach.

I.3. Polityka domen - ustalenie właściciela serwisu WWW W Polsce przydzielanie nazw domen w www.domena.pl koordynuje NASK (www.nask.pl). Aby się dowiedzieć do kogo należy określona domena można skorzystać, np. z bazy www.whois.pl. lub www.who.is właściciel serwisu może nie wyrazić zgody na udostępnianie danych, ale organ rejestrujący takie dane ma. Brak zgody może budzić nieufność użytkowników Dostępność i/lub rejestracja domeny: www.nazwa.pl, www.home.pl, a giełda domen (można też zarejestrować), np.  http://premium.pl/ (dawniej: www.ppd.pl)

I.4. Wiarygodne serwisy Wiarygodne informacje pozyskuj od wiarygodnych instytucji, np. kursy walut z serwisu Narodowego Banku Polskiego (www.nbp.gov.pl). formularz podatkowy, poszukaj w serwisie MF (www.mf.gov.pl). tekst ustawy lub rozporządzenia - w bazie danych Sejmu RP ww.sejm.gov.pl Korzystając z serwisów w domenie gov, znajdziesz adresy wszystkich urzędów marszałkowskich w Polsce, formularz podatkowy VAT-7 oraz kurs sprzedaży Euro nawet sprzed trzech miesięcy. Instytucje podległe władzy rządowej i samorządowej muszą prowadzić biuletyny informacji publicznej (BIP) - administratorzy, którzy ponoszą odpowiedzialność prawną za poprawność i terminowość przekazywanych treści www.bip.gov.pl Sprawdź w biuletynie informacji publicznej, czy i jaką pracę oferuje urząd marszałkowski województwa W żadnym wypadku zgody na zarejestrowanie takiej domeny nie otrzyma firma prywatna lub inna organizacja, która nie tworzy struktury państwa Naprawdę nie trzeba odruchowo używać w każdej sytuacji wyszukiwarki internetowej.

2. Bezpieczeństwo usług internetowych e-mail Nie wysyłamy i nie odbieramy poczty bez tematu oraz z plikami exe, com, bat Większą liczbę plików wysyłamy w pliku spakowanym Poufne informacje: szyfrujemy i/lub wysyłamy w pliku zabezpieczonym przed otwarciem, dodatkowo z ukrytymi ważnymi informacjami Nie korzystamy z opcji Odpowiedz - adres e-mail wpisujemy ręcznie lub pobieramy z książki adresowej Istnieją serwisy (np. www.sharpmail.co.uk) gdzie można podszyć się pod dowolny adres poczty elektronicznej lub numer telefonu (np. urzędnika) i wyłudzić w ten sposób poufną informację. Można też skorzystać z podobnego adresu e-mail Wiarygodność informacji, zagrożenie plagiatem Informacje z encyklopedii redagowanych przez internautów np. Wikipedia nie można traktować jako pewne – mogą być wykorzystywane występujące tam odniesienia do ew. wiarygodnych źródeł Odnośniki w publikacjach (linki) do np. Wikipedii źle świadczą o autorze. Należy się powoływać na rzeczywiste źródła informacji a nie do publikacji powołujących się na nie – może być zarzut plagiatu

2.1. Nie udostępniaj osobistych danych w Internecie Dzielenie się osobistymi informacjami w Internecie poprzez portale społecznościowe może być niebezpieczne - są one automatycznie indeksowane przez wyszukiwarki i archiwizowane - będą do wglądu jeszcze przez jakiś czas nawet po usunięciu ich ze źródłowej witryny. https://abywiedziec.info.pl/ludzie/ tu informacje o zagrożeniach i bezpieczne wyszukiwanie osób o podanych parametrach 6 lat działał serwis www.123people.pl prawnie zamknięty! Aktualnie po podaniu imienia i nazwiska np. http://www.yasni.pl/ o znacznie mniejszych możliwościach Ogólnopolska wyszukiwarka osób pochowanych http://www.grobonet.com) – miejsce i często zdjęcia…

2. 2. Nie bierz udziału w tzw. konkursach http://web. yuppipuppy …Użytkownik usługi jest obciążany kosztem wysłania przez usługodawcę każdej wiadomości sms. Koszt wysłania jednej wiadomości sms wynosi 5,- (pięć złotych netto) /6,15 (sześć złotych i piętnaście groszy) brutto i jest dopisywany do rachunku telefonicznego Użytkownika. Użytkownik otrzymuje 3 (trzy) wiadomości sms tygodniowo (w środę, piątek i niedzielę o godz. 18:00). Użytkownik może w każdej chwili zrezygnować z usługi wysyłając wiadomość SMS o treści „STOP TOP” na numer 60516 (wysłanie wiadomości jest dla użytkownika bezpłatne). Wszelkie inne koszty połączeń telekomunikacyjnych (np. opłaty za transfer) są zgodne ze taryfą operatora Użytkownika. Usługodawcą jest Hectiq B.V. z siedzibą w Amsterdamie ….

2.3. Nie daj się z pozoru typowym usługom http://doladowanietelefonuonline.pl/ E-mail: „Odbierz swoje Darmowe doładowania; wyświetla się strona z ukrytymi informacjami: Serwis jest usługą subskrypcyjną dostępną w sieci Plus, T-Mobile, Orange, Play. Użytkownik akceptuje regulamin oraz aktywuję usługę poprzez wpisanie na stronie kodu PIN otrzymanego darmowym sms'em na podany numer telefonu komórkowego lub poprzez wysłanie START DOSTEP na numer 60474. ??? !!!! Od momentu aktywacji użytkownik, będzie otrzymywać wiadomości 3 razy w tygodniu. … Koszt za każdy sms przychodzący to 4,92 zł z VAT Dezaktywacji subskrypcji można dokonać w dowolnym momencie poprzez wysłanie SMS o treści STOP DOSTEP pod numer 60474 (Koszt wysłania sms to 0 zł) – często nieskuteczne!. Regulamin serwisu znajduje się tutaj. W przypadku reklamacji należy wysłać email na adres:  biuro.dostep@gmail.com

2.4. Lokalizacja i dane z IP Komputer zostawia adres na IP na każdym używanym serwerze Za pomocą IP łatwo określić m.in. gdzie znajduje się komputer jego parametry i z czym współpracuje – więcej m.in. na ten temat: http://hacking.pl/artykuly/33/sposoby-ukrycia-adresu-ip/ oraz trochę tajemnic hackerskich: http://niebezpiecznik.pl/post/poznaj-nazwisko-internauty-ktory-odwiedza-twoja-strone/ Przykładowe strony do wyznaczania własnego IP i innych informacji: http://www.pokapoka.pl/ http://whatismyipaddress.com http://adres-ip.eu/index.php?ip=detect także o innych komp. o znanym IP http://www.digipedia.pl/ip/ Można zaszyfrować (ukryć) własny IP, np. darmową aplikacją NotMyIP opis i pobranie: http://dowgrania.pl/download/9079 lub za serwerem proxy - opis: www.publicproxyservers.com - po wpisaniu tego w wyszukiwarce można uzyskać tłumaczenie, np. http://translate.google.pl/translate?hl=pl&sl=en&u=http://www.publicproxyservers.com/&prev=/search%3Fq%3Dwww.publicproxyservers.com.%26biw%3D1280%26bih%3D834

3. Bezpieczeństwo zintegrowanych aplikacji biurowych, np 3. Bezpieczeństwo zintegrowanych aplikacji biurowych, np. w MS Office (1/2) Każdy dokument zawiera informacje o użytkowniku (m.in. Plik-Opcje-Ogólne/Personalizowanie kopii pakietu MS Office) – zabezpieczenie dokumentu przed otwarciem i/lub jego szyfrowanie (Plik-Informacje-Chroń…-wybierz uaktywnij..) utrudni do nich dostęp ale będą one tam zawarte Można je usunąć: Plik-Informacje-Wyszukaj problemy-Przeprowadź inspekcję dokumentu-Inspekcja-Właściwości dokumentu i informacje osobiste (wybierz: Usuń wszystko), Zamknij, Esc, Zapisz

3. Bezpieczeństwo zintegrowanych aplikacji biurowych, np 3. Bezpieczeństwo zintegrowanych aplikacji biurowych, np. w MS Office (2/2) Możemy celowo wprowadzać ukryte swoje dane w dokumencie, których powyższa procedura nie wyeliminuje, np. zaznaczyć tekst do ukrycia, zmniejszyć do punktowej wielkości czcionkę (Ctrl+[)i dać kolor tła, a następnie go ukryć (Ctrl+Shift+H) każdorazowo odkryjemy go, po zaznaczeniu znanego nam obszaru i wprowadzeniu Ctrl+Spacja Ukrywany w ten sposób tekst można umieścić w dowolnym miejscu dokumentu, a także nagłówku/stopce lub w dolnego kształtu polu tekstowym (możemy go wtedy umieścić pod dowolnym elementem graficznym a następnie je zgrupować) – dostęp do niego będzie mała tylko osoba która zna tą tajemnicę i wie jak zrobić

4.Urządzenia (Komputerowe) klasy TEMPEST … Informację z komputera można odczytać poprzez wykorzystanie specjalnie przystosowanych anten i współpracujących z nimi urządzeń oraz wykorzystując np. sieć wodną, elektryczną, grzewczą, oraz przewody klimatyzacyjne. Wprowadzono normy zabezpieczeniowe TEMPEST (temporary emanation and spurious transmission) http://www.iniejawna.pl/pomoce/tempest.html http://www.siltec.pl/tempest/urzadzenia-klasy-tempest/wprowadzenie

5. Bezpieczeństwo komputerowe (1/3) na przykładzie warsztatu prawnika (adwokata) Potrzeba jest szczególna m.in. z powodu: posiada często wiele informacji poufnych (np. adwokat …, ekspertyzy, korespondencje służbowe i prywatne) korzysta z laptopa w pracy i domu (informacje z firmy) przenosi informacje z komputera służbowego do swojego poprzez sieć wewnętrzną, Internet lub pendrive może zagrażać także innym użytkownikom firmy

5. Bezpieczeństwo komputerowe (2/3) Przestrzeganie procedur bezpieczeństwa: Zabezpieczanie automatyczne dostępu do komputera Wyłączanie/włączanie dostępu poprzez pendrive Zabezpieczona sieć Internet Zabezpieczanie i szyfrowanie dokumentów Bezpieczne korzystanie z komunikacji w sieci Legalna i aktualizowana ochrona antywirusowa Bezpieczne archiwizowanie zasobów na zewnętrznych nośnikach (bez ciągłej komunikacji)

5. Bezpieczeństwo komputerowe (3/3) Przykłady tanich i niebezpiecznych - łatwo dostępnych programów szpiegowskich: http://keylogger-szpieg.pl/ www.keylogger.net.pl Przykład przejęcia kontroli nad innym komputerem www.spryciarze.pl Filmowa ilustracja: http://www.youtube.com/watch?v=9z_8R9ZyU9M Przykład włamania się na konto zabezpieczone hasłem www.spryciarze.pl http://www.youtube.com/watch?v=fsgnbglJFt8

6. Ochrona antywirusowa, … AVG AntiVirus Free Edition http://www.avg.pl/ avast! Free Antivirus http://www.avast.pl Wersje Free - zwykle konieczna częsta ręczna aktualizacja i brak pewnych opcji: Pobieraj instalki programów tylko ze strony producenta – unikniesz zbędnych „dodatków”, kosztów i zagrożeń

SuperaAntyspyware http://www.superantispyware.com do wykrywania i usuwania szkodliwych komponentów (Spyware, Adware, Malware, Trojans, Dialers, Worms, KeyLoggers, HiJackers ) zainstalowanych w systemie. Wersja bezpłatna SUPERAntiSpyware posiada stale aktualizowaną bazę sygnatur, jednak należy pobierać ją ręcznie. trzy tryby skanowania dysku twardego, nośników wymiennych, pamięci oraz rejestru. pozwala na określenie bezpiecznych plików, folderów pomijanych w skanowaniu całego systemu. http://www.superantispyware.com

Glary Utilities http://www.glarysoft.com/downloads/ Darmowy program do optymalizacji pracy komputera, także w wersji polskiej, działający w systemie Windows. W menu Konserwacja - za pomocą 2 kliknięć myszką można przeprowadzić pełen proces optymalizacji systemu. Prosta obsługa, duża szybkość i skuteczność działania wiele modułów, w tym m. in. - do czyszczenia dysku z zbędnych plików, - naprawiania skrótów i - wpisów w rejestrze, - odinstalowywania programów, - optymalizacji pamięci, - defragmentacji rejestru, - zarządzania menu kontekstowym, - szyfrowania, - kasowania i odzyskiwania danych, - łączenia i dzielenie plików, - wyszukiwania pustych folderów - różnych analiz dysków http://www.glarysoft.com/downloads/ Jest też wersja na Android, jednak okrojona – zalecam jednak CM Security też z językiem polskim

Bibliografia Informatyka nie tylko dla uczniów Podręcznik dla szkół ponadgimnazjalnych Zakres podstawowy nr dopuszczenia 414/2012/2015 ISBN 978-83-267-2357-5 Nowa Era 2015 zgodny z Nową ustawą (wieloletność) http://www.nowaera.pl/nowe-serie/informatyka-nie-tylko-dla-uczniow-zakres-podstawowy.html?ids=1886&k=0&p=0 Dodatkowe pliki do ćwiczeń: pliki.informatyka.edu.pl „Informatyka nie tylko dla uczniów - pomoc dydaktyczna do Gimnazjum ( lub wspomaganie do refinansowanego podręcznika) „ ISBN 978-83-744-6975-3 172/2009

Dane kontaktowe: Edward Krawczyński edwardok@tlen.pl Skype: edkraw