Nieelektroniczne zagrożenia dla wymiany informacji

Replies to This Discussion

Permalink Reply by Marcin Klonowski on April 28, 2009 at 4:12pm

To na początku odpowiem na pierwsze pytanie: „który z poniżej zacytowanych z tegoż punktu trzech przypadków stanowiłby zagrożenie o charakterze czysto elektronicznym, a który - wbrew pozorom, raczej o charakterze nieelektronicznym?”
Na pewno punkt 1 i 3 będą środkami nieelektronicznymi, co nie wzbudza naszych wątpliwości.
Punkt. 2, to oczywiści czysto elektroniczne formy podsłuchu.
A jak się bronić? To już jest trudniejsze pytanie.
Są różne sposoby komunikacji i dla każdej z tych form możemy znaleźć jakieś formy zwiększenia bezpieczeństwa.
Rozmowa telefoniczna: w ofercie firm telekomunikacyjnych pojawiła się w ofercie nowa komórka( http://www.gsmmania.pl/article.php?story=20090326184329430). Przez okres pierwszych trzech miesięcy, no może pół roku, te zaszyfrowane rozmowy będą bezpieczne. Ale po tym czasie, „trole” na pewno się dobiorą do rozkodowania szyfru i rozmowa nie będzie bezpieczne.
E-maile: bardzo prosty, może nawet trywialny, sposób na zabezpieczenie naszych wiadomości to zaszyfrowanie ich. Każda przeglądarka posiada funkcje szyfrowania. Jednak jest to sposób na zabezpieczenie wiadomości tylko przed laikami.
Rozmowy „FACE to FACE”: jedynym sposobem to ostrożność. Jednak nikt z nas nie ma „ oczu z tyłu głowy”, i nie jest w stanie wiedzieć czy nasz rozmówca nie jest „wilkiem w owczej skórze”
Można by tu podawać wiele przykładów. Jednak najlepszą metodą na zabezpieczenie naszych „rozmów” będzie ostrożność.

Permalink Reply by Michał Ozimek on June 14, 2009 at 9:06pm

Kwestia dotycząca wyboru z pośród trzech podanych przypadków tych o charakterze elektronicznym i nieelektronicznym według mnie została przez Marcina poprawnie rozstrzygnięta. Przypadkiem czysto elektronicznym jest punkt k) 2). Zastanawia mnie natomiast punkt k) 1), gdyż osoby znajdujące się w bezpośrednim sąsiedztwie osób, które używają telefonów komórkowych również mogą wykorzystywać elektroniczne techniki inwigilacji. Przykładem tychże technik mogą być opisane na stronach 86- 88 w książce Techniki inwigilacji ( http://www.ibuk.pl/fiszka.php?id=767 ) techniki podsłuchu komórek i w komórkach.

„Przypominanie”, o którym mowa w punkcie 10.8.1 Polityki i procedury wymiany informacji z PN-ISO/IEC 17799:2007 odnoszące się do punktu k) 2) powinno odnosić się do konkretnych przykładów, tak by pracownik mógł wyobrazić sobie przykładową sytuację, w której może zostać podsłuchany. Jeżeli pracownik zdałby sobie sprawę z tego w jakich urządzeniach może znajdować się podsłuch przykładałby większą wagę do zabezpieczenia ważnych informacji. Zapraszam do przejrzenia przykładowych przedmiotów, w których znajdują się podsłuchy (http://www.iniejawna.pl/pomoce/szpieg.html). Uważam, że pracownicy mający w swojej odpowiedzialności dochowywanie tajemnic powinni zaznajomić się co najmniej z takimi punktami książki Techniki inwigilacji jak: Popularne urządzenia przenośne używane w inwigilacji (41-54), Rejestratory rozmów (67- 76), Radio i GSM (79-88)oraz Podsłuchy, odbiorniki i sposoby ich stosowania (93- 117). Oczywiście jest to podstawa, ów rozdziały opisują działanie i sposoby podsłuchów najpopularniejszych technicznych środków komunikacji.

Co Wy sądzicie o klonowaniu kart SIM? Czy po przeczytaniu tego rozdziału uważacie to za łatwy sposób oszustwa i podsłuchu?

Permalink Reply by Tadeusz Lemańczyk on June 15, 2009 at 8:11am

Panie Michale, serdeczne dzięki za napisany przez Pana komentarz. Jest Pan jak gdyby żywym zaprzeczeniem wątpliwości zgłoszonych wczoraj przez Annę Stasiuk ( http://groups.yahoo.com/group/yahoo-cls-europeaninformationsociety/... ). Sądzę zresztą, że i Pan, i ona sama, jesteście akurat tymi właśnie studentami studiującymi, jak to określiła, "przez duże S".

Dodałbym tylko do Pana komentarza, że bez wątpienia wartościowe opracowanie ZAGROŻENIA ZE STRONY SZPIEGOSTWA GOSPODARCZEGO, może być momentami już niezbyt aktualne. Mam na myśli fragment opisu do jednego z przedmiotów polecanych przez Pana naszej uwadze, a mianowicie TXA S12 - NADAJNIK POKOJOWY UKRYTY W POPIELNICZCE: "Znajduje idealne zastosowanie na zebraniach" ( http://www.iniejawna.pl/pomoce/szpieg.html ). Dzisiaj z trudem dopuszczam do siebie myśl o zaistnieniu oficjalnego zebrania, na którym można by palić tytoń. Ale to raczej tytułem żartu, który wprowadzić nas może, i powinien, na dużo ważniejszy obszar działania. Wyobraźmy sobie, że chciałby Pan napisać pracę dyplomową inżynierską na temat Ochrona informacji przed podsłuchem komórek i w komórkach. Narracja prowadzona w punkcie 8.6. książki Pawła Kałużnego Techniki inwigilacji - Co nam grozi i jak się bronić? w wystarczającym stopniu uzmysławia nam rolę czynnika czasu. Za kolejnymi technikami podsłuchu pojawiają się kolejne techniki temu przeciwdziałające, za nimi zaś kolejne, jeszcze bardziej wyrafinowane techniki podsłuchu, i tak dalej. Będąc tak obznajomionymi z przeszukiwaniem Internetu, jak Wy po zajęciach Bezpieczeństwa informacji, dalibyście sobie radę z nadążaniem za tokiem zdarzeń narzucanych przez tematykę tej konkretnie pracy dyplomowej inżynierskiej, i jej podobnych, czyż nie tak?

Permalink Reply by Ola Ryngis on June 19, 2009 at 5:46pm

Może należy także zwrócić uwagę na to, że nieraz nie potrzeba żadnych starań czy inwigilowania aby informacje z firmy wydostały się na zewnątrz i dotarły do osób niepowołanych.
Jak można przeczytać w pewnym artykule (http://www.bezpieczenstwo-informacji.pl/przyczyny-utraty-danych-w-f...) „przenośne dyski należące do firmy są często gubione, kradzione lub pozostają u pracownika nawet po odejściu z pracy. Dlatego dane na tych urządzeniach nie są bezpieczne!”
Inną przyczyną już bardziej związana z tematem są oczywiście zwyczajne rozmowy, które pracownicy prowadzą nie zdając sobie sprawy z konsekwencji jakie mogą z tego wyniknąć. Przyczyną zapewne będzie nie stosowanie się pracodawców do zaleceń. (Zaleca się przypominanie personelowi, że nie należy prowadzić poufnych rozmów w miejscach publicznych, otwartych biurach lub miejscach spotkań, które nie są wyposażone w ściany dźwiękochłonne.)
Jak czytamy dalej w tym samym artykule pracownicy ujawniają poufne informacje najróżniejszym osobom nawet nieznajomym(!) ponieważ mają potrzebę porozmawiania na dany temat i co gorsze nie widzą w tym nic złego! Tak więc chyba owe „przypominanie” a raczej uświadamianie należało by skierować bardziej na podstawowe rzeczy, których pracownicy powinni unikać, a dopiero później zająć się tym jak dodatkowo można chronić się przed inwigilacją, bo póki sami pracownicy nie widzą takiej potrzeby to chyba mija się z celem...

Permalink Reply by Tadeusz Lemańczyk on June 19, 2009 at 6:57pm

A może w ramach tego przekonywania szczególnie lekkomyślnych pracowników należałoby wrócić do rozwieszania w przedsiębiorstwach ostrzeżeń alianckich z czasów II wojny światowej? Ot choćby do rozwieszenia na początek tego, jakże przekonującego plakatu. :-)

Permalink Reply by Tadeusz Lemańczyk on May 17, 2010 at 8:12am

To co, może zaczniemy ten wychwycony przeze mnie brak ( http://fedcba.ning.com/xn/detail/2516803:Comment:11027 ) uzupełniać począwszy choćby od informacji pod adresem http://www.thegreenhead.com/2009/04/video-camera-spy-pen.php , gdzie mamy także ciekawie zademonstrowane ułożenie ( http://www.thegreenhead.com/imgs/video-camera-spy-pen-2.jpg ) przypominające ułożenie w kieszonce marynarki nieprofesjonalnego Nicka Thomasa

 

Find more videos like this on Multilingual Studies at a Distance

?

Permalink Reply by Emil Czaja on April 29, 2011 at 4:16pm

W podpunkcie k przypadek 2, to zagrożenie czysto elektroniczne, natomiast przypadek 1 i 3 stanowią zagrożenie nie elektroniczne.

Chciałbym się tutaj skupić nad możliwościami zwiększenia bezpieczeństwa komunikacji. Podczas wymiany informacji za pomocą telefonów stacjonarnych lub telefonów GSM istnieje duże ryzyko podsłuchu. Może on się odbywać bezpośrednio poprzez urządzenie zainstalowane w aparatach rozmówców lub w sieci. Często pod centrale telekomunikacyjne podłączają się hakerzy, którzy mają podsłuch na wielu liniach. Na pewno konieczne jest dbanie, aby nasze telefony czy to stacjonarne czy komórkowe nie dostały się w niepowołane ręce. Innymi słowy, aby mieć pewność, że w naszym telefonie nie ma pluskwy nie możemy udostępnić go nikomu, a w szczególności kiedy nie ma nas w pobliżu. To bardzo ważne, ponieważ fizycznie zabezpieczamy się przed zamontowaniem tego typu urządzeń w naszym telefonie. Jeśli chodzi o podsłuch z centrali, to możemy zamówić rozmowy kodowane, ale po pewnym czasie ktoś może złamać kod, pyzatym nigdy nie mamy gwarancji, że kod jest skuteczny.

Inną metodą jest poczta elektroniczna, gdzie komunikacja odbywa się za pomocą wiadomości elektronicznych. Moim zdaniem sam proces przesyłu informacji jest bezpieczniejszy niż w przypadku telefonów, szczególnie gdy szyfrujemy treść naszych wiadomości. Istnieje jednak ryzyko włamania się do naszej skrzynki pocztowej na serwerze. Następuje wtedy pełny wyciek informacji. Rozsądne jest tutaj posiadanie kilku kont pocztowych na różnych serwerach oraz regularna zmiana haseł na tych kontach. Nie muszę chyba wspominać, że hasła te powinny być dosyć unikalne, co utrudni ich złamanie. Dodatkowo powinno się co jakiś czas zgrywać informacje na nośniki danych a skrzynkę pocztową opróżniać.

Można również komunikować się za pomocą tradycyjnych listów. Istnieje tutaj stosunkowo niewielkie ryzyko wycieku informacji. Oczywiście ktoś może przechwycić i otworzyć nasz list, ale wtedy przynajmniej będziemy świadomi, że doszło do wycieku informacji (uszkodzona koperta bądź zaginięcie przesyłki). Jest to jednak metoda mało wydajna i przy intensywniejszym przypływie informacji niedostatecznie wydajna.

Rozmowy twarzą w twarz są chyba najbezpieczniejsze, co wyjaśnię za chwilę. Jednak często z przyczyn technicznych ten sposób komunikacji nie wchodzi w grę. Po pierwsze odległość między nadawcą i odbiorcą stanowi tutaj problem, a po drugie informacja nie jest w żaden sposób zapisywana i archiwizowana. Wracając do bezpieczeństwa, to mamy tutaj na nie największy wpływ. Możemy wybrać miejsce rozmowy, dowolnie przekształcać treść, stosować znaki niewerbalne. Istnieje jeszcze problem zaufania między rozmówcą i odbiorcą, ale tutaj już tylko zwykła ludzka ostrożność może nas uratować.

Moim zdaniem każda z metod niesie ze sobą ryzyko. Najlepszą metodą zabezpieczania dróg komunikacji jest stosowanie kilku sposobów wymiany informacji na raz przy zachowaniu zasad bezpieczeństwa i dużej ostrożnośći.

Permalink Reply by Krzysztof Nowak on May 25, 2011 at 10:04am

                Analizując cytowany przez Pana Doktora zapis  ”Zaleca się przypominanie personelowi, że nie należy prowadzić poufnych rozmów w miejscach publicznych, otwartych biurach lub miejscach spotkań, które nie są wyposażone w ściany dźwiękochłonne”, aż się prosi przypomnieć znane powiedzenie które głosi, że szpiegostwo to drugi najstarszy zawód świata. Odnośnie przytoczonego punktu 2 zgadzam się z moimi poprzednikami ponieważ wszyscy jednomyślnie zakwalifikowali go jako  zagrożeniem czysto elektroniczne, natomiast odnośnie punktów 1 i 3 zgodzę się z tymi którzy uważają że trudno jest bezpośredniego sprecyzować i  zakwalifikować jako nieelektroniczne bądź elektroniczne ponieważ osoby znajdujące się w pobliżu mogą używać jakiś urządzeń elektronicznych np. przesyłających sygnał czy nagrywających. Odwołując się bezpośrednio do zapisu chciałem zauważyć, że jest on w znaczny sposób przesadzony z tego względu, że bardzo mało firmy czy instytucji ma wyposażenie jakim są ściany dźwiękochłonne chyba, że są to instytucje typu CIA, Pentagon.  Bardzo często pracownicy sami stwarzają zagrożenia czysto nieelektroniczne zapisywanie nazw użytkownika i haseł na karteczkach przyklejonych do monitora gdzie są łatwo dostępne dla nieupoważnionych osób. Chciałbym przytoczyć sztandarowy przykład zagrożenia elektronicznego jakim było podsłuchiwanie rozmów przez panie telefonistki jeszcze w nie tak dawnych czasach kiedy centrale telefoniczne nie były w pełni skomputeryzowane. 

http://www.youtube.com/watch?v=-uuNf3_FZH0&feature=related

 

Uważam, że niektóre przedsiębiorstwa nie są wstanie uniknąć tzw. szpiegostwa przemysłowego i związanych z tym podsłuchów i wycieku informacji. Mogą podejmować pewne działania redukujące i zapobiegawcze, ale zawsze znajdzie się ktoś uprzejmy który chętnie podzieli się informacjami nie zawsze świadomie np. w wyniku  rozmowy ale są też przykład na zdjęciu poniżej którzy specjalnie będą chcieli „wykraść” jakaś informacje z firmy.