Przy okazji dzisiejszego posiedzenia Sejmu poświęconego trwającym atakom na skrzynki pocztowe polskich polityków posłowie otrzymali instrukcję bezpieczeństwa. Większość dokumentu jest sensowna, ale są też punkty kuriozalne np. o VPN.
O tym, jak (prawdopodobnie) rosyjskie służby przejęły konta polskich polityków w mediach społecznościowych czy ich skrzynki pocztowe nie musimy wam pewnie pisać. Niektóre z tych epizodów już przedstawialiśmy, inne od kilku dni zajmują główne pozycje w serwisach informacyjnych. Będzie tego więcej. Aby jednak nie było dużo więcej, posłowie otrzymali dzisiaj instrukcje, jak dbać o swoje bezpieczeństwo w sieci. Dokument opublikował Onet.
Generalnie OK, ale NordVPN i HDMI?
Spójrzcie na zdjęcie dokumentu, ujawnione w Onecie. Jego wstępna lektura wskazuje, że zawiera wiele sensownych rekomendacji, zgodnych z najlepszymi praktykami. Zaleca używanie długich, unikatowych haseł i generalnie trzyma się linii zdrowego rozsądku. Czasem jednak z niej spada i tłucze boleśnie o ziemię.
Najciekawsze fragmenty znajdziemy w sekcji poświęconej bezpieczeństwu urządzeń. Oto jej powiększenie.
Zacznijmy od najbardziej kuriozalnego: „Przy połączeniach internetowych korzystaj z sieci VPN (np. NordVPN), szczególnie jeśli używasz publicznych sieci Wi-Fi”.
Ta rekomendacja, po korekcie ujawniającej jej prawdziwy sens, powinna brzmieć: „Zamiast używać polskich dostawców sieci, podlegających prawu telekomunikacyjnemu i kontroli polskich organów, oddaj swój ruch internetowy pod opiekę firmy zarejestrowanej w Panamie, która ukrywa swoją strukturę własnościową i odmawia podania danych swoich udziałowców”. Tak, NordVPN to usługa świadczona przez spółkę nordvpn s.a. z Panamy (choć prawdopodobnie jej właścicielami są Litwini – ale oficjalnie się do tego nie przyznają).
Co więcej, rekomendacja brzmi, jakby autorzy dokumentu oczekiwali od polskich parlamentarzystów, by ci pozostawali połączeni z siecią VPN cały czas. W głowie się nie mieści. Tu powinniśmy zamieścić jeszcze kilka komentarzy odnośnie tej rekomendacji, ale ręce opadły nam tak nisko, że musimy sobie zrobić przerwę na regenerację. Brakowało jeszcze tylko reflinka do pobrania przez autora dokumentu sowitej prowizji za rekomendację tej usługi.
Jeśli chcecie zrozumieć, dlaczego używanie przypadkowego VPN-a jako sposobu podniesienia swojego bezpieczeństwa i prywatności to zły pomysł, to polecamy nasz webinar poświęcony temu zagadnieniu.
Tak, film jest długi, ale warto. Krótsza wersja w ostatnim akapicie.
Inne perełki
Jak wspominaliśmy, większość rekomendacji jest całkiem sensowna, ale jest kilka punktów, do których można się jeszcze przyczepić (absolutnie nie takiej wagi jak rekomendacja używania NordVPNa):
- propozycja używania firewalla (
kto dzisiaj używa firewalla, gdy wszystkie urządzenia są za NAT-em– wyjaśnienie na końcu artykułu), - ostrzeżenie przed podłączaniem obcych urządzeń do portu HDMI (czy ktoś widział atak przez HDMI?),
- rekomendacja, by nie korzystać z managerów haseł w przeglądarkach (tu gorąco polecamy lekturę wpisu Tavisa Ormandy, który niejednego managera haseł zjadł na śniadanie).
Reszta rekomendacji wygląda OK i za to należą się oklaski dla autorów. Mamy nadzieję, że w kolejnej wersji najbardziej oczywiste błędy zostaną poprawione.
Wyjątkowy rabat 40% na szkolenia Security Awareness
By osłodzić szok spowodowany lekturą rekomendacji o używaniu VPN-a, proponujemy kod NORDVPN40 dający 40% rabatu na nasze szkolenia Security Awareness w wersji wideo. Kod jest ważny tylko do 23:59 w czwartek. Szczególnie polecamy odcinki poświęcone:
- bezpieczeństwu poczty elektronicznej (3 moduły),
- bezpieczeństwu haseł,
- używaniu dwuskładnikowego uwierzytelnienia,
- używaniu VPN-ów
oraz pozostałe 31 modułów (a już za kilka dni kolejne 4).
Jeżu, naprawdę NordVPN? Tego się nie da odzobaczyć…
Aktualizacja: tutaj dokument w lepszej jakości:
Aktualizacja 2: Gynvael znalazł informację o bugu w HDMI. Podajemy jako ciekawostkę, bo przez port HDMI chyba nikt nikogo nigdy nie zhakował („nie podłączaj przypadkowo znalezionego pod biurem monitora”).
Aktualizacja w kwestii sensowności firewalla. Jak słusznie zauważacie, argument o NAT nie był mądry. Dużo ważniejszymi powodami, dla których ta rekomendacja nie ma w przypadku posłów wiele sensu, są:
- ograniczona możliwość prawidłowej konfiguracji i interpretacji alertów przez osoby nietechniczne,
- zerowa redukcja realnych zagrożeń w sytuacji, gdy nowoczesne systemy mają praktycznie zerową powierzchnię ataku sieciowego na warstwie TCP/IP (zero domyślnie otwartych portów w Windowsie 10 niepołączonym z domeną czy w smartfonie, ostatni zdalny atak sieciowy na system Windows był lata temu).
Komentarze
Na forum dla cyberprzestępców w sieci Tor powstało konto o nazwie „Borys Budka” i zamieszcza dziwne treści, między innymi rozpowszechnia link do wycieku rosyjskiego wywiadu.
Czy moglibyście zweryfikować, czy naprawdę pisze tam pan Przewodniczący Platformy Obywatelskiej, czy mogło dojść do podszywania się do niego i próby dyskredytacji jego wizerunku?
On nie ma czegoś takiego, jak „wizerunek”.
W odróżnieniu od JaroZbawa przynajmniej ma konto bankowe i prawo jazdy.
S T R Z A Ł W ” 10 „
A jak powstanie konto Lech Kaczyński to też będą mieli sprawdzać?
No jasne, przecież jest jeden, jedyny Borys Budka na świecie :) Dżizas…
„czy ktoś widział atak przez HDMI?”
Yup ;)
https://twitter.com/taviso/status/1152054809853218817
Zdecydowanie tak spreparowany interface ethernet przez HDMI prosto i elegancko w białych rękawiczkach
Dokładnie – HDMI Ethernet Channel
https://en.wikipedia.org/wiki/HDMI#HEC
> propozycja używania firewalla (kto dzisiaj używa firewalla gdy wszystkie urządzenia są za NATem),
Każdy kto ma laptopa? W ogóle WTF, co to za komentarz z dupy.. Teraz to mi ręce opadły..
Adamowi chodziło zapewwne o firewalla sprzętowego, bo (domyślnie w Windzie) jest to oprogramowanie systemowe działające ciągle w tle.
Adam wyraził się nieprecyzyjnie. Pewnie z nerwów, po przeczytaniu rządowego barachła które komentuje…
Haha kto pisał ten artykuł?
Zarówno firewall jak i NAT są niezbędne w przypadku IPv4
Natomiast w (coraz częstszej) sytuacji gdzie router ma włączone IPv6, NAT nie jest włączony, ale firewall JEST JESZCZE WAŻNIEJSZY.
Tak czy inaczej FIREWALL JEST NIEZBĘDNY!
Firewall jest niezbędny? Ale zastanwiłeś się że będą tego „firewalla” używać sejmowe (p)osły, nie mające pojącia o czymkolwiek, a już na pewno nie o informatyce?
Firewall w rękach tumanisty, prawnika czy innych pseudomondrali narobi więcej szkody. Odradzam, doświadczenie pokazuje że bez solidnej dawki wiedzy jest postrzegany jako bloatware. I nim jest, w sumie.
Już lepiej, jak by powstała jakaś komórka w służbach, zajmująca się preparowaniem sprzętu dla minstrów. W miarę możliwości bez śladu uparwnień z ich strony do zmiany czegowkolwiek. Mail, jakaś komunikacja głosowa, brak możliwości odpalenia netflixa czy wsadzenia pendrive. Dla niektórych historyków PowerPoint.
Tylko czy to ma szanse na powstanie za „dwaczysta na miesiąc na rękę na zlecenie” jakie oferuje się informatykom na posadkach budżetowych? Jakoś mam przeczucie, że będa przekupni. Może, z resztą, są obecnie i stąd cały kłopot.
Ogólnie rządowe pustaki kompromitują się w zakresie IT, ale najgorsze będzie, że niczego się nie nauczą – po kilku tygodniach spinania się w celu komunikacji przez szyfrowane łacza – zaczną się znowu wpinania pendrive znalezionego w śmietniku. Nie upilnujesz. Powinni przechodzi codzienny audyt. Ale nie będą. Prędzej odpalą jakąs komisję majacą na celu wyjaśnienie wyborcy *kto* ich zhackował i upieczenia czegoś przy okazji, a nie w celu określania jak temu zapobiegać.
Świadomośc cyberbezpieczeństwa wśród polityków jest żałosna i taka pozostanie, bo takich pustaków sobie wybieramy. Postarajmy się aby nie byli w stanie popsuć czegoś, co zapewni im bezpieczny kanał komunikacyjny a nie maile na zabawkowych serwerach. Dedykowany laptop/telefon z poziomem dostępu jak dla 5-latka powinien dać radę.
> Firewall w rękach tumanisty, prawnika czy innych pseudomondrali narobi więcej szkody.
A z ciekawości to niby jak poseł możne firewallem narobić sobie szkody?
Bo na pewno wiesz że miliony nieświadomych użytkowników codziennie ich używa – każdy Windows 10 i każdy Mac OS ma wbudowanego firewalla?
To proste: firewall musi raportować co się dzieje. Jesli zrobi to gatatliwie „uwaga! pojawił się nowy pakiet z adresu 1.2.3.4 na port 5678, odrzucono!” to przeciętny tumianista rządowy zrobi jedną z dwóch rzeczy: 1) potraktuje to jaki atak hackerów i poleci zawracać d… słabo opłacanemu IT lub co gorsza mediom, albo 2) wyłączy „bo to wyskakuje i przeszkadza w głosowaniu”. Osób potrafiących stwierdzić co to znaczy „pakiet port ip”, w polityce, jest 0.00%. Dlatego potrzebują systemu skrojonego dla 5-latka a nie firewalla. W tym systemie skrojonym dla 5-latka on może sobie siedzieć, ale nie ma mieć śladu obecności.
PS. Jak to się stało że dotarliśmy do czasów kiedy „firewall” jest niezbędnym fragmentem OSa? To miało sens jak używali tego PowerUsers a nie Grażyny i Janusze polityki, prawa czy historii. Ale nie, wróć, nawet wtedy nie miało to sensu, OSy używane przez PU nie potrzbują/wały firealla. Typowe bloatware, jak antywirusy obecnie.
Jeśli atak wykonywany jest w srodku/od środka na np.serwery to jak myślisz potrzebny jest dobrze skonf. firewall w Windows czy nadal wystarczy tylko sprzętowy z nat na brzegu..?;)
Może nie są przekupni, tylko za „2400 na rękę” nie będą sobie głowy jakimiś posłami zawracali. Ma laptopa? Ma, i niech sp…ala.
Dokładnie!!!
Firewall w 2021 jak najbardziej potrzebny ale na endpoint czy to Win/Linux/BSD/Android czy coś od Apple. Kontrola końcówek i polityka na warstwie per aplikacja jest jak najbardziej konieczna! Centralny FW na styku sieci w 2021 mało zdziała dla zwykłego użytkownika. Choć jeśli jest i poprawnie skonfigurowany to czemu by nie. Snort/Suricata też nie dużo pomogą jeśli nie rozprujesz ruchu szyfrowanego i nie wpakujesz na końcówki swojego certa… osobiście bym raczej tego nie robił.
Ogólnie te rządowe porady jak i ich komentowanie jakoś mocno na niskim poziomie.
Wszyscy coś gadają o czymś ale nikt nie dotyka sedna sprawy i faktycznego stanu rzeczy od którego się to zaczęło.
VPN bal bla bla a może do jasnej ciasnej zamiast tego by ktoś w końcu zaczął poważne rozmowy i forsowanie gpg w komunikacji email!!! Do tego sprzętowe klucze dla 2FA!!! Ale po co lepiej pogadać o VPN i HDMI bo to najbardziej istotne w obecnej sytuacji i jest rozwiązaniem które uchronni naszych mózgaczy, ech.
> „Kontroluj informacje umieszczane w serwisach społecznościowych”
Aha… bardzo enigmatyczne
> „Stosuj długie […] i unikalne hasła”
Ale o menadżerach haseł to już nie raczyli wspomnieć…
> „Jeśli korzystasz z wielu kont, wykorzystuj narzędzia do zarządzania hasłami, tzw. managery haseł”
…a nie przepraszam! Jest! Od ilu zaczyna się „wielu kont” i trzeba korzystać z managera – pytam dla kolegi ;)
> „Nie używaj nośników otrzymanych […] od osób trzecich”
Nie dotyczy telefonów od chińskiej delegacji :D
> „Chroń swoje urządzenia mobilne […] silnymi PIN-ami”
No na tym poziomie polecałbym jednak alfanumeryczne hasło, a nie 4, czy 6-cyfrowy PIN
> „Regularnie rób kopie zapasowe, […] przechowuj je w różnych lokalizacjach”
Byle nie w iCloud…
Poza tym super instrukcja dla…
szkoły podstawowej? :D
Akurat to z HDMI nie jest takie głupie. Przecież takie urządzenie jak np. projektor albo telewizor może przecież zapisywać obraz, z pewnością jest to w zasięgu obcych służb.
HDMI jest szyfrowane, żeby nikt nie zgrał filmu. Więc tu nawet służby mogą mieć problem ze zrobieniem ataku.
Wystarczy najzwyklejsza karta do przechwytywania obrazu dodana gdzieś 'po drodze’ i można zgrywać cały ekran, a wielokrotnie zdarzało się, że ktoś miał pod prezentacją otwartego klienta email (z waznym emailem) albo np plik textowy z haslami albo desktop z plikami które ułatwiają identyfikacje albo dostęp np plik tekstowy z nazwą „pin do banku to 1234”
Biorąc pod uwagę docelową (posłowie dużego państwa w UE), mogą oni być celem na tyle interesującym, aby spalić na nich zero-daya.
A HDCP nie jest problemem od wielu lat, jest pełno sprzętu zgrywającego obraz dostępnego np. dla streamerów.
Dla mnie ta porada z HDMI jest bardzo paranoiczna, ale sensowna.
To szyfrowanie jest złamane wieki temu.
Onet ? Po ostatnich „wyskokach” z karabinkiem Grot dużo bym się po wiarygodności tego portalu nie spodziewał.
Nie znam się, więc się wypowiem? Czy naiwny patriota z klapkami na oczach jak koń? Jako posiadacz licencji na broń sportową odpowiadam Ci: Grot jest jednym z najbardziej awaryjnych karabinków z jakimi miałem do czynienia w ciągu swojego życia. Dorównuje Belgijskim szajsom.
Chcesz powiedzieć, że takiemu FN Five-Seven można coś zarzucić ?
Twierdzisz, że opublikowany dokument jest fałszywy?
…możesz mi wyjaśnić, dlaczego po zadymie z GROT-em poleciał Zarząd Fabryki Broni? Dla brata pytam.
Grot to bardzo dobra broń modułowa dla hitmana (takieg z gry) lub na strzelnicę. W warunkach bojowych , przy żołnierzu WOT (nie umniejszając im, ale jednak ich zadania i poziom wyszkolenia są inne) to broń wysoce zawodna. Raport jest w miarę rzetelny. Wadliwy projekt regulatora, nie przechodzi próby piasku, delikatna łamiąca się kolba, oraz problemy z ciepłem podczas strzelania w warunkach bojowych
Zawodna broń = zbędne straty w mieniu i ludziach
A czy nie jest tak, że łatwiej jest powiedzieć posłom „NIE WKŁADAJCIE WTYCZEK” niż uczyć ich czym się różni HDMI od USB? Myślę, że w tym przypadku po prostu autorzy mogli użyć uproszczenia, które docelowo ma zwiększyć bezpieczeństwo.
NordVPN? Tą instrukcję chyba im niebezpiecznik pisał xD
Dokładnie, w końcu reklamują go gdzie popadnie.
Pewien Piotr, który kiedyś reklamował Norda, gratis szkolił Osłów z bezpieczeństwa. Przypadek? Sądzę, że tak! ;)
Dokument pełen ogólników. Jeżeli ktoś nie zna się na bezpieczeństwie to trzeba mu opisać krok po kroku co i jak, np. jakiego managera haseł użyć i jak go skonfigurować, gdzie kupić klucz U2F i jaki model, itp.
Kto Ci to przeczyta? Przynajmniej 1/4 ludzi to analfabeci funkcjonalni. Czemu posłowie mieliby być „gorsi”?
>propozycja używania firewalla (kto dzisiaj używa firewalla gdy wszystkie urządzenia są za NATem)
Ło panie. Oczywiście instalowanie jakichś zewnętrznych aplikacji to ryzyko dla bezpieczeństwa systemu, ale używanie wbudowanego w systemie firewalla jest jak najbardziej zalecane. Nie ma żadnej gwarancji, że urządzenie jest za jakimkolwiek NAT-em.
Ogólnie, rządząca Polską ekipa to banda chciwych na kasę kombinatorów, oportunistów i kretynów. Działających w myśl zasady „po nas, choćby potop”.
Najlepszy jest Morawiecki kreujący się na technokratę, na co dzień używający prywatnej skrzynki do służbowych (państwowych, o różnych klauzulach) dokumentów!
Dworczyk to człowiek Macierewicza. To były harcerz, typowy prawicowy, konserwatywny ćwierćinteligent i żałosny karierowicz. Nic dziwnego że go Ruscy zhakowali.
Na Kremlu strzeliły szampany, bo Lachy znów się gryzą wzajemnie!
Polska to kraj ludzi głupich!
Pełna zgoda! Ja mam nadzieję, że ujawnią maile dotyczące haniebnych praktyk zamykania społeczeństwa w domach i zmuszających do szczepienia nieprzetestowanymi preparatami inżynierii genetycznej. Nie biorąc za to żadnej odpowiedzialności.
Jedrek , chyba masz Cracked Brain ty Fancy Bear influencerze :-)))
Dzięki, ale nie potrzebujemy twojej „pełnej zgody”.
„Pełna zgoda” będzie wtedy jak ludzie tacy jak ty, czyli polskie przygłupy rozpowiadające antyszczepionkowe brednie, zamilkną zawstydzeni swoją głupotą. A jeszcze lepiej, gdy zostaną przymusowo skierowani na szczepienia.
Gdyby to ode mnie zależało, byłoby tak: każdy kto się nie chce szczepić na COVIDa, pod ścianę i rozstrzelać! Czym jest śmierć paru debili nieszczepiących się i będących zagrożeniem, gdy można uratować całe społeczeństwo?
Tak to prawda, Polska to kraj ludzi głupich!
Ja bym poszedł dalej.
Kazałbym rozstrzelać każdego co przechodzi na czerwonym świetle.
A tych co przekraczają prędkość w terenach zabudowanych, to nawet z całymi rodzinami
Po przeczytaniu twojego komentarza, z bólem serca przyznaję że Psiarnia to funkcjonalne matołki. Wśród policjantów jest – niestety! – sporo antyszczepionkowców. Na otuchę – samemu sobie i podobnym do mnie – dodam że wśród innych służb, poziom głupoty jest zbliżony. Oprócz – oczywiście policjantów – znam funkcjuszy z innych formacji i oni też często się nie szczepią, bo uwierzyli w kłamliwe narracje, bzdury rozpuszczane przez trolli i nawiedzonych antyszczepionkowców.
.
A poza tym, nie przepadam za drogówką, więc nie jesteśmy żadnymi kolegami. Kolegów sobie poszukaj wśród swoich.
Nie doceniacie matki natury! Populacja antyszczepionkowców sama się ogranicza ;)
Fakt, że niestety zarażają postronnych.
Wstyd! Mam nadzieję że nie jesteś i nie byłeś w policji w Polsce.
Bo z takimi poglądami nadajesz się co najwyżej do NKWD.
Posłowie dostali instrukcje, by łączyć się z Internetem przez NordVPN..
Taka refleksja, niedawno pewna niebezpieczna strona zachęcała polityków w mediach społecznościowych do kontaktu w celu edukowania w zakresie bezpieczeństwa. Biorąc pod uwagę, że owa strona promuje wspomnianego VPN’a powstaje pytanie, czy konsultacje nie poszły za daleko..
Można mieć firewalle, naty, ipsy, idsy, antywirusy, siemy.. itd.. itp.. lecz kto powstrzyma panie z księgowości.. bo one muszą otworzyć fakturkę.. :)
” lecz kto powstrzyma panie z księgowości.. bo one muszą otworzyć fakturkę.. :)”
EDR ;)
Ja bym dodał do takiej instrukcji:
1) Nie wkładaj żadnych urządzeń i wtyczek do gniazd komputera/notebooka/tableta/telefonu, które nie są Twoje. Ilu posłów odróżni USB od HDMI, tak szczerze? Przecież USB i HDMI to nie są jedyne wektory ataku, stare dobre FireWire też dużo może, nie wspominając już o atakach side-channel.
2) Wyłącz w komputerze obsługę IPv6 na wszystkich interfejsach (z obrazkową instrukcją, przynajmniej dla Windows).
3) Domyślnie wyłącz BT i WiFi w telefonie, tablecie i notebooku. Wygodny dostęp do Internetu możesz mieć przez modem LTE w notebooku, a BT lub WiFi włączaj tylko gdy to niezbędne i łącz się wyłącznie z własnymi urządzeniami, np. w domu.
4) Używaj managerów haseł wyłącznie Offline (np. darmowy KeePass) i ustal do niego unikatowe, długie hasło.
5) Włącz w przeglądarce regułę blokującą łączenie się z witrynami po innym protokole niż HTTPS.
6) Wszystkie informacje przesyłane pocztą, jeżeli nie zostały wcześniej zaszyfrowane np. GnuPG, traktuj jako informację publicznie dostępną. Podobnie wiadomości wpisywane w komunikatorach takich jak WhatsApp, Telegram, GG, itp.
7) Nie łącz się z publicznymi sieciami WiFi, a jak już musisz, to używaj połączenia VPN (wtedy już nawet ten NordVPN jest lepszy niż nic, choć nie jest Konieczny ;-)
8) Stosuj te same zasady na komputerach całej swojej rodziny.
Ciekawe, ile zapłacili za taką ulotkę dla osłów. Skoro była z lokowaniem produktu, to tak sobie myślę, że chyba za darmo?
Zdajesz sobie sprawe, że połowy tego co tu napisałeś nikt z przedstawicieli narodu by nie zrozumiał :D
Jaki naród, takich ma przedstawicieli…
Jakby zrobić komiks z rysunkami, to może by zrozumieli.
Jako przeciętny użytkownik internetu wielu rzeczy, które tu opisujecie nie rozumiem. Ale lubię poczytać wypowiedzi fachowców. Rozumiem to jako pewne procedury mające zapewnić bezpieczeństwo. Tu rodzi się problem. Jak przez polityków szanowane są procedury bezpieczeństwa widzimy od lat, a obecna ekipa rządząca jest w tym szczególnie skrupulatna – czy to na drodze, czy w samolocie, czy w internecie.
Choćbyście nie wiem jak się sprężali to do nich to nie dociera bo to głównie humaniści – nauki ścisłe są im obce.
Taka ironia losu – sprytki nie chcieli być nadzorowani przez własne służby to ich skontrolowały obce służby.
Z jednej strony Tavis Ormandy kompromituje niektóre managery haseł (konkretnie Norda w tym wpisie), a z drugiej zaleca „If you want to use an online password manager, I would recommend using the one already built into your browser.”. Wyciąganie haseł z managerów wbudowanych do przeglądarek jest banalnie proste i to bez autoryzacji – widać to najlepiej po instalacji nowej przeglądarki w systemie, gdy bez żadnej autoryzacji hasła są wyciągane z dotychczasowej i importowane do nowej.
Pierwsza i naczelna zasada security. Nie dawać służbowym komputerom dostępu do internetu. Druga zasada – Politykom nie dawać dostępu do komputerów xD
Dziękuję za uwagę
Jak to jest z tym NordVPN? Niebiezpiecznik poleca właśnie jego (czy cos się zmieniło?) a tu wywołał falę śmiechu.
A jeśli nie NordVPN to który?
Nordvpn to temat zastępczy. To czy połączenie jest przez losowy VPN czy bezpośrednio z losowego wifi nie powinno mieć znaczenia. Są szyfrowane protokoły, ale i to nie powinno mieć znaczenia. Sama informacja niejawna powinna być zaszyfrowana w sposób umożliwiający odczyt wyłącznie odbiorcy. Np. PGP. Poziom bezpieczeństwa w kraju jest tragiczny. Tak się kończy obsadzanie kluczowych stanowisk według klucza partyjnego.
A… SOP / Służby informatyczne nie mogłyby im postawić VPN’a? I skonfigurować _służbowe_ sprzęty żeby zawsze się łączyły i ruch szedł _zawsze_ przez sejmowego VPN’a?
Plus zakaz używania prywatnego sprzętu do spraw (około)służbowych.
PS. A czy PUODO już się zainteresował tematem? Nie powinien aby?
„ostrzeżenie przed podłączaniem obcych urządzeń do portu HDMI (czy ktoś widział atak przez HDMI?)”
mimo, że HDMI pozwala na sporo rzeczy to ataku nie widziałem
jednak wychodzę z założenia, że lepiej jak nie będą używać żadnych urządzeń zewnętrznych, w tym HDMI, niż kiedyś przez roztargnienie podłączą DP przez C, a w środku będzie siedział złośliwy TB
Są prace, które pokazują, że ataki przez HDMI są możliwe.
Jest też możliwe podsłuchiwanie przez porzuconą paczkę czipsów lub żarówkę, a w rekomendacjach nic na ten temat nie ma. Ciekawe dlaczego…
Jesze raz sugeruję zastanowić się do czego służy firewall.
Nie mówimy tylko o filtracji przychodzących pakietów ipv4 i ipv6, ale także o ruchu wychodzącym.
Dla posłów ma to o tyle znaczenie, że po zainstalowaniu malware jest pewna szansa, że to właśnie firewall zapobiegnie wyprowadzeniu nielegalnego ruchu do sieci zewnętrznej.
Mądrze skonfigurowany i zarządzany firewall to jeden z ważniejszych punktów zabezpieczeń w wachlarzu innych.
Nb, w przypadku Android nawet routing jest / może być kształtowany per aplikacja (użytkownik, owner match w Netfilter w Linux). Firewall podobnie, zresztą w Windows też. Także możliwości i opcji jest sporo.
Przez hdmi nie, ale przez thunderbolt już się da ;) I teraz pytanie czy co się stanie jeżeli ktoś używa przejściówki z thunderbolt na hdmi
Przez HDMI też się da. Są prace, które pokazują, że takie ataki są możliwe.
Adam wszystko co napisałeś się zgadza oprócz firewalla.
Tu zapewne chodziło o ruch wychodzący. Można jak najbardziej skonfigurować sensownie firewall i blokować cały ruch wychodzący spoza regułek a powiadomienia – po prostu wyłączyć.
Malware które dostanie się do systemu nie narobi szkód bo nie będzie mogło skontaktować się z z CC. Chyba, że wykorzysta do komunikacji jakiś egzotyczny sposób np. za pomocą serwera DNS. O takiej komunikacji nie słyszałem, ale potrafię ją sobie wyobrazić.
Nie wyobrażam sobie 99% posłów analizujących ruch wychodzący komputera. Ja sam mam z tym problem.
Ale co tu analizować?
Jak sprzęt ma być zabezpieczony, to zablokować wszystko oprócz zamkniętej listy aplikacji.
Do prac sejmowych, rządowych itp. nie potrzeba nie wiadomo ilu różnych aplikacji: pakiet biurowy, klient poczty, przeglądarka, jakieś komunikatory itp.
Może źle pamiętam ale chyba posłowie dostają służbowe laptopy/tablety. Służby bezpieczeństwa powinny zapewnić odpowiedni poziom ochrony tych komputerów.
Oczywiście nie rozwiązuje to problemu ludzkiej przekory, jak postanowi komunikować się przez prywatną skrzynkę, to to zrobi z dowolnego innego sprzętu.
Przy takim wycieku jak mamy teraz powinny być dymisje, czy wręcz sprawy karne, to może by się jeden z drugim zastanowił, a tak hulaj dusza.
Swoją wypowiedzią podważasz sensowność retencji danych telekomunikacyjnych (które i tak są mało sensowne).
Swoją drogą może trzeba było napisać coś mniej technicznego – np. NordVPN służy nie do ochrony posłów przed internetem, ale internetu przed posłami i ich wadliwymi przepisami.
Jeżeli chciałeś napisac techniczny artykuł to rzucam wątek – w jednym z banków z którym współpracowałem każdy laptop poza siedzibą firmy łączył się przez obligatoryjnego VPNa który oczywiście odszyfrowywał całą komunikację (z prywatną włącznie, no ale kto używa służbowego laptopa do prywatnej komunikacji).
Ale jaki to problem zrobić np taki sejmowy Access Server oparty o OpenVPN, Wymusić start klienta przy starcie systemu (obojętnie jaki bo to zabawka multiplatformowa) i taki nietechniczny człowiek jakim jest niemal każdy poseł nawet nie zauważy że coś tam się pod maską dzieje. Taki Access Server oczywiście musiałby być zarządzany przez fachowca za co najmniej pięciocyfrowe wynagrodzenie i sprzęt z z IPS/IDS/etc, ale w jednym miejscu dałoby się wyłapać podejrzany ruch. Ja wiem, wszystko sprowadzone w jeden punkt, koszty utrzymania spore, ryyko prób ataków z różnych stron ogromne. Ale to jest k**** państwo! Miliony są przepalane na pierdoły, ale fachowcom nie zapłacą bo jeden poseł z drugim się oburzy, że za patrzenie w monitor gość zarabia więcej niż on za tak „odpowiedzialną” misję dla kraju, a do tego te „zbędne” licencje na IDS-y…. Ale inaczej się nie da, może i drogo, ale w perspektywie bezpieczeństwa kraju koszt chyba się zwróci wielokrotnie.
Jakoś wielkie firmy potrafią zorganizować sobie własne chmury do przechowywania danych, nawet na „zakichanym” nextcloud, a u nas się nie da. No ale jak wtedy przechowywać dokumentację „wałków”….
Co do HDMI ataki nie są wykluczone.
Polecam lekturę:
https://security.stackexchange.com/questions/19007/vga-hdmi-based-attack#19012
„zerowa redukcja realnych zagrożeń w sytuacji, gdy nowoczesne systemy mają praktycznie zerową powierzchnię ataku sieciowego na warstwie TCP/IP (zero domyślnie otwartych portów w Windowsie 10 niepołączonym z domeną czy w smartfonie, ostatni zdalny atak sieciowy na system Windows był lata temu).”
zależy co rozumiemy przez „zdalny”, dziura w SMB, co prawda do wykorzystania jedynie w sieci lokalnej, ale była
i firewall (ale i poprawna konfiguracja systemu w ogóle, chociażby wyłączenie zbędnych usług sieciowych…) by pomógł
a w ogólności: zasada minimalnej odpowiedzialności, jej brak to pośrednia przyczyna niemal wszystkich udanych ataków, nawet gdy użytkownik popełni błąd to odpowiednie zasady mu wytrącą nóż z ręki zanim go sobie wbije w oko
ale ktoś musiałby to skonfigurować…
Tak 100% w temacie, to polecam najnowszy komentarz Bruce Schneiera odnośnie dostawców VPN a zaufania, bardzo na czasie:
https://www.schneier.com/blog/archives/2021/06/vpns-and-trust.html
BTW, NordVPN jest zarejestrowany w Panamie. Ciekawe, jak to się ma do bezpieczeństwa narodowego…?
Przy okazji rozumiem, że pensje poselskie obecnie rządzących też są głównie przelewane na konta w miejsca typu Bahama, Vanatu, Bahrajn lub ewentualnie na Jersey lub Cypr…
Zarówno w komentarzach jak i w samym artykule widzę same bzdury (chociaż jeden komentarz był wartościowy).
Użytkownik komputera zawsze pozostanie nic nie wiedzącym użytkownikiem i dlatego nie powinien mieć żadnej możliwości samodzielnej konfiguracji sprzętu na którym pracuje!
Komputery powinny być w domenie, zarządzane przez wykwalifikowanego administratora. Wszystko powinno regulować GPO. Użytkownicy nie powinni mieć uprawnień administratora. Łączność z siecią powinna się odbywać wyłącznie przez VPN (i nie chodzi tu o publiczne VPN, tylko prywatny VPN sejmu czy ugrupowania politycznego).
Użytkownik nie powinien martwić się o aktualizacje, złożoność hasła czy inne podobne rzeczy, to powinno się dziać z automatu i być wymuszone.
Jest to uciążliwe, ale tak wygląda bezpieczeństwo.
Niestety jest to niemożliwe, bo każdy chciałby rządzić i nie pozwoli, żeby jakiś administrator mówił mu, co ma robić na komputerze.
Jedyna ulotka powinna brzmieć:
„Kategoryczny zakaz korzystania z jakichkolwiek prywatnych urządzeń elektronicznych pod groźbą… nie wiem… trybunału stanu… więzienia itp.”
TO JEST KUR.WA NIEWIARYGODNE. CZYTAM I NIE WIERZĘ, ŻE TO SIĘ DZIEJE NAPRAWDĘ.
Chociaż z drugiej strony, jest to POLSKIE, NARODOWE, PAŃSTWOWE, więc już mnie nie dziwi.
Bardzo fajnie, że dostali instrukcje. Nawiasem mówiąc – ten HDMI był pewnie jako przykład, żeby nie podłączać NICZEGO, bo nie odróżniają USB od HDMI.
Ja jednak mam inne pytanie – czy to są ludzie, którzy dzisiaj przyszli pierwszy raz do pracy i są na szkoleniu z BHP? Bo jak pracują ponad 2 tygodnie i nikt im nie powiedział o BHP pracy z komputerem to coś jest nie halo?
Przedłużycie kod rabatowy, wczoraj nie zdążyłem kupic kursu :)
A jakie macie zdanie na temat wbudowanego w Operę vpna?
Czy jest to lepsza opcja?
https://zaufanatrzeciastrona.pl/post/darmowy-vpn-od-opery-to-tak-naprawde-po-prostu-serwer-proxy/
Polscy politycy powinni wspierać polskie produkty. Może dajmy się wykazać pakietowi mks_vir Internet Security + szkolenia?
Tak wykpiwane tutaj NordVPN praktycznie zawsze w rankingach wyskakuje mi w top #5.
Z ciekawości sobie wykwakałem „best VPN for Windows” no i nie ma bata. Na kilkunastu stronach to samo. Zresztą kilka „najlepszych” rzadko się zmienia, zmieniają się tylko miejscami.
Więc nie wiem, czy to tutaj na Z3S panuje jakaś fobia co do tego dostawcy, czy cały świat się myli? Cały świat jest opłacony i łapówy poszły do każdego chętnego, tylko na Z3S sami ostatni sprawiedliwi?
Nie jestem ani za, ani przeciwko, bo nie korzystam z VPN. Dziwi mnie tylko ta niezgodność i jej kategoryczność oceny.
Ktoś wyjaśni na poważnie?
Wyjaśnię na poważnie. Każdy VPN zmniejsza anonimowość, prywatność, bezpieczeństwo – a płatny VPN szczególnie. Wszystko wskazuje na to, że te kilkanaście stron z rankingami ma jednego właściciela. I te kilka najlepszych VPN-ów również ma jednego właściciela. Dlatego są tak dziwnie ze sobą zgodne. NordVPN jest najbardziej wykpiwany, ponieważ jego reklama jest najbardziej nachalna i absurdalna. Nie wszyscy zwolennicy VPN muszą być opłaceni, może nie są specjalistami w tej dziedzinie i uwierzyli opłaconym autorytetom, może działają zgodnie z regułą konsekwencji i nie chcą się przyznać, że dali się nabrać i popełnili błąd.
NordVPN ma przede wszystkim dobrze przygotowany marketing. Po prostu są wszędzie, na każdej stronie i każdym rankingu dotyczącym VPN.
Wpompowali też sporą kasę w sprzęt sieciowy i mają swoje kolokacje na każdym kontynencie i chyba w każdym państwie.
Dziwią mnie ich adresy z rosyjskiej przestrzeni adresowej. Bo Rosja zasadniczo nie zgadza się na szyfrowany ruch bez udostępniania jego certyfikatów – oczywiście do rozszywania SSL – dla swoich służb. Jak NordVPN to w Rosji ominął?
> Rosja zasadniczo nie zgadza się na szyfrowany ruch bez udostępniania jego certyfikatów
Podaj proszę źródło tej informacji.
Władze rosyjskie owszem, potrafią żądać kluczy, ale od dużych operatorów usług internetowych. Pierwsze słyszę żeby wymagali deponowania kluczy do każdej strony która stosuje TLS.
Myśl podczas czytania i komentowania.
Nie pisałem nic o szyfrowaniu TLS stron WWW, tylko o szyfrowaniu usług VPN. Cały mój komentarz dotyczył tylko VPN.
Władze rosyjskie żądają kluczy od dużych operatorów usług internetowych. Dlatego dziwią mnie rosyjskie adresy IP NordVPN.
@Duży Pies
Napisałeś, że „Rosja zasadniczo nie zgadza się na szyfrowany ruch bez udostępniania jego certyfikatów – oczywiście do rozszywania SSL”. Wyraźnie napisałeś o szyfrowanym ruchu, na który Rosja rzekomo się nie zgadza. A ruch może dotyczyć i VPN, i WWW, i wielu innych.
Te rankingi jedynie pokazują wysokość prowizji, jaką strona reklamująca otrzymuje od producenta. Na tym polega fenomen komercyjnych VPNów…
Ale jednocześnie nie dają pewności że nie śledzą – albo że śledzą – ruchu sieciowego i jego metadanych.
Moim zdaniem, VPNy są w ogóle trochę przereklamowane. Stanowią jedną z wielu metod anonimizacji i w szczególnych zastosowaniach (wywiad/kontrwywiad, inwigilacja, pentesty) nie powinny być stosowane bez – co najmniej – drugiej technologii anonimizującej.
Ok. Więc co z tymi mniejszymi, mniej bogatymi? Jakie są NAPRAWDĘ odpowiednie, godne zaufania? Jak je znaleźć, skoro przeciętny Kowalski, jak ja, wpisując w kaczce VPN, dostaje kilkanaście pierwszych, RÓŻNYCH, stron z bardzo podobnymi wynikami. I już dalej nie szuka, bo po co?
Chyba że to tylko technologia dla dużych instytucji i teoretycznie zatrudnieni w nich ludzie wiedzą czego szukać, natomiast reszta – tak zwany przeciętny użytkownik – nie powinien sobie zawracać głowy?
Pisząc „tylko nie NordVPN” też wcale nie pomagacie, bo drugi, trzeci, czwarty w kolejce dostawca tej usługi też nie zasługuje na uwagę, według Was.
Więc kto?
Odpowiedź zajmuje godzinę, masz ją w postaci nagrania w treści artykułu.
Żaden VPN nie zapewni anonimowości, prywatności, bezpieczeństwa. VPN to tylko gloryfikowane proxy. A problem prywatności jest znacznie bardziej złożony. Strony internetowe i tak będą Cię rozpoznawać. Kupując VPN na dane powiązane ze swoją tożsamością tylko zmniejszysz swoją anonimowość i prywatność.
„Więc co z tymi mniejszymi, mniej bogatymi?”
Nawet jeśli VPN nie należy do Tesonet to i tak dostawcą internetu zazwyczaj jest M247. Ale nawet jakbyś miał 100% pewności że VPN ani jego dostawca internetu nie logują to i tak VPN nie zapewniałby Ci prywatności.
„Jakie są NAPRAWDĘ odpowiednie, godne zaufania?”
Żaden VPN nie jest godny zaufania, nawet własnoręcznie postawiony na serwerze. A czy odpowiedni – zależy do czego. Jeśli zależy Ci na anonimowości, prywatności, bezpieczeństwie to rozważ Tor Browser, Whonix, kompartmentalizację na wiele maszyn wirtualnych.
„tak zwany przeciętny użytkownik – nie powinien sobie zawracać głowy?”
Zdecydowanie powinien przestać szukać najlepszego VPN-a na stronach z rakingami. A zamiast tego przeczytać czy naprawdę potrzebuje VPN:
https://gist.github.com/joepie91/5a9909939e6ce7d09e29
https://matt.traudt.xyz/posts/you-want-tor-24tFBCJV/
https://matt.traudt.xyz/posts/vpn-tor-not-mRikAa4h/
O, i to jest ciekawa odpowiedź, @tasak.
Tora używam. Nie na okrągło, ale gdy potrzeba mam pod ręką.
A linki poczytam.
Co do HDMI to wydaje mi się, że może po prostu chodzić o to, żeby nie udostępnili przez przypadek tego, co mają na ekranie laptopa(a mogą akurat przeglądać tajne dokumenty)
o ile wszelkie ataki na samo HDMI to już grubsza sprawa, to nie potrzeba służb specjalnych żeby wyciągnąć telefon i zrobić zdjęcie tego, co przypadkiem pojawiło się na większym ekranie ;)
Nie – ataki przez HDMI są możliwe. Są prace, które to pokazują. Jak na takim portalu można to podważać?
Z uwagi na analizę ryzyka.
Ten artykuł przekonuje mnie raczej, że redaktorzy tego portalu nie do końca czają i nabijają się dla nabijania.
Fakt, że pojawiło się HDMI świadczy o tym, że ci co stworzyli te ulotkę coś tam wiedzą. Tak są ataki przez HDMI – przynajmniej są badacze, którzy pokazali, że jest to możliwe. To takie samo gadanie jakby ktoś powiedział, że nie boi się ładowarek USB bo co mu może zrobić ładowarka. Brak wiedzy.
Kto uzywa Firewall? Każdy kto choć troche wie jak sieć działa. Jak można na takim portalu to podważać?
Dawno tu nie zaglądałem i już wiem dlaczego.
Mnie tu uderza jedno. zostało zhackowane (???) konto tego samego „ministra”. to jest poszlaka wskazująca, że może on używać do wszystkiego tego samego hasła. podstawowy błąd.
użycie VPN nic tu nie da, jak się łazi po necie na różne strony, i zainfekuje kompa jakimś keyloggerem.
a czy oni wiedzą co to jest komputer biznesowy? tam jest nawet taki slot na płaską kartę w formie kredytówki, która trzyma klucze i uczestniczy w szyfrowaniu. a problemem są tu maile które nie zostały zaszyfrowane.
Teoretycznie istnieje szansa na przecięcie obrazu przez złącze hdmi, więc ja bym tak tego nie wyśmiewał.
O f** wy naprawdę jesteście naiwni że VPN to nie jest twór rządów by was podsłuchiwać
Najlepiej na słupa wykupić łącze internetowe i tak kilka razy i stworzyć VPN albo podłączać się do ogólnych wifi i wtedy spokój gdy zmieniasz sprzęt co kilka razy i gdy masz coś do ukrycia