Archive for February, 2009

Νέο μέλος στην ομάδα συντονισμού του OWASP.gr

Ένα νέο μέλος προστέθηκε στην ομάδα συντονισμού της Ελληνικής ομάδας εργασίας του OWASP: ο Δρ Βασίλης Βλάχος. Ο Βασίλης πέρα από την ενασχόλησή του με το OWASP είναι μέλος της Ομάδας Δράσης για την Ψηφιακή Ασφάλεια (DART) της Ειδικής Γραμματείας Ψηφιακού Σχεδιασμού του Υπουργείου Οικονομικών. Είναι διπλωματούχος ηλεκτρονικός μηχανικός  και μηχανικός υπολογιστών του Πολυτεχνείου Κρήτης, κάτοχος μεταπτυχιακού τίτλου σπουδών του τμήματος Μηχανικών Η/Υ και Πληροφορικης του Πανεπιστημίου Πατρών με ειδίκευση στα ολοκληρωμένα συστήματα υλικού και λογισμικού, και διδακτορικού διπλώματος του τμήματος Διοικητικής Επιστήμης και Τεχνολογίας του Οικονομικού Πανεπιστμίου Αθηνών στην ασφάλεια πληροφοριακών συστημάτων. Έχει εκλεχθεί λέκτορας στο τμήμα Τεχνολογίας Πληροφορικής και Τηλεπικοινωνιών του ΤΕΙ Λάρισας.

O Βασίλης έχει προσφέρει αθόρυβα πολλά στο OWASP και έχει συμβάλλει σημαντικά στη διάδοση των ιδεών του και στην ευαισθητοποίηση του κόσμου για την ασφάλεια και την ανάπτυξη ασφαλούς λογισμικού. Θα θέλαμε να τον καλωσορίσουμε  στην ομάδα μας και με την ευκαιρία να σας αναγγείλουμε ότι πολύ σύντομα πιστεύουμε να έχουμε πολύ ενδιαφέροντα νέα για καινούριες συνεργασίες και δράσεις  της ομάδας.

Advertisements

Κατάργηση της ανωνυμίας των κατόχων καρτοκινητών

Η απόδραση Παλαιοκώστα ήταν ομολογουμένως μια αρκετά δελεαστική είδηση που προκαλούσε για άλλο ένα post που θα ξέφευγε κάπως από τη γενικότερη θεματολογία του blog (αν και πάλι εντάσσεται στο γενικότερο θέμα “ασφάλεια”…). Τελικά απ’ ότι φαίνεται υπήρξε συνδρομή εκ των έσω, οπότε η υπόθεση χάνει αρκετό από το ενδιαφέρον της, τουλάχιστον όσον αφορά το κομμάτι της απόδρασης αυτής καθεαυτής.

Εκεί που ίσως αξίζει να σταθούμε είναι τα μέτρα τα οποία έσπευσε να εξαγγείλει ο Υπουργός Δικαιοσύνης με αφορμή το συμβάν, τα οποία περιλαμβάνουν “κατάργηση ανωνυμίας του κατόχου καρτοκινητών τηλεφώνων”. Για την ώρα δεν έχει ανακοινωθεί κάτι πιο συγκεκριμένο και έτσι τα ερωτήματα που προκύπτουν είναι πολλαπλά:  πώς ακριβώς θα εφαρμοστεί τεχνικά το μέτρο; Τι θα γίνει με όσους ήδη έχουν καρτοκινητό; Θα υπάρξουν αλλαγές στο ισχύον νομοθετικό πλαίσιο το οποίο προβλέπει ότι κάθε πάροχος υπηρεσιών τηλεφωνίας οφείλει να προστατεύει την ανωνυμία των χρηστών του; Εκτιμούμε πάντως ότι ανεξάρτητα από τον τρόπο υλοποίησης του μέτρου η αντίδραση θα είναι έντονη και από τη μεριά των παρόχων και -ελπίζουμε- από τη μεριά των συνδρομητών και των σχετικών ανεξάρτητων Αρχών, μόλις φυσικά γίνουν γνωστές περισσότερες λεπτομέρειες.

Άλλωστε, πρόκειται δυστυχώς για μέτρα στη λήψη των οποίων μόνο οι Αμερικάνοι μας έχουν συνηθίσει ως τώρα: πονάει κεφάλι, κόψει κεφάλι. Επειδή ο Παλαιοκώστας και οι συνεργοί του χρησιμοποίησαν καρτοκινητό, όλοι οι χρήστες καρτοκινητής είναι εν δυνάμει επικίνδυνοι. Μήπως να καταργήσουμε εντελώς τα καρτοκινητά; Λες και αν δεν υπήρχαν, ή αν δεν ήταν ανώνυμη η χρήσητους ο Παλαιοκώστας δε θα μπορούσε να αποδράσει και μάλιστα με τον ίδιο τρόπο. Καλό θα ήταν λοιπόν ο πολύτιμος χρόνος των συμβούλων του Υπυργείου Δικαιοσύνης να αναλωθεί στην ορθή και ταχεία υλοποίηση των υπόλοιπων, πολύ σωστών και σοφά επιλεγμένων και αποφασισμένων, 9 μέτρων και όχι σε προφάσεις κατάργησης της ανωνυμίας στις τηλεφωνικές συνδιαλέξεις.

Ο Μάκης καταπιάνεται με το ηλεκτρονικό έγκλημα και το Facebook

Η ισορία ξεκινάει με το “Βόθρο του Facebook“, συνεχίζεται με τον “Άγριο Κόσμο του Facebook” (γνωστό και ως “Βόθρος του Facebook 2 – H επιστροφή”) και καταλήγει, για την ώρα τουλάχιστον, στο “Ηλεκτρονικό έγκλημα” (“Βόθρος του Facebook 3 – Η εκδίκηση”) .

Και τα τρία άρθρα είναι τυπικά δείγματα δημοσιογράφων που δεν γνωρίζουν και πολλά για το θέμα (ως τίποτα) και θέλουν να δημιουργήσουν εντυπώσεις σε κόσμο που τους διαβάζει και επίσης δε γνωρίζει πολλά για το θέμα, έχοντας αντλήσει και αναπαράγει τυχαία στοιχεία από πηγές οι οποίες φυσικά δεν αναφέρονται (γιατί αν ανατρέξει κανείς σε αυτές και κάνει τη σύγκριση θα καταλάβει…). Το αποτέλεσμα είναι να αναφέρονται 2-3 σωστά πράγματα αλλά να χάνονται στο γενικότερο ισοπεδωτικό σχολιασμό και τις σχετικές ανακρίβειες.

Έτσι, πέρα από τα διάφορα περιστατικά που έχει αντιμετωπίσει κατα καιρούς η Δίωξη Ηλεκτρονικού Εγκλήματος και την πορεία της δημοσιογράφου Γεωργίας Ευσταθίου στο χώρο της τηλεόρασης (για την οποία μπορεί κανείς να μάθει περισσότερα με μια απλή αναζήτηση στο google) κατά τα άλλα δεν υπάρχει κάτι περισσότερο ουσιώδες.

ATM fraud στην Ελλάδα

Ο Αντώνης καταγράφει την εμπειρία του από το πώς αντιμετωπίζει το ATM fraud γνωστή Ελληνική τράπεζα.

Καταρχάς διαπιστώνεται μια αξιοσημείωτη καθυστέρηση στην ενημέρωση και στην ακύρωση της κάρτας. Αν μιλάμε για ΑΤΜ που βρίσκεται σε κατάστημα, όντως η καθυστέρηση είναι τραγικά μεγάλη. Δεν μπορεί δηλαδή αυτός που αδειάζει και γεμίζει το ΑΤΜ κάθε μέρα να κάνει και έναν οπτικό έλεγχο για παραβιάσεις;

Επίσης, χαρακτηριστικό είναι ότι δεν γίνεται καμία ενημέρωση ούτε για το ATM στο οποίο εκδηλώθηκε η επίθεση, ούτε δίνονται πληροφορίες προστασίας από τέτοιες μελλοντικές επιθέσεις. Continue reading ‘ATM fraud στην Ελλάδα’

To OWASP.gr στην τηλεόραση (video)

Παρακάτω μπορείτε να βρείτε το video της συνέντευξης που παρέθεσε στην ψηφιακή πλατφόρμα της ΕΡΤ το μέλος της ομάδας συντονισμού του OWASP.gr Κωνσταντίνος Παπαπαναγιώτου με αφορμή την Παγκόσμια Ημέρα Ασφαλούς Διαδικτύου 2009.

Στο σημείο αυτό θα θέλαμε να ευχαριστήσουμε θερμά τον κ. Βασίλη Βλάχο της Ομάδας Δράσης για την Ψηφιακή Ασφάλεια που μεσολάβησε για να πραγματοποιηθεί η συνέντευξη αυτή. Το OWASP.gr βρίσκεται σε διαρκή συνεργασία με το DART, από την οποία πιστεύουμε ότι σύντομα θα προκύψουν πολύ ενδιαφέροντα νέα.

Spam για web penetration testing

Μέχρι τώρα είχαμε συνηθίσει να παίρνουμε spam για viagra, φάρμακα, μετοχές και πανεπιστημιακά διπλώματα. Νέα όμως πνοή στην ανεπιθύμητη αλληλογραφία δίνει το παρακάτω e-mail που μας κοινοποίησε μέλος του OWASP.gr. Να σημειώσουμε εδώ ότι το μήνυμα εστάλη μέσα από λογαριασμό γνωστής δωρεάν υπηρεσίας e-mail και η διεύθυνση του αποστολέα δεν είναι κάποιας μορφής που να μπορεί να δώσει στοιχεία για την ταυτότητά του. Επίσης, για ευνόητους λόγους έχουμε παραλήψει κάποια στοιχεία τα οποία όμως είναι στη διάθεση του OWASP.gr.

Τα σχόλια δικά σας…

Γειά σας,
Είμαι μέλος μιας ομάδας ανθρώπων των οποίων κύριος σκοπός και στόχος είναι η ασφάλεια διάφορων ελληνικών και ξένων ιστοσελιδών. Η διαδικτυακή ασφάλεια στην εποχή μας έχει μειωθεί ραγδαία για αυτό και οφείλουμε να κάνουμε κάτι για αυτό.
Continue reading ‘Spam για web penetration testing’

To OWASP.gr στην τηλεόραση

Χθες, με αφορμή την Παγκόσμια Ημέρα Ασφαλούς Διαδικτύου 2009 που θα εορταστεί στις 10 Φεβρουαρίου, ο Κωνσταντίνος Παπαπαναγιώτου, μέλος της ομάδας συντονισμού του OWASP στην Ελλάδα, έδωσε ζωντανή συνέντευξη στην εκπομπή Ατζέντα+ της ψηφιακής πλατφόρμας της ΕΡΤ (κανάλι Σπορ+/Info+), όπου μίλησε για τις δραστηριότητες του OWASP στην Ελλάδα και έδωσε απλές συμβουλές για την ασφάλεια στο Internet.

Σύντομα θα ανέβει και το σχετικό video.