Archive for the 'Ασφάλεια' Category

Κυκλοφόρησε το OWASP Top10 2010!

Δελτίο Τύπου

Από το 2003 ερευνητές και ειδικοί της ασφάλειας λογισμικού εφαρμογών από όλο τον κόσμο παρακολουθούν προσεκτικά μέσα από το Open Web Application Security Project (OWASP) την κατάσταση της ασφάλειας των διαδικτυακών εφαρμογών και δημοσιεύουν ένα κείμενο ευαισθητοποίησης που αποτελεί πλέον πρότυπο στο οποίο βασίζονται διεθνείς οργανισμοί όπως οι PCI, DOD, FTC, και πολλοί ακόμα.

Σήμερα, το OWASP δημοσιεύει μια ενημερωμένη έκθεση που αποτυπώνει τους δέκα σημαντικότερους κινδύνους που σχετίζονται με τη χρήση διαδικτυακών εφαρμογών σε έναν οργανισμό. Continue reading ‘Κυκλοφόρησε το OWASP Top10 2010!’

Advertisements

Απόφαση της ΑΠΔΠΧ για τις θύρες ασφαλείας στις τράπεζες

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έδωσε στη δημοσιότητα πριν από μερικές μέρες την απόφαση  αρ. 45/2009 σχετικά με τις αλλεπάλληλες καταγγελίες πολιτών για το νέο σύστημα θυρών ασφαλείας που έχει εγκαταστήσει η Εθνική τράπεζα. Η απόφαση αυτή, την οποία μπορείτε να βρείτε εδώ, παρουσιάζει αρκετά ενδιαφέροντα σημεία μερικά από τα οποία σχολιάζουμε παρακάτω:

Continue reading ‘Απόφαση της ΑΠΔΠΧ για τις θύρες ασφαλείας στις τράπεζες’

Επαναφορά της λειτουργίας των καμερών για λόγους ασφάλειας

Πριν λίγο ολοκληρώθηκε η συνεδρίαση του ΚΥΣΕΑ με θέμα την αντιμετώπιση της αυξημένης εγκληματικότητας όπου μεταξύ άλλων αποφασίστηκε σύμφωνα με τις δηλώσεις του αναπληρωτή υπουργού Εσωτερικών κ. Μαρκογιαννάκη ότι “για την αντιμετώπιση του σύγχρονου εγκλήματος είναι αναγκαία η χρήση καμερών βάσει της ευρωπαϊκής εμπειρίας όπως συμβαίνει και σε άλλες χώρες”.

Έτσι, θα ενεργοποιηθούν οι κάμερες “που έχουν εγκατασταθεί σε κεντρικές λεωφόρους, με νομοθετική ρύθμιση, έπειτα από συνεννόηση και με την Αρχή Προστασίας Προσωπικών Δεδομένων” καθώς και το σύστημα C4I. Επίσης “εξετάζεται νομοθετική ρύθμιση για τη διευκόλυνση των εισαγγελικών αρχών στη διαδικασία άρσης του απορρήτου των επικοινωνιών”, σε ικανοποίηση ενός πάγιου αιτήματος του τμήματος Δίωξης Ηλεκτρονικού Εγκλήματος και του προϊστάμενού του κ. Σφακιανάκη.

Προφανώς ο κ. Μαρκογιαννάκης επιλέγει να σταθεί στη στείρα αντιγραφή των πρακτικών άλλων χωρών χωρίς να μελετήσει την ουσία των πραγμάτων, συνεχίζοντας της σπασμωδικές κινήσεις εντυπωσιασμού και δημιουργίας εσφαλμένης αίσθησης της ασφάλειας. Πάντως αποφασίστηκε η λήψη και άλλων μέτρων, όπως η ενίσχυση της αστυνομίας σε ανθρώπινο δυναμικό και μέσα, η εφαρμογή των οποίων ελπίζουμε ότι θα είναι σε σωστότερη κατεύθυνση.

[Πηγές: in.grnaftemporiki.gr]

Γνωστοποίηση συμβάντων ασφάλειας

Έχουμε αναφερθεί πολλές φορές, εμμέσως πλην σαφώς, στο θέμα της δημοσιοποίησης των περιστατικών ασφάλειας και της αντίστοιχης ενημέρωσης των υποκειμένων που θίγονται άμεσα από αυτά. Πρόκειται για ένα θέμα που μας απασχόλησε και στην Exposec (παρεμπιπτόντως σας χρωστάμε ακόμα τις εντυπώσεις μας από τη συγκεκριμένη εκδήλωση) αφού στη χώρα μας παρατηρείται μια γενικότερη έλλειψη ενημέρωσης στον τομέα αυτό, και ακόμα και όταν ανακοινώνεται κάτι, ποτέ δε δίνονται επαρκείς λεπτομέρειες. Στον αντίποδα, υπάρχουν περιοχές στον πλανήτη, όπως η Καλιφόρνια, που σε περίπτωση μιας παραβίασης, οι οργανισμοί είναι υποχρεωμένοι να ενημερώσουν όσους θίγονται από αυτή. Σίγουρα η διαφορά της κουλτούρας μεταξύ Ελλάδας και Αμερικής είναι μεγάλη, καθώς -καλώς ή κακώς- οι Έλληνες χάνουμε εύκολα την εμπιστοσύνη μας, ειδικά στις νέες τεχνολογίες, και αρεσκόμαστε στο να κινδυνολογούμε και να αφορίζουμε ελαφρά τη καρδία.

Όπως διαφάνηκε και στην Exposec, αυτή τη διαφορά νοοτροπίας επικαλούνται οι διάφοροι οργανισμοί στην Ελλάδα, και κυρίως οι τράπεζες, για να ακολουθήσουν μια πολιτική μη δημοσιοποίησης των συμβάντων ασφάλειας ή τελος πάντων, δημοσιοποίησης μόνο των απολύτως απαραίτητων στοιχείων. Πού σταματά όμως ο φόβος για την αντίδραση του κοινού και πού ξεκινά η ανάγκη για την ενημέρωση και ευαισθητοποίησή του;

Πρόσφατα, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων άσκησε κριτική στο δεύτερο σχέδιο για την ανθεώρηση της Οδηγίας 2002/58 αναφορικά με την επεξεργασία των προσωπικών δεδομένων και την προστασία της ιδιωτικότητας στις ηλεκτρονικές επικοινωνίες. Το αρχικό σχέδιο προβλέπει μεταξύ άλλων την υποχρεωτική γνωστοποίηση των παραβιάσεων ασφαλείας που έχουν ως αποτέλεσμα την απώλεια προσωπικών δεδομένων. Ο Επόπτης θεωρεί ότι “η υποχρέωση κοινοποίησης των παραβιάσεων ασφαλείας πρέπει να ισχύει όχι μόνον για τους παρόχους δημόσιων δικτύων υπηρεσιών επικοινωνιών, αλλά και για άλλους, ιδίως για τις υπηρεσίες κοινωνίας της πληροφορίας, όπως οι on-line τραπεζικές εργασίες, οι on-line υπηρεσίες υγείας κλπ”.

[πηγές: e-lawyer, information law]

Conficker και πρωταπριλιά

Τις τελευταίες μέρες υπάρχει μια πολύ έντονη φημολογία και αντίστοιχες συζητήσεις σχετικά με την πιθανή δράση του Conficker την 1η Απριλίου. Διάφορα τεχνολογικά sites έχουν αναφερθεί στο πρόβλημα (ακόμα και το in.gr) με αποτέλεσμα να προκαλείται περισσότερη σύγχυση για το θέμα παρά ουσιαστική ενημέρωση. Το καλό βέβαια από όλο αυτό το ντόρο είναι ότι αρκετός κόσμος μαθαίνει για το πρόβλημα και ευαισθητοποιείται.

Απ’ ότι φαίνεται η ουσία είναι ότι υπάρχει ο φόβος κάποιος variant του ιού να προκαλέσει γενικευμένο πρόβλημα τη συκεκριμένη μέρα. Η πληροφορία αυτή προέρχεται από ανάλυση του ιού από την οποία προκύπτει ότι αύριο θα αυξηθούν (από 250 σε 50000) οι διευθύνσεις από τις οποίες θα μπορεί ο ιός να παίρνει εντολές. Δεν πρόκειται λοιπόν για κάποια συγκλονιστική αλλαγή ούτε για κάποια νέα ευπάθεια. Δεν απειλούνται συστήματα που δεν είναι μολυσμένα ή που έχουν είναι ενημερωμένα. Αυτοί που θα πρέπει να ανησυχούν είναι όσοι είναι μολυσμένοι καθώς το πεδίο δράσης του ιού μπορεί να αυξηθεί σημανικά αφού θα μπορεί να δέχεται εντολές από πολλές περισσότερες διευθύνσεις. Οι ίδιοι όμως θα έπρεπε να ανησυχούν ούτως ή άλλως που τα συστήματά τους είναι μολυσμένα με έναν επικίνδυνο ιό που μπορεί να προκαλέσει πολλά προβλήματα ανά πάσα στιγμή.

Ως συνήθως βέβαια τα μέσα αρέσκονται στην κινδυνολογία ενώ ταυτόχρονα αδυνατούν να ερμηνεύσουν σωστά τις απόψεις των ειδικών. Σίγουρα o Conficker έχει προκαλέσει και συνεχίζει να προκαλεί πολλά προβλήματα και σε Ελληνικό έδαφος οπότε αν μη τι άλλο, είναι μια καλή ευκαιρία για όλους να καθαρίσουν τον ιό και να εκαταστήσουν και το αντίστοιχο patch.

Προειδοποίηση για πλαστά e-mail από την ΕΕΤ

“Η Ελληνική Ένωση Τραπεζών και οι τράπεζες μέλη της, ενημερώνουν τους κατόχους των Πιστωτικών Καρτών ότι απατεώνες μέσω του διαδικτύου, στέλνουν πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου και τους καλούν να τους δώσουν τα στοιχεία της κάρτας τους, με το ψευδή ισχυρισμό ότι η Ελληνική Ένωση Τραπεζών και τράπεζες μέλη της,  δήθεν έχουν κάνει σχετική συμφωνία και προσφέρουν στους κατόχους των καρτών δωρεάν έξοδα για κάθε συναλλαγή σε ΑΤΜ ή σε ηλεκτρονικό κατάστημα και επιπλέον 20 ευρώ δώρο.

Τα μηνύματα αυτά είναι στο σύνολό τους πλαστά και προκειμένου να αποφευχθεί οικονομική ζημιά των κατόχων πρέπει να μην απαντώνται και να διαγράφονται αμέσως.”

Ως συνήθως με την ευκαιρία της προειδοποίησης αυτής η Ελληνική Ένωση Τραπεζών υπενθυμίζει στους πελάτες που ασχολούνται με το Internet ορισμένες βασικές συμβουλές.

Μέτρα για την ασφάλεια των τραπεζών

Σύμφωνα με υπουργική απόφαση που υπογράφηκε χθες από τον αναπληρωτή υπουργός Εσωτερικών, κύριο Χρήστο Μαρκογιαννάκη, οι τράπεζες υποχρεούνται μέσα σε 9 μήνες να λάβουν επιπρόσθετα μέτρα ασφαλείας και ειδικότερα μεταξύ άλλων “να εγκαταστήσουν  ψηφιακό σύστημα καταγραφής όλων των κινήσεων, σιωπηρό σύστημα συναγερμού, περιστρεφόμενες πόρτες με αλεξίσφαιρα τζάμια, χρωμοπαγίδες στα ΑΤΜ, ενώ οι πελάτες πρέπει να είναι εφοδιασμένοι με κάρτα πρόσβασης ή να κάνουν χρήση για την είσοδό τους ειδικού κουμπιού.” Μάλιστα, σύμφωνα με το Euro2day αν οι τράπεζες δε “συμμορφωθούν με την απόφαση και τα υποκαταστήματα τους θα ληστεύονται πάνω από τρεις φορές, θα τους επιβάλλεται πρόστιμο” (άραγε γιατί 3 και όχι ή 4;) ενώ “σε ακραίες περιπτώσεις θα διατάσσεται ακόμη και σφράγισμα του υποκαταστήματος.”

Σύμφωνα με την Espresso οι αποφάσεις αυτές συνέβαλαν “από κοινού πραγματογνώμονες της αστυνομίας και της Ενωσης Ελληνικών Τραπεζών” και στοχεύουν ουσιαστικά στην αποτροπή ληστειών. Σίγουρα κάποια μέτρα είναι προς τη σωστή κατεύθυνση ενώ για κάποια άλλα ίσως χρειαζόταν περισσότερη συζήτηση. Δυστυχώς, και παρόλη τη φαινομενικά καλή διάθεση, ο κρατικός μηχανισμός φαίνεται να καταφεύγει σε ορισμένες σπασμωδικές κινήσεις που από τη μια έχουν σημαντικό κόστος και απ’ την άλλη αμφίβολα αποτελέσματα ως προς την ασφάλεια. Όλα αυτά θυμίζουν σε μεγάλο βαθμό αυτό που ο Bruce Schneier ονομάζει security theater.

Continue reading ‘Μέτρα για την ασφάλεια των τραπεζών’