REKLAMA

Czy to lepiej, żeby wiadomości polityków czytał menedżer w Gmailu, niż Wąsik czy Kamiński?

Świat się chwieje
Data emisji:
2021-06-20 09:00
Prowadzący:
Czas trwania:
47:58 min.
Udostępnij:

"Najbezpieczniejsze jest wyjście z założenia, że nie ma prywatnych rzeczy w internecie. Prędzej czy później, wszystko może zostać upublicznione" mówi ekspert od cyberbezpieczeństwa o atakach, phishingu, niefrasobliwych politykach i najbezpieczniejszych skrzynkach mailowych"

AUTOMATYCZNA TRANSKRYPCJA PODCASTU

Transkrypcja podcastu
przeklęta niech będzie polaryzacja mamy proszę państwa kolejną sprawę, której kompletnie nie wiemy co myśleć, bo wpadła w tryby polaryzacyjne myślę my w mailach ministra Dworczyka wycieku 70 000 maili opozycja krzyczy, że chce odwołać rząd, że to jest po prostu gigantyczny skandal rząd nabrał wody w usta albo mówi o rozejm z rosyjskiej prowokacji generalnie kolejna sprawa, która oczywiście służy dokładania się pałą po łbach, a szkoda, bo cyberbezpieczeństwo to Rozwiń » jest coś bardzo bardzo ważnego na czym na takich błędach powinniśmy się uczyć, ale od oczywiście w atmosferze obustronnych wrzasków żadna nauka nie jest możliwa ciekawe czy maile ministra Dworczyka będą jak nagrania kelnerów Osowej przyjaciół na razie chyba nie, bo z tych maili raczej no poza wątkiem o ewentualnym Puszczę wojsk wojska na na kobiety co wydaje się jakąś totalną aberracją no to ten ten nasz Morawiecki w tej prywatnej korespondencji jawi się jednak jako jako osoba dosyć przytomna smacznie smaczne wątek proszę państwa jest taki, że w tej wyciągniętej my publikowane na rosyjskim telegramie korespondencji Morawieckiego Michała Kuczmierowskiego prezesa rządowej agencji rezerw strategicznych oni korespondował o respiratorach sytuacji w Niemczech, gdzie rzekomo nie ma respiratorów Kuczmierowski PiS-u do Morawieckiego my dzisiaj o tym mówił z Berlina Games, czyli korespondent TVP Info na co Morawiecki od podpisuje z uśmieszkiem poproszę o inne źródło przynajmniej wiemy, że władza ma przynajmniej Morawiecki we własną propagandę nie wierzy zawsze to jest coś pociągającego to jest audycja świat się wita państwa Grzegorz Sroczyński naszym gościem jest dziś Maciej Broniarz architekt bezpieczeństwa systemów informatycznych wykładowca w centrum nauk sądowych Uniwersytetu Warszawskiego witam pana dzień dobry pan od lat zajmuje się cyberbezpieczeństwem sobie pan zrobił, gdyby panu ukradziono 70 000 maili ze skrzynki pocztowej powiem tak jakby ktoś ukradł 70 000 maili trwa właśnie patrzy na mojego laptopa ma 11 907 nie przeczytamy maili, więc pewnie trochę zdjął mi problemu z głowy natomiast oraz poważnie problemem w przypadku ministra Dworczyka nie jest tak naprawdę ile tych maili problemem jest ich zawartość problemem jest przede wszystkim to, że taki fakt w ogóle miał miejsce, bo w przypadku korespondencji na jednej z najważniejszych osób w państwie, a w ciągu ostatniego 1,5 roku osoby, która wprowadzała szereg krytycznych procesów dla bezpieczeństwa obywateli to wyciek nawet kilkunastu czy kilku maili może potencjalnie mieć bardzo poważne konsekwencje i teraz zgadza się z tą opinią, że tutaj wszystko zsunęło się tak absurdalne tryby polaryzacji co ciekawe obie strony, komunikując ten temat pokazują, że za bardzo rozumieją, o co chodzi, bo rozliczając rozpiszemy to jakoś na jakieś rozsądniejsze zdania OKS pierwsza rzecz, która nie powinna w ogóle mieć miejsca to jest to, że urzędnik państwowy, zwłaszcza 8 takiego szczebla nie powinien prowadzić korespondencji na tematy służbowe prywatnego konta pocztowego po prostu to jest taka zasada tutaj w ogóle ani nie ma pola dyskusji druga sprawa jest taka że, ale i pożądane są słowa, bo pan, bo pan też współpracował przy różnych projektach z administracją publiczną czy oni to wiedzą to znaczy czy jest jasna wyłożona wbijano do głów zasada urzędnikom państwowym nie wolno wam korespondencji ministerstw wysyłać na maile prywatne czy niema takiej zasady taka zasada bij część urzędów w tym mieście zeznałem jest bardzo mocna jest mocno egzekwowane do tego stopnia, że cała korespondencja wychodząca także elektroniczna jest rejestrowana, bo tam biegnę jakieś terminy urzędowe to wszystko obejmuje Kappa, więc będziemy tutaj każdy urzędnik ma świadomość, że jednak wysyłanie na dokumentacji cieki pełnych informacji służbowych prywatnego maila to jest proszenie się kłopoty, a tutaj niemałe przychodni do czynienia z incydentalnym przypadkiem przesłań jakiegoś maila z prywatnej skrzynki tylko mamy korespondencję na bardzo poważne państwowe tematy najważniejsze są pańskie prowadzonych między wirtualną Polskę od e-mailem właśnie do jutra przepraszam proszę wyjaśnić, jaki jest powód żebrzących korespondencję prowadzi z poczty na wirtualnej Polsce znaczy no kurczę przecież może się zalogować na swoje służbowe konto stamtąd gdzie, gdzie jest tutaj ten przeskok, że coś takiego się dzieje w tym zakresie leczenia jest powód w przypadku pana ministra Dworczyka to niestety nie wiem natomiast mogę się domyślać zwykle, że to może być najlepszym razie lenistwo albo daleko idącą nonszalancję to znaczy po prostu ma konta skonfigurowane w telefonie mu się wygodnie z niego wysyłała bo, bo nie ma właśnie tam żadnych rozmów dawanych mechanizmów zabezpieczeń po prostu ma to koszty zawsze ze sobą, ale taki sam poziom funkcjonalności można uzyskać przy dużo lepiej zabezpieczone systemem pocztowym druga rzecz to jest dużo smutniejsza diagnoza, które ostatnio pojawiła w kilku komentarzach, że ta korespondencja pokazuje głęboki kryzys zaufania urzędników aparatu państwowego i to, że generalnie politycy w Polsce korzystają z prywatnych skrzynek pocztowych do korespondencji na służbowe tematy co dotyczy nie tylko KPRF dotyczy również polityków opozycji wynika z braku zaufania nawet w ramach własnej partii czy w ramach struktur rządu, którego częścią i to jest bardzo mający jednak, jeżeli nie ufamy aparatowi państwowemu, toteż de facto pozbawiamy aparat państwa możliwości ochrony korespondencji polityków przed właśnie takimi incydentami, czyli rozumiem, że oni wolą, żeby tę korespondencję czytała wizytę w cudzysłowie czyta wirtualna Polska albo trzymają, żeby czy to minister Kamiński, bo podejrzewają o to jak noce wysyłać ze służbowych czy sejmowych kąt tak jak opozycja będzie stał Kamiński z wąsikiem to już lepiej niech czyta jakiś jakiś menedżer w dużej w dużej prywatnej firmie, bo przynajmniej zrobić z tego użytku politycznego zmierza też tego typu sposób myślenia tak tak go rozumiem, że politycy akceptują także automat Gmaila będzie analizował raporty pod kątem marketingowym podrzucał reklamy dotyczące tak jak w wypadku korespondencji braku oleju w Orlenie na temat oleju napędowego nowym, bo rozumiem, że dokładnie taka logika zostaje chciałbym bardzo się mylić, ale podejrzewam, że niestety dokładnie tak jest co więcej to też pokazuje jak brak takiej elementarnej edukacji chodzi o napędzie elektrycznym, które politycy korzystają, bo są od lat mechanizmy, które pozwalają zmieniać się pocztą elektroniczną w sposób, który uniemożliwia np. administratorowi takiego serwera przeczytanie maili wynika można korzystać chociażby PGP, które funkcjonuje nawet bez żadnego problemu dziesiątek lat w obiegu technicznym na temat takich dziwnych przyczyn polscy politycy nie są z tego korzystać osoby te powieści prowadź, więc to jest pierwszy problem drugi proponować straże faktycznie nie ma takiego świadomości, że ta korespondencja ma znaczenie wyobraźmy sobie taką sytuację, kiedy np. na koncie, jakiego się czy teraz kończy polityka pojawia się informacja, że duża spółka giełdowa np. KGHM bankrutuje i złożył wniosek o upadłości teraz, zanim ten minister urzędnik dementuje, zanim tutaj formacja zostanie określona jest fałszywa to wahania na giełdzie mogą być całkiem poważni ludzie mogą stracić bardzo konkretne pieniądze, więc z sytuacją, w której ktoś przejmuje ktoś przejmuje konto Dworczyka i może, publikując taki sprytnie sformułowane trój Touch czy no właśnie Twitter wpis na Facebooku dotyczący Orlenu czy KGHM może może po prostu 10 minut zarobić parę milionów, a ktoś te parę milionów straci, ale to pewnie, że to jeszcze pół pół biedy, bo test taki oczywisty przekręt no tutaj mamy do czynienia jednak z czymś chyba groźniejszy, bo prawdopodobnie chodzi o takie stałe wyrzucanie kolejnych tematów do polskiej debaty publicznej no rząd na tym posiedzeniu tajnym ostrzegał, że te wrzutki będą trwały tygodnia może miesiące i że to będzie tak są uczone przez chyba przez Rosjan do do sieci kolejne wątki kolejnych mejli i na na sejmową mównicę wszedł też Jarosław Kaczyński powiedział, że Rosja Moskwa ma gotowy plan inwazji na Polskę ostatnie cyberataki mogą być tego dowodem co też nie żadnym odkryciem, bo wiadomo, że Rosja ma taki plan ataku na Polskę bo, bo jesteśmy członkiem NATO to jest dosyć normalne, że takie mapy wojenne istnieją zawsze istniały nie wiadomo, które z tych maili to są wojskowe, które są autentyczne, bo też rząd milczy na ten temat ja dla mnie jest jeszcze 1 jedno niejasnej chciałem pana do pytać, bo rozumiem, że niefrasobliwość Dworczyka to pana zdaniem jest niefrasobliwość to jest po prostu absolutnie gruby skandal jak pan to ocenił to korzystanie z prywatnej poczty czy, żeby nie przesadzać, ale też, żeby tego nie bagatelizować tak jak robi rząd może trzeba przesadzać w tej sprawie to, że Rosja ma plan inwazji na Polskę to wiemy te plany są liczone rok rośnie nam się ćwiczenia będą zdaje się do września, bo w październiku, a więc to nie jest zaskoczenie to zaskakujące jest to, że po raz pierwszy w dyskursie publicznym od 2015 roku pojawia się temat Ros, której w ogóle rozmawia o polityce zagranicznej Polski nie było natomiast opowiadane pana pytanie to nie jest w tym momencie kwestia to jest problem dobrego smaku to jest kwestia przesadzania czy nie są konkretne standardy jeśli urzędnik państwowy nie zachowuje to powinien po prostu rozstać się z urzędem, jeżeli mamy przepis, że nie wolno tak koledzy samochodem to nie znaczy, że nie można jeździć po 3 piwa po 4 to by już można albo odwrotnie łatwo tu mamy pewne standardy teraz ja nie wyobrażam sobie funkcjonowania w kraju, w którym ale komentarzem do takiego incydentu, które może być bardzo poważne konsekwencje dla całego społeczeństwa jest powiedzenie dobra dobra jak bili się nie stało poczytamy sobie te wiadomości przez pół roku mamy nadzieję, że nie może także oni jeszcze uściślając rozumiem, że z zalogowaniem się do poczty rządowej wymaga jakiegoś Niewiem hasła uwierzytelniające czy też dokładnie tak samo jak logowanie do tej wirtualnej Polski, że podaje login potem hasło się jest no bo nikt nie poza odetniemy na chwilę ten ten pomysł, że tam są te frakcje pisze, że oni dlatego korzystają z wirtualnej Polski nie chcą, żeby Kamiński z wąsikiem tego czytali jakaś tam frakcja inność zwalcza drugą, więc oni tworzą wolą korzystać z prywatnych kont co jest oczywiście prawdopodobne znając naszą politykę, ale czy logowanie się do tych sądowych kontra jakoś strasznie skomplikowane czy chodzi może, choć jakość wygodę to znaczy tak po pierwsze, Toni nie jest kwestia jak monolitycznego systemu nie ma czegoś takiego jak zweryfikowane konto rządowej administracji publicznej czy nie wie tak jakby czas różne serwery w różnych urzędach lub inny system Pocztowy ma Sejm w tym portowym kapelę tak dalej to co np. pojawia się ostatnio jakimś obiegu medialnym to jest informacja, że prawdopodobnie podkreślam prawdopodobnie serwery KPRM pocztowe było dłuższego czasu aktualizowane w szczególności podatności w oprogramowaniu o metr są w tekście, które było wykorzystywane prawdopodobnie zostały przez kogoś użyte do przełamania zabezpieczeń systemów prawdopodobnie niebawem dowiemy czy to jest prawda to jest tylko o jakieś przypuszczenia natomiast proszę pamiętać, że funkcjonujemy jednak rzeczywistości w tej polityce, zwłaszcza w ostatnich kilku latach pokazali, że mają olbrzymią moc sprawczą, żeby różne rzeczy załatwiać miasto jest także oni zostali zastany system informatyczny i muszą sobie z nim radzić, bo akurat taki jest to znaczy przez te lata można było ten system naprawić wielokrotnie i to są troszeczkę zaległości ostatni pewnie 2530 lat, jeżeli chodzi o lekceważeniu polityki dotyczącej bezpieczeństwa klimatycznego proszę zwrócić uwagę, że sejmowe komisje, które w tym, zajmując regularnie są po prostu oddawano opozycji, bo chcą komisji, które są bez znaczenia to też pokazuje, jaka jest ranga tego problemu wśród polityków i to nie tylko tych polityków rządzących obecnie też przy poprzednich elit jak popatrzymy np. jakich korespondują politycy Platformy Obywatelskiej to tam nawet takie konta funkcyjne Platformy bardzo często są kontami na Gmailu jedynie kontami w ramach usługi, ale można pod presją domenę tylko po prostu jest lepsza w tym upale co w tym no dobra, ale co w tym złego to znaczy, dlaczego ten w zimie, bo rozwiąże na Gmailu też mogę sobie ustawić jakiś system zabezpieczeń, że tam, żeby się zalogować Musze dostaje SMS-a z hasłem prawda jeszcze musi znać swoje hasło czy nie dzisiaj ma bardzo fajny mechanizmu uwiedzenia dwuskładnikowego można zrobić na kilka sposobów może być kod SMS kod aplikacja może być światowy taka podane do portu USB tutaj możliwości Google oferuje bardzo dużo i problemy, gdzie indziej no to jest na końcu to cechy komercyjna firma, która w ramach tej usługi mówi otwarcie wiadomości są analizowane pod kątem marketingowym i rozumiem, że dyskusja o pogodzie umawianie się na grilla doznają można sobie takiego konta toczyć, ale jeżeli urzędnik państwowy tak wysokiego szczebla prowadzi korespondencję na bardzo poważne tematy, korzystając z takiego konta u notariusza pytanie czy czy na pewno też najlepsza strategia czy może jednak powinniśmy trzymać się tego, że korespondencję na temat systemów czy orzeczeń, które dotyczą wszystkich Polaków są ważne z punktu widzenia bezpieczeństwa kraju to może powinni prowadzić systemów zarządzanych przez administrację publiczną, a nie zewnętrzną firmę decyzyjne tutaj mamy to pokazuje co jest też kolejnym poza polaryzacji jak Opole polaryzacją polskim przekleństwem to znaczy, że bardziej ufamy Facebookowi Google owi niż administracji Państwowej w skrócie znaczy to wiara Polaków, że prywatne firmy są wstanie mniej zepsuci mniej nam zrobić szkody niż administracja Państwowa jest jednak wysoka widać, że politycy uważają tak samo to znaczy, jeżeli polityk opozycji ma służbowe konto czy korzysta z konta radzimy jak ze służbowego otrzyma wnosi się, że każdy mail jest tam otwierany czytany w cudzysłowie oczywiście, bo to robią algorytm, ale w zasadzie jakby, jakby się uprzeć to to niekoniecznie algorytm czytać to ten poziom przecież dostępu do Gmaila mają też różne służby no kto trzyma w większe zaufanie do tego niż do poczty sejmowej, której nie korzysta, bo co, na który mamy właśnie problemu pokazuje bardzo prosty kryzys zaufania wobec państwa z 1 strony zachęcać obywateli, żeby robili wszystko przez internet, korzystając z systemu rządowych składamy PIT-y, podpisując je pułapem rejestrujemy się na szczepionki, korzystając z systemu administracji publicznej i to wszystko działa mamy tego zaufania z drugiej strony okazuje się, że jakby ci sami ludzie, którzy na tych zachęcają swoich sprawach korzystającego systemów zewnętrznych nie widzą w tym zdrożnego nie to też pokazuje, że nad nim na tutaj minister, kiedy po prostu rację i zasobów państwa jest problemem, którego nikt nie zrobiły co, więc jak się uznawane przez informatyka jednostkach administracji publicznej to oni mają świadomość problemów próbują adresować te sugerowane zawsze są pilniejsze rzeczy, bo zawsze pieniądze potrzebne na silnego i jesteśmy w permanentnym stanie wojny politycznej, więc takie systemy procesowe dlatego firmy interesują no tak tak znaczy coś co wymaga kilkuletnich inwestycji i ten cel będzie obecny za 5 lat nie będzie spektakularny stylu fontanna na środku prawda rynku czy podobne rzeczy przychodni, które uwielbiają nasi politycy również samorządowi no to rozumiem, że to jest ignorowane, bo potrzeba jeszcze ktoś inny mało efektowna poza tym ktoś inny jest na tym skorzystał ja rozumiem to to taki jest po prostu niestety natomiast cały czas nie rozumiem tej dezynwoltury nie tylko Dworczyka no bo jeżeli Morawiecki i wszyscy, którzy tam uczestniczą w tej korespondencji przesyłają sobie te maile, chociaż jeden z nich ma rozwinięcie zimy albo wirtualna Polska to oni wszyscy wiedzą, że te adresy mailowe są w prywatnych firmach, które mają różny poziom ochrony którym, które mogą mieć różne interesy, żeby przeczytać korespondencję premiera, jeżeli wiedzą, że to jest korespondencja premiera to jest hit dnia Stafford Quest dziwne właśnie skandali myślę też po prostu kwestia braku świadomości, jakie mogą być konsekwencje rozmawiałem jakiś czas temu jednym z polityków, które pytał czy uda się wyłączyć w telefonie dwuskładnikowe uwierzytelnianie bądź współdzielić konto ze swoim asystentem i raz na jakiś czas przychodzi mu powiadomienie, że asystenci loguje muszą wysłać biszkopty bardzo uciążliwe ja to znaczy że mnie by mechanizm profesor właśnie potrzeby używała potrzeby wyłączały pokazałem, że np. mając dostęp do jego konta na naradzie u można ustalić jego położenie jak bardzo zdziwiony, gdyby telefon tak jeszcze tej stronie tego świadomości, bo w takim przeświadczeniu, że hasło to jest coś się bez żadnego problemu można dzielić z innymi ludźmi i wygłoszenie dzieje na potem rachunek czasami się takie przygody, że któryś z polityków pisze, że właśnie jego konto zostało mu wzbogacono treści, które on autoryzował zrobił to system, który właśnie polityka prostą czy jakoś dziwnie się nigdy o postawieniu zarzutów takiemu asystentowi tylko to zaszczyt na system znika natychmiast węgle i nigdy więcej się nie pojawia no dobrze, a 3 pan kiedykolwiek nabrał na phishing nie chyba się nie zdarzyło jak tak patrzę natomiast rzeczywiście widzimy problem ten bierze się robi coraz lepszy jak czasami prowadzę szkolenia dla różnych firm na temat właśnie w świadomości bezpieczeństwa IT to widzę taki paradoksalny mechanizm, że jak pokazujemy różne przykłady wysięgu ludzie kiwają głowami rozumieją to tak jak np. po 34 tygodniach robimy też, wysyłając taki kontrolowany jeśli do nich co skoro Legia nabiera i co więcej na takim spotkaniu podsumowującym jak pokazujemy ten film, który celowo nazwaliśmy go o tak tak jak ja takie dostałem leki, bo myślałem, że to jest okej, więc to jest pewien problem, żeby na poziomie deklaracji wszyscy mówimy że, że bezpieczny tematycznej ważnej zwracamy na to uwagę potem przychodzi do konkretów to pokazuje, że do końca to jest dokładnie tak jak z wprowadzeniem patrolu wszyscy mówią, że to jest jak czegoś nie robi, ale zawsze są związani, a ten skuteczny phishingu rozumiem, że prawdopodobnie to hasło ministra Dworczyka zostało jako żywych, bo w ten sposób przejęte to znaczy, że on albo jego żona dostali maila z jakim załącznikiem, który klik, czyli ufając, że będą tam poproszono ich podanie hasła i tyle czy czy w ten sposób czy to jakoś inaczej się stało, że pan czy aby nie wiem jak dodał ten przypadek odnośnie tego konkretnego wyciekło natomiast tak księgowy sprowadza się do tego dostajemy link, który zachęca do zalogowania się, bo coś ponad rok mamy tam dokument do pobrania albo np. też wysłał do nas jakieś pliki przez jakąś usługę chmurowego udostępnienia danych i żeby te pliki świetnie musimy się ponownie zalogować autoryzować i znajduje się już na to nabierają podają te te hasła i nawet bardzo często nie mają świadomości tego, że do czasu gdzieś wyciekło podali na stronie, która absolutnie żadnego związku z tym co Czarni Radom zawodowo tylko po prostu machinalnie prowadzi tam hasło i tyle po jakimś czasie orientują, że ktoś ma dostęp do poczty na przypadek traktuje codziennie wszystkim maila, ale przecież, jeżeli ja klikam w taki link ode mnie wymaga hasła ja myślę, że to jest tam ktoś coś wyszło to dalej to nie poprowadzi, bo tam dalej nic nie będzie prawda po wpisaniu tego hasła tak, ale bardzo często te księgi kończą się komunikatem np. że jest błąd Kliknij, żeby naprawdę aport albo cokolwiek innego prawdę tak jak nie wiemy takie oczywistości ludzie masowo udostępniają sobie pliki i trzeba naprawdę być czujnym, żeby uniknąć przez przypadek coś co wygląda dziwnie więcej rano od jednego z moich klientów dostałem maila z pytaniem, że to jest mer, który wygląda na to by normalną dokumentację, którą z reguły dostaje taką się nie podoba adresu, które faktycznie był to wisi nad miastem jeśli są bardzo często Target dawane i są, jakby dopasowywane do osoby, których są w stanie pozyskać jest już nie są takie proste naiwna takie pt. tym kliknąć tutaj, żeby dostać Góra złota tylko to są bardzo często ataki, gdzie cała strona jest podrobiona wnioskowane mechanizm graficzne, gdzie jest te bardzo podobna domena, gdzie estetyka szyfrujących to wszystko wygląda bardzo bardzo wiarygodnie i czasu nie mamy świadomości właśnie skompromitowaliśmy się hasłem podaliśmy w miejscu powinniśmy tego zrobić rozumiem, że taki Target Giovanni phishing skierowane do nie rozsyłane łańcuszek typu strona wyglądająca jak strona nie wiem i Pekao albo banku to oba banki 5× dziennie klientów informują, żeby nic nie klikać no i czasami ludzie klikają, ale również gitar gotowany współczesny phishing polega na tym, że np. ja dostaję po tej audycji albo nie wiem system wie, że Jaś zaczyna Fish sięgający wie, że po Morawieckim przyjaźni z Dworczykiem czy trudno tego nie wiedzieć i wysyła do Jasińskiego maila w imieniu i Rekowskiego, którego z nas informacją Zobacz, jakie fajne zdjęcia z ostatnich wakacji nasze wspólne i tam jest dalej ta tendencja się tak to takie rzeczy co znaczy, że ktoś chciałby mnie takim atakiem phishingowym począł stawać wystarczy po naszej rozmowie za godzinę 2 czy jutro wysłać maila Szanowny panie tu jest do nagrania przed autoryzacją o ja jest tak też bardzo często mechanizm w czasie bardzo często zdarza w firmach np. pod koniec miesiąca przychodzi mail mówiące prośby autoryzowani jeszcze 1 faktury zapomniał dopisać jest bardzo pilna i potem właśnie okazuje się księgować taką fakturę płaci jak film odkrywa że, że wypuściła z konta kilkadziesiąt tysięcy euro bez bez autoryzacji na konta w Rabsztynie powiązane z VAT, ale pan robi, żeby wiedzieć, że to nie jest do pana wysłanego maila rozwiąże w tytule maila i w adresie mejlowym widnieje Grzegorz Sroczyński tak natomiast poczta elektroniczna sama siebie ma całkiem sporo mechanizmów, które pozwalają weryfikowała dodatkowo Platforma pocztowe czy to był dla Microsoftu czy buty większość wiodących dostawców poczty ma mechanizmy, które pokazują, że ta wiadomość została wysłana Łódź serwera, który jest wpisany na listę zaufanych serwerów w domenie np. Agora PL i więcej tutaj jest ile takich przypadków, które można sprawdzić i pojawia się czerwona flaga mówiąc ta wiadomość podejrzana no plus plus taka zdroworozsądkowa analiza, jeżeli w czasie rozmowy nie mówimy, że pan też wyśle i nagle się pana dostaną się zastanowi czy czasami jest także przychodzi taka wiadomość nie wiemy co zrobić wtedy zawsze bezpiecznie otworzyć sobie np. w jakim się, bo sam, bo samym mechanizmie czy np. w przeglądarce w trybie prywatnym, jeżeli mamy żadnego innego mechanizmu natomiast pod żadnym pozorem nie można się tam logować dostaniemy informację, żeby coś ze świętych to musi podać login hasło i nagle pasku adresu pojawi się, kiedy spór raczej nie jest adresem Google czy Microsoftu to możemy śmiało takiego maila po prostu nie odpisywać skasować zapomnieć na sprawa jest ważna to do bogactwa czy pan zadzwonić napisze zamykamy prostujemy natomiast bardzo często te 10 opierał się właśnie takiej świadomości i po prostu chęci kliknięcia zamknięcie tematu niedługo się już osiągniemy ten pułap szaleństwa tych nasilających się w wyłudzania od nas wszystkiego co się zdarza właśnie przed każdym z tworzeniem otwarcie maila będziemy do siebie dzwonić też z Wilna czy, ale nawet chciałem od pana zapytać to znaczy, gdzie położyć, gdzie pan swoim prywatnym korzystaniu służbowych też z komputera komórki, gdzie pan sobie stawia granicę wariactwa takiego już przesady, bo no niektórzy ludzie uważają rzeczywiście są nieustannie taka grupa ludzi, którzy uważają są nieustannie podsłuchiwani i cała ich pocztą jest czytana itd. czasami na to to lekceważono trudno wiadomo, że tak jest czasami podejmują rozmaite niezwykle skomplikowana kroki, żeby szyfrować swoje połączenia itd. akcie stawiać granice stawiać jakieś rozsądne granice w tym poczuciu anonimowości bezpieczeństwa pana zdaniem ukazać najbezpieczniejsze jest bliższy założenia, że nie ma prywatności w internecie wszystko co publikujemy w sieci prawdopodobnie może zostać upubliczniona, więc to jest takie jak teraz to za 30 lat, bo jakaś firma zbankrutuje znacznie zacznie lekceważyć procedury i w akurat maile skonta jej wyciekną co jak np. tak albo np. laptop, na którym już jakieś dane zostanie gdzieś wyrzucony zestawiony sprzedano już niema tych danych co się tworzy na wieś każdy sobie z archiwum naszych zdjęć i teraz są sprawy tylko bardziej złożona to znaczy, że musimy koszty internetu większość procesu, zwłaszcza przez ostatnie 1,5 o naszym życiu toczy się elektronicznie natomiast się także do Platformy wtedy też rozwijają to znaczy ja korzystam zarówno z usług leki na kresach trochę podaży Miedź stale oglądać na danym momencie funkcjonują już mają nawet bardzo fajny mądry mechanizmy bezpieczeństwa korzystają też trochę efekt skali to znaczy, jeżeli np. Google widzi takiego 1 konta wychodzi my, które prawdopodobnie przez tego będzie oznaczony czas poznać jako phishing to już byli w stanie kolejnych wyborów tego maila tym poinformować tego systemu też uczą dodatkowo jest kilka mechanizmów w konfiguracji samego serwera pocztowego, które podnoszą znacząco szanse na to, że nikt nie przeczyta wiadomości były sfałszowane jako naszą weźmy poprawkę na to, że mogę wtedy napisać dzisiaj pismo do kogokolwiek podpisał po 1000 danymi pana redaktora i wysłać jak nie ma żadnego mechanizmu, który przedtem zabroni taki mechanizm jest budowana ani kartkę papieru ani poparte natomiast na końcu ktoś do tego zdroworozsądkowo podejdzie w razie czego nowy zadzwoni weryfikuje zapyta w przypadku poczty elektronicznej paradoksem jest właśnie tam sporo takich mechanizmów automatycznej weryfikacji jest budowanych tylko ludzie po prostu te mechanizmy lekceważą, bo traktują je jako przeszkodę w funkcjonowaniu jako coś co podnosi bezpieczeństwo, gdybym przyszedł do pana ze swoim laptopem i powiedział, że rzecz, że nie chciałbym, żeby stało się to co miesiąc co spotkało Dworczyka to gdzie pan zajrzał do tych w tym laptopie, jakie ustawienia co by pan poprzestawiać zaczął od tego, żeby się pewnie, że ma tam zainstalowane wszystkie aktualizacje i to zarówno do systemu Operacyjnego i identyfikacji tych korzysta by włączył automatyczne aktualizowanie tych wszystkich aplikacja na bieżąco gigantyczną plagą ludzi wśród korzystających narzędzie jest wyłączanie automatycznej aktualizacji, bo one są uciążliwe ja czasami spotykam się trudnych warunkach pokazują, że nie komentuje się tylko na sygnały w tym wysyłają tylko splotem maila i ten telefon, na którym pokazują się także powiadomienie właśnie aktualizowany Androida od 18 miesięcy, a więc to jest pierwsza aktualizacja naprawdę trzeba wgrywać na bieżąco, dlatego że producenci często też nie chwalą się w nagłówku aktualizacji żona adresuje bardzo poważne błędy czy zagrożenia tylko często piszą jakieś ogólniki, żeby ludzie nie stosować się spieszyć druga jest taka, że u na wypadek, gdyby ktoś pana fizycznie tego sprzętu pozbawił dobrze łączy w sobie szyfrowanie dysku także ktoś panu ukradli laptopa faktycznie będzie miał laptopa natomiast dostanie się do pana danych wszystkie współczesne komputery wszystkie systemy operacyjne mają wbudowane mechanizmy szyfrowania danych takie, które nie wpływają znacząco na wydane tylko te, a idąc dalej w przypadku usług, których pan korzysta by pan te usługi chmurowe na pewno jakieś warto sprawdzić czy jest włączone dwuskładnikowe uwierzytelnianie i to w zależności od tego jaki model pan korzysta może być właśnie sprzętowy token czy taki breloczek wpisany do portu USB to może być aplikacja w telefonie, która weryfikuje dane logowania czy w ostateczności kod SMS cokolwiek chce by uchronić sułtana przed wyciekiem samego hasła uniemożliwiających interesowi zalogowania się do systemu tylko dlatego to znaczy ja mam ja mam także jak się jak się loguje to Musze to dostaję SMS-a musza musiał go wpisać wpisać kod poza hasła z, czyli rozumiem, że mam od utartego kanonu uszczelnianie jedna z opcji by ona nie jest najlepsza natomiast jest jak najbardziej oka na poprawę zaufania niż natomiast ostatnia rzecz, którą warto sobie wdrożyć to jest menedżer haseł i też nad kasą, który zapisuje wszystkie pana hasła w jakimś bezpiecznym zaszyfrowany pliku co więcej on doradza, tworząc nowe konta Zośka nie używał pan tego samego hasła do wszystkich swoich kont to czasami sprawdza jak do sklepu morele net włamali się ludzie wyciekła baza użytkowników nagle okazało się hasło dośrodkować to głównym problemem było też ludzie używali tych haseł mających e-maili hasło można było zalogować się do jego skrzynki albo np. do jego konta na Facebooku robi się problem, bo wyciek ze sklepu internetowego pokazał, że ludzie tracili kontrolę nad łóżkami zupełnie różnych miejscach być może tak samo było w przypadku ministra Dworczyka i my, że to hasłom miał wspólne z żoną, ale tego nie wiemy oczywiście są spekulacje na minister Dworczyk na razie nabrał wody w usta no wszystko to nie jest jakoś inni pan ja też byłyby strofy, wcielając się rola adwokata diabła jak bardzo daleki od wybielania panu z partii rządzącej natomiast mam nadzieję, że nie funkcjonujemy w państwie, w którym odpowiedzialność za bezpieczeństwo konta pocztowego szefa kancelarii premiera ponoszę sam ja rozumiem, że tam jest zespół, który się tym zajmuje ten zespół ewidentnie tym razem nie ogarną temat, więc rząd informowany powinniśmy o tym temacie rozmawia informował zespół, że no oczywiście oczywiście korzystam z konta prawda w KPRM służbowego jako dysponujemy to te miały rzeczywiście pewna część korespondencji Panie Premierze to załącznik do załącznika do pisma numer x łamane przez grę do ustawy itd. prawda to jest natomiast jak chcą pogadać o tym czy jak zarządzać pandemią jest za dużo o tym pisze Morawiecki za dużo trupów nie róbmy teraz żadnych luzowań ktoś odpisuje na słuchaj, ale to jest wbrew opinii publicznej, a Mazowiecki odpisy trudno wiem, że to jest wbrew opinii publicznej nie możemy ryzykować akurat świadczenie dobrze to oni sobie takie rzeczy rozumiem wolą pisać na tych prywatnych kontach, a nie na kontach KPRM no i no tak można można zrobić to także korespondencja między 2 dowolnymi nośnikami państwowymi była do przeczytania tylko przez nich nie przez dodatkowo jeszcze, aby straty do serwera jako potencjalnie osobę, która łamie i nie przekaże swoje uprawnienia przykład będąc funkcjonariuszem dziecinne błędy chodzi o to, że bez względu jak na opcję polityczną na końcu konsekwencji błędów urzędników ponosimy wszyscy i teraz przenoszą znacznie na rynek korporacyjnymi zdarzało wielokrotnie w życiu prowadzić indywidualne szkolenia 11 za ludzi, którzy są prezesami dyrektorami w spółkach generalnie stop 10 polskiego biznesu i oni się nie chwali ten, kto przychodzi szkolić się tłumaczyć natomiast oni sami takie poczucie, że muszą zadbać o bezpieczeństwo swoje firmy dotacja z bezpieczeństwem i biznesu i mam wrażenie, że takiej refleksji jestem po stronie sektora publicznego zabrakło i wchodzenie teraz taką dyskusję na temat właśnie z 1 strony mówienie, że Rosja zaraz zaatakuje, a z drugiej strony opowiadanie, że w sumie nic się nie stało i w sumie machnie ręką to pokazuje system działa natomiast wczoraj pojawił się rekomendacje, które są takimi rekomendacjami sery to trzeba było zrobić ani wierzę, że część polityków, która miała problem zagłosowania przez internet teraz drąży sobie menadżer Hasa natomiast pamiętam jak dekadę temu przy okazji Acta ataków widoczne wraz z rządową ówczesny minister cyfryzacji 5 Michał Boni popełnił też takie rekomendacje, z których wynikało jednoznacznie, że wszyscy za resort cyfryzacji nie ma zielonego pojęcia na temat bezpieczeństwa IT jest bardzo przykro, że przez dekady nie zmieniło 3 jest w ogóle możliwe, żeby tak ustawił sobie komputer czy telefon, żeby mieć pewność, że mojego listu do pana czy też Pańskiego do mnie nikt nigdy nie przeczyta to żadne służby żaden Mossad prawda tutaj prawda osad żaden Kamiński z wąsikiem już schodząc na nieco niższy poziom żadne i nawet Amerykanie to znaczy tak, jeżeli będzie miał pan dobrze skonfigurowane logowanie do serwera pocztowego prostaczka kliencie pocztowym obaj będziemy mieli wdrożone PGP plus spotkamy się na żywo i bezpieczny sposób wymienimy naszymi kluczami to tak jakby ta poczta jest poufna i jakby jedyne ryzyko jest takie, że gdzieś tam kiedyś moc obliczeniowa komputerów będzie na tyle duża takie jak podał się złamać, ale zakładam, że za kilkadziesiąt kilkaset lat szczepienie będzie nasz problem natomiast w mojej perspektywy głównym problemem są politycy zaczną zakładać czy możliwe i wszystkie mechanizmy bezpieczeństwa są przerzucane na później albo wprost likwidowane, bo są ważniejsze rzeczy problemy takie, że nie, żeby nie są rzeczy, które należy lekceważyć, choć też potrwać bardzo poważnie, bo będę powtarzał do znudzenia za błędy w zarządzaniu bezpieczeństwem formacji popełniane przez polityków konsekwencje poniesiemy wszyscy, więc to powinna być zupełnie inaczej realizowany moim zdaniem byłoby idealnie, gdybyśmy umieli wyjąć to, z czym jest kontekst bieżącej wojny politycznej, bo to jest trochę zbyt poważny temat, żeby także w polityce, bo akurat teraz ta partia bije się stanu w ostatni przykład phishingu rzecznik PiS-u pokazał zrzut ekranu, na którym widać wiadomość zatytułowaną powiadomienie o zagrożeniu uzyskaniem nieautoryzowanego dostępu do osobistych kont użytkowników i treści wiadomości zalecono zmianę hasła za pomocą specjalnego formularza ustawienia zostaną zastosowane po sprawdzeniu wprowadzonych danych w przeciwnym razie twoje konto zostanie aktywowane to dostali takiego maila niektórzy posłowie i na na koniec jest podpis bardzo dziękuję za zrozumienie administrator Sejmu RP no i jedyna rzecz to adres, który brzmieć tego maila, skąd przyszła poczta małpa sej kropkę PL zamiast Sejm, więc w zasadzie już nowy phishing do posłów został skierowany, który opiera na tym co się właśnie wydarzyło, czyli że jest w tym roku konto Dworczyka to sprytne haker wysłał im wszystkim informacje, że uważajcie na konta prawda najlepiej zmieńcie hasła tutaj proszę link zmieńcie hasła pod tym linkiem czy rzeczywiście można powiedzieć, że no jakość tej obsługi hakerskich, że tak powiem stale rośnie, a myśli pan się pos niektórzy posłowie na to nabiorą czy 3 czy raczej to jest taki, w którym na czym mam niestety podejrzenie, że to jest także mogą nabrać mam nadzieję, że nie, ale o tym wielokrotnie był weryfikowany tak marginesie to troszeczkę gdzieś tam media źle używają terminu Aten, bo to nie jest jakaś to są normalni cyber przestępca c i jednak takim czymś zupełnie innym mniejszym od karnych radzenie komuś danych czy włamywanie się do systemów informatycznych natomiast tak to jest doskonały przykład tego, że ktoś monitoruje na bieżąco sytuację w Polsce, ponieważ zobaczył, że atmosfera w tym temacie skłaniająca do zrobienia takiego ataku to ten atak został przeprowadzony moim zdaniem to nie jest jedyny taki atak, który będzie ten został nagłośniony fajnie może by ludzie się kulturą i jakoś nie dadzą się tym razem wraz z miast mogą być takie targi towary konkretnej osoby gdzie, kiedy po prostu oddadzą skompromitować swoje to hasło czy czy jedynie dane dostępowe i tutaj właśnie są potrzebne do systemu chociażby dwuskładnikowego uzupełniania, które spowodują, że nawet w przypadku wycieku hasła nie da się bez tego drugiego czynnika drukującego zalogować do systemu informatycznego, więc moim zdaniem to powinien być standard czy ewentualnie wtedy ewentualnie wtedy ten wyciek hasła służy do tego, żeby przeszukać takiego pacjenta czy innych wszystkich innych serwisach nie ma konta czy się otwiera czasem natomiast jakieś inne konto gdzieś tam jakieś jego dane można wyciągnąć, jeżeli to jest akurat atak nie wiem na Dworczyka albo kogoś konkretnego kogo chcemy z jakich danych obrabować na koniec chcę trochę zmienić temat zapytać pana o to co robić z tym nieszczęsnym gafa Google Amazon Facebook apel gigant za dużo, żeby upaść, ale też za dużo, żeby regulować i niepłacące notorycznie podatków co roku dostajemy w prezencie od różnych instytucji zestaw danych pokazujących, że to 1 to drugi w wielkiej Brytanii czy gdzieś tam zapłacili po parę tysięcy funtów podatku przy miliardowych obrotach, ale nie chcę, żebyśmy dyskutowali teraz o podatkach, bo wiadomo, że ba 1 i inni przywódcy G7 coś próbują z tym zrobić natomiast chcę pana zapytać o pana stosunek do gafy i oto co pana zdaniem należałoby zrobić monopol ani cyfrowym poza opodatkowaniem w opodatkowaniu nie pamiętam 4 lata temu taki esej na temat ich klientki przed podziałem tamten był podnoszony argument, że firmy zadłuża, żeby ją podzielić i to wpłynie negatywnie na cyfryzację Ameryki podzielonej klientki Ameryka jest Super cyfrowa na świadczenie skończył, więc wszystkie alarmistyczne takie teorie podnoszone przez bubla czy Facebooka mówiące właśnie należy regulować też zaszkodzić społeczeństwo można moim zdaniem między bajki włożyć natomiast, toteż w przypadku 4 firm się zmienia to znaczy np. EPL, gdzie zobaczyło chyba nie biznesową jak bardzo jasno komunikować o nich troszczą oddam to oczywiście jest taka prawda, bo apel, mówiąc że zamyka dane użytkowników w swoim systemie cały czas dane kontroluje natomiast w Katarze pokazuje, jakie mechanizmy tunelowania ruchu ukrywania wystąpi inni przed jakimi systemami parkingowymi w mediach to jest krok dobrą stronę istnieje ryzyko tak lekko się budzimy w takich 4 osobnych silosach gdzie by system informatyczny Apple będzie przygotuję niekompatybilne z castingu dla mam takie będzie ryzyko natomiast moim zdaniem rady było krokiem dobrą stronę teraz trzeba i za czasem to znaczy trzeba edukować też ludzi, że te dane to jest coś co oni oddają tej firmy i że te usługi nie są za darmo tylko one są bardzo dużą stawkę poznać naszych prywatnych danych, więc będą też wzrost nawet staje sobie z tego sprawę to jest naprawdę nic nie mogę zrobić to znaczy w zderzeniu z goglami czy którekolwiek z tych firm w momencie jak nie wiem muszę prowadzić zajęcia zdalne w końcu musi kliknąć te wszystkie zgody, bo po prostu wszyscy korzystają z takiego unijnego programowania nie mogę korzystać sam napisać program NIK-u prawda wesołego jak pomiędzy by nie umiał to samodzielnie go napisać z niego tylko korzystać muszą korzystać z tych korporacji w końcu musi kliknąć wszystkie zgody, a wiadomo przecież 100 stron nie będzie nikt czytał no ja na pewno nie będę czytał co stron co tam podpisuje po prostu klika co do RODO też mam pewne wątpliwości, bo ja też uważam, że tak jak pan zresztą pan się na ten temat wypowiadać się słuszna idea Waltera jak na każdą infolinie zwolniony zwolnień muszą wysłać 30 sekund ględzenie o tym, że jest RODO i że gdzieś tam coś tam tak dalej to oczywiście jestem wkurzony, więc implementacja tego RODO to nie jest najszczęśliwszym na co wydają się czasem jest to robione tak, żeby skompromitować skompromitować ideę ochrony danych osobowych ani zbyt ludzie rozumieli, o co chodzi, ale wydaje się, że tak czy siak ja w zderzeniu z nawet mając pełną świadomość tego co pan mówi ja w zderzeniu z tym całym systemem nie mam szans to jest także informatyka mimo wszystko jest sinusoidalny to znaczy mamy teraz taki moment, że ten wielkiej korporacji, które budują takie gigantycznego systemu wymiany danych mają przewagę nad miasto się w pewnym momencie zmieni dużo zależy od polityków terenów dla o wiele bardziej wolał oglądać pana premiera Morawieckiego, który nie cieszy się, że tworzona w Polsce region Google cloud błędy trafi dla Polski z tego żaden mówiąc otwarcie natomiast właśnie mówimy także były w tym roku zapłaciło tyle podatków w ogóle mamy taki mechanizm kontroli danych Polaków, które u, którego przetwarza jak politycy akceptowali reguły publikuje dane na temat tego, gdzie Polacy poruszają lekarz mobilność Polaków w trakcie covidu, bo to niektórzy zdawali pytania halo ale dlaczego kilka dane przetwarza taki sposób i tak na to pozwolił to się zmieni też pewne czy do władzy do dziś, o czym pokolenie polityków, które będzie na to inaczej pasie, bo po prostu postrzeganie społecznie zmień natomiast cały czas są też takie ruchy dziecka w kontekście systemów tele konferencyjnego ktoś stwierdził, że może jednak nie warto wszystkiego składać z 1 koszyka i mieć gigantycznego molocha w postaci 100% danych dane Google owi tylko np. do telekonferencji używajmy sobie chociażby WebEx czy procesowego edycji dywersyfikując je, rozkładając dane pomiędzy różnych operatorów to się będzie zmieniać również proces, ale też o tym rozmawiamy teraz ta świadomość przychodzi do mnie Streamu powoduje za kilka lat zupełnie inaczej będziemy do tego pochodzić fani bo gdyby się od razu udawało się być uporządkowany sposób, ale wiadomo, że nie wszystko da się zrobić idealnie natomiast po podejrzewamy, że czasem ten temat uporządkuje będziemy też dosyć mocno byli w stanie egzekwować od korporacji, gdy dostęp do naszych danych kontrolować to one mają oczywiście pod warunkiem wsparcia ze strony rządowej, a nie takiego radosnego przyjmowania, a priori każdego pomysłu duże korporacje to się wizerunkowo wojnę sprzedaje, czyli jednak trzeba po prostu zarządzić, a nie czekać aż się sam rynek reguluje bardzo Niemcy, którzy tak także tutaj czasami dni Polska ma taką specyfikę co pan powiedział na temat RODO czasami takiego naprawdę przenoszenia go do absurdu w kontekście 30 sekund powiadomień na infolinii jak Niemcy nie mają tego problemu Niemcy, którzy mają dużo bardziej restrykcyjne przepisy ochrony danych osobowych nie my nie zrobili Rado karykatury tylko tam całkiem sprawnie funkcjonuje, więc nie da się tylko trzeba do tego podejść środka inaczej, dlaczego myśmy zrobili karykaturę jak pan sądzi krótko z mojego doświadczenia ostatnie 2 lata, bo nikt nie rozumiał w tym roku chodzi wszyscy się boją no dobrze po prostu na tym zawieszamy naszą rozmowę przynajmniej dzisiaj bardzo dziękuję naszym gościem dziękuję bardzo, Maciej Broniarz architekt bezpieczeństwa systemów informatycznych wykładowca centrum nauk sądowych Uniwersytetu Warszawskiego bardzo panu dziękuję, a audycję świat się chwieje przygotowali Anna Piekutowska Grzegorz Sroczyński teraz informacje Radia TOK FM, a po nich goście Passenta do usłyszenia Zwiń «

PODCASTY AUDYCJI: ŚWIAT SIĘ CHWIEJE

Więcej podcastów tej audycji

REKLAMA

POPULARNE

REKLAMA

DOSTĘP PREMIUM

Podcasty TOK FM oraz internetowe radio TOK+Muzyka teraz 40% taniej. Wybierz pakiet Standardowy i słuchaj gdziekolwiek jesteś

KUP TERAZ

SERWIS INFORMACYJNY

REKLAMA
REKLAMA
REKLAMA