trendy w zagrożeniach

Relacja z CONFidence 2018

W kwiet­niu po raz dru­gi zapra­sza­łem czy­tel­ni­ków blo­ga do udzia­łu w kon­fe­ren­cji CON­Fi­den­ce. I tak jak wspo­mi­na­łem, tym razem nie mogłem się tam wybrać oso­bi­ście – do Kra­ko­wa wybra­ła się Pau­li­na, z któ­rą od bli­sko roku współ­pra­cu­ję świad­cząc usłu­gi praw­ne. Dzi­siaj czy­tel­ni­ków blo­ga zapra­sza­my na rela­cję z wyda­rze­nia. Znaj­du­je się ona poni­żej, a jej autor­ką jest wspo­mnia­na Paulina 🙂

czy­taj dalej »

CONFidence 2018

Być może pamię­ta­cie, dwa lata temu mia­łem oka­zję być na CON­Fi­den­ce. To chy­ba naj­star­sza impre­za bran­ży cyber­sec w Pol­sce. Bra­łem w wyda­rze­niu udział w zamierz­chłych cza­sach, gdy byłem jesz­cze stu­den­tem, potem była wspo­mi­na­na edy­cja 2016 – obie dobrze wspo­mi­nam (tutaj jest rela­cja z CON­Fi­den­ce 2016). W 2018 r. oczy­wi­ście CON­Fi­den­ce obę­dzie się ponow­nie, tak­że w Kra­ko­wie – tym razem w Muzeum Lot­nic­twa … czy­taj dalej »

Moje wrażenia z CONFidence 2016

Tro­chę mnie nie było na blo­gu. Ale to nie ozna­cza, że nie­wie­le się dzia­ło! Dzi­siaj chciał­bym cof­nąć się na chwil­kę do maja i napi­sać jakie są moje wra­że­nia po CON­Fi­den­ce 2016 – mię­dzy­na­ro­do­wej kon­fe­ren­cji poświę­co­nej tema­ty­ce IT. Wybra­łem się do Kra­ko­wa na dwa dni, wio­ząc ze sobą cał­kiem spo­re ocze­ki­wa­nia i… nie zawio­dłem się.

czy­taj dalej »

Ataki Sieciowe 2016

Miło mi poin­for­mo­wać Czy­tel­ni­ków, iż pro­wa­dzo­ny prze­ze mnie blog objął patro­na­tem kon­fe­ren­cję Ata­ki Sie­cio­we 2016, któ­ra odbę­dzie się 5 i 6 kwiet­nia 2016 r. na Wydzia­le Pra­wa i Admi­ni­stra­cji Uni­wer­sy­te­tu Miko­ła­ja Koper­ni­ka w Toru­niu. O czym będzie kon­fe­ren­cja? Do kogo będzie adresowana?

czy­taj dalej »

Kradzież tożsamości – relacja z międzynarodowej konferencji w Gdańsku

W przed­ostat­ni pią­tek mia­łem przy­jem­ność wziąć udział w mię­dzy­na­ro­do­wej kon­fe­ren­cji doty­czą­cej wła­sno­ści inte­lek­tu­al­nej i pra­wa nowo­cze­snych tech­no­lo­gii zaty­tu­ło­wa­nej Value of infor­ma­tion: intel­lec­tu­al pro­per­ty, pri­va­cy and big data w Gdań­sku. Rzad­ko piszę tutaj o wyda­rze­niach, w któ­rych bio­rę udział, ale aku­rat ta kon­fe­ren­cja doty­czą­ca ochro­ny danych oso­bo­wych i pra­wa nowo­cze­snych tech­no­lo­gii było jed­ną z cie­kaw­szych w cią­gu kil­ku ostat­nich lat. Roz­mach wyda­rze­nia jak i lista zapro­szo­nych gości była napraw­dę impo­nu­ją­ca, a co cie­szy mnie szcze­gól­nie – mia­łem moż­li­wość posłu­cha­nia zagra­nicz­nych naukow­ców, któ­rzy są nie­mal­że egzo­ty­ką pod­czas pol­skich kon­fe­ren­cji praw­ni­czych doty­czą­cych tej tema­ty­ki. Nie spo­sób napi­sać tutaj o wszyst­kich poru­sza­nych w Gdań­sku tema­tach. Oma­wia­ne zagad­nie­nia sku­pia­ły się wokół wła­sno­ści inte­lek­tu­al­nej, ochro­ny pry­wat­no­ści (w tym danych oso­bo­wych) i wią­żą­cym się z tym pra­wem nowo­cze­snych tech­no­lo­gii. Uwzględ­nia­jąc tema­ty­kę blo­ga pozwo­lę sobie napi­sać kil­ka słów zain­spi­ro­wa­nych wystą­pie­niem prof. Arka­diu­sza Lacha z UMK w Toru­niu, któ­re doty­czy­ło prze­stęp­stwa kra­dzie­ży toż­sa­mo­ści – do tej pory nie­gosz­czą­ce­go na moim blogu 🙂

czy­taj dalej »

Mamy pierwszy wyciek danych z kancelarii adwokackiej

Jak poda­ła wczo­raj Zaufa­na Trze­cia Stro­na na naj­więk­szym obec­nie pol­skim forum dark­ne­to­wym zosta­ła opu­bli­ko­wa­ne pacz­ka z dany­mi pocho­dzą­cy­mi z ser­we­ra jed­nej z naj­więk­szych pol­skich kan­ce­la­rii adwo­kac­kich (ory­gi­nal­ny wpis został nie­ste­ty usu­nię­ty przez Z3S​.pl „ze wzglę­du na cha­rak­ter spra­wy”). Pacz­ka ta jest pokło­siem ostat­niej kam­pa­nii ata­ków wymie­rzo­nej w pol­skie kan­ce­la­rie praw­ne, o któ­rej pisa­łem w zeszłym tygo­dniu. Sytu­acja nie­wąt­pli­wie jest ewe­ne­men­tem a i jej prze­bieg będzie sta­no­wił pre­ce­dens dla pol­skich kan­ce­la­rii. W pierw­szych komen­ta­rzach inter­nau­tów na temat wycie­ku poja­wia się jed­no zasad­ni­cze pyta­nie – czy kan­ce­la­ria i praw­ni­cy odpo­wia­da­ją za takie wycie­ki, czy też nie? Chciał­bym dziś udzie­lić odpo­wie­dzi na to pyta­nie, podzie­lić się z Tobą moimi kil­ko­ma prze­my­śle­nia­mi w tym zakre­sie i powie­dzieć co myślę o całej zaist­nia­łej sytuacji.

czy­taj dalej »

Polscy hakerzy zabrali się za kancelarie prawne

Kto mnie trosz­kę zna, ten pew­nie sły­szał czę­sto powta­rza­ne prze­ze mnie powie­dzon­ko – żaden haker w Pol­sce jesz­cze nie zabrał się za kan­ce­la­rie praw­ne. Mówię to czę­sto, gdy roz­ma­wiam o cyber­bez­pie­czeń­stwie i cyber­prze­stęp­czo­ści ze zna­jo­my­mi, o tym jakie mamy ata­ki i na czym mogą one pole­gać. Mojej uwa­dze nie uszło do tej pory, że tak napraw­dę nie mie­li­śmy nigdy wcze­śniej żad­ne­go poważ­niej­sze­go ata­ku na jakie­kol­wiek kan­ce­la­rie praw­ne – adwo­ka­tów, rad­ców, nota­riu­szy czy komor­ni­ków. Nie będę przy tym ukry­wał, że lwia część kan­ce­la­rii posia­da żenu­ją­cy poziom zabez­pie­czeń infor­ma­tycz­nych. Zasad­ni­czo, to powie­dzieć posia­da już tutaj sta­no­wi nad­uży­cie. Dane tam po pro­stu leżą i cze­ka­ją. Cze­ka­ły do teraz. Bo nie­ste­ty wresz­cie hake­rzy zabra­li się za kan­ce­la­rie w Polsce.

czy­taj dalej »

Czasem trzeba się bać… własnego prawnika.

W sobot­niej Rzecz­po­spo­li­tej moż­na było zna­leźć cał­kiem cie­ka­wy arty­kuł zaty­tu­ło­wa­ny Z bazą klien­tów do swo­je­go biz­ne­su. Jak wska­zu­je autorka:

Sza­cu­je się, że co trze­cia fir­ma jest nara­żo­na na kra­dzież danych, któ­re tra­fia­ją póź­niej do kon­ku­ren­cji. (…) Jak twier­dzą eks­per­ci, nie ma dziś bran­ży, któ­ra nie była­by nara­żo­na na wyciek informacji.

Mówiąc szcze­rze fakt ten mnie mało dzi­wi. Jesz­cze mniej, gdy zesta­wi­my to ze sta­ty­sty­ką – w Pol­sce 15 na 1000 kom­pu­te­rów może być ele­men­tem bot­ne­tu (cho­ciaż jesz­cze rok temu wska­zy­wa­no, że to aż 4 na 10 komputerów!).

czy­taj dalej »

Heartbleed i 2FA

Zna­jo­mi pyta­ją mnie co myślę o ostat­nim kata­kliź­mie inte­re­ne­to­wym zwią­za­nym z luką OpenS­SLa, więc dziś chciał­bym podzie­lić się z Tobą jed­ną z moich reflek­sji. Trze­ba się pogo­dzić z tym, że co jakiś czas jakieś hasło gdzieś z cze­goś wyciek­nie – taka jest natu­ra tech­no­lo­gii oraz mno­gich i skom­pli­ko­wa­nych roz­wią­zań z nimi zwią­za­nych. Nie da się przed tym uciec. Ale moż­na pote­na­cjal­ne ryzy­ko zmi­ni­ma­li­zo­wać. I tutaj nie wska­żę na nic odkryw­cze­go – dla każ­de­go kon­ta inne hasło powin­no być takim samym stan­da­rem higie­ny jak zakła­da­nie codzien­nie rano świe­żych skar­pe­tek. Ale czy moż­na zro­bić coś wię­cej? Oczy­wi­ście, że tak.

czy­taj dalej »

Advanced Persistent Threats (APT)

Ostat­ni­my cza­sy coraz wyraź­niej dostrzec moż­na rosną­cą licz­bę ofiar zagro­żeń jaki­mi są APT. Tłu­ma­cząc dosłow­nie to zaawn­so­wa­ne trwa­łe zagro­że­nia. Tłu­ma­cze­nie to jest dale­kie od ide­ału, ale pozwa­la wska­zać o co w przy­pad­ku APT cho­dzi – cyber­prze­stęp­cy wybie­ra­ją sobie na ofia­rę jeden kon­kret­ny pod­miot, np. insty­tu­cję lub przed­się­bior­stwo. W tym kon­kret­nym pod­mio­cie, po wstęp­nej inwi­gi­la­cji, bar­dzo czę­sto wybie­ra­ją jed­ną kon­kret­ną oso­bę, któ­ra sta­nie się wek­to­rem ata­ku i posłu­ży do tego, by na stran­nie wyse­lek­cjo­no­wa­nej ofie­rze po pro­stu zaro­bić moż­li­wie jak naj­wię­cej (nie cza­ruj­my się – wiek­szość tego typu ata­ków to dobrze skal­ku­lo­wa­ne przed­się­wzię­cia zarob­ko­we). Co się dzie­je dalej?

czy­taj dalej »