Temat: Wynagrodzenie ABI – podsumowanie.

Michał Sajdak:

To co dla osób znających temat widoczne jest na pierwszy rzut oka , niekoniecznie jest widoczne i oczywiste dla przeciętnego klienta, dyrektora, prezesa.

Ja bym też dodał - sensowne planowanie spraw związanych z it security - jest akcją długofalową (począwszy choćby od analizy ryzyka...).

A u nas, w dużych firmach, niestety obserwuję raczej planowanie krótkoterminowe (tj. za moich czasów ma być OK, później jump do innej firmy, a u starego pracodawcy choćby i powódź).

No i last but not least - cała administracja publiczna - tutaj owo krótkoterminowe planowanie jest realizowane z wiadomych względów ;-)

Ciekawe ostatnio ze strony pewnej instytucji można było wysyłać maile, zresztą metodologię chyba każdy zna. Jest tego trochę, a typy ataków każdego dnia pojawia się coś nowego.

Temat: Wynagrodzenie ABI – podsumowanie.

Michał Sajdak:

Konkluzja jest taka: Nie można być niczego pewnym w tej materii no chyba że nie jest to podłączone do prądu, ale lepiej zapobiegać "awariom/atakom" niż usuwać ich skutki ;>

:)

I zobacz ;> wywołałeś wilka z lasu ;>:

http://banki.onet.pl/2006156,wiadomosci.html

Temat: Wynagrodzenie ABI – podsumowanie.

Grzegorz Kobylański:

Michał Sajdak:

Miałem już okazję zobaczyć kilka ładnych skowronków :)
Nie będę wymieniał instytucji... ale co się dzieje brak słów.
Nawet mało doświadczony człowiek może dobrze narozrabiać.

Apropos tych mało doświadczonych to czy masz na myśli pewien "zielony" bank, w którym w wyniku 'profesjonalnego' upgrade-u systemu wyzerowało salda kont w systemie transakcyjnym? ;-)

Szkoda słów :)

A na co szkoda tych Twoich słów?

Temat: Wynagrodzenie ABI – podsumowanie.

Daniel Starczewski:

Grzegorz Kobylański:

Michał Sajdak:

Miałem już okazję zobaczyć kilka ładnych skowronków :)
Nie będę wymieniał instytucji... ale co się dzieje brak słów.
Nawet mało doświadczony człowiek może dobrze narozrabiać.

Apropos tych mało doświadczonych to czy masz na myśli pewien "zielony" bank, w którym w wyniku 'profesjonalnego' upgrade-u systemu wyzerowało salda kont w systemie transakcyjnym? ;-)

Szkoda słów :)

A na co szkoda tych Twoich słów?

Co wyszło w raporcie.
Co się dzieje w instytucjach finansowych z bezpieczeństwem teleinformatycznym.

Temat: Wynagrodzenie ABI – podsumowanie.

I zobacz ;> wywołałeś wilka z lasu ;>:

http://banki.onet.pl/2006156,wiadomosci.html

:) Zastanawia mnie:

"Na trop afery policjanci wpadli w toku śledztwa, dotyczącego zainfekowania przez hakerów w lutym tego roku komputerów należących do klientów jednego z banków."

zestawione z:

"Poszkodowanych zostało kilkanaście osób, jednak nie odczuły one tego, że stały się ofiarami przestępstwa. W takich przypadkach odpowiedzialność za bezpieczeństwo transakcji jest po stronie banku."

W sumie nie mówią jasno w jaki sposób goście wyciągali kasę, ale można próbować wnioskować, że były to malware instalowane na stacjach roboczych klientów.

Nie to żebym trzymał stronę banków ;-), ale jaką niby Bank ma odpowiedzialność za bezpieczeństwo na stacjach roboczych klientów?

Temat: Wynagrodzenie ABI – podsumowanie.

Michał Sajdak:

I zobacz ;> wywołałeś wilka z lasu ;>:

http://banki.onet.pl/2006156,wiadomosci.html

:) Zastanawia mnie:

"Na trop afery policjanci wpadli w toku śledztwa, dotyczącego zainfekowania przez hakerów w lutym tego roku komputerów należących do klientów jednego z banków."

zestawione z:

"Poszkodowanych zostało kilkanaście osób, jednak nie odczuły one tego, że stały się ofiarami przestępstwa. W takich przypadkach odpowiedzialność za bezpieczeństwo transakcji jest po stronie banku."

W sumie nie mówią jasno w jaki sposób goście wyciągali kasę, ale można próbować wnioskować, że były to malware instalowane na stacjach roboczych klientów.

Nie to żebym trzymał stronę banków ;-), ale jaką niby Bank ma odpowiedzialność za bezpieczeństwo na stacjach roboczych klientów?

Na stacjach roboczych Klientów, - Bank nie ponosi odpowiedzialności, można wytoczyć proces cywilny i wtedy dochodzić swoich praw ale nie mam co ukrywać nie jest łatwo wygrać.

Temat: Wynagrodzenie ABI – podsumowanie.

Nie to żebym trzymał stronę banków ;-), ale jaką niby Bank ma odpowiedzialność za bezpieczeństwo na stacjach roboczych klientów?

Na stacjach roboczych Klientów, - Bank nie ponosi odpowiedzialności,

No właśnie, w newsie nie wiem niby dlaczego stoi: "W takich przypadkach odpowiedzialność za bezpieczeństwo transakcji jest po stronie banku."

można wytoczyć proces cywilny i wtedy

dochodzić swoich praw ale nie mam co ukrywać nie jest łatwo wygrać.

No o tego typu sprawach (ogólnie IT crime) to w Polsce mało co słyszałem. Ostatnio chyba tylko to: http://osnews.pl/haker-uniewinniony-w-sprawie-sql-inje...

Temat: Wynagrodzenie ABI – podsumowanie.

Michał Sajdak:

Nie to żebym trzymał stronę banków ;-), ale jaką niby Bank ma odpowiedzialność za bezpieczeństwo na stacjach roboczych klientów?

Na stacjach roboczych Klientów, - Bank nie ponosi odpowiedzialności,

No właśnie, w newsie nie wiem niby dlaczego stoi: "W takich przypadkach odpowiedzialność za bezpieczeństwo transakcji jest po stronie banku."

Prawdopodobnie w zamyśle mieli coś o czym nie napisali, podejrzewam o co chodzi, ale nie mogę teraz o tym napisać - przepraszam :)

można wytoczyć proces cywilny i wtedy dochodzić swoich praw ale nie mam co ukrywać nie jest łatwo wygrać.

No o tego typu sprawach (ogólnie IT crime) to w Polsce mało co słyszałem. Ostatnio chyba tylko to: http://osnews.pl/haker-uniewinniony-w-sprawie-sql-inje...

Po m.in. tej sprawie nastąpiła zmiana w prawie obejmująca taki przypadek - zmiana obowiązuje od grudnia 2008 roku jeśli mnie pamięć nie myli.

Pozdrawiam,
--
Przemek

Temat: Wynagrodzenie ABI – podsumowanie.

Michał Sajdak:

I zobacz ;> wywołałeś wilka z lasu ;>:

http://banki.onet.pl/2006156,wiadomosci.html

:) Zastanawia mnie:

"Na trop afery policjanci wpadli w toku śledztwa, dotyczącego zainfekowania przez hakerów w lutym tego roku komputerów należących do klientów jednego z banków."

zestawione z:

"Poszkodowanych zostało kilkanaście osób, jednak nie odczuły one tego, że stały się ofiarami przestępstwa. W takich przypadkach odpowiedzialność za bezpieczeństwo transakcji jest po stronie banku."

W sumie nie mówią jasno w jaki sposób goście wyciągali kasę, ale można próbować wnioskować, że były to malware instalowane na stacjach roboczych klientów.

Nie to żebym trzymał stronę banków ;-), ale jaką niby Bank ma odpowiedzialność za bezpieczeństwo na stacjach roboczych klientów?

Nie chodzi tyle o odpowiedzialność co o prestiż... Prestiż = klienci ;> Kiedyś była taka akcja w Lukasie, że pracownik ukradł klientowi (jubilerowi) pieniądze z konta - przelał je sobie. Gdy sprawa wyszła na jaw Bank stwierdził, że nie ponosi odpowiedzialności za działania pracownika... Ja po takiej wiadomości raczej nie skorzystał bym z usług takiej instytucji... Może szanse są nikłe na powtórkę takiej sytuacji, ale gdyby ona znowu miała miejsce wiedziałbym czego się spodziewać... ;>

Temat: Wynagrodzenie ABI – podsumowanie.

Grzegorz Kobylański:

Na stacjach roboczych Klientów, - Bank nie ponosi odpowiedzialności, można wytoczyć proces cywilny i wtedy dochodzić swoich praw ale nie mam co ukrywać nie jest łatwo wygrać.

Raczej nie jest ;>... Przy armiach prawników, na których wynajęcie mogą sobie pozwolić te instytucje to wręcz walka z wiatrakami...

Temat: Wynagrodzenie ABI – podsumowanie.

Michał Sajdak:

To co dla osób znających temat widoczne jest na pierwszy rzut oka , niekoniecznie jest widoczne i oczywiste dla przeciętnego klienta, dyrektora, prezesa.

Ja bym też dodał - sensowne planowanie spraw związanych z it security - jest akcją długofalową (począwszy choćby od analizy ryzyka...).

A u nas, w dużych firmach, niestety obserwuję raczej planowanie krótkoterminowe (tj. za moich czasów ma być OK, później jump do innej firmy, a u starego pracodawcy choćby i powódź).

No i last but not least - cała administracja publiczna - tutaj owo krótkoterminowe planowanie jest realizowane z wiadomych względów ;-)

Co do Państwówki to nie wiem czemu się dziwić ?
Akurat przeniosłem się jakieś 1,5 roku temu do Warszawy. Pochodziłem tu na różne rozmowy m.in. do CENTRAL Głównych instytucji tego Państwa. Miałem też okazje pracować w jednej Państwowej z MSWiA blisko 6 lat.

I niestety w wielu są te same 2 problemy związane z niskim poziomem IT security :

1. Znajomości/układy - na porą część lepszych stanowisk w instytucjach publicznych (stanowiska IT zaliczają się do lepszych) o przyjęciu decyduje nie wiedza i doświadczenie, a znajomości i układy. W efekcie ludzie którzy są nawet super ekspertami przegrają w selekcji np. właśnie na stanowisko osoby od security z osobą która skończyła liceum łopatologii, męczy obecnie jakieś studia, a wiedza o IT sprowadza się do odpalenia kompa, pogrania, przeglądania stron, gadu-gadu, skype itp. Ale przecież trzeba dbać o znajomych i rodzinę ;-\

Do tego takie osoby po układzie nie dość, że w wielu przypadkach nie mają żadnej wiedzy i/czy doświadczenia to jak wiem z praktyki nie mają praktycznie żadnego poziomu odpowiedzialności.

Czyli cokolwiek się stanie nikt z nich nie poniesie żadnych konsekwencji tylko sprawę się tuszuje.

Przykład : w instytucji Państwowej w której pracowałem wszystkie dane o dziesiątkach tysięcy ludzi (coś jak dane z KRK) były i pewnie są przechowywane w SQL Server. Ale nie silnik baz danych jest tu problemem bo jest on ok.
Chodzi o to, ze do całej bazy danych można było się dobrać z poziomu jakiegokolwiek komputera w sieci odpalając np. ms query analayzer'a, wpisując (czy chyba nawet wybierając z listy serwer bazy), a następnie jako dane do logowania podając .... dane logowania domyślnego ms sql server :DDDD

I każda osoba mogła sobie czytać dane które powinny być tajne.

A co już przegięło pałkę bezpieczeństwa to to, że jeden z genialnych "admino speców od security" w jednym z udostępnionych folderów umieścił... plik excela z hasłami i loginami każdej osoby w instytucji do każdej aplikacji :-DDDDDDDDDDDDDDD

Kopara może opaść !!!

Ale cały wspaniały dział IT z układu nic sobie z tego nie robił i podejrzewam , że nawet tego nie zauważył ... może i do dziś 8-D

2. Druga kwestia problemów z bezpieczeństwem w Państwówkach to finanse. Jeżeli już w Państwówkach nie maja wśród swoich kogoś kogo można by usadowić na stołku człowieka od IT Security lub jednak ktoś wymaga od nich pewnych kwestii bezpieczeństwa które potem sprawdza to Państwówki decydują się na wystawienie oferty i zatrudnienie kogoś z zewnątrz. I tu pojawia się zonk ... finanse.

Oferty z instytucji Państwowych w takich przypadkach są dość rozciągłe i zawierają wiele poważnych technicznie zagadnień wymaganych od kandydata.

Problem w tym, że gdy kandydat przyjeżdża na rozmowę, odpowiada na pytania, robi jakieś testy, to na końcu pada tekst ... proponujemy 2-3 tys brutto 8-|, albo też taka informacja pojawia się w ofercie.

Trudno za takie pieniądze znaleźć specjalistę. Może na jakiś czas ale na dłużej czy na stałe ?

Zresztą tak tez jest w wielu firmach prywatnych. Bezpieczeństwo oprócz wspomnianych już wyżej kwestii traktowane jest jak margines.
A większość włamań czy ataków nie jest wykrywana lub jest ukrywana i tuszowana.

Może dlatego, że coraz częściej ataki przeprowadzane są dla zysku czy na zlecenia, a rzadziej dla sportu/zabawy/pokazania luk w systemie. Być może gdyby osoby włamujące się zostawiały jakąś publiczną demonstrację takiego aktu (jaki jakiś czas temu strona chyba Ministerstwa z napisem HACKED :D )ludzie dostrzegali by takie zdarzenia.

Ale się rozpisałem :)

Temat: Wynagrodzenie ABI – podsumowanie.

Tomasz Wieżel:

...

Może dlatego, że coraz częściej ataki przeprowadzane są dla zysku czy na zlecenia, a rzadziej dla sportu/zabawy/pokazania luk w systemie. Być może gdyby osoby włamujące się zostawiały jakąś publiczną demonstrację takiego aktu (jaki jakiś czas temu strona chyba Ministerstwa z napisem HACKED :D )ludzie dostrzegali by takie zdarzenia.

...
Jak wspomnialem, obecnie ataki sa prawie niewidoczne, a wlamywaczom jako ostatnim zalezy na tym by atak/wlamanie zostalo wykryte.