avatar

Marcin Sałaciński

IT Project Manager
Kierownik projektu, analityk i projektant z szeroką wiedzą techniczną i doświadczeniem w procesie tworzenia oprogramowania, zdobytymi w trakcie realizacji projektów, także dofinansowywanych z UE.

dodany: 19.06.2013 | tagi: , , , , , , , ,

Wygodne przechowywanie i synchronizacja haseł – 1password

15
Wygodne przechowywanie i synchronizacja haseł – 1password

Kilka miesięcy temu opisywałem w artykule oprogramowanie Keepass, które umożliwia przechowywanie haseł w bezpieczny sposób chroniący nas przed ich utratą. Program jest darmowy, co jest bardzo dużą zaletą, jednak nie miał dobrej wersji dla platformy Mac OS i iOS. Dodatkowo zależało mi bardzo mocno  na synchronizacji informacji o hasłach pomiędzy platformami. Keepass niestety jest wygodny w sytuacji, gdy mamy wszystkie hasła na jednym komputerze (można co prawda kopiować bazę pomiędzy urządzeniami przy użyciu chociażby usługi typu Dropbox), ale jakoś nie mogłem się przekonać i całe rozwiązanie wydawało mi się zbyt toporne.

(więcej…)

dodany: 30.05.2013 | tagi: , , , ,

Dewelopment bezpiecznych aplikacji mobilnych

0
Dewelopment bezpiecznych aplikacji mobilnych

Urządzenia mobilne to bardzo dobra grupa docelowa dla przygotowywania wszelkich możliwych aplikacji, czy to darmowych czy płatnych. Użytkownicy chętnie instalują nowe programy, szczególnie, jeżeli są darmowe, oferują wystarczające funkcje i spełniają oczekiwania. Nie zastanawiamy się wtedy, czy są one bezpieczne i czy zostały przygotowane z dbałością o nasze dane i przechowywane przez nas pliki, dokumenty i zdjęcia. Zakładamy, że skoro pojawiły się w Google Play czy AppStore, to zostały sprawdzone, są oparte o dobre i zaufane frameworki. Czym się zatem stresować?

(więcej…)

dodany: 23.05.2013 | tagi: , , , , , ,

Niebezpieczne WiFi w systemach Apple

1
Niebezpieczne WiFi w systemach Apple

Czytając artykuły na temat bezpieczeństwa natknąłem się na jeden ciekawy, opisujący potencjalnie niebezpieczną funkcjonalność systemu iOS i MacOS X (Link do wspomnianego artykułu). Autor porusza ciekawą sprawę – jest w systemie/systemach funkcjonalność, która jest niewidoczna na pierwszy rzut oka, teoretycznie nie powoduje problemów i w założeniu ma pomagać i ułatwiać życie użytkownikom. Dokładnie jest to możliwość zapamiętania sieci, z którymi łączyliśmy się wcześniej i automatyczne logowanie się do nich bez ingerencji użytkownika.

Jak można wyczytać w artykule, zostały zrobione testy zachowania się urządzeń z systemami Apple, które mają zapamiętane wcześniej używane sieci WiFi bez skonfigurowanego hasła dostępowego (nie wiem czy w innych systemach, jak Linux czy Windows wygląda to i działa podobnie – jeżeli ktoś ma ochotę, może to zweryfikować :-). Jeżeli jest to prawda, to nie jest to dobre. Problem polega na tym, że urządzenie, które kiedyś łączyło się z taką siecią próbuje ją ponownie odnaleźć i wysyła żądania podłączenia, podając nazwę sieci. W tym momencie jeżeli w pobliżu urządzenia znajdzie się inny punkt dostępowy z tym samym SSID i bez hasła (Service Set IDentifier), zostanie on zidentyfikowany jako ten, który był wcześniej używany. Urządzenie podłączy się tak, jak wcześniej, a użytkownik nieświadom niczego (chyba że zauważy podłączenie z jakąś siecią WiFi i zorientuje się, że coś jest nie tak) rozpocznie przesyłać swoje dane przez nieznaną, niezabezpieczoną sieć.

Jest to moim zdaniem dość niebezpieczne zachowanie, jako że ktokolwiek, kto zna ogólnodostępne sieci w danym miejscu, może się podszyć i podstawić swój własny punkt dostępowy, przechwytując wszelkie połączenia i przesyłane dane, co jest dużo łatwiejsze niż włamywanie się do zabezpieczonej strefy. Wspomniane przez autora artykułu próbne sygnały z podaniem jak na tacy poszukiwanej sieci, dodatkowo podpowiada, jakie są pożądane nazwy i jeżeli ktoś chce podstawić fałszywy punkt nazywający się identycznie, ma dodatkowo ułatwione zadanie i nie musi się specjalnie wysilać – może nawet spróbować siedząc w domu zobaczyć, czy okoliczne sprzęty nie poszukują znanych sieci i z tego skorzystać.

Dziś jest sporo miejsc, gdzie można znaleźć WiFi dostępne dla wszystkich bez konieczności wpisywania hasła – kawiarnie, dworce, a nawet całe parki są pokryte takim zasięgiem. Widzi się coraz częściej osoby, które siadają na świeżym powietrzu z laptopem i pracują, korzystając z komunikacji bezprzewodowej, łącząc się z widocznymi i niezabezpieczonymi sieciami (są za darmo, to czemu nie korzystać?). Tacy użytkownicy zwykle nie zorientują się, że podłączyli się nie tu gdzie chcieli, jeśli będzie ta sama nazwa, czasem też nie będą wiedzieć, że wpięli się do specjalnie podstawionej fałszywej sieci, nawet jeśli są zupełnie gdzie indziej – iPhone schowany w kieszeni po cichu się podłączy, bez informowania użytkownika.

Być może opisany powyżej problem jest marginalny, ale jeżeli rzeczywiście można w tak łatwy sposób przechwycić czyjąś komunikację i spokojnie rejestrować cały przechodzący ruch bez żadnych utrudnień, jest to moim zdaniem poważne zagadnienie i argument dla zabezpieczania sieci. Użytkownicy powinni pamiętać, że łącząc się z niezabezpieczonymi sieciami i zapamiętując ich nazwy narażają się na niebezpieczeństwo. Może lepiej wyłączyć zapamiętywanie punktów dostępowych, co zostało przedstawione w artykule powyżej. Pozostawiam to decyzji użytkowników.

dodany: 29.04.2013 | tagi: ,

Czy tablety mogą zastąpić komputery?

8
Czy tablety mogą zastąpić komputery?

Tablety stały się ostatnio bardzo popularne i stale zdobywają coraz więcej zwolenników. Są osoby, co nie wyobrażają sobie życia bez tego niewielkiego urządzenia i używają go na co dzień do różnych zadań i w różnym celu. Kilka lat temu podobnie działo się z komputerami stacjonarnymi i laptopami – praktycznie każdy miał “blaszaka” a tylko część użytkowników komputery przenośne – teraz proporcje są odwrotne, a desktopy są obecne tam, gdzie laptopy są za mało wydajne, za drogie, trudne w rozbudowie albo zwyczajnie niepraktyczne.

(więcej…)

dodany: 26.03.2013 | tagi: , , ,

Informowanie o zagrożeniach na przykładzie Apple

0
Informowanie o zagrożeniach na przykładzie Apple

Czytając w ostatnim czasie artykuły na różnych portalach, czy to WebSecurity, Niebezpiecznik, czy innych, zauważyłem pewne nasilenie wiadomości dotyczących Mac OS X, Apple, iOS i tym podobnych słów kluczowych. Będąc użytkownikiem Mac’a oczywiście czytałem je z zaciekawieniem, ale zastanowiła mnie jedna kwestia, a dokładnie tematyka i częstotliwość wypowiedzi.

Śledząc od wielu lat szum wokół bezpieczeństwa systemów operacyjnych, obserwowałem pewne trendy i stereotypy: Windows – wiadomo – dziurawy, pełno wirusów i innych szkodników, a co chwila pojawiają się aktualizacje; Linux – raczej bez zagrożeń w stylu windows, ale za to bardziej narażony na ataki z sieci; Mac OS – tu czarna dziura – bez wirusów, szkodliwego oprogramowania, generalnie było stosunkowo cicho o tym systemie.

(więcej…)

dodany: 21.03.2013 | tagi: , ,

Prywatne urządzenia w firmie

5
BYOD

Praca biurowa oznacza dziś używanie komputera, telefonu, faxu i innych urządzeń, które pomagają albo wręcz umożliwiają jej wykonywanie. Stanowisko pracy składa się z biurka i kilku innych koniecznych elementów, które wiążą się z kosztami zakupu, ale też utrzymania ich w sprawności – tyczy to się szczególnie sprzętu elektronicznego i telekomunikacyjnego. Uruchomienie jednego takiego stanowiska generuje koszty, a podążanie za postępem technologicznym nie zawsze jest łatwe, szczególnie w działach IT lub u dostawców usług informatycznych, gdzie potrzebne są aktualne wersje oprogramowania i komponenty będące w stanie je udźwignąć i zapewnić odpowiednią wydajność. W większych firmach potrzebny jest także dział wsparcia technicznego zajmujący się serwisowaniem sprzętu i rozwiązujący bieżące problemy, a dział bezpieczeństwa pilnuje zgodności z odpowiednimi procedurami organizacji. Ogólne koszty takiej infrastruktury mogą być spore, tym większe im bardziej rozbudowana i różnorodna jest firma.

(więcej…)

dodany: 01.03.2013 | tagi: , , ,

Skuteczne kopie zapasowe

0
backup

Prywatne dokumenty, zdjęcia i inne pliki są zwykle dla nas bardzo cenne i nie wyobrażamy sobie ich utraty – awaria dysku, wirus, kradzież laptopa – różne rzeczy się zdarzają. Na co dzień o tym nie myślimy, dopóki wszystko działa, a sprzęt jest sprawny – do czasu. Najczęściej po pierwszym niemiłym zdziwieniu zaczynamy szukać możliwości uchronienia się przed podobnymi sytuacjami w przyszłości. Szukamy aplikacji, urządzeń i wszelkich rozwiązań, które mogą nam pomóc. Trochę jak w obiegowym stwierdzeniu, że ludzie dzielą się na tych co robią backupy i tych którzy będą backupy robić. Najlepszym pomysłem jest zadbać o zabezpieczenie własnych danych z wyprzedzeniem i zanim się cokolwiek stanie. Jakie są rozwiązania, z czego można skorzystać? Na to pytanie postaram się odpowiedzieć dalej w niniejszym artykule. Jego napisanie akurat szczęśliwie zbiegło się w czasie z publikacją innego artykułu (zobacz: Dysk, który spalił się w ziemskiej atmosferze, to żaden problem – wywiad z przedstawicielem Kroll Ontrack), dotyczącego konsekwencji utraty ważnych materiałów.

(więcej…)

dodany: 25.02.2013 | tagi: , , ,

Bezpieczne płatności elektroniczne

0
Płatności

Pisząc poprzedni artykuł byłem świadom, że nie będę w stanie jednocześnie nawiązać przekrojowo do samego tematu przesyłania danych w aplikacjach online, a także szczegółowo opisać wszystkich omawianych interfejsów. W jego podsumowaniu starałem się zachęcić do zapoznania ze sposobem działania rozwiązań płatności elektronicznych, ale pomyślałem, że może warto ten temat opisać w osobnym artykule. Takie rozwiązania nie są mocno skomplikowane, ale ich solidność i niezawodność jest bardzo ważna – w końcu poprzez takie usługi przesyłamy wirtualnie pieniądze z naszych kont i płacimy ufając, że dotrą one do odbiorców. Pomyślałem też, że warto przekazać zarys procesu – może przyda się kiedyś części z Was jako wstępny materiał, jeśli będziecie mieli wdrożyć w swojej firmie taki system.

(więcej…)

dodany: 19.02.2013 | tagi: , , ,

Przesyłanie danych w aplikacjach online

3

Udostępnianie systemów firmowych na zewnątrz sieci i umożliwianie użytkownikom dostępu do zasobów wewnętrznych to dziś praktycznie konieczność i chyba nie ma dziś organizacji, która nie posiadałaby chociaż własnej strony internetowej. Taka strona zwykle nie niesie za sobą ryzyka utraty danych i zawiera informacje, które celowo są upubliczniane, a sam serwis działa na wykupionej usłudze hostingowej gdzieś w Polsce lub poza granicami. Sytuacja się komplikuje, jeżeli tym udostępnianym rozwiązaniem jest jeden z systemów oferujący nie tylko publiczne dane, ale dedykowane dla konkretnej grupy odbiorców lub pojedynczego użytkownika, którzy mogą założyć konto, zalogować się, przejrzeć niepubliczne dane (np. listę faktur dotyczącej podpisanej przez siebie umowy z operatorem telekomunikacyjnym).

(więcej…)

dodany: 13.02.2013 | tagi: , ,

Testy penetracyjne aplikacji online

2
Testy penetracyjne aplikacji online

W jednym z pierwszych artykułów tu opublikowanych wspomniałem o typowych podejściach do udostępnianiu aplikacji i systemów ulokowanych wewnątrz sieci firmowej dla użytkowników zewnętrznych. Jak już pisałem, rozwiązania techniczne – komponenty sprzętowe i odpowiednie zapory – uniemożliwiające włamania do sieci i uzyskanie nieautoryzowanego dostępu do zasobów są oczywiście niezbędne i zapewniają odpowiedni poziom ochrony. W tym miejscu kończy się rola DMZ, a odpowiedzialność spoczywa na samym wystawianym w świat oprogramowaniu. Od jego jakości i zastosowanych mechanizmów zależy, czy aplikacja jest bezpieczna i nie będzie powodować wycieków danych.

(więcej…)