Tag: bezpieczeństwo

Jak blisko śmierć…

TIR grozy

Jak blisko śmierć musi przejść obok nas,
By człowiek zrozumiał swój los?

To pytanie zadał Andrzej Bianusz w polskim tłumaczeniu tekstu słynnego przeboju Boba Dylana „Blowin’ in the Wind”.

Ja też sobie je ostatnio zadałem, gdy o sekundę spóźniłem się na spotkanie z łamiącym wszelkie przepisy i zdrowy rozsądek, rozpędzonym tirem. Na animacji, którą widzisz powyżej, jadę zielonym samochodem po swoim pasie, a czerwony tir mknie na wprost, nie zważając, że jego pas ruchu się w tym miejscu kończy. Gdybym był odrobinę szybszy, zostałbym staranowany albo zrolowany pod jego naczepą…

Na szczęście tak się nie stało i bezpiecznie wróciłem do domu. A tam odkryłem niezwykły, szokujący, brytyjski serial „Black Mirror”, który podrzuca do przemyślenia dylematy etyczne związane z kierunkiem rozwoju naszej cywilizacji.

Odcinek „Be Right Back” prowokuje do rozważań, co by było, gdyby zaoferowano usługę kontaktu ze zmarłymi osobami. A właściwie nie ze zmarłymi osobami, ale z ich symulatorami stworzonymi na podstawie wszystkich materiałów, które te osoby zamieściły w internecie. Na ile odtworzony sposób wyrażania się i tembr głosu dawałaby wrażenie obecności tych, którzy odeszli na zawsze? Na ile rozmowa z nimi pomagałaby ukoić żal po stracie ukochanych i odczuwać ich wsparcie w trudnych chwilach?

Fascynujące, nieprawdaż?

A puenta? Puenta tego wpisu jest taka, że gdyby tirami kierowały komputery, a nie ludzie, to mniejsze byłoby prawdopodobieństwo, że moje życie zawisłoby na włosku. Dlaczego? Bo choć czasami maszyna może ulec uszkodzeniu, to przynajmniej nie jest głąbem z kompleksami!

Ochrona prywatności

Nie mam nic do ukrycia.

Przynajmniej nic o tym nie wiem.

Dlatego zawsze bliskie mi było kontrowersyjne stanowisko Erica Schmidta, członka zarządu firmy Google, który powiedział:

Jeśli masz coś, o czym nie chciałbyś, żeby ktokolwiek się dowiedział, może w pierwszym rzędzie nie powinieneś tego robić…

Jednak ostatnio zmieniłem zdanie. Zrobiłem to pod wpływem celnej argumentacji Edwarda Snowdena opublikowanej w ubiegłym roku w serwisie reddit:

Istotą problemu jest wskazanie, że – niezależnie od efektu – cel (zapobieganie przestępstwom) nie uświęca środków (gwałcenie praw milionów ludzi, których prywatne dane są wbrew konstytucji przechwytywane i analizowane).

Niektórzy mogą powiedzieć: „Nie obchodzi mnie, czy ktoś narusza moją prywatność; nie mam nic do ukrycia”. Pomóżmy im zrozumieć, że mylą się w kwestii istoty praw człowieka. Nikt nie musi uzasadniać, dlaczego „potrzebuje” prawa; obowiązek uzasadnienia spada na tych, którzy starają się to prawo złamać. Ale nawet jeśli by uzasadnili, nie możesz rozporządzać prawami innych tylko dlatego, że tobie są one niepotrzebne. Mówiąc prościej, większość nie może przegłosować anulowania naturalnych praw mniejszości.

Ale nawet gdyby mogli, pomóż im zastanowić się przez chwilę nad tym, co sami mówią. Argumentacja, że nie obchodzi cię prywatność, ponieważ nie masz nic do ukrycia, nie różni się od argumentacji, że nie obchodzi cię wolność słowa, ponieważ nie masz nic do powiedzenia.

Wolna prasa przynosi korzyści nie tylko tym, którzy ją czytają.

Przekonuje cię takie postawienie sprawy?

Dwaa!tY-sionce16

Dwaa!tY-sionce16

Z okazji nadejścia Nowego 2016 Roku życzę Ci zdrowia i cyber-zdrowia!

Żeby być zdrowym, podejmij wyzwanie zażywania ruchu co najmniej cztery razy w tygodniu przez co najmniej pół godziny. Spaceruj, biegaj, graj w piłkę, pływaj i nie usprawiedliwiaj się, że nie masz czasu, ponieważ musisz zajmować się dziećmi. Dzieci lubią ruch, a jeszcze bardziej lubią skakać, rzucać i robić „plusk” razem ze swoją mamą i swoim tatą!

Żeby być cyber-zdrowym, podejmij wyzwanie cyber-higieny. Na czym ono polega? Zabezpiecz się w sieci, wzmacniając swoje hasła!

W 2016 roku każde hasło powinno mieć co najmniej 16 znaków, w tym co najmniej dwie wielkie litery, co najmniej dwie małe litery, co najmniej dwie cyfry i co najmniej dwa znaki przestankowe, czyli takie, które nie są ani literami, ani cyframi.

Jak tworzyć takie hasła? Najlepiej za pomocą specjalnych programów do zarządzania hasłami. Jest tylko jeden haczyk: musisz ufać twórcom tych programów. A jeżeli im nie ufasz, twórz hasła sam.

Modyfikuj słowa, z których składasz swoje hasła, powtarzając niektóre litery lub zastępując jedną literę kilkoma innymi. Nie zamieniaj liter na cyfry („o” – „0”, „E” – „3”), ponieważ hakerskie słowniki znają już tę sztuczkę. Natomiast zmiana liczby liter generuje zbyt wiele kombinacji, żeby warto je było katalogować. Przypatrz się tytułowi tego wpisu. Gwarantuję ci, że jest odporny na atak słownikowy, a 16 znaków daje sensowne zabezpieczenie przed atakiem polegającym na wypróbowaniu wszystkich istniejących możliwości. Nawet najszybszym komputerom taka próba zajęłaby setki milionów lat.

Im dłuższe hasło, tym trudniej je złamać. Prostą metodę wydłużania haseł opisałem cztery lata temu we wpisie Hasło w stogu siana. Polecam!

A, i jeszcze jedno: nie używaj tego samego hasła w więcej niż jednym miejscu!

Zatem jeszcze raz:

Trzymaj się zdrowo i cyber-zdrowo w 2016 roku!

Głupie? Ale działa!

„Jeśli coś wydaje ci się głupie, ale działa, to znaczy, że nie jest głupie.” – Mercedes Lackey („Owlknight”)

Najwyższy czas, żeby ta powszechnie stosowana w wojsku i lotnictwie zasada została też skutecznie wdrożona w twoim biznesie.

Bo jak długo można bazować na improwizacji i radosnej twórczości?

Ile razy można odkrywać Amerykę?

Spisany i stosowany system reguł postępowania, standardów i list kontrolnych jest najskuteczniejszą metodą oliwienia organizacyjnych mechanizmów!

Po co?

Żeby samoloty lądowały tyle samo razy, ile startują. Żeby pacjenci nie „wynosili” w sobie żadnych narzędzi chirurgicznych z sal operacyjnych. Żeby pociągi nie zamieniały się w stertę złomu po próbie przejechania zakrętu z naddźwiękową prędkością. I w milionach innych przypadków.

Nie daj się zwieść! Każdy pracownik „wie lepiej” tylko do czasu, aż mleko się rozleje albo maszyna urwie mu rękę. Ale wtedy jest już za późno…

Pamiętaj, że w większości przypadków:

„Jeśli coś wydaje ci się głupie, ale działa, to znaczy, że nie jest głupie.”

Hasło w stogu siana

Na łamach BIZNESU BEZ STRESU zajmowałem się już problemem haseł do systemów komputerowych i serwisów internetowych, czyli „kluczy” zabezpieczających nasze cyfrowe zasoby przed kradzieżą i nieuprawnionym dostępem. Hasła te powinny być jednocześnie łatwe do zapamiętania (żeby nie trzeba było ich zapisywać) i trudne do złamania (z oczywistych powodów). Te dwie cechy wydają się być nie do pogodzenia, więc albo stosujemy hasła banalne, albo skomplikowane, które zapisujemy na karteczkach lub przechowujemy w zaszyfrowanej postaci, korzystając z wyspecjalizowanego oprogramowania lub serwisów sieciowych.

Steve Gibson, specjalista do spraw bezpieczeństwa komputerowego, twórca znakomitego programu do odzyskiwania danych SpinRite oraz terminu „spyware”, odkrył ostatnio nową, genialną w swej prostocie metodę tworzenia haseł. Haseł, które są jednocześnie łatwe do zapamiętania i trudne do złamania!

Zastanówmy się najpierw, jak Niedobry Haker podchodzi do łamania naszych haseł. Po pierwsze za pomocą olbrzymiego słownika sprawdza wszystkie ciągi znaków, które mogą się z czymś kojarzyć: liczby, słowa, zmodyfikowane słowa oraz ich nieskomplikowane połączenia – na przykład:

  • „pies”, „pies0”, „pies1”, „pies2”,… „pies9”;
  • „Pies”, „Pies0”, „Pies1”, „Pies2”,… „Pies9”;
  • „piEs”, „piEs0”, „piEs1”, „piEs2”,… „piEs9”;
  • „pie5”, „pie50”, „pie51”, „pie52”,… „pie59”;
  • i tak dalej…

Atak słownikowy wymaga znacznej liczby sprawdzeń, jednak ogranicza się do stosunkowo skromnego repertuaru ludzkich skojarzeń. Co to jest „pies”, wie każdy, zaś „pvra” to słowo, które raczej nikomu nie przyjdzie samoistnie do głowy.

Gdy powyższa metoda nie przynosi sukcesu, Niedobry Haker musi uciec się do znacznie bardziej pracochłonnego łamania hasła „brutalnom siłom” poprzez sprawdzenie WSZYSTKICH możliwych, „niekojarzących się z niczym” ciągów znaków. Liczba kombinacji, które trzeba w tym przypadku poddać próbie jest olbrzymia i zależy od nieznanej Niedobremu Hakerowi długości hasła i nieznanego repertuaru użytych w nim znaków (czy są to tylko małe litery, czy małe i wielkie litery, czy małe i wielkie litery oraz cyfry, czy wreszcie małe i wielkie litery oraz cyfry i znaki przestankowe).

Zatem podsumujmy: dobre hasło to takie, którego nie da się znaleźć w słowniku i które jest długie. Dobre hasło nie musi być wcale skomplikowane! Pracochłonność procedury szukania od tego nie zależy! Zależy od wielkości stogu, który trzeba przekopać!

Na przykład 24-znakowe hasło „Pie5………………..” jest 95 razy trudniejsze do złamania niż 23-znakowe hasło „PrXyc.N(n4k77#L!eVdAfp9”.

Oczywiście pod warunkiem, że Niedobry Haker nie wie, jak długi jest ogon, który doczepiliśmy naszemu psu. I z jakich znaków się ten ogon składa. I czy doczepiliśmy go z tyłu, z przodu, czy w środku.

Dodatkowo warto różnicować swoje hasło tak, żeby nie używać tego samego ciągu znaków do uzyskiwania dostępu do wielu witryn internetowych, ponieważ Niedobry Haker mógłby jednym, zgubionym przez nas kluczem otworzyć wszystkie nasze cyfrowe szuflady.

A oto prosty przykład użycia metody Steve Gibsona do utworzenia zbioru mocnych, łatwych do zapamiętania haseł do wybranych witryn internetowych: słowo kluczowe: „klon” (zmodyfikowane w następujący sposób: „kl0N”), wypełniacz: „.1” powtórzony 4 razy, identyfikator witryny: dwa pierwsze znaki:

  • gmail: „kl0N.gm.1.1.1.1”
  • amazon: „kl0N.am.1.1.1.1”
  • twitter: „kl0N.tw.1.1.1.1”
  • facebook: „kl0N.fa.1.1.1.1”

PS. Steve Gibson opisał swoją metodę w artykule „Password Haystacks: How Well Hidden is Your Needle?”.

Brama ewakuacyjna

Brama ewakuacyjna

Podczas sobotniego spaceru po zaśnieżonych uliczkach zobaczyłem, uwiecznioną na powyższym zdjęciu, bramę ewakuacyjną z groźnym napisem „NIE ZASTAWIAĆ”. Zarówno przed nią, jak i za nią piętrzą się góry zgarniętego śniegu. Bo tak było najłatwiej…

Patrząc na ten obrazek, zacząłem zastanawiać się nad rolą bram ewakuacyjnych w naszym życiu i w działalności gospodarczej. Im odważniejsze są nasze plany, tym większe jest ryzyko niepowodzenia. I co wtedy? Konieczna jest wówczas ewakuacja na „z góry upatrzone pozycje”. I to one są właśnie taką bramą.

Niektórzy inaczej podchodzą do kwestii ryzyka w działaniu i opracowują oraz uruchamiają swoje plany B.

Ostatnio rozmawiałem z menedżerem wysokiego szczebla, który opisał mi następującą sytuację:

Jego firma realizowała kluczowy dla swojego istnienia projekt. Jednak menedżer ten nie miał pełnego zaufania do kierownika zespołu zajmującego się tym zadaniem, do podejmowanych przez niego decyzji merytorycznych. W związku z tym, zamiast uzdrowić sytuację, uruchomił, kierowany przez samego siebie, konkurencyjny projekt, który nazwał swoim planem B.

Abstrahując od finału tej historii, możemy pokazać wyraźnie, czym różni się brama ewakuacyjna od planu B.

Brama ewakuacyjna musi być drożna i zapewniać uratowanie skóry w przypadku jakiejś katastrofy lub totalnego niepowodzenia. Nie gwarantuje, że wyjdziesz z opresji nieporaniony lub że osiągniesz swój cel, jednak podczas realizacji planu A praktycznie nie pochłania twojej uwagi i zasobów twojej firmy.

Natomiast plan B wymaga utrzymywania go w gotowości, a w większości przypadków także wielu aktywnych i intensywnych działań, żeby w każdej chwili był gotów do odegrania pierwszoplanowej roli. W zmieniających się warunkach zewnętrznych niepielęgnowany plan B jest tylko złudzeniem bezpieczeństwa, polisą bez pokrycia.

Moja rada jest taka:

  1. Nie twórz i nie uruchamiaj planów B, ponieważ będą one odciągały twoją uwagę oraz zasoby od planu A i już na wstępie podważały twoją wiarę w jego powodzenie.
  2. Starannie przygotuj, a potem odśnieżaj swoją bramę ewakuacyjną, czyli wyjście awaryjne na wypadek niepowodzenia.

Jajka w koszyku

Znane polskie przysłowie mówi:

Nie wkładaj wszystkich jajek do jednego koszyka.

Niby je słyszałeś, ale jak przychodzi co do czego, często zapominasz o jego praktycznych zastosowaniach. Oto kilka z nich:

  1. Gdy wybierasz się w podróż albo na wakacje, nigdy nie trzymaj pieniędzy i ważnych dokumentów w jednym miejscu. Paszport miej przy sobie, a dowód osobisty schowany w bagażu podręcznym. Pieniądze podziel na trzy części: jedną trzymaj w portfelu, drugą w bagażu podręcznym, a trzecią w walizce. Pojęcie „pieniądze” obejmuje także karty płatnicze, które zabierasz ze sobą.
  2. Gdy jesteś zatrudniony na etacie, nawet w najwspanialszej firmie, nie zapominaj o pielęgnowaniu innych możliwości zarabiania na własne utrzymanie. Pielęgnuj dawne znajomości, rozwijaj swoje zainteresowania, staraj się zaistnieć publicznie poza swoim zakładem pracy. W dobie internetu jest to szczególnie łatwe – podtrzymywanie znajomości na podstawowym poziomie wymaga wysłania kilku listów elektronicznych, sieć to skarbnica wiedzy na każdy temat, także twojego hobby, a założenie bloga jest dziecinnie proste i bezpłatne.
  3. Gromadząc oszczędności lub grając na giełdzie, nie inwestuj wszystkiego w jeden fundusz lub akcje jednej firmy. Bywa, że taka inwestycja jest strzałem w dziesiątkę, lecz znacznie częściej, postępując w ten sposób, bawisz się w lotto a nie profesjonalnie zarządzasz swoimi pieniędzmi. Wybieraj różne instrumenty finansowe i dla bezpieczeństwa korzystaj z usług kilku banków.

Powyższe podejście stoi w pewnej sprzeczności z ideą upraszczania życia, lecz nie należy być doktrynerem. Jeśli alternatywą bezwzględnej prostoty jest bezpieczeństwo uzyskane kosztem niewielkiej (podkreślam NIEWIELKIEJ) złożoności, wybierz to drugie, a ograniczysz stres towarzyszący twojemu życiu i biznesowi.