Tag: bezpieczeństwo

Ochrona prywatności

Nie mam nic do ukrycia.

Przynajmniej nic o tym nie wiem.

Dlatego zawsze bliskie mi było kontrowersyjne stanowisko Erica Schmidta, członka zarządu firmy Google, który powiedział:

Jeśli masz coś, o czym nie chciałbyś, żeby ktokolwiek się dowiedział, może w pierwszym rzędzie nie powinieneś tego robić…

Jednak ostatnio zmieniłem zdanie. Zrobiłem to pod wpływem celnej argumentacji Edwarda Snowdena opublikowanej w ubiegłym roku w serwisie reddit:

Istotą problemu jest wskazanie, że – niezależnie od efektu – cel (zapobieganie przestępstwom) nie uświęca środków (gwałcenie praw milionów ludzi, których prywatne dane są wbrew konstytucji przechwytywane i analizowane).

Niektórzy mogą powiedzieć: „Nie obchodzi mnie, czy ktoś narusza moją prywatność; nie mam nic do ukrycia”. Pomóżmy im zrozumieć, że mylą się w kwestii istoty praw człowieka. Nikt nie musi uzasadniać, dlaczego „potrzebuje” prawa; obowiązek uzasadnienia spada na tych, którzy starają się to prawo złamać. Ale nawet jeśli by uzasadnili, nie możesz rozporządzać prawami innych tylko dlatego, że tobie są one niepotrzebne. Mówiąc prościej, większość nie może przegłosować anulowania naturalnych praw mniejszości.

Ale nawet gdyby mogli, pomóż im zastanowić się przez chwilę nad tym, co sami mówią. Argumentacja, że nie obchodzi cię prywatność, ponieważ nie masz nic do ukrycia, nie różni się od argumentacji, że nie obchodzi cię wolność słowa, ponieważ nie masz nic do powiedzenia.

Wolna prasa przynosi korzyści nie tylko tym, którzy ją czytają.

Przekonuje cię takie postawienie sprawy?

Dwaa!tY-sionce16

Dwaa!tY-sionce16

Z okazji nadejścia Nowego 2016 Roku życzę Ci zdrowia i cyber-zdrowia!

Żeby być zdrowym, podejmij wyzwanie zażywania ruchu co najmniej cztery razy w tygodniu przez co najmniej pół godziny. Spaceruj, biegaj, graj w piłkę, pływaj i nie usprawiedliwiaj się, że nie masz czasu, ponieważ musisz zajmować się dziećmi. Dzieci lubią ruch, a jeszcze bardziej lubią skakać, rzucać i robić „plusk” razem ze swoją mamą i swoim tatą!

Żeby być cyber-zdrowym, podejmij wyzwanie cyber-higieny. Na czym ono polega? Zabezpiecz się w sieci, wzmacniając swoje hasła!

W 2016 roku każde hasło powinno mieć co najmniej 16 znaków, w tym co najmniej dwie wielkie litery, co najmniej dwie małe litery, co najmniej dwie cyfry i co najmniej dwa znaki przestankowe, czyli takie, które nie są ani literami, ani cyframi.

Jak tworzyć takie hasła? Najlepiej za pomocą specjalnych programów do zarządzania hasłami. Jest tylko jeden haczyk: musisz ufać twórcom tych programów. A jeżeli im nie ufasz, twórz hasła sam.

Modyfikuj słowa, z których składasz swoje hasła, powtarzając niektóre litery lub zastępując jedną literę kilkoma innymi. Nie zamieniaj liter na cyfry („o” – „0”, „E” – „3”), ponieważ hakerskie słowniki znają już tę sztuczkę. Natomiast zmiana liczby liter generuje zbyt wiele kombinacji, żeby warto je było katalogować. Przypatrz się tytułowi tego wpisu. Gwarantuję ci, że jest odporny na atak słownikowy, a 16 znaków daje sensowne zabezpieczenie przed atakiem polegającym na wypróbowaniu wszystkich istniejących możliwości. Nawet najszybszym komputerom taka próba zajęłaby setki milionów lat.

Im dłuższe hasło, tym trudniej je złamać. Prostą metodę wydłużania haseł opisałem cztery lata temu we wpisie Hasło w stogu siana. Polecam!

A, i jeszcze jedno: nie używaj tego samego hasła w więcej niż jednym miejscu!

Zatem jeszcze raz:

Trzymaj się zdrowo i cyber-zdrowo w 2016 roku!

Głupie? Ale działa!

„Jeśli coś wydaje ci się głupie, ale działa, to znaczy, że nie jest głupie.” – Mercedes Lackey („Owlknight”)

Najwyższy czas, żeby ta powszechnie stosowana w wojsku i lotnictwie zasada została też skutecznie wdrożona w twoim biznesie.

Bo jak długo można bazować na improwizacji i radosnej twórczości?

Ile razy można odkrywać Amerykę?

Spisany i stosowany system reguł postępowania, standardów i list kontrolnych jest najskuteczniejszą metodą oliwienia organizacyjnych mechanizmów!

Po co?

Żeby samoloty lądowały tyle samo razy, ile startują. Żeby pacjenci nie „wynosili” w sobie żadnych narzędzi chirurgicznych z sal operacyjnych. Żeby pociągi nie zamieniały się w stertę złomu po próbie przejechania zakrętu z naddźwiękową prędkością. I w milionach innych przypadków.

Nie daj się zwieść! Każdy pracownik „wie lepiej” tylko do czasu, aż mleko się rozleje albo maszyna urwie mu rękę. Ale wtedy jest już za późno…

Pamiętaj, że w większości przypadków:

„Jeśli coś wydaje ci się głupie, ale działa, to znaczy, że nie jest głupie.”

Hasło w stogu siana

Na łamach BIZNESU BEZ STRESU zajmowałem się już problemem haseł do systemów komputerowych i serwisów internetowych, czyli „kluczy” zabezpieczających nasze cyfrowe zasoby przed kradzieżą i nieuprawnionym dostępem. Hasła te powinny być jednocześnie łatwe do zapamiętania (żeby nie trzeba było ich zapisywać) i trudne do złamania (z oczywistych powodów). Te dwie cechy wydają się być nie do pogodzenia, więc albo stosujemy hasła banalne, albo skomplikowane, które zapisujemy na karteczkach lub przechowujemy w zaszyfrowanej postaci, korzystając z wyspecjalizowanego oprogramowania lub serwisów sieciowych.

Steve Gibson, specjalista do spraw bezpieczeństwa komputerowego, twórca znakomitego programu do odzyskiwania danych SpinRite oraz terminu „spyware”, odkrył ostatnio nową, genialną w swej prostocie metodę tworzenia haseł. Haseł, które są jednocześnie łatwe do zapamiętania i trudne do złamania!

Zastanówmy się najpierw, jak Niedobry Haker podchodzi do łamania naszych haseł. Po pierwsze za pomocą olbrzymiego słownika sprawdza wszystkie ciągi znaków, które mogą się z czymś kojarzyć: liczby, słowa, zmodyfikowane słowa oraz ich nieskomplikowane połączenia – na przykład:

  • „pies”, „pies0”, „pies1”, „pies2”,… „pies9”;
  • „Pies”, „Pies0”, „Pies1”, „Pies2”,… „Pies9”;
  • „piEs”, „piEs0”, „piEs1”, „piEs2”,… „piEs9”;
  • „pie5”, „pie50”, „pie51”, „pie52”,… „pie59”;
  • i tak dalej…

Atak słownikowy wymaga znacznej liczby sprawdzeń, jednak ogranicza się do stosunkowo skromnego repertuaru ludzkich skojarzeń. Co to jest „pies”, wie każdy, zaś „pvra” to słowo, które raczej nikomu nie przyjdzie samoistnie do głowy.

Gdy powyższa metoda nie przynosi sukcesu, Niedobry Haker musi uciec się do znacznie bardziej pracochłonnego łamania hasła „brutalnom siłom” poprzez sprawdzenie WSZYSTKICH możliwych, „niekojarzących się z niczym” ciągów znaków. Liczba kombinacji, które trzeba w tym przypadku poddać próbie jest olbrzymia i zależy od nieznanej Niedobremu Hakerowi długości hasła i nieznanego repertuaru użytych w nim znaków (czy są to tylko małe litery, czy małe i wielkie litery, czy małe i wielkie litery oraz cyfry, czy wreszcie małe i wielkie litery oraz cyfry i znaki przestankowe).

Zatem podsumujmy: dobre hasło to takie, którego nie da się znaleźć w słowniku i które jest długie. Dobre hasło nie musi być wcale skomplikowane! Pracochłonność procedury szukania od tego nie zależy! Zależy od wielkości stogu, który trzeba przekopać!

Na przykład 24-znakowe hasło „Pie5………………..” jest 95 razy trudniejsze do złamania niż 23-znakowe hasło „PrXyc.N(n4k77#L!eVdAfp9”.

Oczywiście pod warunkiem, że Niedobry Haker nie wie, jak długi jest ogon, który doczepiliśmy naszemu psu. I z jakich znaków się ten ogon składa. I czy doczepiliśmy go z tyłu, z przodu, czy w środku.

Dodatkowo warto różnicować swoje hasło tak, żeby nie używać tego samego ciągu znaków do uzyskiwania dostępu do wielu witryn internetowych, ponieważ Niedobry Haker mógłby jednym, zgubionym przez nas kluczem otworzyć wszystkie nasze cyfrowe szuflady.

A oto prosty przykład użycia metody Steve Gibsona do utworzenia zbioru mocnych, łatwych do zapamiętania haseł do wybranych witryn internetowych: słowo kluczowe: „klon” (zmodyfikowane w następujący sposób: „kl0N”), wypełniacz: „.1” powtórzony 4 razy, identyfikator witryny: dwa pierwsze znaki:

  • gmail: „kl0N.gm.1.1.1.1”
  • amazon: „kl0N.am.1.1.1.1”
  • twitter: „kl0N.tw.1.1.1.1”
  • facebook: „kl0N.fa.1.1.1.1”

PS. Steve Gibson opisał swoją metodę w artykule „Password Haystacks: How Well Hidden is Your Needle?”.

Brama ewakuacyjna

Brama ewakuacyjna

Podczas sobotniego spaceru po zaśnieżonych uliczkach zobaczyłem, uwiecznioną na powyższym zdjęciu, bramę ewakuacyjną z groźnym napisem „NIE ZASTAWIAĆ”. Zarówno przed nią, jak i za nią piętrzą się góry zgarniętego śniegu. Bo tak było najłatwiej…

Patrząc na ten obrazek, zacząłem zastanawiać się nad rolą bram ewakuacyjnych w naszym życiu i w działalności gospodarczej. Im odważniejsze są nasze plany, tym większe jest ryzyko niepowodzenia. I co wtedy? Konieczna jest wówczas ewakuacja na „z góry upatrzone pozycje”. I to one są właśnie taką bramą.

Niektórzy inaczej podchodzą do kwestii ryzyka w działaniu i opracowują oraz uruchamiają swoje plany B.

Ostatnio rozmawiałem z menedżerem wysokiego szczebla, który opisał mi następującą sytuację:

Jego firma realizowała kluczowy dla swojego istnienia projekt. Jednak menedżer ten nie miał pełnego zaufania do kierownika zespołu zajmującego się tym zadaniem, do podejmowanych przez niego decyzji merytorycznych. W związku z tym, zamiast uzdrowić sytuację, uruchomił, kierowany przez samego siebie, konkurencyjny projekt, który nazwał swoim planem B.

Abstrahując od finału tej historii, możemy pokazać wyraźnie, czym różni się brama ewakuacyjna od planu B.

Brama ewakuacyjna musi być drożna i zapewniać uratowanie skóry w przypadku jakiejś katastrofy lub totalnego niepowodzenia. Nie gwarantuje, że wyjdziesz z opresji nieporaniony lub że osiągniesz swój cel, jednak podczas realizacji planu A praktycznie nie pochłania twojej uwagi i zasobów twojej firmy.

Natomiast plan B wymaga utrzymywania go w gotowości, a w większości przypadków także wielu aktywnych i intensywnych działań, żeby w każdej chwili był gotów do odegrania pierwszoplanowej roli. W zmieniających się warunkach zewnętrznych niepielęgnowany plan B jest tylko złudzeniem bezpieczeństwa, polisą bez pokrycia.

Moja rada jest taka:

  1. Nie twórz i nie uruchamiaj planów B, ponieważ będą one odciągały twoją uwagę oraz zasoby od planu A i już na wstępie podważały twoją wiarę w jego powodzenie.
  2. Starannie przygotuj, a potem odśnieżaj swoją bramę ewakuacyjną, czyli wyjście awaryjne na wypadek niepowodzenia.

Jajka w koszyku

Znane polskie przysłowie mówi:

Nie wkładaj wszystkich jajek do jednego koszyka.

Niby je słyszałeś, ale jak przychodzi co do czego, często zapominasz o jego praktycznych zastosowaniach. Oto kilka z nich:

  1. Gdy wybierasz się w podróż albo na wakacje, nigdy nie trzymaj pieniędzy i ważnych dokumentów w jednym miejscu. Paszport miej przy sobie, a dowód osobisty schowany w bagażu podręcznym. Pieniądze podziel na trzy części: jedną trzymaj w portfelu, drugą w bagażu podręcznym, a trzecią w walizce. Pojęcie „pieniądze” obejmuje także karty płatnicze, które zabierasz ze sobą.
  2. Gdy jesteś zatrudniony na etacie, nawet w najwspanialszej firmie, nie zapominaj o pielęgnowaniu innych możliwości zarabiania na własne utrzymanie. Pielęgnuj dawne znajomości, rozwijaj swoje zainteresowania, staraj się zaistnieć publicznie poza swoim zakładem pracy. W dobie internetu jest to szczególnie łatwe – podtrzymywanie znajomości na podstawowym poziomie wymaga wysłania kilku listów elektronicznych, sieć to skarbnica wiedzy na każdy temat, także twojego hobby, a założenie bloga jest dziecinnie proste i bezpłatne.
  3. Gromadząc oszczędności lub grając na giełdzie, nie inwestuj wszystkiego w jeden fundusz lub akcje jednej firmy. Bywa, że taka inwestycja jest strzałem w dziesiątkę, lecz znacznie częściej, postępując w ten sposób, bawisz się w lotto a nie profesjonalnie zarządzasz swoimi pieniędzmi. Wybieraj różne instrumenty finansowe i dla bezpieczeństwa korzystaj z usług kilku banków.

Powyższe podejście stoi w pewnej sprzeczności z ideą upraszczania życia, lecz nie należy być doktrynerem. Jeśli alternatywą bezwzględnej prostoty jest bezpieczeństwo uzyskane kosztem niewielkiej (podkreślam NIEWIELKIEJ) złożoności, wybierz to drugie, a ograniczysz stres towarzyszący twojemu życiu i biznesowi.

Bezpieczeństwo kosztuje

Bezpieczeństwo kosztuje. Przede wszystkim w sensie materialnym. Słuszny postulat, żeby najważniejsze osoby w państwie nie podróżowały razem jednym samolotem, przekłada się bezpośrednio na brzęczące złotówki, które każdy podatnik musi wysupłać z kieszeni. A stąd już niedaleka droga do populistycznych haseł, które ma w zanadrzu każda opozycja, że władza wozi swoje tyłki w luksusowych, przestronnych kabinach samolotów, kiedy my musimy tłoczyć się w przepełnionych autobusach. I tak mija rok za rokiem i budzimy się z ręką w nocniku, gdy coś spadnie albo wydarzy się inne nieszczęście.

I nie ma co gadać po próżnicy o procedurach, o tym, że Prezydent nie może z Premierem, a generał z generałem, kiedy zawsze znajdą się tacy, którzy skrupulatnie rozliczą użycie o jednego samolotu za dużo.

Po wypadku polskiego prezydenckiego samolotu w amerykańskiej prasie pojawiły się pełne niedowierzania komentarze dotyczące braku lub nieprzestrzegania procedur dotyczących wspólnych podróży wysokich urzędników państwowych. Tyle że w Stanach Zjednoczonych:

  • Prezydent ma do dyspozycji dwa samoloty Boeing VC-25 (zmodyfikowana wersja Jumbo Jeta Boeing 747-200B), z których każdy kosztował 325 milionów dolarów i których roczne utrzymanie pożera podobną sumę. Zakupy produktów żywnościowych na potrzeby Air Force One odbywają się incognito, w losowo wybranych sklepach, żeby zmniejszyć ryzyko zatrucia („How Air Force One Works” / How Stuff Works). Przed samolotem prezydenckim do celu podróży dociera inny samolot: towarowy C141 Starlifter, którego zadaniem jest dostarczenie na miejsce opancerzonych samochodów wchodzących w skład kolumny prezydenckiej.
  • Wiceprezydent ma do dyspozycji jeden z czterech Boeingów C-32A (zmodyfikowana wersja Boeinga 757-200), z których każdy kosztował 65 milionów dolarów.

Oprócz kosztów materialnych, bezpieczeństwo wymaga także wysiłku, dyscypliny i czasu. To nie przypadek, że mimo wyposażenia każdego samochodu w pasy, wciąż wiele osób ginie w wypadkach lub odnosi ciężkie obrażenia z powodu ich niezapięcia. To nie przypadek, że zdarza się tak wiele wypadków z powodu rozwinięcia nadmiernej prędkości. Brak czasu skłania kierowców do podejmowania nieuzasadnionego ryzyka.

Reasumując, uważam, że wypadek pod Smoleńskiem powinien z jednej strony być impulsem do odpowiedniego ponadpartyjnego zadbania o bezpieczeństwo osób, które sami wybraliśmy na najwyższe urzędy w państwie, a z drugiej strony skłonić każdego z nas do refleksji, czy ryzyko, które podejmujemy na co dzień, jest naprawdę uzasadnione, czy przybycie do celu podróży kilkanaście minut wcześniej jest ważniejsze od naszego życia i zdrowia.