W czasach globalnej informatyzacji, portali spoecznociowych, wszechobecnego spamu i mailingu jestemy naraeni na przekazywanie naszych danych osobowych, kradzie

tosamoci (tzw. phishing), oraz inne cyber-zagroenia. Warto mie wiadomo jakie niebezpieczestwa czekaj na nas w sieci i tego jak si przed nimi broni. Akceptujc regulaminy rnych portali spoecznociowych, zapisujc si na newslettery, czy odpowiadajc na pytania w ankietach internetowych, czsto niewiadomie podajemy swoje dane osobowe, godzc si na ich przetwarzanie, przekazywanie innym podmiotom, czy uywanie w celach marketingowych. Ochrona Danych Osobowych od strony prawnej: Konstytucja Rzeczpospolitej Polskiej Art. 47, Art. 51 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.) Rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz. U. z 2001 r. Nr 128, poz. 1402) Ustawa z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej (Dz. U. z 2007 r. Nr 165, poz. 1170) Rozporzdzenie Ministra Spraw Wewntrznych i Administracji z 15 listopada 2007 r. w sprawie szczegowego sposobu rejestrowania przypadkw, w ktrych uzyskano dostp do danych przez Krajowy System Informatyczny (Dz. U. z 2007 r., Nr 223, poz. 1643) Dyrektywa 95/46/WE Parlamentu Europejskiego Zawiera definicje podstawowych terminw odnoszcych si do dziedziny danych osobowych, ustala zasady zbierania, gromadzenia, przechowywania i udostpniania danych osobowych. Okrela zasady i warunki zgodnoci przetwarzania danych osobowych z prawem oraz prawa osb, ktrych dane dotycz Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w zwizku ze wiadczeniem oglnie dostpnych usug cznoci elektronicznej lub udostpnianiem publicznych sieci cznoci (Dziennik Urzdowy Wsplnot Europejskich Serii L Nr 105 z dnia 13 kwietnia 2006 r.) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatnoci w sektorze komunikacji elektronicznej (Dyrektywa o ochronie prywatnoci i komunikacji elektronicznej - aktualizowana). Rekomendacja R (85)20 Komitetu Ministrw dla Pastw Czonkowskich w sprawie ochrony danych osobowych uywanych dla celw marketingu bezporedniego, Rady Europy "Ochrona

Danych Osobowych Wykorzystywanych dla potrzeb marketingu bezporedniego" z 25 padziernika 1985 r. Rekomendacja R (81) 1 Komitetu Ministra dla Pastw Czonkowskich UE w sprawie regulacji majcych zastosowanie do zautomatyzowanych bankw danych medycznych przyjta przez Komitet Ministrw 23 stycznia 1981 r. Na pocztku zdefiniujmy czym w ogle s dane osobowe. W rozumieniu art. 6.1 ustawy o ochronie danych osobowych1 uznaje si za nie wszelkie informacje dotyczce zidentyfikowanej, lub moliwej do zidentyfikowania osoby fizycznej umoliwiajce identyfikacj konkretnej osoby bez ponoszenia nadmiernych kosztw. Charakter danych osobowych mog posiada informacje z tzw. rnych dziedzin ycia, pod warunkiem, e istnieje tylko moliwo powizania ich z oznaczon osob (np. takie niezalene okolicznoci jak imi, nazwisko, numer PESEL, data urodzenia; cechy nabyte, jak wyksztacenie, posiadane uprawnienia; cechy osobowociowe, zainteresowania; sytuacja majtkowa; najrniejsze przejawy dziaalnoci, niekiedy take adres e-mail, czy adres IP). Szczeglnym rodzajem danych osobowych s dane wraliwe, inaczej sensytywne, ktrych przetwarzanie podlega specjalnym rygorom. Nale do nich dane ujawniajce: pochodzenie rasowe lub etniczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub zwizkow, dane o stanie zdrowia, kodzie genetycznym, naogach lub yciu seksualnym, oraz dane dotyczce: skaza, orzecze o ukaraniu i mandatw karnych, innych orzecze wydanych w postpowaniu sdowym lub administracyjnym. (art. 27 ust. 1 ustawy o o.d.o.). Odnonie zwykych danych osobowych wizerunek danej osoby jest rwnie uznawany za dane osobowe. Przykadem moe by tutaj wyrok NSA z 2007 roku (Sygn. akt I OSK 667/09) dotyczcy umieszczenia na Naszej-Klasie zdjcia ze szkoy sprzed 30 lat bez zgody osoby na nim widniejcej, w ktrym sd uzna, i zdjcie nawet bez podpisywania osoby na nim umieszczonej podlega ochronie danych osobowych. Jak wskaza sd, nawet jeli nie jestemy w stanie natychmiast rozpozna danej osoby, ale mimo to jej identyfikacja jest moliwa, zdjcie to bdzie chronione jako dane osobowe. Analogicznie zasada ta dotyczy filmu z konkretn osob, jej rysunku, czy nagrania. Powinnimy o tym pamita zamieszczajc zdjcia z wsplnych imprez, czy wyjazdw, majc wiadomo, e zgodnie z art. 81 ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych rozpowszechnianie wizerunku co do zasady wymaga zezwolenia osoby na nim przedstawionej2. Zagroenia pynce z Internetu:
1 2

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.). Anna Sergiej, Ochrona danych osobowych w Internecie, http://www.prawnik.pl/temat-dnia/277576,Ochrona-danychosobowych-w-Internecie.html.

Sniffing - Polega na przechwytywaniu pakietw, nawet tych, ktre nie s adresowane do komputera, na ktrym dziaa sniffer. Sniffer jest programem, ktry zmienia tryb pracy wybranego interfejsu sieciowego na "promiscuous". Dziki temu moe przechwytywa i analizowa wszelkie pakiety docierajce do danego interfejsu sieciowego. Moliwe jest to dziki temu, ze w wielu sieciach pakiet dociera do wielu komputerw. Kady z nich porwnuje docelowy adres IP w pakiecie ze swoim i jeli s takie same, analizuje go. Sniffing mona wiec wykorzysta do podsuchu i np. przechwycenia hasa i innych danych. Sniffery s tez nazywane analizatorami sieciowymi, poniewa s niezastpionym narzdziem administracyjnym przy zarzdzaniu i usuwaniu problemw z sieci. Sniffing jest mocno utrudniony w sieciach przeczanych, poniewa do nas dochodz zazwyczaj tylko "nasze" pakiety. Stosujc jednak rone techniki, mona zmusi switche i inne urzdzenia sieciowe do zmiany trasy pakietw i skierowa je do nas.

Phishing(Spoofing) Phishing wykorzystywany jest do owienia danych osobowych, informacji oraz wykradania danych z kart kredytowych. upem zodziej internetowych padaj najczciej uytkownicy elektronicznych kont pocztowych. Wysyane na poczt mailow wiadomoci mog zawiera faszywe linki. Oszuci podszywaj si zazwyczaj pod znane witryny internetowe bankw, platform aukcyjnych, bd firm finansowych. Informacja zawarta w wiadomoci zwykle w formie ponaglenia wzywa do zalogowania si na podany w mailu link. Po klikniciu faszywego linka zostajemy automatycznie przekierowani na podstawion stron, przypominajc nam orygina autentycznej witryny. Tre wiadomoci zwykle bywa stanowcza, np.: Prosimy o uzupenienie swoich danych w cigu 24 godzin od daty otrzymania wiadomoci w celu weryfikacji i aktualizacji programu. Nieuzupenienie Pana/Pani danych spowoduje zawieszenie konta. Jest to klasyczny przykad oszustwa, atwy do wychwycenia, gdy nie ma tu bezporedniego odwoania do imienia i nazwiska odbiorcy maila. Instytucje finansowe i banki nie stosuj tego typu prb ze wzgldu na bezpieczestwo i ochron danych osobowych klientw. Warto pamita, e oszuci zazwyczaj wysyaj e-maile masowo do anonimowych uytkownikw.

Cracking to dziedzina informatyki zajmujca si amaniem zabezpiecze. Cracking dokonywany jest niemal zawsze z naruszeniem praw autorskich, a tym samym nielegalnie. Cracking sieciowy czyli amanie zabezpiecze komputerw w sieciach komputerowych. W przypadku amania zabezpiecze serwerw cracker (w tym kontekcie czciej nazywany hakerem) musi znale luk w zabezpieczeniach i albo wykorzysta j wpisujc rcznie polecenia, albo stworzy exploit may program, ktry wykorzysta luk do przejcia kontroli nad serwerem, lub zmusi go do wykonania danej przez nas operacji.

Hijacking (Hackowanie) czyli przechwytywanie sesji, odnosi si do wszystkich atakw, gdzie wamywacz prbuje uzyska dostp do istniejcej sesji uytkownika, tzn. takich gdzie identyfikator zosta ju wczeniej przydzielony. Polegaj na uzyskiwaniu nieuprawnionego

dostpu do systemw komputerowych na skutek przechwycenia sesji legalnego uytkownika. Opiera si na przesyaniu w sesji np. adresu IP komputera wraz z nazw przegldarki, spod ktrych zostaa ona utworzona, a nastpnie porwnywa je przy kolejnych wizytach z danymi dostarczonymi przez serwer. Exploity to programy stworzone do atakowania komputerw przy wykorzystaniu luk znajdujcych si w legalnym oprogramowaniu. Denial of Service(DoS) i Distributed Denial of Service (DDoS) - DoS (denial of service odmowa usugi) atak na system komputerowy lub usug sieciow w celu uniemoliwienia dziaania. Atak polega zwykle na przecieniu aplikacji serwujcej okrelone dane czy obsugujcej danych klientw (np. wyczerpanie limitu wolnych gniazd dla serwerw FTP czy WWW), zapenienie caego systemu plikw tak, by dogrywanie kolejnych informacji nie byo moliwe (w szczeglnoci serwery FTP), czy po prostu wykorzystanie bdu powodujcego zaamanie si pracy aplikacji. W sieciach komputerowych atak DoS oznacza zwykle zalewanie sieci (ang. flooding) nadmiarow iloci danych majcych na celu wysycenie dostpnego pasma, ktrym dysponuje atakowany host. Niemoliwe staje si wtedy osignicie go, mimo e usugi pracujce na nim s gotowe do przyjmowania pocze. Atak DDoS jest odmian ataku DoS polegajc na jednoczesnym atakowaniu ofiary z wielu miejsc. Su do tego najczciej komputery, nad ktrymi przejto kontrol przy uyciu specjalnego oprogramowania. Na dany sygna komputery zaczynaj jednoczenie atakowa system ofiary, zasypujc go faszywymi prbami skorzystania z usug, jakie oferuje. Dla kadego takiego wywoania atakowany komputer musi przydzieli pewne zasoby (pami, czas procesora, pasmo sieciowe), co przy bardzo duej iloci da prowadzi do wyczerpania dostpnych zasobw, a w efekcie do przerwy w dziaaniu lub nawet zawieszenia systemu. Przykadem ataku DDoS by atak wirusa Mydoom 1 lutego 2004 na serwery firmy SCO oraz 3 lutego 2004 na serwery firmy Microsoft. Dwa razy w historii celem ataku stao si 13 gwnych serwerw DNS obsugujcych tumaczenie nazw domen na adresy IP. Pierwszy atak mia miejsce 21 padziernika 2002 roku, powodujc blokad dziewiciu z nich, za drugi - 6 lutego 2007, kiedy z szeciu atakowanych serwerw zablokowane zostay dwa. W Polsce w dniach od 30 listopada do ok. 3 grudnia 2006 mia miejsce atak na portal Gazeta.pl. Innym gonym celem atakw DDoS sta si w maju 2007 serwis policja.pl - wedug spekulacji prasowych, miao to by odwetem za policyjny nalot na jeden z serwisw udostpniajcych napisy do filmw w Internecie3. Wirusy to kod komputerowy doczajcy si do programu lub pliku, dziki czemu moe rozprzestrzenia si na inne komputery, infekujc je. Wirusy mog uszkadza oprogramowanie, sprzt i pliki. Rodzajem wirusa s tzw. robaki. Robak rozprzestrzenia si z reguy bez udziau uytkownika i rozsya poprzez sie pene kopie samego siebie (moliwe, e zmodyfikowane).
3

http://pl.wikipedia.org/wiki/DdoS.

Robak moe zuywa pami systemu lub przepustowo sieci, w wyniku czego komputer moe przesta odpowiada. Pierwszym takim wirusem by Happy99, a najbardziej znanym ILOVEYOU, wykryty w 2000 roku. Niepozorny zacznik imitujcy plik tekstowy wprowadza wiele zoliwych zmian w systemie operacyjnym komputera - co gorsza, rozsya si te automatycznie do wszystkich adresw w skrzynce pocztowej zaraonej maszyny. Jego ofiar pady miliony osb na caym wiecie, spowodowa on te straty finansowe sigajce 5,5 miliarda dolarw. Kolejnym wirusem tego typu by MyDoom z 2004 roku. Coraz czciej motywem tworzenia wirusw jest ch zarobienia pienidzy. Wirusy takie jak Fizzer czy Sobig infekoway komputer, zmuszajc go do wysyania dziesitek wiadomoci spamerskich, natomiast SDBot szuka w zainfekowanym komputerze wraliwych danych, hase dostpu, a nawet tajnych kodw do gier komputerowych. Wszystkie powysze wirusy zostay wykryte w 2005 roku. W tym samym roku wykryto wirusa typu rootkit stworzonego przez koncern medialny Sony. Wykorzystujcy ten sam pomys co Brain (wirus zabezpieczajcy przed nielegalnym kopiowaniem) system zabezpiecze pyt z muzyk DRM wywoa oburzenie na caym wiecie. Po licznych pozwach Sony zrezygnowao z jego stosowania4. Twrcy wirusw nie oszczdzaj rwnie urzdze mobilnych. Pierwszy znany wirus komrkowy - Cabir, pojawi si w 2003 roku. Najnowsze wersje wirusw komrkowych, takie jak 3D Anti Terrorist, ukrywaj si pod postaci zwykych aplikacji mobilnych i mog powodowa due straty - np. wykonywa drogie poczenia. Konie trojaskie to pozornie poyteczne programy komputerowe, ktre w rzeczywistoci powoduj zniszczenia. Konie trojaskie rozprzestrzeniaj si w wyniku uruchomienia programu przez osob, ktra uwaa, e taki program pochodzi z rzetelnego rda. Haxdoor z 2003 roku by koniem trojaskim, wykorzystujcym luki bezpieczestwa do zagniedenia si na komputerze, mogcym pozostawa nie wykrytym przez wiele lat. Storm Worm z 2007 roku uywa zacznika mailowego do podczenia zainfekowanego komputera do botnetu - armii 10 milionw zdalnie sterowanych maszyn. O rok pniejszy Mebroot jest tak bezczelny, e gdy powoduje zatrzymanie systemu, wysya raport do swojego twrcy. Najbardziej zmylnym jak dotd wirusem jest rwnienik Mebroota - Conficker, ktry wykorzystuje zaawansowane techniki wykorzystania luk w systemach i sabych hase, a po infekcji blokuje strony wikszoci producentw wirusw5. Rootkity Sowo rootkit skada si z dwch sw: root oraz kit (ang. korze i narzdzie). Root oznacza tu uytkownika posiadajcego najszersze uprawnienia w systemach UNIX (moe to by UNIX, AIX, Linux lub inny). Taka osoba jest nazywana super-uytkownikiem, administratorem lub ca mas innych okrele. Jest ona najwysz wadz w systemie IT. Natomiast kit jest zestawem narzdzi, a wic rootkit jest grup narzdzi administracyjnych. W praktyce rootkity s programami, ktre po zainstalowaniu w systemie wykonuj pewne jego
4 5

http://hacking.pl/pl/news-16276-Historia_wirusow_komputerowych_25_lat_epoki_wirusow.html. Tame.

modyfikacje tak, aby moliwe byo wykonanie zaprogramowanych czynnoci bez ich wykrycia. Mwic krtko, rootkity prbuj pomc ukry si innym procesom, ktre wykonuj niepodane czynnoci w systemie. Na przykad, jeeli w systemie znajduj si backdoors (tylne drzwi), ktre ledz wykonywane czynnoci, wwczas rootkit ukrywa otwarte porty, mogce by ostrzeeniem przed niepodan komunikacj. Albo jeeli istnieje program rozsyajcy spam, wwczas rootkit ukrywa wszelkie czynnoci zwizane z wysyaniem wiadomoci email. Jedynym ograniczeniem jest tutaj wyobrania twrcy rootkita6. Keylogger to jeden z rodzajw oprogramowania typu snoopware suce ledzeniu poczyna uytkownika komputera, np. do monitorowania zachowa pracownikw firmy, dzieci w domu itd. Keylogger dziaa w ukryciu i rejestruje uderzenia w klawisze, a czasem take przechwytuje ekrany, pozwalajc osobie kontrolujcej sprawdza, czym si zajmuje uytkownik komputera. Program uruchamia si w niewidzialnym trybie razem z uruchomieniem Windows. (trudno jest Go znale). Moe by zamieszczony w formatach .Exe* .Bat* .Rar* .Rec* .Com*, .DLL* .ZIP* . 7Z*. Jest te wysyany przez poczt Outlook Express lub przez gg, wchodzc na odpowiednio spreparowan stron www przez Internet Explorera mona zainstalowa sobie co na komputerze bez naszej wiedzy, ale moe te by np .JPG.Exe* (s to sztuczki hackera, aby si nie potkn wstawi przed .Exe* inny skrt czyli .JPG*). Nie zamieszczany jest w Formatach .JPEG* .MP3* .TIF* .GIF* .BMP*, ani te w adnych z PLIKW Screenowych7. Spyware znane te pod nazw adware, malware, trackware, scumware, thiefware, snoopware, sneakware.Poprzez jego ukryt natur, wikszo uytkownikw Internetu bardziej znaj symptomy zaraenia spywarem: powolne dziaanie komputera, zwikszona liczba wyskakujcych reklam, niewytumaczalne zmiany strony domowej przegldarki, dziwne wyniki wyszukiwa. Moe by tylko dokuczliwe, ale nie wykrycie spyware'u w komputerze, moe doprowadzi do bardziej powanych konsekwencji jak np.: kradzie tosamoci. Czy moliwe jest korzystanie z dobrodziejstw jakie oferuje nam sie i jednoczenie czu si bezpiecznie? Niestety wiele spord osb, ktre pady ofiar oszustw w sieci jest same sobie winne - brak uwagi i zdrowego rozsdku mona bowiem przypaci powanymi konsekwencjami. Jak unikn kopotw? Oto kilka praktycznych porad dla uytkownikw Internetu, do ktrych warto si zastosowa: im bardziej skomplikowane hasa tym lepiej, hasa, ktrych uywasz powinny by trudne do odgadnicia, stosuj due i mae litery, oraz wykrzykniki, kropki i inne znaczniki, niezbyt dobrym pomysem jest ukadanie hasa dostpu z imienia, nazwiska, daty urodzin itp., takie haso jest atwo do zamania, jeli masz konta na kilku portalach spoecznociowych stosuj inne hasa do kadego z nich, hasa najlepiej zapamita, jeli jednak boisz si, e zapomnisz zapisz je w takim miejscu, eby nikt niepowoany nie mia do nich dostpu,

6 7

https://www.forum.haszysz.com/rootkity-t16180.html?p=467810. http://board.metin2.pl/index.php?page=Thread&threadID=42419.

zwracaj uwag na nietypowe komunikaty, do tej pory logowae si do swojego konta bez problemu a tu nagle system prosi ci o ponowne wprowadzenie danych w celu ich weryfikacji, nie daj si nabra na takie sztuczki, jeli masz jakiekolwiek wtpliwoci lepiej zadzwo do banku itp. i dowiedz si, czy taki proceder jest ich inicjatyw, lecz prawie pewne jest, e pade ofiar internetowego wykradacza hase, najszybciej jak to moliwe zgo to komu trzeba,

zainstaluj na swoim komputerze program antywirusowy i antyspamowy, ktry uchroni ci nie tylko przed wirusem ale i przed wyciekiem danych z twojego komputera, tak czsto jak to moliwe aktualizuj swojego antywirusa,

aktualizuj oprogramowanie, wszelkie dziury i luki w naszym systemie operacyjnym to tylko wiksza szansa dla internetowych przestpcw, mimo to wiele osb ignoruje komunikaty o koniecznoci aktualizacji oprogramowania co czsto wie si z tym, e posiadaj oni oprogramowanie nielegalne, i boj si, e zostan wykryci, w tej kwestii przed nami niestety jeszcze duga droga

chro zawarto komputera, wszelkie poufne informacje czy to o charakterze subowym czy te prywatnym przechowuj w miejscu niedostpnym dla innych, jednoczenie twrz kopie zapasowe wszystkich waniejszych plikw by mg je odtworzy w przypadku ich nagej utraty lub kradziey

chro dzieci, lawinowy wzrost popularnoci portali spoecznociowych spowodowa, e korzystaj z nich coraz modsi uytkownicy, ktrzy nie zawsze zdaj sobie spraw z podstawowych zasad bezpieczestwa, warto wic uwiadamia dzieci jak chroni wasne dane w sieci,

zasada ograniczonego zaufania w stosunku do innych uytkownikw sieci, nie otwieraj wiadomoci od nieznanych uytkownikw, jeli na twojego maila przysza wiadomo z prob o kliknicie w dany link, lub obietnica jaki korzyci a nadawca maila nie jest nam znany to moe by prba odesania nas do jakiej podejrzanej strony, ktra wprowadzi wirus na nasz komputer lub spowoduje utrat danych8.

Tak naprawd nie ma sposobu, ktry w 100 % zabezpieczyby nas przez atakami ze strony nieuczciwych internautw. Ale stosowanie powyszych zasad plus wasny rozsdek i wiedza daj due szanse na zminimalizowanie ryzyka.

http://artelis.pl/artykuly/21332/jak-chronic-swoje-dane-w-sieci

Bezpieczestwo transakcji internetowych Coraz wiksz popularnoci ciesz si zakupy w zachodnich sklepach internetowych i patnoci z wykorzystaniem kart patniczych. Aby zrealizowa zakup wystarczy posiada dostp do komputera podczonego do sieci, przegldark internetow oraz kart patnicz. W opinii wikszoci pacenie kart w Internecie nie naley do bezpiecznych. A przecie transakcje w Internecie nie s bardziej niebezpieczne od transakcji dokonanych w zwykych sklepach. Kiedy pacimy kart w tradycyjnym sklepie, oprcz pienidzy zostawiamy w nim rwnie dane o naszej karcie. Mona je czsto znale na tzw. slip'ie, czyli papierowym potwierdzeniu zawartej transakcji. Jedna kopia jest dla sprzedawcy, druga dla nas. Nieuczciwy sprzedawca moe z atwoci wykorzysta nasze dane. Mimo wszystko mamy zaufanie do sprzedawcw i bez cienia wtpliwoci uywamy kart do patnoci w tradycyjnych sklepach. Rwnie w restauracjach czsto tracimy z oczu nasze elektroniczne pienidze i nie wiemy czy kto w tym czasie nie skopiuje naszej karty, a w domu mamy j cay czas na oku. Wszystkie zabezpieczenia i szyfrowanie nic nie dadz, jeeli korzystamy z dziurawego komputera. Wystarczy, e kto zainstaluje nam konia trojaskiego, program szpiegujcy (spyware) lub keyloger'a. Moe si zdarzy, e sami jestemy winni. Niewiadomi zagroenia instalujemy niezidentyfikowane aplikacje np. doczone do maili. Klikamy rwnie na odnoniki w listach otrzymanych od nieznanych osb lub organizacji. A te prowadz nas czsto do zainfekowanych stron internetowych. To bardzo lekkomylne z naszej strony. Najgroniejsze s wszelkiej maci programy szpiegujce i trojany. Dziaajc w tle mog m.in. przechwytywa wprowadzane hasa, nazwy uytkownika, numery kart patniczych, itd. Dlatego powinno si korzysta wycznie ze sprawdzonych i pewnych komputerw. Banki oraz instytucje finansowe umoliwiajce rozliczenia przez internet bardzo szybko reaguj na wszelkie zagroenia i na bieco wprowadzaj nowe metody zabezpiecze. Jest to w ich najwyszym interesie, bowiem zwykle to one musz pokry wikszo strat spowodowanych przez przestpcw. Na og do wama i kradzie pienidzy z rachunkw bankowych dochodzi nie z powodu zamania zabezpiecze banku czy instytucji finansowej, tylko po zdobyciu wszystkich danych dostpowych od wacicieli tych rachunkw. Wyudzenia poufnych danych czy informacji finansowych, jak numery kart kredytowych, w dobie internetu mog dotyczy kadego. Przestpcy wykazuj si niezwyk kreatywnoci na tym polu i zazwyczaj nie przepuszczaj adnej okazji, reagujc na sprzyjajce warunki (np. luki w oprogramowaniu) czasami szybciej ni niektre firmy je tworzce. Cyberprzestpcy stosuj w swojej dziaalnoci mnstwo technik, np. wykorzystujc bdy w oprogramowaniu, instaluj uytkownikom specjalne programy szpiegujce (spyware), podszywaj si pod znane nam osoby, organizuj konkursy, sami udaj oszukanych, oferuj prac, przesyaj kartki z yczeniami, szantauj, rozsyaj spam z ofertami atrakcyjnych produktw po okazyjnych cenach, wamuj si na sabo zabezpieczone systemy uytkownikw podczone do publicznych sieci bezprzewodowych, eruj na katastrofach i nieszczciu ludzkim, kusz udziaem w milionowych spadkach lub wygranych, tanio sprzedaj zainfekowane programy i gadety, podszywaj si pod

darmowe oprogramowanie np. zabezpieczajce komputery, przebiegle zdobywaj zaufanie i pozytywne komentarze uytkownikw serwisw aukcyjnych, by w odpowiednim momencie zaoferowa drogie przedmioty, ktrych nie posiadaj, prbuj zdoby zaufanie jako znajomi na serwisach spoecznociowych, by zebranym ofiarom podesa linki do aplikacji wykorzystujcych ich dane lub numer komrki, ktry jest obciany jak kwot itd. itp. Osoby dokonujce rnych transakcji w sieci powinny zatem: 1. Przede wszystkim korzysta z legalnego, wyposaonego w najnowsze aktualizacje systemu operacyjnego, antywirusow. 2. Podnie poziom ochrony systemu, instalujc firewall, oprogramowanie antyszpiegowskie (antyspyware) oraz antyrootkita. 3. Pamita, e cyberprzestpcy szukaj luk w popularnym oprogramowaniu, czsto w przegldarkach internetowych oraz systemach operacyjnych, ktre umoliwiaj im m.in. dostp do naszych danych. Kiedy wic uruchamia si funkcja aktualizacji systemu lub oprogramowania, szczeglnie tych zwizanych z ich bezpieczestwem, i masz okazj zaktualizowa oprogramowanie i system zainstalowany na swoim komputerze, nie odkadaj tego na pniej, tylko skorzystaj z niej! 4. Upewni si, e witryna, na ktrej robimy zakupy, wykorzystuje szyfrowane poczenie. Mona to pozna po tym, e podczas pacenia poczenie powinno mie na pocztku adresu strony znaki https:// (istotna tu jest kocwka s, ktra informuje o szyfrowanym poczeniu). 5. Upewni si podczas wprowadzania poufnych danych, np. w trakcie dokonywania patnoci przez internet, e przegldarka wywietla take ikon z zamknit kdk w pasku adresu lub w prawym dolnym rogu pasku stanu przegldarki. Warto wiedzie, e ikona kdki nie stanowi jednak stuprocentowego dowodu na to, e dana strona jest t, o ktrej mylimy. Symbol kdki dowodzi jedynie, e waciciele witryny posiadaj wystawiony cyfrowy certyfikat. Istotne jest w tym przypadku sprawdzenie, czy zosta on wygenerowany przez zaufanego dostawc, np. zagraniczne podmioty VeriSign lub Thawte albo polskich wystawcw. 6. Zwrci uwag na zielony pasek adresu pojawiajcy si podczas odwiedzania stron przetwarzajcych poufne dane. Zielony pasek wskazuje, e dana strona posiada certyfikat SSL o rozszerzonej walidacji, czyli e przesza specjalny audyt przeprowadzany oraz regularnie kontrolowany przez Urzd Certyfikacji, a nie przez waciciela witryny. Oznacza to, e ze wzgldu na zaangaowanie dodatkowej strony w procesie walidacji trudniej jest komu dokona phishingu i oszustwa internetowego. 7. Sprawdza, czy w adresie witryny sklepu, z ktrego korzystaj, nie ma jakiej literwki, wstawionej cyferki udajcej literk (np. cyfra jeden moe z powodzeniem udawa literk l). Podrobienie sklepu od strony wizualnej nie stanowi wikszego problemu dla wikszoci w ktrym naley zainstalowa i utrzymywa zaktualizowan ochron

webmasterw, a w poczeniu z niemale identycznym adresem strony mona nawet dowiadczonego internaut wprowadzi w bd. Podszywajc si pod serwisy bankw online czy witryny sklepowe o dobrej reputacji, przestpcy czsto zbieraj poufne dane ofiar, ktre niewiadome podstpu prbuj logowa si lub dokonywa zakupw. 8. W przypadku wikszych zakupw warto rwnie wybada, jak dugo dany sklep funkcjonuje w sieci i jakie s na jego temat opinie klientw. Niezwykle pomocne s w tym przypadku rne porwnywarki cen, fora internetowe, serwisy spoecznociowe oraz wyszukiwarki. Warto zawsze z rezerw podchodzi do zbyt entuzjastycznych i nadmiernie przychylnych opinii. Nie wszystkie s prawdziwe. 9. Sprawdza numery identyfikacyjne sklepw (REGON/NIP/KRS), podane dane teleadresowe, numery telefoniczne. Sklepy oraz inne serwisy oferujce usugi lub produkty, ktre takich danych nie podaj powinnimy po prostu omija. Poprawno numerw identyfikacyjnych mona sprawdzi np. na stronie http://www.stat.gov.pl/regon oraz http://www.krs-online.com.pl 10. Stara si kupowa w sklepach renomowanych, zrzeszonych w uznanych Euro-Label czy Urzd Komunikacji Elektronicznej. 11. Zachowa zdrowy rozsdek i ostrono, tak samo jak podczas tradycyjnych zakupw w zatoczonym sklepie, kiedy uwaniej pilnujmy portfela w kieszeni, a pacc za rachunek uwanie go analizujemy czy te pacc kart sprawdzamy, czy sprzedawca nie wprowadzi zbyt wysokiej kwoty. W przypadku jakichkolwiek wtpliwoci dotyczcych danej strony nie przeprowadzaj za jej porednictwem transakcji ani nie udostpniaj na niej swoich danych osobowych9. instytucjach wydajcych certyfikaty wiadczce o bezpieczestwie zakupw, jak Trusted Shops, organizacja

Krzysztof Gontarek, Bezpieczne korzystanie z patnoci internetowych, http://di.com.pl/porady/37647,0,Bezpieczne_korzystanie_z_platnosci_internetowych.html.

Najwiksze kradziee danych ostatnich lat: 1. W 2009 roku Internetowa firma rekrutacyjna Monster podaa, e hakerzy przejli z ich bazy danych poufne dane osobowe, takie jak hasa dostpu, numery telefonw, adresy e-mailowe. Kradzie nie obja dokumentw CV czy numerw ubezpieczenia spoecznego. Problem mg dotyczy nawet 4,5 miliona osb zarejestrowanych na stronie monster.co.uk. Bya to najwiksza kradzie danych osobowych od 2007 r., kiedy to zaginy informacje na temat 25 mln. osb pobierajcych zasiki na dziecko. To ju druga powana utrata danych przez firm Monster w sierpniu 2007, wedug firmy Symantec, hakerzy skradli dane tysica kandydatw, ktrzy zamiecili swoje CV na stronie monster.com, gwnie w USA10. 2. W kwietniu 2011 roku informacje personalne i kontaktowe uytkownikw, loginy i hasa, a by moe rwnie dane kart kredytowych trafiy w rce wamywaczy do sieci PlayStation Network. Zagroonych jest ok. 77 milionw kont. 20 kwietnia Sony nieoczekiwanie zamkno usugi PlayStation Network i Qriosity, umoliwiajce posiadaczom konsol do gier Sony PlayStation gr w sieci z innymi uytkownikami, jak rwnie pobieranie i kupowanie nowych gier. Niedostpno PlayStation Network miaa wynika z "niedziaania pewnych elementw usugi" i trwa nie duej ni "dzie lub dwa". Koncern dopiero trzy dni po zablokowaniu PSN poinformowa, e dziaania te zostay podjte wskutek wykrycia incydentu zagraajcego integralnoci i bezpieczestwu bazy danych uytkownikw usugi11. 3. W 2009 roku amerykaska prokuratura zakoczya postpowanie przeciwko 28-letniemu mieszkacowi Miami, ktry przeprowadzi najwiksz w historii kradzie numerw kart kredytowych. Albert Gonzalez, znany rwnie jako segvec, soupnazi czy j4guar17, jest oskarony o wspprac z dwoma rosyjskimi hakerami i wsplne zastosowanie metody "SQL injection" do kradziey informacji dotyczcych 130 mln kart kredytowych i debetowych. Wrd zaatakowanych firm znalazy si m.in. operator kart kredytowych Heartland Payment Systems z siedzib w New Jersey oraz sie sklepw7-Eleven i Hannaford Brothers. Gonzalez i jego wsplnicy od 2006 roku analizowali systemy firm, z ktrych chcieli ukra dane. Nastpnie zdecydowali si na bardzo skomplikowany atak, ktry pozwoli im na penetracj sieci ofiar i kradzie informacji o kartach debetowych i kredytowych12. Oszustwa maj miejsce rwnie na portalach aukcynych. 4 listopada 2010 roku Komenda Miejskiej Policji w Koszalinie poinformowaa o zatrzymaniu trzech modych mczyzn, ktrzy okradali uytkownikw portali internetowych. Przestpcy oferowali przedmioty, ktrych nie posiadali i znikali tu po wpaceniu pienidzy przez kupujcych. Oszuci, przez kilka miesicy zamieszczali oferty w kilku portalach internetowych. Oferowali sprzeda telefonw komrkowych i czci samochodowych, ktrych w rzeczywistoci nie posiadali. Kiedy kupujcy zamawiali oferowany
10 11

http://news.england.pl/artykuly/hakerzy.htm. http://www.idg.pl/news/369631/playstation.network.jedna.z.najwiekszych.kradziezy.danych.w.historii.html 12 http://www.securitystandard.pl/news/348746/Amerykanin.oskarzony.o.kradziez.130.mln.numerow.kart.kredytowych.html

towar, przestpcy wskazywali numer konta, na ktry naleao przela pienidze, obiecujc szybkie przesanie produktu. Pki co, aden z "klientw" nie otrzyma zwrotu swoich pienidzy. Trzej koledzy wyudzili co najmniej 3400 zotych od szeciu osb i grozi im teraz do 8 lat pozbawienia wolnoci13.

13

http://www.pcworld.pl/news/363729/Wyludzali.pieniadze.w.sieci.nie.daj.sie.oszukac.html

Bibliografia: Konstytucja Rzeczpospolitej Polskiej; Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.); Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz. U. z 2001 r. Nr 128, poz. 1402); http://di.com.pl/; http://artelis.pl/artykuly; http://www.prawnik.pl/; http://hacking.pl/pl/; https://www.forum.haszysz.com; http://board.metin2.pl; http://news.england.pl; http://www.pcworld.pl/news; http://www.idg.pl/news; http://www.securitystandard.pl/news.