Lifestyle hakerzy – nowe zagrożenie bezpieczeństwa IT
- Dodano: 30 listopada 2009
- Wprowadził: hcsl.pl
- Komentarze: 20
Od wielu lat jedno z głównych zagrożeń dla bezpieczeństwa systemów teleinformatycznych każdej organizacji stanowią sami pracownicy tejże organizacji. Pracownicy dopuszczają się najczęściej kradzieży danych, usunięcia danych (umyślnego lub przypadkowego) oraz szpiegostwa przemysłowego. W ostatnim czasie coraz większą uwagę zwraca się jednak na zagrożenia związane z działalnością lifestyle hakerów…
Motorem działań lifestyle hakerów, w przeciwieństwie do użytkowników motywowanych chęcią zemsty lub zaszkodzenia własnej firmie, jest o dziwo… chęć zwiększenia swej produktywności lub wykonywania w trakcie pracy dodatkowych czynności.
Obecnie wiele organizacji, w nadziei na zwiększenie produktywności swych pracowników, blokuje dostęp do technologii takich jak komunikatory IM lub portale społecznościowe. Jednakże część pracowników, kierując się dokładnie tym samym – czyli chęcią zwiększenia własnej produktywności, stara się tego rodzaju zabezpieczeni obejść. W wyniku tego zderzenia powstało bardzo ciekawe zjawisko, pojawili się mianowicie pracownicy ochrzczeni mianem lifestyle hakerów.
Typowy lifestyle haker to młody, ambitny i odnoszący sukcesy pracownik zafascynowany możliwościami nowoczesnych technologii informatycznych, w szczególności takich jak portale Web 2.0. Ponadprzeciętne umiejętności informatyczne pozwalają tego rodzaju osobom na ominięcie stosowanych w organizacji mechanizmów bezpieczeństwa. Przykładowo w organizacji, w której stosuje się mechanizmy filtracji adresów IP/URL, lifestyle haker może zestawić z komputera firmowego połączenie VPN do własnego komputera domowego i w konsekwencji korzystać w trakcie pracy z niefiltrowanego połączenia internetowego. Niestety takie działania prawdopodobnie będą łamać przyjętą w organizacji politykę bezpieczeństwa informatycznego, jak również powodują powstawanie furtek, przez które potencjalny intruz może się dostać do organizacji z zewnątrz.
Badania prowadzone w USA pokazują jasno, że problem lifestyle hakerów będzie w najbliższym czasie narastał, stając się w przyszłości prawdopodobnie jednym z głównych zagrożeń dla bezpieczeństwa informatycznego większości organizacji. Niestety obecnie nie istnieje żadne proste rozwiązanie tej kwestii. Wyłączenie lub złagodzenie mechanizmów bezpieczeństwa mogłoby co prawda ograniczyć działania lifestyle hakerów, jednak równocześnie powstałyby zagrożenia którym te zabezpieczenia miały przeciwdziałać.
Warto więc już dziś zastanowić się, czy w naszej organizacji nie działają już przypadkiem osoby, które moglibyśmy określić mianem lifestyle hakerów i jeśli tak, to co możemy zrobić by przeciwdziałać tego rodzaju zjawiskom.
Artykuł pochodzi z serwisu HARD CORE SECURITY LAB.
Więcej informacji: http://www.csoonline.com/article/506309/...le_Hackers
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
20 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Zrobic? … Zwolnic
, zatrudnic takiego ktory nie wciska nosa tam gdzie nie trzeba, i robi swoje.
E tam! Od razu wszystkich rozstrzelać nawet bez zadawania pytań i bez sądzenia.
aha. dobre rozwiązanie. Z firmy IT zwolnić tego jednego z 50 pracowników który potrafi obejść zabezpieczenia i zostawić te 49 oferm które tak prostych zabezpieczeń nie potrafią obejść. Poza tym, udowodniono badaniami w kilku sporych korporacjach, że poświęcenie do 10% czasu pracy na relaks w momencie gdy pracownik potrzebuje chwili relaksu i nie ogranicza mu się tego, w jaki sposób może się zrelaksować, znacząco zwiększa jego produktywność po odpoczynku, w kontraście do ludzi którzy się dodatkowo frustrują, iż nie mogą z pracy np. opłacić rachunków przez net czy odebrać maila od dziewczyny/żony.
Obawiam sie ze pracownicy IT maja wiecej czasu niz pani pracujaca przy papierkach, ona sie poprostu nudzi … ile mozna pisac te same dokumenty? Taki koleszka z IT, ma spotkania, i na prawie 100% ma dostep do sieci, on nie musi lamac zabezpieczen by sobie wejsc na facebook.com czy inne serwisy tego typu, to on zaklada zabezpieczenia, a nie zabezpiecza siebie.
Dwa skoro 'szef' kazal ci wylaczyc takie a takie strony to widocznie ma ku temu powody, a skoro ty np jako pracownik masz to daleko w tyle to widzocznie masz szefa tez daleko, w takim ukladzie twoj szef tez bedzie cie miec daleko i cie wyleje z pracy…
Ludzie sa ludzmi, nikt nie jest robotem w pracy, na pewno nie blokuje sieci podczas "przerw", nikt ci nie kaze pracowac 24/7, ale jak sie przegina z siedzeniem w siec na 8h pracy jestes online 4h to cos jest nie tak …
Liczy się wynik końcowy, a nie kto, ile i gdzie siedzi..
to najgłupszy tekst, jaki czytałem od dłuższego czasu.
popieram. Sam jestem chyba takim lajf-stajl-chakerem i dobrze mi z tym ;->
Dołączę się do wątku marud i powiem tylko, że to nie jest news i nie powinno się tu znaleźć.
dobrym rozwiązaniem jest nieblokowanie IMów i portalów społecznościowych
A od czego są telefony komórkowe i podobne urządzenia. Na takim telefonie bez problemu można używać np gadu gadu, sprawdzić email ba a nawet wysłać SMSa lub też zadzwonić ^^.
Zależy czy blokowanie tych stron jest spowodowane obawami o produktywność, czy o bezpieczeństwo. Jeśli to pierwsze, to sprawdzenie maila i skrzynki facebooka (plus ewentualne odpisanie) na telefonie zawsze potrwa dłużej niż na firmowym piecu.
Pamiętam, że parę lat temu pracowałem w firmie, gdzie tylko jeden komputer miał wyjście na internet. Skutek – po pierwsze była do niego kolejka, bo każdy chciał sprawdzić swoje wyniki w sieciowych gierkach, a po drugie czasem nawet dla zwiększenia produktywności by się przydało połączenie, żeby coś szybko sprawdzić a nie babrać się z intranetem.
Na szczęście dla niektórych było otwarte wifi (oddzielna sieć), więc posiadacze laptopów i co lepszych komórek mogli się wyszaleć.
Nihil novi
Niech sobie blokują i tak my to objedziemy
No to przecież mowa o problemie z tymi co obchodzą.
No extra. Nie dość, że właśnie zostałem hakerem, to do tego jeszcze 'lajfstajl'… a ja tylko zwykły tunel w pracy postawiłem…
haking jest w ogóle bardzo lajfstajlowy
to ja Ci powiem, ze to tak samo jak z depresja. nie wiesz czy masz ? nie diagnozuj na sile ;]
Kurna, głupszego terminu już się chyba nie udało wymyślić.
"Lifestyle hacker" – już myślałem, że chodzi o koleżkę zajmującego się socjotechniką, np. śledzącego pracowników i wiedzącego kogo i gdzie (fizycznie i w sieci) można podejść i jak łatwo wybębnić informacje o firmie, pozyskać zaufanie i np. hasła.
A tutaj mamy "lajfstajl chakiera" – dwudziestolatka uzależnionego od gadu-gadu i omijającego zabezpieczenie w firmie.
Takich gości zwykło się określać jako "power users", co najwyżej z uzależnieniem od czegoś. Zdeterminowani "power users" zawsze będą obchodzić zabezpieczenia… kwestia determinacji i tego "power".
"lifestyle haker może zestawić z komputera firmowego połączenie VPN do
własnego komputera domowego i w konsekwencji korzystać w trakcie pracy
z niefiltrowanego połączenia internetowego."
ja tak robie przez ssh, chocby po to, zeby sciagac "na" uczelni-matce
(uczelnia matka == moj drugi dom…) a nie uczelni-chlebodawczyni… takze,
BOW DOWN TO nat — A LIFESTYLE HACKER… swiat chyli sie ku upadkowi.
a tekst jak tekst — podobnie jak z hymnem Rosji w 1991, "haroszyj gimn,
slow niet"…
Problemem nie są lifestyle hackerzy. Problemem są działy IT, które utrudniają ludziom pracę zamiast ją ułatwiać oraz niekompetentni menedżerowie którzy nie potrafią dokonać realistycznej oceny ryzyka i tworzą nadmiernie rygorystyczne polityki bezpieczeństwa, które tylko zachęcają ludzi do ich obchodzenia.
Klasyczny przykład jest tu: http://destruktor.blog.onet.pl/Haslowo,2,ID395062… . Instytucja zatrudniająca 2 tys. ludzi powinna mieć wdrożony system uwierzytelniania oparty o smartkarty czy inne tokeny fizyczne. Ale oczywiście lepiej robić szopki z 26-znakowymi hasłami, które ludzie i tak zapisują na kartkach przyklejonych do monitora…