Archiwa: Encryption - Strona 6 z 6 - Security Bez Tabu

Tag: Encryption

LPI Security Essentials (Moduł 022.1) – Hash Vs Szyfrowanie

Zanim zaczniesz

Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.

Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.

Czytaj dalej „LPI Security Essentials (Moduł 022.1) – Hash Vs Szyfrowanie”

Dania wycofuje się z forsowania „Chat Control” w UE. Co to znaczy dla szyfrowania i prywatności?

Wprowadzenie do problemu / definicja luki

„Chat Control” to potoczne określenie unijnej Regulacji w sprawie zapobiegania i zwalczania wykorzystywania seksualnego dzieci (CSAR), która w ostatnich latach była rozwijana w Radzie UE. Jej najbardziej kontrowersyjne elementy przewidywały obowiązkowe wykrywanie (scanning) treści i komunikacji użytkowników – w tym na platformach z end-to-end encryption (E2EE) – pod kątem CSAM (Child Sexual Abuse Material) oraz tzw. grooming’u. 30 października 2025 r. media branżowe i polityczne poinformowały, że Dania – sprawująca prezydencję w Radzie – wycofuje się z forsowania obowiązkowych nakazów wykrywania. To istotna zmiana kierunku w kluczowym momencie prac.

W skrócie

  • Dania nie będzie dalej pchać w Radzie UE wersji CSAR z obowiązkowym skanowaniem komunikatorów (w tym E2EE).
  • Decyzja następuje po silnej krytyce ze strony państw członkowskich, organizacji cyfrowych praw człowieka i ekspertów kryptografii.
  • Październikowe głosowanie w Radzie nad „Chat Control” i tak zdjęto z agendy z powodu braku większości; dalsze prace mogą wrócić w kolejnych miesiącach w innej formule.
  • Dla branży to oddech ulgi, ale nie „koniec historii” — możliwe są modyfikacje i nowe kompromisy.

Kontekst / historia / powiązania

W latach 2024–2025 kolejne prezydencje Rady próbowały znaleźć kompromis w CSAR, jednak brakowało większości dla wersji naruszających prywatność i szyfrowanie. Prezydencja duńska od lipca 2025 r. sygnalizowała, że nada temu projektowi wysoki priorytet, przedstawiając w lipcu własny kierunek prac. W połowie października zaplanowane głosowanie ministrów spraw wewnętrznych zostało odwołane wobec oporu części państw; teraz – po kolejnych tygodniach krytyki – Kopenhaga odstępuje od najbardziej kontrowersyjnych zapisów.

Analiza techniczna / szczegóły luki

Najbardziej sporne mechanizmy w CSAR obejmowały:

  • Nakazy wykrywania (detection orders) kierowane do dostawców, skutkujące masowym skanowaniem treści użytkowników pod kątem CSAM. W praktyce wymaga to analizy zdjęć, plików i wiadomości, również w komunikatorach szyfrowanych E2EE.
  • Skanowanie po stronie klienta (CSS) – wykrywanie treści przed zaszyfrowaniem na urządzeniu użytkownika; eksperci kryptografii wskazywali na nieusuwalne skutki uboczne: zwiększone ryzyko błędów detekcji oraz tworzenie wektorów ataku (model „wbudowanej inwigilacji”).
  • Wpływ na E2EE – nawet bez formalnego „osłabienia” algorytmów, CSS de facto obchodzi gwarancje E2EE, bo treść jest oceniana przed szyfrowaniem; to systemowa podatność z perspektywy bezpieczeństwa informacji.

Decyzja Danii o wycofaniu wsparcia dla obowiązkowych nakazów oznacza, że taki model detekcji traci polityczne koło zamachowe w Radzie. Heise i Euractiv relacjonują, że prezydencja „odkłada do szuflady” przymusowe skanowanie jako warunek prac nad CSAR.

Praktyczne konsekwencje / ryzyko

Dla dostawców usług (SaaS, komunikatory, platformy UGC):

  • Mniejsze bezpośrednie ryzyko konieczności wdrażania globalnych pipeline’ów skanowania, ingerujących w architekturę E2EE oraz łańcuch dostaw SDK/OS.
  • Ryzyko regulacyjne pozostaje: możliwy powrót projektu w wersji „miękkiej” (dobrowolne wykrywanie, ograniczone zakresy, wzmocnione gwarancje prawne).

Dla zespołów bezpieczeństwa i zgodności:

  • Odroczenie kosztownych decyzji architektonicznych, ale konieczność utrzymania gotowości (privacy engineering, legal).
  • Wciąż obowiązują inne reżimy (DSA, e-Evidence, NIS2, krajowe przepisy dot. retencji i zgłaszania nadużyć) – brak „Chat Control” nie znosi istniejących obowiązków.

Dla użytkowników i organizacji społeczeństwa obywatelskiego:

  • Krótkoterminowo: ochrona integralności E2EE i prywatności.
  • Długoterminowo: potrzeba konstruktywnych alternatyw przeciwko CSAM bez masowej inwigilacji (wzmocnienie ścieżek dochodzeniowych, lepsza współpraca organów ścigania, wsparcie NCMEC/Europol, mechanizmy „on-device safety” sterowane przez użytkownika).

Rekomendacje operacyjne / co zrobić teraz

Dla CISO/CTO i zespołów produktu

  1. Zamroź prace nad CSS/E2EE-bypass jako funkcjami „compliance only”; skup się na detekcji po stronie serwera dla treści publicznych/pół-publicznych (np. hostingu) z silnym nadzorem prawnym.
  2. Modeluj ryzyko: przygotuj warianty architektury dla scenariuszy „dobrowolne wykrywanie” vs „nakazy ograniczone” – bez ingerencji w E2EE czatu 1:1.
  3. Privacy by design: wdrażaj minimalizację danych, bezpieczne raportowanie i audyty algorytmów (precision/recall, bias, FP/FN), by uniknąć szkód dla użytkowników.

Dla działów prawnych/compliance

  1. Monitoruj stan prac w Radzie UE i dokumenty prezydencji/COREPER (EDRi prowadzi aktualizowany przegląd materiałów).
  2. Weryfikuj zgodność z istniejącymi ramami (DSA, RODO, e-Privacy) oraz lokalnymi wymogami dot. zgłaszania nielegalnych treści.
  3. Przygotuj noty dla zarządu: wpływ na roadmapę szyfrowania, koszty ewentualnych pivotów, scenariusze lobbingu branżowego.

Dla zespołów IR/Trust & Safety

  • Utrzymuj współpracę z organami ścigania w modelu targeted, warrant-based; usprawnij procesy hash-matching dla treści zgłaszanych lub publicznych, bez masowego skanowania prywatnych komunikatów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Wcześniejsze szkice Rady: wersje z lata i jesieni 2025 r. przewidywały obowiązkowe skanowanie, także dla E2EE; stanowisko Danii z 30 października od tego odchodzi.
  • Praktyka platform: wiele serwisów już stosuje hash-matching dla treści publicznych/przesyłanych do chmury; różnica polega na braku skanowania komunikacji prywatnej i zachowaniu E2EE. (Syntetyczne porównanie na podstawie przeglądu materiałów EDRi oraz doniesień prasowych).

Podsumowanie / kluczowe wnioski

Decyzja Danii to znaczący zwrot: bez aktywnego wsparcia prezydencji obowiązkowe „Chat Control” traci impet w Radzie UE. Nie oznacza to jednak końca prac nad CSAR — raczej reset kierunku w stronę rozwiązań bardziej proporcjonalnych i technicznie bezpieczniejszych. Firmy powinny odetchnąć, ale nie zasypiać: trzymać rękę na pulsie legislacyjnym, inwestować w privacy engineering i gotowe alternatywy do zwalczania CSAM bez łamania E2EE.

Źródła / bibliografia

  1. The Record: „Denmark reportedly withdraws Chat Control proposal following controversy” (30 października 2025). (therecord.media)
  2. Euractiv: „Danish Council presidency backs away from ‘chat control’” (30–31 października 2025). (euractiv.com)
  3. heise online: „Denmark surprisingly abandons plans for chat control” (30 października 2025). (heise.de)
  4. Brussels Signal: „EU’s ‘chat control’ vote scrapped amid continuing opposition” (10 października 2025). (Brussels Signal)
  5. EDRi: „CSA Regulation – document pool i przegląd prac” (wrzesień–październik 2025). (European Digital Rights (EDRi))

Hack własności: włamanie do Sotheby’s ujawniło numery SSN i dane finansowe

Wprowadzenie do problemu / definicja luki

Dom aukcyjny Sotheby’s poinformował o naruszeniu bezpieczeństwa danych, w wyniku którego napastnicy wykradli dane osobowe o podwyższonej wrażliwości. W zawłaszczonych plikach znajdowały się m.in. imiona i nazwiska, numery Social Security (SSN) oraz informacje o rachunkach finansowych. Firma wykryła intruzję 24 lipca 2025 r., a powiadomienia do osób dotkniętych incydentem zaczęła wysyłać 15 października 2025 r.

W skrócie

  • Data wykrycia: 24 lipca 2025 r.
  • Zakres danych: imię i nazwisko, SSN, dane rachunków finansowych (zakres może różnić się w zależności od osoby).
  • Powiadomienia: listownie od 15 października 2025 r.; oferowany 12-miesięczny monitoring kredytowy (TransUnion).
  • Skala (dotychczas ujawniona): co najmniej 2 osoby w Maine i 10 w Massachusetts; łączna liczba nieujawniona (na ten moment wygląda na ograniczoną).
  • Atrybucja / ransomware: brak potwierdzenia; żadna znana grupa nie przyznała się do włamania.

Kontekst / historia / powiązania

Incydent został upubliczniony po złożeniu zawiadomień u prokuratorów stanowych (Attorney General). Rejestr stanu Maine oraz kopia listu do poszkodowanych potwierdzają typy danych i daty powiadomień. Media branżowe (SecurityWeek, BleepingComputer, The Register) zebrały dodatkowe szczegóły — m.in. to, że Sotheby’s nie potwierdziło, czy ofiarami są klienci, czy pracownicy, oraz że brak jest dowodów na wymuszenie okupu.

Analiza techniczna / szczegóły luki

Szczegóły techniczne wektora wejścia nie zostały ujawnione. Z perspektywy TTP możliwe scenariusze (hipotezy zgodne z MITRE ATT&CK), które często prowadzą do podobnych incydentów w organizacjach z wysokowartościowymi danymi, to:

  • Phishing/credential harvesting (T1566) → przejęcie konta i dostęp do udziałów plikowych.
  • Wykorzystanie słabych/starych poświadczeń (T1110) lub błąd w SSO/IdP.
  • Dostęp przez usługę zewnętrzną / partnera (T1199), co bywa typowe w ekosystemach z licznymi dostawcami i domami aukcyjnymi.

Czas między wykryciem (24.07) a zakończeniem przeglądu danych i identyfikacją osób (ok. 2 miesiące) sugeruje klasyczny „data mining & validation” po incydencie — żmudną weryfikację zakresu PII w przejętych plikach. (Wniosek na podstawie osi czasu raportowanej publicznie).

Praktyczne konsekwencje / ryzyko

  • Ryzyko kradzieży tożsamości i nadużyć finansowych (SSN + dane rachunkowe to komplet pozwalający na otwieranie kont/wnioskowanie o kredyt).
  • Spear-phishing i oszustwa „high-net-worth”: klienci domu aukcyjnego to często osoby/instytucje o wysokim statusie majątkowym; ich rekordy są wyjątkowo łakomym kąskiem dla oszustów.
  • Ryzyko wtórnych ataków na pracowników (jeśli to ich dane wyciekły), np. fraud płacowy, SIM-swap.
  • Ryzyko prawne i regulacyjne (stanowe przepisy dot. powiadamiania, możliwe pozwy zbiorowe). Potwierdzają to wnioski i publikacje AG w Maine/Massachusetts.

Rekomendacje operacyjne / co zrobić teraz

Dla osób, które otrzymały list:

  1. Aktywuj monitoring kredytowy (TransUnion, 12 mies.) i rozważ zamrożenie kredytu we wszystkich biurach (Equifax, Experian, TransUnion).
  2. Włącz alerty transakcyjne w banku, zmień PIN-y/hasła powiązane z rachunkami.
  3. Uważaj na celowane wiadomości podszywające się pod Sotheby’s/banki (verbal call-back przez numer z karty/banku).

Dla SOC/IT w instytucjach o podobnym profilu:

  • Containment & telemetry: pełna telemetria EDR/XDR na serwerach plików i systemach, gdzie przechowywane są PII/FIN; DLP na kanałach e-mail/SaaS.
  • Identity hardening: enforce FIDO2/Passkeys dla kont z dostępem do danych klientów; PAM dla uprzywilejowanych; MFA phishing-resistant.
  • Data minimization & encryption: klasyfikacja i szyfrowanie at-rest PII/FIN; tokenizacja przy wymianie z partnerami.
  • Third-party risk: przegląd dostawców (galerie, logistyka sztuki, escrow, płatności), just-in-time access, SCP.
  • Tabletop & IR: ćwiczenia scenariusza exfiltration without extortion (brak noty okupu ≠ brak ryzyka).
  • KPIs: MTTD/MTTR dla anomalii w ruchu SMB/SharePoint; wskaźniki exfil (np. wolumeny do chmur publicznych).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W odróżnieniu od typowych w 2024–2025 r. wycieków połączonych z ransomware + wyciek danych, tu — na dziś — brak publicznego przypisania do grupy i brak żądania okupu. Skala (na podstawie danych z AG Maine/Massachusetts) wygląda na ograniczoną, co zbliża incydent do ukierunkowanej eksfiltracji zamiast masowego „smash-and-grab”.

Podsumowanie / kluczowe wnioski

  • W Sotheby’s doszło do kradzieży danych wrażliwych (SSN, informacje finansowe).
  • Oś czasu: 24.07 wykrycie → 15.10 notyfikacje; wstępnie brak śladów ransomware/publicznej presji.
  • Na dziś ujawniona skala (Maine: 2 osoby; Massachusetts: 10) sugeruje incydent o ograniczonym zasięgu, ale z wysokim ryzykiem indywidualnym.
  • Priorytetem są: monitoring kredytowy, zamrożenie kredytów, twardnienie tożsamości i ścisły nadzór nad danymi finansowymi.

Źródła / bibliografia

  • SecurityWeek — „Hackers Steal Sensitive Data From Auction House Sotheby’s” (17 października 2025). (SecurityWeek)
  • BleepingComputer — „Auction giant Sotheby’s says data breach exposed customer information” (16–17 października 2025). (BleepingComputer)
  • The Register — „Sotheby’s finds its data on the block after cyberattack” (16 października 2025). (The Register)
  • Biuro Prokuratora Generalnego stanu Maine — karta zdarzenia i PDF z listem do poszkodowanych (15 października 2025). (Maine)
  • Massachusetts AG — „Data Breach Notification Reports” (strona wykazów; wpis dot. 10 mieszkańców MA raportowany m.in. przez SecurityWeek). (Massachusetts Government)

Co To Jest Secrets Management?

Dlaczego może Ci się ta wiedza przydać?

Dzisiejsze przedsiębiorstwa cyfrowe polegają na komercyjnych, wewnętrznie opracowanych aplikacjach do prowadzenia swojej działalności. Coraz częściej wykorzystują zautomatyzowaną infrastrukturę IT i metodologie DevOps, aby przyspieszyć rozwój i innowacje. Chociaż aplikacje i środowiska IT znacznie się różnią w zależności od organizacji, jedna rzecz pozostaje niezmienna: każda aplikacja, skrypt, narzędzie do automatyzacji i inna nieludzka tożsamość opiera się na jakiejś formie uprzywilejowanego poświadczenia dostępu do innych narzędzi, aplikacji i danych.

Czytaj dalej „Co To Jest Secrets Management?”

Algorytmy Kryptograficzne

Gdzie wykorzystujemy kryptografie?

Ciężko wyobrazić sobie funkcjonowanie dzisiejszego Internetu bez szyfrowania informacji. Nie chodzi jednak o pisanie wiadomości na Messengerze za pomocą szyfru Cezara do znajomych – mogą zostać odczytane przy użyciu kartki, długopisu i znajomości sposobu szyfrowania. Nie zmienia to jednak faktu, że w starożytności taki sposób zapisu danych był ciężki do złamania.

Czytaj dalej „Algorytmy Kryptograficzne”