Ολοκληρώθηκε το 2o Βαλκανικό Security Forum

Ολοκληρώθηκε με επιτυχία το 2ο Balkan Security forum που διοργανώθηκε από την md5sa και τον ΙΝΑ. Το συνέδριο παρακολούθησαν δύο μέλη του Log.gr, εγώ και ο neo2000gr. Ήταν ένα διήμερο συνέδριο που σκοπό είχε την ενημέρωση γύρω από το ηλεκτρονικό έγκλημα και το νομικό πλαίσιο που υπάρχει αυτή την στιγμή στην Ελλάδα. Υπήρχαν ομιλητές από πανεπιστήμια, τον ΟΤΕ, τον ΙΝΑ, την md5sa , την Ελληνική Αστυνομία και φυσικά από την Εφορία, καθώς και διάφοροι άλλοι ομιλητές όπως για παράδειγμα από το PC Magazine και την Αρχή Προστασίας των Προσωπικών δεδομένων.

Το συνέδριο αν και κινήθηκε γύρω απο την καταπολέμηση του ηλεκτρονικού εγκλήματος, παρ’όλα αυτά ακούστηκαν και διάφορα τραγελαφικά.
– ο εφοριακός που ήρθε μας είπε διάφορες ιστορίες, μιά από αυτές είναι πως το ebay είναι παράνομο αφού δεν φορολείται η αγορά και η πώληση μέσω αυτού!! Ο ίδιος εφοριακό κατέχει 3 θέσεις προισταμένων στην εφορία επειδή δεν υπάρχουν άλλοι εκεί !!! Μας είπε πως τον προηγούμενο Οκτώβρη έγινε μια καταγγελία στην Γερμανική Αστυνομία για αγορά προιόντος μαϊμού μέσω του ebay, και τότε η ελληνική εφορία βρήκε έναν 20χρονο φοιτητή ιατρικής στην Θεσσαλονίκη που αγόραζε προιόντα από την Βουλγαρία και τα πουλούσε για original, όμως δεν σαν είπα το τραγελαφικό του θέματος ακόμη: είπε o ευγενέστατος αυτός κύριος “ακόμη και τώρα που ανοίγω τα email του και τα κοιτάω ένα ένα…” δλδ δεν έχει τελείωσει την έρευνα ακόμη !!! Μετά από 9 μήνες ακόμη κοιτάει τα email και μάλιστα χειροκίνητα!!!!!! Επίσης είπε πως τον έπιασε η εφορία επειδή δεν εκτελώνιζε τα προιόντα του, όμως τότε πως τα πέρασε από τα σύνορα??? Συμπέρασμα πρώτο: στο ηλεκτρονικό έγκλημα αν δεν σας πιάσει η αστυνομία, θα σας πιάσει η εφορία (και αυτή κατα λάθος, αφού μπορεί να σας βρεί μόνο μετά από καταγγελία)

-Υπήρχε μιά παρουσιάση από μια δικηγόρο της Αρχής προστασίας δεδομένων για τα RFID tags στην οποία η συμπαθητική ομολογουμένως δικηγόρος άρχισε να μας λέει εφαργμογές των RFID και που τα χρησιμοποιούν οι Αμερικάνοι!!!! Από εσάς κυρία μου θα περιμέναμε να μας πείτε το νομικό πλαίσιο και κατα πόσο παραβιάζουν το προσωπικό απόρρητο, όχι να μας λέτε για τα αυτόκινητα στο Long Island. Συμπέρασμα δεύτερο: μερικοί δικηγόροι εκφράζουν την επιθυμία τους να είχαν γίνει ηλεκτρονικοί σε λάθος στιγμή και λάθος μέρος

-Υπήρχε μια άλλη παρουσίαση από ένα δικηγόρο (ο οποίος ευτυχώς δεν είχε κρίση επαγγελματικής κατεύθυνσης ) για την πορνογραφία και την παιδική πορνογραφία. Συμπερασματικά, η διακίνηση πορνογραφικού υλικού είναι νόμιμη στην Ελλάδα (άλλωστε αν δεν ήταν, δεν θα υπήρχε στα περίπτερα τόσο υλικό). Όσον αφορά την παιδική πορνογραφία είναι παράνομη μόνο όταν γίνεται με σκοπό την άμεση εκμετάλλευση, δλδ είναι νόμιμο να έχεις ένα site με παιδική πορνογραφία αρκεί να δίνεις δωρεάν το υλικό σου (δεν ξέρω αν θεωρείται εκμετάλλευση το κέρδος από τις διαφημίσεις) Συμπέρασμα τρίτο: κατοχυρώστε το http://www.childpornography.gr τώρα που είναι ακόμη ελεύθερο

-Οι δύο πιο ενδιαφέρουσες παρουσιάσεις ήταν για το social engineering και τα κενά των υλοποιήσεων bluetooth στα κινητά. H παρουσίαση για το social engineering έγινε από τον κ.Καράγκο (αρχισυντάκτη του PC Magazine) και μας είπε μερικά περιστατικά με πλέον ενδιαφέρον το παρακάτω: κάνουν penetration test τα PC Labs σε μια εταιρία. Αλλά αυτό που κάνουν είναι να αφήσουν σε διάφορα σημεία της εταιρίας, (ακόμη και στις τουαλέτες) 20 usb sticks 1GB τα οποία είχαν ένα trojan. Μέσα σε 1 ώρα τα 16 από τα 20 είχαν ενεργοποιηθεί και είχαν μαζεψει όλα τα passwords της εταιρίας!
Συμπέρασμα 4ο: αν βρείτε κανένα usb stick 1GB στα ξεκάρφωτα στην εταιρία σας, πρώτα κάντε το scan με το antivirus

Όσον αφορά τα κινητούλια, πολλά έχουν λανθασμένες υλοποιήσεις του πρωτοκόλλου και απαντούν ακόμη και αν το έχετε στο “μη ανιχνεύσιμο”, με αποτέλεσμα να μπορεί κάποιος κακόβουλος χρήστης να πάρει οποιοδήποτε αρχείο από το κινητό σας, μέχρι και κλήσεις να κάνει μπορεί! Συμπέρασμα 5ο: αν δεν χρησιμοποιείτε το bluetooth, βάλτε το στο off, όχι στο μη ανιχνεύσιμο!! είστε ΑΠΙΣΤΕΥΤΑ ευάλωτοι

To κόστος του συνεδρίου ήταν 300ευρώ (για τους φοιτητές 180)

για περισσότερα όσον αφορά το συνέδριο:

http://www.md5sa.com/conf/balksec2006