Dopiero teraz dotarłem do informacji, która dziwnym zrządzeniem losu nie otrzymała należytej uwagi. W Wielkiej Brytanii z początkiem października odkryto w czytnikach kart, które używało wiele sklepów w tym także tych największych dystrybutorów typu Tesco, Sainsbury, ASDA, urządzenia szpiegujące. Były one zamontowane w postaci dodatkowego chipu w tylnej części płyty głównej, z której pobierały prąd oraz przechwytywały dane. Nie pobierały wszystkich numerów kart i ich pinów, ale tylko wybrane dane z kart MasterCard. W dołączonym do czytnika chipie znajdował się moduł GSM, który raz dziennie o ustalonej ( zawsze takiej samej ) godzinie, wykonywał połączenie do numeru telefonu w Lahore w Pakistanie. Co ciekawe, połączenie było dwustronne i urządzenie nie tylko wysyłało dane, ale także pobierało instrukcje co ma robić dalej ( można się tylko domyślać np. ile danych ma zebrać, kiedy połączyć się ponownie i na jaki numer telefonu ). Po drugiej stronie, karty były klonowane a następnie używane do różnego rodzaju zakupów online np. biletów lotniczych.

Urządzenia wykryto dosyć przypadkowo, gdyż pracownik ochrony w jednym z sklepów zauważył iż codziennie o tej samej godzinie występują w pobliżu jednej z kas zakłócenia radiowe ( ehh.. spryciaż).

Straty oceniono wstępnie na około 100mln funtów, zważając nie tylko na pieniądze, które zostały skradzione, ale także zagrożenie dla wszystkich kart które były używane przez owe czytniki i ich dane potencjalnie mogły zostać już sklonowane. Do dzisiaj nie zostały opublikowane żadne dane na temat samego przestępstwa. Same czytniki były identyczne jak zwykłe, pochodziły z jednej fabryki w Chinach i co ciekawsze, w czasie dostawy wraz z urządzeniami “na sterydach” przybyły zwykłe czytniki bez jakichkolwiek zmian, co mogło by prowadzić do wniosku że zostały przerobione w czasie transportu lub, z powodu wielkość zmiany, istnieje także możliwość że osoby które składają urządzenia po prostu nie zauważyły zmian.

Wielka Brytania może to nie kontynent, ale z założenia że przecież to także Europa, więc jeżeli wysyłana jest hurtowa ilość czytników z Chin ( tysiące, setki tysięcy ? ), które następnie używa wiele sklepów detalicznych na wyspach, jaka jest możliwość że takie urządzenie trafi do najbliższego wam ( w sensie odległości ) Tesco ( wreszcie Brytyjski ), jeżeli już tam nie jest ? Aktualne zabezpieczenia numer / pin, nie są wystarczające i jeżeli różnego rodzaju zabezpieczenia w postaci np. tokenów są używane dla bankowości w Internecie, dlaczego nie przedstawić ich także przy nie wirtualnej kasie ?

Korzystam z konta na Gmail, które rejestruję na różnych serwisach online aby nie zaśmiecać sobie prywatnej głównej skrzynki. Czasami dostaję tam mniej lub bardziej śmieszne treści. Dziś wygrał list od Gliwickiego helionu, w którym zamiast informacji o nowym numerze magazynu w. NET ( wnioskuje po tytule ), otrzymałem listę 783 adresów e-mail, prawdopodobnych subskrybowanych. Wygląda jednak na to, że nie jest to pełna lista gdyż nie ma na niej mojego adresu. Kto dostał resztę ?

Jak kiedyś mówiło się “Czeski Film” tak teraz chyba zaczniemy mówić “Angielski Przeciek” nawiązując do danych które wyciekły z angielskich MI6 czy NHS :-)

Update:

Sprawa miała dalszy ciąg w Dzienniku Internautów, gdzie przedstawicielka Helionu przeprosiła, mówiąc o czynniku ludzkim.

Postanowiłem przyjrzeć się nowemu dziecku Google, oczywiście nie dałem mu swojego systemu a zainstalowałem w wirtualnej maszynie i powiem szczerze lepiej zrobić nie mogłem bo Google Chrome to mały żart z prywatności i bezpieczeństwa a jeżeli chodzi o możliwości to jest po prostu goły, nie minimalistyczny jak twierdzi Google, goły.

Zacznijmy od zwykłego odczucia z przeglądania. Jak najbardziej pozytywne, szybkie ale wyłącznie dla aplikacji Google, z resztą stron radzi sobie wcale nie lepiej niż Firefox. Wynika to zapewne z tego, że własne strony są już zoptymalizowane pod własną przeglądarkę. Pozytywnie działa rozdzielenie zakładek na procesy, w czasie godzinnego testu prawie nie udało mi się zawiesić całej poza jednym momentem gdy na jaw wyszła jedna z pierwszych niedoskonałości Chrome czyli pazerność na pamięć. Przy 10 zakładkach z łatwością zjadał ponad 300MB co przy całej pamięci wirtualnej maszyny ( 256 MB ) odbiło się niemiłosiernie na wydajności. Ogólnie goło i wesoło, brakuje wielu dodatków bez których jest raczej ciężko.
Niestety nie ma żadnej możliwości zarządzania Java Script. NoScript dla Firefox jest podstawowym dodatkiem instalowanym przez większości użytkowników. W Chrome nie można nic zrobić z JavaScript, co już zakonczyło się tragicznie poprzez tzw. clickjacking. Problem naprawiony, nie ma się co martwić, Sun też wypuścił nową wirtualną maszynę. Rozumie, ze Chrome to przede wszystkim JavaScript, ale choćby mała możliwość włączania / wyłączania zmieniła by dużo, nie mówiąc o whitelist.
Hasła z formularzy, które pozwolimy aby Chrome przechowywał są trzymane w zwykłych plikach tekstowych bez żadnego zabezpieczenia i w każdym momencie przy użyciu dowolnego edytora tekstu możemy sobie je po prostu odczytać.
Jednak jest jedna rzecz, która po prostu nie dała by mi spać. Słyszałem o tym ale chciałem sam sprawdzić, uruchomiłem Wireshark i spojrzałem co jeszcze Chrome przesyła i okazało się, że po prostu wszystko co wpisujemy w pasek adresowy. Podobno ma to usprawnić wpisywanie, wyszukiwanie stron i być wspaniałym dodatkiem ale …. przepraszam bardzo, razem z podejrzanym EULA to oznacza że każdy wpisany adres jest przetwarzany przez maszyny Google. Powiedzmy sobie szczerze że Google to korporacja, która zarabia prawie wyłącznie na reklamach i wraz z logowaniem całej naszej działalności na stronach www, mają wyśmienity kawałek do sprzedaży, zresztą Google wcale nie zaprzecza, wręcz przeciwnie. IE8 też chce wszystko logować, ale zawsze myślałem ze Google to jednak nie drugie Microsoft, widać myliłem się.

Są także fajne rzeczy, robak kręcący się w kółko informujący że strona ładuje się. Na początku, gdy sprawdzany jest DNS i nawiązywane jest połączenie robi mały obrót w tył. Ot przyjemne.

W imię tych i wielu innych zarzutów w stosunku do Chrome powstał u naszych zachodnich sąsiadów Iron czyli Chrome bez szpiegów.