Tag Archives: Awareness

Why don’t you join our blogging community and Take Security Back?

Join our blogging community and help us Take Security Back in Lebanon through awareness and education!

The rationale

Our blog aims at educating Lebanese citizens and raising their awareness regarding various aspects of security and safety, whether they deal with people, premises or new technologies.

The team

Don’t complain, Contribute! Join ZouheirTonyReemMichelMelissaMarounJocelyne and Hadi, our guest bloggers.

Examples of articles

What if we started preparing for storms?

Can Lebanese digital media operators DOOHgood?

Cybersecurity 9OclockTips, from Lebanon with Love

12 years later: On Arab strategy, 9/11 and the “war on terror”

Lebanon, where Instability is the newly found Stability

When a Lebanese Colonel contributes to global knowledge on governance and security

Is your health information private and secure?

Who has Cyber Security authority in Lebanon?

Are smartphones becoming the new law enforcement allies?

Are Lebanese banks vulnerable to cyber attacks?

The 10 Golden Rules and Guidelines

Abide by a pure scientific approach covering the security of people, premises and technology

Stay away from any political or religious bias

Be responsible when disclosing observed vulnerabilities in people, process or technology

Respect people’s privacy and be extremely cautious with their personal data

Put visual thinking to work in your posts and don’t hesitate to include infographics, photos or videos that support your arguments

Be persistent and generous in your information sharing

Remain constructive while depicting areas of improvement

Note that sales pitches and commercially oriented posts will not be allowed

Accept that your post will be moderated before publication

Keep this teaching in mind: “We must become the change we want to see in the world.” — Mahatma Ghandi

How to reach us

Read us on the Web: http://www.takesecurityback.com

Find us on Facebook: http://facebook.com/TakeSecBack

Follow us on Twitter: http://twitter.com/TakeSecBack

Email us: contact@takesecurityback.com

Cybersecurity 9OclockTips, from Lebanon with Love

POST_20-IMG0Better be safe than sorry“, an old cliché proverb explaining that it’s preferable to be cautious in one’s  choices and actions than to suffer afterwards – The quote was also featured but under another context, Information Security. It was part of Potech Consulting’s Cyber Security Awareness Month to envision that safety should be spread on all aspects of life including Information Technology.

“Cyber security is an emerging paradigm for understanding global vulnerabilities whose proponents challenge the traditional notion of security by arguing that the proper referent for security should be the individual rather than the whole.”

While the previous definition was originally for “Human Security”, the term “Human” was replaced by “Cyber”; what’s more amazing is that it makes all sense. Human security and cyber security are two conjoint concepts where messing up with one can cause devastating repercussions over the whole system – An online misstep is able to dive you into the risk of accidently disclosing secret Information to the public, Losing Important Data or simply not having your required data upon need. Understanding the risks associated with being online can always help secure personal information and prevent identity theft and fraud.

Just like “Breast cancer awareness” and “AIDS awareness” months, October has been appointed to be National Cyber Security Awareness Month that encourages vigilance and protection by all computer users. As for Potech Consulting’s mission (A Cyber Security Consulting firm located in Lebanon), every computer user has the right to indentify Security Threats and shield against them by a simple Cyber Security Hygiene.

Knowing that Non-IT users (who are the most needing for security perception) are not usually captured by Traditional IT security awareness; Potech Consulting decided to widen awareness via a small yet very special campaign to grab those people’s minds – Through subliminal messages.
 Potech Consulting drove the awareness by submitting one security tip for every morning; each morning tip circulates over the internet with interesting “Real life threats” teasers where mitigations surprisingly are oriented into “Computer Security” best practices.

True that the awareness was particularly oriented into personal use, however enterprises will implicitly benefit from it because the weakest link in security is the human aspect.

As for the daily early publication time, it was tricky to define; each tip is daily released at 9:00 AM; when human brain is still fresh, starving for information while you grab the cup of coffee in a hand and social media in the other.

As a conclusion regarding Human and Cyber security, everybody should be involved spreading awareness. If you care for your friends, what are you waiting for? Why don’t you share and help them defend against online security threats?

#9OclickTips can be found on the following hashtag.

Are we on a stand still, or are we moving?

POST_19-IMG0While brainstorming with ISSA France‘s President for a suitable scenario for the “crowdfunded#CitizenSec awareness video to be aired during the European CyberSecurity month which just kicked-off, I dug up from the archives an old piece I wrote in French more than 8 years ago, back in 2005.

You can watch the video here: Spot.CitiZENSec.CyberSecMonth par securitytuesday

What struck me is that this article, 8 years later, still reflects the state of Information Security and CyberSecurity, specially when it comes to Citizens’ perception. A quick IT buzzword face-lifting would make it eligible for a publication in mainstream media today …

I’m afraid that in this very young field, we’re on a very disappointing stand still, not moving faster than a snail …

Here’s the paper in French, as I’m unfortunately lacking time to translate it, Google being our best friend ;-)

Would love to read your thoughts and suggestions on that.

Votre nouvel ordinateur ou le cadeau empoisonné

Vous venez d’acheter un nouvel ordinateur dans votre boutique préférée ? Vous avez déballé vos cadeaux à Noël pour découvrir que vos proches et amis avaient été généreux en vous offrant le dernier né des ordinateurs portables ?

Deux semaines passent et vous découvrez que cette acquisition ou ce cadeau sont en fait empoisonnés !

Le reste de l’article s’emploiera à en expliquer les raisons.

Vous avez déballé les cartons, sorti les câbles, mis à la poubelle les manuels d’utilisation et vous voilà prêt à brancher votre nouvel équipement. Le poste démarre, le système d’exploitation Windows se montre accueillant, tellement accueillant qu’il vous permet de vous connecter sans mot de passe au compte d’administration présent par défaut.

Après avoir fait connaissance avec toutes les options proposées par cette version “familiale” de Windows XP, vous vous empressez d’insérer le CDRom de configuration de votre connexion Internet haut débit (ADSL par ex.). Tout fonctionne à merveille, vous surfez sur votre site Web préféré, vous relevez vos mails sur Yahoo, Hotmail ou autre … tout semble tellement bien fonctionner qu’une vingtaine de minutes plus tard en moyenne, vous voyez apparaître un message vous avertissant que votre ordinateur a effectué une opération illégale et va redémarrer dans 10, 9, 8, 7 …. 1 seconde.

Vous voilà dès lors entrés de plein fouet dans un cycle infernal de redémarrages et de manipulations tous azimuts qui ne feront pas que vous agacer. Désemparés face à l’ampleur du problème, vous appelez votre neveu, frère, ami ou voisin qui est à vos yeux l’expert informatique, le seul à même de vous sortir de ce pétrin.

Le voilà arrivé avec sa panoplie de CDs et de disquettes, le sourire ironique au coin de la bouche et un mot qui vous hantera pendant tout le reste de la journée : Blaster. Il s’avère que c’est le nom donné à un ver informatique qui circule en permanence sur le réseau Internet à la recherche de cibles vulnérables.

Il exploite une faille de sécurité dans les systèmes Windows (déjà publiée et corrigée par l’éditeur).

Le problème : le système chargé dans votre nouvel ordinateur n’était pas à jour en termes de correctifs de sécurité et vous n’avez pas réalisé de mise à niveau lors de votre première connexion à Internet.

Bon, maintenant une femme ou un homme averti(e) en vaut deux.

Consulter votre messagerie via des services comme Yahoo ou Hotmail ne vous satisfait point. Vous voulez utiliser Outlook et ses différentes options ergonomiques. Vous le configurez, diffusez votre adresse électronique à tous vos contacts et vous voilà embarqué dans une nouvelle aventure qui va vite mal tourner.

Sur les 50 derniers messages reçus, 40 se sont avérés être du Spam, à savoir du courrier non sollicité. Des sujets divers y sont traités allant du Viagra à la consolidation de dettes en passant par l’assistance financière de descendants de princes africains déchus ou disparus. Soudain vous constatez que votremeilleurami@msn.com vous a adressé un message vous invitant à vous inscrire sur un forum d’envoi gratuit de SMS. Vous vous dites qu’enfin vous pourrez réduire vos coûts téléphoniques et vous vous empressez de suivre le lien proposé dans ce message. Ce que vous ne savez pas, c’est que le message ne provient pas de “votremeilleurami”, et que le lien sur lequel vous venez de cliquer est un lien malicieusement construit qui vous a conduit à votre insu sur un site malveillant qui vient de subtiliser vos données personnelles d’authentification à votre banque en ligne.

Finalement, vous vous en rendrez compte. Quelques jours ou semaines après, en consultant le solde de vos comptes bancaires, vous remarquez des virements occultes que vous n’avez jamais ordonnés. Vous célébrez alors votre entrée dans le club de moins en moins sélect des victimes du Phishing.

Un autre email intitulé “Lettre d’information à tous les scouts d’Europe” vous interpelle. C’est gentil de penser aux anciens scouts ! Mais comment ont-ils fait pour savoir que j’ai été scout dans ma vie (un court passage de deux semaines tout de même !). Afin de visualiser la prétendue affiche attachée en pièce jointe, vous double-cliquez et vous ne vous apercevez pas que vous venez d’exécuter un virus caché que votre antivirus aura du mal, surtout si sa base de signatures n’est pas à jour, à isoler puis à éradiquer.

Et les péripéties se poursuivent avec le temps entre les spywares divers et variés récoltés, les popups vous redirigeant vers des sites pornographiques ou des casinos en ligne ou les utilisations frauduleuses et moins voyantes de votre machine : “Non, mon seul problème c’est que mon ordinateur s’est considérablement ralenti dernièrement”.

Parce que, jusqu’alors, vous n’avez pas “touché” à la configuration de votre ordinateur. Vous n’avez pas vérifié les comptes installés par défaut sur votre ordinateur, vous n’avez pas mis de mot de passe au compte Administrateur, vous n’avez pas équipé votre client de messagerie d’un filtre antispam, vous n’avez pas désactivé les partages de fichiers accessibles par défaut, vous n’avez pas interdit les connexions anonymes à votre machine, vous n’avez pas désactivé les services inutiles démarrés sur le système… et nous en passons… et des meilleures.

Malgré votre désarroi face à tant d’hostilités – hostilités que vous n’avez même pas enclenchées- vous vous dites: “Ce n’est pas grave, je vais tout réinstaller ou faire réinstaller pour la dixième fois et puis en fin de compte : je n’ai pas d’informations sensibles sur mon poste !!!”.

Et c’est là que vous commettez votre plus grosse erreur d’interprétation. La nouvelle loi LCEN promulguée en France en 2004 vous tiendra par exemple responsable si votre poste a été pris en flagrant délit de téléchargement de fichiers de musique : “Mais ce n’est pas moi, je n’ai jamais installé ni utilisé de logiciels de P2P comme Kazaa ou autre !”.

Ce n’était, peut-être, pas vous. Donc, “quelqu’un” a dû s’introduire frauduleusement sur votre machine ?

Etes-vous capables de le prouver ? Et si vous ne l’êtes pas, votre responsabilité juridique sera sûrement engagée.

Vous assurez qu’il y a rien de sensible ni de confidentiel sur votre machine ? Et si celle-ci est l’ordinateur portable mis à votre disposition par votre employeur pour l’exercice de vos fonctions (parce que vous êtes un télétravailleur ou un commercial nomade ou un cadre dirigeant ou …) et que l’un de vos enfants s’est empressé de connecter à votre réseau domestique ADSL pour jouer au MeilleurJeuDuMois ™ ? Ce portable s’avère, sans aucun doute, sensible du fait des informations de connexion qu’il contient, des mots de passe enfouis un peu partout sur son disque, etc.

Vous finirez cette aventure en vous disant : si à mon niveau, simple particulier installé tranquillement chez lui, je cours tous ces risques… Comment s’y prend alors mon employeur pour s’en sortir ?

Parce que baisser les bras n’est pas une attitude responsable et parce que des solutions existent, le lien suivant présente quelques points clés à vérifier lors de l’utilisation d’un ordinateur domestique :

Schneier on Security : Safe Personal Computing