Raport CERT Orange Polska 2024

j131

Jakoś nie mogę odkopać tematu anonsującego opublikowanie tego dokumentu, więc zakładam tu taki temat.

Raport pojawił się w sieci niedawno, i można go sobie poczytać tu:

https://cert.orange.pl/wp-content/uploads/2025/04/Raport_CERT_Orange_Polska_2024.pdf

Fascynująca lektura.

Jednak jedna rzecz trochę mnie irytuje. W tekście uparcie używany jest żargonowy termin "kompromitacja" (w znaczeniu angielskiego odpowiednika). Jednak żaden oficjalny polski słownik takiego znaczenia nie obejmuje, co więcej "kompromitacja" to dla przeciętnego czytelnika po prostu ośmieszenie. To poważnie zaburza narrację.

Spytałem o to AI (konkretnie ChatGPT), i zasugerowało ono następującą tabelkę pomocniczą - może w przyszłych wydaniach Raportu ktoś zechce z tego skorzystać.

🔐 "Compromise" in Cybersecurity – English ↔ Polish Glossary

English Phrase (with "compromise") Polish Equivalent Notes

Compromised system	System został naruszony / przejęty	Use naruszony for general breach; przejęty for control taken.
The system was compromised.	System został naruszony / przejęty przez atakującego.	Avoid literal skompromitowany – sounds like embarrassment.
User account compromise	Przejęcie konta użytkownika / Naruszenie konta	Common in security incident reports.
Compromised credentials	Naruszone dane uwierzytelniające / Przejęte dane logowania	"Dane logowania" is more natural than "credentials" in Polish.
Data compromise	Naruszenie danych / Ujawnienie danych	Depends on whether data was altered, stolen, or leaked.
Compromised endpoint	Naruszone urządzenie końcowe / Przejęty punkt końcowy	"Endpoint" = computer, phone, IoT device.
Network compromise	Naruszenie sieci / Przejęcie kontroli nad siecią	"Przejęcie" implies attacker gained control.
Compromise of integrity	Naruszenie integralności	Often used in the context of data or system integrity.
Compromise was detected	Wykryto naruszenie bezpieczeństwa	Generic but widely accepted in Polish reports.
Compromised server was used to launch attacks	Przejęty serwer posłużył do przeprowadzenia ataków	Clearly indicates attacker used the server.

_______________________

*Przeniosłem temat z działu "O społeczności" - moderator Wojciech.

Glut

Dokładnie, lepiej "kompromitację" zmienić. Poprawi to czytelność.

j131

Mam też kolejny raz pytanie do Orange. Może @Rosiu zechciałby się wypowiedzieć. Albo przekazać zapytanie wyżej.

Jakiś czas temu przewinęła się tu, na NO dyskusja na temat domyślnie w ruterach Operatora włączonej opcji UPnP, otwierającej porty bez autoryzacji. Moje postulaty aby zmienić domyślnie otwartą konfigurację na zamkniętą, zostały dość jednomyślnie zakrzyczane. Że to przecież by graczom przeszkadzało i zawracaliby głowę BOK, a to w końcu taka niewinna funkcja. No OK, nie to nie - u siebie wyłączyłem to cudo i siedzę cicho - skoro Operator uważa że to bezpieczne, to kimże ja jestem żeby go pouczać.

A tu nagle w cytowanym raporcie, na stronie 101 znajduję następujący ustęp (autoryzowany przez pana Andrzeja Lindnała - szacunek, bardzo dobry tekst, podkreślenie moje):

"Skąd rodzice mają wiedzieć, że tania kamerka i źle skonfigurowany router, z włączoną funkcją UPnP (Universal Plug and Play) w parze mogą wystawić ich sypialnię na widok całego świata? "

Czyli jak to w końcu jest: Orange wypożycza klientom źle skonfigurowane rutery? Może czas poprawić konfigurację, a nie tylko narzekać na Bogu ducha winnych rodziców?

Rosiu

To ja dwie kwestie naraz.

"Kompromitację" tępię gdzie mogę. To jest wzór false frienda, wygląda koszmarnie.
Raportu nie redagowałem, tak, że ten.

Do do routerów - dopytam, chodzi Ci o jakiś konkretny?

j131

Wszystkie Funboxy mają domyślnie UPnP IGD włączone. U mnie na FB3 mogę to potwierdzić organoleptycznie, ale inne mają tak samo - sądząc po komentarzach na NO.
Sugerowałem żeby to zmienić na domyślnie wyłączone.