You are currently browsing the archives for April, 2009.

Klasificiranje podataka (DC – Data Classification) i upravljanje životnim vijekom podataka (ILM – Information Lifecycle Management)

30/04/2009 // Posted in ÄŒlanci/konferencije/predavanja  |  No Comments

U autorstvu kolege Edvarda Tijana s Pomorskog fakulteta u Rijeci pod naslovom “Data Classification and Information Lifecycle Management in Port Community Systems” dovrÅ¡ava se rad koji će ići u objavu u jednom znanstvenom časopisu u ljeto ili krajem 2009 godine. Po objavi u časopisu rad će biti objavljen i na ovim stranicama.

Potvrda sudjelovanja na MIPRO-u 2009

29/04/2009 // Posted in ÄŒlanci/konferencije/predavanja  |  No Comments

Vezano uz najavu sudjelovanja na MIPRO 2009 konferenciji, stigao je i program konferencije. Objavljeno je kako će izlaganje rada

S. Aksentijević (Saipem Mediteran Usluge Ltd., Rijeka, Croatia), E. Tijan (Faculty of Maritime Studies, Rijeka, Croatia), B. Hlača(Rijeka Port Authority, Croatia):

Importance of Organizational Information Security in Port Community Systems

biti održano u okviru savjetovanja sekcije ISS – “Information System Security – Sigurnost informacijskih sustava” sekcije, dana 28.05.2009. godine u prijepodnevnim satima. Po rasporedu, izlaganje je četvrto po redu na navedenom savjetovanju.

Ujedno sve pozivam da obrate pažnju na rad u sekciji “SP – Student Papers”, D. ĐorÄ‘ević, D. GlavaÅ¡ević, D. Krnjak (Polytechnic of Rijeka – VeleučiliÅ¡te, Hrvatska), “Ekonomski učinci primjene softvera za virtualizaciju”.

ICT karijere i recesija – “Navigating your IT career 2009”

28/04/2009 // Posted in Ostalo  |  No Comments

Internet.Com izdao je svoj novi e-book pod naslovom “Navigating your IT career 2009”. Već iz samog sadržaja jasno je kako su obraÄ‘ene teme koje se bave recesijom i ulogom ICT funkcije, odnosno utjecajem kontrakcije ekonomske aktivnosti na posao u ICT sektoru, uz savjete o tome kako se ponaÅ¡ati na razgovoru za posao.

Sadržaj:

  • For IT Workers, How Bad Will It Get?
    James Maguire
  • Recession-Proof Your IT Gig
    Drew Robb
  • IT Job Hunt: Standout Cover Letters and Resumes
    Katherine Spencer Lee
  • Three Job Hunting Makeovers That Won’t Cost a Dime
    Drew Robb
  • Surviving the Technical Interview
    Deb Shinder
  • How to Not Get an IT Job: 10 Tips
    James Maguire

Tempest i CE – kompromitirajuća emanacija (Compromising Emanations)

26/04/2009 // Posted in ICT sigurnost  |  No Comments

Sva računalna i mrežna oprema “isijava” elektromagnetske valove odgovarajućih frekvencija tijekom svog rada. Tempest je strukovni naziv koji se odnosi na metode proučavanja i analize takvih nenamjernih (slučajnih) zračenja (CE – Compromising Emanations) kako bi se rekonstruirao rad na računalima, računalnim sustavima ili promet na računalnim mrežama. Terminologija i tehnika potiču iz miljea tajnih službi koje su meÄ‘u prvima uvidjele strateÅ¡ki značaj informacijske sigurnosti u provoÄ‘enju odgovarajućih nacionalnih politika. Tempest oprema vrlo je raznovrsna a u praksi se najčešće koristi za rekonstruiranje koriÅ¡tenja stolnih računala, prijenosnih računala, mobilnih telefona te daljinsko praćenje ispisa na računalnim zaslonima i Å¡tampačima, odnosno za praćenje prometa na žičanim računalnim mrežama. Cijena takve opreme kreće se od 5.000 do 250.000 američkih dolara za posve opremljene sustave, ovisno o dometu, karakteristikama i sposobnostima podržanih akcija.

Uz Tempest tehnike naslanjaju se i metodologije zaÅ¡tite računalnih sustava i mreža od ovog tipa prisluÅ¡kivanja te meÄ‘unarodno priznate certifikacije računalnih sustava ovisno o njihovoj “čistoći” po pitanju neželjenog odaÅ¡iljanja. Jasno je kako se zbog značajnog troÅ¡ka anti-Tempest sustavima Å¡tite samo vitalni sustavi, najčešće Vladini, odnosno komercijalni i korporativni sustavi. Anti-Tempest sustavi često se kombiniraju s pasivnim i aktivnim sustavima zaÅ¡tite od prisluÅ¡kivanja u tzv. “sigurnim sobama”.

Kao i većina tehnologija zaštite informacija i temeljni koncepti informacijske sigurnosti, Tempest tehnologija svoje začetke ima u doba Drugog svjetskog rata.

Anti-Tempest zaštita svodi se na tri mjere:

  • fizičko odvajanje – sprečavanje nedozvoljenog pristupa u blizini izvora kod kojeg je amplitudno zračenje jače od pozadinskog Å¡uma
  • elektromagnetsko odvajanje – primjenom priguÅ¡ivanja i filtera kako bi se nenamjerne emisije smanjile
  • minimizacija nivoa emitiranog signala – dizajnom i koriÅ¡tenjem opreme pri najmanjoj mogućoj snazi kako bi se smanjila snaga nenamjernog emitiranja elektromagnetsko zračenja

Sljedeći kratki film prikazuje rudimentarnu mogućnost daljinske analize unosa s tipkovnice osobnog računala.

Plaće ICT Managera i ICT specijalista

24/04/2009 // Posted in ICT governance  |  No Comments

Zamislimo scenarij u kojemu ICT Director mora odlučiti zaposliti novoga ICT managera ili ICT specijalista u nekoj od država Europe ili Azije. Uobičajeno je pitanje – koju plaću ponuditi takvoj osobi da bismo je zaposlili?

Koristeći se privilegijom osobnih Web stranica da zadrži izvor tajnim, objavljujem dnevnu bruto plaću koju bi ponudila jedna od vodećih konzultantskih kuća kada bi zapošljavala ICT managera ili ICT specijalista koji nije expat, dakle radi se o lokalnom zapošljavanju.

Napominjem kako se radi o dnevnoj bruto plaći u EUR koja sadrži sva socijalna, mirovinska i zakonska davanja u svakoj od država.

Gdje se vi nalazite u odnosu na ove brojeve?

Keyloggeri

23/04/2009 // Posted in ICT tehnologije  |  No Comments

Zanimljiv CERT-ov dokument o keyloggerima.

Informacijska zakonska (ne)sigurnost

21/04/2009 // Posted in Legislativa  |  No Comments

Prenosimo u integralnom obliku, uz odobrenje autora, gosp. Drazena Jurmana, tekst “Informacijska zakonska (ne)sigurnost”. Iako je objavljen prije vise od 2,5 godine, ovaj tekst je i dalje itekako aktualan.

Informacijska zakonska (ne)sigurnost

Premda je Hrvatska potpisala i ratificirala Konvenciju o kibernetičkom kriminalitetu, zakonska rješenja u tom području, premda generalno dobra, moraju biti dorađena kako bi se ispravile neke nelogičnosti koje će stvarati velike probleme u praksi

Piše: Dražen Jurman

Objavljeno u PC Chip broj 136., rujan 2006.

U sustavu računalne sigurnosti veliku ulogu trebala bi imati i regulativa, odnosno prevencija počinjenja kaznenih djela na računalima i uz pomoć računala zakonskim odredbama. Kažemo trebala bi imati zato što je domaća regulativa još uvijek nedovoljna i nedorečena da bi pružila kvalitetnu zaštitu od kibernetičkog kriminaliteta, premda kvalitetni temelji postoje.

Početak regulacije kibernetičkog kriminaliteta u Hrvatskoj datira od prije desetak godina, kada je reformom tadašnjeg kaznenog, tada još zvanog krivičnog, zakonodavstva prvi put uvedeno kazneno djelo Oštećenja i uporabe tuđih podataka u članku 223. Premda hvalevrijedna, ova inkriminacija nije pružala gotovo nikakvu prevenciju od računalnog kriminala. Tek se krajem 2001. godine, kada je donesena Konvencija o kibernetičkom kriminalitetu, koju je Hrvatska potpisala i ratificirala, domaći zakonodavac odlučio više pozabaviti ovim područjem, da bi u reformi Kaznenog zakona iz 2003. godine odredbe Konvencije bile implementirane u Zakon.

Nelogičnost odredbi

Tim je izmjenama domaća regulativa dobila dva nova kaznena djela, računalno krivotvorenje (članak 223. a) i računalnu prijevaru (članak 224. a), dok je stari članak 223. preimenovan u Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava te temeljno izmijenjen. Premda su te izmjene bitno popravile inkriminiranje kibernetičkog kriminaliteta, neke od odredbi su još uvijek nelogične.

To se prije svega odnosi na stavak 2. spomenutog članka koji kaže “Tko s ciljem onemogući ili oteža rad ili koriÅ¡tenje računalnih podataka ili programa, računalnog sustava ili računalnu komunikaciju, kaznit će se novčanom kaznom ili kaznom zatvora do tri godine”. Problem leži u činjenici da je zakonodavac inkriminaciju počeo riječima “s ciljem”, čime se traži da je počiniteljeva izravna namjera (počinitelj svjestan djela i hoće njegovo počinjenje). Time se potpuno nepotrebno teret dokazivanja u slučaju počinjenja kaznenog djela prebacuje na tužitelja, bilo Državno odvjetniÅ¡tvo, bilo privatnog tužitelja. Da bi ilustrirali apsurdnost situacije, poslužit ćemo se primjerima. Recimo da neka osoba provali u računalni sustav neke tvrtke i sruÅ¡i ga. Tehnički, počinitelj se može braniti tako da nije imao namjeru sruÅ¡iti sustav, već se to dogodilo slučajno ili greÅ¡kom. Ili recimo da spamer poÅ¡alje na jedan server hrpu smeća odjednom i time zaguÅ¡i server, Å¡to spada pod zakonski opis “onemogućavanja rada sustava”. Njegova obrana je jednostavna – nije mu bio cilj sruÅ¡iti računalni sustav, već je samo htio obavijestiti osobe o novom super cool proizvodu u rangu Viagre, Cialisa i sličnih gluposti. MeÄ‘utim, tko god Å¡alje spam poÅ¡tu ima dovoljno znanja o informatici da zna da veliki broj mailova poslan na jedan server može izazvati njegovo zaguÅ¡enje, ili informatičkim žargonom rečeno, njegov pad.

Needucirano sudstvo

Ta svijest pošiljatelja da može počiniti djelo, ali lakomisleno smatra da se to neće dogoditi u pravu se zove svjesni nehaj i taj se oblik krivnje kod počinjenja kaznenih djela iz područja kibernetičkog kriminaliteta mora uvažiti! U protivnom će svaki eventualni proces biti novi nastavak filma Nemoguća misija za tužitelja, a samo mali broj počinitelja tih kaznenih djela će na kraju biti osuđen i kažnjen. Na taj je apsurd autor ovog teksta upozoravao Radnu skupinu za izmjene Kaznenog zakona još prije tri godine, ali je odredba ostala ovakva kakva je. I za sada je teško očekivati izmjenu dok se ne pojave problemi u praksi. A da bi zaživila sudska praksa u području računalnog kriminaliteta, Hrvatska treba obrazovati suce i državne odvjetnike za ovakva procese, jer mnogi od njih ne znaju niti uključiti računalo. Osim toga, tvrtke i pojedinci moraju početi prijavljivati počinjenje kaznenih djela, jer kibernetički kriminal ima jednu od najviših tamni brojki, počinjenih kaznenih djela koja nisu prijavljena. Inače, Hrvatska ima vrlo kvalitetne cyber policajce, koji su često ključni dijelovi međunarodnih timova za borbu protiv kibernetičkog kriminaliteta, ali to ništa ne vrijedi bez mogućnosti brzog i kvalitetnog procesuiranja i kažnjavanja počinitelja.

Kazneni zakon regulira i neovlaÅ¡teni pristup računalnom sustavu, a tko “unatoč zaÅ¡titnim mjerama” počini to kazneno djelo, kaznit će se novčanom kaznom ili kaznom zatvora do jedne godine. I o tom se rjeÅ¡enju može diskutirati, jer nema kaznenog djela ako počinitelj pristupi nezaÅ¡tićenom sustavu. Konvencija o kibernetičkom kriminalitetu predviÄ‘a sankcioniranje samog neovlaÅ¡tenog pristupa, a ne neovlaÅ¡teni pristup “unatoč zaÅ¡titnim mjerama”. To rjeÅ¡enje može biti prilično zbunjujuće, jer se u Hrvatskoj joÅ¡ uvijek radi na standardiziranju metoda zaÅ¡tite informacijskih sustava. Dok se to ne utvrdi, procjenu o postojanju zaÅ¡titnih mjera morat će dati sud u svakom posebnom slučaju, a počiniteljima ostaje izvrsna mogućnost obrane na sudu. Laički govoreći, svaki od njih se može braniti da nisu postojale zaÅ¡titne mjere, jer da jesu on ne bi mogao provaliti u sustav!?

Računalno krivotvorenje

Da ne ispadne da samo kudimo zakonska rješenja, recimo da ima i pozitivnih stvari. Prva od njih je kažnjavanje počinitelja koji neovlašteno ošteti, izmijeni, izbriše, uništi ili na drugi način učini neuporabljivim ili nedostupnim tuđe računalne podatke ili programe. Ta je odredba posebno bitna u situacijama u kojima podaci nisu izbrisani ili oštećeni, ali im se ne može pristupiti zbog djelovanja malicioznih programa, prvenstveno špijunskih programa, virusa i trojanskih konja.

Hvalimo i uvođenje novih kaznenih djela, računalnog krivotvorenja i prijevare. U doba kada je broj elektroničkih dokumenta sve veći, a kaznena djela poput phisinga sve češća, takve su inkriminacije pohvalne. Računalno krivotvorenje čini onaj tko neovlašteno izradi, unese, izmijeni, izbriše ili učini neuporabljivim računalne podatke ili programe koji imaju vrijednost za pravne odnose, u namjeri da se oni uporabe kao pravi ili sam uporabi takve podatke ili programe. Konkretno, bilo kakva manipulacija podacima i programima koji imaju vrijednost za pravne odnose, recimo ugovorima ili listama plaća u računalu, rezultirati će zatvorom, a ne lakom i brzom lovom.

Još jedan pohvalan detalj ove, ali i ostalih inkriminacija kibernetičkog kriminaliteta je činjenica da su različite sankcije za počinjenje djela na privatnim računalima i na računalima ili programima tijela državne vlasti, javnih ustanova ili trgovačkih društava od posebnog javnog interesa, a dodatna okolnost za strože sankcije je prouzročenje znatne šteta. Predviđena kazna je novčana ili zatvor do tri godine kod obično te zatvor od tri mjeseca do pet godina kod kvalificiranog krivotvorenja. Dovoljno? Za opasnosti koje donosi kibernetički kriminalitet sigurno ne.

Pet godina za računalnu prijevaru

Izdvajamo i inkriminaciju neovlaštene izrade, nabave, prodaje, posjedovanja ili činjenja dostupnim drugome posebnih naprava, sredstva, računalnih podataka ili programa stvorenih ili prilagođenih za činjenje kaznenog djela računalnog krivotvorenja.

Računalnu prijevaru pak krasi brojnost i raznolikost pojavnih oblika, a i tu mogućnost brze zarade dovodi do toga da je takvih djela sve viÅ¡e. Kako se interpretacijom klasičnih djela kraÄ‘e, prijevare, pronevjere i drugih ne može osigurati kvalitetna zaÅ¡tita podataka ili informacija u računalu, bilo je jasno da će se to morati napraviti u novom, posebnom kaznenom djelu. Tako će vam pribavljanje protupravne imovinske koristi izmjenom tuÄ‘ih računalnih podataka ili programa u konačnici donijeti Å¡est mjeseca do pet godina zatvora. Zakonski tekst kaže da računalnu prijevaru čini onaj “tko s ciljem da sebi ili drugome pribavi protupravnu imovinsku korist unese, koristi, izmijeni, izbriÅ¡e ili na drugi način učini neuporabljivim računalne podatke ili programe, ili onemogući ili oteža rad ili koriÅ¡tenje računalnog sustava ili programa i na taj način prouzroči Å¡tetu drugome, kaznit će se kaznom zatvora od Å¡est mjeseci do pet godina”. Počini li se to kazneno djelo samo s ciljem da drugoga oÅ¡teti, kaznit će se kaznom zatvora od tri mjeseca do tri godine.

Što zakonska zaštita može učiniti za vas?

Zakonske odredbe koje reguliraju kibernetički kriminalitet naći ćete na još nekoliko mjesta u Kaznenom zakonu, poput na primjer regulacije dječje pornografije. Svim tim odredbama zajednička je dobra ideja zbog koje su doneseni, ali da bi postali potpuno funkcionalni u praksi zahtijevaju dorade. Svaki od članaka koji inkriminiraju kibernetički kriminalitet ima barem jednu nelogičnost ili zamjerku poput ovih koje smo naveli u tekstu. Takve će stvari, ponavljamo, u praksi stvarati velike probleme, jednom kada Hrvatska dobije sudsku praksu u ovom području. Za sada se kibernetički kriminalitet u praksi javlja samo vezano za kaznena djela dječje pornografije i povrede autorskih prava (pretežno glazba i filmovi). Osim problema s nespretnošću nekih odredbi, postavlja se pitanje što ove zakonske odredbe mogu učiniti za običnog, kućnog korisnika? Zapravo jako malo, što zbog problema s dokazivanje, što zbog (pretežno) male štete koja nastaje kućnom korisniku, što zbog poznate (ne)efikasnosti domaćih sudova. Stoga je bolje pouzdati se u mjere zaštite koje su vam dostupne, hardverske i softverske. Međutim, prije ili kasnije zakonodavac će se morati ponovo baviti ovom problematikom, a mi, po tko zna koji put, ističemo da je najkvalitetnije rješenje donošenje posebnog Zakona o kibernetičkom kriminalitetu i konstantna edukacija pravosudnih organa za procesuiranje kaznenih djela iz sfere kibernetičkog kriminaliteta.

IZDVOJENO:

Zatvor umjesto zarade

U zadnje vrijeme često na news grupama i na forumima, a ako nemate sreće i u vašim sandučićima elektroničke pošte, možete naći ponude za laku zaradu ako se učlanite neki sustav u koji onda morate učlanjivati druge koji moraju učlaniti treće i tako dalje i tako dalje. Ponuđač garantira brzu i jednostavnu zaradu, dok u praksi novac možete samo izgubiti. Naime, novčanom kaznom ili kaznom zatvora do tri godine kaznit će se onaj tko ostvari sustav s reklamnom, akviziterskom ili drugom djelatnošću radi pridobivanja sudionika, ili profesionalno širi sustav pri kojem se od uloženih sredstava očekuje dobitak i pri kojem se sudionicima obećava imovinska korist pod uvjetom da oni ili druge osobe pod jednakim uvjetima pridobiju druge sudionike, pri čemu je dobit imovinske koristi povezana ili potpuno ili djelomično od poštivanja igre drugih sudionika. Ovu prethodnu rečenicu trebali bi ponovo pročitati svi oni koji misli nekim sumnjivim Internet businessom doći do brza zarade.

Realno stanje informacijske i integralne sigurnosti

18/04/2009 // Posted in ICT sigurnost  |  No Comments

Mediji su prepuni izvješća o konferencijama koje se bave informacijskom i integralnom sigurnošću, sve je više tvrtki koje se bave certifikacijom sustava upravljanja informacijskom sigurnošću i konzultanata koji potpomažu uvođenje tehničkih rješenja sustava informacijske zaštite.

Priča se o tome kako je informacijska sigurnost condition sine qua non modernog poslovanja a posebno se kao svijetao primjer ističe financijski sektor, unutar kojega je zahvaljujući formalnim i zakonskim zahtjevima regulatora ta tematika osobito striktno regulirana.

MeÄ‘utim, kada se siÄ‘e u “rovove” i pogleda kakvo je stanje na terenu, posve je moguće da direktno s ceste uÄ‘ete u backoffice na katu poslovne zgrade jedne od po aktivi najvećih hrvatske banaka bez ikakve provjere – iako u prizemlju postoji prijamni dio s prostorom za smjeÅ¡taj zaÅ¡titara, koji stoji prazan “zbog Å¡tednje i recesije”.

Nakon toga, može se dogoditi da vam osobni bankar isplati novac logiran na računalni sustav s korisničkim imenom i lozinkom svog kolege, “poÅ¡to je smjena upravo sada, kolega kasni par minuta, a on ne bi smio isplatiti novac pod svojim imenom iza 13.30h”.

U drugoj banci koja za razliku od ove prve ima uveden germansko-anglosaksonski sustav  “stand up” poslovanja gdje službenik dočekuje klijenta stojeći, uredski prostor organiziran je tako da u prizemlju jednostavno nema prostora za zaÅ¡titara, nego je on smjeÅ¡ten na prvi kat, gdje se nalazi backoffice, te uopće nema pregled ulaza, niti mogućnost blokade meÄ‘uprostora. Vjerojatni razlog je opet famozna uÅ¡teda, kojoj je bankovni sektor jako sklon ukoliko se ne radi o apsolutnoj nužnosti koju pod prijetnjom kazne propisuje regulator.

Nakon toga moguće je da odete u mjenjačnicu desetak kilometara dalje gdje će vas službenica, poÅ¡to radite transakciju koja uključuje neÅ¡to veću količinu novca, odmah prijateljski pozvati u Å¡tićeni dio prostora, gdje sjedi i ona, te ćete unutra i dovrÅ¡iti transakciju – poÅ¡to je zbog Å¡tednje i skučenosti dio s fizičkom zaÅ¡titom izveden neadekvatno i službenica nema mogućnost zaključati vrata električnim putem iza klijenta koji je uÅ¡ao u prostor.

Naravno, mjenjačnica se diči naljepnicom jedne od najvećih hrvatskih tvrtki koje pružaju uslugu fizičko-tehničke zaÅ¡tite i ima standardni alarm sa žutom rotacijom iznad ulaznih vrata, čak je i uredno stavljena naljepnica noćnog nadzora – no nitko se nije potrudio reći službenici da ne poziva klijente u prostor gdje se nalazi i ona sama i sef!

U nastavku priče, službenica će izvaditi pohabanu bilježnicu i u nju kemijskom olovkom zapisati vaše ime i prezime, adresu, broj telefona te broj osobne iskaznice i JMBG, čime će u biti nesvjesno prikupljati podatke svojih klijenata bez ikakve formalne privole. Naravno, to se čini ručnim putem, jer u programu za mjenjačnicu nije predviđena takva funkcionalnost, a i da je, osobnim podacima klijenata trebalo bi upravljati na sustavan način, od strane za to obučene i ovlaštene osobe, u skladu sa zakonskim propisima te međusobnim ugovorom sklopljenim između klijenta i mjenjačnice.

Sve navedeno može se dogoditi - i dogodilo se jučer – u roku od sat vremena.

Kao što se može zaključiti, informacijska i opća sigurnost procesi su koji samo dijelom ovise o velikim ulaganjima, investicijama i certificiranju, iako se upravo certificiranje često promiče kao rješenje za sve probleme informacijske sigurnosti unutar organizacije. Prava je istina kako certifikacijska revizija traje nekoliko dana a poslovni se proces često odvija i 365 dana u godini i obavljaju ga mahom ljudi, sa svim svojim subjektivnim karakteristikama koje donose u taj isti poslovni proces.

Kao Å¡to se vidi na povrÅ¡nom primjeru “naÅ¡e” (meÄ‘u najvećima) banke, certifikacija nije dovoljna, baÅ¡ kao Å¡to i u malom sustavu poput mjenjačnice, često nastaju proceduralne i organizacijske pogreÅ¡ke koje kompromitiraju integralnu sigurnost sustava.

Za ovo su djelomično krivi i tehnički konzultanti  i certifikacijski konzultanti koji često uljepÅ¡avaju istinu kako se ne bi zamjerili klijentu, umjesto da profesionalno odrade svoj dio posla i ukažu na nedostatke usvojenih modela i obrazaca ponaÅ¡anja, pa čak i po cijenu privremenog neslaganja s klijentom. Svaki profesionalni klijent u tom slučaju neće konzultantu zamjeriti iskrenost i istinu, nego će shvatiti da ima istinskog partnera uz sebe – a svaki profesionalac trebao bi biti u poziciji birati i klijenta za kojega će raditi te odbiti posao ako se kosi s pravilima i kodeksom pripadajuće struke.

Kartične prijevare – kraÄ‘e s bankomata

16/04/2009 // Posted in Ostalo  |  No Comments

Dvije zanimljive Powerpoint prezentacije (0.8 MB, ZIP arhiva) koje pokazuju različite vrste krađa s bankomata, od kojih jedna uključuje i metode socijalnog inženjeringa.

Pregled sigurnosnih incidenata u 2008. godini

15/04/2009 // Posted in ICT sigurnost  |  No Comments

Donosimo u integralnoj verziji dokument “Pregled sigurnosnih incidenata u 2008. godini“, izraÄ‘en u suradnji CARNet CERT-a i LS&S-a.

Sadržaj:

1. UVOD

2. WEB PRIJETNJE

2.1. VRSTE NAPADA

2.2. PRIMJERI NAPADA

3. NAPADI PUTEM PORUKA ELEKTRONIÄŒKE POÅ TE

4. ZLOĆUDNI PROGRAMI

5. SPAM

6. MOBILNI TELEFONI

7. CURENJE PODATAKA

8. MEĐUDRŽAVNI CYBER KRIMINAL

9. BOTNET MREŽE

10. ZAKLJUÄŒAK

11. REFERENCE

Klasifikacija podataka (“Data Classification”) i rukovoÄ‘enje životnim vijekom podataka (“Information Lifecycle Management”)

14/04/2009 // Posted in ICT sigurnost  |  No Comments

Dva temeljna preduvjeta moraju biti ispunjena kako bi se moglo uspješno rukovoditi, odnosno upravljati velikim količinama podataka uskladištenim u sustavima masovnog skladištenja:

  1. prisutnost sustava klasifikacije podataka (Data Classification ili DC)
  2. rukovođenje životnim vijekom informacija (Information Lifecycle Management ili ILC)

U naÅ¡im uvjetima se podaci klasificiraju isključivo ako to nalažu zakonske odredbe, Å¡to znači da se u privatnom sektoru klasifikacija primjenjuje isključivo ukoliko vlasnik podataka ima svijest o potrebi te funkcije. Van sektora koji je i inače senzibiliziran na sigurnost informacija – financijskog, osiguravateljnog i tehnoloÅ¡kog – a osobito kod poslovnih subjekata srednje veličine, vrlo je mala svijest o potrebi klasifikacije podataka ili se ona provodi ad hoc, prema nečijem osobnom nahoÄ‘enju ili, Å¡to je joÅ¡ gore, “u hodu”, odnosno kontekstualno.

Što se tiče upravljanja životnim vijekom podataka, u Republici Hrvatskoj se donekle poštuju principi ovog procesa kada se radi o arhiviranju podataka, odnosno o računovodstvenim podacima koji moraju biti dostupni određeni vremenski rok, u skladu s principima čuvanja računovodstvenih isprava, no sustavno rukovođenje tom funkcijom u praksi je izrazito rijetko.

Moglo bi se ustvrditi kako se bez implementacije sustavnog DC i ILM, sustav informacijske sigurnosti nalazi na klimavim nogama, osobito u onom dijelu koji se tice “Availability” dijela C-I-A trijade. ÄŒesto se ova dva principa u naÅ¡oj praksi u potpunosti zanemaruju, proglaÅ¡avajući tehničke mjere pohrane podataka ili operativne mjere proglaÅ¡avanja podataka “neoperativnima” dovoljnima.

Naravno da je daleko lakÅ¡e uvesti ove principe u organizacije koje upravljaju manjom količinom podataka jer je tada i proces normalizacije jednostavniji, no s druge strane, zbog svoje veličine i osjetljivosti, velike organizacije bi joÅ¡ viÅ¡e trebale obratiti pažnju na način na koji skladiÅ¡te podatke, odnosno “rjeÅ¡avaju” ih se po isteku njihovog životnog vijeka.

ÄŒlanak od Farajun, Eran, “The Key to Information Lifecycle Management is Cost-Effective Backup” objavljen u Computer Technology Review od 1.1.2006. godine jasno objaÅ¡njava koji su temeljni ciljevi procesa ILM te koja je razlika izmeÄ‘u obične tehnologije pohrane podataka i ILM tehnologija.

Disaster recovery 2 – Wally Gets Proactive

12/04/2009 // Posted in ICT sigurnost  |  No Comments

Djeca kao žrtve online kriminala

12/04/2009 // Posted in Legislativa  |  No Comments

Tri su temeljna obrasca putem kojih djeca postaju žrtve online kriminala:

  • online tretiranje djece u ulozi seksualnih objekata od strane odraslih
  • izlaganje djece materijalima koji prikazuju eksplicitni seks
  • uznemiravanje

Američki nacionalni centar za traganje za nestalom djecom objavio je brošuru koja se detaljno bavi ovom tematikom. Taj centar sponzoriran je od strane američkog Kongresa.

Statističke informacije 2008

10/04/2009 // Posted in Ostalo  |  No Comments

U publikaciji “Statističke informacije 2008Državnog zavoda za statistiku Republike Hrvatske nalaze se odgovori na mnoga pitanja iz domene stanja korporativnog upravljanja u Republici Hrvatskoj – samo ih je potrebno na pravi način znati pročitati…

Forenzika postaje sastavni dio Sarbanes-Oxley procedure revizije

09/04/2009 // Posted in Legislativa  |  No Comments

Forensics Principles Become Part of the Sarbanes Oxley Audits After the Market Crisis

According to the new proposed from the PCAOB auditing standards, auditors must obtain sufficient appropriate audit evidence to provide a reasonable basis for their opinion.
What is sufficiency? It is the measure of the quantity of audit evidence.

What is appropriateness? It is the measure of the quality of the evidence obtained.

Evidence must be relevant, which means that it must be related to the assertion or to the objective of the control being tested.

Evidence must also be reliable. It means that it depends on:

1. The nature
2. The source of the evidence
3. The circumstances under which the evidence is obtained.

Obtaining more of the same poor audit evidence, cannot compensate for the poor quality of it.

Here is where computer forensics principles come in. According to the new proposed from the PCAOB auditing standards, everything depends on the nature, source and circumstances under which evidence is obtained.

A. A knowledgeable source that is independent of the company obtains more reliable evidence than evidence obtained only from internal company sources

B. Evidence is more reliable when the company’s controls over that information are effective.

C. Evidence is more reliable when obtained directly by the auditors.

D. Evidence is more reliable when provided by original documents. Photocopies, facsimiles, documents filmed, digitized or converted into electronic form, are secondary evidence.
The more controls over the conversion and maintenance of those documents, the more auditors can use these documents.

The auditors don’t have to be experts in document authentication.
If a document may not be authentic or there are modifications not disclosed to the auditors, they should also modify their planned audit procedures or perform additional procedures.

Auditors do not trust all information produced by a company.
They should evaluate whether the information is sufficient and appropriate by:

A. Testing the accuracy and completeness of the information

B. Testing the controls over the accuracy and completeness of that information

C. Evaluating the information (is it sufficiently precise and detailed?)

If audit evidence obtained from one source is not consistent with what is obtained from another, or if the auditor has any reasons to believe that there is a problem with the reliability of information to be used as audit evidence, they should use professional judgment and perform all the procedures needed to resolve the matter.

Zašto Hrvatska krizom praktično nije niti okrznuta?

08/04/2009 // Posted in Ostalo  |  No Comments

Već neko vrijeme svi mediji na sav glas, u ovom ili onom obliku, donose katastrofične vijesti o ekonomskoj krizi, navodno najgoroj u ovom stoljeću.

No, usprkos tome, u Hrvatskoj kao da se ništa niti ne događa. Zasigurno, plaće u javnom sektoru malo su pale, no naizgled, živi se isto kao i prije.

Koji su temeljni razlozi za tu, naizgled neodrživu dihotomiju?

1. U Hrvatskoj u doba najbolje zaposlenosti postotno gledano radilo je dvostruko manje zaposlenih od ukupnog stanovništva u odnosu na USA u ovom trenutku, kada je tamo zabilježen najveći poslijeratni gubitak radnih mjesta.

2. Hrvatska ima tradicionalno visoku stopu štednje stanovništva (iako, komparacija u apsolutnim iznosima zbog niže kupovne moći s ostalim državama Europe govori drugačije) za razliku od mnogih drugih, povijesno gledano, ekonomski stabilnijih država gdje stanovništvo zbog lakše raspoloživog posla i financijskih sredstava nema naviku štednje.

3. Hrvatska je imala značajne devizne rezerve, koje su u kombinaciji s restriktivnom monetarnom politikom HNB-a omogućile stabilnost tečaja kune koja je precijenjena, što je nažalost pogodovalo uvoznom lobiju a posve destimuliralo proizvodnju.

4. Hrvatska pokriva oko pola uvoza izvozom – u takvom sustavu, smanjenje izvoza na strana, krizom zahvaćena tržiÅ¡ta, rezultira manjim potresima nego u onim državama u kojima je veća pokrivenost vanjske razmjene. Nažalost, moglo bi se reći da se u Hrvatskoj “ionako niÅ¡ta ne proizvodi pa je Å¡ok manji”.

5. Hrvatska ima kancerogen, ekspanzivan, neproduktivan državni sektor koji čini značajan dio državne ekonomije a čiju veličinu s obzirom na sinekure, poduzeća-kćeri i kompleksne odnose je gotovo nemoguće sa sigurnošću procijeniti. U tom smislu, radi se o sustavu gdje se iz lijevog džepa novac pretače u desni džep (Englezi bi rekli “robbing Peter to pay Paul”), pri čemu se trudi da desni džep bude privatan. Socijalna politika države uglavnom se temeljila na svetosti prava zaposlenih koij su plaćeni iz državnog proračuna, čime je stvorena uravnilovka koja posve onemogućuje kvalitetan razvoj ljudskog kapitala.

6. U Hrvatskoj je stvoren privid visokog standarda građana koji se održava neselektivno odobravanim kreditima od strane stranih banaka koje posjeduju hrvatski bankarski sektor po kamatnim stopama znatno višima od onih u njihovim matičnim zemljama. Financijski inženjering potpomognut je i od strane investicijskog financijskog sektora i lokalnih igrača (nedokazivo!!!). Ispuhivanje ovog balona srušilo je index Crobex sa razina od cca 5200 do 1400 u kratkom roku. No, u zadnjih nekoliko godina i ova je Ponzi shema stvorila proverbijalni privid lake zarade i podizanja standarda prosječnog građanina bez velike muke.

7. Financijska tržišta predviđaju dok ekonomska analiza ex-post pokazuje kretanja ekonomije. Stoga se kretanja iz realnog sektora analiziraju sa odmakom, u najboljem slučaju, kvartalnim.

Visoka zaduženost države, ovisnost o turističkoj sezoni, neproduktivnost i nedodirljivost državnih službi te smanjeni porezni prihodi omča su oko financijskog vrata države u ovom trenutku. Sustav puca u trenutku kad se suverenitet fiskusa mora de facto prepustiti MMF-u u trenutku kada država doÄ‘e u poteÅ¡koće sa servisiranjem duga. U ovom trenutku u državi praktično ne postoje nikakve antirecesijske mjere niti je javno izvedena ekonometrijska analiza pojavnosti ili analiza utjecaja.  Hrvatska ne može izaći iz krize na način na koji to može pokuÅ¡ati jedna SAD, koja može “potroÅ¡iti svoj put kroz krizu” fiskalnom ekspanzijom poÅ¡to je dolar svjetska rezervna valuta – Hrvatska može isključivo rezati troÅ¡kove, povećavati prihode i optimizirati strukturu fiskusa preusmjeravanjem u ekonomski žive a ne politički indicirane projekte.

Nažalost, gotovo niti jedna hrvatska Vlada od njenog osamostaljenja nije pokazala da shvaća temelje ekonomskih zakonitosti tako da je posve neizvjesna ekonomska sudbina države. U svakom slučaju, sredina 2009 godine a osobito jesen, pokazat će se ključnima za procjenu utjecaja krize, a osobito vezano uz nastavak krize u svjetskom financijskom sektoru i dostupnost financijskih sredstava na međunarodnom tržištu kapitala.

Perspektive ICT industrije u Republici Hrvatskoj

07/04/2009 // Posted in ICT governance  |  No Comments

ICT sektor će u Hrvatskoj do 2012. izgubiti i do 12 milijarda kuna

Izvor: Slobodna Dalmacija · Autor: Marijana Šešo , 06.04.2009.

Najnovije procjene za tržište informacijsko-komunikacijskih tehnologije (ICT) pokazuju da su, zbog svjetske ekonomske krize, i u Hrvatskoj do 2012. godine mogući gubici od čak 12 milijarda kuna.

Taj iznos odgovara dvogodišnjoj hrvatskoj ICT potrošnji, a ulaganja u informatiku ove godine past će šest posto, što iznosi 6,19 milijarda kuna, kaže Boris Žitnik, direktor analitičke kuće IDC Adriatics.

Kresanje budžeta dotaknut će sve segmente, od nabave kompjutora i servera do novih programa, ali i usluga održavanja te sustava zaštite.

Unatoč crnim predviđanjima, ICT kompanije koje posluju u Hrvatskoj za prošlu su fiskalnu godinu redom iznijele pozitivne ili neutralne rezultate poslovanja, najavljujući ipak da će ove godine poduzeti sve kako im prihod i dobit ne bi previše padali.

HP planira ostati tržišni lider, ali očekuje smanjenje ukupnog prihoda za dva do pet posto, King-ICT se uz kontinuitet poslovanja u zemlji namjerava širiti u regiju, SAP planira daljnji rast broja klijenata i prihoda.Tko je u procjenama bio realan, pokazat će kraj godine.

Zato je aktivnosti više nego ikad ranije, u provođenju projekata svi su agresivniji, a u ulaganjima konzervativni, kako se ne bi izlagali nepotrebnim rizicima.

Kako mjere štednje u većini poduzeća uključuju rezanje proračuna za informatiku, očito je došlo vrijeme kada se izbacuje sve što nije nužno. Pri tome su bankarski i telekomunikacijski sektori manje drastični u štednji, jer zbog tržišne orijentacije i konkurencije ne mogu priuštiti stagnaciju. Primjetno je da čak i oni svaku kunu okrenu deset puta prije trošenja.

Pri sklapanju novih ugovora posljednja tri mjeseca svi se klijenti cjenkaju, pa od dobavljača traže veću kvalitetu usluga, ali i niže cijene koje su pale na razinu nezamislivu još prošle godine, kaže Ivan Gabrić, predstavnik Uprave najvećeg domaćeg sistem integratora, tvrtke “Combis”.

Rušenje cijena u krizi pravi je trenutak za ulaganja ako se za to ima sredstava i izdržljivosti dok recesija ne mine. No, za to još nije nastupio pravi trenutak, jer tržište nije dodirnulo samo dno.

Još ima prostora za pojeftinjenje proizvoda i usluga, a onda će na ICT tržištu nastupiti doba preživljavanja najboljih.

Site www.vjestak-informatika.com pod napadom!

06/04/2009 // Posted in Ostalo  |  No Comments

Danas oko 11.22h ujutro došlo je do napada na host server i/ili sam Web www.vjestak-informatika.com od strane frame-based trojana te je site bio nedostupan neko vrijeme, kao i admin konzola za logiranje. Za sada je počišćen sam site, no još je potrebno obavijestiti admina host providera kako bi se vidjelo da li se radi o sistemskom propustu ili problemu s CMS-om. Naime, ako se radi o problemu s CMSom, trebat će pričekati novu zakrpu (trenutačno je primijenjena zadnja verzija zakrpe za sam CMS).

U svakom slučaju  veliko hvala dugogodiÅ¡njoj kolegici Suzi – već će ona znati o kome se radi – koja je nažalost odigrala ulogu beta testera te prva naiÅ¡la na ovaj problem i dojavila da je site offline. Nažalost, bila je u pravu i site je bio zaražen.

Pet najvećih svjetskih hakera

05/04/2009 // Posted in ICT sigurnost  |  No Comments

Definicija računalnog hakera ovisi o stajalištu s kojega se polazi. S pozitivnog gledišta može se reći kako je haker osoba koja je programerski stručnjak i koja je sposobna riješiti kompleksne računalne probleme. No, u kolokvijalnom jeziku, izraz haker se obično koristi za osobu koja ilegalno dolazi do povjerljivih informacija sadržanih u računalnim sustavima, te ih ponekad briše ili mijenja.

BivÅ¡i hakeri često nakon Å¡to “odsluže svoj dug druÅ¡tvu” postaju profesori iz područja informacijske sigurnosti ili otvaraju vlastite konzultantske tvrtke koje se bave uslugama iz istog područja.

Evo jednog zanimljivog članka koji govori o pet medijski eksponiranih hakera i njihovim sudbinama po zavrÅ¡etku hakerske “karijere”.

DoduÅ¡e, jedna strukovna poslovica kaže kako je najbolji haker onaj za kojega nitko ne zna i kojega nikada nisu uhvatili…

Plaće u ICT sektoru – ICT salaries survey 2008

03/04/2009 // Posted in ICT governance  |  No Comments

Plaće u ICT sektoru neka su vrsta mistične tematike. SvaÅ¡ta se priča i svatko ima nekoga (obično u drugom gradu ili državi…) tko dobro zaraÄ‘uje radeći neki, barem po pričama, usko specijalizirani posao na području ICT-a.

Na ovom siteu pozabavit ćemo se i tom tematikom, a za sada, rezultati jednog istraživanja na tu temu kako bi se svi mogli usporediti s vladajućim trendovima u (pred)recesijskoj USA.

Preuzimanje istraživanja o plaćama u ICT sektoru Tech Republic-a za 2008. godinu