U autorstvu kolege Edvarda Tijana s Pomorskog fakulteta u Rijeci pod naslovom “Data Classification and Information Lifecycle Management in Port Community Systems” dovrÅ¡ava se rad koji će ići u objavu u jednom znanstvenom Äasopisu u ljeto ili krajem 2009 godine. Po objavi u Äasopisu rad će biti objavljen i na ovim stranicama.
You are currently browsing the archives for April, 2009.
Klasificiranje podataka (DC – Data Classification) i upravljanje životnim vijekom podataka (ILM – Information Lifecycle Management)
30/04/2009 // Posted in ÄŒlanci/konferencije/predavanja | No Comments
Potvrda sudjelovanja na MIPRO-u 2009
29/04/2009 // Posted in ÄŒlanci/konferencije/predavanja | No Comments
Vezano uz najavu sudjelovanja na MIPRO 2009 konferenciji, stigao je i program konferencije. Objavljeno je kako će izlaganje rada
S. Aksentijević (Saipem Mediteran Usluge Ltd., Rijeka, Croatia), E. Tijan (Faculty of Maritime Studies, Rijeka, Croatia), B. HlaÄa(Rijeka Port Authority, Croatia):
Importance of Organizational Information Security in Port Community Systems
biti održano u okviru savjetovanja sekcije ISS – “Information System Security – Sigurnost informacijskih sustava” sekcije, dana 28.05.2009. godine u prijepodnevnim satima. Po rasporedu, izlaganje je Äetvrto po redu na navedenom savjetovanju.
Ujedno sve pozivam da obrate pažnju na rad u sekciji “SP – Student Papers”, D. ÄorÄ‘ević, D. GlavaÅ¡ević, D. Krnjak (Polytechnic of Rijeka – VeleuÄiliÅ¡te, Hrvatska), “Ekonomski uÄinci primjene softvera za virtualizaciju”.
ICT karijere i recesija – “Navigating your IT career 2009”
28/04/2009 // Posted in Ostalo | No Comments
Internet.Com izdao je svoj novi e-book pod naslovom “Navigating your IT career 2009”. Već iz samog sadržaja jasno je kako su obraÄ‘ene teme koje se bave recesijom i ulogom ICT funkcije, odnosno utjecajem kontrakcije ekonomske aktivnosti na posao u ICT sektoru, uz savjete o tome kako se ponaÅ¡ati na razgovoru za posao.
Sadržaj:
- For IT Workers, How Bad Will It Get?
James Maguire - Recession-Proof Your IT Gig
Drew Robb - IT Job Hunt: Standout Cover Letters and Resumes
Katherine Spencer Lee - Three Job Hunting Makeovers That Won’t Cost a Dime
Drew Robb - Surviving the Technical Interview
Deb Shinder - How to Not Get an IT Job: 10 Tips
James Maguire
Tempest i CE – kompromitirajuća emanacija (Compromising Emanations)
26/04/2009 // Posted in ICT sigurnost | No Comments
Sva raÄunalna i mrežna oprema “isijava” elektromagnetske valove odgovarajućih frekvencija tijekom svog rada. Tempest je strukovni naziv koji se odnosi na metode prouÄavanja i analize takvih nenamjernih (sluÄajnih) zraÄenja (CE – Compromising Emanations) kako bi se rekonstruirao rad na raÄunalima, raÄunalnim sustavima ili promet na raÄunalnim mrežama. Terminologija i tehnika potiÄu iz miljea tajnih službi koje su meÄ‘u prvima uvidjele strateÅ¡ki znaÄaj informacijske sigurnosti u provoÄ‘enju odgovarajućih nacionalnih politika. Tempest oprema vrlo je raznovrsna a u praksi se najÄešće koristi za rekonstruiranje koriÅ¡tenja stolnih raÄunala, prijenosnih raÄunala, mobilnih telefona te daljinsko praćenje ispisa na raÄunalnim zaslonima i Å¡tampaÄima, odnosno za praćenje prometa na žiÄanim raÄunalnim mrežama. Cijena takve opreme kreće se od 5.000 do 250.000 ameriÄkih dolara za posve opremljene sustave, ovisno o dometu, karakteristikama i sposobnostima podržanih akcija.
Uz Tempest tehnike naslanjaju se i metodologije zaÅ¡tite raÄunalnih sustava i mreža od ovog tipa prisluÅ¡kivanja te meÄ‘unarodno priznate certifikacije raÄunalnih sustava ovisno o njihovoj “Äistoći” po pitanju neželjenog odaÅ¡iljanja. Jasno je kako se zbog znaÄajnog troÅ¡ka anti-Tempest sustavima Å¡tite samo vitalni sustavi, najÄešće Vladini, odnosno komercijalni i korporativni sustavi. Anti-Tempest sustavi Äesto se kombiniraju s pasivnim i aktivnim sustavima zaÅ¡tite od prisluÅ¡kivanja u tzv. “sigurnim sobama”.
Kao i većina tehnologija zaÅ¡tite informacija i temeljni koncepti informacijske sigurnosti, Tempest tehnologija svoje zaÄetke ima u doba Drugog svjetskog rata.
Anti-Tempest zaštita svodi se na tri mjere:
- fiziÄko odvajanje – spreÄavanje nedozvoljenog pristupa u blizini izvora kod kojeg je amplitudno zraÄenje jaÄe od pozadinskog Å¡uma
- elektromagnetsko odvajanje – primjenom priguÅ¡ivanja i filtera kako bi se nenamjerne emisije smanjile
- minimizacija nivoa emitiranog signala – dizajnom i koriÅ¡tenjem opreme pri najmanjoj mogućoj snazi kako bi se smanjila snaga nenamjernog emitiranja elektromagnetsko zraÄenja
Sljedeći kratki film prikazuje rudimentarnu mogućnost daljinske analize unosa s tipkovnice osobnog raÄunala.
Plaće ICT Managera i ICT specijalista
24/04/2009 // Posted in ICT governance | No Comments
Zamislimo scenarij u kojemu ICT Director mora odluÄiti zaposliti novoga ICT managera ili ICT specijalista u nekoj od država Europe ili Azije. UobiÄajeno je pitanje – koju plaću ponuditi takvoj osobi da bismo je zaposlili?
Koristeći se privilegijom osobnih Web stranica da zadrži izvor tajnim, objavljujem dnevnu bruto plaću koju bi ponudila jedna od vodećih konzultantskih kuća kada bi zapošljavala ICT managera ili ICT specijalista koji nije expat, dakle radi se o lokalnom zapošljavanju.
Napominjem kako se radi o dnevnoj bruto plaći u EUR koja sadrži sva socijalna, mirovinska i zakonska davanja u svakoj od država.
Gdje se vi nalazite u odnosu na ove brojeve?
Keyloggeri
23/04/2009 // Posted in ICT tehnologije | No Comments
Zanimljiv CERT-ov dokument o keyloggerima.
Informacijska zakonska (ne)sigurnost
21/04/2009 // Posted in Legislativa | No Comments
Prenosimo u integralnom obliku, uz odobrenje autora, gosp. Drazena Jurmana, tekst “Informacijska zakonska (ne)sigurnost”. Iako je objavljen prije vise od 2,5 godine, ovaj tekst je i dalje itekako aktualan.
Informacijska zakonska (ne)sigurnost
Premda je Hrvatska potpisala i ratificirala Konvenciju o kibernetiÄkom kriminalitetu, zakonska rjeÅ¡enja u tom podruÄju, premda generalno dobra, moraju biti doraÄ‘ena kako bi se ispravile neke nelogiÄnosti koje će stvarati velike probleme u praksi
Piše: Dražen Jurman
Objavljeno u PC Chip broj 136., rujan 2006.
U sustavu raÄunalne sigurnosti veliku ulogu trebala bi imati i regulativa, odnosno prevencija poÄinjenja kaznenih djela na raÄunalima i uz pomoć raÄunala zakonskim odredbama. Kažemo trebala bi imati zato Å¡to je domaća regulativa joÅ¡ uvijek nedovoljna i nedoreÄena da bi pružila kvalitetnu zaÅ¡titu od kibernetiÄkog kriminaliteta, premda kvalitetni temelji postoje.
PoÄetak regulacije kibernetiÄkog kriminaliteta u Hrvatskoj datira od prije desetak godina, kada je reformom tadaÅ¡njeg kaznenog, tada joÅ¡ zvanog kriviÄnog, zakonodavstva prvi put uvedeno kazneno djelo OÅ¡tećenja i uporabe tuÄ‘ih podataka u Älanku 223. Premda hvalevrijedna, ova inkriminacija nije pružala gotovo nikakvu prevenciju od raÄunalnog kriminala. Tek se krajem 2001. godine, kada je donesena Konvencija o kibernetiÄkom kriminalitetu, koju je Hrvatska potpisala i ratificirala, domaći zakonodavac odluÄio viÅ¡e pozabaviti ovim podruÄjem, da bi u reformi Kaznenog zakona iz 2003. godine odredbe Konvencije bile implementirane u Zakon.
NelogiÄnost odredbi
Tim je izmjenama domaća regulativa dobila dva nova kaznena djela, raÄunalno krivotvorenje (Älanak 223. a) i raÄunalnu prijevaru (Älanak 224. a), dok je stari Älanak 223. preimenovan u Povreda tajnosti, cjelovitosti i dostupnosti raÄunalnih podataka, programa ili sustava te temeljno izmijenjen. Premda su te izmjene bitno popravile inkriminiranje kibernetiÄkog kriminaliteta, neke od odredbi su joÅ¡ uvijek nelogiÄne.
To se prije svega odnosi na stavak 2. spomenutog Älanka koji kaže “Tko s ciljem onemogući ili oteža rad ili koriÅ¡tenje raÄunalnih podataka ili programa, raÄunalnog sustava ili raÄunalnu komunikaciju, kaznit će se novÄanom kaznom ili kaznom zatvora do tri godine”. Problem leži u Äinjenici da je zakonodavac inkriminaciju poÄeo rijeÄima “s ciljem”, Äime se traži da je poÄiniteljeva izravna namjera (poÄinitelj svjestan djela i hoće njegovo poÄinjenje). Time se potpuno nepotrebno teret dokazivanja u sluÄaju poÄinjenja kaznenog djela prebacuje na tužitelja, bilo Državno odvjetniÅ¡tvo, bilo privatnog tužitelja. Da bi ilustrirali apsurdnost situacije, poslužit ćemo se primjerima. Recimo da neka osoba provali u raÄunalni sustav neke tvrtke i sruÅ¡i ga. TehniÄki, poÄinitelj se može braniti tako da nije imao namjeru sruÅ¡iti sustav, već se to dogodilo sluÄajno ili greÅ¡kom. Ili recimo da spamer poÅ¡alje na jedan server hrpu smeća odjednom i time zaguÅ¡i server, Å¡to spada pod zakonski opis “onemogućavanja rada sustava”. Njegova obrana je jednostavna – nije mu bio cilj sruÅ¡iti raÄunalni sustav, već je samo htio obavijestiti osobe o novom super cool proizvodu u rangu Viagre, Cialisa i sliÄnih gluposti. MeÄ‘utim, tko god Å¡alje spam poÅ¡tu ima dovoljno znanja o informatici da zna da veliki broj mailova poslan na jedan server može izazvati njegovo zaguÅ¡enje, ili informatiÄkim žargonom reÄeno, njegov pad.
Needucirano sudstvo
Ta svijest poÅ¡iljatelja da može poÄiniti djelo, ali lakomisleno smatra da se to neće dogoditi u pravu se zove svjesni nehaj i taj se oblik krivnje kod poÄinjenja kaznenih djela iz podruÄja kibernetiÄkog kriminaliteta mora uvažiti! U protivnom će svaki eventualni proces biti novi nastavak filma Nemoguća misija za tužitelja, a samo mali broj poÄinitelja tih kaznenih djela će na kraju biti osuÄ‘en i kažnjen. Na taj je apsurd autor ovog teksta upozoravao Radnu skupinu za izmjene Kaznenog zakona joÅ¡ prije tri godine, ali je odredba ostala ovakva kakva je. I za sada je teÅ¡ko oÄekivati izmjenu dok se ne pojave problemi u praksi. A da bi zaživila sudska praksa u podruÄju raÄunalnog kriminaliteta, Hrvatska treba obrazovati suce i državne odvjetnike za ovakva procese, jer mnogi od njih ne znaju niti ukljuÄiti raÄunalo. Osim toga, tvrtke i pojedinci moraju poÄeti prijavljivati poÄinjenje kaznenih djela, jer kibernetiÄki kriminal ima jednu od najviÅ¡ih tamni brojki, poÄinjenih kaznenih djela koja nisu prijavljena. InaÄe, Hrvatska ima vrlo kvalitetne cyber policajce, koji su Äesto kljuÄni dijelovi meÄ‘unarodnih timova za borbu protiv kibernetiÄkog kriminaliteta, ali to niÅ¡ta ne vrijedi bez mogućnosti brzog i kvalitetnog procesuiranja i kažnjavanja poÄinitelja.
Kazneni zakon regulira i neovlaÅ¡teni pristup raÄunalnom sustavu, a tko “unatoÄ zaÅ¡titnim mjerama” poÄini to kazneno djelo, kaznit će se novÄanom kaznom ili kaznom zatvora do jedne godine. I o tom se rjeÅ¡enju može diskutirati, jer nema kaznenog djela ako poÄinitelj pristupi nezaÅ¡tićenom sustavu. Konvencija o kibernetiÄkom kriminalitetu predviÄ‘a sankcioniranje samog neovlaÅ¡tenog pristupa, a ne neovlaÅ¡teni pristup “unatoÄ zaÅ¡titnim mjerama”. To rjeÅ¡enje može biti priliÄno zbunjujuće, jer se u Hrvatskoj joÅ¡ uvijek radi na standardiziranju metoda zaÅ¡tite informacijskih sustava. Dok se to ne utvrdi, procjenu o postojanju zaÅ¡titnih mjera morat će dati sud u svakom posebnom sluÄaju, a poÄiniteljima ostaje izvrsna mogućnost obrane na sudu. LaiÄki govoreći, svaki od njih se može braniti da nisu postojale zaÅ¡titne mjere, jer da jesu on ne bi mogao provaliti u sustav!?
RaÄunalno krivotvorenje
Da ne ispadne da samo kudimo zakonska rjeÅ¡enja, recimo da ima i pozitivnih stvari. Prva od njih je kažnjavanje poÄinitelja koji neovlaÅ¡teno oÅ¡teti, izmijeni, izbriÅ¡e, uniÅ¡ti ili na drugi naÄin uÄini neuporabljivim ili nedostupnim tuÄ‘e raÄunalne podatke ili programe. Ta je odredba posebno bitna u situacijama u kojima podaci nisu izbrisani ili oÅ¡tećeni, ali im se ne može pristupiti zbog djelovanja malicioznih programa, prvenstveno Å¡pijunskih programa, virusa i trojanskih konja.
Hvalimo i uvoÄ‘enje novih kaznenih djela, raÄunalnog krivotvorenja i prijevare. U doba kada je broj elektroniÄkih dokumenta sve veći, a kaznena djela poput phisinga sve Äešća, takve su inkriminacije pohvalne. RaÄunalno krivotvorenje Äini onaj tko neovlaÅ¡teno izradi, unese, izmijeni, izbriÅ¡e ili uÄini neuporabljivim raÄunalne podatke ili programe koji imaju vrijednost za pravne odnose, u namjeri da se oni uporabe kao pravi ili sam uporabi takve podatke ili programe. Konkretno, bilo kakva manipulacija podacima i programima koji imaju vrijednost za pravne odnose, recimo ugovorima ili listama plaća u raÄunalu, rezultirati će zatvorom, a ne lakom i brzom lovom.
JoÅ¡ jedan pohvalan detalj ove, ali i ostalih inkriminacija kibernetiÄkog kriminaliteta je Äinjenica da su razliÄite sankcije za poÄinjenje djela na privatnim raÄunalima i na raÄunalima ili programima tijela državne vlasti, javnih ustanova ili trgovaÄkih druÅ¡tava od posebnog javnog interesa, a dodatna okolnost za strože sankcije je prouzroÄenje znatne Å¡teta. PredviÄ‘ena kazna je novÄana ili zatvor do tri godine kod obiÄno te zatvor od tri mjeseca do pet godina kod kvalificiranog krivotvorenja. Dovoljno? Za opasnosti koje donosi kibernetiÄki kriminalitet sigurno ne.
Pet godina za raÄunalnu prijevaru
Izdvajamo i inkriminaciju neovlaÅ¡tene izrade, nabave, prodaje, posjedovanja ili Äinjenja dostupnim drugome posebnih naprava, sredstva, raÄunalnih podataka ili programa stvorenih ili prilagoÄ‘enih za Äinjenje kaznenog djela raÄunalnog krivotvorenja.
RaÄunalnu prijevaru pak krasi brojnost i raznolikost pojavnih oblika, a i tu mogućnost brze zarade dovodi do toga da je takvih djela sve viÅ¡e. Kako se interpretacijom klasiÄnih djela kraÄ‘e, prijevare, pronevjere i drugih ne može osigurati kvalitetna zaÅ¡tita podataka ili informacija u raÄunalu, bilo je jasno da će se to morati napraviti u novom, posebnom kaznenom djelu. Tako će vam pribavljanje protupravne imovinske koristi izmjenom tuÄ‘ih raÄunalnih podataka ili programa u konaÄnici donijeti Å¡est mjeseca do pet godina zatvora. Zakonski tekst kaže da raÄunalnu prijevaru Äini onaj “tko s ciljem da sebi ili drugome pribavi protupravnu imovinsku korist unese, koristi, izmijeni, izbriÅ¡e ili na drugi naÄin uÄini neuporabljivim raÄunalne podatke ili programe, ili onemogući ili oteža rad ili koriÅ¡tenje raÄunalnog sustava ili programa i na taj naÄin prouzroÄi Å¡tetu drugome, kaznit će se kaznom zatvora od Å¡est mjeseci do pet godina”. PoÄini li se to kazneno djelo samo s ciljem da drugoga oÅ¡teti, kaznit će se kaznom zatvora od tri mjeseca do tri godine.
Å to zakonska zaÅ¡tita može uÄiniti za vas?
Zakonske odredbe koje reguliraju kibernetiÄki kriminalitet naći ćete na joÅ¡ nekoliko mjesta u Kaznenom zakonu, poput na primjer regulacije djeÄje pornografije. Svim tim odredbama zajedniÄka je dobra ideja zbog koje su doneseni, ali da bi postali potpuno funkcionalni u praksi zahtijevaju dorade. Svaki od Älanaka koji inkriminiraju kibernetiÄki kriminalitet ima barem jednu nelogiÄnost ili zamjerku poput ovih koje smo naveli u tekstu. Takve će stvari, ponavljamo, u praksi stvarati velike probleme, jednom kada Hrvatska dobije sudsku praksu u ovom podruÄju. Za sada se kibernetiÄki kriminalitet u praksi javlja samo vezano za kaznena djela djeÄje pornografije i povrede autorskih prava (pretežno glazba i filmovi). Osim problema s nespretnošću nekih odredbi, postavlja se pitanje Å¡to ove zakonske odredbe mogu uÄiniti za obiÄnog, kućnog korisnika? Zapravo jako malo, Å¡to zbog problema s dokazivanje, Å¡to zbog (pretežno) male Å¡tete koja nastaje kućnom korisniku, Å¡to zbog poznate (ne)efikasnosti domaćih sudova. Stoga je bolje pouzdati se u mjere zaÅ¡tite koje su vam dostupne, hardverske i softverske. MeÄ‘utim, prije ili kasnije zakonodavac će se morati ponovo baviti ovom problematikom, a mi, po tko zna koji put, istiÄemo da je najkvalitetnije rjeÅ¡enje donoÅ¡enje posebnog Zakona o kibernetiÄkom kriminalitetu i konstantna edukacija pravosudnih organa za procesuiranje kaznenih djela iz sfere kibernetiÄkog kriminaliteta.
IZDVOJENO:
Zatvor umjesto zarade
U zadnje vrijeme Äesto na news grupama i na forumima, a ako nemate sreće i u vaÅ¡im sanduÄićima elektroniÄke poÅ¡te, možete naći ponude za laku zaradu ako se uÄlanite neki sustav u koji onda morate uÄlanjivati druge koji moraju uÄlaniti treće i tako dalje i tako dalje. PonuÄ‘aÄ garantira brzu i jednostavnu zaradu, dok u praksi novac možete samo izgubiti. Naime, novÄanom kaznom ili kaznom zatvora do tri godine kaznit će se onaj tko ostvari sustav s reklamnom, akviziterskom ili drugom djelatnošću radi pridobivanja sudionika, ili profesionalno Å¡iri sustav pri kojem se od uloženih sredstava oÄekuje dobitak i pri kojem se sudionicima obećava imovinska korist pod uvjetom da oni ili druge osobe pod jednakim uvjetima pridobiju druge sudionike, pri Äemu je dobit imovinske koristi povezana ili potpuno ili djelomiÄno od poÅ¡tivanja igre drugih sudionika. Ovu prethodnu reÄenicu trebali bi ponovo proÄitati svi oni koji misli nekim sumnjivim Internet businessom doći do brza zarade.
Realno stanje informacijske i integralne sigurnosti
18/04/2009 // Posted in ICT sigurnost | No Comments
Mediji su prepuni izvješća o konferencijama koje se bave informacijskom i integralnom sigurnošću, sve je viÅ¡e tvrtki koje se bave certifikacijom sustava upravljanja informacijskom sigurnošću i konzultanata koji potpomažu uvoÄ‘enje tehniÄkih rjeÅ¡enja sustava informacijske zaÅ¡tite.
PriÄa se o tome kako je informacijska sigurnost condition sine qua non modernog poslovanja a posebno se kao svijetao primjer istiÄe financijski sektor, unutar kojega je zahvaljujući formalnim i zakonskim zahtjevima regulatora ta tematika osobito striktno regulirana.
MeÄ‘utim, kada se siÄ‘e u “rovove” i pogleda kakvo je stanje na terenu, posve je moguće da direktno s ceste uÄ‘ete u backoffice na katu poslovne zgrade jedne od po aktivi najvećih hrvatske banaka bez ikakve provjere – iako u prizemlju postoji prijamni dio s prostorom za smjeÅ¡taj zaÅ¡titara, koji stoji prazan “zbog Å¡tednje i recesije”.
Nakon toga, može se dogoditi da vam osobni bankar isplati novac logiran na raÄunalni sustav s korisniÄkim imenom i lozinkom svog kolege, “poÅ¡to je smjena upravo sada, kolega kasni par minuta, a on ne bi smio isplatiti novac pod svojim imenom iza 13.30h”.
U drugoj banci koja za razliku od ove prve ima uveden germansko-anglosaksonski sustav  “stand up” poslovanja gdje službenik doÄekuje klijenta stojeći, uredski prostor organiziran je tako da u prizemlju jednostavno nema prostora za zaÅ¡titara, nego je on smjeÅ¡ten na prvi kat, gdje se nalazi backoffice, te uopće nema pregled ulaza, niti mogućnost blokade meÄ‘uprostora. Vjerojatni razlog je opet famozna uÅ¡teda, kojoj je bankovni sektor jako sklon ukoliko se ne radi o apsolutnoj nužnosti koju pod prijetnjom kazne propisuje regulator.
Nakon toga moguće je da odete u mjenjaÄnicu desetak kilometara dalje gdje će vas službenica, poÅ¡to radite transakciju koja ukljuÄuje neÅ¡to veću koliÄinu novca, odmah prijateljski pozvati u Å¡tićeni dio prostora, gdje sjedi i ona, te ćete unutra i dovrÅ¡iti transakciju – poÅ¡to je zbog Å¡tednje i skuÄenosti dio s fiziÄkom zaÅ¡titom izveden neadekvatno i službenica nema mogućnost zakljuÄati vrata elektriÄnim putem iza klijenta koji je uÅ¡ao u prostor.
Naravno, mjenjaÄnica se diÄi naljepnicom jedne od najvećih hrvatskih tvrtki koje pružaju uslugu fiziÄko-tehniÄke zaÅ¡tite i ima standardni alarm sa žutom rotacijom iznad ulaznih vrata, Äak je i uredno stavljena naljepnica noćnog nadzora – no nitko se nije potrudio reći službenici da ne poziva klijente u prostor gdje se nalazi i ona sama i sef!
U nastavku priÄe, službenica će izvaditi pohabanu bilježnicu i u nju kemijskom olovkom zapisati vaÅ¡e ime i prezime, adresu, broj telefona te broj osobne iskaznice i JMBG, Äime će u biti nesvjesno prikupljati podatke svojih klijenata bez ikakve formalne privole. Naravno, to se Äini ruÄnim putem, jer u programu za mjenjaÄnicu nije predviÄ‘ena takva funkcionalnost, a i da je, osobnim podacima klijenata trebalo bi upravljati na sustavan naÄin, od strane za to obuÄene i ovlaÅ¡tene osobe, u skladu sa zakonskim propisima te meÄ‘usobnim ugovorom sklopljenim izmeÄ‘u klijenta i mjenjaÄnice.
Sve navedeno može se dogoditi - i dogodilo se juÄer – u roku od sat vremena.
Kao Å¡to se može zakljuÄiti, informacijska i opća sigurnost procesi su koji samo dijelom ovise o velikim ulaganjima, investicijama i certificiranju, iako se upravo certificiranje Äesto promiÄe kao rjeÅ¡enje za sve probleme informacijske sigurnosti unutar organizacije. Prava je istina kako certifikacijska revizija traje nekoliko dana a poslovni se proces Äesto odvija i 365 dana u godini i obavljaju ga mahom ljudi, sa svim svojim subjektivnim karakteristikama koje donose u taj isti poslovni proces.
Kao Å¡to se vidi na povrÅ¡nom primjeru “naÅ¡e” (meÄ‘u najvećima) banke, certifikacija nije dovoljna, baÅ¡ kao Å¡to i u malom sustavu poput mjenjaÄnice, Äesto nastaju proceduralne i organizacijske pogreÅ¡ke koje kompromitiraju integralnu sigurnost sustava.
Za ovo su djelomiÄno krivi i tehniÄki konzultanti  i certifikacijski konzultanti koji Äesto uljepÅ¡avaju istinu kako se ne bi zamjerili klijentu, umjesto da profesionalno odrade svoj dio posla i ukažu na nedostatke usvojenih modela i obrazaca ponaÅ¡anja, pa Äak i po cijenu privremenog neslaganja s klijentom. Svaki profesionalni klijent u tom sluÄaju neće konzultantu zamjeriti iskrenost i istinu, nego će shvatiti da ima istinskog partnera uz sebe – a svaki profesionalac trebao bi biti u poziciji birati i klijenta za kojega će raditi te odbiti posao ako se kosi s pravilima i kodeksom pripadajuće struke.
KartiÄne prijevare – kraÄ‘e s bankomata
16/04/2009 // Posted in Ostalo | No Comments
Dvije zanimljive Powerpoint prezentacije (0.8 MB, ZIP arhiva) koje pokazuju razliÄite vrste kraÄ‘a s bankomata, od kojih jedna ukljuÄuje i metode socijalnog inženjeringa.
Pregled sigurnosnih incidenata u 2008. godini
15/04/2009 // Posted in ICT sigurnost | No Comments
Donosimo u integralnoj verziji dokument “Pregled sigurnosnih incidenata u 2008. godini“, izraÄ‘en u suradnji CARNet CERT-a i LS&S-a.
Sadržaj:
1. UVOD
2. WEB PRIJETNJE
2.1. VRSTE NAPADA
2.2. PRIMJERI NAPADA
3. NAPADI PUTEM PORUKA ELEKTRONIÄŒKE POÅ TE
4. ZLOĆUDNI PROGRAMI
5. SPAM
6. MOBILNI TELEFONI
7. CURENJE PODATAKA
8. MEÄUDRŽAVNI CYBER KRIMINAL
9. BOTNET MREŽE
10. ZAKLJUÄŒAK
11. REFERENCE
Klasifikacija podataka (“Data Classification”) i rukovoÄ‘enje životnim vijekom podataka (“Information Lifecycle Management”)
14/04/2009 // Posted in ICT sigurnost | No Comments
Dva temeljna preduvjeta moraju biti ispunjena kako bi se moglo uspjeÅ¡no rukovoditi, odnosno upravljati velikim koliÄinama podataka uskladiÅ¡tenim u sustavima masovnog skladiÅ¡tenja:
- prisutnost sustava klasifikacije podataka (Data Classification ili DC)
- rukovođenje životnim vijekom informacija (Information Lifecycle Management ili ILC)
U naÅ¡im uvjetima se podaci klasificiraju iskljuÄivo ako to nalažu zakonske odredbe, Å¡to znaÄi da se u privatnom sektoru klasifikacija primjenjuje iskljuÄivo ukoliko vlasnik podataka ima svijest o potrebi te funkcije. Van sektora koji je i inaÄe senzibiliziran na sigurnost informacija – financijskog, osiguravateljnog i tehnoloÅ¡kog – a osobito kod poslovnih subjekata srednje veliÄine, vrlo je mala svijest o potrebi klasifikacije podataka ili se ona provodi ad hoc, prema neÄijem osobnom nahoÄ‘enju ili, Å¡to je joÅ¡ gore, “u hodu”, odnosno kontekstualno.
Å to se tiÄe upravljanja životnim vijekom podataka, u Republici Hrvatskoj se donekle poÅ¡tuju principi ovog procesa kada se radi o arhiviranju podataka, odnosno o raÄunovodstvenim podacima koji moraju biti dostupni odreÄ‘eni vremenski rok, u skladu s principima Äuvanja raÄunovodstvenih isprava, no sustavno rukovoÄ‘enje tom funkcijom u praksi je izrazito rijetko.
Moglo bi se ustvrditi kako se bez implementacije sustavnog DC i ILM, sustav informacijske sigurnosti nalazi na klimavim nogama, osobito u onom dijelu koji se tice “Availability” dijela C-I-A trijade. ÄŒesto se ova dva principa u naÅ¡oj praksi u potpunosti zanemaruju, proglaÅ¡avajući tehniÄke mjere pohrane podataka ili operativne mjere proglaÅ¡avanja podataka “neoperativnima” dovoljnima.
Naravno da je daleko lakÅ¡e uvesti ove principe u organizacije koje upravljaju manjom koliÄinom podataka jer je tada i proces normalizacije jednostavniji, no s druge strane, zbog svoje veliÄine i osjetljivosti, velike organizacije bi joÅ¡ viÅ¡e trebale obratiti pažnju na naÄin na koji skladiÅ¡te podatke, odnosno “rjeÅ¡avaju” ih se po isteku njihovog životnog vijeka.
ÄŒlanak od Farajun, Eran, “The Key to Information Lifecycle Management is Cost-Effective Backup” objavljen u Computer Technology Review od 1.1.2006. godine jasno objaÅ¡njava koji su temeljni ciljevi procesa ILM te koja je razlika izmeÄ‘u obiÄne tehnologije pohrane podataka i ILM tehnologija.
Disaster recovery 2 – Wally Gets Proactive
12/04/2009 // Posted in ICT sigurnost | No Comments
Djeca kao žrtve online kriminala
12/04/2009 // Posted in Legislativa | No Comments
Tri su temeljna obrasca putem kojih djeca postaju žrtve online kriminala:
- online tretiranje djece u ulozi seksualnih objekata od strane odraslih
- izlaganje djece materijalima koji prikazuju eksplicitni seks
- uznemiravanje
AmeriÄki nacionalni centar za traganje za nestalom djecom objavio je broÅ¡uru koja se detaljno bavi ovom tematikom. Taj centar sponzoriran je od strane ameriÄkog Kongresa.
StatistiÄke informacije 2008
10/04/2009 // Posted in Ostalo | No Comments
U publikaciji “StatistiÄke informacije 2008” Državnog zavoda za statistiku Republike Hrvatske nalaze se odgovori na mnoga pitanja iz domene stanja korporativnog upravljanja u Republici Hrvatskoj – samo ih je potrebno na pravi naÄin znati proÄitati…
Forenzika postaje sastavni dio Sarbanes-Oxley procedure revizije
09/04/2009 // Posted in Legislativa | No Comments
Forensics Principles Become Part of the Sarbanes Oxley Audits After the Market Crisis
According to the new proposed from the PCAOB auditing standards, auditors must obtain sufficient appropriate audit evidence to provide a reasonable basis for their opinion.
What is sufficiency? It is the measure of the quantity of audit evidence.
What is appropriateness? It is the measure of the quality of the evidence obtained.
Evidence must be relevant, which means that it must be related to the assertion or to the objective of the control being tested.
Evidence must also be reliable. It means that it depends on:
1. The nature
2. The source of the evidence
3. The circumstances under which the evidence is obtained.
Obtaining more of the same poor audit evidence, cannot compensate for the poor quality of it.
Here is where computer forensics principles come in. According to the new proposed from the PCAOB auditing standards, everything depends on the nature, source and circumstances under which evidence is obtained.
A. A knowledgeable source that is independent of the company obtains more reliable evidence than evidence obtained only from internal company sources
B. Evidence is more reliable when the company’s controls over that information are effective.
C. Evidence is more reliable when obtained directly by the auditors.
D. Evidence is more reliable when provided by original documents. Photocopies, facsimiles, documents filmed, digitized or converted into electronic form, are secondary evidence.
The more controls over the conversion and maintenance of those documents, the more auditors can use these documents.
The auditors don’t have to be experts in document authentication.
If a document may not be authentic or there are modifications not disclosed to the auditors, they should also modify their planned audit procedures or perform additional procedures.
Auditors do not trust all information produced by a company.
They should evaluate whether the information is sufficient and appropriate by:
A. Testing the accuracy and completeness of the information
B. Testing the controls over the accuracy and completeness of that information
C. Evaluating the information (is it sufficiently precise and detailed?)
If audit evidence obtained from one source is not consistent with what is obtained from another, or if the auditor has any reasons to believe that there is a problem with the reliability of information to be used as audit evidence, they should use professional judgment and perform all the procedures needed to resolve the matter.
ZaÅ¡to Hrvatska krizom praktiÄno nije niti okrznuta?
08/04/2009 // Posted in Ostalo | No Comments
Već neko vrijeme svi mediji na sav glas, u ovom ili onom obliku, donose katastrofiÄne vijesti o ekonomskoj krizi, navodno najgoroj u ovom stoljeću.
No, usprkos tome, u Hrvatskoj kao da se ništa niti ne događa. Zasigurno, plaće u javnom sektoru malo su pale, no naizgled, živi se isto kao i prije.
Koji su temeljni razlozi za tu, naizgled neodrživu dihotomiju?
1. U Hrvatskoj u doba najbolje zaposlenosti postotno gledano radilo je dvostruko manje zaposlenih od ukupnog stanovništva u odnosu na USA u ovom trenutku, kada je tamo zabilježen najveći poslijeratni gubitak radnih mjesta.
2. Hrvatska ima tradicionalno visoku stopu Å¡tednje stanovniÅ¡tva (iako, komparacija u apsolutnim iznosima zbog niže kupovne moći s ostalim državama Europe govori drugaÄije) za razliku od mnogih drugih, povijesno gledano, ekonomski stabilnijih država gdje stanovniÅ¡tvo zbog lakÅ¡e raspoloživog posla i financijskih sredstava nema naviku Å¡tednje.
3. Hrvatska je imala znaÄajne devizne rezerve, koje su u kombinaciji s restriktivnom monetarnom politikom HNB-a omogućile stabilnost teÄaja kune koja je precijenjena, Å¡to je nažalost pogodovalo uvoznom lobiju a posve destimuliralo proizvodnju.
4. Hrvatska pokriva oko pola uvoza izvozom – u takvom sustavu, smanjenje izvoza na strana, krizom zahvaćena tržiÅ¡ta, rezultira manjim potresima nego u onim državama u kojima je veća pokrivenost vanjske razmjene. Nažalost, moglo bi se reći da se u Hrvatskoj “ionako niÅ¡ta ne proizvodi pa je Å¡ok manji”.
5. Hrvatska ima kancerogen, ekspanzivan, neproduktivan državni sektor koji Äini znaÄajan dio državne ekonomije a Äiju veliÄinu s obzirom na sinekure, poduzeća-kćeri i kompleksne odnose je gotovo nemoguće sa sigurnošću procijeniti. U tom smislu, radi se o sustavu gdje se iz lijevog džepa novac pretaÄe u desni džep (Englezi bi rekli “robbing Peter to pay Paul”), pri Äemu se trudi da desni džep bude privatan. Socijalna politika države uglavnom se temeljila na svetosti prava zaposlenih koij su plaćeni iz državnog proraÄuna, Äime je stvorena uravnilovka koja posve onemogućuje kvalitetan razvoj ljudskog kapitala.
6. U Hrvatskoj je stvoren privid visokog standarda graÄ‘ana koji se održava neselektivno odobravanim kreditima od strane stranih banaka koje posjeduju hrvatski bankarski sektor po kamatnim stopama znatno viÅ¡ima od onih u njihovim matiÄnim zemljama. Financijski inženjering potpomognut je i od strane investicijskog financijskog sektora i lokalnih igraÄa (nedokazivo!!!). Ispuhivanje ovog balona sruÅ¡ilo je index Crobex sa razina od cca 5200 do 1400 u kratkom roku. No, u zadnjih nekoliko godina i ova je Ponzi shema stvorila proverbijalni privid lake zarade i podizanja standarda prosjeÄnog graÄ‘anina bez velike muke.
7. Financijska tržiÅ¡ta predviÄ‘aju dok ekonomska analiza ex-post pokazuje kretanja ekonomije. Stoga se kretanja iz realnog sektora analiziraju sa odmakom, u najboljem sluÄaju, kvartalnim.
Visoka zaduženost države, ovisnost o turistiÄkoj sezoni, neproduktivnost i nedodirljivost državnih službi te smanjeni porezni prihodi omÄa su oko financijskog vrata države u ovom trenutku. Sustav puca u trenutku kad se suverenitet fiskusa mora de facto prepustiti MMF-u u trenutku kada država doÄ‘e u poteÅ¡koće sa servisiranjem duga. U ovom trenutku u državi praktiÄno ne postoje nikakve antirecesijske mjere niti je javno izvedena ekonometrijska analiza pojavnosti ili analiza utjecaja.  Hrvatska ne može izaći iz krize na naÄin na koji to može pokuÅ¡ati jedna SAD, koja može “potroÅ¡iti svoj put kroz krizu” fiskalnom ekspanzijom poÅ¡to je dolar svjetska rezervna valuta – Hrvatska može iskljuÄivo rezati troÅ¡kove, povećavati prihode i optimizirati strukturu fiskusa preusmjeravanjem u ekonomski žive a ne politiÄki indicirane projekte.
Nažalost, gotovo niti jedna hrvatska Vlada od njenog osamostaljenja nije pokazala da shvaća temelje ekonomskih zakonitosti tako da je posve neizvjesna ekonomska sudbina države. U svakom sluÄaju, sredina 2009 godine a osobito jesen, pokazat će se kljuÄnima za procjenu utjecaja krize, a osobito vezano uz nastavak krize u svjetskom financijskom sektoru i dostupnost financijskih sredstava na meÄ‘unarodnom tržiÅ¡tu kapitala.
Perspektive ICT industrije u Republici Hrvatskoj
07/04/2009 // Posted in ICT governance | No Comments
ICT sektor će u Hrvatskoj do 2012. izgubiti i do 12 milijarda kuna
Izvor: Slobodna Dalmacija · Autor: Marijana Šešo , 06.04.2009.
Najnovije procjene za tržiÅ¡te informacijsko-komunikacijskih tehnologije (ICT) pokazuju da su, zbog svjetske ekonomske krize, i u Hrvatskoj do 2012. godine mogući gubici od Äak 12 milijarda kuna.
Taj iznos odgovara dvogodiÅ¡njoj hrvatskoj ICT potroÅ¡nji, a ulaganja u informatiku ove godine past će Å¡est posto, Å¡to iznosi 6,19 milijarda kuna, kaže Boris Žitnik, direktor analitiÄke kuće IDC Adriatics.
Kresanje budžeta dotaknut će sve segmente, od nabave kompjutora i servera do novih programa, ali i usluga održavanja te sustava zaštite.
UnatoÄ crnim predviÄ‘anjima, ICT kompanije koje posluju u Hrvatskoj za proÅ¡lu su fiskalnu godinu redom iznijele pozitivne ili neutralne rezultate poslovanja, najavljujući ipak da će ove godine poduzeti sve kako im prihod i dobit ne bi previÅ¡e padali.
HP planira ostati tržiÅ¡ni lider, ali oÄekuje smanjenje ukupnog prihoda za dva do pet posto, King-ICT se uz kontinuitet poslovanja u zemlji namjerava Å¡iriti u regiju, SAP planira daljnji rast broja klijenata i prihoda.Tko je u procjenama bio realan, pokazat će kraj godine.
Zato je aktivnosti više nego ikad ranije, u provođenju projekata svi su agresivniji, a u ulaganjima konzervativni, kako se ne bi izlagali nepotrebnim rizicima.
Kako mjere Å¡tednje u većini poduzeća ukljuÄuju rezanje proraÄuna za informatiku, oÄito je doÅ¡lo vrijeme kada se izbacuje sve Å¡to nije nužno. Pri tome su bankarski i telekomunikacijski sektori manje drastiÄni u Å¡tednji, jer zbog tržiÅ¡ne orijentacije i konkurencije ne mogu priuÅ¡titi stagnaciju. Primjetno je da Äak i oni svaku kunu okrenu deset puta prije troÅ¡enja.
Pri sklapanju novih ugovora posljednja tri mjeseca svi se klijenti cjenkaju, pa od dobavljaÄa traže veću kvalitetu usluga, ali i niže cijene koje su pale na razinu nezamislivu joÅ¡ proÅ¡le godine, kaže Ivan Gabrić, predstavnik Uprave najvećeg domaćeg sistem integratora, tvrtke “Combisâ€.
Rušenje cijena u krizi pravi je trenutak za ulaganja ako se za to ima sredstava i izdržljivosti dok recesija ne mine. No, za to još nije nastupio pravi trenutak, jer tržište nije dodirnulo samo dno.
Još ima prostora za pojeftinjenje proizvoda i usluga, a onda će na ICT tržištu nastupiti doba preživljavanja najboljih.
Site www.vjestak-informatika.com pod napadom!
06/04/2009 // Posted in Ostalo | No Comments
Danas oko 11.22h ujutro doÅ¡lo je do napada na host server i/ili sam Web www.vjestak-informatika.com od strane frame-based trojana te je site bio nedostupan neko vrijeme, kao i admin konzola za logiranje. Za sada je poÄišćen sam site, no joÅ¡Â je potrebno obavijestiti admina host providera kako bi se vidjelo da li se radi o sistemskom propustu ili problemu s CMS-om. Naime, ako se radi o problemu s CMSom, trebat će priÄekati novu zakrpu (trenutaÄno je primijenjena zadnja verzija zakrpe za sam CMS).
U svakom sluÄaju  veliko hvala dugogodiÅ¡njoj kolegici Suzi – već će ona znati o kome se radi – koja je nažalost odigrala ulogu beta testera te prva naiÅ¡la na ovaj problem i dojavila da je site offline. Nažalost, bila je u pravu i site je bio zaražen.
Pet najvećih svjetskih hakera
05/04/2009 // Posted in ICT sigurnost | No Comments
Definicija raÄunalnog hakera ovisi o stajaliÅ¡tu s kojega se polazi. S pozitivnog glediÅ¡ta može se reći kako je haker osoba koja je programerski struÄnjak i koja je sposobna rijeÅ¡iti kompleksne raÄunalne probleme. No, u kolokvijalnom jeziku, izraz haker se obiÄno koristi za osobu koja ilegalno dolazi do povjerljivih informacija sadržanih u raÄunalnim sustavima, te ih ponekad briÅ¡e ili mijenja.
BivÅ¡i hakeri Äesto nakon Å¡to “odsluže svoj dug druÅ¡tvu” postaju profesori iz podruÄja informacijske sigurnosti ili otvaraju vlastite konzultantske tvrtke koje se bave uslugama iz istog podruÄja.
Evo jednog zanimljivog Älanka koji govori o pet medijski eksponiranih hakera i njihovim sudbinama po zavrÅ¡etku hakerske “karijere”.
DoduÅ¡e, jedna strukovna poslovica kaže kako je najbolji haker onaj za kojega nitko ne zna i kojega nikada nisu uhvatili…
Plaće u ICT sektoru – ICT salaries survey 2008
03/04/2009 // Posted in ICT governance | No Comments
Plaće u ICT sektoru neka su vrsta mistiÄne tematike. SvaÅ¡ta se priÄa i svatko ima nekoga (obiÄno u drugom gradu ili državi…) tko dobro zaraÄ‘uje radeći neki, barem po priÄama, usko specijalizirani posao na podruÄju ICT-a.
Na ovom siteu pozabavit ćemo se i tom tematikom, a za sada, rezultati jednog istraživanja na tu temu kako bi se svi mogli usporediti s vladajućim trendovima u (pred)recesijskoj USA.
Preuzimanje istraživanja o plaćama u ICT sektoru Tech Republic-a za 2008. godinu