You are currently browsing the archives for June, 2009.

PHB

June 28, 2009 // Posted in Ostalo  |  No Comments

Pointy-Haired Boss – PHB

The manager of Dilbert and the other engineers, and the main antagonist of the strip; his real name is never mentioned. In earlier strips the Boss was depicted as a stereotypical late-middle-aged balding middle manager; it was not until later that he developed his signature “pointy hair”. He is hopelessly incompetent at management and is very bombastic. He does not understand technical issues but always tries to disguise this, usually by using buzzwords he also does not understand. The Boss treats his employees alternately with disdain or neglect; he is narcissistic, using them to his own ends regardless of the consequences to them. Adams himself wrote that “He’s not sadistic, just uncaring.” The Boss’s level of intelligence varies from near-vegetative to perceptive and clever, depending on the strip’s comic needs. His utter lack of ethics, however, is perfectly consistent. His brother is a demon named Phil, the Prince of Insufficient Light, and according to Adams the pointy hair is intended to remind one of devil’s horns. (source: Wikipedia)

Zašto ISO 27001 (možda) nije dovoljan?

June 28, 2009 // Posted in ICT sigurnost  |  No Comments

Na siteu BCS-a nalazi se odličan i realan članak o ISO 27001 standardu.

Naglasci iz članka su na sljedećem:

  1. ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (“management standard”)
  2. ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom
  3. ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu (sic!)
  4. Organizacije same odabiru kontrole koje se odnose na njih
  5. ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna. (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju)
  6. Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti
  7. Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu.
  8. ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti

Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti.

Čitav tekst možete u integralnoj verziji pročitati ovdje.

Nova anketa

June 22, 2009 // Posted in ICT sigurnost  |  No Comments

Nova anketa je postavljena na LinkedIn vezano uz praćenje korporativnih ICT sustava i rada korisnika na Internetu na ovom linku

Rezultate ankete možete pratiti ovdje.

eHrvatska o računalnoj forenzici

June 21, 2009 // Posted in ICT forenzika  |  No Comments

Prošli tjedan, 18.06.2009. godine u okviru emisije eHrvatska na HRT2 emitiran je prilog o računalnoj forenzici. To je jedna od rijetkih autorskih emisija u hrvatskim medijima koja je uopće, makar površno, popratila uobičajene aktivnosti računalne forenzike.

Zahvaljujući kolegi Goranu koji je emisiju dobavio u digitalnom obliku, možete je pogledati na ovim stranicama u dva nastavka, ili je s ove poveznice skinuti u jednom komadu za gledanje na lokalnom računalu (datoteka ima 146 MB i bit će raspoloživa za skidanje do 01.07.2009. godine). Prilog o računalnoj forenzici se nalazi u drugom nastavku nakon pete minute.

eHrvatska o računalnoj forenzici – I  dio

eHrvatska o računalnoj forenzici – II dio

Privatnost

June 19, 2009 // Posted in ICT forenzika  |  No Comments

U kontaku s ljudima a osobito zaposlenicima unutar velikih sustava, vrlo često se može primijetiti zaokupljenost temom privatnosti i sigurnosti vlastitih podataka i akcija, načina korištenja poslovnog računala ili računalnog sustava. Današnja računala i računalni sustavi toliko su kompleksni da ih je ponekad teško u cjelovitosti “shvatiti” i predmetnim ekspertima, tako da uobičajena “dnevna” ili “laička” logika primjenjena na računalne sustave počesto ne uspijeva s visokim stupnjem značaja korelirati sa stvarnom situacijom.

Odgovarajući na pitanje što je danas privatno ili skriveno od ostalih, a da se tiče konteksta korištenja računala i računalnih mreža, može se poslužiti izjavom menadžera Sun Microsystemsa, Scotta Mcnealyja, kojega su pitali to pitanje i koji je rekao – “You have zero privacy anyway. Get over it.”

Doista, to je točno. Postoje samo različiti stupnjevi napora i raspoloživosti resursa koji mogu biti angažirani kako bi se nečija privatnost ograničila ili se u nju proniknulo. Pokažimo to na jednom primjeru – nečije navike korištenja Interneta možda nisu lako raspoložive nekoj drugoj osobi,no već mogu biti proučene i relativno lako praćene od strane istražnih organa. No, ono što se možda može sakriti istražnim organima, neće promaknuti sudskom vještaku ili forenzičaru, ili će forenzičar nešto naslutiti ali neće moći dokazati zbog nedostatka direktnih podataka, što bi ga dovelo u područje špekulacije. Naposlijetku, ono što ne može dokazati ili reproducirati forenzičar, zasigurno će moći sustavi poput Echelonea.

Isto tako, zanimljivo je, primarno s psihološkog stanovišta, kako ljudi koji su inače inherentno paranoični svoje ponašanje pri korištenju računala shvaćaju kao da se radi o sustavu s apsolutno osiguranom privatnošću, čak niti ne koriste firewalle, antivirusne programe, ne vode brigu o svojim lozinkama, korisničkim imenima, PIN brojevima ili tragovima koje ostavljaju za sobom. Štoviše, bez posebnog dokaza, nego iz čistog iskustva, moglo bi se reći da čim je osoba više paranoična oko privatnosti u “realnom” životu, ukoliko se ne radi o računalnom stručnjaku (a ponekad i onda!), manje vode brigu o svom “elektroničkom otisku stopala”.

Oduzimanje osobne privatnosti osobito je uzelo maha u zadnjih desetak godina, te nakon napada 11.09. u SAD. Dodatna regulacija osobne privatnosti zakonskom legislativom nažalost u globalu ne rezultira povećanim stupnjem sigurnosti iste, nego povećanom nadležnošću i olakšanom pristupu analizi privatnosti fizičkih osoba od strane vlade, njenih organizacija i velikih poslovnih sustava, odnosno korporacija. Neki od tipičnih regulatornih mehanizama preko kojih se ovo postiže su korištenje biometrije od strane državnih tijela čime se u biti prikupljaju podaci koji jedinstveno identificiraju ljude, prikupljanje osobnih podataka implicitnom silom i uvjetovanje suradnje davanjem pristanka na korištenje osobnih podataka (osobito prisutno u poslovanju banaka gdje bez takvog pristanka praktično nije moguće ostvariti poslovnu suradnju), te prikupljanje i korištenje osobnih podataka od strane tvrtki o njihovim zaposlenicima.

Čak i jednostavne online kupovine ili kupovina softvera vrlo često u sebi kriju ozbiljne prijetnje po privatnost fizičkih osoba.

Naposlijetku, najbolji savjet koji je moguće dati laiku, cum grano salis,  je nikada ne uzimati vlastitu privatnost za gotovo, dobro otvoriti oči, napregnuti mozak i pri korištenju računala ponašati se jednako kao pri otvaranju vlastitog novčanika u javnosti.

Etički kodeks sudskih vještaka

June 14, 2009 // Posted in Vještak za informatiku  |  No Comments

I. OPĆA NAČELA

1.
Vještaci su obvezni poštivati odredbe Etičkoga kodeksa koji određuje odnos vještaka prema radu na vještačenjima, prema sudu, tijelu pred kojim se vodi postupak, odnosno drugomu naručitelju vještačenja (u daljnjem tekstu: naručitelju), strankama, drugim sudskim vještacima i društvenoj zajednici.

2.
Osnovna načela kojima se vještak rukovodi u svom radu i vladanju sadržana su u zakletvi.
Vještak se tom zakletvom obvezuje svojom čašću da će povjerena vještačenja obavljati savjesno i po svom najboljem znanju i da će točno i potpuno iznijeti svoje nalaze i mišljenja, te procjene.

Cjelokupni tekst etičkog kodeksa sudskih vještaka možete preuzeti na poveznici  “Vještačenja” s desne strane.

Imenovanje na Županijskom sudu

June 10, 2009 // Posted in Vještak za informatiku  |  No Comments

Jučer sam zaprimio obavijest da ću u ponedjeljak 15.06.2009. biti imenovan stalnim sudskim vještakom za informatiku i telekomunikacije i pri Županijskom sudu u Rijeci, po polaganju prisege pred Predsjednikom Županijskog suda.

Time ću postati stalni sudski vještak i  pri Trgovačkom i pri Županijskom sudu.

Temeljna razlika u vrsti slučajeva je u tome što se pri Trgovačkom sudu slučajevi uglavnom tiču parničnih postupaka  u prvome stupnju u trgovačkim sporovima, sporovima u povodu osnivanja, rada, prestanka i članstva u trgovačkim društvima, plovidbenim, zrakoplovnim i autorskim sporovima i sporovima o zaštiti i uporabi izuma, ali i u drugim sporovima. Pored toga, prvostupanjski trgovački sudovi provode stečajne postupke, likvidacije, postupke gospodarskih prijestupa, vode sudske registre u koje se upisuju trgovačka društva, provode izvanparnične i ovršne postupke te obavljaju druge poslove određene zakonom (pravosudna uprava, ostvarivanje prava na pristup informacijama i sl.). [Izvor: Wikipedia]

Županijski sudovi jedna su od vrsta redovnih sudova u Republici Hrvatskoj. Ustrojavaju se za područje jedne ili više županija; danas u Hrvatskoj postoji jedan županijski sud u svakoj županiji i Gradu Zagrebu kojem su dodijeljena sva prava županije. Županijski sudovi su nadležni  za provođenje istražnoga i javnobilježničkoga disciplinskog postupka zbog disciplinskih prijestupa i odlučivanje o tim prijestupima u prvome stupnju, odlučivanje o žalbama protiv odluka u disciplinskim postupcima zbog neurednosti javnih bilježnika te provođenje izvršenja inozemne kaznene odluke, kao i suradnju s inozemnim sudovima.
Inače su županijski sudovi nadležni za drugostupanjski sudski postupak nakon odlučivanja općinskih sudova, ali i za zaštitu od nezakonitih radnji i odluka donijetih od strane službenih osoba tijela državne i javne vlasti, odnosno nezakonitih radnji i odluka odgovornih osoba u trgovačkim društvima u prvom stupnju. [Izvor: Wikipedia]

U praksi, slučajevi na trgovačkim sudovima odnose se na korištenje ili zlouporabu računalnih sustava u odnosima unutar i između trgovačkih druptava, dok se slučajevi na županijskim sudovima slučajevi nastali unutar građanskih parnica ili po kaznenim prijavama, odnosno slučajevi koji potječu s općinskih sudova.

Odmah po imenovanju bit će osvježen i sadržaj u sekciji pod Imenovanje.

Novi članak – strategija upravljanja ljudskim resursima (2. dio)

June 8, 2009 // Posted in Članci/konferencije/predavanja  |  No Comments

Na hrvatskom vodećem portalu za financije i računovodstvo, Orkis, objavljen je drugi dio članka o strategiji upravljanja ljudskim resursima.

Sudjelovanje na konferenciji INFOSEK 2009 – potvrđeno!

June 4, 2009 // Posted in Članci/konferencije/predavanja  |  No Comments

INFOSEK 2009 je centralni događaj sigurnosno-informatičke slovenske zajednice koji polako prerasta u vodeću regionalnu konferenciju koja pokriva područje integralne i informacijske sigurnosti te forenzike.

INFOSEK 2009 predavač Saša Aksentijević

INFOSEK konferencija je prvi put održana 2004 godine, te se od tada redovito održava u organizaciji europske agencije za mrežnu i informacijsku sigurnost ENISA i  tvrtke PALSIT – ujedno prve tvrtke koja je u Sloveniji certificirana po ISO/IEC 27001 standardu. 2008 godine ključni govornik na konferenciji bio je i najpoznatiji svjetski (bivši) haker, Kevin Mitnick.

Konferencija traje tri dana, od 18-20 studenog 2009 godine, pri čemu je 18. studeni predkonferencijski dan.

Čast mi je biti ove godine pozvan u svojstvu predavača na konferenciju. Prvog dana konferencije izlagat ću prezentaciju na temu:

“Intricacies of integral security in upstream oil and gas sector”

Abstract: In this lecture special emphasis will be given on project nature of upstream oil and gas sector resulting in challenges to structured integral security function. Main traits of such projects are execution in difficult areas under erratic conditions, always interchanging project hierarchy and matrix structures, need to balance between capex and opex expenditures of business units and project cost centers and fast track projects. Major factors contributing to activities of disaster recovery, business continuity and technical security measures will be outlined with proposal for creation of a consistent integral security mode and explanation and proper positioning of role of CSO (Chief Security Officer) within organization`s structure.

Drugi dan ću govoriti više o praksi sudskog vještaka na hrvatskim sudovima te vezanoj legislativi u okviru prezentacije pod naslovom:

“Forensic computer crime proceedings of ICT court experts and legislative requirements – Croatian experience”

Abstract: The procedure of forensic computer investigation. Criminal and other legal proceedings involving computer forensics and investigation in front of court of law will be explained in details along with the role of police, investigation center, court and judge in charge and their relation to ICT court expert activities. Furthermore, a new legislation regulating the work of court experts, passed in summer of 2008, that nominates also involvement of ICT court experts from EU will be explained along with details about education path along with major difficulties and problems ICT court experts experience in their daily work.

Kompleten popis predavača sa životopisima nalazi se ovdje. Prezentacije će biti objavljene kao i inače u sekciji “Radovi” po dovršetku konferencije.

Osobito mi je drago što sam kao predavač na ovu konferenciju pozvan direktno od organizatora, što je još jedno priznanje mom dosadašnjem radu na području informacijske i integralne sigurnosti i računalne forenzike.

Metodologija hakiranja

June 2, 2009 // Posted in ICT sigurnost  |  No Comments

Zanimljiv video koji u samo 7 minuta pokazuje osnovne načine na koji prosječni haker ulazi u korporativne mrežne sustave. Usprkos uobičajenom mišljenju kako je za tu ilegalnu aktivnost najvažnije dobro poznavanje tehnologije, i iz ovog video isječka može se zaključiti kako odlučujuću ulogu kod uspješnosti hakiranja igraju metode socijalnog inženjeringa te temeljne logike. Iz ovoga se može lako zaključiti na što bi oni koji su zaduženi za prevenciju upada u računalne sustave trebali posvetiti dužnu pažnju.