Prema McAfee-ju, trenutačno najopasniji pojam za pretraživanje na Internetu je - “Cameron Diaz”. Drugi najopasniji pojam je “Julia Roberts”. U slučaju pretraživanja pojma “Cameron Diaz”, statistički imate 10 % vjerojatnosti da ćete naići na zaraženi site koji može nanijeti šetu Vašem računalu. Cijeli tekst možete pročitati na ovoj poveznici.

Izvršni direktor Googlea: Anonimnost na internetu ne postoji!

GOOGLE zna što gledate, što pretražujete, čak i tko su vam prijatelji.

Strani mediji ovdje u čudu podižu obrve i pitaju se koji je stav izvršnog direktora Googlea Erica Schmidta o privatnosti na internetu. Detalje pogledajte u video snimci.

Schmidt je na konferenciji ranije ovoga mjeseca izjavio da je anonimnost na internetu ugrožena. “U svijetu s tolikim prijetnjama je jednostavno preopasno da ne postoji neki način identifikacije”, rekao je.

Anonimnost treba razlikovati od privatnosti

Izvršni direktor Googlea je objasnio da bi vlade zemalja uskoro mogle stati na kraj anonimnosti na internetu. “Trebamo (provjerenu) bazu imena. Vlade će je tražiti”.

“Privatnost je neizmjerno važna i ne treba je miješati s anonimnošću. Vrlo je važno da Google i svi ostali poštuju privatnost drugih na mreži. Ljudi imaju pravo na privatnost, to je prirodno i normalno”, objasnio je svoj stav u jednom kasnijem intervjuu.

Međutim, i tu postoje granice, kaže on. “Ako pokušavate počiniti užasan zločin, očito da vam za to ne treba biti pružena mogućnost potpune anonimnosti. Nema sustava u našem društvu koji bi to dopustio, suci inzistiraju na otkrivanju počinitelja. Potpuna anonimnost bi mogla dovesti do vrlo teških odluka za vlade te naše društvo u cjelini i mislim da to također ne bismo htjeli”, završio je Schmidt.

(preuzeto u cijelosti s Index.HR)

Ovih dana u javnosti pojavila se informacija da je WPA2 protokol probijen, odnosno da ima inherentnu pogrešku (”flaw”) koja omogućuje onima koji se inicijalno mogu opravdano autenticirati izvođenje Man In The Middle napada. To znači da su ovom ranjivošću pogođeni prvenstveno korporativni klijenti - s druge strane, upravo oni su u najvećoj opasnosti jer je poznato da najviše napada na računalne sustave dolazi upravo “iznutra”.

Tekst o tome prenesen s prenosi se u cijelosti s Darkneta.

WPA2 Vulnerability Discovered – “Hole 196″ – A Flaw In GTK (Group Temporal Key)

Well as it tends to be, when something is scrutinized for long enough and with enough depth flaws will be uncovered. This time the victim is WPA2 – the strongest protection for your Wi-fi network which is standardized.

WEP fell long ago and there’s a myriad of WEP Cracking tools available. In 2008 it was reported flaws had been found in WPA and it was partially cracked.

These factors of course shifted a lot of people to WPA2, which has now been found to have certain flaws.

Perhaps it was only a matter of time. But wireless security researchers say they have uncovered a vulnerability in the WPA2 security protocol, which is the strongest form of Wi-Fi encryption and authentication currently standardized and available.

Malicious insiders can exploit the vulnerability, named “Hole 196″ by the researcher who discovered it at wireless security company AirTight Networks. The moniker refers to the page of the IEEE 802.11 Standard (Revision, 2007) on which the vulnerability is buried. Hole 196 lends itself to man-in-the-middle-style exploits, whereby an internal, authorized Wi-Fi user can decrypt, over the air, the private data of others, inject malicious traffic into the network and compromise other authorized devices using open source software, according to AirTight.

The researcher who discovered Hole 196, Md Sohail Ahmad, AirTight technology manager, intends to demonstrate it at two conferences taking place in Las Vegas next week: Black Hat Arsenal and DEF CON 18.

It’s a pretty interesting attack and leverages a man-in-the-middle style exploit to decrypt data from the wire and inject malicious packets onto the network.

The researched Md Sohail Ahmad is going to demo the exploit at 2 upcoming conferences (Black Hat and DEF CON 18) so I’ll be looking out for the slides and videos on that. We’ll have to wait and see if this is another ‘mostly theoretical‘ attack – or something that can actually be implemented in the wild.

The Advanced Encryption Standard (AES) derivative on which WPA2 is based has not been cracked and no brute force is required to exploit the vulnerability, Ahmad says. Rather, a stipulation in the standard that allows all clients to receive broadcast traffic from an access point (AP) using a common shared key creates the vulnerability when an authorized user uses the common key in reverse and sends spoofed packets encrypted using the shared group key.

Ahmad explains it this way:

WPA2 uses two types of keys: 1) Pairwise Transient Key (PTK), which is unique to each client, for protecting unicast traffic; and 2) Group Temporal Key (GTK) to protect broadcast data sent to multiple clients in a network. PTKs can detect address spoofing and data forgery. “GTKs do not have this property,” according to page 196 of the IEEE 802.11 standard.

These six words comprise the loophole, Ahmad says.

The upside is that the attack is limited to people who can genuinely authenticate to the network first, the downside that means large organizations using WPA2 in trouble – as generally most damage comes from the inside.

It’s also something to think about when connecting to ISP/public Wi-fi hotspots using WPA2 encryption.

I’m sure there will be more news about this soon.

Apple the new world leader in software insecurity

By Peter Bright |

Apple has displaced Oracle as the company with the most security vulnerabilities in its software, according to security company Secunia. Over the first half of 2010, Apple had more reported flaws than any other vendor. Microsoft retains its third-place spot. Secunia has tracked security vulnerabilities and issues advisories since 2002, producing periodic reports on the state of software. Together, the top ten vendors account for some 38% of all flaws reported.

Though this does not necessarily mean that Apple’s software is the most insecure in practice—the report takes no consideration of the severity of the flaws—it points at a growing trend in the world of security flaws: the role of third-party software. Many of Apple’s flaws are not in its operating system, Mac OS X, but rather in software like Safari, QuickTime, and iTunes. Vendors like Adobe (with Flash and Adobe Reader) and Oracle (with Java) are similarly responsible for many of the flaws being reported.

To illustrate this point, the report includes cumulative figures for the number of vulnerabilities found on a Windows PC with the 50 most widely-used programs. Five years ago, there were more first-party flaws (in Windows and Microsoft’s other software) than third-party. Since about 2007, the balance shifted towards third-party programs. This year, third-party flaws are predicted to outnumber first-party flaws by two-to-one.

Secunia also makes a case that effectively updating this third-party software is much harder to do; whereas Microsoft’s Windows Update and Microsoft Update systems will provide protection for around 35% of reported vulnerabilities, patching the remainder requires the use of 13 or more updating systems. Some vendors—Apple, Mozilla, and Google, for example—do have decent automatic update systems, but others require manual intervention by the user.

(preuzeto u cijelosti s Internet portala, 22.07.2010.)

Članak je u cijelosti preuzet s Metro Portal.HR

UPOZORENJE

7 stvari koje ne bismo trebali raditi na Facebooku

Uložite nekoliko minuta i posložite profil koji će jamčiti maksimalnu sigurnost vas i vaše djece

Časopis “Consumer Reports Magazine” izdao je svojevrsno upozorenje svim korisnicima Facebooka s popisom stvari koje nikako ne bismo smjeli raditi na toj društvenoj mreži:

1. Koristiti lošu lozinku

Izbjegavajte jednostavna imena i pojmove, čak i ako na kraju lozinke koristite brojeve. Umjesto toga, stvorite kombinaciju velikih i malih slova, brojeva i simbola. Dobra lozinka ima najmanje osam znakova. Preporučljivo je koristiti brojeve i simbole u sredini riječi, kao na primjer hO27usEs

2. Ostaviti puni datum rođenja

Datum rođenja može biti važna informacija lopovima da vam isprazne bankovni račun ili prikupe informacije o mogućim PIN-ovima ili lozinkama pošto većina ljudi u njih uključuje brojeve iz vlastitog datuma rođenja. Možete postaviti da vam se prikazuju samo dan i mjesec rođenja ili pak potpuno izostaviti navedenu informaciju s profila.

3. Zanemarivati postavke privatnosti

Za gotovo sve informacije na Facebooku možete kontrolirati što želite dijeliti, a što zadržati za sebe. Uložite nekoliko minuta i podesite postavke privatnosti onako kako vam najbolje odgovaraju.

4. Objaviti imena djece

Ne koristite imena vlastite djece prilikom tegiranja slika te u profilima. Djeca imaju pravo na privatnost i pravo da jednog dana samostalno odluče u kojoj mjeri se žele eksponirati na internetu..

5. Spominjati da niste kod kuće

Status da odlazite na putovanje lopovu je jednak statusu: “Nema me doma, opljačkaj me!”. Doživljaje s putovanja radije podijelite s prijateljima kad ponovno stignete kući.

6. Dopustiti da vas tražilice pronađu

Spriječite nepoznate osobe da pronađu vaš profil. Među postavkama privatnosti odaberite “Only friends” u odgovarajućoj kućici koja se odnosi na tražilice.

7. Dopustiti djeci da bez nadzora koriste Facebook

Iako Facebook ne smiju koristiti djeca mlađa od 13 godina, činjenica je da postoje i mlađi korisnici. Postanite njihovi prijatelji te diskretno nadgledajte njihove aktivnosti. Ono što se djeci čini bezazlenim, može se pretvoriti u potencijalno opasne podatke poput statusa: “Mama se uskoro vraća kući, moram oprati suđe.”

Signal mobitela nitko nema pravo blokirati. Kazna je milijun kuna

(preuzeto s Internet stranica Jutarnjeg lista).

Ranko Šuvar/CROPIX
Autor: Tomislav Kukec

Rudarsko-geološki naftni fakultet kupio je uređaj za ometanje signala

ZAGREB - Rudarsko-geološki naftni fakultet odmah mora prestati koristiti uređaj za ometanje radijskih frekvencija, odnosno signala mobitela, jer je Zakonom o elektroničkim komunikacijama za to predviđena kazna od 100.000 do čak milijun kuna - zaprijetila je zagrebačkom Sveučilištu Hrvatska agencija za poštu i elektroničke komunikacije (HAKOM).

Rektoru Aleksi Bjelišu agencija je prije deset dana uputila takav dopis, upozoravajući ga na zakon. Sve je počelo kad je jedan teleoperater prijavio Fakultet, nakon čega je Agencija obavila nadzor.

Tele2 i HT tvrde da nisu prijavili slučaj Agenciji, a VIP se u ponedjeljak nije izjasnio. Agencija je ustanovila da je u predavaonici fakulteta doista postavljen uređaj koji ometa mobitelski signal. Imali su velikih problema s prepisivanjem; studenti su odgovore na ispitima slali SMS-om, pa su tome odlučili doskočiti postavljanjem ilegalnog uređaja.

- Razumijemo motiv za postavljanje uređaja, ali Zakon ne dopušta njegovu uporabu. Kršenje etičkih kodeksa fakulteta riješite na drukčiji način - rekao je ravnatelj HAKOM-a Dražen Lučić.

Do 2008. u Hrvatskoj nije bilo zabranjeno ometati signal, ali kad je donesena izmjena Zakona o elektroničkim komunikacijama, njegov članak 88. to je pitanje jasno definirao.

U dvije godine postojanja zakonske odredbe Agencija je sada prvi put reagirala, provela nadzor i, relativno blago, samo upozorila prekršitelje.

- Zakon dopušta uporabu takvih uređaja jedino u slučajevima kada to zahtijevaju interesi obrane ili nacionalne sigurnosti - rekli su u Agenciji. Glavni razlog za zabranu ometanja signala, istaknuli su u HAKOM-u, je to što se tako onemogućavaju i pozivi u hitnim slučajevima ili pozivi prema hitnim službama.

Gubitak za operatere

Sličan uređaj 2006. je uveo i Hrvatski sabor, no novinari koji prate rad Sabora kažu da se on ne koristi već oko pola godine. Kada bi ga se ranije uključilo, u saborskoj zgradi i oko nje nitko nije mogao telefonirati. U Saboru nam u ponedjeljak nisu mogli potvrditi ili demantirati te navode. Govorilo se i o postojanju uređaja u zagrebačkoj katedrali, no u Tiskovnom uredu Zagrebačke nadbiskupije poručili su nam samo da “uređaj nije u funkciji”.

Ravnatelj Agencije Dražen Lučić ima saznanja kako su i drugi fakulteti namjeravali instalirati slične uređaje u svojim predavaonicama, pa i njih upozorava da je to protuzakonito. Osim toga, za takav tip uređaja ne postoji odobrenje za uvoz ili puštanje na hrvatsko tržište, što znači da svi oni koji ga posjeduju, to čine ilegalno.

Treće, očito se radi o značajnom gubitku koji u prihodima imaju teleoperateri, s obzirom da su baš oni prijavili Agenciji kako fakultet krši zakon.

Ometanje bez kontrole

Konkretno, radi se o prekršaju iz članka 88. Zakona o elektroničkim komunikacijama, koji propisuje da iznimno HAKOM može izdati odobrenje za korištenje uređaja za ometanje radijskih frekvencija, i to isključivo na zahtjev tijela državne vlasti, sigurnosno-obavještajne agencije ili kada to zahtijevaju interesi obrane i nacionalne sigurnosti. Rektor zagrebačkog Sveučilišta Aleksa Bjeliš rekao je kako je zaprimio dopis HAKOM-a koji se odnosi na korištenje uređaja, te da ga u ponedjeljak proslijedio svim čelnicima fakulteta i akademija u sastavu zagrebačkog Sveučilišta.

Biljana Kovačević-Zelić, dekanica Rudarskog fakulteta, u ponedjeljak nam nije mogla komentirati HAKOM-ovo upozorenje. Kada smo ju zamolili da nam omogući fotografiranje spornog uređaja, a za koji je Agencija nadzorom ustanovila da postoji, rekla nam je kako oni “uostalom ni nemaju takav uređaj”.

Nejasna ekipa s Rudarskog

Dekan Fakulteta elektrotehnike i računarstva Vedran Mornar istaknuo je da im tako nešto ne bi ni palo na pamet.

- Pogotovo zbog toga jer se radi o uređaju iz naše struke, pa dobro znamo propise. Iskreno, nije mi jasna ekipa s Rudarskog fakulteta koja se upustila u tako nešto. Problem s tim uređajima je u tome što oni ne ometaju signal samo u predavaonici, nego i s druge strane zida, odnosno čitav prostor okolo fakulteta, a ometaju i pozive prema hitnim službama, što može postati veliki problem - kratko nam je rekao Mornar.

S njime se slaže i dekan Fakulteta strojarstva i brodogradnje prof. Izvor Grubišić.

- Nemamo uređaj, niti smo ga namjeravali instalirati, jer znamo zakon. Voljeli bismo kada bismo mogli postaviti jedan takav uređaj da spriječimo komunikaciju među studentima za vrijeme ispita, ali pojavljuje se problem što nama u predavaonicama treba bežična mreža, pa ne znam kako bismo blokirali signal mobitela, a vlastitu mrežu ne - rekao je Grubišić.

Agencija za znanost i visoko obrazovanje naglasila je da ih fakultet nije obavijestio o ilegalnom korištenju uređaja.

- Agencija podržava postupak Hrvatske agencije za poštu i elektroničke komunikacije, kao i činjenicu da je potrebno poduzeti sve daljnje zakonske radnje vezano za navedeni događaj - rekli su nam u AZVO-u.

Studenti: Znamo da se na ispitima varalo pomoću mobitela

Desetak studenata Rudarsko-geološko-naftnog fakulteta u ponedjeljak je u prijepodnevnim satima polagalo usmene ispite. Iako nam je većina njih potvrdila da se studenti povremeno koriste mobilnim uređajima tijekom pismenih ispita, pa iz tog razloga čak i podržavaju postavljanje spornog uređaja, nitko nam od njih nije potvrdio da je primijetio ometanje signala i na hodnicima fakulteta.

- Nisam upoznata s postavljanjem tog uređaja, ne znam gdje bi mogao biti, a nisam uočila ni ništa neobično s mobitelom, na fakultetu ga normalno koristim i imam pun signal. Tijekom ispita ne vadim mobitel iz torbe, tako da ne znam je li bilo problema, a nitko mi se od kolega nije požalio na to - rekla je Jasmina Tolj, 20-godišnja studentica druge godine Rudarsko-geološko-naftnog fakulteta. ( J. Ko.)

Dozvolu za ometanje mogu dobiti tajne službe

Prema Wikipediji, u zapadnom je svijetu ometanje signala za mobitel ilegalno, s iznimkom Italije, gdje se ta praksa primjenjuje u bolnicama, crkvama, kinima, kazalištima. Francuska je, primjerice, 2004. dopustila ometanje signala u kinima i kazalištima, ali se od toga odustalo zbog nemogućnosti poziva hitnim službama, dok su u Irskoj ilegalnost takve prakse potvrdili i sudovi. Neke zemlje, poput Irske ili Novog Zelanda, dopuštaju blokiranje signala u zatvorima, druge, poput Njemačke ili Britanije, takve prijedloge tek razmatraju.

Blokiranje signala dopušteno je u kineskim školama, gdje ga ministarstvo obrazovanja može koristiti kako bi spriječilo prepisivanje. Pakistan blokira signal u bankama, ali i knjižnicama.

Odredba hrvatskog zakona mogla je biti i jasnija jer se ne zabranjuje uporaba uređaja nego se samo definira kome će Agencija izdati pojedinačnu dozvolu. To može dovesti do zabune. Zakon nije korektno napisan, smatraju pravnici s kojima smo kontaktirali, dodajući da je teško definirati pojmove “nacionalna sigurnost” i “interesi obrane”. Sabor bi, primjerice, trebao pokrenuti čitav proces dobivanja odobrenja HAKOM-a prije stavljanja uređaja u upotrebu. U članku 88. Zakona o elektroničkim komunikacijama stoji:

Na temelju podnesenog zahtjeva nadležnog tijela državne vlasti ili nadležne sigurnosno-obavještajne agencije, kada to zahtijevaju interesi obrane ili nacionalne sigurnosti, Agencija će izdati pojedinačnu dozvolu za uporabu uređaja za ometanje radijskih frekvencija javnih elektroničkih komunikacijskih mreža na određenom prostoru ili području. ( N. Šajn, T. Kukec)

Zanimljiva prezentacija o ranjivosti sustava temeljenim na GPS tehnologiji.

Gps Vulnerability

5000 tajnih spisa putuje bez zaštite iz Haaga do Zagreba

- Ne mogu to razumjeti, suočen sam s odbijanjem Vlade RH u pružanju potrebne pomoći obranama pri prijevozu povjerljivih(zaštićenih) dokumenata ih Haaga u Zagreb, upozorava u svojoj izjavi za Večernji list Božidar Kovačić.

(preuzeto u cijelosti s portala Večernji.HR, 02.06.2010. godine)

Dok budete čitali ovaj tekst u Večernjaku, kombi pun hrvatskih državnih, vojnih i tajni Tribunala, bez ikakve zaštite i bez statusa posebne, diplomatske pošiljke, vozit će putem od Haaga do Zagreba. Trebao bi stići u srijedu u kasnim poslijepodnevnim satima. Pitanje je hoće li doći nedirnut jer prolazi kroz četiri europske države.

Požurili vratiti materijal

- Ne mogu to razumjeti, suočen sam s odbijanjem Vlade RH (Ministarstva vanjskih poslova) u pružanju potrebne pomoći obranama pri prijevozu povjerljivih (zaštićenih) dokumenata ih Haaga u Zagreb, upozorava u svojoj izjavi za Večernji list Božidar Kovačić, odvjetnik u Haagu optuženog generala Slobodana Praljka.

Obrane su, naime, dovršile svoje dokazivanje u procesu “Prlić i ostali” (suđenje šestorici Hrvata iz BiH) pa je Kovačić požurio iz Haaga evakuirati “vrući kesten”, kako on naziva tisuće zaštićenih dokumenata kojima se obrana koristila u suđenju. Obrane Praljka i djelomično Prlića unajmile su kombi i napunile ga s oko 20.000 dokumenata koje treba prevesti na zaštićeno mjesto u Hrvatskoj.

– Procjenjujem da u toj golemoj arhivi ima i najmanje 5000 dokumenata haaškog suda koji imaju status “povjerljivo”, te oko 5000 dokumenata hrvatske države koji su također zaštićeni i mogli su se rabiti samo u ovom haaškom procesu. Dakle, riječ je o državnim i vojnim tajnama RH – kaže Kovačić.

Podsjeća da je 2006. Vlada RH odobrila zahtjev obrane te je istovjetni kombi pun državnih tajni na putu od Zagreba do Haaga dobio pečat i status diplomatske pošiljke. Ti su tajni dokumenti potom četiri godine bili smješteni u posebno osiguranom uredu Praljkove obrane u Haagu.

“Pečat bi bio nezakonit”

Iz MVP-a Večernjaku stiže informacija kako kombi nije mogao dobiti diplomatsku zaštitu kao 2006. jer je u međuvremenu promijenjen pravilnik o diplomatskim pošiljkama pa ovakav “privatni” kombi više ne može dobiti državni pečat i imunitet.

– Bili bismo u izuzetno neugodnoj situaciji da smo nezakonito pečatirali ovu pošiljku i dali joj status koji joj ne možemo osigurati – kažu izvori bliski MVP-u.

Bez obzira na formalnosti, skandalozno je da kombi pun državnih i tajni Suda u Haagu vozi Europom kao “kombi s cipelama i pokućstvom”. Hoće li uopće stići na odredište?

Je li itko pomislio što bi se moglo dogoditi da ova dokumentacija putem završi u rukama neovlaštenih osoba, pita se Kovačić. Dodaje da Tribunal može i njega kazniti dogodi li se dokumentima što nepredviđeno. U uredu pri Ministarstvu pravosuđa za suradnju s Tribunalom kažu da su Kovačićev zahtjev proslijedili u MVP i ne znaju zašto ministarstvo nije odobrilo diplomatsku zaštitu te da je trebao probati tražiti da dokumentaciju preveze “državni” kombi. U MVP-u pak drže da je taj posao bio na Ministarstvu pravosuđa.

Konspirativna teorija ili teorija zavjere je pokušaj da se objasni krajnji razlog nekog događaja (obično političkog, socijalnog ili historijskog događaja) kao tajan i obično zavaravajući plan tajnog udruženja moćnih osoba (često opisanih kao “moćna elita”) te negira da je događaj rezultat direktne aktivnosti ili pak prirodni događaj.

Iako u povijesti nerijetko postoje kriminalna djela koja su počinili grupe ljudi (konspiratori) izraz “konspirativna teorija” se obično koristi u akademskim krugovima i u popularnoj kulturi da se opišu vrsta folklora sličnim urbanim legendama. Konspirativne teorije imaju određene ispravne oblike u svojoj naraciji ali su obično iste nastale kroz naivne metodološke greške. Termin se također koristi u negativnim konotacijama kad se želi objasniti i odbaciti neispravan, paranoičan i nevjerojatan trač. Većina ljudi koji nazivaju svoje teorije konspiratornim obično odbijaju da se teorija može svrstati u takvu vrstu negativnih konotacija. (izvor: Wikipedia)

Budući da sam uočio kako se u medijima oko slučajeva koji se tiču otkrivanja službene tajne vrlo često pojavljuju netočne, neprecizne ili nesuvisle informacije, dozvolite mi kratki osvrt na cjelokupnu situaciju.

1. Kazneni zakon kao i cjelokupno hrvatsko zakonodavstvo tretira “službenu tajnu” na vrlo “elastičan” način, tako da je posve nejasno da li se službena tajna odnosi isključivo na službene osobe, ili pak službenu tajnu može odati i osoba koja nije trenutačno ili nije bila službena osoba koju bi čuvanje službene tajne obvezivalo. Ovu činjenicu može se laički komentirati na razne načine, no sudovi su u pravilu također u vrlo velikoj dilemi po pitanju čuvanja službene tajne jer moraju tumačiti zakon koji im ne daje točne smjernice u vezi toga tko je obvezatan čuvati službenu tajnu, te stoga zasigurno njihov posao po ovom pitanju nije jednostavan niti rutinski.

2. Činjenica iz točke 1. dovodi do pitanja - da li je Registar branitelja kao zbirka podataka označen oznakom službene ili vojne tajne? Ukoliko jeste, a Registru branitelja pristup imaju mnogi (npr. skrbnik Fonda hrvatskih branitelja, ali kažu i - strane države, pošto navodno neke države koje imaju vizni režim s RH znaju vojnu povijest svakog hrvatskog državljana), da li po svojoj prirodi može biti tajna nešto što se ne štiti a nalazi se u raznim oblicima na više lokacija uključujući državna tijela stranih država? Radi li se o nečemu što se može smatrati jedinstvenom zbirkom podataka?

3. Nastavno, pozivam Vas da proučite Uredbu o mjerama informacijske sigurnosti od 18.04.2008. godine. Prema njoj, obveznici su sva državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave, te pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke, dakle, koje općenito koriste podatke u svom radu! Savjetnik za informacijsku sigurnost trebao bi, u najširem smislu, biti zaposlen ili imenovan praktično u SVAKOJ općini u Republici Hrvatskoj, počevši od one najmanje, te sva državna tijela uključujući ona najviše razine! Iako je Uredba zamišljena vrlo ambiciozno i naslanja se na ISO 27001 standard, bilo bi zanimljivo vidjeti provode li se mjere koje su njom vrlo detaljno određene, postoje li savjetnici/rukovoditelji informacijskom sigurnošću u državnoj upravi i, općenito, da li je moguće, ukoliko se ova Odredba ne provodi, uopće sustavno regulirati informacijsku sigurnost u državnim tijelima RH, ili se pak ona provodi ad hoc, nesustavno, od slučaja do slučaja? Tko su savjetnici za informacijsku sigurnost za hrvatske općine i sva državna tijela? Ukoliko ih nema, zašto se ne poštuju zakonske odredbe, zašto se sustavno ne provode mjere informacijske sigurnosti i tko je za to odgovoran?

4. Prema Zakonu o zaštiti osobnih podataka, svako tijelo koje obrađuje osobne podatke mora Agenciji za zaštitu osobnih podataka podnijeti obavijest o namjeri uspostavljanja zbirke osobnih podataka, te o namjeri obrade, i to prije nego što se s istom započelo. Moguću štetu snosi ona organizacija koja podatke obrađuje u slučaju nesukladnosti a kazne su do 40.000 Kn! Da li su takve obavijesti poslane Agenciji za sve postojeće instance (kopije) Registra branitelja?

5. Sve navedeno dovodi do činjenice koja u medijima uopće nije bila obrađivana, a to je nepobitno stanje stvari da je informacijska sigurnost u državnim tijelima RH na vrlo niskoj razini, u korporativnoj sferi je situacija nešto bolja (osobito kod većih poduzeća te onih koje se bave high-techom) a najbolja u sektoru koji je pod nadzorom HNB-a (financijski sektor). Nadalje, u konkretnom slučaju, ne samo da se nisu primjenjivale osnovne mjere informacijske sigurnosti nad konkretnim podacima, nego nisu bili štićeni niti komunikacijski kanali jer je očito kako su se izrađivale razne parcijalne baze koje su voluntaristički tretirane prema nečijim potrebama. Opet, radi li se uopće kod Registra branitelja o jednoj, jedinstvenoj zbirci podataka?

6. Moje osobno mišljenje je da je policija RH vrlo osposobljena za inicijalnu pretragu računalne opreme a istražni suci također dobro informirani o osnovnoj metodologiji koja prethodi računalnoj forenzici i nužnim tehničkim postupcima. Bez ulaženja u konkretan slučaj, što mi nalaže profesionalna etika, htio bih reći da je vrlo vjerojatno osumnjičenom oduzeta računalna oprema za koju se sumnja da je možda korištena u počinjenju kaznenog (?) djela. Već u toj točki može biti angažiran sudski vještak, ali je više vjerojatno da će inicijalnu pretragu vršiti policijski djelatnici (inspektori). Nakon toga, moguće je da istražni sudac naloži vještaku informatičke struke vještačenje koje se obavezno čini u skladu sa zadatkom vještačenja. U toj točki, vještak izuzima dokazni materijal identificiran po policijskim istražiteljima, zadužuje ga i ako se radi o tvrdim diskovima, vrši njihovo kloniranje i analizu kopija te daje svoje mišljenje. aDSL router se oduzima između ostalog zato što se putem njega mogu dokazati korisničko ime i lozinka koji su korišteni za pristup na Internet, osobito ako je u router a ne bridge modu gdje bi se takvi tragovi mogli naći na poveznici za spajanje na računalu. Vještak mora u roku (obično 30 dana) odgovoriti na zadatak vješačenja, ukoliko se radi o vrlo kompleksnom slučaju, može surađivati i s policijom, i s vanjskim institucijama (npr. fakulteti) ili drugim stručnjacima, no o tome mora obavijestiti suca koji je naložio vještačenje i o svakom koraku se dogovoriti s njim.

7. Pitanje je da li u RH kod nadležnih tijela postoji svijest o tome da je posljednja linija obrane države u današnje doba postao **informacijski suverenitet**, a to najbolje iz prakse zna korporativni sektor kod kojega se može “u nulama” izraziti korist od čuvanja vlastitih informacija.

Jasno je kako je ovo pitanje primarno političko, no sa stajališta struke, radi se vjerojatno o krajnjem nemaru po pitanju temeljnih pravila informacijske sigurnosti koji svoje korijene vuče u biti od prvog dana kada je takva zbirka oformljena, odnosno od dana kada su se na nju počeli (ne!) primjenjivati zakonski propisi koji se odnose na područje informacijske sigurnosti.

Pet neugodnih istina o upotrebi novih tehnologija

(preuzeto s Lider Press, 05.04.2010. godine)

U vremenu u kojem pojedinca okružuje tehnologija, mnogi ljudi ne vode računa o onim neugodnim istinama i činjenicama vezanima za tehnologije koje koriste, dok još veći broj njih zapravo za njih niti ne zna. Za one, pak, koji ipak brinu o svojoj privatnosti evo izbor pet neugodnih istina o svakodnevnoj tehnologiji i rješenja kako se s njima nositi.

Recimo, privatno surfanje, opcija koju nude svi relevantni pretraživači interneta, poput Firefoxa, Internet Explorera ili Chromeavrlo je pogodna za svakog tko želi spriječiti druge korisnike nekog računala da vide gdje je bio i što je radio, no u širem spektru stvari uopće ne pomaže ostvarivanju anonimnosti na internetu. Svatko tko poželi zabilježiti korisnikovu IP adresu, to može bez problema učiniti neovisno o modu u kojem korisnik pretražuje internet. Dapače, davatelji internetske usluge mogu pratiti i zabilježiti sve što korisnik radi na internetu, a koliko te podatke čuvaju, varira od operatera do operatera. Rješenje: Ako zaista želite surfati anonimno, koristite proxy uslugu (posredničku uslugu) poput Anonymiz-era ili Tora.

Drugi vrlo raširen primjer je internetski gigant Google. Ono što ova kompanija o vama zna ovisi o tome koliko se vi uzdajete u njihove usluge. Informacije koje Google može prikupiti i sačuvati mogu uključivati stranice koje ste posjetili, pretrage koje ste koristili, karte koje ste gledali, vaše kontakte i kalendar, e-mail poruke, povijest chata itd. Vlasti, uz sudski nalog, mogu pristupiti svakome od tih podataka, ali drugi problem predstavlja mogućnost krađe identiteta putem Googlea, kojemu je jedini štit vaše korisničko ime i šifra. Zainteresirani koji to provale, mogu nesmetano koristiti sve ostale Google usluge i vrlo lako preuzeti vaš identitet. Rješenje: Koristite Google Dashboard kako bi vidjeli koje točno informacije dijelite i prilagodite postavke shodno svom strahu od vlade i internetskih zlikovaca. Ojačajte svoju šifru i mijenjajte je svako malo, a u slučaju da vam je hakiran ili ukraden račun, moguće je putem Googleove account recovery usluge vratiti ga. Pored toga, nije loše rizik umanjiti korištenjem nekoliko različitih davatelja ovakvih usluga.

Sljedeća neugodna istina je da sigurnosni softver nije toliko siguran koliko ljudi misle. Stručnjaci kažu kako antivirusni softver i ostali oblici softverske zaštite zapravo ‘uhvate’ samo one manje prijetnje. Sve veći broj grešaka i rupa kod inicijalnog puštanja softvera u optjecaj, u kombinaciji sa sporom reakcijom proizvođača i davatelja usluga, znači da i najbolji i najažuriraniji sigurnosni programi zaostaju za internetskim zlikovcima. Rješenje: Bez sigurnosnog softvera se jednostavno ne može, ali je uputno zato poduzeti dodatne korake za zaštitu, poput čuvanja podataka na šifriranim diskovima i instaliranja VMwarea, ili sličnog softvera koji omogućuje stvaranje virtualnih strojeva i bacanje istih ako postanu inficirani.

Komunikacija putem web kamera postala je u posljednje vrijeme iznimno popularna, ali je i vrlo nesigurna. Slučajeva u kojima se na daljinu pali web kamera bez vlasnikovog znanja ili dopuštenja je bezbroj. Kao i gotovo sve u svijetu informatike, preuzimanje kontrole nad nečijom kamerom prilično je lak posao za nekog tko zna što radi, no, srećom, i riješenje je jednostavno. Rješenje: Ako imate eksternu kameru ištekajte je kad je ne koristite. Ako je pak, ugrađena, što je čest slučaj s laptopima, jednostavno prekrijte leću.

Vjerojatno najvažnija činjenica koju svi informatički osviješteni ljudi trebaju imati u vidu je da ‘internet nikad ne zaboravlja’. Neugodnost na ulici ili općenito u stvarnom životu lako se, i relativno brzo može zabo-raviti, no s internetom je priča nešto drugačija. Stvari koje ste pisali u mailovima, objavljivali na društvenim mrežama ili radili na kameri mogu ostati zauvijek negdje zabilježene i progoniti vas ostatak života. Naime, premještanjem velike količine podataka s tvrdih diskova korisnika na internetski oblak, dakle na servere negdje tamo daleko, korisnik je izgubio mogućnost nadzora nad njima. Rješenje: Vrlo interesantno, nalik špijunskim parodijama. Softver imena Vanish ugrađuje mehanizam za samouništenje u podatke. Iako je softver još u testnoj fazi, moguće je skinuti open-source Firefox plug-in na internetu.

Naravno ovo je tek manji dio istina o tehnologiji, ali zato dovoljno indikativan za svakog tko vodi više računa o svojoj privatnosti u tehnološkom dobu. S druge strane, tolika izloženost tehnologiji znači i da čovjek usprkos mogućim mjerama opreza nikada zapravo ne može biti zaštićen u potpunosti od zloporaba. Ipak, vođenje računa može pomoći smanjivanju neugodnosti i opasnosti. (Vanja Figenwald)
5.4.2010 09:15

Većina ljudi u ne-poslovnim okruženjima koristi osobna računala kao administrator što često može uzrokovati zaraze računalnim virusima i trojancima jer omogućava nevoljno pokretanje malicioznih izvršnih datoteka. U praksi, ljudi se čude kako je moguće da usprkos firewallu, antivirusnoj zaštiti i antispyware programu dolazi do uništenja podataka na računalu.

Šest godina prisutan utility DropMyRights najbolji je alat za prevenciju ove neželjene pojave, ukoliko se računalo već koristi pod korisničkim računom administratora, osobito za rad na Internetu.

Autor alata je Microsoftov inženjer Michael Howard a teoretska razmatranja istog mogu se naći ovdje, dok se ovdje alat može skinuti za korištenje na lokalnom računalu. Program je posve besplatan.

Osim uobicajenog, vidljivog adresnog prostora Interneta kojemu korisnici svakodnevno pristupaju, postoji i drugi, “tamni” Internet, koji je više desetaka puta veći od javno dostupnog Interneta… više o tome u članku The Guardiana.

U ovom dokumentu izložena je detaljna analiza o najopasnijim pojmovima pri pretraživanju na Internetu, koji mogu voditi do siteova koji služe za distribuciju virusa, trojanaca, spywarea, računalnih prijevara itd.

Most Dangerous Search Term Uk

Zanimljivo izvješće McAfee-ja o najopasnijim domenama na Internetu.

Najopasnija domena je ona kamerunska (.cm), zbog sličnosti s komercijalnom domenom (.com). Zatim slijede kineska (.cn), Samoa (.ws), filipinska (.ph) i bivša domena Sovjetskog Saveza (.su). Zanimljivo je da je 2008. godine najopasnija bila honkonška domena (.hk), no nakon akcija vlasti tijekom godine sada je pala “tek” na 34-to mjesto.

Hrvatska se napokon po nečemu pozitivnom našla na vrhu ljestvice, što je vjerojatno priznanje radu hrvatskog Carneta. Naime, najsigurnija svjetska domena je japanska (.jp), slijedi je irska domena (.ie), hrvatska (.hr), luksemburška (.lu) i Vanuatu (.vu).

Najsigurnija “nedržavna” domena je .gov.

Mapping Mal Web

Banka.hr - Informacijska sigurnost: Stotinjak prijavljenih incidenata godišnje

Posted using ShareThis

“Štednja na krivom mjestu?

Svega 1-3% IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost

Preko polovice ispitanika najviše pozornosti posvećuje zaštiti od interne prevare, dakle manipulacije podacima od strane vlastitih zaposlenika.

Inicijative za smanjenje troškova u svezi informacijske tehnologije u proteklih su godinu dana najviše utjecale na odluke o razvoju IT odjela u hrvatskim tvrtkama. Uprave u našim tvrtkama ne posvećuju dovoljno pozornosti privatnosti podataka, iako u dosta velikom postotku zajednički s IT menadžerima donose odluke o IT projektima. Svega 1 do 3 posto budžeta namijenjenog IT odjelima u hrvatskim tvrtkama troši se na pitanja informacijske sigurnosti, pokazuje istraživanje konzultantsko-revizorske tvrtke Deloitte Uravnoteženost poslovnih i IT odjela.

Kao i u Hrvatskoj, i u ostatku Europe smanjenje troškova je postalo čimbenik koji najviše utječe na odluke u vezi informacijskih tehnologija. Međutim, s tim u vezi postoje primjetne razlike među regijama u svijetu, što je vjerojatno odraz različitog utjecaja ekonomske krize. Tako na odluke u vezi IT-a na području Sjeverne i Južne Amerike najviše utječu fluktuiranja u cijeni tehnologije, dok u azijskoj regiji pojava novih tehnologija igra značajniju ulogu no drugdje.

“Istraživanje je ukazalo na učestalu praksu tvrtki da odluke u vezi IT-a ne donose sustavno. Čak tri od pet ispitanika na globalnoj razini ističe da se na sastancima uprave nikad ne raspravlja o odlukama vezanim za IT. U Hrvatskoj je situacija nešto bolja, pa polovica ispitanika ističe da uprava odlučuje o razvoju IT odjela zajedno s IT menadžerima,” ističe Ivica Perica, menadžer u Odjelu za upravljanje rizicima u Deloitteu.

Međutim, kad je riječ o informacijskoj sigurnosti, preko polovice ispitanika najviše pozornosti posvećuje zaštiti od interne prevare, dakle manipulacije podacima od strane vlastitih zaposlenika. Najskeptičniji po tom pitanju su ispitanici iz Europe, no primjetan je nedostatak svijesti o stvarnom broju povreda sigurnosti i ozbiljnosti te prijetnje. Budžeti alocirani za IT sigurnost i dalje zaostaju za stvarnim razmjerima prijetnji koje postaju sve kompleksnije, baš kao što se usložnjavaju i regulatorni zahtjevi. Oko 45 posto ispitanika u Hrvatskoj prihvaća outsourcing (eksternalizaciju) IT usluga, dok je u svijetu taj trend prošireniji, budući da se outsourcingom koristi 60 posto tvrtki.

U ovogodišnjem Deloitteovom istraživanju sudjelovalo je preko 1800 ispitanika iz 28 zemalja diljem svijeta. Ovo je prva godina da su istraživanjem obuhvaćene i hrvatske tvrtke, s udjelom od 4,4 posto u sveukupnom broju kompanija. U istraživanju su sudjelovale tvrtke iz financijskog sektora, proizvodnje, robe široke potrošnje, tehnologije, farmaceutike, javnog sektora, transporta, telekomunikacija, energetike, automobilske industrije, nekretnina i drugih sektora.”

(preuzeto s: Internet Monitor, 15.10.2009.)

Komentar: izbacimo iz analize bankarski i financijski sektor te nekoliko tvrtki koje se bave visokom tehonologijom i naslov bi lako mogao biti “Čak 1-3 promila IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost”.

U dijelu hrvatskih medija prije nekoliko tjedana na senzacionalistički način je prenesena informacija o tome kako je u HEP-u internim dopisom zabranjeno odavanje osobnih informacija o zaposlenicima (u ovom kontekstu, vjerojatno se to odnosi na plaće rukovoditelja).

Zanimljivo je kako se u biti radi o klasičnoj zamjeni teza. Čak i one tvrtke koje nemaju striktne procedure upravljanja informacijskom sigurnošću primjenju po “automatizmu” procedure ili politike tajnosti osobnih podataka zaposlenika, njihovih plaća itd. Zapravo bi bilo bolje postaviti pitanje - što je točno činio u HEP-u do sada onaj koji je bio zadužen za osiguranje sigurnosti takvih podataka?

Ili možda mediji smatraju kako bi korporacije trebale držati sve svoje podatke na nekakvom front-endu, dostupnom javnosti?

Ovaj mini-slučaj definitivno govori o tome kakvo je stanje informacijske sigurnosti i sigurnosti osobnih podataka u Hrvatskoj danas.