You are currently browsing the archives for April, 2010.

Vještaci

29/04/2010 // Posted in VjeÅ¡tak za informatiku  |  No Comments

ÄŒlanak “VjeÅ¡taci”, autora Berislava Matijevića, dipl.iur., iz Rijeke, objavljuje se u cijelosti. Original se nalazi na stranicama Pravna datoteka.

VjeÅ¡taci – sudski vjeÅ¡tak informatike i telekomunikacija SaÅ¡a Aksentijević www.vjestak-informatika.com

Orkis.HR – novi članak – Upravljanje vlastitim vremenom i stresom

25/04/2010 // Posted in ÄŒlanci/konferencije/predavanja  |  No Comments

Na Orkisu je objavljen novi članak pod naslovom “Upravljanje vlastitim vremenom i stresom”.

Obavijest

22/04/2010 // Posted in VjeÅ¡tak za informatiku  |  No Comments

Zbog opsega posla neću biti u mogućnosti zaprimati nove poslove vansudskih vještačenja do 17.05.2010. godine.

Međutim, u slučaju potrebe, slobodno mi se obratite emailom ili putem Web obrasca, jer možemo dogovoriti neke detalje unaprijed i prije početka rada na konkretnim predmetima.

Hvala na razumijevanju.

Varnostni Forum – tema mjeseca – članak “Å to učiniti u slučaju sigurnosnog incidenta?”

13/04/2010 // Posted in ICT forenzika  |  No Comments

Tema mjeseca slovenskog časopisa posvećenog informacijskoj sigurnosti je “endpoint security”. U okviru toga, u broju od ožujka 2010. godine objavljen je članak pod naslovom “What to do in case of security breaches and how to prevent them” – nažalost, doÅ¡lo je do pogreÅ¡ke u pripremi teksta je je naslov greÅ¡kom tiskan kao “What to do in case of security breach and how to prevent them”.

ÄŒlanak Varnostni Forum ožujak 2010. – sudski vjeÅ¡tak informatike i telekomunikacija SaÅ¡a Aksentijević

Afera “Registar branitelja” je posljedica nefunkcioniranja sustava upravljanja informacijskom sigurnošću u državnim tijelima RH

08/04/2010 // Posted in ICT sigurnost  |  No Comments

Budući da sam uočio kako se u medijima oko slučajeva koji se tiču otkrivanja službene tajne vrlo često pojavljuju netočne, neprecizne ili nesuvisle informacije, dozvolite mi kratki osvrt na cjelokupnu situaciju.

1. Kazneni zakon kao i cjelokupno hrvatsko zakonodavstvo tretira “službenu tajnu” na vrlo “elastičan” način, tako da je posve nejasno da li se službena tajna odnosi isključivo na službene osobe, ili pak službenu tajnu može odati i osoba koja nije trenutačno ili nije bila službena osoba koju bi čuvanje službene tajne obvezivalo. Ovu činjenicu može se laički komentirati na razne načine, no sudovi su u pravilu takoÄ‘er u vrlo velikoj dilemi po pitanju čuvanja službene tajne jer moraju tumačiti zakon koji im ne daje točne smjernice u vezi toga tko je obvezatan čuvati službenu tajnu, te stoga zasigurno njihov posao po ovom pitanju nije jednostavan niti rutinski.

2. ÄŒinjenica iz točke 1. dovodi do pitanja – da li je Registar branitelja kao zbirka podataka označen oznakom službene ili vojne tajne? Ukoliko jeste, a Registru branitelja pristup imaju mnogi (npr. skrbnik Fonda hrvatskih branitelja, ali kažu i – strane države, poÅ¡to navodno neke države koje imaju vizni režim s RH znaju vojnu povijest svakog hrvatskog državljana), da li po svojoj prirodi može biti tajna neÅ¡to Å¡to se ne Å¡titi a nalazi se u raznim oblicima na viÅ¡e lokacija uključujući državna tijela stranih država? Radi li se o nečemu Å¡to se može smatrati jedinstvenom zbirkom podataka?

3. Nastavno, pozivam Vas da proučite Uredbu o mjerama informacijske sigurnosti od 18.04.2008. godine. Prema njoj, obveznici su sva državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave, te pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke, dakle, koje općenito koriste podatke u svom radu! Savjetnik za informacijsku sigurnost trebao bi, u najširem smislu, biti zaposlen ili imenovan praktično u SVAKOJ općini u Republici Hrvatskoj, počevši od one najmanje, te sva državna tijela uključujući ona najviše razine! Iako je Uredba zamišljena vrlo ambiciozno i naslanja se na ISO 27001 standard, bilo bi zanimljivo vidjeti provode li se mjere koje su njom vrlo detaljno određene, postoje li savjetnici/rukovoditelji informacijskom sigurnošću u državnoj upravi i, općenito, da li je moguće, ukoliko se ova Odredba ne provodi, uopće sustavno regulirati informacijsku sigurnost u državnim tijelima RH, ili se pak ona provodi ad hoc, nesustavno, od slučaja do slučaja? Tko su savjetnici za informacijsku sigurnost za hrvatske općine i sva državna tijela? Ukoliko ih nema, zašto se ne poštuju zakonske odredbe, zašto se sustavno ne provode mjere informacijske sigurnosti i tko je za to odgovoran?

4. Prema Zakonu o zaštiti osobnih podataka, svako tijelo koje obrađuje osobne podatke mora Agenciji za zaštitu osobnih podataka podnijeti obavijest o namjeri uspostavljanja zbirke osobnih podataka, te o namjeri obrade, i to prije nego što se s istom započelo. Moguću štetu snosi ona organizacija koja podatke obrađuje u slučaju nesukladnosti a kazne su do 40.000 Kn! Da li su takve obavijesti poslane Agenciji za sve postojeće instance (kopije) Registra branitelja?

5. Sve navedeno dovodi do činjenice koja u medijima uopće nije bila obrađivana, a to je nepobitno stanje stvari da je informacijska sigurnost u državnim tijelima RH na vrlo niskoj razini, u korporativnoj sferi je situacija nešto bolja (osobito kod većih poduzeća te onih koje se bave high-techom) a najbolja u sektoru koji je pod nadzorom HNB-a (financijski sektor). Nadalje, u konkretnom slučaju, ne samo da se nisu primjenjivale osnovne mjere informacijske sigurnosti nad konkretnim podacima, nego nisu bili štićeni niti komunikacijski kanali jer je očito kako su se izrađivale razne parcijalne baze koje su voluntaristički tretirane prema nečijim potrebama. Opet, radi li se uopće kod Registra branitelja o jednoj, jedinstvenoj zbirci podataka?

6. Moje osobno mišljenje je da je policija RH vrlo osposobljena za inicijalnu pretragu računalne opreme a istražni suci također dobro informirani o osnovnoj metodologiji koja prethodi računalnoj forenzici i nužnim tehničkim postupcima. Bez ulaženja u konkretan slučaj, što mi nalaže profesionalna etika, htio bih reći da je vrlo vjerojatno osumnjičenom oduzeta računalna oprema za koju se sumnja da je možda korištena u počinjenju kaznenog (?) djela. Već u toj točki može biti angažiran sudski vještak, ali je više vjerojatno da će inicijalnu pretragu vršiti policijski djelatnici (inspektori). Nakon toga, moguće je da istražni sudac naloži vještaku informatičke struke vještačenje koje se obavezno čini u skladu sa zadatkom vještačenja. U toj točki, vještak izuzima dokazni materijal identificiran po policijskim istražiteljima, zadužuje ga i ako se radi o tvrdim diskovima, vrši njihovo kloniranje i analizu kopija te daje svoje mišljenje. aDSL router se oduzima između ostalog zato što se putem njega mogu dokazati korisničko ime i lozinka koji su korišteni za pristup na Internet, osobito ako je u router a ne bridge modu gdje bi se takvi tragovi mogli naći na poveznici za spajanje na računalu. Vještak mora u roku (obično 30 dana) odgovoriti na zadatak vješačenja, ukoliko se radi o vrlo kompleksnom slučaju, može surađivati i s policijom, i s vanjskim institucijama (npr. fakulteti) ili drugim stručnjacima, no o tome mora obavijestiti suca koji je naložio vještačenje i o svakom koraku se dogovoriti s njim.

7. Pitanje je da li u RH kod nadležnih tijela postoji svijest o tome da je posljednja linija obrane države u danaÅ¡nje doba postao **informacijski suverenitet**, a to najbolje iz prakse zna korporativni sektor kod kojega se može “u nulama” izraziti korist od čuvanja vlastitih informacija.

Jasno je kako je ovo pitanje primarno političko, no sa stajališta struke, radi se vjerojatno o krajnjem nemaru po pitanju temeljnih pravila informacijske sigurnosti koji svoje korijene vuče u biti od prvog dana kada je takva zbirka oformljena, odnosno od dana kada su se na nju počeli (ne!) primjenjivati zakonski propisi koji se odnose na područje informacijske sigurnosti.

Razbijanje iPada

05/04/2010 // Posted in Ostalo  |  No Comments

05/04/2010 // Posted in ICT sigurnost  |  No Comments

Pet neugodnih istina o upotrebi novih tehnologija

(preuzeto s Lider Press, 05.04.2010. godine)

U vremenu u kojem pojedinca okružuje tehnologija, mnogi ljudi ne vode računa o onim neugodnim istinama i činjenicama vezanima za tehnologije koje koriste, dok još veći broj njih zapravo za njih niti ne zna. Za one, pak, koji ipak brinu o svojoj privatnosti evo izbor pet neugodnih istina o svakodnevnoj tehnologiji i rješenja kako se s njima nositi.

Recimo, privatno surfanje, opcija koju nude svi relevantni pretraživači interneta, poput Firefoxa, Internet Explorera ili Chromeavrlo je pogodna za svakog tko želi spriječiti druge korisnike nekog računala da vide gdje je bio i što je radio, no u širem spektru stvari uopće ne pomaže ostvarivanju anonimnosti na internetu. Svatko tko poželi zabilježiti korisnikovu IP adresu, to može bez problema učiniti neovisno o modu u kojem korisnik pretražuje internet. Dapače, davatelji internetske usluge mogu pratiti i zabilježiti sve što korisnik radi na internetu, a koliko te podatke čuvaju, varira od operatera do operatera. Rješenje: Ako zaista želite surfati anonimno, koristite proxy uslugu (posredničku uslugu) poput Anonymiz-era ili Tora.

Drugi vrlo raširen primjer je internetski gigant Google. Ono što ova kompanija o vama zna ovisi o tome koliko se vi uzdajete u njihove usluge. Informacije koje Google može prikupiti i sačuvati mogu uključivati stranice koje ste posjetili, pretrage koje ste koristili, karte koje ste gledali, vaše kontakte i kalendar, e-mail poruke, povijest chata itd. Vlasti, uz sudski nalog, mogu pristupiti svakome od tih podataka, ali drugi problem predstavlja mogućnost krađe identiteta putem Googlea, kojemu je jedini štit vaše korisničko ime i šifra. Zainteresirani koji to provale, mogu nesmetano koristiti sve ostale Google usluge i vrlo lako preuzeti vaš identitet. Rješenje: Koristite Google Dashboard kako bi vidjeli koje točno informacije dijelite i prilagodite postavke shodno svom strahu od vlade i internetskih zlikovaca. Ojačajte svoju šifru i mijenjajte je svako malo, a u slučaju da vam je hakiran ili ukraden račun, moguće je putem Googleove account recovery usluge vratiti ga. Pored toga, nije loše rizik umanjiti korištenjem nekoliko različitih davatelja ovakvih usluga.

Sljedeća neugodna istina je da sigurnosni softver nije toliko siguran koliko ljudi misle. Stručnjaci kažu kako antivirusni softver i ostali oblici softverske zaštite zapravo ‘uhvate’ samo one manje prijetnje. Sve veći broj grešaka i rupa kod inicijalnog puštanja softvera u optjecaj, u kombinaciji sa sporom reakcijom proizvođača i davatelja usluga, znači da i najbolji i najažuriraniji sigurnosni programi zaostaju za internetskim zlikovcima. Rješenje: Bez sigurnosnog softvera se jednostavno ne može, ali je uputno zato poduzeti dodatne korake za zaštitu, poput čuvanja podataka na šifriranim diskovima i instaliranja VMwarea, ili sličnog softvera koji omogućuje stvaranje virtualnih strojeva i bacanje istih ako postanu inficirani.

Komunikacija putem web kamera postala je u posljednje vrijeme iznimno popularna, ali je i vrlo nesigurna. Slučajeva u kojima se na daljinu pali web kamera bez vlasnikovog znanja ili dopuštenja je bezbroj. Kao i gotovo sve u svijetu informatike, preuzimanje kontrole nad nečijom kamerom prilično je lak posao za nekog tko zna što radi, no, srećom, i riješenje je jednostavno. Rješenje: Ako imate eksternu kameru ištekajte je kad je ne koristite. Ako je pak, ugrađena, što je čest slučaj s laptopima, jednostavno prekrijte leću.

Vjerojatno najvažnija činjenica koju svi informatički osviješteni ljudi trebaju imati u vidu je da ‘internet nikad ne zaboravlja’. Neugodnost na ulici ili općenito u stvarnom životu lako se, i relativno brzo može zabo-raviti, no s internetom je priča nešto drugačija. Stvari koje ste pisali u mailovima, objavljivali na društvenim mrežama ili radili na kameri mogu ostati zauvijek negdje zabilježene i progoniti vas ostatak života. Naime, premještanjem velike količine podataka s tvrdih diskova korisnika na internetski oblak, dakle na servere negdje tamo daleko, korisnik je izgubio mogućnost nadzora nad njima. Rješenje: Vrlo interesantno, nalik špijunskim parodijama. Softver imena Vanish ugrađuje mehanizam za samouništenje u podatke. Iako je softver još u testnoj fazi, moguće je skinuti open-source Firefox plug-in na internetu.

Naravno ovo je tek manji dio istina o tehnologiji, ali zato dovoljno indikativan za svakog tko vodi više računa o svojoj privatnosti u tehnološkom dobu. S druge strane, tolika izloženost tehnologiji znači i da čovjek usprkos mogućim mjerama opreza nikada zapravo ne može biti zaštićen u potpunosti od zloporaba. Ipak, vođenje računa može pomoći smanjivanju neugodnosti i opasnosti. (Vanja Figenwald)
5.4.2010 09:15