ÄŒlanak “VjeÅ¡taci”, autora Berislava Matijevića, dipl.iur., iz Rijeke, objavljuje se u cijelosti. Original se nalazi na stranicama Pravna datoteka.
You are currently browsing the archives for April, 2010.
Vještaci
29/04/2010 // Posted in Vještak za informatiku | No Comments
Orkis.HR – novi Älanak – Upravljanje vlastitim vremenom i stresom
25/04/2010 // Posted in ÄŒlanci/konferencije/predavanja | No Comments
Na Orkisu je objavljen novi Älanak pod naslovom “Upravljanje vlastitim vremenom i stresom”.
Obavijest
22/04/2010 // Posted in Vještak za informatiku | No Comments
Zbog opsega posla neću biti u mogućnosti zaprimati nove poslove vansudskih vjeÅ¡taÄenja do 17.05.2010. godine.
MeÄ‘utim, u sluÄaju potrebe, slobodno mi se obratite emailom ili putem Web obrasca, jer možemo dogovoriti neke detalje unaprijed i prije poÄetka rada na konkretnim predmetima.
Hvala na razumijevanju.
Varnostni Forum – tema mjeseca – Älanak “Å to uÄiniti u sluÄaju sigurnosnog incidenta?”
13/04/2010 // Posted in ICT forenzika | No Comments
Tema mjeseca slovenskog Äasopisa posvećenog informacijskoj sigurnosti je “endpoint security”. U okviru toga, u broju od ožujka 2010. godine objavljen je Älanak pod naslovom “What to do in case of security breaches and how to prevent them” – nažalost, doÅ¡lo je do pogreÅ¡ke u pripremi teksta je je naslov greÅ¡kom tiskan kao “What to do in case of security breach and how to prevent them”.
Afera “Registar branitelja” je posljedica nefunkcioniranja sustava upravljanja informacijskom sigurnošću u državnim tijelima RH
08/04/2010 // Posted in ICT sigurnost | No Comments
Budući da sam uoÄio kako se u medijima oko sluÄajeva koji se tiÄu otkrivanja službene tajne vrlo Äesto pojavljuju netoÄne, neprecizne ili nesuvisle informacije, dozvolite mi kratki osvrt na cjelokupnu situaciju.
1. Kazneni zakon kao i cjelokupno hrvatsko zakonodavstvo tretira “službenu tajnu” na vrlo “elastiÄan” naÄin, tako da je posve nejasno da li se službena tajna odnosi iskljuÄivo na službene osobe, ili pak službenu tajnu može odati i osoba koja nije trenutaÄno ili nije bila službena osoba koju bi Äuvanje službene tajne obvezivalo. Ovu Äinjenicu može se laiÄki komentirati na razne naÄine, no sudovi su u pravilu takoÄ‘er u vrlo velikoj dilemi po pitanju Äuvanja službene tajne jer moraju tumaÄiti zakon koji im ne daje toÄne smjernice u vezi toga tko je obvezatan Äuvati službenu tajnu, te stoga zasigurno njihov posao po ovom pitanju nije jednostavan niti rutinski.
2. ÄŒinjenica iz toÄke 1. dovodi do pitanja – da li je Registar branitelja kao zbirka podataka oznaÄen oznakom službene ili vojne tajne? Ukoliko jeste, a Registru branitelja pristup imaju mnogi (npr. skrbnik Fonda hrvatskih branitelja, ali kažu i – strane države, poÅ¡to navodno neke države koje imaju vizni režim s RH znaju vojnu povijest svakog hrvatskog državljana), da li po svojoj prirodi može biti tajna neÅ¡to Å¡to se ne Å¡titi a nalazi se u raznim oblicima na viÅ¡e lokacija ukljuÄujući državna tijela stranih država? Radi li se o neÄemu Å¡to se može smatrati jedinstvenom zbirkom podataka?
3. Nastavno, pozivam Vas da prouÄite Uredbu o mjerama informacijske sigurnosti od 18.04.2008. godine. Prema njoj, obveznici su sva državna tijela, tijela jedinica lokalne i podruÄne (regionalne) samouprave, te pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke, dakle, koje općenito koriste podatke u svom radu! Savjetnik za informacijsku sigurnost trebao bi, u najÅ¡irem smislu, biti zaposlen ili imenovan praktiÄno u SVAKOJ općini u Republici Hrvatskoj, poÄevÅ¡i od one najmanje, te sva državna tijela ukljuÄujući ona najviÅ¡e razine! Iako je Uredba zamiÅ¡ljena vrlo ambiciozno i naslanja se na ISO 27001 standard, bilo bi zanimljivo vidjeti provode li se mjere koje su njom vrlo detaljno odreÄ‘ene, postoje li savjetnici/rukovoditelji informacijskom sigurnošću u državnoj upravi i, općenito, da li je moguće, ukoliko se ova Odredba ne provodi, uopće sustavno regulirati informacijsku sigurnost u državnim tijelima RH, ili se pak ona provodi ad hoc, nesustavno, od sluÄaja do sluÄaja? Tko su savjetnici za informacijsku sigurnost za hrvatske općine i sva državna tijela? Ukoliko ih nema, zaÅ¡to se ne poÅ¡tuju zakonske odredbe, zaÅ¡to se sustavno ne provode mjere informacijske sigurnosti i tko je za to odgovoran?
4. Prema Zakonu o zaÅ¡titi osobnih podataka, svako tijelo koje obraÄ‘uje osobne podatke mora Agenciji za zaÅ¡titu osobnih podataka podnijeti obavijest o namjeri uspostavljanja zbirke osobnih podataka, te o namjeri obrade, i to prije nego Å¡to se s istom zapoÄelo. Moguću Å¡tetu snosi ona organizacija koja podatke obraÄ‘uje u sluÄaju nesukladnosti a kazne su do 40.000 Kn! Da li su takve obavijesti poslane Agenciji za sve postojeće instance (kopije) Registra branitelja?
5. Sve navedeno dovodi do Äinjenice koja u medijima uopće nije bila obraÄ‘ivana, a to je nepobitno stanje stvari da je informacijska sigurnost u državnim tijelima RH na vrlo niskoj razini, u korporativnoj sferi je situacija neÅ¡to bolja (osobito kod većih poduzeća te onih koje se bave high-techom) a najbolja u sektoru koji je pod nadzorom HNB-a (financijski sektor). Nadalje, u konkretnom sluÄaju, ne samo da se nisu primjenjivale osnovne mjere informacijske sigurnosti nad konkretnim podacima, nego nisu bili Å¡tićeni niti komunikacijski kanali jer je oÄito kako su se izraÄ‘ivale razne parcijalne baze koje su voluntaristiÄki tretirane prema neÄijim potrebama. Opet, radi li se uopće kod Registra branitelja o jednoj, jedinstvenoj zbirci podataka?
6. Moje osobno miÅ¡ljenje je da je policija RH vrlo osposobljena za inicijalnu pretragu raÄunalne opreme a istražni suci takoÄ‘er dobro informirani o osnovnoj metodologiji koja prethodi raÄunalnoj forenzici i nužnim tehniÄkim postupcima. Bez ulaženja u konkretan sluÄaj, Å¡to mi nalaže profesionalna etika, htio bih reći da je vrlo vjerojatno osumnjiÄenom oduzeta raÄunalna oprema za koju se sumnja da je možda koriÅ¡tena u poÄinjenju kaznenog (?) djela. Već u toj toÄki može biti angažiran sudski vjeÅ¡tak, ali je viÅ¡e vjerojatno da će inicijalnu pretragu vrÅ¡iti policijski djelatnici (inspektori). Nakon toga, moguće je da istražni sudac naloži vjeÅ¡taku informatiÄke struke vjeÅ¡taÄenje koje se obavezno Äini u skladu sa zadatkom vjeÅ¡taÄenja. U toj toÄki, vjeÅ¡tak izuzima dokazni materijal identificiran po policijskim istražiteljima, zadužuje ga i ako se radi o tvrdim diskovima, vrÅ¡i njihovo kloniranje i analizu kopija te daje svoje miÅ¡ljenje. aDSL router se oduzima izmeÄ‘u ostalog zato Å¡to se putem njega mogu dokazati korisniÄko ime i lozinka koji su koriÅ¡teni za pristup na Internet, osobito ako je u router a ne bridge modu gdje bi se takvi tragovi mogli naći na poveznici za spajanje na raÄunalu. VjeÅ¡tak mora u roku (obiÄno 30 dana) odgovoriti na zadatak vjeÅ¡aÄenja, ukoliko se radi o vrlo kompleksnom sluÄaju, može suraÄ‘ivati i s policijom, i s vanjskim institucijama (npr. fakulteti) ili drugim struÄnjacima, no o tome mora obavijestiti suca koji je naložio vjeÅ¡taÄenje i o svakom koraku se dogovoriti s njim.
7. Pitanje je da li u RH kod nadležnih tijela postoji svijest o tome da je posljednja linija obrane države u danaÅ¡nje doba postao **informacijski suverenitet**, a to najbolje iz prakse zna korporativni sektor kod kojega se može “u nulama” izraziti korist od Äuvanja vlastitih informacija.
Jasno je kako je ovo pitanje primarno politiÄko, no sa stajaliÅ¡ta struke, radi se vjerojatno o krajnjem nemaru po pitanju temeljnih pravila informacijske sigurnosti koji svoje korijene vuÄe u biti od prvog dana kada je takva zbirka oformljena, odnosno od dana kada su se na nju poÄeli (ne!) primjenjivati zakonski propisi koji se odnose na podruÄje informacijske sigurnosti.
Razbijanje iPada
05/04/2010 // Posted in Ostalo | No Comments
05/04/2010 // Posted in ICT sigurnost | No Comments
Pet neugodnih istina o upotrebi novih tehnologija
(preuzeto s Lider Press, 05.04.2010. godine)
U vremenu u kojem pojedinca okružuje tehnologija, mnogi ljudi ne vode raÄuna o onim neugodnim istinama i Äinjenicama vezanima za tehnologije koje koriste, dok joÅ¡ veći broj njih zapravo za njih niti ne zna. Za one, pak, koji ipak brinu o svojoj privatnosti evo izbor pet neugodnih istina o svakodnevnoj tehnologiji i rjeÅ¡enja kako se s njima nositi.
Recimo, privatno surfanje, opcija koju nude svi relevantni pretraživaÄi interneta, poput Firefoxa, Internet Explorera ili Chromeavrlo je pogodna za svakog tko želi sprijeÄiti druge korisnike nekog raÄunala da vide gdje je bio i Å¡to je radio, no u Å¡irem spektru stvari uopće ne pomaže ostvarivanju anonimnosti na internetu. Svatko tko poželi zabilježiti korisnikovu IP adresu, to može bez problema uÄiniti neovisno o modu u kojem korisnik pretražuje internet. DapaÄe, davatelji internetske usluge mogu pratiti i zabilježiti sve Å¡to korisnik radi na internetu, a koliko te podatke Äuvaju, varira od operatera do operatera. RjeÅ¡enje: Ako zaista želite surfati anonimno, koristite proxy uslugu (posredniÄku uslugu) poput Anonymiz-era ili Tora.
Drugi vrlo raÅ¡iren primjer je internetski gigant Google. Ono Å¡to ova kompanija o vama zna ovisi o tome koliko se vi uzdajete u njihove usluge. Informacije koje Google može prikupiti i saÄuvati mogu ukljuÄivati stranice koje ste posjetili, pretrage koje ste koristili, karte koje ste gledali, vaÅ¡e kontakte i kalendar, e-mail poruke, povijest chata itd. Vlasti, uz sudski nalog, mogu pristupiti svakome od tih podataka, ali drugi problem predstavlja mogućnost kraÄ‘e identiteta putem Googlea, kojemu je jedini Å¡tit vaÅ¡e korisniÄko ime i Å¡ifra. Zainteresirani koji to provale, mogu nesmetano koristiti sve ostale Google usluge i vrlo lako preuzeti vaÅ¡ identitet. RjeÅ¡enje: Koristite Google Dashboard kako bi vidjeli koje toÄno informacije dijelite i prilagodite postavke shodno svom strahu od vlade i internetskih zlikovaca. OjaÄajte svoju Å¡ifru i mijenjajte je svako malo, a u sluÄaju da vam je hakiran ili ukraden raÄun, moguće je putem Googleove account recovery usluge vratiti ga. Pored toga, nije loÅ¡e rizik umanjiti koriÅ¡tenjem nekoliko razliÄitih davatelja ovakvih usluga.
Sljedeća neugodna istina je da sigurnosni softver nije toliko siguran koliko ljudi misle. StruÄnjaci kažu kako antivirusni softver i ostali oblici softverske zaÅ¡tite zapravo ‘uhvate’ samo one manje prijetnje. Sve veći broj greÅ¡aka i rupa kod inicijalnog puÅ¡tanja softvera u optjecaj, u kombinaciji sa sporom reakcijom proizvoÄ‘aÄa i davatelja usluga, znaÄi da i najbolji i najažuriraniji sigurnosni programi zaostaju za internetskim zlikovcima. RjeÅ¡enje: Bez sigurnosnog softvera se jednostavno ne može, ali je uputno zato poduzeti dodatne korake za zaÅ¡titu, poput Äuvanja podataka na Å¡ifriranim diskovima i instaliranja VMwarea, ili sliÄnog softvera koji omogućuje stvaranje virtualnih strojeva i bacanje istih ako postanu inficirani.
Komunikacija putem web kamera postala je u posljednje vrijeme iznimno popularna, ali je i vrlo nesigurna. SluÄajeva u kojima se na daljinu pali web kamera bez vlasnikovog znanja ili dopuÅ¡tenja je bezbroj. Kao i gotovo sve u svijetu informatike, preuzimanje kontrole nad neÄijom kamerom priliÄno je lak posao za nekog tko zna Å¡to radi, no, srećom, i rijeÅ¡enje je jednostavno. RjeÅ¡enje: Ako imate eksternu kameru iÅ¡tekajte je kad je ne koristite. Ako je pak, ugraÄ‘ena, Å¡to je Äest sluÄaj s laptopima, jednostavno prekrijte leću.
Vjerojatno najvažnija Äinjenica koju svi informatiÄki osvijeÅ¡teni ljudi trebaju imati u vidu je da ‘internet nikad ne zaboravlja’. Neugodnost na ulici ili općenito u stvarnom životu lako se, i relativno brzo može zabo-raviti, no s internetom je priÄa neÅ¡to drugaÄija. Stvari koje ste pisali u mailovima, objavljivali na druÅ¡tvenim mrežama ili radili na kameri mogu ostati zauvijek negdje zabilježene i progoniti vas ostatak života. Naime, premjeÅ¡tanjem velike koliÄine podataka s tvrdih diskova korisnika na internetski oblak, dakle na servere negdje tamo daleko, korisnik je izgubio mogućnost nadzora nad njima. RjeÅ¡enje: Vrlo interesantno, nalik Å¡pijunskim parodijama. Softver imena Vanish ugraÄ‘uje mehanizam za samouniÅ¡tenje u podatke. Iako je softver joÅ¡ u testnoj fazi, moguće je skinuti open-source Firefox plug-in na internetu.
Naravno ovo je tek manji dio istina o tehnologiji, ali zato dovoljno indikativan za svakog tko vodi viÅ¡e raÄuna o svojoj privatnosti u tehnoloÅ¡kom dobu. S druge strane, tolika izloženost tehnologiji znaÄi i da Äovjek usprkos mogućim mjerama opreza nikada zapravo ne može biti zaÅ¡tićen u potpunosti od zloporaba. Ipak, voÄ‘enje raÄuna može pomoći smanjivanju neugodnosti i opasnosti. (Vanja Figenwald)
5.4.2010 09:15