» »

Slovenska javna uprava je od kitajcev kupila okužene USB ključe

Slovenska javna uprava je od kitajcev kupila okužene USB ključe

«
1
2

OutOfTheBox ::

Na uradu za informacijsko varnost so bili 3. junija obveščeni o sumljivo okuženih novih USB ključkih v javni upravi. Protivirusni program je na njih zaznal starejšo različico črva, ki ob priklopu "naj sicer ne bi sprožil škodljivih aktivnosti". Ob zagonu naj bi program del ključka izbrisal, zato ne bi več širil okužbe.


Kako je sploh mogoče da pride do tega? A to naši nimajo nobenih protokolov od kje naročajo strojno opremo za računalnike ki upravljajo z našimi podatki?

For fucks sake, sej to se ne gre za domač računalnik ampak za sisteme, kjer se potencialno hranijo naši podatki. In ja.. antivirus je zaznal okužbo.. vprašanje a to pri vseh računalnikih ki so bili v stiku z okuženimi ključi? Kaj pa če ni bil edini virus gor, ki ga antivirus ni zaznal in so se drugi lahko zmuznili skoz.

Skratka v najbolj črnem scenariju so naši podatki že na Kitajskem in še bolj črnem v Rusiji.

Link do novice.

Scaramouche3 ::

Vsak ki je bolj sposoben v IT, gre v privat vode..

dronyx ::

Ti USB ključki se naročajo v okviru pogodbe za razni pisarniški material, torej svinčnike, papir in podobno. Piše da si bo direktor firme drug teden vzel čas in pojasnil, kje je te ključke dobil. ;)

delavec44 ::

Hmm, pri nas so USBji na mašinah onemogočeni in rabiš posebne pravice.

Ti ključki so pa sigurno narejeni tako, da antivirus false payload zazna in zbriše, primary payload se pa vmes lepo naloži.

Samael ::

To nima nobene veze z IT-jem. V resnici je zadeva precej bolj preprosta, pri čemer ne gre za nobeno tehnološko "big secret bla bla IT" zadevo, nad katero bi bil ne vem kakšen nadzor, ampak za navadno krovno pogodbo, ki jo sklene neko ministrstvo preko javnih razpisov z nekim slovenskim trgovcem, distributerjem za pisarniški material.
In tako vsaka tajnica oz. kdorkoli je skrbnik te pogodbe v vsaki ustanovi, uradu, čemurkoli pod tem ministrstvom, naroči recimo tonerje, papir, lepilo, USB ključke, mape, pisala...
Skratka, kar želim povedati, to nima nobene veze z IT-jem, politiko varnosti, ampak z navadnim potrošnim materialom, kjer končni naročnik nima nekega konkretnega nadzora nad tem, kaj ti bo trgovec dejansko v nekaj dneh po oddani naročilnici dostavil.

To, kar so poturili njim, so zelo verjetno pri našem sila pomembnem delu kdaj pa kdaj, na kakšni stopnji, poturili marsikomu nam/vam, ker glej, distibuter iz novice je povsem legit https://www.extra-lux.si slovensko podjetje.

USB ključki naj ne bi bili v ustrezni embalaži, prepakirali pa naj bi jih v slovenskem podjetju Extra Lux, smo izvedeli neuradno. V podjetju danes zadeve niso komentirali zaradi službene odsotnosti. Kot nam je sporočil direktor podjetja, bodo "navedeno problematiko" obravnavali v naslednjem tednu.

Vir: https://www.24ur.com/novice/slovenija/o...
Samael != Samuel

misek ::

In zakaj sploh uporabljajo te ključke? Za izmenjavo podatkov? Ni javnega oblaka?

delavec44 ::

Seveda ima veze z IT politiko varnosti. Recimo zakaj so sploh dovoljeni. Že če odmislimo probleme pri varovanju podatkov.

Tudi če so že dovoljeni, bi bila lahko politika, da jih mora prej preveriti (in formatirati) IT.

Zgodovina sprememb…

  • spremenil: delavec44 ()

socialec ::

Zagotovo kakšna zadeva in nas zdaj msm tolažijo, saj ni nič hudega, se zgodi, malenkost, smo rešili, pač in to in ono, da ovce ne beketamo... V resnici pa že reaktorje kurbla podobno kot
It is typically introduced to the target environment via an infected USB flash drive, thus crossing any air gap.

kriptobog ::

Zakaj se sploh se uporablja kljucke? Lani sem delal se na enem projektu za vecjo eu firmo, pa so se lepo navadili, da se vse share-a in deli preko sharepointa/one drivea. So jim celo onemogocili uporabo kljuckov in zunanjih diskov.

Samael ::

delavec44 je izjavil:

Seveda ima veze z IT politiko varnosti. Recimo zakaj so sploh dovoljeni. Že če odmislimo probleme pri varovanju podatkov.

Tudi če so že dovoljeni, bi bila lahko politika, da jih mora prej preveriti (in formatirati) IT.


Kakor pri komu. Nam so recimo pred leti ob migraciji na DRO predlagali, da si varnostne kopije naredimo tudi sami (v smislu, saj ni treba, ampak ziher je ziher ...). Ključke smo imeli možnost prevzeti pri tajnici.
Saj tega dandanes ni ne vem koliko v uporabi, je pa tu in tam kakšen use case, ki ga ti ali jaz ne poznava, ker pač ne poznava specifik vseh področij dela, kjer ga je smiselno imeti na voljo.
Glede formatiranja pa tako - ponovno: to niso IT-jevci. Ti in jaz že veva, kako in kaj, neka tajnica, vzgojiteljica, to, ono, tretje, ki ni v tem, bo pa pač uporabil to, kar v službi dobi.
Ljudje čisto precenjujete življenje izven svojega mehurčka, brez najmanjšega smisla za realnost. Dvajset let ni nihče komentiral teh ključkov, ki jih uporabljate tudi sami, danes boste pa vsi pametni, kaj vse bi bilo treba :)
Aja, pa da se razumema, tudi pri meni je formatiranje prvo ob vstavitvi novega ključka, zunanjega diska, itd. sem pa dovolj realističen, da vem, da bo večina iz non-IT sektorja preprosto uporabila, kar jim je ob ostalem pisarniškem materialu v službi predano.
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

socialec ::

V bistvu bi morali eksemplarično kaznovati, odpustiti in vreči v ječo vse, ki za službene potrebe še vedno uporabljajo inu spodbujajo usb ključke, od uporabnika, osebe, ki je predala, in do direktorja na vseh nivojih, ker gre za varnostno in organizacijsko šibek člen, da lahko pride do ogromne materialne in zdravstvene škode - se spomnite stuxneta, duuuh?

Zgodovina sprememb…

  • spremenilo: socialec ()

PacificBlue ::

Pri nas na firmi imamo onemogoceno uporabo usb kljuckov.
Vse se dela preko fileserverja.
I’m out.
:3

Ales ::

OutOfTheBox je izjavil:

Skratka v najbolj črnem scenariju so naši podatki že na Kitajskem in še bolj črnem v Rusiji.

Ah no, v javnosti se trenutno ne ve niti čigava operacija je to, kakšen je njen namen, niti kdo je sploh bil tarča, če sploh kdo (ali pa je vse skupaj mišljeno, da pač kogar uspejo zadeti). Nič se pravzaprav ne ve, po čemer bi lahko karkoli konkretnega domnevali.

d4vid ::

Samael je izjavil:

To nima nobene veze z IT-jem. V resnici je zadeva precej bolj preprosta, pri čemer ne gre za nobeno tehnološko "big secret bla bla IT" zadevo, nad katero bi bil ne vem kakšen nadzor, ampak za navadno krovno pogodbo, ki jo sklene neko ministrstvo preko javnih razpisov z nekim slovenskim trgovcem, distributerjem za pisarniški material.
In tako vsaka tajnica oz. kdorkoli je skrbnik te pogodbe v vsaki ustanovi, uradu, čemurkoli pod tem ministrstvom, naroči recimo tonerje, papir, lepilo, USB ključke, mape, pisala...
Skratka, kar želim povedati, to nima nobene veze z IT-jem, politiko varnosti, ampak z navadnim potrošnim materialom, kjer končni naročnik nima nekega konkretnega nadzora nad tem, kaj ti bo trgovec dejansko v nekaj dneh po oddani naročilnici dostavil.

To, kar so poturili njim, so zelo verjetno pri našem sila pomembnem delu kdaj pa kdaj, na kakšni stopnji, poturili marsikomu nam/vam, ker glej, distibuter iz novice je povsem legit https://www.extra-lux.si slovensko podjetje.

USB ključki naj ne bi bili v ustrezni embalaži, prepakirali pa naj bi jih v slovenskem podjetju Extra Lux, smo izvedeli neuradno. V podjetju danes zadeve niso komentirali zaradi službene odsotnosti. Kot nam je sporočil direktor podjetja, bodo "navedeno problematiko" obravnavali v naslednjem tednu.

Vir: https://www.24ur.com/novice/slovenija/o...


Extralux pa najbrž, kot tudi najbrž ostali, uvažajo te ključke iz kitajske. Tajnica pa naroči "USB ključek 32GB" in dobijo okužene ključke. Če bi naročili Sandisk, Kingston,... bi dobili ključke brez virusa.

Sem delal že nekaj let nazaj v skladišču v firmi, ki dobavlja pisarniški material firmam. Imajo tudi USB ključe, miške in podobno in sem si vzel en budget ključek takrat, neka lastna firma, kot v sparu s-budget. Nisem dobil virusa, sem dobil pa USB, iz katerega nisem mogel naložit Windowsa. Sredi inštalacije je vrgel neko napako, če je do inštalacije sploh prišlo.
Main PC: HP Z240 | i5-7400 | 32 GB ram
Homelab: HP DL380g9 | Xeon E5-2680 | 192 GB ram

OutOfTheBox ::

Fino bi blo vedet od kje Extra Lux dobi te USB ključe. Si predstavljaš da jih naročujejo na Aliexpress oz. podobnih straneh in dilajo naprej za maksimalen dobiček.

OutOfTheBox ::

USB ključki naj ne bi bili v ustrezni embalaži, prepakirali pa naj bi jih v slovenskem podjetju Extra Lux, smo izvedeli neuradno.


Tega ne razumem. Zakaj moraš USB ključ "prepakirati"? Kot je nekdo napisal.. če kupiš San Disk ali podobnega, ga že dobiš v uni embalaži k moraš met fleksarco da jo sploh odpreš.

socialec ::

Verjetno jih dobijo še ceneje preko alibabe grosistično, aliexpress je za mikronaročila, sam strošek hardwarea je navadno daleč najmanjši. No, ne v deželi socialcev...

Prepakirajo za slovenske napise, ker v JS se ne piše in ne govori v drugih jezikih in ni kitajskih pismenk na embalaži, očitno, duuh, da je kakor več sforsiranega zaupanja med uporabniki/raznašalci, ker dvom je v RS, če ne kar EU, kaznjiv.

Samael ::

d4vid je izjavil:

Samael je izjavil:

To nima nobene veze z IT-jem. V resnici je zadeva precej bolj preprosta, pri čemer ne gre za nobeno tehnološko "big secret bla bla IT" zadevo, nad katero bi bil ne vem kakšen nadzor, ampak za navadno krovno pogodbo, ki jo sklene neko ministrstvo preko javnih razpisov z nekim slovenskim trgovcem, distributerjem za pisarniški material.
In tako vsaka tajnica oz. kdorkoli je skrbnik te pogodbe v vsaki ustanovi, uradu, čemurkoli pod tem ministrstvom, naroči recimo tonerje, papir, lepilo, USB ključke, mape, pisala...
Skratka, kar želim povedati, to nima nobene veze z IT-jem, politiko varnosti, ampak z navadnim potrošnim materialom, kjer končni naročnik nima nekega konkretnega nadzora nad tem, kaj ti bo trgovec dejansko v nekaj dneh po oddani naročilnici dostavil.

To, kar so poturili njim, so zelo verjetno pri našem sila pomembnem delu kdaj pa kdaj, na kakšni stopnji, poturili marsikomu nam/vam, ker glej, distibuter iz novice je povsem legit https://www.extra-lux.si slovensko podjetje.

USB ključki naj ne bi bili v ustrezni embalaži, prepakirali pa naj bi jih v slovenskem podjetju Extra Lux, smo izvedeli neuradno. V podjetju danes zadeve niso komentirali zaradi službene odsotnosti. Kot nam je sporočil direktor podjetja, bodo "navedeno problematiko" obravnavali v naslednjem tednu.

Vir: https://www.24ur.com/novice/slovenija/o...


Extralux pa najbrž, kot tudi najbrž ostali, uvažajo te ključke iz kitajske. Tajnica pa naroči "USB ključek 32GB" in dobijo okužene ključke. Če bi naročili Sandisk, Kingston,... bi dobili ključke brez virusa.

Sem delal že nekaj let nazaj v skladišču v firmi, ki dobavlja pisarniški material firmam. Imajo tudi USB ključe, miške in podobno in sem si vzel en budget ključek takrat, neka lastna firma, kot v sparu s-budget. Nisem dobil virusa, sem dobil pa USB, iz katerega nisem mogel naložit Windowsa. Sredi inštalacije je vrgel neko napako, če je do inštalacije sploh prišlo.



Do neke mere se sicer s teboj strinjam, hkrati pa logotip na embalaži in nalepka na artiklu danes žal ne jamčita ničesar. Saj se najbrž še spomniš Snowdenovega razkritja vgrajene NSA vohunske opreme v Cisco ruterjih? Pa kolobocije okoli Huawei-ja, kjer še danes ni povsem jasno, kaj je res in kaj ni.
Je pa to, kar navajaš, predvsem težava javnih razpisov, kjer se pogosto še vedno primarno gleda cena, ne pa kakovost. Tajnica oz. skrbnik pogodbe nekega urada znamke naročenega artikla tu žal ne more izbirati, ker gre za krovno pogodbo na ravni ministrstva.



OutOfTheBox je izjavil:

Fino bi blo vedet od kje Extra Lux dobi te USB ključe. Si predstavljaš da jih naročujejo na Aliexpress oz. podobnih straneh in dilajo naprej za maksimalen dobiček.

Povsem mogoče. Ali pa kako drugače kosovno v OEM obliki brez embalaže.
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

socialec ::

Ja, za operativo se gleda na ceno, da se potem strateško kupuje računalnike in stavbe in obnavlja neke X železniške postaje za 3 potnike na 10 let.

dronyx ::

OutOfTheBox je izjavil:

USB ključki naj ne bi bili v ustrezni embalaži, prepakirali pa naj bi jih v slovenskem podjetju Extra Lux, smo izvedeli neuradno.

Tega ne razumem. Zakaj moraš USB ključ "prepakirati"? Kot je nekdo napisal.. če kupiš San Disk ali podobnega, ga že dobiš v uni embalaži k moraš met fleksarco da jo sploh odpreš.

Praktično pol slovenske ekonomije temelji na prepakiranju in veliko jih dobro živi od tega. Saj so skoraj vsi neki posredniki, uvozniki, export -import, ki prekladajo pakete.

garrv ::

 He's an importer-exporter, allright

He's an importer-exporter, allright

garrv ::

"Škodljiva programska koda pa je prisotna na delu ključka." WTF, kakšnem delu? V jetrih, pod lopatico ali na venerinem gričku? Ne spoznam se na cyber safety, samo po moje če daš tak flash drive v port, je to to.

starfotr ::

Samael je izjavil:

To nima nobene veze z IT-jem. V resnici je zadeva precej bolj preprosta, pri čemer ne gre za nobeno tehnološko "big secret bla bla IT" zadevo, nad katero bi bil ne vem kakšen nadzor, ampak za navadno krovno pogodbo, ki jo sklene neko ministrstvo preko javnih razpisov z nekim slovenskim trgovcem, distributerjem za pisarniški material.
In tako vsaka tajnica oz. kdorkoli je skrbnik te pogodbe v vsaki ustanovi, uradu, čemurkoli pod tem ministrstvom, naroči recimo tonerje, papir, lepilo, USB ključke, mape, pisala...
Skratka, kar želim povedati, to nima nobene veze z IT-jem, politiko varnosti, ampak z navadnim potrošnim materialom, kjer končni naročnik nima nekega konkretnega nadzora nad tem, kaj ti bo trgovec dejansko v nekaj dneh po oddani naročilnici dostavil.

To, kar so poturili njim, so zelo verjetno pri našem sila pomembnem delu kdaj pa kdaj, na kakšni stopnji, poturili marsikomu nam/vam, ker glej, distibuter iz novice je povsem legit https://www.extra-lux.si slovensko podjetje.

USB ključki naj ne bi bili v ustrezni embalaži, prepakirali pa naj bi jih v slovenskem podjetju Extra Lux, smo izvedeli neuradno. V podjetju danes zadeve niso komentirali zaradi službene odsotnosti. Kot nam je sporočil direktor podjetja, bodo "navedeno problematiko" obravnavali v naslednjem tednu.

Vir: https://www.24ur.com/novice/slovenija/o...


Bolj kot to se je bati korupcije. Marjan Dermastja še kar prodaja državi.
https://old.delo.si/gospodarstvo/makrom...

Vsak pameten mu ne bi nikoli več dovolil poslovat z državo. Kaka banana republika smo mi.

_Denny_ ::

> Slovenska javna uprava je od kitajcev kupila okužene USB ključe

Nič novega, ker hudo pametni ljudje pri razpisih gledajo samo na najnižjo ceno in nič drugega. Verjetno so bili nekaj centov po komadu cenejši od priznanih znamk, poleg tega pa so še z nakupom podpirali "plod domačega znanja" slovenske firme.

Podobno je bilo leta 2006 ali 2007, ko so na informativnih dnevih na FERI-ju, eni izmed redkih ustanov kjer se kaj takega sploh ne bi smelo zgoditi, delili fake USB ključke. Si je sošolec to kar dobro zapomnil pri uporabi le-tega za projektno nalogo 4. predmeta mature, ko mu malo pred zagovorom več kot pol fajlov ni delalo (seveda ni imel backupa).
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 5080 16GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400

garrv ::

Novica na rtvslo: "Na ključkih je sicer star, strokovnjakom dobro poznan črv, ki se danes prodaja na črnem spletu. Kljub starosti pa lahko ob neukrepanju pomeni veliko grožnjo."

https://www.youtube.com/shorts/YJCxJPU6...

delavec44 ::

_Denny_ je izjavil:


Podobno je bilo leta 2006 ali 2007, ko so na informativnih dnevih na FERI-ju, eni izmed redkih ustanov kjer se kaj takega sploh ne bi smelo zgoditi, delili fake USB ključke. Si je sošolec to kar dobro zapomnil pri uporabi le-tega za projektno nalogo 4. predmeta mature, ko mu malo pred zagovorom več kot pol fajlov ni delalo (seveda ni imel backupa).


Še srečo so imeli, da niso dobili tole https://usbkill.com/

Jarno ::

Na znamko ključkov in morebitno garancijo se, kot vedno, vsi vpleteni požvižgajo. Pri količini se 2€ na kom. pozna, ane?
Chuck Norris je med števili 0.999... in 1 uspel vriniti konstanto imenovano CN.
#65W!

Vice ::

kriptobog je izjavil:

Zakaj se sploh se uporablja kljucke? Lani sem delal se na enem projektu za vecjo eu firmo, pa so se lepo navadili, da se vse share-a in deli preko sharepointa/one drivea. So jim celo onemogocili uporabo kljuckov in zunanjih diskov.


Ni nič narobe uporabljati ključke v omejenem obsegu pod določenimi pravili. V javni upravi je to žal težko doseči. Ne poznam pa nobene EU države, ki bi za kritično infrastrukturo v sklopu kibernetske varnosti, dovolila uporabo oblačnih storitev. Prav tako vsako resno podjetje, tukaj in v EU, ki razpolaga z občutljivimi poslovnimi podatki prepoveduje uporabo oblačnih storitev. Ni nič nenavadnega, da določena od MS zahtevajo lokaliziran datacenter za uporabo 386. Bolj je vprašanje kako to, da danes javna uprava še vedno ne uporablja lastne "oblačne" infrastukture...

_Denny_ je izjavil:

> Slovenska javna uprava je od kitajcev kupila okužene USB ključe


Ključkov niso kupili od kitajcev temveč od slovenskega podjetja. Kako pa so razpolagali z njimi je pa drugo.

Zgodovina sprememb…

  • spremenilo: Vice ()

forplan ::

HaHa klasika. Kupovali smo najcenejše kitajske USB na kilo. PLačali so pa ziher kot za top shit brand kvaliteten usb...

Prav zanimivo bi bilo videti pogodbo. Zna kdo najti?
da se strinjam

Vice ::

forplan je izjavil:

HaHa klasika. Kupovali smo najcenejše kitajske USB na kilo. PLačali so pa ziher kot za top shit brand kvaliteten usb...

Prav zanimivo bi bilo videti pogodbo. Zna kdo najti?


Če je bil razpis imaš na javnih naročilih.

Samael ::

Vice je izjavil:

Bolj je vprašanje kako to, da danes javna uprava še vedno ne uporablja lastne "oblačne" infrastukture...


Pa saj večji del jo. DRO.
Večji sem zapisal zato, ker ne vem če so nanj migrirale že vse službe in uradi.



Državni računalniški oblak (DRO) predstavlja računalniško infrastrukturo za neposredne proračunske uporabnike in jim nudi shranjevalne, razvojne, poslovne in druge zmogljivosti v obliki storitev ter možnost, da z uporabo koncepta računalništva v oblaku hitro dosežejo svoje poslovne cilje. Infrastruktura je v lasti in upravljanju države, na njej se izvajajo storitve, ki uporabljajo občutljive, osebne in druge podatke in informacije, ki jih država ne želi shranjevati izven svojega okolja.
DRO je logična celota podporne infrastrukture ter strojne in računalniške programske opreme. Obsega npr. sisteme UPS, strežniške rezine, različne diskovne sisteme, dostopovne terminale, različne virtualizacijske platforme, operacijske sisteme, lastniško in odprtokodno programsko opremo, nadzorne sisteme, upravljavske sisteme, strojno in programsko definirane mrežne komponente itd. Temelj računalniškega oblaka DRO je virtualizacija strojnih virov, ki so razporejeni v tri logične skupine (podatkovne centre) na dveh lokacijah (Ljubljana, Maribor): PDC (LJ), SP3 (LJ) in NIC (MB).
V DRO so pripravljene ali v pripravi storitve za zelo različna področja. Za notranje potrebe so bile izdelane infrastrukturne storitve IaaS (Infrastructure as a Service), delno tudi celotna računalniška okolja PaaS (Platform as a Service), slednja pa se skupaj s programsko opremo za končne uporabnike SaaS (Software as a Service) uvrščajo tudi v splošni del kataloga storitev. DRO tako ponuja npr. storitev centralne elektronske pošte, storitev hrambe elektronskih dokumentov, storitev centralnega varnostnega kopiranja, storitev univerzalne hrambe objektov (dokumentov, zadev, multimedijskih datotek), skupne gradnike (Varnostna shema, SI-CAS, SI-CES, Pladenj, IO-modul, Piwik, iskalnik, elektronski podpis, časovno žigosanje, elektronsko vročanje, spletno odložišče velikih datotek, storitveno vodilo), gostovanja informacijskih sistemov in spletnih predstavitvenih mest itn. vključno s storitvami s področja informacijske varnosti.


https://nio.gov.si/products/drzavni%2Br...
https://www.gov.si/teme/informatika-v-d...
Samael != Samuel

Legon ::

Predvsem so pomilovanja vredni komentarjibo tem da bi morali kupit scandisk, Kingstone... ker seved ce bi to naredili bi taisti kekci kricali kaka korupcija je to, da se preferira specificnega proizvajalca.

Vice ::

Samael je izjavil:

Vice je izjavil:

Bolj je vprašanje kako to, da danes javna uprava še vedno ne uporablja lastne "oblačne" infrastukture...


Pa saj večji del jo. DRO.
Večji sem zapisal zato, ker ne vem če so nanj migrirale že vse službe in uradi.



Državni računalniški oblak (DRO) predstavlja računalniško infrastrukturo za neposredne proračunske uporabnike in jim nudi shranjevalne, razvojne, poslovne in druge zmogljivosti v obliki storitev ter možnost, da z uporabo koncepta računalništva v oblaku hitro dosežejo svoje poslovne cilje. Infrastruktura je v lasti in upravljanju države, na njej se izvajajo storitve, ki uporabljajo občutljive, osebne in druge podatke in informacije, ki jih država ne želi shranjevati izven svojega okolja.
DRO je logična celota podporne infrastrukture ter strojne in računalniške programske opreme. Obsega npr. sisteme UPS, strežniške rezine, različne diskovne sisteme, dostopovne terminale, različne virtualizacijske platforme, operacijske sisteme, lastniško in odprtokodno programsko opremo, nadzorne sisteme, upravljavske sisteme, strojno in programsko definirane mrežne komponente itd. Temelj računalniškega oblaka DRO je virtualizacija strojnih virov, ki so razporejeni v tri logične skupine (podatkovne centre) na dveh lokacijah (Ljubljana, Maribor): PDC (LJ), SP3 (LJ) in NIC (MB).
V DRO so pripravljene ali v pripravi storitve za zelo različna področja. Za notranje potrebe so bile izdelane infrastrukturne storitve IaaS (Infrastructure as a Service), delno tudi celotna računalniška okolja PaaS (Platform as a Service), slednja pa se skupaj s programsko opremo za končne uporabnike SaaS (Software as a Service) uvrščajo tudi v splošni del kataloga storitev. DRO tako ponuja npr. storitev centralne elektronske pošte, storitev hrambe elektronskih dokumentov, storitev centralnega varnostnega kopiranja, storitev univerzalne hrambe objektov (dokumentov, zadev, multimedijskih datotek), skupne gradnike (Varnostna shema, SI-CAS, SI-CES, Pladenj, IO-modul, Piwik, iskalnik, elektronski podpis, časovno žigosanje, elektronsko vročanje, spletno odložišče velikih datotek, storitveno vodilo), gostovanja informacijskih sistemov in spletnih predstavitvenih mest itn. vključno s storitvami s področja informacijske varnosti.


https://nio.gov.si/products/drzavni%2Br...
https://www.gov.si/teme/informatika-v-d...


Poznam to vendar je v omejeni uporabi in večina niti ne ve da obstaja. In kot mi je znano se ne uporablja kot nek klasični file share, ki bi bil omejen na določen segment...

Jarno ::

Legon je izjavil:

Predvsem so pomilovanja vredni komentarjibo tem da bi morali kupit scandisk, Kingstone... ker seved ce bi to naredili bi taisti kekci kricali kaka korupcija je to, da se preferira specificnega proizvajalca.


Tudi ta komentar je pomilovanja vreden. Gnojnica se zliva na dogovor med tistimi, ki izbirajo posrednika in na posrednika, ne pa na neko tujo tvrdko, za katero je vse skupaj neka zanemarljiva statistika.

Tudi smučarski skakalci bi "Slatnar" in ne neko no-name-ali-express-china-lesene smuči. Z razlogom.
Chuck Norris je med števili 0.999... in 1 uspel vriniti konstanto imenovano CN.
#65W!

Zgodovina sprememb…

  • spremenil: Jarno ()

Samael ::

Vice je izjavil:

In kot mi je znano se ne uporablja kot nek klasični file share, ki bi bil omejen na določen segment...


Se, se.
Približno dve leti nazaj se je na DRO preselil celoten URSIKS. Določene direktorije si med seboj delijo najbližji sodelavci, določene cel sektor, nekatere (mape, disk... kakorkoli pač že rečeš temu) celoten urad itd. Skratka, precej klasičen oblak v tem smislu.
Samael != Samuel

DeeJay ::

tuki se ne gre za nakup svinčnikov, ampak za nakup izdelka, ki potencialno lahko ogrozi delovanje države. Prav zato bi moral nakup teh izdelkov iti preko usposobljenega kadra, ki bi moral tudi preverit, če je produkt dejansko varen za uporabo.
Za tole težko blamažo bi mogl na ministrstvu letet vsi odgovorni, sam itak vemo, da se to nikol ne bo zgodil. Tale LUX bi mogu pa vrnt denar, vzet nazaj in uničit vse klučke do zadnjega ter plačat vse strokovne ure ITjovcev, k se zdej jebejo s to situacijo. Samo na tak način bi mogoče še kdaj dobil novo pogodbo z državo.
(sanja svinja kukuruz)
Don't f with me.

Zgodovina sprememb…

  • spremenil: DeeJay ()

Samael ::

Ko gre za javni razpis, se izbira ponudnika storitev ali izdelkov, ne pa nujno točno določenega izdelka po znamki, na primer svinčnik, škarje, usb ključek... točno te in te znamke.
Če se objavi javni razpis za nakup pisarniškega materiala, se bo običajno izbralo podjetje, ki ponuja najbolj ugodne pogoje (napr. cena, roki, kakovost... - ja vem, kaj si boš zdaj ob tem failu mislil glede ključkov, jaz si tudi :-), ne pa nujno takega, ki bo dostavil točno svinčnike znamke Staedtler. Lahko dostavi drugo znamko, dokler ta ustreza določenim minimalnim tehničnim specifikacijam.

Lahko so sicer postavljeni osnovni pogoji, ki jih morajo izdelki izpolnjevati, a ni vedno prav smiselno vnaprej predpisati čisto vseh podrobnosti, kot je npr. točna znamka svinčnika, da se prepreči favoriziranje določenih blagovnih znamk in omogoči poštena konkurenca med ponudniki. Pa tudi roko na srce, kaj pa če se točno določene znamke ne da več dobiti? Aneks na aneks vsakih par tednov?
Zgodi se tudi, da za kakšno stvar preprosto ni interesa med trgovci, zato ponavljaš razpis za razpisom. Ali pa se razmere na trgu tako spremenijo, da dobavitelj odstopi od pogodbe, ker se mu enostavno ne izplača, pa spet ponavljaš razpis za razpisom, medtem pa ljudje potrebujejo material za delo...
Samael != Samuel

_Denny_ ::

Saj ne rabijo navajati točno določene znamke, lahko pa bi brez problema dali pogoja "hitrost pisanja vsaj 50MB/s" in "garancija vsaj 5 let". Vse te zanič in fake zadeve imajo write pod 20MB/s, pohlepna firma, ki zaradi kar se da največjega dobička uvaža cele kontejnerje 1€/kom ključkov z namenom prodaje po 5€+ pa tudi ne bo nudila tako dolge garancije čeravno je dobiš toliko že pri najcenejših ključkih priznanih znamk. Seveda je ne bi noben uveljavljal (niti ne vem, če sploh velja v taki situaciji), je pa vseeno lahko kot pogoj razpisa.
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 5080 16GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400

Vice ::

Samael je izjavil:

Vice je izjavil:

In kot mi je znano se ne uporablja kot nek klasični file share, ki bi bil omejen na določen segment...


Se, se.
Približno dve leti nazaj se je na DRO preselil celoten URSIKS. Določene direktorije si med seboj delijo najbližji sodelavci, določene cel sektor, nekatere (mape, disk... kakorkoli pač že rečeš temu) celoten urad itd. Skratka, precej klasičen oblak v tem smislu.


Potem pa super, je bil že čas da po vseh teh letih se začne v eno smer premikat. Bom vprašal fante na URSIKS kako se obnese.

Ales ::

_Denny_ je izjavil:

Saj ne rabijo navajati točno določene znamke, lahko pa bi brez problema dali pogoja ...

Kaj pa so napisali v razpis? Kakšne specifikacije imajo in pod kakimi pogoji so kupljeni ti ključi? Zagotovo veš. ;)

delavec44 ::

Ales je izjavil:

_Denny_ je izjavil:

Saj ne rabijo navajati točno določene znamke, lahko pa bi brez problema dali pogoja ...

Kaj pa so napisali v razpis? Kakšne specifikacije imajo in pod kakimi pogoji so kupljeni ti ključi? Zagotovo veš. ;)


Kaj pa če bi dali v pogoje, da ne smejo vsebovati zlonamerne kode?
Dejansko pa to ne bi smeli nabavljati pod pisarniškim materialom kot so včasih CDje.

Pa noben mi ni še odgovoril zakaj se ti ključi sploh uporabljajo. Veliko primerov je že bilo, ko so bili na izgubljenih ali odtujenih ključih osebni ali občutljivi podatki.

Legon ::

_Denny_ je izjavil:

Saj ne rabijo navajati točno določene znamke, lahko pa bi brez problema dali pogoja "hitrost pisanja vsaj 50MB/s" in "garancija vsaj 5 let". Vse te zanič in fake zadeve imajo write pod 20MB/s, pohlepna firma, ki zaradi kar se da največjega dobička uvaža cele kontejnerje 1€/kom ključkov z namenom prodaje po 5€+ pa tudi ne bo nudila tako dolge garancije čeravno je dobiš toliko že pri najcenejših ključkih priznanih znamk. Seveda je ne bi noben uveljavljal (niti ne vem, če sploh velja v taki situaciji), je pa vseeno lahko kot pogoj razpisa.

A ce je hitrost pisanja 50 mb/s potem na tak kljucek ni mogoce namestit zlonamerne programske opreme? Dobro vedet...

delavec44 je izjavil:

Ales je izjavil:

_Denny_ je izjavil:

Saj ne rabijo navajati točno določene znamke, lahko pa bi brez problema dali pogoja ...

Kaj pa so napisali v razpis? Kakšne specifikacije imajo in pod kakimi pogoji so kupljeni ti ključi? Zagotovo veš. ;)


Kaj pa če bi dali v pogoje, da ne smejo vsebovati zlonamerne kode?
Dejansko pa to ne bi smeli nabavljati pod pisarniškim materialom kot so včasih CDje.

Pa noben mi ni še odgovoril zakaj se ti ključi sploh uporabljajo. Veliko primerov je že bilo, ko so bili na izgubljenih ali odtujenih ključih osebni ali občutljivi podatki.

Znas konkretizirat kdaj so se pri nas izgubili ali odtujili obcutljivi in osebni podatki na usb kljuckih? Gkede na to da je veliko primerov, sem preprican da jih bos 10-20 stresel iz rokava. Tolk da se je lazje pogovarjat.

Zgodovina sprememb…

  • spremenilo: Legon ()

delavec44 ::

Nisem nikjer napisal v Sloveniji (zakaj vedno napačno sklepaš?). Je povsem dovoljšno opozorilo, da se to dogaja po svetu. Se pa seveda to dogaja tudi pri nas (zaenkrat na srečo brez večjih posledic).

1. Izguba USB ključka z osebnimi podatki prebivalcev
Datum incidenta: Oktobra 2024
Kaj se je zgodilo: Zunanji sodelavec mestne uprave je po službi odšel na pijačo in izgubil USB ključek, ki je vseboval osebne podatke vseh prebivalcev mesta.
Podatki na ključku: Osebni podatki vseh prebivalcev mesta.
Varnostni ukrepi: Podatki so bili šifrirani in zaščiteni z geslom.
Posledice: Mestne oblasti so se opravičile prebivalcem in poudarile pomen varovanja osebnih podatkov.

2. Izguba USB ključka z zdravstvenimi podatki pacientov
Datum incidenta: Ni natančno določen, primer je opisan kot pogost v zdravstvenem sektorju.
Kaj se je zgodilo: Zdravstveni delavec je izgubil USB ključek, ki je vseboval osebne podatke pacientov.
Podatki na ključku: Osebni podatki pacientov, vključno z zdravstvenimi informacijami.
Varnostni ukrepi: Podatki niso ušli izven organizacije, zato obveščanje posameznikov ni bilo potrebno.
Posledice: Incident je bil prijavljen in obravnavan v skladu z notranjimi protokoli.

Nekaj primerov iz tujine:
- HMRC (Velika Britanija, 2007) - Dva nešifrirana CD-ja z osebnimi in finančnimi podatki 25 milijonov prejemnikov otroških dodatkov sta bila izgubljena med pošiljanjem, kar je povzročilo velik politični škandal in odstop direktorja.

- National Offender Management Service (VB, 2008) - Izgubljen nešifriran USB ključ z osebnimi podatki 84.000 zapornikov (imena, naslovi, datumi rojstva, datumi izpustitve).

- St. Vincent's Hospital (Avstralija, 2009) - USB ključ brez zaščite z občutljivimi podatki 200 HIV pacientov je bil izgubljen, kar je sprožilo resne skrbi glede zasebnosti.

- Japonsko ministrstvo za zdravje (2013) - Uradnik je izgubil nešifriran USB ključ z osebnimi in zdravstvenimi podatki 100.000 prosilcev za pomoč.

- City of Calgary (Kanada, 2016) - Zaposleni je izgubil USB ključ z nešifriranimi osebnimi podatki 3.700 zaposlenih, vključno s številkami socialnega zavarovanja in podatki o plačah.

- Heathrow Airport (VB, 2017) - USB ključ z 2,5 GB nešifriranih varnostnih podatkov (CCTV, vhodi, VIP protokoli) je bil najden na ulici, kar je povzročilo resne varnostne skrbi.

- Bank of Ireland (2019) - Izgubljen USB ključ z zaupno notranjo pošto in morebitnimi podatki o strankah je sprožil pritožbo pri nadzornem organu za varstvo podatkov.

Legon ::

Zakaj slovenija? Ker govorimo o konkretnih zadevi: nakupu in uporabi usb kljuckov v slovenski javni upravi.

Torej smo razcistili, da je veliko primerov zate, dva, pa se to si moral javni sektor vzet zelo na siroko, da si jih nasel.

To je pac tisto brezvezno posplosevanje, zato da se argument slisi kot pomemben, v resnici pa zadeva bizarno majhno stevilo primerov. Na koncu se pa pokaze, da so ubs kljucki ponavadi za kaksna darilca na konferencah ali pa tista ponovoletna za zaposlene, ko dobijo svincnik, koledar in usb kljucek.

Zgodovina sprememb…

  • spremenilo: Legon ()

delavec44 ::

Čudno, da si tak zagovornik varnosti, ko gre za sms potrjevanje, maile, spletne banke, hranjenje gesel. Tu pa zgleda zagovarjaš slabo prakso hranjenja podatkov.


"Torej smo razcistili, da je veliko primerov zate, dva, pa se to si moral javni sektor vzet zelo na siroko, da si jih nasel."

Če greš že notri z napačno predpostavko, da sem kje napisal Slovenija ali javni sektor, potem je tudi zaključek lahko tako napačen. Isto kot če bi rekel, ker je tema o nesreči Mercedeza, potem pa nesreče drugih znamk avtomobilov v istih okoliščinah niso več relevantne.

Zgodovina sprememb…

  • spremenil: delavec44 ()

_Denny_ ::

Legon je izjavil:

_Denny_ je izjavil:

Saj ne rabijo navajati točno določene znamke, lahko pa bi brez problema dali pogoja "hitrost pisanja vsaj 50MB/s" in "garancija vsaj 5 let". Vse te zanič in fake zadeve imajo write pod 20MB/s, pohlepna firma, ki zaradi kar se da največjega dobička uvaža cele kontejnerje 1€/kom ključkov z namenom prodaje po 5€+ pa tudi ne bo nudila tako dolge garancije čeravno je dobiš toliko že pri najcenejših ključkih priznanih znamk. Seveda je ne bi noben uveljavljal (niti ne vem, če sploh velja v taki situaciji), je pa vseeno lahko kot pogoj razpisa.

A ce je hitrost pisanja 50 mb/s potem na tak kljucek ni mogoce namestit zlonamerne programske opreme? Dobro vedet...

Ne, je pa dosti manjša verjetnost, da jo boš našel na v originalno plastiko zapečenem Kingstonu, Sandisku, Transcendu, ipd. Isto kot bi se pri obisku Indije prej zastrupil s hrano nekega naključnega uličnega prodajalca kot pa v Mc Donaldsu.

V ST članku imaš sliko enega izmed teh ključkov, ki ga z lahkoto najdeš na Aliexpressu med prvimi 10 rezultati pri iskanju "usb flash drive" po razporeditvi po najnižji ceni in pa na Alibabi po 30c pri naročilih čez 10 kom. Je tudi USB 2.0 (črna plastika pri portu), tako da se z zgoraj omenjenim write speed pogojem izogneš vsem tem čungalunga zadevam, ki svojo nizko nabavno ceno subvencionirajo z dodanimi "darili". V razpis itak veš, da so dali samo najnižjo možno ceno in še mogoče velikost, firma, katere biznis stoji na preprodaji prepakiranih "nabavni ceni dodaj eno ničlo" stvari bo pa na vsak način hotela kar se da največji profit.
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 5080 16GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400

Legon ::

delavec44 je izjavil:

Čudno, da si tak zagovornik varnosti, ko gre za sms potrjevanje, maile, spletne banke, hranjenje gesel. Tu pa zgleda zagovarjaš slabo prakso hranjenja podatkov.


"Torej smo razcistili, da je veliko primerov zate, dva, pa se to si moral javni sektor vzet zelo na siroko, da si jih nasel."

Če greš že notri z napačno predpostavko, da sem kje napisal Slovenija ali javni sektor, potem je tudi zaključek lahko tako napačen. Isto kot če bi rekel, ker je tema o nesreči Mercedeza, potem pa nesreče drugih znamk avtomobilov v istih okoliščinah niso več relevantne.

Kot ze receno, ce moras zato da neka blodnja ima smisel zadevo posplosevat v tri dni, potem imas problem v osnovni trditvi.

Ja, na svetu se zgodinsvega in svasta. Super. In?

Prvo kot prvo imas kakersenkoli verodostojen vir/dokaz cemu bodo kljucki namenjeni? Ali da se bodo na njih hranili osebni, obcutljivi ali celo tajni podatki? Glede na to da si uspel najt dva primera(pa se to iz petnih zil) bi rekel da je tvoja predpostavka na zelo trhlih nogah.

Moja izkusnja prindelu z drzavno upravo je da ze par let nisem videl nobenega usb kljucka, razen v raznih darilnih paketih na konferenca in za novo leto. Ministrstva imajo svoje interne sisteme, kjer se lahko izmenjuje datoteke, dokumentinposameznega zaposlenega se avtomaticno sinhronizirajo ne glede na delovno postajo, imamo tudi DRO, SPIS, emaile, sistem Krpan... tako da bo treba kaj konkretnega navest preden bodo tvoje trditve imele smisel.

starfotr ::

Sprašujem se lahko tudi kako lahko kaj takega sploh pride v EU. To bi morali že na carini zaplenit in dati v uničenje ali pa nazaj pošiljatelju.

Legon ::

Predvsme pa je hranjenje in dokumentov na USB kljuckih slaba praksa. Pika. Kvaliteta kljucka in vse ostalo je v bistvu brezpredmetno.

OutOfTheBox ::

Predvsme pa je hranjenje in dokumentov na USB kljuckih slaba praksa


Sej zato je še toliko bolj nejasno kaj so delali v javnih računalnikih. Maš kakšno (katerokoli) idejo ki bi upravičevala priklop USB ključa v javni informacijski sistem?
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

MJU kupil kitajske ključke USB z virusi (strani: 1 2 )

Oddelek: Novice / Varnost
647253 (1117) socialec
»

Hibridna obramba (strani: 1 2 )

Oddelek: Loža
603181 (1368) dronyx
»

Varen dostopat do strežnika

Oddelek: Informacijska varnost
305670 (4107) galu
»

Ljubljanske lekarne IT problem (strani: 1 2 )

Oddelek: Informacijska varnost
5714593 (11447) estons
»

Vohunske igre: Izraelci vdrli Rusom, ki so vdrli Američanom, ki so vohunili

Oddelek: Novice / Varnost
2910600 (8509) 7982884e

Več podobnih tem