Slovenska javna uprava je od kitajcev kupila okužene USB ključe

Na uradu za informacijsko varnost so bili 3. junija obveščeni o sumljivo okuženih novih USB ključkih v javni upravi. Protivirusni program je na njih zaznal starejšo različico črva, ki ob priklopu "naj sicer ne bi sprožil škodljivih aktivnosti". Ob zagonu naj bi program del ključka izbrisal, zato ne bi več širil okužbe.

Kako je sploh mogoče da pride do tega? A to naši nimajo nobenih protokolov od kje naročajo strojno opremo za računalnike ki upravljajo z našimi podatki?

For fucks sake, sej to se ne gre za domač računalnik ampak za sisteme, kjer se potencialno hranijo naši podatki. In ja.. antivirus je zaznal okužbo.. vprašanje a to pri vseh računalnikih ki so bili v stiku z okuženimi ključi? Kaj pa če ni bil edini virus gor, ki ga antivirus ni zaznal in so se drugi lahko zmuznili skoz.

Skratka v najbolj črnem scenariju so naši podatki že na Kitajskem in še bolj črnem v Rusiji.

Link do novice.

Ti USB ključki se naročajo v okviru pogodbe za razni pisarniški material, torej svinčnike, papir in podobno. Piše da si bo direktor firme drug teden vzel čas in pojasnil, kje je te ključke dobil.

To nima nobene veze z IT-jem. V resnici je zadeva precej bolj preprosta, pri čemer ne gre za nobeno tehnološko "big secret bla bla IT" zadevo, nad katero bi bil ne vem kakšen nadzor, ampak za navadno krovno pogodbo, ki jo sklene neko ministrstvo preko javnih razpisov z nekim slovenskim trgovcem, distributerjem za pisarniški material.
In tako vsaka tajnica oz. kdorkoli je skrbnik te pogodbe v vsaki ustanovi, uradu, čemurkoli pod tem ministrstvom, naroči recimo tonerje, papir, lepilo, USB ključke, mape, pisala...
Skratka, kar želim povedati, to nima nobene veze z IT-jem, politiko varnosti, ampak z navadnim potrošnim materialom, kjer končni naročnik nima nekega konkretnega nadzora nad tem, kaj ti bo trgovec dejansko v nekaj dneh po oddani naročilnici dostavil.

To, kar so poturili njim, so zelo verjetno pri našem sila pomembnem delu kdaj pa kdaj, na kakšni stopnji, poturili marsikomu nam/vam, ker glej, distibuter iz novice je povsem legit https://www.extra-lux.si slovensko podjetje.

USB ključki naj ne bi bili v ustrezni embalaži, prepakirali pa naj bi jih v slovenskem podjetju Extra Lux, smo izvedeli neuradno. V podjetju danes zadeve niso komentirali zaradi službene odsotnosti. Kot nam je sporočil direktor podjetja, bodo "navedeno problematiko" obravnavali v naslednjem tednu.

Vir: https://www.24ur.com/novice/slovenija/o...

Seveda ima veze z IT politiko varnosti. Recimo zakaj so sploh dovoljeni. Že če odmislimo probleme pri varovanju podatkov.

Tudi če so že dovoljeni, bi bila lahko politika, da jih mora prej preveriti (in formatirati) IT.

Zakaj se sploh se uporablja kljucke? Lani sem delal se na enem projektu za vecjo eu firmo, pa so se lepo navadili, da se vse share-a in deli preko sharepointa/one drivea. So jim celo onemogocili uporabo kljuckov in zunanjih diskov.

V bistvu bi morali eksemplarično kaznovati, odpustiti in vreči v ječo vse, ki za službene potrebe še vedno uporabljajo inu spodbujajo usb ključke, od uporabnika, osebe, ki je predala, in do direktorja na vseh nivojih, ker gre za varnostno in organizacijsko šibek člen, da lahko pride do ogromne materialne in zdravstvene škode - se spomnite stuxneta, duuuh?

OutOfTheBox je 6. jun 2025 ob 17:32:55 izjavil:

Skratka v najbolj črnem scenariju so naši podatki že na Kitajskem in še bolj črnem v Rusiji.

Ah no, v javnosti se trenutno ne ve niti čigava operacija je to, kakšen je njen namen, niti kdo je sploh bil tarča, če sploh kdo (ali pa je vse skupaj mišljeno, da pač kogar uspejo zadeti). Nič se pravzaprav ne ve, po čemer bi lahko karkoli konkretnega domnevali.

Fino bi blo vedet od kje Extra Lux dobi te USB ključe. Si predstavljaš da jih naročujejo na Aliexpress oz. podobnih straneh in dilajo naprej za maksimalen dobiček.

Verjetno jih dobijo še ceneje preko alibabe grosistično, aliexpress je za mikronaročila, sam strošek hardwarea je navadno daleč najmanjši. No, ne v deželi socialcev...

Prepakirajo za slovenske napise, ker v JS se ne piše in ne govori v drugih jezikih in ni kitajskih pismenk na embalaži, očitno, duuh, da je kakor več sforsiranega zaupanja med uporabniki/raznašalci, ker dvom je v RS, če ne kar EU, kaznjiv.

Ja, za operativo se gleda na ceno, da se potem strateško kupuje računalnike in stavbe in obnavlja neke X železniške postaje za 3 potnike na 10 let.

Samael je 6. jun 2025 ob 17:47:16 izjavil:

To nima nobene veze z IT-jem. V resnici je zadeva precej bolj preprosta, pri čemer ne gre za nobeno tehnološko "big secret bla bla IT" zadevo, nad katero bi bil ne vem kakšen nadzor, ampak za navadno krovno pogodbo, ki jo sklene neko ministrstvo preko javnih razpisov z nekim slovenskim trgovcem, distributerjem za pisarniški material.
In tako vsaka tajnica oz. kdorkoli je skrbnik te pogodbe v vsaki ustanovi, uradu, čemurkoli pod tem ministrstvom, naroči recimo tonerje, papir, lepilo, USB ključke, mape, pisala...
Skratka, kar želim povedati, to nima nobene veze z IT-jem, politiko varnosti, ampak z navadnim potrošnim materialom, kjer končni naročnik nima nekega konkretnega nadzora nad tem, kaj ti bo trgovec dejansko v nekaj dneh po oddani naročilnici dostavil.

To, kar so poturili njim, so zelo verjetno pri našem sila pomembnem delu kdaj pa kdaj, na kakšni stopnji, poturili marsikomu nam/vam, ker glej, distibuter iz novice je povsem legit https://www.extra-lux.si slovensko podjetje.

USB ključki naj ne bi bili v ustrezni embalaži, prepakirali pa naj bi jih v slovenskem podjetju Extra Lux, smo izvedeli neuradno. V podjetju danes zadeve niso komentirali zaradi službene odsotnosti. Kot nam je sporočil direktor podjetja, bodo "navedeno problematiko" obravnavali v naslednjem tednu.

Vir: https://www.24ur.com/novice/slovenija/o...

Bolj kot to se je bati korupcije. Marjan Dermastja še kar prodaja državi.
https://old.delo.si/gospodarstvo/makrom...

Vsak pameten mu ne bi nikoli več dovolil poslovat z državo. Kaka banana republika smo mi.

Novica na rtvslo: "Na ključkih je sicer star, strokovnjakom dobro poznan črv, ki se danes prodaja na črnem spletu. Kljub starosti pa lahko ob neukrepanju pomeni veliko grožnjo."

https://www.youtube.com/shorts/YJCxJPU6...

Na znamko ključkov in morebitno garancijo se, kot vedno, vsi vpleteni požvižgajo. Pri količini se 2€ na kom. pozna, ane?

HaHa klasika. Kupovali smo najcenejše kitajske USB na kilo. PLačali so pa ziher kot za top shit brand kvaliteten usb...

Prav zanimivo bi bilo videti pogodbo. Zna kdo najti?

Vice je 6. jun 2025 ob 21:31:14 izjavil:

Bolj je vprašanje kako to, da danes javna uprava še vedno ne uporablja lastne "oblačne" infrastukture...

Pa saj večji del jo. DRO.
Večji sem zapisal zato, ker ne vem če so nanj migrirale že vse službe in uradi.

Državni računalniški oblak (DRO) predstavlja računalniško infrastrukturo za neposredne proračunske uporabnike in jim nudi shranjevalne, razvojne, poslovne in druge zmogljivosti v obliki storitev ter možnost, da z uporabo koncepta računalništva v oblaku hitro dosežejo svoje poslovne cilje. Infrastruktura je v lasti in upravljanju države, na njej se izvajajo storitve, ki uporabljajo občutljive, osebne in druge podatke in informacije, ki jih država ne želi shranjevati izven svojega okolja.
DRO je logična celota podporne infrastrukture ter strojne in računalniške programske opreme. Obsega npr. sisteme UPS, strežniške rezine, različne diskovne sisteme, dostopovne terminale, različne virtualizacijske platforme, operacijske sisteme, lastniško in odprtokodno programsko opremo, nadzorne sisteme, upravljavske sisteme, strojno in programsko definirane mrežne komponente itd. Temelj računalniškega oblaka DRO je virtualizacija strojnih virov, ki so razporejeni v tri logične skupine (podatkovne centre) na dveh lokacijah (Ljubljana, Maribor): PDC (LJ), SP3 (LJ) in NIC (MB).
V DRO so pripravljene ali v pripravi storitve za zelo različna področja. Za notranje potrebe so bile izdelane infrastrukturne storitve IaaS (Infrastructure as a Service), delno tudi celotna računalniška okolja PaaS (Platform as a Service), slednja pa se skupaj s programsko opremo za končne uporabnike SaaS (Software as a Service) uvrščajo tudi v splošni del kataloga storitev. DRO tako ponuja npr. storitev centralne elektronske pošte, storitev hrambe elektronskih dokumentov, storitev centralnega varnostnega kopiranja, storitev univerzalne hrambe objektov (dokumentov, zadev, multimedijskih datotek), skupne gradnike (Varnostna shema, SI-CAS, SI-CES, Pladenj, IO-modul, Piwik, iskalnik, elektronski podpis, časovno žigosanje, elektronsko vročanje, spletno odložišče velikih datotek, storitveno vodilo), gostovanja informacijskih sistemov in spletnih predstavitvenih mest itn. vključno s storitvami s področja informacijske varnosti.

https://nio.gov.si/products/drzavni%2Br...
https://www.gov.si/teme/informatika-v-d...

Samael je 6. jun 2025 ob 22:01:38 izjavil:

Vice je 6. jun 2025 ob 21:31:14 izjavil:

Bolj je vprašanje kako to, da danes javna uprava še vedno ne uporablja lastne "oblačne" infrastukture...

Pa saj večji del jo. DRO.
Večji sem zapisal zato, ker ne vem če so nanj migrirale že vse službe in uradi.

Državni računalniški oblak (DRO) predstavlja računalniško infrastrukturo za neposredne proračunske uporabnike in jim nudi shranjevalne, razvojne, poslovne in druge zmogljivosti v obliki storitev ter možnost, da z uporabo koncepta računalništva v oblaku hitro dosežejo svoje poslovne cilje. Infrastruktura je v lasti in upravljanju države, na njej se izvajajo storitve, ki uporabljajo občutljive, osebne in druge podatke in informacije, ki jih država ne želi shranjevati izven svojega okolja.
DRO je logična celota podporne infrastrukture ter strojne in računalniške programske opreme. Obsega npr. sisteme UPS, strežniške rezine, različne diskovne sisteme, dostopovne terminale, različne virtualizacijske platforme, operacijske sisteme, lastniško in odprtokodno programsko opremo, nadzorne sisteme, upravljavske sisteme, strojno in programsko definirane mrežne komponente itd. Temelj računalniškega oblaka DRO je virtualizacija strojnih virov, ki so razporejeni v tri logične skupine (podatkovne centre) na dveh lokacijah (Ljubljana, Maribor): PDC (LJ), SP3 (LJ) in NIC (MB).
V DRO so pripravljene ali v pripravi storitve za zelo različna področja. Za notranje potrebe so bile izdelane infrastrukturne storitve IaaS (Infrastructure as a Service), delno tudi celotna računalniška okolja PaaS (Platform as a Service), slednja pa se skupaj s programsko opremo za končne uporabnike SaaS (Software as a Service) uvrščajo tudi v splošni del kataloga storitev. DRO tako ponuja npr. storitev centralne elektronske pošte, storitev hrambe elektronskih dokumentov, storitev centralnega varnostnega kopiranja, storitev univerzalne hrambe objektov (dokumentov, zadev, multimedijskih datotek), skupne gradnike (Varnostna shema, SI-CAS, SI-CES, Pladenj, IO-modul, Piwik, iskalnik, elektronski podpis, časovno žigosanje, elektronsko vročanje, spletno odložišče velikih datotek, storitveno vodilo), gostovanja informacijskih sistemov in spletnih predstavitvenih mest itn. vključno s storitvami s področja informacijske varnosti.

https://nio.gov.si/products/drzavni%2Br...
https://www.gov.si/teme/informatika-v-d...

Poznam to vendar je v omejeni uporabi in večina niti ne ve da obstaja. In kot mi je znano se ne uporablja kot nek klasični file share, ki bi bil omejen na določen segment...

Vice je 6. jun 2025 ob 22:43:44 izjavil:

In kot mi je znano se ne uporablja kot nek klasični file share, ki bi bil omejen na določen segment...

Se, se.
Približno dve leti nazaj se je na DRO preselil celoten URSIKS. Določene direktorije si med seboj delijo najbližji sodelavci, določene cel sektor, nekatere (mape, disk... kakorkoli pač že rečeš temu) celoten urad itd. Skratka, precej klasičen oblak v tem smislu.

Ko gre za javni razpis, se izbira ponudnika storitev ali izdelkov, ne pa nujno točno določenega izdelka po znamki, na primer svinčnik, škarje, usb ključek... točno te in te znamke.
Če se objavi javni razpis za nakup pisarniškega materiala, se bo običajno izbralo podjetje, ki ponuja najbolj ugodne pogoje (napr. cena, roki, kakovost... - ja vem, kaj si boš zdaj ob tem failu mislil glede ključkov, jaz si tudi :-), ne pa nujno takega, ki bo dostavil točno svinčnike znamke Staedtler. Lahko dostavi drugo znamko, dokler ta ustreza določenim minimalnim tehničnim specifikacijam.

Lahko so sicer postavljeni osnovni pogoji, ki jih morajo izdelki izpolnjevati, a ni vedno prav smiselno vnaprej predpisati čisto vseh podrobnosti, kot je npr. točna znamka svinčnika, da se prepreči favoriziranje določenih blagovnih znamk in omogoči poštena konkurenca med ponudniki. Pa tudi roko na srce, kaj pa če se točno določene znamke ne da več dobiti? Aneks na aneks vsakih par tednov?
Zgodi se tudi, da za kakšno stvar preprosto ni interesa med trgovci, zato ponavljaš razpis za razpisom. Ali pa se razmere na trgu tako spremenijo, da dobavitelj odstopi od pogodbe, ker se mu enostavno ne izplača, pa spet ponavljaš razpis za razpisom, medtem pa ljudje potrebujejo material za delo...

Samael je 6. jun 2025 ob 22:56:40 izjavil:

Vice je 6. jun 2025 ob 22:43:44 izjavil:

In kot mi je znano se ne uporablja kot nek klasični file share, ki bi bil omejen na določen segment...

Se, se.
Približno dve leti nazaj se je na DRO preselil celoten URSIKS. Določene direktorije si med seboj delijo najbližji sodelavci, določene cel sektor, nekatere (mape, disk... kakorkoli pač že rečeš temu) celoten urad itd. Skratka, precej klasičen oblak v tem smislu.

Potem pa super, je bil že čas da po vseh teh letih se začne v eno smer premikat. Bom vprašal fante na URSIKS kako se obnese.

Ales je 7. jun 2025 ob 03:13:18 izjavil:

_Denny_ je 6. jun 2025 ob 23:52:53 izjavil:

Saj ne rabijo navajati točno določene znamke, lahko pa bi brez problema dali pogoja ...

Kaj pa so napisali v razpis? Kakšne specifikacije imajo in pod kakimi pogoji so kupljeni ti ključi? Zagotovo veš.

Kaj pa če bi dali v pogoje, da ne smejo vsebovati zlonamerne kode?
Dejansko pa to ne bi smeli nabavljati pod pisarniškim materialom kot so včasih CDje.

Pa noben mi ni še odgovoril zakaj se ti ključi sploh uporabljajo. Veliko primerov je že bilo, ko so bili na izgubljenih ali odtujenih ključih osebni ali občutljivi podatki.

Nisem nikjer napisal v Sloveniji (zakaj vedno napačno sklepaš?). Je povsem dovoljšno opozorilo, da se to dogaja po svetu. Se pa seveda to dogaja tudi pri nas (zaenkrat na srečo brez večjih posledic).

1. Izguba USB ključka z osebnimi podatki prebivalcev
Datum incidenta: Oktobra 2024
Kaj se je zgodilo: Zunanji sodelavec mestne uprave je po službi odšel na pijačo in izgubil USB ključek, ki je vseboval osebne podatke vseh prebivalcev mesta.
Podatki na ključku: Osebni podatki vseh prebivalcev mesta.
Varnostni ukrepi: Podatki so bili šifrirani in zaščiteni z geslom.
Posledice: Mestne oblasti so se opravičile prebivalcem in poudarile pomen varovanja osebnih podatkov.

2. Izguba USB ključka z zdravstvenimi podatki pacientov
Datum incidenta: Ni natančno določen, primer je opisan kot pogost v zdravstvenem sektorju.
Kaj se je zgodilo: Zdravstveni delavec je izgubil USB ključek, ki je vseboval osebne podatke pacientov.
Podatki na ključku: Osebni podatki pacientov, vključno z zdravstvenimi informacijami.
Varnostni ukrepi: Podatki niso ušli izven organizacije, zato obveščanje posameznikov ni bilo potrebno.
Posledice: Incident je bil prijavljen in obravnavan v skladu z notranjimi protokoli.

Nekaj primerov iz tujine:
- HMRC (Velika Britanija, 2007) - Dva nešifrirana CD-ja z osebnimi in finančnimi podatki 25 milijonov prejemnikov otroških dodatkov sta bila izgubljena med pošiljanjem, kar je povzročilo velik politični škandal in odstop direktorja.

- National Offender Management Service (VB, 2008) - Izgubljen nešifriran USB ključ z osebnimi podatki 84.000 zapornikov (imena, naslovi, datumi rojstva, datumi izpustitve).

- St. Vincent's Hospital (Avstralija, 2009) - USB ključ brez zaščite z občutljivimi podatki 200 HIV pacientov je bil izgubljen, kar je sprožilo resne skrbi glede zasebnosti.

- Japonsko ministrstvo za zdravje (2013) - Uradnik je izgubil nešifriran USB ključ z osebnimi in zdravstvenimi podatki 100.000 prosilcev za pomoč.

- City of Calgary (Kanada, 2016) - Zaposleni je izgubil USB ključ z nešifriranimi osebnimi podatki 3.700 zaposlenih, vključno s številkami socialnega zavarovanja in podatki o plačah.

- Heathrow Airport (VB, 2017) - USB ključ z 2,5 GB nešifriranih varnostnih podatkov (CCTV, vhodi, VIP protokoli) je bil najden na ulici, kar je povzročilo resne varnostne skrbi.

- Bank of Ireland (2019) - Izgubljen USB ključ z zaupno notranjo pošto in morebitnimi podatki o strankah je sprožil pritožbo pri nadzornem organu za varstvo podatkov.

Čudno, da si tak zagovornik varnosti, ko gre za sms potrjevanje, maile, spletne banke, hranjenje gesel. Tu pa zgleda zagovarjaš slabo prakso hranjenja podatkov.


"Torej smo razcistili, da je veliko primerov zate, dva, pa se to si moral javni sektor vzet zelo na siroko, da si jih nasel."

Če greš že notri z napačno predpostavko, da sem kje napisal Slovenija ali javni sektor, potem je tudi zaključek lahko tako napačen. Isto kot če bi rekel, ker je tema o nesreči Mercedeza, potem pa nesreče drugih znamk avtomobilov v istih okoliščinah niso več relevantne.

delavec44 je 7. jun 2025 ob 09:08:48 izjavil:

Čudno, da si tak zagovornik varnosti, ko gre za sms potrjevanje, maile, spletne banke, hranjenje gesel. Tu pa zgleda zagovarjaš slabo prakso hranjenja podatkov.


"Torej smo razcistili, da je veliko primerov zate, dva, pa se to si moral javni sektor vzet zelo na siroko, da si jih nasel."

Če greš že notri z napačno predpostavko, da sem kje napisal Slovenija ali javni sektor, potem je tudi zaključek lahko tako napačen. Isto kot če bi rekel, ker je tema o nesreči Mercedeza, potem pa nesreče drugih znamk avtomobilov v istih okoliščinah niso več relevantne.

Kot ze receno, ce moras zato da neka blodnja ima smisel zadevo posplosevat v tri dni, potem imas problem v osnovni trditvi.

Ja, na svetu se zgodinsvega in svasta. Super. In?

Prvo kot prvo imas kakersenkoli verodostojen vir/dokaz cemu bodo kljucki namenjeni? Ali da se bodo na njih hranili osebni, obcutljivi ali celo tajni podatki? Glede na to da si uspel najt dva primera(pa se to iz petnih zil) bi rekel da je tvoja predpostavka na zelo trhlih nogah.

Moja izkusnja prindelu z drzavno upravo je da ze par let nisem videl nobenega usb kljucka, razen v raznih darilnih paketih na konferenca in za novo leto. Ministrstva imajo svoje interne sisteme, kjer se lahko izmenjuje datoteke, dokumentinposameznega zaposlenega se avtomaticno sinhronizirajo ne glede na delovno postajo, imamo tudi DRO, SPIS, emaile, sistem Krpan... tako da bo treba kaj konkretnega navest preden bodo tvoje trditve imele smisel.

Predvsme pa je hranjenje in dokumentov na USB kljuckih slaba praksa. Pika. Kvaliteta kljucka in vse ostalo je v bistvu brezpredmetno.