Europa.eu - Odbor Evropskega parlamenta za državljanske svoboščine, pravosodje in notranje zadeve (LIBE) je ta teden obravnaval dva zelo zanimiva predloga. V torek so proti nekaterim pričakovanjem potrdili obnovitev sporazuma o izmenjavi podatkov o letalskih potnikih z ZDA [1], dan prej pa so še zdajšnji tekst direktive EP in Sveta o napadih na informacijske sisteme [2]. Glavna nota slednje so poenotene in strožje kazni za vdore v informacijski sistem, po novem do dve leti zapora za vdore v informacijski sistem, v kvalificiranih primerih pa do 5 let zapora. Za kvalificirane se štejejo vsi vdori, ki so uperjeni na ti. "ključno infrastrukturo", izvedeni z namenskim programom (botneti, DDOS orodja,...

Slo-Tech - V četrtek smo si pogledali posledice predlagane spremembe Kazenskega zakonika za varstvo materialnih avtorskih pravic. Vmes je vlada predlog sprejela, na seznamu sprememb, ki bodo imele zanimive posledice pa je poleg spremembe s področja varstva materialnih avtorskih pravic še kar nekaj kaznivih dejanj, ki jih sporočilo za javnost ne omenja.

Tako se med drugim spreminjata 221. in 237. člen KZ-1, ki govorita o vdorih v informacijske sisteme.

V prvem odstavku 221. člena se za besedo »kdor« doda besedilo »neupravičeno vstopi ali«.

in

V naslovu pri 237. členu se črta beseda »poslovni«.
Prvi odstavek se spremeni tako, da se glasi:
"(1) Kdor pri gospodarskem poslovanju neupravičeno vstopi ali vdre v informacijski sistem ali ga uporablja tako, da uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem vnese kakšen svoj podatek, ovira prenos podatkov ali delovanje informacijskega sistema ali neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem, da...

Sophos - Včeraj je bila stran MySQL.com uspešno napadena s tehniko vrivanja SQL (SQL injection), je bilo razkrito na listi Full Disclosure. Hekerji so na splet že priobčili uporabniška imena in zgostitve gesel (hash), ki jih najdete na odlagališču pastebin.com.

Izkazalo se je, da je ogromno gesel prekratkih in preveč preprostih (recimo qa in podobno). Izjema ni niti direktor WordPressa, ki je imel za geslo štirimestno število. Žalostno je, da vdor ni posledica napada neke obskurne ranljivosti, ampak gre za osnovno tehniko, ki ima tudi relativno enostavno zaščito.

Poleg tega je bili napadeno tudi podjetje Oracle, mati MySQL-a, od koder so uspeli odtujiti tabele in elektronske naslove, gesel pa naj ne bi bili. Tudi tod je bil vdor izveden na enak način.

Sophos poroča še, da to ni edina huda...

Slo-Tech - Te dni na spletu poteka široko zastavljen napad z vrivanjem SQL-stavkov (angl. SQL injection) na strežnike, ki jih poganja IIS in ASP.net. Napadenih je bilo več kot sto tisoč strani, pri čemer so škodo utrpele tudi ugledne strani, kot sta The Wall Street Jorunal in The Jerusalem Post. Pri tem je treba poudariti, da napad zlorablja pomanjkljivo napisano kodo in ne kakšne inherentne varnostne luknje v IIS-u. Analiza napada je pokazala, da naj bi šlo za skripto za upravljanje oglasi tretjega ponudnika, ki je bila vsem stranem skupna. Zlobna koda izkoristi napako v njej in nato obiskovalce skuša preusmeriti na neko stran, ki na njihove računalnike namesti zlonamerno programsko opremo.

Schneier.com - Aprila letošnjega leta je bostonska policija izvedla hišno preiskavo pri študentu Riccardu Calixteu ter mu zasegla več elektronskih naprav, med drugim tudi tri prenosnike, dva iPoda in dva mobilna telefona. Hišna preiskava je bila posledica obtožbe njegovega sostanovalca, da naj bi omenjeni študent Boston Colledge vdrl v šolsko omrežje in spreminjal ocene drugih študentov ter po e-pošti širil govorice, da je njegov sostanovalec gej.



V obrazložitvi prošnje za odredbo za hišno preiskavo je policija zapisala, da "g. Calixto uporablja dva različna operacijska sistema za skrivanje svojih nelegalnih aktivnosti. Eden je običajen (regularen) operacijski sistem Boston Collidgea, drugi pa vsebuje črn zaslon z belimi črkami in ukaznim pozivnikom".

Iz te obrazložitve bi lahko sklepali, da je že sama uporaba Linuxa vsaj sumljiva, če že ne kar neposredno kazniva. Vsekakor pa očitno dovolj za domnevo, da...

SANS - Več kot 30 strokovnjakov iz celotnega sveta je sestavilo seznam 25 najnevarnejših napak, ki jih zagrešijo programerji. Napake so bile ocenjene po splošni nevarnosti za razkritje podatkov v informacijskih sistemih in omogočanju računalniškega kriminala. Največje "odkritje" pa je bilo, da se v večini izobraževalnih programov za bodoče računalniške strokovnjake o teh napakah ne uči praktično ničesar, za njihovo prisotnost pa se pri veliko proizvajalcih programske opreme tudi ne testira.

Kako nevarne pa so te napake, pa pokaže že podatek, da sta bili samo dve izmed teh napak v letu 2008 vzrok za najmanj 1,5 milijona vdorov v spletne strani. Ti vdori pa so se izrabili za zlorabo obiskovalecev, ki so zaradi pomankljive zaščite lastnih računalnikov, postali žrtve zlorabe, njihovi računalniki pa zombiji na razpolago kriminalcem.

Kakšne so pa izkušnje z izobraževanejm pri nas? Ali se o kateri izmed teh napak kdo pogovarja v šoli? V kateri šoli? Zakaj da, zakaj ne?

Slo-Tech - Te dni je vlada v obravnavanje dobila predlog predlog novega Kazenskega zakonika, ki so ga pripravili na Ministrstvu za pravosodje.
Med drugim je v predlogu naveden tudi 221. člen, ki obravnava napad na informacijski sistem. Člen je zelo podoben obstoječemu 225. členu v sedaj veljavnem Kazenskem zakoniku, predlog, ki ga bo obravnavala vlada pa ima dodan 5. odstavek, ki se glasi:

(5) Kdor poseduje, izdeluje, daje v uporabo, uvaža, izvaža ali drugače zagotavlja pripomočke za vdor v informacijski sistem, se kaznuje z denarno kaznijo ali z zaporom do šestih mesecev.

Do sedaj je podobno določbo vseboval obstoječi Kazenski zakonik v tretjem odstavku 309. člena (izdelovanje in pridobivanje orožja in pripomočkov, namenjenih za kaznivo dejanje), ki pa je posedovanje, dajanje v uporabo, itd. pripomočkov za vdor v informacijski sistem kriminaliziral le, kadar je to storjeno z namenom izvršitve kaznivega dejanja.

Novi predlog to "malenkost" izpušča in prepoveduje posedovanje (izdelovanje,...

Slo-Tech - O tem, da je Vlada RS pred kratkim razpravljala o osnutku Uredbe o zneskih nadomestil za privatno in drugo lastno reproduciranje, smo že poročali. Beseda je meso postala in tako je bila v Uradnem listu RS, št. 104/06, z dne 6. 10. 2006, ta uredba tudi objavljena.

Tako lahko do sobote, 21. 10. 2006 (označite na koledarju), opravite nakupe cvetličnih lončkov in travnikov (za neposvečene nosilce podatkov), ne da bi za to plačali nadomestilo (v denarju) po tej uredbi.

Od česa boste plačevali nadomestilo in koliko ta znaša, si preberite v povezani novici, oziroma v Uredbi (500 GB disk, se bo npr. podražil za 4000 SIT, oziroma za vsakih začetih 1 GB zmogljivosti 8 SIT). V kratkem pa lahko pričakujete tudi članek na to temo.

Vesele nakupe!

Slo-Tech - Pozorni obiskovalci ste nekaj pred dvajseto lahko opazili vročo novico, da je bil Slo-Tech "pohekan". Obvestilo se je ponašalo z opisom domnevne varnostne luknje (šlo naj bi za t.i. "XSS" - Cross Site Scripting napad), napotilom k boljšemu programiranju in pojasnilom, da domnevni heker ni povzročil nobene škode (t.j. ni ničesar brisal niti vgradil "zadnjih vrat").

Po takojšnjem ukrepanju se je ugotovilo, da je enemu od petih uporabnikov Slo-Techa z največ pravicami na za zdaj še neznan način "ušlo" geslo. ZliHeker se je s tem računom prijavil v sistem in svojemu običajnemu računu podelil niz pravic, ki mu sicer ne gredo, ter na njihovi podlagi objavil novico. Navedbe o tovrstni varnostni luknji so tako neresnične.

Slo-Tech ob tej priložnosti obiskovalcem zagotavlja, da do drugih posegov ali vpogledov v sistem Slo-Techa ni prišlo. Prav tako je tudi v primeru razbitja administratorskega gesla nemogoč nepovraten izbris katerihkoli podatkov.

Pri tem velja nadebudne "hekerje"...

Slo-Tech - Državni zbor je na na tretji obravnavi 23. marca 2004 obravnaval Zakon o spremembah in dopolnitvah Kazenskega zakonika Republike Slovenije (KZ-B).
V prenovljenem KZ je bil med drugim spremenjen 225 člen. Ta člen je po starem KZ prepovedoval poškodovanje (spremembo ali izbris) računalniških podatkov in programov, nove spremembe pa prepovedujejo že neupravičen vstop v zaščiteno računalniško bazo podatkov.
Po novem je tako za neupravičen vstop v računalniško bazo z namenom, da se storilec seznani s kakšnim podatkom, zagrožena denarna kazen. Za uporabo, spreminjanje, kopiranje, uničenje ali vnos kakšnega svojega podatka ali računalniškega virusa pa je zagrožena do dveletna zaporna kazen. A le, če s tem ni povzročena velika materialna škoda - v nasprotnem primeru je zagrožena zaporna kazen od dveh mesecev do kar petih let. Seveda je kazniv tudi poiskus (31. člen KZ-A). 242. člen, ki je prepovedoval vdor v računalniški sistem, je ostal nespremenjen, kar pomeni, da je vdor v računalniški...