ZDNet - V začetku tedna je odjeknila novica, da naj bi hekerji vdrli v podatkovno bazo bolgarske finančne uprave in ukradli osebne podatke petih od sedmih milijonov bolgarskih državljanov. Kmalu zatem so prijeli varnostnega strokovnjaka iz Plovdiva, a se je izkazalo, da je očitno kriv drugega, nepovezanega vdora, zato je bil že izpuščen na prostost.
Upravljalci informacijskega sistema bolgarske finančne uprave so se v torek znašli v precejšnji zadregi, ko je več lokalnih medijev prejelo elektronsko pošto z dobrih deset gigabajtov veliko priponko, v kateri so bili mnogi osebni podatki množice Bolgarov, ki naj bi ušli s strežnikov finančne uprave. Med njimi naslovi prebivališč, številke osebnih dokumentov in denarni prejemki. Neznani heker se je v sporočilu pohvalil, da ima vsega skupaj 21 GB podatkov skupno petih milijonov ljudi, se pravi, skorajda vseh odraslih državljanov (Bolgarija šteje sedem milijonov prebivalcev). Obenem je navedel, da luknja v državnem informacijskem sistemu zeva že enajst let in da se je za izpust podatkov odločil zaradi odpora do korupcije v državi. Poslane datoteke so se medtem že znašle na spletu, kar je potrdilo njihov obstoj.
Tu pa se je burleska šele zares pričela. Bolgarski državni aparat se je hipoma odzval in premier Bojko Borisov je hekerja označil za "čarodeja". Toda varnostni strokovnjaki so že po hitrem pregledu situacije začeli pripominjati, da za vdor bržkone ni bilo potrebno neko izjemno znanje. Točka napada naj bi bil davčni urad, in sicer skozi SQL vrivanje, za katerega je obstajala ranljivost v sistemu za vračilo DDV. Skratka, glede na znane podatke je šlo za očitno šlamparijo na strani državnega osebja in ne genialen hekerski podvig.
Še več - napadalci naj bi za seboj pustili vrsto sledi. Ravno te naj bi varnostne organe pripeljale do Kristijana Bojkova, uslužbenca podjetja za digitalno varnost iz Plovdiva, ki je bil v sredo aretiran. Toda po poročanju lokalnih časnikov so preiskovalci odkrili, da je v sistem finančne uprave vdrl ob nekem drugem času in da gre za nepovezano stvar, zato je bil že izpuščen na prostost (seveda pa ga čaka pregon zaradi njegovega vdora). Tako še vedno ni jasno, kdo so zlikovci za napadom. Država s prstom kaže na Rusijo, saj naj bi akcija potekala od tam, kot odgovor na nedavno bolgarsko odločitev za nakup ameriških lovcev F-16. Toda vprašanje je, komu verjeti, ker se uradniki trudijo na vse kriplje odgovornost naprtiti komu drugemu, saj finančni upravi ob dokazani malomarnosti grozi zajetna globa.
> Toda vprašanje je, komu verjeti, ker se uradniki trudijo na vse kriplje odgovornost naprtiti komu drugemu, saj finančni upravi ob dokazani malomarnosti grozi zajetna globa.
Da ne bo kdo preveč pameten in kaj sikal čez Bolgare - Obnašanje je zelo podobno temu, kar smo videli ob "vdoru" v AJPES in reakciji SI-CERTa in IP-RS: https://slo-tech.com/novice/t696143
Je pa za pohvalit komentar Bojka - je res originalen =)
itq. najpomembneje je najti krivca. briga jih za razsulo od države...
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
Je, but not applicable. Če imaš tako sestavljen proračun kot mi, it makes sense za državne organe. A če mu daš globo, potem ne bo več zaposloval, pa mora, ker gredo ljudje v penzijo, oz. ne bo popravil puščajoče strehe? na hitr bi rekel, da je to odmik od darwina.
Za odgovorno osebo je pa seveda druga pesem in je jasno kaznovanje možno.
Hec pri nas je, da MJU upravlja z IT varnostjo, po spremembi ZDU-1. Kdo bi torej odgovrajal v primeru data breacha na FURS, IT storitev je bila pa prenesena na MJU?
Čeprav nekaj slišim, da pride IT nazaj na državne organe. Ker je blo to z MJU totalni flop...
Je, but not applicable. Če imaš tako sestavljen proračun kot mi, it makes sense za državne organe. A če mu daš globo, potem ne bo več zaposloval, pa mora, ker gredo ljudje v penzijo, oz. ne bo popravil puščajoče strehe?
Ne razumem.
Če daš privat firmi visoko globo, bo zašla v težave in ne bo mogla več zaposlovat, kupovat dodatnih osnovnih sredstev,...? In je to potem izgovor, da jim visoke globe ne daš?
Slovenija je po tej plati zelo podobna Bolgariji. Stvar je taka, da sploh softver šepa v Sloveniji. Glede na to, da so moji trije sodelavci prav Bolgari (vsi top inženirji) je verjetno tkao, da so vsi talentirani razvijali šli delat v tujino. Nočejo se zajebavati z neko unterhunt sceno v Bolgariji.
Ostanejo starci, ženske, otroci in pripravniki. Oni potem pocajo skup, kakor vejo in znajo. Saj enako je v Sloveniji, malo si samo poglejte, kakšna so navodila za certifikate in to v Sloveniji. Od uporabe outdated brskalnikov, do vklopa potokolov, ki so že znani kot premalo varni, do tega, da cela država Slovenija ne zna spraviti skup,da bi bili root certifikati v Storu od Microsofta, Googla in podobno.
Ker biti CA je v tujini resen posel. Dobiš kontrole, dobiš provokatorje, ki poskušajo s socialnim inženiringom vdreti.
V Sloveniji obtaja en CA, ki so jih okradli, vse računalnike so jim odnesli. Odnesli so tudi moji stranki, ki je bila na istem naslovu. Še iz kombijev so laptope pobrali.
To še toliko ne bi bil problem, ampak ta CA je imela navado, da so oni inicializirali privaten ključ in ti ga skopirali na kartico.
V glavnem, varnost je v Sloveniji v kur*u. AJPES je en tak primer, ko imajo aplikacije zelo slabo narejene. To če si malo kodo pogledate, to vidite, da je spacano skup. Naj se jih resni profesionalci lotijo, to bodo razpadli ko kure.
Je, but not applicable. Če imaš tako sestavljen proračun kot mi, it makes sense za državne organe. A če mu daš globo, potem ne bo več zaposloval, pa mora, ker gredo ljudje v penzijo, oz. ne bo popravil puščajoče strehe?
Ne razumem.
Če daš privat firmi visoko globo, bo zašla v težave in ne bo mogla več zaposlovat, kupovat dodatnih osnovnih sredstev,...? In je to potem izgovor, da jim visoke globe ne daš?
Ja, ker smo zavrnili čisti darwinizem?
Mislim, kaj imam jaz osebno kot državljan s tem, da so na čelu nekega organa kreteni, ki ne znajo posrkbeti za IT sec?
Ne razumem... pa saj ko privat firma dobi globo (in tam tudi zaposleni osebno kot zaposleni nima nič s tem, da je direktor kreten), noben inšpektor ne pokaže usmiljenja, pač pa globo gladko napiše.
Wtf ti ni jasno? A drzava je enako gosppdarstvo? Kar ti pises seveda poznamo onkraj luze, kjer ni socialisticnega proracuna. Ce zmanjka denarja, pac ni drzavnega servisa, recimo policije, zdravstvene oskrbe. Bogatim se jasno jebe, ker npr. V UK placujejo za zasebne bobije in jih bk za drzavno zdravatvo.
Tak sistem prelrskov je v veljavi od zadnje reforme 2005, prej pa dvomim, da ni bilo enako.
Izključitev odgovornosti
13.a člen
Republika Slovenija in samoupravne lokalne skupnosti ne odgovarjajo za prekršek, zakon pa lahko določi, da odgovarja za prekršek odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
Wtf ti ni jasno? A drzava je enako gosppdarstvo? Kar ti pises seveda poznamo onkraj luze, kjer ni socialisticnega proracuna. Ce zmanjka denarja, pac ni drzavnega servisa, recimo policije, zdravstvene oskrbe. Bogatim se jasno jebe, ker npr. V UK placujejo za zasebne bobije in jih bk za drzavno zdravatvo.
Kar ti navajaš, so prekrški. Da nekomu ukradejo toliko podatkov, pa so bili recimo opozorjeni na luknje, je kaznivo dejanje. Je pa res, da če prijavljaš kaznivo dejanje, moraš imeti otipljivo škodo.
Call me a terrorist, ampak tole je meni tipičen primer, ko hegemon sam sebi napiše skrajno pristransko zakonodajo s katero se potem baha, da je "enak pred zakonom". Spominja na kadija tuži, kadija sudi.
No, hvala bogu imamo še mednarodno pravo, kjer država a svoje zločine (recimo Izbrisani) kljub vsej "zakonski" izključitvi odgovornosti, vseeno odgovarja. Vsaj minimalno.
Anyway, kam bi pa šla taka globa potem? V privat roke, ali - glej no glej - v proračun?
Bolgari namesto da se sekirajo zaradi vdora naj raje spremenijo zakonodajo in naredijo te podatke javno dostopne. Če se ne motim imajo finci javno dostopne te podatke, tako da lahko vsak za svojega soseda preveri če je prijavil pravilno prihodke oziroma če se sklada življenjski slog s prihodki. Ne pa farsa kot pri nas, ki so nekateri za davkarijo praktično socialni problemi, doma pa luksuzni avtomobili, vile z bazeni itd. Bodo pa verjetno Bolgari znali analizirati tako pridobljene podatke in ne dvomim da bodo prišli do zanimivih zaključkov.