VID dati noplūduši - caurums legāls KUR TĀLĀK ?

[usver]

Pamodās šodien

AvoC

Aha, un tiklīdz stāsies darbā, tā uz viņu novels vainu par caurumu :>

[fest]

Valsts ieņēmumu dienesta (VID) izsludinātajam konkursam uz Informācijas sistēmu drošības ierēdņa amatu nav nekādi saistīts ar datu noplūdi no Elektroniskās deklarēšanas sistēmas, Db informēja VID Komunikāciju daļā.

Tiesa, teksts ir izrauts no konteksta- mēģina attaisnoties ar likuma grozījumiem.

 

http://www.db.lv/a/2010/02/16/Vakance_VID_nav_saistita

[Mr. Nejēga]

Mja. Nu teiksim tā - ja tas pats VID IT admins Antons Antonovs (99% minu, ka nav īstais vārds) savā amatā iestājās bez sakariem utt., tad tagad viņa vietā negribētu atrasties - šis normāli savus pienākumus pilda (nu, gan jau), a tagad varenais VIDs domā viņu sodīt par pašu pieļautu kļūdu, kas pēc likuma nemaz nav Antona kompetencē.

 

Nu, tīri cilvēciski gribētos, lai A. Antonovs tagad tiktu cauri sveikā un kaut vai tiesas ceļā pierādītu ka softa developeriem / VIDam ir jāes atbildība par pašu neizdarību.

[martinus]

nu domāju ka sisadmins ziņoja un ne tikai viņš, bet arī citi lietotāji noteikti, BET noteikti kam bija vajadzība nedzirdēt šos brīdinājumus.

nu neticu ka ielika par administratoru tādu idiotu, kas nesaprot pamata lietas

beigās arī vainīgs būs administrātora palīgs, un pārējiem būs cieti ģīmji un viss:)

[JanB]

Administrators tut ņi pri čom. Ja bija pamanījis, tad ziņoja, ja nē - tad nē. Viņš ir atbildīgs par tīkla drošību utt., bet ne jau par atsevišķas sistēmas funkcionalitāti !! Šis nav drošības caurums, šī ir speciāli iestrādāta fīča - ir jāatrod tikai, kurš to pasūtīja, kā arī kurš izpildīja ( noteikti par šādu "fīču" ir kādam uz rokas vēl jāsamaksā, jo sevis cienošs izstrādātājs šitādu risku par savu publisko seju tāpat vien neuzņemtos).

 

Protams, ir sanākusi saskarsme ar dažām VID sistēmām - jāsaka, ka tur ar realizāciju un kvalitāti arī ir pasmagas problēmas - piemēram, VID atpakaļ uzņēmumu grāmatvežiem izsūta kaut kādas atskaites RTF formātā, kuras saģenerētas tik kruti, ka gan Word, gan OO pie katras darbības ar šo RTF pakaras.

 

Tā kā kādus dažus procentus varbūtību var arī atstāt, ka tiešām kāds students konkrēto lietu programmējis, bet neticu, ka tad kāds vecākais programmētājs nebūtu to koda daļu pārbaudījis.

[MIGs]

Tikai kakova H atbildību cenša suzgrūst adminam, kuram pēc definīcijas nav jāskatās tajā programma skodā ?!

Jā intrusion detection, access logi utt uz to pusi bumbiņu var velt, taču piemēram lai varētu monitorēt kautkādus apjomus no vienas IP vajadzētu vispirms definēt cik ir normāli un cik nav normāli. Jo kā gan savādāk admins zinās ka sir normāli un kas nav ?! Sakārtojot ierakstus pēc lielākā ?!

Da bļin pie sienas te daži resnvēderi jāliek, ne vainīgie admini jāmeeklē. Zagļu un idiotu tauta ! Zagļus savēlam - idioti esam jo to daram un pieļaujam, ka tie zog.

[Aleksejs]

Par šādām lietām pirmais atbildīgais ir "datu valdītājs". Jebkurā IT drošības vai IT vadības rokasgrāmatā ir šis termins, šķiet šāds termins ir arī minēts MK noteikumos vai citos saistošajos dokumentos (LVS ISO/IEC 17799 “Informācijas tehnoloģija. Prakses kodekss informācijas drošības pārvaldībai”, LVS ISO/IEC TR 13335-1, 2, 3 “Informācijas tehnoloģija. Vadlīnijas informācijas tehnoloģijas pārvaldīšanai”, LVS ISO/IEC 12207 “Informācijas tehnoloģija. Programmatūras dzīves cikla procesi”). Piemēram te: Information security management handbook

The responsibility of the data owner is to monitor the sensitivity of the data stored or processed by a system. This includes determining the appropriate levels of information classification, access restrictions, and user privileges. The data owner should establish or approve the process for granting access to new users, increasing access levels for existing users, and removing access in a timely manner for users who no longer require access as a part of their job duties. The data owner should require an annual report of all system users and determine whether the level of access each user has is appropriate. Rhis should include a review of special access methods such as remote access, wireless access, reports received, and ad hoc requests for information.

Vispirmām kārtām ir atbildīgs tieši "datu valdītājs" un tikai pēc tam _varbūt_ kāds mistisks sisadmins, kuram deleģēta kādu funkciju veikšana.

[VIL]

Lai zinātu, ko darīt, ir pilnībā jāsaprot, kas un kā noticis.

Kas vainīgs, tas ir valsts iestādēm raksturīgs jautājums.

[Aleksejs]

Kas attiecas uz sistēmām, kas satur sensitīvu personas datus saturošu informāciju, Datu Valsts Inspekcijai ir likuma ietvaros dotas ļoti lielas pilnvaras veikt pārbaudes jebkurā no šādām sistēmām (un patiesībā visas no svarīgajām sistēmām satur sensitīvus parsonas datus). Viņiem tad arī būtu jābūt iniciatoriem un jautājuma "ko darīt" risinātājiem.

[Mastermind]

Jebkurā gadījumā vainīgo pēc definīcijas var būt tikai 2 varianti:

1) kāds ļaunprātīgs "fīčas" pasūtītājs, lai kas tas arī būtu;

2) VID vadošās amatpersonas par nolaidību - vai tika konstatēts šis caurums un vai tika dots rīkojums to salabot? Apšaubu vai revīzija un audits vai softa izstrādātājs finansiāli garantē softa darbību un drošību.

 

Pastāv trešā iespēja - vainīgs nav neviens - tas ir tad, ja šāds caurums nekad nav ticis atklāts un tas ir kā pārsteigums - testētāji palaiduši garām, audits nav konstatējis, VIDam arī po! Tad teorētiski pat nav īsti neviens atbildīgs.

 

Bet vienkārši pēc definīcijas nav iespējams, ka vainīgs varētu būtu sistēmadmins vai pat programmētāji. Nu nav viņiem tāda atbildība un tas nav viņu pienākums un nevar būt viņu pienākums atbildēt par 3ās personas gļukiem! Pat ja gļuku pieļāvis Exigen, tik un tā diezvai Exigen ir devis garantijas, ka, ja kaut kas, tad mēs maksāsim pēc pilnas programmas. Nē, tā nemēdz būt.

 

Gudele ar šo visu parādīja, ka ir pilnīgākā id***e šai jomā un labāk paklusējusi vismaz šoreiz.

[ABU]

Bet toties tautai tagad ir ko vainot - vainīgs ir sliktais adminis ...

Parastai tautai jau ir viens pīpis, kas ir adminis, programmētājs vai testētājs. Viņi visi ir slikti ...   

[e = d]

datu valdītājs ir atbildīgs uz papīra. Jā, tā raksta gudrās grāmatās. Bet dzīvē viss ir savādāk

Divi biežākie gadījumi. Reizēm pat apvienoti.

1) ITišņiki visus uzskata par lameriem un tādam datu valdītājam nav lielas teikšanas

2) datu valdītāji uzskata, ka tā visa tehniskā herņa nav priekš viņiem un lai ITišņiki paši ar to ņemas.

 

šeit pēc papīriem droši vien vainīgs nebūs neviens. bet, tā kā vainīgo vajadzēs, tad tā loma tiks malējām (kuram vismazākās iespējas skaļi bļaut pretī). Un tas ir, protams, admins!

[Aleksejs]

tankali, jā - diemžēl realitātē tā arī notiek. Taču atbildība paliek atbildība.

[Mastermind]

Interviju publicējis Kas Notiek Latvijā šeit:

http://www.knl.lv/raksti/1027/

 

Daži spilgtākie citāti no it kā "NEO" tekstiem (es saku "it kā", jo apzinos, ka tur bijis tikai čats):

 

Otrkārt, pieprasījuma URLī bija jāmaina dokumenta id. Nekādu iespēju uzzināt pirms lejupielādes, kuri id atbilst kādām iestadēm, nebija. Atlika tikai secīgi pārlasīt visus id.

Nu tas tā kā būtu bērnam skaidrs.

 

Par to, ko es esmu lasījis / redzējis no Latvijas. Varu pateikt - Jakāns pilnīgs idiots, Gudele cenšas līdzināties, visi pārējie cenšas vainu novelt cits uz citu Arī Zalāns izceļas - sācis reklamēt savu ID karšu projektu, lai gan viņa apgalvojums par to, ka ID kartes veicinās datu drošību / mazinās datu noplūdes briesmas ir pilnīgs bleķis. Tas ir tāpat, kā pateikt - pasu ieviešana mazinās risku tikt apzagtam vai aplaupītam. Pie tam caurums vienotā sistēmā var pavērt ceļu nokopēt daudz reiz lielāku datu apjomu.

Šis bij sulīgi!

 

Atmaskot izzadzējus ir lielais organizācijas mērķis. Neviens nesolīja, ka tieši ar šiem datiem var visus noķert. Bet šos datus apstrādājot un nedaudz anonimizējot var dot analītiskajiem žurnālistiem, lai rok.

un par vainīgajiem:

Vainīgi ir VIDs, „Exigen” un vēl kādi citi (auditori). Katram sava vaina. Bet vislielākā vaina jāuzņemas tiem, kas organizēja valsts IT projektus, rūpējoties tikai par to, kā pēc iespējas vairāk izpumpēt naudu atpakaļ sev, partijas melnajām kasēm.

 

un vēl un vēl un vēl... Īsāk sakot - izlasiet pašu visu līdz galam!

[Jeasus]

Ja vainigi ir visi, tatad- neviens.

[Žaks Noriss]

Tēmas apvienoju!

[Konstatators]

Atbildība, atbildība... Nu nepazīst valsts pārvaldē pie mums tādu vārdu!

Un jūs vēl šinī banānu dižvalstī gaidat ka "augša" atbildēs par JEBkādiem sūdiem? Vienmēr taču visu novels uz "mazajiem" un viss beigsies ar to, ka mazie dabūs (ne) pēc (saviem) nopelniem, vainīgie turpinās tādā pat garā. Tauta pašūmēsies pāra nedēļas, un tad jau nāks citi sūdi un vecie aizmirsīsies...

To paskatās kaut vai uz tiem pašiem nodokļiem - pamēģini, tu mirstīgais, 50 lašus nomaksāt novēloti, aizmirst nomaksāt, whatever - uzreiz ir no VIDa "mīlestības" vēstule, ka jūs skaitaties nodokļu nemaksātājs, briesmīgais valsts ienaidnieks. A tiem, kas miljonus parādā par nodokļiem, tur šis dienests tik plāta rokas... "Mums iepriekš nav bijis šāds precedents, nezinam ko (drīkst) darīt..."

 

Tad ko vispār runāt...

Labots Februāris 17, 2010 - A-kalvis

[Mr. Nejēga]

Nu izskatās, ka katrai iedzīvotaju grupai vajag savu krīzi valstī, lai saprastu, kas par pī te ir. Tagad mēs, Datoriķi, redzam, kāda tufta te notiek. Nu ko, sākam atkal runas par evakuāciju?

 

Ja nopietni, nu tad intervija ir zelts. It īpaši patika, kā pats intervētājs no emotikonām nebaidījās. Bet nu fakts, ka tīri teorētiski likums neazilied šādu darbību pēc panta, tas nu nekāds brīnums nav.

[Mastermind]

Intervējams pateica tieši un trāpīgi - daudz patiesības par IT līmeni Latvijas Republikā - man jau tāda nojauta par to ir ļoti sen...

 

P.S. Kaut kā gribētos, lai "niknais moderators" Žaks Kustō man noņem warningus (veselus 20%), kurus uzlicis man tikai par to, ka es uztaisīju jaunu tēmu, nevis ievietoju šajā tēmā šo ziņojumu - kaut kā nejūtos "noziedzies"!

Labots Februāris 17, 2010 - Mastermind

[Aleksejs]

Katrā gadījumā - ja arī tas nav īstais NEO, tad šoreiz visas tehniskās nianses ir aprakstītas ļoti ticami un nekādas astrālās muļķības cauri nespiežas.

Kā arī piebilde par "organizācijas šūnu modeli" utt utjp - nozīmē to, ka ir vismaz kaut kas zināms par konspiratīvo organizāciju veidošanas un vadīšanas metodēm.

[Žaks Noriss]

1. moderators ir "cienījamais" nevis "niknais"

2. tas, ka tu neredzi dienas aktuālāko tēmu, nav nekāds attaisnojums

3. savas problēmas ar mani jau sākām apspriest privāti, nav pa visu pasauli jābazūnē

 

EDIT:

4. viena wārna tev atgādinās par iespēju izmantot meklēšanas iespējas

5. kaut kā neesmu saņēmis ziņas no citiem biedriem, ka būtu dikti nikns vai netaisnīgs

Labots Februāris 17, 2010 - Žaks Kustō

[Mastermind]

Aleksejs, citāts un mans komentārs pēc tā:

Par izvēlēto šūnu modeli - jo vairāk cilvēku fiziski viens otru pazīst, jo lielāks risks visiem iekrist, ja kādu aiztur.

Faktiski šādas metodes ir arī spiegiem, piemēram, 60tajos gados kāds pazīstams padomju spiegu tīkla vadītājs ASV (vārdu nepateikšu) tieši tā arī tika notverts, jo kāds no viņa padotajiem bija viņu redzējis un zināja, kur viņš dzīvo! Tā bija spiegu kļūda, ka šis spiegu vadītājam padotais spiegs tika aicināts ciemos vienu reizi un viss - tīkls izjuka.

[Mezavecis]

Šodien jāskatās KNL, kādus pekstiņus mūsu dižgari šoreiz sagudros

[Igelkott]

Vienmēr vainīgs būs "mazais nelietis - admins" ar briezajām brillēm un tulznu uz rādītājpirksta.

Vai tulznainu sauju un rādītājpirsktu. bet tā nu tas mūsu Banānrepublikā ir: pēc nopelniem saņems tas, kuram mazāka aizmugure. Tā tas laiku laikos bijis... Bet būs interesants KNL šodien, laikam pa pēdējiem mēnešiem pirmo reizi tajā laikā nesēdēšu ieracies kompī, bet lūrēšu Bāni Jomburu...

Žak Kustō - "1. moderators ir "cienījamais" nevis "niknais"" - moderators var būt "augsti godājams", vai moderatore - "ļoti (ie)cienīta".

[Raimonds1]

Interesantākais ir tas, kā atšķiras info, ko var iegūt kaut vai lasot portālus un ko iegūs vidējais latvietis tē vē un radio.

 

Vai tad tādam sistēmam nav jābūt visu informāciju pieprasījumu kopistiskajam sarakstam un tā daudzmaz regulārai salīdzināšanai ar autorizēto lietotāju "'sarakstiņiem"" - tipa kontrolsummu pārbaudei?

[Mastermind]

Raimonds1 - tu esi jocīgs, vai?

Uztaisīs haļavas pieprasījumus bez ielogošanās, izmetīs errorus, tas ielogosies un tad līdzinās te kaut kādas checksummas?

Nē, tas pat ir jārisina nevis administratoram, tas jārisina ir kodēšanās līmenī - precīzi logi un brīdinājumi par neautorizētiem piekļuves mēģinājiem - logu analīze jau ir tikai rezultāts - normāli būtu, ja to arī veiktu kāds speciāls softs.

[MarisO]

Parasti tam pie vainas ir darba dalīšana, kur atsevišķas daļas programmē nekompetenti programmētāji vidusskolas līmenī

 

Ko ta var gribēt no cilvēkiem, kuri tur strādā par minimālo algu?

[Igelkott]

neteiktu, ka valsts iestādēs par "minimālo" cēla augšā visu šito.. tas taču riktīgs poc ar mec.

[JanB]

Bonifācij - "poc ar mec" tas ir tiem, kas pie šprices, nevis tiem, kas pie klaviatūrām.

[NormaalsCilveeks]

Lords Bonifācijs

 

diemzēl visas šīs ūbersistēmas ir 70% vietējo valsts iestāžu darbinieku taisītas par minimālajām un pēcāk izgrieztas "pēc pilnas programmas"

 

bāzes stāsts kāmazgā naudu pipeļvaroņi ...

 

Cilvēciņam kurš strādā valksts iestāde par "vietējo pragrammieri" piedavā uztaisīt projektiņu X par "algas apjoma prēmiju"

Bosi paralēli noslēdz līgumu ar "savējo" IT firmu par ta paša izstrādi ar abpusēju atkatu

Cilvēciņš uztaisa sistēmu kā vien mācēdams un pēc labākas gribas un saprašanas ...

to visu bosi atdod ITkantorim

un IT kantoris iesniedz to kā savu garadarbu fanfarām skanot

 

PS. VIL neredzi vēstures atkārtošanos ar kādu pagājuša gadutūkstoša megasistēmu ?

Labots Februāris 17, 2010 - NormaalsCilveeks

[Raimonds1]

Bet nu izdarīja arī - grāba visu pēc kartas, piekļuve tipa visiem, kas zināja adreses, ko meklēja, kas meklēja, akd meklēja, ko vajadzēja īpaši, kas bija galvenais intereses objekts - kā izskaitļos? Kuram būs problēmas dēļ skaitļiem, kuram dēļ adresēm un numuriem?????

Edit:

http://www.tvnet.lv/zinas/latvija/304494-datu_zaglis_neo_kluvam_nekaunigaki_un_nekaunigaki

Pie tam, lai netraucetu parastiem lietotājiem (EDS ir bremze, GetDuf.aspx vēl lielāks), mēs parasti datus kopējām ārpus parasta lietotāja darba laika. Tā kā mūsu ģenerētajam trafikam tiešām bija jākrīt acīs."

Labots Februāris 17, 2010 - Raimonds1

[spitaligais]

Jautājums offtopikā:

 

Kādam nav paslēpies kāds links, kur skatīties LTV1 onlainā ne-lattelecom klientiem. Nav pieejas teļļukam, bet gribās noskatīties šo raidījumu, principa pēc.

 

 

[Aleksejs]

Raimonds1 - tu esi jocīgs, vai?

Uztaisīs haļavas pieprasījumus bez ielogošanās, izmetīs errorus, tas ielogosies un tad līdzinās te kaut kādas checksummas?

Nē, tas pat ir jārisina nevis administratoram, tas jārisina ir kodēšanās līmenī - precīzi logi un brīdinājumi par neautorizētiem piekļuves mēģinājiem - logu analīze jau ir tikai rezultāts - normāli būtu, ja to arī veiktu kāds speciāls softs.

Jā, tam visam ideālā gadījumā būtu jābūt, taču ne par kādu IDS šajā gadījumā pat neiet runa - te ir "WTF klases caurums", kura esamību paredzēt nav triviāli. Ja jau viss būtu ļoti pareizi taisīts, tad nemaz nebūtu šāda cauruma. Savukārt, ja tas ir (pēc vienas no hipotēzēm) politekonomiskais pasūtījums, tad arī IDSā būtu attiecīga "ignorēšanas" funkcionalitāte.

 

Drošības interesenti lasiet "Extrusion detection" - jo šis ir tieši "extrusion" gadījums un Beitliha blogu - http://taosecurity.blogspot.com/search?q=extrusion

[NormaalsCilveeks]

Nu ko skatam KNL pa LTV1

būs interesanti paklausīt ko ierēdniši melos ...

[Aleksejs]

Agris ir viens no ekspertiem - tas priecē!

 

+ ieleja Google + tor

 

ja viņus saņems ciet - tad gaidiet thepiratebay torrent failu

[Aleksejs]

"informācija par lejupielādētām datnēm ir patiesa"

[rubb]

Gan jau audits bija formāls... vai arī auditori auditēja GUI izskatu un to, cik User friendly ir interfeiss, nevis meklēja caurumus

Šitādus caurumus māk atrast/izmantot praktiski visi skript kidiji, bet nopietns IT kantoris šo neatrod... savādi. Un lai tik nemuld, ka VID paši izdomāja testa vidi laist produkcijā - kur papīri/brīdinājumi par to?

Labots Februāris 17, 2010 - rubb

[Aleksejs]

O! Jā - versija par izstrādes vidi gūst apstiprinājumu (Exigen šefs runā par ekspluatācijas vidi)

[(...)]

Ar šito visu sviestu skatos, vienvārdsakot trūkst vārdu. Pieņemu, ka tie serveri stāv valsts iestādē un tur vairāk jautājumu nav.

 

"ieslēdzot slēdzīti utt." kā tad, slēdzītis viņam pie pakaļas tagad ir.

Labots Februāris 17, 2010 - Bart

[Aleksejs]

Ja tā nav Exigen gulbja dziesma, tad šī ir pirmā prāva, kuru es zinu par reālu programmizstrādātāja saukšanu pie atbildības.

 

Testētāji testē funkcionalitāti - starp funkcionalitātes testēšanu un drošības testēšanu ir milzu atšķirība.