Ar santehniķi pret atombumbu (13)
Autors: Juris Kursietis
Publicēts: 2010. gada 3. marts 10:32
Atslēgvārdi: , , , , , .
x

Nosūti raksta adresi draugam.

Mūsdienu pasaule ir tik datorizēta, ka, lai “iztīrītu” banku, noziedzniekiem vairs nevajag rakt tuneļus un uzlauzt seifus. To var izdarīt ar datoru. Protams, tas ir tikpat grūti, kā zem bankas izrakt tuneli, izkalt dzelzsbetona grīdu, atslēgt sensoro signalizāciju, atmetināt seifu un pēc tam, nevienam nemanot, no nozieguma vietas aizbēgt. Taču tas nav neiespējami.

Mūsdienās ja ne pirmais, tad prioritāšu saraksta trijniekā svarīgākais ķēdes posms katras valsts un uzņēmuma drošības sistēmā ir aizsargāts datortīkls. Tāpat kā cilvēks, kuram ārsti likuši nojaust par palielinātu vēža risku, nepaliks vienaldzīgs un ik pa laikam veiks izmeklējumus un spers profilaktiskus soļus, lai novērstu slimības aktualizēšanos.

Grūti pateikt, kāpēc šāda pamatota uzmanība datortīklu aizsardzībai nav vērojama pie mums, vismaz valsts datu sistēmās.

VID EDS sistēmas noplūdi varētu salīdzināt ar pacienta nāvi.

Zināšana par vēža iespējamību tikusi ignorēta, un zāļu nelietošana ir sistēmu nobeigusi, un, ja tas būtu privāts uzņēmums, bankrots (nāve) būtu pieteikts jau divas dienas pēc fakta nākšanas klajā.

Uzticamība pakalpojumam ir zudusi.

Kad TV3 vajadzībām filmējām stāstu par kibertelpu un drošību tajā (filma Hakeri), eksperti no ASV, Skandināvijas, Igaunijas un pat Indijas kā viens apgalvoja – ir vajadzīgs konkrēts plāns, kā rīkoties X stundā. Latvijas varas iestādes toreiz mums stāstīja, ka par kaut ko tādu tiekot domāts, bet jau tagad (tas bija 2009.gadā) valsts iestādes zina, kā rīkoties, ja notiek kiberuzbrukums.

Skaisti, bet vai nav svarīgi arī pastāstīt šīm valsts iestādēm, kas īsti ir kiberuzbrukums? VID gadījumā to var salīdzināt ar atombumbas uzmešanu, kā rezultātā netiek izsludināta vispārēja trauksme, bet gan zvanīts santehniķim, lai atnāk paskatās, vai pods strādā.

Es negribu aizvainot valsts policiju (VP), bet domāju, viņi piekritīs, ka šādās situācijās VP īpaši daudz nevar palīdzēt. Tā teikt, pirkstu nospiedumus no klaviatūras nenoņemsi.

Mums ir virkne iestāžu (DDIRV, CERT), kuras tieši šādiem mērķiem domātas. Taču zvans no VID kritiskajās dienās tā arī neieskanējās, un tagad lauzēju pēdas, visticamāk, jau aizskalotas kopējā kibertelpas jūrā.

Protams, šādas problēmas pastāv ne tikai VID. Kā filmā stāstījām, ja gribēs – uzlauzīs visu un sliktākajā scenārijā atstās mūs bez elektrības, ūdens, mobilajiem sakariem un ar tukšiem banku kontiem.

Pārspīlēt, protams, ir vienkārši, bet, to nedarot, cilvēks neaizdomājas.

VID gadījums ir sīkums salīdzinājumā ar, piemēram, Valsts sociālās apdrošināšanas aģentūras datu bāzes uzlaušanu. Vai kādam šodien vēl vajag pierādījumus, ka tas ir iespējams?

VID datu bāzes uzlaušana (jo šeit nevarēja tāpat ienākt – kādam bija jāpēta, jāmēģina iekļūt, un tas jāuzskata par uzlaušanu) pat varbūt ir labs ģenerālmēģinājums mums, jo šoreiz nauda no Valsts kases kontiem nepazuda (tas gan netieši var notikt, ja virkne uzņēmumu nolems VID, tātad valsti, sūdzēt tiesā par datu noplūdi).

Manis minētais scenārijs ar sociālās apdrošināšanas datu bāzēm gan var nebeigties tik labi. Kā nekā, sociālais budžets 2010.gadam ir Ls 1 188 633 939.

Problēmas ir ne tikai valsts tīklos. Taču privātie atšķirībā no valsts jūt vairāk atbildības par finanšu līdzekļiem, tāpēc tos arī vairāk aizsargā.  Jau minēju – uzlauzt var visu, vajag tikai vēlēšanos. Un ar miljardu paspēlēties var sagribēties nevienam vien, pensijām nonākot kāda Dienvidkorejā sēdoša hakera bankas kontā.

Juris Kursietis ir dokumentālās filmas “Hakeri” režisors

Redakcijas piebilde. Pagaidām vienīgā valsts reakcija (ja neskaita kriminālprocesu) uz EDS datu bāzes nokopēšanu ir bijusi VID atzīšanās, ka nav ziņojuši speciāli izveidotajai valsts vienībai, jo “savu instrukciju izpratnē” notiekošo nav uzskatījuši par kiberuzbrukumu. Pagājušajā gada vasarā valsts aizsardzības nolūkiem izveidotā Satiksmes ministrijas padome ir sanākusi trīs reizes, pēdējo reizi pēc notikuma, un arī secinājusi to pašu. Saeimas Nacionālās drošības komisijas priekšsēdētājs Māris Kučinskis atzinis, ka normāli aizsargāti ir tikai NATO standartu dati, pārējās jomās valda “koordinācijas anarhija”.

x

Nosūti raksta adresi draugam.


Komentāri

nu nav aizskalotas pēdas. tač paskatieties log failus no kurienes kas slēdzies un kāds trafiks ir bijis un tagad sadarbību ar e-pasta serveriem un uzzinās no kurienes neo savas vēstules zipā ārā… jei bogu

Juris, nevajag pravietot. Pats lieto windows XP tādā veidā ziedojot ilgtermiņa drošību īstermiņa ērtību labā.

Pastāsti arī varbūt kā “Nekā Personīga” jaunajā gadā sūtot apsveikuma e-pastu nopludināja visu NP ziņotāju e-pastus un personības.

Drošība lielā mērā ir stimula jautājums, bet pie mūsdienu biznesa vajadzībām funkcionalitāte tiek izvirzīta priekšplānā. Tas par privātajiem un drošības nodrošināšanu ir mīts.

Varu apsveikt ar neizdevušāk nosauktās filmas titulu un galvenā varoņa “hakera” neautorizēto lidostas tīklu uzlaušanu.

>>> Mums ir virkne iestāžu (DDIRV, CERT), kuras tieši šādiem mērķiem domātas. Taču zvans no VID kritiskajās dienās tā arī neieskanējās un tagad lauzēju pēdas, visticamāk, jau aizskalotas kopējā kibertelpas jūrā.
==========
Es šim apgalvojumam nepiekrītu. Pēdas, visticamāk, ir ļoti daudzas palikušas un rodas arvien jaunas. 4ATA ļaudis taču joprojām turpina komunicēt – viņi veido ierakstus Twitter; viņi izliek publiskai apskatei failus. Viņus noteikti nav grūti atrast – cita lieta, ka viņiem nevar izvirzīt apsūdzību, jo nevienu likumu jau viņi pagaidām nav pārkāpuši.

Kam gan es piekrītu – valsts iestādēm daudz nopietnāk ir jāaizstāvas pret uzbrukumu draudiem nākotnē. Savukārt vienkāršajiem cilvēkiem, ja viņi dara kaut ko tādu, ko policijai nevajag zināt, varētu ieteikt izmantot kādu pietiekami anonīmu Interneta pieslēgumu (Lattelecom mājas DSL pakalpojums neder – jo tas ļauj noskaidrot Jūsu dzīvokļa adresi pēc Jūsu IP adreses; kaut kādas skolas vai augstskolas datortīkls ir daudz labāks; arī ārzemju Internets, protams). Un doties iekšā nevis “pa taisno” no savas adreses, bet gan izmantojot starpniekserveru ķēdīti. Viens no populāriem anonimizēšanas rīkiem ir Tor (starpniekserveru tīkls pieejams kā Firefox spraudnis) – par to ir interesējušies arī jaunie Linux datorlietotāji pie mums Latvijā: Sk. http://blackhalt.wordpress.com/tag/tor/ .

Ja visi apzinīgi lietotu kaut vai šo te Tor – tad Drošības Policijai nebūtu iespējams tik viegli aizturēt cilvēkus par “naida runu”, par “pļāpāšanu par lata devalvāciju” un citām valdošajai elitei nepatīkamām lietām. Tur, kur vajadzīga vārda brīvība, tur ir vajadzīga arī mērena anarhija. Un proxy-serveri tādu spēj nodrošināt.

Droši vien vajadzētu aprakstīt dažādus ar datoru drošību saistītus jautājumus vienkāršam lietotājam saprotamā valodā, lai cilvēki zinātu, kuros gadījumos valsts viņus var izsekot un kā no tā izvairīties.

1. Vairums nozagto datu taapat buutu bijis jaapublisko. Kaapeec kaadam buutu jaasleepj cik kursh sanjem, kaut vai pensijaa? Protams nesankcionaates datu manipulaacijas ir cita lieta.

2. Manupraat ciiniities pret identitaasju zadzeejiem utt var padarot maksimaali daudz datu publiski pieejamus.

3. Mums visiem jaakljuust par lielajiem braaljiem nevis kaadam izredzeetam ar iipashaam piekljuveem (piem VID finansju policijai)

Šie spriedelējumi ir bērndārznieku līmenī. Tā vietā, lai pajautātu domas kādam IT jomas lietpratējam, pie mums izsakās visādi režisori, žurnālisti, studenti. Pat Jakāns, kurš IT jomā ir nulle bez kociņa – bet visiem ir Viedoklis!

”VID EDS sistēmas noplūdi varētu salīdzināt ar pacienta nāvi.” – UN JA NU pašreizējo stāvokli labāk raksturotu vārds ‘koma’ ?-t.i., kāds Neo, Geo vai Feo ir INFICĒJIS VID EDS sistēmu ? BEZ jokiem – tāds variants tak’ nav neiespējams, vai ne ?
ES pats tikko saņēmu no vienas iestādes paziņojumu par savu 2008.g. sniegto un toreiz apstiprināto 3-īs citās iestādēs anulēšanu (neatbilstību patiesībai) – iemesls esot VID ziņojums, to gan ierēdnis minēja tikai mutiski. BAIGI ‘interesantās’ lietas sāktos, ja VID EDS sistēma tiešām bija/tiek inficēta – un iepriekšējos gados ievadītie dati tiek pārveidoti. VAI TAD KĀDS cietais rieksts 4 spētu glābt VIS un Latviju ?
http://www.imdb.com/title/tt0337978/

>ĀPSIS:”(..)Kam gan es piekrītu – valsts iestādēm daudz nopietnāk ir jāaizstāvas pret uzbrukumu draudiem nākotnē” – VALSTS IERĒDŅIEM vairāk ir jārūpējas par ‘caurumiem’ savās galvās, lai pēcāk nebūtu jāvaimanā par ‘caurumiem’ elektroniskajā bāzē ! SARAŽOT n-tos gigabaitus un n-tās instrukcijas, kas tikai traucē biznesam un tad iepirkt un tērēt naudu to apsargāšanai ?
PRĀTIŅ, nāc mājās ! IT spečukiem jau par to prieks – vairāk ‘noslēpumu’, vairāk darba ??

Pēc http://www.knl.lv/raksti/1027/ teiktā var spriest, ka dati kopēti (grūti to saukt par zagšanu, ja tos var lejuplādēt anonīmi) izmantojot ssh tuneļus, starpniekserverus (proxy) vai tor. Līdz ar to, pēdas ir sarežģītas un grūti uztaustāmas.
No publiski pieejamās informācijas šķiet, ka VID tos serverus īpaši pieskatījis nav, un ar žurnāliem viņiem varētu būt problēmas.
Vairāk skat. http://odo.lv/Blog/100216 un valsts reakciju http://odo.lv/Blog/100301

To, ka valstiskā līmenī ar IT lietas ir nesakārtotas, liecina daudzi ministriju, valsts iestāžu un pat prezidenta mājaslapas uzlaušanas gadījumi jau vairāku gadu garumā. Diemžēl no tiem signāliem neviens secinājumus neizdarīja. Tas nu Latvijai ir raksturīgi – kaut ko darīt (pat ne darīt! tikai gudri runāt par to, kas būtu bijis jādara) tikai tad, kad gandrīz lielākie iespējamie sūdi ir jau notikuši :(

un ko Zinovjevs teica par šito?

11.
Korectors>autoram
2010. gada 5. marts, 16:28

Atlaid, žīdiņ … ir tāds teiciens. Tekstā vairākkārt minēts – “uzlauzt var visu, vajag tikai vēlēšanos” … tīrā demagoģija! Uzlauz Googli, lūdzu – lai meklētāja lapā parādās kāds foršs sauklis :-) Nekas nesanāks “uzlauzt var visu” daudzinātājs. Panikas cēlājs tu esi. Pasaulē viss ir savstarpēji saistīts — vienkārši nav iespējams, ka uzlauž Latvijas Bankas lapu un pārskaita tiko no SVF ienākušos 100 miljonus uz Nigēriju. Tā ir tukša muldēšana. Nākamreiz parūpējies par reāliem datiem, kur VALSTS datu bāzes vai servera uzlaušana ir rezultējusies ar reālas naudas pārskaitījumu, ne tikai morālu kaitējumu prestižam.

VID datu noplūdes gadījumā instrukcijas, kā rīkoties X stundā, ir bezjēdzīgas, jo datu noplūde jau ir notikusi. Jādomā bija agrāk par to, kā parūpēties par sistēmas drošību. Protams, visi esam cilvēki un varam kļūdīties, bet konkrētajā gadījumā tā vairāk izskatās pēc sistēmas izstrādātāju paviršības.

Tāpat EDS “uzlaušanu” grūti klasificēt kā nelikumīgu darbību, jo internetā kaut ko “pētīt” nav aizliegts, kamēr vien netiek apietas drošības sistēmas (parole, autorizācija utt.). Šāda rīcība var būt neētiska, bet tiesiskā valstī nevar notiesāt cilvēku tikai tāpēc, ka kādam viņa rīcība nepatīk.

Turklāt es piekrītu, ka noplūdušie dati būtībā nav nekas tik nopietns, ka tas varētu apdraudēt sabiedrības drošību. Šī atklātība daudziem nepatiks, bet te jau minēja, ka ir valstis, kur šāda informācija ir pat publiski pieejama.

Man gan bija interesanti uzzināt, cik saņem ceļu bedrīšu lāpītāju priekšnieki siltajos kabinetos . Tikpat labprāt uzzinātu no VSAA datu bāzes, kuri viltnieki sev izkārtojuši 1000+ Ls pensijas vai bērnu pabalstus.

Vēl šajā sadaļā
Viesi raksta » Valdis Krastiņš
Kas mūs īsti sagaida pēc vēlēšanām? (35)
Valdis Krastiņš

Valsts kontroliere Ingūna Sudraba TV intervijā (LNT, 900 sekundes) konstatēja, ka apmēram pusotru gadu pēc „aizdevumu ēras” sākuma valdībai joprojām nav ekonomikas stabilizācijas un attīstības [..]

Lasi visu »»
Viesi raksta » Pēteris Strautiņš
Pretī darbīgām vecumdienām (230)
Pēteris Strautiņš

Nesen (19.martā) Finanšu ministrijā daži drusku vairāk informēti eksperti stāstīja citiem drusku mazāk informētiem ekspertiem par to, kā sabiedrības novecošanās nākotnē varētu ietekmēt Latvijas valsts [..]

Lasi visu »»
Viesi raksta » Mortens Hansens
Meanwhile, 26,1% later… (40)
Mortens Hansens

Since GDP reached its zenith here, in Q4 2007, the cumulative decline has been 26.1%. It is a huge decline by any standards. GDP is back [..]

Lasi visu »»
Viesi raksta
Vēlreiz par dubultpilsonību (26)
Baiba Lapiņa-Strunska

Latvijai stāv priekšā 10.Saeimas vēlēšanas. Latvijas partijas formējas, veidojas, dalās, rodas jaunas, tiek meklētas jaunas koalīcijas iespējas – viss mērķim, lai Latvijai būtu pozitīvas izaugsmes [..]

Lasi visu »»
Viesi raksta
Slīcēja glābšana slīcēja rokās (259)
Baiba Strautmane

Nesen redzēju tādu murgainu sapni. Tajā  politiski aktīvi uzņēmēji, kuri vairs nevarēja stāvēt malā, baroja Latvijas iedzīvotājus ar bezmaksas zirņiem Lido restorānos. Un iedzīvotāji, laimīgi [..]

Lasi visu »»
Viesi raksta » Marija Golubeva
Laiks mainīt akadēmiskās tradīcijas (184)
Marija Golubeva

Vēstures un filozofijas fakultātes (VFF) filozofijas nodaļas studentu atklātā vēstule, kuru uzdrošinājās parakstīt tikai daži, ne tikai piesaistīja ievērojamu mediju uzmanību, bet arī izraisīja represīvas [..]

Lasi visu »»
Viesi raksta » Valdis Krastiņš
Sistēmas žņaugos (10)
Valdis Krastiņš

No VID noplūdinātie dati atgriežas publiskajā telpā kā pārsteidzoši, brīžam pat galvu reibinoši fakti par atalgojuma nesamērīgumu laikā, kad daudzas ģimenes un atsevišķi cilvēki cīnās [..]

Lasi visu »»
Viesi raksta
“Gaismas pils” celtniecība – bezatbildīga avantūra? (42)
Vineta Kleinberga

2010.gada 1.februārī Valsts kontrole publiskoja revīzijas ziņojumu par Kultūras ministrijas un valsts aģentūras Jaunie trīs brāļi rīcības atbilstību normatīvajiem aktiem, nodrošinot valsts kultūras objektu, to [..]

Lasi visu »»
Viesi raksta » Valdis Krastiņš
Ko mums māca Grieķija un grieķi (10)
Valdis Krastiņš

Klasiskā Grieķija mums atstājusi daudz vairāk, nekā mēs to ikdienā apzināmies. Ļoti daudziem šodienai svarīgiem vārdiem ir grieķiska sakne (kaut vai vārds „demokrātija”), skaidri norādot [..]

Lasi visu »»
Viesi raksta » Arturs Vaiders
Latvijai – „best ever” (11)
Arturs Vaiders, ParSportu.lv speciāli Citadiena.lv

Ne jau visu, ko mantojis no spāņu marķīza Huana Antonio Samaranča, beļģis Žaks Roge liek lietā. Vakūveras spēļu noslēgumā nebija „best ever games”, bet tikai [..]

Lasi visu »»

Mūsu draugi:

BNS LETA Lielie.lv Lursoft Robert's Books