Няма "бели" хакери, няма "черни" хакери, няма вълшебници!

Няма "бели" хакери, няма "черни" хакери, няма вълшебници!

© Пламен Тачев, "Фейсбук"



Делян Делчев е телекомуникационен инженер. Участвал е в изграждането на повечето основни телекомуникационни инфраструктури у нас в последните 20 години, като е консултирал почти всички оператори в страната, както и много в чужбина. Текстът е препечатан от "Терминал 3".


Борисов казал, че младежът, обвинен за изтичането на данните на НАП, бил вълшебник и държавната администрация трябвало да наема бели хакери на работа (К.Б., бял хакер, наричан Кристиян Белия). Това ме мотивира да напиша този, надявам се, не прекалено страшен и дълъг коментар.


Първо – предупреждение. В дългата си (вече 30+ години) ИТ кариера съм се занимавал и се занимавал с какво ли не, с различна степен на успех, но винаги внимателно съм заобикалял темата за сигурността.




ИТ сигурността си е собствен микросвят, с изключителна динамика, където познанието, каквото и да имаш, остарява с дни и аз винаги съм смятал за прекалено голямо и неблагодарно усилие граденето на кариера в тази област.


Въпреки това, макар и неспециалист, съм видял това-онова, правил съм или съм разследвал това-онова, тук-там ми се е налагало да правя или дори професионално да оценявам чужди дизайни на тема сигурност.


В този смисъл искам да отбележа, че


изказването на Борисов е популистко, радост и надежда за публиката, но дразнещо специалистите


и дори аматьорите като мен.


Прочетете следващото, с известна критичност, но се надявам да успеете да разберете какво всъщност се опитвам да кажа и къде според мен стои истинският проблем.


Проблемът с изказването на Борисов е това, че то подсказва тотално неразбиране на това, как точно се реализира ИТ сигурността, и всъщност подсказва, че администрацията може да продължи да си прави каквото си е свикнала да си прави, а отговорността за проблемите със сигурността ще се прехвърли на нови хора – хакерите.


"Черните хакери" ще са отговорни за зловредните ефекти, "белите хакери" за това, че не са ни защитили.


Основен фундамент на проблемното разбиране за това как се реализира ИТ сигурност е мисленето, че сигурността е продукт или услуга, които можеш да закупиш. Не, купуването на firewall не гарантира това, че системата ви ще бъде сигурна. Купуването на penetration testing от бели хакери, било то наети като служители или външни фирми, не гарантира, че системата ви ще бъде сигурна. Това ГДБОП да прегледа дизайна на системата ви или да проверява това или онова не гарантира, че системата ви ще бъде сигурна.


Държавна агенция (ДАЕУ, ДКСИ, ГДБОП или ИО), участваща в дизайна и изискваща прилагането на добри практики при изпълняването на системите или програмирането, не гарантира, че системата ви ще бъде сигурна. Дори спирането на публичния достъп до електронни услуги пак не гарантира, че затворените регистри и мрежи ще бъдат сигурни.


Това са аматьорски виждания. Толкова аматьорски, че могат да бъдат оценени като аматьорски от аматьори като мен.


Първото нещо, което е важно да бъде проумяно от всички радетели за ИТ сигурност, е, че


сигурността е организация и процес(и).


Ако разгледаме хипотетично създаването и въвеждането на една нова ИТ система, то какви са стъпките, необходими, за да я превърнат в сигурна?


Вероятно добър дизайн (например разделение на типовете данни, криптография, недопускане на една подсистема и интерфейси в системата да има достъп до всички данни едновременно, анализ на рисковете от компрометиране на всяка комуникация, всяка връзка, всяка подсистема и т.н. всеки компонент, машина, хайпървайзър, физически достъп, административен достъп, т.н. Изолация между подсистемите и мрежите и подобни).


Използване на подходящи хардуерни или виртуални подсистеми, така че да отговарят на нуждите на дизайна и от гледна точка на сигурността. Това достатъчно ли е? Не.


Всеки компонент, дори самата система може да бъде компрометирана. Може да изскочи експлойт, публичен или не. Хакер, вътрешен пробив, изтичане на данни, подкуп, чистачката да събори сървъра, да откачи кабела. Как да се предпазим?


Може би трябва да проверяваме за експлойти? Когато възникне информация, да тестваме (penetration testing) и ако ни засягат, да вземем мерки (vulnerability management, patch management). Системите със затворен код не можем да оправим сами, но вероятно можем да вземем мерки да изолираме проблема (подходящ дизайн на комуникационните потоци, който да позволява това, е необходим). Но въпреки това, когато се натрупват изолации, става колода от карти, така че трябва да разчитаме на производителите на хардуер и софтуер да поправят активно дефектите си и ние активно да патчваме подсистемите с тях.


Обаче какво става, ако подсистемите (да речем Windows 7) вече не са в поддръжка?


Ако се ползва софтуер, който е опън сорс/безплатен, но няма кой да извърши поддръжката, в състояние ли сме да наемем/подсигурим външен платен ресурс, който да извърши софтуерният патч, или да използваме вътрешен ресурс, който да го патчне?


А ако дадени подсистеми изискват ъпгрейд поради промяна на интерфейси (примерно Oracle спира поддръжката на стара база с данни и вие трябва не просто да инсталирате нова версия, но и да промените драйверите и дори самия код, който комуникира с базата), в състояние ли сте да го направите? Фирмата, от която е закупена системата под ключ в състояние ли да извърши това. А ако фирмата фалира, преди да изтече времеживота на вашата ИТ система? А, ако трябва да я смените?


Ако се замислите над тези въпроси, виждате, че съществуването на една ИТ система е процес и организация, които започват още отпреди проявата й, още отпреди създаването на дизайн.


Трябва още когато проектирате заданието, да имате адресирани куп рискове, като например какво правите, ако се наложи да промените изцяло дизайн, изпълнител, поддръжка и т.н. на системата. Как юридически, логически, логистично и физически и като споразумение с подизпълнителите осигурявате това?


Как ще изградим организацията по съществуването и поддръжката и подобряването и усъвършенстването на системата? Ако това не е планирано, рискувате да имате на всеки 2 г. проблеми, както има Търговският регистър. Ами парите за тази поддръжка? OPEX-а не е само заплати. Ако нямате това планирано или пък го изтънявате систематично,


рискувате отново да имате проблеми като Търговския регистър.


[Всъщност у нас има фундаментално некоректно изчисляване на OPEX-а, свързан с реалната поддръжка (например MTBF) – пример, ако сте Търговски регистър и имате 50 диска, всеки с MTBF от 10 години, то значи на 10-ата година вече ще сте загубили поне 25 диска, или средно по 2.5 на година (по-малко в началото, но след 5-ата година поне 2-3 пъти повече) – линейните изчисления на тези разходи са фундаментално грешни, линейното предположение за необходими spares и количество човешки труд – също. Първите години подвеждат, че поддръжката е с по-малка цена, и създават грешното усещане за възможност за съкращаване на разходите и даване на по-големи бонуси на мениджмънта. Превантивна поддръжка – например предварителна подмяна на дисковете, когато остареят, преди да са гръмнали, за да се намалява рискът да гърмят едновременно и да намажат RAID-а е направо нечувана по нашите земи.]


Ами работа с външни подизпълнители? Ами работа с нови под изпълнители, при условие че старият изпълнител не е добронамерен (не съдейства или дори злонамерено вреди на системите)? Ще се изненадат колко често се случва това (всъщност е правило, така че при приемането на ИТ системата от подизпълнител вие трябва да сте подсигурили максималния риск, че може да се наложи да работите в злонамерена среда и с други хора – тоест трябва ви всичко необходимо за такъв преход изначално – код, документация, права, собственост, лицензи и т.н.). А дали подизпълнителите са ви дали система с достатъчно качествен дизайн и са ви предали документация, сорс, права, лицензи и компоненти, които да ви позволят да се оправите самостоятелно, ако се наложи да решавате най лошите проблеми и рискове? Как оценявате това?


Впоследствие как проверявате, че системата работи коректно?


Как преценявате, че не е хакната (и това има много слоеве, например дали системата изпълнява всичките си функции точно както се предполага, но и дали не е хакната или модифицирана злоумишлено, или пък е компрометируема)? Тук може би можете за част от тези дейности (penetration testing) да ползвате услугите на бели хакери, но те не могат да решат другите въпроси и проблеми. Всъщност те дори не могат да ви дадат основата на сигурността. Те само могат да ви отговорят дали системата ви е несигурна. Но не могат да ви кажат, че е сигурна, нито да ви посъветват как да я направите такава генерално, а не на парче.


А ако трябва да патчнете системата за дефекти? Или да я промените, защото компонент излиза от поддръжка на производителя или възникне прекомерен проблем?


А ако пък ви хакнат, как разбирате? Ако разберете, как проследявате и откривате как са ви хакнали? Ако хакерите са изтрили всичките ви данни, вие как ги възстановявате (процедури за бакъп, bootstrap, преинсталация, възстановяване)? Как проверявате за компрометираност на самите бакъпи? Дали хакерите са имали достъп и до бакъпите и са си вкарали хака вътре, та всеки път като възстановите системата си всъщност сами я хаквате (и може да са изтрили и некомпрометираните бакъпи)?


А как откривате кога са възникнали проблемите, за да разследвате събитията (логове)? Обратно, как подсигурявате, ако хакерите достъпят логове, да не научат прекомерно много информация за вас (например пароли, които се логват в логовете)?


Как се защитавате, ако недоволен админ просто дъмпне базата с данни и я даде на приятел?


А как се защитавате от DoS и DDoS (и въобще DDoS хакване ли е)?


А криптографията? Как подсигурявате, че я има и е изпълнена коректно, така че да не издава информация (без да се налага декриптиране) или да се счупва прекалено лесно?


А какво става, когато решите най-накрая да извадите системата от употреба (може би е заменена с нова)? Дали не трябва да я изтриете много внимателно (за да не би хакер хакнал тая система, която вече не следите и не поддържате, но е оставена по дисковете, да извади любимите и вечно не сменяеми пароли на много потребителя или пък личните им данни)?


По тези теми мога да коментирам много. Но се надявам с критичните въпроси, да съм ви създал усещането, че най-важното е, че ИТ сигурността е организация и процес. Тя започва отпреди създаването на ИТ системата и завърша доста след прекратяване на съществуването й. Хакерите, консултантите, фирмите доставчици, продуктите, това са компоненти в ИТ сигурността. Но те не я създават, нито я оркестрират.


Тя се създава организационно от възложителя и той е единственият отговорен


и заинтересован тази организация, създаваща сигурността, да съществува и оперира коректно през целия необходим период.


И у нас това не е дори въпрос на законодателство. Ратифицирани директиви, наредби и дори правила от държавната агенция за електронно управление, предполагат, предлагат и допускат въвеждането и прилагането на добри практики. Но както виждаме, това не е самодостатъчно, наредбите да го допускат. Някой трябва и да ги следва.


Трябва възложителите и собствениците на ИТ системите, които са критични за държавата и обществото, да се постараят да приведат организацията си в ред, и да допускат и позволяват външен одит и анализ, както от определени за целта агенции (например ДКСИ, ДАЕУ, ГДБОП), така и от гражданското общество.


Организацията и процесите, трябва да позволяват възникването на проблем да е повод за подобрение и оптимизация, а не повод за теории на конспирациите и обвинения.


У нас заради начина на бюджетиране на държавните дружества още от времето на социализма всеки годишен разход се третира като проект, в който има основно CAPEX и приключва след купуването. Единственият OPEX идва за/по пера заплати и много трудно се приема и признава какъвто и да е друг такъв. В резултат организации, риск, сигурност, остават недофинансирани.


Европейското финансиране също не помага в промяната на мисленето.


Европейските пари финансират само CAPEX, защото се предполага, че тяхната цел е да помогнат да придобиете нещо, за което не ви стигат парите. Но не финансират OPEX, защото се предполага, че това си е ваше задължение, след като сте получили това нещо, за да си го имате, понеже сте го поискали, защото наистина ви е необходимо.


Но ние искаме неща, защото ни се искат, не защото наистина ни трябват. А, и за да извъртим едни пари. Никой не мисли за поддръжката и използването им.


Дали ще са магистрали, финансирани от ЕС, които след 2 години се развалят и не сме измислили откъде да вземем пари, за да си ги поправим, или говорим за Търговския регистър, финансиран с пари от ЕС и като му свърши пространството или остареят дисковите под системи, не са останали пари да ги подменим, понеже е били по-важно мениджмънтът да си раздаде бонуси, проблемът е един и същ – че не се мисли изначално за ползването на системата, организацията, поддръжката, рисковете и ИТ сигурността.


Има добри практики. Те не гарантират сигурност, но предполагат и целят да ви напомнят за важни компоненти в създаването на нов ИТ продукт, система или услуга, напомнящи ви да обърнете внимание на организация, сигурност, поддръжка, физически, логически компоненти, подизпълнители, комуникации и трети страни.


Хубаво е всяка система, която е критична държавна инфраструктура (НАП, ТР, съдебни системи, МВР, военни) да премине (а защо не и да се сертифицира и периодично одитира) през някоя от тези добри практики.


Цитирам някои практики – ISO 27000 + Common Criteria (не влиза в много детайли, и допуска доста празни петна, ако сами не се сетите да ги адресирате), BSI IT Grundschutz (базирана и разширяваща ISO 27000, но по-детайлна), BIS (за банковите и финансови институции, доста детайлна и фокусирана по тази тема надстройка на ISO 27000), CIS за комуникациите, британската CAPS (британският BSI), EU Security сертификацията (включ. за ИТ системи) за държавните институции и критичната инфраструктура (изисква ISO 27000 като минимум), NIA за NATO и военните (и полицейски) ИТ системи.


Етичното хакерство, както споменах, се фокусира върху прекомерно тесен фокус на осигуряването на ИТ сигурност, то е полезно и вероятно необходимо, но далеч не достатъчно условие за създаването на сигурност и гарантирането на защита.


За сметка на това може да се използва като лесно оправдание (виж Борисов) – черните хакери са ни виновни, че ни хакват. Белите хакери са ни виновни, че не са ни предпазили. Така държавната ни организация си остава чиста и безотговорна, каквото и да стане, въпреки че тя като възложител е единствената отговорна и единствено в състояние да реализира необходимото.


Всичко, което трябва да знаете за:

Ключови думи към статията:

Коментари (48)
  1. Подредба: Сортирай
  1. 1 Профил на Боби Бобев
    Боби Бобев
    Рейтинг: 1101 Неутрално

    "Това са аматьорски виждания. Толкова аматьорски, че могат да бъдат оценени като аматьорски от АМАТЬОРИ КАТО МЕН."

    И авторът твърди че има 30+ години стаж в ИТ сектора???

  2. 2 Профил на DDR
    DDR
    Рейтинг: 3642 Любопитно

    В даденият текст, вместо ”дизайн” не би ли било по—уместно да се използва ”разработка”?

    Принадлежността към дадена нация не е даденост, тя е въпрос на възпитание а след време и на осъзнат избор. Културталибан - с комсомолски плам определя кой е културен и кой чалгаджия.
  3. 3 Профил на Пуйката
    Пуйката
    Рейтинг: 858 Неутрално

    Поредния Бла Бла професор.

  4. 4 Профил на rincewind
    rincewind
    Рейтинг: 858 Неутрално

    До коментар [#3] от "Пуйката":

    Не бих казала. Май най-професионалното мнение до тук!

  5. 5 Профил на deepblue
    deepblue
    Рейтинг: 699 Неутрално

    Поредния Бла Бла професор.
    —цитат от коментар 3 на Пуйката


    Не е така .
    Делян е супер кадърен.
    Малко нещо се отвлякъл с писане.

  6. 6 Профил на lz2
    lz2
    Рейтинг: 2829 Неутрално

    Не знам дали има бели и черни хакери, ама със сигурност има ЧЕРВЕНИ хакери!

    ПравописА е поле за изява на неграмотните!
  7. 7 Профил на дерибеев
    дерибеев
    Рейтинг: 3791 Неутрално

    До коментар [#5] от "deepblue":

    това е важното

    "За сметка на това може да се използва като лесно оправдание (виж Борисов) – черните хакери са ни виновни, че ни хакват. Белите хакери са ни виновни, че не са ни предпазили. Така държавната ни организация си остава чиста и безотговорна, каквото и да стане, въпреки че тя като възложител е единствената отговорна и единствено в състояние да реализира необходимото."

    всеки коментар може и ще бъде използван срещу вас
  8. 8 Профил на plebs
    plebs
    Рейтинг: 2395 Весело

    "ИТ сигурността си е собствен микросвят, с изключителна динамика, където познанието, каквото и да имаш, остарява с дни"

    - Факт! Точно по тази логика и това мнение вече е старо. :) Всеки, който се интересува, вече е прочел и за хакнатата Федерална служба за сигурност на Русия (ФСБ). Прочел е и за отказа на Кристиян и шефа му да разкриптират компютъра му за ГДБОП. Горките, те още не знаят, че системата им за криптиране е пробита в момента, в който повече от двама знаят за нея. :)

    "Трима българи - чета с предател" :)

    "Хакерска атака, насочена срещу Федералната служба за сигурност на Русия (ФСБ), е успяла да изтегли 7,5 терабайта данни от компания-подизпълнител на проекти, съобщиха "Форбс" и руската редакция на Би Би Си." - https://clubz.bg/85719-hakerska_ataka_sreshtu_federalnata_slujba_za_sigurnost_na_rusiq

    "Шефът на Кристиян: Няма да отворим компютъра му за ГДБОП" - https://clubz.bg/85720-shefyt_na_kristiqn_nqma_da_otvorim_kompyutyra_mu_za_gdbop

  9. 9 Профил на 4ort
    4ort
    Рейтинг: 3170 Любопитно

    Баце вярва в бели и черни магии, затова носи червен конец.
    Защо тогава държавната администрация да не вярва в бели и черни хакери???

  10. 10 Профил на Незнайко в Слънчевия град
    Незнайко в Слънчевия град
    Рейтинг: 4963 Неутрално

    До коментар [#5] от "deepblue":

    Вижда се, че дълбоко разбира нещата, но е забавно, че се нарича аматьор в тази област, както и това, че критикува популистките изказвяния на управляващите, че показвали неразбиране по тази елементарна тема, така подробно представена в коментара.
    Работата на тези най-горе, е точно това - да плямпат популистки, за да ги пазбере простолюдието. А ако са някакви управници, тяхно задължение е, да назначат кадърни хора, които да се заемат с проблема и да им осигурят условия за нормална работа. Не може да се очаква от тях, да са вещи в тази материя, затова и се чува, че наричат хакерите "магьосници".
    За мен и един хлебар, който прави всусни питки, е магьосник, понеже аз нямам никаква идея как се меси и пече такова нещо.
    Относно източването на данни, това си е престъпление, без значение колко зле са били защитени.

    "Свестните у нас считат за луди, глупецът вредом всеки почита" Хр. Ботев
  11. 11 Профил на Незнайко в Слънчевия град
    Незнайко в Слънчевия град
    Рейтинг: 4963 Неутрално

    До коментар [#10] от "Незнайко в Слънчевия град":

    *вкусни питки

    "Свестните у нас считат за луди, глупецът вредом всеки почита" Хр. Ботев
  12. 12 Профил на deepblue
    deepblue
    Рейтинг: 699 Неутрално

    До коментар [#5] от "deepblue":Вижда се, че дълбоко разбира нещата, но е забавно, че се нарича аматьор в тази област,
    —цитат от коментар 10 на Незнайко в Слънчевия град


    Прост е стиганал до етапа да знае че нищо не знае.

  13. 13 Профил на doroteus
    doroteus
    Рейтинг: 2233 Неутрално

    за "бели " и "черни " хакери не знам - може би има ! Но има хакери - "злостери "!

    А. Атанасов с конспиративна теория: Течът в НАП е контролирана операция

    Снимка: Faktor.bg

    Снимка: Faktor.bg
    21 JUL 2019

    Проблемът с изтичането на лични данни от НАП не е нито организационен, нито технически, той е политически. Борисовата държава е в перманентна криза, която се предизвиква от ежеседмични скандали. Ако върнете ленатта назад, ще видите, че няма седмица без скандал. Това заяви в предаването „120 минути“ на Би Ти Ви генерал Атанас Атанасов, съпредседател на "Демократична България" .

    Оказа се, че мозъчният тръст там не спи.

    "Ние от "Демократична България" направихме много сериозен анализ за причините и сме ги извели. Първата е повсеместната тежка корупция, втората е повсеместна некомпетентност. Това са белезите на Борисовата държава. Тази реалност е опасна за всички структури, но това не притеснява властта. Коментарите от седмицата навеждат на извода, че това е контролирана операция, проведена от среди близки до властта", навлезе в дербите на конспиративна теория той.

    И поясни: "Това е направено,за да може информацията да бъде публично легализирана и медийната машина на властта да си бърка вътре, за си вади каквото си иска.... Финансовият министър, който е основният отговорник за тази криза, излезе и каза при първия си коментар: „Няма страшно, най-много някоя съпруга да разбере, че мъжът й има сметка в чужда банка. Тази дебелашка шега ми прилича на предупреждение. Започвам да си мисля дали нямат предвид конкретен човек.

    "В медиите на властта се вади много детайлна и подробна класифицирана информация, експлоанира се за определен случай, а никой не си задава въпрос от къде идват тези данни. Това може да изглежда като спекулация, но тепърва ще видим развитието на тази сага"

    "Международни отзвук е голям, той е определящ. Ние сме във всички световни медии. Това са нашите партньори Западния свят, НАТО, ЕС.... Смятате ли, че не наблюзават внимателно и не знаят какво става тук...Ние искаме Шенген, искаме да падне мониторинга, но този скандал ни убива отвсякъде", категоричен е той.

    "Обръчите от фирми и задкулисието нямат никакво желание да влизаме в Шенген. Това с което се занимава министър председателя – да разпределя порции, само това го интересува", смята той.

    На въпроса какво зависи от „Информационно обслужване“ коментира, че това е една "кутия, която се използва за разпределяне на обществени поръчки и там нищо не се случва". Там бил инсталиран вездесъщият проф. Константинов, който "също се изказа, че няма нищо страшно, защото той обича правителството."

    "Медиите затулиха информацията защо беше променено обвинението на задържаното момче. Според мен нямат доказателства. Беше съобщено, че промяната на обвинението е защото не са обявени за „критична инфраструктура“ масивите на НАП. Министърът не се е произнесъл за това. Скандалът ще затихне, но последиците ще ги виждаме постоянно", каза той

  14. 14 Профил на атанас
    атанас
    Рейтинг: 992 Неутрално

    До коментар [#1] от "Боби Бобев":

    Да. Просто е достатъчно опитен да знае, че не може да се изкарва специалист по всичко като всеки младок с една прочетена статия в wikipedia.

  15. 15 Профил на plebs
    plebs
    Рейтинг: 2395 Неутрално

    "- Каква е психологията на хакера в този случай?
    - Иска да докаже колко е велик - това е основният мотив. Иска и малко пари да вземе.
    ...
    - Не говоря за този конкретен хакер, говоря за общия случай."
    https://www.24chasa.bg/mnenia/article/7569212

    Не всичко по случая е бла-бла, но агитпропа определено е бла-бла.

  16. 16 Профил на атанас
    атанас
    Рейтинг: 992 Неутрално

    Браво на автора. Показва проблема добре и описва нужното. Всичко е в организация и правила за достъп, след това- приложения и архитектура, които гарантират работа по тези правила. Дупка в приложение няма файъруол да я спре.

    Киберсигурност експертите и хакерите наблягат на защита на мрежи и т.н. При тях липсва идеята, че изначално проблемът е в приложенията. Не е да са безполезни. Просто реално дават 5-10% защита, а врата в кода или процесите за контрол на достъпа на служителите може всяка защита да я сведе до 0.

    И много добре е описано как държавата няма грам идея как и какво да поръчва, как да проверява. Накрая в общия случай правилни фирми разпределят пари и даже и незлонамерено просто с цел печалба компрометират нещата. Ако няма изискване за архитектура и одит, защо да наемеш архитект на 3 заплати на програмист? Защо да не спестиш с евтини програмисти, които нямат опит и оставят дупки? Клиентът иска нещо си, ти му даваш нещо си. Когато се изисква ясно и се проверява, фирмите ще трябва да намалят печалбите и да плащат на опитни хора. И тогава дупки почти няма да има, а на елементарно ниво- никакви.

  17. 17 Профил на атанас
    атанас
    Рейтинг: 992 Неутрално

    До коментар [#2] от "DDR":

    Не. Разработката реализира дизайна. Без дизайн няма ясна и точна граница на разработката и се стига до проблеми и замазвания.

    Абе... Строеж(разработка) и архитектурен план плюс сметки на строителен инженер(дизайн ва системата). Над колиба или малка къща без архитектурен план не става. Същото е с приложенията. Вярно, скръм иделогоията отхвърли дизайн фазата, та затова и бъгави приложения бол...

  18. 18 Профил на prx15601314
    prx15601314
    Рейтинг: 339 Неутрално

    с бял или с черен важното е че го е нахакал :)))))) и то вълшебно :)))))

  19. 19 Профил на simval
    simval
    Рейтинг: 1187 Неутрално

    Там, където е въпрос на "организация и процес", нас не ни търси. Ние не сме способни на добре планирано, продължително усилие в една посока.

    Аз не зареждам в Лукойл.
  20. 20 Профил на rincewind
    rincewind
    Рейтинг: 858 Неутрално

    До коментар [#8] от "plebs":

    "Горките, те още не знаят, че системата им за криптиране е пробита в момента, в който повече от двама знаят за нея. :)"

    Дали:) успех им желая близките години:)

  21. 21 Профил на john_3volta
    john_3volta
    Рейтинг: 650 Разстроено

    Добра статия, макар и дължичка. За съжаление, нещата са такива навсякъде у нас. От светата троица на проектирането/изпълнението/поддръжката българите си избират да се кланят единствено на изпълнението. И преди беше така: ако паметникът пред НДК беше проектиран като хората, никой нямаше да го нарече 6-ъгълен 5-уйник; ако беше поддържан, нямаше да се наложи да седи десетилетия заграден, а след това да се разрушава. Булгаристан, милорд!

  22. 22 Профил на Анти Шишковци
    Анти Шишковци
    Рейтинг: 631 Неутрално

    Добре управляем хаос?
    Или казано простичко -простотия!
    Или употреба на простотията като нискостойностен инструмент от управляващите хаоса?
    От значение за националната сигурност е и капацитета на специализираната администрация, който практически от 10 г. придоби нулева стойност. Нулевия капацитет в съчетание с невероятно високите нива на уродливост на корупционните схеми доведе до най-ниски нива на качеството на дигитализация на управлението в страната. Основната причина е, че корупцията доведе до установяване на монопол от различни лобистки интереси върху отделните ключови информационни масиви в държавата, безконтролно, онлайн "отвън", което дава предимство на приближени до властта бизнес интереси, като например измами с ДДС, прикриване на контрабандни канали през митниците, манипулация на изборни данни, "източване" на пари от институции, отговорни за управлението на едни от най-големите финансови потоци в областта на кздравеопазването, земеделието, смачкване на конкуренция и т.н и т.н. Това са все фактори, засягащи най-много националната сигурност, но на съвета за национална сигурност някак си му убягват.
    Шпаклата, Т.Дончев, с единственото задължение да замазва с големия си език гафовете на властта, този път ще бъде затруднен какво да измисли, на фона на предишните си изказвания, че електронното правителство било направено, но не работело, защото администрацията била аналогова. При гафа с агенцията по вписвания заяви: Какво искате бе? Има електронно правителство! Щом се поврежда, значи има!
    Очертава се извода за добре управляем хаос.

  23. 23
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

  24. 24
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше обидни или нецензурни квалификации, обиди на расова, сексуална, етническа или верска основа или призиви към насилие по адрес на конкретни лица.

  25. 25
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

  26. 26
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

  27. 27 Профил на samoedin
    samoedin
    Рейтинг: 4036 Неутрално

    " По тези теми мога да коментирам много. Но се надявам с критичните въпроси, да съм ви създал усещането, че най-важното е, че ИТ сигурността е организация и процес. Тя започва отпреди създаването на ИТ системата и завърша доста след прекратяване на съществуването й. Хакерите, консултантите, фирмите доставчици, продуктите, това са компоненти в ИТ сигурността. Но те не я създават, нито я оркестрират.
    Тя се създава организационно от възложителя и той е единственият отговорен"

    Тия дни излезе очаквания бисер, че всичко това се правело, защото " се клатило стабилността" на правителството ! Нито дума за отговорност, нито дума за виновни ! Циркът продължава !

  28. 28 Профил на Свинчуга
    Свинчуга
    Рейтинг: 2698 Неутрално

    До коментар [#8] от "plebs":

    Пинчер-нинджа, бау-бау :)

    Обичам да грухтя и плюскам.
  29. 29 Профил на Chung Kuo
    Chung Kuo
    Рейтинг: 805 Неутрално

    С Делян сме работили заедно, той е и първият CCIE в България. Не разбирам троловете, опитващи се да омаловажат мнението на експерт като него. По отношение на телекомуникационната инфраструктура и сигурност, в България със сигурност по-компетентен човек няма. Това че е скромен, а евтини гробарчета от партийни ядки и тролски фабрики го оплюват, със сигурност не променя този факт (по-скоро още повече лъсва гьонсуратлъка и откровената тъпотия на гробарщината). Когато хора като Светльо Наков и Делян Делчев алармират по всички възможни начини, че държавната каца с мед е всъщност каца с катран и ла*на, че калинките и крадците всъщност са ни превзели, всеки човек с повече от две мозъчни клетки, би трябвало да се заслуша и замисли. Не за друго, ами експертите говорят с факти и задават правилните въпроси - нещо, което нито Доганов-Горанов, нито мутрата Боце някога някак ще направят по какъвто и да е повод.

  30. 30 Профил на Оливия
    Оливия
    Рейтинг: 302 Неутрално

    До коментар [#10] от "Незнайко в Слънчевия град":Относно източването на данни, това си е престъпление, без значение колко зле са били защитени.

    Престъпници и мошеници има и ще има винаги!!! За тях трябва да има наказание, но това не значи че не трябва да се пазим!

  31. 31 Профил на Храбър
    Храбър
    Рейтинг: 4532 Неутрално

    А дали подизпълнителите са ви дали система с достатъчно качествен дизайн и са ви предали документация, сорс, права, лицензи и компоненти, които да ви позволят да се оправите самостоятелно, ако се наложи да решавате най лошите проблеми и рискове?
    —цитат от коментар 0 на статията


    Ако съм изпълняваща горната поръчка, никога няма да дам всички елементи, така щото поръчителя да може самостоятелно да се оправя с всички възникнали проблеми.
    Както казвам "всички" имам предвид, че непременно ще оставя някакъв код, някаква хитрост, с която да си гарантирам задължителната ми анагажираност с изгражданата система.
    Просто технически (цифрово) не бих позволил на конкуренцията да ме измести лесно и бързо.

    "Безнаказаността на похищенията и произволното разполагане с притежанията на повалените стари имуществени прослойки след 9-ти септември има като пряко следствие създадената и поддържана политическа обстановка за корупция"
  32. 32 Профил на Храбър
    Храбър
    Рейтинг: 4532 Неутрално

    До коментар [#8] от "plebs":

    ОчевАдно се информираш от...научно-популярната литература.
    Такова ти е и нивото на компетенция.
    Научно-популярната литература е интересна и занимателна, но тя никога не е била надежден източник на знания, защото в нея влизат и некомпетентността на автора, който задължително не е IT (за дадения случай) професионалист, а на всичкото отгоре вкарва и своите фантазии и мечти.

    "Безнаказаността на похищенията и произволното разполагане с притежанията на повалените стари имуществени прослойки след 9-ти септември има като пряко следствие създадената и поддържана политическа обстановка за корупция"
  33. 33 Профил на Vlado Nikolov
    Vlado Nikolov
    Рейтинг: 3745 Неутрално

    До коментар [#6] от "lz2":

    Всъщност, има некадърни, корумпирани бюрократи, грижещи се за премиите към заплатите, но нехаещи за сигурността и качеството на поръчаните системи. Въпрос на интерес и много добро заплащане, ще осигури спокойната и сигурна работа на поръчания софтуер. Без пари не става.

  34. 34 Профил на pamela
    pamela
    Рейтинг: 2270 Неутрално

    Проблемът с киберсигурността е изключително сложен, защото освен до изтичане на лични данни, пароли и номера на банкови сметки кибератаките могат да доведат до срив в системата на електрозахранването или едновременното спиране на няколко електроцентрали, например. Не ми се мисли какво може да стане при хакване на софтуера на системи за управление на полетите или на движението на влаковете.
    И да, авторът е прав: дори и най-добрият дизайн със заложени мерки за киберсигурността не гарантира, че няма да има пробив. Защото предвидените мерки могат да защитят срещу сегашните вируси, но не и срещу тези, които тепърва се създават, т.е. киберсигурността е процес, който не приключва докато системата се използва.
    Разбира се, затворени системи които имат собствени мрежи без физически достъп към външни сървъри са най-добре защитени, но това не важи за сложните информационни системи на държавните организации, банките и големите фирми.
    На този фон отново пролича тоталната неадекватност на политиците. От една страна глупавите и лаишки изказвания на премиера (свикнали сме му), а от друга - "компетентните" обвинения на опозиционните лидери, които все им се привиждат конспиративни теории и които отказват да приемат, че проблемът е общ на цялата държава независимо кой управлява.

  35. 35 Профил на penetrating
    penetrating
    Рейтинг: 10873 Неутрално

    Отличен коментар!
    Това което трябва да се запомни:
    - защитата е процес, не е еднократен акт.
    - при планиране на система, трябва да се гарантира устойчивост във всичко, а тя изисква ресурси (включително и финансови)
    - собственикът трябва да е наясно, да е включен в процеса и да го ръководи
    Останалото е разходка по контролите на ИСО 27001, свързаните национални стандарти и "Комън критериа"

    Some people have got a mental horizon of radius zero and call it their point of view. David Hilbert
  36. 36 Профил на Дон Кихот
    Дон Кихот
    Рейтинг: 2682 Весело

    Една IT сеистема се смята за сигурна, докато не я хакнат. което се случва и със смятаните за най-защитени системи в света. Това е тъжната разносметка на борбата с хакерството в световен мащаб. И няма защо случилото се в НАП да се смята за нещо извънредно и да се търси основната вина у тези, които не отговарят непосредствено за сигурността й- как шефът на НАП сам може да напарви праверка, доколко защитена е информационната му система? И не той е виновен, че му се налага да изразява мнания по въпроси и теми, за които той има най-бегло понятие. За да му се лепне веднага "тотално неразбиране на проблема". Същото важи и за премиера- все пак има някаква разлика между пожарна машина и съвременна база данни.
    Така, че предлагам на тези драскачи, които смятат да заработят "наляво" на тема "Хакери", да умерят комсомолския си плам. Ако някои са много ентусиазирани и не искат, да застанат пред публиката и да заявят, че знаят метод, средства и хора, които са в състояние да осигурят 100+ 1 процента сгурност на Всяка IT система.
    И, както е в запаздните бракосъчетания: "Ако някой знае причина сватбата да не се състои, да я каже веднага! Или да замълчи завинаги"!

  37. 37 Профил на Дон Кихот
    Дон Кихот
    Рейтинг: 2682 Весело

    Всъщност,защо да търсим под вола теле? Преди по-малко от година медиите съобщиха, че петгодишен хлапак, който обичал да си играе с клавиатурата на компютъра, натискайки основно клавиш" интервал" и каквото още му попадне, беше влязъл в базата данни на Пентагона. Което довело баща му едва ли не до инфаркт.

  38. 38
    ****

    Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

  39. 39 Профил на атанас
    атанас
    Рейтинг: 992 Неутрално

    До коментар [#36] от "Дон Кихот":

    В случая леко бягаш от основния проблем. Системата е била тотално отворена и никой не е помислял да изисква защита или да провери за такава. Всъщност последните месеци лъснаха така няколко системи на държавата. Сещам се веднага за записването за градина в Стара Загора и Агенцията за защита на личните данни, където без усилие се теглят данни за всички регистрирани.

    Та... Едно е да имаш защита и тя да бъде пробита. Друго е да нямаш грам защита и да влезе всеки. Защото някак си с лаишки опит за SQL инжекция или пък с дебъг в конзолата на браузъра да хванеш данните си е тотална липса на идея какво да се направи в системите. А некомпетентен шеф/служител не става за мястото си и се уволнява. Ако пък има компетенция и въпреки това не прави нищо за проблемите, то се води престъпна небрежност и се носи наказателна отговорност.

    Сега почна ли да разбираш защо целият екип на НАП в случая е за уволнение като минимум? Или защо трябва фирмите- изпълнители да бъдат погнати да оправят бакиите и да се сложи черта? Да има ясно описани изисквания към проектите и тестове не само дали може да видиш справка правилно? Да се изисква пълен проект, който да не е разтягане на локуми, а ясна и пълна спецификация на модули и комуникация между тях, протоколи и api-та, звена и нива на защита и т.н.?

    Сега поръчка се пуска със задание "Искаме система за отдел Х, която да позволява въвеждане на данни и да вади справки за отдела.". Печели минимална цена като цяло от свои хора(Друг как да рискува без идея какво се иска и гаранция, че, каквото и да даде, ще мине?). Няма грам изисквания, няма нищо. Проект не се прави или е фиктивно. Накрая изпълнителите и те наемат най-евтината възможна работна ръка, покриват гафове, не изпипват, за да не се закъснее. Но пък и при липса на стандарт и контрол какво точно да правят? За едната съвест да си дават зор и да намалят печалби с високи заплати?

  40. 40 Профил на dr.web
    dr.web
    Рейтинг: 533 Неутрално

    Поздравления за автора на статията!, както и на онази част от редакционния екип на "Дневник", която си е направила труда да го препечата от "Терминал 3".

  41. 41 Профил на Arcopix
    Arcopix
    Рейтинг: 388 Неутрално

    До коментар [#29] от "Chung Kuo":
    Светлин Наков наговори толкова глупости тези дни, че вече му изгубих спатиите. Първото обяснение бе, че данните не били чак толкова ценни, после се сети че данните стават "за изборни измами, за данъчни престъпления, за разчистване на сметки, за всякакви цели" - тъй че не бих му обръщал чак толкова внимание.

    До коментар [#36] от "Дон Кихот":
    Еми не. Една система не се смята за сигурна на базата дали е била вече компрометирана или не. Относно шефа на НАП - негова отговорност е да има кадри и процедури за поддръжка на системите, тяхната сигурност и оперативна стабилност. Когато такива процедури, кадри и елементарни проверки не са извършени е изцяло негова отговорност. В противен случай не е шеф на НАП а директор на водопад със сладка заплата и прималива власт.

    ...
  42. 42 Профил на accidental
    accidental
    Рейтинг: 462 Неутрално

    Аз етикъл хакер за последните 10г преди това бях софтуерен архитект. Отговаряме за 11 банки в САЩ Почти всеки ден се сблъскваме с проблем, понякога с организирана война. Това което мога да кажа е че защитата на системите е 24ч работа и че имат нужда от постоянно наблюдение, трябва да има държавно подразделение което да се занимава със сайбър секюрити, 24ч да има оторизацията да води война от името на България, понякога защита само не е достатъчна. Както и да прави оторизация на частни и държавни системи.

  43. 43 Профил на schwimmwagen
    schwimmwagen
    Рейтинг: 1375 Неутрално

    [quote#12:"deepblue"][/quote]

    Както няколко пъти се опита да обясни човекът - ИТ сигурността е сувсем отделна НАУКА от останалото ИТ, където има още такива положения. Може да си най великия датабейз админ и пълен лаик по мрежова сигурност и ще е съвсем нормално.

    "...Thereafter the man-loving God who arranges everything, and who did not abandon man without an intellect, sent unto him Saint Constantine the Philosopher, called Cyril, a righteous and truth-loving man, and he created for them thirty-eight letters..."
  44. 44 Профил на schwimmwagen
    schwimmwagen
    Рейтинг: 1375 Неутрално

    Отделно, самата ИТ сигурност се дели на подраздели - силно се съмнявам да има човек експерт по всички .

    "...Thereafter the man-loving God who arranges everything, and who did not abandon man without an intellect, sent unto him Saint Constantine the Philosopher, called Cyril, a righteous and truth-loving man, and he created for them thirty-eight letters..."
  45. 45 Профил на девети дан
    девети дан
    Рейтинг: 363 Неутрално

    До коментар [#1] от "Боби Бобев":

    До коментар [#3] от "Пуйката":

    За Делян Делчев се носеха легенди в ИТ средите още преди 20 години.

    Като чуете вече загубилият стойност етикет "АйТи специалист" първо за него трябва да се сещате.


  46. 46 Профил на schwimmwagen
    schwimmwagen
    Рейтинг: 1375 Неутрално

    С Делян сме работили заедно, той е и първият CCIE в България. Не разбирам троловете, опитващи се да омаловажат мнението на експерт като него. По отношение на телекомуникационната инфраструктура и сигурност, в България със сигурност по-компетентен човек няма. Това че е скромен, а евтини гробарчета от партийни ядки и тролски фабрики го оплюват, със сигурност не променя този факт (по-скоро още повече лъсва гьонсуратлъка и откровената тъпотия на гробарщината). Когато хора като Светльо Наков и Делян Делчев алармират по всички възможни начини, че държавната каца с мед е всъщност каца с катран и ла*на, че калинките и крадците всъщност са ни превзели, всеки човек с повече от две мозъчни клетки, би трябвало да се заслуша и замисли. Не за друго, ами експертите говорят с факти и задават правилните въпроси - нещо, което нито Доганов-Горанов, нито мутрата Боце някога някак ще направят по какъвто и да е повод.
    —цитат от коментар 29 на Chung Kuo


    Тук публиката ако има представа , какво трябва да знаеш за мрежите за да докреташ до CCIE - ще и прилошее . При положение ,че такъв човек признава ,че не разбира от сигурност, останалите просто трябва да замълчим с техническите коментари по темата.

    "...Thereafter the man-loving God who arranges everything, and who did not abandon man without an intellect, sent unto him Saint Constantine the Philosopher, called Cyril, a righteous and truth-loving man, and he created for them thirty-eight letters..."
  47. 47 Профил на Uprsport
    Uprsport
    Рейтинг: 1242 Неутрално

    Така държавната ни организация си остава чиста и безотговорна, каквото и да стане, въпреки че тя като възложител е единствената отговорна и единствено в състояние да реализира необходимото.
    —цитат от коментар 0 на автора



    Калинките не могат да реализират необходимото, защото нямат капацитет.


  48. 48 Профил на Роси
    Роси
    Рейтинг: 8630 Неутрално

    "изказването на Борисов е популистко, радост и надежда за публиката, но дразнещо специалистите "

    Избран е, това е положението.





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK