Drept & Internet - noutati si opinii

Articole si stiri din Romania si strainatate
Posted by on 14 May 2013 in Stiri - Romania, Pareri personale, Legislatie, Drept & Internet, Viata privata

Incidente de securitate in Romania: Liniste, sa nu afle nimeni! E mai bine pentru securitatea datelor voastre!!

Ieri pagina Autoritatii Nationale de Calificari a fost hacuita de cineva. (nu si-a revenit nici pina acum ba merge, da’ doar cu www in fata).

Mai grav, zic surse citate de Softpedia este toate numele, numele de utilzatori si parolele (inclusiv ale administratorilor au fost puse online). Mai mult, toate parolele utilizatorilor erau necriptate. (clear text).

Evident, reprezentantii Autoritatii nu comunica nimic. Nicio avertizare. Nici Cert-Ro. Probabil ca nu este considerat un incident de securitate cibernetica demn de adus la cunostiinta publicului.

Asa cum nu a fost nici incidentul cu google.ro din Noiembrie 2012. Ala in care un hacker a intrat in serverele RoTLD si a modificate niste Nameservere de la site-uri neimportante - google.ro, yahoo.ro si alte prostii de genul asta.

Atunci intrebam daca cumva s-a facut vreo investigatie care sa isi dea seama ce s-a intamplat si care sa se incheie cu un raport public. Pina in martie nu a aparut nimic (desi am aflat informal ca s-a facut un asemenea raport). Asa ca l-am cerut noi, prin ApTI.

Si am aflat ca nu avem voie sa aflam (ai dracu irlandezi au avut voie sa stie :> ).

“raportul respectiv contine informatii confidentiale legate de securitatea sistemului si de masurile luate de ICI pentru protectia acestuia in vederea prevenirii unor incidente similare.”

Deci s-a decis ca nu avem voie sa stim, de exemplu:

  • care a fost problema de securitate care a fost afectata (sper ca a fost reparata pina acum, deci nu exista vreun motiv ca sa nu se supuna unde a fost buba)
  • impactul atacului si zonele afectate (servere publice sau interne)
  • domeniile afectate
  • daca a existat vreun audit de securitate extern al sistemului informatic (inainte sau dupa eveniment)
  • daca au fost date cu caracter personal unde a existat un acces neautorizat si daca au fost informate acele persoane
  • masurile tehnice luate (de ex. resetarea parolelor la domenii) - care deja stim ca s-a intamplat
  • masurile juridice luate (de ex. plangere la Politie)


In mod normal toate aceste date ar trebui sa fie in raport. De ce sunt ele confidentiale?

In schimb am aflat ca “echipa tehnică ROTLD a analizat în detaliu incidentul.”

Deci nimeni nu este vinovat. Nimeni nu isi cere scuze. Nimic semnificativ nu s-a intamplat. Case closed.

PS: Mai multe detalii despre notificarea de incidente de securitate (in special cele care au afectat date cu caracter personal) pe site-ul ENISA. Da, sunt doar niste recomandari…

This entry was posted by Bogdan and filed under Stiri - Romania, Pareri personale, Legislatie, Drept & Internet, Viata privata.

6 comments

User ratings
5 star:
 
 (2)
4 star:
 
 (0)
3 star:
 
 (0)
2 star:
 
 (0)
1 star:
 
 (1)
3 ratings
Average user rating:
(3.7)

Comment from: 1300 Visitor

comentariu ironic: Problema cu rotld a fost “rezolvata": au investit in infrastructura nu stiu cate sute de mii de euro si gata… asta era problema. Serverele vechi nu puteau sa tina minte parole mai complicate, cele noi pot!

Comment from: omrau Visitor

Din ce scrie in comunicatul lor reiese ca este ultimul incident de acest tip, ceea ce este cu adevarat cel mai important aspect. :)

Comment from: Andrei Cristian petcu Visitor

Dar ce vrei să spună? Serverul DNS de la IP-ul x.x.x.x a fost atacat prin brute force pe ssh la portul 22. Presupunem că s-a folosit John the Ripper cu o bază de date de parole nu foarte nouă. Rezolvarea a constat în schmbarea portului (parola a rămas aceeași).

Comment from: Vlad Georgescu Visitor

Bogdane, de data asta esti nedocumentat, mai ales ca aspectele despre care tipi aiurea pe blog au o serie de implicatii juridice. Iti citesc blogul pentru ca esti un tip pregatit, insa “cel mai destept din sat ” nu s-a nascut inca. Cu noroi e usor sa arunci, poate mai facem si ceva intre timp…..

Comment from: Member

@Vlad - convinge-ma ca am gresit atunci. Nici nu cred ca sunt cel mai destept din sat.

In afara de a scrie despre cazul asta si de ce este importanta notificarea de incalcare a securitatii, ce as putea sa fac? (pe subiectul asta?)

Comment from: Dico Emil Visitor

Lipseste o lege a responsabilitatii bugetarilor in tara asta…. o zic de ani de zile.


Form is loading...