neprihlásený Pondelok, 22. októbra 2018, dnes má meniny Sergej   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
NBÚ opäť zlyhal, používal cudzie odborné články o bezpečnosti

Značky: štátbezpečnosť

DSL.sk, 16.1.2018


Národný bezpečnostný úrad, NBÚ, má na konte ďalšie zlyhanie pri vykonávaní úloh v oblasti počítačovej bezpečnosti.

Články na stránke SK-CERT

Tentokrát jeho jednotka SK-CERT, Slovak Computer Emergency Response Team, ktorá by mala koordinovať a riešiť bezpečnostné incidenty, na jej stránke používala prepísané cudzie odborné články z oblasti počítačovej bezpečnosti.

Články sú edukatívno-poradného typu a silnej autorskej povahy, SK-CERT ich označovala ako rady a návody.

Články tak vyzerali ako články SK-CERT a neboli označené ako články niekoho iného a navyše evidentne na ich zverejnenie úrad zrejme nemal minimálne u niektorých článkov povolenie pôvodných autorov.

Na stránke SK-CERT sa nachádzalo v čase položenia otázok serverom DSL.sk pre NBÚ päť článkov, ktoré boli odkazované z titulky a zo sekcie rád a návodov. Tri z nich sú prepísanými preloženými článkami z troch zahraničných zdrojov.


Titulka www.sk-cert.sk pre kontaktovaním NBÚ, kliknite pre zväčšenie



Ide o články Prečo sú SSL/TLS útoky na vzostupe, Prečo môžu byť ex-zamestnanci jedným z najväčších kybernetických rizík pre vašu firmu? a 10 kriticky dôležitých krokov na vytvorenie kultúry kybernetickej bezpečnosti vo vašej organizácii, ktoré sú prepisom týchto troch článkov.


Ukážka článku na sk-cert.sk a originálneho článku, kliknite pre zväčšenie



Potenciálnu snahu vydávať články čo najviac za vlastný obsah naznačuje napríklad aj jedna z úprav v článku o SSL certifikátoch. Kým v originálnom článku konštatuje zvýšenie používania SSL kyberzločincami citácia od bezpečnostného experta zo spoločnosti monitorujúcej takéto aktivity, v článku na SK-CERT je rovnaká informácia uvedená ako priame konštatovanie autora článku.

Reakcia NBÚ

Ešte horšia ako postup SK-CERT bola reakcia a komunikácia NBÚ. Tento po našej otázke na tieto články a či má povolenie od autorov "poďakoval za upozornenie" a informoval, že spravil zmeny na stránke a neskôr že na obsahu stránky "sa naďalej pracuje".

Informoval, že pri cudzích článkoch uvádza autora a informáciu o súhlase so zverejnením. Tieto informácie ale doplnil až po našom kontaktovaní a informácia o súhlase pribudla iba v jednom článku, zvyšné dva články odstránil z titulky ale nechal ich v sekcii návodov. Po otázke či si myslí, že zverejnené články bez súhlasu môže takto publikovať, odstránil odkazy na ne zo sekcie návodov, na webe sú ale stále dostupné cez svoju URL.

NBÚ jednoducho neodpovedal na pôvodnú otázku či má takéto súhlasy a neodpovedal kedy získal súhlas k článku, kde informáciu o ňom doplnil.

Vzhľadom na kroky, reakciu, stiahnutie článkov a absenciu odpovedí NBÚ pred kontaktovaním serverom DSL.sk minimálne na dva cudzie články, kde NBÚ nedoplnil informáciu o povolení autorov a stiahol ich z titulky a následne aj z návodov, evidentne zrejme nemal na ich zverejnenie povolenie.

NBÚ sa reálne k situácii nevyjadril, nevysvetlil ako mohla nastať, neospravedlnil sa a napríklad neodpovedal na otázku či nepovažuje za hanbu, že organizácia ktorá má mať dostatočné odborné obsadenie dokonca na riešenie incidentov nie je schopná napísať vlastné odborné články a používa cudzie. Pripomíname, že tie sa pred pridaním informácií o autoroch javili ako práca SK-CERT.

Na situáciu s článkami na stránkach SK-CERT upozornil server DSL.sk čitateľ, za tip ďakujeme.

Katastrofálny stav NBÚ v oblasti počítačovej bezpečnosti

V oblasti počítačovej bezpečnosti nejde v poslednej dobe o prvý incident, ktorý vyvoláva vážne otázky o schopnosti NBÚ plniť si úlohy v tejto oblasti.

Ako sme upozorňovali napríklad v tomto článku, NBÚ vážne zlyhal aj pri nedávnej kauze zraniteľných elektronických občianskych eID. Po odbornej aj komunikačnej stránke.

NBÚ v oficiálnom vyhlásení po prepuknutí kauzy a mesiace po tom, ako sa o probléme dozvedel, uvádzal nesprávne pomerne zásadnú odbornú informáciu. Tvrdil totiž, že čip na našich eID pre 3072-bitové RSA kľúče zvolené ako náhradné riešenie za vážne zraniteľné 2048-bitové kľúče nepoužíva rovnaký zraniteľný postup generovania respektíve rovnakú knižnicu. Táto informácia sa ukázala ako nesprávna a v skutočnosti používa.

To vyvoláva samozrejme pochybnosti ako o odbornej úrovni NBÚ tak o tom, ako sa situácia riešila ak mesiace po informovaní o zraniteľnosti NBÚ nevedel takúto dôležitú odbornú informáciu potrebnú pri posudzovaní náhradných riešení. Vzápätí sa ukázalo, že NBÚ nehovoril pravdu o tom kedy sa zvolené riešenie vybralo. NBÚ tvrdil, že to bolo v júli, to ale poprela certifikačná autorita Disig, ktorá sa na riešení podieľala. Definitívne riešenie nebolo podľa nej prijaté nielen v júli ale ani vôbec v lete.


      Zdieľaj na Twitteri



Najnovšie články:

Google má chcieť za svoje Android aplikácie až 40 dolárov za smartfón
Slovenská vláda chce ponechať trvalý zimný čas
Telekom mení ceny na predplatených Easy kartách
Oficiálny DVB-T2 tuner pre Raspberry Pi, aj Zero
Vydané Ubuntu 18.10, na 32-bitovú verziu už nejde ani upgradovať
Vedci dokázali, že kvantové počítače budú výkonnejšie ako klasické
Macy majú čoskoro prejsť na vlastné ARM procesory
Štátne elektronické služby majú vyzerať rovnako, štát vydal dizajn manuál
Výmena hlavného kľúča Internetu zrejme spôsobila jeden vážny incident
Samsung chystá viaceré QLC a 96-vrstvové SSD


Diskusia:
                               
 

a uz zmenili heslo ?
Odpovedať Známka: 9.1 Hodnotiť:
 

Mali zmeniť vedenie a zamestnancov.

Odpovedať Známka: 8.3 Hodnotiť:
 

Ale koho by tam poslal, trojnásobný premiér a večný hranol už nemá ľudí, a neschopný podržtaškovia sú už tam.
Odpovedať Známka: 7.9 Hodnotiť:
 

vsetci zmaturovany Smeraci uz proste maju pracu a je tazko najst novych
Odpovedať Známka: 8.0 Hodnotiť:
 

Preco myslis ze ti novi by nerobili presne to iste, kedze by ich tam dosadili ti co nam vladnu?
Odpovedať Známka: 7.0 Hodnotiť:
 

a navrhari Intel vPro uz zmenili heslo?
Odpovedať Známka: 1.4 Hodnotiť:
 

Samozrejme. Navzajom s NBÚ, nakolko vymyslanie noveho by priekazne zvysilo entropiu sledovaneho systemu.
Odpovedať Známka: -2.9 Hodnotiť:
 

Samozrejme, už dávno nbusr123 -> nbusr1234
Odpovedať Známka: 7.9 Hodnotiť:
 

zas taka banda babrakov niesu, uz je to nejaky cas co zmenili nbu123sk na iny

cize sk321nbu
Odpovedať Známka: 10.0 Hodnotiť:
 

A teraz ruky hore vsetci, co cakali odbornost od statnej organizacie s tabulkovymi platmi.
Odpovedať Známka: 7.9 Hodnotiť:
 

ja som vobec prekvapeny ze takuto agenturu stat prevadzkuje, musel som si 3x precitat kym sa mi CzERT preplo na SK-CERT.
Odpovedať Známka: 7.1 Hodnotiť:
 

mam pocit, ze taku agenturu musi prevadzkovat.
Odpovedať Známka: 7.1 Hodnotiť:
 

prinajhosrom na objednavku agentury obvinia nejakeho sedlaka z dzedziny a budu ho prenasledovat cez 7 krajin, 7 udoli a 7 mori az kym sa dakde v aute unaveny nezabije
Odpovedať Známka: 7.1 Hodnotiť:
 

Nie je nutne, to sa robilo za Meciara. Dnes sa o vsetko postara Kalicia a Smerosudy. Kalicajti vysetria, usvedcia a smerosudy rozsudia. Nie je nutna likvidacia.
Odpovedať Hodnotiť:
 

Horšie je, že všetko sa robí dodávateľsky - preplatíme to teda min. 2x
Odpovedať Známka: 6.3 Hodnotiť:
 

Platy tabuľkové ale provízie trhové...
Odpovedať Známka: 8.3 Hodnotiť:
 

ja by som to čakal, nakolko vo vyberovych konaniach uspeju iba naj. absolventi.
Ale ak mas tetu, uja, mamu, otca co ti vybavia pracu automaticky preskocis vsetkych sikovnejsich :)
Odpovedať Hodnotiť:
 

Mne raz teta chcela odo mna sluzby automechanika a pritom o tom neviem nic. Takze dostat flek a nevediet o tom nic sa da...
Odpovedať Známka: 10.0 Hodnotiť:
 

DSL robí lepšiu investigatívu ako všetky tie pseudointelektuálne plátky dokopy :D Kde sa aj obyčajný nastupujúci doktor v diskusiách tvári ako poloboh na takéto stránky nechodí a ani by im nerozumel. IT na Slovensku znamená Inteligentný Tunel.
Odpovedať Známka: 8.6 Hodnotiť:
 

Dobré že to píšeš, lebo by som si nevšimol:)
Radšej klikni na reklam u.
Odpovedať Známka: 6.0 Hodnotiť:
 

N reklamu kliknite TU, TU a TU
Odpovedať Hodnotiť:
 

Nejaku crypto adresu na prispevky nedaju? :)
Odpovedať Známka: 5.4 Hodnotiť:
 

A hlavne zdôraznili, fakt, že komunikácia po bola ešte horšia ako samotné zlyhanie. Mám pocit, že niektorí ľudia v štátnych inštitúciách nemajú ani šajnu a hlavne cit pre základné právné, autorské, etické... záležitosti.
Odpovedať Známka: 6.0 Hodnotiť:
 

Jedna vec je neznalosť ale podľa mňa je horšie totálna bezočivosť a žiadny strach z nelegálnej činnosti.
V takýchto inštitúciách to tak bolo vždy.
Odpovedať Známka: 7.3 Hodnotiť:
 

Sa pozrite, kto to tam vedie. Sami tlchuba a taraj. Zasvateni vedia svoje.
Odpovedať Známka: 3.3 Hodnotiť:
 

mozno na postoch su dosadeni, ale odbornikov by som nepodcenoval. a nie kazdy robi len pre prachy
Odpovedať Známka: 6.0 Hodnotiť:
 

odbornici? a ktori? vsetko riesia subdodavatelsky. a co nohy malo, vsetko zutekalo
Odpovedať Známka: 7.1 Hodnotiť:
 

daj viac info, nech som v obraze
Odpovedať Známka: 10.0 Hodnotiť:
 

* iba ak si nemyslis, ze subdodavatelom slovenskej SIS je europol xD
Odpovedať Známka: 0.0 Hodnotiť:
 

to by bola brutalita, ak by

... mestska policia by dokazala zatiahnut vsetky protihekerske prostriedky a vyriesit kradez za 1000 evri

... pre 1000 evri by dokazali nahanat hekerov cez europol

ale europol nedokaze pomocou svojich metod prist na to, ako sa zo statu odleje 1 mld. EUR rocne a bezni mali podnikatelia (nie oligarchovia) su kvoli tomu zdierani z koze
Odpovedať Známka: 5.0 Hodnotiť:
 

nejde o to, ze padne vinetu. ide o to, ze pre nacelnika je to totalne fiasko a blamaz, ked pre 1000 konikov dokaze nacelnik sledovat vinetua 10 rokov az na kraj svetadiela
Odpovedať Známka: 3.3 Hodnotiť:
 

chcela by som vidiet tu knihu, co vsetko sa v nej popisalo, nech sa vedia indiani do buducna podla coho riadit
Odpovedať Hodnotiť:
 

kniha = vysetrovaci spis, podla ktoreho sa udajne postupovalo. nech sa da porovnavat, co sa dokazaat kvoli 1000 a co sa robilo kvoli 1 mil. kukucinov
Odpovedať Hodnotiť:
 

nemam viac info. to je len predpoklad. ved kto normalny by robil za tie prachy? vo vsetkych statnych instituciach je to podobne. tak preco by boli v NBU vynimkou?
Odpovedať Hodnotiť:
 

Trochu mimo temu, ale nezatazuje aktualne https://www.pcrevue.sk procesor?
Odpovedať Známka: 0.0 Hodnotiť:
 

Heh, ak sa nacita pcrevue, tak CPU vybehne vysoko .. ale ak zapnem chrome konzolu cez F12 aby som sa pozrel, ze wtf, tak zrazu je ta stranka na 0%
Odpovedať Známka: 3.3 Hodnotiť:
 

mne nie.
ale ja na tej stránke nie som.
Odpovedať Známka: 7.4 Hodnotiť:
 

Jj, 80% z CPU mi ukazuje Chrome Task manager. Podľa Developer tools načítanie úvodnej stránky si zobralo 18,4 MB. A to som tam cez mobilný hotspot... Nečakal by som od webu so zameraním na IT.
Za 18.4 MB môžem čítať DSL.sk na mesiac.
Odpovedať Známka: 8.0 Hodnotiť:
 

Však samozrejme! Z pár príspevkov pre TV noviny a účastí v Teleráne dnes už nevyžiješ!
Odpovedať Známka: 4.3 Hodnotiť:
 

Aj twitch ma zaujimavu feature, kde ked sa prihlasujete, tak nemusite klikat na recaptcha, ze nie ste robot a prihlasi vas. Alebo to google posunulo na vyssi level a uz to zisti aj bez toho?
Odpovedať Známka: -4.3 Hodnotiť:
 

Ano, google uz vie filtrovat botov aj bez klikania :)
Odpovedať Známka: 7.5 Hodnotiť:
 

tak ako vznikaju tieto odborne clanky prelozene z anglictiny do slovenciny, tak aj rastie moja nechut ich citat
Odpovedať Známka: 6.7 Hodnotiť:
 

mam znameho ktory tam pracuje. maju 10 tyzdnov dovolenky, 3x do roka narok na rozne rehabilitacie a podobne. preplacaju im pobyty v hoteloch a prace neschopnost je hradena 100 % mzdy. Vysledky maju ake maju.
Odpovedať Známka: 5.7 Hodnotiť:
 

A? To ze mas vela dovolenky vypoveda nieco o kvalite tvojej prace?
Vobec ale vobec nic. Sikovny urobi za ten cas vsetko, a este ma volnejsi pracovny den. A nesikovny neurobi nic, este veci aj pokazi, a stale trepe ako pod casovym tlakom a nic nestiha.
A potom samozrejme statny uradnik, ktory si to tam chodi odsediet, a neurobi realne nic ako je rok dlhy.
Odpovedať Známka: -4.7 Hodnotiť:
 

o kvalite ich prace vypovedaju ich kauzy. len hovorim ze maju tolko benefitov ako takmer ziadny zamestnanec s sukromnom sektore a za co? za ctrl+c a ctrl+v. Chcem len povedat ze by bolo treba sa im pozriet na prsty. su to prizivnici. ich praca nevykazuje pozadovanu kvalitu. je to platene z penazi nas vsetkych. cela statna sprava nie len NBU je prehnita
Odpovedať Známka: 6.3 Hodnotiť:
 

To plati uplne o vsetkych statnych uradoch a zamestnacoch.
Odpovedať Známka: 4.3 Hodnotiť:
 

ze maju vela benefitov bude asi preto, lebo maju mizerny plat - tabulkovy, s ktorym sa neda nic robit a aby tam vobec niekoho prilakali a udrazali tak to riesia aspon takto nepriamo
Odpovedať Známka: 10.0 Hodnotiť:
 

Som bez prace, myslim ze budem pre NBU prinosom. Ak nie prinosom, tak aspon nebudem ten najneschopnejsi.
Odpovedať Známka: 7.5 Hodnotiť:
 

cely NBU je spolok blaznov vsetci co boli realne dobri odtial odisli a pracuju pre sukromny sektor stat tam odbornikov nevie zaplatit
Odpovedať Známka: 5.6 Hodnotiť:
 

I)
a) nie su dobri
b) nechcu byt dobri
c) nesmu byt dobri

II)
a) nechce zaplatit
b) nevie zaplatit
c) plati
Odpovedať Známka: 4.7 Hodnotiť:
 

Otazka 1: Kde najdete Solitaire?
Otazka 2: Ako zapnete pocitac?
Otazka 3: Ovladate copy paste?
Odpovedať Známka: 7.5 Hodnotiť:
 

Parada DSL, pekne ste ich zniesli pod tmavu zem. Bordel tam bol, je a bude, ale treba ich v kuse drbat a upozornovat na ich neschopnost verejnost. Cim viac sa o tom hovori, tym vacsia motivacia pre nich polepsit sa.
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak toto je ovela mensi fail, ako si na vsetkych sietovych prvkoch nastavit rovnake a malo bezpecne heslo.
:P
Smatlaci.
Odpovedať Hodnotiť:

Pridať komentár