Znanost in tehnologija

'Večina zlorab se začne iz zabave'

Ljubljana, 28. 07. 2009 06.00 |

PREDVIDEN ČAS BRANJA: 5 min

Avtor

Primož Jambrek

Zlorabe informacij v računalniških sistemih se najpogosteje zgodijo od znotraj. Lahko pa pride tudi do zunanjega vdora hekerjev. V policiji so že zabeležili nekaj poskusov vdorov, v vojski uporabljajo posebni šifrirni sistem, v zdravstvu pa celovit in varen sistem šele uvajajo.

Hekerji v sisteme vdirajo iz različnih motivov. Lahko gre za okoriščanje z vdorom, za dokazovanje samega sebe ali pa tudi za politično dejanje (cyber war ali internetni terorizem).

Tudi na policiji pravijo, da se večina internetnih zlorab začne iz zabave, vendar je kaznivo, če gre za vdor v poslovni informacijski sistem, napad na informacijski sistem, zlorabo osebnih podatkov ali veliko tatvino, če gre za krajo denarja. Za napad na informacijski sistem je zagrožena kazen do dveh let, če pa gre z vdorom za materialno okoriščanje, pa do petih let zapora.

Vdor v aplikacijo ali pridobitev gesla

Hekerji v informacijske sisteme najpogosteje vdirajo s pridobitvijo uporabnikovega gesla (phishing) ali pa najdejo kakšno napako v aplikaciji oziroma onesposobijo varnostni sistem.

Hekerji, ki želijo vdreti v sistem, običajno poiščejo neko ranljivost aplikacije, preko katere potem lahko dostopajo do različnih podatkov, je povedal Andrej Rant iz podjetja Prorang, ki se ukvarja z varnostjo informacijskih sistemov. V izobraževalne namene obstaja veliko forumov, kjer najrazličnejši uporabniki objavljajo ranljivosti aplikacij. S tem opozarjajo ustvarjalce, da jih izboljšajo.

V letošnjem letu policija obravnava dva poskusa in eno zlorabo elektronskega bančništva, kjer je neznani storilec s postavitvijo lažne spletne strani banke uspel oškodovati enega uporabnika.

Kraja gesel (phishing) lahko poteka prek lažnih spletnih strani, ki od vas zahtevajo gesla, lahko pa hekerji poskušajo tudi ugotoviti vaše geslo. Kot je znano, ima namreč večina uporabnikov spletna gesla, ki so povezana z njimi (rojstni datum, hišna številka ipd.)

Blackhat se imenujejo hekerji, ki se poskusijo okoristiti z vdori. Whitehat pa hackerji, ki to počnejo v raziskovalne namene, da bi izboljšali aplikacijo, lahko pa jih najamejo tudi podjetja, ki želijo preveriti, ali je sistem varen.

Policijske evidence niso povezane z zunanjim spletom

Na policiji pravijo, da imajo za zaščito podatkovnih baz zgrajen kompleksen sistem varovanja. Policijske evidence se nahajajo na centralnem računalniku in niso dostopne prek spleta. Dostop do podatkov v teh evidencah pa je varovan s sistemom, ki preveri indetiteto uporabnika in njegovo upravičenost za dostop do podatkov. Za dostop je treba imeti ustrezno avtorizacijo, ki jo pisno dodeli predstojnik oddelka. Vsi dostopi do podatkov v evidencah pa se izvajajo s transakcijami, brez direktnega dostopa do podatkovnih baz. Vsi dostopi se zapisujejo v dnevnik centralnega računalnika. S poskusi vdora v informacijski sistem se na policiji občasno srečujejo, vendar jim jih je do zdaj uspelo preprečiti.

MORS: Za prenos podatkov uporabljamo šifrirni sistem

Tudi v vojski imajo podatke shranjene v komunikacijsko-informacijskem sistemu, ki ni povezan z zunanjimi sistemi. Prenos podatkov zunaj varovanih območij pa je zaščiten s šifrirnim sistemom, zato vdori od zunaj niso mogoči, pravijo na MORS.

Pred notranjimi vdori pa podatke ščitijo z dodelanim sistemom dodeljevanja pravic in z zaščitnimi mehanizmi v računalniških omrežjih.

Durs: Vdora v računalniški sistem še nismo zabeležili

Vse do zdaj znane primere zlorab elektronskega bančništva je policija obravnavala v letu 2007 in 2008. V tej preiskavi so prijeli in kazensko ovadili več oseb, ki so sprejele denar z elektronskih bančnih računov Slovencev. Med kriminalistično in forenzično preiskavo pa so odkrili tudi konkretnega osumljenca, ki je s pomočjo prirejenih programskih rešitev uspel opraviti prenakazilo denarja na druge transakcijske račune.

Tudi na Dursu imajo sistem podatkov ločen od zunanjega sistema eDavki, do katerega imajo dostop zunanji uporabniki. "Na vseh nivojih (pristopnem, aplikacijskem in podatkovnem) so kapacitete pomnožene, tako da nimamo na nobenem nivoju ene točke odpovedi sistema,“ pravijo še na Dursu. Kot pravijo, so davčni podatki zelo občutljivi podatki, zato se na vseh sistemih beležijo dostopi oziroma vpogledi v podatke davčnih zavezancev.

V MJU opravljajo poskuse vdorov v sistem

Kot pravijo na ministrstvu za javno upravo, v računalniško omrežje vgrajujejo vse potrebne varnostne naprave, ki preprečujejo ali zaznavajo vdore in preprečujejo zlonamerne programske kode. Hkrati pa imajo tudi posebno službo, ki nadzira delovanje informacijsko-komunikacijske infrastrukture, na ministrstvu pa opravljajo tudi t. i. teste vdora. Ministrstvo sodeluje tudi pri načrtovanju sistemov v javni upravi. Dostop do informacijskih sistemov, ki zbirajo, obravnavajo ali obdelujejo, naj bi imeli le pooblaščeni delavci. Poskuse vdorov sicer zaznavajo dnevno, najpogosteje gre pri tem za znane metode tipanja informacijskih sistemov, na katere pa se sistem, po zagotovilu ministrstva, ne odziva. Pravijo, da so sistemi varni, morebitne težave pa odpravljene v najkrajšem možnem času. Poskusov vdora, ki bi predstavljali posebnjo grožnjo sistemom, pa še niso zaznali.

Največ se na MJU pojavlja nezaželene pošte, nekaj pa je bilo tudi poskusov phishinga. Na minsitrstvu so naročili tudi poskus DoS napada, kjer so ugotavljali možnost ukrepanja v sodelovanju z ARNESom v takšnih primerih. Primera zlorabe osebnih podatkov na MJU še niso odkrili.

Zdravstvo: Ministrstvo uvaja nov centralni informacijski sistem

Posamezni izvajalci zdravstvene dejavnosti, Inštitut za varovanje zdravje (IVZ) in Zavod za zdravstveno zavarovanje Slovenije (ZZZS) imajo svojo varnostno politiko, pravijo na ministrstvu za zdravje. Na ministrstvu si prizadevajo, da bi varnostno politiko čim prej poenotili in stopnjo varnosti osebnih podatkov uskladili z veljavnimi standardi. V ta namen so začeli projekt eZdravje. S tem projektom bodo ves zdravstveni informacijski sistem združili na enem mestu.

V ZZZS pravijo, da je zavod dnevno izpostavljen različnim nepooblaščenim poskusom vdorov, predvsem gre za nezaželeno elektronsko pošto. Kot so povedali pa tudi vseskozi preverjajo in nadgrajujejo programsko opremo.

IP: Pred notranjimi zlorabami je najslabše zaščiteno zdravstvo

V Uradu informacijskega pooblaščenca se ukvarjajo le z notranjo zlorabo informacij. To pomeni, da nekdo od zaposlenih nepooblaščeno dostopa do različnih podatkov. Najpogosteje sicer iz radovednosti, lahko pa gre tudi za okoriščanje s podatki. Ugotovitve inšpekcijskih pregledov informacijskega pooblaščenca so pokazale, da je z vidika zagotavljanja sledljivosti dobro stanje na policiji in vojski. Na policiji ukrepe za zagotavljanje sledljivosti kombinirajo z ustreznim in učinkovitim internim nadzorom. V sektorju obrambe pa pooblaščenec do zdaj ni odkril pomembnejših kršitev, ministrstvo pa je dobilo tudi nagrado za najbolj dovršen sistem varovanja dostopa do osebnih podatkov.

Po opravljenih inšpekcijskih pregledih v sektorju zdravstva pa je pooblaščenec ugotovil, da je stanje na področju zavarovanja osebnih podatkov zelo pomanjkljivo. "Pogosto naletimo ne le na nezagotavljanje sledljivosti obdelave, temveč tudi na odsotnost urejenih in dokumentiranih dostopnih pravic, posledično pa je praktično nemogoče odkriti odgovorne za posamezne kršitve varstva osebnih podatkov.“ To pomeni, da lahko kdor koli dostopa do osebnih zdravstvenih podatkov. V Uradu informacijskega pooblaščenca zato pravijo, da se v tem sektorju "zelo izrazito kaže potreba po sistematičnem in celovitem pristopu varovanja podatkov".

računalnik vdor zzzs policija vojska ministrstvo javna uprava durs informacija ip splet internet hacker

KOMENTARJI (13)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

PRAVILA ZA OBJAVO KOMENTARJEV

RAMBOSS

22. 07. 2010 13.13

-1

heh se bo najud kod ko bo zrušu tale MORS pa pokazal tem bednim krtekom da se DA VSEEE ČE JE ČLOVEK ZATO ZA VSAK ANTIVIRUSNIB SISTEM SE VIRUS NAJDE:)

ODGOVORI

0 1

kg1

04. 08. 2009 21.06

in pol vdrejo prek laptopa, ki je na mnz in ima vklopljen wireless, pač ker ga je nekdo pozabil izklopit in pol cela štala rata...ne morš ti to preprečit...če so u pentagon udrli, lohk pa še pr nam u ta bogi mors ali pa mnz...

ODGOVORI

0 0

ChucheSaku

29. 07. 2009 16.29

za javnost je vedno poskrbljeno ;) koliko defacement-ov je bilo na .gov.si straneh ? ;) nesteto ? pa so le redki pricurljali do medijev...vsi so varni, sifrirani, zakodirani...eni celo narocajo (LOL) DoS napade...pa dejte no :) lepo vas prosim: ce je kdo hotel kam udret, je tja udrl! ce so prizadeti to javno objavili ali ne je stvar njihove presoje...sicer pa kdo se rad hvali, da je zrtev 15 letnega mulca, ki med uro racunalnistva na srednji soli nima kej za pocet in iz cistega dolgcasa DoS-ne nek .gov.si ?

ODGOVORI

0 0

Damir Zor?i?

29. 07. 2009 09.41

No članek je že v redu, ampak takih napak pa ne razumem: "nekaj pa je bilo tudi poskusov fishinga. Na minsitrstvu so naročili tudi poskus DOS napada" FISHING - ??? od kdaj pa "ribarimo" s palico in trnkom po omrežjih? - pa še v članku je pred tem lepo zapisano PHISHING - joj prejoj druga še bolj zabavna je pa "DOS napad" hahahahaha pravilna kratica je taka: - DoS (angleško Denial of Service) - podoben napad je tudi DDoS (Distributed Denial of Service) ali porazdeljana zavrnitev storitve, za kar je najverjetneje šlo tudi v omenjenem priemru v članku. DOS pa ima razlago takole: - DOS (angleška kratica za Disk Operating System) je operacijski sistem nadalje: - MS-DOS je operacijski sistem, ki ga je izdelal Microsoft. V 1980-ih je bil dominanten operacijski sistem za PC in PC-kompatibilne računalnike. Na domačih računalnikih so ga postopno zamenjale različne verzije operacijskega sistema windows. DOS se dejansko nanaša na družino operacijskih sistemov, med katere spadajo PC-DOS, MS-DOS, DR-DOS, FreeDOS, OpenDOS ter mnogo drugih. Od teh je najbolj popularen Microsoftov MS-DOS. MS-DOS (ter IBM PC-DOS) sta naslednika operacijskega sistema QDOS (Quick and Dirty Operating System znan tudi kot SCP-DOS), ki je bil sam na neki način naslednik operacijskega sistema CP/M (Command Processor / (for) Microcomputers). Saj razumem, da ni strokovnjak pisal članka, ampak podatki in pravilne kratice so dostopne na internetu. Slaba raba ali neznanje uporabe teh kratic v medijih pa kaže ne nestrokovnost novinarja kot jezikoslovca.

ODGOVORI

1 0

XIDIX

28. 07. 2009 09.37

SAMO RES V SLOVENIJI NE RABIŠ VDIRAT V NOBEN RAČUNALNIŠKI SISTEM KER SO URADNIKI PREVEČ PODKUPLJIVI!! PODKUPI ČLOVEKA NA DAVČNI PA SE TI BRIŠE DOLG,PODKUPI SODNIKA PA SE TVOJ PRIMER IZGUBI ALI ZALOŽI V OMARI TER ČAKA DO ZASTARELOSTI! PODKUPI URADNIKA NA OBČINI PA DOBIŠ VOZNIŠKO DRŽAVLJANSTVO GRADBENO DOVOLJENJE ITD.. PODKUPI ZDRAVNIKA PA NI ČAKALNE DOBE DOBIŠ STALEŽ IN INVALIDSKO PENZIJO IN OGROMNO JE TEH LJUDI V IMENU DRŽAVE POTEM SPLOH NE RABIŠ NEKIH HEKERJEV PA RAČUNALNIŠKIH SISTEMOV PA PODOBNE CYBER NAVLAKE

ODGOVORI

1 0

usavko

28. 07. 2009 09.31

vetlan. To sploh ni res... Če maš ti nek dokaz, da ti dolžnik ni poravnal denarja lahko od banke zahtevaš podatke... Do podatka si upravičen na podlagi 9. odstavka 40. člena Zakona o izvršbi in zavarovan-ju, ki določa, da je upravljavec podatkov ali zbirk podatkov dolžan upniku posredovati osebne podatke, ki se nanašajo na dolžnika.

ODGOVORI

0 0

McMxL

28. 07. 2009 09.21

@bugfree saj drugače piše veš.. predvidevam, da sploh prebral nisi, pa kar nekaj pametuješ.. jao jao

ODGOVORI

0 0

vetlan

28. 07. 2009 09.00

Po eni strani govorijo o zaščite osebnih podatkov, po drugi pa smo vsi na tapeti. Solidna banka sploh ne bi smela dajati podatkov, če ni odločbe sodišča, dogaja se pa čisto nasprotno. Štala.

ODGOVORI

0 0