Telekomunikācijas un IT
Juris Kaža
Juris Kaža
16 Februāris, 2010

Par “sajātni”/”piedrāzni” jeb vienkārši f**k up ar VID EDS

Autors: Juris Kaža @ 18:19 Kategorijas: Latvijas IT/telekom jaunumi un baumas, Izklaide un melnais humors

Par Valsts ieņēmuma dienesta (VID) Elektroniskās deklarēšanas sistēmas (EDS) datu bāzes noplūdi ir dzirdēta šāda versija:

Pamatā visam ir VID par IT atbildīgo personu loka nevīžība, sešu mēnešu laikā nepamanot „caurumu” pa kuru tika burtiski izvazāti EDS dati. Caur vaļējām durvīm visādas lietas tika elektroniski iznestas uz IP (interneta) adresēm Krievijā, Ukrainā un citās pasaules malās

 Atvērtās durvis pamanīja sistēmas izstrādātājs Exigen veicot testus. Tad steidzami slēdza šo caurumu. Citos vārdos, izstrādātājs ar nokavēšanos pamanījis paša kļūdas. Savukārt auditorfirmas KPMG  EDS sistēmas audits neesot pamanījis „caurteci”.  Ir cita versija, ka auditoru slēdzieni par sistēmas ievainojamību netika ņemti vērā.

 Ir cerības, ka milzu ļembasts ap šo notikumu beidzot sapurinās ne tikvien VID, bet citas valsts iestādes veikt informācijas sistēmu auditus un attiecīgi rīkoties. Dzelžainas drošības sistēmas, kur katra izmaiņa dokumentos un datu bāzes ierakstos tiek dokumentēta un automātiski, pēc stingriem kritērijiem autorizēta (vai arī iezīmēta ar sarkanu karogu un trauksmes zvanu) ir pieejamas. Tās ir dārgas, bet, iespējams, lētākas par grūti aprēķināmo valsts reputācijas graušanas cenu.

 Visbeidzot ir versija, ka 4. Atmodas tautas armija (4.ATA), kas dižojās ar 120 gigabaitu VID datu nosmelšanu savām vajadzībām (dažādu shemotāju un negodīgu cilvēku atmaskošanai), ir vietējie bāleliņi, kas izmantojuši Lielbritānijas un Īrijas IP adreses lai dotu ticamību pašu radītam imidžam, ka ir sava veida kiberanarhisti, kas vēršas pret, viņuprāt, esošo korumpēto iekārtu.

 Pēc man zināmas versijas,  kiberbālēliņi tika pārsteigti, tāpat kā klejojošs suns, kas vienmēr tiek barots kādās mājās, bet pēkšņi vairs ne. Tad sāk riet un gaudot.

Protams, personīgi gribētu ticēt, ka ir tāda nedaudz ideālistiska, revolucionāra un anarhistiska 4.ATA, kas beidzot izaicina šo valsti un sabiedrību, kurā tiek pieciesta ļurbība svarīgās valsts iestādēs, kur valsts amatpersonas rīda neo-VDK (Drošības policiju) pret žurnālistiem un dažam labam Saeimas deputātam trūkst demokrātijas izpratnes, lai neapkārtu Elektronisko plašsaziņas līdzekļu likumu ar murgainiem vārda brīvības ierobežojumiem, kuri, pa laimi, noņemti (pagaidām).

16 komentāri

  • ‘’Pēc man zināmas versijas, kiberbālēliņi tika pārsteigti, tāpat kā klejojošs suns, kas vienmēr tiek barots kādās mājās, bet pēkšņi vairs ne. Tad sāk riet un gaudot'’ - PĀRSTEIGUMS pēc pārsteiguma - ‘nosper’ 120 gigabaitus, domā ar to informāciju ko panākt, a pēkšņi izrādās - ‘’nospēruši'’ kaut kādu ‘bulšitu’ ? VID tiek iesniegta tikai un vienīgi precīza informācija ? VID ir pieejama precīza informācija par ‘bāleliņu-oligarhu’ miljoniem ? Ar vienu pašu Lembergu jau >gadu netiek skaidrība….4.ATA visus tos savus 120 gigabaitus var sev….tai pašā vietā ielikt ….Varbūt kādu ‘lohu’ kaut kur kādā Krievijas nomalē cer atrast, kas šajā haosa laikā uzskatīs, ka VID informācija ir kādu 10% ticamību ?- atradīs, kādam jau ne internets ir pieejams, ne Google datu bāzes…..

    autors: Edge 16 Februāris, 2010, 19:15

  • Protams, personīgi gribētu ticēt, ka ir tāda nedaudz ideālistiska, revolucionāra un anarhistiska 4.ATA,

    Juri, tu esi sapņotājs :)

    Šodienas diskusijās es lēnā garā nonācu pie secinājuma, ka, visticamāk, šis “caurums” ir vienkārša laža, ko nepamanīja ne klients, ne izstrādātājs. Es neticu sazvērestību teorijām, ka šāds caurums ir atstāts speciāli viena iemesla dēļ - nav iespējams tikt pie konkrēta dokumenta - ir jāpārlasa/jānovelk visi ID un pēc tam vēl jāveic šķirošana un analīze. Ja kāds būtu vēlējies atstāt backdoor tad tam būtu jābūt elegantākam risinājumam nekā raw datu dumps.

    Kurš beigu beigās būs atbildīgs - laiks rādīs. Es pieļauju, ka pēc analīzes būs skaidrs kad šis caurums parādījās un es nebūšu izbrīnīts, ja izrādīsies, ka šis caurums ir bijis no pirmās beta versijas.

    autors: Normunds 16 Februāris, 2010, 19:16

  • edge, Lemberga, Šlesera u.c “oligarhu” delarētos ienākumus var aplūkot jebkurš. Tam nav nepieciešams kačāt 120 gigabaitus, jo viņu amatpersonu deklarācijās ir tieši tā pati info kas VID datubāzē par nomaksātajiem nodokļiem.

    autors: Normunds 16 Februāris, 2010, 19:18

  • >Normunds -
    Loģiski, loģiska ir arī Kažas komentāru rakstīšana un interviju sniegšana plašsaziņas līdzekļos (pirms 15 min. TV3). Cik n-tos Rietumu valstu noslēpumus neizzaga padomju špioni (sākot ar Manhetenas projektu) ?
    Nu un - nozaga, nokopēja, pielietoja - meklēja sistēmas stiprās/vājās puses, taču, iespējams, neapjēdza sistēmas pamat-pamatus (jo paši savu izveidoto ’sistēmu’ neapjēdza - J.Andropova atziņa 1983.g.).
    Tāpat šodien n-to sistēmu pasūtītāji, būvētāji, uzturētāji un ‘zadzēji’, kas galvenokārt pielieto vienkāršo ‘copy-paste’ metodi daudz ko neapjēdz un neapjēgs - nu gluži kā alķīmiķi viduslaikos - receptes n-tās, a zelta iegūšanas metodi zog un pārdod, a reālu zeltu neviens iegūt nevarēja.
    Alķīmiķu un viduslaiku tumsonības triumfs 21.gs. nenovēršams - esam tam liecinieki.

    autors: Edge 16 Februāris, 2010, 21:44

  • Bet tie 120GB taču ir teorētiski :) Kāds tos ir parādījis?

    autors: lee 16 Februāris, 2010, 22:48

  • Gadījums ļoti nopietns - pārāk liels sensitīvās informācijas daudzums nokļuvis nepareizajās rokās. Kam tad vēl varam uzticēties, ja pat VID nav spējīgs nosargāt mūsu informāciju.
    Kā tur ir ar iepriekš teikto, ka “backdoor” ievietots apzināti un augsta amatpersona to zināja?
    Kā domājat, vai Jakāns kaut ko zināja?

    autors: Digitālā televīzija 17 Februāris, 2010, 11:16

  • @Edge
    Manhetenas projektu nodeva viens no pašu amerikāņu fiziķiem, kas tajā piedalījās. Neviens viņu tur speciāli neiesūtīja un nevervēja. Šis fiziķis vēlāk arī nožēloja padarīto, kad redzēja, ka komunisms realitātē nav vis tie ideāli, ko teoretizēja Markss.

    autors: dooh 17 Februāris, 2010, 11:31

  • >DOOH -
    PRECIZĒSIM - ne tikai viens fiziķis Klauss Fukss redzēja kā amerikāņi pielietoja zinātnieku izgudrojumu Hirosimā un Nagasaki - ne tikai Rozenbergu ģimene palīdzēja nogādāt informāciju padomju špioniem. Bijušais PSRS izlūkdienesta darbienieks ģen. Kalugins ilgus gadus, iespējams, vēl šodien vada ekskursijas Ņujorkā un Vašingtonā stāstot par saviem n-tajiem aģentiem, kurus vervēja, bet vēlāk nodeva/pārdeva attiecīgo amerikāņu iestāžu rokās.
    - PAR REALITĀTI - tuvāk Kažas kunga raksta tēmai - ar interesi izlasīju KPMG Baltics IT pakalpojumu vadītāja A.Briezes rakstu 2008.g.28. janvāra Diena.lv ‘ Informācijas sistēmu drošība valsts pārvaldē’ - nudien IT speciālisti ir varen labu ‘alibi’ sev nodrošinājuši pret visiem ‘’caurumiem'’?
    Lūk, kā filosofē pieredzējis

    autors: Edge 17 Februāris, 2010, 12:20

  • …IT nozares profesionālis A.Brieze:'’PANACEJA informācijas drošībai neeksistē, un nav sistēmas, kurā būtu 100% drošība…….'’ –
    4.ATA turpinās VAR DARBOTIES bez raizēm ?

    autors: Edge 17 Februāris, 2010, 12:22

  • >DOOH -
    NOBEIGUMĀ - var nodot, uzdāvināt, nopirkt n-tos jaunākos un super jaunākos ‘dzelžus’ un n-tos super-puper IT projektus un drošības sistēmas - tikai lai tos efektīvi/saprātīgi pielietotu vajadzīgs attiecīgs zināšanu un intelekta līmenis - pretējā gadījumā būs efekts ar negatīvu zīmi. Pēdējais Rīgas Domes e-talonu projekts to uzskatāmi apliecina, tāpat kā šis notikums ar VIS ES - gaidīsim turpinājumu
    p.s. ( bija lozungs ‘’…+visas valsts elektrifikācija'’, - tagad - ‘’….+visas valsts digitalizācija'’ ? ).

    autors: Edge 17 Februāris, 2010, 12:32

  • Dzelžainas drošības sistēmas, kur katra izmaiņa dokumentos un datu bāzes ierakstos tiek dokumentēta un automātiski, pēc stingriem kritērijiem autorizēta (vai arī iezīmēta ar sarkanu karogu un trauksmes zvanu) ir pieejamas. Tās ir dārgas, bet, iespējams, lētākas par grūti aprēķināmo valsts reputācijas graušanas cenu.
    ———
    Kad beidzot LV žurnālisti runājot par kādas sistēmas izstrādi dārgāku cenu minēs konkrētu skaitli - par cik dārgāka? Cik cilvēkstundas utt? To tak nav grūti izskaitļot? ;)
    Ja nemaldos, tad jebkuras datubāzes piekļuves gadījumā var saglabāt IP(tā ir piekļuves reģistrācijas opcija) un neprasa nekādu īpašo papildizstrādi… tas ka šo sensitīvo datu aizsardzībā nav bijusi paredzēta automatizēta sistēma kas attiecīgi reaģē uz masveida datu piekļuvi, tad var izsecināt, ka visas pārējās sistēmas ir taisītas pēc viena parauga…
    Pats dzīvoju UK un mazliet brīnos ka šeit valsts IT sfērā taupa naudu - sistēmas tiek izstrādātas lai darbotos arī uz diezgan veciem datoriem un neorientējoties tikai uz jaunāko MS Windows, tāpat dzelži pat privātfirmās tiek iegādāti konkrētu pienākumu veikšanai un tiek ekspluatēti līdz pēdējam un viss ir izdomāts līdz pēdējam sīkumam kādiem pienākumiem kāds dators ir nepieciešams un kādu OS uzlikt un kādām interneta adresēm ļaut pieeju… jo jebkurā sistēmā nedrošākais posms ir no cilvēka rīcības atkarīga darbība.

    autors: Jānis 17 Februāris, 2010, 17:55

  • interesanti, kā uzņēmēji un fiziskās personas varēs uzzināt, vai tieši viņu dati tikuši izplatīti un kā tiesā pierādīt kaitējumu, jo reāli jau laikam nevarēs uzzināt visus kas un kāpēc vilka datus. Piesmēja pūlis, daļēji formās, tā ka vainīgie ir, bet atbildīgo nebūs?

    4ata - es kaut kā neticu šī stāsta romantiskajai daļai. Šādi var izrunāties cilvēki, kas pirmo reizi ko tādu tur rokās un kam nav ne jausmas, ko ar iegūto garlaicīgo datu mega-miskasti darīt. Vislabākā drošība ir nevis slepenībā, bet faktā, ka es nevienu neinteresēju un google uz katru jautājumu sniedz 100mio atbilžu :D

    autors: Aigars 17 Februāris, 2010, 17:55

  • Jāni,
    Man ir stāstīts, ka Infowatch risinājums maksājot ap 500 Ls par darba stacīju. Infowatch ir dzelžainais variants, kas reģistrē visas sistēmas darbības.

    autors: Juris Kaža 17 Februāris, 2010, 21:41

  • Tas caurums sistēmā ir (bija) triviāls, smieklīgs. Tāds, kuru pieļauj jaunais censonis taisot savu pirmo mājaslapu. Smiekligi, ka izstrādātājs tāda parādīšanos pieļāva — tas ir tik triviāls, ka pat nav uzskatāms par sistēmas uzlaušanu. Tieši tāpat kā nav skaidrs, kā neviens no “drošības expertiem” to nepamanīja. Visticamāk tāpēc, ka no pasūtījuma būtiska daļa aizgāja “otkatiem” un nepietiekami līdzekļi atlika paša produkta izveidei un pārbaudei.
    PS. Un tie 120gb nav paši dati, tas ir ar visu xml struktūru. Tas cipars vienkārši skan daudz iespaidīgāk. :) Tīri sastrukturizēta un saspiesta informācija pilnīgi droši, ka saietu vienā parastā CD ripulī.

    autors: tiri-piri 18 Februāris, 2010, 01:07

  • neturējās pie triviālām jeb pamata patiesībām veicot testēšanu, auditu. Nu nedrīkst taču aizmirst pārbaudīt vienkāršākās lietas!!! Mācība visiem, tuviem un tāliem. Par brāķi darbā būtu naudiņa jāatmaksā atpakaļ, šitik kliedzošā gadījumā domāju, ka visa naudiņa. Skarbi skan? Kļūda jau ar` bij skarba, sekas arī skarbas.

    autors: edGars 18 Februāris, 2010, 02:27

  • Nevajag ticēt kašmarovska (Infowatch) reklāmas bulšitam. Tas viņu risinājums varbūt der organizācijām, kuras nav orientētas uz klientu apkalpošanu un ar paranoidālām drošības prasībām - kaut kādām izpētes kompānijām, visādiem SABiem un KNABiem. Bet tās nav reāli ekspluatējamas organizācijās, kuras dienā apstrādā milzīgu klientu datu apjomu.

    autors: plakanais 18 Februāris, 2010, 12:58

Pievienot komentāru


Par autoru

Juris Kaža ir pieredzējis Latvijas telekomunikāciju un IT nozares žurnālists. Strādājis Dienas biznesā, savā laikā rakstījis The International Herald Tribune un citiem ārvalstu laikrakstiem. Iesīkstējis Apple Macintosh lietotājs un fāns.

Citi Nozare.lv eksperti


Saistītās nozares

Jaunākie ieraksti

Jaunākie komentāri

Kategorijas

RSS

Meklēšana


Saites

Arhīvs