NBÚ opäť zlyhal, používal cudzie odborné články o bezpečnosti

Značky: štátbezpečnosť

DSL.sk, 16.1.2018

Národný bezpečnostný úrad, NBÚ, má na konte ďalšie zlyhanie pri vykonávaní úloh v oblasti počítačovej bezpečnosti.

Články na stránke SK-CERT

Tentokrát jeho jednotka SK-CERT, Slovak Computer Emergency Response Team, ktorá by mala koordinovať a riešiť bezpečnostné incidenty, na jej stránke používala prepísané cudzie odborné články z oblasti počítačovej bezpečnosti.

Články sú edukatívno-poradného typu a silnej autorskej povahy, SK-CERT ich označovala ako rady a návody.

Články tak vyzerali ako články SK-CERT a neboli označené ako články niekoho iného a navyše evidentne na ich zverejnenie úrad zrejme nemal minimálne u niektorých článkov povolenie pôvodných autorov.

Na stránke SK-CERT sa nachádzalo v čase položenia otázok serverom DSL.sk pre NBÚ päť článkov, ktoré boli odkazované z titulky a zo sekcie rád a návodov. Tri z nich sú prepísanými preloženými článkami z troch zahraničných zdrojov.

Titulka www.sk-cert.sk pre kontaktovaním NBÚ, kliknite pre zväčšenie

Ide o články Prečo sú SSL/TLS útoky na vzostupe, Prečo môžu byť ex-zamestnanci jedným z najväčších kybernetických rizík pre vašu firmu? a 10 kriticky dôležitých krokov na vytvorenie kultúry kybernetickej bezpečnosti vo vašej organizácii, ktoré sú prepisom týchto troch článkov.

Ukážka článku na sk-cert.sk a originálneho článku, kliknite pre zväčšenie

Potenciálnu snahu vydávať články čo najviac za vlastný obsah naznačuje napríklad aj jedna z úprav v článku o SSL certifikátoch. Kým v originálnom článku konštatuje zvýšenie používania SSL kyberzločincami citácia od bezpečnostného experta zo spoločnosti monitorujúcej takéto aktivity, v článku na SK-CERT je rovnaká informácia uvedená ako priame konštatovanie autora článku.

Reakcia NBÚ

Ešte horšia ako postup SK-CERT bola reakcia a komunikácia NBÚ. Tento po našej otázke na tieto články a či má povolenie od autorov "poďakoval za upozornenie" a informoval, že spravil zmeny na stránke a neskôr že na obsahu stránky "sa naďalej pracuje".

Informoval, že pri cudzích článkoch uvádza autora a informáciu o súhlase so zverejnením. Tieto informácie ale doplnil až po našom kontaktovaní a informácia o súhlase pribudla iba v jednom článku, zvyšné dva články odstránil z titulky ale nechal ich v sekcii návodov. Po otázke či si myslí, že zverejnené články bez súhlasu môže takto publikovať, odstránil odkazy na ne zo sekcie návodov, na webe sú ale stále dostupné cez svoju URL.

NBÚ jednoducho neodpovedal na pôvodnú otázku či má takéto súhlasy a neodpovedal kedy získal súhlas k článku, kde informáciu o ňom doplnil.

Vzhľadom na kroky, reakciu, stiahnutie článkov a absenciu odpovedí NBÚ pred kontaktovaním serverom DSL.sk minimálne na dva cudzie články, kde NBÚ nedoplnil informáciu o povolení autorov a stiahol ich z titulky a následne aj z návodov, evidentne zrejme nemal na ich zverejnenie povolenie.

NBÚ sa reálne k situácii nevyjadril, nevysvetlil ako mohla nastať, neospravedlnil sa a napríklad neodpovedal na otázku či nepovažuje za hanbu, že organizácia ktorá má mať dostatočné odborné obsadenie dokonca na riešenie incidentov nie je schopná napísať vlastné odborné články a používa cudzie. Pripomíname, že tie sa pred pridaním informácií o autoroch javili ako práca SK-CERT.

Na situáciu s článkami na stránkach SK-CERT upozornil server DSL.sk čitateľ, za tip ďakujeme.

Katastrofálny stav NBÚ v oblasti počítačovej bezpečnosti

V oblasti počítačovej bezpečnosti nejde v poslednej dobe o prvý incident, ktorý vyvoláva vážne otázky o schopnosti NBÚ plniť si úlohy v tejto oblasti.

Ako sme upozorňovali napríklad v tomto článku, NBÚ vážne zlyhal aj pri nedávnej kauze zraniteľných elektronických občianskych eID. Po odbornej aj komunikačnej stránke.

NBÚ v oficiálnom vyhlásení po prepuknutí kauzy a mesiace po tom, ako sa o probléme dozvedel, uvádzal nesprávne pomerne zásadnú odbornú informáciu. Tvrdil totiž, že čip na našich eID pre 3072-bitové RSA kľúče zvolené ako náhradné riešenie za vážne zraniteľné 2048-bitové kľúče nepoužíva rovnaký zraniteľný postup generovania respektíve rovnakú knižnicu. Táto informácia sa ukázala ako nesprávna a v skutočnosti používa.

To vyvoláva samozrejme pochybnosti ako o odbornej úrovni NBÚ tak o tom, ako sa situácia riešila ak mesiace po informovaní o zraniteľnosti NBÚ nevedel takúto dôležitú odbornú informáciu potrebnú pri posudzovaní náhradných riešení. Vzápätí sa ukázalo, že NBÚ nehovoril pravdu o tom kedy sa zvolené riešenie vybralo. NBÚ tvrdil, že to bolo v júli, to ale poprela certifikačná autorita Disig, ktorá sa na riešení podieľala. Definitívne riešenie nebolo podľa nej prijaté nielen v júli ale ani vôbec v lete.




Najnovšie články:



Diskusia:

NBÚ opäť zlyhal Od reg.: kamaradzkosicrobihiphopcijeho | Pridané: 16.1.2018 15:02 a uz zmenili heslo ? Odpovedať Známka: 9.1 Hodnotiť:

Re: NBÚ opäť zlyhal Od: babráci sú to | Pridané: 16.1.2018 15:14 Mali zmeniť vedenie a zamestnancov. Odpovedať Známka: 8.3 Hodnotiť:

Re: čo má rozum ušlo do nemecka Od: zlý dej | Pridané: 16.1.2018 15:16 Ale koho by tam poslal, trojnásobný premiér a večný hranol už nemá ľudí, a neschopný podržtaškovia sú už tam. Odpovedať Známka: 7.9 Hodnotiť:

Re: čo má rozum ušlo do nemecka Od: taglajf | Pridané: 17.1.2018 8:22 vsetci zmaturovany Smeraci uz proste maju pracu a je tazko najst novych Odpovedať Známka: 8.0 Hodnotiť:

Re: NBÚ opäť zlyhal Od: gertrudo | Pridané: 16.1.2018 16:34 Preco myslis ze ti novi by nerobili presne to iste, kedze by ich tam dosadili ti co nam vladnu? Odpovedať Známka: 7.0 Hodnotiť:

Re: NBÚ opäť zlyhal Od: tajnos_agentos | Pridané: 16.1.2018 15:27 a navrhari Intel vPro uz zmenili heslo? Odpovedať Známka: 1.4 Hodnotiť:

Re: NBÚ opäť zlyhal Od: syntaxterrorX XX | Pridané: 16.1.2018 15:39 Samozrejme. Navzajom s NBÚ, nakolko vymyslanie noveho by priekazne zvysilo entropiu sledovaneho systemu. Odpovedať Známka: -2.9 Hodnotiť:

Re: NBÚ opäť zlyhal Od reg.: cca01 | Pridané: 16.1.2018 15:51 Samozrejme, už dávno nbusr123 -> nbusr1234 Odpovedať Známka: 7.9 Hodnotiť:

Re: NBÚ opäť zlyhal Od: taglajf | Pridané: 17.1.2018 8:22 zas taka banda babrakov niesu, uz je to nejaky cas co zmenili nbu123sk na iny cize sk321nbu Odpovedať Známka: 10.0 Hodnotiť:

A teraz... Od: Sancho | Pridané: 16.1.2018 15:03 A teraz ruky hore vsetci, co cakali odbornost od statnej organizacie s tabulkovymi platmi. Odpovedať Známka: 7.9 Hodnotiť:

Re: A teraz... Od reg.: akoze | Pridané: 16.1.2018 15:12 ja som vobec prekvapeny ze takuto agenturu stat prevadzkuje, musel som si 3x precitat kym sa mi CzERT preplo na SK-CERT. Odpovedať Známka: 7.1 Hodnotiť:

Re: A teraz... Od: desfr | Pridané: 16.1.2018 15:46 mam pocit, ze taku agenturu musi prevadzkovat. Odpovedať Známka: 7.1 Hodnotiť:

Re: A teraz... Od: tajnos_agentos | Pridané: 16.1.2018 15:31 prinajhosrom na objednavku agentury obvinia nejakeho sedlaka z dzedziny a budu ho prenasledovat cez 7 krajin, 7 udoli a 7 mori az kym sa dakde v aute unaveny nezabije Odpovedať Známka: 7.1 Hodnotiť:

Re: A teraz... Od: sandisxxx | Pridané: 18.1.2018 13:19 Nie je nutne, to sa robilo za Meciara. Dnes sa o vsetko postara Kalicia a Smerosudy. Kalicajti vysetria, usvedcia a smerosudy rozsudia. Nie je nutna likvidacia. Odpovedať Hodnotiť:

Re: A teraz... Od: mojnazor | Pridané: 16.1.2018 16:13 Horšie je, že všetko sa robí dodávateľsky - preplatíme to teda min. 2x Odpovedať Známka: 6.2 Hodnotiť:

Re: A teraz... Od: platysk | Pridané: 16.1.2018 16:39 Platy tabuľkové ale provízie trhové... Odpovedať Známka: 8.3 Hodnotiť:

Re: A teraz... Od: trollot | Pridané: 17.1.2018 14:14 ja by som to čakal, nakolko vo vyberovych konaniach uspeju iba naj. absolventi. Ale ak mas tetu, uja, mamu, otca co ti vybavia pracu automaticky preskocis vsetkych sikovnejsich :) Odpovedať Hodnotiť:

Re: A teraz... Od: vgy | Pridané: 17.1.2018 14:24 Mne raz teta chcela odo mna sluzby automechanika a pritom o tom neviem nic. Takze dostat flek a nevediet o tom nic sa da... Odpovedať Známka: 10.0 Hodnotiť:

dnes má meniny Nový rok, Deň vzniku SR Od: _Buržuj | Pridané: 16.1.2018 15:14 DSL robí lepšiu investigatívu ako všetky tie pseudointelektuálne plátky dokopy :D Kde sa aj obyčajný nastupujúci doktor v diskusiách tvári ako poloboh na takéto stránky nechodí a ani by im nerozumel. IT na Slovensku znamená Inteligentný Tunel. Odpovedať Známka: 8.6 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: prachy | Pridané: 16.1.2018 15:20 Dobré že to píšeš, lebo by som si nevšimol:) Radšej klikni na reklam u. Odpovedať Známka: 6.0 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od reg.: a3a3a3 | Pridané: 18.1.2018 0:13 N reklamu kliknite TU, TU a TU Odpovedať Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: hadfo | Pridané: 16.1.2018 15:51 Nejaku crypto adresu na prispevky nedaju? :) Odpovedať Známka: 5.4 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od reg.: cca01 | Pridané: 16.1.2018 15:55 A hlavne zdôraznili, fakt, že komunikácia po bola ešte horšia ako samotné zlyhanie. Mám pocit, že niektorí ľudia v štátnych inštitúciách nemajú ani šajnu a hlavne cit pre základné právné, autorské, etické... záležitosti. Odpovedať Známka: 6.0 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: mojnazor | Pridané: 16.1.2018 16:15 Jedna vec je neznalosť ale podľa mňa je horšie totálna bezočivosť a žiadny strach z nelegálnej činnosti. V takýchto inštitúciách to tak bolo vždy. Odpovedať Známka: 7.3 Hodnotiť:

Co sa cudujete? Od: jagapap77 | Pridané: 16.1.2018 15:24 Sa pozrite, kto to tam vedie. Sami tlchuba a taraj. Zasvateni vedia svoje. Odpovedať Známka: 4.0 Hodnotiť:

Re: Co sa cudujete? Od: tajnos_agentos | Pridané: 16.1.2018 15:39 mozno na postoch su dosadeni, ale odbornikov by som nepodcenoval. a nie kazdy robi len pre prachy Odpovedať Známka: 6.0 Hodnotiť:

Re: Co sa cudujete? Od: vinetu | Pridané: 16.1.2018 23:07 odbornici? a ktori? vsetko riesia subdodavatelsky. a co nohy malo, vsetko zutekalo Odpovedať Známka: 7.1 Hodnotiť:

Re: Co sa cudujete? Od: tajnos_agentos | Pridané: 17.1.2018 2:09 daj viac info, nech som v obraze Odpovedať Známka: 10.0 Hodnotiť:

Re: Co sa cudujete? Od: tajnos_agentos | Pridané: 17.1.2018 2:10 * iba ak si nemyslis, ze subdodavatelom slovenskej SIS je europol xD Odpovedať Známka: 0.0 Hodnotiť:

Re: Co sa cudujete? Od: indian_hehehe | Pridané: 17.1.2018 2:22 to by bola brutalita, ak by ... mestska policia by dokazala zatiahnut vsetky protihekerske prostriedky a vyriesit kradez za 1000 evri ... pre 1000 evri by dokazali nahanat hekerov cez europol ale europol nedokaze pomocou svojich metod prist na to, ako sa zo statu odleje 1 mld. EUR rocne a bezni mali podnikatelia (nie oligarchovia) su kvoli tomu zdierani z koze Odpovedať Známka: 5.0 Hodnotiť:

Re: Co sa cudujete? Od: panboh_ | Pridané: 17.1.2018 2:31 nejde o to, ze padne vinetu. ide o to, ze pre nacelnika je to totalne fiasko a blamaz, ked pre 1000 konikov dokaze nacelnik sledovat vinetua 10 rokov az na kraj svetadiela Odpovedať Známka: 3.3 Hodnotiť:

Re: Co sa cudujete? Od: rihanna | Pridané: 17.1.2018 2:33 chcela by som vidiet tu knihu, co vsetko sa v nej popisalo, nech sa vedia indiani do buducna podla coho riadit Odpovedať Hodnotiť:

Re: Co sa cudujete? Od: moderny indian | Pridané: 18.1.2018 1:34 kniha = vysetrovaci spis, podla ktoreho sa udajne postupovalo. nech sa da porovnavat, co sa dokazaat kvoli 1000 a co sa robilo kvoli 1 mil. kukucinov Odpovedať Hodnotiť:

Re: Co sa cudujete? Od: vinetu | Pridané: 17.1.2018 12:59 nemam viac info. to je len predpoklad. ved kto normalny by robil za tie prachy? vo vsetkych statnych instituciach je to podobne. tak preco by boli v NBU vynimkou? Odpovedať Hodnotiť:

zatazenie na pcrevue? Od: lampasik | Pridané: 16.1.2018 15:35 Trochu mimo temu, ale nezatazuje aktualne https://www.pcrevue.sk procesor? Odpovedať Známka: 0.0 Hodnotiť:

Re: zatazenie na pcrevue? Od: ME3 | Pridané: 16.1.2018 16:24 Heh, ak sa nacita pcrevue, tak CPU vybehne vysoko .. ale ak zapnem chrome konzolu cez F12 aby som sa pozrel, ze wtf, tak zrazu je ta stranka na 0% Odpovedať Známka: 3.3 Hodnotiť:

Re: zatazenie na pcrevue? Od: wwsswwsq | Pridané: 16.1.2018 16:25 mne nie. ale ja na tej stránke nie som. Odpovedať Známka: 7.4 Hodnotiť:

Re: zatazenie na pcrevue? Od: taha mi | Pridané: 16.1.2018 18:57 Jj, 80% z CPU mi ukazuje Chrome Task manager. Podľa Developer tools načítanie úvodnej stránky si zobralo 18,4 MB. A to som tam cez mobilný hotspot... Nečakal by som od webu so zameraním na IT. Za 18.4 MB môžem čítať DSL.sk na mesiac. Odpovedať Známka: 8.0 Hodnotiť:

Re: zatazenie na pcrevue? Od: _Buržuj | Pridané: 16.1.2018 19:08 Však samozrejme! Z pár príspevkov pre TV noviny a účastí v Teleráne dnes už nevyžiješ! Odpovedať Známka: 4.3 Hodnotiť:

Twitch Od: monopol | Pridané: 16.1.2018 16:09 Aj twitch ma zaujimavu feature, kde ked sa prihlasujete, tak nemusite klikat na recaptcha, ze nie ste robot a prihlasi vas. Alebo to google posunulo na vyssi level a uz to zisti aj bez toho? Odpovedať Známka: -4.3 Hodnotiť:

Re: Twitch Od: Reg.: x x l l | Pridané: 16.1.2018 17:08 Ano, google uz vie filtrovat botov aj bez klikania :) Odpovedať Známka: 7.5 Hodnotiť:

ach jaj Od: iExploder | Pridané: 16.1.2018 16:46 tak ako vznikaju tieto odborne clanky prelozene z anglictiny do slovenciny, tak aj rastie moja nechut ich citat Odpovedať Známka: 6.7 Hodnotiť:

statna sprava Od: jano z lesa | Pridané: 16.1.2018 16:48 mam znameho ktory tam pracuje. maju 10 tyzdnov dovolenky, 3x do roka narok na rozne rehabilitacie a podobne. preplacaju im pobyty v hoteloch a prace neschopnost je hradena 100 % mzdy. Vysledky maju ake maju. Odpovedať Známka: 5.7 Hodnotiť:

Re: statna sprava Od: gertrudo | Pridané: 16.1.2018 17:29 A? To ze mas vela dovolenky vypoveda nieco o kvalite tvojej prace? Vobec ale vobec nic. Sikovny urobi za ten cas vsetko, a este ma volnejsi pracovny den. A nesikovny neurobi nic, este veci aj pokazi, a stale trepe ako pod casovym tlakom a nic nestiha. A potom samozrejme statny uradnik, ktory si to tam chodi odsediet, a neurobi realne nic ako je rok dlhy. Odpovedať Známka: -4.7 Hodnotiť:

Re: statna sprava Od: jano z lesa | Pridané: 16.1.2018 19:14 o kvalite ich prace vypovedaju ich kauzy. len hovorim ze maju tolko benefitov ako takmer ziadny zamestnanec s sukromnom sektore a za co? za ctrl+c a ctrl+v. Chcem len povedat ze by bolo treba sa im pozriet na prsty. su to prizivnici. ich praca nevykazuje pozadovanu kvalitu. je to platene z penazi nas vsetkych. cela statna sprava nie len NBU je prehnita Odpovedať Známka: 6.2 Hodnotiť:

Re: statna sprava Od: Gertrudo | Pridané: 16.1.2018 21:59 To plati uplne o vsetkych statnych uradoch a zamestnacoch. Odpovedať Známka: 4.3 Hodnotiť:

Re: statna sprava Od: pinpo | Pridané: 17.1.2018 9:05 ze maju vela benefitov bude asi preto, lebo maju mizerny plat - tabulkovy, s ktorym sa neda nic robit a aby tam vobec niekoho prilakali a udrazali tak to riesia aspon takto nepriamo Odpovedať Známka: 10.0 Hodnotiť:

praca Od: flack | Pridané: 16.1.2018 17:12 Som bez prace, myslim ze budem pre NBU prinosom. Ak nie prinosom, tak aspon nebudem ten najneschopnejsi. Odpovedať Známka: 7.5 Hodnotiť:

cycyy Od: cycyy | Pridané: 16.1.2018 18:33 cely NBU je spolok blaznov vsetci co boli realne dobri odtial odisli a pracuju pre sukromny sektor stat tam odbornikov nevie zaplatit Odpovedať Známka: 5.6 Hodnotiť:

Re: cycyy Od: tajnos_agentos | Pridané: 16.1.2018 19:03 I) a) nie su dobri b) nechcu byt dobri c) nesmu byt dobri II) a) nechce zaplatit b) nevie zaplatit c) plati Odpovedať Známka: 4.7 Hodnotiť:

hiring do NBU Od: Kastrol | Pridané: 16.1.2018 21:48 Otazka 1: Kde najdete Solitaire? Otazka 2: Ako zapnete pocitac? Otazka 3: Ovladate copy paste? Odpovedať Známka: 7.5 Hodnotiť:

nic nove na zapade Od: fero od sechnarov | Pridané: 17.1.2018 9:17 Parada DSL, pekne ste ich zniesli pod tmavu zem. Bordel tam bol, je a bude, ale treba ich v kuse drbat a upozornovat na ich neschopnost verejnost. Cim viac sa o tom hovori, tym vacsia motivacia pre nich polepsit sa. Odpovedať Známka: 10.0 Hodnotiť:

minorFail Od: sandisxxx | Pridané: 18.1.2018 13:21 Tak toto je ovela mensi fail, ako si na vsetkych sietovych prvkoch nastavit rovnake a malo bezpecne heslo. :P Smatlaci. Odpovedať Hodnotiť:

Pridať komentár