Tehnopolis

Tehnopolis
FANTASIAM IZ ZENICE: Igra u nestvarnom svijetu slavenske mitologije Fantasiam će izaći početkom 2016. godine kao alpha ili beta, ali će se moći igrati, a cilj developera je da do kraja sljedeće godine izbace cijelu igricu za PC
Ulaganje u budućnost
Kojim energetskim putem ide Bosna i Hercegovina Prema procjenama stručnjaka, ulaganje u uštedu energije je hiljadu i više puta jeftinije nego ulaganje u kapacitete potrebne za proizvodnju te iste količine energije
NARUČITE: Kalendar 2010. Mia Jeličić
Čovjek koji je ukrao 135 miliona kreditnih kartica

 

 

Američko tužilaštvo zaključilo je tokom dosadašnje istrage da se Gonzales, sa svojih 28 godina, i u cyber svijetu poznat pod nadimkom “Soupnazi”, uz malu pomoć prijatelja i vlastitog kompjuterskog umjeća, tokom poslednje dvije godine uspio dokopati brojeva 135 miliona kreditnih kartica koji su bili pohranjeni na računarima najvećih američkih trgovačkih lanaca.

Na djelu je bio timski rad dvojice američkih i dvojice ruskih hackera. Uz Gonzalesa tu je bio i Damon Patrick Toey, koji je takođe iza rešetaka, te dvojica čestitih državljana Ruske Federacije. Jedan od dvojice Rusa je Maksim Jastremski, trenutno uživa u gostoprimstvu Turske, jer je u ovoj zemlji već osuđen na 30 godina robije zbog ranijeg hakiranja kompjutera u 12 turskih banaka.

Jastremski je u internetskom podzemlju bio poznat kao jedan od najvećih trgovaca brojevima ukradenih kreditnih kartica, i prema optužnici, samo od 2004. do 2006. godine na ovom poslu je zaradio oko 11 miliona dolara. Identitet četvrtog člana grupe za sada nije poznat.

Gonzales se već prethodno proslavio kada je na sličan način uspio ukrasti podatke o 40 miliona kartica. ali je poslednjim podvigom nadmašio sam sebe i postavio novi kriminalni rekord.

 

Za krađu su dovoljne novine i laptop

Način na koji su se Gonzales i njegovi prijatelji dočepali brojeva miliona kreditnih kartica bio je relativno jednostavan. Prva stvar koju su uradili bila je kupovina novina na trafici.

Buduće žrtve su tražili sa liste magazina Forbes na kojoj je rangirano 500 najvećih američkih i svjetskih kompanija. Jednostavno, nije im se dalo zamarati sa malim kompanijicama već su od starta pucali na visoko.

Hackeri su iskoristili najslabiju kariku u čitavom lancu plaćanjem kreditnim karticama. Svaki put kada u prodavnci platimo karticom, podaci sa kartice najprije putuju do procesnog centra, a odatle do banke koja je izdala karticu. Na ovom putu podaci se prenose šifrovani, ali očigledno je ova zaštita nedovoljna.

Godinama već traju rasprave među stručnjacima koji ukazuju na ovu sigurnosnu “rupu” te predlažu efikasnije sisteme zaštite podataka. Kako to obično biva, sigurniji sistem značio bi veće troškove za banke i čitav proces plaćanja karticama bio bi nešto sporiji nego što je to sada.

Kada se radi o novcu, bankari mrze trošiti pare, jer veći troškovi znače manji profit. Između sigurnosti i profita, kao pobjednik uvijek izlazi profit. Logika banaka je da je ipak jeftinije sa vremena na vrijeme pretrpjeti gubitak nego ulagati u sigurnost.

 

Gonzales je jednostavno sa laptopom kružio oko prodavnica najvećih američkih trgovinskih lanaca tražeći prodavnice sa slabom zaštitom njihovih bežičnih internet mreža, u koje bi se onda bez većih problema ubacivao. Jednom kada bi se našao unutar mreže, bio mu je otvoren put do svih servera, na koje je instalirao program koji je sam napravio.

Prije nego što su se upustili u avanturu, kao i svi profesionalci, vlastiti program najprije su testirali na dvadesetak postojećih anti-virus programa, pri čemu niti jedan od njih nije otkrio da Gonzalesov program predstavlja opasnost.

Jedina uloga ovog programa bila je da da kopira podatke o kreditnim karticama koji prolaze kroz mrežu, te da ih šalje na servere u SAD, Holandiji, Latviji i Ukrajini. Program je bio napravljen tako da na kraju izbriše i tragove svog postojanja kako bi onemogućio otkrivanje konačne destinacije ukradenih podataka.

 

Lopov na platnom spisku Tajne službe

Koliko je tačno brojeva kreditnih kartica ukradeno, još uvijek se ne zna. Gonzales mudro ćuti a tužioci pokušavaju utvrditi kome je sve uspio pokrasti milione podataka. Pokradeni takođe uglavnom ćute, vjerujući da bi potpuno objavljivanje obima nanesene štete narušilo imidž kompanije.

Prvobitna procjena bila je da se radilo o brojevima 80 miliona kreditnih kartica, ali kao je istraga odmicala, broj se povećavao i za sada je dogurao do 135 miliona, ali nije isključeno da ta cifra na kraju bude i veća.

Prave razmjere ove najveće krađe podataka do sada počele su isplivavati tek kada je jedan od partnera, Damon Patrick Toey, spašavajući vlastitu kožu, “propjevao” tužiocima.

Da paradoks bude veći, u trenutku kada se upustio u “pljačku stoljeća” Gonzales je uporedo radio za američku Tajnu službu, koja ga je angažovala zbog njegovih hakerskih vještina. Agenti Tajne službe znali su dobro koga su angažovali, jer je Gonzales od ranije imao podeblji dosije u oblasti kompjuterskog kriminala, ali su policajci valjda vjerovali da se Gonzales promijenio i prešao u tabor “dobrih momaka”.

Ipak, pokazalo se da je izazov “brze i lake love” za Gonzalesa bio preveliki, pa se birajući između mirne savjesti i potencijalne zarade koja bi se mjerila desetinama miliona dolara, ipak odlučio za ovu drugu opciju.

Za razliku od ostalih kradljivaca kreditnih kartica, koji ukradene podatke uglavnom koriste za kupovinu različitih roba putem interneta, koje kasnijom preprodajom pretvaraju u gotovinu, Gonzales i njegovi prijatelji imali su drugačije planove.

Njihova namjera bila je prodati u paketu podatke o brojevima svih 135 miliona kreditnih kartica kojih su se dočepali, kupcu koji ponudi najviše i koji je spreman platiti kešom.

Bankama gubitak pokrivaju klijenti

 

Koliku su štetu, direktnu ili indirektnu, zbog ove pljačke pretrpjele banke niko sa sigurnošću ne zna. Okvirne procjene stručnjaka govore tek da se radi o sumama koje bi se mogle mjeriti stotinama miliona dolara.

Banke u ovom slučaju ne treba pretjerano sažaljevati. Ovaj neplanirani trošak će kao i uvijek do sada na koncu platiti svi klijenti ovih banaka, kroz povećane različite naknade u svom poslovanju sa bankom.

Jedino što je u čitavoj priči još uvijek neizvjesno je koliko će godina robije odležati Gonzales i njegovi partneri, te koliko će vremena trebati dok neki drugi hacker sa “tamne strane” cyber svijeta ne obori Gonzalesov rekord.

(zurnal.info)



VELIKI BRAT: Sex, laži i praćenje

Radite za veliku stranu kompaniju ili banku? Očekujete zasluženo unapređenje na šefovsku poziciju? Čestitamo, vaš privatni život, ali i vaših najbližih, uključujući i vaše seksualne sklonosti, najvjerovatnije je već postao “javna stvar”.

Ko misli da je riječ o pretjerivanju i nečemu što se događa samo na filmovima i u “dalekom svijetu”, neka pita hrvatsku menadžericu, zaposlenu u Hrvatskim tekomunikacijama, firmi kćerki velikog Deutsche Telekoma.

Krajem maja njemački list Handelsblatt, objavio je dijelove tajnih dosijea koje je o svojim zaposlenicima u Hrvatskoj, Sloveniji, Mađarskoj i Makedoniji vodio Deutsche Telekom (DT).


KOMPANIJE ZAVIRUJU U KREVET ZAPOSLENIKA


Među žrtvama korporacijske paranoje i špijuniranja našla se i uposlenica iz Hrvatske, pod pseudonimom “Maja”. Njen privatni život temeljito su prekopali, što revnosni kompanijski, što lokalni, balkanski špijuni.

Da stvar bude gora, “Majin” dosije punjen je na bazi anonimnih tračeva koji su tretirani kao činjenice. Tako je “Maja” opisana kao “vrlo iskusan i domišljat seksualni partner”, te da “preferira starije muškarce”, dok su neke od drugih objekata besprizornog korporacijskog šijuniranja opisivani i kao “korumpirani štakor” ili “teški alkoholičar”.

Doušnici se nisu zaustavili samo na kopanju po privatnom životu “Maje” već je istom doušničkom tretmanu bila podvrgnuta i njena porodica, uključujući Majinu sestru koja je okvalifikovana kao “seksualno oslobođena”.

U prvim reakcijama iz Deutsche Telekoma samo su hladno konstatovali da “moraju znati sa kime imaju posla”, da bi kasnije priznali da su “pogriješili”.

Ostalo je pitanje ko je i na kakav način prikupljao privatne informacije za račun DT-a. Kao i svaka velika multinacinalna kompanija i DT ima vlastitu obavještajnu i službu bezbjednosti koja djeluje kao firma kćerka.

Javnost je posebno uznemirila činjenica da se u pojedinim dosijeima kao izvor informacija navodi BND, njemačka obavještajna služba. To, opet, otvara pitanje gdje je granica između državnih službi i krupnog kapitala, ako takva granica uopšte postoji.


NA METI I NOVINARI I ČLANOVI UPRAVNOG ODBORA


Prisluškivanje i praćenje lokalnih uposlenika DT-a po Balkanu samo je vrh ledenog brijega jer se DT prije tri godine našao u žiži mnogo krupnijeg skandala povezanog sa ilegalnim praćenjem, prisluškivanjem i kopanju po privatnim podacima.

Tada su se na meti uprave našle mnogo krupnije ribe, sami članovi Upravnog odbora DT-a, veliki dioničari, sindikalni lideri te poslovni novinari.

Kako se naknadno utvrdilo, tadašnji menadžment DT-a silno se iznervirao što su se u medijima pojavljivale povjerljive interne informacije koje nisu baš išle u prilog kompaniji.

Kako je bilo očigledno da informacije ne cure od portira već iz samog vrha, pod totalni nadzor stavljeni su i sami članovi nadzornog odbora te novinari i redakcije medija.

Svi “sumnjivci” su praćeni i snimani 24 sata dnevno. Bilježeno je kad se, sa kime i gdje sastaju, ko kome telefonira i šalje mailove i sms poruke. Srećom, pošto je riječ o velikoj telekomunikacijskoj kompaniji, praćenje telefonskih razgovora, mailova i sms-ova nije bio nikakav problem.

Zavirivanje u bankovne račune i privatni život takođe se uspješno riješilo, angažovanjem vanjske firme specijalizovane za ove poslove. Uostalom, naknadno je DT priznao da je u ranijim godinama ilegalno pročešljavao bankovne račune čak 100.000 svojih uposlenika.

Čitava afera oko špijuniranja vlastitog Nadzornog odbora i novinara, razotkrivena je kada se pojavio spor oko plaćanja faktura ovoj specijalizovanoj kompaniji. Računi su iznosili i stotinjak hiljada eura.

Po računici privatnih špijuna DT im je ostao dužan pa kada apeli za plaćanje nisu imali efekta, sve je procurilo u javnost. Čim su se posvađali oko para, sjetili su se zakona.


NEMA PRIVATNOSTI NA POSLU


Na žalost običnih smrtnika, DT nije nikakv izuzetak među velikim kompanijama i bankama kada se radi o zadiranju u privatnost svojih uposlenika. To je postala uobičajena praksa, bez obzira na takve “sitnice” kao što su zakonske zabrane i kazne za neovlašteno prisluškivanje, praćenje i zloupoptrebu ličnih podataka.

Uostalom većina domaćih ljudi koji je radila ili radi za strane kompanije i organizacije u BiH već se suočila sa totalnim gubitkom privatnosti, barem kada su na poslu.

Ako su se potrudili da temeljito iščitaju svoje ugovore i interne kompanijske pravilnike i procedure mogli su tamo naći jasno navedeno da poslodavac zadržava pravo kontrole svega što se radi na računaru u firmi, bilo da je riječ o mailovima, chatu, posjećivanju web stranica.

Temeljni postulat kojim se vode zapadni poslodavci, a što je u više navrata potvrđeno i sudskim presudama u brojnim sporovima oko prava na privatnost, jeste da “sve što je napravljeno na kompanijskoj opremi, je vlasništvo kompanije”, pa tako sva priča o privatnosti otpada.

Uostalom, čak i da nije izričito navedeno, niti jedan zapadni poslodavac se ne usteže od redovne ili povremene kontrole internet aktivnosti svojih uposlenika, bilo da je riječ o službenicima u Singapuru ili Sarajevu.

Većina ljudi zaboravlja da i kada koriste svoje privatne mailove na kompanijskim računarima, bilo da je riječ o gmail-u, yahoo, hotmail-u, kopije poruka ostaju na kompanijskom serveru i poslodavac ih može čitati kad god hoće.


KAKO JE HP LOVIO “UNUTRAŠNJEG NEPRIJATELJA”


I američki HP “proslavio” se sa nezakonitim špijuniranjem 2006. godine zbog čega je na kraju bez posla ostala tadašnja direktorica HP-a, Patricia Dunn.

Scenario je bio gotovo identičan kao i kod DT-a, informacije iz vrha kompanije završavale su u medijima, a sumnjivci su bili – članovi upravnog odbora.

Ponovo se se na meti našli i nesretni poslovni novinari koji su znali i objavljivali više nego što se to sviđalo upravi HP-a. Pošto HP nije telekomunikacijska kompanija za dobijanje podataka o tome ko je i kada telefonirao kome trebalo je angažovati vanjske stručnjake koji su svoj dio posla bez problema odradili uz odgovarajuću naknadu.

Na kraju, umjesto otkrivanja “izdajice” u vrhu HP-a, rezultat nezakonitog špijuniranja bio je otkaz direktorici Dunn.

Bez obzira što po izbijanju afera oko nezakonitog prisluškivanja zaposlenih, članova upravnog odbora i novinara, po pravilu, direktori ostaju bez posla, ista praksa se nastavlja i dalje.

Naši život, navike i tajne, odavno su pohranjeni na različitim računarima i kompjuterskim bazama podataka do kojih i nije tako teško doći, ako imate novca.

A za one druge intimnije detalje, poput seksualnih preferencija, uvijek se nađe dovoljno “balkanskih špijuna” više nego voljnih da sa zainteresovanim podijele svoja stvarna ili izmišljena saznanja o drugim osobama.

I dok su kafanski tračevi i ogovaranja uglavnom bezopasni, jednom kada se nađu u tajnim dosijeima postaju dovoljno razorno sredstvo za uništavanje karijere i života nesretnih “objekata” korporacijskog špijuniranja.

Privatnost je davno prinesena kao žrtva na oltar profita, samo što nam to još niko nije rekao.

(zurnal.info)

 

KOMPJUTERSKI SISTEMI: BiH je lak plijen za hackere

Veći dio BiH ostao je juče bez električne energije usljed kvara na kompjuterskom sistemu. Iz Elektroprivrede tvde da se ubrzano radi na osposobljavanju sistema i ubrzo se očekuje normalizacija snabdjevanja”.

Ovako bi najvjerovatnije glasila agencijska vijest u slučaju apokaliptičnog scenarija, da se BiH nađe na udaru međunarodnih kriminalaca specijalizovanih za ucjene kompanija, gdje su taoci vitalni kompjuterski sistemi koji kontrolišu snabdjevanje vodom, strujom, odvijanje željezničkog saobraćaja.

Ne radi se o naučnoj fantastici, već o stvarima koje se već nekoliko godina dešavaju širom svijeta i sve zemlje i kompanije, od Pekinga do Washingtona su potencijalna meta.

 Američki dalekovodi pod kontrolom hackera

Jedna od prvih stvari koju je uradio novi američki predsjednik Barack Obama nakon ulaska u Bijelu kuću, bila je naredba za hitnu analizu sigurnosti kompjuterskih mreža kojima se upravlja ključnom infrastruktrom, strujom, vodom, finansijskim sistemom.

Rezultat? Otkrilo se da je “neko” u računare koji kontrolišu vitalnu infrastrukturu ubacio programčiće koji mu omogućavaju da u bilo kojem trenutku sruši sistem, odnosno da bez struje, vode, telekomunikacija, ostavi čitave SAD ili njen dio, za duži vremenski period.

Za svakodnevni život građana i ekonomije takav scenario bi imao efekat podjednako poguban kao i napad atomskim bombama.

Pitanje ko je i kada ubacio ove programe za sabotažu, ostalo je bez konkretnog odgovora. “Uobičajeni sumnjivci” su Kina i Rusija, mada su se na sceni pojavili i novi igrači, organizovani kriminal.

Prema tvrdnjama zvaničnika CIA-e, hakeri ruske obavještajne službe FSB, nasljednice KGB-a, upadali su u američke kompjuterske sisteme koji upravljaju infrastrukturom još od 2003. godine. Istu stvar takođe rade i Kinezi, i za sada im prilično dobro ide.

Gotovo izvjesno je da su istu stvar Amerikanci napravili svojim konkurentima na globalnoj sceni, mada je uobičajeno da se žrtve ne hvale time.

Špijuni dobili konkurenciju

Ako je špijunima najmoćnijih država upadanje u kompjuterske sisteme potencijalnih protivnika u opisu posla, za nove igrače iz sfere organizovanog kriminala otvorilo se novo polje djelovanja, i to izuzetno profitabilno.

Američke komunalne kompanije bile su već suočene sa ucjenom od strane kriminalaca koji su prethodno preuzeli kontrolu nad njihovom kompjuterskom mrežom, tvrde iz američkog SANS instituta koji djeluje kao krizni centar za kompanije čiji su kompjuterski sistemi hackirani. Poruka kriminalaca bila je jednostavna, “platite ili gasimo sve”.

Kompanije su izgleda ipak plaćale, a informaciju da su njihovi kompjuterski sistemi bili žrtve beskrupuloznih kriminalaca, brižljivo su krili od javnosti.

Na meti kriminalaca nisu samo američke kompanije. Prema tvrdnjama koje je u januaru prošle godine na konferenciji o cyber sigurnosti u New Orleansu iznio Tom Donohue iz CIA, “nekoliko gradova izvan SAD već je bilo suočeno sa nestankom struje kao posljedicom ucjene od strane hackera koji su preuzeli kontrolu nad njihovim sistemom”.

Koji su to gradovi i gdje, Donohue nije želio otkriti, ali je očigledno da novi sistem reketiranja uspješno funkcioniše.

Ono što je pokazala analiza ubačenih programa je da njihovi autori nisu besposleni klinci željni dokazivanja svog kompjuterskog umijeća, već da se radi o programima čiji su autori timovi profesionalaca.

Luksuz angažovanja grupe kompjuterskih stručnjaka mogu da priušte sebi ili države ili najkrupnije ribe u svijetu podzemlja koje imaju dovoljno novca na raspolaganju za ovo “početno ulaganje”.

Nema apsolutne sigurnosti

- Apsolutna sigurnost ne postoji, i uvijek postoji mogućnost da dođe do proboja u sistem. Po definiciji, kompjuterska sigurnost je određivanje prihvatljivog nivoa rizika. Sigurnost je svakodnevna borba, kaže Miroslav Gligorić, inžinjer za AGC i SCADA sisteme u nezavisnom operatoru sistema BiH, kompaniji koja upravlja mrežom dalekovoda u BiH.

Ta svakodnevna borba u praksi zavisi od svake kompanije pojedinačno i znanja i umješnosti ljudi zaduženih za održavanje kompjuterskih sistema sistema ali i od spremnosti menadžmenta prihvati ono što kompjuteraši u kompaniji predlažu.

Prva “linija odbrane” je korištenje isključivo licenciranih programa i zabrana instaliranja bilo kakvih drugih programa od strane zaposlenih. Kako lijepa riječ obično nije dovoljna, onda IT stručnjaci u kompanijama gdje je potrebna maksimalna sigurnost jednostavno na računarima onesposobe USB priključke, DVD čitače te i sofverski onemoguće korisniku da bilo šta instalira na računar samostalno.

- Kada se radi o mogućnosti da kod velikih infrastrukturnih kompjuterskih sistema u BiH dođe do proboja, kao što se dešavalo u SAD , teoretski, to nije isključeno, jer ako se dešavalo Amerikancima, onda može i bilo gdje u svijetu uključujući i BiH . Kod nas praktično postoje dvije međusobno odvojene mreže, pri čemu je SCADA sistem koji upravlja prenosom električne energije u BiH izolovan od standardne kompanijske mreže. Tako da ako se slučajno i desi da dođe do proboja virusa u kompanijsku mrežu, oni ne mogu doći do SCADA sistema. Ipak, teoretski, pristup SCADA sistemu izvana moguć je, ali samo od strane nekog ko izuzetno dobro poznaje sistem iznutra, kaže Gligorić.

BiH nije Amerika, pa kod nas hitnu analizu sigurnosti ključnih kompjuterskih sistema koji kontrolišu naše svakodnevno snabdjevanje strujom, vodom, telekomunikacijama, niti ima ko da zatraži niti ima neko ko bi to uradio.

Ko će štititi kompjutere u BiH?

Brano Vujičić- U BiH ne postoji državna institucija čiji bi posao bio da se bavi ovakvom vrstom supervizije nad sigurnošću najvažnijih kompjuterskih mreža u zemlji. Eventualno, to bi mogao biti jedan od poslova kojima bi se mogla baviti Agencija za informatičko društvo BiH. Problem je što je ova agancija trebala biti formirana na državnom nivou, ali zakon o njenom osnivanju već godinama se “kiseli” po ladicama i neizvjesno je kada će konačno biti usvojen, objašnjava Brano Vujičić, potpredsjednik skupštine bh. asocijacije za informacione tehnologije BAIT.

Trenutno, jedini vid bilo kakve kontrole nad kompjuterskim sistemima, kada je riječ o državnim institucijama i kompanijama odvija se u sklopu revizije od strane entitetskih i državnog Ureda za reviziju.

U revizorskim timovima koji češljaju kako se troši novac poreznih obveznika obično je i jedan IT stručnjak što je nedovoljno za bilo kakvu ozbiljniju analizu sigurnosti kompjuterskih mreža. jednostavno, revizorima to i nije osnovni posao niti imaju dovoljno ljudi i resursa.

I dok se država baš i ne zabrinjava previše hoće li se naći suočena sa izborom da plati međunarodnoj mafiji ili da joj iznenada prestanu raditi vitalni kompjuterski sistemi, provjera sigurnosti kompjuterskih mreža komplikovana je čak i kada su kompanije voljne da je plate iz svog džepa.

- Kada smo za interne potrebe željeli testirati otpornost naše mreže na napade izvana, bili smo prinuđeni angažovati kompaniju izvan BiH jer kod nas se niko ne bavi time, kaže nam sistem administrator odgovoran za IT sigurnost u jednoj domaćoj finansijskoj instituciji.

Za domaće informatičare ovo nije nikakva novost, jer u ovom poslu važi pravilo “koliko para, toliko muzike” odnosno, koliko para i znanja, toliko i sigurnosti.

Mali rođak umjesto profesionalca

- Normalno je da se domaće kompanije ne bave provjerom testiranja sigurnosti jer je to usko specijalizovan posao koji traži i stručnjake koji nisu jeftini. S druge strane potražnja za takvom vrstom usluga kod nas je na simboličnom nivou i jednostavno se zbog jednog ili dva posla godišnje ne isplati ulagati u pokretanje takve kompanije, ocjena je Vedina Hakirovića, produkt menadžera u softverskoj kompaniji Hermes Softlab.

Po Hakirovićevim riječima, suštinski problem BiH kada se radi o primjeni informatičkih tehnologija je što među menadžerima mahom preovladava stav da je angažovanje profesionalaca nepotreban trošak, pa je alternativno i jeftino rješenje, “imam ja malog rođaka koji se razumije u kompjutere”.

Jedina utješna stvar za BiH je što za razliku od razvijenih zapadnih zemalja gdje su vitalni infrastrukturni sistemi u potpunosti kompjuterizovani, kod nas se uglavnom radi o mješavini automatizacije i ručnog rada. Ponekad je biti tehnološki malo zaostao i prednost.

(zurnal.info)