Atsakymai į ESET renginio metu užduotus klausimus: Darius Povilaitis

Save poziciuonate kaip “white hat hacker”, bet veikiate labiau kaip “grey hat”? Sutinkate su šia mintimi? Jeigu ne, kodėl?

Jei šis klausimas apie Esveikatą - tai matyt reikėtų žiūrėti į žmogaus veiksmus, tikslus, žinoti realią situaciją ir tada vertinti. Viešumoje buvo paskleista daug klaidinančios ir nepilnos informacijos, todėl visuomenei turėtų būti gana sunku objektyviai įvertinti. O man nelabai net buvo galima gintis - nors buvau kaltinamas aibe absurdiškų dalykų. Taigi, pasiremsiu tik viešai skelbta informacija: www.delfi.lt/verslas/verslas/isnarste-esveikatos-sistema-kelerius-metus-nejudintas-problemas-atiduoda-prokurorams.d

www.registrucentras.lt/naujienos/index.php

Šios saugumo problemos buvo pripažintos tik tada, kai buvo paviešinta visa serija Esveikatos saugumo problemų. Ir kaip buvo rašoma - apie problemas buvo žinoma, tačiau nieko nedaroma. O kodėl nedaroma - tai man taip pat nekyla didelių klausimų:

sumin.lrv.lt/lt/naujienos/e-sveikatos-auditas-stringanti-sistema-issvaistytos-lesos-ir-milijonai-tolesnei-prieziurai

Taip pat paskaitykite valstybės kontrolės ar antikorupcijos komisijos išvadas. Manyčiau, kad šioje vietoje blogoji pusė esu visai ne aš ....

Prisijunkite prie Esveikatos sistemos kaip pacientas - pasivaikščiokite ir pabandykite įvertinti, kiek milijonų sumokėtumėte už tokią sistemą ?

REGISTRUOKITĖS Į BŪSIMUS ESET TECHNINIUS WEBSEMINARUS

Koks Jūsų atliekamų tyrimų tikslas, kai ne viename iš tyrimų nėra jokios incidento priežasties analizės ir rekomendacijų?

Tikslas – švietėjiškas, noras parodyti realią situaciją, kad žmonės susirūpintų savo sistemomis ir nepatektų į mano tyrimą :) Visos saugumo incidentų priežastys yra senai išnagrinėtos bei suklasifikuotos, numatytos kontrapriemonės ir pan.

Pvz: www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdflearn.cisecurity.org/cis-controls-download

Nemanau, kad galiu ką nors daugiau pridėti prie šios informacijos.

Kaip pranesti apie rastus vulnerabilities lietuviskose imonese (mazos dideles ir t.t) kad jos nepatrauktu taves i teisma/policija ?

Klausimas sudėtingas :) Dabar rengiami kibernetinio saugumo įstatymo pataisymai, tačiau labai rekomenduočiau juos gerai perskaityti iš pradžių, o po to susipažinti su anoniminių ryšių technologijomis – pvz. TOR :)

Kaip baigėsi su esveikata atveju?

Jei klausimas dėl manęs - tai tyrimas nutrauktas neradus nusikaltimo sudėties ar panaši formuluotė. O esveikata, kaip suprantu, puikiai gyvena toliau. Lėšos įsisavinamos toliau ...

Evaldžios sauga. Galite plačiau apie šiuos incidentus papasakoti? Kas juos sukelia dažniau: užsienio ar gal net lietuvių įsilaužėliai?

Neturiu galimybės atsekti pėdsakų iki realaus šaltinio, nes tai dažnai būna gerai užslėpta. Tačiau Lietuvoje įsilaužėlių tikrai yra, o taip pat yra ir besimokančių tai daryti.

Kokios pamokos po valstybinio aparato išpuolių prieš Jus? T.y. kaip teisingai institucijai pateikti jų kibernetinės problemas?

Manyčiau, jei institucija atvira, nėra korumpuota - tai turėtų į tokius pranešimus reaguoti adekvačiai. Bet matyt reikia palaukti kibernetinio saugumo įstatymo pataisų.

Taip pat žr. 3 klausimo atsakymą.

Open source = garantuotas saugumas?

Ne. Pagrindinė kliūtis saugumo incidentams – kompetetingas saugumo specialistas. Jis gerus rezultatus gali pasiekti tiek su OpenSource, tiek su komerciniais produktais ( jei turės galimybę pasirinkti, ką ir kur naudoti, ir jam netrukdys ... )

Sakote, kad daugumą kibernetinio saugumo efektų galima pasiekti nemokamais įrankiais, ar tas pat galioja ir antivirusinei programinei įrangai?

Matyt reikėtų tiksliai suformuluoti tikslą - ką norima pasiekti, o tada atlikti bandymus tiek su komerciniais, tiek su nemokamais produktais ir palyginti gautus rezultatus. Tarp tų pačių komercinių produktų (antivirusų) egzistuoja drastiški skirtumai dirbant su statiniais parašais - užtenka pažiūrėti mano prezentaciją.

Kaip siūlytume apsisaugoti iš techninės pusės nuo soc. Inžinerijos atakų, pavyzdžiui atakų el. Paštu? Labai didelių stebuklų su techninėmis priemonėmis nepadarysi, bet šį bei tą padaryti vistik galima - pvz. SPAM filtrai, greylisting-as, pašto politika ir pan. Šioje vietoje vis tik pagrindinė priemonė apsaugai - vartotojų švietimas.

Jūsų pristatymas remiasi OWASP metodologija. Ar esate sertifikuotas pranešėjas?

Ne, nesu.

Kodel pristatymo metu bendraujate su ekranu, bet ne su auditorija? :)

Jaudinuosi :)

Kaip nusprendžiate kokią sistemą analizuosite?Remiatės pranešimais, ar pastoviai tikrinate svarbias sistemas?

Du dalykai: labai daug informacijos man pateikia mano sukurta analitinė sistema daug problemų pamatau elementariai bandydamas pasinaudoti kažkokią paslauga. Ypač, jei ta paslauga neveikia taip, kaip turi veikti :)

Ar dabar esveikata saugi?

Nemanau.

Australai planuoja atakuoti lietuviškus serverius. Kokią gynybą pasiūlytumėte diegti lietuviams, kad atsilaikyti nuo tokių atakų ir patiems pereiti į puolimą?

???

Parašykite mums