citez: "De mai bine de o luna circula acest fisier. Nu stim in ce conditii a ajuns sa fie public si este grav ca s-a ajuns aici. Banuiala mea este ca a facut-o cineva care e nemultumit de diferentele mari de salarizare pe aceleasi posturi cu aceleasi responsabilitati. Este intr-un fel ceea ce am reclamat noi de ani de zile”
Ce e interesant, ca Octavian Doru Belu, Doru sau "Dodi" cum ii spuneam noi cand eram copii, e un prieten foarte bun de-al meu din copilarie, am crescut impreuna, vizitandu-ne si facand schimb de timbre si jucarii, ne stim practic de o viata. Suntem de exact aceeasi varsta. Il cunosc foarte bine si il cred in stare de asa ceva.
'r-ar el de capitalism, auzi acolo să aibă doi frecători de mentă salarii diferite!! Păi dacă fug de răspundere cot la cot, trebuie remuneraţi egal, nu? Şi ce-i cu secretul ăsta, ia să afle toată lumea câte minute are şefu' şefilor moca pe telefonul mobil! Ştia Ceauşescu ce ştia: salariu de încadrare, bici împărţit în mod egal la toţi, raţie la pită. Egală şi public anunţată. Aşa se recompensează corect capul de vită furajată!! 'tu-le muma lor de corporaţionişti exploatatori, burgheji care strică capul la români şi bagă vrajba-n colectiv. Tovarăşi, comitetul vă cere să luaţi atitudine.
__________________
Posesor de bici, prestez servicii diverse.
Nu stiu sigur la nivelurile astea de salarizare care este impozitul. Nu le am cu stirile din domeniul economic, oricum, unele reglementari ma depasesc, dar din cultura mea generala cred ca valoarea maxima a impozitului e de 40 sau 45 %, cea ce e mult totusi. Dar pot sa gresesc, deci nu stiu sigur.
Cu cat as putea sa vand informatii asemanatoare? De la o companie care se ocupa cu siguranta datelor, culmea? Fisierul contine date personale si statea bine-mersi la indemana publicului Nota: la compania respectiva nu eram responasbil cu securizarea, si nici nu am datele din interior. Pur si simplu le-am gasit din intamplare.
Asta se trage de la faptul ca pana si oamenii din IT (chiar retelisti si programatori), daca nu au treaba cu securizarea, nu prea dau importanta problemei.
Ca fapt divers, am pus pe aici niste intrebari despre securitate (da, pe forumul asta) si no responses, no comments, nimic-nimic)
Ceea ce insa m-a uimit au fost pierderile de date recente ale britanicilor. De parca s-ar fi dus un batranel cu CDul cu date neincriptate in sacosa.
Vina este insa si a managementului, of course (pestele de la cap se ...) Managerii nu inteleg de ce trebuie sa stea atata ca sa scrii o baza de date pe un tape, ca la altii se scrie mai repede. Si de ce sa investeasca el in softuri, paza si alte minuni d-astea.
Nu putem avea pretentii de siguranta la costuri reduse.
O provocare: cum va transportati datele critice de colo colo (asa, cu CDul la voi)? poate facem thread separat, daca e cineva amator
Deci:
1. cum dracu' e posibil sa tii pe laptop asemenea date? (M-am uitat 3 minute pe articol) Astea stau pe server de obicei.
2. cum dracu' te misti cu laptopul fara sa fie incriptate macar datele sensibile, daca nu toata partitia sistem; o licenta de PGP e ieftinica, un smart card la fel
3. respectati oamenii de la IT, tot ce faceti cu PCul e atat de transparent pt ei. Un salariu bun nu strica
4. daca ai un smart card, cititor biometric sau alta dracovenie nu sunt de ajuns. E nevoie de oameni, de training.
Nu trebuie altceva decât TrueCrypt (moca) şi un pic de responsabilitate pentru asigurarea confidenţialităţii informaţiilor. Problema nu e de natură tehnică, ci oamenii.
Dacă vrei recunoştinţă, dă acele informaţii găsite înapoi celor ce le-au pierdut.
__________________
Posesor de bici, prestez servicii diverse.
Nu trebuie altceva decât TrueCrypt (moca) și un pic de responsabilitate pentru asigurarea confidențialității informațiilor. Problema nu e de natură tehnică, ci oamenii.
Dacă vrei recunoștință, dă acele informații găsite înapoi celor ce le-au pierdut.
Degeaba le-as da inapoi (ca ei oricum le au, aia era doar o copie), plus ca recunostinta ar fi ceva sublim dar ar...
Cat despre Truecrypt, mi se pare OK. Ce parere ai despre hidden container-ul lor?
TrueCrypt e beton de beton, dacă e folosit cu disciplină şi nu se consideră că softul face absolut totul. Mai tare e soluţia de criptare hardware - unele firme de audit financiar folosesc exclusiv laptop-uri cu această funcţie, de exemplu; degeaba furi laptop-ul sau scoţi discul din el, nu-i poţi face nimic. Pe amprentă nu te baza prea mult, tehnologia e încă cu probleme, să vezi ce enervant e să descoperi că, dintr-un bug de power management, cititorul de amprentă nu mai funcţionează când sistemul iese din suspend şi nu mai poţi face login cu degetul
Informaţiile nu trebuia să le returnezi în ideea că le-au pierdut, ci pentru a le atrage atenţia că au o breşă de securitate şi fişierul e dovada.
__________________
Posesor de bici, prestez servicii diverse.
caut si eu acel fisier, stie cineva de unde poate fi luat?
Caut de cateva luni o sursa buna de unde pot lua pulsul pietii in privinta salariilor.... Poate la urmatorul interviu nu ma mai blochez la intrebarea "Ce salariu vrei?"
Mai tare e soluţia de criptare hardware - unele firme de audit financiar folosesc exclusiv laptop-uri cu această funcţie, de exemplu; degeaba furi laptop-ul sau scoţi discul din el, nu-i poţi face nimic
Te referi probabil la smart-card/e-token?
By the way, unele placi mai noi au si TPM, ce vine in intampinarea Vista.
Solutiile bazate pe smart-card/e-token mi se par rezonabile. Insa fac pariu ca nu ar fi de mare folos cu cateva tehnici simple de soc-eng
Personal folosesc e-tokenul. E mai simplu, ca nu trebuie cititor. Insa nu tin pe e-tokenul curent decat cheile pentru informatiile pe care le accesez frecvent. Nu prea le tin pe cele pentru informatii sensibile.
Cat despre atentionarea companiei, sincer nu am curaj. Risc sa fiu acuzat sau sa intru intr-un blacklist odios Fandaxia e gata, ideea santajului infloreste in mintea lor imediat. Insa m-a mirat cat de usor poate pune cineva pe informatii, cu cunostinte minime. Patronul e/era in top 100.
Revenind, eu nu ma bazez pe folosirea unei singure chei la accesarea informatiilor sensibile, si oricum nu o fac pe PCuri publice. Imi creez un buffer, incriptat dublu cu alte chei, pe care il pot accesa in aeroport, la lucru etc. Sunt obsedat de keyloggere, camere video, man-in the middle si alte minuni d-astea. Problema se pune cum naiba stiu eu ce informatii sa bag in bufferul ala.
Bufferul de care vorbesc e dublu incriptat, folosind 2 solutii cu 2 algoritmi diferiti. Cheile, sau passphrase-urile sunt luuungi si nu sunt memorate, dar nici scrise pe foaie. Am cateva indicii (de genul literele 2-4 din numele prietenei bunicii, moarta acu' 10 ani, modul de compunere etc). Truecrypt ma lasa sa aleg si fisiere ca si cheie.
O alternativa buna, in locul smartcardului (sau complementar v. mai sus) e (cred ) generarea unui nr. imens de chei (Truecrypt ia ca si cheie un string format din primii 512bytes parca) si folosirea numai a catorva, dupa un algoritm scris undeva. Se pot selecta si fisiere multimedia (dar atentie la entropia din header )
De obicei umblu cu mai multe buffere si folosesc parole schimbate. Chiar daca ma nimereste un keylogger, limitez pagubele. Ideea nu e noua...
Nu, e password-based, cu criptare hardware pe placa de bază. Nu e parolă de deblocare, comparată cu o valoare memorată, ci e ceva cheie cu care se încearcă decriptarea, similar cu modul în care se parolează arhivele ZIP. Riscul e că dacă moare placa de bază, discul nu mai poate fi citit pe un alt laptop identic, deci pe el nu se face stocare de date. Desigur, degeaba ai asemenea protecţie dacă nu blochezi staţia când pleci din faţa ei, sau dacă eşti atât de prost cât să salvezi datele pe un stick sau le dai print şi uiţi să te duci după ele la imprimantă, etc. De-asta niciodată nu e o singură soluţie miraculoasă pentru securitate, ci un întreg ansamblu de măsuri, inclusiv training şi reguli de urmat.
__________________
Posesor de bici, prestez servicii diverse.
Is curios la ce foloseste madman tate criptarile alea? Pentru accesarea siturilor XXX?
Securitatea pleaca de la un concept foarte simplu. Degeaba dezactivezi la munca porturile USB, le scoti CD-RW, le urmaresti mail-urile, cand treaba asta se face de fap pe nivele de securitate. Esti mare sef, ai acces la majoritatea informatiilor si ai o clauza de confidentialitate de jdemii de ce vreti voi. Omul e constient ca atunci cand copiaza un fisier treaba asta e trecuta intr-un log, sanatate. Altfel la plati pe net la nivel casnic,puteti folosi linistiti Digpasss-ul sau alte minuni de gen. La companii securitatea perfecta nu s-a inventat, si cunosc suficienti oameni care lucreaza in banci ca sa-mi dau seama de asta.
Exemplu, la mine la fisierele de salarii au acces doar 2 oameni. Nu e pe intranet, nu HDD-ul unui calculator din retea, nu e in clar. Daca maine imi gasesc fabulosul salariu pe net si m-as si supara din acest motiv, ca am incercat sa agat o stramba pe net si i-am zis ca sunt patron, treaba e simpla.
__________________
Never argue with an idiot. They will only bring you down to their level and beat you with experience.
caut si eu acel fisier, stie cineva de unde poate fi luat?
Caut de cateva luni o sursa buna de unde pot lua pulsul pietii in privinta salariilor.... Poate la urmatorul interviu nu ma mai blochez la intrebarea "Ce salariu vrei?"
Poate următorul interviu va fi cu un procuror.
__________________
"There are only two things that are infinite, the Universe and human stupidity, and I am not sure about the former." (Albert Einstein)
Pe bune dar chiar nu inteleg cuvintele astea mari: "scurgere de informatie", clauza de confidentialitate, criptari, securitate etc. Si toate pentru niste amarate de salarii (care din punctul meu de vedere oricum ar trebui sa fie publice). Am semnat multe NDA-uri la viata mea... Acolo chiar erau informatii care nu trebuia sa ajunga sa fie facute publice. Dar salarii??? Trist.
__________________
"Am învățat că nu contează ce ai în viață ci pe cine ai." Octavian Paler.
Daca patronul ar reusi sa bage in cap angajatului de rand ca cei din consiliul de management castiga 25 de milioane pe luna, atunci ar fi ideal. Si in plus, mi se pare normal sa stiu salariile, pentru ca daca eu vreau sa fac cariera (ce glume de kkt am azi in mine) in firma aia, sa stiu cam pe ce post pot ajunge. Sa stiu ca merita sa-mi fac treaba bine decat sa fac hei rup si sa nu-mi pese (bineinteles, aici depinde mult si de oamenii care iti observa si iti apreciaza sau nu munca - dar ati inteles ideea)
Evident, cei care protesteaza pentru salarii publice nu sunt aia care castiga banul gros in firma lor. Cand in jurul tau sunt numai oameni care iau "o idee" mai putin ca tine chiar si cand muncesc mai mult, iti dai seama cat de util e sa ai salariul confidential.
Pentru ca daca apare starea aia generala de nemultumire intre angajati ai trei posibilitati: angajezi oameni noi (pana cand s-or trezi si aia sa faca gura), cresti salariile celorlalti sau scazi salariul celor putini care iau "peste medie". Ghici ciuperca.
SKIL, daca faci hei rup cu folos o sa observe si cei care dau banii. Indiferent ca sunt sau nu in firma respectiva.
Acum m-am uitat si pe articol. Evident ca IT-ul este de vina. Ei trebuie sa protejeze datele din laptopurile pe care le plimba manajeru' de la resurse prin toate retelele de cartier si din hoteluri fara sa-i intereseze de informatia din ele, probabil ca IT-ul e responsabil si pentru schimbarea pampers-ului.
__________________
Pleased to meet you, Hope you guessed my name
But whats confusing you, Is just the nature of my game
Bookmark
RSS
Newsletter
Scurgere de informatii la Solectron
Nota: la compania respectiva nu eram responasbil cu securizarea, si nici nu am datele din interior. Pur si simplu le-am gasit din intamplare.
Mod liniar
