CISM sertifikāts nav pielīdzinām CISSP, IUB noraida KPMG sūdzību 4

Interesantu rakstu pamanīju defense.lv, kur tika publicēts KPMG nelabvēlīgs IUB lēmums un atzīts, ka konkrētā gadījumā CISM nav ekvivalents CISSP. Sūdzības pamatā bija fakts, ka pasūtītājs (VID) iepirkumā prasīja speciālistu ar CISSP sertifikātu, bet KPMG piedāvāja speciālistu ar pieredzi un CISM sertifikātu uzskatot, ka tas ir alternatīvs CISSP. Kā rezultātā no turpmākas dalības konkursā KPMG tika izslēgts. Kam interesē motivējošā ...

VID datucentru problēma un DEAC neveiksmīga PR kampaņa 5

Pārlasīju mēdijos publicētos DEAC rakstus par VID datu centra dīkstāvi elektrības pārtraukuma rezultātā. Personīgi nepazīstu nevienu VID IT pārstāvi, bet manuprāt jocīgi (neticami) izklausījās Gailīša paziņojums -“VID nerēķinās ar riskiem”, jo: 1. Valsts informācijas sistēmu likums nosaka, ka riski ir jāizvērtē (negribas ticēt, ka šo punktu kāds ignorē); 2. Jebkura biznesa uzdevums nav izslēgt pilnīgi ...

Tautas skaitīšana, EDS, CSDD un ņemšanās ap perosnas kodu 2

Līdz šim aizņemtības dēļ nebija laiks iedziļināties problēmā, ar kuru slimo visa LV jau veselu nedēļu. Principā šeit ir jāizdala divas problēmas- valsts iestāžu (un arī dažu privātu) izpratne par to, kas ir drošs autentifikācijas rīks un personas datu pieejamība (lietojamība). 1. gadījumā interesants ir viedoklis, ka privātie dokumenti ir jāsargā pašiem (lai nenoplūst pases ...

Mēģinām pielietot EDS konstatēto ievainojamību citur 3

Visiem tagad ir zināms kādā veidā tika iegūti dati no EDS sistēmas- nebija (it kā bija iestrādāta, bet testu rezultātā tika atslēgta) autentifikācija uz failu nolādes. Kā šādu ievainojamību var izmantot tehniski biju atradis netā un pārpublicēju šeit. Tā kā teorija un citu piemēri no prakses atšķiras, tad nodomāju patestēt. Linux gadījumā tas varētu izskatīties šādā ...

Kā tika nolādēti dati no VID EDS sistēmas? 1

Šodien klejojot par netu atradu veidu kā iespējams tika nopumpēti dati no EDS sistēmas. Viss ģeniālais ir vienkāršs un lai cilvēki redzētu cik tieši tas ir vienkārši tad pārpublicēju pašu kodu, kas varēja izskatīties aptuveni šāds: Linux veidīgā konsolē uzrakstām un priecājamies for i in {1..7500000}; do wget http://www2.vid.gov.lv/eds/Pages/GetDuf.aspx?id=$i; done Šis piemērs parāda veidu kādā ...

No VID EDS tiek nopludināta informācija

Principā ārprāts! Ja neteikt ko vairāk. Iztērējot  miljons latu par drošības pārbaudēm un nepamanīt šādu vienkāršu drošības caurumu? No sabiedriskos mēdijos pieejamās informācijas var spriest, ka starptautisko auditorfirmu(Ernst & Young Baltics, KPMG Baltics) kompetence ir nožēlojama- neatrast ievainojamību kuru spētu atrast jau mazliet zinošāks students.. Intersantākais tajā ir tas, ka ir aizdomas uz speciāla šāda ...