Gost autor| IT

Neovlašćeno objavljeni podaci ličnosti za 5 miliona građana

/ 15.12.2014. u 11:57

Komentari: 104
Čitanost: 27327
/
Preporuke: 3735
/

Tekstualna baza sa podacima o ličnosti 5 190 396 građana Srbije, uz više od 4 000 finansijskih dokumenata (ukupno preko 19 gigabajta sadržaja), bila je tokom protekle nedelje javno dostupna na zvaničnom sajtu Agencije za privatizaciju Republike Srbije, utvrdila je SHARE Fondacija.

Analizom je utvrđeno da su podaci 5 190 396 građana zapravo podaci iz evidencije nosilaca prava besplatnih akcija koju vodi Agencija za privatizaciju. Veličina tekstualne baze sa podacima o ličnosti je 1,22 gigabajta, što predstavlja ogromnu količinu podataka o ličnosti koji su ostavljeni tako da svako može da im pristupi, preuzme ih i potencijalno zloupotrebi. Bazi sa ličnim podacima je bilo moguće pristupiti na sledećem linku: http://www.priv.rs/upload/company/contract/BES/dump_web_prijave_10062013.txt.

Pošto baza kompromituje podatke više od 5 miliona ljudi, nismo želeli da alarmiramo javnost dok baza ne bude uklonjena sa Interneta. Stoga smo obavestili Kancelariju Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, koja je hitno reagovala povodom ovog slučaja. Pristup bazi je onemogućen u petak, 12. decembra tokom popodnevnih časova, nakon što su prikupljeni dokazi i o svemu obaveštena Agencija za privatizaciju.

Ukoliko ste građanin Srbije i 2008. godine ste se prijavili za besplatne akcije, vaši podaci su kompromitovani. U nastavku možete videti izgled dela baze:

Analizom je utvrđeno da baza sadrži različite podatke o 5 190 396 građana Srbije i to:
ime
prezime
srednje ime
jedinstveni matični broj građana (JMBG)
status građanina u evidenciji nosilaca prava na besplatne akcije (poslednja kolona)

Važno je napomenuti da je na osnovu predstavljenih podataka moguće utvrditi sledeće informacije o određenoj ličnosti:

datum rođenja
mesto rođenja
starost
pol

Značaj ovih podataka se između ostalog ogleda i u činjenici da svaki korisnik Interneta na osnovu JMBG može potencijalno pretraživati druge javne elektronske baze kako bi došao do dodatnih podataka. Takođe, ukoliko neko sazna vaš JMBG, može da se prijavi na različite javne ili privatne elektronske servise koristeći vaš identitet.

Pored direktnog korišćenja ovih podataka, moguća je zloupotreba i socijalnim inženjeringom. Ponekad je dovoljno pozvati neku kompaniju sa kojom imate ugovor i dajući samo ime, prezime i JMBG možete zahtevati dodatne usluge ili ukidanje pojedinih usluga. U pogrešnim rukama, ovi podaci mogu da dovedu do masovne krađe identiteta građana, usled čega će državni organi i privreda morati da preduzmu adekvatne mere kako ne bi došlo do ozbiljnih posledica za građane čiji su podaci kompromitovani.

Interesantno je da se link ka bazi slobodno razmenjivao na Tviteru, gde su ga saradnici SHARE Fondacije uočili. Iako smo prvo pomislili da je možda neko iz same Agencije neovlašćeno dostavio ovaj link nekom, te da ga je ta osoba potom podelila na društvenim mrežama, ispostavilo se da je baza bila pretraživa na pretraživaču Google i da je izgleda svako ko je ukucao svoj matični broj, a prijavio se 2008. godine za besplatne akcije, bio u mogućnosti da slobodno i bez ograničenja pristupi ovoj stranici.

Ako ste se prijavili za besplatne akcije, mogli ste da ukucate svoj matični broj u Google i kao rezultat pretrage biste dobili link ka ovoj bazi.

Za sada nismo upoznati da li je u pitanju neka vrsta bezbednosnog napada ili neprihvatljiva greška zaposlenih u Agenciji, ali smo sigurni da je ovo najveći bezbednosni propust u sferi zaštite informacionih sistema i privatnosti građana koji se desio u novijoj istoriji Srbije. Izvesno je da više niko nije u mogućnosti da odgovori na sledeća pitanja:

Ko je sve došao u posed baze koja sadrži lične podatke 5 190 396 građana Srbije?

Ko je sve došao u posed više od 4 000 drugih dokumenata (ukupne veličine 19 GB) koji pretežno predstavljaju poslovne i finansijske podatke preduzeća u restruktuiranju?

Na koji način će ih (zlo)upotrebiti?

Istraživanjem vlasništva nad IP adresom na kojoj je objavljena ova baza, ustanovljeno je da su se podaci nalazili na serveru na “Veratovoj” mreži. Međutim, nije moguće sa sigurnošću utvrditi u čijem je server posedu. U svakom slučaju, propust koji se dogodio je verovatno na nivou administratora platforme (web stranice) a ne administratora servera ili hosting provajdera.

Nadamo se da će postupak koji je pokrenuo Poverenik otkriti sve aspekte ovog bezbednosnog propusta kako bi se utvrdila odgovorna lica, ali i podigla svest kod zaposlenih u javnom sektoru o odgovornosti za podatke o ličnosti koje čuvaju.

Ukoliko se ispostavi da državni organi nemaju potrebe za spomenutom bazom podataka o ličnosti koja je u posedu SHARE Fondacije, baza će biti izbrisana i neće biti ustupljena trećim licima, niti će na bilo na koji način biti zloupotrebljena od strane Fondacije u skladu sa našom Politikom privatnosti.

Upozoravamo sve koji su eventualno došli do baze sa ličnim podacima građana Srbije da svaka dalja upotreba, preprodaja i ustupanje može biti osnov za krivičnu odgovornost po osnovu krivičnog dela “Neovlašćeno prikupljanje ličnih podataka” (čl. 146 Krivičnog zakonika).

Privatnost za slabe, transparentnost za moćne

Državni organi prikupljaju veliku količinu različitih podataka, uključujući i podatke o ličnosti, od onih osnovnih do vrlo osetljivih, kao što su podaci o zdravlju, obrazovanju, finansijskom stanju itd. Ovi podaci se čuvaju u informacionim sistemima, što znači da su lako pretraživi i dostupni “ovlašćenim” licima. I pored toga što Zakon o zaštiti podataka o ličnosti podjednako važi i za privatni i za javni sektor, implementacija Zakona je izgleda na mnogo lošijem nivou u javnom sektoru. Javne institucije obično nemaju potrebne procedure kojima bi zaštitile naše lične podatke, niti dovoljno znanja i resursa da bi uspostavili adekvatne bezbednosne mere i svoje poslovanje uskladili sa regulativom.

Zabrinjavajuće je da građani trenutno ne znaju koje sve javne institucije prikupljaju njihove podatke, koji se podaci prikupljaju i obrađuju, gde se ti podaci čuvaju, na koji način su zaštićeni, ko tačno ima pristup tim podacima i za koje svrhe (mediji tvrde da više od 300.000 institucija rukuje ličnim podacima građana). Kako se naročito od početka 21. veka podaci smatraju važnim ekonomskim resursom, nedostatak transparentnosti ograničava odgovornost javnih institucija i omogućava korupciju, posebno u državnim institucijama koje čuvaju osetljive i tržišno vredne podatke ili donose odluke o građanskim pravima automatskom obradom ličnih podataka.

Propusti državnih organa poput ovog moraju biti ispravljeni u što kraćem roku i odgovorna lica moraju snositi pravne posledice u skladu sa Krivičnim zakonikom i Zakonom o zaštiti podataka o ličnosti. Takođe je neophodno što pre preuzeti sve neophodne korake kako bi se podaci građana zaštitili najvišim merama tehničke i organizacione zaštite.

SHARE Fondacija će nastaviti da nadzire usklađenost rada javnih i privatnih rukovalaca podacima o ličnosti sa zakonima i ostalim propisima u ovoj oblasti, kako bi obezbedila zaštitu privatnosti za slabe i transparentnost za moćne.

Za svaki slučaj da dodam Share foundation Privacy policy

Tagovi

SHARE Conference

postavite na |

Komentari (104)

Sakrij replike | Pošaljite komentar

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

uros_vozdovac 13:20 15.12.2014

Saopštenje Poverenika

http://www.poverenik.rs/sr/saopstenja-i-aktuelnosti/1953-povreda-prava-na-zastitu-podataka-o-licnosti-skoro-svih-punoletnih-gradjana-srbije.html

KRALJMAJMUNA 13:43 15.12.2014

Ovo je bilo očekivano

Čudi me da podaci nisu ranije bili dostupni.

uros_vozdovac 13:53 15.12.2014

Re: Ovo je bilo očekivano

pa verovatno i jesu bili odavno.

Što bi rekli iz moje ekipe, pa kojoj budali je palo na pamet da dumpuje bazu u www folder i pukne chmod -R 777

filip.maric 14:29 15.12.2014

Uh ...

Sada sam proguglao svoj JMBG i nasao sam dva pogotka na sajtu svog poslodavca. Činovnike naše administracije bi izgleda trebalo hitno poslati na kurs o čuvanju poverljivih podataka. Ja sam prilično ubeđen da mi se zbog ovoga neće ništa loše desiti (naročito sada, kada su kompromitovani podaci polovine građana Srbije), ali pod pretpostavkom da se desi, da li imam pravo da tražim od poslodavca naknadu štete, s obzirom na to da su oni načinili grešku i učinili moje podatke javno dostupnim? Gospodine Šabiću?

highshalfbooze 14:55 15.12.2014

Re: Uh ...

filip.maric
Sada sam proguglao svoj JMBG i nasao sam dva pogotka na sajtu svog poslodavca. Činovnike naše administracije bi izgleda trebalo hitno poslati na kurs o čuvanju poverljivih podataka. Ja sam prilično ubeđen da mi se zbog ovoga neće ništa loše desiti (naročito sada, kada su kompromitovani podaci polovine građana Srbije), ali pod pretpostavkom da se desi, da li imam pravo da tražim od poslodavca naknadu štete, s obzirom na to da su oni načinili grešku i učinili moje podatke javno dostupnim? Gospodine Šabiću?

Moraš da dokažeš da ti je načinjena šteta kao i vrednost štete, pa onda moraš da dokažeš čijom je krivicom šteta nastala... itd... standardna procedura, ništa specifično.

Ja sam sad na brzaka izguglao kamaru PDF dokumenata sa kamarom JMBG, sa sve adresama itd... čak sam našao da je neko iz niške gimnazije "9. maj" upotrebljavao JMBG tih lica za Excel vežbu

Samo par minuta, ne više.

westvleteren 16:58 15.12.2014

Re: Uh ...

ali pod pretpostavkom da se desi, da li imam pravo da tražim od poslodavca naknadu štete, s obzirom na to da su oni načinili grešku i učinili moje podatke javno dostupnim?

Trebalo bi da mozes da ih tuzis cak i ako se nista ne desi jer su ti vec ugrozili privatnost, i ucinili te ranjivim. To je isto kao i sto je i voznja u pijanom stanju kaznjiva cak i kada nikoga ne udaris.

srdjan.pajic 19:44 15.12.2014

Re: Uh ...

westvleteren
ali pod pretpostavkom da se desi, da li imam pravo da tražim od poslodavca naknadu štete, s obzirom na to da su oni načinili grešku i učinili moje podatke javno dostupnim?

Trebalo bi da mozes da ih tuzis cak i ako se nista ne desi jer su ti vec ugrozili privatnost, i ucinili te ranjivim. To je isto kao i sto je i voznja u pijanom stanju kaznjiva cak i kada nikoga ne udaris.

Ja bih to terao do Strazbura, ako treba!

uros_vozdovac 15:21 15.12.2014

meni je bilo zabavno

ali sad počinje da me brine. Zašto ovo za B92 nije vest? Ako ovo nije kako su onda oni "srpski hakeri" sa bednim excell sheet iz neke stranke onakva vest.

Unfuckable 15:37 15.12.2014

Re: i sad Aca vadi kestenje iz vatre

ja mislim da je za sve ovo kriva prethodna vlast

reanimator 15:38 15.12.2014

Re: meni je bilo zabavno

ali sad počinje da me brine. Zašto ovo za B92 nije vest

Zato što je b92 meijska kuća sa sadržajima zabavnog karaktera. Objaviće b92 info.

uros_vozdovac 15:39 15.12.2014

Re: i sad Aca vadi kestenje iz vatre

Unfuckable
ja mislim da je za sve ovo kriva prethodna vlast

Ja mislim da je ovo napad na Vučića i njegovu porodicu. Posle falsifikovana LK, ma kako da ne.

uros_vozdovac 15:39 15.12.2014

Re: meni je bilo zabavno

reanimator
ali sad počinje da me brine. Zašto ovo za B92 nije vest

Zato što je b92 meijska kuća sa sadržajima zabavnog karaktera. Objaviće b92 info.

Pa di ćeš veće zabave od 20 giga dokumenata u www folderu, juhu

Unfuckable 20:11 15.12.2014

Re: meni je bilo zabavno

Pa di ćeš veće zabave od 20 giga dokumenata u www folderu, juhu

da li ovo znači da - ukoliko se hipotetički jednom dogodi neka zloupotreba identiteta - bilo ko od nas 5 miliona - može da se pozove na Državu u smislu nadoknade štete ili kao Odgovorne Adrese za posledice te zloupotrebe... ili već čega?
Konkretno, neko ošašavi nekako nekoga za recimo 5 miliona dinara i to u moje ime tj na moje podatke.
I sad dođe taj ošašavljeni meni i kaže "dođeš mi pare" a ja kažem, "jok", utvrdi se da su podaci ukradeni (to će verovatno biti odjednom malo teže dokazati, ali budimo optimisti)... - i ja kažem "a, pa to je bila ona Velika Krađa decembra 2014..." tj pozovem se na to
I, šta onda?

uros_vozdovac 21:11 15.12.2014

Re: meni je bilo zabavno

ukratko - da. Tvoje ime i prezime je asocirano sa tvojim JMBG svakome ko to poželi.

Nezapamćen skandal u svetu zaštite podataka.

arcins 21:15 15.12.2014

Re: meni je bilo zabavno

Unfuckable

I, šta onda?

Pa nista, legnes i pravis se mrtav, mislim ne znam na kom nivou treba da komuniciras sa takvom pretpostavkom i sa kim, uopste.

Unfuckable 21:18 15.12.2014

Re: meni je bilo zabavno

ma to mi je jasno, nego me zanimaju moguće posledice toga (negde ih nazirem, do duše) - u stvari na koji će način Država da se spase odgovornosti za te posledice.
Jer - bilo ko bi posle ovoga mogao da se pozove na ovu Krađu i da tako prebaci posledice na imaoca tj "čuvara" tih podataka.
Ili se negde varam?

arcins 21:38 15.12.2014

Re: meni je bilo zabavno

Unfuckable
ma to mi je jasno, nego me zanimaju moguće posledice toga (negde ih nazirem, do duše) - u stvari na koji će način Država da se spase odgovornosti za te posledice.
Jer - bilo ko bi posle ovoga mogao da se pozove na ovu Krađu i da tako prebaci posledice na imaoca tj "čuvara" tih podataka.
Ili se negde varam?

U svakoj, iole, nastimovanoj drzavi, nema spasa do penala. Ovaj provizorijum, pleni elegancijom, leprsavoscu i neobavezom, tako da mozes da pustis masti na volju.

blogovatelj 22:56 15.12.2014

Re: meni je bilo zabavno

Zato što je b92 meijska kuća sa sadržajima zabavnog karaktera.

I ne samo zabavnog, nego i medicinsko-filozofskog. Kliknite na link dole.

ZDRAVLJE

Bolno i bizarno: Trend koji je u porastu među ženama

Anonimni Pojedinac 23:07 15.12.2014

Re: meni je bilo zabavno

blogovatelj
Zato što je b92 meijska kuća sa sadržajima zabavnog karaktera.

I ne samo zabavnog, nego i medicinsko-filozofskog. Kliknite na link dole.

ZDRAVLJE

Bolno i bizarno: Trend koji je u porastu među ženama

Au jbt

B92 je odavno postao medij za zaglupljivanje, ali mislim da se moja granica tolerancije rapidno priblizava. Vreme je za spasavanje zive glave i zdravog razuma.

Anonimni Pojedinac 09:46 17.12.2014

Re: meni je bilo zabavno

A evo ponovne promocije gluposti na B92. I to, posle svih reakcija - sto ovde na blogu, sto na vestima, sto na forumu. (Izivinjavam se na trolu moram ovde, jer me je neki kreten od moderatora foruma banovao, pa ne mogu na adekvatnoj temi.)

Milos Stankovic - svetski genije

Doduse, BULEVAR je to, ali ipak...Sramota za B92, stvarno sramota.

13 godina naucnog rada.

Pre neki dan je bio i na Pinku. Dakle, ofanziva Milosa Stankovica na medije i nase pare je pocela. Ko gura ovog lika?

Za razliku od medijske paznje koju dobija Milos, juce je u Akademiji nauka odrzao predavanje jedan od najboljih a verovatno trenutno mozda i najbolji aktivni sprski matematicar Stevo Todorcevic, koji za sobom ima jednu uspesnu, medjunarodno priznatu, naucnu karijeru. On zivi i radi u Kanadi, ali beogradska naucna i sira publika ima ekskluzivnu priliku da slusa njegova predavanja i tako vidi jednog od nasih najvecih matematickih umova, doduse ne na delu, vec na prezentaciji svog dela.
O tome, naravno, B92 nije objavio ni reci.

Placi zemljo Srbijo.

Anonimni Pojedinac 09:49 17.12.2014

Re: meni je bilo zabavno

Ne kapiram zasto kad pisem poruku i pregledam sve izgleda u redu, a kad objavim poruku, odjednom link ne radi?

reanimator 09:58 17.12.2014

Re: meni je bilo zabavno

Pre neki dan je bio i na Pinku. Dakle, ofanziva Milosa Stankovica na medije i nase pare je pocela. Ko gura ovog lika?

Ko beše ovaj? Uopšte ne mogu da se setim? Jel to onaj što je zbog nekih stipendija lagao da je ovde diplomirao ili neko drugi?

uros_vozdovac 10:06 17.12.2014

Re: meni je bilo zabavno

Anonimni Pojedinac
Ne kapiram zasto kad pisem poruku i pregledam sve izgleda u redu, a kad objavim poruku, odjednom link ne radi?

izgubio si jednu zagradu usput
[url=www.b92.net/video/bulevar.php?yyyy=2014&mm=12&dd=16&nav_id=936997]
Milos Stankovic - svetski genije[/url]

Milos Stankovic - svetski genije

Anonimni Pojedinac 10:12 17.12.2014

Re: meni je bilo zabavno

uros_vozdovac
Anonimni Pojedinac
Ne kapiram zasto kad pisem poruku i pregledam sve izgleda u redu, a kad objavim poruku, odjednom link ne radi?

izgubio si jednu zagradu usput
[url=www.b92.net/video/bulevar.php?yyyy=2014&mm=12&dd=16&nav_id=936997]
Milos Stankovic - svetski genije[/url]

Milos Stankovic - svetski genije

Gde?

Anonimni Pojedinac 10:13 17.12.2014

Re: meni je bilo zabavno

reanimator
Pre neki dan je bio i na Pinku. Dakle, ofanziva Milosa Stankovica na medije i nase pare je pocela. Ko gura ovog lika?

Ko beše ovaj? Uopšte ne mogu da se setim? Jel to onaj što je zbog nekih stipendija lagao da je ovde diplomirao ili neko drugi?

Nije taj. Ovo je onaj sa milion nagrada i diploma. Sa svetskih kongresa genija

uros_vozdovac 10:27 17.12.2014

Re: meni je bilo zabavno

vidi džavola, sve je na mestu...

Anonimni Pojedinac 10:31 17.12.2014

Re: meni je bilo zabavno

uros_vozdovac
vidi džavola, sve je na mestu...

Pa to ti kazem, nema logike. Hvala sto si popravio.

Anonimni Pojedinac 11:00 17.12.2014

Re: meni je bilo zabavno

Anonimni Pojedinac
reanimator
Pre neki dan je bio i na Pinku. Dakle, ofanziva Milosa Stankovica na medije i nase pare je pocela. Ko gura ovog lika?

Ko beše ovaj? Uopšte ne mogu da se setim? Jel to onaj što je zbog nekih stipendija lagao da je ovde diplomirao ili neko drugi?

Nije taj. Ovo je onaj sa milion nagrada i diploma. Sa svetskih kongresa genija

Inace, meni neko na forumu rece kako se ne moze nista uraditi, vec samo strpljivo obrazovati novinare, sto se na B92 navodno vec desava.
Mnogo je to sporo.

Mozda bi bolje bilo da zaposle nekog novinara, ili cak honorarno naucnika, da se bavi i izvestava o naucnim pitanjima. Ovo, ako je samo stvar nezananja a ne necijeg interesa, je stvarno zalosno. Mislim, i ovo drugo je zalosno, ali se nece izleciti edukacijom novinara.

Mozda ne bi bilo lose da neko od blogonaucnika, u misiji osvescivanja novinara, napise neki tekst o tome kako raspoznati pravog naucnika od sarlatana. Nesto a la Baezov "crackpot index".

Evo mog malog doprinosa.

Korak 1: google-uj ime.

Stevo Todorcevic:

1. prvi link - mesto rada - zvanicna stranica priznate institucije sa dugogodisnjom istorijom University of Toronto
2. link drugi - radovi u svetski poznatim zurnalima - kojima svako moze da pristupi i da barem vidi da su zaista objavljeni, ako ne i procita.
3. clanak na wikipediji
4. njegov naucni rodoslov (ime mentora - naucnog oca, pa nadalje)
5. njegova predavanja
6. knjige na amazonu
7. nagrada Fields instituta

itd, itd, itd.

Dakle, svi linkovi su zvanicni, vezani za struku i apsolutno neosporni.

Milos Stankovic:

Kao prvo veliko sarenilo, ali dobro ima puno njih sa istim imenom, nije kriv zbog toga.

1. Link prvi - njegova licna stranica (koju svako moze sebi da kupi parama). Interesantno, nikakve afilijacije ni sa jednom znacajnijom svetskom ili domacom institucijom, nakon 13 godina naucnog rada, pa je morao da kupi sam sebi sajt.

2. Svi ostali linkovi (kad se odbace oni koji se ticu drugih Milosa Stankovica, od kojih jedan cak ima i svoj google Scholar profil) su naslovi iz domacih medija tipa: Neprepoznat genije, Mali ugostio svetskog genija, i uopste, sva slava ide od etikete genije, a radova, pronalazaka i nekih nezavisnih priznanja od poznatih institucija ama bas nigde.
Jedini "dokaz" o pronalascima je posredan "dokaz" preko njegovih nastancovanih nagrada za pronalaske sa nekakvih opskurnih sajmova pronalazaca i kongresa genija.
I to bi bilo to sto se tice Milosa.

To - ono tek za pocetak. A ako neko od novinara nije siguran da li tu zaista ima necega, neka pita nekog naucnika kad radi reportazu, ili neka cuti. Ovakvo blamiranje B92 stvarno ne sluzi na cast.

Hansel 11:04 17.12.2014

Re: meni je bilo zabavno

Anonimni Pojedinac
uros_vozdovac
vidi džavola, sve je na mestu...

Pa to ti kazem, nema logike. Hvala sto si popravio.

Није био мањак заграде, него вишак размака, у ствари -- изгледа, Enter-а:

[url=www.b92.net/video/bulevar.php?yyyy=2014&mm=12&dd=16&nav_id=936997][ b ]

[ u ]Milos Stankovic - svetski genije[/u][/b][/url]

(Ја сам лупио још један, да се јасно види где је био прелом и додао још неке размаке да се види цела синтакса.)

А зашто у прегледу ради, а кад се објави не ради, боље да не питамо... Тако је и са оним погрешним приказивањем

смајлија који се појави када се не убаци размак између знака навода и затворене заграде...

Anonimni Pojedinac 11:06 17.12.2014

Re: meni je bilo zabavno

Anonimni Pojedinac

I to bi bilo to sto se tice Milosa.

U stvari, lazem, ima i nekoliko linkova koji ga raskrinkavaju kao prevaranta.

Ako sve ostalo vec samo po sebi nije dovoljan razlog za rezervu.

reanimator 11:18 17.12.2014

Re: meni je bilo zabavno

Ako ovo gore vec samo po sebi nije dovoljan razlog za rezervu.

Dečko garantovano ima menadžera. To ti je kao ona situacija u kojoj ne postoji sportski novinar u zemlji koji će da napiše Luka Jović, a da uz to ne doda "talentovani" ili "supertalentovani".
A supertalentovani metnuo ukupno dva komada, da ja pametim..jedan prošle godine u poslednjem kolu, kad je prvenstvo uveliko bilo odlučeno (koga ne mrzi može da pogleda snimak tog gola Vojvodini, pa da prodiskutujemo da li su ga malo pustili da ga da) i drugi na prijateljskoj sa nekim Rusima (i ovde malo deluje da su ga pustili).
Ali dobro, fudbal, velika je lova, kapiram da se malo preteruje u promovisanju.
A ovaj naučnik uzima neku kintu iz fondova or what?

Hansel 11:22 17.12.2014

Re: meni je bilo zabavno

ОВО су генијалци, ако је некоме промакло:

Genijalna šala dvojice profesora: Objavili rad na "tarzan inglišu" da bi ismejali alave kolege

ПРЕВАРОМ ДО НОВЦА Наши научници радове објављују у "предаторским" часописима

Само погледајте слике које су објавили.

(P. S. Мало сам едитовао горњи коменар о малој грешци због које линк није радио.)

Anonimni Pojedinac 11:52 17.12.2014

Re: meni je bilo zabavno

reanimator
Ako ovo gore vec samo po sebi nije dovoljan razlog za rezervu.

Dečko garantovano ima menadžera.

Pa neki prikljucak definitivno ima.

A ovaj naučnik uzima neku kintu iz fondova or what?

Pa evo, sad je dosao iz Hong Konga, navodno to je platio grad.
Pazi, to nije neka lova in the grand scheme of things sto bi rekli, imajuci u vidu koliko se krade kod nas to je mrvica, ali bre covece pravi naucnici sa nasih instituta dobijaju 300 eura u dve godine za trosak odlaska na konferenciju; znam ljude koji su odustali jer nisu mogli ni za kartu za plate, pa ni tih 300 evra nisu iskoristili i vratili drzavi. Strasno bre.
Gde jos je ovaj lik uspeo da omasti brk, to ne znam, ali ambicije svakako ima.
A ne radi se samo ni o parama, bre radi se o tome da se na sve strane promovise glupost, sarlatanstvo, diletantizam, a ono sto vredi u najmanju ruku marginalizuje.

uros_vozdovac

Milos Stankovic - svetski genije

Ipak ti ne radi link

(Skinuli su ga

)

Anonimni Pojedinac 11:59 17.12.2014

Re: meni je bilo zabavno

Anonimni Pojedinac

uros_vozdovac

Milos Stankovic - svetski genije

Ipak ti ne radi link

(Skinuli su ga )

Hm, ipak ga nisu skinuli, nego ti ne radi link. A ja se ponadah...

Eno ga i dalje na naslovnoj strani B92. Uzas.

Milos Stankovic svetski genije

inco 12:00 17.12.2014

Re: meni je bilo zabavno

reanimator
Ko beše ovaj? Uopšte ne mogu da se setim? Jel to onaj što je zbog nekih stipendija lagao da je ovde diplomirao ili neko drugi?

Ugošćavao ga svojedobno Filip u svojoj emisiji i pisao mu hvalospeve na brlogu - LINAK. Tu već imaš dovoljno informacija da shvatiš o kojoj se dileji kosmičkih proporcija radi...

Anonimni Pojedinac 12:00 17.12.2014

Re: meni je bilo zabavno

Anonimni Pojedinac
Anonimni Pojedinac

uros_vozdovac

Milos Stankovic - svetski genije

Ipak ti ne radi link

(Skinuli su ga )

Hm, ipak ga nisu skinuli, nego ti ne radi link. A ja se ponadah...

Eno ga i dalje na naslovnoj strani B92. Uzas.

Milos Stankovic svetski genije

Opa, sad radi.

P.S: Izvini Urose na trolu, ali nije bas da nema nikakve veze sa temom, ipak pricamo o prevarama.

reanimator 12:04 17.12.2014

Re: meni je bilo zabavno

A ne radi se samo ni o parama, bre radi se o tome da se na sve strane promovise glupost, sarlatanstvo, diletantizam, a ono sto vredi u najmanju ruku marginalizuje.

Da, razumem. A mora da u pozadini ima i neka kinta, simbolična ako posmatraš iz ugla masovnih pljački, a u stvari nije za zanemarivanje. Mislim, ako ti na projektu "fake naučnik" uzmeš par puta godišnje po soma eur i ogrebeš se za jedno putovanje, ti si te godine uzeo neke 4 prosečne plate, malo putovao, a apsolutno niko te ne percipira kao korumpiranog, jer si sa maznutih par soma eur nevidljiviji od neke xy službenice iz bilo kog sekretarijata. Ja da sam političar, živeo bih ko car, samo od takvih akcija.

reanimator 12:14 17.12.2014

Re: meni je bilo zabavno

Ugošćavao ga svojedobno Filip u svojoj emisiji i pisao mu hvalospeve na brlogu - LINAK. Tu već imaš dovoljno informacija da shvatiš o kojoj se dileji kosmičkih proporcija radi

Jbt, koja sam krečana, tačno se sećam ovog bloga i 'ladno sam uspeo da zaboravim omladinca!?
Hvala za podsećanje..ponovo sam izbistrio blog i zacementirao simpatije za Mladenovića :)

uros_vozdovac 12:42 17.12.2014

Re: meni je bilo zabavno

Anonimni Pojedinac

P.S: Izvini Urose na trolu, ali nije bas da nema nikakve veze sa temom, ipak pricamo o prevarama.

Ma udrite samo, nego da spomenemo i Žarka Radosavljevića, to je ta liga pa da se ne uvredi čovek.

Anonimni Pojedinac 13:06 17.12.2014

Re: meni je bilo zabavno

Hansel
Anonimni Pojedinac
uros_vozdovac
vidi džavola, sve je na mestu...

Pa to ti kazem, nema logike. Hvala sto si popravio.

Није био мањак заграде, него вишак размака, у ствари -- изгледа, Enter-а:

[url=www.b92.net/video/bulevar.php?yyyy=2014&mm=12&dd=16&nav_id=936997][ b ]

[ u ]Milos Stankovic - svetski genije[/u][/b][/url]

(Ја сам лупио још један, да се јасно види где је био прелом и додао још неке размаке да се види цела синтакса.)

А зашто у прегледу ради, а кад се објави не ради, боље да не питамо... Тако је и са оним погрешним приказивањем смајлија који се појави када се не убаци размак између знака навода и затворене заграде...

E hvala

.
Tek sad videh u cemu je problem.
Ispravljeno.

Hansel 14:38 17.12.2014

Re: meni je bilo zabavno

Нема на чему, ово су идеалне прилике да моја ситничарења буду друштвено прихваћена (а вероватно и корисна)!

KRALJMAJMUNA 21:31 17.12.2014

Re: meni je bilo zabavno

Anonimni Pojedinac
A evo ponovne promocije gluposti na B92. I to, posle svih reakcija - sto ovde na blogu, sto na vestima, sto na forumu. (Izivinjavam se na trolu moram ovde, jer me je neki kreten od moderatora foruma banovao, pa ne mogu na adekvatnoj temi.)

Milos Stankovic - svetski genije

Doduse, BULEVAR je to, ali ipak...Sramota za B92, stvarno sramota.

13 godina naucnog rada.

Pre neki dan je bio i na Pinku. Dakle, ofanziva Milosa Stankovica na medije i nase pare je pocela. Ko gura ovog lika?

Za razliku od medijske paznje koju dobija Milos, juce je u Akademiji nauka odrzao predavanje jedan od najboljih a verovatno trenutno mozda i najbolji aktivni sprski matematicar Stevo Todorcevic, koji za sobom ima jednu uspesnu, medjunarodno priznatu, naucnu karijeru. On zivi i radi u Kanadi, ali beogradska naucna i sira publika ima ekskluzivnu priliku da slusa njegova predavanja i tako vidi jednog od nasih najvecih matematickih umova, doduse ne na delu, vec na prezentaciji svog dela.
O tome, naravno, B92 nije objavio ni reci.

Placi zemljo Srbijo.

http://blog.b92.net/text/19905/Ko-je-sad-pa-taj---Stevo-Todorcevic/
Jedared smo pisali o Stevi Todorčeviću ovde na Blogu.

Anonimni Pojedinac 21:58 17.12.2014

Re: meni je bilo zabavno

KRALJMAJMUNA
Anonimni Pojedinac
A evo ponovne promocije gluposti na B92. I to, posle svih reakcija - sto ovde na blogu, sto na vestima, sto na forumu. (Izivinjavam se na trolu moram ovde, jer me je neki kreten od moderatora foruma banovao, pa ne mogu na adekvatnoj temi.)

Milos Stankovic - svetski genije

Doduse, BULEVAR je to, ali ipak...Sramota za B92, stvarno sramota.

13 godina naucnog rada.

Pre neki dan je bio i na Pinku. Dakle, ofanziva Milosa Stankovica na medije i nase pare je pocela. Ko gura ovog lika?

Za razliku od medijske paznje koju dobija Milos, juce je u Akademiji nauka odrzao predavanje jedan od najboljih a verovatno trenutno mozda i najbolji aktivni sprski matematicar Stevo Todorcevic, koji za sobom ima jednu uspesnu, medjunarodno priznatu, naucnu karijeru. On zivi i radi u Kanadi, ali beogradska naucna i sira publika ima ekskluzivnu priliku da slusa njegova predavanja i tako vidi jednog od nasih najvecih matematickih umova, doduse ne na delu, vec na prezentaciji svog dela.
O tome, naravno, B92 nije objavio ni reci.

Placi zemljo Srbijo.

http://blog.b92.net/text/19905/Ko-je-sad-pa-taj---Stevo-Todorcevic/
Jedared smo pisali o Stevi Todorčeviću ovde na Blogu.

anamarkana 15:55 15.12.2014

e pa

necu da se igram sa vama.... mene nema u ovoj bazi, pa to je onda diskriminacija

blogov_kolac 16:27 15.12.2014

Najsigurnija zaštita od JMBG zloupotreba

Na svom Facebook i/ili twitter nalogu objavite svoj JMBG (poželjno okačiti i sve ostale prateće podatke iz lične karte), a čime će postati vidljiv i preko Google - i oni kojima treba nečiji JMBG zbog zloupotrebe će vas izbegavati u širokom luku zbog povećanog rizika da je vaš matični broj već zloupotrebljen čime bi oni sami rizikovali da budu ranije uhvaćeni u prevari, pa čak i da preuzmu na sebe i odgovornost za neku prethodnu zlouptrebu za koju nisu krivi.

Anonimni Pojedinac 17:37 15.12.2014

5 miliona?

Pa to prakticno znaci svi punoletni?

Jukie 18:30 15.12.2014

Re: 5 miliona?

Pa svi koji smo bili punoletni na datum kada smo se upisali u registar za super-đuper akcije

Anonimni Pojedinac 22:18 15.12.2014

Re: 5 miliona?

Jukie
Pa svi koji smo bili punoletni na datum kada smo se upisali u registar za super-đuper akcije

OK, mene je malo sramota da priznam, ali ja ne znam koji je moj status sto se ovoga tice.
Nesto se ne secam aktivne uloge, tj. odlaska bilo gde radi upisivanja u registar, ali ne odbacujem mogucnost da mi je neki papir nekom prilikom dat na potpisivanje. Kako to moze da se proveri? Hocu da znam da li me ima na tom spisku ljudi ciji su podaci kompromitovani.

uros_vozdovac 22:21 15.12.2014

Re: 5 miliona?

Anonimni Pojedinac
Jukie
Pa svi koji smo bili punoletni na datum kada smo se upisali u registar za super-đuper akcije

OK, mene je malo sramota da priznam, ali ja ne znam koji je moj status sto se ovoga tice.
Nesto se ne secam aktivne uloge, tj. odlaska bilo gde radi upisivanja u registar, ali ne odbacujem mogucnost da mi je neki papir nekom prilikom dat na potpisivanje. Kako to moze da se proveri? Hocu da znam da li me ima na tom spisku ljudi ciji su podaci kompromitovani.

To možeš u pošti da proveriš oni imaju legalan uvid u bazu.

Anonimni Pojedinac 22:27 15.12.2014

Re: 5 miliona?

uros_vozdovac
Anonimni Pojedinac
Jukie
Pa svi koji smo bili punoletni na datum kada smo se upisali u registar za super-đuper akcije

OK, mene je malo sramota da priznam, ali ja ne znam koji je moj status sto se ovoga tice.
Nesto se ne secam aktivne uloge, tj. odlaska bilo gde radi upisivanja u registar, ali ne odbacujem mogucnost da mi je neki papir nekom prilikom dat na potpisivanje. Kako to moze da se proveri? Hocu da znam da li me ima na tom spisku ljudi ciji su podaci kompromitovani.

To možeš u pošti da proveriš oni imaju legalan uvid u bazu.

Hvala.

Hansel 00:19 16.12.2014

Re: 5 miliona?

Могло је и преко странице www.priv.rs/BesplatneAkcije, али је сада цео сајт недоступан. Опет ти хакери!

(в. Урошево смејање доле.)

Jukie 18:31 15.12.2014

Rešenje

Mislim da je najlakše rešenje da nam svima podele nove matične brojeve

blogov_kolac 19:17 15.12.2014

Re: Rešenje

Odlična ideja! Ja ću tražiti za sebe da mi dodele neko mlađe godište nego što sam ga imao do sada (oznaku za pol, dan, mesec i mesto rođenja mogu da mi zadrže iste), ionako izgledam mlađi nego što jesam.

Nego sada ozbiljno: svi koji su hteli da se nekim (najbukvalnije) mrvicama okoriste od NIS-a umesto da ga (najbukvalnije) ama baš potpuno poklonimo Rusima i zaslužili su ovu neprijatnost!

mariopan 20:49 15.12.2014

Re: Rešenje

Jukie
Mislim da je najlakše rešenje da nam svima podele nove matične brojeve

Одлична идеја ако те чују има медаљу да добијеш.

Знаш како вапе за идејама како да напуне буџет?
Ако ово ураде има цела Србија да мења сва документа, пасоше, личне карте...и за сваки ти треба извод из књиге рођених, венчаних, држављандтво....и све то треба да платимо - и ето пара?

Ево већ рачунам, пет милиона пунолетних пута пар хољадарки........

Hansel 00:23 16.12.2014

Re: Rešenje

blogov_kolac
Nego sada ozbiljno: svi koji su hteli da se nekim (najbukvalnije) mrvicama okoriste od NIS-a umesto da ga (najbukvalnije) ama baš potpuno poklonimo Rusima i zaslužili su ovu neprijatnost!

Па, јес' -- они, покварењаци, очекивали и неких хиљаду евра...

Hansel 18:51 15.12.2014

Идеално р(ј)ешење

Није "облог маска" (рекламирале је "џирло дjевојке"

), него -- ОИБ (особни идентификациони број). Изгледа да у Хрватској није потпуно заменио ЈМБГ, али можда нешто тако може да се уведе када се буде гарантовало спречавање цурења приватних података, а да се ЈМБГ потисне као податак довољан за отварање фирме, на пример. (?!)

EDIT: Нисам "рифрешовао" на време, Ђуки ме претекао за читавих 20 минута.

trala.la 19:20 15.12.2014

Re: Rešenje

Jukie
Mislim da je najlakše rešenje da nam svima podele nove matične brojeve

JMBG bi svakako trebalo zameniti, ako niz zbog čeg drugog, onda zato što JMBG, uprkos imenu, nije jedinstven - koliko sam čuo, postoje duplikati.

angie01 19:55 15.12.2014

Re: Rešenje

postoje duplikati.

vec sam jednom pisala...zove me uspaniceno advokat iz susedne drzave sa rocista- kaze, alo bre, pa vi imate dva razlicita maticna broja, jedan u pasosu, a drugi u licnoj karti-ja u nesvset, prvo, kako je to uopste moguce, a dru, kako je to uopste moguce, kada prilikom vadjenja i jednog i drugog dokumenta dajes izvod i knjige rodjenih- gde je valjda isti taj broj, majkumu, tj, prilikom podizanja pasosa, prilazes i lk.

posle oni u mup-u nesto mrsomudili, dok nisam preko veze- a i kako drugacije, dobila potvrdu koji se vazi- a kako su odabrali, nemam poma,....samo nisam sigurna, u koliko slucajeva sam pre toga svoj identitet verifikovala sa brojem koji je sada ponisten,...dodjem po diplomu, recimo, kazu, ma kakva diplomo, pa to niste vi, vidi drugi jmbg.

Atomski mrav 10:40 16.12.2014

Re: Rešenje

Meni su godinama izdavali u opštini jedan JMBG na izvodu iz matične knjige rođenih a u policiji bi u ličnu kartu (koju sam gubio nekoliko puta pa sam morao često da vadim novu) upisivao izmenjeni JMBG (razlika je bila u jednoj cifri). Pitao sam u policiji zašto je tako a oni bi mi odgovorili kako je u izvod upisan pogrešan JMBG. Proveravao sam i zaista su u pravu. Pitao sam jednom matičarku može li da ispravi grešku u matičnoj knjizi rođenih a ona mi je odgovorila da je to komplikovana procedura, da policija treba da im pošalje dopis i obavesti ih o grešci, da onda oni moraju da ponište stari JMBG i izdaju mi novi (dakle, ne da isprave grešku već da mi izdaju potpuno novi JMBG koji nema veze sa starim)... pomislio sam, kako stvari stoje u našoj državi, sa tim novim JMBG bih baš mogao da se slikam, sigurno bih imao grdnih problema u budućnosti... tako da nisam insistirao na tome sve dok nisam video da matičarke više ne listaju matične knjižurine rođenih već koriste računar. A i matičarka je bila nova, mlađa (ona stara je otišla u penziju). I pitam ja tu novu matičarku da li može da ispravi grešku u JMBG, ona me pitala imam li važeću ličnu kartu, uzela i pogledala JMBG, kliknula par puta i izmenila tu jednu cifru (za vjeki vjekov, nadam se).

Pitam se da li je na ovom spisku moj ispravni ili neispravni JMBG?

nim_opet 19:41 15.12.2014

Tuzno.

Ali, da se ne varamo - nivo informaticke pismenosti u javnoj upravi je mizeran, cemu pogoduju zakoni (i nedostatak istih), kao i uzasna kadrovska politika (po vezi), i generalni nedostatak strategije i amaterizam u svemu. Sta smo mogli da ocekujemo? Kao sto lepo rece sluzbenica u jednoj beogradskoj opstini: "Znam ja da je vama adresa na cipu i da mogu ja da je vidim ovde na ekranu, ali to nije dovoljan dokaz. Mora izvod iz MUPA [koji MUP dobije ocitavanjem podataka na licnoj, prim.komentatora], pa mi to onda sve kopiramo zajedno da stoji u papirima.". Dzaba.

srdjan.pajic 19:45 15.12.2014

Re: Tuzno.

Kao sto lepo rece sluzbenica u jednoj beogradskoj opstini: "Znam ja da je vama adresa na cipu i da mogu ja da je vidim ovde na ekranu, ali to nije dovoljan dokaz. Mora izvod iz MUPA [koji MUP dobije ocitavanjem podataka na licnoj, prim.komentatora], pa mi to onda sve kopiramo zajedno da stoji u papirima."

. Mica Ubica.

inco 03:55 16.12.2014

Re: Tuzno.

srdjan.pajic
Mica Ubica.

Tebi smešno, al' slušaj ovu tužnu priču:

uros_vozdovac 08:16 16.12.2014

Re: Tuzno.

inco
srdjan.pajic
Mica Ubica.

Tebi smešno, al' slušaj ovu tužnu priču:

Ptiki je kralj.

G.Cross 20:39 15.12.2014

SCUM

Definicija: Oxfrod Dictionaries

A layer of dirt or froth on the surface of a liquid:
green scum found on stagnant pools

Svidja mi se definicija.

Javilo se 5 meleona ljudi ( sa sve JMBG) da dobiju besplatne akcije

? Ne mogu da verujem ...

Koji idiot je ponudio besplatne akcije i na kom principu?

Kako 5 miliona ljudi moze da veruje da ce da dobije "Nesto za Nista" (D.Radovic)?
Doduse ti su bili i ulagaci kod mame Dafine…

Pa njih 4.999.000 i ovako bas briga ako su im ukrali JMBG. I tako je to jedino sto mogu da im ukradu.

Da iko zeli dobro ovom jadnom narodu napravio bi seriju na javnoj TV u stilu "Kike Bibic" da opismeni ovaj narod za realan zivot.

angie01 21:02 15.12.2014

Re: SCUM

Kako 5 miliona ljudi moze da veruje da ce da dobije "Nesto za Nista"

po istom, po kom su neki za nista dobili sve!

uros_vozdovac 21:12 15.12.2014

Re: SCUM

G.Cross
Definicija: Oxfrod Dictionaries

A layer of dirt or froth on the surface of a liquid:
green scum found on stagnant pools

Svidja mi se definicija.

Javilo se 5 meleona ljudi ( sa sve JMBG) da dobiju besplatne akcije ? Ne mogu da verujem ...

Koji idiot je ponudio besplatne akcije i na kom principu?

Kako 5 miliona ljudi moze da veruje da ce da dobije "Nesto za Nista" (D.Radovic)?
Doduse ti su bili i ulagaci kod mame Dafine…

Pa njih 4.999.000 i ovako bas briga ako su im ukrali JMBG. I tako je to jedino sto mogu da im ukradu.

Da iko zeli dobro ovom jadnom narodu napravio bi seriju na javnoj TV u stilu "Kike Bibic" da opismeni ovaj narod za realan zivot.

Ima po poštama obaveštenje piše "Cena besplatnih akcija" e sad kako nešto besplatno dobije cenu jeste neko malo čudo, ali se dešava.

milisav68 21:36 15.12.2014

Re: SCUM

G.Cross
Koji idiot je ponudio besplatne akcije i na kom principu?

Pa Dinkić, i to je trebalo da vredi 1000 evra (sve ukupno, u trenutku davanja).

A princip je taj, pošto smo jelte svi ulagali EPS, Telekom, NIS, aerodrom i Galeniku, onda oni koji nisu dobili akcije svojih firmi (jer ne možeš da dobiješ akcije suda, škole, opštine itd), onda je to kao neka "protivteža".

G.Cross 22:03 15.12.2014

Re: SCUM

Pa Dinkić, i to je trebalo da vredi 1000 evra (sve ukupno, u trenutku davanja)

Super.

I onda bi Kika Bibic trebalo da izadje pre TV dnevnika u 8 i objasni narodu razliku izmedju:

Book Value literally means the value of the business according to its "books" or financial statements. In this case, book value is calculated from the balance sheet, and it is the difference between a company's total assets and total liabilities. Note that this is also the term for shareholders' equity. For example, if Company XYZ has total assets of $100 million and total liabilities of $80 million, the book value of the company is $20 million. In a very broad sense, this means that if the company sold off its assets and paid down its liabilities, the equity value or net worth of the business, would be $20 million.

Market Value is the value of a company according to the stock market. Market value is calculated by multiplying a company's shares outstanding by its current market price. If Company XYZ has 1 million shares outstanding and each share trades for $50, then the company's market value is $50 million. Market value is most often the number analysts, newspapers and investors refer to when they mention the value of the business.

Source :http://www.investopedia.com/articles/investing/110613/market-value-versus-book-value.asp

E Kiko , gde si sad kad nam najvise trebas.

a_jovicic 01:06 16.12.2014

Re: SCUM

G.Cross
Pa Dinkić, i to je trebalo da vredi 1000 evra (sve ukupno, u trenutku davanja)

Super.

I onda bi Kika Bibic trebalo da izadje pre TV dnevnika u 8 i objasni narodu razliku izmedju:

Book Value literally means the value of the business according to its "books" or financial statements. In this case, book value is calculated from the balance sheet, and it is the difference between a company's total assets and total liabilities. Note that this is also the term for shareholders' equity. For example, if Company XYZ has total assets of $100 million and total liabilities of $80 million, the book value of the company is $20 million. In a very broad sense, this means that if the company sold off its assets and paid down its liabilities, the equity value or net worth of the business, would be $20 million.

Market Value is the value of a company according to the stock market. Market value is calculated by multiplying a company's shares outstanding by its current market price. If Company XYZ has 1 million shares outstanding and each share trades for $50, then the company's market value is $50 million. Market value is most often the number analysts, newspapers and investors refer to when they mention the value of the business.

Source :http://www.investopedia.com/articles/investing/110613/market-value-versus-book-value.asp

E Kiko , gde si sad kad nam najvise trebas.

Ma nije to bila ni "nominalna vrednost" akcija pri izdavanju. Dinkić je upravo "ložio" sirotinju da će to biti "tržišna vrednost" paketa za godinu-dve ... ali "zla SEKA" (Svetska Ekonomska KrizA, prim. prev.) mu pokvari "bajku" i sirotinja osta' bez 1000 EUR-a (al' zato par godina posle dobi Vučića)

Hansel 00:31 17.12.2014

Re: SCUM

G.Cross
Javilo se 5 meleona ljudi ( sa sve JMBG) da dobiju besplatne akcije ? Ne mogu da verujem ...

Koji idiot je ponudio besplatne akcije i na kom principu?

Kako 5 miliona ljudi moze da veruje da ce da dobije "Nesto za Nista" (D.Radovic

Тек сада читам ово, па, G.Cross, није то у Србији први пут урађено, само што је у Србији можда први пут овако урађено...

uros_vozdovac 21:19 15.12.2014

UPDATE

Pa ovo postaje urenbesno smešno

Klik!

Sram vas bilo da vas sram bude, em ostave podatke na izvolite, em ovakvo nemušto objašnjenje, pa jeste ima ih na pokretnim stepenicima ali nismo svi.

Ono što sad mora da uradi i Poverenik, i Share fondacija i mi je da saznamo taksativno:

1. Ko je dobio posao da radi softver za besplatne akcije
2. ko je tačno administrator web sajta, kako se zove i stavlja li se dump u www folder
3. Ko je autor ovog idiotskog saopštenja i kako je uopšte moguće da se pojavi

Umesto da se pospu pepelom, kao što treba, lupetaju i potcenjuju normalan svet, sram vas bilo.

Anonimni Pojedinac 22:02 15.12.2014

Re: UPDATE

uros_vozdovac
Pa ovo postaje urenbesno smešno

Klik!

Sram vas bilo da vas sram bude, em ostave podatke na izvolite, em ovakvo nemušto objašnjenje, pa jeste ima ih na pokretnim stepenicima ali nismo svi.

Ono što sad mora da uradi i Poverenik, i Share fondacija i mi je da saznamo taksativno:

1. Ko je dobio posao da radi softver za besplatne akcije
2. ko je tačno administrator web sajta, kako se zove i stavlja li se dump u www folder
3. Ko je autor ovog idiotskog saopštenja i kako je uopšte moguće da se pojavi

Umesto da se pospu pepelom, kao što treba, lupetaju i potcenjuju normalan svet, sram vas bilo.

Sta bre pospu pepelom, ljudi prestanite da ih mazite.
Da krivicno odgovara!

a_jovicic 01:15 16.12.2014

Re: UPDATE

uros_vozdovac
Pa ovo postaje urenbesno smešno

Ovo postaje žalosno pre nego smešno ...

Agencija za privatizaciju saopštila je danas da nije objavila na Internetu lične podatke građana, koji su dobili besplatne akcije i koji su podneli zahtev za dobijanje besplatnih akcija, iz baze Agencije i ocenila da je najverovatnije reč o hakerskom upadu na server Agencije.

Da, da ... CIA, Vatikan i Google im haknuli bazu. A i ti hakeri bili mnogo glupi ... umesto da kompresuju onu fajlčinu, oni je ostavili u tekstualnom formatu. Jooooj ovo je u rangu "vadjenja" za Dulićev sajt sa "dve baze" (sic!)

reanimator 08:16 16.12.2014

Re: UPDATE

Agencija za privatizaciju saopštila je danas da nije objavila na Internetu lične podatke građana, koji su dobili besplatne akcije i koji su podneli zahtev za dobijanje besplatnih akcija, iz baze Agencije i ocenila da je najverovatnije reč o hakerskom upadu na server Agencije

Agencija pod hakerskim napadom, fejsbuk nalog Danice Popović pod hakerskim napadom, premijerovom bratu ukrali ličnu kartu...
Previše brate, neki haker očigledno pokušava da zaustavi reforme.

uros_vozdovac 08:38 16.12.2014

Re: UPDATE

reanimator
Agencija za privatizaciju saopštila je danas da nije objavila na Internetu lične podatke građana, koji su dobili besplatne akcije i koji su podneli zahtev za dobijanje besplatnih akcija, iz baze Agencije i ocenila da je najverovatnije reč o hakerskom upadu na server Agencije

Agencija pod hakerskim napadom, fejsbuk nalog Danice Popović pod hakerskim napadom, premijerovom bratu ukrali ličnu kartu...
Previše brate, neki haker očigledno pokušava da zaustavi reforme.

Pre nego krenem da se zakopšam pozadi, jer jedino tako mogu da prihvatim hakersku priču da zagrebem malo do Šabićevog sajta gde lepo piše

збиркa пoдaтaкa "Eвидeнциja нoсилaцa прaвa" oд стрaнe Aгeнциje приjaвљeнa у Рeгистaр кojи сe вoди кoд Пoвeрeникa кao "збиркa кoja сe вoди нa пoсeбнoм рaчунaру, oсигурaнa систeмoм лoзинки зa aутoризaциjу и идeнтификaциjу, кojoj приступ имajу сaмo oвлaшћeнa лицa"

Poseban računar, obezbeđen, svakako nije web server, i majku majčinu hakeru koji je uspeo da taj poseban računar zaštićen sistemom lozinki odnese do Verata i ubaci ga na web server u reku. E daj da tog Đokovića među hakerima odlikujemo.

Hansel 11:11 16.12.2014

Re: UPDATE

Poseban računar, obezbeđen, svakako nije web server, i majku majčinu hakeru koji je uspeo da taj poseban računar zaštićen sistemom lozinki odnese do Verata i ubaci ga na web server u reku. E daj da tog Đokovića među hakerima odlikujemo.

Може једно разјашњење? Како је та база могла да буде на посебном рачунару ако је свако преко интернета могао да провери статус својих бесплатних акција (да ли се води као носилац акција којих и колико)? Да би се тај податак добио, на тој страници сајта Агенције за приватизацију требало је уписати свој ЈМБГ, име, средње име и име и, колико се сећам, текст са "антибот сличице". Зар није онда та база, макар била и на посебном рачунару, морала да буде повезана са интернетом, па онда и није била тако заштићена као што је пријављено поверенику? Антибот тест је замењивао лозинку? Било би добро да се разјасни где је база у оваквом случају. То што је фајл био видљив и "даунлодабилан" посебна је прича...

Ево архивиране странице за проверу статуса носилаца:
http://web.archive.org/web/20140625210227/http://priv.rs/BesplatneAkcije.

Goran Vučković 11:23 16.12.2014

Re: UPDATE

Како је та база могла да буде на посебном рачунару ако је свако преко интернета могао да провери статус својих бесплатних акција (да ли се води као носилац акција којих и колико)?

Koliko detaljan odgovor ti treba?

a_jovicic 11:37 16.12.2014

Re: UPDATE

uros_vozdovac
Poseban računar, obezbeđen, svakako nije web server, i majku majčinu hakeru koji je uspeo da taj poseban računar zaštićen sistemom lozinki odnese do Verata i ubaci ga na web server u reku. E daj da tog Đokovića među hakerima odlikujemo.

E da ... Ovo me podseti na predavanja iz "Projektovanja informacionih sistema" davnih '90-tih, kada nam je profesor Lazarević, na sebi svojstven crno-humorni način, pričao o opasnostima JMBG-a i važnosti zaštite podataka. Bilo je nešto u stilu ... "Deco, jedan od načina da zaštitite podatke u informacionom sistemu je da definišete prava, protokole, enkripcije, listu osoba koje imaju pristup, da sve podatke organizujete tako da na osnovu privilegija samo onaj kome su namenjeni ima mogućnost da ih pronadje i vidi ... Drugi način je da čak ni podatke ne sredite, razbacate ih po sistemu, bez ikakve specijalne zaštite, pa ni onaj kome su namenjeni ne može da ih pronadje a ne tek neko nepozvan ko upadne u sistem".

Plašim se da je "majstor" koji je ostavio onaj dump, nije shvatio pošalicu iz drugog dela pasusa (ili je prespavao prvi deo).

A tek što oni koji drže bazu sa sirovim podacima na mašini u DMZ-u nemaju pojma da im za verifikaciju korisnika (tj. "potvrdu" da je korisnik onaj koji se predstavlja) nije bilo neophodno ni da imaju sirovi JMBG i sve one lične podatke nego neki hash-iran identifikator (npr. MD5 napravljen od identifikacionih podataka). No dobro ... kakva država, takva i zaštita privatnosti.

EDIT: Tek sad videh Hanselov komentar ... Evo ja (valjda) objasnih

... al' evo još eksplicitnije ... (ID, MD5, serijski broj prijave, status, broj akcija) je dovoljno da se ne otkrije ni jedan lični podatak a da možeš da proveriš stanje prijave onoga ko zna lične podatke neke osobe.

Hansel 12:13 16.12.2014

Re: UPDATE

Goran Vučković
Како је та база могла да буде на посебном рачунару ако је свако преко интернета могао да провери статус својих бесплатних акција (да ли се води као носилац акција којих и колико)?

Koliko detaljan odgovor ti treba?

Довољан да бих разумео.

Али, онако, нашим речима.

Нисам сигуран да сам разумео АЈ-а -- да ли је хтео да каже да је ЈМБГ (и, можда, други подаци) могао да буде некако шифрован, и да заправо та шифрована база буде повезана с нетом, а да рачунар податке корисника из упита по истом алгоритму "шифрира" и упоређује са "шифрованом базом"?

Е, сад, ако је ово овако (или како год), то још не значи да су они уопште користили такав систем. Ако нису, лагали су у пријави базе поверенику. Итд.

Goran Vučković 12:32 16.12.2014

Re: UPDATE

Довољан да бих разумео. Али, онако, нашим речима. Нисам сигуран да сам разумео АЈ-а -- да ли је хтео да каже да је ЈМБГ (и, можда, други подаци) могао да буде некако шифрован, и да заправо та шифрована база буде повезана с нетом, а да рачунар податке корисника из упита по истом алгоритму "шифрира" и упоређује са "шифрованом базом"?

Šifrovanje je prosto. Upravljanje ključevima za šifrovanje i dešifrovanje je "malo" komplikovanje

Klasična priča kod sistema povezanih na internet je takozvana "odbrana u dubinu" i primena mrežne postavke sa dva mrežna filtera (ili kako se na srpskom kaže firewall) i zonom mreže koja se zove "demilitarizovana" (DMZ - imaš ovde detalje).

Računar kome se može pristupiti spolja se obično ne smatra za siguran, čak i kad se podaci na njemu ne drže tako da su direktno dostupni spolja, kao što su ovi moroni stavili u datoteku koja može da se povuče preko web servera.

Uobičajeno rešenje je da se podaci nalaze u mašini u privatnoj mreži, na kojoj je aplikacija koja kontroliše pristup podacima (npr. u ovom slučaju traži JMBG i ime i da samo slog koji odgovara toj kombinaciji) a koju onda može da "prozove" web aplikacija koja se nalazi u DMZ, kojoj se pristupa spolja.

Ideja je da čak i ako neko obije ovu spoljnu web aplikaciju i dobije pristup serveru u DMZ, tamo neće moći previše da se okoristi, a ostavlja tragove koji bi trebalo da pomognu onima koji vrše nadzor nad sistemom da otkriju provalu pre nego što sa te mašine u DMZ uspe nešto pametno da uradi sa mašinama u privatnoj mreži (od kojih vidi samo onu koja ima aplikaciju i to samo mrežni port kroz koji aplikacija daje svoje usluge).

a_jovicic 14:47 16.12.2014

Re: UPDATE

Goran Vučković
Hansel
Довољан да бих разумео. Али, онако, нашим речима. Нисам сигуран да сам разумео АЈ-а -- да ли је хтео да каже да је ЈМБГ (и, можда, други подаци) могао да буде некако шифрован, и да заправо та шифрована база буде повезана с нетом, а да рачунар податке корисника из упита по истом алгоритму "шифрира" и упоређује са "шифрованом базом"?

Šifrovanje je prosto. Upravljanje ključevima za šifrovanje i dešifrovanje je "malo" komplikovanje

Klasična priča kod sistema povezanih na internet je takozvana "odbrana u dubinu" i primena mrežne postavke sa dva mrežna filtera (ili kako se na srpskom kaže firewall) i zonom mreže koja se zove "demilitarizovana" (DMZ - imaš ovde detalje).

Izvinjotina ... malo sam se "zaneo" pa mislio da je MD5 i sl. opštepoznat ...

Da ... ovo što je Vučko napisao je "kako Bog zapoveda" način ... tj. tako se projektuje ozbiljan transakcioni informacioni sistem ... medjutim ... čini mi se da pomenuta agencija niti ima odgovarajuće osoblje (koje zna kako se radi sa mrežama i firewall-ovima) niti je ova baza transakciona (tj. ista se baš i ne menja često ... ako se uopšte i promenila od kako su prečistili podatke).

Sa druge strane, obzirom da JMBG, ime, prezime i ime jednog roditelja, nisu podaci koje krajnji korisnik treba da dobije iz sistema, nego podaci na osnovu kojih se identifikuje, iz tog razloga sam i predložio MD5 (ili neki sličan crypto-hash) pristup.

MD5 je kriptografski algoritam koji niz nekih karaktera proizvoljne dužine pretvara u niz drugih, fiksne dužine. Operacija je jednosmerna, tj. iz prvog niza je moguće generisati drugi ali iz drugog nije moguće rekonstruisati prvi. Tako na primer "1234567890123, Pera, Perić, Perica" se prevodi u "72c8cf6cf4582668b6b82eed965d01a2" a "1234567890124, Pera, Perić, Perica" (korisnik sa različitim "JMBG"-om) postane "01384a69cf4b6125f9f32d2a6a4ed486". Postoji izvesna verovatnoća da će različiti ulazni nizovi proizvesti isti izlazni ali kriptogravski hash algoritmi upravo služe da tu verovatnoću smanje na minimum.

Znači ... u pomenutoj bazi je bilo dovoljno da umesto ličnih podataka, kao identifikator osobe uvedu MD5 niz, pri generisanju bi moglo da se proveri da nema duplikata i onda bi mogli da na nesigurnom sistemu kakav je web server drže podatke o serijskom broju prijave, statusu i broju akcija a da ne kompromituje ni jedan lični podatak.

Web aplikacija bi ulazne podatke koje unosi sam korisnik transformisala (npr. sva naša slova prevela u ASCII karaktere ... za slučaj ćirilice bi mogla da se uradi transliteracija) ... onda za tako transformisane podatke, izračuna MD5, pronadje u bazi slog koji ima odgovarajući MD5 i prikaže korisniku ostale podatke ... ili javi da sistem nije uspeo da pronadje korisnika. Lični podaci na ovaj način nisu dostupni ni web administratoru niti bilo kome ko čak ima i legalan pristup web serveru ali nije ovlašćen za pristup ličnim podacima.

Hansel 15:36 16.12.2014

Re: UPDATE

Хвала много обојици на стрпљењу, тако је издалека и мали Ивица (Hansel) замишљао.

Заправо ме у основи занимало да ли је могућа провала у случају да је база на другом рачунару, а упити се раде са интернета (па се прође безбедносни филтер у облику антибот теста), на то ме подстакло оно што је Урош написао.

inco 19:23 16.12.2014

Re: UPDATE

a_jovicic
MD5 je kriptografski algoritam koji niz nekih karaktera proizvoljne dužine pretvara u niz drugih, fiksne dužine. Operacija je jednosmerna, tj. iz prvog niza je moguće generisati drugi ali iz drugog nije moguće rekonstruisati prvi. Tako na primer "1234567890123, Pera, Perić, Perica" se prevodi u "72c8cf6cf4582668b6b82eed965d01a2" a "1234567890124, Pera, Perić, Perica" (korisnik sa različitim "JMBG"-om) postane "01384a69cf4b6125f9f32d2a6a4ed486". Postoji izvesna verovatnoća da će različiti ulazni nizovi proizvesti isti izlazni ali kriptogravski hash algoritmi upravo služe da tu verovatnoću smanje na minimum.
...

Lični podaci na ovaj način nisu dostupni ni web administratoru niti bilo kome ko čak ima i legalan pristup web serveru ali nije ovlašćen za pristup ličnim podacima.

Kad smo već zašli u tehničke detalje, a pošto je ovo iz mog uskog domena, da iskoristim ovo zarad malo edukacije.

Prvo, 2014. je godina, nemojte ljudi ko boga vas molim da savetujete nekome da koristi MD5, pogotovo ne za 'zaštitu' konačnih skupova podataka sa vrlo jasnom strukturom poput JMBG-a. Evo zašto je to mnogo loša ideja - JMBG-ova teoretski ima 23.424 miliona (366 dana, 1000 godina, 64 regiona/prebivališta i 1000 jedinstvenih brojeva - poslednja cifra u JMBG-u je kontrolna i računa se na osnovu prethodnih) - naravno, ima ih daleko manje od toga jer teško da imamo i span od 100 godina JMBG-ova (koliko uopšte imamo stogodišnjaka?) tako da je ova brojka nekoliko magnituda manja, ali uzimamo apsolutno najgori mogući scenario.

Moderni 'brutforseri' poput Hashcat-a mogu na solidnoj kućnoj gaming makini sa dve obične GeForce 780Ti kartice da testiraju oko 16 milijardi kombinacija u sekundi, odnosno da testiraju svaki teoretski JMBG <-> MD5(JMBG) link za manje od jedne i po sekunde! U realnoj situaciji ne bi se ni primetila latencija između ove dve transformacije te MD5 nije ama baš nikakva zaštita.

Da ne pominjemo što za svih 23.424 miliona mogućih JMBG-ova može unapred napraviti prosta rainbow tabela koja bi jela maksimalno 4,497 TB (192b je više dovoljno da se storuje indeks MD5 i odgovarajućeg JMBG-a po unosu) mada bi to bilo mnogo, mnogo manje jer nikog ne interesuju svi teoretski JMBG-ovi. Onda to može da se brzo pretražuje i na tabletu, ne treba ti nikakav bruteforce. Naravno, ako se posoli hash, što bi svako normalan trebalo da radi, rainbow tabele postaju beskorisne, mada sa današnjim GPU-ovima one to već jesu poodavno za većinu prostijih hash-eva.

--

To oko MD5-ice i ovog konkretnog slučaja, ali postoji daleko opasnija stvar koja se izgleda odomaćila čak i kod onih koji tvrde da se tobož razumeju u kriptografiju - korišćenje kriptografskih hash-eva kao način obfuskacije podataka. Ti algoritmi nisu namenjeni za to i korišćenje istih daje lažni osećaj sigurnosti što je gore nego nemati nikakvu sigurnost uopšte (kad znate da niste sigurni bar pazite šta radite).

Recimo mnogi sajtovi i servisi - uključujući tu i one koji tobož' propagiraju nekakvu sigurnost i anonimnost poput TextSecure-a, Wickr-a, Telegraph-a, WhatsApp-a etc. - će vas danas uveravati da oni zapravo nigde ne pohranjuju vaš broj telefona ili email adresu, već da to propuštaju kroz kriptografske hash algoritme pa storuju takav rezultat (i lažu da to ne može da se vrati nazad u originalnu informaciju). Kad vidite da vam neko tvrdi tako nešto - begajte glavom bez obzira jer ili zna šta radi pa vas svesno laže, ili ne zna šta radi pa vi vidite da l' biste mu verovali da čuva vaše privatne podatke.

Ako neko sutradan provali u njihove baze i svuče podatke (ili dođe dobar drug CIA pa zatraži) mogu da primene gore navedeni princip da 'vrate' nazad sve brojeve telefona u originalno stanje tako da to što su ti podaci hash-ovani to ne vredi pišljivog boba.

I nije reč samo o MD5, čak i SHA-256 koji se smatra relativno sigurnim u kriptografskim krugovima može da se 'brutforsuje' sa nešto manje od milijardu i po kombinacija po sekundi - to je više nego što teoretski ima brojeva telefona u Srbiji, što znači da se za manje od sekunde provali vaš broj telefona 'sakriven' iza zapisanog hash-a. Čak i da neko uzme bcrypt i kroz njega vadi hash-eve telefona, navedena kućna gejming mašina bi mogla da testira oko pet 'iljadarki kombinacija u sekundi te da pokrije recimo sve sedmocifrene brojeve telefona trebalo bi joj manje od pola sata po mreži.

--

Da podvučem: Nikada, čak ni u ludilu dovoljnom da vas natera da se učlanite u SNS, nemojte koristiti kriptografske hash-eve da 'zaštitite' podatke koji imaju nisku ulaznu entropiju (brojevi telefona, kartica, identifikacioni brojevi, pinovi, itd.) Oni koji to rade, ili to rade zato što su lenji da naprave propisnu zaštitu, ili zato što su glupi pa ne umeju ili zato što imaju, hm, zadnje namere. Begajte od takvih koliko vas noge nose ako su vam lični podaci i privatnost iole dragi.

Goran Vučković 20:40 16.12.2014

Re: UPDATE

Hvala na trudu

Naravno, ako se posoli hash, što bi svako normalan trebalo da radi, rainbow tabele postaju beskorisne, mada sa današnjim GPU-ovima one to već jesu poodavno za većinu prostijih hash-eva.

Ovde je to malo nezgodno, jer bi mučeni građanin pokorni morao da zna i šta piše na slaniku, pošto se hash koristi za "tačan pogodak" na bazi znanja informacija koje ne mogu da se iskoriste za indeksiranje jer se, jelte, one upravo čuvaju.

Ako bih dizajnirao kriptografski protokol za ovakav slučaj (kad bi bilo neophodno) to bi bio neki pristojan hash koji se onda provuče kroz simetrično ECB šifrovanje dovoljno širokim ključem koji sedi u nekom pristojnom HSM (da ne curi nekim sekundarnim kanalom) i konfigurisan je pri kreiranju samo za jedan smer (i još jedan hash iza toga, tj. hash-encrypt-hash), a cela operacija se izvršava na zasebnoj, dobro prišrafljenoj mašini koja loguje svaku operaciju, a kojoj se lični podaci šalju direktno sa web servera (kako bi se put ličnih podataka minimizovao).

Ali ovo je u suštini gubljenje vremena, jer su ti isti podaci verovatno na još pedeset diskova i sto pedeset stikova svih uključenih u proces. Što nije toliko interesantno za medije kao ovo kačenje na tarabu, ali verovatno nije mnogo manje opasno.

Problem se na kraju ne svodi toliko na način držanja koliko na količinu podataka na istom mestu, maltene kako god je držiš.

Ali da skratim, da nam društvu koje nije u struci ne poplavi vrat

a_jovicic 20:41 16.12.2014

Re: UPDATE

inco
Kad smo već zašli u tehničke detalje, a pošto je ovo iz mog uskog domena, da iskoristim ovo zarad malo edukacije.

Prvo, 2014. je godina, nemojte ljudi ko boga vas molim da savetujete nekome da koristi MD5, pogotovo ne za 'zaštitu' konačnih skupova podataka sa vrlo jasnom strukturom poput JMBG-a. Evo zašto je to mnogo loša ideja - JMBG-ova teoretski ima 23.424 miliona (366 dana, 1000 godina, 64 regiona/prebivališta i 1000 jedinstvenih brojeva - poslednja cifra u JMBG-u je kontrolna i računa se na osnovu prethodnih) - naravno, ima ih daleko manje od toga jer teško da imamo i span od 100 godina JMBG-ova (koliko uopšte imamo stogodišnjaka?) tako da je ova brojka nekoliko magnituda manja, ali uzimamo apsolutno najgori mogući scenario.

Ič' ne sporim ono sto si napisao

Primetićeš da sam ja sve podatke strpao u string pre hash-ovanja (ne samo JMBG ... nisam hteo da komplikujem priču dodatnim "soljenjem" a i napadač bi teoretski dodatni "salt" mogao da iskopa iz koda na samom web serveru ako već bude osvojio apsolutnu "vlast" na njemu).

Ako ima resurse da istera sve moguće kombinacije JMBG-ova, uparene sa svim mogućim kombinacijama imena, prezimena i imena jednog roditelja e onda i nek troši svoje procesorske resurse.

Naravno ... ovo ga ne bi sprečilo da napada neku konkretnu žrtvu za koju zna ostale podatke ali kao i sve u kriptografiji pitanje je odnosa koristi podatka i potrošenih resursa za njegovo pribavljanje.

Vučkov sistem je definitivno ono što bi trebalo da se koristi ali ako nema tehničkih i kadrovskih mogućnosti za održavanje nečega takvoga, onda je i bilo kakvo kriptografsko hash-iranje bolje nego ostaviti sirove podatke u bazi ... naravno ... kao što si napisao ... ne trivijalno tipa konačnog i malog broja ciljanih podataka nego kompleksniji niz.

I naravno ... najsigurnija zaštita podataka je da se podacima ne može ni pristupiti sa net-a!

Goran Vučković 20:44 16.12.2014

Re: UPDATE

I naravno ... najsigurnija zaštita podataka je da se podacima ne može ni pristupiti sa net-a!

Najsigurnija zaštita ličnih podataka je kad ih ni ne držiš. To se zove princip proporcionalnosti (ne uzimaj ako ti ne treba)

a_jovicic 20:56 16.12.2014

Re: UPDATE

Goran Vučković
I naravno ... najsigurnija zaštita podataka je da se podacima ne može ni pristupiti sa net-a!

Najsigurnija zaštita ličnih podataka je kad ih ni ne držiš. To se zove princip proporcionalnosti (ne uzimaj ako ti ne treba)

Al' džabe u zemlji Srbiji ... ovde svako voli da ima tvoj JMBG ... čisto ako mora jednog dana da te tuži!

milisav68 23:39 16.12.2014

Re: UPDATE

a_jovicic
Al' džabe u zemlji Srbiji ... ovde svako voli da ima tvoj JMBG ... čisto ako mora jednog dana da te tuži!

Ma tako smo u mogutjnosti.

Samo vas gledam, i ne mogu da verujem o čemu pišete, kad ja mogu da cimnem sestričinu, čija svekrva radi sa rođakom od.......

Šta ve zanima?

a_jovicic 12:07 17.12.2014

Re: UPDATE

inco
Prvo, 2014. je godina, nemojte ljudi ko boga vas molim da savetujete nekome da koristi MD5, pogotovo ne za 'zaštitu' konačnih skupova podataka sa vrlo jasnom strukturom poput JMBG-a. Evo zašto je to mnogo loša ideja - JMBG-ova teoretski ima 23.424 miliona (366 dana, 1000 godina, 64 regiona/prebivališta i 1000 jedinstvenih brojeva - poslednja cifra u JMBG-u je kontrolna i računa se na osnovu prethodnih) - naravno, ima ih daleko manje od toga jer teško da imamo i span od 100 godina JMBG-ova (koliko uopšte imamo stogodišnjaka?) tako da je ova brojka nekoliko magnituda manja, ali uzimamo apsolutno najgori mogući scenario.

Ovaj ... da ti ne 'fale 3 nule?

366 * 1000 * 64 * 1000 = 23 424 000 000 ... tj. 23 milijarde ... ne miliona.

No čak da uzmemo najpovoljniji slučaj po "razbijača" ... broj kombinacija za brute-force provaljivanje grupe: JMBG, ime, prezime, ime roditelja ...

Pod pretpostavkom da ima cca 13000 vlastitih imena (oba pola), oko 43000 prezimena i još npr. 10000 imena roditelja (češće se prijavljuje očevo ime) ... uz samo 5 miliona postojećih JMBG-ova (da ih je kojim slučajem odnekud ukrao bez ostalih ličnih podataka) ... to sve čini 27950000000000000000 kombinacija ... ako ima pomenutu djuntu koja razbija 16 milijardi u sekundi ... trebaće mu "samo" 1746875000 sekundi ... tj. 55 godina

Inače, bez obzira što je MD5 "pao" što se tiče primene u kriptografskom potpisivanju i višim nivoima bezbednosti, smatram da je prilično upotrebljiv za svrhu koju opisujem ... i opet podvlačim ... naravno ne za previše "kratke" podatke ... ovde taj MD5 ne bi štitio neke značajnije podatke (tj. pravljenje ulaznih podataka koji bi davali ekvivalentni MD5 bi doveli samo do kompromitovanja podataka o broju upisanih akcija ... što i nije neka informacija uzimajući u obzir da su svi dobili podjednak broj) a slabost mu svakako ostaje što bi mogla da se "napada" pojedinačna "žrtva" za koju se znaju svi ostali lični podaci.

Druga je priča što je svrha ove baze bila provera stanja prijave ... za to im je trebao samo serijski broj koji je svako dobio odštampan na potvrdi prilikom prijave ... a mogli su umesto JMBG-a da koriste i npr. broj lične karte u kombinaciji sa tim serijskim brojem kao potvrdu da korisnik nije napravio grešku pri kucanju serijskog broja.

zovitemegrunf 14:50 17.12.2014

Re: UPDATE

I naravno ... najsigurnija zaštita podataka je da se podacima ne može ni pristupiti sa net-a!

I najsigurnija kontracepcija je apstinencija

inco 15:09 17.12.2014

Re: UPDATE

a_jovicic
Ovaj ... da ti ne 'fale 3 nule?

366 * 1000 * 64 * 1000 = 23 424 000 000 ... tj. 23 milijarde ... ne miliona.

Ovaj, 23.424 miliona == dvadeset-tri-hiljade-četiristo-dvadeset-četiri miliona, odnosno nešto manje od 23,5 milijarde, što sa 16 mlrd/sec taman iznosi na ono manje od sekunde i po za kompletni bruteforce.

Što se ostalog tiče, ne znam odakle ti podaci za 13000 vlastitih imena i 43000 prezimena, ali sve i to da prihvatimo problem postaje nešto komplikovaniji ali i 'nagrada' postaje bolja - sad ne samo da dobijaš JMBG kao indekser, već i direktno vezivanje JMBG-a za ime, prezime i ime jednog roditelja direktno u indeksu.

Recimo jedan FPGA switch (čisto zbog brze razmene i koordinacije) i 8 makina sa po 8 Radeon R9 295X2-ica (ukupno sve oko 20k jura) ima da vrte preko 800 milijardi MD5 hash-eva u sekundi, što će reći skinuće ovo gore za nešto preko godinu dana, a i to je samo teoretski maksimum - nema potrebe proveravati JMBG-ove koji koji za godinu imaju rang od 015 do 890 što čini proces bar 900 puta manje komplikovanim, nema potrebe proveravati 29. februar za godine koje nisu prestupne, zatim nema potrebe proveravati ženska imena za jedinstveni broj manji od 500 (mada ima određenog procenta stanovništva kojima je to pobrkano) itd.

U realnosti, čak i sa takvim setupom cela baza bi se povratila za manje od mesec dana na uštrb malo preciznosti (recimo možda nekih 1% bude neotkriveno). A možeš da ustostručiš opremu i da sve vadiš za dan - ovde govorimo o kućnoj opremi, superkompjuteri i specijalizovani FPGA klasteri jedu ovakve stvari za doručak.

Da ja sutra obećam nekome ovde u Holandiji da mogu da mu dostavim voornaam/achternaam/oudernaam : BSN link za celu zemlju u roku od par meseci mogao bih sa dobivenim parama da se penzionišem u hacijendi na obali Barselone i da usput obezbedim i tri kolena dalje. Dobro, verovatno bih se penzionisao u nekom zatvoru jerbo bi me na'vatali, al' samo kazem koliko se para može dobiti za takve podatke tako da može da se uloži u ozbiljnu opremu spram koje bilo koja akrobacija sa MD5 'sakrivanjem' jednostavno ne funkcioniše.

MD5 jednostavno ne treba nigde, ni u koju svrhu koristiti. A kriptografske heševe ne treba koristiti za ono za šta nisu namenjeni. Period.

a_jovicic
Druga je priča što je svrha ove baze bila provera stanja prijave ... za to im je trebao samo serijski broj koji je svako dobio odštampan na potvrdi prilikom prijave ... a mogli su umesto JMBG-a da koriste i npr. broj lične karte u kombinaciji sa tim serijskim brojem kao potvrdu da korisnik nije napravio grešku pri kucanju serijskog broja.

... a mogli su lepo da koriste PKI strukturu ustanovljenu novim ličnim kartama (da nisu kao prvoklasni idioti dozvolili nekim luditima da izvode besne gliste i uzimaju lične karte bez čipova) pa da sami podaci budu totalno anonimizovani a indeks da bude zapravo potpis privatnog ključa koji svako ima na normalnoj ličnoj karti. Doduše čak i takav indeks može da se brute force-uje - mrzi me da sad tražim svoju LK, al' čini mi se da ključ na njojzi beše 2048-bit RSA, što će reći možda bi NSA mogla da reverzuje jedan unos na svakih 10-ak godina, pa polako - na kućnoj mašini taman tamo kad izmislimo teleport i replikator.

Ali i to je skretanje sa teme - da su napravili razdvojene makine sa razdvojenim relacionim podacima, pa onu drugu koja drži JMBG <-> token link skinuli direktno sa neta i propisno zaštitili, a ovu prvu turili makar iza HTTPS-a i u njoj indeksirali akcije po tokenu - svega ovoga ne bi bilo jerbo bi potencijalni provalnik mogao da sazna listu JMBG-ova, ili listu tokena koji poseduju akcije, ali nikako oba bez da provali u oba servera što je, ako su administratori samo jotu bolji od klasičnih priučenika, highly unlikely.

Goran Vučković 15:37 17.12.2014

Re: UPDATE

a mogli su lepo da koriste PKI strukturu ustanovljenu novim ličnim kartama (da nisu kao prvoklasni idioti dozvolili nekim luditima da izvode besne gliste i uzimaju lične karte bez čipova) pa da sami podaci budu totalno anonimizovani a indeks da bude zapravo potpis privatnog ključa koji svako ima na normalnoj ličnoj karti

Bolje da ovo ne počinjemo (bar ne na ovom blogu)

uros_vozdovac 16:03 17.12.2014

Re: UPDATE

Goran Vučković
a mogli su lepo da koriste PKI strukturu ustanovljenu novim ličnim kartama (da nisu kao prvoklasni idioti dozvolili nekim luditima da izvode besne gliste i uzimaju lične karte bez čipova) pa da sami podaci budu totalno anonimizovani a indeks da bude zapravo potpis privatnog ključa koji svako ima na normalnoj ličnoj karti

Bolje da ovo ne počinjemo (bar ne na ovom blogu)

Uzdržavam se uzdržavam...

trala.la 16:20 17.12.2014

Re: UPDATE

uros_vozdovac
Goran Vučković
a mogli su lepo da koriste PKI strukturu ustanovljenu novim ličnim kartama (da nisu kao prvoklasni idioti dozvolili nekim luditima da izvode besne gliste i uzimaju lične karte bez čipova) pa da sami podaci budu totalno anonimizovani a indeks da bude zapravo potpis privatnog ključa koji svako ima na normalnoj ličnoj karti

Bolje da ovo ne počinjemo (bar ne na ovom blogu)

Uzdržavam se uzdržavam...

Ljudi, verovali ili ne, ima nas kojima je interesantno to što pišete. :)

inco 16:26 17.12.2014

Re: UPDATE

Goran Vučković
Bolje da ovo ne počinjemo (bar ne na ovom blogu)

Pravo zboriš, nije mi jedared izlazila žila ludara pri diskusijama na tu temu, specifično na propuštene šanse sa celim tim sistemom...

a_jovicic 16:56 17.12.2014

Re: UPDATE

inco
Recimo jedan FPGA switch (čisto zbog brze razmene i koordinacije) i 8 makina sa po 8 Radeon R9 295X2-ica (ukupno sve oko 20k jura) ima da vrte preko 800 milijardi MD5 hash-eva u sekundi, što će reći skinuće ovo gore za nešto preko godinu dana, a i to je samo teoretski maksimum - nema potrebe proveravati JMBG-ove koji koji za godinu imaju rang od 015 do 890 što čini proces bar 900 puta manje komplikovanim, nema potrebe proveravati 29. februar za godine koje nisu prestupne, zatim nema potrebe proveravati ženska imena za jedinstveni broj manji od 500 (mada ima određenog procenta stanovništva kojima je to pobrkano) itd.

U realnosti, čak i sa takvim setupom cela baza bi se povratila za manje od mesec dana na uštrb malo preciznosti (recimo možda nekih 1% bude neotkriveno). A možeš da ustostručiš opremu i da sve vadiš za dan - ovde govorimo o kućnoj opremi, superkompjuteri i specijalizovani FPGA klasteri jedu ovakve stvari za doručak.

Da ja sutra obećam nekome ovde u Holandiji da mogu da mu dostavim voornaam/achternaam/oudernaam : BSN link za celu zemlju u roku od par meseci mogao bih sa dobivenim parama da se penzionišem u hacijendi na obali Barselone i da usput obezbedim i tri kolena dalje. Dobro, verovatno bih se penzionisao u nekom zatvoru jerbo bi me na'vatali, al' samo kazem koliko se para može dobiti za takve podatke tako da može da se uloži u ozbiljnu opremu spram koje bilo koja akrobacija sa MD5 'sakrivanjem' jednostavno ne funkcioniše.

Dao sam računicu za idealan slučaj za napadača ... gde unapred zna svih 5 miliona JMBG-ova samo ne zna ko je vlasnik kojeg od njih. Vlastitih imena i prezimena ima i više od one brojke ali sam i to malo poterao na stranu napadača.

Znači sa pomenutim hardverom bi mu trebalo cca godinu dana da sve to "izrudari" ... i za tu svoju aktivnost bi potrošio 20K EUR-a u hardveru + značajnu količinu struje dok taj hardver melje (nek' bude optimistički da troši 1kWh)

Ono što ti zanemaruješ je vrednost tih podataka ... i ta vrednost nije ista u Srbiji (gde su oni "rasejani" po svakakvim vladinim i nevladinim agencijama) i vrednost u Holandiji (ili recimo u Belgiji ... za koju znam situaciju bolje ... gde je server jedan jedini i gde zainteresovane agencije mogu samo da dobiju pristup za autorizaciju korisnika a ni u kom slučaju ne smeju ni da pomisle da u svom informacionom sistemu čuvaju matični broj klijenta)

E u toj nekoj Holandiji ili Belgiji "moj" metod ne bi smeo ni da se predloži u neobaveznom ćaskanju ... ali u zemlji Srbiji, gde za npr. par stotina ili koju hiljadu EUR-a, ti možeš od insajdera u nekoj od tih bezbroj agencija da dobiješ celu bazu (a možda "prodješ" i sa samo jednim ručkom ili večerom ... ili kao što smo videli dobiješ sve to čak i za džabe), trošenje onih silnih kilo-EUR-a na hardveraj i struju je čisto bacanje para "sila mraka i bezumlja" tj. neko kome bi ti podaci bili bitni bi mnogo jeftinije prošao sa klasičnim "mito&korupcija" pristupom.

Stoga je i ulaganje u zaštitu ovakvih podataka (uz način kako se danas "rasipaju" kojekude) ekonomski isplativo ako ne prelazi tih par stotina EUR-a ... a troškovi razbijanja MD5 hash-iranih identifikatora značajno prelaze tu cifru.

Što se elektronskih potpisa i ličnih karata tiče, akcije su bile prijavljivane još u vreme dok su u upotrebi bile "starinska" papirna dokumenta, tako da bi to bilo potpuno neizvodljivo u datim uslovima (koji nisu ni dan-danas puno bolji)

Ono što bi trebalo da se promeni je da se JMBG jednostavno zaboravi kao sredstvo za bilo kakvu potvrdu identiteta u svim situacijama gde može da nastupi prekršajna ili krivična odgovornost ukoliko dodje do zloupotreba kradjom identiteta (npr. registracija firmi) ... i da se uvedu metode o kojima je Vučko pisao ... ili digitalni potpis.

EDIT:
"Svrbelo" me ovo oko ranjivosti MD5 pa sam malo kopao po literaturi ... MD5 je pao na "collision" napadu, tj. mogućnosti da 2 različita ulazna niza imaju isti hash. Medjutim što se "preimage" napada tiče, (odnosno mogućnosti da se ulazni niz rekonstruiše iz hash-a) slabost je više teoretska nego praktična ... tj. kompleksnost napada je 2^123.4 (dok se kompleksnost "brute-force" računa kao 2^128). Drugim rečima jedini praktični način dobijanja svih JMBG-ova iza predloženog hash-iranja podataka ostaje "brute-force" (ili "rainbow" ... uz neprocenjene memorijske i procesorske troškove) a cena takvog postupka je daleko veća nego vrednost informacija koje bi se tim postupkom dobile. Za one koji su baš matematički mazohisti evo i rada o "preimage" napadu ... Finding Preimages in Full MD5 Faster Than Exhaustive Search

adriana 00:14 16.12.2014

Hakeri, braćo, pomozite!

Da im tražim tetkin JMBG, možda mi izađu u sustret? Treba mi za neko suđenje, ćale i ona ne razgovaraju godinama, ne'am nikakav dokument...

Hansel 00:20 16.12.2014

Re: Hakeri, braćo, pomozite!

А јел' се пријавила била за бесплатне акције?!

inco 04:25 16.12.2014

Kad smo već kod zaštite JMBG-a

Ne tako davno, marta ove godine taman tu negde pred glasanje, bačih ti privatnu poruku koja je upozoravala na ozbiljan propust državnih organa (ako se našalimo pa Srbiju nazovemo državom) pa da ovom prilikom to podelim i sa širim auditorijumom:

'inco'
... Elem, pošto su lokalne vlasti nesposobne da ljudima isporuče obaveštenja o njihovom biračkom mestu (i statusu u biračkom spisku in general) lepo u vestima koje je B92 preneo OVDE RIK u saopštenju navodi:

Građani obaveštenje o opštini, biračkom mestu i adresi mogu dobiti preko interneta, na sajtu Ministarstva pravde i državne uprave u roku od nekoliko sekundi...

Ne bude me mrzelo, odem lepo tamo i imam šta da vidim - sistem je isti kao što je bio i pre dve godine kad sam isti javno kritikovao, samo što više bar ne printaju i ime i prezime.

Problem - sve ide kroz otvoren HTTP, čak nisu uradili ni minimum minimuma da ubace server challenge sa nonce-om i da šalju hash(JMBG | nonce) umesto čistog JMBG-a, o SSL/TLS-u i da ne govorim, tako da svaka budala koja može da snifuje network pakete - od cimera s kim se deli WiFi konekcija ili komšije u zgradi s kime se deli kablovski net, preko svakog ćate zaposlenog kod internet provajdera, do svake karike u linku ka serveru - može 'ladno da pokupi svaki unešeni JMBG, dobije verifikaciju da li takav JMBG postoji (u biračkom spisku) o trošku državnog servisa i još da sazna gde će isti glasati.

Zloupotrebe ovako nečega su samo stvar kreative nekog ko reši da se poigra. Još strašnije je to što onima koji su pravili sistem nije ovako očigledna rupa ni pala na pamet - nešto čega bi i priučeni početnici trebalo da se zastide - što me navodi na zebnju oko toga kako su odradili i backend deo. Ne bi me iznenadilo da neko sa dovoljno vremena odradi uspešni injection ili nešto slično tome i izvuče ceo birački spisak, a čak me ne bi iznenadila ni situacija gde postoji samo jedna baza i gde ovaj servis pristupa live podacima pa da neki nadobudni klinac napravi čitavu papazjaniju od izbora (dobro, cenim da su spiskovi do sad već odštampani, ali ovaj servis nije od juče tako da...)

Znam ja da kod nas lični podaci ne vrede pišljivog boba a JMBG samo što nisu počeli i prosjaci u Knezu da traže, al' čovek bi očekivao bar od države da ispuni onaj najosnovniji minimum zaštite podataka.

Valjalo bi obavestiti ljude da bar ne pristupaju ovom nakrivo nasađenom servisu sa javnih mreža ako već moraju da se tako informišu o biračkom mestu ili svom statusu u biračkom spisku. A i da vide na kakve amatere se troše njihovi poreski novci...

Uopšte ne sumnjam ni da će za sledeće glasanje situacija ostati ista, a onda će neko da pokupi šta 'oće i da to objavi, mi ćemo se zgražavati par dana i tako do kraja vremena. Doduše svaka čast Vučiću, mož' biti da će on ovaj problem rešiti na njemu karakterističan način kao i onomad sa aflatoksinom - ukine glasanje i problem rešen.

Što se tiče ovog specifičnog 'problema' moram malko sad da seirim nad onima što su me terali da idem da se upisujem za tu glupost. Po stranu moje ideološko protivljenje konceptu (ako se dobro sećam, zvao sam to saučešćem u krađi) ali svako ko je mislio da će od toga dobiti više nego što je mogao da zaradi za vreme koje je proveo čekajući u redu da se upiše ima ozbiljan problem sa ekonomskom pismenošću. Tačnije - ne poseduje ni naznake iste. Sudeći po svemu, pet i kusur miliona stanovnika Srbije spada u takvu kategoriju što dosta toga govori, naročito zašto je srpska ekonomija u teškom čabru.

uros_vozdovac 08:09 16.12.2014

Re: Kad smo već kod zaštite JMBG-a

inco
Ne tako davno, marta ove godine taman tu negde pred glasanje, bačih ti privatnu poruku koja je upozoravala na ozbiljan propust državnih organa (ako se našalimo pa Srbiju nazovemo državom) pa da ovom prilikom to podelim i sa širim auditorijumom:

Da tako je,glupo je i zvati ovo sisemom, ali ipak, ipak bi morao da snifuješ wifi da ne budeš baš average Joe, ali ovo je poseban skandal, brate potpuno otvoreno ko klikne dobije...

Sakrij replike | Pošaljite komentar

uros_vozdovac

RSS Feed Saznajte više o autoru

Blogovi autora

Svi blogovi