Monthly Archives: December 2014

o poveste cu becuri

diverse,

Acu o saptamana mi s-a ars un bec de faza scurta la masina.

Azi dupa vreo juma de ora de cautat pe internet am gasit cum sa dau jos becurile.

Dat jos becul defect, pus in buzunar, luat troleul pana in Auchan, gasit doua becuri no-name (ca din alea bune n-aveau), luat si inapoi cu tramvaiul la masina.

In filmuletul despre schimbarea becurilor, zicea nenea ala ca sa pun capacul de protectie undeva bine ca poate sa scape prin motor si o sa fie greu de gasit.

Schimbat becul defect, pus faza scurta, totul ok. Nu stiu de ce, da pornii si motorul. Si bineinteles ca a scapat capacul in motor. Noroc ca a scapat in fata si n-a fost chiar greu de scos de acolo.

Acu cu muschii umflati pe mine de la schimbat becul defect, zic sa-l schimb si pe alalalt sa nu fie diferente de lumina si sa bata farurile aiurea.

Dat jos becul bun, pus becul nou, si cam aici se opreste povestea mea de succes in a schimba becul. Ca dupa o juma de ora de incercat sa potrivesc rahatul ala de suport sa intre in soclu am renuntat pentru ca deja nu mai puteam de maini inghetate.

Asa ca acu sunt cam de unde am plecat: am un bec care merge si unul care nu prea merge (ca se balangane acolo in soclu), doar ca acu merge ala din dreapta si nu merge ala din stanga.

optiuni

diverse

i'm with stupid

De ceva vreme ma tot screm intre doua chestii:

  • sa ma apuc de facut diverse proiecte pe security/infrastructure
  • sa imi iau un rucsac in spinare si sa ma duc aiurea in lume

Ambele optiuni se completeaza cu “si vad io mai departe ce si cum”.

Creierul zice ca pot sa fiu din nou geek, sa fac chestii computericesti care-mi plac, sa pot sa arat cu degetul si sa zic “eu am construit asta” si alte chestii din astea.

Inima zice ca un rucsac mediu de backpacker, laptopul si cateva haine sunt tot ce-mi trebuie. Sa ma duc sa “ma arunc in lume” si sa vad pe unde ma poarta valurile.

Astea doua optiuni ma omoara zi de zi, ora de ora.

Intr-o ora ma gandesc la ce chestii cool mai sunt prin IT si cum se aplica practic si ce-as putea construi; intr-o alta ora ma gandesc ca nu este nici o experienta mai misto decat sa dormi intr-un hostel ingramadit cu oameni din intreaga lume.

Pana la urma ma gandesc foarte serios sa dau cu banul si ce-o fi, o fi.

despre legea securitatii cibernetice

diverse

Mai nou, in Romania, avem parte de Legea securitatii cibernetice, pentru ca trebuie tara protejata de oamenii rai ai internetului.

In primul rand, un mic sumar al definitiilor folosite in lege:

  • infrastructuri cibernetice: infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice.
  • infrastructuri cibernetice de interes national (ICIN): infrastructurile cibernetice care sustin serviciile publice sau de interes public, ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia, denumite in continuare ICIN
  • managementul identitatii: metode de validare a identitatii persoanelor, cand acestea acceseaza anumite anumite infrastructuri cibernetice
  • operatii in retele de calculatoare: procesul complex de planificare, coordonare, sincronizare si desfasurare a actiunilor in spatiul cibernetic pentru protectia, controlul si utilizarea retelelor de calculatoare in scopul obtinerii superioritatii informationale, concomitent cu neutralizarea capabilitatilor adversarului
  • spatiu cibernetic: mediul virtual, generat de infrastructurile cibernetice, incluzand continutul informational procesat, stocat sau transmis, precum si actiunile derulate de utilizatori in acesta
  • securitate cibernetica: starea de normalitate rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si non-repudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private din spatiul cibernetic. Masurile proactive si reactive pot include politici, concepte, standarde si ghiduri de securitate, managementul riscului, activitati de instruire si constientizare, implementarea de solutii tehnice de protejare a infrastructurilor cibernetice, managementul identitatii, managementul consecintelor.

Ce zice prin lege (am scos pasajele care mi se par importante):

  • Cap. II, Art. 6 (1): In vederea asigurarii cadrului general de cooperare pentru realizarea securitatii cibernetice se constituie Sistemul National de Securitate Cibernetica (SNSC), care reuneste autoritatile si institutiile publice cu responsabilitati si capacitati in domeniu.
  • Cap. II, Art. 6 (2): SNSC colaboreaza cu detinatorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociatiile profesionale si organizatii neguvernamentale.
  • Cap. II, Art. 8 (1): Coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit in continuare COSC
  • Cap. II, Art. 8 (2): COSC este format din reprezentanti ai MApN, MAI, MAE, MSI, SRI, SIE, STS, SPP, ORNISS, secretarul CSAT
  • Cap. II, Art. 8 (5): La activitatile COSC pot participa, in calitate de invitati, reprezentanti ai altor institutii sau autoritati publice.
  • Cap. II, Art. 9 (1) (f): In exercitarea atributiilor sale, COSC analizeaza si evalueaza starea securitatii cibernetice, formuleaza si inainteaza CSAT propuneri privind cerinte minime de securitate cibernetica si politici de securitate cibernetica pentru autoritatile si institutiile publice prevazute la Cap. II, Art. 10 (1) si (2).
  • Cap. II, Art. 9 (2): COSC coopereaza pentru realizarea securitatii cibernetice cu organismele de coordonare sau sau conducere constituite, potrivit legii, la nivel national, pentru managementul situatiilor de urgenta, a actiunilor in situatii de criza in domeniul ordinii publice, pentru prevenirea si combaterea terorismului si pentru apararea nationala, asa cum sunt prevazute in legislatia in domeniu.
  • Cap. II, Art. 10 (1): SRI este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC, precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica, denumit in continuare CNSC
  • Cap. II, Art. 11 (1) (e): CNSC are urmatoarele atributii principale: genereaza avertizari pentru detinatorii de infrastructuri cibernetice si ICIN cu privire la posibile incidente de securitate cibernetica si emite recomandari cu privire la modalitatea de actiune
  • Cap. II, Art. 15 (1): La nivel national se constituie Sistemul National de alerta Cibernetica, denumit in continuare SNAC, reprezentand un ansamblu organizat de masuri tehnice si proceduri, si principalul mijloc al SNSC destinat prevenirii si contracararii activitatilor de natura sa afecteze securitatea cibernetica.
  • Cap. II, Art. 15 (3): In cadrul SNAC, starile de amenintare reflecta gradul de risc pentru securitatea cibernetica si sunt identificate prin niveluri de alerta cibernetica. Acestea pot fi instituite pentru intreg teritoriul national, pentru o zona geografica delimitata, pentru un anumit domeniu de activitate sau pentru una sau mai multe persoane juridice de drept  public sau privat.
  • Cap. II, Art. 15 (2): Organizarea SNAC, masurile specifice pe care autoritatile si institutiile publice competente le implementeaza pentru fiecare nivel de alerta, precum si procedura de instituire a nivelurilor de alerta si cerintele privind elaborarea planurilor de actiune se aproba prin norme metodologice, la propunerea SRI.
  • Cap. II, Art. 15 (5): Pentru punerea in aplicare a masurilor specifice prevazute la alin. (2), persoanele juridice de drept public sau privat detinatori de ICIN elaboreaza planuri de actiune proprii, corespunzatoarea fiecarui nivel de alerta cibernetica.
  • Cap. II, Art. 15 (7): Detinatorii de infrastructuri cibernetice au obligatia sa sprijine autoritatile si institutiile publice competente pentru implementarea masurilor corespunzatoare fiecarui nivel de alerta cibernetica, potrivit solicitarilor acestora, adresate in condtiile Cap. III, Art. 17 (1) (a).
  • Cap. III, Art. 16: Detinatorii de infrastructuri cibernetice au urmatoarele obligatii:
    • (a) sa aplice politici de securitate cibernetica, cu respectarea cerintelor minime de securitate stabilite la nivel national MSI, ANCOM sau alte autoritati publice competente, potrivit legii
    • (b) sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate in infrastructurile cibernetice proprii sau aflate in responsabilitate
    • (c) sa previna si sa reduca la minimum impactul incidentelor care afecteaza infrastructurile cibernetice proprii sau aflate in responsabilitate
    • (d) sa nu afecteze, prin actiunile proprii, securitatea altor infrastructuri cibernetice
    • (e) sa se asigure ca datele si/sau informatiile referitoarea la configurarea si protectia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate sa le cunoasca
  • Cap. III, Art. 17 (1): Pentru realizarea securitatii cibernetice, detinatorii de infrastructuri cibernetice au urmatoarele responsabilitati:
    • (a) sa acorde sprijinul necesar, la solicitarea motivata a SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii
    • (b) sa informeze, de indata, autoritatile si institutiile publice prevazute la (a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege
  • Cap. III, Art. 18: Detinatorii de infrastructuri cibernetice, furnizorii de servicii de internet au obligatia de a-si notifica clientii, persoane de drept public sau privat, de indata, dar nu mai tarziu de 24 de ore din momentul in care au fost sesizati de autoritatile competente potrivit prezentei legi, cu privire la situatiile in care sistemele informatice folosite de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare.
  • Cap. III, Art. 19 (1): La nivel national se constitue catalogul ICIN, care se aproba in termen de 90 de zile de la intrarea in vigoare a prezentei legi, prin hotarare a Guvernului.
  • Cap III, Art. 19 (3): Identificare ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metogologia elaborata de SRI si MSI, si aprobata in termen de 60 de zile de la intrarea in vigoare a prezentei legi, prin hotarare de Guvern.
  • Cap. III, Ar. 19 (4): La elaborarea catalogului ICIN, MSI va colabora si cu ANCOM, in situatia persoanelor de drept privat care detin calitatea de furnizori de retele publice sau servicii de comunicatii electronice destinate publicului
  • Cap III, Art. 20 (1): Persoanele juridice de drept public sau privat care detin sau au responsabilitate ICIN, au urmatoarele obligatii:
    • (a) sa stabileasca si sa aplice masuri pentru asigurarea rezilientei infrastructurilor cibernetice proprii sau aflate in responsabilitate
    • (b) sa intocmeasca planul de securitate al ICIN, precum si planuri de actiune proprii corespunzatoarea fiecarui nivel de alerta cibernetica
    • (c) sa efectueze anual auditari de securitate cibernetica sau sa permita efectuarea unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit legii
    • (f) sa aplice politicile de securitate prevazute prin cerintele minime stabilite conform dispozitiilor prezentei legi
  • Cap. III, Art. 21 (2) (c): […] sa permita autoritatilor competente sa intervina pentru identificarea si analizarea cauzelor incidentelor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice
  • Cap. III, Art. 21 (2) (d): […] sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii, cu respectarea principiului confidentialitatii si sa le puna la dispozitia autoritatilor competente
  • Cap. III, Art. 23 (6): In implementare prevederilor prezentei legi, ANCOM va constitui si va operationaliza o structura specializata de securitate cibernetica, de tip CERT.
  • Cap. IV, Art. 26 (2): Conducerea operatiunilor de aparare cibenetica in caz de agresiune armata, la instituirea starii de asediu, declararea starii de mobilizare sau de razboi se realizeaza de catre Centrul National Militar de Comanda in cooperare cu COSC.
  • Cap. V, Art. 27 (1): Monitorizarea si controlul aplicarilor prevederilor prezentei legi se asigura, potrivit competentelor stabilite prin lege, de catre:
    • (b) SRI […] pentru detinatorii de ICIN, persoane juridice de drept public
    • (c) MSI, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat
  • Cap. V, Art. 27 (2): […] conducatorii autoritatilor desemneaza persoane abilitate care […] au dreptul […] sa:
    • (b) sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura destinata ICIN […]
    • (c) sa primeasca la cerere, la fata locului, justificari sau informatii

Acum, parerea mea unde sunt problemele:

  • SRI, prin aceasta lege, se autoproclameaza imparatul absolut infrastructurilor din Romania. Ceea ce este “wrong on so many levels”. Si cum asta nu era suficient, ii aduce si pe prietenii lui din aproape toate structurile de securitate din Romania.
  • Conform definitiilor folosite, orice firma din Romania care detine mai mult de 2 computere are o “infrastructura cibernetica”. Asta inseamna ca probabil in afara de orice firma cu un singur computer, legal SRI-ul poate accesa datele oricarei firme fara absolut nici un control sau raspundere in fata unui judecator.
  • Sunt tare curios cum va arata procesul si cine va plati despagubiri atunci cand SNAC va decreta alerta pentru o anumita firma (conform abilitatilor) si se dovdeste a fi alarma falsa.
  • Conform “prezentei legi” (sa folosesc limbajul de lemn care place asa mult legiuitorilor tarii) reprezentantii societatii civile nu au ce cauta la COSC si nici nu pot reclama in vreun fel activitatea acestuia. Un fel de “statul stie mai bine ce e bine pentru pentru populatie, aveti incredere”. O alta mare problema.
  • Toate firmele de comunicatii, la cum arata legea, vor deveni ICIN si drept urmare toate institutiile alea de au membri in COSC isi vor putea baga nasul in cum arata retelele operatorilor, cum sunt configurate si tot asa. Pentru ca “national security, terrorists” si ce o mai fi maine la moda pe tema bau-bau.
  • Sunt cerinte in lege care nu sunt realizabile si se bat un pic cap in cap, precum cele din Cap. III, Art. 16.
  • Daca da fericirea peste tine si te clasifica SRI drept ICIN, ai supt-o in fericire. Vine si te inspecteaza “autoritatea competenta” cand vrea muschii ei si “conform legii (Cap. V, Art. 27 (2))” tre sa stai drepti si sa raspunzi la intrebari si sa te justifici. Pentru ca asa functioneaza o societate normala, sa stai cu palaria in maini si cu capul plecat in fata organului.
  • Articolul 17 (cel mai contestat dintre toate):
    • orice firma detinatoare de infrastructuri cibernetice, care conform definitiei inseamna orice firma cu cel putin 2 computere care comunica intre ele, este obligata prin lege sa accepte accesul reprezentantilor statului cand li se scoala sa vada ce date au pe acolo pe baza “solicitarii motivate”. Ti-ai luat un virus de pe “Internet” care sa zicem ca spameaza chestii si tu habar nu ai (acu ca ala o fi plantat chiar de baietii si fetele albastre e alta traba), legal are voie SRI sa-ti ceara datele din computer ca sa “le investigheze” si sa scoata necuratul din ele.
    • nu exista nicio mentiune cum ca “solicitarea motivata” trebuie intai aprobata de un judecator sau sa poata fi cumva contestata in instanta atunci cand este considerata abuziva. Adica o sa fie un fel de “ete motivatia, da-mi alea doua laptopuri de pe birou – de se vad de aici din usa si ne mai gandim ce sa-ti luam data viitoare”.
    • Nu vad nicaieri obligatii ale statului, vad doar obligatii ale firmelor private. Ca altfel vine SRI-ul si le da peste degete daca gresesc. Chiar iti poate da si amenda.
  • Legea asta parca e facuta sa legitimize un abuz deja pus la cale.

Pare mea:

  • O sa se inventeze politici de securitate nationale pe care diversi trebuie sa le implementeze. Daca sunt firme de stat, o sa se mai justifice angajari pe “securitate cibernetica”.  O sa fie plina de specialisti tara asta.
  • O sa se faca treaba la minimul necesar si dupa aia “dupa mine potopul”. Si daca totusi o sa dea coltul careva din cauza unei brese de “securitate cibernetica” o sa se trambiteze sus si tare ca “institutiile statului si-au facut treaba” si aia e, viata merge mai departe. De ce? Pentru ca in loc de dialog frumos cu explicatii si chestii, SRI-ul a luat-o pe calea securista: faceti ca noi ca numai noi stim cu e bine, altfel va dam amenda.
  • O sa fie Romania plina ce CERT-uri: la SRI, la ANCOM si la toti aia din lista. N-o sa mai stie malware-ul pe unde sa fuga de atatia politisti cibernetici care il alearga cu pulanele cibernetice pe Internetul romanesc.
  • Cuiva i-a placut la nebunie termenul asta de “cibernetic” ca e folosit in textul legii de parca l-a castigat la lotto si n-a stiut ce sa faca cu atatea exemplare.

Eu nu pricep de unde atata incrancenare din partea SRI-ul cu Internetul, retele de comunicare si ce mai intra la mijloc. Parca au fumat lipici din ala expirat, asa pe aratura sunt. Adica am inteles ca pentru ei “dreptul la viata privata”, sustinut de trei ori de CCR (o data cu BigBrother initial cand le-a taiat din pretentii, a doua oara cand au dat-o jos pe baza precedentului de la Curtea Europeana de Justitie si a treia oara cand SRI-ul a vrut sa ne faca tara bananiera sa luam internet cu buletinul) este ceva la care cetateanul nu are voie si daca s-ar putea sa ne instalam de buna voie microfoane si in fund, ei ar fi cei mai fericiti oameni. Acu au gasit o alta cale sa se duca dupa datele oamenilor. E un fel de soarecele si pisica, doar ca intr-un film prost.

O alta chestie pe care nu pot s-o pricep este de ce, ca si in alelalte legi unde si-a bagat SRI-ul coada nu zice nimic ca inainte sa se duca sa spioneze romanii, intai sa treaca pe la un judecator care sa zica DA/NU. Si o alta intrebare este, cum poate afla o firma cine i s-a uitat prin date si pe unde au mai fost trimise?

Cu legil ca astea o sa ajungem democratici ca americanii, cand primesti un NSL si la schimb trebuie sa dai din casa tot.

Pur si simplu mi se par stupide justificarile cu teroristiisi sau ce bau-bau mai e acu la moda. Deja in Romania au distrus politicienii tot ce era functional; ce-o sa distruga un terorist cu bomba prin Bucuresti mai rau decat poate distruge Oprescu din pix?

biting the bullet (1)

diverse

De cand m-am intors in .ro si pana o sa-mi iau iar bocceluta in spate, mi-am propus sa-mi rezolv din dilemele de le am pe diverse planuri.

  • Anxietatea sociala: mereu mi-a fost tarsa sa ma duc sa ma bag in seama cu lumea. Chestiile de baza de gen “buna, io sunt sin. voi cine sunteti si ce faceti?”. Daca ma introduce cineva intr-un grup e OK, ma decurc singur dupa aia sa ma imprietenesc (sau nu) cu lumea. Da de capu meu mai bine dau cu degetele de la picioare aiurea in mobila. Asa ca saptamana asta m-am dus (in stilul meu carcateristic) direct la apa mare: nu intr-un grup cu interese comune cu ale mele, ci intr-un grup de oameni cu interese si “background-uri” extrem de diverse. Si m-am descurcat onorabil, n-am dat cu bata in balta, am vorbit frumos, am cunoscut oameni interesanti si abia astept sa ma duc si data viitoare, sa exersez si sa ma cizelez pe baza observatiilor facute de mine asupra mea (da, fac si de astea).
  • Conditia fizica: cu scuza “io’s IT-ist, nu-mi trebuie muschi” sunt “couch potato” in cel mai adevarat sens al cuvantului. Asa ca dupa ceva dat inapoi de la initiative (mi-am facut inclusiv abonament  si nu m-am dus niciodata), mi-am gasit o sala diferita. N-are aparate clasice, tot efortul fizic il fac folosindu-ma de forta/greutatea corpului si de gantere, saci tactici, coarda (behai dupa ce sar duda aia de coarda de parca as fi alergat pana la ploiesti) si alte inventii de astea care tot la folosirea fizicului meu se rezuma. Vroiam sa saptamana trecuta, dar n-am putut, asa ca saptamana asta am bagat ca migu, cum se zice. Am antrenoare personala (de care mi-e frica, ca stie stuff), imi arata ce sa fac, cum sa fac, sta sa-mi zica cand nu e bine si tot asa.In fiecare zi am alte exercitii (sa nu ma plictisesc). Momentan merg ca robotul si ma dor toate alea, dar e bine. Azi am mers normal. Dar ma omoara un pic mainile. Dupa fiecare antrenament bag calciu, magneziu si aspirina sa treaca mai repede febra. E frig in sala ca nu e caldura, si se vede foarte misto respiratia pe vremea asta.

cu tramvaiul

diverse

La hotelul pe unde stau, pe langa geam trec tramvaie. Si foarte repede din ce pare.

Ieri am ajuns rupt in gura de somn, ca zbor cu noaptea in cap, si am dormit un pic de pe la 11 la 13 sa ma refac.

Si m-au impresionat asa tare tramvaiele de la geam ca azinoapte am visat ca eram undeva pe langa niste sine de tramvai cu niste prieteni si gasisem ceva piese cu care tunam tramvaiele si dupa aia ne dadeam cu ele sa vedem care cum merge mai tare. Si dupa aia puneam alte piese, mai bagam o tura si tot asa.