Klijenti poreske uprave Republike Srpske i rasprava oko validnosti podatka

[1van]

Diskusiju možemo da nastavimo samo kulturno i sa činjenicama. Molim Vas da otvorite posebne teme za svaki slučaj (čini mi se da ima tri) i da priliožite dokaze, jer ja (a verujem i ostali) stvarno ne mogu da jurim po Tviteru i blogovima šta ste sve pisali.

I molim Vas objasnite za svaki URL šta je njegova funkcija, npr: nwgtw-prd.poreskaupravars.org ili testauth.izisrs.org, kako bi znali da li je servis dostupan i za građane ili samo za interne potrebe.

Hvala na razumevanju.

[VincaSec]

Našao sam u logovima ovo 

domain: nwgtw-prd.poreskaupravars.org
notes: url: https://nwgtw-prd.poreskaupravars.org
usernames: 8443/sap/bc/ui5_ui5/sap/zeusluge/index.html 100023618
source: naz.api
passwords: j*********f

[kernel_priest]

Uspio sam procitati post Branka Petrovica pa da krenem. Moja izjava nije nikada data za capital - jer u clancima: https://www.capital.ba/it-strucnjaci-lic...m-trzistu/
https://www.capital.ba/hakeri-zakljucali...-rjesenje/

nigdje nema mog imena kao sto je Branko naveo. Dalje, izjava na BN se krece od pretpostavke da su podaci, jer se radi o ransomware grupi procurili https://www.youtube.com/watch?v=6xDv9CGZrhU&t=5s
Na svom profilu na tw
Dragi Branko, vrijeme je da naucis slusati i citati.
Sto se tice diskreditacije koju je naveo, evo neka pruzi jasne dokaz - ja cu dati sta je on meni napisao "drugarski"

[1van]

Mešamo puno tema ovde. Naslov ove teme je vezan za podatke poreske uprave i da li je ono što SOCRadar prikazuje validno. Koliko vidim svi se slažemo da su podaci sa SOCRadar-a validni.

Ono što se ne slažemo je koliko je zapravo opasno ovo sve što se desilo i na koji način se desilo. I imamo nedoumicu ko (kernel_priest ili branko) je šta i kada izjavio (ali ovo sam forum treba manje da zanima).

Imamo spomenuta tri slučaja (molim Vas ispravite me - dopunite, ako sam nešto propustio):

1. IZIS
2. MOJKARTON
3. PORESKA

-

1. IZIS 

Očigledno kompromitovani sistemi, imaju Ransom poruku.

- "Petorica stručnjaka" su izjavili da su podaci već na DarkWeb, a branko je pokazao da nisu baze nego pristupni podaci
- kernel_priest je izjavio da se pristupni podaci za IZIS odavno nalaze na DarkWebu i da su verovatno zloupotrebljeni i iskorišćeni za ovaj napad (što se i meni čini kao validno jer imamo i testauth.izisrs.org)
- Kako su sistemi stvarno kompromitovani, možemo da pretpostavimo i da su podaci (baze i slično) iscureli (ali nismo ih još našli u prodaji)
- Ne znamo ko su "petorica stručnjaka"

   

2. MOJKARTON

Nisam u toku šta se tačno desilo molim Vas dodajte detalje pa ću dopuniti ovde.

- Koliko vidim slično kao kod IZIS-a pronađeni podaci na DarkWeb-u su korisnički podaci, a ne baze. Što ne znači da ne mogu biti zloupotrebljeni na više načina.
- Niko ništa nije izjavio po medijima?
- Nema test domena?

   

3. PORESKA UPRAVA

Nisam u toku šta se tačno desilo molim Vas dodajte detalje pa ću dopuniti ovde.

- Što se tiče ovog slučaja, koliko sam razumeo svi domeni iz Stealer Logs sa SOCRadar su public, i nemamo mejlove?
- Niko ništa nije izjavio po medijima?

[branko]

Ivane, odlično si posložio.

Moj blog, koji sam sinoć objavio, ima za cilj da dokaže da nije tačna informacija "da se podaci građana Republike Srpske već prodaju na darkweb-u", što sam argumentovao dokazima na u svom blogu. Za forum nije bitno ko je šta izjavio ali na mom Linkedin-u koga interesuje imate Vladine i moje komentare (u mojim komentarima imate i transkript Vladine izjave za medije, kao i video na mom blogu): https://www.linkedin.com/feed/update/urn...906337793/.

Ono što je bitno jeste da moramo da pokažemo da smo mi tehnička zajednica a ne politička, iz tog razloga je i počela cijela "konstruktivna" diskusija, jer sam pokušao dobronamjerno ukazati da mi kao članovi zajednice ne trebamo davati političke, paušalne i površne izjave, posebno ne poluinformacije (ili nedovoljno provjerene informacije) medijima koji to prenose i podižu bezpotrebnu prašinu i stvaraju dodatne tenzije. Pa su tako dali info na osnovu scan-a da se podaci građana već nalaze na darkweb-u.

1. Što se tiče IZIS-a, kao što sam naveo u blogu, informaciona bezbjednost je loša, niz potencijalnih propusta (koristim riječ potencijalni jer ne znam arhitekturu sistema, ne znam detalje o sistemu) su doveli do ove sajber katastrofe ako to možemo tako nazvati. Međutim, u ovom momentu sa sigurnošću mogu reći da izjave koje su dali gore navedeni "IT stručnjaci" su netačne i podaci građana Republike Srpske (lični i zdravstveni, odnosno posebni) se ne prodaju u ovom momentu na darkweb-u, nego se prodaju pristupni podaci za IZIS - i to smo apsolvirali.

2. MojKarton.com je zapravo servis IZIS-a, pa je to sve povezano.

Za 1. i 2.: Sudeći po tome kakve sam podatke pronašao, hakeri su imali pristup IZIS-u i mogli su kroz sistem izvlačiti podatke, samo je pitanje da li su mogli povući cijelu bazu a neki način itd. Uostalom, da li su povukli podatke to treba FZO, IZIS (MMSCode i drugi koji su razvijali i održavali sistem) i MUP da utvrdi kroz istragu, odnosno kroz analizu logova (serverskih, aplikativnih event logova, db logova - posebno povezani sa podacima).

3. PURS
Imaju neke izjave u vezi PURS. Bili su čak i gostovali na RTRS-u, neko iz njihovog IT-a, nije toliko tehnički pričao.
Link: https://www.youtube.com/watch?v=X2H7GmBaGKo
Link vijesti: https://www.nezavisne.com/novosti/drustv...stu/809228

Međutim, ovo nije bilo hakovanje PURS, nego su to pojedinci hakovani što smo već apsolvirali u prethodnim komentarima, znači tipa knjigovođa je hakovan, i svi njegovi nalozi između ostalog i PURS nalozi.

Ovde se desio isti scenario, od istog izvora je krenulo. Ponovo imamo netačnu informaciju da se podaci korisnika PURS prodaju na darkweb-u jer je PURS hakovan, nije PURS, nego pojedinačni korisnici.

---

Želim da dodam za kraj, izuzetno je važno da ovaj forum zadrži formu tehničkog foruma, a ne političkog i da se ne bavimo "špekulacijama" nego informacijama (provjerenim).

[kernel_priest]

Podaci se znaci ne prodaju vec su dostupni
Izjava za PURS nema veze samnom, izjava za IZIS ima sa BN TV - Branko je stavio da sam ja u pitanju, Ivan je utvrdio da nema mog imena.
Budi ljubazan skloni moje ime iz tekstova "vladimir cicovic i 4 specijalista"

Novinar je mogao preuzeti dan ranije ili kopirati moju izjavu, pomjesati je sa drugim izjavama i slicno i oblikovati postojecu. Ja sam objavio na tviteru sve info i naravno da je svima vidljivo. 

Za kraj posto necemo o politici - evo skrinshoot gdje on tvrdi da sam dao izjavu a nisam i gdje me optuzuje.

Drugarsko upozorenje ne postoji - covjek je presao granice.

Podaci VJEROVATNO IZIS-a su procurili, ransomware grupe nisu humanisti.

Takodje obratite paznju gdje on potvrdjuje da radi za IZIS/FZO dok je u blogu stavio:
"Budući da nemam nikakve nadležnosti, niti sam pripadnik bilo kog istražnog organa, analizu zasnivam samo na javno dostupnim informacijama i na meni ustupljenom materijalu. Prije davanja izjave koju sam dao prije dva dana za informativni portal Capital.ba, redakcija mi je ustupila screenshot poruke napadača, koju zbog bojaznosti da mogu ugroziti istragu koju vodi MUP RS, ne mogu objaviti u cjelosti." 

odakle mu informacije da je spomenuti ss dokaz? Znaci da covjek radi kao sto je rekao za FZO i IZIS.

[1van: Privremeno uklonjena privatna prepiska]

[1van]

Ne sviđa mi se gde ide ova diskusija, ne pričamo o tehničkim stvarima već ko je šta rekao i prelazi se na lično nivo. Izgleda kao jedan veliki nesporazum koji su napravili mediji. Zaključaću temu privremeno, dok ne razmislimo svi malo. Hvala na razumevanju.

P.S. Možete slobodno da otvorite teme posebno za svaki slučaj i da nastavimo čisto tehničku diskusiju.