Domnul.Do

In anul 2011, in Olanda 2 incidente de securitate majore au devenit publice: cazul DigiNotar(1) si o vulnerabilitate in cardul lor pentru transportul public(2). The National Cyber Security Centre (NCSC) din Olanda a colaborat cu sectoare importante, precum sectorul telecomunicatiilor si sectorul financiar pentru a crea un ghid de tip "Responsible disclosure". Succesul acestui ghid se poate observa si prin participarea unor banci olandeze in aceste programe precum: SNS Bank, ING, NN si Regio Bank. In general exista o problema universala cu un astfel de ghid: nu sunt specificate reguli exacte pentru metodologia de raportare. Acest lucru este evidentiat in articolul "Instagram's Million Dollar Bug"(3), mai exact prin acest citat: "There is no rule which states what to do when a vulnerability is discovered". Doresc sa creez un ghid specific aplicatiilor web (care include si domeniu embedded devices) transparent si dinamic in colaborare cu sectorul public, privat si cel civic. Pentru a intelege mai exact, voi oferi un exemplu: Daca exista un SQL injection intr-o aplicatie web, pentru demonstratia conceptului se va trimite doar @@version . Un acord comun legal pentru a valida conceptul si pentru a pastra integritatea database-ului. Doresc prin acest ghid urmatoarele: -capacitatea societati de a se apara in domeniul digital, -stimularea securitati cibernetice in Romania, -parteneriate pe plan international (CERT-*, NCSC-NL), -angajarea mai usoara a persoanelor care sunt in domeniu sau unui internediar, La acest ghid voi atasa o platforma in care voi prezenta printre altele: -cerintelor pentru a sustine un asemenea program, -standarde precum ISO 30111 sau ISO 29147, Totodata prin acesta platforma, voi comercializa persoanele din Romania care au contribuit la securitatea cibernetic internationala (Bogdan Alecu(4), Dragos Gaftoneanu(5)) cat si celor care sunt implicati activi in acest domeniu (Daniel Bugarin(6)). Am decis sa postez public proiectul meu deoarece imi doresc transparenta si prin aceasta metoda puteti observa feedback-ul comunitati. Referinte: (1) - https://threatpost.com/final-report-diginotar-hack-shows-total-compromise-ca-servers-103112/77170/ (2) - http://www.proxmark.org/files/Documents/13.56%20MHz%20-%20MIFARE%20Classic/Reverse_engineering_the_memory_layout_of_the_OV-Chipkaart.pdf (3) - http://www.exfiltrated.com/research-Instagram-RCE.php (4) - http://www.pcworld.com/article/246528/remote_sms_attack_can_force_mobile_phones_to_send_premiumrate_text_messages.html (5) - http://news.softpedia.com/news/Anti-Keylogger-Application-KeyScrambler-Is-Ineffective-Expert-Says-327441.shtml (6) - "Locul 6 in Lume" - http://www.wechall.net/ranking Va multumesc pentru atentia acordata!

Site-ul GovITHub a fost update-at. Aceasta informatie am dat din greseala peste ea, poate alti nici nu stiu. Se poate imbunatati comunicarea: un fel de "EU Cookie Consent Law PopUp", unde arata: "Editat ultima data 21.08.2016 : Adaugare intrebari noi si un partener" , un fel de ChangeLog.

Eu voi face acest thread un alt mijloc neoficial de comunicare cu GovITHub. Doresc sa fie implicate cat mai multe persoane din diferite domeni si cu alte mentalitati. Daca doream sa adun oameni care au aceasi idei ca mine si sa exclud pe ceilalti cu opini diferite, imi faceam un "partid politic". Nu doresc sa citesc dezbateri deoarece timpul este limitat pana cand incepe demararea proiectului. Nu stiu daca vom mai avea aceasta ocazie. Incerc sa vad cu ce poate sa vina fiecare sa contribuie la un thread constructiv. Iti multumesc pentru raspunsurile tale, daca ne poti spune, tinand cont de confidentialitatea proiectelor tale, pentru viitori voluntari la ce trebuie sa fie atenti? Sau cum pot decurge lucrurile in asemenea proiecte? @j1ll2013 si @hades : Sa luam un context fictiv: Guvernul este nou si neutru, sunteti direct raspunzatori pentru aceste proiecte. La ce trebuie sa fiu eu, ca un membru atent? Sau care ar fii practicile bune pentru o abordare mai usoara? Nu trebuie sa raspundeti dar doresc sa aud opinile voastre cat si a celorlalti care citesc acum acest reply.

Am vazut, se poate comunica foarte bine cu domnul consilier Victor Ciobanu. Dar mai mult doresc o transparenta in acest proces de comunicare, nu doresc sa fie "spam-at" cu posibil aceleasi probleme. Ma gandesc la principiu GitHub: daca sesizezi o problema, o anunti public, astfel elimini sa fie aceasi problema anuntata de mai multe ori. Pe partea de server side pentru platformele GovITHub cat si a celorlalte platforme Gov este: -majoritatea platformelor din Gov sunt pe wordpress, care este independent. Idee mea este sa se faca un assets site, un fel de centralizator, unde sa fie hostate diferite frondend framework-uri, js-ul sau tot ce tine de un frontend. Nu este vorba de spatiu dar de propagare. Daca intr-un viitor poate se doreste un update la jquery (?), sa modifice direct din assets site si automat platformele vor avea un update la jquerry (cand expira cache-ul) -alternativa mea la wordpress este Jekill (este static), dar a mai fost folosit si in domeniul public,in campania lui Barack Obama. Backend-ul la Jekill sa fie in acel assets site prin APIs

Recunosc acest lucru, am deviat de la subiect. Voi aduce alte subiecte de discutie, precum platforma GovITHub (UI/Ux) deoarece sunt multi developeri in aceasta comunitate. Nu am cunostiinte in frontend dar vreau sa contribui la acest subiect, prima impresie pentru link-ul http://ithub.gov.ro/formular-de-aplicatie/ este: -contextul este in limba romana, sa se modifice si "SELECT IMAGE", "SELECT FILE(S)" si "SUBMIT" tot in limba romana. -la "Fotografia ta de profil *" sa fie specificat ce extensii se doresc: (jpg, png, bmp, etc) si dimensiunea maxima.

Dhs.gov (05.12.2012 .pdf) , numarul 32, deoarece a fost prinsa stirea de cateva adrese "mari".

Nu voi contribui cu parerile mele despre aceasta platforma (conducere si fonduri), dar imi voi spune parerea despre viitoare proiecte (pe plan neutral, strict pe proiect). Daca doriti sa aplicati si sa aveti o legatura cu sectorul public, am adunat urmatoarele informatii: - https://www.ncsc.nl/english/security Feedback-ul o sa vina de la "Ministry of the Interior and Kingdom Relations, Netherlands" dar este foarte bun, te vor intreba daca si remedierea lor este buna. - https://cert.europa.eu/cert/newsletter/en/latest_HallOfFame_.html In general se poate comunica cu CERT-* dar CERT Europa au "HoF". Nu am avut tangenta pana acuma. Am gasit acest articol dar nu are TimeLine. - Mai era si politia (mai exact un departament care se ocupa cu incidente se securitate) din India, dar numai gasesc link-ul. Probabil a fost inchis, poate stiti voi mai multe. Edit: - Daca ati generat o stire importanta pe planul securitati cibernetice, care a fost preluata de adresele "mari", sansa ii mare sa fie publicata in raportul oficial al "US Department Of Homeland Security" la capitolul "Information Technology Sector", pentru luna in care s-a generat stirea. Din propria mea experienta, nu o sa fiti anuntati si numele o sa fie cenzurat. Nu cred ca o sa primiti un raspuns pana in 3 septembrie 2016.

Daca ne vom intalni vreodata sa imi amintesti sa te servesc cu o bere rece si un pachet de tigari. Momentan acest thread pare sa ia contur, avem: un oficial, voluntari, troll si idei politice mai trebuie si un continut de calitate pe care il voi genera zilele urmatoare.

Buna intrebare, momentan nu am nici un fel de legatura cu GovITHub dar pe viitor doresc sa devin un membru. Motivatia mea este ca se poate accelera progresul unui proiect foarte mult prin minister. In trecut am vrut sa implementez o idee de unul singur si nu am reusit, deoarece nu lucrez in acest domeniu si in mediu meu este mai bine platita forta fizica decat forta intelectuala. Sunt persoane care vor sa ajute, dar inca nu stiu cum. Doresc sa unesc cei care au acesi mentalitate intr-un loc.

Un asemenea raspuns vreau sa vad, o parere sincera. Metaforic vorbind: care ar fii un project management ideal? Auditori dupa ce criteri se vor alege? Necesita implicarea cetatenilor? Poate nu avem aceasi idee, dar avem acelasi context.

Exista cazuri in care unele instituti aveau "sonde de forare" pentru bughetul statului in interesul personal, dar pe vremea respectiva nu stiam ce face exact DNA-ul sau ANAF-ul. Acuma povestea este altfel, eu nu consider prin cazurile respective ca guvernul este corupt, eu consider acele cazuri un exemplu ca se face o schimbare, se doreste un guvern mai transparent. Si eu am avut acea fustrare ca totul este in interes personal, dar prea tarziu am observat ca vorbeam singur cu televizorul, deabia acuma stau in picioare si doresc sa contribui la transparenta in partea sectorului public. Am anticipat ca la inceput acest thread va avea dezbateri pe plan politic, nu am nimic impotriva dar sa aiba legatura cu topicul GovITHub. Nu doresc sa faci comparatie dintre Romania si Bulgaria, vreau sa consideri acest articol o idee, nu un proiect. O idee ca o infrastructura se poate schimba, bineinteles ca inceputul este limitat dar este progresiv. Cat despre reply-ul meu: Am gasit acest articol, Bitdefender aparent a organizat un concurs in 18 martie 2009, care era bazat pe voluntari. Nu cred ca scopul concursul era in asa fel organizat incat sa imparte sarcinile catre voluntari, printr-o abordare ierarhica. Il voi publica in acest thread si il voi pune la " Adresă web referinte *" in formularul de aplicare. Aceasta este abordarea mea pentru transparenta proiectului.

@SticKyWoX si @tjt dupa cum am obervat ati dat dovada deja de implicare prin anticipare. Momentan este totul speculativ. Dar incerc sa abordez intrebarea "Vor exista project-manageri?" intr-un alt context: Daca cineva a participat din comunitatea RST, ca voluntar in domeniu IT sau asemanator, care a fost organigrama/structura in care ati lucrat? Pana atunci, voi care ati candidat pentru un post de voluntar, care sunt asteptarile voastre? Cum doriti sa interactioneze cu voi (metodologie)? Voi incerca sa caut si sa iau legatura cu intreprinderi care au implementat un astfel de voluntariat (la nivel mai mic) si sa ne spune o parte din interactiunea lor cu un voluntar.

Cu toti am auzit de platforma GovITHub, dar inca nu ne-am mobilizat sa contribuim/lucram in paralel cu acesta platforma. Ideea mea este sa ca creez acest thread pentru a discuta neoficial diferite aspecte, pareri, imbunatari pe care le putem aduce, cat si filtrarea intrebarilor acelasi care ajung pe email oficial govithub@gov.ro Il voi invoca si pe @Andrei pentru a urmari periodic acest thread pentru a raspunde la unele intrebari sau pentru a duce cuvantul nostru mai departe. Voi evidentia cateva aspecte personale pentru persoanele care se vor implica. Pentru voluntari: -O sa fie o asemanare dintre platforma GovITHub si InternshipGov : Informatii despre membri cat si despre voluntari. Se poate folosi pentru comercializarea firmei sau persoanei implicate. Numele voastru trebuie sa apara in motoarele de cautare (blog, vblog, site) -Daca sunteti considerati o resursa, posibil sa lucrati cu membri indirect: colaborare cu alte departamente din minister. Sa nu v-a asteptati la o proportie de 1 membru cu 10 voluntari, ma gandesc ca sarcinile se vor imparti prin intermediari sau platforme de genul GitHub sau un custom open-source bug tracking software. Pentru bursieri (membri): -Proiectele o sa fie prin administratia publica catre cetateni, ceace inseamna ca o sa fie nevoie de un feedback mare din partea sectorului privat cat si sectorului asociativ. O sa fie nevoie de site-uri sau o alta metoda de contact pentru a primi feedback-ul. -Se doreste o transparenta, dar aici se poate subintelege si transparenta celui implicat in proiect. Abordarea mea o sa fie un blog unde pot sa scriu articole minimale periodice despre progresul/regresul proiectului, dar trebuie tinut cont si de confidentialitate: nu toate informatiile trebuie facute publice. -Costuri minimale, nu incercati sa reinventati roata. Costul proiectului se poate scade prin folosirea servicilor online gratuite, ex: daca aveti nevoie doar de site informativ (frontend) se poate folosi GitHub Pages. Nu este nevoie sa cumparati un domeni + gazduire. -Incercati cu proiectul vostru sa creati locuri de munca, sa atrageti investitori, sa faceti parteneriate cu diferite sectoare publice internationale, etc. Aceasta platforma este pe plan national, ceace inseamna ca are prioritate. -Ajuta-ti voluntari indirect, pentru comercializarea (nu spam) lor prin aceasta platforma. Posibil sa fie voluntati care nu sunt in domeniu IT, da-ti credite acelor persoane pentru a gasi un loc de munca mai usor in acest domeniu sau pentru cei care sunt in domeniu trebuie recunoscuta munca lor intr-un mod public. -Formalitatea, deoarece o sa fie intr-un mediu public. O sa fie multe departamente implicate in aceste proiecte, conduita si regulile de politete o sa fie un "must know" pentru a putea colabora. Pentru cei care vor sa se implice in aceasta platforma prin alte metode, va pot pune la dispozitie cateva exemple care se pot scrie la "Alta varianta": -Resursa:[Firma]:Server Dedicat Daca aveti resurse si vreti sa le donati pe o perioada de >= 6 luni, dar trebuie sa constientizati daca vor aparea probleme legate de server (uptime) trebuie sa suportati aspectul comercial negativ sau posibil si daune (sabotaj)?! -Traducator:[Frima]:Ro-* Nu pot spune multe despre proiectul meu acuma deoarece nu am aplicat inca, dar este lagat de https://www.ncsc.nl/english/security si are ideea de baza in acest articol , mai exact in: Va multumesc pentru atentia acrodata!

Interesant thread.

EU OffTopic: Pe bune?