» »

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre

SeMiNeSanja ::

Me zanima, kako bi AJPES prišel skozi po novem GDPR.

Možne kazni po GDPR so presneto velike - ampak bodo kršitelje pri nas sploh sankcionirali? Ravno neke tradicije na tem področju nimamo. Tudi če bodo silom prilike koga kaznovali, resno dvomim, da bodo kdaj razpisali najvišjo možno kazen, ki jo predvideva GDPR, pa četudi bi nekomu ušli vsi osebni podatki vseh prebivalcev RS.

GDPR stopi v veljavo prihodnje leto - ampak ničesar še nisem videl, kar bi z naše strani implementiralo regulativo. Se bo spet v zadnjih dveh pred rokom neko skrpucalo porinilo skozi parlament, potem pa šokterapija?

Koneckoncev tudi pri nas ne bodo mogli v zakon zapisat nižje maksimalne kazni, kot jih predvideva GDPR (10M€/2%prometa oz. 20M€/4% prometa).
Recimo, da ima AJPES 8M€ letnega prometa, je 2% = 160.000€. Ker je to manj od 10M, je s tem odprta pot do max. kazni 10M€.

Kako se bo potem 'rangiralo' takšen prekršek? Bi bila max. kazen upravičena, če bi prišlo do večjega dumpa baz? Če tega ni, kam po lestvici bi se moralo postaviti kazen? Kakšen bo 'cenik' za različne prekrške?

Kdo bo pri nas sploh pristojen za GDPR? Informacijski pooblaščenec? Ajmene...to bo znalo biti še pestro!

bbbbbb2015 ::

SeMiNeSanja je izjavil:

Me zanima, kako bi AJPES prišel skozi po novem GDPR.
Možne kazni po GDPR so presneto velike - ampak bodo kršitelje pri nas sploh sankcionirali? Ravno neke tradicije na tem področju nimamo. Tudi če bodo silom prilike koga kaznovali, resno dvomim, da bodo kdaj razpisali najvišjo možno kazen, ki jo predvideva GDPR, pa četudi bi nekomu ušli vsi osebni podatki vseh prebivalcev RS.

Kdo bo pri nas sploh pristojen za GDPR? Informacijski pooblaščenec? Ajmene...to bo znalo biti še pestro!


To bo boljkone politična odločitev. AJPES je ostanek SDK in dvomim, da bodo sebi kazni pisali.
Bodo pa z veseljem prišli na kakšno privat firmo, pogledali, če so podatki o bivših zaposlenih še v sistemu.
So?
Globa!

Vsaj kakor stvari kažejo sedaj, Slovenija cvete zaradi izvoza, kamor prispeva predvsem zasebni sektor.

Vendar dvomim, da veliki dobički ostajajo v Sloveniji. Po tej plati je Slovenija podobna Romuniji bolj kot Nemčiji.

krneki0001 ::

Vsi veliki dobički gredo ven. tukaj ostajajo drobtince.

AndrejO ::

Bsph je izjavil:

Bralec, ki bo prebral oba članka bo hitro razumel kaj imam v mislih.

Sem prebral, pa ne vidim kakšne posebne razlike. Samo slog pisanja je drugačen.

Glede na to, da misli tudi ne znam brati ... kaj imaš v mislih?

hruske ::

Bsph je izjavil:

hruske je izjavil:

konspirator je izjavil:

A potem so na Ajpesu lagali ?

.....Strinjava se, da ne bi bilo treba delat bombastičnih naslovov, a medij se vseeno ne more "posvetovat" z AJPES. Medij poroča (na odgovoren način) tako, da daje na voljo razumno količino časa AJPES, da napako odpravi. ......

Najverjetneje je, da je izvajalec nestrokovno opravil svoje delo - da je odpravil napako, na katero je napadalec konkretno pokazal, ni pa opravil pregleda, če se napaka pojavlja še v katerem drugem primeru.


Pozdravljen Hruske, hvala za dobrodošlico :). Podam še svoje mnenje na tvoje odgovore, glede na to da, sem bil ravno izzvan. Zgoraj sem združil dva tvoja posta. Se ti ne zdi, da sta poudarjena dela rahlo kontradiktorna? Koliko ur je pustil S-T Ajpesu da odpravi napako in stestira sistem?


Ugibam, da toliko, kolikor si jih je AJPES vzel, da je spisal nazaj odgovor, da je vse vredu. Če pač rečeš, da je vse v redu, lahko medij pričakuje, da ni več tveganja za vdor. Ampak resnici na ljubo - če tak odgovor dobiš zelo hitro, če torej izvajalec hitro odgovori, da je "popravil" in naročnik hiti odgovarjat, da je luknja zakrpana, težko pričakuješ zahtevani nivo skrbnosti in strokovnosti.

Pri večjih IT firmah je bila do nedavna praksa, da si vzamejo par mesecev, dokler se niso začele koordinirane akcije z Googlom na čelu, kjer se zdaj odzivni časi merijo v dnevih.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

dronyx ::

krneki0001 je izjavil:

Če ti ne vidiš odgovornosti, ostali jo. Če si ti naročnik in je nekdo tretji podizvajalec, moraš izdelek temeljito preveriti. Če tega ne narediš in pride do napake, si ti avtomatsko odgovoren.

Po tej logiki so odgovorni vsi, ki uporabljajo Windows in pri "temeljitem preverjanju" niso odkrili vseh varnostnih lukenj. V praksi ni to tako preprosto.

krneki0001 ::

dronyx je izjavil:

krneki0001 je izjavil:

Če ti ne vidiš odgovornosti, ostali jo. Če si ti naročnik in je nekdo tretji podizvajalec, moraš izdelek temeljito preveriti. Če tega ne narediš in pride do napake, si ti avtomatsko odgovoren.

Po tej logiki so odgovorni vsi, ki uporabljajo Windows in pri "temeljitem preverjanju" niso odkrili vseh varnostnih lukenj. V praksi ni to tako preprosto.


Nope, to kar jaz govorim bi v tem tvojem primeru pomenilo, da smo vsi skupaj napisali specifikacije za windowse in jih poslali na MS ter naročili, da naj windowse po teh specifikacijah za nas izdela.

Opaziš razliko?
Tvoj primer: ti si kupec in si kupil windowse, že narejene
Moj primer: Ti si naročnik in si dal delat windowse po svoji specifikaciji

dronyx ::

Ne, ne opazim bistvene razlike. Saj ni AJPES napisal specifikacije za SQL strežnik.

krneki0001 ::

Če ne razumeš razlike, bom pa tako razložil:
V prvem primeru (tvojem) si ti samo končni kupec že narejenega in dodobra stestiranega izdelka in se lahko samo odločiš ali ga boš ali pa ne kupil. Ni ti ga treba kupit, če nočeš. Stestiraš ga sicer lahko tudi sam.

V drugem primeru pa si ti naročnik in moraš imeti idejo, kaj hočeš. To moraš spravit na papir in predat zunanjim izvajalcem kot specifikacijo. Zunanji izvajalci pa bodo po tej tvoji specifikaciji naredili/napisali vso kodo. Potem ko ti pa dajo to kodo, jo moraš pa ti stestirat v svojem okolju, če vse do zadnje zadeve deluje pravilno. In ko tvoji testerji potrdijo, da vse pravilno deluje, narediš še stresne teste, high load teste, mass teste,... Če imaš pa še vse postavljeno navzven v internet, pa opraviš vsaj še penetration teste, da preveriš da ni prelahko vdret od zunaj. In penetration testi preverjajo tudi SQL injection.


SQL server je pa pač kupljeno orodje. Ker specifikacijo za svoj SQL server lahko tudi napišeš. Samo cena bo noro visoka, zato se raje odločiš za že izdelan produkt.
In heker ni vdrl direktno v SQL server (kot to očitno ti misliš), ampak je dobil dostop preko tega programja, ki ga je izdelala zunanja firma po naročilu ajpesa. Dostop je dobil pa ker je koda napačno napisana.

Zgodovina sprememb…

dronyx ::

krneki0001 je izjavil:

In heker ni vdrl direktno v SQL server (kot to očitno ti misliš), ampak je dobil dostop preko tega programja, ki ga je izdelala zunanja firma po naročilu ajpesa. Dostop je dobil pa ker je koda napačno napisana.

Ja razumem, niso izkoristili ranljivosti samega SQL strežnika, ampak aplikacije, ki jo je razvila neka firma. Še vedno pa trdim, da ne more biti za vse kriv naročnik.Ti nenazadnje naročaš te programe pri zunanjih lahko tudi zato, ker sam nimaš strokovnjakov za to in napišeš samo specifikacije, kaj bi rad da program počne. Taka miselnost pa je pripeljala pri nas do stanja, kjer razne IT firme predajajo naročnikom dobesedno skropucala, ki niso šla niti čez osnovna testiranja. Na drugih področjih ponavadi ni taka praksa. Če ti nekomu prodaš recimo neko stanovanje, ki se mu potem podre na glavo nihče ne trdi, da je kriv kupec, ker ni preveril nosilnosti konstrukcije, temeljev, zvarov itd. Ne me basat!

Zgodovina sprememb…

  • spremenil: dronyx ()

SeMiNeSanja ::

Najbolj žalostno je to, da bi te na SQL injection ranljivost moral opozoriti tudi najbolj diletantski pentest začetnik, tudi tisti najcenejši internetni iz Indije za 50€.

Tako da naj ga bo sram tistega, ki je delal pentest za AJPES in na zadevo ni opozoril.
Če pa je opozoril, AJPES pa ni ustrezno ukrepal, potem si zaslužijo kazen. Škoda edino, da GDPR še ni v veljavi, da bi jo tudi občutili.

hruske ::

Sam se še vedno čudim, da se za gradnjo fizičnih objektov predvideva od izvajalca ločenega nadzornika, za gradnjo IT sistema pa ne.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

krneki0001 ::

dronyx je izjavil:

Ja razumem, niso izkoristili ranljivosti samega SQL strežnika, ampak aplikacije, ki jo je razvila neka firma. Še vedno pa trdim, da ne more biti za vse kriv naročnik.Ti nenazadnje naročaš te programe pri zunanjih lahko tudi zato, ker sam nimaš strokovnjakov za to in napišeš samo specifikacije, kaj bi rad da program počne. Taka miselnost pa je pripeljala pri nas do stanja, kjer razne IT firme predajajo naročnikom dobesedno skropucala, ki niso šla niti čez osnovna testiranja. Na drugih področjih ponavadi ni taka praksa. Če ti nekomu prodaš recimo neko stanovanje, ki se mu potem podre na glavo nihče ne trdi, da je kriv kupec, ker ni preveril nosilnosti konstrukcije, temeljev, zvarov itd. Ne me basat!


Ne razumeš, zelo očitno. Stanovanje je že narejeno, ko ga ti kupuješ. Nič ne moreš spremeniti. Daj obrni zadevo. Ti izdelaš načrt za hišo. Nosilne stene 3x pretanke, plate da se komaj skupaj držijo,... Daš ta načrt delavcem in po tem načrtu naj ti zgradijo hišo.
Potem se pa vseliš vanjo in se ti podre na glavo, ker je bil tvoj design slab.


Ali pa še en primer:
V puškarni naročiš puško po svojih specifikacijah, ti si si zamislil design, ti si si zamislil obliko, ti si si zamislil delovanje. Seveda ti jo naredijo, ker si imel vse urejene papirje in vse specifikacije in še plačal si zadevo.
In ti sedaj prideš na strelišče meriš naprej proti tarči, ustreliš, izstrelek pa ubije nekoga za tabo, ker si narobe dizajniral puško in izstrelek leti v nasprotno smer od merjenja.

Kdo je kriv? Puškarna? Ne, ker so naredili zadevo po tvoji lastni želji, specifikaciji, designu. Ti pa si kriv, ker zadeve nisi stastiral, kako deluje, ampak si se že kr v množici ljudi z njo hotel pokazat.

Zgodovina sprememb…

dronyx ::

@nebivedu: Mojo poanto si povsem zbanaliziral. To, da obstaja možnost SQL vrivanja mora vedeti izvajalec in mora program napisati tako, da ni možno izkoriščati te ranljivosti. To po moje nima veze z "designom" naročnika.

AndrejO ::

Slabe primere si izbral ...

krneki0001 je izjavil:

Ti izdelaš načrt za hišo. Nosilne stene 3x pretanke, plate da se komaj skupaj držijo,... Daš ta načrt delavcem in po tem načrtu naj ti zgradijo hišo.

Pred gradbenega je to gradnja na črno in si potem res za vse kriv sam. Če pa spoštuješ predpise, potem bo kriv projektant, ki je dal gor svojo štampiljko s katero jamči, da je tvoja fantazija varna za uporabo.

krneki0001 je izjavil:

V puškarni naročiš puško po svojih specifikacijah, ti si si zamislil design, ti si si zamislil obliko, ti si si zamislil delovanje. Seveda ti jo naredijo, ker si imel vse urejene papirje in vse specifikacije in še plačal si zadevo.
In ti sedaj prideš na strelišče meriš naprej proti tarči, ustreliš, izstrelek pa ubije nekoga za tabo, ker si narobe dizajniral puško in izstrelek leti v nasprotno smer od merjenja.

Kdo je kriv? Puškarna? Ne, ker so naredili zadevo po tvoji lastni želji, specifikaciji, designu. Ti pa si kriv, ker zadeve nisi stastiral, kako deluje, ampak si se že kr v množici ljudi z njo hotel pokazat.

Dejansko bi bila kriva puškar in/ali tisti, ki je izdal C.I.P. oz. ekvivalentno potrdilo. Puškarji ravno zaradi tega ne delajo "fantazijskih projektov", C.I.P. oz. ekvivalent pa poskrbi, da se ti to ne bo moglo zgoditi.

Standard ravnanja je, da je na voljo dovolj varovalk, da te zaščitijo pred večino neumnosti, če le ne "hvataš krivine". Če pa se izkaže, da te je kdo prinesel okoli, pa bo to tudi tisti, ki bo moral na koncu plačati za svoja dejanja.

dronyx ::

Pri nas smo skoraj prišli do skrajnosti, kjer se izvajalci izgovarjajo, da program ne dela pač zato, ker ni naročnik v specifikacijah napisal "da mora program delati". Banaliziram seveda. In sem že večkrat poslušal sanje ob belem dnevu raznih naših SW firm, ki so imele ambicije, kako bodo s svojimi "uspešnimi" rešitvami za javni sektor prodirale tudi na tuje trge. Kako neki, če imajo pa postavljene tako nizke standarde!? To morda deluje pri nas, v tujini pa zelo težko in tam znajo še iztožiti kakšne visoke zneske zaradi povzročene škode iz malomarnosti in nestrokovnosti.

V tem primeru Ajpesa bi (kakor sem si jaz ustvaril sliko) moral zunanji izvajalec prevzeti odgovornost za napako. Drugo pa je seveda odkrivanje strokovnosti tistih, ki so izvajali varnostne preglede in to spregledali. Verjetno obstaja dokumentacija, kaj se je pregledovalo, s kakšnimi orodji, kaj se je ugotovilo, kdo je ugotavljal itd. da se da iz tega naučiti kakšno lekcijo za v prihodnje. Napake se dogajajo. Prav pa je, da se na napakah tudi kaj nauči in popravi sistem tako, da je možnost ponovitve minimizirana.

Zgodovina sprememb…

  • spremenil: dronyx ()

Gregor P ::

dronyx je izjavil:

Pri nas smo skoraj prišli do skrajnosti, kjer se izvajalci izgovarjajo, da program ne dela pač zato, ker ni naročnik v specifikacijah napisal "da mora program delati". Banaliziram seveda.
... ni tako daleč od resnice; tudi moje izkušnje so take, da če kot naročnik kaj spregledam, me skoraj noben ne bo opozoril na to, bom pa to napako potem drago plačal (ker ima naknadno popravljanje, dodajanje nekaj za nazaj pač svojo ceno). Lahko seveda tudi rečemo, da je to pač moje delo, naloga in posledično tudi moja krivda.
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

dronyx ::

Gregor P je izjavil:

Lahko seveda tudi rečemo, da je to pač moje delo, naloga in posledično tudi moja krivda.

Tu gre za partnerski odnos in zame korekten odnos pomeni, da te izvajalec na očitne napake ali pomanjkljivosti tudi opozori oziroma predlaga kaj naredit. Druga opcija pa seveda je da vsako napako naročnika bogato kasiraš z raznimi aneksi, dodatnimi deli, popravki...Ampak dolgoročno se to ne bo obneslo.

krneki0001 ::

dronyx je izjavil:

@nebivedu: Mojo poanto si povsem zbanaliziral. To, da obstaja možnost SQL vrivanja mora vedeti izvajalec in mora program napisati tako, da ni možno izkoriščati te ranljivosti. To po moje nima veze z "designom" naročnika.


Daj preberi moje poste v tej temi, prosim.

Naročnik je ajpes! Ajpes določi na kakšni platformi mora zadeva delat. Ajpes določi po kakšnih standardih mora zadeva delat. Ajped napiše specifikacije, kako mora zadeva delat. Programiranje pa je delo izvajalca. Torej SQL injection je napaka izvajalca.

Ampak tudi če izvajalec pol stvari pozabi narest, pusti v sistemu luknje večje od tistih v švicarskem siru, če naredi backdoor zase, mora naročnik stvari testirat in mu po opravljenem testiranju predati zapisnik o testiranju, ter šele nato, ko so vsi testi potrjeni, stvar dati v produkcijsko okolje.
Hkrati, ko pa že dela vse te teste, pa opravi še pentest, da izključi ranljivosti svojega sistema.

dronyx ::

krneki0001 je izjavil:

Ampak tudi če izvajalec pol stvari pozabi narest, pusti v sistemu luknje večje od tistih v švicarskem siru, če naredi backdoor zase, mora naročnik stvari testirat in mu po opravljenem testiranju predati zapisnik o testiranju, ter šele nato, ko so vsi testi potrjeni, stvar dati v produkcijsko okolje.
Hkrati, ko pa že dela vse te teste, pa opravi še pentest, da izključi ranljivosti svojega sistema.

Ja, in hkrati če že naročnik dela vse te teste naj še sproti zakrpa napake v programski kodi, popravlja user interface in še kaj, mar ne? Da bi lahko vse to kar ti pišeš odkril, rabiš potem ali imeti zaposlenih še cel kup lastnih strokovnjakov, da vse to testirajo (tu ne govorim o testiranju funkcionalnosti aplikacije, kar mora seveda preveriti naročnik, ker on ve kaj želi da program dela), ali pa novo naročilo pri neki firmi, da izvaja "nadzor", testiranja itd. Kot rečeno, tako stanje, kjer izvajalec nima praktično nikakršne odgovornosti je pri nas očitno zelo splošno sprejeto in verjamem da je mnogim to v interesu, ker s šalabajzerskim delom dobro živijo in vlečejo lepe denarje.

Tako kot ti razmišljaš praktično firma brez zaposlenih IT strokovnjakov ne more ničesar naročit s področja IT, ker sploh ne morejo preveriti, ali je strežnik postavljen strokovno, so pravilno skonfigurirali razne servise itd. in za povrh sploh nikdar ne moreš reči, da te je nekdo, ki nima pojma preprosto "nategnil".

Zgodovina sprememb…

  • spremenil: dronyx ()

AndrejO ::

krneki0001 je izjavil:

Ampak tudi če izvajalec pol stvari pozabi narest, pusti v sistemu luknje večje od tistih v švicarskem siru, če naredi backdoor zase, mora naročnik stvari testirat in mu po opravljenem testiranju predati zapisnik o testiranju, ter šele nato, ko so vsi testi potrjeni, stvar dati v produkcijsko okolje.
Hkrati, ko pa že dela vse te teste, pa opravi še pentest, da izključi ranljivosti svojega sistema.

In na primeru AJPES do sedaj razpoložljivi podatki pravijo, da so dali stvar (tudi) varnostno preveriti in, da so tudi naročili izvedno pen-testa. Ker tega niso znali sami, so to delo naročili pri tretjem izvajalcu, ki ni bil dobavitelj.

In, ker se hudič skriva v malenkostih, bi bilo dobro videti kaj se je za preverbo res naročilo, kakšen pen-test se je sploh naročil in kakšne so bile ugotovitve teh preverjanj.

krneki0001 ::

dronyx je izjavil:

Ja, in hkrati če že naročnik dela vse te teste naj še sproti zakrpa napake v programski kodi, popravlja user interface in še kaj, mar ne?


Zakaj? Če nekaj naročiš, moraš podpisat primopredajni zapisnik, da vse deluje v skladu s tem kar si naročil.
Lahko kar podpišeš in upaš, da je izvajalec res naredil to, kar si mu naročil, lahko pa stestiraš, če resnično deluje tajko kot si mu naročil.

Če se pojavijo napake, pač produkt zavrneš in ga mora izvajalec popravit, dopolnit,...



dronyx je izjavil:


Da bi lahko vse to kar ti pišeš odkril, rabiš potem ali imeti zaposlenih še cel kup lastnih strokovnjakov, da vse to testirajo (tu ne govorim o testiranju funkcionalnosti aplikacije, kar mora seveda preveriti naročnik, ker on ve kaj želi da program dela), ali pa novo naročilo pri neki firmi, da izvaja "nadzor", testiranja itd.

Seveda, lahko pa naročiš testiranje pri neki tretji neodvisni firmi, ki bo preverila v tvojem imenu. Ampak Ajpes jih ima sam dovolj zaposlenih.

dronyx je izjavil:


Kot rečeno, tako stanje, kjer izvajalec nima praktično nikakršne odgovornosti je pri nas očitno zelo splošno sprejeto in verjamem da je mnogim to v interesu, ker s šalabajzerskim delom dobro živijo in vlečejo lepe denarje.

Ti kot naročnik lahko detaljno napišeš v pogodbi kaj se pričakuje od dogovora in kaj se zgodi, če se ena stran dogovora ne drži, ter kako visoki so penali.
V tem primeru, o katerem debatiramo, je navzven kriv ajpes kot naročnik, ker ni dodobra stestiral ali dal stestirat vsega skupaj.
Ampak kakšno pogodbo pa ima ajpes z izvajalcem je pa drugo. Upam da bo tudi ajpes kaj iztržil iz pogodbe z izvajalcem, ker je ven udarila izvajalčeva napaka in da bodo penali dovolj visoki, da ta izvajalec te napake ne bo dvakrat ponovil.


dronyx je izjavil:


Tako kot ti razmišljaš praktično firma brez zaposlenih IT strokovnjakov ne more ničesar naročit s področja IT, ker sploh ne morejo preveriti, ali je strežnik postavljen strokovno, so pravilno skonfigurirali razne servise itd. in za povrh sploh nikdar ne moreš reči, da te je nekdo, ki nima pojma preprosto "nategnil".


Spet ne drži. Zato pa imaš zunanje firme ki te stvari postavijo in s certifikati in pogodbo stojijo za tem, da so naredili kvalitetno. Če niso dobro postavili in se pokažejo napake, si na zunaj še vedno ti kriv. Kako imaš pa ti s to firmo sklenjeno pogodbo je pa tvoja stvar. Upam da imate dobre in da znate za svojo rit poskrbet, ter si jo zaščitit.

dronyx ::

Ne bom polemiziral, mi je pa takšno razmišljanje pač tuje. Po tej logiki pojem "skrite napake" ne obstaja, ne obstaja obligacijski zakon itd. Ko naročnik enkrat potrdi primopredajni zapisnik je gotof in kar gre narobe je sam kriv, ker ni dovolj testiral ali najel dosti dobre firme, ki bi bila sposobna izvesti vse možne teste, odkriti vgrajena stranska vrata v programih itd.

Ni pa seveda dvoma, da je spletna stran od Ajpesa in da je Ajpes odgovoren za svojo spletno stran.

Zgodovina sprememb…

  • spremenil: dronyx ()

krneki0001 ::

dronyx je izjavil:

Ne bom polemiziral, mi je pa takšno razmišljanje pač tuje. Po tej logiki pojem "skrite napake" ne obstaja, ne obstaja obligacijski zakon itd. Ko naročnik enkrat potrdi primopredajni zapisnik je gotof in kar gre narobe je sam kriv, ker ni dovolj testiral ali najel dosti dobre firme, ki bi bila sposobna izvesti vse možne teste, odkriti vgrajena stranska vrata v programih itd.

Ni pa seveda dvoma, da je spletna stran od Ajpesa in da je Ajpes odgovoren za svojo spletno stran.


To kar ti govoriš, velja za majhne firmice. Eno veliko javno podjetje z milijoni ključnih podatkov, od katerih so odvisna lahko tudi življenja ljudi, si tega da nebi dovolj dobro stestiral tako funkcionalnost kot varnost ne more privoščit.

Poglej primer: Samo en majhen del so transakcijski računi z blokacijami, ki jih vodi ajpes. Sedaj pa nekdo udre v sistem in tvojemu računu (in še par tisočim zraven) doda blokado (eno samo polje v tabeli). Blokiran račun pomeni, da bodo vse banke dobile ta račun v sistem (vsako noč se namreč vse spremembe pošljejo vsem bankam). Torej dobil boš nakazilo, izplačat pa ti denarja ne bodo smeli, ker bo račun blokiran. Ker je bil nezaznan vdor, tega nihče ne ve in vsakdo bo rekel, da imaš pač blokiran račun in si si sam kriv. Ker vsi delajo po liniji najmanjšega napora, ti na nobeni banki denarja ne bodo izplačali, ker moraš ti dokazat, da računa nimaš blokiranega. Ker se pri nas vse premakne šele v treh do štirih tednih, boš ves ta čas brez denarja, ob polno živcev z lačnimi otroci in tečno ženo doma.

Pa je to samo en zelo majhen a zelo izvedljiv del vsega kar ajpes dela.

Kaj če se nekomu sprdne in v centralnem registru malo pomeša davčne številke in emšote? Pobriše firme iz registra ali pa ti obesi kakšne izvršbe na tvoje ime?

Oprosti, ampak ti podatki so preveč ključni, da jih nebi imel vsaj 99% zavarovane. In SQL injection je resnično napaka, ki se v takem primeru nebi smela pojaviti.

V končni fazi pa vse to testiranje in zunanje izvajalce plačamo itak davkoplačevalci, zato lahko zahtevamo, da tako tudi naj bo v resnici!

Zgodovina sprememb…

Horejšio ::

Ker gre za javna naročila zmaga najcenejši ponudnik s študenti, ki ne poznajo osnov. Zanima me le ali je avtor opozoril odgovorne na ranljivost pred objavo članka.

krneki0001 ::

Obvestil jih je slo-tech. Avtor se ni upal, ker bi ga zelo verjetno demonizirali, pa policijo mu na vrat obesili in ga vlačili po sodiščih.

Za njih ne vem, vendar če bi bil jaz na mestu direktorja na ajpesu, bi se potrudil z vsemi močmi, da bi dobil prosto delovno mesto in takega človeka vzel v službo. Pa dobro bi ga plačal, da ne bo drugam pobegnil. Ker tako znanje vedno rabiš.

Zgodovina sprememb…

Horejšio ::

Strokovnost avtorja je na mestu. Sprašujem o morali...

poweroff ::

Ne vem a se norca delate ali kaj?

Kot rečeno - Ajpes SMO PRED OBJAVO OBVESTILI o ranljivosti. Pred objavo je AJPES POTRDIL, da so ranljivost ODPRAVILI.

Povedano že ene 30x, pa še vedno ista vprašanja.
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

Ne vem a se norca delate ali kaj?

Kot rečeno - Ajpes SMO PRED OBJAVO OBVESTILI o ranljivosti. Pred objavo je AJPES POTRDIL, da so ranljivost ODPRAVILI.

Povedano že ene 30x, pa še vedno ista vprašanja.

Boš moral ponoviti vsake 3 poste....
Mogoče bo potem počasi jasno.

Invictus ::

Horejšio je izjavil:

Strokovnost avtorja je na mestu. Sprašujem o morali...

Mislim da si na napačnem forumu...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • predlagal izbris: matijadmin ()

Mesar ::

Horejšio je izjavil:

Strokovnost avtorja je na mestu. Sprašujem o morali...


Kakšni morali?
Your turn to burn!

Zgodovina sprememb…

  • predlagal izbris: matijadmin ()

estons ::

Mimogrede, za tiste, ki javkajo o obveščanju in sodelovanju z AJPESom (čeprav je AJPES potrdil S-Tju, da so ranljivost odpravili pred objavo): Google - Once Again - Publicly Discloses Windows Bug After Microsoft Fails to Patch It

kuglvinkl ::

seveda. tisto je razvit svet, pri nas je treba vse zataskat. GBX, objavi prosim svoje "misli" glede eticnega razkrivanja na nekem krozku, ki ga imate nekje. posnetek mislim.

pa ker si relevanten subjekt, se porocilo o tem, kaj se je zgodilo na Ajpesu. hvala.
Your focus determines your reallity

Zgodovina sprememb…

krneki0001 ::

Lahko pa kar v to temo.

jype ::

estons> Google - Once Again - Publicly Discloses Windows Bug After Microsoft Fails to Patch It

Responsible disclosure je mogoč izključno v primeru, da pri tem sodelujeta obe strani. Če naletiš na napako v AJPESovem spletnem portalu, ki omogoča nepooblaščen dostop do tvojih osebnih podatkov, lahko v skladu s trenutno zakonodajo _upaš_ (in nič več), da bo luknja zakrpana, preden kdo tak dostop zlorabi.

poweroff ::

To kar je naredil Google je že v redu. Ko se gre pa za domače zgodbe, moramo biti pa vljudno tiho, da se komu ne zamerimo.
sudo poweroff

krneki0001 ::

Pa ravno domače zgodbe bi morale biti veliko bolj transparente in JAVNE! Vsi davkoplačevalci imamo na ajpesu podatke in vsi davkoplačevalci plačujemo zato, da ajpes te podatke varno hrani, zato ti podatki ne smejo biti "javno" na vpogled vsem svetu.

Horejšio ::

Kazenski zakonik RS in vdori v računalniški sistem

Na tej strani so navedeni členi Kazenskega zakonika RS (uradno prečiščeno besedilo KZ-1-UPB2), ki se posredno ali neposredno nanašajo na vdore v računalniški sistem ali na nepooblaščeno spreminjanje podatkov.

Zloraba osebnih podatkov, 143. člen

(1) Kdor brez podlage v zakonu ali v osebni privolitvi posameznika, na katerega se osebni podatki nanašajo, osebne podatke, ki se obdelujejo na podlagi zakona ali osebne privolitve posameznika, posreduje v javno objavo ali jih javno objavi, se kaznuje z denarno kaznijo ali zaporom do enega leta.

(2) Enako se kaznuje, kdor vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek.

(3) Kdor na svetovnem medmrežju ali drugače javno objavi ali omogoči drugemu objavo osebnih podatkov žrtev kaznivih dejanj, žrtev kršitev pravic ali svoboščin, zaščitenih prič, ki se nahajajo v sodnih spisih sodnih postopkov, kjer po zakonu ali po odločitvi sodišča ni dovoljena prisotnost javnosti ali identifikacija žrtev ali zaščitenih prič ter osebnih zapisov o njih v zvezi s sodnim postopkom, na podlagi katerih se te osebe lahko določi ali so določljive, se kaznuje z zaporom do treh let.

(4) Kdor prevzame identiteto druge osebe ali z obdelavo njenih osebnih podatkov izkorišča njene pravice, si na njen račun pridobiva premoženjsko ali nepremoženjsko korist ali prizadene njeno osebno dostojanstvo, se kaznuje z zaporom od treh mesecev do treh let.

(5) Kdor stori dejanje iz prvega odstavka tega člena tako, da posreduje v javno objavo ali javno objavi občutljive osebne podatke, se kaznuje z zaporom do dveh let.

(6) Če stori dejanje iz prejšnjih odstavkov tega člena uradna oseba z zlorabo uradnega položaja ali uradnih pravic, se kaznuje z zaporom do petih let.

(7) Pregon iz četrtega odstavka tega člena se začne na predlog.

SeMiNeSanja ::

@Horejšio - kazenski zakonik OMOGOČA nekemu oškodovancu, da sproži kazenski pregon zoper osebo, ki je 'čačkala' po njegovem sistemu.

Vprašanje pa je, ali to hočeš ali ne.

V primeru, da je nekdo 'dobronamerno' malo požgečkal in videl, da se imaš stvari pošlihtane na način, na katerega si jih ne želiš imeti, si mu lahko hvaležen, da te na to opozori. Tudi če potem še malo povrta, da bi videl, kako globokosežna je tista pomanjkljivost in ti pri tem ne naredi nobene škode, še ni razlog, da ga boš ovadil - po moralni plati.

To je tako, kot če stric na ulici opozori mulčka, da ima odprt šlic. Mulc lahko reče hvala za opozorilo in si ga zapne - ali pa se začne dreti, da je stric pedofil, ker ga gleda v razporek na hlačah.

Stric bo zaradi dretja v zadregi, ne bo pa kazensko preganjan. Pri varnostnem raziskovanju pa se ti lahko zgodi, da bo tisti, ki ga dobronamerno opozoriš nehvaležno sprožil kazenski pregon, kar je za moje pojme nemoralno, a kaj ko imamo polno nemoralnosti okoli nas.

Citiranje kazenskega zakonika v tem primeru ni na mestu, češ da je treba nekoga obesiti za prvo drevo. Še več bi bilo treba takih pogumnežev, da bi na odgovoren razkrili napake - predenj jih odkrijejo tiste prave barabe, katere pa JE potrebno preganjati z zakonikom v roki.

AndrejO ::

Horejšio je izjavil:

Kazenski zakonik RS in vdori v računalniški sistem

Na tej strani so navedeni členi Kazenskega zakonika RS (uradno prečiščeno besedilo KZ-1-UPB2), ki se posredno ali neposredno nanašajo na vdore v računalniški sistem ali na nepooblaščeno spreminjanje podatkov.

Zloraba osebnih podatkov, 143. člen

Bolj relevanten je 221. člen: "Napad na informacijski sistem".

Horejšio ::

Zgornje besedilo mejte pred sabo, predno se podate hekat. Sem pa vesel,
da nekdo poišče luknje in pove da to ni ok. Pa z veseljem bom sodeloval, če bom imel priložnost :)

opt out please.

Zgodovina sprememb…

  • spremenilo: Horejšio ()

poweroff ::

3. odstavek - ... kdor je z malomarnostjo omogočil... ;)

Pa 283. člen je tudi relevanten.
sudo poweroff

AndrejO ::

Je na temo AJPES-a že kaj novega ali še vedno mencajo in upajo, da bo svet na njih pozabil?

Za posladek, pa je tukaj pojasnilo Cloudflare o zelo resnem varnostnem incidentu objavljenem ... pazi to ... v manj kot tednu dni po odkritju.

Kdaj lahko pričakujemo kaj podobnega od AJPES?

krneki0001 ::

Vse gre pod preprogo. Nič ne bo poročil, ker nimajo jajc.

poweroff ::

Cloudfare:
We are grateful that it was found by one of the world's top security research teams and reported to us.


Tole bi zadostovalo.

Cloudfare je tudi detajlno opisal napako ter kako so jo analizirali in odpravili. Ter kaj so storili na področju preventive.
sudo poweroff

AndrejO ::

Ah tisti "grateful" je "lip service". Bistveno je vse ostalo: identifikacija vzrokov, izravnalni ukrepi za odpravo ali zmanjšanje tveganj. Dare I say, "transparentnost"?

Zgodovina sprememb…

  • spremenil: AndrejO ()

krneki0001 ::

Pri nas ne boš nikjer našel take transparentnosti.

AndrejO ::

Morda se tudi to še spremeni. Tudi drugje to dolgo časa ni bila praksa, sedaj pa se zdi, da postaja "varnost" ena izmed zadev, ki jo potrošniki in državljani vedno pogosteje opazijo in terjajo.

poweroff ::

Ja, je lip service. Ampak na eni strani imaš javno izraženo zahvalo, na drugi strani pa copy-paste kazenskega zakonika. :|
sudo poweroff

MrStein ::

AJPES je bil dne 8.2.2017 v večernih urah opozorjen na varnostno ranljivost novega spletnega portala, ki je verjetno posledica obsežne nadgradnje, ki smo jo izvajali v drugi polovici preteklega leta, objavili pa v januarju 2017. Ranljivost je odkril usmerjen, načrtovan in dobro organiziranim napad strokovnjakov za informacijsko varnost na spletni portal AJPES. Načrtovan je bil tudi čas napada (na dan kulturnega praznika). Razvijalci in sistemski skrbniki so grožnjo zaznali v popoldanskih urah, kljub temu pa so v kratkem času (v večernih in jutranjih urah) prepoznano ranljivost tudi odpravili. V preiskavo okoliščin in obsega incidenta, ki je še v teku, sta vključena urad Informacijskega pooblaščenca RS in SI-CERT. Nadaljnji ukrepi in sporočila za javnost bodo sledili ugotovitvam preiskave incidenta.

Doslej nismo zaznali indicev niti konkretnih podatkov, ki bi kazali na to, da bi dejansko prišlo do nedovoljenega prevzema podatkov ali zlorabe osebnih podatkov iz podatkovnih zbirk, ki jih upravlja AJPES. Po doslej znanih informacijah je bil namen napada opozoriti institucije javnega sektorja na ranljivosti v programski opremi (odgovorno razkrivanje - responsible disclosure).


Kje je tu citat kazenskega zakonika?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369130165 (95398) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20180531 (63085) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13952861 (42998) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432214 (22521) Furbo

Več podobnih tem