Novice » Varnost » AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre
Primoz ::
In objavil dopolnitev. Ker sedaj končno razumem kaj te moti.
Zgodovina sprememb…
- spremenil: Primoz ()
GBX ::
Sicer pa bodo stvari verjetno v nekaj letih tako ali drugače postavljene na svoje mesto. Direktiva NIS je avgusta lani stopila v veljavo in ura za vzpostavitev dejanskega in ne samooklicanega CSIRT že teče. Prav zanima me, kdo bo prvi predstojnik. Kandidatov izgleda ne manjka.
BTW, statut Arnesa in ustanovni akt sta v spreminjanju (prenos pristojnosti za nacionalne storitve in DID iz MIZŠ na MJU), sprejeta je bila Strategija kibernetske varnosti RS, ki določa SI-CERT kot nacionalni odzivni center, UVTP postaja strateški organ na tem področju, operativno delovanje pa ostaja na SI-CERT in ta še naprej del javnega zavoda Arnes (z ločenim upravljanjem in ločenim financiranjem). SI-CERT je kot nacionalni odzivni center tudi že uradni član omrežja CSIRT po NIS direktivi. In nismo edini, kjer nacionalni CERT != government CERT, tudi ne edini, kjer se to nahaja v NREN. Imaš pa tudi druge rešitve.
Seveda pa se lahko v bodočnosti stvari spremenijo, upam pa da na podlagi strokovnih argumentov in analiz in ne na podlagi trenutnih interesov po novih položajih. Cybersecurity je namreč postal sexy.
V informacijo: https://cert.si/si-cert-2017-01/
Zgodovina sprememb…
- spremenil: GBX ()
Primoz ::
Zgodovina sprememb…
- spremenil: Primoz ()
Primoz ::
Ker očitno Ajpes ja (do stopnje užaljenosti), Telemachova elektronska pošta ne (zato!), ... na strani niste imeli nič (razen za "žrtve"), dokler niste danes napisali da za Ajpes to počnete.
GBX ::
Jaz z veseljem začnem ljudi, ki nam pošiljajo zanimive stvari, pošiljat k vam, če boste kdaj uspeli jasno povedat v katerih primerih in za koga to delate.
Ker očitno Ajpes ja (do stopnje užaljenosti), Telemachova elektronska pošta ne (zato!), ... na strani niste imeli nič (razen za "žrtve"), dokler niste danes napisali da za Ajpes to počnete.
Obravnavamo vse prijave, ki vključujejo sisteme v Sloveniji. Če ti nimaš podatka o tem, ali smo kakšen primer obravnavali, še ne pomeni, da ga nismo in hitro lahko sklepaš napačno. Kot tudi takrat, ko meniš, da gre za užaljenost. Ne. Gre samo za korektnost pri predstavljanju dejstev javnosti.
Res nismo imeli izrecno napisano, da opravljamo to in (kot sem že omenil) je to krasna priložnost, da to popravimo in predstavimo predloge pravil razkrivanja javnosti. To je ena od pozitivnih posledic tega incidenta.
Ampak na drugi strani to tudi prej sploh ni bila ovira za druge raziskovalce, ki so menili, da bomo mi to nalogo lahko korektno opravili in so nas obveščali.
poweroff ::
Poglejmo.
http://siol.net/digisvet/novice/napaka-...
"Iz Agencije RS za javnopravne evidence in storitve so nam medtem sporočili, da so njihovo spletišče na kulturni praznik v jutranjih urah organizirano napadli strokovnjaki za informacijsko varnost. Napad so izvedli z namenom opozarjanja institucij javnega sektorja na ranljivosti v programski opremi."
Se pravi, šlo je za organiziran napad. Na državni praznik! S strani strokovnjakov.
Se pravi gre kar nekako za zaroto...
In pa, zadevo so opazilu SAMI:
"Razvijalci in sistemski skrbniki spletne strani AJPES so incident opazili šele včeraj v popoldanskih urah in zakrpali varnostno luknjo, ki je omogočila napad, je za Siol.net pojasnil Marjan Babič, vodja službe za informacijsko tehnologijo na AJPES".
Tole po moje marsikaj pove.
next3steps ::
Dopolnitev: Opravičujemo se Gorazdu Božiču (SI-CERT) ter radovedni polovici Slovenije, ker smo bili pri formulaciji zainteresirani naslovniki nejasni in nismo pojasnili, da smo se ukvarjali samo z naslovniki, ki bi bili dolžni ukrepati, ne pa tudi z "zainteresiranimi naslovniki", ki jih zadeva zanima zgolj iz radovednosti (radovedna polovica Slovenije). Naslovnikov, ki nimajo zakonskih pristojnosti in/ali dolžnosti ukrepati, nismo kontaktirali.
Dopolnitev 2: SI-CERT je objavil, da je do nadaljnjega pripravljen prevzeti vlogo koordinatorja za razkrivanje ranljivosti v zvezi z AJPESovo spletno stranjo. Zato vas prosimo, da obvestila o dodatnih napakah v zvezi s to stranjo do nadaljnjega posredujete na naslove omenjene v sporočilu in ne več nam (Slo-Techu).
Legendary trolling is legendary.
Še vedno ne razumem, zakaj bi bilo potrebno obvestiti CERT, ki bi tako ali drugače ravnali samo kot posrednik, ko pa se je obvestilo neposredno vzdrževalce.
In pa, zadevo so opazilu TUDI SAMI:
"Razvijalci in sistemski skrbniki spletne strani AJPES so incident opazili šele včeraj v popoldanskih urah in zakrpali varnostno luknjo, ki je omogočila napad, je za Siol.net pojasnil Marjan Babič, vodja službe za informacijsko tehnologijo na AJPES".
Tole po moje marsikaj pove.
Etiga, sem popravil v imenu AJPESa.
mihec87 ::
next3steps ::
Načeloma, če IP obvesti Božiča ... je SI-CERT obveščen (ali pač).
:) Izvijanje? Hvala bogu, bili smo. Kasneje, kot bi bili, če bi to storil neposredno S-T ali anonimni raziskovalec. To pomeni, da je morda razreševanje problema trajalo dlje (ni pa vedno nujno tako). Kakorkoli, morda morate tudi na S-T lastne responsible-disclousure procedure dopolniti, da bomo prej "in the loop".
Hočeš reči, da je Republika Slovenija za AJPES najela nesposobne vzdrževalce, ki niti tako trivialnega problema ne znajo rešiti in za to rabijo vas?
poweroff ::
matijadmin ::
Sankcije nespoštovanja nekega osnutka (seveda, je dobrodošel) so kakšne? Da bo g. Božič rekel: "O, ti, ti, ti!"
Saj sem tukaj, ni potrebe po sarkazmu tretje osebe. ;) Seveda IETF drafti niso zakoni in ne nosijo sankcij. Tu so zato, da se strokovna javnost uskladi okoli dobrih praks in najde skupni jezik. Gre za samoregulacijo interneta, ki je nosila velik del hitrega razvoja interneta, od katerega smo vsi imeli koristi. Še vedno so pomemben instrument urejanja delovanja interneta.
Medsebojno ločim strokovna merila, kodekse, (pravne) običaje, uzance, predpise, oz. pravne norme. Pri nas je kultura spoštovanja naštetih zelo nizka, marsikdo se nanje enostavno požvižga, nekateri jih pa celo namerno izigravajo. AJPES je ubral napad kot najboljšo obrambo in skuša sedaj v medijih Slo-Tech diskreditirati namesto, da bi priznal svojo napako in (morda javno) razmislil, kako to v bodoče preprečiti.
Uskladitev je (terminsko in nenazadnje tudi moralno) zelo širok, raztegljiv in predvsem nategljiv pojem.
Hja, vsaka stvar je raztegljiva do neke mere (dokler recimo ne poči). In tudi različni ljudje imamo različno raztegljive pojme o tem, kaj je prav in kaj ne. Neka skupna pravila, ki jih pripravi strokovna javnost, nam pomagajo pri tem, da določimo sami sebi neke okvirje za definiranje teh pojmov. To prvenstveno koristi nam samim, da ne tavamo sem in tja nevedoč, kaj je recimo "usklajevanje". Še enkrat - ne gre za zakonik, gre za priporočila. Poleg sankcij je pomemben družbeni element tudi lastna želja delovati strokovno in korektno.
Sploh ne vem, zakaj polemiziramo, ko pa je bilo usklajeno kot je treba. Ranljivost je bila odpravljena pred objavo in to je vse, kar šteje. Ali se motim? Gre morda za užaljenost?
Ob vsem spoštovanju, če ima nekdo odklonilno mnenje do vašega oddelka vaše ustanove ima vso pravico (morda celo upravičeno: Dobri ali slabi fantje?); in morda vas tudi zato niso obvestili.
Dam primer, koliko časa je Ornig opozarjal organe o ranljivostih? Nič se ni zgodilo, ker je sistemsko Policija odpovedala in, ker so prevladali parcialni interesi, ki s korupcijo močno težijo to isto Policijo. Koliko dolgo bi moral Ornig potem 'usklajevati'? Saj poznamo globalno znan primer, kako so morali drugi Microsoft prisiliti prav z nepotrpežljivostjo pri usklajevanju pred objavo, da je svoje (slabe) prakse spremenil.
Iščimo krivce tam, kjer se dogajajo kršitve. (1) Je AJPES kriv za reagiranje policije v primeru Ornig? (2) Je prijavitelj opozarjal AJPES, pa se ni nič zgodilo? (3) Je AJPES kriv, da se je leta nazaj Microsoft obnašal ignorantsko? Lahko izpelješ, da čeprav ne drži ne (1), ne (2) in ne (3), vnaprej veš, da jih je treba javno kaznovati z mestoma pretenciozno objavo, ki meša druge slabe prakse in jih lepi zraven k AJPES?
V naši družbi mrgoli takih primerov (verjamem pa, da je v zasebnem sektorju veliko bolje) in odziv Agencije kaže, da si mirno lahko ustvarim mnenje, da sodi med tiste slabe akterje (napad raziskovalcev, ki so odgovorno poskrbeli za odpravo ranljivosti pred objavo gotovo kaže na to).
Medij je po mojem osebnem prepričanju zelo svoboden pri objavi
Vsekakor. Nihče ne zahteva umika te objave. Mi pa imamo na drugi strani svobodo si ustvariti svoje mnenje o ravnanju medija in njegovi strokovni drži. Poleg tega je medij tu prevzel vlogo koordinatorja razkrivanja ranljivosti in bi rekel, da je to že lahko konflikt interesov. Če medij objavi trditev, ki ni resnična, je na to opozorjen, pa popravka sam od sebe ne objavi, si spet lahko mislimo svoje. Imam sicer možnost zahteve uradnega popravka, a nisem želel s tem opletati. Zanimivo je tudi vprašanje, zakaj ni Slo-Tech tudi neposredno obvestil SI-CERT? Mimo tega pa je tu še kredibilnost medija, ki bi lahko sam poskrbel zato, da so trditve v novici preverjene. Če medij navaja domneve o ranljivosti, ki jih sam ni preveril (prijavitelj pa tudi ni tega navedel), potem si seveda jaz lahko ustvarim svoje lastno mnenje o strokovnem nivoju medija ali avtorja novice (in medijski drži).
Kakorkoli. Dobra plat te objave je, da bo vsaj nekaj ljudi začelo malo brskati in brati o responsible disclosure (in mimogrede "kaj je to zaen blesav draft, jaz pravim, da je vse raztegljivo" se mi ne zdi ravno dober pristop). Na koncu bomo mogoče prišli do nekega konsenza strokovne javnosti, kaj to je in kakšna so pravila (in BTW "strokovna javnost" je veliko, veliko širši pojem, kot samo Slo-Tech). Ta pravila so nenazadnje narejena tudi zato, da ščitijo prijavitelja znotraj nekih ustaljenih procesov. Ker če tega nimamo, se hitro stvari zbanalizirajo na kršitve 143. in 221. člena KZ. Ampak, it takes two to tango, pravijo. :)
Jaz menim, da je medij a priori lahko samo zelo omejen koordinator in v tej luči (še enkrat) se je čisto korektno odrezal; poskrbel je, da ni z objavo nikogar ogrozil. Koliko pa bi moral po vaše počakati? Ali ne gre tu morda za vašo užaljenost, ker niste bili obveščeni? Ni pravne norme, ki bi civilni družbi nalagala, da vas obvestijo. Strokovne smernice, kodeksi, pravila nekih mednarodnih organizacij in njihovi osnutki pa so, kar so. Sploh pa, zakaj bi se jih nekdo držal, če ima o vas slabo mnenje? Kaj in kako je medij preverjal, se vas ne tiče. Če bi meni nekdo pokazal CRP ali nanizal moj zapis iz njega, bi mu verjel. Nobene potrebe po ponovnem hekanju in čira - čara, onkraj meje nezakonitega (na kar morda namigujete).
Prav je, da razmišljamo o vsem (ne le o tem konkretnem osnutku nekih pravil). Pravi problem je (ne)varnost, ki se jo (vsaj, kar zadeva JU) praviloma pometa pod preprogo in niti približno ne razume (poglejte, kakšna zares blesava pravila in politike je zmožen sproducirati UTVP npr.).
matijadmin ::
Jaz z veseljem začnem ljudi, ki nam pošiljajo zanimive stvari, pošiljat k vam, če boste kdaj uspeli jasno povedat v katerih primerih in za koga to delate.
Ker očitno Ajpes ja (do stopnje užaljenosti), Telemachova elektronska pošta ne (zato!), ... na strani niste imeli nič (razen za "žrtve"), dokler niste danes napisali da za Ajpes to počnete.
Obravnavamo vse prijave, ki vključujejo sisteme v Sloveniji. Če ti nimaš podatka o tem, ali smo kakšen primer obravnavali, še ne pomeni, da ga nismo in hitro lahko sklepaš napačno. Kot tudi takrat, ko meniš, da gre za užaljenost. Ne. Gre samo za korektnost pri predstavljanju dejstev javnosti.
Res nismo imeli izrecno napisano, da opravljamo to in (kot sem že omenil) je to krasna priložnost, da to popravimo in predstavimo predloge pravil razkrivanja javnosti. To je ena od pozitivnih posledic tega incidenta.
Ampak na drugi strani to tudi prej sploh ni bila ovira za druge raziskovalce, ki so menili, da bomo mi to nalogo lahko korektno opravili in so nas obveščali.
Še enkrat ne strokovna ne katera druga javnost vas ni dolžna obveščati o ničemer. To je njihova dobra volja kot je vaša dobra volja ali pa volja vaše organizacije, da obravnavate incidente, ki se zgodijo pri subjektih zasebnega prava in fizičnih osebah. Res ste dolžni (na podlagi pravno urejenih razmerij) obravnavati incidente, ki se zgodijo pri nekaterih subjektih javnega prava (med njimi je očitno tudi AJPES), a to še ne pomeni, da vas je medij ali pa kdor koli iz javnosti dolžan o čemer koli obveščati. Če že, AJPES.
Me pa zanima, kako pri Ajpesu vedo, da so njihovo spletišče napadli "strokovnjaki za informacijsko varnost" in celo s kakšnim namenom.
Najbolj me zabava koincidenca, da so odkrili 'sami' in to le nekaj ur za 'vami'. So m00ch phun!
Zgodovina sprememb…
- spremenil: matijadmin ()
poweroff ::
next3steps je izjavil:
In pa, zadevo so opazilu TUDI SAMI:
"Razvijalci in sistemski skrbniki spletne strani AJPES so incident opazili šele včeraj v popoldanskih urah in zakrpali varnostno luknjo, ki je omogočila napad, je za Siol.net pojasnil Marjan Babič, vodja službe za informacijsko tehnologijo na AJPES".
Niso rekli, da so bili obveščeni.
OPAZILI so. Opaziš sam.
next3steps ::
ST je sicer ravnal korektno, ker kako drugače bo pa neki whitehat sploh še zaupal medijem. A bo njegov vdor zaupal neposredno prizadetemu in s tem izpolnil vse potrebno za samoobtožbo ali pa še se mu bo prizadeti posmehoval in nič ukrepal?
Ena grupa butthurt invalidnih ljudi na invalidnih položajih. Vse od Gorazda pa tja do AJPESa.
matijadmin ::
poweroff ::
Kaj je bistvo zgodbe?
Ali to, da je bila zgodba sploh objavljena? Da so bili uporabljeni
"napačni" izrazi ("katastrofa")?
Kdo je reagiral napačno? SI-CERT? IP-RS? Slo-Tech?
Ne, bistvo zgodbe je, da so bili ogroženi osebni podatki v ogromnem obsegu in da gre za resno malomarnost nekoga. In to niso ne SI-CERT, ne Slo-Tech in ne IP-RS.
DeeJay ::
Lahko, da sploh niso bli in je anonimni prijavitel samo hotel, da se zakrpa luknja.
hruske ::
Kaj pa vem, moja izkušnja me ni navdala z zaupanjem. Morda je težava, da nisem šel do gospe uradnice osebno, morda bi moral zagrozit z IPRS oz. verjetno kar dat IPRS med naslovnike.
GBX ::
Sploh ne vem, zakaj polemiziramo, ko pa je bilo usklajeno kot je treba. Ranljivost je bila odpravljena pred objavo in to je vse, kar šteje. Ali se motim? Gre morda za užaljenost?
Ob vsem spoštovanju, če ima nekdo odklonilno mnenje do vašega oddelka vaše ustanove ima vso pravico (morda celo upravičeno: Dobri ali slabi fantje?); in morda vas tudi zato niso obvestili.
...
Ali ne gre tu morda za vašo užaljenost, ker niste bili obveščeni? Ni pravne norme, ki bi civilni družbi nalagala, da vas obvestijo.
Matr, eni vidite marsikaj ... Sem kje izjavil, da bi nas morali obvestiti? Nisem. Še več: sem se zaklinjal na zakonodajo in pravne norme, da mora biti tako? Še manj! Ugovarjal sem le zapisani formulaciji: "ostali morebiti zainteresirani naslovniki na državni praznik niso bili dosegljivi". Marsikdo (po moje kar večina javnosti) bi seveda smatral, da smo med "morebiti zainteresiranimi naslovniki" tudi SI-CERT, ki pa smo bili dosegljivi tudi med prazniki. In sem v komentarju razjasnil, kako je informacija prišla do nas. Bili smo dosegljivi in upam si močno stati za trditvijo, da SI-CERT je "zainteresiran naslovnik" v kontekstu novice, zato bi se lahko ustvaril napačen vtis, da naša dežurna služba ni opravljala svojega dela. To je vse.
No, saj zdaj pa smo dobili popravek, ki pa je tudi sam po sebi zgovoren, kajne?
Zgodovina sprememb…
- spremenil: GBX ()
next3steps ::
Ne, bistvo zgodbe je, da so bili ogroženi osebni podatki v ogromnem obsegu in da gre za resno malomarnost nekoga. In to niso ne SI-CERT, ne Slo-Tech in ne IP-RS.
Bi pa bilo lažje, če bi v svojem novinarstvu bili površni in izdali napadalca. AJPES bi lahko s prstom kazal nanj, organi pregona bi imeli koga za obdelovati zaradi za 1x nedolžnega odkritja možnosti vdora, CERT bi zmagoslavno ploskal z ritjo, ker bi uspešno pomagal pri odpravi napake.
matijadmin ::
jinzo ::
Glede na odgovore tukaj si ne predstavljam kaj vse morajo slišati odgovorni na AJPESu in pri vzdrževalcu spletne strani, ki so dejansko odgovorni za veliko luknjo - katerih končnih razsežnosti verjetno nikoli ne bomo popolnoma izvedeli. Ker če je SI-CERT pol tlko zagrižen na drugi strani te novice in ima dejansko dolžnost (ter temu primerno moč) za obravnavo takih incidentov, se za nadalno varnost ni bati :)
Kot občasen bralec Slo-Tech in moderator tam enega koščka (pa že dolgo nimam več časa izvajati dolžnosti, čist pozabil na to), človek dobi občutek da je Slo-Tech dost boljše (tako pravno, kot formalno) organiziran kot SI-CERT in se na cel razpon dogodkov odziva veliko bolje kot pa z nekimi pritiski na prenašalca sporočil (in spotikanjem ob malenkosti, ki to napram odkriti luknji vsekakor so le in samo malenkosti). Pa bi si človek mislil, da se ravno v organizaciji kot je SI-CERT zavedajo kako pomembno je biti čim bolj prijazen in enostaven do ljudi, ki ti zastonj posredujejo znanje. Da se niti ne dotaknem tistega sporočila o razkrivanju ranljivosti. Pa vi se ja hecate, nehče na lastne stroške in v svojem času dela vašo delo (ali delo, ki ste ga nekomu drugemu plačali), odkrije napake in potem mu brez ponujene kompenzacije za opravljeno delo nalagate kako in kaj bi moral on v svojem času in na lastne stroške operirat. Tam navajate kup dokumentov, pa tam nikjer niste našli informacij kako resni koordinatorji in akterji na tem področju spodbujajo osebe da jim po pravih kanalih in po njihovih pravilih prijavijo pomanjklivosti?
GBX ::
next3steps je izjavil:
A boš zainteresiran naslovnik tudi takrat, ko bo neznana okužba moj računalnik vključila v botnet in napadla vašo stran? Menda ne, ker ne bo dovoljšne publicitete.
Seveda bomo. Motiš se, če misliš, da ne. To namreč počnemo redno (včasih skoraj vsakodnevno). Ni treba, da pride do napada, dovolj je recimo že, če nekdo v večji akciji naredi prevzem botneta in potem nacionalnim Certom razpošlje sezname IP naslovov okuženih računalnikov, ki jih zajamejo v ponorih (angl. sinkhole). Takrat podatke razdelimo po ponudnikih in jih prosimo, naj obvestijo svoje naročnike o okužbi (in običajno podamo navodila, kako odstraniti okužbe). Preberi si recimo naša letna poročila, da boš videl, kaj pravzaprev počnemo.
Ali pa si poglej tole: https://www.bsi-fuer-buerger.de/BSIFB/D....
bbbbbb2015 ::
matijadmin je izjavil:
Čisto malo pa si nestrpen kolega, pojdiva počasi:
a) AJPES ima svoje poslanstvo in zakonsko zapovedane naloge. Te niso niti slučajno brezvezne ali nekoristne.
b) AJPES podatke, ki jih zbira (tudi v javnih knjigah kot je npr. PRS), potrebuje za to, da te zadolžitve opravlja. Z izjemo podatkov v CRP, ki jih ne zbira, a potrebuje pri svojem delu.
c) Ja, odgovarjal bo (kazensko) le storilec, če ga bodo odkrili. Odškodninsko morda, nikakor pa nujno, tudi AJPES.
d) Samo vidik varnosti bodo morali nehati zanemarjati, pa bo. A je tako težko samo to, brez kazanja lastne nevroze in zafrustriranosti, artikulirati?
Realno poslanstvo je samo držati pri službi kup ljudi, ki so prej delali na SDK. Poslovni register imajo drugi, CRP drugi, kar oni "imajo" so javne objave bilanc. Gimme a break.
Če se bo pokazalo, da za varnost ni bilo ustrezno poskrbljeno, bo odgovarjal tudi AJPES. Veš, toleranca ljudi do javnosektoraštva je čedalje manjša.
Nisem nervozen, samo pravim, da če so jim podatke odnesli - je rešitev enostavna - čim manj hrčkanja tujih podatkov in prečistiti ali razformirati AJPES.
matijadmin ::
bbbbbb2015 je izjavil:
matijadmin je izjavil:
Čisto malo pa si nestrpen kolega, pojdiva počasi:
a) AJPES ima svoje poslanstvo in zakonsko zapovedane naloge. Te niso niti slučajno brezvezne ali nekoristne.
b) AJPES podatke, ki jih zbira (tudi v javnih knjigah kot je npr. PRS), potrebuje za to, da te zadolžitve opravlja. Z izjemo podatkov v CRP, ki jih ne zbira, a potrebuje pri svojem delu.
c) Ja, odgovarjal bo (kazensko) le storilec, če ga bodo odkrili. Odškodninsko morda, nikakor pa nujno, tudi AJPES.
d) Samo vidik varnosti bodo morali nehati zanemarjati, pa bo. A je tako težko samo to, brez kazanja lastne nevroze in zafrustriranosti, artikulirati?
Realno poslanstvo je samo držati pri službi kup ljudi, ki so prej delali na SDK. Poslovni register imajo drugi, CRP drugi, kar oni "imajo" so javne objave bilanc. Gimme a break.
Sodni register ima samo AJPES. Očitno nimaš pojma, o čem pišeš in zato streljaš kozle. Sodišče ga že od l. 2008 nima več. Samo odločanje je ostalo tam. In roko na srce, AJPES je to dobro zrihtal (vsaj za stranke, ne govorim o tehničnem vidiku). Ustanovitev podjetja je 3/4 na njih in v tem smo najboljši v EU (svetlobna leta pred Nemci). To si moramo priznati. Preberi ta post še enkrat: https://slo-tech.com/novice/t693532/p54...
Ja, CRP je pa po neumnosti tam. Lahko bi vsi dostopali do izvirnega pri MNZ, vendar bi moral biti ta potem del neke kritične infrastrukture (kar je pri nas bolj redkost kot pravilo) s praktično 100 %-no dosegljivostjo. Ena druga javna knjiga npr., ZK je denimo ponoči kar nedosegljiva (porazno za čas, v katerem živimo). Pa tudi nekatere poizvedbe bi tehnično veliko težje izvedli. Ampak, bi šlo.
bbbbbb2015 je izjavil:
Če se bo pokazalo, da za varnost ni bilo ustrezno poskrbljeno, bo odgovarjal tudi AJPES. Veš, toleranca ljudi do javnosektoraštva je čedalje manjša.
Veš, vi sektaši pač niste merilo. Za zdaj so to le pravne norme. Sori. Lahko pa tak moment predvsem strokovna javnost in ne nestrpni sektaši izrabi za plodno debato, ki je nadalje lahko gonilo sprememb.
bbbbbb2015 je izjavil:
Nisem nervozen, samo pravim, da če so jim podatke odnesli - je rešitev enostavna - čim manj hrčkanja tujih podatkov in prečistiti ali razformirati AJPES.
Rešitev je vse prej kot enostavna, ker se zadostne varnosti ne da čez noč kupiti niti enostavno in poceni zagotavljati.
PaX_MaN ::
matijadmin je izjavil:
Ja, CRP je pa po neumnosti tam. Lahko bi vsi dostopali do izvirnega pri MNZ, vendar bi moral biti ta potem del neke kritične infrastrukture (kar je pri nas bolj redkost kot pravilo) s praktično 100 %-no dosegljivostjo.
To zna bit pa še zelo zanimivo:
Obvestit dva milijona ljudi naenkrat ... JA HVALA EU!
Zgodovina sprememb…
- zavaroval slike: Primoz ()
matijadmin ::
matijadmin je izjavil:
Ja, CRP je pa po neumnosti tam. Lahko bi vsi dostopali do izvirnega pri MNZ, vendar bi moral biti ta potem del neke kritične infrastrukture (kar je pri nas bolj redkost kot pravilo) s praktično 100 %-no dosegljivostjo.
To zna bit pa še zelo zanimivo:
Obvestit dva milijona ljudi naenkrat ... JA HVALA EU!
Tudi, če je to moč aplicirati (vendar bi rekel na prvo žogo, da je nekdo nekje v neki sodni odločbi močno zabrkljal ali pa nisi razumel docela situacije) na trenutno stanje pri nas, je sila neumno in z zadoščenjem neki pravici nima ravno veze kot nima veze z varovanjem pravice do zasebnosti.
Glej, meni se zdi v tej smeri čisto dobro urejeno z 8. in 9. čl. ZVOP ter nadalje s posebnimi zakoni, ki urejajo delo drugih organov, ki jih nucajo. Pa kaj bi moralo še biti, da je košer?
Tako, če še malo naprej ugibam, kaj je nekdo (najverjetneje v tej naši sodbi zamutil ali pa ni dovolj jasno zapisano) je to, kar tudi sicer zakon nalaga v primeru privolitve posameznika (vnaprejšnje obveščanje). Sicer ne. Možno je tudi, da se podlago v (posebnem) zakonu šteje za obveščenost (v vseh preostalih primerih, ko ni potrebna privolitev). Pol bi to kao štelo, da si bil obveščen. Nepoznavanje prava škoduje, star rimski rek ali kako že?
krneki0001 ::
[
Drugače pa govorimo o Centralnem registru prebivalstva. Ta baza ni majhna šala. In to po mojem mnenju je velik problem oz. katastrofa.
Zakaj je to sploh na AJPESu? A ne obstaja to samo za delo s podjetji?
Ajpes vodi PRS (poslovni register slovenije), kjer so vse pravne osebe in fizične osebe z dejavnostjo zavedene z vsemi podatki, ter njihovi zastopniki, podpisniki,... s kontakti, maili, mobitel številke, davčne, matične,....
Hkrati pa vodi tudi RTRR (register transakcijskih računov), kjer pa imaš vse podatke o transakcijskih računih v sloveniji (fizične, pravne, sp-ji) tao ukinjenih kot aktivnih.
A so do teh podatkov tudi prišli?
Zgodovina sprememb…
- spremenilo: krneki0001 ()
PaX_MaN ::
matijadmin je izjavil:
Glej, meni se zdi v tej smeri čisto dobro urejeno z 8. in 9. čl. ZVOP ter nadalje s posebnimi zakoni, ki urejajo delo drugih organov, ki jih nucajo. Pa kaj bi moralo še biti, da je košer?
Tadva pravita, da ma lahko JU OP, če zakon tako določa(izjemna izjema tle pač ne).
V ZSReg, ZPRS nič ne piše da ma lahko AJPES cel CRP.
matijadmin je izjavil:
Tako, če še malo naprej ugibam, kaj je nekdo (najverjetneje v tej naši sodbi zamutil ali pa ni dovolj jasno zapisano) je to, kar tudi sicer zakon nalaga v primeru privolitve posameznika (vnaprejšnje obveščanje). Sicer ne. Možno je tudi, da se podlago v (posebnem) zakonu šteje za obveščenost (v vseh preostalih primerih, ko ni potrebna privolitev). Pol bi to kao štelo, da si bil obveščen. Nepoznavanje prava škoduje, star rimski rek ali kako že?
To bi bilo res, če bi imel AJPES pooblastilo met cel CRP. Pa ga nima.
Mimogrede:
Spoštovani uporabniki portala AJPES,
obveščamo vas, da portal zaradi vzdrževalnih del ne bo dostopen do nedelje, 12. 2. 2017, do 10 ure.
Opravičujemo se za morebitne nevšečnosti.
AJPES
bbbbbb2015 ::
matijadmin je izjavil:
bbbbbb2015 je izjavil:
matijadmin je izjavil:
Čisto malo pa si nestrpen kolega, pojdiva počasi:
a) AJPES ima svoje poslanstvo in zakonsko zapovedane naloge. Te niso niti slučajno brezvezne ali nekoristne.
b) AJPES podatke, ki jih zbira (tudi v javnih knjigah kot je npr. PRS), potrebuje za to, da te zadolžitve opravlja. Z izjemo podatkov v CRP, ki jih ne zbira, a potrebuje pri svojem delu.
c) Ja, odgovarjal bo (kazensko) le storilec, če ga bodo odkrili. Odškodninsko morda, nikakor pa nujno, tudi AJPES.
d) Samo vidik varnosti bodo morali nehati zanemarjati, pa bo. A je tako težko samo to, brez kazanja lastne nevroze in zafrustriranosti, artikulirati?
Realno poslanstvo je samo držati pri službi kup ljudi, ki so prej delali na SDK. Poslovni register imajo drugi, CRP drugi, kar oni "imajo" so javne objave bilanc. Gimme a break.
Sodni register ima samo AJPES. Očitno nimaš pojma, o čem pišeš in zato streljaš kozle. Sodišče ga že od l. 2008 nima več. Samo odločanje je ostalo tam. In roko na srce, AJPES je to dobro zrihtal (vsaj za stranke, ne govorim o tehničnem vidiku). Ustanovitev podjetja je 3/4 na njih in v tem smo najboljši v EU (svetlobna leta pred Nemci). To si moramo priznati. Preberi ta post še enkrat: https://slo-tech.com/novice/t693532/p54...
Ja, CRP je pa po neumnosti tam. Lahko bi vsi dostopali do izvirnega pri MNZ, vendar bi moral biti ta potem del neke kritične infrastrukture (kar je pri nas bolj redkost kot pravilo) s praktično 100 %-no dosegljivostjo. Ena druga javna knjiga npr., ZK je denimo ponoči kar nedosegljiva (porazno za čas, v katerem živimo). Pa tudi nekatere poizvedbe bi tehnično veliko težje izvedli. Ampak, bi šlo.
bbbbbb2015 je izjavil:
Če se bo pokazalo, da za varnost ni bilo ustrezno poskrbljeno, bo odgovarjal tudi AJPES. Veš, toleranca ljudi do javnosektoraštva je čedalje manjša.
Veš, vi sektaši pač niste merilo. Za zdaj so to le pravne norme. Sori. Lahko pa tak moment predvsem strokovna javnost in ne nestrpni sektaši izrabi za plodno debato, ki je nadalje lahko gonilo sprememb.
bbbbbb2015 je izjavil:
Nisem nervozen, samo pravim, da če so jim podatke odnesli - je rešitev enostavna - čim manj hrčkanja tujih podatkov in prečistiti ali razformirati AJPES.
Rešitev je vse prej kot enostavna, ker se zadostne varnosti ne da čez noč kupiti niti enostavno in poceni zagotavljati.
Podjetje sem ustanovil v več kot dveh evropskih državah - in lahko primerjam postopek. Slovenski je slab. Povedal bom, da v tujini pri ustanovitvi podjetja sodelujejo specialisti, ki so zasebniki, s koncesijo ali dovoljenjem države. V eni evropski državi moraš imeti nostrificirano univezitetno diplomo in pet let delovnih izkušenj iz danega področja, da lahko ustanoviš podjetje, ki se lahko ukvarja s tem danim področjem. Pa še ta nostrificirana diploma ne sme biti bolonjska. Če je diploma bolonjska, moraš iti na 14 dnevni tečaj osnov poslovanja. Specialist se pogovori s tabo, če že imaš sklenjeno pogodbo, ki jo moraš predložiti. Če se specialistu zdi, da tvoja zgodba ne štima, podjetja ne boš imel ustanovljenega.
Sicer je pa ustanovljeno takoj. Bančni račun odpreš takoj, vendar bodisi imaš priporočilo tretje osebe, potrdilo o 'good standingu'. Če se banki zdi, da zgodba ne pije vode, te bodo odslovili. Če pa tvoja zgodba štima, imaš račun takoj tisti hip in ti tisti hip lahko nakažejo denar, če je že stvar taka.
Ko imaš podjetje ustanovljeno, te kontaktirajo po 2-3 mesecih, ter te prosijo za dokazila o poslovanju, fakture izpiske, potrdila o plačanih prispevkih. Če tega ne daš, ne vem, kaj se zgodi. Namen je, da preverijo, da posluješ, da je vse v redu.
Če torej imaš vse v nulo, je podjetje ustanovljeno do malice, z računom vred. Če se kaj zapleta, je pa problem.
Na primer, znanec, državljan te EU države, je imel avto zavarovan. Ukradli so mu ga, pri preverjanju policije ni mogel pokazati obeh ključev. Zavarovalnica je sicer škodo (mu) izplačala, hkrati pa so zavrnili kakšno koli nadaljnje sodelovanje, kar pomeni račun zaprt. Banke in zavarovalnice imajo bonitetno bazo in sicer pri drugi banki je odprl račun, ta druga banka pa mu tudi ni hotela nič zavarovati, niti mu nihče ni hotel dati potrdila o good standingu.
V praksi on nima in ne bo mogel zlahka priti tega, da bi ustanovil podjetje.
Ko to v praksi vidiš, potem vidiš, da je te 3/4 kar omenjaš, čisti šrot. V Sloveniji so lahko klošarji ustanavljali podjetja in utajevali DDV. Jeb*š ti takšno ustanavljanje.
V Avstriji je praksa malo lažja, priložiti pa moraš potrdilo o nekaznovanosti.
bbbbbb2015 ::
matijadmin je izjavil:
Glej, meni se zdi v tej smeri čisto dobro urejeno z 8. in 9. čl. ZVOP ter nadalje s posebnimi zakoni, ki urejajo delo drugih organov, ki jih nucajo. Pa kaj bi moralo še biti, da je košer?
Tadva pravita, da ma lahko JU OP, če zakon tako določa(izjemna izjema tle pač ne).
V ZSReg, ZPRS nič ne piše da ma lahko AJPES cel CRP.
matijadmin je izjavil:
Tako, če še malo naprej ugibam, kaj je nekdo (najverjetneje v tej naši sodbi zamutil ali pa ni dovolj jasno zapisano) je to, kar tudi sicer zakon nalaga v primeru privolitve posameznika (vnaprejšnje obveščanje). Sicer ne. Možno je tudi, da se podlago v (posebnem) zakonu šteje za obveščenost (v vseh preostalih primerih, ko ni potrebna privolitev). Pol bi to kao štelo, da si bil obveščen. Nepoznavanje prava škoduje, star rimski rek ali kako že?
To bi bilo res, če bi imel AJPES pooblastilo met cel CRP. Pa ga nima.
Mimogrede:
Spoštovani uporabniki portala AJPES,
obveščamo vas, da portal zaradi vzdrževalnih del ne bo dostopen do nedelje, 12. 2. 2017, do 10 ure.
Opravičujemo se za morebitne nevšečnosti.
AJPES
Ja saj:
Tega spletnega mesta ni mogoče doseči
Spletno mesto www.ajpes.si se ni odzvalo v ustreznem času.
Iščite v Googlu s poizvedbo ajpes si
ERR_CONNECTION_TIMED_OUT
matijadmin ::
matijadmin je izjavil:
Glej, meni se zdi v tej smeri čisto dobro urejeno z 8. in 9. čl. ZVOP ter nadalje s posebnimi zakoni, ki urejajo delo drugih organov, ki jih nucajo. Pa kaj bi moralo še biti, da je košer?
Tadva pravita, da ma lahko JU OP, če zakon tako določa(izjemna izjema tle pač ne).
V ZSReg, ZPRS nič ne piše da ma lahko AJPES cel CRP.
matijadmin je izjavil:
Tako, če še malo naprej ugibam, kaj je nekdo (najverjetneje v tej naši sodbi zamutil ali pa ni dovolj jasno zapisano) je to, kar tudi sicer zakon nalaga v primeru privolitve posameznika (vnaprejšnje obveščanje). Sicer ne. Možno je tudi, da se podlago v (posebnem) zakonu šteje za obveščenost (v vseh preostalih primerih, ko ni potrebna privolitev). Pol bi to kao štelo, da si bil obveščen. Nepoznavanje prava škoduje, star rimski rek ali kako že?
To bi bilo res, če bi imel AJPES pooblastilo met cel CRP. Pa ga nima.
Mimogrede:
Spoštovani uporabniki portala AJPES,
obveščamo vas, da portal zaradi vzdrževalnih del ne bo dostopen do nedelje, 12. 2. 2017, do 10 ure.
Opravičujemo se za morebitne nevšečnosti.
AJPES
Bo kar držalo. Sicer ZSreg nekaj medlo to skuša urejati, tako da omenja uskladitve z matično evidenco, ki je le del CRP. Pa še to samo za osebe, ki jih že sicer obravnavajo in ne neselektivno za vsepovprek.
Me zanima na podlagi katerega zakona potem sodstvo hrani (in/ali je hranilo) CRP pri sebi.
bbbbbb2015 je izjavil:
matijadmin je izjavil:
bbbbbb2015 je izjavil:
matijadmin je izjavil:
Čisto malo pa si nestrpen kolega, pojdiva počasi:
a) AJPES ima svoje poslanstvo in zakonsko zapovedane naloge. Te niso niti slučajno brezvezne ali nekoristne.
b) AJPES podatke, ki jih zbira (tudi v javnih knjigah kot je npr. PRS), potrebuje za to, da te zadolžitve opravlja. Z izjemo podatkov v CRP, ki jih ne zbira, a potrebuje pri svojem delu.
c) Ja, odgovarjal bo (kazensko) le storilec, če ga bodo odkrili. Odškodninsko morda, nikakor pa nujno, tudi AJPES.
d) Samo vidik varnosti bodo morali nehati zanemarjati, pa bo. A je tako težko samo to, brez kazanja lastne nevroze in zafrustriranosti, artikulirati?
Realno poslanstvo je samo držati pri službi kup ljudi, ki so prej delali na SDK. Poslovni register imajo drugi, CRP drugi, kar oni "imajo" so javne objave bilanc. Gimme a break.
Sodni register ima samo AJPES. Očitno nimaš pojma, o čem pišeš in zato streljaš kozle. Sodišče ga že od l. 2008 nima več. Samo odločanje je ostalo tam. In roko na srce, AJPES je to dobro zrihtal (vsaj za stranke, ne govorim o tehničnem vidiku). Ustanovitev podjetja je 3/4 na njih in v tem smo najboljši v EU (svetlobna leta pred Nemci). To si moramo priznati. Preberi ta post še enkrat: https://slo-tech.com/novice/t693532/p54...
Ja, CRP je pa po neumnosti tam. Lahko bi vsi dostopali do izvirnega pri MNZ, vendar bi moral biti ta potem del neke kritične infrastrukture (kar je pri nas bolj redkost kot pravilo) s praktično 100 %-no dosegljivostjo. Ena druga javna knjiga npr., ZK je denimo ponoči kar nedosegljiva (porazno za čas, v katerem živimo). Pa tudi nekatere poizvedbe bi tehnično veliko težje izvedli. Ampak, bi šlo.
bbbbbb2015 je izjavil:
Če se bo pokazalo, da za varnost ni bilo ustrezno poskrbljeno, bo odgovarjal tudi AJPES. Veš, toleranca ljudi do javnosektoraštva je čedalje manjša.
Veš, vi sektaši pač niste merilo. Za zdaj so to le pravne norme. Sori. Lahko pa tak moment predvsem strokovna javnost in ne nestrpni sektaši izrabi za plodno debato, ki je nadalje lahko gonilo sprememb.
bbbbbb2015 je izjavil:
Nisem nervozen, samo pravim, da če so jim podatke odnesli - je rešitev enostavna - čim manj hrčkanja tujih podatkov in prečistiti ali razformirati AJPES.
Rešitev je vse prej kot enostavna, ker se zadostne varnosti ne da čez noč kupiti niti enostavno in poceni zagotavljati.
Podjetje sem ustanovil v več kot dveh evropskih državah - in lahko primerjam postopek. Slovenski je slab. Povedal bom, da v tujini pri ustanovitvi podjetja sodelujejo specialisti, ki so zasebniki, s koncesijo ali dovoljenjem države. V eni evropski državi moraš imeti nostrificirano univezitetno diplomo in pet let delovnih izkušenj iz danega področja, da lahko ustanoviš podjetje, ki se lahko ukvarja s tem danim področjem. Pa še ta nostrificirana diploma ne sme biti bolonjska. Če je diploma bolonjska, moraš iti na 14 dnevni tečaj osnov poslovanja. Specialist se pogovori s tabo, če že imaš sklenjeno pogodbo, ki jo moraš predložiti. Če se specialistu zdi, da tvoja zgodba ne štima, podjetja ne boš imel ustanovljenega.
Sicer je pa ustanovljeno takoj. Bančni račun odpreš takoj, vendar bodisi imaš priporočilo tretje osebe, potrdilo o 'good standingu'. Če se banki zdi, da zgodba ne pije vode, te bodo odslovili. Če pa tvoja zgodba štima, imaš račun takoj tisti hip in ti tisti hip lahko nakažejo denar, če je že stvar taka.
Ko imaš podjetje ustanovljeno, te kontaktirajo po 2-3 mesecih, ter te prosijo za dokazila o poslovanju, fakture izpiske, potrdila o plačanih prispevkih. Če tega ne daš, ne vem, kaj se zgodi. Namen je, da preverijo, da posluješ, da je vse v redu.
Če torej imaš vse v nulo, je podjetje ustanovljeno do malice, z računom vred. Če se kaj zapleta, je pa problem.
Na primer, znanec, državljan te EU države, je imel avto zavarovan. Ukradli so mu ga, pri preverjanju policije ni mogel pokazati obeh ključev. Zavarovalnica je sicer škodo (mu) izplačala, hkrati pa so zavrnili kakšno koli nadaljnje sodelovanje, kar pomeni račun zaprt. Banke in zavarovalnice imajo bonitetno bazo in sicer pri drugi banki je odprl račun, ta druga banka pa mu tudi ni hotela nič zavarovati, niti mu nihče ni hotel dati potrdila o good standingu.
V praksi on nima in ne bo mogel zlahka priti tega, da bi ustanovil podjetje.
Ko to v praksi vidiš, potem vidiš, da je te 3/4 kar omenjaš, čisti šrot. V Sloveniji so lahko klošarji ustanavljali podjetja in utajevali DDV. Jeb*š ti takšno ustanavljanje.
V Avstriji je praksa malo lažja, priložiti pa moraš potrdilo o nekaznovanosti.
To so, kolega, take nebuloze, da je težko kaj pametnega odgovoriti. Oprosti.
Zgodovina sprememb…
- spremenil: matijadmin ()
Mesar ::
hruske ::
Spoštovani uporabniki portala AJPES,
obveščamo vas, da portal zaradi vzdrževalnih del ne bo dostopen do nedelje, 12. 2. 2017, do 10 ure.
Opravičujemo se za morebitne nevšečnosti.
AJPES
bbbbbb2015 ::
matijadmin je izjavil:
To so, kolega, take nebuloze, da je težko kaj pametnega odgovoriti. Oprosti.
Oproščam ti. Sicer ugotavljam nenormalno visoko stopnjo zaplankanosti v Sloveniji. Overplanking bi rekel. To bo.
Predlagam ti, da glede ustanovitve preveriš pri Securexu:
https://www.securex.eu/seats.nsf/vwSeat...
Za odprtje računa pa pokliči na ING:
https://www.ing.be/en/business/
tam imaš "OUR BRANCHES", tam imaš telefonske in maile.
*javi* mi na ZS, ko boš imel firmo odprto. Aha, da ne pozabim, diplomo moraš imeti prevedeno v angleščino, francoščino ali flamščino. Če imaš bolonjsko diplomo, boš moral znati francosko ali flamsko, ker predavanj v angleščini ni.
Dopis, da moraš predložiti dokazila o poslovanju pa te bo že našel ne da karkoli klikaš.
Zgodovina sprememb…
- spremenilo: bbbbbb2015 ()
Gregor P ::
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
bbbbbb2015 ::
... edino če morda govoriš o kakšni "obrtni" oz. neki posebni dejavnosti za katero rabiš "po defaultu" malo več papirjev povsod ...
Številke imate, e-maile imate. Diplome (če jih imate in niso fake) pripravite and you are good 2 go. Javite mi, kako je šlo na ZS.
Zgodovina sprememb…
- spremenilo: bbbbbb2015 ()
jukoz ::
AJPESova stran je ponovno dosegljiva. In ni na https, tudi login ne =)
Bravo AJPES!
jukoz ::
Pri nas poznamo mojstrske izpite. Električar ne moreš biti brez njega oz ne moreš delati. Prav tako ne pek, ...
Če se pa vam zdi super, da vas banka oz zavarovalnica ne zavaruje oz vam da neko žnj oceno, ker ne najdete ključev od avta pa super in lepo, da zagovarjate diskriminacijo. Upam da vam bo prijetno, ko boste stari 60 in bodo zavarovalnice odkrile, da imate povečano možnost zdravstvenih težav in vam znižale oceno ter nabile premije. Ker pač lahko.
Če pa ne bi omejevali pogojev za ustanovitev podjetja in bi namesto tega omejitve postavljali po tem, ko se odkrijejo goljufije, bi bilo pa boljše. Tako se pa odganja potencialne podjetnike, da bi začeli poslovati in raje sedijo doma ali fušajo.
Ok, sem končal z rantom =)
estons ::
Pa glede na prispevke GBX v tej temi moram korigirati svoje zaupanje v in dobro mnenje o SI-CERT za nekaj točk... edit: navzdol, seveda.
Zgodovina sprememb…
- spremenilo: estons ()
AndrejO ::
In other news in med tem ko se kregate kako težko/lahko je ustanoviti podjetje:
AJPESova stran je ponovno dosegljiva. In ni na https, tudi login ne =)
Bravo AJPES!
Hmm ... meni sedaj teda tudi iz tujine (ja, to so tudi zaprli potem, ko je bila luknja menda že poflikana), ravno tako pa tudi TLS.
AndrejO ::
Pa glede na prispevke GBX v tej temi moram korigirati svoje zaupanje v in dobro mnenje o SI-CERT za nekaj točk... edit: navzdol, seveda.
Če bo vlada uresničila tisto sprejeto strategijo, ki jo je GBX omenjal, bo morda nekje v prihodnosti ustanovljen tudi SIGOV-CERT in bo potem potrebno tudi laični javnosti pojasnjevati zakaj mora država (posredno) financirati delovanje dveh CSIRT-ov, ni ji pa, recimo, potrebno financirati dveh ločenih organizacij za CA-je, čeprav ima dva CA-ja.
V takšnem okolju je seveda bolje imeti čim boljši "javni profil" in z njim pojasnjevati svojo "nenadomestljivost". To, da nekateri delujejo mimo tebe, ker te ne jemljejo kot relevantnega, pa na takšno podobo vpliva negativno.
jukoz ::
In other news in med tem ko se kregate kako težko/lahko je ustanoviti podjetje:
AJPESova stran je ponovno dosegljiva. In ni na https, tudi login ne =)
Bravo AJPES!
Hmm ... meni sedaj teda tudi iz tujine (ja, to so tudi zaprli potem, ko je bila luknja menda že poflikana), ravno tako pa tudi TLS.
Aha, zato torej ni delala, kljub zapisom da je vse OK =)
darkolord ::
PZdaj je S-T kriv, ker ni obvestil vse, ki so si želeli biti obveščeni, AJPES, zunanji vzdrževalec njihove strani/sistema in izvajalec varnostnega pregleda pa so čist sekundarnega pomena.Bralno razumevanje te malo heca.
S-T je kriv edino tega, da je napisal, da "ostali morebiti zainteresirani naslovniki na državni praznik niso bili dosegljivi". Debata o tem, zakaj je SI-CERT sploh "morebiti zainteresiran naslovnik", bi bolj pasala na portal tipa "Slo-Lady".
jukoz ::
https://slo-tech.com/novice/t685525/0
kuglvinkl ::
Mimogrede, a je kaj informacij kaj se je zgodilo s Telemachovim primerom?
https://slo-tech.com/novice/t685525/0
Od GBX-a oz. SI_certa misliš?
dronyx ::
Mesar ::
konspirator ::
In other news in med tem ko se kregate kako težko/lahko je ustanoviti podjetje:
AJPESova stran je ponovno dosegljiva. In ni na https, tudi login ne =)
Bravo AJPES!
Dela tudi na https, čeprav ne privzeto (vsaj pri iskanju strani iz google/bing/yahoo/yandex.ru/duckduckgo/startpage/ixquick.eu/najdi.si).
https://www.ajpes.si/
poweroff ::
http://www.planet.si/tv/arhiv-video-vse...
Izjava Nataše Pirc Musar je kar neverjetna.
"Ampak vendarle, jaz menim, da je tu hujša kršitev, hujša zloba, če hočete, na strani tistega, ki je to ranljivost pokazal na način, ki ni primeren. Ta posameznik bi moral, če bi bil tako imenovani etični heker, zagotovo najprej opozoriti Ajpes na to ranljivost v sistemu, da bi Ajpes imel čas napako odpraviti. Vsekakor ta posameznik ni imel nikakršnega pooblastila te zbirke osebnih podatkov javno objaviti na svetovnem spletu."
Tukaj je potrebno poudariti, da stvari, ki jih je navedla ga. Pirc Musar preprosto ne držijo.
1. Oseba, ki je ranljivost opazila, se je bala povračilnih ukrepov, zato ni obvestila Ajpesa, pač pa Slo-Tech. Kot kaže, je bil strah te osebe upravičen. Obstajajo indici, da se primer Ornig pojavlja, le da v malo milejši obliki. Namesto, da bi bili osebi, ki je ranljivost slučajno odkrila in nanjo opozorila hvaležni, se govori o njeni "zlobi", "organiziranem napadu na kulturni praznik" (vir), itd.
Še več, kritikam smo izpostavljeni tudi tisti, ki smo o ranljivosti poročali. Hkrati pa se kar nekako pozablja kdo je tisti, ki je pravzaprav najbolj odgovoren za to zadevo!
2. Ajpes je bil nemudoma obveščen s strani Slo-Techa. Pravzaprav odgovorni na Ajpesu niso bili dosegljivi, zato je Primož obvestil njihovega izvajalca neposredno ter seveda tudi Informacijskega pooblaščenca, ki je tudi edini zakonsko pristojen za obravnavo takšnih incidentov. Morda je to problem, da se zadeve niso uredile "potihem"?
Mimogrede, na Ajpesu zdaj celo trdijo, da so opazili (ne da so bili obveščeni) napako sami in sicer popoldan na kulturni praznik. (vir)
3. Ko ga. Pirc Musar govori o tem, "da način ni bil primeren", se je treba vprašati kateri način ni bil primeren? Ta, da se je anonimni prijavitelj obrnil na spletni medij? Razlogi za to se zdijo čedalje bolj upravičeni. Slovenija je že pred tem imela neslavno "tradicijo" kaznovanja tistih, ki na napake opozorijo namesto tistih, ki so napake s svojo pasivnostjo zakrivili. Tukaj moram spet omeniti primer Ornig. Kot kaže sedaj, se debata zopet usmerja proti tej osebi, oz. ker oseba ni javno znana proti tistim, ki smo novico o ranljivosti objavili. Namesto da bi se govorilo o tem kdo je izvorni vir problema.
Ali pa je ga. Pirc Musar morda mislila, da ni primerno, da se o ranljivosti objavi novica?
Takšno mnenje je sicer legitimno, čeprav po mojem mnenju ni preveč v skladu s svobodo govora.
Treba je namreč vedeti nekaj.
Prvič, Ajpes je še pred objavo novice varnostno ranljivost odpravil. Njihova lastna izjava:
"Razvijalci in sistemski skrbniki spletne strani AJPES so incident opazili šele včeraj v popoldanskih urah in zakrpali varnostno luknjo, ki je omogočila napad, je za Siol.net pojasnil Marjan Babič, vodja službe za informacijsko tehnologijo na AJPES." (vir)
Torej dodatna škoda zaradi objave novice ni mogla nastati, saj je bila varnostna ranljivost že zakrpana. Na možnost, da so se pri Ajpesu preprosto zlagali, pa si ne upam pomisliti.
Drugič, novica je bila objavljena na način, da se ni razkrival točen postopek izrabe ranljivosti. In po mnenju Ajpes, postopek za izrabo ranljivosti ni bil trivialen, torej brez podrobnih navodil (ki seveda niso bila objavljena!), zloraba sploh ne bi bila mogoča:
"Vsekakor pa ranljivosti, prek katere se je zgodil napad, za dostop do naših baz podatkov ne more izkoristiti kar vsak uporabnik, saj je postopek za to zapleten in znan le ožjemu krogu računalniških strokovnjakov," je še pojasnil. (vir)
4. Izjava glede javne objave podatkov na svetovnem spletu absolutno ne drži. Razen, če ima ga. Pirc Musar kakšne informacije, ki jih ostali nimamo. V tem primeru bi bilo prav, da jih deli z Informacijskim pooblaščencem.
Izjava predstavnika Ajpesa:
"Za zdaj nimamo pokazateljev, da bi se med napadom resnično zgodila kraja kakršnih koli podatkov," pravi Babič." (vir)
Izjava predstavnika SI-CERT:
"SI-CERT: Zgodilo se ni še nič
Gorazd Božič, vodja nacionalnega odzivnega centra SI-CERT je v razpravi pod izvirnim člankom na portalu Slo-Tech medtem zapisal (uporabniško ime GBX), da še ni dokazov, da bi kdor koli že v resnici zlorabil ranljivost spletišča AJPES in iz podatkovnih baz ukradel podatke o Slovencih."
Torej je izjava Nataše Pirc Musar popolnoma napačna, ali pa ima ga. Pirc Musar kakšne informacije, ki jih ostali nimamo. Na možnost, da gre zgolj za prefinjen poskus diskreditacije osebe, ki je ranljivost slučajno odkrila, pa si niti ne upam pomisliti.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )Oddelek: Novice / Varnost | 131108 (96341) | AndrejO |
» | Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )Oddelek: Novice / Varnost | 81113 (63667) | jukoz |
» | Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )Oddelek: Novice / NWO | 53134 (43271) | fujtajksel |
» | Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )Oddelek: Novice / Varnost | 32404 (22711) | Furbo |