» »

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre

konspirator ::

Je bil Slo-Tech kontaktiran na tak način, da bo identiteta "prinašalca" novice ostala skrita ? Če se bo po stari navadi ponovila štorija "kill the messenger".
--

Zgodovina sprememb…

Mesar ::

Verjetno, seveda pa tukaj moraš ločiti razliko med:
- osebo, ki je obveščala o napaki
- osebo, ki je zlorabljala napako (in dumpala podatke ter se morebiti okoriščala z njimi)

saj ni rečeno, da gre za isto osebo.
Your turn to burn!

poweroff ::

konspirator je izjavil:

Je bil Slo-Tech kontaktiran na tak način, da bo identiteta "prinašalca" novice ostala skrita ? Če se bo po stari navadi ponovila štorija "kill the messenger".

Da, identiteta te osebe celo meni ni znana, pa sem pisal novico.
sudo poweroff

Mesar ::

Sem si pogledal ta intervju in sem tudi jaz dobil občutek, da se ponovno išče nekdo za linčanje, nekoga, ki ne predstavlja AJPESa ali izvajalcev. Čeprav ni rečeno, da je oseba, ki je obveščala dejansko tudi dostopala do omenjenih osebnih podatkov.
Your turn to burn!

Zgodovina sprememb…

  • spremenil: Mesar ()

krneki0001 ::

Seveda, na nekoga je treba vse zvalit, če so na AJPES-u nesposobni.

Mesar ::

Na AJPESu? Če novica drži so imeli third-party izvajalca in na AJPES pade "samo" del odgovornosti.
Your turn to burn!

videc ::

Najprej je odgovornost na naročniku, kako se bodo potem z izvajalcem zmenili zainteresirane javnosti, verjetno, ne zanima.
Lahko pa dajo izjavo za javnost, kdo je izvajal zadeve, kdo je bil vodja projekta.
Ne bi škodilo, da se, vsaj enkrat, v javnosti objavi in poišče odgovorne.

jukoz ::

kuglvinkl je izjavil:

jukoz je izjavil:

Mimogrede, a je kaj informacij kaj se je zgodilo s Telemachovim primerom?

https://slo-tech.com/novice/t685525/0


Od GBX-a oz. SI_certa misliš?


Kogarkoli? AKOSa recimo. Je bil Telemach kaj obravnavan zaradi tega, ker to je resna malomarnost, ki si jo takšno podjetje ne bi smelo privoščiti.

krneki0001 ::

Mesar je izjavil:

Na AJPESu? Če novica drži so imeli third-party izvajalca in na AJPES pade "samo" del odgovornosti.


Vsa odgovornost je na strani AJPES-a.
Če ti dela third-party izvajalec, moraš še toliko bolj preverit zadeve in jih stestirat, da slučajno ne prihaja kje celo do konflikta interesov. (podizvajalec naredi backdoor do podatkov, ki jih niti nebi smel videti.)

matijadmin ::

Malo slabo poznate eni civilno pravo in bi želeli soditi kar malo (v tri dni) po svojem občutku. Odškodninsko morajo biti vse 4 postavke izpolnjene, pa še tedaj je komplicirano, ker je odgovornost lahko na več povzročiteljih. Kazensko pa tu ne vidim odgovornosti ne na AJPES ne na izvajalcu, temveč le na potencialnih kiber kriminalcih (mednje pa ne štejem tistega, ki je obvestil ta medij).
Vrnite nam techno!

krneki0001 ::

Če ti ne vidiš odgovornosti, ostali jo. Če si ti naročnik in je nekdo tretji podizvajalec, moraš izdelek temeljito preveriti. Če tega ne narediš in pride do napake, si ti avtomatsko odgovoren.

Ker po tvoje bi lahko v primeru;
Banka da plačilni promet delat zunanjemu sodelavcu. Ta po nesreču pusti zadevo odklenjeno in vidno, da lahko vsakdo šari po podatkih. Banka preveri vse, ampak ne testira dobro in tega ne ugotovi. Potem pa cel svet vidi vse tvoje podatke.
Torej v tem primeru ne boš banke tožil, ker je nekdo tretji zanič zadevo naredil?

Pa da ne boš mislil, ena izmed bank je imela par let nazaj tako zadevo, da si samo par cifer spremenil v browserju in si videl od drugih strank stanja,...

matijadmin ::

Banka je kvečjemu solidarno odgovorna (enako AJPES). Kar pa ne pomeni, da je lahko v celoti kdgovoren izvajalec (saj lahko nadalje od njega terja škodo). Seveda, odvisno, kako je stvari zastavila in, kaj je narocila.

Vendar ponavljam, da je škoda sploh nastala, nimamo nobenega dokaza in zato ni osnove za odskodninske tožbe.

Sploh pa ne vidim nobene protipravnosti v delu tega izvajalca, kar je ena od temeljnih predpostavk. Kvečjemu je ta na strani delikventa, ki bi udrl in podatke odtujil z izvršitvijo KD.

Odvisno tudi, kdaj je bilo to spletno mesto implementirano, če je bila ta ranljivost tedaj znana. To glede ranljivosti, ali so stvarne napake ali ne, je še precej pravno nedoreceno in tudi na sploh pri nas o ranljivosti ni dosti sodne prakse (če izvzamemo pregone KD, ki zadevajo izkljucno njihovo uporabo za vdore, kjer se jim v pravni argumentaciji sploh ne posveca pozornosti).

Bom se malo zloben (karma je kurba), ce ni denarja za begunce, je tudi za varnost ni. Tu ne gre toliko za odgovornost, ampak za primernost casa ze resen premislek, kaj in kako bomo nadalje varnost obravnavali sistemsko. Nekoga, ki nima denarja za 'take neumnosti,' pac ne gre kakor koli soditi. Pa tudi ustreznih sprejetih politik ni na drzavni ravni, ce smo resnicoljubni.
Vrnite nam techno!

Zgodovina sprememb…

Mesar ::

Pozabljaš dejstvo, da je po njihovih izjavah sodeč nekdo delal "Penetration test" in verjetno posledično izdal papir, da je zadeva varna.
Your turn to burn!

matijadmin ::

Mesar je izjavil:

Pozabljaš dejstvo, da je po njihovih izjavah sodeč nekdo delal "Penetration test" in verjetno posledično izdal papir, da je zadeva varna.


Pozabljaš, da 100 %-ne varnosti ni in še bolj pomembno okoliščino, da nihče 100 %-no za penetracijske preskuse in varnostne preglede ne jamči. In nič ni narobe, da je tako.
Vrnite nam techno!

Mesar ::

Jamči pa neke standarde ne? Tako kot požarni inšpektor recimo.
Your turn to burn!

AndrejO ::

100% varnosti ni, lahko pa se vpogleda v poročilo o testu. Pa ne tisti "executive summary" del, ampak priloge, kjer piše točno kaj, kako in s katerimi metodami se je testiralo.

Razen seveda, če je to poslovna skrivnost.

Potem zadošča samo to, da se javno razglasi izvjalaca. Da se mu bomo drugi vedli izogibati.

Kot izziv, pa me zanima, če je AJPES sposoben najeti nekoga, ki bi spisal pošten povzetek, ki bi koristil celotni javnosti in v katerem se bi seciralo tehnične, organizacijske in operativne razloge, da je do tega prišlo, kakor tudi izravnalne ukrepe, da se temu v prihodnje izogne. Za vso IT srenjo v Sloveniji bi bilo to nekaj svežega, pozitivnega in v prihodnje tudi merodajnega, kako se obravnava incidente. Tudi v IT in tudi varnostne. (wink, wink, nudge, nudge, GBX).

Zgodovina sprememb…

  • spremenil: AndrejO ()

krneki0001 ::

matijadmin je izjavil:

Banka je kvečjemu solidarno odgovorna (enako AJPES). Kar pa ne pomeni, da je lahko v celoti kdgovoren izvajalec (saj lahko nadalje od njega terja škodo). Seveda, odvisno, kako je stvari zastavila in, kaj je narocila.


Če banka da na vpogled celemu spletu moje zasebne podatke, številke osebnih računov, stanja na računu,..., jo bom tožil za odškodnino. In tožbo tudi dobil. Kdo je izvajalec, kdo je testiral, kdo je vdiral, pa naj potem banka sama razčisti. Mene to niti ne zanima.

In enako je pri AJPES-u. Kdo je vdiral, kdo je naredil programje, kdo ga je testiral, je problem ajpesa. Naš problem pa je da je ajpes tudi zasebne podatke postavil vidne v spletu.

SeMiNeSanja ::

Kaj zdaj, so podatke dumpali ali jih niso? (nekje sem zgleda zgrešil poanto?)

Mesar ::

Nihče (še) ne ve. Je pa dejstvo, da so imel čas od "posodobitve" do prejšnjega vikenda, verjetno se bo zvedelo ko če se bodo dumpi znašli na spletu.
Your turn to burn!

matijadmin ::

AndrejO je izjavil:

100% varnosti ni, lahko pa se vpogleda v poročilo o testu. Pa ne tisti "executive summary" del, ampak priloge, kjer piše točno kaj, kako in s katerimi metodami se je testiralo.

Razen seveda, če je to poslovna skrivnost.

Potem zadošča samo to, da se javno razglasi izvjalaca. Da se mu bomo drugi vedli izogibati.

Kot izziv, pa me zanima, če je AJPES sposoben najeti nekoga, ki bi spisal pošten povzetek, ki bi koristil celotni javnosti in v katerem se bi seciralo tehnične, organizacijske in operativne razloge, da je do tega prišlo, kakor tudi izravnalne ukrepe, da se temu v prihodnje izogne. Za vso IT srenjo v Sloveniji bi bilo to nekaj svežega, pozitivnega in v prihodnje tudi merodajnega, kako se obravnava incidente. Tudi v IT in tudi varnostne. (wink, wink, nudge, nudge, GBX).

Pri nas je to problem sistemske narave, pomanjkanja ustreznih politik prav za prav (pri cemer dodatnih pravnih norm ne potrebujemo). In ja, eno taksno porocilo bi bilo odlicno za nadaljnje premisleke, oz. ukrepe (dolocanja politik ger sistemskega urejanja).

krneki0001 je izjavil:

matijadmin je izjavil:

Banka je kvečjemu solidarno odgovorna (enako AJPES). Kar pa ne pomeni, da je lahko v celoti kdgovoren izvajalec (saj lahko nadalje od njega terja škodo). Seveda, odvisno, kako je stvari zastavila in, kaj je narocila.


Če banka da na vpogled celemu spletu moje zasebne podatke, številke osebnih računov, stanja na računu,..., jo bom tožil za odškodnino. In tožbo tudi dobil. Kdo je izvajalec, kdo je testiral, kdo je vdiral, pa naj potem banka sama razčisti. Mene to niti ne zanima.

In enako je pri AJPES-u. Kdo je vdiral, kdo je naredil programje, kdo ga je testiral, je problem ajpesa. Naš problem pa je da je ajpes tudi zasebne podatke postavil vidne v spletu.

Ajpes ni ne namenoma ne nenamenoma dal nicesar na vpogled. Toliko pa menda ja znate sarkazme v clanku prepoznati in razumete, kaj je ranljivost.

Lahko je opletati, iskati neke kvazi analogije ipd., pri cemer kaze, da niti ne razumes tehnicno v cem je bil problem.
Vrnite nam techno!

Zgodovina sprememb…

poweroff ::

Torej to, da so delali pen testing je seveda zelo v redu in dobra praksa.

Jasno je tudi, da pen testing vsega ne more odkriti. Ampak SQL injection v obliki ki je bila prisotna tukaj je po mojem osebnem mnenju taka zadeva, da bi jo pen testing moral odkriti. Če je ni odkril je več možnosti.

Prva je, da se je SQLi pojavil šele sedaj. Po informacijah, ki jih imam sedaj, to ne drži, ranljivost je bila menda prisotna že dlje časa.

Druga je, da sploh niso delali pen testinga, pač pa ISO27001 compliance review.

Tretja je pa, da je bil pen testing izveden nestrokovno.

Glede na tole:
http://erar.si/placnik/16411/prejemnik/...
rahlo domnevam, da so delali zgolj ISO27001 compliance review.

Ampak kot rečeno, ne vemo. Lahko pa jim kdo pošlje ZDIJZ zahtevek...
sudo poweroff

krneki0001 ::

matijadmin je izjavil:

Ajpes ni ne namenoma ne nenamenoma dal nicesar na vpogled. Toliko pa menda ja znate sarkazme v clanku prepoznati in razumete, kaj je ranljivost.

Lahko je opletati, iskati neke kvazi analogije ipd., pri cemer kaze, da niti ne razumes tehnicno v cem je bil problem.


Seveda je ajpes dal nenamenoma podatke v svet, ker ni dobro stestiral programja, ki mu ga je podizvajalec dobavil. In tukaj ni nič opletanja, pa če jih še tako braniš.

In seveda vem v čem je problem. Nestrokovno testiranje programske opreme zunanjega dobavitelja, nesposobnost database adminov, da bi preverili vsaj par stvari na bazi in nesposobnost adminov in tehnikov, da bi karkoli sploh naredili.
Nosijo se pa kot pavi, pa če jim rečeš, da bi se kaj o tehničnih rešitvah pogovoril, te takoj zavrnejo, češ koji K***C si pa ti, da se bomo mi sploh s tabo pogovarjal.

Zgodovina sprememb…

  • predlagal izbris: matijadmin ()

SeMiNeSanja ::

Ajpes ni ne namenoma ne nenamenoma dal nicesar na vpogled. Toliko pa menda ja znate sarkazme v clanku prepoznati in razumete, kaj je ranljivost.


Že mogoče, da ni namerno - je pa malomarno!

Malomarnost pa je lahko kazniva.
Pri nas, ki smo banana republika so kazni sicer bagatelne, malo bolj proti zahodu pa zaradi take malomarnosti lahko hudo boli glava.
Ampak glede na to, da gremo proti novi regulativi, bodo tudi pri nas lahko šle kazni za malomarnosti v nebo.

Sicer nisem pravnik, ampak mislim, da dokler ni kaj 'ušlo', zadeva še ni problematična. Problem pa postane zelo resen, ko enkrat nekaj 'pobegne'.

Se pridružujem Matthaiu v mnenju, da so verjetno samo ISO27001 compliance preverjali. Ampak očitno nekaj šepa pri njihovi implementaciji ISO standarda, če niso pomislili, da bi bilo dobro spletne strani po vsakem popravku zmlinčkati skozi enega od toolov za odkrivanje SQL injection ranljivosti, predenj se jih da v produkcijo.
Drugače pa.... kaj ni ISO27001 nekako v smislu, kot če vprašaš otroke, če so bili pridni, oni ti pa veselo prikimavajo. Ob tem, da ima eden strgane hlače, drugi zapacan z Nutello do ušes, kristalna vaza v črepinjah,.......

matijadmin ::

poweroff je izjavil:

Torej to, da so delali pen testing je seveda zelo v redu in dobra praksa.

Ravno to jih uvršča v sam vrh v javni upravi, kar zadeva varnostnih praks (žal). Ker so redki, ki so to sploh izvedli, bi jih zelo težko kdo 'obtožil,' da so ravnali premalo skrbno.

poweroff je izjavil:


Jasno je tudi, da pen testing vsega ne more odkriti. Ampak SQL injection v obliki ki je bila prisotna tukaj je po mojem osebnem mnenju taka zadeva, da bi jo pen testing moral odkriti. Če je ni odkril je več možnosti.

Glede na razpoložljiva ogrodja za penetracijske preskuse, prav gotovo. To postavi kompetence izvajalca pod vprašaj!

poweroff je izjavil:


Prva je, da se je SQLi pojavil šele sedaj. Po informacijah, ki jih imam sedaj, to ne drži, ranljivost je bila menda prisotna že dlje časa.

Druga je, da sploh niso delali pen testinga, pač pa ISO27001 compliance review.

Tretja je pa, da je bil pen testing izveden nestrokovno.

Glede na tole:
http://erar.si/placnik/16411/prejemnik/...
rahlo domnevam, da so delali zgolj ISO27001 compliance review.

Ampak kot rečeno, ne vemo. Lahko pa jim kdo pošlje ZDIJZ zahtevek...

Čisto vseeno, tudi skladnost s tem standardom pomeni, da so se zavezali izvajati penetracijske preskuse, oz. da je (hipotetično vsaj) eden že bil izveden. To potem zopet postavi pod vprašaj kompetence/integriteto presojevalca, oz. družbe, ki je potrdilo o skladnosti izdala!
Vrnite nam techno!

krneki0001 ::

matijadmin, ti si en izmed nesposobnih zaposlenih na ajpesu?

Zgodovina sprememb…

  • predlagal izbris: matijadmin ()

matijadmin ::

SeMiNeSanja je izjavil:

Ajpes ni ne namenoma ne nenamenoma dal nicesar na vpogled. Toliko pa menda ja znate sarkazme v clanku prepoznati in razumete, kaj je ranljivost.


Že mogoče, da ni namerno - je pa malomarno!

Malomarnost pa je lahko kazniva.
Pri nas, ki smo banana republika so kazni sicer bagatelne, malo bolj proti zahodu pa zaradi take malomarnosti lahko hudo boli glava.
Ampak glede na to, da gremo proti novi regulativi, bodo tudi pri nas lahko šle kazni za malomarnosti v nebo.

Sicer nisem pravnik, ampak mislim, da dokler ni kaj 'ušlo', zadeva še ni problematična. Problem pa postane zelo resen, ko enkrat nekaj 'pobegne'.

Se pridružujem Matthaiu v mnenju, da so verjetno samo ISO27001 compliance preverjali. Ampak očitno nekaj šepa pri njihovi implementaciji ISO standarda, če niso pomislili, da bi bilo dobro spletne strani po vsakem popravku zmlinčkati skozi enega od toolov za odkrivanje SQL injection ranljivosti, predenj se jih da v produkcijo.
Drugače pa.... kaj ni ISO27001 nekako v smislu, kot če vprašaš otroke, če so bili pridni, oni ti pa veselo prikimavajo. Ob tem, da ima eden strgane hlače, drugi zapacan z Nutello do ušes, kristalna vaza v črepinjah,.......


Ene stvari so v standardu zapisane kot zahteve, druge pa kot priporočila, za izdajo potrdila o skladnosti. Pentest je zahtevan kot esencialni del ISMS. Kljub nekim manjšim 'odstopanjem' se lahko izda potrdilo, vendar s priporočili za izboljšave, kakšna očitna neskladja pa ne smejo biti ugotovljena in neizveden pentest bi po moje sodil v to zadnjo kategorijo. Vprašanje je tudi, kdo je izvajal pentest (isti kot presojo). Vprašanje, kako je bil pentest zastavljen idt. Vprašanj je mnogo, zato govoriti na pamet, da je potrdilo o skladnosti z zadevnim standardom BV, milo rečeno neumno. Zelo prezgodaj je, da bi kaj pametnega (mi na forumu) pogruntali. Bolj me skrbi, da tudi tisti, ki so za to poklicani, ne bodo naredili tega, kar je Andrej O. napisal, da bi bilo dobro (epsko: za vse nas za v bodoče).
Vrnite nam techno!

SeMiNeSanja ::

@matijadmin - kot si rekel: "skladnost" je zelo elastičen pojem. Največji čar vpeljave standarda je v tem, da si ga prilagodiš. Ta prilagoditev pa gre lahko od tega, da zadovoljiš minimalne zahteve (quick&dirty?), pa do ekscesivnega pretiravanja. V praksi pa nobena skrajnost ni dobra za dvig dejanske varnosti.

krneki0001 ::

Dejansko, če veš kaj vse imaš v bazah in veš, da so to podatki, ki se lahko zlorabijo, moraš odtujitev takih podatkov nujno preprečiti. In nesposobneži na ajpesu tega niso naredili.
Torej so odgovorni! In kakšen šef bi moral tudi službo izgubit zaradi tega.

darkolord ::

Odtujitve se ne da preprečiti.

Lahko se jo samo oteži.

matijadmin ::

krneki0001 je izjavil:

Dejansko, če veš kaj vse imaš v bazah in veš, da so to podatki, ki se lahko zlorabijo, moraš odtujitev takih podatkov nujno preprečiti. In nesposobneži na ajpesu tega niso naredili.
Torej so odgovorni! In kakšen šef bi moral tudi službo izgubit zaradi tega.


Kdo je odgovoren česa in, zakaj? Pravno argumentiral ali pa nam daj mir z za lase privlečenimi analogijami, sklepi po tvojih občutkih in na sploh neumnimi zaključki.
Vrnite nam techno!

Zgodovina sprememb…

PrihajaNodi ::

Saj v 24 ur nekdo lepo pove "sociala, alko"....

Zgodovina sprememb…

krneki0001 ::

matijadmin je izjavil:

krneki0001 je izjavil:

Dejansko, če veš kaj vse imaš v bazah in veš, da so to podatki, ki se lahko zlorabijo, moraš odtujitev takih podatkov nujno preprečiti. In nesposobneži na ajpesu tega niso naredili.
Torej so odgovorni! In kakšen šef bi moral tudi službo izgubit zaradi tega.


Kdo je odgovoren česa in, zakaj? Pravno argumentiral ali pa nam daj mir z za lase privlečenimi analogijami, sklepi po tvojih občutkih in na sploh neumnimi zaključki.



Ajpes je odgovoren vsaj neodgovornega ravnanja, ker so dopustili vdor. In zato je potrebno da nekdo leti iz službe zaradi nesposobnosti.

Zgodovina sprememb…

AndrejO ::

krneki0001 je izjavil:


Ajpes je odgovoren vsaj neodgovornega ravnanja, ker so dopustili vdor. In zato je potrebno da nekdo leti iz službe zaradi nesposobnosti.

Stvar ni tako enostavna. Lahko, da so ravnali malomarno, lahko pa so ravnala z vso dolžno skrbjo, pa so jih stvari prehitele. To, da je nekdo "dopustil vdor", pa se lahko ugotavlja šele na podlagi dejanskih podatkov in ne zgolj ugibanj ter sklepanj. Pa tudi ta "dopustil vdor" ima lahko več vzrokov in veliko je takšnih, ki ne terjajo ali celo upravičujejo izredno odpoved delovnega razmerja.

Vse se torej začne pri ugotovitvi dejanskega stanja in transparentnosti glede izsledkov. Glede na potencialen obseg incidenta, mislim, da je do tega upravičena vsa zainteresirana javnost in ne samo tista, ki želi biti prednostno obveščena. Zdaj ... lepo bi bilo, če se takšno stvar naredi zlepa in kot primer dobre prakse. Ampak, če pa to ne bo šlo tako, in glede na to, da je AJPES pravna oseba javnega prava, pa se lahko to doseže tudi malo bolj zgrda in z uporabo kakšnega ZDIJZ.

Zgodovina sprememb…

  • spremenil: AndrejO ()

krneki0001 ::

AndrejO je izjavil:

krneki0001 je izjavil:


Ajpes je odgovoren vsaj neodgovornega ravnanja, ker so dopustili vdor. In zato je potrebno da nekdo leti iz službe zaradi nesposobnosti.

Stvar ni tako enostavna. Lahko, da so ravnali malomarno, lahko pa so ravnala z vso dolžno skrbjo, pa so jih stvari prehitele. To, da je nekdo "dopustil vdor", pa se lahko ugotavlja šele na podlagi dejanskih podatkov in ne zgolj ugibanj ter sklepanj. Pa tudi ta "dopustil vdor" ima lahko več vzrokov in veliko je takšnih, ki ne terjajo ali celo upravičujejo izredno odpoved delovnega razmerja.


Stvar je čisto enostavna. Preden daš zadeve v produkcijo, je treba vse potestirat in narediti teste. Ker so podatki "kritični" je treba še toliko testov več. Penetration test je nekaj nujnega in se ga lahko tudi večkrat naredi, če se že greš edinega v javni upravi, ki ima vse baze registrov čez. Ker če se ve, da si edini s temi bazami, si toliko bolj izpostavljen.

Kaj misliš, kako je na bankah s takimi zadevami? zunanji dobavitelj da programje, ki se potem testira par mesecev in se podpišejo vsi sprejemni testi. Točno se ve kaj je kdo stestiral in kdo je odgovoren za nekaj kar bi moral stestirat, pa ni, če se pojavi napaka. In testi ter testni podatki so določeni pripravljeni že ob pisanju specifikacij kaj naj zunanji sploh naredi.

Recimo, ko pride nov mainframe v IT banke, je 6 mesecev priklopljen kot paralelna mašina obstoječemu in se samo testira na njem, da slučajno ne bo kake napake.

Oprosti, ampak ajpes so šalabajzarji.

SeMiNeSanja ::

AndrejO je izjavil:


Vse se torej začne pri ugotovitvi dejanskega stanja in transparentnosti glede izsledkov. Glede na potencialen obseg incidenta, mislim, da je do tega upravičena vsa zainteresirana javnost in ne samo tista, ki želi biti prednostno obveščena. Zdaj ... lepo bi bilo, če se takšno stvar naredi zlepa in kot primer dobre prakse. Ampak, če pa to ne bo šlo tako, in glede na to, da je AJPES pravna oseba javnega prava, pa se lahko to doseže tudi malo bolj zgrda in z uporabo kakšnega ZDIJZ.

Se strinjam, da bi bilo lepo - ampak treba je biti tudi realist. Tako izčrpno poročilo o tem, kaj je šlo narobe in kaj so se naučili na svojih napakah, zahteva nekaj dela. Ne dvomim, da bo to delo takointako opravljeno, vendar je treba takšno poročilo redaktirati - niso vsi podatki primerni za javno objavo.

Lepo bi tudi bilo, če bi npr. SI-Cert pri vsakem primeru, katerega obravnavajo, 'stranko' vprašali, če smejo objaviti (anonimizirane) podrobnosti o incidentu. Marsikdo sicer nebi pristal na objavo, zagotovo pa bi se našle tudi izjeme, katere bi se strinjale, da se lahko kdo na njihovi napaki nauči, kako se ji lahko sam izogne.
Toda kdo se bo pa še s tem ukvarjal? Dvomim, da SI-Cert - že tako jokajo, da so kadrovsko podhranjeni (najbrž so res?). Torej bomo spet ostali na suhoparnih statistikah o številu incidentov, ki pa predstavlja zgolj vrh ledene gore.
Kdor bo hotel poučne zgodbe, ta naj pa bere kakšnega Krebsa.....
Škoda, ker bi bilo bolj zanimivo brati zgodbe iz domačih logov, da nebi vsi imeli občutek, da se te reči dogajajo samo tam nekje drugje, ne pa pri nas.

AndrejO ::

krneki0001 je izjavil:


Oprosti, ampak ajpes so šalabajzarji.

Težke besede. Ampak to "šalabajzerstvo" je potrebno argumentirati, ne samo razpredati o temu, kaj vse naredijo banke, da jim oprostiš "šalabajzerstvo", potem ko še vedno zajebejo po celi črti.

darkolord ::

Milijarde na bankah niso važne, samo da na osmi decimalki vse štima.

AndrejO ::

SeMiNeSanja je izjavil:

AndrejO je izjavil:


Vse se torej začne pri ugotovitvi dejanskega stanja in transparentnosti glede izsledkov. Glede na potencialen obseg incidenta, mislim, da je do tega upravičena vsa zainteresirana javnost in ne samo tista, ki želi biti prednostno obveščena. Zdaj ... lepo bi bilo, če se takšno stvar naredi zlepa in kot primer dobre prakse. Ampak, če pa to ne bo šlo tako, in glede na to, da je AJPES pravna oseba javnega prava, pa se lahko to doseže tudi malo bolj zgrda in z uporabo kakšnega ZDIJZ.

Se strinjam, da bi bilo lepo - ampak treba je biti tudi realist. Tako izčrpno poročilo o tem, kaj je šlo narobe in kaj so se naučili na svojih napakah, zahteva nekaj dela. Ne dvomim, da bo to delo takointako opravljeno, vendar je treba takšno poročilo redaktirati - niso vsi podatki primerni za javno objavo.

Morebitna redakcija takšnega poročila zahteva minimalno dodatnega napora. Osnovno delo pa mora biti opravljeno v vsakem primeru, če naj bo govora o dobro opravljenem delu.

SeMiNeSanja je izjavil:

Lepo bi tudi bilo, če bi npr. SI-Cert pri vsakem primeru, katerega obravnavajo, 'stranko' vprašali, če smejo objaviti (anonimizirane) podrobnosti o incidentu. Marsikdo sicer nebi pristal na objavo, zagotovo pa bi se našle tudi izjeme, katere bi se strinjale, da se lahko kdo na njihovi napaki nauči, kako se ji lahko sam izogne.

Lepo bi bilo, ampak od CSIRT tega realno nihče ne pričakuje. Se pa to lahko pričakuje in zahteva od vsakogar pri komer je do incidenta prišlo, CSIRT pa jim lahko pri tem pomaga.

SeMiNeSanja je izjavil:

Torej bomo spet ostali na suhoparnih statistikah o številu incidentov, ki pa predstavlja zgolj vrh ledene gore.

Suhoparne statistike lahko pripravlja tajnica s fax mašino in fikusom. Fax mašina je opcijska.

SeMiNeSanja je izjavil:

Kdor bo hotel poučne zgodbe, ta naj pa bere kakšnega Krebsa.....

Ne gre se za poučne zgodbe, temveč za primere dobre prakse. Primer dobre prakse kako se incident razdela. Kako se ne išče grešnih kozlov (gl. zgoraj komentar o "šalabajzerjih"). Kako se išče in odpravlja vzroke za napačna ravnanja ljudi. Kako se omejuje možnosti človeške napake. Kako se ... To je mnogo več, kot pa dobra zgodbica. To je meso tega, kar bi lahko polnokrvni CSIRT ponudil IT industriji v Sloveniji.

krneki0001 ::

AndrejO je izjavil:

krneki0001 je izjavil:


Oprosti, ampak ajpes so šalabajzarji.

Težke besede. Ampak to "šalabajzerstvo" je potrebno argumentirati, ne samo razpredati o temu, kaj vse naredijo banke, da jim oprostiš "šalabajzerstvo", potem ko še vedno zajebejo po celi črti.

Govorimo o ajpesu. Odpri temo o bankah, imam veliko za povedat. Med drugim tudi to, da bi se večina bank brez problema lahko "izplačala" in vrnila vse kar so dobili iz proračuna kot dokapitalizacije, pa se ne smejo, ker bi s tem ogrozili prodajo teh bank.

AndrejO ::

krneki0001 je izjavil:

AndrejO je izjavil:

krneki0001 je izjavil:


Oprosti, ampak ajpes so šalabajzarji.

Težke besede. Ampak to "šalabajzerstvo" je potrebno argumentirati, ne samo razpredati o temu, kaj vse naredijo banke, da jim oprostiš "šalabajzerstvo", potem ko še vedno zajebejo po celi črti.

Govorimo o ajpesu. Odpri temo o bankah, imam veliko za povedat. Med drugim tudi to, da bi se večina bank brez problema lahko "izplačala" in vrnila vse kar so dobili iz proračuna kot dokapitalizacije, pa se ne smejo, ker bi s tem ogrozili prodajo teh bank.

Če se ne motim, je beseda tekla o informacijski varnosti in (ne)verjetnosti, da pride do napak in incidentov v informacijskih sistemih.

Od kje si ti sedaj priletel notri z nekimi miljardami, ne vem. Vem pa, da si je npr. RBS s svojim "epic fail" IT-ja zagotovila kar lastno geslo na Wikipediji. Vajo so ponovili l. 2013. In potem še enkrat l. 2015. Pa to tudi ni bila edina banka, ki se ji je zalomilo.

Ampak glede na to, da se pogovarjamo o varnostnih incidentih, dajmo pogledati še kako je banka izgubila podatke o svojih komitentih, ki so bili na nekem USB ključku. Zadeve se včasih izgubijo tudi na pošti. Večkrat.

OK, razumem. Brati o pomankljivih procesih ni ravno najbolj seksi. Direkti napadi so bolj seksi. SQL injection napadi pa sploh.

Mnja. ECB jo je odnesel samo z manjšo prasko.

Anyway ... nekaj razpredati o splošni varnostni bank pač ne vzdrži vode in tudi ne pove ničesar o temu, če je bil AJPES malomaren, nespreten, zabit ali pa so imeli zgolj zvrhano mero nesreče.

bbbbbb2015 ::

matijadmin je izjavil:

Malo slabo poznate eni civilno pravo in bi želeli soditi kar malo (v tri dni) po svojem občutku. Odškodninsko morajo biti vse 4 postavke izpolnjene, pa še tedaj je komplicirano, ker je odgovornost lahko na več povzročiteljih. Kazensko pa tu ne vidim odgovornosti ne na AJPES ne na izvajalcu, temveč le na potencialnih kiber kriminalcih (mednje pa ne štejem tistega, ki je obvestil ta medij).


Po moje ti sploh novic ne bereš. Spinaš se kar v svoji glavi.
Ti bom črkoval:
K.D.O. J.E. A.J.P.E.S. D.O.V.O.L.I.L. D.A. I.M.A. K.O.P.I.J.O. C.E.N.T.R.A.L.N.E.G.A. R.E.G.I.S.T.R.A. P.-R.E.B.I.V.A.L.S.L.S.T.V.A?
D.O. K.A.T.E.R.E.G.A. S.O. B.I.L.I. M.A.L.O.M.A.R.N.I.

Lepo se vsedi, daj si tin hat na gllavo in preberi. Počasi, se ne mudi.

krneki0001 ::

AndrejO je izjavil:

...Vem pa, da si je npr. RBS s svojim "epic fail" IT-ja zagotovila kar lastno geslo na Wikipediji. Vajo so ponovili l. 2013. In potem še enkrat l. 2015. Pa to tudi ni bila edina banka, ki se ji je zalomilo.

Ampak glede na to, da se pogovarjamo o varnostnih incidentih, dajmo pogledati še kako je banka izgubila podatke o svojih komitentih, ki so bili na nekem USB ključku. Zadeve se včasih izgubijo tudi na pošti. Večkrat.

OK, razumem. Brati o pomankljivih procesih ni ravno najbolj seksi. Direkti napadi so bolj seksi. SQL injection napadi pa sploh.

Mnja. ECB jo je odnesel samo z manjšo prasko.

Anyway ... nekaj razpredati o splošni varnostni bank pač ne vzdrži vode in tudi ne pove ničesar o temu, če je bil AJPES malomaren, nespreten, zabit ali pa so imeli zgolj zvrhano mero nesreče.


Ja, ampak odgovorni za te zadeve so bili na banki in so leteli kot so dolgi in široki iz službe.

Pri nas se bo pa slo-tech demoniziralo in človeka, ki je vdrl v sistem in jim pokazal kakšno štalo imajo. Na ajpesu pa ne bo nič novega, še zadev ne bodo popravili, čeprav trdijo, da so jih že. Ne verjamem da v tako kompleksnem okolju lahko v parih urah daš ven popravek, tudi v parih dneh ne, ker morajo prvo preveriti, kaj je točno napaka, napisat specifikacije za zunanje jim jih dostavit in potem imajo zunanji vsaj teden dni časa, da naredijo popravek.
Predobro poznam te "dinozavre", ker sem v takem podjetju tudi delal. In ja da se tako podjetje obrne za par stopinj, rabiš enormen vzvod.

Zgodovina sprememb…

poweroff ::

krneki0001 je izjavil:

Stvar je čisto enostavna. Preden daš zadeve v produkcijo, je treba vse potestirat in narediti teste. Ker so podatki "kritični" je treba še toliko testov več. Penetration test je nekaj nujnega in se ga lahko tudi večkrat naredi, če se že greš edinega v javni upravi, ki ima vse baze registrov čez. Ker če se ve, da si edini s temi bazami, si toliko bolj izpostavljen.

Tukaj se strinjam z AndrejemO. Napake se dogajajo, tega se ne da preprečiti, noben sistem ni 100% varen, pomembno je, kako se odzivaš na napake.

Spominjam se nekega primera, ko sem v podjetju delal forenziko. Razvili so neko aplikacijo, ki je vsebovala res zelo občutljive osebne podatke. Direktor se je zavedal tveganja in je naročil varnostno analizo.

Ki je pokazala, da je vse OK.

Potem so podatki "ušli" na internet - z ustreznim Google iskanjem si lahko dostopal do zalednih podatkov.

Direktor je nemudoma naročil še eno varnostno analizo, ki je pokazala, da je aplikacija OK. Posumili so na vdor in s kolegom sva šla delat pregled.

No, v prvi minuti sem ugotovil, da so imeli neustrezen sistem avtentikacije - s spreminjanjem URL naslova si lahko brez gesla dostopal do zalednega sistema...

Fail?

Seveda.

Je direktor ravnal malomarno?

Po moje ne, problem je, da seveda ni imel dovolj znanja, je pa v okviru svojega znanja naredil vse, kar je vedel in znal.
sudo poweroff

Invictus ::

@Matthai

Je pač razlika ali se poskuša nekaj naredit, ali pa se poskuša diskreditirati pisca novice...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

thramos ::

poweroff je izjavil:

Seveda.

Je direktor ravnal malomarno?

Po moje ne, problem je, da seveda ni imel dovolj znanja, je pa v okviru svojega znanja naredil vse, kar je vedel in znal.


Neznanje ni izgovor, ali kako že gre.

Verjetno bi moral v takšnem primeru direktor ocenit, da zaradi svojega neznanja ni sposoben za upravljanje razvoja aplikacije, ki operira z res občutljivimi podatki.

krneki0001 ::

poweroff je izjavil:

krneki0001 je izjavil:

Stvar je čisto enostavna. Preden daš zadeve v produkcijo, je treba vse potestirat in narediti teste. Ker so podatki "kritični" je treba še toliko testov več. Penetration test je nekaj nujnega in se ga lahko tudi večkrat naredi, če se že greš edinega v javni upravi, ki ima vse baze registrov čez. Ker če se ve, da si edini s temi bazami, si toliko bolj izpostavljen.

Tukaj se strinjam z AndrejemO. Napake se dogajajo, tega se ne da preprečiti, noben sistem ni 100% varen, pomembno je, kako se odzivaš na napake.


Se strinjam da noben sistem ni varen, ampak danes "sql injection!!!!". Mislim prva stvar na vsakem faksu, kjer imajo podatkovne zbirke in osnovno učenje programiranja z bazami podatkov, te naučijo kako se izogneš sql injectionu (vsaj na FERI-ju v Mariboru je to kr pomemben del enega izpita).

In ajpes je edina javna ustanova z ogromnimi bazami, z vsemi podatki o vseh prebivalcih. Imajo vse. Ampak res vse o vsakem človeku (davčna, emšo, naslovi, premoženje,.... Vse fursove podatke (stanja, zaslužki, krediti,...), vse transakcijske račune, vsa stanja na teh računih (vsak večer se pošiljajo na ajpes), vse blokacije, vse transakcije,..., vse podatke bank, koliko so likvidne,.... Manjkajo samo številke gat (številke čevljev imajo). In v takem primeru narediš vsaj dva penetration testa od dveh različnih firm. In penetration test ponavljaš vsaj vsake pol leta.

Oprosti, ampak ti podatki so tako zelo pomembni in tukaj se nimajo kaj šalabajzersko obnašat. Sploh pa ne potem iskat krivca v slo-techu in človeku, ki je opozoril na njihove napake. Raje naj ga zaposlijo.

poweroff je izjavil:


Spominjam se nekega primera, ko sem v podjetju delal forenziko. Razvili so neko aplikacijo, ki je vsebovala res zelo občutljive osebne podatke. Direktor se je zavedal tveganja in je naročil varnostno analizo.

Ki je pokazala, da je vse OK.

Potem so podatki "ušli" na internet - z ustreznim Google iskanjem si lahko dostopal do zalednih podatkov.

Direktor je nemudoma naročil še eno varnostno analizo, ki je pokazala, da je aplikacija OK. Posumili so na vdor in s kolegom sva šla delat pregled.

No, v prvi minuti sem ugotovil, da so imeli neustrezen sistem avtentikacije - s spreminjanjem URL naslova si lahko brez gesla dostopal do zalednega sistema...

Fail?

Seveda.

Je direktor ravnal malomarno?

Po moje ne, problem je, da seveda ni imel dovolj znanja, je pa v okviru svojega znanja naredil vse, kar je vedel in znal.


To je razumljivo, da direktor ne ve vsega in dela po svojem znanju. Ta se je celo dvakrat potrudil. Problem je ker je naročil varnostno analizo pri šalabajzerjih, če si ti v minuti ugotovil napako pri avtentikaciji. Očitno je nihče ni šel niti preverjat.


Hint, če to bere ta, ki je vdrl, naj me kontaktira, ima službo zagarantirano. Naredim takoj firmo, ki bo opravljala penetration teste in opravljala analize, ker človek očitno obvlada.

thramos je izjavil:

poweroff je izjavil:

Seveda.

Je direktor ravnal malomarno?

Po moje ne, problem je, da seveda ni imel dovolj znanja, je pa v okviru svojega znanja naredil vse, kar je vedel in znal.


Neznanje ni izgovor, ali kako že gre.

Verjetno bi moral v takšnem primeru direktor ocenit, da zaradi svojega neznanja ni sposoben za upravljanje razvoja aplikacije, ki operira z res občutljivimi podatki.


Nope, direktor je ocenil, da nima dovolj znanja in je naročil zunanji varnostni pregled, kar je edina pravilna odločitev v tistem trenutku. Problem je bil samo, ker je najel napačne, ki niso odkrili že osnovne napake ob avtentikaciji.

Zgodovina sprememb…

AndrejO ::

krneki0001 je izjavil:

AndrejO je izjavil:

...Vem pa, da si je npr. RBS s svojim "epic fail" IT-ja zagotovila kar lastno geslo na Wikipediji. Vajo so ponovili l. 2013. In potem še enkrat l. 2015. Pa to tudi ni bila edina banka, ki se ji je zalomilo.

Ampak glede na to, da se pogovarjamo o varnostnih incidentih, dajmo pogledati še kako je banka izgubila podatke o svojih komitentih, ki so bili na nekem USB ključku. Zadeve se včasih izgubijo tudi na pošti. Večkrat.

OK, razumem. Brati o pomankljivih procesih ni ravno najbolj seksi. Direkti napadi so bolj seksi. SQL injection napadi pa sploh.

Mnja. ECB jo je odnesel samo z manjšo prasko.

Anyway ... nekaj razpredati o splošni varnostni bank pač ne vzdrži vode in tudi ne pove ničesar o temu, če je bil AJPES malomaren, nespreten, zabit ali pa so imeli zgolj zvrhano mero nesreče.


Ja, ampak odgovorni za te zadeve so bili na banki in so leteli kot so dolgi in široki iz službe.

V nobenem izmed navedenih primerov ni nihče "letel iz službe".

krneki0001 je izjavil:

Pri nas se bo pa slo-tech demoniziralo in človeka, ki je vdrl v sistem in jim pokazal kakšno štalo imajo. Na ajpesu pa ne bo nič novega, še zadev ne bodo popravili, čeprav trdijo, da so jih že. Ne verjamem da v tako kompleksnem okolju lahko v parih urah daš ven popravek, tudi v parih dneh ne, ker morajo prvo preveriti, kaj je točno napaka, napisat specifikacije za zunanje jim jih dostavit in potem imajo zunanji vsaj teden dni časa, da naredijo popravek.

Bomo videli, če jih bo to zbadanje motiviralo, da stvari naredijo bolje.

krneki0001 je izjavil:

Predobro poznam te "dinozavre", ker sem v takem podjetju tudi delal. In ja da se tako podjetje obrne za par stopinj, rabiš enormen vzvod.

A to jih poznaš tako dobro, kot poznaš banke in njihove neobstoječe nesreče in 100% učinkovite metode testiranja?

krneki0001 ::

Kdo je pa rekel, da vdorov v banke ni bilo? To samo ti trdiš.

Ampak v sloveniji boš zelo težko naredil kak SQL injection na naših bankah. Zelo težko. In to kar so naredili ajpesu, so začetniške napake v kodi, ki jih delajo študentje prvega letnika faksa, plačani 3 do 4 evre na uro.

Zgodovina sprememb…

AndrejO ::

krneki0001 je izjavil:

Kdo je pa rekel, da vdorov v banke ni bilo? To samo ti trdiš.

Tako te je bilo razumeti, ko si vehementno razlagal, kako v bankah pa niso šalabajzerji, ker vse prej potestirajo.

Preden izveš, kaj in kako je sploh bilo storjeno, je težko reči, da je šlo za malomarnost ali pa, da je šlo za tolikšno malomarnost, da bi bilo potrebno nekoga odpustiti.


krneki0001 je izjavil:

Ampak v sloveniji boš zelo težko naredil kak SQL injection na naših bankah. Zelo težko. In to kar so naredili ajpesu, so začetniške napake v kodi, ki jih delajo študentje prvega letnika faksa, plačani 3 do 4 evre na uro.

Si videl kodo, da to veš? Poznaš ljudi, ki so to pisali? Si dobil osnutek poročila o incidentu?

Do share, please!

krneki0001 ::

AndrejO je izjavil:


V nobenem izmed navedenih primerov ni nihče "letel iz službe".


Seveda so, vse, ki dobijo da kradejo podatke, vržejo ven. In izgubiti disk s podatki tudi ni nedolžna zadeva, pa zato letiš iz službe. Na Lloyd bank je glavni direktor takoj sam odstopil. Na ostalih bankah so pa direktorji IT-ja leteli.

Pa še ena zanimivost:
Dupont celo ocenjuje da ima 59% zasposlenih, ki delajo v bankah z bazami podatkov, doma kako kopijo podatkov, ki niso za javnost.

AndrejO je izjavil:

krneki0001 je izjavil:

Kdo je pa rekel, da vdorov v banke ni bilo? To samo ti trdiš.

Tako te je bilo razumeti, ko si vehementno razlagal, kako v bankah pa niso šalabajzerji, ker vse prej potestirajo.

No, potem si pa zelo narobe razumel. Povedal sem samo da se mora zadeva testirat par mesecev, preden gre v produkcijo in da se v tistem času večina napak odkrije.
Zato pa so banke dinozavri, kjer gre vse počasi. Ravno zaradi takih testiranj in varnosti. Nič pa ne moreš prav dosti pospešit, ker vseeno vsaka stvar zahteva svoj čas.

AndrejO je izjavil:


Preden izveš, kaj in kako je sploh bilo storjeno, je težko reči, da je šlo za malomarnost ali pa, da je šlo za tolikšno malomarnost, da bi bilo potrebno nekoga odpustiti.


V tujini direktorji ob taki napaki kr sami odstopijo, ker je to za ustanovo sramotno. Pri nas pa jih pač branite in jim dajete potuho. Se pozna na vseh področjih.

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369130980 (96213) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181068 (63622) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953051 (43188) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432388 (22695) Furbo

Več podobnih tem