» »

Ajpes končno priznal: Ne vemo, kaj delamo

Ajpes končno priznal: Ne vemo, kaj delamo

Slo-Tech - Oddajanje letnih poročil Ajpesu je očitno pomembnejše kot varovanje podatkov podjetij in državljanov in državljank Slovenije. Da potencialne poslovne škode zasebnim podjetjem in možnosti kraje identitete državljanov sploh ne omenjamo. Vsaj tako razumemo odgovore vodje Ajpesove službe za informacijsko tehnologijo Marjana Babiča, ki jih je dal v intervjuju za RTV MMC.

»Pri analiziranju smo proučevali tudi nekatere bolj radikalne ukrepe, vendar smo ocenili, da jih trenutno brez občutnega vpliva na delovanje storitev Ajpesa ni smotrno izvesti. Posledice za uporabnike bi bile nesorazmerno velike, saj mora okrog 170.000 zavezancev v tem obdobju izpolnjevati zakonske obveznosti oddaje letnih poročil«

Tako Babič pojasnjuje novinarju, zakaj Ajpes ni storil ničesar, da bi odpravil zagato s podpisno komponento. Kriv je namreč podizvajalec, ki je komponento razvil. In mora sedaj napako odpraviti. Ajpes sam "nima usposobljenih strokovnjakov". Babič tako v pogovoru z novinarjem ni vedel, ali napaka še obstaja.

Tega »Ajpes v tem trenutku ne more nedvoumno potrditi ali ovreči, saj ne razpolaga z dovolj strokovnega znanja na tem področju.«

Tako Babič. No, saj je tudi Barack Obama potreboval kar nekaj časa, da je priznal nekompetentnost in je na koncu moral prositi inženirje iz Silicijeve doline, da so mu za silo pokrpali spletno platformo, na kateri je tekel Obamacare.

Od etičnega hekerja mimo javnega sektorja do znane odvetnice

V slovenski maniri očitno prvi cilj Ajpesa in povezanih oseb in organizacij ni bil popraviti varnostne ranljivosti, ampak diskreditirati tiste, ki so nanje opozorili. Saga o švicarskem siru imenovanem Ajpes, ki se odvija že skoraj drugi mesec, tako na žalost še vedno ni končana. V nadaljevanju vam predstavljamo tri osebe, ki so se v javnosti same prostovoljno izpostavile v zvezi s to tematiko.

Gorazd Božič, vodja SI-CERTa

V istem prispevku je Gorazd Božič neutemeljeno napadal glasnika, ki da naj bi moral pomagati pri prikrivanju dejstev, čeprav je Ajpes vmes že izjavil, da je napaka odpravljena:

"Po moji osebni oceni ni bilo razloga za takšno hitenje in bolje bi bilo, če bi se z objavo počakalo nek minimalen čas, kjer bi lahko razvijalci napako odpravili. [...] Osebno ne vidim razloga, zakaj ne bi dali vsaj nekajdnevnega roka. Standardi, ki veljajo v tujini, se začnejo celo pri 30 dnevnih," je povedal za MMC.

Milan Gabor, etični heker

Po »naključju« pa se je na MMC nekaj dni pred intervjujem z Babičem pojavil intervju z etičnim hekerjem Milanom Gaborjem. Ta je med drugim dejal:

"A način razpletanja zgodbe prek medijev ni pravi. Etični hekerji ne smejo "bombastično" udariti prek medijev, ker prav to lahko povzroči množične zlorabe, ampak se na varnostne luknje diskretno opozori, v tem primeru Ajpes, da problem rešijo. Zadeva se lahko javno objavi pozneje, je komentiral Gabor in dodal, da načeloma etični heker, ki nima slabih namenov, svoje identitete ne skriva za različnimi kriptiranimi povezavami, kar naj bi se v primeru napada na Ajpes prav tako zgodilo."

Nataša Pirc Musar, odvetnica

Svoje pa je seveda dodala tudi odvetnica prve dame ZDA Nataša Pirc Musar. Za Planet TV je med drugim dejala:

»V tem primeru bo zagotovo Informacijski pooblaščenec preverjal več vidikov. Prvi je ta, kako zavarovana je bila ta zbirka osebnih podatkov oziroma kako zavarovan je bil informacijski sistem. Ampak vendarle, jaz menim, da je hujša kršitev, hujša zloba, če hočete, na strani tistega, ki je to ranljivost pokazal na način, ki ni bil primeren.« In nadaljevala: »Vsekakor ta posameznik ni imel nikakršnega pooblastila te zbirke osebnih podatkov javno objaviti na svetovnem spletu.«

Očitno je odvetnica povsem spregledala dejstvo, da zbirka osebnih podatkov ni bila javno objavljena na spletu. No, pravzaprav je bila, a objavil je ni varnostni raziskovalec, pač pa kar Ajpes sam.

Moramo pa nekdanji informacijski pooblaščenki priznati vsaj to, da je zadnjih par sekund izkoristila in le povedala tisto, česar drugi sploh ne omenjajo.

»Če bo pa posamezniku nastala škoda zaradi javno objavljenih osebnih podatkov, ki javno ne bi smeli biti objavljeni, potem pa takšen posameznik ima (pravico) do Ajpesa, do upravljalca zbirke osebnih podatkov seveda odškodninski zahtevek. «

Hudič je vedno skrit v podrobnostih

Povejmo dokončno, da državnim dobaviteljem, javnim uslužbencem in iskalcem pozornosti ne bo več treba govoriti na pamet. Slo-Tech ranljivost razkril šele po tem, ko so na Ajpesu zatrdili, da je ranljivost odpravljena. Ranljivost je bila torej razkrita odgovorno, torej po tem, ko je Ajpes zatrdil, da je že odpravljena.

To je sicer potrdil tudi Babič v že večkrat citiranem intervjuju za MMC. Dejal je, da so v Ajpesu po prejetju informacije takoj ukrepali in da je zunanji izvajalec, vzdrževalec portala, v večernih urah odpravil prvo ranljivost, do jutranjih ur pa so odpravili tudi iste ranljivosti, ki so jih odkrili še na drugih delih portala.

Ob tem pa je zanimivo, da se je na člana Slo-Tech 9. februarja v dopoldanskih urah (torej takoj po objavi članka) obrnil eden izmed Ajpesovih izvajalcev in sicer s prošnjo, da jim pomagamo pri odpravi napake. Komunikacija z izvajalcem je potekala še do 14. februarja, kar nakazuje, da so bile napake na Ajpesovem portalu dokončno odpravljene šele slab teden po tem, kot to javno zatrjujejo na Ajpesu. Že samo to dejstvo si zasluži resno preiskavo, saj kaže na to, da so pri Ajpesu glede odprave ranljivosti morda zavajali javnost.

Obvestilo o odkritih luknjah v sistemu Ajpesa smo na Slo-Techu prejeli s strani anonimnega raziskovalca. Ker smo ocenili, da gre za izredno resno napako in enega večjih primerov ogrožanja osebnih podatkov v samostojni Sloveniji, smo o napaki najprej odgovorno skušali obvestiti predstavnike Ajpesa. Žal niso bili dosegljivi, zato smo se obrnili neposredno na podizvajalca ter na Informacijskega pooblaščenca.

Ko so na Ajpesu zatrdili, da je napaka odpravljena (njihovem zatrdilu pa smo verjeli), in ko smo od njih dobili odgovore na naša novinarska vprašanja, smo objavili članek. Pri tem pa v članku nismo objavili podrobnosti o tem kako je bilo napako mogoče izkoristiti (čeprav je bila napaka po zatrdilih Ajpesa že odpravljena).

Članek je bil torej objavljen šele po tem, ko - glede na uradne odgovore pristojnih - škode ni bilo več mogoče povzročati. Po našem mnenju je to povsem odgovorno razkrivanje ranljivosti. A kot rečeno, kasnejše dogajanje kaže na to, da pri Ajpesu glede odprave napake morda niso govorili resnice. Za takšno zavajanje, v kolikor je do njega res prišlo, in za vse posledice takšnega zavajanja, pa je seveda odgovoren tisti, ki je javnosti sporočal neresnične informacije.

Za konec

In če se ponovno vrnemo k Ajpesu, je potrebno izpostaviti še nekaj, o čemer do sedaj drugi mediji niso poročali. Čeprav je na začetku Ajpes trdil, da so napake v dostopu do baz nastale s prenovo, torej letos januarja, pa vse kaže, da je problem veliko bolj korenit. Neuradno se je že ves čas govorilo, da prvi rezultati pregleda kažejo, da so nekatere »napake« stare vsaj že leto dni. In končno je za Planet TV to priznal tudi Babič.

»Pomanjkljivost v programski opremi, ki je omogočila izrabo ranljivosti je bila posledica napake na dveh mestih. Na enem mestu je bila ranljivost vnesena ob zadnjih spremembah na programski opremi, ki je bila nameščena 6. 1. 2017, na drugem mestu pa je bila posledica starejše napake iz marca 2016.«

Veliki zaključek? Da so luknje v sistemu (bile?) in da je bilo možno dostopati do vseh njihovih baz, Ajpes priznava. Da so napake v sistemu stare že vsaj eno leto, Ajpes zdaj prav tako priznava.

Zato je na mestu vprašanje, kdaj bomo izvedeli resnico in če bo kdo odgovarjal za to, da je na Ajpesu lahko prišlo do tako hudih napak. S prstom je potrebno pokazati vsaj na odgovorne na Ajpesu. Nevestno delo v službi. Opustitev dolžnega nadzorstva nad svojimi izvajalci. Ti so informacijski sistem očitno zasnovali slabo. In s tem ogrozili osebne podatke velikega števila državljanov Slovenije in podjetij v Sloveniji. Morali in mogli bi se zavedati, da zaradi tega lahko pride do hujših kršitev pravic njihovih zavezancev oz. uporabnikov in/ali škode. A raje prepustimo moraliziranje in pridiganje politikom. To bosta tako ali tako edini realni posledici celotne zgodbe.

84 komentarjev

«
1
2

Looooooka ::

AJPES je treba obesit za jajca prav tako pa vas, ki trdite, da ste z objavo dosegali neke "standarde" "etičnega hekanja". Če dobite odgovor, da je zadeva rešena(vi in ne nekdo drug) se zadevo preveri. Konec koncev bi lahko bila zadeva sele na stagingu pa se ni sla v produkcijo. Če vas pošljejo v k**** oz se strinjajo z objavo pa pač objaviš.
Anonimnost pa again res nakazuje na to, da se gospod etični ni bil prepričan v legalnost svojega početja.
Me briga za objavo ampak malce pretiravate z etičnostjo glede na način kako je bilo skomunicirano.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

Furbo ::

Aja laganje Ajpesa o popravilu je bilo povsem etično, posledična zelena luč za članek pa ne?
Seveda, birotati pri nas niso nikoli nič krivi.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

krneki0001 ::

V Sloveniji nekdo pokaže na anomalijo.
Namesto, da bi se anomalijo začelo odpravljat, se pri nas diskreditira in išče krivca v tistemu, ki je na anomalijo pokazal. Anomalija pa ostaja.


Torej je res, da niso nič popravili in vsi problemi ostajajo, ker je prevelik sistem, da bi v parih dneh lahko popravili zadeve. Sedaj so pa še ugotovili, da so preveliki, da bi tudi v doglednem času to lahko uredili.


Dejmo na slo-techu narest eno skupino, pa jim mi za nek normalen denar zadeve poštimamo, sej nas je kar nekaj tukaj, ki imamo svoje firme, da bomo lahko račune izdali.

Zgodovina sprememb…

techfreak :) ::

Looooooka je izjavil:

Če dobite odgovor, da je zadeva rešena(vi in ne nekdo drug) se zadevo preveri.
Po prijavi ranljivosti so dobili potrdili, da je le ta odpravljena. Ne razumem zakaj jim ne bi zaupali, prav tako mogoce ze samo preverjanje, ce ranljivost ne obstaja, ni legalno.

Looooooka je izjavil:

Anonimnost pa again res nakazuje na to, da se gospod etični ni bil prepričan v legalnost svojega početja.
Glede na dosedanji odziv Ajpesa imam obcutek, da bi se (ce oseba ne bi bila anonimna) mogoce raje ukvarjali s pregonom te osebe, kot pa z odpravo ranljivosti.

Vsem, ki so izpostavili ranljivosti bi se raje zahvalili, ter vse ranljivosti pa cimprej popravili. Ker ce je lahko nekdo z dobrimi nameni nasel ranljivost, je mozno, da so do teh ranljivosti prisli tisti, ki jih izkoriscajo.

Baja ::

>Ob tem pa je zanimivo, da se je na člana Slo-Tech 9. februarja v dopoldanskih urah (torej takoj po objavi članka) obrnil eden izmed Ajpesovih izvajalcev in sicer s prošnjo, da jim pomagamo pri odpravi napake.

lol, tale zmaga. ajpes se gre shoot the messenger, izvajalec ajpesa pa hire the messenger.

pa glede anonimnega raziskovalca. če bi vi našli luknjo, bi se podpisali z imenom in priimkom? glede na videno bi zdaj sedeli v priporu s kazensko ovadbo v rokah. ajpes pa bi trdil, da je vse v najlepšem redu!

ajpes bi moral takoj ugasniti strežnike dokler se zadeve ne porihtajo. očitno je, da so nesposobni tako ajpes kot izvajalci. me prav zanima kolko glav bo letelo.

krneki0001 ::

Nobena. Kdaj je pa že kak vodja bil za kaj odgovoren - vedno so drugi krivi.

estons ::

techfreak :) je izjavil:

Glede na dosedanji odziv Ajpesa imam obcutek, da bi se (ce oseba ne bi bila anonimna) mogoce raje ukvarjali s pregonom te osebe, kot pa z odpravo ranljivosti.

Ne samo "mogoče", ampak "skoraj zagotovo".

Vsem, ki so izpostavili ranljivosti bi se raje zahvalili, ter vse ranljivosti pa cimprej popravili.

To bi v nekem normalnem svetu bilo normalno. No, lahko se tolažimo, da tudi v tujini raje posegajo po zakrivanju vdorov in zavajanju uporabnikov (npr. Yahoo).

Mislim, da je Slo-Tech tukaj ravnal povsem korektno. Cirkus, ki ga zganjajo ostali (Ajpes, GB, Pirc Musar), pa je lahko le-tem samo v sramoto.

Machete ::

krneki0001 je izjavil:

Nobena. Kdaj je pa že kak vodja bil za kaj odgovoren - vedno so drugi krivi.


Zakaj bi s prstom kazali na državne uslužbence. Poglej ostale teme ali javne debate. Kjer kdo stori nekaj narobe se primarno išče, kako za to okriviti nekaj ali nekoga drugega oz. najti kakršnkoli način, da bi se krividi izognil (npr. Brez vinjete - DARSovec se mi je zlagal
Pač imamo to v krvi. Eanko kot utajevanje davkov, kontrabant, ksenofobijo itd..
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+

artplant ::

Avtor, podpiši se pod članek! Če zahtevaš odgovornost in kruhoborsko pljuvaš po dejanskih ljudeh imej jajca in se podpiši. Udrihanje po upravnih delavcih je itak nacionalni šport, skrivaštvo pa zgleda tudi. Sicer pa, kot je razbrati iz članka, se ni zgodilo nič, lahko pa bi se. Avtor na odgovornost kliče krivce za dejanje, ki se ni zgodilo, lahko pa bi se. Proizvajalca tovornjakov, ki bi se lahko zapeljal v množico, pa se pač (še) ni. Ker le slaba novica je dobra novica in če ni slabše je dobra tudi taka o pomanjkljivosti, ki jo je za potrebe lastnega ega treba napumpati v kriminal ...

Markoff ::

artplant je izjavil:

Avtor, podpiši se pod članek! Če zahtevaš odgovornost in kruhoborsko pljuvaš po dejanskih ljudeh imej jajca in se podpiši. Udrihanje po upravnih delavcih je itak nacionalni šport, skrivaštvo pa zgleda tudi. Sicer pa, kot je razbrati iz članka, se ni zgodilo nič, lahko pa bi se. Avtor na odgovornost kliče krivce za dejanje, ki se ni zgodilo, lahko pa bi se. Proizvajalca tovornjakov, ki bi se lahko zapeljal v množico, pa se pač (še) ni. Ker le slaba novica je dobra novica in če ni slabše je dobra tudi taka o pomanjkljivosti, ki jo je za potrebe lastnega ega treba napumpati v kriminal ...

Forum troll, tudi ti se podpiši pod komentar. Ne bomo drugim predpisovali pravil, ki se jih sami ne držimo, kajne?
Upam, da varnostni inženirji v JEK ne delijo tvojega pogleda na obvladovanje tveganj. Ker če ga, we're f***ed.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Furbo ::

Machete je izjavil:

Zakaj bi s prstom kazali na državne uslužbence. Poglej ostale teme ali javne debate. Kjer kdo stori nekaj narobe se primarno išče, kako za to okriviti nekaj ali nekoga drugega oz. najti kakršnkoli način, da bi se krividi izognil (npr. Brez vinjete - DARSovec se mi je zlagal
Pač imamo to v krvi. Eanko kot utajevanje davkov, kontrabant, ksenofobijo itd..

To je bolj slab primer, ta darsovec ni tipičen državni grelec stololov, ki nikoli ne zapusti klimatizirane pisarne.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

poweroff ::

Looooooka je izjavil:

Če dobite odgovor, da je zadeva rešena(vi in ne nekdo drug) se zadevo preveri.

Pozabljaš, da ima takšno preverjanje lahko za posledico kazensko ovadbo.

In dejansko so gospodje pri Ajpesu vložili kazensko ovadbo proti tistemu, ki je zadevo odkril. Torej bi zelo verjetno padla tudi kakšna kazenska ovadba proti tistemu, ki bi si drznil preverjati ali je zadeva odpravljena ali ne.

Poleg tega govorimo o izjavi državnega organa. Ne o izjavi nekega klošarja z ulice. Uradnim organom se pač verjame na besedo.

Looooooka je izjavil:

Anonimnost pa again res nakazuje na to, da se gospod etični ni bil prepričan v legalnost svojega početja.

Kasnejše dogajanje kaže, da je imel prav. Namesto, da bi mu bili hvaležni, da je dobronamerno opozoril na napako, so ga kazensko ovadili. To je pač Slovenija.

artplant je izjavil:

Avtor na odgovornost kliče krivce za dejanje, ki se ni zgodilo, lahko pa bi se.

Aha. Se pravi SQLi ranljivosti ni bilo, faila v podpisni komponenti tudi ne...

Hvala da vemo.
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

krneki0001 ::

artplant je izjavil:

...Avtor na odgovornost kliče krivce za dejanje, ki se ni zgodilo, lahko pa bi se....


Problem je v zanikanju in nezainteresiranosti ajpesa. Kaj pa če so vse podatke pobrali iz baz in potem obelodanili ranljivost? Saj ajpes ni sposoben tega vedeti in videti, vsaj po članku in prejšnjih objavah lahko sklepamo, da ne vedo, kaj se je z vdorom vse storilo. Enako je pri podpisnih komponentah.

Mufasa ::

Mojster bi moral takoj dobit ponudbo za relativno dobr plačan uradniški mest senior it security consultanta ne pa ta nonsens. Alpa čeb ga kr z brezveznikom Božičem zamenjal.
"Es ist nicht genug, zu wissen, man muss auch anwenden;
es ist nicht genug, zu wollen, man muss auch tun."
- Johann Wolfgang von Goethe

technolog ::

A je mogoče prislit nesposobne luzerje pri mojdenar it, da plačajo pogodbeno kazen?

krneki0001 ::

Odvisno od pogodbe, čeprav so ponavadi te pogodbe tako napisane, da so izvajalci zaščiteni ko kočevski medvedje, ker je nekdo dobro provizijo od tega potegnil in podpisal slabo pogodbo.

broken/link ::

- ajpes ima ranljivost, za katero ne ve
- ajpes je na to ranljivost opozorjen
- ajpes sporoči, da so to ranljivost rešili
- objavljen je članek, ki postavi ajpes na laž https://slo-tech.com/novice/t693532/0
- ajpes trdi, da opravljajo redne varnostne preglede
- objavljen je članek, ki postavi ajpes na laž #2 https://podcrto.si/zakaj-je-napadalcem-...
- ajpes je obveščen, da njihova podpisna komponenta ni ustrezna
- ajpes trdi, da so odpravili težavo (famozni vklop https-ja)
- objavljen je članek, ki postavi ajpes na laž #3 https://slo-tech.com/novice/t695181/0
...

ne vem, meni se to zdi kot nekakšen vzorec. Je pa raziskovalec logično postopal in ni razkril svoje identitete, ker v nasprotnem primeru bi se samo ponovil primer Ornig in ga bi pohebali od ospredi in odzadi.
Se je podala kazenska ovadba proti tistim, ki so omogočili, da so bili podatki dostopni praktično vsem? ne. Je bila podana kazenska ovadba proti tistim, ki so omogočili "digitalno podpisovanje", ki pa to sploh ni bilo? ne. Podana pa je bila kazenska ovadba proti tistemu, ki je vse to razkril (brez postopka, seveda), po tem, ko je bilo zagotovljeno, da so napake odpravljene.

pa še kar se dig.podpisa tiče - najbolj smešno iz celotne zgodbe mi je tole:
http://www.rtvslo.si/gospodarstvo/se-la...
Neposredno so vidni tudi vsi dokumenti, na podlagi katerih so bila pooblastila izdana. "Ker je število sistemskih administratorjev Ajpesa, ki imajo dostop do baze podatkov e-pooblastil, zelo omejeno, uslužbenci pa so preverjeni, drugi pa pravic za spreminjanje podatkov nimajo, je verjetnost zlorabe minimalna," je še zapisal. Nadalje bo Ajpes sam v najkrajšem možnem času opravil podrobno analizo shranjenih dokumentov in izvedel rešitve, ki ne bodo zbujale dvomov o integriteti e-podpisanih dokumentov, je še zagotovil.


torej vse kar rabiš je en zaupanja vreden sistemski administrator - in vsi neustrezno podpisani "dokumenti" (narekovaji zato, ker dokumenti niso bili podpisani) so kar naenkrat ustrezno podpisani. Pa se človek vpraša "kaj pa, če se je pa ta zaupanja vreden sistemski administrator igral z dokumenti ...." - Iz zgornjega citata bi potegnil zaključek da se zagotovo ni, ker je zaupanja vreden.

Glugy ::

"načeloma etični heker, ki nima slabih namenov, svoje identitete ne skriva za različnimi kriptiranimi povezavami, "

Mhm..kr ti razkrij in izpostavi osje gnezdo nepravilnosti pa pri tem pričakuj da ti noben ne bo na prste stopil.
Si že pozabil na sistem Tetra? Koga se je napadal? Al se je napadl tistga ki je problematiko razkril al tistega ki je bil odgovoren pa ni svojega dela opravil?

V naši državi se VEDNO napada žvižgače, ki dreznejo v osje gnezno. Tisti ki so odgovorni za napake, za pomanjkljiv nadzor tisti nikol ne odgovarjajo v takih primerih. Vedno se kot problem izpostavlja tistega ki opozori na napako. Tisti je problem.
V takih okoliščinah ni moč pričakovati da bo etični heker ki nima slabih namenov navedel svoj ime in priimek. Ni šans.

Nevem sicer kakšna je tvoja kariera etičnega hekanja Milan Gabor ampak verjamem da verjetno nisi drezal v osja gnezda.

offline ::

V vsej te zgodbi se vsi obračajo približno tako kot jim pač paše, da bi tudi sami dobili tisti del publicitete, ki potrjuje da pa res nekaj pomenijo na security področju, Gorazd, Milan in Nataša. Seveda vsak bi rad nekaj imel pri tem, tudi slo-tech-u je nekoliko v zabavo, čeprav brez takih objav se nebi nič spremenilo in vse hvale messengerju for staying strong.

Pohvalil pa bi security researcher-je, ki so ranljivosti razkrili z namenom, da se nekaj izboljša in je bilo njihovo dejanje še najbolj nesebično in najbolj etično. Seveda je pri nas praksa, da se take križa, češ, kaj širiš krivo vero. Vendar to lahko tudi pomeni kljubovanje, da se nekaj spremeni v tej državi, da se bolje definirajo zadeve. Medtem ko nekateri govorijo o "kvazi" etičnih hekerji, nekateri vsaj nekaj dobrega počnejo. Samo upamo lahko še na več "Robin Hood-ov", ki bodo pokazali na ranljivosti in izboljšali to slovensko državno skrpocalo.

Zgodovina sprememb…

  • spremenilo: offline ()

Daedalus ::

AJPES je anomalija. Zaradi katerega se dodatno poročajo državi isti podatki, kot jih ima že itak na voljo FURS. Tako da če se hoče tole sranje urediti na primeren način, je potrebno zahtevati ukinitev AJPES-a. Tistih par statistik in bazo poslovnih subjektov pa lahko FURS obdeluje - itak že ima na voljo vse podatke. Pa dovolj ljudi in dovolj informacijske podpore za izvajanje takih dejavnosti.

Etičnost gor al pa dol. Na naš račun tam sedi kup totalno nesposobnih birokratov. Ki so za nesposobnost bogato nagrajeni. In obenem s svojo nesposobnostjo ogrožajo varnost osebnih podatkov državljanov Slovenije. Da to zagovarjaš potem, ko za take nesposobneže plačuješ obilne davke... za tako stanje obstaja ime. Stockholmski sindrom se reče temu stanju in je kr razširjeno v Sloveniji.

Btw, stanja popravka ne moreš legalno preveriti. Lahko greš kucat SQL injection kodo v iskalne obrazce. Sam s tem si že po slovenskih standardih globoko v kaznivem dejanju ki gre nekako takole - poskus nepooblaščenega vstopa v informacijski sistem. Če ti uspe, se pa kr samoovadi. Ker si hudoben heker. Bruhaha.

O kometarjih zabavne trojice pa ne bom zgubljal besed. Je kr smešno...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

BlaY0 ::

poweroff je izjavil:


In dejansko so gospodje pri Ajpesu vložili kazensko ovadbo proti tistemu, ki je zadevo odkril. Torej bi zelo verjetno padla tudi kakšna kazenska ovadba proti tistemu, ki bi si drznil preverjati ali je zadeva odpravljena ali ne

Pa dajte kontro... vložite kazensko ovadbo proti vodilnim na AJPES-u. Prednost je na vaši strani, ker vsaj veste proti komu jo lahko vložite (v tem primeru "storilec" ni neznan). Verjetno je tudi koda podpisne komponente vsaj v kakšnem CVS-ju če ne Git-u, torej jih pred sodiščem ne bi bilo težko postaviti na vse te laži, ki so v tem trenutku še vedno samo nek del prepucavanja po medijih.

Po moje obstajajo vzvodi tudi za to, da se določene ljudi tam zamenja, če se to res hoče/želi. definitivno pa vzvod za to niso trije članki na ST-ju, bo treba po moje kaj več naredit...

krneki0001 ::

Daedalus je izjavil:

AJPES je anomalija.


Se strinjam.

Daedalus je izjavil:


Zaradi katerega se dodatno poročajo državi isti podatki, kot jih ima že itak na voljo FURS.


Ja in ne. Ajpes ima to + še kar nekaj zadev

Daedalus je izjavil:


Tako da če se hoče tole sranje urediti na primeren način, je potrebno zahtevati ukinitev AJPES-a. Tistih par statistik in bazo poslovnih subjektov pa lahko FURS obdeluje - itak že ima na voljo vse podatke. Pa dovolj ljudi in dovolj informacijske podpore za izvajanje takih dejavnosti.


Tukaj je še kr nekaj dodatnih registrov, ki se jih potrebuje za neko normalno delovanje. Ni samo ena majhna bazica. Na žalost.
Je banka slovenije vodila enega izmed teh registrov, pa jim je bilo odveč in so to prenesli na ajpes.

technolog ::

In zakaj bi nekdo porabil mesece svojega časa za to? Brez da bi dobil kaj denarja?

prtenjam ::

V računalništvu se potikam že 25-30 let in v tem obdobju sem prišel do spoznanja, da se mnoge dileme odpravijo, če jih poskušamo preslikati v realen svet in se vprašati, kako to izgleda tam. Razlog je preprosto v dejstvu, da človečnjaki obvladamo realen svet 40.000 let virtualnega pa komaj zadnjih 20.

In če se ob tem povrnem h konkretni debati vdora v informacijske sisteme. Samo dejstvo, da nekaj znam in obvladam mi ne daje pravice, da "za hobi" to izkoriščam. Kako bi izgledal naš svet, če bi naokoli hodili ključavničarji/gasilci z orodjem in "poskušali" vdirati v naša stanovanja, sobe, zgradbe. Ko bi z vdorom uspeli pa bi vsem veslo razlagali kako slabo zaščito imamo.

AJPES je javna ustanova, a tudi občinska uprava ali bolnica sta javni ustanovi. Pa mi pokažite veseljaka, ki bo s "pajsarjem" ponoči vdiral v občinsko zgradbo in potem govoril, da tja se pač da vlomiti, ker nimajo železo-betonskih vrat...

Takšna analogija vam pove marsikaj.

Seveda pa obeh dogodkov ne morem povsem enačiti in to mi je jasno. Ne smemo in ne moremo AJPESU dovoliti, da z našimi podatki dela kot "svinja z mehom", tudi ne smemo dovoliti da "kar eni šalabejzerji" izdelujejo slab SW in pri tem dobro služijo, zato ker so "ravno pri koritu".

Jaz torej "kar za zabavo" nebi nikoli vdiral v nikogaršnji informacijski sistem, če pa bi res naletel na odprta vrata, pa bi o tem obvestil dotično organizacijo in to je to. Potem pa bi šel po stopničkah višje in višje preko informacijskega pooblaščenca itd itd... Javnosti pa bi ne obveščal, ker s to informacijo nič ne pridobi. Kaj sem namreč jaz pridobil s to informacijo?

Sem fizična oseba in imam tudi "popoldanski" s.p. Z AJPESOM moram sodelovati in preko njega bom še v tem mesecu oddal napoved dohodnine etc etc... Kaj mi je ta informacija povedala? Ali naj sedaj teh vlog ne oddam? Naj se grem Don Kihot-a in se borim z državno upravo ter oddajam vloge na listu papirja, ker kot računalničar ne vrjamem sistemu?

Ah dajte no! Ta informacija "mogoče" koristi samo tistemu, ki jo želi izrabiti, večini ljudi pa čisto nič.
Joj in na koncu bi skoraj pozabil: "Ali bi vi v fizičnem svetu vložili kazensko ovadbo zoper soseda, ki vam je vlomil v stanovanje, ker ste imeli odprto okno. V stanovanju je poiskal dragocenosti in obelodanil svetu, da kadar imate odprto okno je nevarno, da vam kdo vzame zlato verižico, ki se nahaja v tretjem predalu spodaj?"

In v nadalni debati ne bom sodeloval, ker vsem da bo "zašla". Samo premislite ;)

In še čisto za konec... Z AJPESOM, s podizvajalci ali s komerkoli, ki bi bil kakorkoli povezan s njimi nimam nič in nisem nikoli nič delal, niti jih ne poznam...
Matjaž Prtenjak
https://mnet.si

Zgodovina sprememb…

  • spremenil: prtenjam ()

Mato989 ::

Poleg tega govorimo o izjavi državnega organa. Ne o izjavi nekega klošarja z ulice. Uradnim organom se pač verjame na besedo.


Jaz uradnim organom nič ne verjamem na besedo.... ne pozabite, tudi vlada je uradni organ države :)

kuglvinkl ::

prtenjam je izjavil:

V računalništvu se potikam že 25-30 let in v tem obdobju sem prišel do spoznanja, da se mnoge dileme odpravijo, če jih poskušamo preslikati v realen svet in se vprašati, kako to izgleda tam. Razlog je preprosto v dejstvu, da človečnjaki obvladamo realen svet 40.000 let virtualnega pa komaj zadnjih 20.

In če se ob tem povrnem h konkretni debati vdora v informacijske sisteme. Samo dejstvo, da nekaj znam in obvladam mi ne daje pravice, da "za hobi" to izkoriščam. Kako bi izgledal naš svet, če bi naokoli hodili ključavničarji/gasilci z orodjem in "poskušali" vdirati v naša stanovanja, sobe, zgradbe. Ko bi z vdorom uspeli pa bi vsem veslo razlagali kako slabo zaščito imamo.

AJPES je javna ustanova, a tudi občinska uprava ali bolnica sta javni ustanovi. Pa mi pokažite veseljaka, ki bo s "pajsarjem" ponoči vdiral v občinsko zgradbo in potem govoril, da tja se pač da vlomiti, ker nimajo železo-betonskih vrat...

Takšna analogija vam pove marsikaj.

Seveda pa obeh dogodkov ne morem povsem enačiti in to mi je jasno. Ne smemo in ne moremo AJPESU dovoliti, da z našimi podatki dela kot "svinja z mehom", tudi ne smemo dovoliti da "kar eni šalabejzerji" izdelujejo slab SW in pri tem dobro služijo, zato ker so "ravno pri koritu".

Jaz torej "kar za zabavo" nebi nikoli vdiral v nikogaršnji informacijski sistem, če pa bi res naletel na odprta vrata, pa bi o tem obvestil dotično organizacijo in to je to. Potem pa bi šel po stopničkah višje in višje preko informacijskega pooblaščenca itd itd... Javnosti pa bi ne obveščal, ker s to informacijo nič ne pridobi. Kaj sem namreč jaz pridobil s to informacijo?

Sem fizična oseba in imam tudi "popoldanski" s.p. Z AJPESOM moram sodelovati in preko njega bom še v tem mesecu oddal napoved dohodnine etc etc... Kaj mi je ta informacija povedala? Ali naj sedaj teh vlog ne oddam? Naj se grem Don Kihot-a in se borim z državno upravo ter oddajam vloge na listu papirja, ker kot računalničar ne vrjamem sistemu?

Ah dajte no! Ta informacija "mogoče" koristi samo tistemu, ki jo želi izrabiti, večini ljudi pa čisto nič.
Joj in na koncu bi skoraj pozabil: "Ali bi vi v fizičnem svetu vložili kazensko ovadbo zoper soseda, ki vam je vlomil v stanovanje, ker ste imeli odprto okno. V stanovanju je poiskal dragocenosti in obelodanil svetu, da kadar imate odprto okno je nevarno, da vam kdo vzame zlato verižico, ki se nahaja v tretjem predalu spodaj?"

In v nadalni debati ne bom sodeloval, ker vsem da bo "zašla". Samo premislite ;)

In še čisto za konec... Z AJPESOM, s podizvajalci ali s komerkoli, ki bi bil kakorkoli povezan s njimi nimam nič in nisem nikoli nič delal, niti jih ne poznam...


Se ti zdi, da znajo hendlat dogajanje? Se ti zdi, da bodo nepravilnosti odpravljene?
Your focus determines your reallity

krneki0001 ::

prtenjam je izjavil:

In če se ob tem povrnem h konkretni debati vdora v informacijske sisteme. Samo dejstvo, da nekaj znam in obvladam mi ne daje pravice, da "za hobi" to izkoriščam. Kako bi izgledal naš svet, če bi naokoli hodili ključavničarji/gasilci z orodjem in "poskušali" vdirati v naša stanovanja, sobe, zgradbe. Ko bi z vdorom uspeli pa bi vsem veslo razlagali kako slabo zaščito imamo.


Saj to tudi počnejo. Na žalost.

kuglvinkl ::

Mato989 je izjavil:

Poleg tega govorimo o izjavi državnega organa. Ne o izjavi nekega klošarja z ulice. Uradnim organom se pač verjame na besedo.


Jaz uradnim organom nič ne verjamem na besedo.... ne pozabite, tudi vlada je uradni organ države :)


Komu ti verjameš, je nerelevantno, ker si nereferenčen (enako kot jaz). V izhodišču se verjame državnim organom, da je tisto kar povedo, resnično. Seveda imamo opravka s PRjem, ki ne pove nič, če pa šef IZ reče, da so popravili, potem so popravilil. Če čeljusta kar tja v tri dni, hja, je to najmanj nezdružljivo z opisom del in nalog.

Kakršen odklon na to temo pomeni nesprejemljivo vrnitev za več kot 30 let nazaj.
Your focus determines your reallity

Fritz ::

@ prtenjam
Tvoje predstave in primerjave so popolnoma napačne. Če že hočeš realen svet, špotem to primerjaj z odprtimi vrati na bolnišnici, ki je ponoči zaprta. Če bi šel mimo takšne bolnišnice, ki je javna ustanova in financirana tudi iz mojih prispevkov in v mojem interesu, bi jih opozoril, da je ogrožena. Če bi se reč ponavljala in opozoril ne bi resno jemali, bi zadevo dal v javnost.

Sprejemanje nesposobnosti, korupcije in neodgovornosti pomeni podpiranje vsega naštetega.
"Težav ne moremo reševati z isto miselnostjo,
kot smo jo imeli, ko smo jih ustvarili."
A. Einstein

Daedalus ::

krneki0001 je izjavil:

Daedalus je izjavil:

AJPES je anomalija.


Se strinjam.

Daedalus je izjavil:


Zaradi katerega se dodatno poročajo državi isti podatki, kot jih ima že itak na voljo FURS.


Ja in ne. Ajpes ima to + še kar nekaj zadev

Daedalus je izjavil:


Tako da če se hoče tole sranje urediti na primeren način, je potrebno zahtevati ukinitev AJPES-a. Tistih par statistik in bazo poslovnih subjektov pa lahko FURS obdeluje - itak že ima na voljo vse podatke. Pa dovolj ljudi in dovolj informacijske podpore za izvajanje takih dejavnosti.


Tukaj je še kr nekaj dodatnih registrov, ki se jih potrebuje za neko normalno delovanje. Ni samo ena majhna bazica. Na žalost.
Je banka slovenije vodila enega izmed teh registrov, pa jim je bilo odveč in so to prenesli na ajpes.



V vsakem primeru ima FURS kup precej relevantnih podatkov, ki se jih s poročanjem AJPES-u samo podvaja. Letne bilance so zgolj najbolj očitna neumnost. Za to ne potrebujemo še ene dodatne agencije. Ki ima svoje dodatne podizvajalce. In svoje dodatne procedure za iste zadeve (elektronsko podpisovanje, elektronska oddaja podatkov, ipd). Če je kaj dober primer za nepotrebno drobljenje pristojnosti in povzročanje nepotrebnega dodatnega dela je to AJPES. Da sproti ogrožajo še nacionalno varnost... je zgolj vrh ledene gore.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

SimplyMiha ::

Berem naslov teme in gledam skozi okno, a ne vidim letečih prascev... Hm. Prečuden dan.

dronyx ::

broken/link je izjavil:

torej vse kar rabiš je en zaupanja vreden sistemski administrator - in vsi neustrezno podpisani "dokumenti" (narekovaji zato, ker dokumenti niso bili podpisani) so kar naenkrat ustrezno podpisani.

Dovolj je en Edward Snowden in kar naenkrat cel kup strogo tajnih dokumentov postane javnih. Digitalna tehnologija poleg vseh številnih prednosti prinaša seveda tudi velika tveganja, da lahko posameznik z visokimi pooblastili naredi hitro nepopravljivo škodo. Ko je zbirka osebnih podatkov kot je recimo register prebivalstva in podobne enkrat odtujena se pač tega ne da več popraviti oziroma ne obstaja opcija "rollback". ta tveganja se da sicer z različnimi prijemi minimizirati, povsem odpraviti pa ne.

Zgodovina sprememb…

  • spremenil: dronyx ()

Markoff ::

krneki0001 je izjavil:

Odvisno od pogodbe, čeprav so ponavadi te pogodbe tako napisane, da so izvajalci zaščiteni ko kočevski medvedje, ker je nekdo dobro provizijo od tega potegnil in podpisal slabo pogodbo.

Slabe pogodbe se podpisujejo, ker jih sestavljajo pravniki brez poznavanja tveganj, povezanih z IT/informacijskimi storitvami. Nihče pa noče plačati strokovnjaka, ki bi pomagal takšna tveganja obvladati. Ker to pač stane. Sicer pa čisto vseh tveganj ne moreš nikoli popisati ali obvladovati. Navedeno tveganje bi se sicer dalo, ker ga stlačiš pod generično določilo o varnosti pred vdorom iz interneta z obveznostmi in penali.

"Never attribute to malice what you can attribute to incompetence."
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Ahim ::

artplant je izjavil:

Avtor, podpiši se pod članek! Če zahtevaš odgovornost in kruhoborsko pljuvaš po dejanskih ljudeh imej jajca in se podpiši. Udrihanje po upravnih delavcih je itak nacionalni šport, skrivaštvo pa zgleda tudi. Sicer pa, kot je razbrati iz članka, se ni zgodilo nič, lahko pa bi se. Avtor na odgovornost kliče krivce za dejanje, ki se ni zgodilo, lahko pa bi se. Proizvajalca tovornjakov, ki bi se lahko zapeljal v množico, pa se pač (še) ni. Ker le slaba novica je dobra novica in če ni slabše je dobra tudi taka o pomanjkljivosti, ki jo je za potrebe lastnega ega treba napumpati v kriminal ...

Wow, ti si pa cisto posebna sneznika, kaj?

Tudi proizvajalca tovornjakov, katerega vozilo je dejansko zapeljalo v mnozico (Scania), v zvezi s tem nihce ne klice na zagovor, tako da se malo ohladi z bebavimi primeri.

Dejstvo je, da je dobrsen del birokratov JAVNE (pazi!) uprave nesposobnih opravljati svoje delo, kar doticni primer spet dodatno potrjuje (in kakopak ni edini).

ZASEBNI (opazis razliko?) raziskovalec, ki ni del JAVNE uprave, pa - navkljub tvojim blodnjam - res ni dolzan tebi razkrivati svoje identitete, sploh ker bi pacienti tvoje sorte ocitno ljudi, ki opozarjajo na napake nesposobnega goveda v JAVNI upravi, najraje poslali na Dob, da bi le prikrili lastno inkompetenco.

Aja pa podpisa pod tvojim umotvorom tudi ne vidim ... toliko o skrivastvu.

Zgodovina sprememb…

  • spremenil: Ahim ()

poweroff ::

prtenjam je izjavil:

Takšna analogija vam pove marsikaj.

Ne, ne pove ničesar.

Prava analogija bi bila: dobim napotnico za zdravnika. Vratar mi reče naj grem v drugo nadstropje. Tam ni nikogar, na vratih ni napisov, zato pač potrkam na prva vrata. Tišina.

Vrata odprem, tam pa nikogar, le na sredi sobe kup bankovcev. Čakam... pol ure, uro, nikjer nikogar, bankovic pa ležijo v nezaklenjeni sobi.

Bankovcev ne ukradem, pač pa o tem obvestim vratarja. Ta pa pokliče policijo in me prijavi zaradi vloma.

prtenjam je izjavil:

Joj in na koncu bi skoraj pozabil: "Ali bi vi v fizičnem svetu vložili kazensko ovadbo zoper soseda, ki vam je vlomil v stanovanje, ker ste imeli odprto okno. V stanovanju je poiskal dragocenosti in obelodanil svetu, da kadar imate odprto okno je nevarno, da vam kdo vzame zlato verižico, ki se nahaja v tretjem predalu spodaj?"

LAŽ.

Pravilno: "Ali bi vi v fizičnem svetu vložili kazensko ovadbo zoper soseda, ki je skozi okno videl, da ste imeli v stanovanju na mizi dragocenosti, vas na to opozoril, ste mu zatrdili, da okno sedaj zapirate, nato pa obelodanil svetu, da ste imeli odprto okno in dragocenosti na mizi?"
sudo poweroff

krneki0001 ::

Daedalus je izjavil:

V vsakem primeru ima FURS kup precej relevantnih podatkov, ki se jih s poročanjem AJPES-u samo podvaja. Letne bilance so zgolj najbolj očitna neumnost. Za to ne potrebujemo še ene dodatne agencije. Ki ima svoje dodatne podizvajalce. In svoje dodatne procedure za iste zadeve (elektronsko podpisovanje, elektronska oddaja podatkov, ipd). Če je kaj dober primer za nepotrebno drobljenje pristojnosti in povzročanje nepotrebnega dodatnega dela je to AJPES. Da sproti ogrožajo še nacionalno varnost... je zgolj vrh ledene gore.


Ja, se strinjam in te razumem, vendar moraš vedeti, da ajpes ne dela samo z letnimi bilancami in parimi poročili. Recimo register transakcijskih računov, ki ga tudi vodi ajpes, ni nepotreben. V njem imaš recimo edino točne in relevantne podatke za vse blokirane račune, imaš kompleten nabor vseh računov v sloveniji,...
PRS je ena izmed stvari, ki je tudi zelo uporabna. CRP - centralni register prebivalstva tudi.

In ta del s fursom nima nobene veze. Je pa zelo relevanten za plačilni promet (PRS in RTRR). Preveriš ali ima firma blokiran račun in jim seveda denarja ne nakažeš, ker ga v primeru, da storitve ne izvedejo, ne boš mogel nazaj dobiti. (in podobne zadeve). CRP je pa itak zadeva zase.

V bistvu so hoteli, da bi vse te registre vodil kar ajpes, furs bi se pa iz teh podatkov potem črpal. Sama zamisel ima poanto, da imaš res vse izključno na enem mestu, brez podvajanja, vendar izvedba pa ni nikakor dobra.

matijadmin ::

Looooooka je izjavil:

AJPES je treba obesit za jajca prav tako pa vas, ki trdite, da ste z objavo dosegali neke "standarde" "etičnega hekanja". Če dobite odgovor, da je zadeva rešena(vi in ne nekdo drug) se zadevo preveri. Konec koncev bi lahko bila zadeva sele na stagingu pa se ni sla v produkcijo. Če vas pošljejo v k**** oz se strinjajo z objavo pa pač objaviš.
Anonimnost pa again res nakazuje na to, da se gospod etični ni bil prepričan v legalnost svojega početja.
Me briga za objavo ampak malce pretiravate z etičnostjo glede na način kako je bilo skomunicirano.

Delaš na AJPES pa bi rad plezal po šefih? >:D
Vrnite nam techno!

Markoff ::

poweroff je izjavil:

prtenjam je izjavil:

Takšna analogija vam pove marsikaj.

Ne, ne pove ničesar.

Samo dejstvo, da moramo za opis virtualnega uporabljati analogije iz fizičnega, jasno pove, da že drugega ne razumemo vsi enako (dobro), kaj šele prvega.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

mojca ::

@prtenjam: Ne, analogija ni prava.

Bolj primerna analogija bi bila, da bi nek upravnik nekje hranil podatke o vseh državljanih (rojstne podatke, naslove, fotografije, podpise v visoki ločljivosti, telefonske številke, številke transakcijskih računov in kreditnih kartic, gesla za dostop do maila in vseh ostalih servisov, ... pa matrice ključev vseh avtomobilov, stanovanj, sefov, ...). In vsi ti podatki bi bili dostopni komurkoli. Recimo, da bi bili kar objavljeni na neki javno dostopni spletni strani, ampak če že bežimo v fizičen svet, naj bo to recimo v odklenjenem kabinetu čistilke tik ob straniščih pod tromostovjem.

Nek dobronameren državljan zgreši vrata in namesto v WC vstopi v kabinet z vsemi temi podatki. Pogleda, kaj je v registih, opazi, kako hud problem je to oz. si sploh ne more predstavljati, kaj bo s temi podatki počela mafija in Nigerijci. Pokliče v kabinet, kjer za te podatke skrbijo, ti pa samo zamahnejo z roko, češ kdo bo pa brskal po teh registrih in ključih. In sploh ne vidijo problema, samo vložijo kazensko ovadbo zaradi vohunjenja proti temu dobrohotnemu in ničhudegaslutečemu državljanu.

Ko smo enkrat odgovorne opozarjali na probleme z nič kaj varno tehnologijo za kontrolo dostopa, so najprej odgovorili, da le-ta ni namenjena varnosti, čez čas pa je ista tehnologija pristala v jedrskih objektih. Sodeč po transakcijah na Erar-ju (nepreverjeno, saj ni razvidno, kaj je kdo naročal pri specifičnem podjetju) pa je z njo mogoče fizično priti "skoraj kamorkoli", vključno z Ajpesom. Komaj čakam prvi incident :D

rokp ::

>dobronameren državljan zgreši vrata
> ...
>dobrohotnemu in ničhudegaslutečemu državljanu

Se ne bom spuščal v to, kaj je prav in kaj ne, ampak, a kdo tole zgoraj res verjame? Verjetno tam pred "zgreši" manjka še "po pomoti"?

Furbo ::

Zakaj se pa potem ajpes sploh zajebava z nekimi podpisi, certifikati in plačuje neko varnost, saj je pa itak vsakomur jasno, da je neupravičen dostop do tega prepovedan?

Če gremo spet v real life, ti v idealni državici, itak ne bo noben vstopal v tvoje odklenjeno stanovanje in ti nosil reči ven. Ker se ne spodobi.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

broken/link ::

če ne bi bil dobronameren - bi lahko naredil konkretno štalo.

technolog ::

Ce bi si privatna firma privoscila tako salabajzerijo, bi imele njene stranke opcijo, da nehajo uporabljat njihove storitve - kar bi se tudi zagotovo zgodilo, vsaj v dolocenem delezu. To je bistvena razlika. Ukinit AJPES.

BigWhale ::

V UKC Maribor so pred casom imeli kartoteke pacientov v nezaklenjenih omarah na hodniku. Vcasih se je zgodilo, da je prisel kdo z manjsim otrokom tja in otrok je med pohajkovanjem po hodniku prijel za rocaj kaksnega predala in ga odprl.

Tole se sedaj dogaja v elektronski obliki na AJPESu.

kuglvinkl ::

Čuj, kaj so te otroka ovadili? Tota bi bila huda, ampak starše pa?
Your focus determines your reallity

AndrejO ::

rokp je izjavil:

>dobronameren državljan zgreši vrata
> ...
>dobrohotnemu in ničhudegaslutečemu državljanu

Se ne bom spuščal v to, kaj je prav in kaj ne, ampak, a kdo tole zgoraj res verjame? Verjetno tam pred "zgreši" manjka še "po pomoti"?

Glede na to, da je do razkritja SQLi prišlo tako, da je nekdo iskal, če obstaja N'Toko s.p. ... ja, to žal še kako zelo drži, vključno s "po pomoti".

Zelo verjetno je, da je pred njim taista vrata zgrešil še kdo, pa o tem ni nikomur ničesar povedal.

AJPES je sicer izjavil, da se to ni zgodilo. Ampak glede na celotno zgodbo me zanima, če je v Sloveniji sploh še kdo, ki vsaj približno razume dimenzije katastrofe in verjame katerikoli AJPES-ovi izjavi?

Zgodovina sprememb…

  • spremenil: AndrejO ()

perci ::

Daedalus, glede bilance stanja in izkaza poslovnega izida imaš malo napačne informacije. Če si oddal ta dva dokumenta na AJPES (kar itak moraš), potem ti jih ni treba še na FURS. Sicer sta to res prilogi obračuna davka od dohodka iz dejavnosti in davka od dohodkov pravnih oseb, vendar ti jih ni treba dvakrat oddajati.

FURS namreč te podatke pridobi od AJPES.

AJPES je sicer izjavil, da se to ni zgodilo. Ampak glede na celotno zgodbo me zanima, če je v Sloveniji sploh še kdo, ki vsaj približno razume dimenzije katastrofe in verjame katerikoli AJPES-ovi izjavi?
Precej čudno se obnašajo, se strinjam.

Zgodovina sprememb…

  • spremenil: perci ()

dronyx ::

Sam sicer nisem pravnik, vendar kakor jaz razumem naš kazenski zakonik je "etično hekanje" po naši zakonodaji kaznivo dejanje. Namreč...

Napad na informacijski sistem, 221. člen

(1) Kdor neupravičeno vstopi ali vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.

(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema, se kaznuje za zaporom do dveh let.

(3) Poskus dejanja iz prejšnjega odstavka je kazniv.

(4) Če je z dejanjem iz drugega odstavka tega člena povzročena velika škoda, se storilec kaznuje z zaporom od treh mesecev do petih let.


Problem je v tretjem odstavku 221. člena KZ, kjer se kot kaznivo dejanje šteje tudi poskus vdora v informacijski sistem. Sam si težko predstavljam kako izgleda v praksi biti "etični heker", brez da prestopiš mejo zakonitega? Seveda se lahko pojavi dilema ali je taka zakonska rešitev prava, ampak tako smo napisali v zakone in DZ je takšen zakon sprejel. Če si nekdo za tarčo izbere spletno stran Ajpesa in preizkuša, ali so kje pustili varnostne luknje oziroma je spletna stran ranljiva za "SQL injection" hodi po mojem mnenju po robu zakona.

Zgodovina sprememb…

  • spremenil: dronyx ()

Furbo ::

In kaj konkretno od drugega člena naj bi ta heker storil?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369132560 (97793) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181947 (64501) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953349 (43486) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432683 (22990) Furbo

Več podobnih tem