» »

Odgovorno razkritje ali neodgovorno nerazkritje

Odgovorno razkritje ali neodgovorno nerazkritje

Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Slo-Tech - V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo analizo zakaj je do napake prišlo, neodvisno oceno kakšen je bil obseg morebitne škode ter kateri ukrepi so bili sprejeti, da se zadeva ne ponovi, se podobne zgodbe v Sloveniji zaključi zgolj z nekaj splošnimi ugotovitvami. Namesto, da bi se poročilo javno objavilo, s čimer se bi se na podobne težave opozorilo tudi druge ter pokazalo kakšne bi morale biti dobre prakse na tem področju, se dokumente o takšnih incidentih skriva. Ne gre za to, da bi se iskalo krivce in izvajalo lov na čarovnice. Do napak vedno prihaja in bo prihajalo. Problem je pometanje pod preprogo in prikrivanje, posledično pa se enake napake pojavljajo vedno znova in znova.

In kar je še posebej zaskrbljujoče - pri tovrstni kulturi skrivanja žal sodelujejo tudi tiste institucije, ki bi pravzaprav morale biti prve med varuhi naših podatkov.

Pa si poglejmo konkreten primer. V septembru 2016 je Informacijski pooblaščenec prejel prijavo v kateri je bilo navedeno, da naj UKC Ljubljana ne bi ustrezno zavaroval osebnih in občutljivih osebnih podatkov na svoji spletni strani. Šlo je za spletno stran http://napotnica.kclj.si/, ki pacientom omogoča prijavljanje na preglede v UKC Ljubljana preko spleta. Preko spletne strani, ki sploh ni zaščitena preko HTTPS povezave (!), pacienti UKC Ljubljana posredujejo svoje osebne podatke, vključno s skeniranimi napotnicami.

Inšpekcijski pregled, ki je bil opravljen 9. septembra 2016 je pokazal, da je bilo s preprosto spremembo URL naslova mogoče odpreti "podstran, ki vsebuje osebne podatke zaposlenih in sicer ime in priimek in naslov elektronske pošte" ter pridobiti "dostop do večjega števila zdravniške dokumentacije, vključno z napotnicami, ki vključujejo osebne in občutljive osebne podatke."

Zgodba se s tem seveda ne zaključi. Informacijski pooblaščenec je o ogledu spletne strani in o ugotovitvah sestavil zapisnik št. 0612-181/2016/2, stopil pa je tudi v kontakt z odgovornimi na UKC Ljubljana. Iz UKC Ljubljana so po e-pošti še isti dan (kasneje pa še pisno) Informacijskemu pooblaščencu poslali poročilo o razlogih zaradi katerih je do incidenta po njihovem mnenju prišlo ter o ukrepih, ki so jih izvedli, da bi ranljivost odpravili.

Po mnenju odgovornih na UKC Ljubljana do ranljivosti ni prišlo zato, ker bi bil sistem popolnoma neustrezno zasnovan. Do ranljivosti ni prišlo zato, ker spletna stran ni vsebovala niti najosnovnejših varnostnih mehanizmov. Za ranljivost niso bili odgovorni tisti, ki so spletišče zasnovali v nasprotju z vsemi veljavnimi varnostnimi standardi. Niso bili krivi tisti, ki so opustili dolžno nadzorstvo nad svojimi izvajalci. Ne, kriv je bil - "anonimni napadalec", ki je "obvestil IP". Zveni znano?

Po mnenju UKC Ljubljana je bil dostop do navedenih osebnih podatkov posledica varnostne ranljivosti, ki jo je odkril anonimni napadalec. Le-ta je bil po mnenju UKC Ljubljana "zelo verjetno dobro podučen o informacijskem sistemu v okviru katerega so se osebni podatki obdelovali." Skratka, šlo naj bi za tim. insiderja, ki je pri vsem skupaj najverjetneje imel tudi kakšne skrite namene.

Odgovorni na UKC Ljubljana so v svojem zagovoru tudi poudarili, da javnost ni poznala spornega URL naslova, ki je omogočal dostop do podatkov, pač pa da je do njega dostopal zgolj napadalec. Podatki naj torej ne bi bili javno dostopni. Ali pač?

To so Informacijskemu pooblaščencu dokazali tako, da so mu posredovali dnevniški zapis s seznamom IP naslovov, ki so dostopali do spornih URLjev. Izpis je dokazoval, da sta do URL povezav dostopala le dva IP naslova - eden je pripadal IP-RS, drugi pa očitno napadalcu. Informacijskemu pooblaščencu so sporočili še seznam ukrepov, ki so jih izvedli za odpravo varnostne ranljivosti in Informacijski pooblaščenec je lahko le ugotovil, "da je zavezanec ugotovljene nepravilnost odpravil" ter ustavil postopek.

Da bi Informacijski pooblaščenec sam zasegel dnevniške zapise spletnega strežnika ter jih neodvisno analiziral, iz dokumentov, ki smo jih pridobili, ni razvidno. Da bi kdo od IP-RS preveril resničnost ostalih navedb zavezanca glede izvedenih varnostnih ukrepov, iz dokumentov, ki smo jih pridobili, tudi ni razvidno. Da bi Informacijski pooblaščenec preveril navedbo zavezanca, da so izvedli "druge tehnične ukrepe za zagotavljanje višje stopnje varnosti" - in preveril tudi kateri so bili ti ukrepi - iz dokumentov, ki smo jih pridobili, ravno tako ni razvidno.

Je pa razvidno, da je bil o incidentu (v popoldanskih urah po obravnavi incidenta na IP-RS) obveščen tudi SI-CERT. In kljub temu, da je bilo navedeno spletišče UKC Ljubljana skrajno nezaščiteno ter široko odprto v splet, in da so bili zaradi tega ogroženi občutljivi osebni podatki številnih posameznikov, Informacijski pooblaščenec o incidentu ni obvestil javnosti. Ne javnosti, ne prizadetih posameznikov. Za razliko od SI-CERTa, katerega naloga niti ni obveščanje javnosti, pač pa zgolj strokovna pomoč pri odpravi incidenta, pa imajo državni organi, ki izvajajo ugotovitvene postopke po Zakonu o splošnem upravnem postopku celo dolžnost k udeležbi v postopek povabiti osebe, za katere ugotovijo, da imajo pravni interes za udeležbo v postopku.

Da bi bil zaradi takšne malomarnosti proti odgovornim sprožen kakšen resen postopek, seveda tudi lahko le sanjamo. Še več. Glede na dostopno dokumentacijo so institucije, ki bi morale skrbeti za varnost naših podatkov, zavezancu preprosto verjele na besedo, da je do osebnih podatkov dostopal zgolj napadalec, same pa teh navedb sploh niso neodvisno preverile. Ali je torej prišlo do dejanske zlorabe ter kakšen je bil njen obseg, zato lahko le ugibamo.

Bruce Schneier, znani strokovnjak za informacijsko varnost, je na svojem blogu leta 2007 zapisal: "Popolno razkritje - praksa javnega razkritja podrobnosti varnostnih ranljivosti - je prekleto dobra ideja. Javni nadzor je edini zanesljiv način za izboljšanje varnosti, medtem ko nas tajnost dela samo manj varne."

Verjetno se vsi strinjamo, da naj bo razkrivanje varnostnih ranljivosti odgovorno. To pomeni, da se z objavo podrobnosti počaka dokler ranljivost ni odpravljena, oziroma, dokler ne poteče nek razumen rok, v katerem bi odgovorni ranljivost lahko odpravili, če bi želeli. Skrivanje obstoja ranljivosti po tem, ko je le-ta že zdavnaj odpravljena z izgovorom, da se je s tistim, ki je s svojo malomarnostjo ranljivost pravzaprav povzročil, glede objave potrebno uskladiti, pa z odgovornim razkrivanjem ranljivosti nima dosti skupnega. Prav nasprotno. V tem primeru lahko govorimo kvečjemu o neodgovornem nerazkrivanju, ki spodbuja kulturo skrivaštva in pometanja pod preprogo.

Zakon o varstvu osebnih podatkov v 14. členu določa, da se "pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom." Dobrega pol leta po inšpekcijskem pregledu Informacijskega pooblaščenca je spletišče http://napotnica.kclj.si še vedno dostopno zgolj preko nešifrirane HTTP povezave.

139 komentarjev

«
1
2 3

Marvin ::

Pa saj menda ne pričakuješ česarkoli drugega v našem dragem Bananistanu, kjer po pravilu nihče nikoli ne odgovarja za nobeno napako? Razen, seveda, če so na najnižji možni stopnički in če njihov nadrejeni že dalj časa išče izgovor, da se jih znebi. To še gre, karkoli drugega pa, ha, ha. Welcome to Slovenistan!

jype ::

Marvin> Pa saj menda ne pričakuješ česarkoli drugega v našem dragem Bananistanu

Ja, pričakujem. Jaz to plačujem, zato sem jaz tisti, ki je upravičen pričakovati nekaj drugega kot to, kar se je zgodilo tudi v tem primeru.

Marvin ::

To pričakujemo vsi, samo vsi pa tudi vemo, kakšna je pri nas realnost ki je v popolnem nasprotju s pričakovanji že od osamosvojitve naprej. In še z nobeno vlado se glede tega ni spremenilo popolnoma nič, nikjer. Zakaj le?

Zato pač, ker se naša kvazi-elita ne boji posledic s strani volivcev in/ali odgovornih organov. In to se potem prenaša navzdol po lestvici do najnižjih uradničkov, ki znajo povedati zgolj da "niso pristojni" in se igrati ping-pong z drugimi uradnički ki prav tako "niso pristojni". In ko se po dolgem iskanju najde nekoga ki recimo da je pristojen, pa ni odgovoren.

Slovenistan in a nutshell.

Zgodovina sprememb…

  • spremenil: Marvin ()

jype ::

Škoda, da ni dovolj, da samo pričakujemo.

Morda bi moral pa kdo tudi kaj storiti v tej smeri?

Marvin ::

Saj to je problem, ker smo Slovenci žal tako pohleven in ponižen narod, da požremo vse. Vsi jokamo in stokamo, nihče pa ni pripravljen narediti nič. Mirni protesti na naše politike nimajo nobenega vpliva, samo gledajo folk skozi okna parlamenta in se nam smejijo v face, češ saj jih bo minilo in bo spet vse po starem, samo počakati moramo.

In točno tako je tudi bilo. Kaj nam potem še ostane, ker isti modus operandi "elite" sproščeno uporabljajo tudi njeni aparatčiki, ker odlično deluje za oboje?

Zgodovina sprememb…

  • spremenil: Marvin ()

jype ::

Marvin> Kaj nam potem še ostane

Kako kaj? Naredi kaj, ane?

zee ::

Podpiram odgovorno razkrivanje in kazenski pregon odgovornih za "puscanje podatkov".

Mimogrede:
Ravno vceraj sem opazil, da mobilna aplikacija za prijavo dopusta posilja geslo (ki ga moramo zamenjati vsake tri mesece) kar preko HTTP-ja.

Na moje opozorilo so se na lokalnem SAP-u odzvali, da je pa to povsem normalno...
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Marvin ::

jype je izjavil:

Marvin> Kaj nam potem še ostane

Kako kaj? Naredi kaj, ane?

Kaj že?

Zgodovina sprememb…

  • spremenil: Marvin ()

zmaugy ::

jype je izjavil:

Marvin> Kaj nam potem še ostane

Kako kaj? Naredi kaj, ane?

Ne morejo biti državljani pohlevne ovce tam, kjer si ti tako želiš in hkrati biti nasprotje tega nekaj milimetrov stran.
Želeli ste - imate.

Highlag ::

Slabo tole. Očitno bo moral en XY resno narediti štalo, da se bo kje kaj spremenilo. Ne mislim na opozarjanje ampak totalno sesutje sistema. Očitno pa gre pri nas za sistematično neustrezne implementacije takšnih sistemov. Zanimivo bi bilo vedeti kdo so avtorji teh "portalov".

ZDA in podobni le nekaj delajo za zaščito svojih sistemov, pri nas pa glavo v pesek. Samo potem ko bo hekerjem zmanjkalo tarč v drugih državah bodo iskali tarče drugje. In viola, Slovenija ima vse na pladnju, samo bolj natančno mora pogledat.

Komu lahko kot državljani postavimo neprijetna vprašanja? Ker odgovornim se očitno za vse fučka.
Never trust a computer you can't throw out a window

DOOM_er ::

Marvin je izjavil:

jype je izjavil:

Marvin> Kaj nam potem še ostane

Kako kaj? Naredi kaj, ane?

Kaj že?


lahko ustanovimo lastno stranko in se borimo za preboj v parlament, naprimer. Sam se prostovoljno javljam za velikega vodjo, žal je edino da dejansko ni interesa med našo generacijo za kaj takega.
Robots will steal your job. But that's OK

user1618 ::

Zakaj enostavno ne ugasnejo ta webserver?

Po mnenju UKC Ljubljana je bil dostop do navedenih osebnih podatkov posledica varnostne ranljivosti, ki jo je odkril anonimni napadalec. Le-ta je bil po mnenju UKC Ljubljana "zelo verjetno dobro podučen o informacijskem sistemu v okviru katerega so se osebni podatki obdelovali." Skratka, šlo naj bi za tim. insiderja, ki je pri vsem skupaj najverjetneje imel tudi kakšne skrite namene.

Pretkani Google ima verjetno zelo izprijene namene, ko teče indeksiranje spletnih strani.

Izpis je dokazoval, da sta do URL povezav dostopala le dva IP naslova - eden je pripadal IP-RS, drugi pa očitno napadalcu. Informacijskemu pooblaščencu so sporočili še seznam ukrepov, ki so jih izvedli za odpravo varnostne ranljivosti in Informacijski pooblaščenec je lahko le ugotovil, "da je zavezanec ugotovljene nepravilnost odpravil" ter ustavil postopek.

Torej nihče ni oddal napotnice?
"If we were supposed to talk more than listen
we would have been given two mouths and one ear"
- Mark Twain

juroz ::

Highlag je izjavil:

Slabo tole. Očitno bo moral en XY resno narediti štalo, da se bo kje kaj spremenilo. Ne mislim na opozarjanje ampak totalno sesutje sistema. Očitno pa gre pri nas za sistematično neustrezne implementacije takšnih sistemov. Zanimivo bi bilo vedeti kdo so avtorji teh "portalov".

ZDA in podobni le nekaj delajo za zaščito svojih sistemov, pri nas pa glavo v pesek. Samo potem ko bo hekerjem zmanjkalo tarč v drugih državah bodo iskali tarče drugje. In viola, Slovenija ima vse na pladnju, samo bolj natančno mora pogledat.

Komu lahko kot državljani postavimo neprijetna vprašanja? Ker odgovornim se očitno za vse fučka.


Tako je, jaz žal ne vidim druge opcije. Iz ene inštitucije naredit totalno štalo, v opomin ostalim kaj se lahko naredi ko/če se ignorira dobronamerna opozorila.

poweroff ::

Pa to ne moreš verjeti:
http://www.delo.si/novice/slovenija/vdo...

Na UKC Ljubljana so nam dejali, da so takoj ukrepali: "Noben podatek ni bil odtujen. Namen vdora je bil očitno le preverjanje varnosti." Na vprašanje, do koliko pacientov in zaposlenih so bili dostopni podatki, niso odgovorili. Dejali so le: "Skozi ta portal ni mogoče dostopati do podatkov o zaposlenih v UKC Ljubljana, pač pa le do napotnic."

Isti stavki kot pri Ajpesu - namen je bil le preverjanje varnosti.

Glede podatkov o zaposlenih - inšpekcijski zapisnik je jasen in si ga lahko vsakdo ogleda. No, verjamem pa, da ti podatki sedaj niso več dostopni.
sudo poweroff

estons ::

Opa. No, glede na to, da so vse te sisteme pisali programerji, in smo tukaj večinoma programerji, bo mogoče treba počasi nehat pljuvat po ostalih "nesposobnežih" in se pogledat v ogledalo... ;)

Looooooka ::

Bruce Schneier, znani strokovnjak za informacijsko varnost, je na svojem blogu leta 2007 zapisal: "Popolno razkritje - praksa javnega razkritja podrobnosti varnostnih ranljivosti - je prekleto dobra ideja. Javni nadzor je edini zanesljiv način za izboljšanje varnosti, medtem ko nas tajnost dela samo manj varne."

Bullshit.
Dovolj je, da javno napišeš ime tistega, ki je zadevo narobe spisal/postavil in lepo obveščaš, da lahko dostopaš do podatkov.
Če hočeš bit nek kvazi heroj pokliči poptv, pejta skupaj do informacijskega pooblaščenca(ki verjetno te stvari sme delati) in mu lepo dajte navodila, kako naj zadevo "preveri".
Potem pa naj jim j/m.
Vsak kreten, ki pa pomaga n-ljudem do mojih podatkov z razkritjem zgolj za voljo lastne samopromocije(in ne delajte se, da to ni motivacija) je pa kreten, ki meni ne dela prav nobene usluge.
Nekako tako, kot če bi roparju pokazal kako se odklene vse sefe, ker bi bili zaklenjeni s kombinacijo, ki je po nekem logičnem zaporedniku vezana na javnosti znane podatke imetnika.
V tistem primeru bi verjetno lastnoročno poiskal in razbil kretena, ker bi ostal brez premoženja.
No VI kao "etični" hekerji očitno osebne podatke dajete nekam nižje dol na lestvico kot jaz torej ste z mojega vidika velikokrat neetične pizde.

poweroff ::

Problem je, da si ti navaden butelj. Težka besede, ampak jih bom dokazal. Butelj si zato, ker ne bereš. V novici jasno piše, da je postopek že zdavnaj končan, ranljivosti pa odpravljene.

Zdaj... Pri Ajpesu smo zadevo objavili po tem, ko so na Ajpesu zatrdili, da je zadeva odpravljena. Ker je bilo to naslednji dan, smo poslušali očitke, da je bilo to "neodgovorno". Da bi bilo treba počakati in se uskladiti z Ajpesom.

Tukaj je postopek končan že pol leta, pa so spet podobni očitki.

Se pravi sploh ne gre za to, koliko časa naj mine od tega, da zadevo popravijo, do tega, da se razkrije ranljivosti. Gre za to, da ste nekateri mnenja, da je treba zadeve skrivat.

Aja, nisi tega mnenja?

No, potem si pa butelj, ki ni prebral novice. :))
sudo poweroff

Looooooka ::

Ne govorim o tem specifičnem postopku BUTELJ.

Še en primer recimo, ki ga etični hekerji gladko ignorirajo, ker to ni njihov problem.
Naročnik pa če je to država ali pa kdorkoli, podpiše pogodbo za izvedbo neke storitve.
Storitev dela in n-ljudi zagotovi, da je vse v skladu s predpisi.
Imajo celo firmo, ki to proti plačilu vzdržuje.
"Etični kekec" najde napako in jim da 30 dni oz rok, ki se njemu zdi normalen, da zadevo odpravijo.
Ne ve pa da:
-človeka, ki ma ta del projekta čez ni, ali pa je bil odpuščen in je mogoče popizdil in spokal z vso kodo
-storitev sedaj uporablja dovolj ustanov, da bi ustavitev sistema negativno vplivala na bogve koliko storitev. "Etični kekec" se sploh ne vpraša katere storitve bi to vse lahko bile in koliko ljudi je od tega zdaj odvisnih.
-firma se dogovori, da bo zadeva urejena, da glede na loge za napako ve zgolj "etični kekec", ki je vsaj glede na slovenske razmere ponavadi insider in da bo zadeva rešena. Bo pač dlje kot 30 dni.
-mogoče so celo nekoga zaposlili, da vmes spiše nek proxy, ki bi te zahteve blokiral pa je spet nekdo četrti zajebal in zadeve ni dal v produkcijo.
Ampak zadeva je bila dana v reševanje, uradno je non-issue, hitre rešitve pa ni, ker tisti kekec, ki je zajebal zdaj zlorablja, ker ve, da njegov kolega, ki je btw "ETIČNI KEKEC" zdaj grozi naročniku z razkritjem informacij.

Na koncu meseca so naši podatki na voljo 15 letnikom, ki drugače portala še poznali ne bi ampak zdaj vejo kako z navadnimi http queryji dostopat do tvojih zdravstvenih podatkov.
"etični kekec" ni heroj, njegov kolega ne dobi evra, stran bo v pizdi dokler nekdo ne spiše nove, moji podatki so pa znani tudi butljem, ki to podpirajo.

BRAVO.

CARJI.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

Tomay ::

estons je izjavil:

Opa. No, glede na to, da so vse te sisteme pisali programerji, in smo tukaj večinoma programerji, bo mogoče treba počasi nehat pljuvat po ostalih "nesposobnežih" in se pogledat v ogledalo... ;)

Tu po moje niso večinoma programerji, ker v Sloveniji verjetno sploh ni toliko "dobrih" programerjev, kot je uporabnikov na ST.
Ideja pa je, da se nastavi ogledalo tistim "šalabajzerjem", ki ogrožajo varnost naših podatkov oz. da jim ogledalo nastavijo nadrejeni/odgovorni.
Voodoo 4Ever

Looooooka ::

Problem je, da si ti navaden butelj. Težka besede, ampak jih bom dokazal. Butelj si zato, ker ne bereš. V novici jasno piše, da je postopek že zdavnaj končan, ranljivosti pa odpravljene.

Zdaj... Pri Ajpesu smo zadevo objavili po tem, ko so na Ajpesu zatrdili, da je zadeva odpravljena. Ker je bilo to naslednji dan, smo poslušali očitke, da je bilo to "neodgovorno". Da bi bilo treba počakati in se uskladiti z Ajpesom.

Tukaj je postopek končan že pol leta, pa so spet podobni očitki.

Se pravi sploh ne gre za to, koliko časa naj mine od tega, da zadevo popravijo, do tega, da se razkrije ranljivosti. Gre za to, da ste nekateri mnenja, da je treba zadeve skrivat.

Aja, nisi tega mnenja?

No, potem si pa butelj, ki ni prebral novice


Again. "Attention whore"

Nobenega razloga ni, da svetu pokažeš kako ranljivost servisa z javnimi podatki deluje.
Če si car pejt na tv pa se vsak dan deri na ves glas, da veš kateri politik ima kakšno spolno prenosljivo bolezen, ker zadeva še zmeraj ni popravljena.
Če si pa kreten pa pokaži vsem slovencljem, kako si lahko sami preberejo katere tablete žre njihov sosed.

Učinek bo dejansko enak.
Samo, da si v drugem pač kreten, ki o etiki nima POJMA.

Invictus ::

@Looooooka

Človek bi mislil, da delaš v taki firmi, ko tako ščitiš šalabajzerje...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Looooooka ::

Tomay je izjavil:

estons je izjavil:

Opa. No, glede na to, da so vse te sisteme pisali programerji, in smo tukaj večinoma programerji, bo mogoče treba počasi nehat pljuvat po ostalih "nesposobnežih" in se pogledat v ogledalo... ;)

Tu po moje niso večinoma programerji, ker v Sloveniji verjetno sploh ni toliko "dobrih" programerjev, kot je uporabnikov na ST.
Ideja pa je, da se nastavi ogledalo tistim "šalabajzerjem", ki ogrožajo varnost naših podatkov oz. da jim ogledalo nastavijo nadrejeni/odgovorni.

Če ne popraviš napake in trdiš, da si jo si nesposoben.
Btw to, da daš recimo že v osnovi odprt dostop do backenda na nezavarovan način je nesposobnost.
Napaka bi bila, da bi ga dal, pa da ta ne bi bil delujoč/uporaben in bi ti nek "etični heker" pokazal, da ne deluje. Tudi, ko bi jo odpravil bi bila to napaka.
Če je pa ne in še vedno trdiš, da je ni oziroma, da si jo...si pa nesposoben.
Men je čist jasno, da bugi obstajajo. Možno je, da je nekdo tud vse predvidel in naredil pa je nekdo drug med premiki iz development-testing-staging-production okolja kaj pozabil prizgati. Shit happens. Nesposobnost sledi kasneje.

Invictus je izjavil:

@Looooooka

Človek bi mislil, da delaš v taki firmi, ko tako ščitiš šalabajzerje...


Ne ščitim šalabajzerjev.
Sem lepo napisal.
Naj dajo ven imena izvajalcev in naj plačajo penale/grejo na črno listo.
Sam ne mi tle o neki etiki, ko pa dejansko daš ven ključe do podatkov vseh državljanov.
Tle ni nobene fucking etike.
Tle so samo kreteni, ki so si za idole dal hekerji iz raznih blackhat konferenc ti so pa ponavad tko al tko asocialni in jih že v osnovi briga za posledice.
Važno, da se heka in da se odpravi ranljivost. Vse vmes je irelevantno.
Dajte stran besedo etika pa ne bo nobenega pizdenja.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

zmaugy ::

Looooooka je izjavil:

Ne govorim o tem specifičnem postopku BUTELJ.

Še en primer recimo, ki ga etični hekerji gladko ignorirajo, ker to ni njihov problem.
Naročnik pa če je to država ali pa kdorkoli, podpiše pogodbo za izvedbo neke storitve.
Storitev dela in n-ljudi zagotovi, da je vse v skladu s predpisi.
Imajo celo firmo, ki to proti plačilu vzdržuje.
"Etični kekec" najde napako in jim da 30 dni oz rok, ki se njemu zdi normalen, da zadevo odpravijo.
Ne ve pa da:
-človeka, ki ma ta del projekta čez ni, ali pa je bil odpuščen in je mogoče popizdil in spokal z vso kodo
-storitev sedaj uporablja dovolj ustanov, da bi ustavitev sistema negativno vplivala na bogve koliko storitev. "Etični kekec" se sploh ne vpraša katere storitve bi to vse lahko bile in koliko ljudi je od tega zdaj odvisnih.
-firma se dogovori, da bo zadeva urejena, da glede na loge za napako ve zgolj "etični kekec", ki je vsaj glede na slovenske razmere ponavadi insider in da bo zadeva rešena. Bo pač dlje kot 30 dni.
-mogoče so celo nekoga zaposlili, da vmes spiše nek proxy, ki bi te zahteve blokiral pa je spet nekdo četrti zajebal in zadeve ni dal v produkcijo.
Ampak zadeva je bila dana v reševanje, uradno je non-issue, hitre rešitve pa ni, ker tisti kekec, ki je zajebal zdaj zlorablja, ker ve, da njegov kolega, ki je btw "ETIČNI KEKEC" zdaj grozi naročniku z razkritjem informacij.

Na koncu meseca so naši podatki na voljo 15 letnikom, ki drugače portala še poznali ne bi ampak zdaj vejo kako z navadnimi http queryji dostopat do tvojih zdravstvenih podatkov.
"etični kekec" ni heroj, njegov kolega ne dobi evra, stran bo v pizdi dokler nekdo ne spiše nove, moji podatki so pa znani tudi butljem, ki to podpirajo.

BRAVO.

CARJI.


A tako potekajo javna naročila za informacijske storitve v Sloveniji? Nisem vedel, sem mislil da so postavljeni neki minimalni pogoji, ki zagotavljajo nemoteno vzdrževanje in servisiranje.
Mislim da je jasno, kaj sem hotel povedati, ane?

Looooooka ::

Na papirju obstaja vse.
Ampak če nekdo zlorabi zadeve(to tud ne bi bilo prvič a ne?) a se ti zdi fer, da zaradi tega najebemo državljani in da grejo zato ven naši podatki?

zmaugy ::

Če za posel angažiraš resno in odgovorno firmo, kjer je vrednota kvaliteta storitve, se minimizira možnost za takšne zajebe.
Iz tvojega posta sklepam, da pri nas to poteka drugače. V resnih firmah odsotnost enega človeka ne pomeni, da se bo svet podrl.

Looooooka ::

zmaugy je izjavil:

Če za posel angažiraš resno in odgovorno firmo, kjer je vrednota kvaliteta storitve, se minimizira možnost za takšne zajebe.
Iz tvojega posta sklepam, da pri nas to poteka drugače. V resnih firmah odsotnost enega človeka ne pomeni, da se bo svet podrl.

Potem še nisi sodeloval z državnimi firmami.
Žal je realnost drugačna.
Dovolj je, da en manjka pa se projekt premakne za par mesecev. Pa čeprav je manjkal samo 1 teden.

zmaugy ::

A državne firme izdelujejo softver za razne agencije in ministrstva?
A je to leto 1948?

Looooooka ::

Oz evo še ena primerjava.
Kaj misliš, da bi ti rekli varnostniki če bi jim pred 2 leti rekel:
"Eh se zaposlim pri firmi, stopim v sobo...pobašem torbe s par 100.000 evri in odkorakam ven"
Verjetno bi ti rekli...čakaj sine, mamo postopke pa kar se tiče denarja nisi nikoli sam, pa ko greš čez vrata še drugi gledajo, pa zunaj so kamere.
Ampak glej ga hudiča.
Točno to se je zgodilo.
Imposibruu

ToniT ::

V vsej tej zadevi je malo smešno to, da so se v UKC LJ odločili za naročanje preko lastne spletne strani, ne morejo pa urediti, da bi delovalo naročanje preko uradnih kanalov NIJZ (narocanje.ezdrav.si), ki so zavarovani. Zaradi UKC LJ in še nekaterih drugih velikoh bolnišnic, ki še niso uredili naročanja preko ezdrav.si, še zmeraj uporabljamo papirnate napotnice namesto elektronskih.

thramos ::

Looooooka je izjavil:


Če si pa kreten pa pokaži vsem slovencljem, kako si lahko sami preberejo katere tablete žre njihov sosed.


Ta način je, glede na prebrano, edini način da "slovencljem" poveš, da nekateri sosedi lahko berejo katere tablete žrejo in edini način, da skrajšaš čas, ko to lahko počnejo.

In edini način, da "slovencljem" poveš, da z njihovimi podatki upravljajo šalabajzerji.

zmaugy ::

Looooooka je izjavil:

Oz evo še ena primerjava.
Kaj misliš, da bi ti rekli varnostniki če bi jim pred 2 leti rekel:
"Eh se zaposlim pri firmi, stopim v sobo...pobašem torbe s par 100.000 evri in odkorakam ven"
Verjetno bi ti rekli...čakaj sine, mamo postopke pa kar se tiče denarja nisi nikoli sam, pa ko greš čez vrata še drugi gledajo, pa zunaj so kamere.
Ampak glej ga hudiča.
Točno to se je zgodilo.
Imposibruu

???

Looooooka ::

zmaugy je izjavil:

Looooooka je izjavil:

Oz evo še ena primerjava.
Kaj misliš, da bi ti rekli varnostniki če bi jim pred 2 leti rekel:
"Eh se zaposlim pri firmi, stopim v sobo...pobašem torbe s par 100.000 evri in odkorakam ven"
Verjetno bi ti rekli...čakaj sine, mamo postopke pa kar se tiče denarja nisi nikoli sam, pa ko greš čez vrata še drugi gledajo, pa zunaj so kamere.
Ampak glej ga hudiča.
Točno to se je zgodilo.
Imposibruu

???

Vidiš. Vse veš a ne?

zmaugy ::

thramos je izjavil:

Looooooka je izjavil:


Če si pa kreten pa pokaži vsem slovencljem, kako si lahko sami preberejo katere tablete žre njihov sosed.


Ta način je, glede na prebrano, edini način da "slovencljem" poveš, da nekateri sosedi lahko berejo katere tablete žrejo in edini način, da skrajšaš čas, ko to lahko počnejo.

In edini način, da "slovencljem" poveš, da z njihovimi podatki upravljajo šalabajzerji.

Točno to. Zdaj bo javno mnenje pritisnilo na "strokovnjake" in naročnike njihovih storitev in morda se bo kaj premaknilo.

Looooooka ::

thramos je izjavil:

Looooooka je izjavil:


Če si pa kreten pa pokaži vsem slovencljem, kako si lahko sami preberejo katere tablete žre njihov sosed.


Ta način je, glede na prebrano, edini način da "slovencljem" poveš, da nekateri sosedi lahko berejo katere tablete žrejo in edini način, da skrajšaš čas, ko to lahko počnejo.

In edini način, da "slovencljem" poveš, da z njihovimi podatki upravljajo šalabajzerji.


Sorry zame to ni edini način.
Ljudje znajo bit dovolj jezni tudi brez tega.
Samo predstavit jim je treba resnost situacije v medijih, ki jih celo berejo.
Slo-techa NE berejo.

zmaugy ::

Looooooka je izjavil:

zmaugy je izjavil:

Looooooka je izjavil:

Oz evo še ena primerjava.
Kaj misliš, da bi ti rekli varnostniki če bi jim pred 2 leti rekel:
"Eh se zaposlim pri firmi, stopim v sobo...pobašem torbe s par 100.000 evri in odkorakam ven"
Verjetno bi ti rekli...čakaj sine, mamo postopke pa kar se tiče denarja nisi nikoli sam, pa ko greš čez vrata še drugi gledajo, pa zunaj so kamere.
Ampak glej ga hudiča.
Točno to se je zgodilo.
Imposibruu

???

Vidiš. Vse veš a ne?


Ne vem o čem govoriš. Mimogrede, nihče ne ve vsega. Pametni angažirajo resne strokovnjake za posamezna področja.

Fritz ::

Odličen članek. Kapo dol Matej. Reč je sicer na specifičnem področju a kaže modus operandi delovanja JS RS v celoti, z redkimi pozitivnimi izjemami. A le z nejasnimi pravili, nedoločeno odgovornostjo in skrivanjem nesposobnosti ali slabo narejenih del je možno zagotavljati pogoje za uspešen razcvet klientelizma, korupcije in kriminala.

Drugače pa poleg specifičnih zakonov zadeve pokriva tudi KZ v členih 257. - 286. Ali ste kdaj slišali, da bi bil kdo obsojen na podlagi teh členov pa še ni prišlo do dejanskega odtekanja podatkov? Ali mora nekdo res ukrasti podatke in jih nekje objaviti ali zlorabiti, da se bo kaj spremenilo?
"Težav ne moremo reševati z isto miselnostjo,
kot smo jo imeli, ko smo jih ustvarili."
A. Einstein

bleem ::

Me zanima katera leta je bil deployan ta portal in koliko je stal.

brbr21 ::

Ni namen pribijat na pranger ampak vseeno naj bo jasno kdo je avtor. Tako kot je bil pri AJPESU objavljen avtor: mojdenar.

Tu je podpisan Žejn d.o.o.:
<a href="http://www.zejn.si"><span class="footerText"><strong>Copyright (C) Žejn d.o.o. 2001 - 2017; ShakeSpeare&#8482;</strong> 4_8, b60039 (2016-09-26_1021)</span>


Pa ne pristanem na izvijanje avtorjev z - naročnik ni predpisal, ni predvidel, ni hotel, ni... Tako očitne luknje so skrb dobrega izvajalca.

Zgodovina sprememb…

  • spremenil: brbr21 ()

Looooooka ::

ToniT je izjavil:

V vsej tej zadevi je malo smešno to, da so se v UKC LJ odločili za naročanje preko lastne spletne strani, ne morejo pa urediti, da bi delovalo naročanje preko uradnih kanalov NIJZ (narocanje.ezdrav.si), ki so zavarovani. Zaradi UKC LJ in še nekaterih drugih velikoh bolnišnic, ki še niso uredili naročanja preko ezdrav.si, še zmeraj uporabljamo papirnate napotnice namesto elektronskih.

UKC in kar še nekaj bolnišnic je odvisnih od par pizd, ki so tam že 30 let.
Primer, ki ga je povedal kolega(od tega je minilo par let).
Nekdo v določeni bolnišnici že 20 let izstavlja mesečni račun za podporo programa, ki jim ga je spisal.
Program je precej simple...vnašanje določenih podatkov in to se piše v neko bazo.
Baza je stara kot zemlja in ima omejitev glede količine podatkov.
Ko jim na oddelku(ali oddelkih) program crkne z napako, ki so zdaj že poznajo, pokličejo mojstra...ta pride in "popravi zadevo".
Tehnično gledano samo zbriše najstarejše zapise in gre domov.
Realno ma pa od tega eno nadpovprečno plačo že od kar je podpisal pogodbo.
Ampak ja.
Pri nas gre vse po predpisih.

zmaugy ::

Zato pa plačujemo tako nore davke in prispevke. Denar vsem takšnim pač ne pade z lufta.

Looooooka ::

Ni namen pribijat na pranger ampak vseeno naj bo jasno kdo je avtor. Tako kot je bil pri AJPESU objavljen avtor: mojdenar.

Tu je podpisan Žejn d.o.o.:


Ta firma je imela čez tudi plačilne sisteme določenega mobilnega operaterja.
Verjetno bi se nam zdelo etično če bi izpostavili še tiste servise v kolikor bi bila tudi tam napaka in bi ta operater potem gladko izstavljal račune revežem, ki pazijo na vsak evro a ne?
Saj bi slej ko prej dobili povrnjen denar ampak vmes a ne...who needs money for bills. Važno je etično hekanje :)

Btw...zdej pa pejte pogledat kok zaposlenih in kok študentov so meli na plačilni listi vsa ta leta.
In potem naj mi še nekdo napiše, da se pri nas vse dela tko kot je treba.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

thramos ::

Looooooka je izjavil:

Sorry zame to ni edini način.
Ljudje znajo bit dovolj jezni tudi brez tega.
Samo predstavit jim je treba resnost situacije v medijih, ki jih celo berejo.
Slo-techa NE berejo.


Povej boljšega torej.

Prijava IP to očitno ni.

Mainstream mediji pa se kot kaže zganejo, šele ko jih prehiti alternativni in za njih ustvari zgodbo.

Looooooka ::

thramos je izjavil:

Looooooka je izjavil:

Sorry zame to ni edini način.
Ljudje znajo bit dovolj jezni tudi brez tega.
Samo predstavit jim je treba resnost situacije v medijih, ki jih celo berejo.
Slo-techa NE berejo.


Povej boljšega torej.

Prijava IP to očitno ni.

Mainstream mediji pa se kot kaže zganejo, šele ko jih prehiti alternativni in za njih ustvari zgodbo.

Žal je treba do mainstream medijem pa jim to bombastičnost predstavit.
Saj majo vsi kup novininarjev, ki samo iščejo bombastične zgodbe.
Če to ni bombastična zgodba pol pa res ne vem kaj je.
Ampak a ne...tega tle nihče niti ni poskusil.
Pa če se že gre za prepoznavnost. Tko bi bli še bolj prepoznavni :)

Zgodovina sprememb…

  • spremenilo: Looooooka ()

Putr ::

Kazenske ovadbe zaradi nevestnega dela v službi so bile podane?

poweroff ::

Looooooka je izjavil:

Sam ne mi tle o neki etiki, ko pa dejansko daš ven ključe do podatkov vseh državljanov.

Še enkrat.

Ranljivost je odpravljena že pol leta. Kdo je dal kakšne ključe ven???

Looooooka je izjavil:

Ne ve pa da:
-človeka, ki ma ta del projekta čez ni, ali pa je bil odpuščen in je mogoče popizdil in spokal z vso kodo
-storitev sedaj uporablja dovolj ustanov, da bi ustavitev sistema negativno vplivala na bogve koliko storitev. "Etični kekec" se sploh ne vpraša katere storitve bi to vse lahko bile in koliko ljudi je od tega zdaj odvisnih.
-firma se dogovori, da bo zadeva urejena, da glede na loge za napako ve zgolj "etični kekec", ki je vsaj glede na slovenske razmere ponavadi insider in da bo zadeva rešena. Bo pač dlje kot 30 dni.
-mogoče so celo nekoga zaposlili, da vmes spiše nek proxy, ki bi te zahteve blokiral pa je spet nekdo četrti zajebal in zadeve ni dal v produkcijo.
Ampak zadeva je bila dana v reševanje, uradno je non-issue, hitre rešitve pa ni, ker tisti kekec, ki je zajebal zdaj zlorablja, ker ve, da njegov kolega, ki je btw "ETIČNI KEKEC" zdaj grozi naročniku z razkritjem informacij.

Tole so sicer kar hude obtožbe, ampak jim bom spregledal.

Boljši primer je tale:
- firma postavi plinsko cisterno
- s tem plinom se zdaj, ko je zima greje cel kup državnih ustanov
- etični heker gre mimo in zavoha, da plin pušča
- o tem obvesti državno ustanovo, ki ta plin kuri in jim reče naj zadevo takoj zrihtajo
- ta seveda kontaktira izvajalca

Zdaj se pa začne:
- pa človek, ki pri nas šraufa ventile je na dopustu! 30 dni ni dovolj!
- pa ne moremo sredi zime odklopit ranljive cisterne! Ljudje bodo zmrzovali!

Verjetno bi vsak rekel, da je treba cisterno takoj odklopit, firma naj pa zrihta uhajanje plina nemudoma kakor ve in zna. Ampak če govorimo o plinu, je to jasno vsakemu butlju, če pa govorimo o osebnih podatkih se pa oglašajo razni Lukati z neumnostmi...

Glej, v tujini je takole. Če si nekaj hudo zaj*, boš zadevo zrihtal. Takoj, ne glede na stroške. Naročnika ne zanima ali imaš ljudi,ali so dopusti, ali je kaj tretjega. To je opcija A.

Opcija B je, da se firma zapre.
sudo poweroff

Looooooka ::

Boljši primer je tale:
- firma postavi plinsko cisterno
- s tem plinom se zdaj, ko je zima greje cel kup državnih ustanov
- etični heker gre mimo in zavoha, da plin pušča
- o tem obvesti državno ustanovo, ki ta plin kuri in jim reče naj zadevo takoj zrihtajo
- ta seveda kontaktira izvajalca

Je že zajebal.
Pokliče se policijo in gasilce.

Zdaj se pa začne:
- pa človek, ki pri nas šraufa ventile je na dopustu! 30 dni ni dovolj!
- pa ne moremo sredi zime odklopit ranljive cisterne! Ljudje bodo zmrzovali!

Verjetno bi vsak rekel, da je treba cisterno takoj odklopit, firma naj pa zrihta uhajanje plina nemudoma kakor ve in zna. Ampak če govorimo o plinu, je to jasno vsakemu butlju, če pa govorimo o osebnih podatkih se pa oglašajo razni Lukati z neumnostmi...

Glej, v tujini je takole. Če si nekaj hudo zaj*, boš zadevo zrihtal. Takoj, ne glede na stroške. Naročnika ne zanima ali imaš ljudi,ali so dopusti, ali je kaj tretjega. To je opcija A.

Opcija B je, da se firma zapre.

In ker nismo v tujini boš ti s tujim tičem (našimi podatki) mahal po tuji mizi(naši prispevki) zato, da boš mahnil po glavi nekoga, ki ga sploh ne poznami niti ne vemo če sploh ve kaj se dogaja(podizvajalec).

Sedi cvek.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

harvey dent ::

Slovenski ekvivalent "Anonymous"-a, v akcijo! To stran je treba sesut in tako nič hudo slutečim laikom prihraniti morebitne nevšečnosti.

Sicer pa groza, kaj se grejo. Namesto, da bi odpravili varnostno luknjo, hočejo krivdo naprtiti drugemu - temu ki je razkril.

Looooooka ::

BTW.
Jaz bi kar lepo penale, vrnitev stroškov, prekinitev pogodbe...če bo zaprl firmo je pa njegov problem.
AMPAK AGAIN.
Na drug način.
Ne z omogočanjem dostopa do podatkov tvoje žlahte celi širni Sloveniji.

harvey dent ::

Tut mi mamo žvižgače. :)
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
18345741 (32098) SeMiNeSanja
»

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Oddelek: Novice / Zasebnost
3015143 (12713) ExtraBacon
»

UKC Ljubljana kot nova slovenska potemkinova vas za blagor naroda

Oddelek: Novice / Varnost
309595 (6783) Saul Goodman
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953292 (43429) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432516 (22823) Furbo

Več podobnih tem