» »

Odgovorno razkritje ali neodgovorno nerazkritje

1
2
3

Matija82 ::

Looooooka je izjavil:


Vsak kreten, ki pa pomaga n-ljudem do mojih podatkov z razkritjem zgolj za voljo lastne samopromocije(in ne delajte se, da to ni motivacija) je pa kreten, ki meni ne dela prav nobene usluge.


Saj se ti zavedaš, da "etični kekec" verjetno ni edini, ki ima dostop? In da se tvoji podatki lahko kamot prelivajo in prodajajo, edina razlika je, da tega ne veš?

Looooooka ::

harvey dent je izjavil:

Slovenski ekvivalent "Anonymous"-a, v akcijo! To stran je treba sesut in tako nič hudo slutečim laikom prihraniti morebitne nevšečnosti.

Sicer pa groza, kaj se grejo. Namesto, da bi odpravili varnostno luknjo, hočejo krivdo naprtiti drugemu - temu ki je razkril.

A veš zakaj?
Ker jim je že naredil nepopravljivo škodo.
Verjetno(ne 100%) bi se dalo zadevo drugače pohendlat ampak, ko nekoga pač porineš čez prepad(tudi če si zasluži) se jaz sploh ne čudim protinapada.
Verjetno se zdaj sploh ne ukvarjajo s Francijem, ki je zajebal ampak s tem, kako bojo zajebal "etičnega hekerja".
V tem smislu smo zdaj še bolj v riti kot prej edina razlika je v tem, da vemo kdo vse je kriv. Država, podizvajalec in etični heker.
Ampak še vedno v riti.
Mamo pa vsaj enega krivca med tem, ko uživamo v vonju.
*juhu*
zmaga za etiko.

Matija82 je izjavil:

Looooooka je izjavil:


Vsak kreten, ki pa pomaga n-ljudem do mojih podatkov z razkritjem zgolj za voljo lastne samopromocije(in ne delajte se, da to ni motivacija) je pa kreten, ki meni ne dela prav nobene usluge.


Saj se ti zavedaš, da "etični kekec" verjetno ni edini, ki ima dostop? In da se tvoji podatki lahko kamot prelivajo in prodajajo, edina razlika je, da tega ne veš?

V bistvu se ne bi čudil če vesta zgolj dva človeka. Eden je etični heker, ki je delal na tem, pa je letel, drugi še dela pa se s tem nima časa ukvarjat.
Ta scenarij je veliko bolj verjeten.
Aja sorry.
Je bil.
Zdaj imajo do podatkov dostop vsi.

Pa lahko pametujete kolikor hočete.
Glede širjenja dostopa do podatkov ne bom nikoli odobraval nobenega pristopa v imenu česarkoli.
Pa če je bilo v glavi nekoga še tako dobronamerno.
Tle se moja etika pač razlikuje od vaše.
Glede vseh ostalih posledic se pa strinjam.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

Looooooka ::

Kaj se je pa zgodilo?
Kar se mene tiče se ni še nič zgodilo.
To, da bodo napake in luknje v sistemu zame ni dogodek.
To, da se jih bo v javnost dajalo tako ali drugeče zame tudi ni dogodek.
Zame bo dogodek to, ko bo spletna stran offline ali pa bo napaka celo v celoti odpravljena.
Torej se zaenkrat še ni zgodilo nič razen tega, da se debatira o moralnosti načina razkritja luknje javnosti, ki je v medijih namenjena non-geek populaciji opisana na zelo poenostavljen način v smislu "vsi berejo vaše podatke že leta".

Kovalchuk ::

Bravo za taka razkritja. Pomislite, koliko je še neodkritih pri takih nesposobnežih.

tony1 ::

Looooooka je izjavil:

Kaj se je pa zgodilo?
Kar se mene tiče se ni še nič zgodilo.
To, da bodo napake in luknje v sistemu zame ni dogodek.
To, da se jih bo v javnost dajalo tako ali drugeče zame tudi ni dogodek.
Zame bo dogodek to, ko bo spletna stran offline ali pa bo napaka celo v celoti odpravljena.
Torej se zaenkrat še ni zgodilo nič razen tega, da se debatira o moralnosti načina razkritja luknje javnosti, ki je v medijih namenjena non-geek populaciji opisana na zelo poenostavljen način v smislu "vsi berejo vaše podatke že leta".


Resnično si butelj.

Čakaj, čakaj, ali pa nas vse samo zafrkavaš? Predlagam ban za 14 dni, da se bo uporabnik malo ohladil. To je resna tema :|

SimplyMiha ::

V Sloveniji imamo cel kup strokovnjakov, a očitno pri vladnih agencijah ne zaposlujejo njih...

Looooooka ::

tony1 je izjavil:

Looooooka je izjavil:

Kaj se je pa zgodilo?
Kar se mene tiče se ni še nič zgodilo.
To, da bodo napake in luknje v sistemu zame ni dogodek.
To, da se jih bo v javnost dajalo tako ali drugeče zame tudi ni dogodek.
Zame bo dogodek to, ko bo spletna stran offline ali pa bo napaka celo v celoti odpravljena.
Torej se zaenkrat še ni zgodilo nič razen tega, da se debatira o moralnosti načina razkritja luknje javnosti, ki je v medijih namenjena non-geek populaciji opisana na zelo poenostavljen način v smislu "vsi berejo vaše podatke že leta".


Resnično si butelj.

Čakaj, čakaj, ali pa nas vse samo zafrkavaš? Predlagam ban za 14 dni, da se bo uporabnik malo ohladil. To je resna tema :|


Glede na napisano ni.
Nikogar ne moti dejstvo, da se z neodgovornim razkrivanjem razširi potencialni krog zlorabe.
Glede na napisano bi torej namesto dveh IP-jev lahko bilo po razkritju ip-jev 20000, namesto 2 zahtevkov pa teh toliko, da bi se prebralo vse podatke.
Čeprav se nekaterim "etičnim" hekerjem zdi čisto etično, da se prvo pobere celo bazo, da nek notice in potem na netu objavi celo bazo.
Odvisno od etičnosti osebka pač.

SimplyMiha je izjavil:

V Sloveniji imamo cel kup strokovnjakov, a očitno pri vladnih agencijah ne zaposlujejo njih...

Imposibru!
Država ima postopke, komisije, strokovnjake.
Pa sploh ni nobena stvar pa čeprav tako majhna, da jo ima lahko čez en človek, dejansko v rokah enega človeka.
Pri nas že ne!

Zgodovina sprememb…

  • spremenilo: Looooooka ()

tony1 ::

Predlagam ban, uporabnik nas vse trolla.

Ni hudič, da ni še plačan provokator od kakšnega polnilca avtomatov na UKC :D

Daedalus ::

Luka ne ve da je odhod zaposlenega, ki s seboj odnese kodo zafuk podjetja v katerem ta zaposleni dela. Kaj pa če ga povozi avto? Si zlomi zapestje pri fistingu? Firme, ki visijo na enem zaposlenem... ne visijo dolgo. Ker slej ko prej crknejo ko velepomembni zaposleni odide. V plemensko-družinski vukojebini znani po imenu Slovenija pa se seveda preko VIP statusa javna naročila oddajajo točno takim firmam.

Kar ta dva zadnja primera leakov osebnih podatkov jasno nakazujeta, gre nekako tako. Butli, ki znajo komajda maile pa FB uporabljat (če si Lj župankovič pa še tega ne) nikakor niso primerni za vodenje IT-česarkoli. Očitno tudi nimamo nekih standardov okoli izvajanje IT storitev v nekoliko bolj zahtevnih okoljih. Pol pa imaš nekaj različnih izvajalcev z nekaj različnih rešitev za iste procedure - recimo neslavno Ajpes e-podpisovanje. Za res resne kikse posledic ni. Dajte Ajpes exposat podatke v neki ne banana republiki pa boste videli, kaj se zgodi. Pa seveda, bomo najeli pet študent opic ker so poceni mentaliteta. Ker konec koncev... SO driven development je a thing, ane? Etično, neetično... ni tolko pomembno. Razen tega da etičen vsaj pove, da problem obstaja, neetičen pa predvsem izkorišča problem zaradi osebne koristi. Pomembna je ugotovitev, da za digitalni svet pomembne položaje zasedajo predvsem nekvalificirani butli. Ker tam kaj drugega kot par obrazcev podpisat itak ni za delat. Kdo je pooblaščenec za informacijsko varnost v UKCLJ? In kako je tja prišel? Evo, pa je takoj bolj jasno kaj in zakaj.

Okoli leakov zdravstvenih podatkov pa... koliko ambulant ima nezavarovane spletne obrazce, preko katerih se na nek banana mail inbox pošiljajo podatki? Koliko jih naročuje preko emaila? Kaka je (ne)varnost takega početja? Kje so tu standardi varovanja zdravstvenih podatkov? Eni delamo s podatki, ki zahtevajo HIPAA compliance. Nočete vedeti kake kazni so predvidene za kršenje HIPAA predpisov in standardov. Pri nas pa kr po domače... od zdravniškega razkrivanja osebnih zdravstvenih podatkov sredi hodnika v bolnici (okoli pa kup folka), do 'dajte poslat napotnico pa osebne podatke na Silol mail'. To se splača sistematično preiskat. Ugotovitve bojo zelo zabavne.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Invictus ::

SimplyMiha je izjavil:

V Sloveniji imamo cel kup strokovnjakov, a očitno pri vladnih agencijah ne zaposlujejo njih...

Marsikateri "strokovnjak" dela za vlado ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zvezdica27 ::

BRAVO SLO TECH

Zdaj pa v Delo to spravit, širiti zavedanje o izzivih!!!!

blaž

boolsheat ::

Looooooka je izjavil:

BTW.
Jaz bi kar lepo penale, vrnitev stroškov, prekinitev pogodbe...če bo zaprl firmo je pa njegov problem.
AMPAK AGAIN.
Na drug način.
Ne z omogočanjem dostopa do podatkov tvoje žlahte celi širni Sloveniji.


Že desetkrat je bilo napisano - ST je objavil zadevo potem, ko so upravitelji portalov (AJPES, UKC), potrdili, da je napaka odpravljena.

Fritz ::

SimplyMiha je izjavil:

V Sloveniji imamo cel kup strokovnjakov, a očitno pri vladnih agencijah ne zaposlujejo njih...

Klientelizem je možen predvsem tam, kjer za neznanje in nesposobnost nihče ne odgovarja in kjer se napake skrivajo. Zato ni težko zaposlovati 'naše'.
"Težav ne moremo reševati z isto miselnostjo,
kot smo jo imeli, ko smo jih ustvarili."
A. Einstein

next3steps ::

DOOM_er je izjavil:

Marvin je izjavil:

jype je izjavil:

Marvin> Kaj nam potem še ostane

Kako kaj? Naredi kaj, ane?

Kaj že?


lahko ustanovimo lastno stranko in se borimo za preboj v parlament, naprimer. Sam se prostovoljno javljam za velikega vodjo, žal je edino da dejansko ni interesa med našo generacijo za kaj takega.

Taka stranka naj ne bi smela imeti velikega fašista, temveč le predstavnika in gručo svetovalcev.

thramos ::

Resnici na ljubo z drobižem, ki ga v JU nudijo za tovrstna delovna mesta, težko privabijo strokovnjake.

next3steps ::

Looooooka je izjavil:

tony1 je izjavil:

Looooooka je izjavil:

Kaj se je pa zgodilo?
Kar se mene tiče se ni še nič zgodilo.
To, da bodo napake in luknje v sistemu zame ni dogodek.
To, da se jih bo v javnost dajalo tako ali drugeče zame tudi ni dogodek.
Zame bo dogodek to, ko bo spletna stran offline ali pa bo napaka celo v celoti odpravljena.
Torej se zaenkrat še ni zgodilo nič razen tega, da se debatira o moralnosti načina razkritja luknje javnosti, ki je v medijih namenjena non-geek populaciji opisana na zelo poenostavljen način v smislu "vsi berejo vaše podatke že leta".


Resnično si butelj.

Čakaj, čakaj, ali pa nas vse samo zafrkavaš? Predlagam ban za 14 dni, da se bo uporabnik malo ohladil. To je resna tema :|


Glede na napisano ni.
Nikogar ne moti dejstvo, da se z neodgovornim razkrivanjem razširi potencialni krog zlorabe.
Glede na napisano bi torej namesto dveh IP-jev lahko bilo po razkritju ip-jev 20000, namesto 2 zahtevkov pa teh toliko, da bi se prebralo vse podatke.
Čeprav se nekaterim "etičnim" hekerjem zdi čisto etično, da se prvo pobere celo bazo, da nek notice in potem na netu objavi celo bazo.
Odvisno od etičnosti osebka pač.

SimplyMiha je izjavil:

V Sloveniji imamo cel kup strokovnjakov, a očitno pri vladnih agencijah ne zaposlujejo njih...

Imposibru!
Država ima postopke, komisije, strokovnjake.
Pa sploh ni nobena stvar pa čeprav tako majhna, da jo ima lahko čez en človek, dejansko v rokah enega človeka.
Pri nas že ne!

Glede na napisano, vsi tile organčki pravijo, da razkritje tako velike baze podatkov sploh ni mogoče - več, zatorej tako razkritje ne škodi nikomur.
No, škodi vsem, pa če do razkritja pride ali ne.

Ker pa si funkcionalno nepismena oseba z malce nižjim intelektom ti tega žal na nižji ravni ne zmorem razložiti. Vsaj na nižji kot sem sedaj ne.

dronyx ::

Ajpes si lahko končno nekoliko oddahne, oziroma gre lahko svetovat UKC Ljubljana. Me pa zanima, ali je šel kdo od tistih, ki ima pri naročniškem paketu za internet vklopljeno opcijo "dark web" pogledat, kaj od naših osebnih podatkov se že da dobiti oziroma kupiti?

ukcthrowaway ::

"Nekdanjemu generalnemu direktorju Simonu Vrhuncu so v UKC Ljubljana dali službo na delovnem mestu pooblaščenec za informacijsko varnost."

http://siol.net/novice/slovenija/simon-...

Od kod mu kompetence? Nastavil se je sam in to prek vez. Kazenska ovadba anyone?

konspirator ::

dronyx
Od kdaj potrebuješ pri naročniškem paketu za internet opcijo za "dark web" ?
Saj imaš tor bundle, freenet, zeronet.
--

dronyx ::

konspirator je izjavil:

dronyx
Od kdaj potrebuješ pri naročniškem paketu za internet opcijo za "dark web" ?
Saj imaš tor bundle, freenet, zeronet.

Včasih se je pametno narediti neumnega, seveda ne pa preveč. ;)

poweroff ::

No, zdaj se pa že na debelo lažeš:

Looooooka je izjavil:

Ne z omogočanjem dostopa do podatkov tvoje žlahte celi širni Sloveniji.

S temle razkritjem ni NIHČE omogočil dostopa do kakršnihkoli podatkov.

Glede na to, da smo ti to povedali že večkrat, vzamem nazaj tisto o butlju. Očitno se lažeš zanalašč. >:D

Looooooka je izjavil:

A veš zakaj?
Ker jim je že naredil nepopravljivo škodo.

Recimo da vidim da ljudje vstopajo na avtobus, ki mu je odpadlo eno kolo. O tem obvestim potnike, potniki pa se nato vkrcajo na drug avtobus.

Ja, podjetju sem s tem naredil škodo. Ampak ta škoda ni iztožljiva. V bistvu bi bilo veliko bolj sporno, če bi bil tiho in bi samo šoferju prišepnil da nima kolesa, on bi pa samo odmahnil z roko, češ, saj to ni nič takega. Po moji etiki. Dopuščam pa, da ti razmišljaš drugače.

Looooooka je izjavil:

Je že zajebal.
Pokliče se policijo in gasilce.

Ja ne. S tem bo namreč firmo povzročil nepopravljivo škodo...!
sudo poweroff

uio ::

Looooooka je izjavil:

Ne govorim o tem specifičnem postopku BUTELJ.

Še en primer recimo, ki ga etični hekerji gladko ignorirajo, ker to ni njihov problem.
Naročnik pa če je to država ali pa kdorkoli, podpiše pogodbo za izvedbo neke storitve.
Storitev dela in n-ljudi zagotovi, da je vse v skladu s predpisi.
Imajo celo firmo, ki to proti plačilu vzdržuje.
"Etični kekec" najde napako in jim da 30 dni oz rok, ki se njemu zdi normalen, da zadevo odpravijo.
Ne ve pa da:
-človeka, ki ma ta del projekta čez ni, ali pa je bil odpuščen in je mogoče popizdil in spokal z vso kodo
-storitev sedaj uporablja dovolj ustanov, da bi ustavitev sistema negativno vplivala na bogve koliko storitev. "Etični kekec" se sploh ne vpraša katere storitve bi to vse lahko bile in koliko ljudi je od tega zdaj odvisnih.
-firma se dogovori, da bo zadeva urejena, da glede na loge za napako ve zgolj "etični kekec", ki je vsaj glede na slovenske razmere ponavadi insider in da bo zadeva rešena. Bo pač dlje kot 30 dni.
-mogoče so celo nekoga zaposlili, da vmes spiše nek proxy, ki bi te zahteve blokiral pa je spet nekdo četrti zajebal in zadeve ni dal v produkcijo.
Ampak zadeva je bila dana v reševanje, uradno je non-issue, hitre rešitve pa ni, ker tisti kekec, ki je zajebal zdaj zlorablja, ker ve, da njegov kolega, ki je btw "ETIČNI KEKEC" zdaj grozi naročniku z razkritjem informacij.

Na koncu meseca so naši podatki na voljo 15 letnikom, ki drugače portala še poznali ne bi ampak zdaj vejo kako z navadnimi http queryji dostopat do tvojih zdravstvenih podatkov.
"etični kekec" ni heroj, njegov kolega ne dobi evra, stran bo v pizdi dokler nekdo ne spiše nove, moji podatki so pa znani tudi butljem, ki to podpirajo.

BRAVO.

CARJI.


Kak bs.
Če je karkoli od tega dejansko res kjerkoli, da se popoka stvari pa pusti kakor so, so pač navadni tepci, koda in vse je ponavadi last naročnika, razen če se idioti drugače zmenijo, kar pomeni da ko ta človek gre, tut nimajo kej več uporabljat te storitve, razen če je dokončana, kar bi bil pa še večji absurd glede na to, da je stran poplnoma neuporabna kar se tiče varnosti.

Če je stvar na pol spisana nima kej delat na internetu. Če pa ne morejo popravit v 30 dneh, nej pa stran dol vržejo, pa ne bo mogu noben dostopat do podatkov, dokler pač 'stručkoti' ne zmigajo riti in popravijo stvari.

Ne vem kaj je treba vedno tako napadat žvižgače, če stvar ne deluje, se jo ugasne, sej to ni neka živa oseba, to je par kode, kjer je omogočen dostop tudi drugim. To se onemogoči in dokler ni zadeva popravljena, se da stran gor z opravičilom.


V ukc dost stvari ne dela, vključno z njihovo 'varno' pošto, ki jo moramo vsi uporabljat, hkrati pa omogoča prevzemanje kakršnega koli psevdonima (vključno z že uporabljenimi) do drugih stvari, kako že skoraj leto nimamo nikakršnega antivirusnih programov na računalnikih... Ampak če opozoriš na to te vsi samo brcajo.
Če se zadeve lotevajo neki na pol profesionalno, pol to tudi dobimo.

DOOM_er ::

next3steps je izjavil:

DOOM_er je izjavil:

Marvin je izjavil:

jype je izjavil:

Marvin> Kaj nam potem še ostane

Kako kaj? Naredi kaj, ane?

Kaj že?


lahko ustanovimo lastno stranko in se borimo za preboj v parlament, naprimer. Sam se prostovoljno javljam za velikega vodjo, žal je edino da dejansko ni interesa med našo generacijo za kaj takega.

Taka stranka naj ne bi smela imeti velikega fašista, temveč le predstavnika in gručo svetovalcev.


veliki vodja je mišljeno cinično :D ampak dobro sem odprt za predloge
Robots will steal your job. But that's OK

krneki0001 ::

SimplyMiha je izjavil:

V Sloveniji imamo cel kup strokovnjakov, a očitno pri vladnih agencijah ne zaposlujejo njih...


Najamejo se samo firme, ki dajo najcenejšo varianto računa ali pa dobro provizijo. Temu primeren je tudi izdelek.

Afo ::

Looooooka je izjavil:


Nekako tako, kot če bi roparju pokazal kako se odklene vse sefe

V tistem primeru bi verjetno lastnoročno poiskal in razbil kretena, ker bi ostal brez premoženja
Ti temeljiš koncept varnosti na ideji da je zločinec neinformiran in neumen. To je skrajno neumno.

Looooooka je izjavil:

-človeka, ki ma ta del projekta čez ni, ali pa je bil odpuščen in je mogoče popizdil in spokal z vso kodo
Če imaš samo eno osebi ki dela vse stvari in ima edino verzijo kode, imaš problem prekleto napačen Bus factor in si zajebal že v osnovi. Povej mi eno osebo na tem svetu ki je nenadomestljiva! Kako imaš lahko potem RESNO podjetje in storitve ki temeljijo na le eni osebi?

Looooooka je izjavil:

Bo pač dlje kot 30 dni.
Aja - a to ti praviš? Koliko dlje pa? Pol leta? 10 let? 31 dni? Koliko je sprejemljiv rok za odpravo malomarnosti (ne to niso napake, je kar malomarnost).

Looooooka je izjavil:

mogoče so celo nekoga zaposlili, da vmes spiše nek proxy, ki bi te zahteve blokiral pa je spet nekdo četrti zajebal in zadeve ni dal v produkcijo.
Vidiš kako daleč greš z izmišljevanjem alternativne resničnosti, samo zato da braniš take neumnosti. Jaz pa pravim da gre morda kar za ruske hekerje ki so vse to podtaknili. Vse, samo da ne bodo krivi odgovorni.

Looooooka je izjavil:

"etični kekec" ni heroj, njegov kolega ne dobi evra, stran bo v pizdi dokler nekdo ne spiše nove, moji podatki so pa znani tudi butljem, ki to podpirajo.
Tvoji podatki bodo znani, ker stvar ni bila narejena tako kot bi morala bit. In ker ne bo posledic za odgovorne. Ob naslednjem razpisu se bo prijavilo isto podjetje in glej ga zlomka, ima že spisano rešitev. Kriv si pa ti Luka, ker zagovarjaš da se ne kaznuje krivce. Verjetno zaradi tega, ker se postavljaš v kožo poceni zaslužkarjev, namesto v kožo zares nedolžnih pacientov.
Bolje biti mlad in neumen, kot samo neumen!

AnotherMe ::

Ko pri nas na firmi "zajebemo" - nam nihče ne da "pol leta" časa, da uredimo... Nove, 100% neoporečne artikle zahtevajo TAKOJ, sicer plačamo stroške zastoja proizvodje. Nihče ne vpraša, če bomo lahko, če imamo dovolj ljudi, dovolj materiala...

estons ::

No, zdaj berem neko dokumentacijo o aplikacijah dveh različnih slovenskih firm (ki niso Mojdenar ali Žejn). "Resnih" firm, 1mil+ letnega prometa... Če povzamem: gesla zapisana v bazi v plaintext, vse povezave nešifrirane, connection stringi z usernameom in plaintext passwordom shranjeni v txt datotekah, aplikacija odjemalcu pošilja seznam vseh uporabniških imen in gesel, v glavnem, da na rit padeš.

Glede na videno, vedno manj verjamem v teorijo, da so avtorji takih neverjetnih nebuloz izjemno nesposobni in nikakor niso reprezentativni primeri širše populacije slo. developerjev.

(Seveda, če karkoli razkrijem, fašem kazensko prijavo. )

tony1 ::

Afo je izjavil:

Looooooka je izjavil:


Nekako tako, kot če bi roparju pokazal kako se odklene vse sefe

V tistem primeru bi verjetno lastnoročno poiskal in razbil kretena, ker bi ostal brez premoženja
Ti temeljiš koncept varnosti na ideji da je zločinec neinformiran in neumen. To je skrajno neumno.


Bi kdo lahko Lukatu poiskal kakšno slikanico o Shannonu? :|

"Kerckhoffs' principle was reformulated (or perhaps independently formulated) by American mathematician Claude Shannon as "the enemy knows the system",[1] i.e., "one ought to design systems under the assumption that the enemy will immediately gain full familiarity with them". In that form, it is called Shannon's maxim. In contrast to "security through obscurity", it is widely embraced by cryptographers."

Kerckhoffs%27s principle @ Wikipedia

estons je izjavil:

No, zdaj berem neko dokumentacijo o aplikacijah dveh različnih slovenskih firm (ki niso Mojdenar ali Žejn). "Resnih" firm, 1mil+ letnega prometa... Če povzamem: gesla zapisana v bazi v plaintext, vse povezave nešifrirane, connection stringi z usernameom in plaintext passwordom shranjeni v txt datotekah, aplikacija odjemalcu pošilja seznam vseh uporabniških imen in gesel, v glavnem, da na rit padeš.

Glede na videno, vedno manj verjamem v teorijo, da so avtorji takih neverjetnih nebuloz izjemno nesposobni in nikakor niso reprezentativni primeri širše populacije slo. developerjev.

(Seveda, če karkoli razkrijem, fašem kazensko prijavo. )


Podpisal si NDA, kaj češ :))

So krogi, kjer je termin "butasti programerji" tako sprejet kot "butasti politiki" :P.

Zgodovina sprememb…

  • spremenil: tony1 ()

Afo ::

tony1 je izjavil:

Afo je izjavil:

Looooooka je izjavil:


Nekako tako, kot če bi roparju pokazal kako se odklene vse sefe

V tistem primeru bi verjetno lastnoročno poiskal in razbil kretena, ker bi ostal brez premoženja
Ti temeljiš koncept varnosti na ideji da je zločinec neinformiran in neumen. To je skrajno neumno.


Bi kdo lahko Lukatu poiskal kakšno slikanico o Shannonu? :|

"Kerckhoffs' principle was reformulated (or perhaps independently formulated) by American mathematician Claude Shannon as "the enemy knows the system",[1] i.e., "one ought to design systems under the assumption that the enemy will immediately gain full familiarity with them". In that form, it is called Shannon's maxim. In contrast to "security through obscurity", it is widely embraced by cryptographers."

Kerckhoffs%27s principle @ Wikipedia

+1
evo, ta slika bi bila lahko za predogled tej novici (vir)
Bolje biti mlad in neumen, kot samo neumen!

krneki0001 ::

estons je izjavil:

No, zdaj berem neko dokumentacijo o aplikacijah dveh različnih slovenskih firm (ki niso Mojdenar ali Žejn). "Resnih" firm, 1mil+ letnega prometa... Če povzamem: gesla zapisana v bazi v plaintext, vse povezave nešifrirane, connection stringi z usernameom in plaintext passwordom shranjeni v txt datotekah, aplikacija odjemalcu pošilja seznam vseh uporabniških imen in gesel, v glavnem, da na rit padeš.


Na žalost je to kr praksa v večjih firmah. Ko pa na to pokažeš, si pa ti tagrd in se moraš zagovarjat, ker delaš proti sodelavcem.

matijadmin ::

poweroff je izjavil:

Pa to ne moreš verjeti:
http://www.delo.si/novice/slovenija/vdo...

Na UKC Ljubljana so nam dejali, da so takoj ukrepali: "Noben podatek ni bil odtujen. Namen vdora je bil očitno le preverjanje varnosti." Na vprašanje, do koliko pacientov in zaposlenih so bili dostopni podatki, niso odgovorili. Dejali so le: "Skozi ta portal ni mogoče dostopati do podatkov o zaposlenih v UKC Ljubljana, pač pa le do napotnic."

Isti stavki kot pri Ajpesu - namen je bil le preverjanje varnosti.

Glede podatkov o zaposlenih - inšpekcijski zapisnik je jasen in si ga lahko vsakdo ogleda. No, verjamem pa, da ti podatki sedaj niso več dostopni.

Ravno napotnice so škandal, če se znajdejo 'prosto' na spletu. Na njih sta ime, priimek, datum rojstva in vzrok napotitve, včasih tudi delna ali cela diagnoza!
Vrnite nam techno!

matijadmin ::

Jaz mislim, da kot javnost lahko in moramo zahtevati le eno, da se tak sistem nemudoma odklopi ter dopusti le poslovanje po telefonih/ob papirju. Drugega ne znamo in zanesljivo lahko sklepamo, da je zelo verjetno, da je obstoječ sistem še vedno nevaren in bo tak tudi ostal.

Ha, ha, poglejte, kdo je za 'to' odgovoren, ha, ha: http://siol.net/novice/slovenija/simon-...

Za 3.400 EUR/mesec:

Vrhunec je dobil pogodbo za nedoločen čas, njegove naloge pa so, da: - sodeluje pri pripravi strategij in razvoju informacijskega sistema v UKCL ter pripravlja sistem upravljanja varovanja informacij in podatkov ter temeljne dokumente varnostne politike v UKCL, - izvaja analize in obravnava tveganja na področju varovanja informacij in podatkov ter zagotavlja sistem upravljanja varnostnih incidentov, skrbi za zagotavljanje kakovosti nadzora in sodeluje pri implementaciji politik varovanja informacij, - sodeluje z organizacijsko enoto za odnose z javnostmi in drugimi enotami, ki posredno ali neposredno upravljajo informacije in podatke v UKCL, - zagotavlja ozaveščanje in usposabljanje zaposlenih o varovanju informacij in podatkov, - sodeluje z zunanjimi ustanovami in organi, ki so v izvajalni ali zakonodajni funkciji nadzora oziroma priprave zakonodaje na tem področju.


Od kod njemu ustrezne kompetence in reference za to delovno mesto? Kdo se tu dela norca?
Vrnite nam techno!

Zgodovina sprememb…

Okapi ::

Highlag je izjavil:

ZDA in podobni le nekaj delajo za zaščito svojih sistemov, pri nas pa glavo v pesek.

Temu se reče (neumno) malikovanje tujine. Oziroma (še bolj neumno) omalovaževanje domačije. Kar je značilno tudi za sam članek na začetku te teme.

Povsod vlada "kultura skrivanja", ne samo pri nas. Nihče noče sam od sebe priznati napake, ne Slovenci, ne Nemci, ne Američani in ne Singapurci. In v ZDA je prišlo do večjih varnostnih zajebkov, kot bodo kdajkoli možni pri nas.

matijadmin ::

To je vse res, vendar je v mnogih državah, ki si jih naštel, osebna odgovornost sistemsko (veliko bolje) urejena (od norme do nadzora).
Vrnite nam techno!

Zgodovina sprememb…

Okapi ::

Boš to podkrepil s kakšno uradno referenco?

Ker me sicer spomni na kolega, s katerim sva pred davnimi leti šla na Oktoberfest, še v Jugi. Se peljeva čez Avstrijo in kolega reče, poglej, tu še smreke rastejo bolj naravnost kot pri nas.

avister ::

Takole so se z luknjami v spletnih servisih spopadli v Kanadi.

http://www.cra-arc.gc.ca/menu-eng.html

matijadmin ::

Okapi je izjavil:

Boš to podkrepil s kakšno uradno referenco?

Ker me sicer spomni na kolega, s katerim sva pred davnimi leti šla na Oktoberfest, še v Jugi. Se peljeva čez Avstrijo in kolega reče, poglej, tu še smreke rastejo bolj naravnost kot pri nas.


Odličen intervju, zato priporočam branje. Vzorec pa lahko pri nas apliciraš kar na večino velikih državnih aparatov, čisto tako poljubno (razen svetlih izjem).

http://www.delo.si/zgodbe/ozadja/dr-and...
Vrnite nam techno!

dexterboy ::

 Teatralno kot sam ShakeSpeare

Teatralno kot sam ShakeSpeare


Malo sem se poigraval z oddajo napotnice, smeha polna hiša, kaj vse sistem omogoča pri vnosu...
Edina žalost bo pa ta, kot je bilo že napisano, da nikoli nihče ne bo za to odgovarjal.
Res bo treba neko novo sranko, brez odvečnih moronov...
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

Zgodovina sprememb…

Okapi ::

Odličen intervju, zato priporočam branje
Tudi ta v resnici zavajajoče posplošuje.
Recimo:
V razviti tujini se pri napaki nemudoma vpelje nadzor, pacientu oziroma svojcem se pove, da jih bodo obveščali, zakaj, kako se je to zgodilo in kaj bodo naredili, da se ne bo več ponovilo.


Kaj točno je "razvita tujina"? In tudi v "razviti tujini", karkoli to že je, imaš takšne in drugačne ustanove. Eno je zasebna klinika v Švici, kjer stane samo "hotelski" del storitve 1000+ frankov na dan, nekaj drugega pa državna bolnišnica v nekem podeželskem mestu velikosti Ljubljane.

Zgodovina sprememb…

  • spremenil: Okapi ()

MrStein ::

zmaugy je izjavil:

Če za posel angažiraš resno in odgovorno firmo, kjer je vrednota kvaliteta storitve, se minimizira možnost za takšne zajebe.

Glavni kriterij je (nizka) cena. Srečno.

Afo je izjavil:


Povej mi eno osebo na tem svetu ki je nenadomestljiva! Kako imaš lahko potem RESNO podjetje in storitve ki temeljijo na le eni osebi?

Zgoraj imaš članek o tem kaka šalabajzija je v državi, potem pa take sprašuješ?

dexterboy je izjavil:


Res bo treba neko novo sranko, brez odvečnih moronov...

Volitve bodo kmalu.
Kaj misliš, kdo bo zmagal?
Tisti, ki obljubi red, ali tisti ki obljubi več oddaj ala Kmetija?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Afo ::

MrStein je izjavil:

zmaugy je izjavil:

Če za posel angažiraš resno in odgovorno firmo, kjer je vrednota kvaliteta storitve, se minimizira možnost za takšne zajebe.

Glavni kriterij je (nizka) cena. Srečno.

Afo je izjavil:


Povej mi eno osebo na tem svetu ki je nenadomestljiva! Kako imaš lahko potem RESNO podjetje in storitve ki temeljijo na le eni osebi?

Zgoraj imaš članek o tem kaka šalabajzija je v državi, potem pa take sprašuješ?

dexterboy je izjavil:


Res bo treba neko novo sranko, brez odvečnih moronov...

Volitve bodo kmalu.
Kaj misliš, kdo bo zmagal?
Tisti, ki obljubi red, ali tisti ki obljubi več oddaj ala Kmetija?

Res si smešen. Kaj hočeš pravzaprav povedat? Da smo vsi ostali neumni ker pričakujemo pravico? Nisi nič bolj kul če stojiš v ozadju in kritiziraš tiste, ki želimo izboljšav. Nisi nič bolj frajer, niti nisi pametnejši od nas. Vdanost v usodo je 10x bolj neumna, kot poskušanje izboljšati stvari tudi takrat ko "kaže slabo". Ljudje od nekdaj izboljšujemo stvari, še najbolj takrat ko kaže najslabše. Občutek imam da me hočeš zreducirat na to, da naj se kar lepo prilagodim trenutni situaciji. Fatalizem - zame je kretenizem sodobne družbe.

Aja pa prosim ne posploševat celoten narod na "une ki gledajo Kmetijo" in "tiste ki uporabljajo pamet", ker so še vsi odtenki vmes. Pa veliko je normalnih. Tisti ki deli samo na ti dve skupini, zame spada v skupino "tistih ki gledajo kmetijo".
Bolje biti mlad in neumen, kot samo neumen!

Fritz ::

matijadmin je izjavil:

Jaz mislim, da kot javnost lahko in moramo zahtevati le eno, da se tak sistem nemudoma odklopi ter dopusti le poslovanje po telefonih/ob papirju. Drugega ne znamo in zanesljivo lahko sklepamo, da je zelo verjetno, da je obstoječ sistem še vedno nevaren in bo tak tudi ostal.

Ne, prosim, samo to ne. Naše zdravstvo je 27 let po 'rojstvu' medmrežja prišlo do stopnje, da se v nekaterih bolnišnicah lahko naročiš pri specialistu na terminalu pri vhodu.

Če boš ta bliskovit napredek prekinil, si nikakor ne moremo obetati, da bi leta 2030 lahko preko spleta ugotovili proste termine za nam potrebnega specialista v celotnem zdravstvenem sistemu RS (na vseh lokacijah) in rezervirali pregled tam kjer nam ustreza 8-)
"Težav ne moremo reševati z isto miselnostjo,
kot smo jo imeli, ko smo jih ustvarili."
A. Einstein

fujtajksel ::

Fritz je izjavil:

...Če boš ta bliskovit napredek prekinil, si nikakor ne moremo obetati, da bi leta 2030 lahko preko spleta ugotovili proste termine za nam potrebnega specialista v celotnem zdravstvenem sistemu RS (na vseh lokacijah) in rezervirali pregled tam kjer nam ustreza 8-)


Čak mal pozabljaš da namen sistema ni dostopnost ampak točno to da ljudi nateguješ v vrstah zato da jih pol obupa in gre samoplačniško.

Oberyn ::

dexterboy je izjavil:

 Teatralno kot sam ShakeSpeare

Teatralno kot sam ShakeSpeare


Malo sem se poigraval z oddajo napotnice, smeha polna hiša, kaj vse sistem omogoča pri vnosu...
Edina žalost bo pa ta, kot je bilo že napisano, da nikoli nihče ne bo za to odgovarjal.
Res bo treba neko novo sranko, brez odvečnih moronov...

Aaaaaahh, jojmene, kaj vidim. Pred leti sem za krajši čas sodeloval z brati Žejn kot zunanji, pa glih na tem projektu shakespeare sem delal. Ta glavni Žejn je bil en tak prijazen mladenič vedno dobre volje, ki niti ni škrtaril pri plačilih. Program pa kolikor se spomnim ni bil niti v osnovi namenjen zdravstveni dejavnosti. Prekleto, da mi jo takole zagodejo, imam jih v referencah...

ToniT ::

Fritz je izjavil:

matijadmin je izjavil:

Jaz mislim, da kot javnost lahko in moramo zahtevati le eno, da se tak sistem nemudoma odklopi ter dopusti le poslovanje po telefonih/ob papirju. Drugega ne znamo in zanesljivo lahko sklepamo, da je zelo verjetno, da je obstoječ sistem še vedno nevaren in bo tak tudi ostal.

Ne, prosim, samo to ne. Naše zdravstvo je 27 let po 'rojstvu' medmrežja prišlo do stopnje, da se v nekaterih bolnišnicah lahko naročiš pri specialistu na terminalu pri vhodu.

Če boš ta bliskovit napredek prekinil, si nikakor ne moremo obetati, da bi leta 2030 lahko preko spleta ugotovili proste termine za nam potrebnega specialista v celotnem zdravstvenem sistemu RS (na vseh lokacijah) in rezervirali pregled tam kjer nam ustreza 8-)


Ni čisto tako.
Pri večini specialistov se lahko naročiš prek spleta. Sistem bi že naj deloval v polni meri, vendar še ne deluje v celoti ravno zaradi UKC LJ in še nekaterih drugih velikih bolnišnic, ki še nimajo urejenega sistema za naročanje (https://narocanje.ezdrav.si/ in https://cakalnedobe.ezdrav.si/)

antonhac ::

Pisec članka ima neverjetno srečo (ali kaj drugega), da še nikoli ni imel zdravniške napotnice v rokah:
Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov

Pri še tako popolno izpolnjeni napotnici je približno pol manj osebnih podatkov kot na FB profilu posameznika.

perci ::

FB profil si ti sam dal v javnost, s svojo voljo - bistvena razlika, se ti ne zdi?

ToniT ::

Na napotnici, če nič drugega, je napisana napotna diagnoza. To pa je zelo občutljiv osebni podatek.

GizmoX ::

Žurnal24:
Kot kaže zadnja napoved, pa so se odzvali tudi na kritiko Kovačiča in zagotovili, da bodo poleg ukrepov, ki so jih sprejeli po vdoru, še ta mesec vzpostavili tudi šifrirano povezavo do spletišča.
Obveščanje javnosti pa po njihovem mnenju ni bilo potrebno, "glede na to, da niso bili odtujeni podatki". Rezultat njihove analize pa naj bi pokazal, da neznanec, ki je vdrl v sistem in tako razril ranljivost, ni dostopal do podatkov pacientov.
Če ne bi nek Kovačič podrezal (z javno objavo), šifrirane povezave verjetno ne bi bilo na obzorju.
udirač => uni. dipl. inž. rač.

matoxxxmato ::

An IT specialist from Heidelberg has managed to hack an anesthesia machine from a large manufacturer, reports the SPIEGEL in its current issue. Using his laptop, the man could take control of the device, stop ventilation, and block all functions.

http://www.spiegel.de/netzwelt/netzpoli...
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
18345816 (32173) SeMiNeSanja
»

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Oddelek: Novice / Zasebnost
3015156 (12726) ExtraBacon
»

UKC Ljubljana kot nova slovenska potemkinova vas za blagor naroda

Oddelek: Novice / Varnost
309601 (6789) Saul Goodman
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953313 (43450) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432621 (22928) Furbo

Več podobnih tem