Novice » NWO » Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!!
stb ::
Če inšpektor ne ugotovi neskladnosti, bo že v redu.
Khm, ali Inšpektor Inšpektorata RS za telekomunikacije, elektronsko podpisovanje in pošto res vestno in redno temeljito prebere tudi navodila za namestitev novejše verzije ProXSign podpisne komponente, ki jo priporoča državna uprava?
v Firefoxovi shrambi morate imeti nameščeni potrdili "SETCCE services root CA" in "SETCCE proXSign intermediate CA", s katerima Firefox zaupa podpisni koponenti
Malo dvomim, ker je bil ta organ 2013 ukinjen, pristojnosti pa prenešene na Ministrstvo za izobraževanje, znanost in šport, letos pa jo je prevzel MJU, ki tako nadzira sebe.
Zgodovina sprememb…
- spremenil: stb ()
darkolord ::
Zdaj je priložnost za tatove. Na računalnik ti podtaknejo virus, ki bo delal ciljan MITM na bančništvo ter SI-CA overitelja. Ko bo šel računovodja na banko, mu bo virus izpisal obvestilo, da so spet zamenjali certifikat. Računovodja se bo malo jezil, ampak je pač navajen, da je treba "spet nekaj narediti" s temi certifikati. In je večja verjetnost, da bo namestil podtaknjen SI-CA korenski certifikat. Od tam naprej ima napadalec lahko delo.Drži, ampak tale tvoj "use case" ni najbolj posrečen.
Kar so torej storili na MJU je to, da so te napade naredili lažje izvedljive.
Če nepridiprav že pride do tega, da ti na računalnik namesti virus, ki bo delal MITM, potem si lahko tudi certifikat doda med zaupanja vredne ali kar prikaže nezaščiteno stran.
Truga ::
DNS hijacking in bitsquatting obstaja. Prav tako razni MITM in podobni napadi, ce si na kaksnem public wifiju. Z normalnim certifikatom (ki ga dandanes dobis zastonj) te reci odpadejo. Ce pa folk navadis da je tist error normalna zadeva, pa je pesem druga...
Ales ::
S praktičnega stališča me predvsem zanima, ali je veriga zaupanja pri vseh, ki so ročno namestili SIGEN-CA certifikate, v tem trenutku sploh ok, glede na okoliščine... So res preverili certifikate pred namestitvijo? So jih preverili s primerjavo s pravimi podatki?
S kakšnimi pravimi podatki?
Točno to, se popolnoma strinjam. V tem trenutku je, IMHO, zanesljivost verige zaupanja SIGEN-CA milo rečeno vprašljiva. In to ima še precej širše razsežnosti, kot le konkretno pri uporabi eDavkov.
darkolord ::
DNS hijacking in bitsquatting obstaja. Prav tako razni MITM in podobni napadi, ce si na kaksnem public wifiju. Z normalnim certifikatom (ki ga dandanes dobis zastonj) te reci odpadejo. Ce pa folk navadis da je tist error normalna zadeva, pa je pesem druga...Če lahko narediš DNS hijacking, je za veliko večino primerov dovolj že, da vmes samo postaviš unsecured stran.
Ljudi, ki pred naslov spletne strani ročno vtipkajo "https://" je namreč zelo, zelo malo.
Truga ::
Vecina ljudi odpira zadeve skoz gugl. Tam je DNS hijacking se kako aktualen.
Zgodovina sprememb…
- spremenilo: Truga ()
#000000 ::
Kaj že pomeni C ? kok vidm tudi abanka ni baš sigurna ?
Zgodovina sprememb…
- spremenilo: #000000 ()
MrStein ::
Dober članek. Manjkajo še imena odgovornih za posamezne zadeve, da bo kdo začel delat.
Miro Cerar, www.vlada.si
PandaFlow2 je izjavil:
Moja spletna banka, Gmail, Dropbox, Slo-Tech in VSI ostali uporabljajo certifikat od enega izmed svetovno priznanih izdajateljev
In 'svetovno priznani izdajatelji' so jamstvo tvoje varnosti in zasebnosti?
Itak. Comodo, DigiNotar (in drugi, že našteti)...
PandaFlow2 je izjavil:
Moja spletna banka, Gmail, Dropbox, Slo-Tech in VSI ostali uporabljajo certifikat od enega izmed svetovno priznanih izdajateljev
In 'svetovno priznani izdajatelji' so jamstvo tvoje varnosti in zasebnosti?
Itak. Comodo, DigiNotar (in drugi, že našteti)...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
MrStein ::
Pač ja ... bili so toliko nori, da novih "root" potrdil niso podpisali s starimi,
V bistvu so:
-----BEGIN CERTIFICATE----- MIIE9DCCA9ygAwIBAgIFAKyYMCMwDQYJKoZIhvcNAQEFBQAwPTELMAkGA1UEBhMC c2kxGzAZBgNVBAoTEnN0YXRlLWluc3RpdHV0aW9uczERMA8GA1UECxMIc2lnb3Yt Y2EwHhcNMTUxMjMwMDkyMzMxWhcNMjEwMTA5MjAyMzUwWjBXMQswCQYDVQQGEwJT STEcMBoGA1UEChMTUmVwdWJsaWthIFNsb3ZlbmlqYTEXMBUGA1UEYRMOVkFUU0kt MTc2NTk5NTcxETAPBgNVBAMTCFNJR09WLUNBMIIBojANBgkqhkiG9w0BAQEFAAOC AY8AMIIBigKCAYEAzAvWrxaRhPxuBOB0ce90xL4DQWJ6n15ADhjZs2IsVgXYbOPb KQ/UuWDZI9AkEgmQHhHHj1x6U2KQz9c7OzG2i/iqc/x4703oTPim7rwyV3Md1YLZ SmCVHy8T1AyOffMV0YzzzHzjHkDvDEOvTmSB6I8vL0oPa9JWxfsI0gBZca/0UATR rIK2xQ1ZAEf6eWf95H3EkZLBgfJKe9ieJTCKEBWxkxhGKkFyNzwSktauJppC/E6G qaTyrC9OZub1IKji5Moj0caEhuExBn7oH9DRwc0prmE8nJCkn2JbNruAF9R7u5T8 R7lePhaM0mWyFLzTA25LzLyBuRS88+EAa5YRfQeDn+/nI6mrqIxuQUvm90uJ/ip1 XToj/6PihyjwXvrU5uzlU/f375AdQEX3ct7plkHB5+3MJh6AhRf+RE/ISjGaRQMK SZ7wcXSbqAkEXSmuHsKjiB4F4TNIKrkPDGsptvRmFLfS7GMRCvd2Bd/EeolBx+7I p3KaVgS4YntOaa5VAgMBAAGjggFfMIIBWzAPBgNVHRMBAf8EBTADAQH/MBEGA1Ud IAQKMAgwBgYEVR0gADAOBgNVHQ8BAf8EBAMCAQYwEQYDVR0OBAoECEZeQOVT7f7+ MIHwBgNVHR8EgegwgeUwVKBSoFCkTjBMMQswCQYDVQQGEwJzaTEbMBkGA1UEChMS c3RhdGUtaW5zdGl0dXRpb25zMREwDwYDVQQLEwhzaWdvdi1jYTENMAsGA1UEAxME Q1JMMTCBjKCBiaCBhoZXbGRhcDovL3g1MDAuZ292LnNpL291PXNpZ292LWNhLG89 c3RhdGUtaW5zdGl0dXRpb25zLGM9c2k/Y2VydGlmaWNhdGVSZXZvY2F0aW9uTGlz dD9iYXNlhitodHRwOi8vd3d3LnNpZ292LWNhLmdvdi5zaS9jcmwvc2lnb3YtY2Eu Y3JsMB8GA1UdIwQYMBaAFB741FNrs4MG6QQGVwL5pb/GWDxyMA0GCSqGSIb3DQEB BQUAA4IBAQBfHmjKLf9yVWAEmrIfe3dXYddZevJ6qD+5E52FEa1VoqtzaAX9k2cA TbHalmr0vG51m/369EwJT3Rxn/vERM7Fpq3nsBRfnUHn41hlR3nItE9lnwb4mIox DDV1cUNiDYqil0wVbLxurHtcoPLZySD3F8HDvjRHly4sZYEAxuwhhR4j9WejK6RO XsTqwb8q7sgH0W+XWZH2mZqAOcuoJuZivSihmx34+oR9PNbNQXncysttqlwsI0p6 YcjTujHMgWXJ/m+E362rH1EzB+PZ/YJ+zWr4cIqPFaAIN6Dj1aYxWqIBxHCwtnN/ 8rRKln/KcJIPGRWS8jcAAbcMy4242b3k -----END CERTIFICATE-----
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Brskalniki bi morali odstraniti slabe algoritme (zgolj privzeto onemogočiti ni dovolj, ker bi pač uporabnikom dali navodila kako zaobiti opozorila in spet omogočiti slabe algoritme) in potem bi se stvari morda premaknile na bolje.
Bla bla...
S tem pridemo v absurd, da uporabnik ne more na spletno stran, ki ne uporablja dovolj dobre enkripcije, brez problema pa pošlje finančne podatke na spletno stran, ki sploh ne uporablja enkripcije.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
GBX ::
Glede na to, da se na dveh mestih v članku omenja SI-CERT, se mi zdi prav pojasniti, kaj SI-CERT dela in česa ne.
Splošni kratki opis najdete na https://cert.si/si/o-centru, na kratko pa bi povzetek bil: sprejemamo prijave varnostnih incidentov in odkritih ranljivosti, ter z ustreznim svetovanjem in koordinacijo ukrepov skušamo incident "razrešiti" ali pa vsaj zmanjšati njegove trenutne in bodoče posledice. Na nas se lahko obrne kdorkoli.
Nismo pa nadzorni organ za varnostne rešitve v javni upravi. Tovrstnih zakonskih pristojnosti nimamo. To pa ne pomeni, da ne moremo svetovati ali podati mnenja, kadar smo zanj zaprošeni.
Pisec članka pravi:
Tu avtor izraža svoje mnenje glede tega, kaj se mu zdi, da bi moralo spadati med naloge SI-CERT. Se pa moti, saj je naša osnovna naloga obravnava incidentov in izvajanje programa ozaveščanja. In še enkrat: kadar lahko in smo tako naprošeni, podamo tudi mnenje glede ustreznosti konkretnih rešitev. Vedno se trudimo ne biti preveč ukalupljeni v rigidne okvire in smo običajno dovolj prožni pri iskanju rešitev.
Nadalje pisec pravi:
Memim, da pisec govori "na pamet", saj se ne spomnim, da bi s strani Slo-Tech prejeli vprašanje, ali smo se kdaj obrnili na MJU glede težav z uporabo digitalnih potrdil, overjanja in izbire šifrirnih protokolov. Na tem mestu lahko razložim, da smo svoje mnenje izrazili ob več priložnostih, v popolni pristojnosti MJU (ali drugih državnih organov) pa je tehnična izvedba in načrtovanje rešitev. Za to tudi odgovornost leži pri njih, namigovanje avtorja, da del odgovornosti ali krivde nosi SI-CERT pa ostro zavračam.
Naj še enkrat omenim, da SI-CERT ne izvaja pregledov ali ocen primernosti izvedbe šifrirnih postopkov, namestitve digitalnih potrdil in izbire overiteljev. Kolikor mi je znano, te naloge tudi v drugih državah ne spadajo v pristojnosti nacionalnih odzivnih centrov, zato me čudijo tovrstni sklepi nepodpisanega avtorja.
Na koncu pa še praktični vidik. Ekipa treh incident handlerjev in dveh zaposlenih za ozaveščanje na SI-CERT obravnava čez 2.000 incidentov na podlagi več kot 4.000 prijav letno in zraven vodi še vse aktivnosti programa Varni na internetu. To je tisto, kar je za nas prva prioriteta.
Na novinarska vprašanja pa se vedno trudimo odgovoriti pravočasno in konstruktivno.
Gorazd Božič
SI-CERT, javni zavod ARNES
Splošni kratki opis najdete na https://cert.si/si/o-centru, na kratko pa bi povzetek bil: sprejemamo prijave varnostnih incidentov in odkritih ranljivosti, ter z ustreznim svetovanjem in koordinacijo ukrepov skušamo incident "razrešiti" ali pa vsaj zmanjšati njegove trenutne in bodoče posledice. Na nas se lahko obrne kdorkoli.
Nismo pa nadzorni organ za varnostne rešitve v javni upravi. Tovrstnih zakonskih pristojnosti nimamo. To pa ne pomeni, da ne moremo svetovati ali podati mnenja, kadar smo zanj zaprošeni.
Pisec članka pravi:
"... gre del krivde pripisati ... seveda SI-CERTU, ki bi lahko manj hekal in več opozarjal na take sistemske pomanjkljivosti."
Tu avtor izraža svoje mnenje glede tega, kaj se mu zdi, da bi moralo spadati med naloge SI-CERT. Se pa moti, saj je naša osnovna naloga obravnava incidentov in izvajanje programa ozaveščanja. In še enkrat: kadar lahko in smo tako naprošeni, podamo tudi mnenje glede ustreznosti konkretnih rešitev. Vedno se trudimo ne biti preveč ukalupljeni v rigidne okvire in smo običajno dovolj prožni pri iskanju rešitev.
Nadalje pisec pravi:
"Zakaj jim (MJU, op. p.) glede tega ne protestira SI-CERT?"
Memim, da pisec govori "na pamet", saj se ne spomnim, da bi s strani Slo-Tech prejeli vprašanje, ali smo se kdaj obrnili na MJU glede težav z uporabo digitalnih potrdil, overjanja in izbire šifrirnih protokolov. Na tem mestu lahko razložim, da smo svoje mnenje izrazili ob več priložnostih, v popolni pristojnosti MJU (ali drugih državnih organov) pa je tehnična izvedba in načrtovanje rešitev. Za to tudi odgovornost leži pri njih, namigovanje avtorja, da del odgovornosti ali krivde nosi SI-CERT pa ostro zavračam.
Naj še enkrat omenim, da SI-CERT ne izvaja pregledov ali ocen primernosti izvedbe šifrirnih postopkov, namestitve digitalnih potrdil in izbire overiteljev. Kolikor mi je znano, te naloge tudi v drugih državah ne spadajo v pristojnosti nacionalnih odzivnih centrov, zato me čudijo tovrstni sklepi nepodpisanega avtorja.
Na koncu pa še praktični vidik. Ekipa treh incident handlerjev in dveh zaposlenih za ozaveščanje na SI-CERT obravnava čez 2.000 incidentov na podlagi več kot 4.000 prijav letno in zraven vodi še vse aktivnosti programa Varni na internetu. To je tisto, kar je za nas prva prioriteta.
Na novinarska vprašanja pa se vedno trudimo odgovoriti pravočasno in konstruktivno.
Gorazd Božič
SI-CERT, javni zavod ARNES
Zgodovina sprememb…
- spremenil: GBX ()
stb ::
LovelyTruth je izjavil:
Kako pa pobirajo davke tistim ki imajo paypal? Kako to deluje?
Aja, zato je prav, da ves njegov https promet država sproti pregleduje in v zneske avtomatično prišteje dodatnih 22% DDV :)
/offtopic
Zgodovina sprememb…
- spremenil: stb ()
M.B. ::
Samo nevem zakaj je tolko o novih certifikatih na FURSu zdaj. Jaz sem dobil od brskalnika sporočilo ko sem moral za junij stvari oddajat. Torej 14.7 že. Še bolj fajn je pa to:
Zelo pametno je da je digitalno potrdilo na pametnem ključku, ker je bolj varno to tudi priporočajo banke. A potrdila na pametnem ključku na edavkih vsaj v Linuxu ne moreš uporabljat, ker potrdila bere samo iz brskalnikove baze. Še lani je blo tak da je bil Java plugin podpisan z leto zastarelim nepodpisanim certifikatom zdaj je vsaj samo nepodpisan certifikat: Slike.
Pa še to je fajn da za e-upravo rabiš drug plugin za podpisovanje (Proxsign) kot pa za edavke (java). Vsaj to je dobro da v navodilih več ne piše da je nujno potrebno uporabljat stare verzije brskalnikov.
Nevem zakaj je sploh potrebno imet dodatke za brskalnik, da se lahko izvede podpisovanje z digitalnim potrdilom, to bi lahko brskalniki že sami omogočali, saj verjetno nismo edina država na svetu, ki to rabi.
Najbolj "kul" del FURSa pa je ko vsak mesec izpolnjuješ prispevke in vneseš isto vrednost v isto polje (zavarovalna osnova), da se lahko preračuna in ti pove da moraš plačat isto vrednost kot prejšnji mesec. Kdo bi si mislil, glede na to da je mesečni znesek izračunan na osnovi dohodka prejšnjega leta in se lahko spremeni le ob novem davčnem obračunu ali pa odobrenem znižanju za 20%. Ampak to je že drug problem. Še bolj fajn je blo ob davčnem obračunu, kjer sem si moral izračunat novo zavarovalno osnovo. Nato pa sem čez mesec dni dobil pošto od FURSa, kjer so mi izračunali zavarovalno osnovo 1 cent nižje, kot sem si jo sam. Prijazno ni kaj.
Zelo pametno je da je digitalno potrdilo na pametnem ključku, ker je bolj varno to tudi priporočajo banke. A potrdila na pametnem ključku na edavkih vsaj v Linuxu ne moreš uporabljat, ker potrdila bere samo iz brskalnikove baze. Še lani je blo tak da je bil Java plugin podpisan z leto zastarelim nepodpisanim certifikatom zdaj je vsaj samo nepodpisan certifikat: Slike.
Pa še to je fajn da za e-upravo rabiš drug plugin za podpisovanje (Proxsign) kot pa za edavke (java). Vsaj to je dobro da v navodilih več ne piše da je nujno potrebno uporabljat stare verzije brskalnikov.
Nevem zakaj je sploh potrebno imet dodatke za brskalnik, da se lahko izvede podpisovanje z digitalnim potrdilom, to bi lahko brskalniki že sami omogočali, saj verjetno nismo edina država na svetu, ki to rabi.
Najbolj "kul" del FURSa pa je ko vsak mesec izpolnjuješ prispevke in vneseš isto vrednost v isto polje (zavarovalna osnova), da se lahko preračuna in ti pove da moraš plačat isto vrednost kot prejšnji mesec. Kdo bi si mislil, glede na to da je mesečni znesek izračunan na osnovi dohodka prejšnjega leta in se lahko spremeni le ob novem davčnem obračunu ali pa odobrenem znižanju za 20%. Ampak to je že drug problem. Še bolj fajn je blo ob davčnem obračunu, kjer sem si moral izračunat novo zavarovalno osnovo. Nato pa sem čez mesec dni dobil pošto od FURSa, kjer so mi izračunali zavarovalno osnovo 1 cent nižje, kot sem si jo sam. Prijazno ni kaj.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
MrStein ::
Baje delajo na tem, da bi podpisoval lahko brskalnik sam. Samo zmeniti se še morajo...
e-pošto?
Nato pa sem čez mesec dni dobil pošto od FURSa
e-pošto?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
M.B. ::
Ne, navadno pošto. Poznajo oni e-pošto?
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
brodul ::
Lahko v proxyu ponaredis kater hash kaze stran tam pri strani za download certifikata :P
Ja, to je res :D .
Ko je nastajal ta video je veliko ljudi prevzemalo svoje certifikate zaradi e-davkov.
Najbolj problematicno bi bilo, ce bi se nekdo okoli obrtnikov vozil in zacel tak proxy deployat na common routerje. Predvsem z namenom
kraje certifikatov, ki se jih prevzame preko spletne strani.
Pretending to be a mature adult is so exhausting.
stb ::
Še lani je blo tak da je bil Java plugin podpisan z leto zastarelim nepodpisanim certifikatom zdaj je vsaj samo nepodpisan certifikat: Slike.
Zgornja slika prikazuje opozorilo, ki ga dobiš ker JRE ob prenosu appleta z eDavkov prek https ne zaupa sigov-ca oz. si-trust root certifikatu. To bi rešili z uporabo kakšnega splošno priznanega izdajatelja certifikatov, lahko pa ročno uvoziš ta root v JRE in ga označiš kot zaupanja vrednega. Če mu zaupaš.
Spodnja slika pa te obvesti kdo je podpisnik .jar datoteke, ki vsebuje Java applet. Ker applet potrebuje precej pravic (za branje kartic, dostop do certifikatov...) JRE pred zagonom appleta uporabnika vpraša za dovoljenje.
Zgodovina sprememb…
- spremenil: stb ()
gzibret ::
Super članek. Z veseljem prebral. Naši osebni podatki bi morali biti bolje zavarovani.
Vse je za neki dobr!
matijadmin ::
saj ti ni potrebno samo ITja izpostavit. Edina veja v JU, ki deluje je DURS...
Tudi tam za silo, ali pa po najmanjši liniji odpora. Preganjajo espeje, ki so ostali s terjatvami brez denarja, notarke, ki ne plačuje prispevkov zaposlenim pa še vedno ne znajo spraviti v red. Takisto ne znajo rešiti svojega masla, ko so v imenu fizičnih oseb delodajalcem odpuščali plačilo prispevkov, davka na dodano vrednost pa recimo ne. Škoda, da oškodovani nimajo dovolj sredstev, da bi zadevo pripeljali do US, kjer bi - tako sem prepričan - država morala prevzeti finančno breme.
Super članek. Z veseljem prebral. Naši osebni podatki bi morali biti bolje zavarovani.
Kaj pa banke? Katera banka že uporablja SIGEN-CA certifikat? A imajo ljudje to na pametnih karticah? Aja, saj res! To nič ne pomaga, če ga prevzameš v golem besedilu prek HTTP ...
Vrnite nam techno!
Zgodovina sprememb…
- spremenil: matijadmin ()
dronyx ::
Je pa zanimivo da spletna stran https://e-uprava.gov.si/ očitno ne uporablja Sigov-ca potrdila in sodi pod MJU.
Primoz ::
Celo EV certifikat. Naj se vidi razkošje.
There can be no real freedom without the freedom to fail.
Spura ::
Točno to, se popolnoma strinjam. V tem trenutku je, IMHO, zanesljivost verige zaupanja SIGEN-CA milo rečeno vprašljiva. In to ima še precej širše razsežnosti, kot le konkretno pri uporabi eDavkov.
Zadeva bi imela precej manjse razseznosti, ce bi izdajatelj certifikata zadevo omejil na dolocene domene.
CaqKa ::
Imamo način kako na državo pritisnemo okrog tega?
K eni se zadeva zdi taksna kot da bi država pri zavarovanih železniških prehodih ljudstvo motivirala, da naj kljub lučkam in zapornici zapeljemo do tirov, pogledamo levo-desno in nato zapeljemo če ni nič.
K eni se zadeva zdi taksna kot da bi država pri zavarovanih železniških prehodih ljudstvo motivirala, da naj kljub lučkam in zapornici zapeljemo do tirov, pogledamo levo-desno in nato zapeljemo če ni nič.
CaqKa ::
Glede na to, da se na dveh mestih v članku omenja SI-CERT, se mi zdi prav pojasniti, kaj SI-CERT dela in česa ne.
Splošni kratki opis najdete na https://cert.si/si/o-centru, na kratko pa bi povzetek bil: sprejemamo prijave varnostnih incidentov in odkritih ranljivosti, ter z ustreznim svetovanjem in koordinacijo ukrepov skušamo incident "razrešiti" ali pa vsaj zmanjšati njegove trenutne in bodoče posledice. Na nas se lahko obrne kdorkoli.
Nismo pa nadzorni organ za varnostne rešitve v javni upravi. Tovrstnih zakonskih pristojnosti nimamo. To pa ne pomeni, da ne moremo svetovati ali podati mnenja, kadar smo zanj zaprošeni.
Pisec članka pravi:
"... gre del krivde pripisati ... seveda SI-CERTU, ki bi lahko manj hekal in več opozarjal na take sistemske pomanjkljivosti."
Tu avtor izraža svoje mnenje glede tega, kaj se mu zdi, da bi moralo spadati med naloge SI-CERT. Se pa moti, saj je naša osnovna naloga obravnava incidentov in izvajanje programa ozaveščanja. In še enkrat: kadar lahko in smo tako naprošeni, podamo tudi mnenje glede ustreznosti konkretnih rešitev. Vedno se trudimo ne biti preveč ukalupljeni v rigidne okvire in smo običajno dovolj prožni pri iskanju rešitev.
Nadalje pisec pravi:
"Zakaj jim (MJU, op. p.) glede tega ne protestira SI-CERT?"
Memim, da pisec govori "na pamet", saj se ne spomnim, da bi s strani Slo-Tech prejeli vprašanje, ali smo se kdaj obrnili na MJU glede težav z uporabo digitalnih potrdil, overjanja in izbire šifrirnih protokolov. Na tem mestu lahko razložim, da smo svoje mnenje izrazili ob več priložnostih, v popolni pristojnosti MJU (ali drugih državnih organov) pa je tehnična izvedba in načrtovanje rešitev. Za to tudi odgovornost leži pri njih, namigovanje avtorja, da del odgovornosti ali krivde nosi SI-CERT pa ostro zavračam.
Naj še enkrat omenim, da SI-CERT ne izvaja pregledov ali ocen primernosti izvedbe šifrirnih postopkov, namestitve digitalnih potrdil in izbire overiteljev. Kolikor mi je znano, te naloge tudi v drugih državah ne spadajo v pristojnosti nacionalnih odzivnih centrov, zato me čudijo tovrstni sklepi nepodpisanega avtorja.
Na koncu pa še praktični vidik. Ekipa treh incident handlerjev in dveh zaposlenih za ozaveščanje na SI-CERT obravnava čez 2.000 incidentov na podlagi več kot 4.000 prijav letno in zraven vodi še vse aktivnosti programa Varni na internetu. To je tisto, kar je za nas prva prioriteta.
Na novinarska vprašanja pa se vedno trudimo odgovoriti pravočasno in konstruktivno.
Gorazd Božič
SI-CERT, javni zavod ARNES
Piše na vrhu novice pod naslovom je avtor. Očitno ima nickname" N/A"
OK.d ::
Problem SI-CERT-a je, ker na to težavo ne opozori v medijih in s tem ozavešča ljudi, da je takšno prevzemanje certifikatov sila nevarna zadeva.
Z razpravo v medijih bi se potem tudi na MJU zmigali in se začeli bolj resno ukvarjati s tem problemom, tako pa v ozadju modro molči in si misli zakaj bi kritiziral nekoga, kateri me plačuje da sem tiho.
Z razpravo v medijih bi se potem tudi na MJU zmigali in se začeli bolj resno ukvarjati s tem problemom, tako pa v ozadju modro molči in si misli zakaj bi kritiziral nekoga, kateri me plačuje da sem tiho.
LPOK.d
matijadmin ::
O krivdi SICERT-a ne moremo govoriti, lahko pa govorimo o njihovi nekorektnosti. Državljani si zaslužimo vsaj opozorilo (vsaj, da je raba nevarna, če ne tudi odsvetovanja uporabe) v smislu preventivne dejavnosti in ta problem sodi v kampanjo Varni na internetu. Za nigerijski nateg smo bili deležni zabavneega spota, za resen in hud problem, zaradi katerega lahko denimo marsikdo ostane brez denarja pri DH, pred lastnim pragom pa niti 2 stavkov? Strah pred političnimi posledicami, morda?
Vrnite nam techno!
Zgodovina sprememb…
- spremenil: matijadmin ()
war-dog ::
Sherat to novico na Facebook je PITA. Sploh na telefonu.
Object reference not set to an instance of an object.
krneki0001 ::
Vidim da nisem edini, ki je opazil komplet nesposobnost drzavnega ITja.
IT dela po navodilih nekoga. Sej so dost sposobni, samo smejo ne narest. Je po večjih državnih firmah isto in It-jevec, četudi ima dovolj znanja, ga ne sme uporabljat, ampak mora slediti navodilom, drugače se začne mobing, problemi in v končni fazi tudi odpoved.
dronyx ::
matijadmin je izjavil:
O krivdi SICERT-a ne moremo govoriti, lahko pa govorimo o njihovi nekorektnosti. Državljani si zaslužimo vsaj opozorilo (vsaj, da je raba nevarna, če ne tudi odsvetovanja uporabe) v smislu preventivne dejavnosti in ta problem sodi v kampanjo Varni na internetu.
Povprečen uporabnik računalnika o vseh teh tehničnih podrobnostih in možnostih zlorab nima pojma. Domači uporabnik je ponavadi brez resne podpore, tako da rešuje probleme po najboljših močeh. Če je nekje prebral (na spletni strani državne uprave), da je rešitev za določen problem to, da ročno uvoziš korenski certifikat v shrambo med zaupanja vredne bo naslednjič podobne težave poskušal rešiti na enak način in namestil v brskalnik kot zaupanja vreden korenski certifikat karkoli bo dobil po e-pošti ali na spletu.
krneki0001 ::
GBX, oprosti ampak v "Varni na internetu" tudi spada osveščanje uporabnikov glede certifikatov.
GBX ::
matijadmin je izjavil:
O krivdi SICERT-a ne moremo govoriti, lahko pa govorimo o njihovi nekorektnosti. Državljani si zaslužimo vsaj opozorilo (vsaj, da je raba nevarna, če ne tudi odsvetovanja uporabe) v smislu preventivne dejavnosti in ta problem sodi v kampanjo Varni na internetu. Za nigerijski nateg smo bili deležni zabavneega spota, za resen in hud problem, zaradi katerega lahko denimo marsikdo ostane brez denarja pri DH, pred lastnim pragom pa niti 2 stavkov? Strah pred političnimi posledicami, morda?
S tem, da imamo redne prijave konkretnih oškodovanj za različne nigerijske (advance-fee fraud) prevare s strani žrtev (glej naša letna poročila). Prav tako za recimo napade na podjetja preko ugrabljenih e-mail računov, pa je stvar v tehničnem smislu banalna. Zaenkrat pa še nismo prejeli nobene prijave na sum zlorabe certifikata pri plačevanju davkov. Tveganju je vedno treba dodati oceno verjetnosti dogodka.
Ales ::
Čakaj... resno?
Ni sploh potencialni problem samo "plačevanje davkov". Precej širše razsežnosti ima tole s SIGEN-CA ter SIGOV-CA in tamkajšnjo dokaj neobstoječo verigo "zaupanja".
Ni sploh potencialni problem samo "plačevanje davkov". Precej širše razsežnosti ima tole s SIGEN-CA ter SIGOV-CA in tamkajšnjo dokaj neobstoječo verigo "zaupanja".
OK.d ::
matijadmin je izjavil:
O krivdi SICERT-a ne moremo govoriti, lahko pa govorimo o njihovi nekorektnosti. Državljani si zaslužimo vsaj opozorilo (vsaj, da je raba nevarna, če ne tudi odsvetovanja uporabe) v smislu preventivne dejavnosti in ta problem sodi v kampanjo Varni na internetu. Za nigerijski nateg smo bili deležni zabavneega spota, za resen in hud problem, zaradi katerega lahko denimo marsikdo ostane brez denarja pri DH, pred lastnim pragom pa niti 2 stavkov? Strah pred političnimi posledicami, morda?
S tem, da imamo redne prijave konkretnih oškodovanj za različne nigerijske (advance-fee fraud) prevare s strani žrtev (glej naša letna poročila). Prav tako za recimo napade na podjetja preko ugrabljenih e-mail računov, pa je stvar v tehničnem smislu banalna. Zaenkrat pa še nismo prejeli nobene prijave na sum zlorabe certifikata pri plačevanju davkov. Tveganju je vedno treba dodati oceno verjetnosti dogodka.
No potem pa ni čudno
LPOK.d
Invictus ::
s tem, da imamo redne prijave konkretnih oškodovanj za različne nigerijske (advance-fee fraud) prevare s strani žrtev (glej naša letna poročila). Prav tako za recimo napade na podjetja preko ugrabljenih e-mail računov, pa je stvar v tehničnem smislu banalna. Zaenkrat pa še nismo prejeli nobene prijave na sum zlorabe certifikata pri plačevanju davkov. Tveganju je vedno treba dodati oceno verjetnosti dogodka.
cel slo-tech se opravičuje si-certu, ker ni vedel da je njihova naloga kurativa in ne preventiva.
Zakaj potem sploh rabimo vladno organizacijo za varnost, če pa niti varnosti vladnih strani ne preverja? A je tako težko implementirati nekaj avtomatskih testov in jih redno izvajati? Recimo z icingo, ki je free?
Seveda bomo zdaj izvedeli, da to ne piše v zakonih in predpisih. Sam kaj ko se nam je*e za to, ampak tukaj pri tehničnih zadevah kljub vsemu poslušamo zdravo pamet. Vsaj večina članov...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Zgodovina sprememb…
- polepsal: Primoz ()
dripac ::
cel slo-tech se opravičuje si-certu, ker ni vedel da je njihova naloga kurativa in ne preventiva.
Zakaj potem sploh rabimo vladno organizacijo za varnost, če pa niti varnosti vladnih strani ne preverja? A je tako težko implementirati nekaj avtomatskih testov in jih redno izvajati? Recimo z icingo, ki je free?
Seveda bomo zdaj izvedeli, da to ne piše v zakonih in predpisih. Sam kaj ko se nam je*e za to, ampak tukaj pri tehničnih zadevah kljub vsemu poslušamo zdravo pamet. Vsaj večina članov...
Urad je urad, zaposlene je pa treba plačat. Pa čeprav je to samo kurativa
Pithlit ::
Zakaj potem sploh rabimo vladno organizacijo za varnost, če pa niti varnosti vladnih strani ne preverja?
Zato ker države ne zanima da so tebe (po njeni krivdi) okol prinesli da si namesto njej nakazal nekim nigerijcem. Ona bo svoje dobila tako ali drugače.
Life is as complicated as we make it...
stb ::
Zakaj potem sploh rabimo vladno organizacijo za varnost, če pa niti varnosti vladnih strani ne preverja?
Zato ker države ne zanima da so tebe (po njeni krivdi) okol prinesli da si namesto njej nakazal nekim nigerijcem. Ona bo svoje dobila tako ali drugače.
Banke so (vsaj teoretično) odgovorne za zlorabe njihovih sistemov. Država pač ne.
In MJU nadzira MJU (sigov-ca, sigen-ca, furs, e-uprava).
Vsaj Arnes (in z njim SI-CERT) je zaenkrat vsaj približno "zunanji", ker še spada pod MIZS.
Pithlit ::
Point je v tem da država nima interesa varovat svojih 'strank'... ker bo svoje dobila (pa čeprav si bo kar sama vzela) tudi če 'stranke' zajebejo do amena.
Al mogoče kdo misli da bi nek sp dobil odpustek ker bi na tak način ostal brez jurja ali dveh? Al pa da bi kdo lahko tožil državo zaradi ogrožanja varnosti?
Al mogoče kdo misli da bi nek sp dobil odpustek ker bi na tak način ostal brez jurja ali dveh? Al pa da bi kdo lahko tožil državo zaradi ogrožanja varnosti?
Life is as complicated as we make it...
dripac ::
Vsaj Arnes (in z njim SI-CERT) je zaenkrat vsaj približno "zunanji", ker še spada pod MIZS.
Kar jih ne odrešuje delne odgovornosti, ko gre za opozarjanje na možnosti zlorab obstoječih sistemov (program Varni na internetu).
Opozarjanje Janeza/Micke na nevarnosti obiskov pornografskih strani je dovolj smiselno, na takšen fail ko gre za varnost dostopa do tajnih podatkov pač ne. Učinkovita logika.
In težko verjamem, da še niso prejeli niti ene prijave na to tematiko. Četudi se gredo samo kurativo.
stb ::
Point je v tem da država nima interesa varovat svojih 'strank'... ker bo svoje dobila (pa čeprav si bo kar sama vzela) tudi če 'stranke' zajebejo do amena.
Al mogoče kdo misli da bi nek sp dobil odpustek ker bi na tak način ostal brez jurja ali dveh? Al pa da bi kdo lahko tožil državo zaradi ogrožanja varnosti?
Te popolnoma razumem in se strinjam s teboj, čeprav tega nisem izrecno napisal. Želel sem poudariti absurdno situacijo ko država banke prisili v prevzem odgovornosti, sama sebe pa ne in zaradi samonadzora tudi ne izgleda da bi kdo koga vsaj po prstih kresnil.
Pithlit ::
Ummm... katera banka je sprejela odgovornost? Za kaj? Naša folklora je taka da noben ne prevzema odgovornosti... ker so itak vedno drugi krivi (v primeru politikov in bankirjev pa menedžerjev se itak nikoli ne ve kdo je kriv... ve se samo kdo ni kriv), pa ker itak raja plača vse neumnosti. Kolikor je meni znano smo že zmetali par milijard v banke.. pa še par milijard v razne nasedle overpriced projekte...
Kdo je v tej državi še koga (vsaj kolikor toliko 'javne osebnosti') po prstih kresnil?
Kdo je v tej državi še koga (vsaj kolikor toliko 'javne osebnosti') po prstih kresnil?
Life is as complicated as we make it...
Invictus ::
Zato ker države ne zanima da so tebe (po njeni krivdi) okol prinesli da si namesto njej nakazal nekim nigerijcem. Ona bo svoje dobila tako ali drugače.
Ne uporabljam državnih certifikatov za elektronsko bančništvo . Tako nor pa spet nisem .
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
stb ::
Vsaj Arnes (in z njim SI-CERT) je zaenkrat vsaj približno "zunanji", ker še spada pod MIZS.
Kar jih ne odrešuje delne odgovornosti, ko gre za opozarjanje na možnosti zlorab obstoječih sistemov (program Varni na internetu).
Opozarjanje Janeza/Micke na nevarnosti obiskov pornografskih strani je dovolj smiselno, na takšen fail ko gre za varnost dostopa do tajnih podatkov pač ne. Učinkovita logika.
In težko verjamem, da še niso prejeli niti ene prijave na to tematiko. Četudi se gredo samo kurativo.
Par stvari sem jim prijavil, so korektno preverili in javili naprej na MJU, potem pa je MJU (z izvajalci) pacal popravek več kot eno leto (so prenovili cel sistem, čeprav bi popravek zahteval le par vrstic kode), in SI-CERT je pri tem brez moči, ker žal nimajo neke prave pristojnosti.
@GBX, v katero rubriko statistike v vaših letnih poročilih bi sodile razkrite (a morda še ne zlorabljene ranljivosti) v državnih sistemih?
hruske ::
@Invictus, SICERT ni vladni organ.
@Pithlit, ni to, da nekomu ni v interesu tega popravit, samo noben noče biti tisti, zarad katerega se bo minister na vladi kregal z drugim ministrom. Gre za to, da v naši državi ne more MJU narekovat kaj naj MF dela, ker se bosta na vladi ministra kregala o tem in bo zmagal močnejši, ne bolj razumni.
@Pithlit, ni to, da nekomu ni v interesu tega popravit, samo noben noče biti tisti, zarad katerega se bo minister na vladi kregal z drugim ministrom. Gre za to, da v naši državi ne more MJU narekovat kaj naj MF dela, ker se bosta na vladi ministra kregala o tem in bo zmagal močnejši, ne bolj razumni.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator
Pithlit ::
Če bi to blo komu v interesu... bi blo zrihtano. Ni to nek grozen bavbav za zrihtat.
Life is as complicated as we make it...
dripac ::
Par stvari sem jim prijavil, so korektno preverili in javili naprej na MJU, potem pa je MJU (z izvajalci) pacal popravek več kot eno leto (so prenovili cel sistem, čeprav bi popravek zahteval le par vrstic kode), in SI-CERT je pri tem brez moči, ker žal nimajo neke prave pristojnosti.
E tega nisem vedel. Se posipam s pepelom.
Invictus ::
@Invictus, SICERT ni vladni organ.
Ne mi zdaj z birokracijo in papirologijo.
Denar dobijo od države in ni zasebno podjetje.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | edavki.durs.si (strani: 1 2 3 4 5 6 7 8 )Oddelek: Izdelava spletišč | 87979 (12525) | Buggy |
» | Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )Oddelek: Novice / Varnost | 81811 (64365) | jukoz |
» | FURS in Telemach priporočata uporabo starih luknjičastih brskalnikov (strani: 1 2 )Oddelek: Novice / Brskalniki | 39070 (33220) | mojca |
» | Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )Oddelek: Novice / NWO | 85790 (59985) | MrStein |
» | Vista eDavki izbor certifikataOddelek: Operacijski sistemi | 4238 (3923) | Romancek1 |