» »

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre

Gregor P ::

BlaY0 je izjavil:

matijadmin je izjavil:


Sodisce najpogosteje potrebuje crp za potrebe vrocanja in prived, ajpes pa v sodnih postopkih omogoca sodiscem iskanje delezev po fizicnih ali pravnih osebah (za potrebe sodnih postopkov).

Zdaj mi je jasno, zakaj sodišča nikoli ne najdejo ljudi, ki bi jim bilo treba nekaj vročiti ali jih privesti... imajo svoj kvazi CRP, ki ga očitno 1x na mesec sinhronizirajo z originalnim MNZ-jevim. Povprečen čas za menjavo prebivališča prek e-uprave je 3 dni... to pomeni, da si ti lahko že 5x (ali večkrat) zamenjal naslov, medtem ko ima sodišče še vedno tvoj prvi naslov...
... ma kje to je že ZF; ti sodišču dejansko pisno sporočiš tvoj novi naslov in ti sodišče kljub temu pošilja ves čas na starega in potem na koncu pribijejo sodbo na tablo in se delejajo neumne (in nato izgubijo na ESČP) ...
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

PaX_MaN ::

Majkl je izjavil:

Torej ce kot drzavljan vprasam AJPES po vpogledih v moje podatke (CRP baza), bi mi morali odgovoriti ;)
Pa tudi revizijska sled po ZVOPu bi morala biti prisotna ;)

Ima kdo obrazec ali formo za zahtevo? Primoz? Matthai?

https://www.ip-rs.si/fileadmin/user_upl...

matijadmin ::

BlaY0 je izjavil:

matijadmin je izjavil:


Sodisce najpogosteje potrebuje crp za potrebe vrocanja in prived, ajpes pa v sodnih postopkih omogoca sodiscem iskanje delezev po fizicnih ali pravnih osebah (za potrebe sodnih postopkov).

Zdaj mi je jasno, zakaj sodišča nikoli ne najdejo ljudi, ki bi jim bilo treba nekaj vročiti ali jih privesti... imajo svoj kvazi CRP, ki ga očitno 1x na mesec sinhronizirajo z originalnim MNZ-jevim. Povprečen čas za menjavo prebivališča prek e-uprave je 3 dni... to pomeni, da si ti lahko že 5x (ali večkrat) zamenjal naslov, medtem ko ima sodišče še vedno tvoj prvi naslov...

Ene dest let nazaj je to indeed bil problem. Pol so to bolj pogosto osveževali. Sicer pa privedbe tako ali tako izvaja Policija, ki ima 'pristni' CRP.
Vrnite nam techno!

dronyx ::

Če res obstaja več kopij CRP ali kdo ve, kakšne so za to v ZVOP sploh zakonske podlage? Jaz razumem, da lahko daš v upravljanje tvojo zbirko osebnih podatkov nekemu drugemu pogodbenemu obdelovalcu. Če ima pa nekdo zakonsko podlago za vpogled v zbirko osebnih podatkov, ti mu daš pa kopijo cele baze pa se po moje to ne šteje kot pogodbena obdelava.

matijadmin ::

dronyx je izjavil:

Če res obstaja več kopij CRP ali kdo ve, kakšne so za to v ZVOP sploh zakonske podlage? Jaz razumem, da lahko daš v upravljanje tvojo zbirko osebnih podatkov nekemu drugemu pogodbenemu obdelovalcu. Če ima pa nekdo zakonsko podlago za vpogled v zbirko osebnih podatkov, ti mu daš pa kopijo cele baze pa se po moje to ne šteje kot pogodbena obdelava.

Ej, govorimo o državnih organih. Vse si pomutil. Njihovo delo urejajo posebni zakoni, v ZVOP pa je za to podlaga vsaj v 8. in 9. členu, nadalje se mi ji dalo brati.
Vrnite nam techno!

Zgodovina sprememb…

poweroff ::

Zanimivo:
https://www.ip-rs.si/varstvo-osebnih-po...

Morda bi bilo treba razmisliti, da se zakonske podlage za takšnale podvajanja čim bolj ukine.
sudo poweroff

dronyx ::

matijadmin je izjavil:

Ej, govorimo o državnih organih. Vse si pomutil. Njihovo delo urejajo posebni zakoni, v ZVOP pa je za to podlaga vsaj v 8. in 9. členu, nadalje se mi ji dalo brati.

Recimo da si ti nek državni organ ki vodiš zbirko osebnih podatkov o par tisoč fizičnih osebah in imaš v zakonu podlago, da lahko dostopaš do CRP, ker moraš recimo preverjati pravilnost teh podatkov. S tem po moje ti nikakor ne pridobiš pravice, da k sebi prekopiraš celoten CRP z dvema milijonoma fizičnih oseb.

dronyx ::

poweroff je izjavil:

Zanimivo:
https://www.ip-rs.si/varstvo-osebnih-po...

Morda bi bilo treba razmisliti, da se zakonske podlage za takšnale podvajanja čim bolj ukine.

Tu je govora o povezljivosti zbirk, ne o kopijah CRP. V praksi ponavadi to deluje tako, da se iz CRP prenaša manjkajoče podatke, preverja podatke ali pa recimo avtomatično ažurira, ko nekdo spremeni stalno prebivališče, spremeni ime in priimek, naslov itd. Povezljivost zbirk osebnih podatkov je že v redu, ne pomeni pa povezljivost tega, da imaš pravico do kopije oziroma nekakšne replike CRP.

Zgodovina sprememb…

  • spremenil: dronyx ()

nevone ::

da imaš pravico do kopije CRP.


Kaj pa je v tem registru, da je takšna tajnost, da jo lahko vidi samo 100 posvečenih? A so notri celi dosjeji, al kaj?

Pa pazit je treba, da ne postanemo policijska država.

Tajnost podatkov pomeni poseganje v človekove pravice, da je seznanjen s stanjem v okolici. Transparenstnost je potrebno dosledno izvajati.

o+ nevone
Either we will eat the Space or Space will eat us.

AnotherMe ::

Zdej mi je vse jasno! En je bil nezadovoljen z novo funkcionalnostjo, pa si je naredu dump baze, da lazje isce:)

estons ::

Vrste osebnih podatkov v CRP: Enotna matična številka občana (EMŠO), kraj rojstva, ime in priimek, državljanstvo, prebivališče in vrsta prebivališča, zakonski stan, volilna pravica, EMŠO (matere, očeta, zakonca in otrok), identifikatorji za povezovanje z administrativnimi zbirkami podatkov v upravljanju javnega sektorja, datumi in podatki o dogodkih, spremembah in popravkih.


Edit: torej med ostalim vsi tvoji naslovi (ker se hrani zgodovina) + povezava z vsemi družinskimi člani.

Zgodovina sprememb…

  • spremenilo: estons ()

BlaY0 ::

matijadmin je izjavil:

BlaY0 je izjavil:

matijadmin je izjavil:


Sodisce najpogosteje potrebuje crp za potrebe vrocanja in prived, ajpes pa v sodnih postopkih omogoca sodiscem iskanje delezev po fizicnih ali pravnih osebah (za potrebe sodnih postopkov).

Zdaj mi je jasno, zakaj sodišča nikoli ne najdejo ljudi, ki bi jim bilo treba nekaj vročiti ali jih privesti... imajo svoj kvazi CRP, ki ga očitno 1x na mesec sinhronizirajo z originalnim MNZ-jevim. Povprečen čas za menjavo prebivališča prek e-uprave je 3 dni... to pomeni, da si ti lahko že 5x (ali večkrat) zamenjal naslov, medtem ko ima sodišče še vedno tvoj prvi naslov...

Ene dest let nazaj je to indeed bil problem. Pol so to bolj pogosto osveževali. Sicer pa privedbe tako ali tako izvaja Policija, ki ima 'pristni' CRP.

Ne ne, je kar še vedno tako, ni se dosti spremenilo... iz meseca v mesec imaš primere ko nekoga iščejo, ta se jim pa spretno in čisto legalno izmika s tem, da spreminja začasno/stalno prebivališče ter naslov za vročanje.

matijadmin ::

BlaY0 je izjavil:

matijadmin je izjavil:

BlaY0 je izjavil:

matijadmin je izjavil:


Sodisce najpogosteje potrebuje crp za potrebe vrocanja in prived, ajpes pa v sodnih postopkih omogoca sodiscem iskanje delezev po fizicnih ali pravnih osebah (za potrebe sodnih postopkov).

Zdaj mi je jasno, zakaj sodišča nikoli ne najdejo ljudi, ki bi jim bilo treba nekaj vročiti ali jih privesti... imajo svoj kvazi CRP, ki ga očitno 1x na mesec sinhronizirajo z originalnim MNZ-jevim. Povprečen čas za menjavo prebivališča prek e-uprave je 3 dni... to pomeni, da si ti lahko že 5x (ali večkrat) zamenjal naslov, medtem ko ima sodišče še vedno tvoj prvi naslov...

Ene dest let nazaj je to indeed bil problem. Pol so to bolj pogosto osveževali. Sicer pa privedbe tako ali tako izvaja Policija, ki ima 'pristni' CRP.

Ne ne, je kar še vedno tako, ni se dosti spremenilo... iz meseca v mesec imaš primere ko nekoga iščejo, ta se jim pa spretno in čisto legalno izmika s tem, da spreminja začasno/stalno prebivališče ter naslov za vročanje.

Ko sem jaz šel od tam, so to imeli urejeno. Pika. Če ne znajo vsak dan vpogledati, pa je druga zgodba.
Vrnite nam techno!

BlaY0 ::

matijadmin je izjavil:


Ko sem jaz šel od tam, so to imeli urejeno. Pika. Če ne znajo vsak dan vpogledati, pa je druga zgodba.

To je možno. Ko se zamenja ekipa se kar naenkrat lahko spremenijo tudi prioritete etc. Vse skupaj gre precej podobno kot tista epizoda Nadrealistov, kjer v gledališču vsakič ko se zamenja oblast, zamenjajo tudi cel ansambel.

matijadmin ::

Strojepiske in vpisničarke, ki to počnejo so iste. Ne verjamem, sploh pa, ker privedbe opravlja policija in njih tepe podobna nadloga. Imajo izvorni CRP na voljo. Nekoc je to bil razlog, ja. Danes pa ne vec. Kje tici zajec, nisem raziskoval.
Vrnite nam techno!

jype ::

estons> Edit: torej med ostalim vsi tvoji naslovi (ker se hrani zgodovina) + povezava z vsemi družinskimi člani.

Končno bo fartman lahko izvedel, kje živim :)

Markoff ::

estons je izjavil:

SQL injection je dobesedno na prvem mestu OWASP Top 10. Se sprašujem, kdo jim je delal varnostni pregled. (Sicer, to bi se verjetno dalo dobit kot podatek javnega značaja?)

Morda so delali ISO27001 compliance review. Kar je zelo koristno za sistematično obvladovanja informacijske varnosti, a to pač ni pen testing. Eno brez drugega pač ni dovolj.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

bbbbbb2015 ::

GBX je izjavil:

matijadmin je izjavil:

@GBX Epske razsežnosti, čeprav se je Matthai nekoliko popravil, se strinjam s tem, kar je zapisal Primoz, da ne vemo, ali je dejansko prislo do katastrofe. Bi pa dodal tole, da glede na trende vdorov in kiberkriminala je skoraj bolj verjetno, da so te podatke odtujili kot pa ne. Vsi vemo, da je skeniranje obmocji stalna praksa. Ranljivost je bila ocitno pa tudi ze stara.


Hja. Stvar stila. Epsko je nekaj, o čemer se bodo pisale pripovedi. No, sigurno bo kakšna prezentacija na hek.si, dvomim pa, da bo epska :D. Pustimo se presenetiti! Pa še bolj pomembno: meni se zdi velika razlika med izjavami "katastrofa se je zgodila" in "ne vemo, ali je prišlo do katastrofe". Morda celo kar epska razlika. :)


Razlika bo epska, ko se bodo ti podatki znašli nekje na črnem trgu, nekdo bo potrdil pristnost podatkov in takrat bo nekdo kazensko in materialno odgovarjal.
Vključno s tem, da se bodo kekcem, kot je AJPES, ki neke funkcije prave nima, odvzelo to široko zbiranje podatkov, ki jim potem vkradejo.

matijadmin ::

Čisto malo pa si nestrpen kolega, pojdiva počasi:

a) AJPES ima svoje poslanstvo in zakonsko zapovedane naloge. Te niso niti slučajno brezvezne ali nekoristne.
b) AJPES podatke, ki jih zbira (tudi v javnih knjigah kot je npr. PRS), potrebuje za to, da te zadolžitve opravlja. Z izjemo podatkov v CRP, ki jih ne zbira, a potrebuje pri svojem delu.
c) Ja, odgovarjal bo (kazensko) le storilec, če ga bodo odkrili. Odškodninsko morda, nikakor pa nujno, tudi AJPES.
d) Samo vidik varnosti bodo morali nehati zanemarjati, pa bo. A je tako težko samo to, brez kazanja lastne nevroze in zafrustriranosti, artikulirati?
Vrnite nam techno!

Zgodovina sprememb…

konspirator ::

jype je izjavil:

estons> Edit: torej med ostalim vsi tvoji naslovi (ker se hrani zgodovina) + povezava z vsemi družinskimi člani.

Končno bo fartman lahko izvedel, kje živim :)

To je vedel že pred dumpom.
bizi.si, cranberry po Slo.
--

Zgodovina sprememb…

Horejšio ::

Matej spremljam vaše delo. In mi je jasno, da brez težav odkrijete napake v sistemu. Ta članek vam pa res ni v korist. Namesto, da bi pomagali zakriti luknje, ste jih javno objavili. Ni to OK.

PaX_MaN ::

matijadmin je izjavil:

a) AJPES ima svoje poslanstvo in zakonsko zapovedane naloge. Te niso niti slučajno brezvezne ali nekoristne.

Tako so brezvezne in nekoristne, da se jih nočeta niti dotaknit ne FURS, ne Policija.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

jype ::

konspirator> To je vedel že pred dumpom.
konspirator> bizi.si, cranberry po Slo.

Ne, ni.

mojca ::

Horejšio je izjavil:

Matej spremljam vaše delo. In mi je jasno, da brez težav odkrijete napake v sistemu. Ta članek vam pa res ni v korist. Namesto, da bi pomagali zakriti luknje, ste jih javno objavili. Ni to OK.


V članku čisto lepo piše:

O napaki smo takoj po obvestilu obvestili predstavnike Informacijskega pooblaščenca ter vzdrževalca spletne strani /.../ izvajalec pa je popravil v obvestilu sporočeno napako na v obvestilu omenjenem mestu.


Ne razumem, kaj je tu problematičnega.

Če sem prav razumela, je tudi Dejan Ornig obvestil o luknjah najprej tiste, ki bi jih lahko "zakrpali", pa vemo, kako so ukrepali.

PS: Še vedno me zanima, kaj se bo zgodilo, ko bo nekdo začel resno "uporabljati" Špicino "plain text" tehnologijo RFID kartic. Ko smo mi obvestili odgovorne, da so s temi karticami "manjši problemi" in da naj za božjo voljo zamenjajo gesla, sestavljena iz ene števke, so še vedno pridno nadomeščali varnejšo tehnologijo s temi karticami, ki jih lahko sheka vsak otrok.

matijadmin ::

Horejšio je izjavil:

Matej spremljam vaše delo. In mi je jasno, da brez težav odkrijete napake v sistemu. Ta članek vam pa res ni v korist. Namesto, da bi pomagali zakriti luknje, ste jih javno objavili. Ni to OK.

Luknje so bile zakrpane pred objavo.

PaX_MaN je izjavil:

matijadmin je izjavil:

a) AJPES ima svoje poslanstvo in zakonsko zapovedane naloge. Te niso niti slučajno brezvezne ali nekoristne.

Tako so brezvezne in nekoristne, da se jih nočeta niti dotaknit ne FURS, ne Policija.

Okej, vsi naročajo razne sisbone, gvine ipd., izpisek iz javne knjige, če veš, kaj to je pa? Pa še el. podpisan je in je bil med prvim, da ti ni blo potrebno viset na sodišču v SRG in plačat gakse.
Vrnite nam techno!

Zgodovina sprememb…

poweroff ::

Horejšio je izjavil:

Matej spremljam vaše delo. In mi je jasno, da brez težav odkrijete napake v sistemu. Ta članek vam pa res ni v korist. Namesto, da bi pomagali zakriti luknje, ste jih javno objavili. Ni to OK.

Torej, par pomembnih dejstev.

1. Napake nisem odkril jaz.
2. O napaki je bilo obveščeno uredništvo Slo-Techa, od tam sem šele dobil informacijo o tem in vprašanje ali bi napisal novico.
3. Pomagal sem pri obveščanju pristojnih o napaki. Name se je obrnil tudi predstavnik izvajalca, ki sem mu posredoval nekaj podatkov.
4. Napaka je bila odpravljena, to so potrdili na Ajpesu.
5. Šele POTEM je bila objavljena novica.
6. V novici NISO bile objavljene podrobnosti o tem kako je bilo napako mogoče izkoristiti (čeprav je bila napaka že odpravljena)

Verjamem sicer, da bi pristojnim odgovarjalo, da se zadeva uredi potihem in da nihče ne izve kaj se je zgodilo, zakaj se je zgodilo in kdo je za to odgovoren. Verjamem tudi, da bi odgovornim odgovarjalo, da se ne vmeša IP-RS s svojimi postopki in potencialno globo.

Ampak po mojem mnenju imamo tako prizadeti (se pravi vsi, ki smo v teh bazah), kot tudi javnost pravico izvedeti za takšen incident. Še posebej, ko je incident odpravljen in nadaljnja škoda ni mogoča. Kot rečeno, tistim, ki so za to odgovorni oz. bi morali biti, to verjetno ni všeč, ampak njihovo mnenje tukaj ne šteje.
sudo poweroff

GBX ::

@Matthai: no, tudi responsible disclosure ni kar neka improvizacija, ampak (kot samo ime pravi), zahteva določeno odgovornost. Pravila se postavijo zato, da je zaščiten prijavitelj in da upravljalec/proizvajalec/razvijalec pristane na sodelovanje. Sicer gre za starejši IETF Draft, ki pa je po moje še vedno čisto aktualen:

https://tools.ietf.org/id/draft-christe...

Ti (ali pa Slo-Tech) se je torej našel v vlogi koordinatorja, ki ima prav tako nekatere obveznosti (vabim k branju drafta prav vse, ki se navdušujejo nad neodvisnim preiskovanjem ranljivosti in etičnim hekanjem). Preveri, katere avtorji navajajo in se skupaj z "uredništvom Slo-Tech" prevprašajte, ali ste navedena priporočila izpolnili. V IETF draftu je recimo tudi jasno opredeljeno, da mora prijavitelj (ali koordinator) uskladiti objavo ranljivosti skupaj s skrbnikom/razvijalcem.

Po koncu vsega skupaj bo zelo zanimivo preveriti tako ustreznost ukrepov na strani AJPES, vsekakor pa tudi ukrepe na strani anonimnega prijavitelja in koordinatorja. Pa tudi seveda na strani SI-CERT. Transparentnost za vse. :)

matijadmin ::

matijadmin je izjavil:

Horejšio je izjavil:

Matej spremljam vaše delo. In mi je jasno, da brez težav odkrijete napake v sistemu. Ta članek vam pa res ni v korist. Namesto, da bi pomagali zakriti luknje, ste jih javno objavili. Ni to OK.

Luknje so bile zakrpane pred objavo.

PaX_MaN je izjavil:

matijadmin je izjavil:

a) AJPES ima svoje poslanstvo in zakonsko zapovedane naloge. Te niso niti slučajno brezvezne ali nekoristne.

Tako so brezvezne in nekoristne, da se jih nočeta niti dotaknit ne FURS, ne Policija.

Okej, vsi naročajo razne sisbone, gvine ipd., izpisek iz javne knjige, če veš, kaj to je pa? Pa še el. podpisan je in je bil med prvim, da ti ni blo potrebno viset na sodišču v SRG in plačat gakse.


Bom sam sebe citiral, da bom bolj nazorno pojasnil, kaj sem s tem mislil.

AJPES med drugim vodi eno pomembnejših javnih knjig v državi, tj. sodni register (SRG je javna knjiga, namenjena vpisu in objavi podatkov o pravno pomembnih dejstvih glede družb in drugih subjektov, ki so vpisani v sodni register). Kakšen je pomen javnih knjig na splošno ne bi izgubljal besed (vendar mimo načela zaupanja vanje ne morem). Vzpostavitev slednjega na AJPES-u je tudi primer (dobre prakse) združevanja, torej ravno odprave podvajanja, o kateri govorimo sedaj. V neki eri smo dobili kakovosten zakon ZEPEP in (žal) je bilo (kljub temu kilavo) uvajanje e-poslovanja v JU v polnem razmahu. Sodstvo ni nikoli slovelo po dobri informatizaciji, često je težilo k podvajanju zbirk podatkov, paragrafskemu sledenju zastareli procesni zakonodaji pri ustvarjanju e-postopkov itn. Vsa sreča je bila, da je v nekem momentu obstajalo zadosti politične volje in se je SRG (ne v smislu pristojnosti odločanja, temveč v administrativno tehničnem smislu) odvzelo sodiščem in ga enotnega vzpostavilo na AJPES-u. Ta je od vsega začetka vpeljal samodejno el. podpisovanje izpiskov iz sodnega registra, kar je prihranilo mnogim podjetnikom (tudi meni osebno kar nekaj krat), pot na sodišče in plačilo sodne takse. Pravzaprav se mi še danes zdi za malo, ko kdo od mene zahteva kakšen izpisek iz sodnega registra (mu kar cinično odvrnem, da je računalniško nepismen in, da si ga kar sam naj priskrbi - pa naj bo to banka ali nek drug poslovni partner, ni prostora za take kljukce). V tistem času so tudi porihtali ustanovitve gospodarskih družb, kar nas je na lestvici primerljivosti izstrelilo za več kot 100 mest pred Nemčijo (v sam vrh). Kar je dobro, je prav da pohvalimo!

Vizualizacija in povezovanje podatkov (kar je PaX_MaN prinesel v debato in sodi vanjo!) za potrebe trga res ni AJPES-ova svetla točka, prej hiba. Zato so tu zaznala tržno vrzel IKT podjetja in nudijo svoje produkte. Resnici na ljubo, to tudi ni prioriteta AJPES-a, čeravno se strinjam, da bi bilo zelo fino, da bi nam vsem to prav slednji ponudil brezplačno; pa še denarja podjetniki dovolj vplačamo, da bi se z racionalnim razvojem programja vse to dalo izpeljati že sedaj!

A ne bi bilo bolj koristno kot da tu na forumu krešemo mnenja, če bi se lotili na GitHubu priprave idejne zasnove teh reči (predlogov zakonodajnih sprememb, SRS, UX dizajna, morda celo proof of concept implementacij itd.)? Meni se zelo dopade, kako imajo razvoj porihtan Britanci.
Vrnite nam techno!

matijadmin ::

GBX je izjavil:

@Matthai: no, tudi responsible disclosure ni kar neka improvizacija, ampak (kot samo ime pravi), zahteva določeno odgovornost. Pravila se postavijo zato, da je zaščiten prijavitelj in da upravljalec/proizvajalec/razvijalec pristane na sodelovanje. Sicer gre za starejši IETF Draft, ki pa je po moje še vedno čisto aktualen:

https://tools.ietf.org/id/draft-christe...

Ti (ali pa Slo-Tech) se je torej našel v vlogi koordinatorja, ki ima prav tako nekatere obveznosti (vabim k branju drafta prav vse, ki se navdušujejo nad neodvisnim preiskovanjem ranljivosti in etičnim hekanjem). Preveri, katere avtorji navajajo in se skupaj z "uredništvom Slo-Tech" prevprašajte, ali ste navedena priporočila izpolnili. V IETF draftu je recimo tudi jasno opredeljeno, da mora prijavitelj (ali koordinator) uskladiti objavo ranljivosti skupaj s skrbnikom/razvijalcem.

Po koncu vsega skupaj bo zelo zanimivo preveriti tako ustreznost ukrepov na strani AJPES, vsekakor pa tudi ukrepe na strani anonimnega prijavitelja in koordinatorja. Pa tudi seveda na strani SI-CERT. Transparentnost za vse. :)


Sankcije nespoštovanja nekega osnutka (seveda, je dobrodošel) so kakšne? Da bo g. Božič rekel: "O, ti, ti, ti!" Uskladitev je (terminsko in nenazadnje tudi moralno) zelo širok, raztegljiv in predvsem nategljiv pojem. Dam primer, koliko časa je Ornig opozarjal organe o ranljivostih? Nič se ni zgodilo, ker je sistemsko Policija odpovedala in, ker so prevladali parcialni interesi, ki s korupcijo močno težijo to isto Policijo. Koliko dolgo bi moral Ornig potem 'usklajevati'? Saj poznamo globalno znan primer, kako so morali drugi Microsoft prisiliti prav z nepotrpežljivostjo pri usklajevanju pred objavo, da je svoje (slabe) prakse spremenil.

Medij je po mojem osebnem prepričanju zelo svoboden pri objavi (tehtanju, kaj je za družbo (predvsem dolgoročno) bolje in, kako se pravica do obveščenosti udari ob morebitne pravice drugih, oz. dolžnosti medija samega - nekaj sodne prakse imamo; nikakor tu nimam v mislih objave os. podatkov ali kaj podobno neetičnega, da ne boste tega razumeli v skrajnosti) ter njegovo vlogo koordinatorja moramo posledično razumeti zelo omejeno (da da možnost preprečiti najhuje - in v tem primeru je bilo tako).
Vrnite nam techno!

poweroff ::

GBX je izjavil:

V IETF draftu je recimo tudi jasno opredeljeno, da mora prijavitelj (ali koordinator) uskladiti objavo ranljivosti skupaj s skrbnikom/razvijalcem.

To seveda deluje v sistemih z ustrezno tradicijo. Pri nas je tradicija drugačna - skrivaštvo, zanikanje, "shoot the messenger". Ornig je najbolj ekstremen primer, so pa še drugi.

Katero brezplačno in javno dostopno aplikacijo uporablja policija?
"Tega podatka ne moremo razkriti, to bi ogrozilo operativno delo policije."

V sistemu, kjer so takšni odgovori norma žal ne moremo govoriti o prostovoljni transparentnosti.

Pa še to - na Ajpesu so vnaprej vedeli oz. bili obveščeni, da bo članek objavljen.
sudo poweroff

GBX ::

Sankcije nespoštovanja nekega osnutka (seveda, je dobrodošel) so kakšne? Da bo g. Božič rekel: "O, ti, ti, ti!"


Saj sem tukaj, ni potrebe po sarkazmu tretje osebe. ;) Seveda IETF drafti niso zakoni in ne nosijo sankcij. Tu so zato, da se strokovna javnost uskladi okoli dobrih praks in najde skupni jezik. Gre za samoregulacijo interneta, ki je nosila velik del hitrega razvoja interneta, od katerega smo vsi imeli koristi. Še vedno so pomemben instrument urejanja delovanja interneta.

Uskladitev je (terminsko in nenazadnje tudi moralno) zelo širok, raztegljiv in predvsem nategljiv pojem.


Hja, vsaka stvar je raztegljiva do neke mere (dokler recimo ne poči). In tudi različni ljudje imamo različno raztegljive pojme o tem, kaj je prav in kaj ne. Neka skupna pravila, ki jih pripravi strokovna javnost, nam pomagajo pri tem, da določimo sami sebi neke okvirje za definiranje teh pojmov. To prvenstveno koristi nam samim, da ne tavamo sem in tja nevedoč, kaj je recimo "usklajevanje". Še enkrat - ne gre za zakonik, gre za priporočila. Poleg sankcij je pomemben družbeni element tudi lastna želja delovati strokovno in korektno.

Dam primer, koliko časa je Ornig opozarjal organe o ranljivostih? Nič se ni zgodilo, ker je sistemsko Policija odpovedala in, ker so prevladali parcialni interesi, ki s korupcijo močno težijo to isto Policijo. Koliko dolgo bi moral Ornig potem 'usklajevati'? Saj poznamo globalno znan primer, kako so morali drugi Microsoft prisiliti prav z nepotrpežljivostjo pri usklajevanju pred objavo, da je svoje (slabe) prakse spremenil.


Iščimo krivce tam, kjer se dogajajo kršitve. (1) Je AJPES kriv za reagiranje policije v primeru Ornig? (2) Je prijavitelj opozarjal AJPES, pa se ni nič zgodilo? (3) Je AJPES kriv, da se je leta nazaj Microsoft obnašal ignorantsko? Lahko izpelješ, da čeprav ne drži ne (1), ne (2) in ne (3), vnaprej veš, da jih je treba javno kaznovati z mestoma pretenciozno objavo, ki meša druge slabe prakse in jih lepi zraven k AJPES?

Medij je po mojem osebnem prepričanju zelo svoboden pri objavi


Vsekakor. Nihče ne zahteva umika te objave. Mi pa imamo na drugi strani svobodo si ustvariti svoje mnenje o ravnanju medija in njegovi strokovni drži. Poleg tega je medij tu prevzel vlogo koordinatorja razkrivanja ranljivosti in bi rekel, da je to že lahko konflikt interesov. Če medij objavi trditev, ki ni resnična, je na to opozorjen, pa popravka sam od sebe ne objavi, si spet lahko mislimo svoje. Imam sicer možnost zahteve uradnega popravka, a nisem želel s tem opletati. Zanimivo je tudi vprašanje, zakaj ni Slo-Tech tudi neposredno obvestil SI-CERT? Mimo tega pa je tu še kredibilnost medija, ki bi lahko sam poskrbel zato, da so trditve v novici preverjene. Če medij navaja domneve o ranljivosti, ki jih sam ni preveril (prijavitelj pa tudi ni tega navedel), potem si seveda jaz lahko ustvarim svoje lastno mnenje o strokovnem nivoju medija ali avtorja novice (in medijski drži).

Kakorkoli. Dobra plat te objave je, da bo vsaj nekaj ljudi začelo malo brskati in brati o responsible disclosure (in mimogrede "kaj je to zaen blesav draft, jaz pravim, da je vse raztegljivo" se mi ne zdi ravno dober pristop). Na koncu bomo mogoče prišli do nekega konsenza strokovne javnosti, kaj to je in kakšna so pravila (in BTW "strokovna javnost" je veliko, veliko širši pojem, kot samo Slo-Tech). Ta pravila so nenazadnje narejena tudi zato, da ščitijo prijavitelja znotraj nekih ustaljenih procesov. Ker če tega nimamo, se hitro stvari zbanalizirajo na kršitve 143. in 221. člena KZ. Ampak, it takes two to tango, pravijo. :)

GBX ::

To seveda deluje v sistemih z ustrezno tradicijo. Pri nas je tradicija drugačna - skrivaštvo, zanikanje, "shoot the messenger". Ornig je najbolj ekstremen primer, so pa še drugi.


Trdiš torej, da pri nas niso mogoča pravila responsible disclosure? Uf, drzna trditev. Je torej dovoljeno prav vse s strani "neodvisnih raziskovalcev"? In zopet vidim generalizacije, čeprav govorimo o čisto drugem, konkretnem primeru.

A: "AHA! Kaznujmo AJPES takoj!"
B: "Zakaj?"
A: "Zato, ker ... Zato, ker Ornig!!!"

Lej, nihče ne pravi, da je v drugih primerih vse v redu. Nekateri so res ... katastrofa :). Ampak: je tudi tu tako?

Katero brezplačno in javno dostopno aplikacijo uporablja policija?
"Tega podatka ne moremo razkriti, to bi ogrozilo operativno delo policije."

V sistemu, kjer so takšni odgovori norma žal ne moremo govoriti o prostovoljni transparentnosti.


Pardon. Ti poznaš zgolj samo par primerov in si se odločil, da je tako vedno in povsod. Nisi ti edini v državi, ki ima opravka z razkrivanjem ranljivosti. Vlogo koordinatorja velikokrat opravimo na SI-CERT (kar je dokaj normalno za nek CERT) in vidimo tako korektne prijavitelje kot korektne razvijalce in skrbnike, ki se zahvalijo za pomoč in vprašajo še za dodatne nasvete. To je nekaj, česar pač ne veš, seveda. In na podlagi parih (res odmevnih in zelo slabih) primerov boš pravila zdaj ti sam določil po svoje, ostali pa naj se ...? Če nekdo ne spoštuje pravil transparentnosti in se gre "shoot the messenger", ali je prav usmeriti svoje sile v to, da se to popravi, ali pa je prav potem reči kar: lej, oni ustrelijo kurirja, dajmo pa še mi potem njim zadati udarec. In potem užgeš po nekom tretjem. Zakaj? Ker Ornig?

Saj je OK, vso pravico imaš igrati po lastnih pravilih. Ostali bomo pač imeli pravico soditi, kako se je izšlo in kakšne so bile morebitne stranske posledice.

Pa še to - na Ajpesu so vnaprej vedeli oz. bili obveščeni, da bo članek objavljen.


Vem, ja ... "biti obveščen" != "uskladiti z", slab argument. Lej, sem že predlagal okroglo mizo na hek.si konferenci aprila na temo responsible disclosure in tudi tebe predlagal za sodelujočega. :D Bo sigurno zanimivo, lahko tam razdelamo podrobnosti tudi o tem.

Primoz ::

@Gorazd: Jaz še vedno ne razumem, kako točno ste kot notranjeorganizacijska enota ARNESa tukaj kaj bolj zainteresirani kot gasilsko društvo Spodnji Duplek (njih tudi nismo obveščali). Vedel je upravljalec strani, vedel je njihov zunanji izvajalec (do objave sta tudi oba potrdila, da so ranljivosti odpravljene -- kar jim mi seveda verjamemo) in vedel je nadzorni organ iz tega področja (ki je ukrepal). Sedaj kje točno se tu prepoznaš sam ... mi prosim pojasni.

Pa če slučajno veš, da sta upravljalec in izvajalec "prirejala" dejansko stanje (beri lagala), ko sta izjavila, da so ranljivosti odpravljene, bi me pa seveda tudi zanimalo. Sploh ker je stran še vedno dosegljiva? Ali to pomeni, da po tvojih podatkih AJPES še vedno javno objavlja kup osebnih podatkov, to ve, vendar ne ukrepa?
There can be no real freedom without the freedom to fail.

mihec87 ::

Pri nas je zgleda bolje da si tiho ter prodaš kar ukradeš z vdorom...Še najmanj težav..

GBX ::

@Gorazd: Jaz še vedno ne razumem, kako točno ste kot notranjeorganizacijska enota ARNESa tukaj kaj bolj zainteresirani kot gasilsko društvo Spodnji Duplek (njih tudi nismo obveščali). Vedel je upravljalec strani, vedel je njihov zunanji izvajalec (do objave sta tudi oba potrdila, da so ranljivosti odpravljene -- kar jim mi seveda verjamemo) in vedel je nadzorni organ iz tega področja (ki je ukrepal). Sedaj kje točno se tu prepoznaš sam ... mi prosim pojasni.


Se hecaš, ne? :) https://cert.si/si/o-centru/ Daj pojasni, prosim. Praviš torej, da je SI-CERT irelevanten v tem primeru in da nismo "zainteresirani naslovniki" za tovrstne primere?

To bo super izpadlo v kakšni prezentaciji. :)

Pa če slučajno veš, da sta upravljalec in izvajalec "prirejala" dejansko stanje (beri lagala), ko sta izjavila, da so ranljivosti odpravljene, bi me pa seveda tudi zanimalo. Sploh ker je stran še vedno dosegljiva? Ali to pomeni, da po tvojih podatkih AJPES še vedno javno objavlja kup osebnih podatkov, to ve, vendar ne ukrepa?


Najprej smo irelevantni, potem te pa zanima, kaj bomo našli v preiskavi? Ne skrbi, po potrebi bomo obvestili pristojne institucije, če bo potrebno tudi javnost in medije, v skladu z našimi postopki.

Primoz ::

Jaz upam, da boste obvestili pristojne institucije. Sedaj v preiskavo vas je pač povabil zraven informacijski pooblaščenec (ki je pristojna inštitucija -- za razliko od vas). In ker ste bili včeraj tam, zagotovo razpolagate z več informacijami od mene.

Tam vidim, da imate neko pogodbo z vlado in MJU o zagotavljanju nekih storitev. Če je vaš naročnik čutil potrebo, da potrebuje vaše storitve, vas je zagotovo kontaktiral.
There can be no real freedom without the freedom to fail.

Zgodovina sprememb…

  • spremenil: Primoz ()

GBX ::

Primoz je izjavil:

Jaz upam, da boste obvestili pristojne institucije. Sedaj v preiskavo vas je pač povabil zraven informacijski pooblaščenec (ki je pristojna inštitucija -- za razliko od vas). In ker ste bili včeraj tam, zagotovo razpolagate z več informacijami od mene.

Tam vidim, da imate neko pogodbo z vlado in MJU o zagotavljanju nekih storitev. Če je vaš naročnik čutil potrebo, da potrebuje vaše storitve, vas je zagotovo kontaktiral.


Lahko zadnja dva odgovora smatram kot uradno stališče uredništva medija Slo-Tech?

jype ::

GBX> Se hecaš, ne? :)

IMO zgolj pravi, da v zakonodaji ni našel podlage, da bi v zvezi s tem obvestil SI-CERT.

Primoz ::

Ne vidim nobenega stališča Slo-Techa izraženega. Samo moje neznanje. Ko bom želel uradna stališča objavljat, jih boš videl v obliki novic in člankov. Ampak, če se motim, se z veseljem pustim izobrazit.
There can be no real freedom without the freedom to fail.

darkolord ::

jype je izjavil:

IMO zgolj pravi, da v zakonodaji ni našel podlage, da bi v zvezi s tem obvestil SI-CERT.
Misliš podlage, da bi jih moral obvestiti, ali da bi jih lahko obvestil?

Treba ne bi bilo obvestiti nikogar. Lahko bi vsi vse skupaj zadržali zase.

Zgodovina sprememb…

  • spremenilo: darkolord ()

Primoz ::

Pač raje kot nekoga, ki twitta kako "heka" razne poštne predale ( https://slo-tech.com/novice/t677856 ), obvestiš neposredno izvajalca in nadzorni organ. Glede na to, da je izvajalec v pol ure odpravil napako in da je enako zjutraj pred objavo potrdil tudi direktor informatike upravljalca, res ni bilo nobenega razloga, da bi vpletali še koga tretjega.
Imeli pa smo težave s kontaktiranjem nekaterih drugih pristojnih državnih organov. Kar smo tudi napisali.
There can be no real freedom without the freedom to fail.

Zgodovina sprememb…

  • spremenil: Primoz ()

GBX ::

Primoz je izjavil:

Ne vidim nobenega stališča Slo-Techa izraženega. Samo moje neznanje. Ko bom želel uradna stališča objavljat, jih boš videl v obliki novic in člankov. Ampak, če se motim, se z veseljem pustim izobrazit.


Aha. Daj potem prosim ti meni nekaj pojasni, ker na področju nisem domač. Je Slo-Tech medij v smislu ZMed, ali ni? Je vpisan v razvid na MK? Če je medij in ima uredništvo (kot kažejo nekatere starejše objave na portalu), kje so podatki o tem, kdo je urednik?

Toliko, da bomo na jasnem, kako in kaj in da vemo, kaj čigave izjave kaj pomenijo na tem forumu. Jaz recimo brez problema v prispevkih pojasnim, kadar govorim s stališča SI-CERT in ne zgolj osebnega.

jype ::

darkolord> Misliš podlage, da bi jih moral obvestiti, ali da bi jih lahko obvestil?

Da bi jih smel obvestiti. Načeloma si lahko delno odgovoren za posledice, če namenoma in na neodgovoren način izdaš varnostno ranljivost in s tem povzročiš večjo nevarnost, kot je prej obstajala.

Primoz ::

@GBX: glede na to da si že nazadnje ko smo vas nekaj spraševali ugotovil, da nočeš razumet 115. člena ZMed, se v to debato s tabo ne bom ponovno spuščal.

Še vedno pa nisi pojasnil, na podlagi česa meniš, da bi poleg Ajpesa, IP ter izvajalca od Ajpesa morali obveščati tudi vas / tebe? Ali ima Ajpes kje objavljeno, da ste vi njihova kontaktna točna za tovrstna obvestila? V tem primeru se vam za spregled vsekakor opravičujem.
There can be no real freedom without the freedom to fail.

GBX ::

Primoz je izjavil:

Imeli pa smo težave s kontaktiranjem nekaterih drugih pristojnih državnih organov. Kar smo tudi napisali.


Fair enough. Me je pač zanimalo, da je nekako "on the record". Daj mi prosim odgovori še glede uredništva (je ali ni) in ali ste medij (da ali ne).

Primoz ::

Preberi si 115. člen ZMed.
There can be no real freedom without the freedom to fail.

GBX ::

Primoz je izjavil:

Preberi si 115. člen ZMed.


Ja, sem prebral. Mi ne moreš odgovoriti ti, ali je Slo-Tech medij, ima uredništvo, če je, kdo je urednik in kje je zapisan ta podatek (če je). Mislim, čisto enostavno.

Primoz ::

Mislim, da bi bilo smiselno, da še enkrat prebereš 115. člen ZMed.

In pa morda odgovoriš na vprašanje, na podlagi česa se čutiš v tej situaciji biti "pristojen organ".

Pa predvsem, zakaj tokrat npr. ste "pristojen organ" v primeru Telemacha pa niste bili (takrat se nisi nič oglašal). Ne razumem.
There can be no real freedom without the freedom to fail.

Zgodovina sprememb…

  • spremenil: Primoz ()

AndrejO ::

@GBX
(1) Akademska in raziskovalna mreža Slovenije (v nadaljnjem besedilu: Arnes) je javni zavod za
razvoj, organizacijo in vodenje enotnega izobraževalnega in raziskovalnega telekomunikacijskega
omrežja v Republiki Sloveniji ter mednarodno zastopanje Republike Slovenije za zagotavljanje
strokovnega in tehničnega povezovanja s sorodnimi telekomunikacijskimi omrežji v tujini.


Having said that ... že leta 2011 in še nekajkrat po tistem se je balinalo z enim in istim predlogom: ustanovitev dejanskega SI-CERT. Kar ima ARNES je sicer dober približek, ni pa to organizacijsko ptava stvar. Prvič zato ne, ker ARNES te dejavnosti v statutu nima, drugič pa zato, ker ta dejavnost presega običajne okvirje akademskega omrežja in si zasluži dobršno mero samostojnosti. Tudi takšne, da vodja SI-CERT organizacijsko ne bo podrejen direktorju omrežja ali sistema, ki je lahko predmet napada ali zlorabe.

Prostovoljstvo je sicer fino, ampak čas je za profesionalizacijo, mar ne? Potem boš lahko napisal 'pristojne službe' in na seznamu našel tudi slovenski CERT.

Lahko pa vsi malo razmislimo, kdaj volonterstvo postane škodljivo. Morda v trenutku, ko se na njega začno vsi zanašati, direktor ARNES pa oddelek ukine, ker se financiranje zmanjša in te dejavnosti ni v statutu.

Sicer pa bodo stvari verjetno v nekaj letih tako ali drugače postavljene na svoje mesto. Direktiva NIS je avgusta lani stopila v veljavo in ura za vzpostavitev dejanskega in ne samooklicanega CSIRT že teče. Prav zanima me, kdo bo prvi predstojnik. Kandidatov izgleda ne manjka.

GBX ::

Primoz je izjavil:

Mislim, da bi bilo smiselno, da še enkrat prebereš 115. člen ZMed.

In pa morda odgovoriš na vprašanje, na podlagi česa se čutiš v tej situaciji biti "pristojen organ".

Pa predvsem, zakaj tokrat npr. ste "pristojen organ" v primeru Telemacha pa niste bili (takrat se nisi nič oglašal). Ne razumem.


Sem ga prebral, pa ne daje odgovorov na moja vprašanja, ali je Slo-Tech medij, ima uredništvo, kdo je urednik in kje je to objavljeno. Je res tako težko enostavno odgovoriti na to? Razen seveda, če tega ne želiš.

Ne čutim biti v tej situaciji "pristojen organ" (česar nisem nikoli trdil). Vedno sem se skliceval na citat iz novice, ki govori o "morebiti zainteresirani naslovniki". Velika razlika. Zelo velika. "It's yuge!" :)

Če reformuliram zadnji del: zakaj smo zdaj "morebitni zainteresirani naslovnik", v nekem drugem primeru pa nismo bili (ker se nisem nič oglašal). Lani smo obravnavali 2281 incidentov. Napačno smatraš, da smo se dolžni (ali da menimo, da je primerno), prav v vsakem primeru "oglašati" in da samo v tem primeru drži, da smo bili "morebiti zainteresiran naslovnik". Naš cilj je namreč razrešitev incidenta, omejitev škode in izboljšanje varnosti v sodelovanju z drugimi deležniki in pristojnimi organi.

Zdaj pa še enkrat: želim tvojo izjavo o tem, ali je Slo-Tech medij, ima uredništvo in urednika in kje to izvem. Samo to. Ne neko prazno sklicevanje na nek splošen člen zakona. Boš končno odgovoril ali ne?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369119513 (84746) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20174727 (57281) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13949662 (39799) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8430084 (20391) Furbo

Več podobnih tem