» »

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre

Majkl ::

Kako si lahko tako zelo preprican glede NLB?
FMPOV

krneki0001 ::

Ker bi potem vedel za njih.

technolog ::

10 let izkusej ne pomeni cisto nic, ljudje pridejo in gredo. Pomembno je, kateri ljudje so assignani na projekt. Poglej si samo, kako zanemarjeno spletno stran imajo. Kup nesposobnih luzerjev.

Ce mas tako kriticen projekt glede osebnih podatkov, vedno delas dvostopenjsko arhitekturo. Prvi layer gosti podatke, se pogovarja z bazo, logira dostope in spremembe (change tracking) in izpostavi nek visokonivojski API drugi plasti.

Zgodovina sprememb…

jsmith ::

Preveč zaupate v penetracijske teste in preglede programske opreme.

Ne poznam konkretne napake na AJPES-u, vendar programerji pač delajo napake. Napake se pojavljajo tudi v programski opremi, katere koda je javno dostopna in so jo mnogi imeli priložnost pregledati.

Tudi SQL injection se lahko naredi na veliko različnih načinov. Če sem pravilno razbral, je bil v tem primeru ranljiv API.

Pogosto obveščam upravnike internetnih strani o napakah, ki jih opazim. Večina se zahvali in napake popravi.

So tudi taki, ki jih ne.

Bsph ::

Ko berem zgodbo in komentarje se mi pojavlja ključno vprašanje: Po kakšnem zakonu je imel neodvisni strokovnjak dovoljenje za testiranje spletne strani Ajpesa? Kje je zapisana meja med poizkusom vdora v IKT sistem (ki je opredeljeno kot kaznivo dejanje) in dovoljenim testiranjem?

Zanimivo je brati vaša mnenja. Vsak vidi krivca tega incidenta skozi različne poglede, tako na strani Ajpesa, kot izvajalca pen-testov, do programerjev aplikacije ter nepopolnega postopka v primeru odzivanja na incident. Sam se glede tega ne bom opredeljeval, saj bi bilo nekorektno do vpletenih, ker ne vem kaj je naročnik zahteval pri izdelavi aplikacije, ker ne vem ali je izvajalec implementiral varnostne mehanizme po naročilu, ker ne vem koliko finančnih sredstev je bil pripravljen Ajpes namenit varnostnemu pregledu spletne aplikacije in posledično kako kvalitetno je bil ta opravljen... Vprašal se bom le s kakšnim dovoljenjem je neodvisni strokovnjak izvajal pregled aplikacije?

Dolgo se je stroka spraševala kdaj se bo v Sloveniji zgodilo nekaj, kar bo premaknilo stvari naprej. Kljub temu, da se z načinom objave te novice ne strinjam (kar bom argumentiral kasneje), vseeno upam, da bo prinesla kakšne pozitivne premike v zavedanju pri ključnih deležnikih v naši državi.. Ajpes je nova žrtev mizernega stanja informacijske varnosti v Sloveniji, ki ga tu pribijate na križ. Marsikatera ustanova bi lahko bila v tem trenutki na tem mestu. Marsikdo v Sloveniji ima ravno dovolj znanja, da iz javnodostopnih podatkov pridobi IP naslove ključnih organizacij v Slovenij, jih začne na tak ali drugačen način varnostno preiskovat, in prepričan sem, da bi s takšno metodologijo dela odkrili še veliko količino podatkov in informacij, ki ne sodijo na splet. Si upamo za njih trdit, da so javno dostopne, sploh če potrebujemo vstop v "črno cono", da jih pridobimo?

Naj komentiram še postopek objave ranljivosti. S-T, spoštujem vaše delo, definitivno pa se z objavo članka na način kot ste to storili NE strinjam. Če izvzamem popolnoma zgrešen naslov članka, v njem navajate tudi nepreverjena dejstva ("... izhaja, da je v celoti dosegljivih vsaj 59 podatkovnih baz ..."). Po mojem mnenju bi bilo precej bolj korektno in kredibilno, da bi se pred objavo članka posvetovali z Ajpesom, pa v članek vključili tudi njihove komentarje. Če je ranljivost odpravljena in trdno stojite za svojimi trditvami, potem vas pozivam, da objavite tudi postopek izrabe ranljivosti in dokaz kako se je lahko prišlo do vseh 59 podatkovnih baz.

bbbbbb2015 ::

krneki0001 je izjavil:

Za NLB niso nič delal. Nikoli.


Nebivedu, pa saj ti ne veš, kako to gre v Sloveniji. Poznam firmo, ki jo je kasneje kupila tričrkovna firma, ki ima znak "&" v svojem imenu.

Ta frajer se je dogovoril z nekim direktorčkom na NLBju, da so kupili tak IDS (intrusion detection system), da bi po moje detektirali tudi vanzemaljce. Provizije so letele, da so takrat dojč marke prebile zvočni zid.

Sistema niso nikoli postavili. Valjal se je po škatlah, dokler ni zastarel. NLB je plačeval še vzdrževanje dolga leta.

Ta frajer je takrat kupoval najdražje telefone, ki so se podali k njegovem AMG, kjer je imel za pasom na roko sešito usnjeno torbico.

Ta frajer je bil predhodno izvajalec za firmo, za katero sem delal jaz. Nagnati ga je bilo treba, ker preprosto povedano, on nikoli ni nameraval nič delati. Pisal se je pa na "ić", po rodu bosanski Srb. On je samo provizijal. Vem, da je bil hud sodni spor, ker ni nič naredil, poslal fakturo, ki jo je moja firma plačala (brez zapisnika), na koncu je bilo potrebno na plano nekaj dati, človek ni nič imel in se je izgovoril na to, da mu specifikacije niso bile dane. Seveda so mu bile. Potem so v 14 dnevih naredili nekaj, pa je moj šef popizdi*, ter ga steral v pič** mate****. In je moja firma terjala kao denar nazaj. Kaj so naredili, pa ne vem.

Nekaj časa je bil hud pritisk na interne informatike, naj zaboga nekaj podpišemo, da bo mir. Jaz nisem hotel podpisati, moj šef tudi ne. Moj šef šefa pa si ni upal na svojo roko nekaj podpisati. In tako je frajer ostal brez podpisov.

In ta frajer je kot svojo glavno referenco navajal NLB.

Tako je to šlo "oldschool" nekoč. Kaj dela danes, nimam pojma.

Zgodovina sprememb…

bbbbbb2015 ::

Bsph je izjavil:


Naj komentiram še postopek objave ranljivosti. S-T, spoštujem vaše delo, definitivno pa se z objavo članka na način kot ste to storili NE strinjam. Če izvzamem popolnoma zgrešen naslov članka, v njem navajate tudi nepreverjena dejstva ("... izhaja, da je v celoti dosegljivih vsaj 59 podatkovnih baz ..."). Po mojem mnenju bi bilo precej bolj korektno in kredibilno, da bi se pred objavo članka posvetovali z Ajpesom, pa v članek vključili tudi njihove komentarje. Če je ranljivost odpravljena in trdno stojite za svojimi trditvami, potem vas pozivam, da objavite tudi postopek izrabe ranljivosti in dokaz kako se je lahko prišlo do vseh 59 podatkovnih baz.


V normalnem svetu je ta pristop, ki ga omenjaš, normalen. A v Sloveniji ne. Tam se razkritelja začne pribijati na križ. NLB je to počela, ter tudi Policija. Zato "sodelovati" s kom pobližje pomeni med drugim kazenski pregon, pa ne vem kaj še ne vse za nebuloz. Nemaren uporabnik tako prikriva lastno nemarnost.

Zato ljudje (informatiki) v Sloveniji tega ne počnejo, pa tudi priporočljivo ni.

Zgodovina sprememb…

Majkl ::

MJU kot kaže ima smernice za razvoj programske opreme. In tudi datum zadnje spremembe je iz letošnjega leta. Omenjena je tudi varnost (OWASP in tudi IoT).
http://www.mju.gov.si/fileadmin/mju.gov...

Je pa vprašanje, koliko se to potem udejanja v praksi.
FMPOV

matijadmin ::

Penetracijsko testiranje je povsem zakonito, če ti lastnik ali uporabnik IKT to dovoli (kar je ob narocilu samoumevno).
Vrnite nam techno!

estons ::

http://hek.si/si/opisi-predavanj
Primer AJPES in odgovorno razkrivanje ranljivosti - študija primera, Gorazd Božič, SI-CERT


Predlagam udeležbo še koga iz S-T za bolj objektiven prikaz...

PS. Tale "shoot the messenger" pristop ratuje res neokusen.
Bsph: S-T *je* kontaktiral Ajpes pred objavo, kot se da razbrati iz novičke in komentarjev nanjo.

Zgodovina sprememb…

  • spremenilo: estons ()

Invictus ::

bbbbbb2015 je izjavil:


Sistema niso nikoli postavili. Valjal se je po škatlah, dokler ni zastarel. NLB je plačeval še vzdrževanje dolga leta.

Telekom/Mobitel ima v svojih kleteh že zgodovinsko/arhivsko razstavo nikoli priklopljenih hudih Unix in network mašin ;). Ampak je to kako tajna :P.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

poweroff ::

Bsph je izjavil:

Ko berem zgodbo in komentarje se mi pojavlja ključno vprašanje: Po kakšnem zakonu je imel neodvisni strokovnjak dovoljenje za testiranje spletne strani Ajpesa? Kje je zapisana meja med poizkusom vdora v IKT sistem (ki je opredeljeno kot kaznivo dejanje) in dovoljenim testiranjem?

Strinjam se, da testiranje brez predhodnega dogovora oz. dovoljenja ni dovoljeno oz. ni ravno najbolj OK. Govorim seveda v svojem imenu - oseba, ki je ranljivost sporočila Slo-Techu pa seveda odgovarja za svoja dejanja.

Ampak kaj pa če uporabnik slučajno naleti na napako? No, obstajajo podjetja, ki imajo v imenu enojni narekovaj. Recimo podjetje z matično številko 5483590000: MELA D'ORO - Trgovina, izvoz-uvoz, d.o.o. Koper.

In to ni edino tako podjetje. Takih podjetij je preko 4000! (Da ne bo teorije zarote - podatek o tem je pridobljen legalno.)

Torej, vprašanje ni ali ima nek strokovnjak pravico testirati spletne strani Ajpesa. Vprašanje je, če je imel pravico po teh spletnih straneh sploh iskati podatke!

Skratka, treba je ločiti med namernim in sistematičnim poskusom vdora in naključno najdeno ranljivostjo.

Po drugi strani je pa tako... kaj če nek strokovnjak hodi po ulici in opazuje hiše - ali imajo zaprta okna, ali imajo dobre ključavnice. In potem obvešča lastnike. Morda pravno gledano to ni ravno OK. Ampak v širšem smislu je koristno - če je seveda ta oseba dobroverna.

Lahko pa seveda začnemo take osebe preganjati in demonizirati, ampak kaj bo rezultat? Zlonamerneži bodo še naprej nemoteno hekali, dobrovernih prijaviteljev pa ne bo. Posledica bo slabša varnost za vse.

Bsph je izjavil:

Marsikatera ustanova bi lahko bila v tem trenutki na tem mestu.

Res je. Legitimno je vprašanje zakaj Ajpes, zakaj ne kdo drug. Odgovor je preprost. Tudi drugi bodo prišli na vrsto - če bomo dobili obvestilo, da so ranljive druge spletne strani, bomo lastnike obvestili in objavili novico. Ajpes je pač med prvimi (pred tem je bil že Telemach). Poleg tega Ajpes ni ravno neko lokalno gasilsko društvo. Njegove baze so med bolj občutljivimi v državi.

Bsph je izjavil:

Po mojem mnenju bi bilo precej bolj korektno in kredibilno, da bi se pred objavo članka posvetovali z Ajpesom, pa v članek vključili tudi njihove komentarje.

Torej, Ajpes smo po mailu zaprosili za odziv in ne boš verjel - njihov odziv je celo vključen v novico. Si prepričan, da si novico sploh prebral? ;)

Bsph je izjavil:

Če je ranljivost odpravljena in trdno stojite za svojimi trditvami, potem vas pozivam, da objavite tudi postopek izrabe ranljivosti in dokaz kako se je lahko prišlo do vseh 59 podatkovnih baz.

Razkrivanje podrobnih postopkov po mojem mnenju nima smisla. Objavljen je zaslonski posnetek davčne številke neke znane slovenske osebnosti (mimogrede, ta oseba je tudi klicala iz zaprosila za zabris številke, kar smo storili), kar povsem zadostuje za dokaz.

Problem je pa tudi v tem, da so nas po objavi članka kontaktirali nekateri Ajpesovi izvajalci in kot kaže, ranljivost še ni zakrpana v celoti. In to kljub temu, da je Ajpes pred objavo članka zatrdil, da so ranljivost odpravili. Seveda smo njihovim izjavam verjeli, ampak kot kaže sedaj obstaja možnost, da niso bile resnične. To je pa tudi stvar, ki bi jo pristojni organi morali raziskati.
sudo poweroff

matijadmin ::

Jaz se zelo strinjam s tem, kar je napisal Matthai. Bi pa dodal, da neka praksa odkrivanja in opozorajanja na ranljivosti ni nujno idealna, skladna s pravili stroke in v celoti etično izpeljana (pri čemer nimam v mislih tega konkretnega primera), kar pa še ne pomeni, da je tudi kazniva! Za to morajo bisti izpolnjene vse predpostavke in v Primeru ornig niso bile (ne glede na vdor, ce ga je ali pa ni zagresil - tudi tega ne vemo), glede na obvescanje Policije in nadalje medijev nikakor ne moremo govoriti o naklepu.

Za stanje duha v druzbi, klavrno pravno državo in izrazito negativno kadrovsko selekcijo v JS je aktivizem (ki, priznam, lahko hodi po robvu) deluje kot balzam. Zato je prav, da se civilna druzba krepi, tako da mediji odgovorno razkrivajo in pokoncno branijo svoje vire (v tajnosti).
Vrnite nam techno!

krneki0001 ::

bbbbbb2015 je izjavil:


V normalnem svetu je ta pristop, ki ga omenjaš, normalen. A v Sloveniji ne. Tam se razkritelja začne pribijati na križ. NLB je to počela...


Glede NLB ne drži!!
NLB je lepo povedala, da je napaka na strani uporabnika in ne na strani NLB. Torej, če je okužen računalnik uporabnika klika nlb, potem lahko izgubi denar. Ampak vsak uporabnik je za svoj računalnik odgovoren sam. Posledično ne more za njegovo slabo zaščito na računalniku odgovarjat nlb.
In ko je tip videl, da ne bo uspel, je začel groziti in izsiljevati, ter zahteval pol miliona mark. Zato se je banka odločila, da bo stvar prijavila policiji. In bolj ko je šlo k koncu, bolj se je videlo, da tip nima več izhoda in da bo odgovarjal za svoja dejanja, pa je naredil samomor.

Poleg tega, takega programa ni napisal sam, ker ni bil računalničar, ampak je pa cele noči brskal po internetu. Človeka sem poznal, ker je bil iz moje rojstne vasi. In ne, ni imel toliko znanja, da bi iz nule to sam naredil. Nekdo mu je postavil okvir in delno napisal kodo.

Koda je bila sicer zelo simpl, če si poznal vsaj kako dela internet explorer in string unstring v txt datoteki. Sam bi jo v tistem času napisal v 10 minutah. Gre pa za zajem izhoda (ki je bil plain text, brez zaščite), ki ga je sproduciral takratni klik in v tem stringu si moral opraviti zamenjavo dveh polj. Prvo polje je številka računa, drugo pa višina zneska, ki pa si jo prebral iz klika. Ko si to opravil, si poslal popravljeno transakcijo naprej in naredil freeze računalnika.

Enake probleme je imelo nekje 10 bank, ki so uporabljale podobno zasnovo. Seveda so poslali zadevo tudi na MS, ki pa je naredil popravek zelo hitro.

Vsa stvar pa bi se odigrala drugače, če bi človek prišel na banko, povedal, kakšno napako je našel in vprašal, če ga zaposlijo, pa jim bo pomagal odpravljat take napake. Ampak tip se je odločil, da bo prvo šel v medije, pokazat napako, potem se je pa šel pogajat z banko.

krneki0001 ::

poweroff je izjavil:

Problem je pa tudi v tem, da so nas po objavi članka kontaktirali nekateri Ajpesovi izvajalci in kot kaže, ranljivost še ni zakrpana v celoti. In to kljub temu, da je Ajpes pred objavo članka zatrdil, da so ranljivost odpravili. Seveda smo njihovim izjavam verjeli, ampak kot kaže sedaj obstaja možnost, da niso bile resnične. To je pa tudi stvar, ki bi jo pristojni organi morali raziskati.


Matthai, tole sem pisal že zadnjič:

krneki0001 je izjavil:

Pri nas se bo pa slo-tech demoniziralo in človeka, ki je vdrl v sistem in jim pokazal kakšno štalo imajo. Na ajpesu pa ne bo nič novega, še zadev ne bodo popravili, čeprav trdijo, da so jih že. Ne verjamem da v tako kompleksnem okolju lahko v parih urah daš ven popravek, tudi v parih dneh ne, ker morajo prvo preveriti, kaj je točno napaka, napisat specifikacije za zunanje jim jih dostavit in potem imajo zunanji vsaj teden dni časa, da naredijo popravek.


To ni nek majhen sistemček z eno web stranjo in zadaj mysql s 300 zapisi v bazi. To je glomazen sistem, s ključnimi pomembnimi podatki, ki ne sme biti na vpogled celemu svetu. In v tako glomaznem sistemu je potem popravke težje delat, ker je potrebno spet stestirat vse skupaj, če nisi na drugi strani kaj podrl.
Zato se mora še toliko bolj potruditi že na začetku, da se vse take stvari prepreči že s pravilnim programiranjem. Ker resnično SQL injection danes je ...

Bsph ::

poweroff je izjavil:


Strinjam se, da testiranje brez predhodnega dogovora oz. dovoljenja ni dovoljeno oz. ni ravno najbolj OK. Govorim seveda v svojem imenu - oseba, ki je ranljivost sporočila Slo-Techu pa seveda odgovarja za svoja dejanja.

Ampak kaj pa če uporabnik slučajno naleti na napako? ..

Torej, vprašanje ni ali ima nek strokovnjak pravico testirati spletne strani Ajpesa. Vprašanje je, če je imel pravico po teh spletnih straneh sploh iskati podatke!

Skratka, treba je ločiti med namernim in sistematičnim poskusom vdora in naključno najdeno ranljivostjo.


Absolutno se strinjam z napisanim, še posebej mi je všeč stavek "Skratka, treba je ločiti med namernim in sistematičnim poskusom vdora in naključno najdeno ranljivostjo." ki ga tudi sam zagovarjam. Prav zato sem na koncu članka pozval k objavi postopka izrabe ranljivosti. Povsem drugo sliko bi imel primer (skozi moje oči seveda) če bi se izkazalo, da je ranljivost mogoče izrabiti skozi neko enostavno spreminjanje get/post parametrov, ali pa če bi neodvisni strokovnjak uporabljal aktivno skeniranje in napadal spletno stran z namenom odkritja ranljivosti.

poweroff je izjavil:


Lahko pa seveda začnemo take osebe preganjati in demonizirati, ampak kaj bo rezultat? ...


Seveda ne, smotrno bi bilo le to, da se postavi neka meja in pravila "responsible disclosure" igre. Zato je prav, da se začnemo o tem javno pogovarjati, in da bi debato sprožili na raznih konferencah.

Zelo na mestu se mi zdi tudi ideja, da bi se okrogle mize na hek.si udeležil nekdo iz S-T, da predstavite svoje ideje in razmišljanje. Pa ne gre se za to kdo ima prav in kdo ne, ker je področje popolnoma neurejeno in si pravila igre razlaga vsak po svoje. Več različnih idej kot sliši zainteresirana javnost, več je možnosti za razpravo..

poweroff je izjavil:


Bsph je izjavil:

Po mojem mnenju bi bilo precej bolj korektno in kredibilno, da bi se pred objavo članka posvetovali z Ajpesom, pa v članek vključili tudi njihove komentarje.

Torej, Ajpes smo po mailu zaprosili za odziv in ne boš verjel - njihov odziv je celo vključen v novico. Si prepričan, da si novico sploh prebral? ;)


Si se malo pošalil,a? :) hehe, napisal sem "posvetovali" in ne "kontaktirali". Če bi jim članek dali v predogled ali komentiranje bi po vsej verjetnosti dobili povsem drugačen odziv in drugačen pogled na celotno zgodbo.


poweroff je izjavil:


Problem je pa tudi v tem, da so nas po objavi članka kontaktirali nekateri Ajpesovi izvajalci in kot kaže, ranljivost še ni zakrpana v celoti. In to kljub temu, da je Ajpes pred objavo članka zatrdil, da so ranljivost odpravili. Seveda smo njihovim izjavam verjeli, ampak kot kaže sedaj obstaja možnost, da niso bile resnične. To je pa tudi stvar, ki bi jo pristojni organi morali raziskati.


Seveda da je problem v tem. Kako lahko pričakujemo, da bo takšna ranljivost popravljena v nekaj urah? Javna ustanova kontaktira izvajalca, ta svoje developerje da popravijo kodo, naredijo novo verzijo/popravek programa, in ga namestijo v produkcijsko okolje.. V domačem okolju je to res preprost postopek, za aplikacije in organizacije večje razsežnosti pa mislim da vseeno potrebujejo nekaj več časa. Tudi neodzivnost aplikacije čez vikend nekaj pove o tem...

"...Ajpes pred objavo članka zatrdil, da so ranljivost odpravili.." Ne želim nobenega zagovarjati, ampak mislim, da jim kaj drugega preprosto ni preostalo... poglejte kaj je nastalo iz celotne zgodbe, kako grozen in vsebinsko bizaren prispevek je nastal na Planet TV.. Še dobro, da ni šel primer na nacionalnko.

"MJU kot kaže ima smernice za razvoj programske opreme".. Zelo pozitivno presenečen, nisem vedel za dokument ki je nastal 10.01.2017, ga bom z veseljem preletel..

krneki0001 ::

Zdej je pa že en cel teden od tega. Torej sedaj bi lahko podizvajalec že dal kodo s popravki ajpesovcem.

Kdaj bo prekinitev delovanja ajpesovih storitev, da bodo namestili novo kodo?

jype ::

nebivedu> Kdaj bo prekinitev delovanja ajpesovih storitev, da bodo namestili novo kodo?

Pa saj ne gradijo novega mostu čez Neretvo, no.

krneki0001 ::

Kaj pa ti misliš? Ker so jim študentje prvega letnika naredili software, bo popravek večji od MS-ovega service packa. :))

jype ::

Že vsaj deset let je, odkar sem nazadnje videl več kot nekaj sekund nedosegljivosti pri nadgradnji na novo različico.

krneki0001 ::

jype je izjavil:

Že vsaj deset let je, odkar sem nazadnje videl več kot nekaj sekund nedosegljivosti pri nadgradnji na novo različico.


Tudi jaz. Ampak kje drugje, ne v slovenskih dinozavrih.

poweroff ::

Bsph je izjavil:

Si se malo pošalil,a? :) hehe, napisal sem "posvetovali" in ne "kontaktirali". Če bi jim članek dali v predogled ali komentiranje bi po vsej verjetnosti dobili povsem drugačen odziv in drugačen pogled na celotno zgodbo.

Hmm, predhodno pošiljanje člankov v "pregled" ali celo "odobritev" je nekaj, kar je no-go v resnem novinarstvu.

V Sloveniji, kjer je mnogo naročenih člankov pa je to žal kar nekakšen standard. No, tega "standarda" jaz ne sprejemam.

poweroff je izjavil:

Seveda da je problem v tem. Kako lahko pričakujemo, da bo takšna ranljivost popravljena v nekaj urah? Javna ustanova kontaktira izvajalca, ta svoje developerje da popravijo kodo, naredijo novo verzijo/popravek programa, in ga namestijo v produkcijsko okolje..

Torej, izvajalca je obvestil Primož. Izvajalec je rekel, da so zadevo popravili. Ajpes je zagotovil, da so zadevo popravili. Sam popravek je bil po naši oceni relativno preprost - treba je samo "escapati" vnosno polje. Torej ni bilo razloga, da bi ne verjeli, da je bil popravek zares nameščen.

Res je pa, da so potem bralci Slo-Techa našli še nove ranljivosti in Slo-Tech je vse te informacije posredoval naprej na IP-RS.

poweroff je izjavil:

Ne želim nobenega zagovarjati, ampak mislim, da jim kaj drugega preprosto ni preostalo... poglejte kaj je nastalo iz celotne zgodbe, kako grozen in vsebinsko bizaren prispevek je nastal na Planet TV.. Še dobro, da ni šel primer na nacionalnko.

Tole se sliši kot "ni jim preostalo drugega, kot da se lažejo". Upam, da ne misliš resno. Gre vendar za državni organ.

Poleg tega - a zdaj je problem poročanje medijev? Ne, problem je malomarno ravnanje s podatki. Problem je, da je to en največji oz. najresnejši data breach v zgodovini Slovenije. In za to mediji niso odgovorni.
sudo poweroff

Gregor P ::

poweroff je izjavil:

Res je pa, da so potem bralci Slo-Techa našli še nove ranljivosti in Slo-Tech je vse te informacije posredoval naprej na IP-RS.
... in upam, da potem tudi že vsaj v CC SI-CERT-u:8)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

krneki0001 ::

poweroff je izjavil:

Bsph je izjavil:

Si se malo pošalil,a? :) hehe, napisal sem "posvetovali" in ne "kontaktirali". Če bi jim članek dali v predogled ali komentiranje bi po vsej verjetnosti dobili povsem drugačen odziv in drugačen pogled na celotno zgodbo.

Hmm, predhodno pošiljanje člankov v "pregled" ali celo "odobritev" je nekaj, kar je no-go v resnem novinarstvu.

V Sloveniji, kjer je mnogo naročenih člankov pa je to žal kar nekakšen standard. No, tega "standarda" jaz ne sprejemam.

poweroff je izjavil:

Seveda da je problem v tem. Kako lahko pričakujemo, da bo takšna ranljivost popravljena v nekaj urah? Javna ustanova kontaktira izvajalca, ta svoje developerje da popravijo kodo, naredijo novo verzijo/popravek programa, in ga namestijo v produkcijsko okolje..

Torej, izvajalca je obvestil Primož. Izvajalec je rekel, da so zadevo popravili. Ajpes je zagotovil, da so zadevo popravili. Sam popravek je bil po naši oceni relativno preprost - treba je samo "escapati" vnosno polje. Torej ni bilo razloga, da bi ne verjeli, da je bil popravek zares nameščen.

Res je pa, da so potem bralci Slo-Techa našli še nove ranljivosti in Slo-Tech je vse te informacije posredoval naprej na IP-RS.

poweroff je izjavil:

Ne želim nobenega zagovarjati, ampak mislim, da jim kaj drugega preprosto ni preostalo... poglejte kaj je nastalo iz celotne zgodbe, kako grozen in vsebinsko bizaren prispevek je nastal na Planet TV.. Še dobro, da ni šel primer na nacionalnko.

Tole se sliši kot "ni jim preostalo drugega, kot da se lažejo". Upam, da ne misliš resno. Gre vendar za državni organ.

Poleg tega - a zdaj je problem poročanje medijev? Ne, problem je malomarno ravnanje s podatki. Problem je, da je to en največji oz. najresnejši data breach v zgodovini Slovenije. In za to mediji niso odgovorni.



MAtthai, Imaš 100% podporo z moje strani. Novinarski članki so se pregledovali v kakem drugem političnem sistemu, v sedanjem nam tega ni treba početi. Ravno tako ni potrebe po demoniziranju hekerja in slo-tech-a, zato ker se je vse skupaj objavilo tukaj, če so na ajpesu malomarno upravljali s podatki.

Invictus ::

Mislim, zanimivo koliko ljudi tukaj opravičuje AJPES; ko pa je vsem jasno da so zajebali...

Zdaj naj bi najbrž kar ustanovili parlamentarno komisijo, če so res...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

darkolord ::

Novinarski članki so se pregledovali v kakem drugem političnem sistemu, v sedanjem nam tega ni treba početi.
Seveda zdaj tega ni treba početi, ker je važna samo branost, ki se jo pridobi s čimbolj šokantnimi naslovi novic, ne glede na posledice. Čim globlje lahko nekoga porineš v drek, tem bolje.

AndrejO ::

Invictus je izjavil:

Mislim, zanimivo koliko ljudi tukaj opravičuje AJPES; ko pa je vsem jasno da so zajebali...

"Vsem jasno" še ne izpolnjuje kriterija "objektivno ugotovljeno". Če želiš nekoga trajno pokopati, je IMO potrebno slednje.

Invictus je izjavil:

Zdaj naj bi najbrž kar ustanovili parlamentarno komisijo, če so res...

Parlamentarno komisijo sicer ne, je pa to stvar, ki jo mora IP-RS, kot pristojni organ, zadovoljivo raziskati, ker so za izgubljene zbirke osebnih podatkov predvidene tudi določene globe. Pri teh je pomembno, da so naslovljene na pravega naslovnika in ne zgolj na prvega prikladnega. Še bolj pa je pomembno, da tako izrečene globe potem vzdržijo tudi vse pritožbene postopke, ki so v Sloveniji pravilo.

Kar se tiče gostilniške debate, pa se strinjam, da je že vsakomur "jasno" kdo je česa kriv in kdo je za kaj odgovoren.

AndrejO ::

darkolord je izjavil:

Novinarski članki so se pregledovali v kakem drugem političnem sistemu, v sedanjem nam tega ni treba početi.
Seveda zdaj tega ni treba početi, ker je važna samo branost, ki se jo pridobi s čimbolj šokantnimi naslovi novic, ne glede na posledice. Čim globlje lahko nekoga porineš v drek, tem bolje.

Konkretna novica je takšne narave, da bi že razkritje "spletna stran X je imela SQL injection ranljivost" povzročilo določen naval, pa tudi, če se ne napiše čisto nič drugega.

Konkreten način objave pa je, da je AJPES najprej izjavil, da do stvar pokrpali, sedaj pa vse kaže, da temu ni ravno tako. To je pa nekaj, kar lahko pripišejo samo sebi, ne pa nekomu, ki se je odločil novico objaviti, ker je naivno verjel, da se pri agencija pri tako občutljivi zadevi ne heca.

konspirator ::

A potem so na Ajpesu lagali ?
--

hruske ::

Dobrodošel na Slo-Techu, Bpsh!

Strinjava se, da ne bi bilo treba delat bombastičnih naslovov, a medij se vseeno ne more "posvetovat" z AJPES. Medij poroča (na odgovoren način) tako, da daje na voljo razumno količino časa AJPES, da napako odpravi. Ko AJPES napako odpravi (in ko po možnosti ST preveri, da je napaka res odpravljena), ST objavi novico. Kaj več še hočemo, da ST nudi IT svetovanje AJPES?

"Posvetovanje", če se medij zanj odloči, ni brez tveganja. To bi pomenilo, da bi nekdo moral it na sestanek, kjer bi ga lepo "speglali", da stvari, o katerih so se pogovarjali na sestanku, ne more javno objavljat - AJPES in medij bi imela neke vrste nejaven dogovor. Posledično ne bi bilo novice, niti ne bi bile zakrpane dodatno odkrite ranljivosti, ki so jih sporočali slotechovci, tako da bi lahko ljudje z znanjem in srečo (oz. vztrajnostjo) še naprej dostopali do podatkov, do katerih niso upravičeni. Končni rezultat = manj varnosti.

Obvladovat večje IT sisteme ni najlažje, a je tehnično izvedljivo. Dober primer je Etsy, kjer je en raziskovalec v petek zvečer našel varnostno ranljivost, v soboto dopoldan je bila že zakrpana. Da se, če se hoče ... in če se zna.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

Zgodovina sprememb…

  • spremenilo: hruske ()

AndrejO ::

konspirator je izjavil:

A potem so na Ajpesu lagali ?

Obreganje ob poročanje, izostanek kakršnegakoli pojasnila o vzdrževalnih delih pretekli vikend, pretek polnega tedna od objave, da je bilo vse pokrpano, ne da se bi tudi uradno pojasnilo kaj so bili vzroki za ranljivost, molk IP-RS na to temo.

Ja. Mislim, da je 60% možnosti, da so se zlagali in 40% možnosti, da so šalabajzerji. Z veseljem pa čakam na poročilo IP-RS o izsledkih inšpekcijskega pregleda, ki se ne bo moglo izogniti temu, da bo nakazalo kdo je bil najbolj kriv za zajeb.

hruske ::

konspirator je izjavil:

A potem so na Ajpesu lagali ?

Najverjetneje je, da je izvajalec nestrokovno opravil svoje delo - da je odpravil napako, na katero je napadalec konkretno pokazal, ni pa opravil pregleda, če se napaka pojavlja še v katerem drugem primeru.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

poweroff ::

Gregor P je izjavil:

poweroff je izjavil:

Res je pa, da so potem bralci Slo-Techa našli še nove ranljivosti in Slo-Tech je vse te informacije posredoval naprej na IP-RS.
... in upam, da potem tudi že vsaj v CC SI-CERT-u:8)

Kolikor vem, je potem IP-RS sporočal naprej SI-CERTu. Vsekakor se ni nič izgubilo.
sudo poweroff

krneki0001 ::

darkolord je izjavil:

Novinarski članki so se pregledovali v kakem drugem političnem sistemu, v sedanjem nam tega ni treba početi.
Seveda zdaj tega ni treba početi, ker je važna samo branost, ki se jo pridobi s čimbolj šokantnimi naslovi novic, ne glede na posledice. Čim globlje lahko nekoga porineš v drek, tem bolje.


Lej, lahko ga nekdo pregleda, če je slovnično pravilno napisan, ni pa treba da se taki članki zavračajo, ker niso "politično korektni", kar bi se zgodilo v primeru, da bi slo-tech dal ta članek pregledat ajpesu, kjer pa bi se ajpes odločil, da tega pač ne smejo na slo-techu objavit.

Bo sedaj pravilno napisano?

AndrejO je izjavil:

Ja. Mislim, da je 60% možnosti, da so se zlagali in 40% možnosti, da so šalabajzerji.


Me veseli.

Zgodovina sprememb…

darkolord ::

krneki0001 je izjavil:

darkolord je izjavil:

Novinarski članki so se pregledovali v kakem drugem političnem sistemu, v sedanjem nam tega ni treba početi.
Seveda zdaj tega ni treba početi, ker je važna samo branost, ki se jo pridobi s čimbolj šokantnimi naslovi novic, ne glede na posledice. Čim globlje lahko nekoga porineš v drek, tem bolje.


Lej, lahko ga nekdo pregleda, če je slovnično pravilno napisan, ni pa treba da se taki članki zavračajo, ker niso "politično korektni", kar bi se zgodilo v primeru, da bi slo-tech dal ta članek pregledat ajpesu, kjer pa bi se ajpes odločil, da tega pač ne smejo na slo-techu objavit.

Bo sedaj pravilno napisano?
Da, nekoliko bolje.

Ampak tudi če bi ajpes prej dobil kopijo članka ali bi samo izvedel, da se bo o tem lahko objavil članek, ne bi IMO nikomur škodilo, bi pa lahko marsikdaj (ne nujno v tem primeru) prihranilo precej težav.

Precej nerodno je namreč, če o kakšni stvari, ki se te tiče, izveš iz medijev ...

Zgodovina sprememb…

  • spremenilo: darkolord ()

krneki0001 ::

darkolord je izjavil:

Precej nerodno je namreč, če o kakšni stvari, ki se te tiče, izveš iz medijev ...


Ti pa uvodnega posta nisi prebral, ane?

Namreč tam, pa tudi kasneje je matthai lepo napisal, da so pred objavo kontaktirali ajpes.

darkolord ::

Napisal sem:

(ne nujno v tem primeru)

jype ::

nebivedu> Lej, lahko ga nekdo pregleda, če je slovnično pravilno napisan, ni pa treba da se taki članki zavračajo, ker niso "politično korektni", kar bi se zgodilo v primeru, da bi slo-tech dal ta članek pregledat ajpesu, kjer pa bi se ajpes odločil, da tega pač ne smejo na slo-techu objavit.

Politično nekorektno je objaviti članek, da je bil nebivedu obsojen zaradi nasilja nad družinskimi člani, ampak ti vseeno zagovarjaš stališče, da tega ni pametno prepovedati?

V trenutnih časih se neverjetno pogosto objavlja "dejstva", ki to niso.

krneki0001 ::

Obstaja velika razlika med tvojo izmišljotino in med tem kar je ta novica na slo techu. Namreč človek, ki je heknil ajpesovo stran, si tega ni izmislil, ampak je zadevo izpeljal in jo podkrepil z materalnimi dokazi, da je res tako. Tukaj na slo-techu pa so obvestili pristojne in šele potem spisali novico in jo objavili. Zelo fer in kaj več niti niso mogli narest, če mene vprašaš.

darkolord ::

A kot "tega" misliš katastrofo epskih razsežnosti?

jype ::

nebivedu> Obstaja velika razlika med tvojo izmišljotino in med tem kar je ta novica na slo techu. Namreč človek, ki je heknil ajpesovo stran, si tega ni izmislil, ampak je zadevo izpeljal in jo podkrepil z materalnimi dokazi, da je res tako. Tukaj na slo-techu pa so obvestili pristojne in šele potem spisali novico in jo objavili. Zelo fer in kaj več niti niso mogli narest, če mene vprašaš.

Razumem, ampak v zadnjih časih se pogosto objavi tudi marsikaj, kar ni resnično. IMO je urednikova dolžnost, da preveri resničnost navedb in seveda tudi sprejme odgovornost, kadar jo preveri slabo in se izkaže, da je objavil laž.

Bsph ::

poweroff je izjavil:


Hmm, predhodno pošiljanje člankov v "pregled" ali celo "odobritev" je nekaj, kar je no-go v resnem novinarstvu.

V Sloveniji, kjer je mnogo naročenih člankov pa je to žal kar nekakšen standard. No, tega "standarda" jaz ne sprejemam.

Odgovorim kar na celoten tvoj post:

Fair enough. Imaš svoje mnenje, za katerim stojiš. Jaz bi sicer ravnal drugače, ampak to je seveda odločitev posameznika.

Ne želim se globje zapletati, mogoče samo vprašanje. Primer, razkritje in odziv je res nekaj posebnega za našo državo. Kljub temu, da se še vedno ne strinjam z določenimi dejstvi, ki sem jih omenil že v prejšnjih postih (pa jih nebi ponavljal), vseeno upam, da bo naša država in ostali deležniki potegnili nekaj pozitivnega iz te zgodbe. Zanima pa me, ali imate v mislih pripravo kakšnega novega članka ali dopolnitev obstoječega z nekakšno časovnico in opisom dogodkov kako se je celotna zadeva odvijala?

Mislim, da se bo na to temo še veliko govorilo na raznih dogodkih, vaša objava in začetna koordinacija pa je imela ključno vlogo pri postopku.

Bsph ::

hruske je izjavil:

konspirator je izjavil:

A potem so na Ajpesu lagali ?

.....Strinjava se, da ne bi bilo treba delat bombastičnih naslovov, a medij se vseeno ne more "posvetovat" z AJPES. Medij poroča (na odgovoren način) tako, da daje na voljo razumno količino časa AJPES, da napako odpravi. ......

Najverjetneje je, da je izvajalec nestrokovno opravil svoje delo - da je odpravil napako, na katero je napadalec konkretno pokazal, ni pa opravil pregleda, če se napaka pojavlja še v katerem drugem primeru.


Pozdravljen Hruske, hvala za dobrodošlico :). Podam še svoje mnenje na tvoje odgovore, glede na to da, sem bil ravno izzvan. Zgoraj sem združil dva tvoja posta. Se ti ne zdi, da sta poudarjena dela rahlo kontradiktorna? Koliko ur je pustil S-T Ajpesu da odpravi napako in stestira sistem?

Glede posvetovanja z Ajpesom pa nikakor nisem imel v mislih, da bi morali sestankovati in sklepati dogovore. Primer odgovornega poročanja se mi zdi članek na povezavi http://siol.net/digisvet/novice/napaka-.... Bralec, ki bo prebral oba članka bo hitro razumel kaj imam v mislih.
(Tu bi rad poudaril, da ne želim delati nobene reklame za kogarkoli, osebno ne poznam ne pisca novice na S-T in ne na Siolu, navezujem se le na vsebino novice.)

krneki0001 ::

jype je izjavil:

Razumem, ampak v zadnjih časih se pogosto objavi tudi marsikaj, kar ni resnično. IMO je urednikova dolžnost, da preveri resničnost navedb in seveda tudi sprejme odgovornost, kadar jo preveri slabo in se izkaže, da je objavil laž.


Spet si se postavil na teren, kjer nimaš kaj za počet, razen po besedah se obešat. Urednik je del medija. To je zajeto tukaj: "lahko ga nekdo pregleda, če je slovnično pravilno napisan".

Da pa ti iz slo-techa na ajpes pošlješ vprašat, če lahko objaviš, je pa nekaj drugega in nima z uredništvom nič skupnega.

jype ::

nebivedu> To je zajeto tukaj: "lahko ga nekdo pregleda, če je slovnično pravilno napisan".

Ne, ni.

nebivedu> Da pa ti iz slo-techa na ajpes pošlješ vprašat, če lahko objaviš, je pa nekaj drugega in nima z uredništvom nič skupnega.

Seveda ima. Ni ti treba vprašat, če lahko objaviš. Morda bi bilo dobro, da bi se izobrazil glede teh reči.

krneki0001 ::

jype je izjavil:

nebivedu> To je zajeto tukaj: "lahko ga nekdo pregleda, če je slovnično pravilno napisan".

Ne, ni.


Je, je. In ti se spet samo še obešaš na besede, ker drugega pač ne znaš počet.

Zgodovina sprememb…

jype ::

nebivedu> Spet se obešaš na besede, ker drugega pač ne znaš.

Zgolj opozarjam, da trdiš reči, ki so napačne, da si ne bi kdo potem ponesreči domišljal, da niso.

Izjemno pomembno je, da urednik ne preverja zgolj slovnice (kar itak počne lektor), ampak tudi resničnost navedb v objavah, ter da jasno sporoči zanesljivost teh navedb.

SeMiNeSanja ::

O čem se sploh še prepiramo?

AJPES bi lahko rekel 'Hvala neznanemu odkritelju varnostne luknje, da nas je opozoril nanjo!".

Po črki zakona sicer ima pravico, da sproži gonjo proti neznanemu 'storilcu'.
Če bi ga izsledili, bi ta imel resne težave pojasniti, kako je po golem naklučju odkril, kolikim in katerim bazam ta varnostna luknja omogoča dostop.

Ni ravno spodobno, ampak tovrstne 'shoot the messenger' akcije so bile že dostikrat videne. Žal.

Dejansko se manjka neka zaščita za osebe, ki tovrstne ranljivosti odkrijejo in na odgovoren način o tem obvestijo odgovorne osebe.
Problem take zaščite pa je, da bi potem lahko vsakdo 'malo probaval', če ima neka spletna aplikacija kakšne luknje. To pa spet ne želimo.

Dejansko mora 'firbec' (ni vsak hecker raziskovalec in obratno) najprej izvesti vdor v informacijski sistem. Na tej točki nihče ne more reči, ali je to počel dobro- ali zlonamerno. Nekako pa ne more zaščita raziskovalcev omogočati tudi zlonamernim hackerjem, da se zmažejo z izjavo 'še nisem uspel obvestiti odgovornih oseb' ali 'nisem mogel najti, kdo je odgovoren' in podobno.

Nesmiselno bi tudi bilo razmišljanje o 'licenci za hackanje', katero bi lahko pridobili raziskovalci, da bi jih ščitila, dokler se gibljejo na svetli strani.

Kaj torej na koncu ostane samo etika?

Kako vi mislite, da bi se moralo ščititi tiste, ki na odgovoren način razkrijejo ranljivosti, ki jih niso mogli raziskati, ne da bi kršili zakon?

Zgodovina sprememb…

krneki0001 ::

jype je izjavil:

nebivedu> Spet se obešaš na besede, ker drugega pač ne znaš.

Zgolj opozarjam, da trdiš reči, ki so napačne, da si ne bi kdo potem ponesreči domišljal, da niso.

Izjemno pomembno je, da urednik ne preverja zgolj slovnice (kar itak počne lektor), ampak tudi resničnost navedb v objavah, ter da jasno sporoči zanesljivost teh navedb.


Če ti je dolgčas po tvojih, jih obišči, nehaj pa se obešat na besede. Vsi ostali so razumeli, kaj je napisano, samo ti se še obešaš na bedarije.

SeMiNeSanja je izjavil:

Kako vi mislite, da bi se moralo ščititi tiste, ki na odgovoren način razkrijejo ranljivosti, ki jih niso mogli raziskati, ne da bi kršili zakon?


Zaposliš ga, pa dobro ga plačaš.

Zgodovina sprememb…

jype ::

SeMiNeSanja> Kako vi mislite, da bi se moralo ščititi tiste, ki na odgovoren način razkrijejo ranljivosti, ki jih niso mogli raziskati, ne da bi kršili zakon?

Komplicirano je, ker so "uradni kanali" pogosto zaprti. Ker so v zbirkah na AJPES-u tudi moji podatki, si predstavljam scenarij, po katerem bi AJPES prosil, da razloži, kako skrbi, da se do mojih podatkov ne da nepooblaščeno dostopati. Pri tem bi pričakoval, da bo AJPES od sebe dal dopis z nebulozami, ki jim lahko verjamem ravno toliko, kot sporočilu, da mi želi vdova nekega diktatorja nakazati znatno vsoto denarja. Ker se o varnosti torej ne morem prepričati (do vpogleda v mehanizme, s katerimi se varnost zagotavlja, nisem upravičen), je edini način, da svojo skrb odstranim, samostojni varnostni pregled sistema. Do tega seveda tudi nisem upravičen, čeprav so v sistemu podatki, ki se nanašajo name osebno.

Trenutno stanje je žal tako, da smo vsi kriminalci, le precej lažje nas je preganjati, kadar storimo pravo stvar in upravljalcu sporočimo, da smo našli luknjo v njegovem sistemu.

nebivedu> Če ti je dolgčas po tvojih, jih obišči, nehaj pa se obešat na besede. Vsi ostali so razumeli, kaj je napisano, samo ti se še obešaš na bedarije.

Če zapišeš bedarije, se je nanje treba obešati.

Zgodovina sprememb…

  • spremenilo: jype ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369131021 (96254) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181078 (63632) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953063 (43200) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432392 (22699) Furbo

Več podobnih tem