» »

AJPES-ova alternativna dejstva

AJPES-ova alternativna dejstva

Slo-Tech - Potem ko smo na Slo-Techu v ponedeljek objavili obvestilo anonimnega prijavitelja v zvezi s popolnim neupoštevanjem kakršnihkoli varnostnih standardov na AJPESovi spletni strani, je danes predstavnik AJPESa za STA podal odziv. Sporočili so, da so na spletni strani vključili protokol HTTPS, ter da zato štejejo, da so vse izpostavljene težave s tem odpravljene.

Težko je reči, ali nas je tak odziv razočaral ali presenetil. A očitno je, da Agencija ni kos svojim nalogam in da to skriva tako, da probleme pometa pod preprogo, nadejajoč se, da v tej državi res ni nikogar, ki bi jo znal za to kaznovati.

Poglejmo si njihov odziv nekoliko podrobneje.

V Ajpesu so danes za STA pojasnili, da po zagotovilih avtorjev omenjene podpisne komponente v primeru uporabe HTTPS-povezave med Ajpesovim strežnikom in uporabnikom, ki izvaja elektronski podpis, zloraba e-podpisa ni mogoča. V primeru uporabe HTTP-povezave pa zelo majhna možnost obstaja, vendar pa bi pri tem napadalec moral izvesti celo vrsto povezanih aktivnosti, in to v času, ko se uporabnik odloči, da bi oddal nek dokument.

"Verjetnost izvedbe takega postopka pri uporabniku je zelo majhna, še manjša je verjetnost, da bi se isti postopek lahko izvedel pri več uporabnikih. Ne glede na navedeno je mogoče na Ajpesu spremenjeno datoteko prepoznati, saj ni enaka originalu, ki je shranjen na sistemih Ajpesa," pojasnjuje vodja službe za informacijsko tehnologijo v Ajpesu Marjan Babič.

Dodal je še, da so po posvetu z zunanjim izvajalcem kot preventivni ukrep vzpostavili varnejšo HTTPS-povezavo za celoten portal. Od vzpostavitve novega portala v januarju do 27. februarja so imeli namreč začasno še vzpostavljen mešan model, podobno kot na starem portalu, kjer se je del prometa odvijal po HTTPS-, del pa po HTTP-povezavah. Ta korak je sicer bil prvotno predviden za 6. marec, ko je predvidena tudi menjava kvalificiranega digitalnega potrdila strežnika.

Poleg tega so že preverili nekaj skupin dokumentov, pri čemer so bile vsebine teh pravilne, e-podpisi pa ustrezni. S pregledi bodo nadaljevali, ocenjujejo pa, da neustrezno podpisanih dokumentov ni.


AJPES trdi, da je podpisno komponento in konfiguracijsko datoteko za izvedbo podpisa zdaj pa zares začel servirati preko HTTPS. To drži. Vendar pa pri tem še vedno uporablja stare šifrirne algoritme, svoj strežnik pa identificira s samopodpisanimi certifikati. Posledično njihova stran ni nič bolj varna kot prej. Pravzaprav je sploh ni mogoče obiskati, ne da bi brskalnik eksplodiral z opozorilom, da je nekaj hudo narobe. Njihov ukrep je tako očitno brez vsake praktične vrednosti. Vsakdo, ki je bil sposoben narediti MITM napad zoper nešifirano povezavo, lahko še vedno naredi isti napad tudi zoper strežnik s takšnimi certifikati. Preprosto si jih izda sam, kajti za brskalnik bo zgledalo povsem isto.

Odgovor AJPES prav tako izkazuje nov primer popolne ignorance in zavajanja (ali pa morda kar direktnega laganja), saj ni povsem jasno, kako naj bi prehod na HTTPS povezavo obvaroval uporabnike, ko pa ima komponenta uporabljen "stackoverflow" primer izklopa preverjanja veljavnosti strežniških potrdil in tako omogoča prestrezanje in popravljanje povezav enako, kot če varni način sploh ne bi bil uporabljen (za odkritje se zahvaljujemo bralcu v izvirni temi).

if (useSSL.booleanValue()) {
    HostnameVerifier allHostsValid = new HostnameVerifier(){

        @Override
        public boolean verify(String hostname, SSLSession session) {
            return true;
        }
    };
    HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid);
    con = (HttpsURLConnection)url.openConnection();
} else {
    con = (HttpURLConnection)url.openConnection();
}


AJPES je pač mojster navajanja "alternativnih dejstev". Če jim ena resnica ni všeč, pač predstavijo svojo.

Ampak to niti ni bistveno. AJPES ni prav v ničemer spremenil samega procesa podpisovanja. Tako še vedno datoteko z navodili kodirajo s simetričnim ključem, kar ne zagotavlja nobene integritete. Na ta način naključnemu napadalcu še vedno omogočajo, da ničhudegaslutečemu uporabniku podtakne v podpis datoteko, ki je morda ne želi podpisati ter hkrati specificira naslov, kamor želi, da se podpisana datoteka pošlje. Uporabnik prav tako še vedno dejansko ne ve, kaj točno podpisuje.

Če bi AJPES kaj dal na varnost, bi si najprej kupili pošten certifikat za svojo spletno stran. Potem bi javni del spletišča ločil od zasebnega, preko katerega se oddajajo razna poročila in drugi dokumenti. Tam bi dodali dvofaktorsko avtentikacijo in vključili kakšno osnovno preverjanje, npr. csrf in xss filter. Za samo podpisovanje bi uporabili brskalnikov lastni API ali vsaj kakšno varnostno preverjeno komponento.

Odgovor predstavnikov Agencije ponovno dokazuje, da jim je popolnoma vseeno za varnost njihovih uporabnikov, saj so mnenja, da dokler lažno podpisani dokumenti niso pristali v njihovem informacijskem sistemu, to ne predstavlja težave. Da se podpisna komponenta obnaša kot učbeniški primer "malware"-a tako, da komurkoli omogoča, da ustvari veljavno .mdsign datoteko v kateri specificira kaj naj se podpiše in kam naj se podpisana vsebina naloži za AJPES očitno ni težava (dokler se tako podpisana vsebina ne nalaga k njim).

Prav tako predstavlja pesek v oči izjava, da AJPES preverja veljavnost podpisov v svojem informacijskem sistemu. Kot je razvidno iz objave, sama veljavnost ni bila nikoli vprašljiva (kar je pravzaprav problem). Problem predstavlja dejstvo, da se ponekod namesto vsebine dokumenta podpisuje samo enolični identifikator dokumenta (sicer veljavno) ter da uporabnik nikoli ne ve, kaj pravzaprav podpisuje (in komu) -- 2. odstavek 37. člena ZEPEP.

76 komentarjev

«
1
2

cegu ::

Tako kot grem jaz na banko narediti polog, nakar mi bančni uslužbenec reče, naj podpišem na tablico. Na tablici ni nikjer zabeleženo kaj podpisujem, samo en kvadrat, kjer ustvarim eno kraco, ki ni ničemur podobna.

Ker ne vem, kaj podpisujem in moram zaupati bančnemu uslužbencu, zadnje čase delam samo še ikse. Nikomu ništa.

čuhalev ::

cegu je izjavil:

Tako kot grem jaz na banko narediti polog, nakar mi bančni uslužbenec reče, naj podpišem na tablico. Na tablici ni nikjer zabeleženo kaj podpisujem, samo en kvadrat, kjer ustvarim eno kraco, ki ni ničemur podobna.

Ker ne vem, kaj podpisujem in moram zaupati bančnemu uslužbencu, zadnje čase delam samo še ikse. Nikomu ništa.

Nekatere tablice v bankah pokažejo dokument, vendar ko sem si ga želel povečati sem od uslužbenke slišal opazke, če sem slučajno deformiran zaradi uporabe tablice. Če ne bi takrat zaprl računa, bi ga pa naslednji dan. Ne moreš se tega tako iti.

čuhalev ::


To je verjetno Marjan, že kar v letih.

Zgodovina sprememb…

  • zavaroval slike: Primoz ()

technolog ::

A lahko izvemo, kdo se te nekompetentni luzerji, ki stojijo za tehnološko izvedbo tega projekta?

drola ::

https://drola.si

OK.d ::

In njihove reference;
LPOK.d

Zgodovina sprememb…

  • zavaroval slike: Primoz ()

matijadmin ::

cegu je izjavil:

Tako kot grem jaz na banko narediti polog, nakar mi bančni uslužbenec reče, naj podpišem na tablico. Na tablici ni nikjer zabeleženo kaj podpisujem, samo en kvadrat, kjer ustvarim eno kraco, ki ni ničemur podobna.

Ker ne vem, kaj podpisujem in moram zaupati bančnemu uslužbencu, zadnje čase delam samo še ikse. Nikomu ništa.

To ni el. podpis. Je ročni, le digitalno/el. zajet. Mnogi to in/ali skeniran faksimile zamenjujejo za e-podpis.
Vrnite nam techno!

Cowboy6 ::

Zaradi narave dela sem v nekdanji službi imel kratko interakcijo z gospodom Babičem. Takoj sem opazil, da ima gospod zelo visok ego in posledično ta vpliva na delo ekipe.
Tukaj naj bi bil moj podpis.

MisterR ::

Podpise na tablicah se je že izpodbijalo na sodiščih, kjer so preverjali "ugotavljanje istovetnosti pisave", ker tista kraca ni ničemu podobna. Niti najmanj.
Še slabše je pri Pošti slovenije, kjer uporabljajo telefone in se gor s prstom podpišeš. Kaj jim tisti podpis pomeni v primeru pritožbe si ne znam predstavljati.

Ahim ::

Kot sem napisal ze v sorodni temi nedolgo nazaj - skrajni cas je, da nesposobna golazen v nasi JU za svojo neumnost odgovarja.

Tisti, ki je podpisan pod prevzem projekta, bi moral odgovarjati premozenjsko (kolikor pac stane izvedba vseh potrebnih popravkov), plus knjizica v zahvalo, pa naj se s svojim "znanjem" znajde v privatnem sektorju (kakor se mora vecina drzavljanov).

war-dog ::

Po mojem mnenju bi moral odgovorni odstopit s položaja, ampak ker smo v Sloveniji se le-to ne bo zgodilo.

Pri nas je vedno tako, da mora nekdo umret, preden postavijo prometni znak/asfaltirajo odsek. Opozorila pred tem, se odlašajo z izgovorom da "ni denarja".

In nekako isto se dogaja tudi v tem primeru. Očitno je treba spletno stran popolnoma razsut, preden se bodo zavedali česarkoli.
Object reference not set to an instance of an object.

matti ::

Ajpes je že šel v konkretno PR ofenzivo. Kakopak, njihovih težav v intervjuju ne omenjajo niti z besedico:

http://www.tax-fin-lex.si/Publikacije/T...

dronyx ::

war-dog je izjavil:

Pri nas je vedno tako, da mora nekdo umret, preden postavijo prometni znak/asfaltirajo odsek. Opozorila pred tem, se odlašajo z izgovorom da "ni denarja".

Oziroma če karikiramo Ajpesov primer odgovorijo, da so na železnici že ustrezno prenovili prometno signalizacijo in je problem tako rešen.

bbbbbb2015 ::

matti je izjavil:

Ajpes je že šel v konkretno PR ofenzivo. Kakopak, njihovih težav v intervjuju ne omenjajo niti z besedico:

http://www.tax-fin-lex.si/Publikacije/T...


No, bomo videli. Ne vem točno, kako se je nekdo obesil glih na AJPES, očitno pa je, da težav ne zmorejo odpraviti.
Ne samo SQL injection, tudi podpisovanja.
Zdaj da se ena direktorica intervjuva, to seveda še nič ne pomeni.

Njihove težave se bodo, po moje, stopnjevale. Kar je sicer prav, ker če ne delajo dobro, se bo to prejkoslej zataknilo nekje/nekomu.

MisterR ::

matti je izjavil:

Ajpes je že šel v konkretno PR ofenzivo. Kakopak, njihovih težav v intervjuju ne omenjajo niti z besedico:

http://www.tax-fin-lex.si/Publikacije/T...


Ta članek ima s to novico toliko skupnega kot random članek iz google news.

poweroff ::

PR članek po mojem mnenju.

Glede tega, da so zavezani dajanju podatkov, pa lahko RTV Slovenija marsikaj pove. Pa tudi Urad za preprečevanje pranja denarja...
sudo poweroff

Invictus ::

Ah, na koncu bo kot ponavadi...

Trese se gora, rodi se miš...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

ender ::

drola je izjavil:

http://www.mojdenar.si/
Tem sem že pred leti banal njihov poštni strežnik, ker mi je polnil loge z neprestanim povezovanjem (vsako sekundo se je povezal na naš poštni strežnik, rekel HELO in se odklopil).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

hruske ::

Men je hecn, kako se pri nas ne zna furat PRa. Ni variante da bo kdo priznal napako, in s tem ne mislim krivde, samo napako. Meni je pravzaprav vseeno kdo je zajebal in kaj se z njim zgodi, dokler se stvar korektno in strokovno popravi.

Da pa ti nekdo vztrajno trdi, da se motiš, četudi imaš materialne dokaze (dokumente, fotke, screenshote, PoC, karkoli), je pa pač osebna žalitev in pričakovat je, da užaljenec odreagira.

Tipično dobiš nazaj "Mi nismo nič narobe naredili (+ še par tehnično nemogočih laži), ampak smo pa popravli kar je bilo narobe." Resno, ljudje?
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

opeter ::

Invictus je izjavil:

Ah, na koncu bo kot ponavadi...

Trese se gora, rodi se miš...


Ne, ne. Posledice bodo hujše, dolgoročno.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

Invictus ::

opeter je izjavil:

Invictus je izjavil:

Ah, na koncu bo kot ponavadi...

Trese se gora, rodi se miš...


Ne, ne. Posledice bodo hujše, dolgoročno.

Samo vprašanje za koga ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Shalabajzer ::

http://svet24.si/clanek/novice/slovenij...
Napadalec ni znan, je pa Ajpes 17. februarja že vložil prijavo suma storitve kaznivega dejanja napada na informacijski sistem.


A ovadbo so podali proti sebi? Njihova podpisna komponenta je namreč malware.

3. odstavek 306. člena: Izdelovanje in pridobivanje orožja in pripomočkov, namenjenih za kaznivo dejanje - za vdor ali neupravičen vstop v informacijski sistem.

V podpisni komponenti je backdoor, ki Mac OS uporabnikom shrani certifikat z geslom 1234. Bodo to komentirali? Čene si lahko pač mislimo, da je backdoor narejen z namenom kraje certifikata.

Banke se leta in leta trudijo, da zaščitijo certifikate uporabnikov in jim omogočijo varno e-poslovanje, potem pa AJPES s tako potezo ogrozi varnost vseh uporabnikov.

To je ogrožanje nacionalne varnosti, povzročanje splošne nevarnosti, malomarnost in nesposobnost.

Hvala AJPES, ker so zaradi vas banking trojanci toliko bolj uspešni.

usoban ::

Kak veselo pizdakate nad nesposobnostjo JU, medtem ko komponente istega avtorja uporablja cel spisek privatnih firm (iz zgornjega spiska vsaj Banka Koper in Unicredit) :D

Jasno da so odgovorni in bi morali reagirat drugace. Tukaj ni opravicila. Ne razumem pa masturbiranja na vsako novico ki ima veze z JU in trditev da se to ne bi zgodilo ce bi slo za privat firmo :D

Zgodovina sprememb…

  • spremenil: usoban ()

technolog ::

Večina podjetij je državnih, ali pa v sodržavni lasti. Je pa tud razlika, a so za njih delal webpage ali pa intranet, ali pa mogoče najbolj kritični sistem v državi (AJPES).

gruntfürmich ::

čisto pričakovan odziv.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

vostok_1 ::

Da javna uprava zbira taka podjetja je jasno...imajo notri nekoga njihovega.

To je korupcija+nesposobnost.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

čuhalev ::

usoban je izjavil:

Kak veselo pizdakate nad nesposobnostjo JU, medtem ko komponente istega avtorja uporablja cel spisek privatnih firm (iz zgornjega spiska vsaj Banka Koper in Unicredit) :D

Piše še, ampak se ne uporablja.

dronyx ::

Mogoče jaz problem narobe razumem, ampak po moje podpisna komponenta firme Mojdenar IT d.o.o. ni nekaj, kar bi bilo posebej razvito za Ajpes, ampak gre za produkt podjetja, ki ga uporabljajo tudi drugi. Podobno velja za podpisno komponento ProXsign firme Settce. Če to drži, potem bi morala biti v zvezi s problemom podpisne komponente firma Mojdenar d.o.o. tista, ki bi argumentirano zavrgla navedbe v članku, ali pa napako priznala in poskušala čim prej zadevo popraviti ter seveda o tem obvestiti tudi vse druge njihove uporabnike te iste podpisne komponente. Se pa seveda lahko motim in je bilo to narejeno posebej za Ajpes (ali kako drugače prilagojeno). Trg "podpisnih komponent" je eden najbolj živahnih na področju IT pri nas. :)

Zgodovina sprememb…

  • spremenil: dronyx ()

cegu ::

matijadmin je izjavil:

cegu je izjavil:

Tako kot grem jaz na banko narediti polog, nakar mi bančni uslužbenec reče, naj podpišem na tablico. Na tablici ni nikjer zabeleženo kaj podpisujem, samo en kvadrat, kjer ustvarim eno kraco, ki ni ničemur podobna.

Ker ne vem, kaj podpisujem in moram zaupati bančnemu uslužbencu, zadnje čase delam samo še ikse. Nikomu ništa.

To ni el. podpis. Je ročni, le digitalno/el. zajet. Mnogi to in/ali skeniran faksimile zamenjujejo za e-podpis.


Naslednji teden grem v Delft predstavit potencialno rešitev za ta problem. Se lahko pridružiš, pa še kakšno rečeva :)

matijadmin ::

Smo imeli tudi prevare na račun te blodnje. Dr. Nina Plavšak je skupaj s sodniki vztrajala, da se v insolvenčnem/izvršilnem postopku v sodna pisanja ob čisto pravem el. podpisu s kvalificiranim dig. potrdilom za 'dodatno varnost' na pisanja doda še faksimile sodnika. Sodniki in verjetno tudi velik del laične javnosti so zaradi tega vnašanja zmede verjeli, da je tisti faksimile el. podpis. Neki iznajdljivi prevaranti pa so zelo enostavno ponaredili sklep v namišljenem izvršilnem postopku zoper zelo solventno podjetje. Banka jim je kakopak prenakazala denar brez, da bi zahtevala ta dokument v el. obliki, da bi preverili, če je el. podpisan. :))
Vrnite nam techno!

cegu ::

matijadmin je izjavil:

Smo imeli tudi prevare na račun te blodnje. Dr. Nina Plavšak je skupaj s sodniki vztrajala, da se v insolvenčnem/izvršilnem postopku v sodna pisanja ob čisto pravem el. podpisu s kvalificiranim dig. potrdilom za 'dodatno varnost' na pisanja doda še faksimile sodnika. Sodniki in verjetno tudi velik del laične javnosti so zaradi tega vnašanja zmede verjeli, da je tisti faksimile el. podpis. Neki iznajdljivi prevaranti pa so zelo enostavno ponaredili sklep v namišljenem izvršilnem postopku zoper zelo solventno podjetje. Banka jim je kakopak prenakazala denar brez, da bi zahtevala ta dokument v el. obliki, da bi preverili, če je el. podpisan. :))



Zanimivo, kje ste to imeli? Jaz sem imel velike težave definirati ta problem v praksi, brez da bi se inkriminiral, zato sem uporabljal le dokumente izdane s strani fakultete, da imam vsaj nekaj velikega brata za mano, če se vame vtakne policija (ki se sicer je...).

Če si kje z Gorenjske ali Ljubljane, si mogoče za kavo, preden grem gor? Nekaj pravne podlage sem za ta problem dobil od notarjev, vendar nič preveč oprijemljivega.

crniangeo ::

zdej pa bojo setcce prevzel posle ;)
Convictions are more dangerous foes of truth than lies.

chort ::

crniangeo je izjavil:

zdej pa bojo setcce prevzel posle ;)

Z dežja pod kap. Ko sem nazadnje inštaliral ProXSign (predvidevam da enkrat marca lani zaradi poročanja s.p.) zadnja verzija sploh ni delovala, in sem moral po strani od Setcce iskat starejšo verzijo. Čez mesec dni sem enako moral naredit še tašči, torej vmes napake niso popravili. Meni ni problem, verjamem pa da marsikomu drugemu je in to ne majhen, uporaba polizdelka pa za določen del prebivalstva (ki ni nujno računalniško vešč) obvezna. Šlamparija skratka. Upam, da so z varnostnega vidika kej boljši.

crniangeo ::

chort je izjavil:

crniangeo je izjavil:

zdej pa bojo setcce prevzel posle ;)

Z dežja pod kap. Ko sem nazadnje inštaliral ProXSign (predvidevam da enkrat marca lani zaradi poročanja s.p.) zadnja verzija sploh ni delovala, in sem moral po strani od Setcce iskat starejšo verzijo. Čez mesec dni sem enako moral naredit še tašči, torej vmes napake niso popravili. Meni ni problem, verjamem pa da marsikomu drugemu je in to ne majhen, uporaba polizdelka pa za določen del prebivalstva (ki ni nujno računalniško vešč) obvezna. Šlamparija skratka. Upam, da so z varnostnega vidika kej boljši.

Slednje ni bila teažava setcceja ampak JU, ker se ni znal prilagodit novitetam. In ja vem kaj misliš, sem tudi sam znorel ob tem :)
Convictions are more dangerous foes of truth than lies.

chort ::

Aha, potem se posipam s pepelom 8-).
Bi pa bil enotni spletni prostor za vse e-storitve precejšnja pridobitev za državljane. Seveda v odprtokodni varianti in v lasti naročnika (države), da se lahko pregleda kodo in pa tudi da se nesposobnega izvajalca lahko nogira brez pretresov za vzdrževanje infrastrukture.

crniangeo ::

chort je izjavil:

Aha, potem se posipam s pepelom 8-).
Bi pa bil enotni spletni prostor za vse e-storitve precejšnja pridobitev za državljane. Seveda v odprtokodni varianti in v lasti naročnika (države), da se lahko pregleda kodo in pa tudi da se nesposobnega izvajalca lahko nogira brez pretresov za vzdrževanje infrastrukture.

V glavnem sledeče je šlo za problem ker je google chrome nehal podpirati npapi plugine, setcce se je odzval tako, da je izdal podpisno komponento 2.0.1, ki jo je bilo potrebno imeti zagnano, da si lahko podpisoval vse potrebno od edavkov dalje.
Spletne strani zal niso bile azurne in tudi serverski del ni bil pravilno urejen. Tako da je v tem primeru vse zabluzilo. Rešitev je bila le neka .msi instalacija in starejsa verzija ff.
Žalostno, vendar resnično..

Kar se tiče odprte kode. Verjamem, da to ni nobenemu v interesu, ker ne glede na vse kakšen strokovnjak si, je vedno na netu nekdo ki je glede določenih zadev boljši od tebe.
Konec koncev, slovenci nismo zaman svetovni prvaki v pljuvanju ;)
Convictions are more dangerous foes of truth than lies.

ender ::

ProXsign ni nič boljši - sem imel ravno na večih računalnikih problem, da se je posodobil, in začel težit, da se namesti neko digitalno potrdilo (kar pa mu nikakor ni uspelo, zato je težil ob vsakem zagonu). Rešitev je bila, da se odstrani, namesti verzija iz si-ca in pusti da se le-ta nadgradi. Moram pa še pogledat, kaj ta nameščeni certifikat omogoča (verjetno tudi MITM).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

matijadmin ::

cegu je izjavil:

matijadmin je izjavil:

Smo imeli tudi prevare na račun te blodnje. Dr. Nina Plavšak je skupaj s sodniki vztrajala, da se v insolvenčnem/izvršilnem postopku v sodna pisanja ob čisto pravem el. podpisu s kvalificiranim dig. potrdilom za 'dodatno varnost' na pisanja doda še faksimile sodnika. Sodniki in verjetno tudi velik del laične javnosti so zaradi tega vnašanja zmede verjeli, da je tisti faksimile el. podpis. Neki iznajdljivi prevaranti pa so zelo enostavno ponaredili sklep v namišljenem izvršilnem postopku zoper zelo solventno podjetje. Banka jim je kakopak prenakazala denar brez, da bi zahtevala ta dokument v el. obliki, da bi preverili, če je el. podpisan. :))



Zanimivo, kje ste to imeli? Jaz sem imel velike težave definirati ta problem v praksi, brez da bi se inkriminiral, zato sem uporabljal le dokumente izdane s strani fakultete, da imam vsaj nekaj velikega brata za mano, če se vame vtakne policija (ki se sicer je...).

Če si kje z Gorenjske ali Ljubljane, si mogoče za kavo, preden grem gor? Nekaj pravne podlage sem za ta problem dobil od notarjev, vendar nič preveč oprijemljivega.

Med 2008 in 2010 sem vsaj enkrat sestankoval na nekem kolegiju nekje z dr. Plavšakovo. Več nas je protestiralo nad temi faksimili, če se prav spominjam, in svarili smo, da bodo z njimi povzročili zmedo, da ljudem še bolj ne bo jasno, kaj el. podpis sploh je (čeprav smo že takrat imeli čisto spodoben ZEPEP). Pa smo dobili odgovor, da se sodniki v projektni skupini strinjajo z njo, da faksimile na sodnih pisanjih pomeni dodatno varnost. Potem, ko se je od vseh sodnikov 'pobralo' podpise in jih skeniralo, je večina te faksimile imenovala kar el. podpis ... Vse dokler se ni zgodilo tole: https://www.dnevnik.si/1042373356

Šele potem se je uredilo vročanje bankam in sprejelo vsaj približno ustrezen podzakonski akt, ki to področje ureja, tako da preprečuje zlorabe, ki bi jih mogli in morali tudi brez njega. Banana.
Vrnite nam techno!

Zgodovina sprememb…

Spura ::

chort je izjavil:

Seveda v odprtokodni varianti
Razlog, zakaj podpisovanja ni odprtokodnega, vsaj z moje strani, ni zaradi tega ker se mi ne bi dalo programirat, ampak ker se mi ne da tauhat po zakonodaji (in niti nisem za to usposobljen). Podpisovanje je zelo splosna tehnologija, in ponavadi so potem v praksi podane neke specifike, ki pa so v vsaki drzavi, vasi in hlevu drugacne. To podpisovanje slovenskih dokumentov je drugace, kot pa podpisovanje binaryev od ubuntu paketov, recimo.

Na podlagi potreb po specificnih implementacijah pa potem razne firme sluzijo, in zato zivahen trg. Ista fora kot vsak software, ki se pribliza cemurkoli povezanim z upravo, zdravstvom, zdravili, igralnistvom, davki in carinami. Raj za software po narocilu.

Zgodovina sprememb…

  • spremenil: Spura ()

figura ::

OK, meni tukaj sedaj nekaj ni jasno, če bi bilo kar koli narobe z SSL povezavo na Ajpesu bi mi moral brskalnik zajamrati? CROME in FF oba javita varno povezavo. Sem sedaj probal na oddaji obrazcev za Plače. kako naj potem mi navadni uporabniki vemo, da je varna povezava na kateri koli strani, če brskalnik ne javi napake?

aja, pa da ne bo SLO-TECH.com preveč pameten, pri njih pa brskalniki veselo javljajo, da povezava ni varna(:D
lp
martin

ender ::

figura: če ti na ajpesu ne javlja, da povezava ni zasebna pomeni, da imaš nameščen sigen-ca certifikat (kar pomeni, da ti lahko država dela MITM napade); če ti na slo-techu javlja napako, imaš pa nekaj narobe konfigurirano (najpogosteje je problem napačen datum).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Spura ::

Za slo-tech jamra ker niso cisto vse stvari na strani preko https. Specificno, vcasih vidim kak imgur sliko k se loada preko http. To je vecino user content in pa reklame.

Kar se pa ajpesa tice, so pa ze vceraj zaceli dodajati https. Tvoj browser pravi da je ok povezava do njihove strani, ampak govora je bilo o povezavi, ki jo plugin uporablja. Ta ni bila https in tudi ce bi bila, je plugin sprejemal vse certe. Mesas hruske pa jabolke.

P.S. lepo bi blo preverit, ce se da MITM downgradeat njihov https na kako crap sifro ala RC4, ali pa downgradeat na SSLv1 ali pa celo na nesifrirano

Zgodovina sprememb…

  • spremenil: Spura ()

drola ::

HTTPS report www.ajpes.si

https://drola.si

Zgodovina sprememb…

  • zavaroval slike: Primoz ()

AndrejO ::

matijadmin je izjavil:

Smo imeli tudi prevare na račun te blodnje. Dr. Nina Plavšak je skupaj s sodniki vztrajala, da se v insolvenčnem/izvršilnem postopku v sodna pisanja ob čisto pravem el. podpisu s kvalificiranim dig. potrdilom za 'dodatno varnost' na pisanja doda še faksimile sodnika. Sodniki in verjetno tudi velik del laične javnosti so zaradi tega vnašanja zmede verjeli, da je tisti faksimile el. podpis. Neki iznajdljivi prevaranti pa so zelo enostavno ponaredili sklep v namišljenem izvršilnem postopku zoper zelo solventno podjetje. Banka jim je kakopak prenakazala denar brez, da bi zahtevala ta dokument v el. obliki, da bi preverili, če je el. podpisan. :))

To mi zveni kot, da so popolnoma napačno aplicirali ZVDAGA tam, kjer bi morali aplicirati ZEPEP.

Npr. to, kar počno TS in morda še kdo na okencih s tablicami, je (še vedno nepravilno izpeljan) postopek po ZVDAGA, kjer se govori o ukinitvi papirja na relaciji "papirnat obrazec" -> scan v dokumentni sistem -> shredder. Torej se ne gre za e-podpis (čeprav se ga tako reklamira in dela katastrovalno zmedo), teveč za "skeniranje" dokumenta za digitalno hrambo. Dejansko šifriranje se tako aplicira zgolj na sliko/posnetek/faksimile dokumenta in to zgolj z namenom zagotavljanja, da dokument v hrambi ni bil spremenjen.

Seveda pa ZVDAGA molči o prenosu dokumentov v in iz sistema. Izgleda, da je ta Dr. Nina to popolnoma spregledala in iz vsega skupaj naredila en velik drek.

In ja ... da se temu skniranju podpisa za potrebe poslovanja brez papirja reče "e-podpis" je perverzija, da oseba ne vidi (ali pa ni videla) kaj sploh podpisuje, pa verjetno napačna implementacija, če pomislim kaj je meni znanega o OZ in ZVDAGA.

poweroff ::

figura je izjavil:

aja, pa da ne bo SLO-TECH.com preveč pameten, pri njih pa brskalniki veselo javljajo, da povezava ni varna(:D
lp
martin

Kaj točno javljajo?

Mogoče "deli strani niso varni"? Pri Ajpesu je vrsta ne-varnosti povsem druga. Poglej SSL test.
sudo poweroff

MisterR ::

m.st.si ?

jukoz ::

poweroff je izjavil:

figura je izjavil:

aja, pa da ne bo SLO-TECH.com preveč pameten, pri njih pa brskalniki veselo javljajo, da povezava ni varna(:D
lp
martin

Kaj točno javljajo?

Mogoče "deli strani niso varni"? Pri Ajpesu je vrsta ne-varnosti povsem druga. Poglej SSL test.


Po SSL testu, ki ga je linkal drola, dobi AJPESov stran B, če ignoriraš "Trust issues" - če torej ignoriraš dejstvo da tale test ne zaupa sigen-ca certom.

čuhalev ::

MisterR je izjavil:

m.st.si ?

++5

https://m.st.si/

cegu ::

matijadmin je izjavil:

cegu je izjavil:

matijadmin je izjavil:

Smo imeli tudi prevare na račun te blodnje. Dr. Nina Plavšak je skupaj s sodniki vztrajala, da se v insolvenčnem/izvršilnem postopku v sodna pisanja ob čisto pravem el. podpisu s kvalificiranim dig. potrdilom za 'dodatno varnost' na pisanja doda še faksimile sodnika. Sodniki in verjetno tudi velik del laične javnosti so zaradi tega vnašanja zmede verjeli, da je tisti faksimile el. podpis. Neki iznajdljivi prevaranti pa so zelo enostavno ponaredili sklep v namišljenem izvršilnem postopku zoper zelo solventno podjetje. Banka jim je kakopak prenakazala denar brez, da bi zahtevala ta dokument v el. obliki, da bi preverili, če je el. podpisan. :))



Zanimivo, kje ste to imeli? Jaz sem imel velike težave definirati ta problem v praksi, brez da bi se inkriminiral, zato sem uporabljal le dokumente izdane s strani fakultete, da imam vsaj nekaj velikega brata za mano, če se vame vtakne policija (ki se sicer je...).

Če si kje z Gorenjske ali Ljubljane, si mogoče za kavo, preden grem gor? Nekaj pravne podlage sem za ta problem dobil od notarjev, vendar nič preveč oprijemljivega.

Med 2008 in 2010 sem vsaj enkrat sestankoval na nekem kolegiju nekje z dr. Plavšakovo. Več nas je protestiralo nad temi faksimili, če se prav spominjam, in svarili smo, da bodo z njimi povzročili zmedo, da ljudem še bolj ne bo jasno, kaj el. podpis sploh je (čeprav smo že takrat imeli čisto spodoben ZEPEP). Pa smo dobili odgovor, da se sodniki v projektni skupini strinjajo z njo, da faksimile na sodnih pisanjih pomeni dodatno varnost. Potem, ko se je od vseh sodnikov 'pobralo' podpise in jih skeniralo, je večina te faksimile imenovala kar el. podpis ... Vse dokler se ni zgodilo tole: https://www.dnevnik.si/1042373356

Šele potem se je uredilo vročanje bankam in sprejelo vsaj približno ustrezen podzakonski akt, ki to področje ureja, tako da preprečuje zlorabe, ki bi jih mogli in morali tudi brez njega. Banana.


Hvala ti za tole. Imam vsaj nekaj bolj oprijemljivega, da ta problem obstaja, mogoče mi pa vseeno uspe prepričati kakšno podjetje v močno a trivialno rešitev teh faksimilov.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181548 (64102) jukoz
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432496 (22803) Furbo
»

AJPES-ova alternativna dejstva (strani: 1 2 )

Oddelek: Novice / Varnost
7628306 (20576)          
»

Storitve E-uprave

Oddelek: Programska oprema
137279 (6954) qwzyx

Več podobnih tem