» »

UKC Ljubljana kot nova slovenska potemkinova vas za blagor naroda

UKC Ljubljana kot nova slovenska potemkinova vas za blagor naroda

Varnost celo pod nivojem e-davkov

Slo-Tech - Velik del zdravniške dokumentacije UKC Ljubljana, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov, je bil prosto dostopen na spletu.

To smo razkrili na Slo-tech pred slabima dvema tednoma. Problem je bil v nekriptiranem vmesniku za naročanje obiskov zdravstvenih ustanov na spletnih straneh UKC LJ http://napotnica.kclj.si/. Po dveh tednih čakanja pa je menda Univerzitetni klinični center v zadnjih dneh pomanjkljivost odpravil. Vsaj tako pravijo sami.


Teater Najboljši smo!

In kaj so pri največji zdravstveni ustanovi v državi storili, da podatki njihovih pacientov ne bi bili več prosto dostopni na spletu? So postavili nepremagljiv firewall ki bo branil zasebnost Slovencev pred ruskimi hekerji in ameriškimi in britanskimi špijuni? Ne, edina sprememba, ki so jo naredili, je da nekateri spletni brskalniki sedaj prikazuje ključavnico pri imenu strani.

Posodobljena spletna stran je tako sedaj glede na javno dostopne podatke po zagotovljenem varnostnem nivoju celo pod nivojem e-davkov Finančne uprave Republike Slovenije, kar o trudu, ki ga je v nadgradnjo vložil upravljavec, zagotovo pove veliko.

Bla, bla, bla ... DEJSTVA

Pa ne verjamite nam na besedo, poglejmo, kaj kažejo rezultati testa varnosti SSL. Ta kaže, da ima UKC na strani z napotnicami vključeno možnost povezovanja preko protokola SSL3, ki je vsaj od leta 2015 popolnoma razbit. Prav tako spletna stran ne podpira novejših protokolov kot npr. TLS 1.2. Spletna stran tudi privzeto šifrira promet z algoritmom RC4, ki je že vsaj od leta 2013 pretežno razbit.

Pri vsem skupaj je zanimivo tudi, da spletna stran teče na strežniku Apache verzije 2.2.16 (Debian). Glede na podatke Debianovega sistema za upravljanje paketkov, je bila zadnja verzija operacijskega sistema, ki je vsebovala to verzijo spletnega strežnika, squeeze, za katerega od februarja 2016 (dobro leto torej), ni več varnostnih posodobitev.

Vsekakor vzpodbuden korak naprej, pa čeprav glede na zadnje dogodke v zvezi s ponudnikom certifikatov, ki ga uporablja UKC, rešitev ni ravno dolgoročna.

30 komentarjev

nekikr ::

Vse super ampak na žalost....

 .

.

SeMiNeSanja ::

Jah no, kaj bi pa rad? Fantje se še učijo :P

Saj veš tisto "korak po korak se daleč pride".

Čakaj in se čudi!

zmaugy ::

To je vse del našega naj naj zdravstvenega sistema.

no comment ::

zmaugy je izjavil:

To je vse del našega naj naj zdravstvenega sistema.

Drži. Ampak problem izvira iz IT-ja te države.

čuhalev ::

Še dobro, da je večina kartotek papiranih in si ga morajo službe med sabo zapečateno pošiljati. ;)

konspirator ::

ssllabs rezultat:
https://www.ssllabs.com/ssltest/analyze...

Z uporabo SSL 3 v 2017 se prav trudijo izpasti neumni, kar jim odlično uspeva.
--

poweroff ::

Drugače sem jaz točno vedel kaj se bo zgodilo, ko sem napisal prvi članek. Uvedli bodo HTTPs, ampak totalno šalabajzarsko.

Zdaj bodo rabili še ene 2 kroga, da zadevo pravilno implementirajo. Nakar se bo našlo kaj drugega.

Ena opcija je, da se sistem stalno popravlja. Druga je pa, da se razmisli in vse skupaj postavi na drugačne temelje.
sudo poweroff

konspirator ::

Kdo ureja IT del za UKC ?
Če imajo zunanje, potem je možno, da namensko počno tako, kajti z vsakim aneksom/dodatkom dobijo ekstra $$$.Ovce je treba ostriči do konca :)).
--

PaX_MaN ::

Nakar se bo našlo kaj drugega.

1.) Samo na ginekološko se lahko prijaviš?
2.) Zgleda kot da, ko izbiraš kliniko/oddelek/ambulanto, preko AJAX ... nekam (zejn.si? Sreča da vsaj dela.) ... pošljejo celotno formo z vsemi že vpisanimi podatki...

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

globoko grlo ::

In kako zdej pogledam kartoteko od, recimo, cmerarja?
Gigabyte B460M DS3H | I5 - 10400F | 16GB | 6700XT | P2 m.2 500GB

Horejšio ::

V apache so fantje pozabili dat na black listo stare protokole. Nima to veze z verzijo OS.

Zgodovina sprememb…

  • spremenilo: Horejšio ()

Horejšio ::

"Zdaj bodo rabili še ene 2 kroga, da zadevo pravilno implementirajo. Nakar se bo našlo kaj drugega."

Tako to gre :)

poweroff ::

Apache je očitno neposodobljen. Vprašanje je ali so posodobljene ostale knjižnice. Certi so veljavni 5 let... to lepo kaže na mindset. Zadeva je postavljena na mail.zejn.si. Gor dejansko teče mail server... in to ranljiv, na starem Debianu. Dafuq?

Pa configa od Apacheja očitno ne znajo spisat.

Ne vem, no. Meni tole ne deluje resno.
sudo poweroff

SimplyMiha ::

Tako pač je, ko izberejo najugodnejšega IT izvajalca. In ko jih tepe po glavi, se vendarle odločijo najeti nekoga ki se spozna, pol pa debelo buljijo vanj, rekoč "Ali res ne gre brez resetiranja strežnikov?", pol pa je ta prisiljen narediti neke alternativne rešitve... Šala na bajzer šalabajzerstvo.

Zgodovina sprememb…

aerie ::

Itak v sredini aprila zaživi e-napotnica in nima smisla zapravljati denarja za izboljšanje te strani. In etični raziskovalci si boste tako lahko naprej povečevali e-penis tule: https://narocanje.ezdrav.si/
Glavni akterji so naši južni sosedje, ki imajo baje v zdravstvu že od januarja letos vse na e.

Zgodovina sprememb…

  • spremenila: aerie ()

poweroff ::

Itak šalabajzerija: https://www.ssllabs.com/ssltest/analyze...

Pa porkaduš a je tolk težko ene sodobne default nastavitve uporabit?
sudo poweroff

čuhalev ::

Rabijo izgovore za novo opremo.

SimplyMiha ::

aerie je izjavil:

Itak v sredini aprila zaživi e-napotnica in nima smisla zapravljati denarja za izboljšanje te strani. In etični raziskovalci si boste tako lahko naprej povečevali e-penis tule: https://narocanje.ezdrav.si/
Glavni akterji so naši južni sosedje, ki imajo baje v zdravstvu že od januarja letos vse na e.

Verjel bom takrat, ko bom uspešno uporabil to storitev. Doslej mi še ni uspelo (sistem delno deluje). Naj bi ga polno usposobili takoj, ko usposobijo portal zVEM, ta pa... Eh. Sanjamo lahko, mar ne?

Mandi ::

Če bi to bile kakšne resne pomanjkljivosti, bi jih regulator gotovo že oglobil.

SimplyMiha ::

Čakaj, regulatorja imamo?

Horejšio ::

Zdaj pa ne vem, je problem v zaposlenih tam, al v novejši distibuciji ?

SimplyMiha ::

Po mojem je bolj problem v manjku iniciative. Se ne zganejo, ker ne vidijo oz. zavedajo potrebe po izboljšavah. Sploh ko vodstvo v vsem vidi stroške, pa se zaposleni bojijo predlagati karkoli kar ni nujno...

poweroff ::

Mandi je izjavil:

Če bi to bile kakšne resne pomanjkljivosti, bi jih regulator gotovo že oglobil.

Če sem prav zasledil, so zaradi HTTP prti njim uvedli nov postopek.
HTTPS je prišel ven šele danes. Dajmo IP-RS čas...
sudo poweroff

Markoff ::

globoko grlo je izjavil:

In kako zdej pogledam kartoteko od, recimo, cmerarja?

Njegovo diagnozo lahko postaviš vsakič, ko stopi pred kamero in odpre usta. Kaj ti bo kartoteka? :O
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

figura ::

OK, zdej pa meni ni jasno. Sam za moj VPS strežnik uporabljam Cloudlinux + Cpanel in uporabljam prvzeti certifikat od Cpanela za druge strani, glavno domeno imam od Godaddy-a. In za vse skupaj plačam 140 EUR na mesec. in vse domene imajo A+ oznako na testu.
https://www.ssllabs.com/ssltest/analyze...
https://www.ssllabs.com/ssltest/analyze...

A je res tako težko dat enemu kliničnem centru 300 EUR na mesec za en dobr strežnik in uporabiti Cpanel in imeti zadeve pošlihtane

poweroff ::

Pa kakšnih 300 EUR?

Par minut klofanja po tipkovnici, Let's Encrypt pa ustrezen config. Če ne znajo slednjega, lahko uporabijo generator: https://mozilla.github.io/server-side-t...

Meanwhile... https://www.ssllabs.com/ssltest/analyze...
sudo poweroff

Tomi ::

Danes sem bil na sestanku na OI. Čitalci kartic, SSO, domenski uporabniki, primerna strojna oprema, Exchange strežnik. Nekaj, o čemer lahko v UKC samo sanjamo. Sem pa prvič danes v službi prinesel svoj računalnik, ker sem (v mirnem dežurstvu) naredil več stvari, kot bi jih lahko stran od primarnega računalnika. Realnost pomanjkanja vizije in ustreznih sredstev.
metrodusa.blogspot.com

Saul Goodman ::

ranljivost v IIS 6.0 na windows server 2003, za povrh vsega še RCE (https://www.cvedetails.com/cve/CVE-2017...). a bomo mel kmal novo veselico? dvomim, da so že popucal vse 2003 inštalacije. XD v pričakovanju novih člankov..

Zgodovina sprememb…

0patch ::

No, če niso in če ne morejo, lahko CVE-2017-7269 zelo preprosto odpravijo z 0patchem. Smo namreč naredili mikropatch ;)

https://0patch.blogspot.si/2017/03/0pat...

Saul Goodman ::

0patch je izjavil:

No, če niso in če ne morejo, lahko CVE-2017-7269 zelo preprosto odpravijo z 0patchem. Smo namreč naredili mikropatch ;)

https://0patch.blogspot.si/2017/03/0pat...


great stuff!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kardiolog z čimkrajšo vrsto ?? (strani: 1 2 )

Oddelek: Loža
5914721 (2617) mailer
»

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
18341451 (27808) SeMiNeSanja
»

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Oddelek: Novice / Zasebnost
3014061 (11631) ExtraBacon
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13949662 (39799) fujtajksel

Več podobnih tem