» »

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov

vir: Flickr

vir: Washington Post
Slo-Tech - V švicarskem mestu Zug je med drugo svetovno vojno zraslo podjetje Crypto AG, specializirano za šifrirne in dešifrirne napreave. Ugled, ki si ga je pridobilo prek sodelovanja z zavezniki v času svetovnega spopada, je znalo po vojni odlično unovčiti. Do danes je s prodajo v več kot 120 držav sveta na leto zaslužilo milijone. Med njihovimi strankami za nakup naprav, ki so domnevno zagotavljale varno komunikacijo, so bile tudi vladne agencije Irana, Indije, Pakistana, Iraka, Nigerije, Sirije in celo Vatikana. Šlo je za praktično vse pomembnejše države, razen Rusije in Kitajske.

Mnoge od njih se verjetno ne bi odločile za nakup, če bi vedele majhno podrobnost, o kateri se je pisalo in ugibalo že leta, te dni pa so jo dokončno raziskali nemški, ameriški in švicarski novinarji: že od sedemdesetih let prejšnjega stoletja sta bili skriti lastnici Crypto AG obveščevalni družbi ZDA in tedanje Zahodne Nemčije, CIA in BND.

O tem, da gre za podjetje sumljivega porekla, je že leta 2006 v svoji knjigi Nadzor in zasebnost v informacijski družbi pisal varnostni strokovnjak (in zaslužni član Slo-Techa), dr. Matej Kovačič, ki na svojem varnostnem blogu Telefonček opisuje še nekatera druga, s Crypto AG povezana ozadja.

Skratka, šlo je za perfektno zaroto. Podjetje je služilo milijone, obenem pa v šifrirnem sistemu dopuščalo stranka vrata, ki sta jih obe tajni službi s pridom izkoriščali. Lahko sta prisluškovali in se v operacijah, kot sta bili Thesaurus in poznejši Rubicon, informirali o vojaških spopadih, terorističnih napadih, ugrabitvah in drugih zadevah, običajno zagrnjenih v koprene tajnosti. ZDA naj bi na ta način prišle do 40 % vseh obveščevalnih podatkov, ki so jih v tem času pridobile, med drugim tudi v primeru reševanja krize s talci na ambasadi v Teheranu leta 1979. Seveda sta obe agenciji podatke po potrebi delili s partnerskimi državami, v prvi vrsti tistimi, zbrani v organizaciji Five eyes.

Zdaj pa ključno vprašanje, je bila med kupci švicarskih trojanskih konjev tudi naša vlada? Kot pojasnjuje Matej Kovačič, naša zakonodaja zahteva, da se za obravnavo varovanih podatkov lahko uporabljajo samo šifrirne rešitve, ki jih odobri Urad vlade za varovanje tajnih podatkov. Iz njihovega, slabo leto starega dokumenta Seznam odobrenih šifrirnih rešitev je razbral, da so podjetju Crypto AG odobrili uporabo šifrirne rešitve za tajne podatke označene s stopnjo interno. Čeprav gre za najnižjo stopnjo tajnosti, je po njegovem mnenju to nedopustno, saj je sumljivo ozadje Crypto AG poznano že nekaj desetletij. Že pred njim je namreč o povezavah s tajnimi službami leta 1983 pisal James Bamford v knjigi The Puzzle Palace, časopis Baltimore Sun pa je decembra 1995 o tem objavil raziskovalni članek Rigging the Game. Ali, kot pravi Kovačič: "Če si težko predstavljamo, da bi Slovenija kot članica EU in NATO varnostno akreditirala šifrirno rešitev, ki bi jo razvilo podjetje iz Rusije ali Severne Koreje, je povsem na mestu vprašanje, kako to, da je varnostno akreditacijo dobila šifrirna rešitev podjetja, ki je bilo v preteklosti tarča razmeroma dobro utemeljenih obtožb o povezavah z ameriškimi in nemškimi obveščevalnimi agencijami."

Nemčija je iz lastništva Crypta izstopila v devetdesetih letih prejšnjega stoletja, ZDA pa šele leta 2018, ko sta v lastništvo vstopili dve zasebni podjetji, ki danes zagotavljata, da o temačni preteklosti svoje družbe ne vesta ničesar. Švica je o zadevi odprla uradno preiskavo, Cryptu pa začasno preklicala dovoljenje za izvoz, dokler se ne razrešijo vsa odprta vprašanja.

120 komentarjev

«
1
2 3

Apple ::

Nikoli nisem zaupal proizvodom, na katerih je pisalo Swiss made, razen uram in žepnim nožkom :)
LP, Apple

tony1 ::

Ulala, kakšna drama!

Ko gre za kriptografijo eliptičnih krivulj, za katere že od leta 2008 obstaja sum, da so z nenavadnimi konstantami minirane, komunikacijske naprave, ki jih imajo implementirane pa je (in jih še?) uporabljal cel kup naših ministrstev, pa... psi lajajo, karavana pa gre svojo pot?

Utk ::

Ja, nekateri se ubadajo z lovljenjem fotonov z ekrana, ali pa s hw napakami na procesorjih, ki v nekih obskurnih primerih omogočajo premik enga bita, pol sveta pa ima itak master key od vsega. V vsaki temi o varnosti napišem, da je varnost pri računalnikih en larifari. In je čisto vseeno ali googlu dovolim sledenje in imam nekaj od tega, ali mu pa ne, pa bo vse isto, samo da sam ne bom od tega nič imel.

zmaugy ::

Utk je izjavil:

Ja, nekateri se ubadajo z lovljenjem fotonov z ekrana, ali pa s hw napakami na procesorjih, ki v nekih obskurnih primerih omogočajo premik enga bita, pol sveta pa ima itak master key od vsega. V vsaki temi o varnosti napišem, da je varnost pri računalnikih en larifari. In je čisto vseeno ali googlu dovolim sledenje in imam nekaj od tega, ali mu pa ne, pa bo vse isto, samo da sam ne bom od tega nič imel.


S tem se ne strinjam. Za tiste, ki dejansko imajo takšen dostop, kot je opisan v novici, je večina ljudi nepomembnih številk, ki jih ne zanimajo. Tudi s podatki, ki jih eventuelno o tebi tako zberejo, najverjetneje proti tebi ne naredijo ničesar.
Po drugi strani pa je zbiranje osebnih podatkov o posameznih pripadnikih črede osnovni posel Googla in del uporabe le-teh je zagotovo vsem osebkom, katerih podatki se uporabljajo, v škodo, ker te poskušajo prepričati, da kupiš nekaj, česar morda ne bi, ker ti kradejo čas z reklamami ipd.
Torej dejstvo, da obstajajo agencije, ki lahko pogledajo v tvoj računalnik/telefon/gadget in iz njega poberejo vse kar hočejo brez tvoje vednosti, ne pomeni, da je pametno to omogočati kar komurkoli, "ker CIA" - isto velja tudi za ključavnice vhodnih vrat v stanovanja, tudi v te lahko specialisti vdrejo mimogrede brez tvoje vednosti pa kljub temu še vedno zaklepaš vrata ko greš od doma.
Biseri...

Zgodovina sprememb…

  • spremenilo: zmaugy ()

call_cry-pto ::

Kaksno zaroto boste sele z bitcoinom dojeli vsi uporabniki dark neta.

Utk ::

Tudi s podatki, ki jih eventuelno o tebi tako zberejo, najverjetneje proti tebi ne naredijo ničesar.
Po drugi strani pa je zbiranje osebnih podatkov o posameznih pripadnikih črede osnovni posel Googla in del uporabe le-teh je zagotovo vsem osebkom, katerih podatki se uporabljajo, v škodo, ker te poskušajo prepričati, da kupiš nekaj, česar morda ne bi, ker ti kradejo čas z reklamami ipd.
Torej dejstvo, da obstajajo agencije, ki lahko pogledajo v tvoj računalnik/telefon/gadget in iz njega poberejo vse kar hočejo brez tvoje vednosti, ne pomeni, da je pametno to omogočati kar komurkoli, "ker CIA" - isto velja tudi za ključavnice vhodnih vrat v stanovanja, tudi v te lahko specialisti vdrejo mimogrede brez tvoje vednosti pa kljub temu še vedno zaklepaš vrata ko greš od doma.

Ja, ampak kaj ti pomaga "zaklepanje", če imaš android telefon, ki je že v osnovi odklenjen za skoraj kogarkoli. Tam ena kljukica več ali manj v google mapsu ali photo ne pomeni nič.

zmaugy ::

Utk je izjavil:


Ja, ampak kaj ti pomaga "zaklepanje", če imaš android telefon, ki je že v osnovi odklenjen za skoraj kogarkoli. Tam ena kljukica več ali manj v google mapsu ali photo ne pomeni nič.


Zato pa ne kupiš android telefona, ker po znanih informacijah Apple manj vohuni za uporabniki (ali pa je bolj učinkovit pri temu in je samo videti tako). Ampak ravno tako je varnost podatkov problematična na računalnikih.
Človek se po mojem mora z nekimi rutinami potruditi komurkoli čim bolj otežiti nepooblaščen dostop do svojih podatkov. Ali to pomeni da nihče do teh podatkov ne bo prišel? Zagotovo ne, bo pa to onemogočeno marsikomu.
Biseri...

dronyx ::

Čez 50 let bodo pa verjetno pisali tako o Googlu in Facebooku: umazana obveščevalna zgodba bajnih zaslužkov.

So pa pravi amaterji izpadli Iranci v zvezi s Crypto AG. Oni so ugotovili, da je nekaj narobe s temi napravami, potem je prišel zaposleni Crypto AG in napako odpravil, nakar ga je firma odpustila (očtino je bil eden izmed tistih ki ni vedel za stranska vrata). AMpak Irancem to ni bilo sumljivo in so kupovali dalje njihovo opremo.

Zgodovina sprememb…

  • spremenil: dronyx ()

call_cry-pto ::

dronyx je izjavil:

Čez 50 let bodo pa verjetno pisali tako o Googlu in Facebooku: umazana obveščevalna zgodba bajnih zaslužkov.


Oba zelita vstopit v svet kriptovalut.

Cr00k ::

Ker hud članek Washington Posta... se bere kot kakšen triler. Top.

Je pa tako, da se vsaka tehnologija lahko zlorabi... tudi žlica :)
Če poznaš omejitve, uporabo prilagodiš temu primerno... tudi Android telefon.

@Matthai: Se priporočam za kakšen prispevek več na telefončku ;)

Bwaze6 ::

Bo pa tole seveda precej manj odmevno, ker špijunirajo "ta dobri". V primeru da bi bil naročnik Rusija aki Kitajska, bi bile naslovnice še tedne polne "vojne napovedi Zahodu".

b787 ::

zmaugy je izjavil:

Utk je izjavil:


Ja, ampak kaj ti pomaga "zaklepanje", če imaš android telefon, ki je že v osnovi odklenjen za skoraj kogarkoli. Tam ena kljukica več ali manj v google mapsu ali photo ne pomeni nič.


Zato pa ne kupiš android telefona, ker po znanih informacijah Apple manj vohuni za uporabniki (ali pa je bolj učinkovit pri temu in je samo videti tako). Ampak ravno tako je varnost podatkov problematična na računalnikih.
Človek se po mojem mora z nekimi rutinami potruditi komurkoli čim bolj otežiti nepooblaščen dostop do svojih podatkov. Ali to pomeni da nihče do teh podatkov ne bo prišel? Zagotovo ne, bo pa to onemogočeno marsikomu.


Tole pa ni ravno res, vsaj ne zdaj. Na sivem trgu z ranljivostmi se po novem več dobi za android kot za iOS napade. To velja za posodobljene naprave, med tem ko je povprečni android telefon še vedno bolj ogrožen, saj jih je veliko večji delež na starih verzijah.

https://www.google.com/amp/s/www.wired....

MrStein ::

Utk je izjavil:

Ja, nekateri se ubadajo z lovljenjem fotonov z ekrana, ali pa s hw napakami na procesorjih, ki v nekih obskurnih primerih omogočajo premik enga bita, pol sveta pa ima itak master key od vsega. V vsaki temi o varnosti napišem, da je varnost pri računalnikih en larifari. In je čisto vseeno ali googlu dovolim sledenje in imam nekaj od tega, ali mu pa ne, pa bo vse isto, samo da sam ne bom od tega nič imel.

Ja, ampak če pišeš o lovu fotonov, si kul, če pa poveš, da ima veliko brat dostop do vsega, pa vzbujaš neprijetne občutke.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

Bwaze6 je izjavil:

Bo pa tole seveda precej manj odmevno, ker špijunirajo "ta dobri". V primeru da bi bil naročnik Rusija aki Kitajska, bi bile naslovnice še tedne polne "vojne napovedi Zahodu".

Oziroma pozivi po sankcijah, kot je nekdo na drugem spletišču omenil.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Mr.B ::

Utk je izjavil:

Ja, nekateri se ubadajo z lovljenjem fotonov z ekrana, ali pa s hw napakami na procesorjih, ki v nekih obskurnih primerih omogočajo premik enga bita, pol sveta pa ima itak master key od vsega. V vsaki temi o varnosti napišem, da je varnost pri računalnikih en larifari. In je čisto vseeno ali googlu dovolim sledenje in imam nekaj od tega, ali mu pa ne, pa bo vse isto, samo da sam ne bom od tega nič imel.

Seveda, ko lahko iz procesorja preberem tvoj Blowfish :)), in to brez luknje v end to end komunikaciji.
Voljeno telo ogledalo volilnega telesa.

MrStein ::

b787 je izjavil:



...zdaj.... po novem...

https://www.google.com/amp/s/www.wired....

Linkani članek je eno leto star. Vmes je izšla nova major verzija iOS (in verjetno tudi Android-a).

Pardon, iz septembra (Američani in njihov "retard" datumi...)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ales ::

V temi o zasebnosti ipd. se pojavi povezava, ki gre preko jebenega Google AMP, namesto direktno, in nihče sploh ne opazi.

;((

gus5 ::

Skratka, šlo je za perfektno zaroto. Podjetje je služilo milijone, obenem pa v šifrirnem sistemu dopuščalo stranka vrata, ki sta jih obe tajni službi s pridom izkoriščali.
Zato se Amiji bojijo kitajske 5G tehnologije? :))

zmaugy ::

b787 je izjavil:



Tole pa ni ravno res, vsaj ne zdaj. Na sivem trgu z ranljivostmi se po novem več dobi za android kot za iOS napade. To velja za posodobljene naprave, med tem ko je povprečni android telefon še vedno bolj ogrožen, saj jih je veliko večji delež na starih verzijah.

https://www.google.com/amp/s/www.wired....


Argument je bil, da zakaj se sekirat, itak te vendor špijonira. In moj argument je bil, da Apple špijonira manj kot Google.
Biseri...

Utk ::

To veš pa kako? In kakšna je razlika ali te malo manj ali malo več? In ali je res nekaj najhujšega kar se ti lahko zgodi, da dobiš popoldan reklamo za pralni stroj na računalniku, če si ga zjutraj gledal na telefonu? Bistveno je to, da če hočejo vedet kje si kdaj bil, lahko, in najbrž tudi zares, vejo, apple, google in vse 3 črkovne kratice.

zmaugy ::

Utk je izjavil:

To veš pa kako? In kakšna je razlika ali te malo manj ali malo več? In ali je res nekaj najhujšega kar se ti lahko zgodi, da dobiš popoldan reklamo za pralni stroj na računalniku, če si ga zjutraj gledal na telefonu? Bistveno je to, da če hočejo vedet kje si kdaj bil, lahko, in najbrž tudi zares, vejo, apple, google in vse 3 črkovne kratice.


Splošno znane informacije o tem, kolikokrat na dan iphone pošlje tvojo lokacijo na mothership v primerjavi s Pixlom. Fuck them, koga briga, kje sem, preklete pi.de vsiljive?!
Biseri...

Zgodovina sprememb…

  • spremenilo: zmaugy ()

bysaRD ::

Na nobenem izmed SLO medijskih poratlov ni novice. Vsak komentar povezan z njo je zbrisan v minuti.
www.hudinja.net.....hudinjski mikrokozmos.....

jukoz ::

bysaRD je izjavil:

Na nobenem izmed SLO medijskih poratlov ni novice. Vsak komentar povezan z njo je zbrisan v minuti.


https://www.rtvslo.si/svet/cia-in-bnd-p...

Na dnu so komentarji.

bysaRD ::

jukoz je izjavil:

bysaRD je izjavil:

Na nobenem izmed SLO medijskih poratlov ni novice. Vsak komentar povezan z njo je zbrisan v minuti.


https://www.rtvslo.si/svet/cia-in-bnd-p...

Na dnu so komentarji.

Res je, my bad, imaš prav. Zjutraj sem ga našel, sedajle se mi je pa malo skril. Na 24ur ga ni in tudi takoj pobrišejo komentar ko vprašaš karkoli okoli tega... mislim, takoj!
www.hudinja.net.....hudinjski mikrokozmos.....

MrStein ::

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

proto ::

dronyx je izjavil:

Čez 50 let bodo pa verjetno pisali tako o Googlu in Facebooku: umazana obveščevalna zgodba bajnih zaslužkov.

So pa pravi amaterji izpadli Iranci v zvezi s Crypto AG. Oni so ugotovili, da je nekaj narobe s temi napravami, potem je prišel zaposleni Crypto AG in napako odpravil, nakar ga je firma odpustila (očtino je bil eden izmed tistih ki ni vedel za stranska vrata). AMpak Irancem to ni bilo sumljivo in so kupovali dalje njihovo opremo.


Saj ze pisejo, ze dolgo od tega. Problem je, da google vzgaja idiote, ki ne zmorejo prebrati vec kot odstavek (fb pa enako), oz. si zatiskajo oci, ker so izven njunih ekosistemov brezvezne nule, pasti na realna tla pa boli:

How the CIA made Google: https://medium.com/insurge-intelligence...

Na enak nacin se Applovi suznji tolazijo kako Apple pa to ze ne pocne in FBjevi narcisi kako je vse vredu. Njihove psihe so ugrabljene v lastni nepomembnosti in vezejo svojo osebno identiteto na korporacije, ki jih podzavestno smatrajo kot sebe, nato pa jih divje zagovarjajo. Zalostno.

Se ena o pridobivanju podatkov o sebi od FBja, ki ga k temu zavezuje zakonodaja, hkrati pa ve, da jih bojo lincali, ce te podatke izdajo, tako, da raje krsijo zakonodajo, kot izdajo: https://ruben.verborgh.org/facebook/

Zgodovina sprememb…

  • spremenilo: proto ()

Fritz ::

Tole je precej stara zgodba, ki so jo sedaj dodatno malce osvetlili. O tem smo tudi na tem forumu debatirali leta nazaj, vključno z Echelonom, Five Eyes, UKUSA in podobnim. Škoda da je iskalnik tako zanič, bi postal povezave.

Bom pa še enkrat napisal. Nekoč so spremljali državne in druge pomembne komunikacije, danes skoraj vse. Morda te nikoli ne bodo pičili a če jim stopiš na žulj, lahko hitro izveš kako ti lahko na videz nepomembni podatki škodujejo. StaSi in KGB sta lahko samo sanjala o zmogljivostih, ki jih premorejo NSA in ostale tričrkovnice.
"Težav ne moremo reševati z isto miselnostjo,
kot smo jo imeli, ko smo jih ustvarili."
A. Einstein

Matthai ::

All those moments will be lost in time, like tears in rain...
Time to die.

jype10 ::

Žalostno, a pričakovano. Hvala za opravljeno delo.

Zgodovina sprememb…

  • spremenilo: jype10 ()

Majk ::

Še ena teorija zarote, ki se je izkazala za resnično.

jype10 ::

Nikoli ni bila teorija zarote.

proto ::

Matthai, hvala za ves trud. Se mi zdi, da to premalokrat slisis.

jype10 je izjavil:

Nikoli ni bila teorija zarote.


Tocno tole.

In pocakajte, da pride enkrat na dan kaj vse google in fb pocneta z vasimi podatki. "Teoretiki zarot" so danes vizionarji. Ampak idioti se kar ne poslusajo.

Zgodovina sprememb…

  • spremenilo: proto ()

proto ::

Matthai, na SSLtestu imam jaz tudi key exchange in cipher strength na 100 (ker se mi gladko hebe za stare cliente) sploh pa za jajca od jave, nimajo kaj delat na mojem serverju ;)

Zgodovina sprememb…

  • spremenilo: proto ()

SeMiNeSanja ::

proto je izjavil:

Matthai, na SSLtestu imam jaz tudi key exchange in cipher strength na 100 (ker se mi gladko hebe za stare cliente) sploh pa za jajca od jave, nimajo kaj delat na mojem serverju ;)

Emmm - kaj ima to veze s topicom?

Drugače pa... se vam sploh na približno sanja, koliko modernih požarnih pregrad danes ne podpira (še?) TLSv1.3 ?
Ker ga ne podpirajo, ob inšpekciji degradirajo komunikacijo na TLSv1.2 (ali še kakšno nižjo) - ali, kar je še slabše, TLSv1.3 promet sploh ne pregledajo (ti pa misliš, kako zelo te varuje in si še drago plačal za razne filtre)!

Ljudje, ki teh 'nepomembnih drobnarij' ne vedo, pa veselo kupujejo ves šrot, ki ga trg ponuja, kakor mu ga rine dvorni dobavitelj ali dežurni lobiist. Pa nikar misliti, da samo neki obskurni proizvajalci ne podpirajo TSLv1.3! Spisek vsebuje marsikatero znano ime...

Priporočam branje: White Paper - TLS 1.3 - HTTPS Content Inspection: 7 Things Your Firewall Absolutely MUST Do
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

bajker ::

Matthai je izjavil:

"Nadaljevanje" zgodbe: https://telefoncek.si/2020/02/13/2020-0...

Hvala za odličen članek.

proto ::

SeMiNeSanja je izjavil:

proto je izjavil:

Matthai, na SSLtestu imam jaz tudi key exchange in cipher strength na 100 (ker se mi gladko hebe za stare cliente) sploh pa za jajca od jave, nimajo kaj delat na mojem serverju ;)

Emmm - kaj ima to veze s topicom?


Beri:

Matthai je izjavil:

"Nadaljevanje" zgodbe: https://telefoncek.si/2020/02/13/2020-0...

jukoz ::

Matthai je izjavil:

"Nadaljevanje" zgodbe: https://telefoncek.si/2020/02/13/2020-0...



Kaj točno je smisel linkanja tvojega članka oz nadaljevanja v to temo?

Kot si sam napisal - "Uporaba ali neuporaba HTTPS na spletnem strežniku in kvaliteta HTTPS povezave seveda ne pove kaj dosti o kvaliteti šifrirnih rešitev, ki so jih omenjena podjetja akreditirala v Sloveniji."

Sicer potem pišeš neke neumnosti o vtisu: "A vtis, ki ga podjetje v današnjem času naredi na spletu, je še kako pomemben. Od podjetij, ki se ukvarjajo z varnostnimi rešitvami, lahko upravičeno pričakujemo, da bodo varnost na vsakem koraku jemala skrajno resno.

Kot smo videli, se navedena štiri podjetja pri tem precej razlikujejo. Kakšen vtis to pušča na potencialne kupce njihovih rešitev, pa naj seveda presodi vsak sam."


To je tako, kot da bi ocenjeval okus Barcafeja, v akciji v Sparu, na osnovi njihove majave začasne table za obvestila. Danes imajo v akciji Barcafe, in ker je tabla majava bo verjetno zanič?
Prejšnji teden so iskali mesarja, ali naj torej na osnovi majavosti table sklepamo da iščejo mesarja s tresočimi rokami?

Pa kaj točno je smisel tega članka, tako v obče? Da si nabijaš število objav? Ker korisiti ni popolnoma nič.

Varnostni strokovnjaki in "strokovnjaki" malo preveč tripate na raznorazna orodja in vsesplošno šifriranje. Smisel predstavitvene spletne strani je predstavitev - ni potrebe po njenem šifriranju, tako kot ni potrebe po šifriranju brošure za šifrirne algoritme ali pa pohištvenega kataloga.

PS Nisem zaposlen, nimam lastniških deležev ali kakšnih drugih povezav s podjetji, omenjenimi v članku. Verjetno pa poznam koga tam, ker smo le v Sloveniji.

Matthai ::

Zakaj sploh rabijo predstavitev potem? Pa cookije? Zakaj so pa dali obvestilo o piškotkih?

Zakaj po sestankih hodijo s kravatami?

Dve firmi imata čisto spodobno spletno stran. Ajde, lahko rečeš, da HTTPS ni pomemben. Ampak zakaj so ga pa potem sploh skonfigurirali? Če nekaj postaviš, potem to tudi vzdržuj. Ali pač ne?
All those moments will be lost in time, like tears in rain...
Time to die.

jukoz ::

Matthai je izjavil:

Zakaj sploh rabijo predstavitev potem? Pa cookije? Zakaj so pa dali obvestilo o piškotkih?

Zakaj po sestankih hodijo s kravatami?

Dve firmi imata čisto spodobno spletno stran. Ajde, lahko rečeš, da HTTPS ni pomemben. Ampak zakaj so ga pa potem sploh skonfigurirali? Če nekaj postaviš, potem to tudi vzdržuj. Ali pač ne?



Nima veze kaj imajo ali nimajo na spletnih straneh - ne strinjam se s tvojo analizo in testom njihove strani in potem objave tu.

Varnost je kompleksna zadeva in ljudje si jo potem narobe predstavljajo. Analiza certifikatov na spletni strani popolnoma nič ne pove o njihovih izdelkih. Nobene korelacije ni. Ne ti je pa že pisal - " Hvala za odličen članek.".

Sklepam da je mislim, da si preveril njihove izdelke in podal oceno da sta 2 OK, 2 pa zanič. Pa nisi.
Tvoja beseda ima tu, na tem forumu, in širše, neko težo. In ko predstavljaš analize šifriranja spletne strani (ali pa pohištvenega kataloga) in to povežeš s ponudniki šifrirnih orodij za državo, nakazuješ da so njihovi izdelki slabi. Še naslov članka "Vrhunske šifrirne rešitve slovenskih proizvajalcev" je zavajajoč.

Sori ker sem siten, ampak mi je TED talk od DržavljanaS dal misliti in če nekdo dela bedarije, ga je potrebno opozoriti.

bajker ::

jukoz je izjavil:


Nima veze kaj imajo ali nimajo na spletnih straneh - ne strinjam se s tvojo analizo in testom njihove strani in potem objave tu.

Varnost je kompleksna zadeva in ljudje si jo potem narobe predstavljajo. Analiza certifikatov na spletni strani popolnoma nič ne pove o njihovih izdelkih. Nobene korelacije ni. Ne ti je pa že pisal - " Hvala za odličen članek.".

Sklepam da je mislim, da si preveril njihove izdelke in podal oceno da sta 2 OK, 2 pa zanič. Pa nisi.
Tvoja beseda ima tu, na tem forumu, in širše, neko težo. In ko predstavljaš analize šifriranja spletne strani (ali pa pohištvenega kataloga) in to povežeš s ponudniki šifrirnih orodij za državo, nakazuješ da so njihovi izdelki slabi. Še naslov članka "Vrhunske šifrirne rešitve slovenskih proizvajalcev" je zavajajoč.

Sori ker sem siten, ampak mi je TED talk od DržavljanaS dal misliti in če nekdo dela bedarije, ga je potrebno opozoriti.


Tukaj dam Matthaiu čisto prav. Ne, ni normalno, da je kovačeva kobila bosa.

Poldi112 ::

Ker za info web site je res KRITIČNO, da ima najnovejše varnostne fičrje, anede.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

111111111111 ::

@jukoz: ne morejo postaviti VARNEGA web strežnika po trenutnih standardih, je konkretno šalabajzerstvo, še posebej če si ena od štirih firm v sloveniji, ki se hvali kako obvladaja varnostne protokole. Meni se zdi članek popolnoma na mestu.

bajker ::

111111111111 je izjavil:

@jukoz: ne morejo postaviti VARNEGA web strežnika po trenutnih standardih, je konkretno šalabajzerstvo, še posebej če si ena od štirih firm v sloveniji, ki se hvali kako obvladaja varnostne protokole. Meni se zdi članek popolnoma na mestu.


Točno to.
Vidim dve možnosti:
- lahko so tako zasedeni, da nimajo časa, hkrati jih rahlo BK, ker imajo pogodbo z državo
- so šalabajzerji, ki si ne znajo varno postaviti niti lasten HP in so dobili akreditacijo preko VIP poznanstev

Glede na slovensko folkloro je druga možnost čisto verjetna.

jukoz ::

@bajker in @Chuapoiz, očitno spadata pod varnostne "strokovnjake". Zastonj vama dam en lep in pameten "Unified Internet Firewall" al neki. Ima posebaj lučko za "Virus", ko ga zazna na omrežju.

Sicer je pa to nasploh težava pri varnostnih orodjih - če ima prodajalec kravato bo izdelek seveda varen. Ali pa če je Švicar, ane =)
Ja, to leti tudi na ProtonMail in vse ostale izdelke made in Switzerland - če vsa tvoja varnost temelji samo na imenu oz lokaciji proizvajalca, imaš bolj slabo razumevanje varnosti.


Sicer pa, če se vrnemo na članek - 2 imata OK porihtane certe oz šifriranje, 2 pa ne uporabljata certov in imata stran nešifirano.
Matej je šel brkljat zadaj in gledat kako imajo urejene ne-javne strani. In te so začuda zanič. Ker jih nihče ne gleda.


Če pa kakšen drug varnostni "strokovnjak" rabi next-gen futuristic internet secure unified firewall and gateway naj pa piše na ZS (lahko pa odpremo novo temo). Največja bedarija, objavljena do ponedeljka dobi ta next-gen futuristic internet secure unified firewall and gateway. Prevzem v Ljubljani =)

Aja, pa MrStein ne more sodelovati, ker je že prevelik talent.

bajker je izjavil:

111111111111 je izjavil:

@jukoz: ne morejo postaviti VARNEGA web strežnika po trenutnih standardih, je konkretno šalabajzerstvo, še posebej če si ena od štirih firm v sloveniji, ki se hvali kako obvladaja varnostne protokole. Meni se zdi članek popolnoma na mestu.


Točno to.
Vidim dve možnosti:
- lahko so tako zasedeni, da nimajo časa, hkrati jih rahlo BK, ker imajo pogodbo z državo
- so šalabajzerji, ki si ne znajo varno postaviti niti lasten HP in so dobili akreditacijo preko VIP poznanstev

Glede na slovensko folkloro je druga možnost čisto verjetna.


Lahko jih pa BK zato, ker spletna stran nima prav nobene veze z njihovimi izdelki. Tko, prav nobene. Sem mislim da smo s filmom Swordfish dojeli, da če nekdo vdre v strežnik, kjer se gosti spletno stran, še ni vdrl v druge strežnike podjetja.

Zgodovina sprememb…

  • spremenilo: jukoz ()

matijadmin ::

jukoz je izjavil:

Matthai je izjavil:

"Nadaljevanje" zgodbe: https://telefoncek.si/2020/02/13/2020-0...



Kaj točno je smisel linkanja tvojega članka oz nadaljevanja v to temo?

Kot si sam napisal - "Uporaba ali neuporaba HTTPS na spletnem strežniku in kvaliteta HTTPS povezave seveda ne pove kaj dosti o kvaliteti šifrirnih rešitev, ki so jih omenjena podjetja akreditirala v Sloveniji."

Sicer potem pišeš neke neumnosti o vtisu: "A vtis, ki ga podjetje v današnjem času naredi na spletu, je še kako pomemben. Od podjetij, ki se ukvarjajo z varnostnimi rešitvami, lahko upravičeno pričakujemo, da bodo varnost na vsakem koraku jemala skrajno resno.

Kot smo videli, se navedena štiri podjetja pri tem precej razlikujejo. Kakšen vtis to pušča na potencialne kupce njihovih rešitev, pa naj seveda presodi vsak sam."


To je tako, kot da bi ocenjeval okus Barcafeja, v akciji v Sparu, na osnovi njihove majave začasne table za obvestila. Danes imajo v akciji Barcafe, in ker je tabla majava bo verjetno zanič?
Prejšnji teden so iskali mesarja, ali naj torej na osnovi majavosti table sklepamo da iščejo mesarja s tresočimi rokami?

Pa kaj točno je smisel tega članka, tako v obče? Da si nabijaš število objav? Ker korisiti ni popolnoma nič.

Varnostni strokovnjaki in "strokovnjaki" malo preveč tripate na raznorazna orodja in vsesplošno šifriranje. Smisel predstavitvene spletne strani je predstavitev - ni potrebe po njenem šifriranju, tako kot ni potrebe po šifriranju brošure za šifrirne algoritme ali pa pohištvenega kataloga.

PS Nisem zaposlen, nimam lastniških deležev ali kakšnih drugih povezav s podjetji, omenjenimi v članku. Verjetno pa poznam koga tam, ker smo le v Sloveniji.

Šifriranje spletne strani, tudi predstavitve, je danes nuja. Sploh, če objaviš kontaktne podatke ali javne ključ.

Pa tudi sicer sam ne bi zaupal zdravljenja zdravniku, ki je alkoholik, je videti nemaren in umazan, za povrh pa kašlja pacientom v obraz.
Vrnite nam techno!

jukoz ::

matijadmin je izjavil:


Šifriranje spletne strani, tudi predstavitve, je danes nuja. Sploh, če objaviš kontaktne podatke ali javne ključ.

Pa tudi sicer sam ne bi zaupal zdravljenja zdravniku, ki je alkoholik, je videti nemaren in umazan, za povrh pa kašlja pacientom v obraz.


Nisem preverjal njihovih spletnih strani (in jih tudi ne bom) ter torej ne vem, ali imajo gor javne ključe ali kontaktne podatke (kar sicer nisem povsem prepričan, ali jih je potrebno posebej ščititi).
Podatke, ki jih je potrebno ščititi, se zaščiti. Tistih ki jih ni potrebno... jih pa ni potrebno ščititi. Pohištvenega kataloga ni treba. Brošure z javnimi podatki prav tako ne.

Glede zdravnikov pa - mu zaupaš:
https://www.doctoroz.com/

=)

SeMiNeSanja ::

Hmmmm... najprej sem malo čudno gledal, kaj to Jukoz piše....

Potem sem šel pogledat, kaj je Matthai pisal v tistem linkanem članku.

Deloma moram pritrditi Jukozu, da obledele barve, slab papir in tiskarski škrat na prospektu še zdaleč ne more pričati o (slabi) kakovosti določene rešitve.

Je že res, da kaže v smer bose kovačeve kobile - a ne smemo pozabiti, da je info spletna stran običajno delo nekega zunanjega izvajalca, ki stvari pač naredi kakor jih naredi, kot naročnik pa najbrž pričakuješ, da ve kaj počne. Poleg tega je običajno strežnik z info vsebinami nekje hostan in nima nobene povezave z internim omrežjem podjetja. Posledično tak info strežnik ne boš tako rigorozno preverjal, če je izvajalec res čisto vse izvedel po zadnjih standardih.

Bistveno bolj kritično postane okoli spletnih strani/ strežnikov, ki služijo tehnični podpori in posodobitvami rešitev. Če je tu varnost obravnavana šalabajzersko, to lahko pomeni visoko tveganje za kompromitacijo vseh uporabnikov rešitev tega proizvajalca.

A kakorkoli obrneš - tudi to še ne pomeni, da je proizvod A zanič, proizvod B pa odličen. Definitivno pa lahko pušča grenak priokus in predstavlja tveganje (servisne strani, ne info strani), zaradi katerega bi se načeloma lahko (moralo?) tudi ukinilo akreditacijo.

Ne vem, katere strani je Matthai gledal - servisne ali info strani. Če je gledal servisne, potem ima prav, da žuga s prstom. Pri info straneh, pa se lahko malo škodoželjno hihitaš, ni pa vredno da iz tega delaš članke in kvazi škandale.

Odvisno pač, s katerega zornega kota gledaš in kaj iščeš.
Včasih se tudi išče dlako v jajcu...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

taliban ::

Gre se za firmo, ki izdeluje kriptografske rešitve. Pa ne moreš glih šifiriranje zajebat na predstavitveni strani.
Bi rad vse tukaj videl, kako bi šli nakupovati v trgovsko središče kjer je namazan drek pred vrati.

matijadmin ::

Jukoz, a ti moram naštevati implikacije? Tudi pri kontaktnih podatkih so zlorabe možne.

V splošnem pa gre za odnos dobavitelja/razvijalca, ki je šalabajzast. A bi vi želeli malomarnega ali ne, je vaša stvar. Z javnim dnarjem in predvsem na račun nacionalne vsrnosti, pa to ni okej.

Če so njihove rešitve zares varne, ne vemo. Nimamo vpogleda vanje in UVTP pač (poglejmo resnici v oči) ni možno zaupati.
Vrnite nam techno!
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )

Oddelek: Novice / NWO
1206142 (584) SeMiNeSanja
»

TrueCrypt je varen in mrtev

Oddelek: Novice / Varnost
4115140 (7592) Jst
»

Domače branje: "Bamford, James. 1983. The Puzzle Palace. Baskerville: Penguin Books."

Oddelek: Novice / Domače branje
374579 (3699) STASI

Več podobnih tem