Registracny formular na ockovanie + NCZI data/api o ockovani/testovani

Toto je definované v ktorom zákone ? A bude sa tým zákonom riadiť aj nejaký black-hat ?

Navyše akýkoľvek bezpečnostný subjekt / projekt môže povedať, že “chyby sme nenašli”, ale nemôže dokázať, že tam chyby nie sú ( pretože dôkaz zastavenia Turingovho stroja ).

Z tohto dôvodu je spracovateľ údajov povinný vykonať také bezpečnostné opatrenia, potencionalnymi únikom predchádzal, identifikoval ich a v prípade výskytu ich rýchlo eliminoval ( IDS / IPS - systémy ). Podľa zverejnených informácií, však NCZI ani nezaznamenalo únik údajov…

Navyše postaviť zabezpečenie údajov na “utajení” rodného čísla môže iba <<…doplní si každý sám…>>

Skúsme inak, kúpiš si trezor za 100M, platíš mesačne 217t za jeho údržbu. Dodávateľ Ťa presviedča, že nikto okrem Teba sa do toho trezora nedostane, dokonca sa bude oháňať papierom s piatimi pečiatkami. A potom ide okolo “priateľ” (bez peciatok) ktorý Ti ukáže ako sa do toho trezora dostať. Na koho podáš trestne oznámenie ?

NCZI lieta z jedného extrému ( totálne zabezpečený a nepoužiteľný systém ) do druhého extrému ( žiadne zabezpečenie ).

Najskôr riešia eHealth, Kde cez VPN otvoria SSH/SFTP, aby mohli poslať zašifrované údaje, ktoré následne rozhadzu po disku, aby ani admin nevedel, že tieto dva recepty patria tej istej osobe. Keď sa následne pokúšajú vyskladať tie dáta, tak ich sem-tam pokúšajú …

Keď im prihara pod zadkom, tak prevezmú aspon eRecept, kde v prvých verziách odovzdali “hesla”/prístupové kódy lekárov v plain textových súboroch, aby ich admini naimportovali do ambulantných/nemocničných systémov. T.j. admin poznal hesla všetkých lekárov a mohol si vyberať cez, ktorého si vypíše eRecept, pričom zodpovednosť zostala na lekárovi.

Následne uniknú údaje o pozitívne testovaných, pretože nejaký “sato” zabudol vypnúť debugovacie API.

A teraz zas, uniknú ďalšie osobné údaje, pretože iný “sato” si myslí, že 910 rôznych možností rodného čísla je dostatočne veľké “náhodne” heslo.

Zaujímavé že oboch prípadoch na únik dát prišlo NZCI až keď im to white-hat oznámili…

Ja preferujem “použiteľný systém s rozumným zabezpečením v ktorom si viem skontrolovať kto/kedy/prečo pristupoval ku mojim údajom s existujúcim systémom riešenia bezpečnostných incidentov.”

Cez zákon 211 som sa snažil riešiť neoprávnený zápis do mojej EZKO. NCZI odpísali, že oni sa tam pozrieť nedokážu a ani to riešiť nebudú…

Nemam problem s tym co tvrdite, mam vsak oroblem s tym, ze ak niekti vnikne do nezabezpeceneho domu a prelesuje ho, ze ho ho budem obhajovat, pretoze in len upozornil na ti, ze dom je nezabezoeceny a povedal co sa tam je a da sa lahko zobrat. No a ja tvrdim, ze takyto clivek je vagabund, maju byt na to zakony a patri do “chladku”

Akože fajn, že to našli aj slušne reportovali a nerád kazím všeobecné ovácie, ale viete mi niekto vysvetliť prečo na demonštráciu toho, že našli zraniteľnost museli potiahnuť dáta politikov a nestačilo potahať dáta kamoša, čo mu to dovolil?

Lebo všetko mi príde úplne ok, ale tento rozmer, že stiahnem dáta nejakej osoby, ktorá mi na to nedala súhlas, tak to by som od etických hackerov špeciálne libertarianov čakal, že bude úplne no-go.

PS. Odporúčam opustiť analógie. Tie sú nepoužiteľné na “extrapolaciu” a dávajú skôr zmysel keď sa bavíme s laikmi. Toto fórum nie sú laici.

Myslím, že si zvolili dáta politikov namiesto svojich kamošov práve preto, aby vyvolali čo najväčší ohlas. Je rozdiel ak je dôkaz o odpočúvaní Merckelovej ako o odpočúvaní človeka milión.
Myslím, že to zvolili správne.

Toto je blbosť. Na demonštráciu stačí aj Jozef Mak. Každý bezpečák vie, že čo to takéto niečo znamená.

Nevyhnutné na poukázanie zraniteľnosti to rozhodne nebolo.

Pretože by to páni úradníci odpálkovali tvrdením, že nedošlo k úniku, ale oni sa s tým kamošom dohodli a on im prezradil rodné číslo/vstupné údaje.

Stiahnutie dát politikov zároveň preukazuje, že ani táto kategória ľudí nie je chránená, hoci by pre nich mali existovať ešte prísnejšie pravidlá pre overenie prístupov ako pre obyčajných smrteľníkov.

Navyše politici ako verejne činné osoby, by mali znášať určité obmedzenia.

Aspoň ich to bude viac motivovať ku zmenám, ktoré zabezpečuje že sa uvedený prípad už opakovať nebude.

Samozrejme, že na preukázanie zraniteľnosti to nebolo potrebné.
Voľba siahnuť na dáta politikov je čisto marketingová záležitosť. (alebo PR alebo neviem ako sa to volá)

Moja skúsenosť s CSIRT je úplne iná. Nič neodpalkovali.

Mal som na mysli odbornikov, ktori sa vyjadruju do medii.

lebo by nebol taký hype a nethemba by nebola týždeň vo všetkých mediách?

lebo dátumy narodenia politikov si nájdeš na wikipédii. 2 muchy jednou ranou. Aj ich každý pozná, aj sa ľahko nájdu dátumy narodenia … potom už máš fakt len 910 kombinácii štvorčíslia ma konci RČ.

sice OT, ale nedavno tu @jsuchal tvrdil, ze to, ze cez eID podpisovanie ide v PDFku rodne cislo kade-tade nie je problem. a zrazu to problem moze byt. lebo niektori neschopaci ako NCZI ho pouzivaju ako hlavny identifikator… (a ano, samozrejme, rodne cislo sa da lahko dohladat aj inak, ale to je praca navyse a takto to ide ako na zlatom podnose)

bezvyznamnych ludi s datumom narodenia si najdes na katastri.

“a vyznamnejsich” aj s rodnym cislom v OR

namatkovo som pozrel na orsr.sk par firiem a rc pri konateloch nevidim. zobrazuje orsr rc? alebo len rc nemaju firmy este zapisane ?

Ja si teda pamatam, ze som svojho casu tvrdil presny opak. Problem je vsak ta druha cast. RC sa predsa nemoze pouzivat ako ziadna autentifikacia/autorizacia na nic.

Vypis cez RPO si musis spravit.

Oplati sa pozriet. Nepoviem preco, lebo nebudete mat fun.

to je fakt, toto si tvrdil. ale zarovne si tvrdil, ze v tom, ze sa siri cez eID podpisy v PDF nevidis problem. a kedze vselikde zatial autentifikacia prebieha cez RC, tak to problem moze byt.

Neviem si vybrat, je tam hrozne vela uplne krasnych kuskov.