Uredniški izbor

Poudarki

  • Digitalni podpis mdsign uporablja le še en portal, težava ni razširjena
Ocena novice: Vaša ocena:
Ocena 4.6 od 35 glasov Ocenite to novico!
false
Raven informacijske varnosti v slovenski javni upravi ni na visoki ravni. Foto: Reuters
       Brez zagotavljanja integritete podatkov državljani zaupanje v celoti polagajo v etičnost in odgovornost ravnanja Ajpesovih zaposlenih, ki pa je ravno na podlagi nedavnih primerov vprašljiva.       
 Tadej Nared, SICEH
Ajpes
Ajpes je javna agencija za zbiranje, obdelovanje, objavljanje in posredovanje podatkov o poslovnih subjektih in bonitetna agencija. Foto: BoBo/Žiga Živulović ml.
SICERT
Vodja SI-CERT-a Gorazd Božič poudarja, da so varnostne ranljivosti, tudi kritične, del vsakdana v svetu IT-ja. Foto: SiCERT
       Microsoft je imel lani v Win7 39 kritičnih napak, ki omogočajo t. i. 'remote code execution', se pravi, da sta mogoča prevzem naprave in izvajanje poljubne kode na njej. Kolikšen proračun ima Microsoft, kakšne vrhunske razvijalce, pa se jim še vedno to dogaja. Ranljivost je v svetu IT-ja dejstvo. Ne branim Ajpesa, ker ne vem točno, kaj se je dogajalo. A zgolj zato, ker so bile ranljivosti pri njih odkrite, še ne pomeni, da je tukaj nujno šlo za malomarnosti ali nestrokovno delo.       
 Božič, SI-CERT
       V primeru množičnega prevzema EMŠO, davčnih številk, naslovov prebivalcev in podobnih podatkov bi nastala nepopravljiva škoda. Veliko birokratskih in upravnih postopkov se zanaša na to, da EMŠO in davčno številko pozna samo imetnik in da ta podatka nista javna. Samo sprašujemo se lahko, kaj bi se zgodilo, če bi se take podatkovne baze znašle na črnem trgu. Kako bi ukrepala vlada in ali smo na to pripravljeni?       
 Luka Pušič, SICEH
Slo-Tech
Na Slo-Techu so se zadnjo odkrito varnostno ranljivost odločili objaviti takoj, "ker je bilo obvestil v zvezi z Ajpesom iz različnih virov v zadnjem času kar precej in ker gre v tem primeru res za jagodni izbor". Foto: Slo-Tech
       Varnostne pomankljivosti podpisne komponente bi morale biti ugotovljene in odpravljene že pred začetkom njene uporabe. V ta namen se pred uvedbo novega programa navadno opravi varnostno preverjanje, ki je v primeru programske opreme, ki dela z občutljivimi podatki, še posebej pomembno. Podobno velja za ranljivost SQL-vrivanja, ki bi morala biti zaznana med varnostnim preverjanjem spletne aplikacije. Zakaj ranljivost ni bila zaznana in odpravljena, ne vemo.       
 David Petek, SICEH
Matej Kovačič
Kovačič je strokovnjak za informacijsko zasebnost in pisec zadnje odmevne objave o ranljivosti na Ajpesu. Foto: BoBo
       Pri uporabi bi bil zelo previden oziroma podpisne komponente sam ne bi uporabljal.       
 Kovačič
       Uporabniki lahko zaupajo sistemu Ajpes, ob uporabi vseh previdnostnih ukrepov na lastnih računalnikih in omrežjih, kot je to nujno in običajno tudi za uporabo drugih spletnih rešitev. [...] Vse ranljivosti, o katerih smo bili obveščeni, so po zagotovilih naših izvajalcev in vedenju uslužbencev Ajpesa odpravljene.       
 Božič, Ajpes
SI-CEH
V SICEH-u so mnenja, da Ajpes trenutno za uporabnike ni varen. Foto: SI-CEH
       Zadnji zunanji vdorni pregled pred incidentom, izveden v letu 2013, naslednji pa je bil načrtovan po objavi novega portala, ki je povzročil precej sprememb na aplikacijah, v obdobju februar-marec 2017. Postopek javnega naročilapoteka. Po izvedbi korekcijskih ukrepov je Ajpes interno izvedel vdorna testa za ranljivi aplikaciji. Iz poročil je razvidno, da orodje prej objavljene ranljivosti ni zaznalo.       
 Babič o pogostosti varnostnih ter vdornih testov in prihodnosti
       Ajpes se strinja s tem, da lahko opozarjanje na potencialne ranljivosti dolgoročno poveča raven kibernetske varnosti in zavedanja o njenem pomenu. Menimo pa, da bi morala biti pravila izvajanja varnostnega raziskovanja usklajena v krogu zainteresirane javnosti in javno objavljena. Ob upoštevanju teh pravil bi bili raziskovalci ustrezno zaščiteni. Tarče raziskovanja pa bi lahko na ustrezen način, varno in brez večjih negativnih vplivov na svoje storitve izvedle potrebne ukrepe za zmanjšanje varnostnih tveganj. Ajpes se zaveda, da raziskovalci vlagajo v odkrivanje potencialnih varnostnih ranljivosti veliko časa in specifičnega znanja in je njihov prispevek k izboljšanju varnostnih rešitev pomemben. Ajpes bo vsekakor podprl pobude za tovrstno sistemsko rešitev področja v duhu "ferpleja". Če v doglednem času te pobude ne bodo realizirane, bo Ajpes proučil tudi predlog SI-CERT, da na svojem portalu objavi pogoje, pod katerimi bo dovolil preizkušanje varnostnih elementov svojih sistemov zato, da se stopnja varnosti dodatno poveča.       
 Ajpesov poziv k sodelovanju s preizkuševalci
       Posledično v Fundaciji SICEH tudi pozdravljamo prihajajočo evropsko direktivo, ki predpisuje obvezno poročanje o vdorih in se zavzemamo za spremembo kulture na področju informacijske varnosti in čimprejšnjo uveljavitev teh dobrih praks tudi v Sloveniji. Namreč podjetja in organizacije bodo kaj kmalu (maj 2018) soočena z visokimi kaznimi za nepravilno ravnanje s podatki in že manjša napaka, ki omogoča vrivanje SQL-stavkov, lahko žrtev stane 4 % letnega prometa. Sodelovanje z etično naravnanimi varnostnimi raziskovalci bo posledično postalo imperativnega pomena za vsako slovensko podjetje ali organizacijo, prihajajoča direktiva pa bo tudi v praksi pokazala, da slednji opravljajo družbeno koristno delo, ki izboljšuje informacijsko okolje za vse državljane.       
 Mnenje Fundacije SICEH o sorodni tmei

Dodaj v

Se lahko zaradi ranljivosti na Ajpes podtikajo ponarejeni dokumenti?

Razkritja portala Slo-Tech
8. marec 2017 ob 06:37
Ljubljana - MMC RTV SLO

Na spletišču Ajpesa, ki upravlja obsežne baze občutljivih osebnih in poslovnih podatkov, so v zadnjem času odkrili številne in resne varnostne ranljivosti. Na začetku meseca je nekdo vanj vdrl skozi luknjo, "ki je ne bi smelo biti", zdaj pa se je izkazalo, da tudi njihov sistem za digitalno podpisovanje omogoča zlorabe. Kakšne? "Kot bi na sodišču ali policiji dal izjavo, nato pa bi podpisal le številko spisa, ne izjave same," opozarja varnostni strokovnjak Matej Kovačič. Ajpes po drugi strani zagotavlja, da so vse znane ranljivosti odpravljene in da lahko uporabniki v dobri veri uporabljajo vse aplikacije.

Te dni se okoli 170 tisoč uporabnikov Ajpesa pripravlja na oddajo letnih poročil, obveznost, ki jo imajo skoraj vsi poslovni subjekti v naši državi. Oddani dokumenti se uporabljajo za odmero nekaterih davkov, statistično obdelavo, javni značaj poslovodnih izkazov in še marsikaj. Početje je zakonsko obvezno. Za neoddane dokumente lahko padejo globe, za ponarejene pa kazenske ovadbe. Oddaja dokumentov vse pogosteje poteka prek spleta.

A dogajanje v zadnjem mesecu meče dvom na digitalno varnost tega početja. Na dan prihaja vse več obvestil o ranljivostih v spletnih aplikacijah Ajpesa. Začelo se je 8. februarja, ko je nekdo vdrl vanj in pridobil dostop do zalednih podatkovnih baz. V njih je množica osebnih podatkov, denimo EMŠO in davčne številke vseh lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v registru, ki ga vodi Ajpes. Informacijo je objavila spletna skupnost Slo-Tech. Drugo resno varnostno ranljivost so prek taistega portala razkrili konec meseca. Izkazalo se je, da digitalno podpisovanje dokumentov, ki jih podjetniki pošiljajo Ajpesu, deluje na napačen način; takšen, da vzbuja dvom o pristnosti v bazo oddanih aktov.

Na Slo-Tech so pokomentirali, da so objavili le "jagodni izbor", obvestil, o tej spletni strani pa da jih dobivajo vse več. Incident je bil le vrh ledene gore, ki kaže, da "informacijska varnost javne uprave drvi proti katastrofi".

Na MMC-ju smo zato preverili, kaj se je zgodilo in ali Ajpes lahko zagotovi, da je luknje pokrpal in da lahko uporabniki aplikacije še uporabljajo v dobri veri. Agencija je zagotovila, da lahko zdaj uporabniki sistemu zaupajo, a vsi strokovnjaki, ki smo jih o tem povprašali, niso tako prepričani. Na Slo-Techu uporabo podpisne komponente Ajpesa še vedno odsvetujejo in tudi informacijski strokovnjak Matej Kovačič, avtor prvega razkritja na portalu, je ne bi uporabljal, medtem ko bi bil za portal na splošno "zelo previden". Na Fundaciji SICEH, združenju Slovenskih certificiranih etičnih hekerjev, pa so bili jedrnati: "NE, Slovenci trenutno ne morejo varno uporabljati Ajpesa."

Prvi februarski vdor
Kaj se je zgodilo pri prvem incidentu? Nekdo je izvedel t. i. SQL-vrivanje. Programsko kodo za vdor je vnesel kar v privzeto vnosno okence enega izmed obrazcev. Nekako tako, kot bi v Googlov iskalnik vnesli nekaj vrstic kode, nato bi Googlovo računalnikovje namesto iskanja vnesenega to kodo kar – izvedlo. Nekaj podobnega se je zgodilo pri Ajpesu. "Če je sistem neustrezno postavljen, potem v neko vnosno polje napišeš del programske kode, ki se potem izvede na bazi," je za MMC povedal Kovačič. Ta koda tipično vsebuje enojne narekovaje, zato domneva, da je do namiga nekdo prišel, ko je iskal ime kakšnega podjetja z okrajšavo (npr. Mravl'ca). "Ko si to vnesel, je javilo napako. Naprednejši uporabnik je lahko hitro začutil, da gre za ranljivost."

Izkazalo se je, da se na ta način lahko iz baze izpišejo tudi javnosti skriti podatki iz večjega števila baz oziroma njihovih izsekov (domnevno kar 59 baz), med njimi centralnega registra prebivalstva, poslovnega registra, registra transakcijskih računov itd. To pomeni, da so bili prek ene same ranljivosti dostopni občutljivi podatki, denimo EMŠO in davčne številke stotisočev Slovenk in Slovencev. Kaj bi se zgodilo, če bi jih zlonamerni heker vse javno objavil? Veliko postopkov v državi temelji ravno na njih zaupnosti. Škoda bi se lahko štela v desetinah milijonov evrov. Sploh ob možnosti, da bi kreker lahko prek Ajpesa okužil obiskovalce, torej kar precejšen del slovenskih podjetij.

SQL-ranljivost spada med osnove
Poleg tega je ranljivost takšne narave - da je načeloma ne bi smelo biti. Prav proti tovrstnim luknjam institucije najprej in najintenzivneje testirajo svoje sisteme. "Ranljivost z vrivanjem SQL-stavkov je ena najbolj znanih in najbolj kritičnih ranljivosti aplikacij, ki se povezujejo s podatkovnimi bazami," je pojasnil Luka Pušič s SICEH-a. "Je dobro dokumentirana in za zlorabo take ranljivosti obstajajo avtomatizirana orodja. Vsi programerji bi morali to ranljivost poznati, zato nas preseneča, da je taka ranljivost v AJPES-u sploh obstajala," je dodal. Na Ajpesu bogastva podatkov očitno niso dovolj marljivo varovali.

Kovačič: PR in zavajanje namesto 'po pravici'
Portal je po prejetju obvestila o ranljivosti takoj obvestil vse relevantne deležnike. Od Ajpesa je še isti dan dobil povratno informacijo, da je napaka odpravljena, zato je naslednji dan informacijo javno objavil. "Pozneje se je izkazalo, da to ni bila edina ranljivost. Jaz tega sicer nisem hotel preverjati, ker bi naredil kaznivo dejanje. A oni so ranljivost na SQL-vrivanje popravili točno na enem obrazcu, kjer je bila napaka najdena. Ne pa na drugih obrazcih. Ljudje so seveda testirali, in to odkrili, pa še kup drugih napak, ki jih do zdaj tudi nismo javno objavili," je bil kritičen sogovornik.

"Najprej bi morali preveriti, ali so zares popravili zadevo ali samo košček. Tukaj so zelo zavajali, hoteli so bolj delati PR kot povedati po pravici, kaj je. Rekli so nam, da je napaka odpravljena in zato smo šli v objavo. Seveda ni bila, in če bi mi to vedeli, potem bi počakali," je bil kritičen Kovačič.

Ajpes: Do širšega vdora ni prišlo
Na Ajpesu so pojasnili, da do večjega dostopa do nejavnih podatkov ni prišlo; dejansko naj bi bili prevzeti zgolj za eno osebo. Ocenili so, da je šlo za načrtovan in dobro organiziran napad, izvedli so ga strokovnjaki za informacijsko varnost, in to na kulturni praznik. Z analizo so ugotovili, da je se je ranljivost pojavila na dveh aplikacijah, ki so jih razvili zunanji izvajalci. Tiste, ki so jih razvili znotraj agencije, pa niso vsebovale te ranljivosti. Ajpesov vodja Službe za informacijsko tehnologijo Marjan Babič je pojasnil, da so po prejetju informacije takoj ukrepali in da je zunanji izvajalec, vzdrževalec portala, v večerni urah ranljivosti odpravil. Ponoči pa je bilo nakazano, da ista ranljivost obstaja še drugje in odpravili so jo do jutranjih ur. "Glede na število in zahtevnost aplikacij na portalu pa seveda pregleda vse kode ni bilo mogoče izvesti v tako kratkem času," je poudaril. Pozneje so vse testirali z odprtokodnim orodjem in ranljivost na vstavljanje SQL-stavkov naj bi bila odpravljena.

Drugi februarski incident
Proti koncu meseca je Slo-Tech prek anonimnega omrežja Tor prejel še eno obvestilo neimenovanega varnostnega raziskovalca, ki je našel več resnih ranljivosti v podpisni komponenti Ajpesa, v aplikaciji mdSign. Prva in najhujša: digitalni podpis v nekaterih primerih ne podpisuje dejanskih dokumentov, ki jih uporabnik pošlje Ajpesu, temveč je samo identifikator. "Kot bi na sodišču ali policiji dal izjavo, nato pa bi podpisal le številko spisa, ne izjave same," je pojasnil Kovačič.

To ne zagotavlja integritete dokumenta. Implikacije so lahko različne, v vsakem primeru takšne, "da je podpis popolnoma neustrezen in neveljaven", je zatrdil Pušič. Poenostavljeno: ni zagotovila, da je podpisani dokument, denimo letno poročilo o poslovanju podjetja, na strežniku Ajpesa nespremenjen. Ali pa da v "spisu" ni še kakšnega dodatnega dokumenta, za katerega s podpisom jamči sodelujoče podjetje.

Le v enem primeru
Babič je poudaril, da ni šlo za predvideno funkcionalnost in da ne ve, zakaj je zunanji izvajalec, podjetje Mojdenar, to izvedel na drugačen način. To še ugotavljajo, od podjetja pa so nemudoma zahtevali spremembo rešitve tako, da bo podpisan izvirni dokument. "Sprememba je že bila izvedena in jo bomo v naslednjih dneh po testiranju namestili v produkcijsko okolje," je napovedal. Poudaril je še, da je to edini primer, ki odstopa od običajne realizacije - gre za e-pooblastila. O morebitnem ukrepanju proti podjetju Mojdenar pa bodo odločali, ko bodo razjasnjena vsa dejstva, je pa sodelovanje do zdaj vedno potekalo "strokovno in profesionalno".

Kar se pa tiče dvomov o verodostojnosti dokumentov, je Babič poudaril, da lahko vsak pooblastitelj na spletni strani neposredno pogleda vsa pooblastila, ki so bila za posamezen poslovni subjekt izdana pooblaščencem. In obratno: pooblaščenci imajo na vpogled vsa prejeta pooblastila. Neposredno so vidni tudi vsi dokumenti, na podlagi katerih so bila pooblastila izdana. "Ker je število sistemskih administratorjev Ajpesa, ki imajo dostop do baze podatkov e-pooblastil, zelo omejeno, uslužbenci pa so preverjeni, drugi pa pravic za spreminjanje podatkov nimajo, je verjetnost zlorabe minimalna," je še zapisal. Nadalje bo Ajpes sam v najkrajšem možnem času opravil podrobno analizo shranjenih dokumentov in izvedel rešitve, ki ne bodo zbujale dvomov o integriteti e-podpisanih dokumentov, je še zagotovil.

Nared: Ni osnov informacijske varnosti
Strokovnjakov s SICEH-a pa to pojasnila niso zadovoljila. Podpis ni bil pripravljen z osnovnimi predpostavkami: zaupnosti, dosegljivosti in predvsem integritete podatkov - najosnovnejših načel informacijske varnosti. "Brez zagotavljanja integritete podatkov državljani zaupanje v celoti polagajo v etičnost in odgovornost ravnanja Ajpesovih zaposlenih, ki pa je ravno na podlagi nedavnih primerov vprašljiva," je zapisal Tadej Nared. Morda je komponenta tudi zakonsko neustrezna, saj mora biti elektronski podpis po zakonodaji učinkovito zaščiten pred poneverjanjem z uporabo trenutno dostopne tehnologije.

En sam, statičen šifrirni ključ za vse
Pa še ena napaka je v podpisni komponenti, ki morebitnemu napadalcu omogoča, da podpisniku v podpis z zvijačo podtakne poljubno vsebino. Podpisna komponenta vsebuje statičen šifrirni ključ - isti za vse uporabnike. Kdor ga pozna, ima ključ za vse druge v sistemu. Ajpes se je po razkritju sicer lotil, a na napačen način, so si enotni Kovačič in predstavniki SICEH-a. Agencija je zagato poskušala rešiti z uvedbo dodatnega nivoja šifriranja, a kot pojasnjuje Pušič: "Problemi ostajajo, saj podpisna komponenta ne preverja domene, na katero je vezano digitalno potrdilo za šifrirano sejo, tako da lahko napadalec podtakne svojega. Torej, z varnostnega vidika za zdaj niso naredili ničesar."

Babič: Nimamo usposobljenih strokovnjakov
Predstavnik Ajpesa je pojasnil, da Ajpes rešitev za e-podpisovanje ne razvija sam, saj za to nima zaposlenih usposobljenih strokovnjakov. Zato trditev iz prejšnjega odstavka, ki smo mu jih poslali v komentar, "Ajpes v tem trenutku ne more nedvoumno potrditi ali ovreči, saj nima dovolj strokovnega znanja na tem področju". Je pa agencija takoj pozvala izvajalca, naj nemudoma pristopi k analizi problema in izvede vse potrebne dejavnosti, da se morebitne varnostne ranljivosti čim prej odpravijo. "Pri analiziranju smo proučevali tudi nekatere bolj radikalne ukrepe, vendar smo presodili, da jih trenutno brez občutnega vpliva na delovanje storitev Ajpesa ni smotrno izvesti. Posledice za uporabnike bi bile nesorazmerno velike, saj mora okrog 170.000 zavezancev v tem obdobju izpolnjevati zakonske obveznosti oddaje letnih poročil."

Pojasnil je še, da agencija na trgu kupuje tiste uveljavljene rešitve, ki jih uporabljajo druge državne institucije, pa tudi tiste, ki so bile že nabavljene za javno upravo.

Podpisna komponenta kot zlonamerna koda?
Odkritih problemov še ni konec. Slo-Tech je ocenil, da se podpisna komponenta še naprej, tudi po Ajpesovih prvih popravkih, še vedno vede kot "učbeniški primer zlonamerne kode". Pa še to: pri Applovem operacijskem sistemu datoteko z digitalnim potrdilom shrani zašifrirano kar z geslom 1234 in uporabnika ne pozove, naj ga zamenja. " Če bi uporabnik nekje staknil zlonamerno kodo, bi zaradi tako slabega gesla napadalec z lahkoto prevzel uporabnikovo digitalno potrdilo, s katerim mu potem lahko napadalec ukrade identiteto," je nevarnost predstavil Pušič.

Babič je odgovoril, da se do teh hipotez Ajpes ne more opredeljevati iz dveh razlogov. Prvič, tehnične rešitve so v domeni zunanjega izvajalca; drugič, te hipoteze in izjave temeljijo na pretvorbi iz izvršne v izvorno kodo. "Po zagotovilih izvajalca navedena trditev o delovanju podpisne komponente ne drži, saj izhaja iz nepravilne interpretacije delovanja programske kode."

Ajpes: Uporabniki lahko zaupajo sistemu
Če potegnemo črto, lahko uporabniki Ajpesovemu sistemu zaupajo in ga uporabljajo v dobri veri? "Uporabniki lahko zaupajo sistemu Ajpes, ob uporabi vseh previdnostnih ukrepov na lastnih računalnikih in omrežjih, kot je to nujno in običajno tudi za uporabo drugih spletnih rešitev. Ajpes se bo trudil, da v najkrajšem času odpravi vse dvome in zaupanje uporabnikov ponovno dvigne na želeni nivo. Varnost portala Ajpes bo brez dvoma z nekaterimi že prej načrtovanimi ukrepi, ki po objavi novega portala zaradi okoliščin niso mogli biti takoj izvedeni, in ukrepi, ki so posledica prejetih informacij o dejanskih in potencialnih ranljivostih, na višji ravni, kot je bila prej. Ajpes se bo še naprej trudil, da bodo njegove storitve sodobne, varne, tehnološko ustrezne in uporabnikom prijazne," je zapisal Babič.

Vse ranljivosti, o katerih smo bili obveščeni, so po zagotovilih naših izvajalcev in vedenju uslužbencev Ajpes, odpravljene, je še dodal.

Kako hitro je prehitro
Pri razkrivanju ranljivosti v informacijskih sistemih se navadno uporablja sistem odgovornega razkritja. Ta v grobem nalaga, da je treba luknjo najprej sporočiti odgovornim in jim dati razumen rok, da jo lahko pokrpajo, in šele nato se lahko tudi javno objavi. Zlonamerni krekerji jih seveda sploh ne obelodanijo, saj jim omogoča nadaljevanje protizakonitih početij. Toda v tem primeru se je med Slo-Techom in Ajpesom kot akterjema razkritja in skrbnika sistema nekaj zalomilo.

Že v prvem primeru je Ajpes podal kazensko ovadbo zoper neznanega storilca. Policija bo torej poskušala izslediti, kdo je poskusno prodrl v Ajpesov sistem, in ga preganjati. Čeprav je ranljivost hitro razkril in se, kot trdi Ajpes, niti ni okoristil, temveč le dokazal obstoj luknje. Babič je potezo pojasnil takole: "V zvezi s prijavo suma kaznivega dejanja je bilo kar nekaj dilem. Glede na razvoj dogodkov je sprva res kazalo, da naj bi bile ranljivosti sporočene po principu odgovornega razkritja. Pozneje se je izkazalo, da spoštovanja tega principa, zlasti v delu, ki naj bi zagotavljal razumen čas za analizo in odpravo pomanjkljivosti, preprosto ni bilo. Če "raziskovalec" ob treh zjutraj pošlje e-sporočilo in napove objavo ranljivosti v medijih ob deveti uri zjutraj istega dne, je vsakomur, ki pozna kompleksnost kibernetske varnosti, jasno, da ne gre za razumen rok," je zapisal. Spomnil je, da je prav na ta princip ob robu zadeve najbolj opozarjal SI-CERT.

Babič: Lahko bi ravnali drugače
Pa tudi po tem poskusu se napadi na Ajpes niso končali, temveč so se nadaljevali v povečanem obsegu, s številnimi posnemovalci in z različnimi taktikami. Ajpes je bil zato prisiljen portal previdnostno, začasno zapreti. In to v času, ko je delovanje nujno zagotavljati brez prestanka, saj uporabniki množično oddajajo letna poročila. "Zaradi navedenega in dejstva, da se je Ajpes kot javna agencija čutil dolžnega obvestiti organe pregona, je Ajpes vložil prijavo zato, da se bodo v prihodnje upoštevala pravila odgovornega razkrivanja," je zatrdil Babič in dodal: če bi bila spoštovana, bi Ajpes brez dvoma ravnal drugače.

K večjemu soglasju in enotnim pravilom
Pozval je k uskladitvi pravil izvajanja varnostnega raziskovanja, pa tudi k javni objavi. Na ta način bodo raziskovalci ustrezno zaščiteni, tarče pa bodo lahko na ustrezen način in brez večjih negativnih učinkov na svoje storitve izvedle ukrepe za zmanjšanje varnostnih tveganj. Če do takšnih uskladitev ne bo prišlo, pa bo Ajpes proučil predlog SI-CERT-a, da sam javno objavi pogoje, pod katerimi bo dovolil preizkušanje varnostnih elementov na svojem sistemu.

Božič: Ne vidim razloga za hitenje
Da je objava prehitra, je dejal tudi vodja SI-CERT-a, Gorazd Božič. "Po moji osebni oceni ni bilo razloga za takšno hitenje in bolje bi bilo, če bi se z objavo počakalo minimalen čas, kjer bi lahko razvijalci napako odpravili. [...] Osebno ne vidim razloga, zakaj ne bi dali vsaj nekajdnevnega roka. Standardi, ki veljajo v tujini, se začnejo celo pri 30 dnevnih," je povedal za MMC.

Do zapletov na Ajpesu se ni želel opredeljevati. Strokovna ocena (ne)varnosti sistema lahko temelji le na resnem, sistematičnem in temeljitem pregledu in izdatnem testiranju, je poudaril. Popolnoma neustrezno bi bilo, če bi se kot predstavnik SI-CERT-a do tega opredeljeval le na podlagi podatkov iz medijev.

Podpisa drugje ne uporabljajo
Je pa Božič razkril še eno pomembno informacijo. Takoj po objavi so stopili v stik s podjetjem, ki je izdelalo podpisno komponentno, in povprašali, kje vse se še uporablja mdSign. Če bi namreč bil široko razširjen, bi lahko bila ranljivost epidemična. Mojdenar je SI-CERT-u zagotovil, da se mdSign koristi le še na eni sami spletni strani v Sloveniji, pa še tam je izvedba drugačna in neproblematična.

Aljoša Masten
Prijavi napako
Komentarji
bubista
# 08.03.2017 ob 07:02
Bravo Slo-Tech. Ste se le odlocili, da boste to svinjarijo objavili tudi na nacionalnem mediju.
deleted
# 08.03.2017 ob 07:40
Rad bi pohvalil Slo-Tech, ker imajo res zanimive in kvalitetne vsebine. Take rabmo!
roCkY
# 08.03.2017 ob 07:10
Tole gre tudi v tale kontekst:
https://slo-tech.com/novice/t695699#crta

Je pa neverjetno kako se vsak problem v SLO skuša zbanalizirat in zminimalizirat namesto javnot preprilat, da je zadeva 100,0% sanirana. Saveda tu ne mislim le na IT zadeve.
King Viljem
# 08.03.2017 ob 08:14
Zahtevam materialno odgovornost in odstop odgovornih! Pa ne le zun. izvajalcev!!
Imam pravico. Porablja se moj denar in gre za moje podatke!
gapipro
# 08.03.2017 ob 08:03
Samo eno veliko prelaganje odgovornosti.
Babič bi moral leteti iz Ajpesa, ker ne ve kaj govori. Prav tako pa bi že zdavnaj morali MojDenar zamenjat s katerim bolj klasificiranim podjetjem, ki ve kaj pomeni elektronski podpis.
Sibid
# 08.03.2017 ob 07:08
Ajpes se bo trudil, da v najkrajšem času odpravi vse dvome in zaupanje uporabnikov ponovno dvigne na želeni nivo.

Eno leto sem jih opozarjal na to...
sportivko
# 08.03.2017 ob 08:06
Kdo bo za to odgovarjal in prosim če lahko davkoplačevalcem vrnete denar?
Ilhan
# 08.03.2017 ob 07:54
Eden največjih nategov je tale software ajpesa.
Prav VSAKO leto že v najbolj osnovnih aplikacijah in preglednicah sprmenijo malenkosti, da se uporabnik lovi ko blesav. Prav vsako leto so težave pri osnovnih parametrih, letos so "posodobili" in katastrofalno pokomplicirali seveda še spletno delovanje. Da se o Silvester Peliasih in Fineusih in njunih napakah ne pogovarjamo.
Glede na to, koliko denarja stanejo računalniške storitve, si ne upam niti pomisliti, kako nek "znanec" služi na račun davkoplačevalcev.
rjaklic
# 08.03.2017 ob 09:41
In spet se oglasa rtvslo.si, ki nima niti httpsja vklopljenga za prijavo uporabnikom.
KKorupcija
# 08.03.2017 ob 09:26
Hm, precej nasprotujoče si izjave. Komu verjamemo?

+ = verjamemo slo tech in hekerjem
- = verjamemo Ajpes
arhitektka
# 08.03.2017 ob 08:33
Sem popoln laik glede internetne varnosti, službeno pač vse potrebne podatke oddajam.
Me pa vedno znova zmoti dejstvo, da kljub vsem elektronsko oddanim podatkom in obrazcem, na FURS, pa Ajpes itn., ko pride inšpektor, moraš oddajo obrazcev dokazovati ti oz. firma.
Kot da oni ne morejo pogledati v gozd vseh teh informacij, ki jih imajo in ugotoviti, da si nek obrazec oddal. Pa saj jaz z enim klikom vse vidim, kako da oni ne?
seven7
# 08.03.2017 ob 08:06
Bravo slo-tech.
malikaliber
# 08.03.2017 ob 07:15
Važno, da je nek znanec dobro zaslužil z davkoplačevalskim denarjem pa tudi če nič ne deluje. To je neuporabna programska oprema! Veliko si nekateri privoščijo in upajo.
TineB
# 08.03.2017 ob 09:45
Ta IT javne uprave je eno veliko s...nje!

pred dnevi so na e-davkih sporočili, da podpisna komponenta ne bo več delovala v novi verziji Firefoxa (v Chromu že itak dlje časa ne deluje več) v OS Ubuntu in MacOS!!!!

Torej te naš FURS s to tehnološko retardiranostjo svojo sili v monopolno uporabo Windows OS in internet Explorerja!!!! In to leta 2017!!!

Itak so e-davki eno veliko s...nje od platforme, s katero Comtrade (ex Hermes Softlab) očitno svinjsko služi, da FURSu vzdržuje to zastarelo platformo.

Še huje!!!!! Celotno poslovanje z Javnim invalidskim skladom je mogoče le z nekim prastarim Internet Explorerjem ali, pazi to, z Netscape Navigatorjem 9.0 !!! Ker pač vsi novejši programi ne omogočajo več teh prastarih podpisnih komponent, ki so varnostno tako ranljive, da jih novejši brskljalniki že dolgo več ne omogočajo!!!!!

Resno??? Leta 2017??? Obtičali smo nekje v letu 2000. In potem se nam minister Koprivnikar hvali, kako napredni smo na IT področju javne uprave. ROFL! Smešno, če ne bi bilo žalostno.
stevieg8
# 08.03.2017 ob 09:24
Če pustiš odklenjen avto, hišo, ... te lahko policija kaznuje - tukaj so pustili odprta vrata pa se zdaj lovi človeka, ki je v input za iskanje napisal nekaj, ajpes pa pač reče, da oni tega ne znajo.

Kakšno srečo imamo uporabniki linuxa, da nam nihče ne more nič, ko gre za uporabo orodij javne uprave... ker za linux pač ne delajo...
Ejnštajn
# 08.03.2017 ob 09:05
Zaščita teh sistemov je praktično nemogoča. Vedno se lahko najde kakšna varnostna luknja.

100% zaščite res ni. Nikakor pa to ni izgovor, da so v spletni aplikaciji agencije, ki vsebuje stotisoče osebnih podatkov, tako osnovne varnostne luknje kot je SQL injection.
viisaus
# 08.03.2017 ob 08:58
V Sloveniji v javni upravi tako ali tako nihče ne odgovarja,tako da ni problema.....
kunta kinte
# 08.03.2017 ob 09:45
tudi Telemach je pred dnevi "svetoval" svojim naročnikom,naj ne posodabljajo brskalnikov,če hočejo,da njihova D3GO deluje,zaradi lastne nesposobnosti in lenobe,enako FURS ...
Adebisi
# 08.03.2017 ob 08:55
Zaposleni v javni upravi imajo v pogodbi o zaposlitvi napisano, da pod nobenimi pogoji ne smejo priznati kakršne koli napake. Sistem to omogoča.
simon peter
# 08.03.2017 ob 09:14
Kdo je direktor podjetja Mojdenar?
Sibid
# 08.03.2017 ob 08:00
Enako velja tudi za NOT SECURE https://eracuni.ujp.gov.si/
amigo
# 08.03.2017 ob 07:47
&Krymsky
Težave se na učinkovit način rešimo edino tako, da odpravimo gotovino ... in bančni ropi postanejo zgodovina.

Odprava gotovine so mokre sanje globalistov. Tako bi ljudi imeli bolj pod kontrolo, kot so imeli lastniki v starem Rimu sužnje. Ali si želiš postati suženj?
hpet
# 08.03.2017 ob 10:05
V bran komentatorja @stevied8 bi zapisal samo to, da tako kot linux fani včasih prehitro komentirajo windows uporabnike, je tokrat obratno. V njegovem komentarju je pomemben zadnji stavek (verjetno vsi niste prišli do njega): "ko gre za uporabo orodij javne uprave... ker za linux pač ne delajo...". Kar je verjetno res, ker ti portali javnih služb še na windowsih ne delajo, ko jih potrebuješ.

Drugača pa bi to zadevo komentiral tako: Zgodba s portali in drugo programsko opremo javnih služb mi deluje precej podobno kot naročanje zdravil. Vsak po svoje, tako malo čez palec, predvsem pa čez veze. Da bi se javne službe poenotile in imele eno podpisno rešitev bi bilo utopično. Raje vsak svojo toplo vodo odkriva in plačuje za izdelke na nivoju "domače" rabe. Ker sem žal precej vezan na uporabi teh portalov imam trenutno na vseh računalnikih nameščene 4 glavne brskalnike in 5+ podpisnih komponent, ki so že lepo napolnile opravilno vrstico. Zakaj? zato ker enkrat deluje en brskalnik, drugič drug in vsak ima nekoliko svoje zahteve okoli podpisnih komponent. POPOLNA ŠTALA! ampak po X jamranjih njihovim tehničnim podpornim službam se ne zgodi nič. Mogoče te informacije ne pridejo naprej do pravih ušes? Mogoče so prava ušesa gluha? Znanost delajo tam, kjer je pravzaprav ni. Uporabnost teh portalov za ciljnega uporabnika pa je tudi žal zgodba, za katero pa je tukaj premalo prostora in časa. V glavnem, groza in sramota, ki je pa rezultat neznanja in neobvladovanja delovnih nalog odgovornih javnih uslužbencev (naročnika).
Domoljub
# 08.03.2017 ob 09:29
SQL injection??? Ne morem verjet.
Kje dobi firma Mojdenar programerje? Bo kdo odgovarjal? In potem se na Ajpesu skušajo še nekaj izgovarjati.
inferno666
# 08.03.2017 ob 10:42
@artoum
SQL injection je, da npr. preko obraza na strani, kamor uporabniki vpisujejo podatke, vneseš posebne ukaze, ki se potem na strežniku izvedejo. Se pravi namesto da v polje napiše Ime, vpišeš neko kodo, ki potem na strežniku izvede kar želiš. To velja za vse podate, ki jih lahko uproabnik pošija v aplikacijo. Za napad potrebuješ samo brskalnik in nekaj znanja.

Zakaj smo razvijalci tako alergični na to je, ker je to najbolj primitiven in osnoven napad. Vsak vodič o varnem razvoju spletnih aplikacij ga opiše v prvi lekciji. Ko razvijaš aplikacijo, je preverjanje vhodnih podatkov osnovna varnostna funkcija.
inferno666
# 08.03.2017 ob 10:29
Da stran ni bila varna pred SQL injectni. To je res čista osnova pri razvoju spletnih aplikacij.
Nekako tako, kot bi ti nekdo zgradil hišo, ampak vhodna vrata ne bi imela klučavnice.

Take šlamparije se je ne bi smeli privoščiti pri taki ceni aplikacije.

Ko sem spremljal zadevo na slo-techu me je še ena zadeva zmotila. Ko so raziskovalci prvič obvestili ajpes o težavi, so jih takoj obtožili vdiranja. To je klasična slovenska praksa, namesto da bi se zahvalili in zadevo rešili, so šli v PR ofenzivo in napad na prijavitelja. Namesto da bi jih zanimala varnost, jih bolj zanima ščitenje lastnih riti in riti naročnika.
gorcin
# 08.03.2017 ob 10:13
" V njih je množica osebnih podatkov, denimo EMŠO in davčne številke vseh lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v registru, ki ga vodi Ajpes." + malo dobrega socialnega inženiringa in bo pridobljen še kakšen podatek več. Kekci.
TineB
# 08.03.2017 ob 10:12
WTH????

"Babič je poudaril, da ni šlo za predvideno funkcionalnost in da ne ve, zakaj je zunanji izvajalec, podjetje Mojdenar, to izvedel na drugačen način. To še ugotavljajo, od podjetja pa so nemudoma zahtevali spremembo rešitve tako, da bo podpisan originalni dokument."

To FUUUUUL smrdi. Podjetje Mojdenar je očitno NALAŠČ v kodo vključilo to funkcionalnost, brez zahteve Ajpesa. Na čigavo zahtevo torej? Kdo je bil naročnik takšne funkcionalnosti, ki bi koristila popravljanje že oddanih dokumentov na Ajpes???? Da lahko neki mafiozoti potem popravlajk zadeve skrivno? Kot so programerji za blagajniške programe strankam omogočali brisanje računov za nazaj????

A teh firm in programerjev in kod nihče varnostno ne preveri??? Torej lahko vsaka žnj firma v SLO dobi razpis za IT v javni upravi - magari če nam jo tuja tajna služba ali mafijska združba podtakne??????

Res, bananarepublika brez primere.

Ko se bo cyber vojna začela, bo kdorkoli lahko Slovenijo sesula v treh minutah, očitno. Toliko o IT naprednosti v SLO.
stevieg8
# 08.03.2017 ob 09:52
Lej Ejnštajn, se mi ne da s tabo, ker ti funkcionalna pismenost očitno dela težave.
Linux user ji ne moremo uporabljati vseh servisov javne uprave - oz jih vsaj nismo mogli kakšen mesec nazaj, če se je to v tem času spremenilo potem super (to da piše kako stvar namestiti še ne pomeni, da dejansko to dela, ker je Chrome NPAPI, ki bi ga oni radi, umaknil že leta 2014).

In point ni bil v tem, da smo varni zaradi linuxa, ampak, zaradi tega, ker sploh ne moremo uporabljati JU in imajo lahko še take luknje in možnosti za zlorabe, ampak je stvar nerelevantna, če sploh ne moreš uporabiti nečesa - še enkrat, nisem govoril o SQL Injectionu, ampak o podpisovanju dokumentov.
sosman
# 08.03.2017 ob 09:41
To je tako, ko ti zadeve razvija "državi prijazno" podjetje, beri prisesano na državno dojko.

Podobno kot ono podjetje, ki vzdržuje tetro, potem pa se izkaže, da sploh ni kodirana.

Sami paraziti.
izo
# 08.03.2017 ob 18:43
pa čist tako, tole spada pod črno kroniko, ne pod znanost in tehnologijo.
hpet
# 08.03.2017 ob 10:55
@artoum: SQL je jezik za poizvedovanje po relacijskih bazah podatkov in je precej "berljiv". Npr. SELECT emso FROM tabela. Ker pa realni problem nikoli niso tako enostavni pozna SQL jezik množico nekih posebnih znakov oz. ukazov, kako nekaj interpretirat. SQL injection v poenostavljeni razlagi izkorišča enega izmed načinov priprave SQL staveka. Primer nekega iskalnika kjer je vnosno polje kamor uporabnik vpiše svoj iskalni pogoj po davčni številki: Program v ozadju bo na osnovi tega vnosa generiral SQL stavek, ki bi lahko zgledal približno tako: SELECT <ime podjetja> FROM <tabela podjetij> WHERE davcna = '<vpisana davčna v iskalnik>' . Kot vidiš sem uporabil narekovaje ' ' ki se pri SQL jeziku lahko uporablja za vnos nekega teksta. SQL injection (ali vrivanje ) bi v tem primeru bilo takrat, kadar bi ti v iskalnik vpisal npr: 123'45678 Vrinil si en narekovaj ' in s tem povzročil da je končni SQL stavek izpadel tako: .... WHERE davcna = '123'45678' kar bo povzročilo najmanj napako v izvedbi, ker si z dodanim ' povzročil "prehiter" zaključek vrednosti, vse kar sledi pa SQL misli, da je nadaljevanje ukaza. Če takšno vrivanje izvedeš na bolj inteligenten način... npr.... pa ti ne bom napisal da ne dam komu idej ;) To je zelo šolski primer in takšen pristop se iz teh razlogov v resnem programiranju praktično ne uporablja - razen pri ajpesu.
mb128
# 08.03.2017 ob 09:50
Mimogrede dve vprašanji.
A so pri Ajpesu sploh testirali sistem preden je postal operativen?
A pri Ajpesu sploh premorejo vsaj enega, ki bi mu lahko rekli informatik v pravem pomenu te besede?!
Pa še to.
Kako dolgo imajo že ta sistem avtorizacije?
stevieg8
# 08.03.2017 ob 09:38
@Ejnštajn

Dej preber članek in glej kje lahko po pesi dobi user, ne pa da pišeš bedarije, ker SQL injection je itak lahko samo napad na server ne pa na userja... Moje sporočilo je samo omenjalo, da nespoti ne znajo servisa zrihtat tako, da bi lahko tudi na linuxu uporabljal servise javne uprave, ker jim pač podpisne komponente ne delajo za kaj drugega kot winse in 3 različne kombinacije jabolka in določenih verzij določenih browserjev...
KKorupcija
# 09.03.2017 ob 17:35
Če je kaj je destruktivno je na primeru delovanje drzavnih organov. Ni hacker tisti, ki diskriminatorno obravnava subjekte, ni hacker tisti, ki je omogočil vpogled v podatkovne baze, temveč so za te šalabajzarije odgovorni kar drzavni organi sami. Zadeva je čisto enaka, kot bi nekdo na spletu našel otroško pornografsko gradivo na spletnem strezniku drzavne ustanove, drzava pa bi proti njemu podala ovadbo zaradi gledanja takšnega gradiva in vse ostale pustila pri miru. Če kaj ruši pravni red RS so s svojim do sebe selektivnim obravnavanjem, kar organi sami. Če bi se takšne stvari dogajale privat inštituciji, bi ze zdavnaj odreagirali na čisto drugačen način, a ne?

Izjave SICEH se mi zdijo povsod na mestu in dovolj detajlirane, še posebej ker gre za poljuden prispevek. Glede na to, da večina članov že tako sodeluje z drzavnimi organi, tudi policijo itd, tudi ne razumem kaj imas proti njim, ampak ok.

Ce pa misliš, da komponenta ob katero se obregnes ni v k., pa prosim razlozi kaj trenutno preprečuje SSL stripping? Dodatno naj komponenta, ne bi preverjala certifikata in lahko vrnes cert za poljubno domeno.

Solution: Ajpes bi lahko imel self-signed cert, svoj PK embedal v app in enforcal SSL. problem solved. Slednje je tudi odgovor na tvoj prvi post.
Ta žleht
# 09.03.2017 ob 13:50
Komentator Rasta75 ima prav.

Sem dober poznavalec SQLa in velikih baz podatkov. Očitno je aplikacija tako "šalabajzersko" napisana, da je AJPES lahko zelo vesel, da jim niso kaj izbrisali ali namenoma pomešali.

V bazah podatkov, kjer je varnost podatkov važna, se uporablja večstopenjska zaščita. Že pred samim izvajanjem SQL poizvedbe je možno izločiti več kot 99 % potencialno nevarnih poizvedb (SQL pod poizvedbo). Treba je analizirati iskalne pogoje in zavrniti neprimerne. Programersko je to nezahtevno programiranje. Zahteva pa veliko natančnosti in veliko testiranja.

Rešitev na nivoju SQL poizvedbe je prikazal Rasta75.

Za poizvedbe se lahko uporablja tudi tehniko stored procedure kjer se SQL poizvedba izvede nekako dvonivojsko. V primeru Microsoft SQL serverja je v stored procedure zelo težko podtakniti pod poizvedbo, ker se parametri poizvedbe prenašajo na drugačen način.

Razlika v času razvoja aplikacije ki deluje, in aplikacije ki deluje varno, je velika. Imeti je treba znanje in izkušnje. Prepričan pa sem, da v obstoječi aplikaciji še mrgoli varnostnih lukenj. Podtaknili so jim SQL pod poizvedbo, ki jo je najlažje preprečiti! Njihova osnovna poizvedba pa je podobna lekciji "my first SQL query".

Tisti ki je vdrl, ni bil heker! Kaj bi bilo, če se te aplikacije lotijo pravo hekerji, raje sploh ne pomislim.
arogantnež
# 08.03.2017 ob 15:38
mb128 je kot tisti IRC bot s katerim si se lahko pogovarjal v nedogled o čemerkoli. :P
KKorupcija
# 08.03.2017 ob 13:31
@dominico

kaj pa ima doktorski naziv veze s pentestingom, vulnerability disclosure ali upravljanjem portala? Večina svetovno priznanih pentesterjev nima formalne izobrazbe, ker se enostavno smatra za izgubo časa. Zadeve so na področju pravzaprav tako drastične da je FBI ne le spremenil pogoje glede zahtevane izobrazbe za svoj security folks, temveč tudi razmisljajo o umaknitvi no-drugs policy http://extract.suntimes.com/news/10/153/
12806/fbi-hackers-marijuana-employee-hiring-problems

"The FBI director said the agency is “grappling with the question right now” of how to weigh its marijuana policies with a growing need for top cyber security experts."

osebni napadi le kažejo na nemoč. na področju se obmetavamo z argumenti in POCi.
arogantnež
# 08.03.2017 ob 13:07
Šola: "Zdravo, tu šola vašega sina. Imamo nekakšne probleme z računalnikom."
Starš: "Ojoj! A je spet kaj pokvaril?"
Šola: "Ja, - na nek način. Ali ste res svojega sina poimenovali Robert'); DROP TABLE dijaki;?"
Starš: "Ah, ja... Mali Robi Tejbls mu pravimo."
Šola: "No, pravkar smo izgubili vse podatke o svojih dijakih za tekoče leto. Upam, da ste zadovoljni."
Starš: "Jaz pa upam, da ste se naučili prečistiti vnose v svoje podatkovne baze."

https://xkcd.com/327/
Rasta75
# 08.03.2017 ob 13:04
mb128: "Binder
Le zakaj kompliciraš in relativiziraš obenem?! Veš s tem je pa tako, če hočeš neko stvar uporabljati moraš izopljnjevati tudi določene pogoje. V tem primeru statični IP naslov."

Spet bluziš.
Se ti sploh zavedaš, da je dinamični IP eno najboljših sredstev za izogibanje/preprečevanje ciljanim kibernetskim napadom? Če imaš dinamični IP lahko v primeru ciljanega napada enostavno prekineš povezavo in se naslednji trenutek povežeš v splet z drugim IPjem, napadalcu pa lahko zaželiš vso srečo pri odkrivanju tvojega novega IP naslova. Sam nikoli ne bi prostovoljno zamenjal dinamičnega IP za statičnega. Za ustrezno preverjanje in zagotavljanje istovetnosti na spletu obstaja množica drugih, učinkovitejših postopkov (eden najpreprostejših in hkrati najzaneslivejših načinov je dvostopenjska avtentikacija - two step authentication); ne nazadnje se da IP naslov v paketkih "ponarejati" (spoofing) povsem brez problema. Skratka, vezava oz. zanašanje na IP pri avtentikaciji je totalen in neučinkovit idiotizem.
KKorupcija
# 08.03.2017 ob 11:59
@mb128

kaj pa ti pomagajo varnostne kopije prirejenih dokumentov? Ali misliš, da institucije religiozno drzijo backup na določen dan cez obdobje npr 4 let? :)

V osnovi pa sploh ne razumeš problema. Podpisna komponenta zagotavlja varnost predvsem uporabniku, da je dejansko podpisal dokument, kot ga je oddal. Je torej varovalka državljana pred potencialno zlorabo institucije. Backups iz tega stališča ne rešujejo ničesar.
am shagar
# 08.03.2017 ob 11:03
Kaj pa, če je tisti, ki je to delal, na plačilni list nekoga in je to naredil nalašč?
gapipro
# 08.03.2017 ob 10:30
http://lmgtfy.com/?q=SQL+injection
Ejnštajn
# 08.03.2017 ob 10:03
V tem kontekstu ti dam prav (in iz istega razloga večina javne uprave ne podpira več FireFox 52, saj je ukinjena podpora za NPAPI vtičnike).

Sem pač alergičen na izjave tipa "mi na linuxih pa..." ker dnevno delam z njimi (linuxi in ljudmi) in je glavni problem še vedno PEBKAC, ne pa operacijski sistem.

Jih pa na koncu lepo pozdravim z:

0110101001100101011000100110100100100000
0111001101100101001000000011101000101101
01010000
Ejnštajn
# 08.03.2017 ob 09:32
@stevieg8

Luknje tipa SQL injection nimajo vez z OS in ti Linux tukaj čisto nič ne pomaga.
Simba
# 09.03.2017 ob 15:17
Sem moral članek 2x prebrat...Enostavno še vedno ne morem verjet da je nekdo jim udrl z SQL Injection postopkom. R O F L! Tole definitivno ni bil heker. Je pa definitivno bil učenec hekanja in je šel malo čez kakšen tutorial!

Teli ajpesovci nimajo pojma kaj so sploh naredili! Tu gre za krajo VSEH podatkov! Oni nimajo blagega pojma koliko je bilo vdorov! Pa tud vem zakaj ne - ker če niso porihtali niti sql injection-a, pol ziher nimajo poštimano tudi logiranja! Resnično upam, da je bil en učenec hekanja in da ni šel zbirat podatkov za preprodajo.

Nazanje sem se z sql injection srečal še ko sem programiral na classic asp-ju :D jao!
xerces8
# 08.03.2017 ob 20:22
"Brez zagotavljanja integritete podatkov državljani zaupanje v celoti polagajo v etičnost in odgovornost ravnanja Ajpesovih zaposlenih, ki pa je ravno na podlagi nedavnih primerov vprašljiva,"

Kot da je v drugih organih drugače...
Emsho
# 08.03.2017 ob 16:53
A vam ni čudno, da podjetje (Mojdenar IT), ki vzržuje finančni portal za svetovanje pri poslovnih in investicijskih odločitvah in je glede na njihovo spletno stran izdelalo IT rešitve investicijskim skladom, kot sta Alta invest, NFD, Poteza... (vir: http://mojdenar.si/Documents/Reference_2
.aspx), vnese na lastno pest kodo v Ajpes, ki jim omogoča pridobitev podatkov iz njihovih baz? Ne vem, no, meni se zdijo tole takšne insajderske informacije, ki lahko precej pomagajo investicijskim skladom a ne?

Spet teorija zarote vem, a je pa precej logična, se vam ne zdi? Imaš neomejen dostop do bilanc še preden so javno objavljena...
KKorupcija
# 08.03.2017 ob 15:03
@mb128

sicer ti je ze odgovoril Rasta, sicer pa dodajam vprašanje od kdaj je Republika Slovenija uradni promotor Microsoftovih produktov in tržnik za tujo korporacijo? Pravila organizacije my ass.

Kot so ze povedali drugi komentatorji, različni državni portali uporabljajo tako zastarele tehnologije, da ko kdaj pridem urejati sistem v kakšno odvetniško pisarno, prej zmolim roženkranc da me flashback v leto 2000 ne udari preveč po grbi.
Rasta75
# 08.03.2017 ob 14:54
mb128: "Še nekaj. A zopet jaz kot laik tukaj pogrešam vsaj eno stvar?!
Poglejte, članica Eu smo že dolgo in kot taki smo morali HARMONIZIRATI našo zakonodajo z Eu-jem vsaj deloma. Ergo, Ajpes ni neka naša posebnost mar ne?! Skratka, vsaj po logiki mora obstajati avstrijska različica Ajpesa, nemška različica itd. Kako imajo to zadevo rešeno tam? A njihovi Ajpesi tudi zatevajo tiste famozne API-je?! Če temu ni tako, zakaj pa je pri nas še vedno tako?!
Sicsr pa, vsaj po moje, zganjajo burjo nekateri povsem odveč ali celo namenoma. Varnostni incident se je zgodil zaradi posega v bazo podatkov od znotraj, razumi, nekdo, ki je zaposlen pri Ajpesu se je "igral"."

Pa kaj, si ti danes povsem funkcionalno nepismen?
Na te "famozne APIje" se je pri razvoju spletne aplikacije oprl razvijalec, za izvedbo front-enda. Še stotič ta API z bazo (back-endom) nima nobene veze. Kot drugo, varnostni incident se ni zgodil od znotraj, saj za to ne potrebuješ SQL injection-a, temveč je šlo dejansko za vdor od zunaj, preko enega od vsej javnosti dosegljivih spletnih obrazcov AJPESove spletne aplikacije. Ti bo treba tudi to narisati?
Kazalo