Sodra ir jos “aukšta kompetencija”

Delfi paskelbė labai įdomius duomenis – apie Sodros sistemas. Į ką, žinoma, puikiai sureagavo valdžiažmogiai:

"Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos įvertino pateiktą informaciją ir nustatė, kad minėta portalo saugumo spraga egzistuoja ir artimiausiu metu bus pašalinta. Komitetas mano, kad sukurta sistema saugi" […] "Tačiau, pasak A. Trakimavičiaus, norint pasinaudoti šia spraga būtina aukšta kompetencija sistemų saugos srityje, o įprastiniams interneto naudotojams pasinaudoti tokia spraga esą nebūtų įmanoma".

Taigi, šita saugumo skylė, kurią paliko kai kuriuose sluoksniuose plačiai žinoma kontorėlė "ERP", matyt puikiai gali būti panaudota kiekvieno mažvaikio, redaguojančio kukius. Zašybys. Turime šalyje vos kokią dešimtį tūkstančių "aukštos kompetencijos sistemų saugos srityje" specialistų, kurie turi galvoje košės gerokai daugiau už visokius trakimavičius, todėl puikiai gali tas skyles panaudoti. Ir žinoma, dar keli milijonai panašias kompetencijas turinčių mažvaikių sėdi kitose pasaulio šalyse. Jau nekalbant apie visokias specifines tarnybas, kurios, reik manyti, jau seniai viską galėjo nusisiurbt.

Nesuprantantiems galiu paaiškinti tik tiek – šita saugumo skylė yra tokia, kad VSD, jei užsiiminėtų ne visokiomis išgalvotomis čečėnų teroristėmis, o realiais darbais, jau turėtų būti prevenciškai pasodinęs visą ERP vadovybę, dalyvavusius programuotojus ir būrį Sodros darbuotojų belangėn, kol nebus išsiaiškinta, kas kaltas ir ką pasodinti ilgiems metams kalėjimo. Nuo interneto tie Sodros serveriai turėtų būti atjungti fiziškai, kas, kiek suprantu, iki šiol nepadaryta: "artimiausiu metu bus pašalinta" – gal tai reiškia, kad ir toliau viskas veikia su tomis pat skylėmis?

Tai yra tiesiog nesuvokiama. Ir tie valdžiažmogiai dar drįsta kalbėti apie "sistema yra saugi". O STT siūlyčiau pasidomėti atkatais, kuriuos, kaip sakoma, "kas galėtų paneigti", kaip VSD dar patarčiau pasidomėti ir tuo, koksai su skandalu susijusių žmonių pažeidžiamumas galėjo čia atsirasti.

Upd.: "Registrų centras dėl pastebėtos duomenų saugumo spragos uždraudė bet kokį prisijungimą per Elektroninės valdžios vartų portalą prie teikiamų elektroninių paslaugų". Šaunuoliai. Sodra per porą dienų be pašalinių įsikišimo taip ir nesugebėjo susiprast. Kaip ir tas, atsiprašant, komitetas. O Registrų centras labai gerai įsikišo, žmonės su galvom, suvokiantys realybę ir pasekmes. Pagarba.

Rokiškis Rabinovičius rašo jūsų džiaugsmui

Aš esu jūsų numylėtas ir garbinamas žiurkėnas. Galite mane susirasti ir ant kokio Google Plus, kur aš irgi esu Rokiškis Rabinovičius+.

Dalinkitės visur: Share on Facebook0Share on Google+0Share on LinkedIn0Tweet about this on Twitter

49 thoughts on “Sodra ir jos “aukšta kompetencija”

  1. zeppelinus

    Tokiame fone
    inirtingos nekurių veikėjų pastangos prastumti internetinį balsavimą sukelia dar daugiau konspirologinio pobūdžio minčių.
    „Kas galėtu paneigti..?“(C)

    Reply
    1. rokiskis Post author

      Re: Tokiame fone
      Tokia prielaida yra praktiškai neįrodoma, nors ir tirtina. Duotąjame kontekste -- taip, tai gali sukelti net ir tokių minčių, kaip apie planuotą falsifikavimą.
      Beje, iš sisteminės pusės -- įprastos uždaro kodo sistemos yra konceptualiai nesaugios: nustatant sistemų saugumą, turi būti remiamasi bendrąja prielaida dėl nesaugumo, įrodant saugumą nuosekliai pagal visus įmanomus vykdymo scenarijus bei įrodant, kad kiti, nei nagrinėti scenarijai negalimi, t.y., priešinga prielaida, esą sistemos saugios ir reikia įrodyti nesaugumą -- yra invalidi.
      Tai jau metodinis dalykas: apsaugos priemonės, kurios negali būti pilnai išanalizuotos nepriklausomų ekspertų, yra užtikrintai nepatikrinamos. Saugiomis galima laikyti tiktai patikrinamas sistemas. Šiuo atveju, atrodo turim būtent sistemiškai nepatikrinamas, t.y., sistemiškai nesaugias.
      Dėl to, kad nuosekli scenarijų analizė dėl saugumo nebuvo vykdoma, galiu kirst lažybų -- kitaip ši skylė būtų atrasta jau pačiuose pirmuose softo tikrinimo etapuose. Ir dar -- ten, kur reikalavimai saugumui yra kardinalūs, kaip kad šiuo atveju, saugumo projektavimo, saugumo analizės, užtikrinimo ir palaikymo priemonės kainuoja daugiau, nei visi likę projekto kaštai kartu sudėjus.

      Reply
  2. karpienis

    🙂
    „Vyriausybė trečiadienį posėdyje nutarė siūlyti Seimui įteisinti galimybę balsuoti elektroniniu būdu rinkimų apylinkėse.
    Anot susisiekimo ministro Eligijaus Masiulio, pagal šį Susisiekimo ministerijos siūlomą projektą elektroninis balsavimas nebūtų leidžiamas kitose vietose, išskyrus specialias kontroliuojamas zonas rinkimų apylinkėse.
    E.Masiulis šį projektą pavadino eksperimentiniu -- vėliau esą tikimasi suteikti galimybę atiduoti savo valią tokiu būdu ir namuose.
    Ministro teigimu, balsavimas internetu būtų naudingas tiems žmonėms, kurie nori balsuoti kitoje apylinkėje nei yra priregistruoti: „Naudojant šitą technologiją, rinkimų dieną jis galės balsuoti bet kurioje apylinkėje nepaisant to, į kokios rinkimų apylinkės sąrašą jis įtrauktas“.
    Kaip teigia projekto rengėjai, elektroninis balsavimas paskatintų aktyviau dalyvauti rinkimuose ir referendumuose. Šiuo būdu galima būtų pareikšti savo valią prezidento, Europos Parlamento, Seimo, savivaldybių tarybų rinkimuose ir referendumuose.
    Ministras tikino, kad elektroninis balsavimas apylinkėse būtų saugus, kadangi kontroliuojamose zonose budintys žmonės stebėtų, ar balsuojantiesiems nedaromas spaudimas. Balsų skaičiavimo sistema taip pat esą patikima ir saugi.
    Susisiekimo ministerijos teigimu, šios projekto įgyvendinimas kainuotų iki 7 mln. litų. Anot E.Masiulio, tam būtų naudojamos Europos Sąjungos (ES) lėšos.
    Ministras sakė tikintis, kad balsavimas internetu bus leidžiamas jau per kitąmet vyksiančius vietos valdžios rinkimus.
    Lietuvos politikai jau ne vienerius metus diskutuoja, ar įteisinti balsavimą internetu, tačiau Seimas iki šiol tokioms iniciatyvoms nepritarė.
    Naujienų agentūros BNS informaciją atgaminti visuomenės informavimo priemonėse bei interneto tinklalapiuose be raštiško UAB “BNS” sutikimo draudžiama.“

    Reply
    1. zeppelinus

      Re:“Kas galėtu paneigti..?“(C)
      Aha, štai ir pavardės pradeda ryškėti.
      Mūsų mielieji liberalsajūdiečiai -- masiuliai, steponavičiai, auštrevičiai, donskiai, navaičiai, šileikiai ir kitokios teišerskytės sau politinę ateitį virtualioje erdvėje kuriasi.
      Tsakant, nematomą virtualių liberal-rinkėjų armija;)

      Reply
    1. rokiskis Post author

      Beveik ląžintis galėčiau, kad kaltų neliks. Daugų daugiausiai -- koks nors adminas, nors klaida pagal visus požymius -- absoliučiai sisteminė, susijusi su projektavimu ir priežiūra, o pats skandalas -- su palaikymu. Nors pagal pažeidimo mastą vertėtų kalbėti apie labai aukštus postus užimančių asmenų atleidimą, taip pat ir apie tą patį komitetą su jo įsidėmėtinu elgesiu.

      Reply
    1. rokiskis Post author

      Pas Sodrą išvis neaišku, kas galvoj jiems. Tai tokia įmonė, kad bent jau žiūrint į įvairias išoriškai matomas simptomatikas, neįmanoma net spėliot, kas ten vyksta.

      Reply
  3. Anonymous

    Klaidų nedaro tik tie kas nedirba. Kur kas įdomesnė to projekto sąmata -- 6 milijonai litų čia ne juokas. Manau visą duomenų centrą būtų galima pastatyti ir dar liktu tos sistemos programuotojams ir testuotojams pasamdyti.

    Reply
    1. rokiskis Post author

      Projekto suma, kaip tokios rūšies daiktui -- visai normali, galėtų būti net ir didesnė. Bet su sąlyga, kad projektas daromas rimtai, o ne ant snarglių kokių nors. Kita vertus, mes juk nežinome, kaip ten buvo daroma, tiesa? 🙂

      Reply
      1. Anonymous

        Aš tai tokių projektų nevykdęs todėl nedrystu ginčytis. Juolab jeigu už viv.lt valstybė atseikėjo virš 600 tūkstančių Lt tai 6 milijonai už e-vartus irgi gali pasirodyti nedaug. Nors mano durna galva, kad ir kaip besisuktum išleisti 6 milijonus privačių pinigų niekas neleistu. Kai pinigai kaip ir niekieno tai…

        Reply
        1. rokiskis Post author

          Matai, yra toks dalykas tiesiog, kad projekto sudėtingumui ir reikalavimų griežtumui augant tiesiškai, projekto vykdymo kaštai auga eksponentiškai. Iš to atsiranda realiai didžiulės savikainos iš pirmo žvilgsnio lyg ir ne itin sudėtinguose projektuose.
          Kita vertus, pastebėjimas apie tai, kad išleist 6 milijonus ten, kur galima apseiti su 600 tūkstančių nieks neleistų -- irgi logiškas 🙂 Ir, tarp kitko, koreliuojantis su tos saugumo skylės pobūdžiu (t.y., pakartotinės autorizacijos nebuvimas po pirminės autorizacijos), t.y., požymiais, kad sistemos saugumo projektavimas ir funkcinė saugumo analizė galimai išvis nebuvo vykdomi.

          Reply
          1. Anonymous

            Kaip rusai sako: „daug raidžiu, visų ir nepažystu“. Ta prasme kad labai daug išvedžiojimų, nors itariu kad tamstos patirtis su tokiais projektais ne ką gilesnė nei mano. Todėl čia jau daugiau kiekvieno iš mūsų intuicijos reikalas -- vertas toks projektas 6 milijonų ar ne. Man tai atrodo smarkiai išpusta suma net jeigu ten viskas veiktu idealiai.
            Beje dėl viv.lt tai irgi nesupratote, arba gal netgi neteko girdėti? Čia kai gerbiamas istorikas Bumbliauskas įkūrė VŠĮ, gavo 600 tūkstančių ir juos išleido kurdamas viv.lt . užeikit, įvertinkit. Tikiuosi bent viv.lt atveju sutiksite kad projektas nevertas ir 60 tūkstančiu.

            Reply
            1. rokiskis Post author

              Tai, ką tamsta įtariate ar neįtariate apie mano patirtį -- man giliai poxuinesvarbu. O tai, kad gal būt nesuprantate, kas rašoma, nes daug raidžių -- tai jau tamstos problema, kuria bandyti remtis, kaip argumentu -- tai lygiai tas pats, kas prašytis pasiunčiamam genderiškai abstrahuota kryptimi, o tokių pasiuntimų, jei ką, šiame žurnale aš visiškai nesidroviu netgi pačia atviriausia forma, apie ką maloniai tamstą informuoju.
              Taigi, jei aukščiau esančioje dalyje jums raidžių pasirodė per daug, likusio, žemiau esančio teksto galit ir neskaityti.
              Konkrečiai apie viv.lt -- projekto kainos pagrindinė dalis (mažiausiai 3/4) tokio tipo projekte turėtų tekti ne techninei sistemos realizacijai, o turiniui. Tai visiškai priešingas atvejis. Skaičiuoti, kiek ten turinio -- nesiruošiu, nors jei kažko nepraleidau, straipsnių gautųsi vargiai daugiau, nei kokie 200. Esant nestruktūruotam turiniui, galima skaičiuoti apie 20-200lt už straipsnį, priklausomai nuo įvairių faktorių, pvz., nuotraukų kiekio ir jų retumo/kainos, turinio apimties, informacijos specifiškumo, etc.. Kita vertus, trimačiai modeliai -- tai jau brangesnis malonumas, bet jų ten nedaug ir jie primityvūs. Bet taip ar anaip, sutinku, kad 60 tūkstančių -- tai maždaug viršutinė riba, net žvelgiant į tas sumas gan išlaidžiai.
              Kita vertus, patariu neužmiršti, kad VŠĮ galimai atlieka ne vien puslapio priežiūrą, o ir įvairias kitas veiklas, kurioms vėlgi tenka dalis, o apie tai nuspėti bent jau iš puslapio -- gan sunku.
              Jei vertintume bendrai įspūdžiais ir labai asmeniškai, pasakyčiau, kad tas viv.lt puslapis -- tiesiog šlykštus ir debiliškas. Jau vien už tas vimdančias muzikėles puslapio autorius galima būtų siųsti naxui atviru tekstu ir nesigėdinant.
              O bendrai, patarčiau daugiau skaičiuoti ir remtis įvertinamais dalykais, o ne prielaida, kad „jei vieni, tai ir kiti“.

              Reply
              1. Anonymous

                Tas karštis veikia mus visus, bet tamsta berods labiau nei likusius 🙂
                Jeigu gryžti prie temos apie viv.lt, tai suprantu kad 2 valandą nakties esant tokiam karščiui sunku prisiversti bent kiek giliau pažvelgti kas tai per projektas. Todėl gali netgi pasivaidenti kažkokie ten esantys straipsniai. Nors realiai ten nė 200 pastraipų teksto nesurasit. Apie straipsnį nė svajoti netenka -- nėra ten straipsnių. Anei vieno. Jeigu rasit pasidalinkit su manim.
                Apie trimačius modelius tai galiu tik įtarti, kad turėjote omenyje tas berods 2 foto galerijas? Tai jų vertė $37 : http://activeden.net/item/igalleryx-advanced-media-gallery/53665 . Nekalbant apie tai kad realizacija naudojant iframe tai kažkas baisaus ir dvelkia praeitu dešimtmečiu. Visas puslapio dizainas toks iš web 1.0 laikų. Vien jau logo_left.jpg kokybė rėžiantį akį viso apsilankymo metu parodo projekto lygį…
                e-vartų atveju kažką analizuoti kur kas sunkiau, todėl kad ten galima slėptis už didžiulių programavimo kaštų kuriuos ir tikrai sunku įvertinti nežinant kaip tas projektas veikia. Mano prielaida, kad suma smarkiai perdėta rėmėsi informacija kiek kainuoja „enterprise solution“ (neįsivaizduoju kaip taip parašyti lietuviškai) lygio projektai su oracledb ir sun serveriais banko turinčio filialų visame pasaulyje ir darbuotju skaičiumi turbūt nenusileidžiančiu lietuvos biurokratijos aparatui. Bet e-vartų projekte neteko rasti informacijos apie kažkokią tai brangiai kainuojančią įrangą, apie kurią aš manau jie būtų būtinai pasigyrę. O patyrinėjus e-vartų tinklapio footer ir pamačius kas prisidėjo prie to tinklapio kūrimo daugmaž viskas palieka aišku. Tiek kur tas projektas laikomas, tiek kas užsiėmė jo realizavimu. Ir kadangi yra tekę susipažinti su tu firmelių ankstesniais web (ir netik) sprendimais tai daug maž galiu įsivaizduoti, kad to projekto sutvarkyti ir nebeįmanoma -- pigiau bus perdaryti iš naujo. Apie 6 milijonus geriau patylėsiu, bet tai buvo galima įgyvendinti ir su mažiau nei milijonu Lt.

                Reply
                1. rokiskis Post author

                  Na va, ir vėl jūs kalbate apie akėčias, kai aš -- apie vežėčias. Aš apie turinį, jūs apie softą. Aš apie saugumo architektūrą, jūs apie kažkokias serverių ir db kainas 🙂 Ir dar nesidrovit kalbėti apie „enterprise solution“, pats nesuprasdamas, ką tai reiškia, ar, tiksliau, kad tie marketinginiai žodžiai išvis nieko nereiškia 🙂 Supraskite, mielasai, kad žaliavos (kažkokios paveiksliukų programėlės, serveriukai ir pan.) -- tai tik menka dalelė savikainos custom projektuose 🙂
                  Ir dar ginčijatės, verždamasis pro atviras duris 🙂
                  BTW, kad trimačių modelių ar straipsnių nematėte -- tai jau vėl jūsų problema -- jei jau siūlote kažkokius pavyzdžius, tai bent jau pats su tais savo siūlomais pavyzdžiais susipažinkit 🙂

                  Reply
                  1. Anonymous

                    Tas projektas nevertas nė laiko kurį sugaišome apie jį diskutuodami. Bet jeigu kada atsirastu noro ir laisva minutė gal nepatingėkit ir patalpinkit nuorodas į tuos trimačius modelius ir straipsnius kurie Jūsų manymu ir sukelia projekto vertę.

                    Reply
                    1. rokiskis Post author

                      Mielasai, kadangi pavyzdį teikėte jūs, tačiau jūs pats net tingėjote savo pavyzdį pasižiūrėti, o kartu, bandydamas diskutuoti, netgi patingėjote paskaityti, kas jums, brangusai, buvo rašoma čia, o dabar ir toliau išsikalinėjate, ginčydamasis, kiek suprantu, pats su savimi ir projektuodamas į mane savo paties briedą, siunčiu jus naxui arba ta pačia viv.lt kryptimi (kaip jums patogiau). Sėkmės.
                      BTW, pasiuntimas naxui suprastinas įprastai: valink naxui, neadekvate.

                    2. Anonymous

                      tikiuosi jūsų adekvatus elgesys virtualioj erdvėj padeda išspręsti erekcijos sutrikimus realiam gyvenime 😀

                    3. rokiskis Post author

                      Jei manote, kad jūsų silpnaprotiški bandymai trolinti kažką pakeis, klystate. Debilų netoleruoju, tad arba netęskite, arba būsite naxui pasiųstas prievartinai, t.y., uždedant baną.

                    4. Anonymous

                      Jeigu tai tik padės išspręsti jūsų problemas tai baninkit į sveikatą -- bent kažkas tai turi elgtis adekvačiai 😀

                    5. rokiskis Post author

                      Ok, kadangi jums nedašyla, kad silpnapročiai čia nėra laukiami, tai duodu jums baną. Išties tai padės išspręsti problemą -- pašalins jūsų įkyrų zyzimą 🙂
                      Beje, gal jus tai nudžiugins, bet tai tėra antras kartas, kai čia kažką baninu. Jums banas skiriamas ne už keiksmus ar įžeidinėjimus, juos čia toleruoju. Netoleruoju tiktai bukumo ir demagogijos 🙂

                    6. Anonymous

                      Jūs gal apsispreskit bent dėl saves dėl ko mane užbaninot -- ar tai dėl neadekvatumo, ar tai dėl bukumo ir demagogjios.
                      Tik neužmirškit, kad likusieji vistiek mato tikrasias to priežastis 😀

                    7. rokiskis Post author

                      Bukumas ir demagogija -- tai ir yra neadekvatumas 🙂
                      O tie kam reikia -- puikiausiai žino, už ką čia kas būna baninamas, o kas nežino -- tiems ir nereikia. Jau nekalbant apie tai, kad man giliai nusispjaut, ką kas mato ar galvoja apie mane -- neturiu tokio komplekso, kaip priklausomybė nuo aplinkinių nuomonės 🙂
                      Taigi, linku jums sėkmės, o kadangi esate įkyrus ir nesupratingas, tai ir ant IP duodu jums baną. Ate.

                    8. rokiskis Post author

                      Oj kaip liūdna, pasirodo, nesigauna čia per IP užblokuoti 🙂 Na ką, paliksim tiesiog jus eiliniu Anonimu ir ignoruosim. Ką padarysi 🙂

            2. Anonymous

              A.S.
              Jūs gal būt dar nežinote kad šitas chamiškas patirties neturintis Rokiškis yra garsiausias Lietuvos IT vadybos specialistas. Todėl apsijuokėte.

              Reply
              1. Anonymous

                Re: A.S.
                Kad garsiausias tai sutinku -- seniai ant manęs niekas taip nešaukė.
                O ir su microlink yra tekę susidurti. Todėl puikiai žinau koks jis specialistas. Bet, net jeigu jis būtų Nobelio premijos laureatas, niekas jam nedavė teisės elgtis taip kaip jis elgiasi. Tai visada grįžta bumerangu. Aukščiau esantis įrašas puikus pavyzdys.

                Reply
                1. Anonymous

                  Re: A.S.
                  Aš manau, kad jis nekaltas, kad jus įvertino, kaip vieną iš tų trolių, kurie čia ateina. Daug paprasčiau yra pasiųsti ką nors, nei aiškintis priežastis, dėl kurių žmogus ginčijasi ar kažko nesupranta.

                  Reply
                2. rokiskis Post author

                  Re: A.S.
                  Mielasis, aš pats sau duodu teisę elgtis taip, kaip elgiuosi, nors tai jus ir stebintų 🙂
                  O šiaip, kol kas atbaninau, nes kadangi pagal IP nesibanina, tai ir prasmės, kaip sakant, nėra 🙂
                  Priimkite tiesiog kaip duotybę: čia yra toleruojami tiktai argumentai ir mastymas, bet ne blevyzgos iš serijos „aš irgi turiu nuomonę, todėl ją turit toleruoti“. Ir ypač nepakenčiami čia nusišnekėjimai, paremti nekompetencija, t.y., mastymu iš serijos „jei aš nesuprantu, reiškia kažkas neteisus“.

                  Reply
                  1. Anonymous

                    Re: A.S.
                    Manęs seniai jau niekas nebestebina. Juo labiau tokie dviveidžiai kaip jūs, kai esate mandagumo įsikūnijimas realiam gyvenime ir susireikšminęs bei arogantiškas šmikis virtualiam pasaulyje.
                    Dėl unban tai be reikalo -- aš nepasikeičiau ir nežadu. Tik juokingai atrodo kai toks visų išaukštintas (o greičiausiai ir pats tuo šventai tikintis) IT specialistas gaišta laiką IP banams. Lj kur kas protingesni ir supranta kad tai beprasmis laiko švaistymas. Kaip beje ir bandymas užbaninti ką nors su asmeniniu OpenID.
                    Kadangi užuodžiu naują baną, tai atsisveikinimui:

                    anot Jūsų baninama tik kai skaudžiai užminama? 😀

                    Reply
                    1. rokiskis Post author

                      Re: A.S.
                      Ne, naujo bano nededu, nes čia jau nėra už ką -- kaip tik dabar pasakėte tai, ką galite savaip pagrįsti, kaip nuosavą požiūrį 🙂
                      Beje, mandagumo įsikūnijimu realiame gyvenime irgi būnu vargu, ar daugiau, nei internete 🙂
                      O kam gaištu savo laiką -- sakykim, tai mano reikalas, tiesa? 🙂

                    2. rokiskis Post author

                      Re: A.S.
                      O dėl to, kada baninama -- kadangi pats darėte paveiksliuką, tai, manyčiau, matėte ir jame neatvaizduotą tos diskusijos dalį, tad puikiai žinote, kas ten vyko ir apie ką, tiesa? 🙂

                3. Anonymous

                  zinantis
                  microlinke savukinas buvo vadinamas hitleriu nes terorizavo visus darbuotojus. tuo pretekstu kad netvarka ar kazkas blogai dirba. megstamiausia fraze buvo ‘tvarka turi but kaip konslagerije’. atvirai nesiojo fasistine atributika ir megdavo pasakot kaip gerai buvo realizuotos paslaugos duju kamerose. o apie it jis nieko neismano tik prota krusti moka ir rekt ant darbutoju.

                  Reply
              2. rokiskis Post author

                Re: A.S.
                Kas aš esu ar nesu, neturi nieko bendro su diskusija ar mano teisumu ar neteisumu, tad ginti ar girti manęs tikrai neverta. Ačiū.

                Reply
    1. rokiskis Post author

      Taip, atsiprašau, kad paskelbiau, kad pralaužimas įvyko Sodroje, pasirėmiau žiniasklaidos duomenimis. Bet.
      Kaip bebūtų tau keista, net jei pačią tą sistemą administravo ne Sodra, Sodra visvien kalta. Ir netgi tiek kalta, kad dar klausimas, kas čia kaltesnis. Esant sistemų sujungimui EVV-Sodra, duotoji problema davė pilną priėjimą iš EVV į visą Sodros DB, tai reiškia, kad Sodra nekontroliavo (ir nekontroliuoja) savo dalies saugumo -- autentikacijos ir autorizacijos, kreipiantis į Sodros įrašus. Tokio delikatumo sistemose Sodra tiesiog privalėjo (ir privalo) tai padaryti, o ne duoti pilną priėjimą iš EVV į savo duomenų bazes, laikant EVV pagal nutylėjimą autorizuota visoms operacijoms.
      Tai, kad Sodra bando atsimazinti ir pavaizduoti, kad pas juos viskas tvarkoje ir nieko jiems taisyt nereikia -- tai tik dar blogesnis situacijos požymis.

      Reply
      1. Anonymous

        r.p
        sodra negalėjo būti kalta, nes šiuo atveju autentifikacija atliekama ipvk, ir pas juos skylė buvo. į sodrą parėjo kreipinys iš ipvk -- mol, žmogus autentifikuotas, štai jo a.k., prilogink jį, sodra (beje, kaip ir vmi, rc, ir visi, prie kurių galima prisijungti per evartus), tai ir padaro. todėj jei „…Sodra visvien kalta…“, tai kalta ir vmi, rc ir kt. 🙂

        Reply
        1. rokiskis Post author

          Re: r.p
          Mielasai, aiškinu jums tūpai: Sodra negalėjo būti nekalta, nes laikė viešo naudojimo sistemą autorizuota kreipimuisi į visus įrašus padefoltų. Ir nepataisė šios struktūrinės bėdos iki šiol. Jei tai daro ir kitos kontoros -- jos irgi lygiai taip pat kaltos. Kita vertus, kitų kontorų mechanizmai lyg ir neišlindo, tad dėl to negaliu garantuoti.
          Tarp kitko, debilumo masiškumas nėra pateisinimas debilumui ar įrodymas, kad viskas tvarkoj 🙂

          Reply
          1. Anonymous

            Re: r.p
            kaip tai suprasti: „… viešo naudojimo sistemą autorizuota kreipimuisi į visus įrašus padefoltų…“? ir kaip suprasti nepataisė iki šiol?
            kitų neišlindo, nes kaip pavyzdys buvo paimtas sodros puslapis.
            o dėl kaltumo -- tai juk tie evartai yra vyriausybinis nutarimas (ar kažkas tokio), kad visos valstybinės sistemos turi leisti prisijungti per evartus. kas būtų, jei tamstos puslapis naudotų tarkim įmonės x išduoatą sertifikatą https ryšiui, o po to dėl tos įmonės kaltės būtų paviešintas privatus sertifikato raktas? juk dėl to jūsų nekaltintų, kad čia jūsų kaltė, kad ryšys nesaugus?

            Reply
            1. rokiskis Post author

              Re: r.p
              Taip ir suprasti. Kad viešo naudojimo sistema yra autorizuota be apribojimų naudoti visą info, kokia tik papuola. Ir jei to nepataisė, tai ir reiškia, kad nepataisė, argi neaišku?
              O dėl kaltumo -- kaltas kiekvienas, kas leidžia savo duomenims nutekėti, o ne tik tas, į kieno sistemas buvo įsilaužta. Ar vyriausybiniuose nutarimuose buvo numatyta, kad evartams turi būti suteiktas pilnas priėjimas prie visos informacijos, ar visgi, kad buvo leista prisijungti per evartus? Pilnas priėjimas reiškia daugybę visokių įdomių teisinių niuansų, kuriems, bijau, vieno Vyriausybės nutarimo gali net ir nepakakti 🙂
              BTW, tamsta skiriate tokias sąvokas, kaip priėjimas prie visų įrašų ir priėjimas prie nustatytų įrašų, ar tik bandote ginti Sodrą? 🙂
              O lyginimas su https yra netinkamas, nes lyginama visai kito tipo sistema -- duomenų šifravimo, o ne priėjimo kontrolės. Man rodos, komentaruose rašiau apie kai kuriuos architektūrinius dalykus.
              http://rokiskis.livejournal.com/117228.html?thread=2994412#t2994412

              Reply
  4. Anonymous

    A.S.
    Aš turiu klausimą, ar apskritai galima padaryti, kad tokios sistemos būtų saugios? Ir kas blogai buvo čia padaryta, ką reikėjo padaryti kitaip?

    Reply
    1. rokiskis Post author

      Re: A.S.
      Tai nėra toks jau paprastas klausimas. Viena vertus, visiško saugumo lyg ir neįmanoma pasiekti, kita vertus, visišką praktinį saugumą visai galima pasiekti.
      Nesigilinant į specifinius dalykus, esminė problema, apie kurią galima įtarti šiuo atveju -- tai, kad vartotojas gaudavo pilną priėjimą po vienkartinės autentifikacijos, o vėlesnė saugumo kontrolė buvo vykdoma kliento pusėje (t.y., po pirminio patikrinimo, vėliau jau pats naudotojas nusistatydavo, ar jis turi teisę, ar neturi teisės kažką daryti).
      Antra problema -- kad patikrinimas būdavo vienkartinis, t.y., tik pačiu prisijungimo metu, o ne kiekvienos operacijos metu, taip pat nebuvo kontroliuojama ir priėjimo teisės prie įrašų.
      Tokioms sistemoms, kaip duotoji, akivaizdu, kad turėtų būti vykdoma kontrolė kiekvienos operacijos metu pagal sesijai išduodamą vienkartinį klientui išduodamą raktą, susietą su konkrečiu vartotoju, bei antrą vienkartinį sesijai išduodamą raktą iš duomenų saugojimo sistemos, skirtą teisei kreiptis į duomenis, susietą su vartotoju, bet neprieinamą klientui, o naudojamą tiktai serveryje.
      Kitaip tariant, turi būti priėjimo kontrolė ir duomenų, ir operacijų lygyje, skaidant ir duomenis, ir operacijas minimaliais kontroliuojamais elementais, ir kartu atsiejant vartotojo autorizaciją kreiptis į duomenis nuo sistemos galimybių kreiptis į duomenis, bet nesuteikiant sistemai pilnos autorizacijos kreiptis į duomenis pasirinktinai.
      Su gyvenimišku pavyzdžiu lyginant, galim įsivaizduoti analogišką schemą, kur yra žmogus, notarų kontora ir valstybinė institucija su specifiniais duomenimis. Žmogus gali kreiptis į instituciją per notarų kontorą, tačiau notarų kontora turi teisę gauti iš valstybinės institucijos tik tuos duomenis, kurie susiję su duotuoju asmeniu. Žmogus turi gauti tiktai savo duomenis, o notarų kontora negali gauti duomenų, kurie susiję su kitais žmonėmis. Sistemos organizavimas turi būti toks, kad nei pačiam asmeniui, nei notarų kontorai nebūtų paliktos galimybės sugudrauti.
      Duotojo incidento atveju viskas veikė pagal tokią schemą, lyg ateitumėte į notarų kontorą (tą el. valdžios portalą), prisistatytumėt su dokumentais, o paskui save pavadintumėte kitu žmogumi ir notarai už jus vykdytų su kitais asmenimis susijusius veiksmus, kuriuos ta valstybinė institucija (Sodra) šiuo atveju turėtų leisti daryti tik tiems kitiems asmenims, bet ne jums.
      Ganėtinai akivaizdi ir išvada apie tai, kuriame taške yra esminės bėdos: iš sisteminės pusės, kardinaliausias problemas tokiam hipotetiniam scenarijui kelia ne tiek notarų kontora, kiek valstybinė institucija, leidžianti notarų kontorai be apribojimų ir kontrolės naudotis savo duomenimis.
      Bendras pastebėjimas, į kurį verta atkreipti dėmesį šiuo atveju -- vykdant saugumo reikalavimus, sudėtingumas auga nepaprastai smarkiai, eksponentiškai -- prisideda du papildomi saugumo lygiai, be to, šimtai ar tūkstančiai papildomų tikrinimo vietų.

      Reply
  5. Anonymous

    SkirTum
    P. A.S. jaučia pareigą Rokiškiui keršyti rašydamas įžeidžiančio turinio nesąmones 😉 Kai studentavau tai būdavo eidavom į irc kanalą #gays ir bandydavom visaip juos išprovokuoti kad užbanintų. Nu tuo metu buvo smagu… A.S., siūlau šį žaidimą jums 🙂
    Na o dėl sodros požiūrio į rimtus reikalus, tai jis yra labai aiškus atspindys visos mūsų vyriausybės ir seimo požiūrio į svarbius dalykus. Manau, jog didesnioji dalis iš tos afigennos sumos nusiatkatino ten kur reikia, o saugumo skylė galėjo atsirast ir dėl durnumo ir dėl protingumo tam tikrų suinteresuotų grupių. Bet kuriuo atveju nesijaučiu saugus visiškai, kai pas mus daromi itin svarbūs sprendimai…
    Manau, jog labiausiai kalta yra korupcija, dėl kurios mes turime tokias nesąmones.

    Reply
    1. rokiskis Post author

      Re: SkirTum
      Čia ne A.S., o šiaip ateina neaiškių visokių.
      O šiaip, sakyčiau, daugelyje valstybės užsakomų projektų pačios sumos dažnai visai teisingos gaunasi, problema tik ta, kad uždarbiui gauti yra neretai sutaupoma kokybės sąskaita (t.y., už sutartą sumą suteikiamas žymiai pigesnis produktas). Kartais -- netgi tiek, kad sunku patikėti.
      Ir ne visada kalta korupcija, kartais dar didesne problema tampa nekompetencija.

      Reply

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *