Načítavam, moment...
Momentálne nie ste prihlásený

Národný bezpečnostný úrad pokračuje v štýle NBUSR123 (Späť na článok)

Pridajte priamu reakciu k článku

1 2 >

Hodnoť:   mínus indicator plus

tak sa mi zda... ze nemame sampiona...

ale digitalneho dubaka... :-x
:o)))
 
Hodnoť:   mínus indicator plus

Celé zle

Prvá vec - zaručený podpis sa nevydáva, ale generuje pomocou kvalifikovaného certifikátu...

Dôležitá vec - jasné zlyhanie výrobcu QSign, keďže včas nezabezpečil update a tak poskytuje informácie zničene na telefonickej podpore...

Kde je ale potom chyba NBÚ? Asi v článku, inak je to len potreba si kopnúť. Ak niečo nie je na verejnej stránke, tak to ešte neznamená, že informácie nikdfe nie sú. Ardaco o zmene zjavne vedelo, keďže má postup na rozbehanie podpisovania, prečo ale neinformovalo klientov, to je tá otázka. Ale nehádžme vinu na NBÚ, to v náplne práce fakt nemá...
 
Hodnoť:   mínus indicator plus

Ešte doplnenie

Pozrel som si, o čo sa presne jedná a zistil som, že blogový príspevok obsahuje závažnú zavádzajúcu informáciu - nemenila sa podpisová politika. Jediná zmena zrejme nastala v dôveryhodnom zozname podpisových politík, keďže aj riešenie je v stiahnutí si aktuálneho zoznamu, ale to už je jasný FAIL na strane výrobcu QSign, lebo tento zoznam musí byť a aj je menený a je úlohou aplikácií, aby boli aktuálne. NBÚ aktuálne je a zverejnilo platný zoznam, keď to bolo potrebné. Lenže NBÚ naozaj nemá zoznam všetkých používateľov všetkých registrovaných aplikácií. A ani povinnosť ich o neschopnosti spoločnosti ARDACO informovať...
 
Hodnoť:   mínus indicator plus

 

Tento problem nejde mimo NBU.
1. Stranka NBU ma sekciu AKTUALNE (ako spomina clanok). Divne je uz to, ze obsahuje len roky 2012 a starsie.
2. Sekcia Elektronicky podpis ma podsekciu Oznamy (clanok ju nespomina). Neobsahuje ziadne info.
3. Dalsie, co ma napadlo kliknut su "Podpisove politiky". Informacia nie je ani tam. Nie len, ze tam nie je info o zmene, ale nie je tam dokonca ani ziadna historia, resp. zaznam, ze do dna D.M.RRRR platil jeden subor a od D+1.M.RRRR iny. Je teda zjavne, ze tie subory su menene bez nejakeho zmysluplneho formalneho postupu stylom "rano sa zobudim a spravim toto".
4. V ramci predsleho bodu neverim, ze NBU ma nejaky zoznam vyrobcov a prevadzkovatelov, ktorych notifikuje o zmenach. Standardny postup je taky, ze dam vediet aspon mesiac dopredu vsetkym klucovym hracom.
5. Neverim dokonca, ze takuto zmenu nemoze spravit 1 clovek, ktory ked sa zle vyspi, rozbije celu infrastrukturu ZEP v SR. Neverim, ze NBU ma vsetko super formalizovane a podchytene, iba sposob zverejnovania zabudli nejak podchytit.
6. Na zaklade 1-4 si myslim, ze akykolvek klucovi hraci v SR (je jedno ci prevadzkovatelia alebo vyrobcovia) boli informovani tak isto ako autor clanku. Nijak.
 
Hodnoť:   mínus indicator plus

ehm

Neveríš = nevieš... A fakt má. Mimo iné, preto aj ARDACO aj v tomto článku spomína, že nový zoznam bol vydaný 6.6.2013. Málo času na informovanie zákazníkov produktu? Pýtajte sa v ARDACU.
http://www.ardaco.com/sk/news/...
 
Hodnoť:   mínus indicator plus

 

"Neveríš = nevieš". :-) Snad mi nechces povedat, ze to tak nie je a ze postup pri podobnych zmenach zo strany NBU je perfektne premysleny, iba nad informovanim sa NBU nejako zahadne zabudlo zamysliet.

Mne to pride asi tak, ako keby si Danovy urad niekde v zahrabanej stranke svojho webu bez akehokolvek zaznamu zmenil nejake tlacivo, nikde informaciu o zmene nepublikoval, dokonca ani na samotnej stranke o tom nedal zaznam. Ved to je katastrofalny pristup. A nasledne sme sli riesit vyrobcu nejakeho ekonomickeho SW, ze to nezabudoval a neinformoval o tom. Na zaklade coho by mal? Je uplne irelevatne, kedy si nejaky urad nieco zmeni za zatvorenymi dverami. Nikto dalsi nemoze o tom informovat, dokedy o tom tu informaciu nezverejni sam urad. Kedy tu informaciu zverejnil urad? Este stale ju nezverejnil. Ani teraz nie. Ale este pockajme a odmerajme si, o kolko dni skor publikovala tu informaciu komercna firma a tento bloger, nez samotny urad.
 
Hodnoť:   mínus indicator plus

Trepeš

Prepáč, ale trepeš. Naozaj nemáš ani predstavu, ako tam sú definované informačné kanály. A sú, veľmi precízne a jasne. Ten článok, čo som linkol, bol upravený 1.7., ale zverejnený skôr, ako tu je nižšie v diskusii spomínané.

Tvoj príklad je scestný, lebo vychádza z tvojej neznalosti, ako funguje celý proces registrácie a certifikácie a pod. A áno, on funguje, inak by to celé nemohlo byť používané na právne účely. A NBÚ nemá povinnosť zverejňovať vydanie nového dôveryhodného zoznamu verejnosti, ale informuje o tom tých, ktorí sú registrovaní a majú regidtrované výrobky. To, že daný subjekt potom rieši úpravu len článkom na svojej stránke, to je na posúdanie, či je dostatočné. Ak by aj NBÚ dalo informáciu verejne, že je nový zoznam, vedel by si ako používateľ, že čo s ním? Bez ten informácie výrobcu, kam to nakopírovať, by si si tak mohol trhnuť nohou. Ale ja viem, klapky na oči proti NBÚ, je jedno, že netušíš, aké sú tam sekcie, kto je za čo zodpovedný a nakoľko fundovaný. Ale to netreba, stačí kopať, hejterstvo je in, nevadí, že je mimo...
 
Hodnoť:   mínus indicator plus

 

Mne je to v podstate jedno, takze posledny moj prispevok.

Tvrdenie, ze NBU nema povinnost zverejnovat verejnosti zmeny, ktore maju na nu dopad je nezmysel. Silne pochybujem, ze existuje nejaky zakon, vyhlaska, cokolvek, ktora by prenasala zodpovednost za informovanie o cinnosti uradu (hociktoreho) na komercne firmy. Tie mozu podla mna akurat tak pomahat tuto informaciu presirit, alebo ju nejak zapracovat. Samozrejme po tom, co ju urad (hociktory) zverejni. Ale nie nahradzat jeho cinnost.

Tiez si nemyslim, ze ma urad (opat hociktory) rozhodovat, komu tu informaciu da. Ak ju vobec niekomu dal. Ved nejde o ziadne doverne informacie, jeden 200 znakovy oznam na webe nic nestoji, urad tym urad neusteril. Obhajujes neohajitelne. Mozno netusim "kto je tam za co zodpovedny", "nakolko je fundovany" a pod, ale moc fundovane mi to nepride.

Co je na tom "kopanie", "hejterstvo" a pod, ked si myslim, ze urad ma zverejnovat informacie, ma mat na to cast, ktora je udrziavana (nie info z 2012) a povazujem to za standard. Keby to tak bolo, vobec by nebolo treba riesit nejake hypoteticke informacne kanaly a ci niekomu presiril informacie aspon cez tie.
 
Hodnoť:   mínus indicator plus

Zhodneme sa

Áno, súhlasím. Úrad 6.6.2013 informáciu zverejnil, mimo iné tým, že to oznámil tým, ktorých sa tá informácia týka (Certifikačné autority, výrobcovia certifikovaných aplikácií a zariadení), ale aj tým, že zverejnil aktuálny dôveryhodný zoznam (chýbajúce dátumi sú podľa definovaných štandardov súčasťou zoznamu). Takže, kde to nezverejnil? V nejakých oznamoch Úradu? Mohol, ale nemá tú povinnosť, lebo na svojej stránke tú informáciu má a použil aj ďalšie kanály, aby sa to dostalo ku konečnému používateľovi. Ale tých už nepozná, to je na napr. výrobcoch aplikácií. V tomto prípade jeden zlyhal... A ten mal byť v nadpise a v celom príspevku spomínaný, nie ten, kto spravil to, čo spraviť mal a mohol.

A fakt 99,98 % používateľov nechodí na stránky NBÚ, aby zistili, či sa niečo nemení (ani na stránky iných výrobcov SW, ktorý poskytuje update automatický/notifikáciu o novej verzii, ak je to potrebné), 0,18 % používateľov tam nechodí, lebo vedia, že informácie zverejňované NBÚ musí spracovať výrobca aplikácie a dodať postup úpravy/aktualizáciu. Ten zvyšok sú ľudia, ktorí sú na zozname, komu chodia priamo informácie z NBÚ.

A ja obhajujem toľko, že ak by si aj na NBÚ oznam našiel, tak by ti nič nepomohol, lebo to, ako to implementovať na tú konkrétnu aplikáciu vie len výrobca aplikácie, Úrad naozaj nie. Preto píšem, že obviniť Úrad je scestné a mimo. Opakujem, Úrad informoval, možno nie zrozumiteľne pre najlaika, ale ten by tomu aj tak neporozumel. A ako píšu nižšie, informoval aj výrobca aplikácie, ale tam je to OK, že nahodil len aktualitku na stránku, na ktorú inak príde to roka 200 ľudí? Nie, tam je problém, lebo sa vykašlali na zákazníka. Ale v celom blogu sú oni tými dobrými... Ale asi to mám brať ako obrátenú logiku... len to už nie je logické...

Takže, Úrad jasne informoval pred mnohými týždňami o zmene... jeden výrobca aplikácie zlyhal, neinformoval, neupravil aplikáciu. Super, na vine je teda NBÚ. Veď prečo nie ;)
 
Hodnoť:   mínus indicator plus

 

Predsa len mi neda nereagovat.

NBU si sam vytvoril system informovania, ktoreho dosledkom je tento blog. Mozes si 100x mysliet, ze ten system je dobry, ale keby autor blogu otvoril web NBU a nasiel v sekcii "Aktualne" to co hladal, tak clanok skonci v polovici. Mozno aj s inym nadpisom.

Nejaky velky mozog na NBU ale rozhodol, ze ludia informacie nepotrebuju a teraz v udive stoji nad tym, ze niekto, v tomto pripade autor blogu spravil (mozno) zly zaver. Stalo to NBU za tu "optimalizaciu" sirenia informacii? Keby prilis nerozmyslalo a robilo veci jednoducho, tak by sa nemuselo divit, ze mu niekto nekrivdi.

Mozu:
a) Pripustit aspon teoreticky moznost, ze keby niekde zverejnili aspon 200 znakovu spravu, taketo blogy by nevznikali a zariadit sa podla toho do buducnosti.
b) tvrdohlavo trvat na tom, ze to nema zmysel. Pricom prva moznost je zadarmo, ale "just nie a nie" a budu cakat, kedy im zas niektoi "ukrivdi".

"Kde udelali soudruzi z NDR chybu" a ako je to v skutocnosti s uradom a presirenim informacii dalej, to posudit neviem, pretoze neviem ako ten zazracny komunikacny kanal vyzera. Tipujem, ze papierovy list to nie je, nijaky mailing list archiv na ich webe nevidim, takze s velkou pravdepodobnostou je to klasicky mail, ktory uplne bezne konci v spame a sam o sebe asi nie je asi najvhodnejsim kanalom na informovanie o nejakych dolezitych zmenach. Ale to vies potvrdit alebo vyvratit ty, spekulovat sa mi nechce. Ako to teda funguje?

Myslim, ze netreba objavovat koleso a ked uz nie su aktuality, tak jeden mailing list s archivom na webe by to riesil. Dokonca NBU nemusi rozmyslat za ludi, pre koho je ta informacia zbytocna a kto ju chce, pretoze bude mat zaujem, klikne si sam subscribe na nejaku Community/Business/Working Groupu.
 
Hodnoť:   mínus indicator plus

 

Vidím, že tu chýba pochopenie podstaty, čo autor blogu kritizuje a čo kritizuješ ty.

Znova napíšem, že informácia na webe NBÚ je. ě nei je pre laika čitateľná, súhlasím, ale to info tam je. Mesiac...

Ale podstata, v čom autor blogu je mimo, je tá, že kritizuje inštitúciu za to, že jemu prestala fungovať súkromná aplikácia. A aj keby na NBÚ bola obrovským písmom informácia, že došlo k zmene, tak by to autorovi blogu nepomohlo, lebo by nevedel, čo s tým, lebo implementácia je v rukách výrobcu aplikácie.

Dám ale jednoduchý príklad - vláda a následne parlament zmenia zákon o účtovníctve. Výrobca účt. aplikácie ale tieto zmeny odignoruje a tak od 1.7. nemôžeš aplikáciu na účtovanie používať. Je na vine vláda a parlament, že nemôžeš používať niečo, za čo si si zaplatil? Alebo konečne pochopíme, o čom píšem, teda, že celý hnev patrí tomu, komu som zaplatil za aplikáciu, ktorá je na účely, ktoré deklaruje, nepoužiteľná?

A toto je presne o tom istom. NBÚ niečo zmenil, oznámil to, ale výrobca QSign to vyriešil len strohou informáciou na svojej stránke (tu si prečítaj príspevok vyššie, kde som naznačil, že koľľko používateľov chodí pravidelne na stránku Úradu... ber to tak, že logicky ich viac príde na stránku QSign...). Seriózny výrobca by mal serióznu aplikáciu, ktorá by upozornila na potrebu aktualizácie a nebol by žiaden problém.

Takže, znova, nechápem tvrdenie, že Úrad nezverejnil, keď to zverejnené je (a stále sa nehádam, že nie veľmi šťastne pre laikov), ale aj keby to bola veľká vyskakovacia reklama na úvodnej stránke, konečnému používateľovi súkromnej aplikácie by to fakt nepomohlo, lebo on nepoužíva produkt NBÚ!
 
Hodnoť:   mínus indicator plus

 

No, ten priklad so zakonom o uctovnictve kriva na obe nohy a este je aj ochrnuty na lave ruku. Pretoze to sa uplne trasparentne zverejni v zbierke zakonov a este asi na 5 inych miestach a nikto nad tym neduma a uz vobec neriesi, kto k tej zbierke ma pristup a ci mu na nieco bude. Cize presny opak toho, co robite vy.

Informacia na webe je, ale nie je pre laika citatelna? No daj link, ktory mi vyrati, ze je tam akakolvek informacia, okrem nejakej bez poznamky zmenenej binarky. Ved tych stranok, kde to moze byt, je asi 5 a ja veru okrem zmeneneho suboru nic nevidim. To ma byt informacia a tvrdohlavo mi budes tvrdit, ze tam je?

Ved ja ti neublizujem. Len hovorim, ze ste mohli napisat 1 vetu a nikto by na vas nemohol povedat ani n a hned v zarodku by to zabranilo akymkolvek informacnym sumom.

Kupodivu, vobec si mi neodpovedal, akym informacnym kanalom to teda ide. Z coho spejem k zaveru, ze to predsa len bude taky ten spam, bez cohokolvek ineho. Ak je to tak, bolo by celkom zaujimave vas posadit do jednej miestnosti, ako na seba pozerate a krcite plecami. Mam pravdu?
 
Hodnoť:   mínus indicator plus

 

Nerozumiem veľa veciam, hlavne preto, že zamestnancom NBÚ nie som, takže to asi nie je reakcia na mňa...

Nekríva, zjednodušený príklad, ale ako vidím, kto nechce pochopiť, ten zaryto kričí. Podstata tam bola jasná - ak si zakúpim el. holiaci strojček a prestane fungovať, tak nehľadám info u Edisona, ale reklamujem u výrobcu... Kto nechce pochopiť, ten chce len kopať.

Binárka? Aha, no, to je tá laická časť, ono, zep súbor je len zip, stačí premenovať a otvoriť. Toľko k čitateľnosti.

A k tým kanálom. Úplne jednoducho, na ZEP (vytvorenie, overenie a pod.), treba mať príslušenstvo ktoré je certifikované a následne registrované na NBÚ, pričom súčasťou registrácie je podmienka udania kontaktov, s podmienkou mať ich počas platnosti registrácie platné (pri zmene informovať). Žiaden spam. Ale OK, jasné, sedím a krčím plecami, neviem s kým. Ale verím, že ja nemusím...
 
Hodnoť:   mínus indicator plus

 

A sme doma. Ak nie si zamestnancom NBU, potom nemusime chodit okolo horucej kase. Ved si rovno mohol napisat, ze si od druheho vyrobcu (konkurencie), lebo uz nikto iny prehlad mat nemoze. Zaujimave, ze okrem zmienky na rozzipovavanie nejakej binarky si ani teraz nedal link na udajnu "infomaciu" na webe NBU, ktora tam tak davno ma byt. Takze nie, ziadna tam naozaj nie je. Je to naozaj len zmenena binarka bez akejkolvek poznamky.

Myslim, ze aj zahada s informacnym kanalom sa blizi k zaveru. Obtelefonovavat to asi NBU nebude, takze to vidim na ten spominany mail (ktory uvedie vyrobca). Co samozrejme nie je nic nestandardne ani cudne, akurat to trpi beznym problemom mailu - nespolahlivostou. A problem, ktory tu riesime nie je ani tak o tom, ci existuje spolahlivejsi sposob informovania o dolezitych zmenach alebo ci "just a just nie" nemoze NBU zverejnovat normalne info, lebo takto je to dobre. Ide len o normalny slovensky pristup - ked ten "priekak" nemam ja, budem to obhajovat do posledneho dychu a o..serem aspon toho druheho ako sa sa. Dakujem za diskusiu.
 
Hodnoť:   mínus indicator plus

 

Áno, som doma. Veď si treba aj oddýchnuť.

A nie, nie som od konkurencie. Navyše, ťažko tu niečo také definovať, keďže problematika elektronického podpisu je veľmi rozsiahla. A znova, binárka? Ja ti neviem, zip formát je binárny, ale rozzipovať dnes už vie aj Windows...

A celé nerozumiem. ARDACO informáciu dostalo včas, na svojej stránke o postupe, ako neostať 1.7. prekvapený, popísalo na svojej stránke (verím diskutujúcemu na konci diskusie, ktorý píše, že to u svojho klienta zistil a riešil včas).

Mail - ach a jaj, nie je ťažké si nastaviť mailserver, aby správy od definovaných príjemcov nedávalo v žiadnom prípade medzi SPAM. To nie je naozaj zložité.

A nie, riešime blog, ktorý informuje, že za nepoužiteľnosť aplikácie môže UFO, ale určite nie výrobca. Pričom výrobca si našiel lacný spôsob, ako zabezpečiť "update". Napísal článoček na stránku.

Znova sa pýtam. Ale fakt chcem odpoveď - ak by NBÚ napísal na hlavnú stránku obrovským písmom, že sa zmenil dôveryhodný zoznam, ako by to pomohlo používateľovi aplikácie od úplne iného dodávateľa? Koľko ľudí, ktorí používajú ZEP, chodia denne na stránku NBÚ, aby tá informácia mala pre nich možno nejaký nepoužiteľný význam?

To, že NBÚ má oznamy z roku 2012 je o niečom inom a nie je to obsahom príspevku, pod ktorým diskutujeme. Ten príspevok obvinil Edisona, že Číňania vyrábajú nespoľahlivú elektroniku.
 
Hodnoť:   mínus indicator plus

 

Kludne sa bite, zerte, rozdavajte aplikacie aj zadarmo. (To ze nahodny diskuter z netu vie ako to funguje a nerobi ani na NBU, ani nepatri medzi registrovanych vyrobcov mozes rozpravat niekomu, kto zere seno, nie mne).

Tvrdit k systemu "stiahnnem subor, ci sa nahodou nezmenil, rozzipujem a pozriem dnu" znamena "informacia je davno na webe", tak to fakt nebudem rozoberat ci je relevatny sposob ani uz nemienim vysvetlovat, ze je uplne normalne k zmenam rovno napisat 1 riadocek.

K nejakym sukromnym spolocnostiam sa vyjadrovat nebudem, to nech si riesia same. Stale nevidim dovod nemat verejny mailing list z archivom na webe. Co uz moze byt transparentnejsie a jednoduchsie. Minimalne nad tym, ci odislo a bolo dorucene nejake info by nikto nemohol maturovat.

Neviem, co ti odpovedat na otazku, co by sa stalo, keby NBU napisalo na svoju stranku popis zmeny. Napisal som to niekolko krat ale zrejme to cielene necitas. Stalo by sa to, ze by napr. autor blogu uvidel oznam a neriesil by, na koho strane je chyba. Ked taketo clanky NBU vyhovuju, moze pokracovat. Cim menej verejnych informacii a cim viac sumu, tym budu mat horsi image. Ja nikomu nebranim, aby si robil sam zle.
 
Hodnoť:   mínus indicator plus

 

Ďakujem za ušetrenie nervov a kopu času
 
Hodnoť:   mínus indicator plus

Všetky informácie o ZEP

Hodnoť:   mínus indicator plus

 

Krasa informacia z obeda 1.jula v ktorom to plati a pritom podla obsahu zipu bol certifikat vytvoreny 6.juna.

Skoro mesiac to tam uz mohlo visiet.

Pre istotu info z certifikatov:

Data:
Version: 3 (0x2)
Serial Number: 1645 (0x66d)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=SK, L=Bratislava, O=Narodny bezpecnostny urad, OU=SIBEP, CN=KCA NBU SR 3
Validity
Not Before: Jun 6 07:40:14 2013 GMT
Not After : Sep 6 07:39:13 2016 GMT

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=SK, L=Bratislava, O=Narodny bezpecnostny urad, OU=SIBEP, CN=KCA NBU SR 3
Validity
Not Before: Nov 6 09:59:39 2009 GMT
Not After : Nov 6 07:29:09 2025 GMT
Subject: C=SK, L=Bratislava, O=Narodny bezpecnostny urad, OU=SIBEP, CN=KCA NBU SR 3
 
Hodnoť:   mínus indicator plus

 

Informáciu o potrebe aktualizácie sme posielali najskôr našim klientom, neskôr sme návod uvolnili pre všetkých. Ale v podstate súhlasím, aj takto sa na to dá pozerať a nebyť vďačný za nič.

A ak si niekto myslí, že má NBÚ SR má notifikáciu o akýchkoľvek zmenách alebo aspoň uvedený dátum začiatku a konca platnosti tohto zoznamu sa, bohužiaľ, mýli.

Navyše pôvodný trustedlist bol platný a použiteľný do konca júna a k jeho zmene nie je potrebná až taká počítačová zručnosť, aby to akýkoľvek klient nezvládol na pár klikov.
 

1 2 >

Prihláste sa

(?)
 


Ďalšie možnosti
Zoznam diskusií

Registrácia
Zabudnuté heslo
Kódex diskutujúceho

Najčítanejšie na SME