www.stampit.org - без всякакви коментари
Дояждайки обедния си сандвич, по Jabber ме потърси Борис Йорданов от akit.biz, за да ми покаже какви красоти са открили той и Златко Кръстев. С тяхното любезно рарешение ги цитирам и ще опиша нещо доста скандално. За жалост не е измислица, а факт.
1. Сертификатни игри.
Влизате по протокол HTTPS в сертификатния портал на "Информационно обслужване" АД, който се помещава на адрес https://www.stampit.org. Ето данните за сертификата на хоста така, както те се виждат в Mozilla/FireFox:
Този сертификат е със сериен номер 52. Да видим сега дали ще можем да намерим този сертификат в базата със сертификати, която може да бъде достъпена, ако в лявата част на страницата се избере "Търсене на сертификат":
Виждаме, че сертификат със сериен номер 52 не фигурира в базата с издадени сертификати. Но това не е всичко. Нека потърсим сертификата по името на хоста, за който е издаден:
Оказва се, че валидният сертификат, описан в базата е с номер 82. Тогава как хоста използва сертифкат, който е с номер, който не фигурира в базата? Изобщо каква е тази практика да се издават сертификати, които не фигурират в базата.
Прави впечатление и още нещо. Погледнете горната картинка. В таблицата, която се вижда на нея има глава "Детайли". Натискайки върху окото там, вие попадате в една страница, която се изобразява на "маймуница" и по принцип би трябвало да ви дава детайлите за сертификата. Ето ви гледка от нея:
Оказва се, че изглежда толкова зле, защото в страницата, която плюе php скрипта, няма обявена съответната символна кодировка.
2. Игри с личните данни на клиентите
Оказва се, че ако започнете да търсите последователно по сериен номер на сертификат, вие теоретично можете да извадите всички сертификати от базата. Това е скандално и е направено с пълно неуважение към клиентите. Намерихме пощенски адреси, телефони, ЕГН, адреси на мастоживеене на лицата и т.н. Една прекрасна утечка на лични данни. За сега няма да публикуваме скрипта, в който взехме данните, защото не мислим, че клиентите са виновни с нещо, че да им излагаме личните данни на показ. Да не говорим, че сред клиентите им са мои познати и роднини.
Господа от ИО. Моля ви спрете възможността за източване на личните данни на клиентите си.
1. Сертификатни игри.
Влизате по протокол HTTPS в сертификатния портал на "Информационно обслужване" АД, който се помещава на адрес https://www.stampit.org. Ето данните за сертификата на хоста така, както те се виждат в Mozilla/FireFox:
Този сертификат е със сериен номер 52. Да видим сега дали ще можем да намерим този сертификат в базата със сертификати, която може да бъде достъпена, ако в лявата част на страницата се избере "Търсене на сертификат":
Виждаме, че сертификат със сериен номер 52 не фигурира в базата с издадени сертификати. Но това не е всичко. Нека потърсим сертификата по името на хоста, за който е издаден:
Оказва се, че валидният сертификат, описан в базата е с номер 82. Тогава как хоста използва сертифкат, който е с номер, който не фигурира в базата? Изобщо каква е тази практика да се издават сертификати, които не фигурират в базата.
Прави впечатление и още нещо. Погледнете горната картинка. В таблицата, която се вижда на нея има глава "Детайли". Натискайки върху окото там, вие попадате в една страница, която се изобразява на "маймуница" и по принцип би трябвало да ви дава детайлите за сертификата. Ето ви гледка от нея:
Оказва се, че изглежда толкова зле, защото в страницата, която плюе php скрипта, няма обявена съответната символна кодировка.
2. Игри с личните данни на клиентите
Оказва се, че ако започнете да търсите последователно по сериен номер на сертификат, вие теоретично можете да извадите всички сертификати от базата. Това е скандално и е направено с пълно неуважение към клиентите. Намерихме пощенски адреси, телефони, ЕГН, адреси на мастоживеене на лицата и т.н. Една прекрасна утечка на лични данни. За сега няма да публикуваме скрипта, в който взехме данните, защото не мислим, че клиентите са виновни с нещо, че да им излагаме личните данни на показ. Да не говорим, че сред клиентите им са мои познати и роднини.
Господа от ИО. Моля ви спрете възможността за източване на личните данни на клиентите си.
публикувано от God Is A DJ в
Понеделник, Юни 27, 2005
26 коментара:
Здравейте,
прочетох внимателно публикацията и какво констатирах:
Колегите от ИО НЕ публикуват невалидни сертификати, защото сметката е проста - 52(HEX)=82(DEC). Разбира се Mozilla-ta дисплейва шестнайстично (HEX), а сайта на ИО е организиран да търси по десетични (DEC) серийни номера. Това не би трябвало да е проблем за един "компютърен специалист", но... .
Всички закачки са интересни, но публикациите за невалидни сертификати са доста неуместни особено ако са и безпочвени.
Моля не се е... с коректността на ИО към клиентите, които обслужва.
Колегите от ИО биха се радвали на положителен коректив, а не на безпочвени обвинения.
Благодаря Ви предварително!
Людмил Димитров
Аз се радвам, че някой се усети и се хвана на провокацията.
В RFC2459, точка 4.1.2.2 серийният номер е дефиниран така:
4.1.2.2 Serial number
The serial number is an integer assigned by the CA to each
certificate. It MUST be unique for each certificate issued by a
given CA (i.e., the issuer name and serial number identify a unique
certificate).
и той не обвързва представянето на серийния номер с конкретна бройна система. За това е добре бройната система да се указва.
Извинявам се много, но никъде на сайта www.stampit.org не пише в каква бройна система се търси по сериен номер. Или може би ще ми покажете това място, в което това е обяснено?
http://www.b-trust.org/tarsene_bg.php
Между другото Васил Колев е говорил със "специалисти" от Информационно обслужване и те са му казали, че възможността да бъдат изтеглени всички сертификати (които съдържат в Subject полето интересни лични данни като ЕГН, местожителство и т.н) е нормална практика.
Показвам ви един Subject за пример (с променени данни за да не ощетявам някго публикувайки лична информация за него):
Subject: C=BG, ST=B:827231345,T:1181458000,C:1725.1995 Ruse,F:7247.235.2005,EGN:7711121314, L=Ruse, O=COMPANY, OU=Schetovodstvo, CN=First_name Last_name/title=Glaven Schetovoditel/streetAddress=0 Some Street, Ruse/postalCode=7000/emailAddress=som@one.com/
2.5.4.20=+359 2 2222222
Няколко познати дори направиха скриптове за преточване на цялата база. Можем да издадем справочник с данни. Най-лошото е, че това е един невероятен източник на адреси за SPAM атаки. Получават се автоматично и дори може да се правят актуализации.
Между другото хайде стига с тези тъпотии за положителни корективи и прочие соц. носталгии. ИО не е благотворителна организация. Продават сертификати на смразяващо високи цени и имат меко казано аматьорска поддръжка. И никой няма да дойде да им прощава за грешки. Те нито хранят бедните, нито лекуват болните. След като са тръгнали да печелят (да не говори какви интереси играят в тази фирма) ще се научат и да тарпят криптики към продукта си.
Само некадърния и мързеливия търговец или чистия мошеник могат да хленчат за положителен коректив. Другите просто си оправят услугите.
Благодаря на Никола Пепелишев за връзката към сайта на Банк Сервис. Да, така се прави. Там не може да се организира копиране на директорията със сертификати. Има и визуално читаем зашитен код. Поне в това отношение БанкСервиз са се справили много добре.
За личните данни искам да допълня нещо, след малко разговори с хора, които се занимават.
Ако човек отвори Държавен вестник, може да събере съвсем същата информация съвсем спокойно. Българската държава е пълна с публични регистри, които донякъде си противоречат със закона за личните данни (който преди малко прегледах пак, и който донякъде ползволява такива неща). Няма особено голям шанс да си скриеш трите имена и ЕГН-то, освен ако не живееш в планината и нямаш контакт с каквото и да било - и това си е в общи линии по закон, понеже например и всички съдебни решения са публични, и в тях си има ЕГН (защото имената не са уникални в крайна сметка).
Може да се приеме, че е проблем лесното преточване на базата, но не е чак толкова голям. Колкото до защитата с картинката - не е чак такъв проблем, има кило OCR алгоритми, които могат да се справят _И_ с това.
А, и да се доизясня - говорих със няколко админа от ИО, онова с слагането в кавички е леко грубо. Не е в тях проблема, че закона ги задължава да го направят. М/у другото, закона ги задължава (трябва да погледна как точно беше) да дадат пълен ldap достъп до тая сертификатна база, в която _ТРЯБВА_ да има ЕГН-та, за да може реално да се идентифицират хората. Та като толкова държиш, ругай известния ни на всички автор на закона, а не хората, които го спазват.
Та Весо, псуваш грешните хора. Колкото до положителния коректив - той си е нормална човешка норма, не наследство от социализма/комунизма/тоталитаризма, и си е просто въпрос на възпитание и приличие дали ще го спазваш или не.
Честно казано не съм сигурен (може би някой юрист трябва да каже), че ЕГН-то е защитено по Закона за Защита на Личните данни.
Според този закон
" ... лични данни са всяка информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност. "
Не знам дали възрастта и пола попадат под защита тук. Виж с телефоните и личните адреси на хората, нещата стават лоши. И да, и аз си намерих сертификата :) Не че не знаех че е там, но никога не бях поглеждал колко инфо се дава.
@Васил
Ако имаш инсталиран АПИС или еквивалента му (а аз имам), даже няма нужда да отваряш ДВ. Доста бързо може да веземеш ЕГН-то на (почти) който си пожелаеш.
1. Специалисти
на посочения от Ники (здрасти значи :-)) адрес можете да намерите дословно следното:
" - Попълва се десетичният номер на сертификата;
- Допустими са само арабски цифри."
Т.е. някой поне си е направил труда да го напише, и то на видно място. Радвам се на пояснението в първия коментар, но ще опонирам агресивно. Когато ходих на пилотен клас в страната на новия Голям Брат, общо петима инструктори се опитвахме да обясним на учебникописачите, че ние това си го знаем, а потенциалния консуматор - не! Та и тука, дъще, консуматора НЕ Е компютърен специалист. Любопитен съм дали Пепелишев ще се ръсне за този електронен подпис :-)
Тя не само Мурзилата, но и Интернет Експлодъра ги показва в шестнадесетична бройна система. Не човека трябва да служи на техниката, а техниката на човека. Ако Mozilla бяха написали първия в света browser години след като Информационно Обслужване (да се свети АД-то Му) пуснаха електронния подпис, то бих очаквал такива резултати. Обратното е признак на web-програмиране през пръсти. Мога да предлагам ИО да си наеме по-добри архитекти, кодери или отговорници по качеството, но знам че няма да ги задържат дълго (имам личен поглед върху част от динамиката на персонала там без да съм разочарован служител).
2. Eating own dog food
Моля аудиторията за извинение, но не се сещам за еквивалентен български идиом (ако знаете, подскажете).
Опитайте като мен:
www.stampit.org -> Търсене на сертификат -> търсене по име -> "www.stampit.org"
Резултата е обнадеждаващ:
- сериен номер 50 (десетично според пояснението; 0x 32) е валиден от 18.12.01 до 18.12.02. Вярвам че не е 1901-1902, 'щото можехме да коментираме и проблема "година 2000". Web-програмирането май вече го коментирах по-горе;
- сериен номер 82 (0x52) е валиден 24.3.05-24.3.06;
- ами за периода 18.02.2002 до 24.03.2005??? Това е компания за решения за сигурност или лавка за банички?! Друг е въпроса, че това правят 827 дни, а повелятя на Априлския пленум на другаря Сакс-Кобург и Гота беше за 800 дни. Политиката е мръсна работа все пак, а момчетата почти са спазили срока.
3. Що е то сертификат, SSL и имат ли те почва у нас?
Някой "компютърен специалист" да намери време и да обясни на ИО каква е логиката на веригата на доверие (chain of trust)!!!
Отиваме на www.stampit.org -> Сертификати, и какво получаваме:
http://www.stampit.org/publickeys.php
Да-а-а-а, най-защитения протокол в мултивселената. И като как да съм убеден, че не се намира кадърен умник на 3 или повече hop-а от тук, който да ми пробута неговия публичен ключ и после да прави яка man-in-the-middle атака. Не споря, че трябва да има доста пари, време и нерви, а от мен няма какво толкова да докопа. Ами ако застане по пътя на мрежа с 100/1000/10000 домашни потребителя ...?
Борис вече посочи, че нямаше да е толкова скъпо да си бяха купили сървърски сертификат от Thawte (или някой вграден в browser-ите). За "специалистите" от ИО повтарям: сървърски, не CA!
.
А за какво ли е CRL???
www.stampit.org (познат адрес, нали) -> StampIT Root CA CRL / StampIT CA CRL води до същата страница
http://www.stampit.org/publickeys.php
"StampIT Domestic Root CA CRL" = http://www.stampit.org/crl/stampitroot.crl
"StampIT Domestic CA CRL" = http://www.stampit.org/crl/stampit.crl
Ако сме опряли до тези списъци, то работата е дебела и липсата на SSL е безумие. Утехата е, че същите URL-та, но "https://..." също работят.
Явно който не знае за какво е това, да не пипа. Който знае, че се оправи. Може би това е тест за грамотност в областта на информационната сигурност, дали?
3. Закона задължава
Закона задължава ли да бъдат *публично* имената, ЕГН-то, телефона (защо не мобилния), Булстат-а, данъчния номер (програмистите-е-е, вече му викат "НДР"), пълен адрес и др.??? Ако това е сертификат за човек - добре, да се видят само имената и ЕГН-то. За фирмени - името на фирмата и Булстат-а за електронна поща - електронния адрес, за сървърски - само името (hostname) и т.н. Както казваше покойната ми баба: поне през плет да бяха погледнали как се прави това.
Ако ли пък Закона за електронния подпис ги задължава, а Закона за личните данни им забранява, то да закриват бизнеса и да съдят държавата, т.е. собственика си. Ако кажат, че имат малко лоби във всяка управлявала досега власт ....
Цитирайки отново безкрайната мъдрост на баба ми (и на вашите вероятно също): ако някой ти каже да скочиш от високо и ти виждаш, че ще се пребиеш, ще скочиш ли? Моите съболезнования за администраторите в ИО, но съм виждал доста пъти как местят камъни "от мен до другото дърво".
4. Положителен, отрицателен или изобщо коректив
Дали на широката публика е известно, че ГУ "Митници" (така се казваше тогава) имаше работещо CA през 2001 ... Или че екип на ИО идва там да се понаучи как работи една PKI система преди да почне да се бори с тяхната. Както виждаме не че от кучето стана месар, но даваха вид че нещичко прихващат. А сега голяма част от издадените сертификати са за сегашната Агенция "Митници". Ще ми е интересно да прочета тук редактирани коментари на Краставичката.
И дали да коментираме ИО с надеждата да се подобри нещо, или поради липса на смисъл да си го попържаме тихичко както правим с политиците.
Нещо е станало объркване и пълна каша.
Достъп до една LDAP директория не значи нейното източване. Достъп до една LDAP директория при всички CA значи достъп до записите и предоставяне на определени рамки за достъп. Никъде в закона не пише, че трябва да се източва съдържанието на една директория, особено като в нея има лични данни.
LDAP достъпът е направен с цел интеграция с директорийно базирани услуги, които обикновено търсят съответствие по шаблон, а не преточват записите един по един. Какви са тези смешки, че по закон трябвало да има пълен достъп до LDAP директорията. В Закона за електронния подпис пише единствено:
Чл. 37. (1) Всеки доставчик на удостоверителни услуги е длъжен да води електронен регистър на издадените от него удостоверения с Х.500 или LDAP базиран достъп.
Преточването на директорията на ИО е опасно, защото вътре има адреси, телефони и ЕГН. Да не говорим, че в цялата ситуация могат да се намесят "фирми за реклама", които да използват списъка с пощенски адреси, който може да се извлече за разпращане на SPAM. Аз за 15 минути събрах 500 броя пощенски адреси, при това с голяма вероятност работещи, защото все пак са свързани с удостоверителна услуга и са актуални. При това аз мога да си осъвременявам списъка всеки ден. Това, което трябва да знам е до къде съм свършил миналия път и по пътя на деленето на интервала на половина да намирам новата горна граница със серийни номера.
Също така изобщо не може да има със Закона за електронния подпис. Чел съм го над 10 пъти и го познавам много добре. Достатъчно за да ме прави някой на идиот. Ето го:
http://www.crc.bg/v1/files/bg/962.htm
Там единствено в чл 22. т.4 се вменява на удостоверителя да публикува електронното удостоверение. Също така преди да приказваме глупости е хубаво да се види чл. 43 а.1, където се вменява на доставчика на удостоверителни услуги защитата на личните данни на удостовереното лице (цитирам за да няма пак тъпи изказвания):
Чл. 43. (1) Защитата на личните данни, събирани от доставчиците на удостоверителни услуги за нуждите на извършваната от тях дейност, и защитата на водените регистри се уреждат със закон.
Споменатият закон, с който се урежда защита на регистъра е Законът за защита на личните данни (Обн., ДВ бр. 1 от 4.01.2002 г., в сила от 1.01.2002 г).
Също така преди да пишете вижте какво трябва да съдържа в себе си като метаинформация удостоверението за усъвършенстван електронен подпис:
Чл. 24. (1) Удостоверението е електронен документ, издаден и подписан от доставчика на удостоверителни услуги, който съдържа:
1. наименованието, адреса, единния граждански номер или БУЛСТАТ на доставчика на удостоверителни услуги, както и указание за националността му;
2. името или фирмата, адреса, данни за съдебната регистрация на титуляра на усъвършенствания електронен подпис;
3. основанието на овластяването, името и адреса на физическото лице (автора), което е овластено да извършва електронни изявления от името на титуляра на усъвършенствания електронен подпис;
4. публичния ключ, който съответства на частния ключ на титуляра на усъвършенствания електронен подпис;
5. идентификаторите на алгоритмите, с помощта на които се използват публичните ключове на титуляра на усъвършенствания електронен подпис и на доставчика на удостоверителни услуги;
6. датата и часа на издаването, спирането, възобновяването и прекратяването на действието;
7. срока на действие;
8. ограниченията на действието на подписа;
9. уникалния идентификационен код на удостоверението;
10. отговорността и гаранциите на доставчика на удостоверителни услуги;
11. (изм. - ДВ, бр. 112 от 2001 г., в сила от 5.02.2002 г.) препратка към удостоверението за усъвършенствания електронен подпис по чл. 22, т. 8 на доставчика на удостоверителни услуги, както и към регистрацията на доставчика в Комисията за регулиране на съобщенията.
Простете ми, но аз не виждам по закон да се изисква ЕГН на титуляра, нито телефона му. Такова изискване няма и в наредбите към закона:
http://www.crc.bg/v1/bul/cat142.htm
Освен това хайде да не правим супер смешни сравнения с Държавен вестник. Изтеглянето на една LDAP директория автоматизира и услеснява невероятно събирането на персонална информация, която после може да се използва за какво ли не. Как мислите.. колко ще ми платят за толкова актуален и жив списък с електронни пощенски адреси, че и при това мога да им предложа актуализации всеки ден.
Ще отмина поуките за възпитането с насмешка. Особено пък казано от хора, които се опитват да защитават убита кауза с бабешки поучения.
Към ?????? ??????? (Златко Кръстев): http://www.verisign.com/repository/crl.html, защо е така...
Ами.. според мен също CRL не се нуждае от защита, защото той е подписан със сертификата на издателя.
Понеже стана интересна тема, а и се видяха доста нападки от двете страни и аз кат` прост гражданин да си кажа:
При отваряне на следният документ :
http://stampit.org/pdf/stampit_contract_bg_v003.pdf (Договор за удостоверителни услуги),може да се видят следните клаузи ,точки
или еби му майката как ги наричат:
Чл.1/1/ Доставчикът предоставя на Абоната срещу възнаграждение услуги по издаване и управление на удостоверение за електронен подпис,
наричано по-долу "сертификат".
По-долу (някъде в задължения на Доставчика) :
/7/ да не използва съхраняваната от него информация за цели, различни от тези, свързани с неговата дейност.Доставчикът може да предоставя
на трети лица само съдържащата се в сертификата информация.
Това, заедно с цитатите от закона за електронният подпис може би оформя пълната картинка, или трябва юрист?
Здравейте,
Виждам че се разраства една дискусия, която от дълго време не може да се реши на ниво „държава”, а изхождайки от клишето че „държавата са хората живеещи в нея” то би следвало те да намерят решение на вълнуващите ги проблеми. Повечето хора се срамуват от така наречените „лични данни”. Аз лично не, и дори не виждам проблем защо някой трябва да си крие гражданския номер ... та нали е точно за това да се идентифицира с него.
ЗАКОН ЗА ГРАЖДАНСКАТА РЕГИСТРАЦИЯ
Чл. 11. (1) Единният граждански номер (ЕГН) е административен идентификатор на подлежащите на регистрация физически лица. Това е уникален номер, чрез който физическите лица се определят еднозначно.
А какво е по сигурно от уникалния идентификатор, дори чисто теоретично може да се дублира един публичен ключ. Разбира се аз виждам, че все пак това е сериозен проблем и предлагам да се обединим и да дърпаме каруцата в една посока (пак клише ;-). Пепелишев спомена юристи, обаче те искат да коментират готови технологични решения, тоест пак всичко е в ръцете на „хитрия” компютърен специалист (за каквито се смятаме всички).
Ще формулирам задачката просто: Имаме маса противоречащи си закони, как да направим така че всичките да са спазени, а и да има 101% сигурност при идентифицирането на персоната. (Решението на задачата изключва „рестартирането” на държавата и законите в нея;-)
Мога да ви дам жокери за размисъл:
1. Да изчезнат личните данни от сертификатите (това е лесно, но за какво ще са тези сертификати ако те не самите не говорят);
2. Да се хешват „срамните” лични данни (ужаса на администрацията и техните служители);
3. Да се ре-индексират от ДУУ-та базите (това леко ще измести и усложни идеологията на публичните инфраструктури, но е възможно);
4. Даване на възможност на всеки абонат сам да моделира своя профил (това ме плаши защото съкращението PKI ще е вече “Private” Key Infrastructure и пак няма да има нужда от ДУУ-та и издаваните от тях „сертификатчета”.
А и да не забравя да ви питам, Защо всички се страхуват от ЕГеНе-то си? Може би всеки ще извади своите аргументи, но Моля те да са смислени.
Много хора мислят по горните проблеми, но според мен само дискусията може да реши проблема. Тайно се надявам всеки да си напъне мозъка преди да пише, защото това може да е модела за решаване на проблеми от този род, а не събирането в огромни зали с дълги маси и надвикването на „избраните”.
Само искам да ви споделя че една смислена дискусия може да повлияе на бъдещото законодателство, в противен случай ще докажем че просто всеки един от нас няма работа на работното си място и просто се разсейва до края на работния ден.
При условия че всеки е такъв капацитет, познава цялото законодателство, технологии и трикове, чакам елегантни решения на поставеното предизвикателство.
Благодаря Ви!
Eating own dog food="Да си ядеш акито" меко казано
Нещо написано през обедната почивка.
1. Срамни неща в личните данни няма.
Мисля, че хората дето четат и пишат тук не са сноби или поп певици в кричина възраст.
Лошият момент идва от публикуваните там адреси, телефони и т.н. Вчера Златко се бе обадил на един собственик на сертификат. Могъл е да се обади на всичките. Ако Златко беше гадняр, можеше да се обади от името на удостоверителя и да им повлияе примерно да си кажат паролата за отключване на частния ключ в картата. Едва ли повечето хора знаят, че тази парола не бива да се съобщава. Не ми вярвате? Направете една телефонна анкета. Номерата на телефоните знаете как да намерите.
В момента такива проучвания за намиране на данни са хипер лесни. Аз вече знам кой е клиент и мога да отсея на база заемана позиция (оттам и по интелигентност и познания) такива, които са податливи на социално инженерство обекти. Ако ми се точеха лични данни, сега аз щях да имам всички данни на клиентите на сертификатната услуга на ИО до момента. Дори администраторите от този момента да въведат филтрация на заявките, над 6000 сертификата със сигурност вече са източени. В нормална страна това щеше да е ужасен скандал и клиентите щяха да побъркат удостоверителя от дела, ако преди това самата държава не стори това.
Представете си сега, че утре специалистите от ИО се научат да управляват LDAP директория и филтри за заявки (хипотетично казвам само) и кажат "ето сега новите сертификати с номера на WXYZ не са източванеми накуп". Примерно сега се иска да се въведе номера на сертификата и името на титуляра му. Дори и в този случай нещата не изглеждат розови. Нека обясня защо. Нека аз съм лошият. Знам, че моята позната блондинка е секретарка на фирма и подписва с частния ключ към сертификата данъчни декларации. Знам двете или трите й имена (забележете, не е нужно да знам номера на сертифика й и дори да го имам), но не знам телефона й. От X.500 базирания интерфейс на сайта на stampit.org аз мога да намеря телефона й, защото той е в едно от X.500 форматните полета на Subject на сертификата. После по метода на социалното инженерство да взема паролата. Поради невниманието на хората, могат незабелязано да работя със сертификата им. Само не скачайте. Замислете се, ако утре конкуренцията ви плати 3000 лева за да разсипете така конкурента... няма ли да го направите?
ЕГН-то може да се ползва за фалщифициране на сделки, ми казаха сега хора, познаващи номерата на търговци на имоти и т.н. Сиреч никак не е безопасно.
2. Хеширането на данни е един много добър начин.
Още през 2003-та година написах това:
http://ca.openintegra.com/docs/templates/hash-ident.html
Тогава ми се смяха доста за това нещо (да не споменавам поименно).
Оправдания от типа "администрацията не можела да се справи" са от селски тип.
Такааааа...,
малко ми е смешно че се впускам в това, което дори не е спор, но съм длъжен да обясня за масовата аудитория. Политиката на ДУУ на ИО не е да скрива данните на _ПУБЛИЧНО_ достъпните сертификати (акцентирам на публично), а точно обратното. Или по просто казано всеки трябва да има достъп до _ЦЯЛАТА_ база. Обратното ако ДУУ възпрепятства достъпа би станало страшно. Разбира се за тези, които се страхуват да не им продадат „колибката” със случайно или целенасочено открито ЕГН (което за мен е мит) е предвидено „скриване” на данните. Забира се след писмено изявено желание: http://www.stampit.org/pdf/stampit_request_issue_bg_v2.1.0.pdf
Та по този повод: Mоже ли да откриете ЕГН-то на абоната притежаващ сериен номер: 6621? Може, но не от базата на ИО;-) Това е един от многото доверили се на ИО абонати, които _НЕ_ искат публичност на личните си данни.
Тоест тук виждам _НЕ_ разбиране или нежелание за разбиране на ситуацията.
BY
След последното написано от вас, г-н Димитров, наистина няма спор - всичко преминава в пълна селяния и тарикатски номера.
Това, което ни показвате е яка гъргара. Личните данни със сигурност да публикувани в Subject полето на сертификата и вие дефакто сте ги публикували, но за да измамите дори и клиента за това, вие сте забранили изтеглянето на самия сертификат. Показвам снимка от екрана за да видят хората една очевидна измама:
http://photos15.flickr.com/22123968_f530c2f70b_o.png
Забележете, че има забрана за изтегляне на сертификата и показване на детайлите. Чудно ми е да дали Валентин знае, че е така. Ще ми покажете ли някаква точна техническа спецификация какво се съдържа в мета полетата на сертификата? Къде клиентът знае какво има в Subject полето. Къде това е описано на сайта?
Този документ дето показахте е подвеждащ и супер неясен. Това е пълна подигравка.
Имам един лек въпрос към вас. Ако аз искам да пратя криптирано съобщение до лицето, чиито сертификат размятате, от къде ще намеря X.509 сертификата му при условие, че аз знам трите имена на лицето? Може би ще се обърна към вас и вие ще ми прочетете сертификата по телефона? Вие въобще имате ли познания по схемата на удостоверяване в X.509 или по схемата за обмяна на ключ в същия този сертификатен модел?
Искате ли да ви кажа един възможен обмен на сертификат (силно се съмнявам, че знаете това, но ви предлагам знанията безплатно)? Един възможен обмен на сертификат е да се използва S/MIME форматен обмен на електронна поща. За да получа X.509 сертификата на въпросния споменаван от вас Валентин, той трябва да ми изпрати подписано от него писмо. Следвайки S/MIME към писмото трябва да се прикачи X.509 сертификата плюс подудостоверителската верига (ако такава има в схемата на удостоверяване). Прекрасно. Но Валентин не е ясновидец и не може да знае, че аз искам той да ми пише и да си обменим сертификати за да започнем криптирана и подписана кореспонденция. Аз дори не знам в общия случай пощенския му адрес. Или може би да дам обява в списание "Пчеларство" от рода "Валентине прати ми подписано писмо със сертификата си от ИО".
В момента вие укривате сертификат. И ако аз съм лош, ще сезирам КРС.
1. "Mоже ли да откриете ЕГН-то на абоната притежаващ сериен номер: 6621?"
Мога! В нашата база с абонати това е Петърчо от с.Горно Нанадолнище. Току що създадох базата и го въведох човечеца, но е самотен.
А-а-а, не съм разбрал ... ставало дума за сериен номер 6621 от базата с абонати на ИО, ... х-м-м ... трудно ..., но аз съм умен, аз съм мъдър и ще потърся в базата на ИО. ... Олеле, и там го нямало, ... ми то хората ПАРИ им дават, за да я поддържат. И ся кво ша прая, божке-е-е.
Хайде да спрем с глупостите, а. Последно специалисти ли сме или "специалисти"?
2. ЕГН-то
Поради наследения му дуализъм ЕГН си е голям проблем. От една страна това е идентификационна информация, която би трябвало да е еквивалентна на първичния ключ в релационната алгебра. От друга страна обаче много институции го ползват като оторизираща информация (един вид парола). Тука вече и свещенното ИО не може да помогне. Българина толкова е свикнал с безумието ЕГН, че не може да повярва как съществуват страни без такъв номер. Австралийците пък например им е трудно да асимилират такова нападение над личната неприкосновеност и го тълкуват като полицейщина.
3. Срамуването
Може би сега трябва да се оправдавам, че не се срамувам от ЕГН-то си. И е така, притеснявам се когато широк кръг хора го знаят. В сигурността идентичността се проверява по три основни групи начини:
- нещо, което знаете (парола, скрит ключ, ЕГН);
- нещо, което имате (метален ключ, security token, кредитна карта, понякога пистолет)
- нещо, което сте (пръстов отпечатък, ретина, и др. биометрики).
По-горе посочих защо ЕГН е един вид парола.
4. LDAP
Аз нямам достъп до LDAP директорията на ИО, не мога да създавам или да променям записи, не мога да променям права за достъп до нея, ... но закона не изисква това, нали. Аз трябва да имам анонимен потребителски достъп и да мога да прочета идентификационната част (г-н Имен Презименов Фамилиев) и сертификата. Евентуално ЕГН или Булстат като идентификационна информация също, но изчистен юридически от оторизационната му функция.
Адрес, телефон (особено мобилен) и друга лична информация могат да се събират само за извършваната дейност и НЕ ТРЯБВА да се разпространяват без съгласието на собственика им.
Добре, че не сме в САЩ, защото ИО в момента щеше да е обект на class action дело от клиентите си. В Калифорния пък щата би го съдил отделно за изтичане на лична информация, за което клиентите и обществеността не са уведомени.
И пак си говорим едно към гьотере. Хайде бе хора, това, че закона е тъп (публична тайна) не означава, че трябва да го четете като свето евангелие. Спазвайте си го, ОК, но не пишете глупости за "срамни лични данни" или колко безобидно е да имаме публично ЕГН. И какви уникални идентификатори, като в България има към 7.8 милиона жители и 11 милиона ЕГН-та? Кашата с тях и без това е достатъчно голяма, за да си позволяваме още възможности за злоупотреби.
Не мисля, че само Северна Америка има ЗЛД.
И ние си имаме ЗЗЛД и Комисията за защита на личните данни която се избира от Народното събрание по предложение от Министерски съвет, където една от функциите и е да води регистър на администраторите на лични данни (АЛД) и контролира същите. Справка:
http://www.aip-bg.org/lichnidanni/kzld.htm
ЕГН и една камара неща вкл. и информацията от личната ви карта попадат в полезрението на ЗЗЛД и когато се нарушават (огласяват публично) то се взимат мерки. Справка:
http://www.aip-bg.org/lichnidanni/pdf/izbori.pdf
Добре е да се видят и някои решения на КЗЛД: http://www.aip-bg.org/lichnidanni/kzld_resh.htm
Ако на някой не му харесва ЗЗЛД да вини Парламента и Комисията. Съвсем друг е въпроса кога и как се правораздава у нас ;-)
Цитата Людмил Димитров:
Повечето хора се срамуват от така наречените „лични данни”. Аз лично не ...
Думичката тъпо, как ти стои (седи) ?
Можеш да се срамуваш от баба си, която е пускала на партизаните или от дядо си дето е бил комунист, ама личните данни са си лични данни. На мен не ми било приятно някой, който следва референциите да ми се обади и/или/ да ми пристигне на гости!
Знаеш ли какво са казали Kraftwerk през 73 (със сигурност не си бил там, а и Kraftwerk са далеч от теб - викаме му култура така че не можеш да твърдиш)?
FBI and KGB controls the data memory ...
И в един момент се замислих,
не трябва да се срамуваш нито от баба си нито от дядо си, защото дядо ти (комунист, партизанин) е спал с баба ти ...Не трябва да се срамуваш от личните си данни, както и аз не се срамувам от моите, само че не искам хората да си направят знамена с ЕГН-то ми и телефона.
Ако толкова много искаш всъшност ...
copy/paste ЕГН-то си тук, а аз ще съм първият с фанелка :)
Кучетата си лаят, кервана си върви.
Ако се спретне простичък script може да се прави графика колко клиента дневно са преклонили глава пред ИО (да се свети АД-то му!). И на повечето от тях личните данни свободно се въргалят в Интернет.
Обидените "колеги" от ИО могат да смятат от шестнадесетична в десетична бройна система, но не са се допитали до юристконсулта си. Дотук без много търсене са уязвими по поне два закона. А глобите са съизмерими със сертификатните такси за месец (по сегашните им тарифи).
интерестно ми е не трябваше ли ИО "да е свято АД-то Му" да публикува "но-интерестната" част от данните при желание, а не vice-versa?
Абонамент за Коментари за публикацията [Atom]
<< Начална страница