Autors: Guncha, 06.03.2011 10:02
Links uz pirmavotu: http://www.delfi.lv/news/national/politics/neo-aicina-apsvert-augsta-limena-it-komandas-veidosanu-jo-valsts-iestadem-pietrukst-kompetences.d?id=37200931&com=1&s=1&no=80
HAKERI UN ĒDNĪCAS DIREKTORS
Pirmā diena
Hakeris atnāk uz ēdnīcu un konstatē, ka sālstrauku, kurš atrodas uz galda, var atskrūvēt jebkurš un iebērt tajā jebko. Hakeris, atgriezies mājās, raksta sašutuma pilnu vēstuli ēdnīcas direktoram: „ Es, meG@Duc|, atklāju jūsu ēdnīcā sālstrauka ievainojamību. Ļaundaris var atvērt sālstrauku un iebērt tajā indi! Rīkojieties nekavējoši!”
Otrā diena
Ēdnīcas direktors starp citām darījuma vēstulēm un lietišķiem dokumentiem saņem arī šo brīdinājuma vēstuli un parausta plecus: „Kam gan tādi murgi prātā ienākuši?”
Piektā diena
Hakeris atkal ierodas ēdnīcā un ieber visos sālstraukos indi. Saindējas un mirst trīssimts apmeklētāju. Direktoru arestē un trīs mēnešus vazā pa tiesām, līdz beidzot attaisno nozieguma sastāva trūkuma dēļ. Hakeris raksta vēstuli: „Nu, ko es teicu?”
96. diena
Direktors iepērk speciāli projektētus sālstraukus ar koda atslēgu. Ēdnīcas apmeklētājiem liekas, ka šajā dzīvē kaut kas ir ārpus viņu sapratnes robežas.
97. diena
Hakeris konstatē, ka caurumi sālstraukā laiž cauri sāli abos virzienos un ne tikai sāli, bet jebko citu arī. Viņš raksta jaunu vēstuli direktoram un iečurā visos ēdnīcas sālstraukos. Trīssimt cilvēki pārstāj apmeklēt šo ēdnīcu, trīsdesmit saindējas un nokļūst slimnīcā. Hakeris direktoram nosūta īsziņu: „Nu, kā jums tas patīk?” Direktors atkal tiek trīs mēnešus vazāts pa tiesām un dabū gadu nosacīti.
188. diena
Ēdnīcas direktors zvēr nekad dzīvē vairs nestrādāt nevienā ēdnīcā, bet mierīgi mežā gāzt kokus. Inženieri ķērušies pie jauna sālstrauka izstrādes ar vienpusēju vārstu. Ēdnīcā tiek novākti visi sālstrauki un sāli darbinieki izdala individuāli stingrā uzraudzībā.
190. diena
Hakeris aiznes jaunā parauga sālstrauku un mājās rūpīgi izpēta tā konstrukciju. Viņš raksta jaunu niknuma pilnu vēstuli: „ Man, meG@Duc|, izdevās iznest sālstrauku no Jūsu ēdnīcas! Tas ir nepieļaujami! Jebkurš var iznest sālstrauku no Jūsu ēdnīcas!” Pirms tam alkoholu nelietojušais ēdnīcas direktors izlasa vēstuli, dodas mājās un piedzeras.
193. diena
Hakeris konstatē, ka ēdnīcā visi sālstrauki ar ķēdēm piestiprināti galdiņiem. Viņš dodas uz kārtējo hakeru salidojumu un ziņo par saviem panākumiem, saņemot pelnītu atzinību par sabiedrības un patērētāja interešu aizsardzību. Par laimi, ēdnīcas direktors par to neko nezina, citādi nodzertos pirms laika.
194. diena
Velnišķīgi ģeniāli izplānotas operācijas ietvaros visi hakeru salidojuma dalībnieki ielaužas ēdnīcā un izber visu sāli no sālstraukiem sev kabatās. Hakeris meG@Duc| raksta jaunu vēstuli ēdnīcas direktoram, dodams mājienu, ka ēdnīcai vispār nerūp apmeklētāji, jo jebkurš nelietis vienā mirklī var atstāt neaizsargātos apmeklētājus vispār bez sāls. Lai novērstu šādu iespēju, akūti nepieciešams sāls dozators ar ikreizēju autorizāciju.
196. diena
Inženieri ar sviedriem vaigā strādā pie jauna sālstrauka izstrādes, kamēr ēdnīcas darbinieki atkal izsniedz sāli individuāli. Direktors dodas atvaļinājumā uz Seišelu salām un ietur maltītes tikai viesnīcas numurā, izvairoties no ēdnīcām, restorāniem un bāriem.
200. diena
Ēdnīcas apmeklētāji ar šausmām atklāj, ka ikreizējai sāls piebēršanai nepieciešams doties pie oficianta un, uzrādot personu apliecinošu dokumentu, saņemt speciālu 8-zīmju vienreizēju piekļuves kodu sālstraukam. Lai piebērtu piparus, procedūra atkārtojama.
sistēmanalīze 
Posted by meG@Duc| on 23/03/2011 at 19:40
8 ciparu pin kods diemžēl neatrisina sālstrauku problēmu!
Pirmkārt, netiek normēts sāls un piparu piekļuves kodu pieprasījuma skaits – jebkurš var iztukšot visu sāls trauku,
otrkārt nav limits cik daudz sāli drīkst piebērt – tas pats, jebkurš var iztukšot sāls trauku,
treškārt lietotājam ir iespējams sāli piebērt no neautorizēta un nepietiekami aizsargāta sālstrauka, piemēram, blakus ēdnīcā vai injectēt savu līdz paņemto sāli!1
PatīkPatīk
Posted by Aldis on 21/03/2011 at 12:18
Rakstiņš jau smieklīgs, bet personas datus un sāli nav īsti pareizi salīdzīnāt. Iespējams tas noticis tikai tāpēc, ka autors nav saskāries ar problēmām kas no tā var rasties. Iesaku iepazīties ar tādu lietu kā sociālā inženierija (http://en.wikipedia.org/wiki/Social_engineering_%28security%29). Latvijā gan tas nav tik bīstami kā, piemēram, Lielbritānijā, kur tā var iegūt pat vadītāja apliecību, bet notiek.
PatīkPatīk
Posted by edGars on 08/03/2011 at 19:56
Tīri jauki. Sāls lietošana kļuva droša, bet nebaudāma.
Dzīve ir padarāma droša un nebaudāma.
PatīkPatīk
Posted by Ģirts on 07/03/2011 at 18:24
Piekrītu Normundam un citiem līdzīgi domājošiem. Dēļ šīs PK un pases Nr. autentifikācijas aizvākšanas nevarēju weekendā pieskaitīt savus vecākus. Un man no tiesas nerūp hipotētiskais gadījums ar varbūtību 0.00001, ka kāds sameklēs manus datus un ies pārbaudīt vai man ir sausā ateja un vai dzīvoju šķūnī.
PatīkPatīk
Posted by Modus Operandi on 07/03/2011 at 18:53
Piekrītu, ka atslēgt autorizāciju bija stulbums. Pilnīgi pietika ar datu lasīšanas iespējas likvidēšanu (ko paši “skaitītāji” operatīvi arī ieviesa praktiski uzreiz pēc pirmajām sūdzībām!) un, ja gribētos pavisam droši, ar liegumu labot datus pēc aizpildīšanas. Bet DVI jau darbojas “vislabākajās” Latvijas iekšlietu tradīcijās — vispirms aizliegt, sodīt, atņemt, un tikai pēc tam uzdot jautājumus. Varbūt. Ja ārā labs laiks. Un ja pašiem labs garstāvoklis. Un ja nav jāsteidzas kaut ko citu aizliegt.
PatīkPatīk
Posted by Modus Operandi on 07/03/2011 at 12:41
Līdzības ar tautas skaitīšanas sistēmu nav, jo sāls ir publiski pieejams resurss bez nekādām garantijām, nevis privāta pieeja oficiāli drošā sistēmā. Korekti būtu salīdzināt ar ēdnīcas garderobi, kurā pie sienas ir rakstīts “visas atstātās lietas ir drošībā”, bet praksē pat numuriņus neizsniedz, īpašnieku pārbaudot tikai pēc tā, vai viņš var nosaukt apģērba/somas krāsu un izmēru. Tiešām par to nebūtu jāceļ tracis?
PatīkPatīk
Posted by Normunds on 07/03/2011 at 14:33
es tev daudzreiz esmu gribējis iedot palasīt vienu rakstu. nu ir tā reize, kad man nav slinkums to sameklēt :) http://blogi.delfi.lv/Mango.lv/par-abstrakto-domasanu/
PatīkPatīk
Posted by Modus Operandi on 07/03/2011 at 18:46
Diezgan truls “raksts”, ņemot vērā, ka tas runā par abstrakciju kā par kaut kādu singulāru darbību, lai gan tā ir pakāpenisks, daudzslāņains procesa un rezultātu tīkls.
Atšķirot publisko telpu no privātās, abstrahēšanās dotajā līdzībā izbeidzas pie sālstrauka kā publiskas pieejas resursa. Abstrahējoties tālāk, t.i., ar sālstrauku apzīmējot datu pieejas vispār, sanāk, ka līdzība ir tikpat labi piemērojama, piemēram, bankas kontiem. Tikai, ja hakeris nevis noindē 300 anonīmus cilvēkus, bet nozog tieši tavus 300 Ls, tad pēkšņi stāstā attēlotie mēģinājumi uzlabot drošību vairs nešķiet ne lieki, ne stulbi. Tad dižā abstrahēšanās kaut kur pagaist, tā vietā uzrodas konkrētas prasības ieviest pēc iespējas stingrākas atslēgas konkrētajai sistēmai.
PatīkPatīk
Posted by Maija on 07/03/2011 at 11:38
Klau, V.Karnīte! Vai tu esi valsts aparāta darbiniece? Vai tu esi iesaistīta kādā no gļkainajiem projektiem? Vai tev patiktu, ka tavu māju prombūtnes laikā apstaigā un visu apgrābsta svešinieki?
Esmu jau agrāk dzirdējusi līdzīgu izsmieklu Pastā, kad bija atplēstas man pienākušās vēstules un žurnālu iepakojumi. Tur pastniece prasīja, jums tai vēstulē bija kas sevišķi slepens? Vai arī jūsu Ilustrētajā vēsturē palika mazāk burtu no tā ka kāds izlasījis to pirms jusm. Ar domu, ka es piekasos pa tukšo.
Viņasprāt, korespondences neaizskaramība un vienkārši pretīgā sajjūta, ka kāds loņājis pa man adresētām lietām (kāds pastnieķelis, uz laiku pieņemts bomzis), bija tukša cimperlēšanās.
Saki, Karnīte, vai tev patiktu zināt, ka pa tavu māju kd sšmonī? Nu, pat tad, ja neko nepaņem, tikai palūr veļas plauktiņā, pārskaita paketes, izšķirsta albūmiņus, izlasa epastiņus, iemet aci ledusskatī? Bet saimnieks no kā tu īrē māju atteiktos uzlikt tavam dzīvoklis atslēgu, sakot, atmūķēt jau var visu!
Var protams. Bet viena lieta, ka durvis stāv vaļā, un katrs kas vēlas, var ienākt. Cita, ka īpaši jāmūķē. Un tādu mūķētāju vienmēr būs mazāk.
Un arī tad ja tev pašai personiskā informācija neliekas sargājama, nesmīkņā par tiem kam, tā tāda liekas :)
PatīkPatīk
Posted by Vita Karnīte on 07/03/2011 at 11:48
Maija, manas domas būtībā sakrīt ar juristes K.Jarinovskas domām: – citēju (gan drusku izrauts no konteksta): [..] “Iebildumi pret personas koda publisku pieejamību oficiālajā publikācijā vērtējami kā vēršanās pret cilvēka dzīvi laikmetīgā sabiedrībā” [..] Pilns teksts šeit: http://public.monitorings.lv/2010_08/Izglitiba/10/JurV-10082010-6-13.pdf
Uzskatu, ka varēt pēc personas koda atrast personas vārdu un uzvārdu, nav FPDAL pārkāpums.
PatīkPatīk
Posted by e-remit on 08/03/2011 at 13:16
Pārkāpums bija tas, ka bija iespēja uzzināt cilvēka adresi, ko sistēma pati piedāvāja. Ja tas neliekas svarīgi, tad pasaki to sievietēm, kas veiksmīgi noslēpušās no sava bijušā vīra – varmākas, bet tagad mierīgi varēja uzzināt savas bijušās sievas adresi, lai pārmācītu.
Kļūda bija pieņēmums, ka visi autorizācijas veidi jāapstrādā vienādi. Ideja laba, bet par niansēm nebija aizdomājušies.
PatīkPatīk
Posted by Vita Karnīte on 08/03/2011 at 13:32
Pilnīgi un absolūti piekrītu “Kļūda bija pieņēmums, ka visi autorizācijas veidi jāapstrādā vienādi”!
1) vienkāršākais – varēja pēc e-me vai bankas autorizācijas ļaut ievadīt info par citiem – es ar prieku būtu pieskaitījusi mammu un vairākas viņas draudzenes (pēc viņu pašu lūguma, protams :-) ) Šādā variantā arī tiem, kuri negrib uzticēt citiem savu pasi, būtu bijusi iespēja atrast kādu paziņu ar autentifikācijas iespējam un pēc tam pašam ievadīt savus datus,
2) sarežģītāks – atstāt ar pases datiem, bet 1) atvērt tikai datu ievadformu bez piemeklēšanas, 2) pēc aizpildīšanas vairs nerādīt datus un rādīt paziņojumu, ka dati tad un tad sistēmā ir reģistrēti, ja jautājumi, lūdzu zvaniet, 3) neļaut saglabāt draftu vai arī pēc pieslēgšanās parādīt, kad bija pēdējā pieslēgšanās,
3) organizatoriski sarežģītāks – veidot bibliotēkās darba vietas, kur bibliotekārs pārbauda pasi UN, cilvēkam, kura pase ir pārbaudīta, arī ļaut ievadīt informāciju par citiem, kaut vai par slimo kaimiņieni, ja reiz viņa ir uzticējusi savu pasi.
4) sarežģīt autorizāciju ar papildus info, kas valstij ir zināma – piemēram, lūgt norādīt auto tiesību nr – tādējādi vismaz daļai cilvēku būtu palikusi iespēja. Vai aktuālo deklarēto adresi.
5) likt liegumu,ka no vienas IP adreses ne vairāk kā 3 pases, izņemot, piemēram, bibliotēku adreses (zinu, ka šis būtu sarežģīts, bet pieminu dažādībai).
Tie uz sitiena, ekspromtā prātā nākušie veidi. Ticu, ka liekot vairākas gudras galvas kopā, būtu atrasti vēl labāki varianti – ja tikai kāds tos būtu meklējis, nevis mehāniski piegājis “aizliegt! nogriezt”, pavisam aizmirstot mērķi – nodrošināt iespēju iedzīvotājiem elektroniski pieskaitīties. Mana mamma to nevarēja izmantot – labā ticībā gribēja nogaidīt trešo dienu, ka tad būs mazāka aktivitāte.
PatīkPatīk
Posted by Kaspars on 07/03/2011 at 10:31
Izlasīju stāstiņu. Veikli samargots, bet nepatīk man tas.
Un 2 iemeslu dēļ:
1) Jautājums par datubāzēm izgaismojās pagājušgad, sakarā ar NEO aktivitātēm, un šogad aktualizējās saistībā ar caurumiem VID EDS, SCDD un tautas skaitīšanas sistēmās.
Šeit tiek fundamentāli jauktas pamatlietas: ja par valsts naudu uzbūvēta sistēma, kam jānodrošina personas datu aizsardzība, tad jebkuras kļūmes liecina par sistēmas veidotāju nekompetenci. Nu nedrīkst būt situācija, kad viens cilvēks par citu var iesniegt datus valsts iestādē. Vai uzzināt. Vai mainīt tos.
VIENALGA, CIK AKTUĀLI TAS KĀDAM ŠĶIET VAI NEŠĶIET.
Likums ir pārkāpts, un cauri. Un vainīgajiem par to jāatbild.
2) Salīdzināt valsts datubāzes ar Draugiem.lv vai jebkuru citu sociālo tīklu (šajā gadījumā ar ēdnīcu), ir lēta demagoģija. Jebkurā sociālajā tīklā cilvēks var piedalīties vai nepiedalīties brīvprātīgi. Ievadīt savus personas datus vai neievadīt – tā ir brīva izvēle. Un pat tad, ja negodīgi cilvēki profilu uzlauž, iestājas atbildība likuma priekšā. Savukārt sociālo tīklu turētāji nekad neatļautos ieviest tik idiotisku “drošības” vārstuli, kas ļautu ikvienam kārotājam brīvi ielūkoties profilā.
Tāda rīcība ir acīmredzami stulba un tāds tīkls bankrotētu.
Vai nu cilvēks, kas salīdzina VALSTS DATU BĀZI, kuara ir DRAŅĶĪGI aizsargāta ar Draugiem.lv vai ēdnīcu, pieļauj šo kļūdu apzināti – un tad ir nelietis. Vai neapjēdz starpību, un tad ir vienkārši muļķis.
Ideja izmantota autorizāciaji personas kodus – tur jābūt galīgi atrofētām smadzenēm. Personas kodu cilvēki norāda ikvienā darba vietā, dzīves vietā, mācību vietā, slēdzot jebkuru līgumu, vēršoties ar iesniegumu jebkurā valsts iestādē, piedaloties jebkurā konkursā : ir simtiem cilvēku, kas tam var tikt klāt. Nav runas par to, starp viņiem būs vai nebūs 1 noziedzinieks.
Runa ir par to, ka šāda sistēma ir stulba saknē.
Šīs daudzās gļukainās valsts datubāzes, kas izprojektētas un uzbūvēdas ar līkām rociņām caur kājstarpi liek matiem celties stāvus : kādi kropļi “strādā” valsts iestādēs PAR MANU NODOKĻU NAUDU un būvē stulbas sistēmas PAR MANU NODOKĻU NAUDU.
Tādu idiotismu nevienā privātā iestādē, nevienā bankā nepieļautu. Bet valsts iestādē par valsts naudu – tur viņi atļaujas cūkoties. Tāpēc šķiet, ka šī bloga autors pieder pie bezģeļņikiem, kas parazitē kādā valsts iestādē un vai nu ir tikpat stulbs kā gļukainās sistēmas veidojošie ierēdņi – vai arī solidarizējas ar viņiem.
Ļoti žēl.
ps. Labs piemērs ir bankas: šeit piekļuve ir vienkārša un ērta. Tai pat laikā tikai rūdīts noziedzinieks var apiet šīs drošības sistēmas.
PatīkPatīk
Posted by Janis B on 07/03/2011 at 12:48
1) Kaadiem, idritvai, caurumiem?
“Nu nedrīkst būt situācija, kad viens cilvēks par citu var iesniegt datus valsts iestādē. Vai uzzināt. Vai mainīt tos.”
2) Es ceru, ka jūs vismaz nojaušat, ka gan algoritimiski, gan sadzīviski šī prasība ir vājprātīga. Kāpēc lai es nevarētu nodot tautas skaitīšanai savus un, ja viņa to vēlas, savas sievas datus, man viesvienkāršākajā, ērtākajā un pieejamajā veida? Es manas sievas datus jau zinu.
Un kāda JUMS vai, piedodiet, bet mūjābeļiem un NEJĒGĀM žurnālistiem daļa gar maniem, idritvai, datiem, vai to, kā es tai sistēmā identificējos? Maksimums, ko manuprāt varētu prasīt no tādas sistēmas ir, lai jūsu caur e-parakstu vai caur banku ievadītajiem datiem nebūtu piekļuves caur citu identifikācijas/autorizācijas metodi, vai–pēc tam, kad persona ir pateikusi (nospiedusi pogu) – viss, mani dati ir pareizi–varbūt vispār. Ja tas nav nodrošināts, tad ir problēma.
Bet visādi citādi – iegaumējam taču vienreiz mind your own f#*%ing business principu. Tādas vienreiz 10 gados lietojamas saskaitīšanās aplikācijas lietošanai ES nevēlos būt spiests pasūtīt, maksāt par, un nedēļām ilgi gaidīt uz, kaut kāda tur e-paraksta iekārtošanu (vai pat veselu divu gab.!!!), vai izmantot banku. Nu NE-GRI-BU! :) Un ja kāds “hakeris” vai žurnālists ļaunprātīgi čakarē manus datus skaitīšanas sistēmā, tad tādu noziedznieku tveršanai un saukšanai pie atbildības ir daudzas jo daudzas policijas.
PatīkPatīk
Posted by Dritvai on 08/03/2011 at 18:54
Piedod, Dritvai Jāni. Šķiet, ka esi riktīgs pālis. Vai arī izliecies par tādu :)
Nav runas par to, ka dati pieejami vienas mājsaimniecības robežās: tā ir pašu ļaužu darīšana.
Kreņķis ir par to, ka dati pieejami SVEŠIEM CILVĒKIEM. Jo skaitīšanas sistēma bija uzbūvēta idiotiski un neprofesionāli. Ignorējot to, ka daudzu cilvēku personas kods ir plaši pieejams un līdz ar to arī viņu personiskā informācija.
Atvaino, Dritvai Jāni. Ja esi par glupu to saprast, nevajag piesārņot publisko telpu. Labi?
PatīkPatīk
Posted by Hakere on 07/03/2011 at 10:04
atgādina manu māti
PatīkPatīk
Posted by Pēteris Krišjānis on 07/03/2011 at 09:23
Manuprāt, problēma ir šo “hakeru/kritiķu” mērķi – par katru cenu pateikt kaut ko sliktu par valdību, jo valdība ir pē. Savā ziņā latviešu anarhisms nav nekas jauns – tā saknes stiepjas pat pagājuša gadsimta 20. gados. Kaut vai piemēram Neo lieta nebeidzās ar normālu, cilvēcīgu analīzi, bet gan ar frāzi “kāpēc pret Neo ir lieta, bet pret sliktajiem programmētājiem nav?!”. Šajā ziņā publika pie mums atgādina pārgurušu un sajūtās notrulinātu cilvēku, kas grib sajust vismaz kaut ko – lepnumu uz 5 sekundēm, ka nogāzuši kādu cilvēku, kurš ir pieļāvis kļūdu. Viņu neinteresē lietu būtība – piemēram, ka kaut vai CSDD (ja nemaldos) algas nopelna paši un to publicēšana nebija īpaši pamatota.
Runājot par lietas būtību – autorizēšanos ar personas kodu un pases numuru varēja uzlabot, bet to izslēgt kā iespēju nebija pareizi. VID gadījumā pietiktu ar to personu žurnalēšanu, kas maltu aktīvi caur savu kontu citu PK. ātri vien piefiksētu kādu, kuram gribās ko uzzināt vairāk.
Mani satrauc arī tas, ka neviens nerunā par to, ka pēc likuma pases datus nemaz tik brīvi nav ļauts apkārt dalīt – un nav arī īsti tiesības tos prasīt. Šeit amatpersonām un projektu ieviesējiem var pārmest nespēju redzēt tālāk par likuma rāmjiem – reālā dzīve Latvijā diemžēl pamatīgi atšķirās no tā, ko saka likums. Bet vai tiešām esam pie tā tik ļoti pieraduši?
PatīkPatīk
Posted by Normunds on 07/03/2011 at 14:28
Tur jau tā lieta, ka DVI tā vietā lai rūpētos par jau nopublicētajiem tūkstošiem personas kodu izvēlas taktiku – aizliegsim sāli. Ja jau personas kods ir tik ļoti sensitīva lieta kāpēc ar tiem ir pilns Latvija Vēstnesis? Tik lasi un pieraksti blociņā. Tas nevienu neuztrauca līdz brīdim kad VDI vajadzēja parādīt, ka viņiem šausmīgi rūp pilsoņu datu neaizskaramība.
Autentifikācijas sistēma ar pases numuru un personas kodu bija pietiekami laba no tā viedokļa, ka radīja iespēju piereģistrēties un saskaitīties pēc iespējas lielākam ļaužu lokam. Es būtu piereģistrējis savu mammu, jo viņai nav ne eparaksta, ne ibankas, bet ir pase. Diemžēl tagad valsts tērēs vairāk naudas par skaitītāju darba apmaksu, jo viņu darbs maksās vairāk nekā elektroniskā sistēma.
Lietuvā, ja nu kādu tas interesē, reģistrēšanās tautas skaitīšanas sistēmā notiek ar tiem pašiem datiem kā pie mums – pases numurs un personas kods. Un tur nedzird, ka kādam no tā būtu cēlies kāds sliktums. Es domāju, ka mūsu problēmas ir galvās nevis obskūros personas koda apdraudējumos. Te links lai katrs var pārbaudīt, ka es nemeloju https://esurasymas2011.stat.gov.lt/
PatīkPatīk