Stránka 1 z 3
TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 25 lis 2009, 10:30
od Jaroslav.Kucera
Návrh TZ k tomuto:
http://www.novinky.cz/domaci/185209-do- ... rnici.html
Jinak podklady dodal next_ghost zde:
https://www.ceskapiratskastrana.cz/foru ... =53&t=2508
Prosím o doplnění přímé řeči. Nejlépe asi zmínit tu žalobu na neznámého pachatele z dílny ABClinuxu.
ČPS upozornila na možné problémy s datovými schránkami již před 4 měsíci
O nebezpečnosti nezabezpečené distribuce certifikátu pro připojení k projektu Datové schránky se ví již delší dobu. Včerejší názorná demonstrace průniku do datových schránek, zveřejňená v médiích, ukázala, že je to velmi snadné. Principem útoku je obecně známá metoda "man-in-the-middle", která se učí na všech informatických vysokých školách. Její velkou výhodou je i fakt, že je velmi obtížně zjistitelná.
Někdo u poskytovatele připojení může nastavit svou síťovou proxy tak, aby filtrovala spojení na web PostSignum a Datové schránky. Při pokusu o stažení kořenového certifikátu PostSignum proxy spojení zachytí a odešle uživateli podvržený certifikát. Ten si jej následně nainstaluje a místo jednoho zabezpečeného spojení se rázem používají dvě. Jedno k poskytovateli připojení, kde dochází k dešifrování a sběru dat, které se pak znovu zašifrují správným certifikátem PostSignum.
Odvoláváme se proto na 2. a 3. bod naší tiskové zprávy ze 14.7.2009, kde jsme na toto nebezpečí důrazně upozorňovali. Petr Stiegler, šéf eGovernmentu České pošty, byl na tento fakt upozorněni i na serveru podnikatel.cz, kde se účastnil on-line diskuse k projektu Datové schránky. O nebezpečí tedy prokazatelně věděl.
Ještě musím dodat, že dnes odpoledne a zítra až do večera budu pravděpodobně offline a tedy nemohu odesílat...
EDIT: Změněn nadpis podle Zdeňka
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 25 lis 2009, 10:42
od Zdenek.Pech
Upravil/nahradil bych v nadpisu výraz "varovala" za "upozornila na možné problémy" - například. Slovo "varovat" je pro mě osobně takové profláknuté aka "ministerstvo zdravotnictví varuje..." (ale reklama na cigára visí všude
) ...
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 25 lis 2009, 10:46
od Jaroslav.Kucera
Zdeňku já bych to tam dal také, jenomže náš mailer má omezenu délku subjectu na 60 znaků a uřízlé to je na dvě věci. Ale můžu dát jiný nadpis subjectu a jiný do textu
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 26 lis 2009, 11:09
od Jiri.Rezek
nechci prudit,ale nějak to s těmi vydáváním TZ zadrhává
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 26 lis 2009, 11:33
od Jaroslav.Kucera
Jirko také mám ten pocit...
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 26 lis 2009, 12:13
od Martin.Broz
Jsem pro vydani.
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 26 lis 2009, 13:07
od Jaroslav.Kucera
Vzhledem k tomu, jak je odbor postaven se v současnosti můžeme Martine klidně oba na hlavu stavět, ale ven to může pustit jen Honza, jakožto odpovědný šéf odboru.
Asi je na čase tuto rozhodovací pravomoc rozdělit více lidem. Je potřeba aby od 7:00 do alespoň 22:00 tu byl vždy někdo, kdo může TZ pustit.
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 26 lis 2009, 14:00
od Zdenek.Pech
Přidávám stejný názor jako Martin Brož - tato pravomoc musí přejít i na někoho dalšího v rámci zastupitelnosti. Nejlépe 2-3 lidi. Toto bych řešil akutně a jména lidí bych nechal na Honzovi... prosím žádné zdlouhavé hlasování a podobně!
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 26 lis 2009, 14:53
od Jaroslav.Kucera
Prosím tedy o vytexání.
ČPS upozornila na možné problémy s datovými schránkami již před 4 měsíci
O nebezpečnosti nezabezpečené distribuce certifikátu pro připojení k projektu Datové schránky se ví již delší dobu. Včerejší názorná demonstrace průniku do datových schránek, zveřejňená v médiích, ukázala, že je to velmi snadné. Principem útoku je obecně známá metoda "man-in-the-middle", která se vyučuje na všech informatických vysokých školách. Její velkou výhodou je velmi obtížná zjistitelnost.
Někdo u poskytovatele připojení může nastavit svou síťovou proxy tak, aby filtrovala spojení na web PostSignum a Datové schránky. Při pokusu o stažení kořenového certifikátu PostSignum proxy spojení zachytí a odešle uživateli podvržený certifikát. Ten si jej následně nainstaluje a místo jednoho zabezpečeného spojení se rázem používají dvě. Jedno k poskytovateli připojení, kde dochází k dešifrování a sběru dat, které se pak znovu zašifrují správným certifikátem PostSignum.
Odvoláváme se proto na 2. a 3. bod naší tiskové zprávy ze 14.7.2009, kde jsme na toto nebezpečí důrazně upozorňovali. Petr Stiegler, šéf eGovernmentu České pošty, byl na tento fakt upozorněni i na serveru podnikatel.cz, kde se účastnil on-line diskuse k projektu Datové schránky. O nebezpečí tedy prokazatelně věděl.
Jaroslav Kučera, předseda jihomoravské ČPS, přidal tento komentář: "Je s podivem, že bezpečnostní díra, o které se ví již minimálně několik měsíců, nebyla odstraněna před ostrým spuštěním projektu. Datové schránky mají podléhat poštovnímu tajemství stejně jako dopisy a je tedy na místě zajistit důvěrnost sdělovaných informací."
Re: TZ: ČPS varovala před datovými schránkami již před 4 měsíci
Napsal: 27 lis 2009, 12:10
od Jaroslav.Kucera
TZ byla odeslána.