Názory k článku Postřehy z bezpečnosti: zubní kartáčky na nás (zatím) neútočí

Takhle jsem prisel o netrivialni mnozstvi penez (150kkc) za baterky do UPS plus nejaka kosmetika k tomu. Od te doby si fotim kazdy papir ktery dostanu a synchronizuji ven.. A mohli mne pravoplatne vyhodit.A vubec se neda spolehat na to ze vam to pojistovna zaplati. Protoze se nic nevykourilo a vzniklo to administrativni chybou - smolik.

Clovek co ma maly obrat prace, jednorozmernou kratkou frontu cinnosti a levny material tohle nepochopi.

Obecne jsem co se tyce papiru strasny prase, ale v elektronicke evidenci mam velky poradek. Papiry jsou nanic - ztraci se, nici se, kopie nelze automatizovat a udaje povalujiciho se lejstra daji zneuzit. Jenomze naucte betonove mozky novym technologiim.

19. 2. 2024, 14:48 editováno autorem komentáře

Stačí že začnou hořet termíny a nebo vám přijde reklamace kterou musíte rychle hasit.

Mě se líbí, jak v této a v každé podobné diskusi někdo vrší další a další argumenty, proč se to mohlo stát a vůbec jej nenapadne se zamyslet nad tím, že by se věci mohly dělat třeba trochu jinak právě proto, aby k těmto případům nedocházelo.

Takže se tady vrší argumenty "jak to chodí v korporátu", potom někdo napíše, že se kupujou kabely za 300tis. a faktura se ztratí ve svačině apod. Fajn. Ok. Takže bez projektu je to asi snadnější.

Heron: Jenže to, co řešíš, je jeden konkrétní případ. Ten problém je ale daleko obecnější. To, že se něco potvrdí telefonicky nebo přes videohovor, bývalo považováno za dostatečnou záruku toho, že je to autorizované, že to byla doopravdy ta osoba. To už teď zjevně neplatí – a doba od okamžiku, kdy se zjistilo, že by to mohl být problém, k aktivnímu zneužívání, byla velmi krátká (v měsících). A do budoucna s AR se nepůjde spolehnout ani na tom, že toho člověka fyzicky vidíte a slyšíte.

Faktura se dá podepisovat elektronicky a není problém, když to bude trvat pár minut. Ale na způsobu ověření „vidím dotyčného, takže je to on“ je postavena spousta dalších věcí, třeba velení na místě zásahu (hasiči, zásahová jednotka policie, obecně řešení krizových situací (kdy na postup podle procesů často není prostor, protože je to úplně mimo plánované procesy).

Takže ano, podepisování faktur má poměrně snadné řešení, ale ten problém je daleko širší.

Ten problém je ale daleko obecnější.

Je no, a proč mi to píšeš?

To, že se něco potvrdí telefonicky nebo přes videohovor, bývalo považováno za dostatečnou záruku toho, že je to autorizované, že to byla doopravdy ta osoba.

A tohle nesnáším od prvního dne, kdy jsem v roce 2006 po škole nastoupil do práce. Protože přesně z tohoto důvodu vznikají i další situace "já jsem ti to říkal a ty jsi to neudělal". Přičemž této techniky mohou snadno zneužívat obě strany. A přesně tohle nesnášel můj táta někdy v roce 1970. A jeho táta. Takže jestli se po 50+ letech této špatné, snadno zneužitelné (a to i bez AR) techniky konečně zbavíme, tak hurá.

Je no, a proč mi to píšeš?
Protože požaduješ implementaci řešení jednoho dílčího problému, ne toho obecného problému.

A tohle nesnáším od prvního dne, kdy jsem v roce 2006 po škole nastoupil do práce. Protože přesně z tohoto důvodu vznikají i další situace "já jsem ti to říkal a ty jsi to neudělal".
Já jsem psal o potvrzení, nikoli o zadání.

Já jsem psal o potvrzení, nikoli o zadání.

Super. V jednom komentáři mi jsi schopen vytknout, že to neřeším obecně a potom po mě chceš odpověď na superdetailní problém. Diskuse s tebou je prostě bomba :-D

Kupodivu to potvrzení se může jet stejnou technologií jako zadání. Před 50 lety se běžně psaly příkazy pro provedení práce. Na papíře, s podpisem. Potvrzení se klidně dá napsat na papíře. S podpisem. Když se posuneme někdy do roku 2008, tak standard, alespoň v naší firmě byl email, od jisté chvíle vždy nutně opatřen elektronickým podpisem. A pokud bys chtěl namítat, že za 50 let někdo může provést krypto útok pomocí kvantového počítače, tak, pro tvou informaci, už dnes existují nové šifry.

Takže, pokud to chceš obecně, papír jako vhodné řešení, skončil s nástupem počítačů a šifrování. A v minulosti a stejně tak dneska vždy byl více než dostatek času na nasazení vhodného technického řešení. Vhodné technické řešení se liší obor od oboru ale vždy existuje. Pokud neexistuje, tak to třeba taky může znamenat, že společnost už o tento obor nejeví zájem.

Kupodivu to potvrzení se může jet stejnou technologií jako zadání.
Může. A nebo se to nemusí dělat tak složitě, zadání třeba na 4 stránky vám pošle někdo, kdo vytváří to zadání, a šéf vám pak jenom ústně řekne: „Ano, takhle to udělej“. A nemusí vám celý ten e-mail číst.

A pokud bys chtěl namítat, že za 50 let někdo může provést krypto útok pomocí kvantového počítače, tak, pro tvou informaci, už dnes existují nové šifry.
Ne, namítat budu to, že elektronické podpisy v e-mailech se prostě neujaly. V málokteré firmě má každý svůj certifikát pro elektronický podpis. Webmaily elektronické podpisy vůbec neřeší, a používat elektronický podpis s Outlookem nebo Thunderbirdem je za trest. Když jsme ve firmě elektronicky podepsané e-maily ještě používali, potřebovali jsme to jednou za čtvrt roku a pár dní před tím byla vždycky secvičná, abychom vše rozchodili (a ne vždy se povedlo). Není to problém technologie, ale implementace, kdy Microsoft tak chtěl usnadnit práci s certifikáty, implementoval to do AD a Exchange, kde to nikdy pořádně nefungovalo a nikdo nevěděl proč – jediná rada bylo „počkej třeba do zítřka, třeba se to sesynchronizuje“.

Vhodné technické řešení se liší obor od oboru ale vždy existuje.
Ano, a ještě před rokem bylo jedno z těch řešení velmi snadné – zavolat si přes Zoom/Teamsy a potvrdit si to face to face.

Ad: používat elektronický podpis s Outlookem nebo Thunderbirdem je za trest.
Nemusí být. Interně máme jakýsi plug-in do Outlooku (podrobnosti neznám, nestarám se o to, jsem jen koncový uživatel) a kdo má právo podepisovat či šifrovat e-maily, tak prostě jen nastaví příznak. Podepsaný e-mail se pozná podle upozornění v nadpisu, šifrovaný... o to se nikdo nezajímá, ale je to tam napsaný taky. Funguje to uvnitř firmy, ven to nikdo nepoužívá. A ano, stojí to na vlastních CA a certifikátech skrz AD. Je to řešení postavené na vnitrofiremní důvěře.
Takže existují (dnes) jednoduchá a pohodlná řešení.
Otázkou je, jestli není trošku pozdě...

Podepsaný e-mail se pozná podle upozornění v nadpisu
V jakém nadpisu? V předmětu e-mailu? Co brání útočníkovi poslat e-mail, kde bude v předmětu rovnou napsáno, že je podepsaný?

Jinak problém s Outlookem není v samotném podepisování či ověřování v Outlooku. To funguje normálně. Problém je právě v té distribuci interních certifikátů přes AD a Exchange. Microsoft měl jedinečnou možnost, protože dělá jak poštovního klienta, adresářový server pro něj i CA. Stačilo by, kdyby pro Outlook vystavil jedinou službu „dej mi aktuálně platné certifikáty pro e-mail xy“. Jenže to Microsoft ne, místo toho dá do Outlooku konfiguraci, která připomíná řídící panel jaderné elektrárny; a certifikáty se bůhvíkde bůhvíjak kešují, takže nikdo nikdy neví, co platí.

Jednoduché a pohodlné řešení je např. to, že si to lidé pošlou přes WhatsApp. Ten je přece šifrovaný. A hele, zase mi to tady píše, že se změnil bezpečnostní kód, koho to zajímá?

např. všechny emaily, které jsou mimo skupinu mají v předmětu prefix [external], takže to nelze podvrhnout. Krom toho třeba v mém případě se mění i barva lišty v outlooku.

Otázka je, podle čeho se to rozpoznává. Pokud se útočník dostane třeba do schránky nějakého interního uživatele, nejspíš bude moci odesílat e-maily minimálně jeho jménem.

podle certifikátu, kterým je email podepsaný, mail server pak odstraňuje prefixy, které nesplňují pravidla. Certifikát uživatel má ve své osobní kartě, kterou strká do počítače a potřebuje jí k přihlášení i k otevření dveří, takže jí v počítači nenechává, jinak se nedostane ani na záchod.

To je asi jediný případ, kdy jsem to viděl implementované, že to dávalo smysl.

Jinak je to jak píšeš, velké bolavé, špatné.

Email se stává pomalu odkladištěm pro notifikace, většina komunikací se přesunula již jinám.

"Kupodivu to potvrzení se může jet stejnou technologií jako zadání"

... v kazdy normalni firme pouzivaji nejaky ucetni SW. Faktury se hradi na zaklade prikazu prave z toho SW, nikdo nic nezadava do banky rucne. A kazdy takovy SW umi samozrejme zaridit to, ze treba tu fakturu musi schvalit N ruznych lidi, nez dojde k jeji uhrade = nez je zarazena do toho generovani prikazu pro banku.

Uz jen proto, ze fakturantka/ucetni proste nevi a vedet nemuze, co si kdo kde objednal nebo neobjednal a jestli se vubec to ci ono ma nebo nema platit.

Maly priklad od jednoho ze zakazniku. Faktura se zada do systemu, a soucasti je odkaz na cloveka, ktery ji bud uctarne predal, nebo na ni je napsany nebo si treba ucetni mysli, ze je jeho. Tomu prijde mail, ze ma fakturu schvalit, s odkazem do ucetniho systemu, takze se mu rovnou otevre. Kdyz neni jeho, tak ji samozrejme neschvali a muze rovnou pridat odkaz na spravneho cloveka, kdyz vi.

Ve druhem kroce, pokud projde faktura schvalenim a pokud castka prekracuje X, to potvrzuje jeste primy nadrizeny toho cloveka.

A pokud by castka prekrocila Y, jde to jeste v dalsim kole na vyssiho nebo nejvyssiho.

Jsou v tom nejaky lhuty, kdyz to do ty doby je bez reakce, preposila se to jeste na definovany zastup.

Ten prvni schvalovatel tam ma jeste povinost overit, pripadne doplnit nejaky popis za co to je. Ucetni typicky napise "nakup serveru", zatimco ITk si tam pripise srv4789 - dell 70x - SQL (treba).

máš ale spousty peněžních operací a přesunů, které nejsou účetními operacemi. Posílá se to pak ručně.

"máš ale spousty peněžních operací a přesunů, které nejsou účetními operacemi. Posílá se to pak ručně."

Ehm .. ne. Pohyby na uctech do halere sedi na pohyby v systemu. To ze neco nepada do ucetnicvi na tom nic nemeni. To je vec uctovani, ne zpusobu realizace platby.

Ne každá firma má implementován systém na oběh a schvalování dokumentů. Leckde by stačil i ten prvotní e-mail, žádné potvrzení přes videokonferenci by nebylo potřeba.

Ano, tohle je jasné. Jenže tento (a mnoho dalších) případ by těm firmám mohl připomenout, že nějaký systém na schvalování převodů větších částek by se jim možná mohl hodit. A jestli se rozhodnou jej nenasadit, je to prostě jejich problém.

Vlastně by mne zajímalo, jak si představuješ, že to funguje.

Co bych si já představoval je věc jiná. Já jsem jenom opakovaně svědkem situací, před kterými jsem varoval x let zpětně a potom si jenom užívám, když můžu poslat 6 let starý email s pocitem: "já vám to říkal". A kdyby ten dnešní email považovali za fake, tak se klidně můžou podívat do složky doručené a tam najdou můj podepsaný (kvalifikovaný certifikát) email z roku 2018.

Tohle schvalovani umi i na strane bank. Proste transakci musi autorizovat vic lidi, jinak neprobehne.

Jo. Takhle to mám 10+ let.

Když ta firma běžně větší částky nepřevádí, nebude cítit potřebu systému na schvalování převodů větších částek. A pokud ten proces nebude zadrátován v nějaké aplikaci ani se nebude často provádět, stejně nikdo nebude vědět, jak má ten proces vypadat.

V ideálním světě by to bylo, jak popisuješ. V reálném světě je podle mne potřeba naučit se spíš to, jak rozpoznávat všechny nestandardní požadavky a jak se nenechat vmanipulovat do situace „spěchá to, takže všechny kontroly (i v hlavě) vypínám“. Protože když firma implementuje systém na schvalování převodů vyšších částek, příště si útočník nechá zaslat databázi VIP zákazníků nebo cokoli jiného cenného a bude chtít výkupné. (Které se mimochodem taky asi nebude řešit standardně přes objednávku a fakturu.)

Tyhle mechanismy dava smysl implementovat vzdycky - a vyresi to sama banka, neni treba vynalezat kolo u sebe. Ono vic oci vic vidi. Zvlast v tom realnem svete s lidskym faktorem to dava smysl i kdyz se to muze jevit jako obtezujici/zby­tecne.

To ovšem předpokládáte, že se pro schvalování plateb používá rozhraní banky.

Kazdou platbu musite v bance autorizovat. Pokud platbu musi autorizovat vice osob, tak se platba neprovede, dokud k autorizaci nedojde.

Jenže ta autorizace může být dávková nebo „automatická“ (protože se předpokládá, že platby byly autorizovány už někde předtím, takže je odesílající systém rovnou i autorizuje).

Autorizovat davku vice osobami jde stejne jako autorizovat jednotlivou platbu. To fungovalo uz v praveku. A musite se rozhodnout - bud chcete resit bezpecnost, a pak to overeni nechate na strane banky, nebo resite pohodlnost na rozhrani k bance a verite nejakemu svemu inhouse systemu.

Aneb barak taky nemusite zamykat, klidne muzete nechat klice v zamku - a doufat, ze nikdo nezkusi vzit za kliku a nebo otocit tim klicem.

"vic oci vic vidi. "
Proto útočníci přišli s "tajnou akcí" o které se nikdo nesmí dozvědět.

Je úplně jedno jaké máte postupy a zabezpečení. Útočníci se zaměří na nejslabší článek. Tím jak mi ajťáci vylepšujeme zabezpečení se nejslabším článkem stává uživatel. Hloupí uživatel, který nezná deepfake.

Na "tajnou akci" nepotrebujete deepfake. Uzivatel (clovek) byl slabym clankem vzdycky, to fakt neni novinka poslednich let. Zabezpeceni podobnych procesu se resilo i ve svete bez pocitacu. Mate to high-level videt mj. v obchodnim rejstriku, kde se u casti firem rika, ze listinu jmenem firmy musi podepsat vic lidi...

"kde se u casti firem rika, ze listinu jmenem firmy musi podepsat vic lidi..."

Coz je naprosto nanic, a nerespektuje to vubec nikdo, ani stat ne, vid? Viz napriklad lonska akce vnuceni DS, kde do nich dostali pristup lide, kteri treba za firmu jednat nesmi vubec, a presto muzou ze?

Alternativne letosni akce e-ovcanky, kde si ovcanku muze nechat vydat treba ucetni, na zaklade toho, ze ma pristup do DS ...

Coz je naprosto nanic, a nerespektuje to vubec nikdo, ani stat ne, vid? Viz napriklad lonska akce vnuceni DS, kde do nich dostali pristup lide, kteri treba za firmu jednat nesmi vubec, a presto muzou ze?
Brání snad stát těm lidem podepsat se na papír? Vybrat firemní poštovní schránku? Ne, to je věc dané organizace, aby si zajistila, že za ni bude vystupovat ten, kdo může.

To podle vás měl sedět někdo na Ministerstvu vnitra, pročítat stanovy všech právnických osob a podle toho rozhodovat, komu se mají přístupové údaje poslat?

Datové schránky takhle fungují od začátku – při vzniku datové schránky se přístupové údaje pošlou jednatelům, a pak už je to na nich, aby spravovali, komu přístup přidat a komu odebrat.

Jinak to podepisování může být určeno různě pro různé případy, třeba malé částky může podepisovat jeden člověk, větší částky minimálně dva. To byste na úrovni datových schránek řešil jak?

Alternativne letosni akce e-ovcanky, kde si ovcanku muze nechat vydat treba ucetni, na zaklade toho, ze ma pristup do DS ...
Vy dáváte účetní přístup do své osobní datové schránky? Proč?

Jirsaku, to chce ledovat, a neustale vis?

Kdyz ma nekdo jmenem firmy podepsat, ze treba tu firmu posila do insolvence, tak ten podpis musi byt overeny, a nekdy i notarsky. Kdyz totez nekdo posle z DS, tak se to automaticky bere jako OK. Coz je totalni fail.

Pristupy do DS nedostali ani zdaleka jen jednatele, to ynteligent jako ty samozrejme take nevi. Dostali to treba clenove dozorcich rad, kteri ale jednat za firmu vubec nemuzou. A to ani na papire.

Jirsaku, to chce ledovat, a neustale vis?
Spíš by to chtělo, abyste přepsal psát nesmysly.

Kdyz ma nekdo jmenem firmy podepsat, ze treba tu firmu posila do insolvence, tak ten podpis musi byt overeny, a nekdy i notarsky. Kdyz totez nekdo posle z DS, tak se to automaticky bere jako OK. Coz je totalni fail.
Nikoli. Pokud podání vůči orgánu veřejné moci musí být podepsáno (obyčejným podpisem), platí při poslání datovou schránkou fikce podpisu, tj. dokument se považuje za podepsaný. Takže to neplatí pro vyšší formy podpisu (ověřený podpis), neplatí to ani v případě, kdy je potřeba podpis více osob.

Mimochodem, notářsky ověřený podpis je pořád jenom ověřený podpis. Tím vaším „někdy i notářsky“ jenom dokazujete, jak v tom plavete.

Pristupy do DS nedostali ani zdaleka jen jednatele, to ynteligent jako ty samozrejme take nevi. Dostali to treba clenove dozorcich rad, kteri ale jednat za firmu vubec nemuzou. A to ani na papire.
Dostali to všichni, kteří to podle zákona dostat měli. Člen dozorčí rady má právo vidět veškerou firemní komunikaci, tedy je logické, že má přístup i do datové schránky. Datová schránka neslouží jenom k jednání jménem firmy.

Pokud si chcete usetrit komunikaci s ucetni. Prijde vam nedoplatek z CSSZ, zaridi to za vas.
Nicmene netusim, jestli tam jde volit uroven pridelenych prav a tedy nekomu odriznout pristup k e-obcance, nebo to nejde.

15. 2. 2024, 09:49 editováno autorem komentáře

Vy si jako soukromá osoba vedete účetnictví? Nepletete si to s podnikající fyzickou osobou (OSVČ)?

"a vyresi to sama banka"

lul ... banka nikdy nic nevyresi, banka nema tuseni, jestli ma nebo nema neco zaplatit, a to ze platbu schvaluje 5 lidi na tom nic nemeni. Oni ji schvali proto, ze to po nich nekdo chce.