Quo vadis, Slovakia(Cyber(Security))? delete unlock Revision 623236373361 (Sun Sep 03 2017 at 19:51) - Diff Link to this snippet: https://friendpaste.com/4fAdOZCRORvLPNCprtkXhD Embed: manni perldoc borland colorful default murphy trac fruity autumn bw emacs pastie friendly Show line numbers Wrap lines 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259Quo vadis, Slovakia(Cyber(Security))?( Originálna verzia publikovaná na https://pastebin.com/3p8iAG2b ){ O Slovensku. O informačných systémoch. O verejných zákazkách. O bezpečnosti. }{ O vlastníctve. O .sk doméne. O SK-NICu. }--------------------------------------------------------------------------------(Dovolil som si skopírovať na úvod tri odstavce, ktoré podľa mňa prinášajúzaujímavé/nové informácie a bola by škoda, keby zanikli medzi zvyškom textu.Taktiež som do nich doplnil niekoľko zdrojov.Celý pôvodný text s doplnenou diakritikou nasleduje nižšie.) A čo nedávny prípad (ktorý sa mimochodom dostal aj do médii) elektronickýchschránok na slovensko.sk? "Používatelia si mohli prečítať predmety cudzích správa niekedy aj celý obsah."[1] Keď je toto tá sľubovaná bezpečnosť štátnych schránok,aká je potom bezpečnosť elektronických občianskych preukazov? Zaujímali ste saniekedy o to, či sú tie eID kartičky a celý systém postavený na nich bezpečný?Či boli navrhnuté dobre, či boli dobre naprogramované, či ich niekto naozajporiadne otestoval a prípadné zistené nedostatky boli odstránené?Spýtajte sa. A nedajte sa odbiť, máte právo poznať odpovede, keď do toho štátinvestoval viac peňazí, než mnohí z vás zarobia za celý život.[2] Dokonca viac, akoby priemerne zarábajúci človek zarobil za 50 životov.[3] Pripravoval sa Zákon o kybernetickej bezpečnosti (ten sa síce pripravoval uždlho, ale práve preto by bolo očakávateľné, že bude kvalitný). Namiesto kedysipripravovaného Zákona o informačnej bezpečnosti. Keď sa však už otvárala aj témakyberpriestoru a bezpečnosti, mohlo sa už niečo spraviť aj so situáciou okolo.sk domény. Nestalo sa tak. Na prelome mája a júna bol zákon v pripomienkovomkonaní. Zákon je inak dosť zle napísaný (ale to by bolo na samostatnú tému),dostalo sa mu obrovské množstvo pripomienok (aktuálne 706)[4], väčšina z nichvšak bola dosť mierna, ba až opatrná (pripomienkujúci na to majú určité dôvody).Pozorný čitateľ znalý situácie však mohol mať o to väčšie prekvapenie, keď sazrazu medzi pripomienkami objavila aj vyše stovka pripomienok od SK-NICu.A navyše veľmi kvalitných pripomienok, ktoré priamo ukázali na problematickéčasti zákona. Pozorný čitateľ však mohol zažiť aj ďalšie prekvapenie, keďpripomienky SK-NICu zrazu začali ubúdať, až úplne zmizli. Mohlo by to znamenať,že v SK-NICu sú aj ľudia, ktorí to myslia so Slovenskom a kyberzáležitosťamidobre, sú však donútení správať sa podľa pokynov zamestnávateľa/majiteľa a jehozáujmovej skupiny. Je ale zaujímavé, že o tomto sa doteraz nikde nepísalo,drží sa to pod pokrievkou a dúfa sa, že sa na to zabudne....Takýchto úvah môže byť viac. Nielen odo mňa. Aj od ďalších, informovanejšíchľudí. Pokojne začnite písať anonymne. Ale hlavne píšte. Viem, že je vo verejnej správe aj v komerčných firmách mnoho ľudí, ktorí sú nespokojní s pomermi. Nielenv IT, aj v iných oblastiach. Je načase pripraviť ľudí na pravdu a povedať im ju.Ale tak, aby ju pochopili. (nasleduje pôvodný text s doplnenou diakritikou. Inak som do článku nezasahoval,akurát úplne na koniec som pridal pár odkazov.)-------------------------------------------------------------------------------- V posledných mesiacoch sa viackrát v médiach objavili zmienky o informatizáciina Slovensku, aj o kyberpriestore tejto krajiny a občas sa spomenula aj jehobezpečnosť. Média sa však tejto téme venujú iba veľmi povrchne, ba priam niekedyaž opatrne. Možno však nie je nutné v tom hľadať žiadny zlý úmysel, média možno iba jednoducho servírujú slovenským občanom jednotlivé témy v takom rozsahu,v akom ich dokáže bežná verejnosť vstrebať. Tento text však má v pláne zájsť ďalej a spomenúť aj záležitosti, ktorým sazatiaľ na Slovensku nevenovala taká pozornosť, akú by si zaslúžili. Pretožeči chceme alebo nie, informačné technológie sú už neoddeliteľnou súčasťouživota každého občana Slovenskej republiky. Každý jeden človek používa počítačea mobilné zariadenia či už priamo alebo nepriamo. V informačných systémoch štátuaj súkromných spoločností sa uchovávajú informácie (takmer) o každom jednomobčanovi SR. A tieto informácie majú častokrát citlivú povahu, dokonca až tak,že dnešným zločincom by stačilo nahromadiť niekoľko informácii o svojej obeti a mohli by jej spôsobiť ďaleko väčšiu škodu, ako keby ju "iba" okradli na ulici.Áno, s pár informáciami a vhodným postupom môže útočník "ukradnúť identitu".Hocikomu. Virtuálnu, aj reálnu. So všetkými možnými dôsledkami. Použitím informácií, ktoré sú v informačných systémoch, v počítačoch, môžeútočník nielen písať vo vašom mene komentáre na Facebooku, ale môže aj ukradnúťpeniaze z vášho účtu, môže predať vaše auto, váš dom. Ale je to naozaj stálevaše vlastníctvo? Keď si nedávate pozor na citlivé informácie, keď nedávatepozor na zariadenia a systémy, v ktorých sú tieto informácie uložené, ako môžetevedieť, že ešte stále sú vaše veci vaše? Je vaša identita ešte stále vaša? Na Slovensku sa povinne čoraz viac rozširujú elektronické schránky a skrz neje mnoho ľudí donútených používať elektronické občianske preukazy (eID). eID jevaša elektronická identita. Keď útočník získa prístup ku nej, môže napr. predaťváš majetok. Alebo spáchať vo vašom mene zločin a vás budú čakať dlhoročnéopletačky s naším súdnictvom.Myslíte si, že to predsa musí byť dobre zabezpečené. Prečo si to myslíte? Budeteveriť tvrdeniam niektorých štátnych inštitúcií a médiám, ktoré ich citujú? A čo nedávny prípad (ktorý sa mimochodom dostal aj do médii) elektronickýchschránok na slovensko.sk? "Používatelia si mohli prečítať predmety cudzích správa niekedy aj celý obsah." Keď je toto tá sľubovaná bezpečnosť štátnych schránok,aká je potom bezpečnosť elektronických občianskych preukazov? Zaujímali ste saniekedy o to, či sú tie eID kartičky a celý systém postavený na nich bezpečný?Či boli navrhnuté dobre, či boli dobre naprogramované, či ich niekto naozajporiadne otestoval a prípadné zistené nedostatky boli odstránené?Spýtajte sa. A nedajte sa odbiť, máte právo poznať odpovede, keď do toho štátinvestoval viac peňazí, než mnohí z vás zarobia za celý život. Dokonca viac, akoby priemerne zarábajúci človek zarobil za 50 životov. Podobne by sa dalo písať o ľubovoľnej oblasti, všade sa už elektronizuje avaše údaje sú spracovávané počítačmi. Kritickú infraštruktúru pre chod štátunevynímajúc. Na Slovensku išli na informatizáciu obrovské sumy peňazí, ďalekoväčšie, ako si bežní ľudia dokážu predstaviť. Dokonca ďaleko väčšie, ako sidokážu predstaviť aj programátori a informatici, ktorí tieto informačné systémyvytvárali. Môžete sa spýtať programátorov alebo IT firiem, ktoré zatiaľ nebolipoznamenané štátnymi zákazkami, za koľko by vedeli štátne IT systémy vytvoriť.Dostanete veľmi odlišné sumy. A potom sa opýtajte, kde skončil ten rozdiel. O bezpečnosti sme si už niečo napísali. Vráťme sa ale opäť k tomu, čo je ešte stále vaše. Čo je ešte stále slovenské. Je napríklad slovenský kyberpriestorešte stále slovenský? Odmyslime si teraz to, že to môže byť eldorádo útočníkov(aj zahraničných). Pozrime sa na jednu jeho súčasť z pohľadu vlastníctva. Slovenská národná doména ".sk". Stretol sa s nou už snáď každý. V podstatehocikto (spĺňajúci určité podmienky) môže byť držiteľom nejakej domény končiacej".sk". Nie je to síce úplne vlastníctvo v pravom slova zmysle, držiteľ doményby však mal mať právo rozhodovať o tom, ku ktorým IP adresám bude táto doménapriradená. Veľmi zjednodušene povedané, držiteľ domény by mal mať právo určovaťobsah, ktorý uvidia ostatní, keď do prehliadača naťukajú túto doménu. V rámci medzinárodných databáz a systémov, ktoré uchovávajú údaje o doménacha ich previazaní s IP adresami, je jedna úloha mimoriadne dôležitá. Je to úlohasprávcu národnej domény. Tento správca je poverený administráciou záznamovo doménach v ich centrálnom registri, vrátane informácii o držiteľoch domén. Správou národnej domény .sk je v súčasnosti poverená spoločnosť SK-NIC a.s.O tom, ako sa táto spoločnosť dostala ku správe národnej domény .sk, sa najmäv posledných mesiacoch popísalo dosť. Nielen na Slovensku, aj v zahraničí.Je to zaujímavé čítanie, tento "Příběh domény .SK, aneb krádež za bílého dne".Vznikla aj iniciatíva nasadomena.sk, ktorá chcela súčasný stav zmeniť. A o čo vlastne ide? V krátkosti, národnú doménu spravuje súkromná spoločnosť,ktorá sa ku tejto úlohe dostala za podivných okolností. A zmluva so štátom jenaformulovaná tak (ne)šťastne, aby sa nedala vypovedať. Táto súkromná spoločnosťvyberá peniaze od držiteľov domén. Približne 10 eur za úpravu záznamu o doméne,za úkon, ktorý nezaberie veľa času a navyše sa dá automatizovať. Drvivá väčšinatýchto peňazí vybratých za národnú doménu .sk končí vo vrecku súkromníka.Súkromníka, ktorý navyše veľmi nepodporuje rozvoj .sk domény a IT komunity.Môžete si to porovnať s neďalekým Českom, kde CZ.NIC, správca domény .cz, patrímedzi svetovú špičku a robí množstvo aktivít na rozvoj a podporu komunity.A Slovensko nemá ani len DNSSEC... Bolo viacero príležitostí, kedy sa tento nelichotivý stav mohol zmeniť. Nonezmenil sa. Alebo sa zmenil k horšiemu. Spomeniem pár príležitostí, ktoré saudiali počas tohto roka. Pripravoval sa Zákon o kybernetickej bezpečnosti (ten sa síce pripravoval uždlho, ale práve preto by bolo očakávateľné, že bude kvalitný). Namiesto kedysipripravovaného Zákona o informačnej bezpečnosti. Keď sa však už otvárala aj témakyberpriestoru a bezpečnosti, mohlo sa už niečo spraviť aj so situáciou okolo.sk domény. Nestalo sa tak. Na prelome mája a júna bol zákon v pripomienkovomkonaní. Zákon je inak dosť zle napísaný (ale to by bolo na samostatnú tému),dostalo sa mu obrovské množstvo pripomienok (aktuálne 706), väčšina z nichvšak bola dosť mierna, ba až opatrná (pripomienkujúci na to majú určité dôvody).Pozorný čitateľ znalý situácie však mohol mať o to väčšie prekvapenie, keď sazrazu medzi pripomienkami objavila aj vyše stovka pripomienok od SK-NICu.A navyše veľmi kvalitných pripomienok, ktoré priamo ukázali na problematickéčasti zákona. Pozorný čitateľ však mohol zažiť aj ďalšie prekvapenie, keďpripomienky SK-NICu zrazu začali ubúdať, až úplne zmizli. Mohlo by to znamenať,že v SK-NICu sú aj ľudia, ktorí to myslia so Slovenskom a kyberzáležitosťamidobre, sú však donútení správať sa podľa pokynov zamestnávateľa/majiteľa a jehozáujmovej skupiny. Je ale zaujímavé, že o tomto sa doteraz nikde nepísalo,drží sa to pod pokrievkou a dúfa sa, že sa na to zabudne. Ďalšia príležitosť bola príprava nového dodatku k zmluve o doméne .sk, ktorýpripravoval Pellegriniho úrad tváriac sa, že bude pri tom spolupracovať aj s komunitou a rôznymi iniciatívami, ktoré v súvislosti so slovenským IT vznikli.No dopadlo to tak, že "Pellegrini tajne podpísal dodatok k zmluve so správcomdomény .sk.", pričom "Zmluva medzi štátom a správcom národnej domény .sk jenevýhodná". Pre štát. A cela verejná diskusia ohľadom SK-NICu a budúcnosti .sk domény dostala ďalšiufacku v podobe odpredaja spoločnosti SK-NIC. Jej majitelia (DanubiaTel/Swan) juodpredali britskej spoločnosti CentralNic za 26 miliónov. Poslednú vetu siprečítajte ešte raz a pomaly predýchajte takmer každé jedno slovo v nej. Či užje to Swan, britský CentralNic, 26 miliónov alebo odpredaj. Áno, Swan predávazahraničnej firme niečo kedysi štátne a zinkasuje za to opäť niekoľko desiatokceloživotných príjmov bežného slovenského občana. Dobre, aby som bol férový,tak Swan za predaj priamo zinkasuje niečo vyše 21 mil, zvyšných takmer 5 milCentralNic zaplatí až neskôr, pravdepodobne keď budú traktory z neba padať. Na tomto predaji je zaujímavých niekoľko faktov. Jednak časové následnostis ohľadom na Zákon o kybernetickej bezpečnosti, dodatok zmluvy o doméne .sk. Aleaj fakt, že v týchto dňoch SK-NIC prechádza na nový technický systém, práve odCentralNicu. Tento prechod sa pripravoval minimálne rok, no len pred pár dňamipredaj (resp. kúpu) spoločnosť CentralNic oficiálne potvrdila. S tým, že poprávnej stránke bude transakcia dokončená začiatkom septembra. Teda najprvSK-NIC prechádza na nový systém, a až potom bude jeho predaj dokončený.Divné, nemyslíte? Ďalšie zaujímavé fakty sa týkajú samotnej spoločnosti CentralNic. Ta už má podpalcom niektoré menej významné národne domény. Konkrétne Laosu (.la) a Palau(.pw). Prvú doménu marketingovo využíva ako doménu pre Los Angeles. Druhú akodoménu pre Profesionálny Web. Môžeme iba hádať, ako bude využívaná slovenskádoména .sk. Možno Saskatchewan (kanadská provincia). Alebo South Korea. AleboSoftware Kit. Prípadne celkom výstižné by mohlo byť aj Script Kiddie, nechtáto kategória útočníkov má priestor, kde sa bude môcť pochváliť svojimi útokmi.Spomínaný dodatok síce zakazuje SK-NICu propagáciu domény .sk v rozpore sozáujmami SR, ale pri vhodnom marketingu môže aj doména pre Script Kiddiezviditeľniť SR. Nemenej zaujímavý je aj fakt, že o kúpu SK-NICu mal záujem aj CZ.NIC. Lenžeponúkol iba sumu okolo 20 mil. Teda o nejaký ten milión menej, ako teraz zaplatíCentralNic. Lenže peniaze by nemali byť jediné kritérium. Swan mohol urobiťveľkú vec pre slovenské IT, mohol SK-NIC predať CZ.NICu. Ten je v tomto smeresvetová špička a veľmi výrazne by pomohol zlepšiť situáciu okolo .sk domény. LenCZ.NIC asi zabudol na províziu... Čo bude nasledovať, ukáže čas. Zatiaľ si môžete domýšľať. Pre inšpiráciu dámjeden scenár, ktorý by noví majitelia teoreticky mohli zneužiť. Všetky slovenskestránky, ktoré využíva verejná správa pre elektronické služby štátu a prekomunikáciu s občanmi, máju domény tvaru ".sk", prípadne ".gov.sk". Majiteliamôžu prostredníctvom SK-NICu urobiť zmenu v centrálnom registri. Prípadne môžuSK-NIC prinútiť, aby si odpílil pod sebou konár a zmenil technický kontakt.Následne môžu presmerovať ľubovoľnú .sk doménu na obsah, ktorý budú chcieť.Potom by sa mohlo stať, že slovensko.sk by bolo nasmerované na pornostránku. Jelen otázne, či by na nej boli proslovenské alebo protislovenské prostitútky.Alebo by mohli presmerovať nbusr.sk a nbu.gov.sk na stránku zobrazujúcu večnémemento slovenskej kyberbezpečnosti: NBUSR123. Alebo by tým iba mohli pohroziťa prinútiť slovenskú vládu splniť ľubovoľné ich požiadavky. Technická zmenav centrálnom registri je totiž oveľa rýchlejšia než právny spor ohľadom zmluvy. Táto úvaha bola dlhšia, ako som pôvodne plánoval. Ďakujem tým, ktorí sadočítali až sem. Miestami je viacero technických vecí veľmi zjednodušených.Viem. To preto, aby mohli pochopiť aj bežní ľudia. Aj politici.Takýchto úvah môže byť viac. Nielen odo mňa. Aj od ďalších, informovanejšíchľudí. Pokojne začnite písať anonymne. Ale hlavne píšte. Viem, že je vo verejnej správe aj v komerčných firmách mnoho ľudí, ktorí sú nespokojní s pomermi. Nielenv IT, aj v iných oblastiach. Je načase pripraviť ľudí na pravdu a povedať im ju.Ale tak, aby ju pochopili. V. ako VendelinPS: všetky faktografické údaje v tejto úvahe sa dajú dohľadať na Internete,alebo vypočítať z dohľadateľných údajov. Alebo o tom sú záznamy (pripomienkySK-NICu k Zákonu o kybernetickej bezpečnosti).--------------------------------------------------------------------------------(Odkazy na online zdroje, citácie a výpočty, ktoré aspoň čiastočne podkladajútvrdenia v predchádzajúcej úvahe.)[1] https://ekonomika.sme.sk/c/20624819/slovensko-sk-sa-znovu-predviedlo-dali-sa-citat-cudzie-spravy.html[2] https://ekonomika.sme.sk/c/7021016/kalinak-elektronicke-obcianske-preukazy-zacal-aj-dokoncil.html[3] http://www.minimalnamzda.sk/priemerna-mzda.php podľa [2] šlo o 33 mil Eur, podľa [3] je odhadovaná priemerná mzda na r.2017 rovná 945 Eurám. Takže ak by niekto zarábal túto mzdu po dobu 50 rokov, za 50 životov zarobí 28,35 mil Eur (samozrejme, v hrubom, a tento výpočetnezohľadňuje infláciu)[4] https://www.slov-lex.sk/legislativne-procesy/SK/LP/2017/407/pripomienky/zobraz(pár odkazov na záležitosti okolo .sk domény a CentralNicu)https://www.nic.cz/files/nic/IT_17/Prezentace/Platon_nasa_domena.pdfhttps://www.root.cz/clanky/pribeh-domeny-sk-aneb-kradez-za-bileho-dne/https://www.tyzden.sk/politika/41587/pellegrini-pripravil-slovensko-o-miliony-eur/https://ekonomika.sme.sk/c/20622070/zmluva-medzi-statom-a-spravcom-narodnej-domeny-sk-je-nevyhodna.htmlhttp://dsl.sk/article.php?article=20144https://www.centralnic.com/portfolio/cctlds