Wysłany: Czw Maj 30, 2013 18:11 Formularz zgłoszeniowy na zlot?
Witam
Ponieważ zajmuję się trochę komputerami i internetem dziwię się że strona z formularzem zgłoszeniowym nie jest odpowiednio zabezpieczona. A w formularzu są do podania dosyć istotne dane osobowe (pesel, adres , telefon itd). Tego typu dane powinny być (jeśli już) podane na stronie szyfrowanej (z kłódeczką). Może jestem zbyt wyczulony ale przez niektóre niekoniecznie nam sprzyjające osoby przechwycone takie dane mogą nam kiedyś zaszkodzić.
Pozdrawiam
Krzysztof
SPAMU¦
Wysłany: Czw Maj 30, 2013 18:11 Post o charakterze reklamowym. Każde Twoje kliknięcie zwiększa nasze szanse przeżycia ;)
Teraz powinieneś mieć już wersję formularza z kłódeczką - a mówiąc już bardziej szczegółowo z wykorzystaniem szyfrowania AES kluczem 256-bitowym
W dzisiejszej poczcie otrzymałem ........ cyt " Ośrodek
położony jest z dala od zgiełku aglomeracji, w lesie, nad rzeką
Widawką. Więcej szczegółów na stronie http://www.roverki.pl lub na
http://roverki2013.syskonf.pl koniec cyt ........." Nie widzę linku z https. Ale w twoim linku jest OK. Gdzie prawda? Twój link minie uspokoił. I zalecam wszystkim wypełnienie formularza ze strony https://roverki2013.syskonf.pl a nie z linków w poczcie.
Pozdrawiam
Krzysztof
Ponieważ zajmuję się trochę komputerami i internetem
Za mało jeszcze, żeby wiedzieć czemu tak się dzieje.
hannar napisał/a:
A w formularzu są do podania dosyć istotne dane osobowe (pesel, adres , telefon itd).
To nie są dane transakcyjne. Myślę, że ataki i próby przejęcia danych osób biorących udział w konferencjach czy zlotach nie są aż tak cenne Jednakowoż firma udostępniająca system rejestracyjny, wyszła na przeciw wszystkim paranoikom i jest możliwe spreparowanie adresu dla połączenia szyfrowanego, co już pokazał emes.
Dodatkowo każdy paranoik powinien przed wypełnieniem formularza (jakiegokolwiek) upewnić się, że w jego systemie operacyjnym nie został zainstalowany bezwiednie jakiś "keylogger", bo jego działaniu żaden kanał szyfrujący nie jest w stanie zapobiec
hannar napisał/a:
że strona z formularzem zgłoszeniowym nie jest odpowiednio zabezpieczona.
A już myślałem, że jakiś hakier spreparował zapytanie i ma dostęp do całej bazy syskonf.pl
Wszystkich przewrażliwionych mogę zapewnić, że po zakończeniu imprezy zlotowej wszystkie dane zostaną utracone bezpowrotnie. Dlatego m. in. za każdym razem jest konieczna rejestracja od nowa.
Pozdrawiam,
_________________ Chiptuning: R25, R45, R75, 200/600 SDi, BMW (tuning, dpf serwis), VW Group (tuning, dpf serwis)
ROVER 75/ZT: diagnostyka, kodowanie, adaptacja zegarów, dodawanie kluczyków: używane piloty, nowy transponder (immo)
Kontakt: PW, 512 208 367, marek@roverki.eu
Ponieważ zostałem wywołany i nazwany paranoikiem pozwolę sobie na kilka uwag. Drogi Mistrzu zajmuję się internetem (zawodowo) od 1990 roku (podejrzewam że jest mało osób z forum które słyszały w tym czasie o terminie "internet" i usługach z tym związanych. Jeśli uważasz że Twoje dane są "mało znaczące" możesz umieszczać je na wszystkich portalach jawnie twoja sprawa (abyś któregoś dnia nie musiał się tylko tłumaczyć że nie jesteś wielbłądem gdy ktoś wykorzysta twoją tożsamość). Zwróciłem uwagę że jest pewnym niedopatrzeniem (skoro jest link do strony szyfrowana) podawanie linku do strony otwartej. Lekceważenie danych przekazywanych w tym formularzu jest bezmyślnością i ktokolwiek zajmujący się choć amatorsko bezpieczeństwem w sieci to przyzna. Co można z nimi zrobić można wyszukać w sieci. Na temat wypływu podobnych danych i późniejszych konsekwencji (dla administratora) przy okazji może kiedyś porozmawiamy ( mam sporo danych z praktyki zawodowej). Pozdrawiam i zalecam jak możemy to chrońmy swoje dane.
Krzysztof
Widzę że jesteś z Łodzi.
Mówi coś Tobie nazwisko dr Sosnowski - to promotor mojej pracy podyplomowej i jednocześnie podręcznika akademickiego powstałego na jej podstawie.
Panikujesz i tyle.
Dane podane w formularzu są danymi powszechnie dostępnymi więc kategoryzowanie go jako niebezpiecznego jest bezcelowe i niczym nie uzasadnione merytorycznie.
To że lubię się wydurniać na forum i w życiu nie oznacza że nie mam wiedzy naukowej.
Jeśli ktoś chce - zastosuje prostą socjotechnikę i żaden formularz nie jest tutaj potrzebny do zdobycia danych.
Poza tym na Twoim przykładzie:
Wypełniłeś formularz na stronie forum.
Podałeś imię, nr rej. i markę auta.
Już na podstawie tych danych jestem w stanie określić Twój nr PESEL.
wystarczy wejść na stronę do sprawdzania polis OC - zdziwiony - nie to zwykła socjotechnika o której pisze w swojej pracy podyplomowej.
Mając PESEL jestem w stanie sprawdzić pod jaki Urząd Skarbowy podlegasz.
Mając te dane jestem w stanie sprawdzić Twojego pracodawcę.
Zdziwiony.
To sieć wzajemnych powiązań a najlepsze jest to że żaden z podmiotów jako odrębny nie narusza Ustawy o ochronie danych osobowych w zakresie identyfikacji podmiotu.
I teraz powiedz mi jak się ma prosty formularz z tego forum do tego co napisałem powyżej. skoro i tak jak bym tylko chciał miał bym te dane.
Ponieważ zostałem wywołany i nazwany paranoikiem pozwolę sobie na kilka uwag.
Nie miałem takiego zamiaru.
hannar napisał/a:
Drogi Mistrzu zajmuję się internetem (zawodowo) od 1990 roku (podejrzewam że jest mało osób z forum które słyszały w tym czasie o terminie "internet" i usługach z tym związanych.
W Polsce na pewno niewielu. Możliwe, że jedna bądź dwie uczelnie wyższe miały wtedy dostęp do tego "luksusu".
hannar napisał/a:
Jeśli uważasz że Twoje dane są "mało znaczące" możesz umieszczać je na wszystkich portalach jawnie twoja sprawa (abyś któregoś dnia nie musiał się tylko tłumaczyć że nie jesteś wielbłądem gdy ktoś wykorzysta twoją tożsamość).
Nie popadaj w skrajności. Nie uważam, że te dane nie są ważne, bo są. Nikomu nie sugeruję również, aby wypisywał je jawnie w miejscach ogólnodostępnych w sieci. Zauważ drobną różnicę pomiędzy czynnością wpisywania danych i przesyłania ich przez stronę (z każdym wydarzeniem inną), która jest dostępna dla wąskiego grona użytkowników a przechowywaniem owych danych w różnorakich systemach czy portalach społecznościowych narażonych codziennie na próby kradzieży danych.
hannar napisał/a:
Zwróciłem uwagę że jest pewnym niedopatrzeniem (skoro jest link do strony szyfrowana) podawanie linku do strony otwartej. Lekceważenie danych przekazywanych w tym formularzu jest bezmyślnością i ktokolwiek zajmujący się choć amatorsko bezpieczeństwem w sieci to przyzna.
Strona internetowa zlotu Roverki w naszej ocenie nie wymaga szyfrowania typowego np. dla systemów bankowych. Zawarty na niej formularz zgłoszeniowy jest pewnego rodzaju ankietą i (w tym przypadku) nie służy do przesyłania danych transakcyjnych. Rzeczywiście jest tam podawany np. nr PESEL który jest informacją o charakterze wrażliwym, ale ryzyko podsłuchania takiej informacji przesyłanej przez każdego uczestnika jednokrotnie wydaje się w praktyce znikome, a wartość takiej informacji - niewielka. Nota bene, PESEL zbierany jest przede wszystkim w celu eliminacji duplikatów zgłoszeń. Weryfikacja następuje w drodze porównywania sumy kontrolnej, bo sam PESEL, tak jak i inne wrażliwe dane, od razu po przyjęciu do systemu jest szyfrowany asymetrycznym algorytmem kryptograficznym RSA, z kluczem o długości 1024-bit. Ale wracając do samej strony - kierując się zasadą, że środki zabezpieczeń dobiera się odpowiednio do potrzeb, nie uznaliśmy aby w przypadku strony czy formularza zgłoszeń, niezbędne było korzystanie z połączeń w osłonie SSL.
Być może faktycznie pewnym niedopatrzeniem jest brak w mailingu informacji, że strona zlotu jest alternatywnie dostępna również pod adresem https://roverki2013.syskonf.pl/ . Dzięki temu że korzystamy ze specjalnego systemu, akurat w tym przypadku HTTPS mamy „w pakiecie” - nieodpłatnie. Bo normalnie uruchomienie SSL wiązałoby się z szeregiem działań i kosztów, których dla widzi-mi-się jednej osoby nikt tutaj nie życzyłby sobie ponosić. Jeśli dalej będziemy mieli możliwość korzystać z tego systemu, to obiecuję że w przyszłorocznym mailingu pod podstawowym adresem strony zlotu, pojawi się też dodatkowo adres szyfrowany, specjalnie dla osób chronicznie obawiających się tzw. podsłuchiwania
hannar napisał/a:
Pozdrawiam i zalecam jak możemy to chrońmy swoje dane.
Tak, chrońmy je, ale nie popadajmy przy tym w paranoję.
Pozdrawiam również,
_________________ Chiptuning: R25, R45, R75, 200/600 SDi, BMW (tuning, dpf serwis), VW Group (tuning, dpf serwis)
ROVER 75/ZT: diagnostyka, kodowanie, adaptacja zegarów, dodawanie kluczyków: używane piloty, nowy transponder (immo)
Kontakt: PW, 512 208 367, marek@roverki.eu
Witam wszystkich zainteresowanych i pozwolę sobie dokończyć temat.
Cytat z Networld: "Dane wrażliwe (poufne), które mogą być użyte do identyfikacji osób lub poufnych działań firmy, powinny być chronione przed nieautoryzowanym dostępem podczas ich tworzenia, transmisji, operacji na nich i przechowywania. Informacje poufne są szczególnie narażone na ryzyko "podsłuchu" podczas transmisji przez otwarte sieci, takie jak Internet, oraz gdy są przechowywane w przenośnych urządzeniach komputerowych - laptopach, nośnikach archiwalnych, pamięciach USB, PDA i innych podręcznych nośnikach danych. "
Oraz (GIODO) "Zgodnie z art. 36 ustawy administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane.
O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być wymieniony w pytaniu protokół szyfrowania danych SSL, jak również inne środki ochrony kryptografi cznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy."
I nie ma znaczenia czy usługa jest płatna czy świadczona grzecznościowo firma świadcząca usługę odpowiada za bezpieczeństwo zgodnie z ustawą (po to zresztą zakupiła do 2056 roku certyfikat żeby nikt nie zarzucił lekceważenia ustawy).
Nie popadam w paranoję skoro są na ten temat przepisy to je przestrzegajmy (zarówno administratorzy jak i użytkownicy). Ostatnie zdanie Kolegi Marka mówiące że było pewne niedopatrzenie i że w przyszłości będzie inaczej całkowicie mnie satysfakcjonuje.
A uzyskanie nr PESEL poprzez UFG wcale nie jest takie proste.
Pozdrawiam wszystkich uważając temat za zamknięty.
Krzysztof
O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie.
No i właśnie zdecydowaliśmy
hannar napisał/a:
Ostatnie zdanie Kolegi Marka mówiące że było pewne niedopatrzenie i że w przyszłości będzie inaczej całkowicie mnie satysfakcjonuje.
Trochę źle zinterpretowałeś moje słowa. Napisałem, że być może było to niedopatrzeniem. Napisałem również, że jeżeli dalej będziemy mieli możliwość korzystania z takiej formy rejestracji uczestników na Zlot, to aby zaspokoić osoby panikujące, którym wydaje się, że na ich wszelkie dane osobowe lub teleadresowe czyha banda hakerów poczynając od sąsiadów sniffujących wifi, na firmie przetwarzającej dane kończąc (przecież oni później sprzedadzą bazę Chińczykom i zaleje wszystkich żółta fala spamu, oraz wezwań do spłaty kredytu zaciągniętego w małej filii banku w Hong Kongu) damy jasną informację, że możliwa jest również rejestracja w trybie "secure" Możemy także podać linki do szeregu programów antyspyware'owych, które przed rejestracją warto uruchomić w celu sprawdzenia czy w systemie nie znajduje się jakiś "robak" szpiegujący. Damy wszystkim możliwość wyboru.
Jeszcze raz podkreślam. Zastosowaliśmy środki odpowiednie do zapotrzebowania.
W/g Ciebie wpłacający 300 zł klient banku, oprócz pieniędzy w portfelu, trzymanym w zamkniętym szyfrem neseserze, powinien iść do placówki w asyście kilku ochroniarzy uzbrojonych po zęby. Na dodatek, klucz do nesera masz Ty i osoba X, która jest umówiona na odpowiednią godzinę w owej placówce. Okej... masz do tego prawo. Masz wybór, który my także umożliwimy jeśli w przyszłości organizacja Zlotów będzie realizowana przez ów system.
Pozdrawiam wszystkich serdecznie,
Ps.
hannar, nie korzystaj z formularza jeśli obawiasz się o swoje dane. Przjedź na Zlot ot tak, jeśli masz czas. Chętnie porozmawiam z Tobą w miłym gronie i atmosferze. Opowiesz mi o swoich doświadczeniach, jeśli będziesz miał ochotę może posłuchać moich opowieści... ale może tematem przewodnim oprócz danych osobowych, będzie jednak wspólna pasja jaką jest marka Rover. No chyba, że u Ciebie jest inaczej i masz Rovera z musu, a na forum jesteś tylko po to, żeby czerpać wiedzę z zasobów technicznych.
_________________ Chiptuning: R25, R45, R75, 200/600 SDi, BMW (tuning, dpf serwis), VW Group (tuning, dpf serwis)
ROVER 75/ZT: diagnostyka, kodowanie, adaptacja zegarów, dodawanie kluczyków: używane piloty, nowy transponder (immo)
Kontakt: PW, 512 208 367, marek@roverki.eu
Witam ponownie
Ponieważ dyskusja przebiega w przyjemnej atmosferze pozwolę sobie na jeszcze jedną wypowiedź.
MaReK napisał/a:
hannar napisał/a:
O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie.
No i właśnie zdecydowaliśmy
Ciekawe bo przepisy mówią o wyborze formy zastosowania zabezpieczeń a nie ich pominięciu.
MaReK napisał/a:
Jeszcze raz podkreślam. Zastosowaliśmy środki odpowiednie do zapotrzebowania.
Przepisy nie określają wagi celu zbierania danych osobowych (a dane pozwalające na identyfikację osoby takimi są) tylko nakazuję administratorowi w każdym takim przypadku zastosowanie zabezpieczeń.
MaReK napisał/a:
W/g Ciebie wpłacający 300 zł klient banku, oprócz pieniędzy w portfelu, trzymanym w zamkniętym szyfrem neseserze, powinien iść do placówki w asyście kilku ochroniarzy uzbrojonych po zęby. Na dodatek, klucz do nesera masz Ty i osoba X, która jest umówiona na odpowiednią godzinę w owej placówce. Okej... masz do tego prawo. Masz wybór, który my także umożliwimy jeśli w przyszłości organizacja Zlotów będzie realizowana przez ów system.
Zdaję sobie sprawę że prawdopodobieństwo "podsłuchu" uczestników zjazdu "Roverków" jest znikome ale jako były już administrator zawsze starałem się pouczać użytkowników internetu żeby przy wszelkich formularzach zwracali uwagę na to czy taki formularz ma stosowne zabezpieczenie. Jeśli użytkownik wpoi sobie tą regułę to nie będzie zwracał uwagi na to czy podaje dane dotyczące spotkania ochotników straży pożarnej w Koziej Wólce (15 osób) czy to formularz z danymi do banku (a nie na podstawioną stronę). Po prostu starałem się przyzwyczaić ludzi (takie sobie zboczenie zawodowe) do zwracania uwagi na bezpieczeństwo swojego portfela (nawet jak jest on w danej chwili pusty). Pomimo tego zdarzały się przypadki że pracownicy naukowi (nawet w randze prof zw.) odpowiadali pozytywnie na pocztę w której podszywający się "administrator" serwera (Ukraina) prosi o podanie różnych danych (w tym haseł do konta poczty!!).
Również pozdrawiam wszystkich serdecznie,
MaReK napisał/a:
Przjedź na Zlot ot tak, jeśli masz czas. Chętnie porozmawiam z Tobą w miłym gronie i atmosferze. Opowiesz mi o swoich doświadczeniach, jeśli będziesz miał ochotę może posłuchać moich opowieści... ale może tematem przewodnim oprócz danych osobowych, będzie jednak wspólna pasja jaką jest marka Rover. No chyba, że u Ciebie jest inaczej i masz Rovera z musu, a na forum jesteś tylko po to, żeby czerpać wiedzę z zasobów technicznych.
P.S. Dziękuję za zaproszenie na zjazd. Jak tylko uda mi się przywrócić Roverka do stanu możliwego do zaprezentowania (ostatnio syn który głównie go używa miał bliskie acz delikatne spotkanie z "Corollą" i przedni zderzak do wymiany) chętnie udam się na zjazd szczególnie że z Łodzi do Bełchatowa niedaleko. Roverka kupiłem z wyboru i pomimo iż ujawnił już swoje ujemne cechy przyjemnie się nim poruszam i na razie nie będę się go pozbywał.
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Nie możesz ściągać załączników na tym forum
Jednakowoż firma udostępniająca system rejestracyjny, wyszła na przeciw wszystkim paranoikom i jest możliwe spreparowanie adresu dla połączenia szyfrowanego, co już pokazał 
