polityka bezpieczeństwa danych osobowych

[Paweł]

Ciekawa sprawa, wychodzi na to ze musial wiedziec ze taki plik jest tworzony i gdzie jest zapisywany bo chyba nie jest to normalna praktyka?

Wysłane z mojej mikrofalowki

[PiotrG]

Znam kilka firm w moim regionie, które tak mniej więcej robią. W zasadzie można podpiąć pod ten przypadek większość systemów, które generują plik do banku, zaczytywany potem do systemu bankowego. Sam robiłem program eksportujący z popularneo programu płacowego plik z wypłatami dla dużego przedsiębiorstwa, zaczytywany potem przez aplikację bankową.
Ale już mocno offtopujemy temat

[PiotrSz]

Powyższy przypadek nie dowodzi nigdzie braku bezpieczeństwa prawidłowo zabezpieczonej technologii wifi..
Gość musiał mieć hasło do sieci bezprzewodowej albo było włączone słabsze zabezpieczenie niż WPA2 (WEP do złamania poprzez podsłuchiwanie pakietów, WPA ma buga który pozwala złamać zabezpieczenia i zdobyć hasło)
Do tego skoro dobrał się do plików szefa to dostęp do nich albo w ogóle nie był zabezpieczony albo bardzo kiepsko co może też prowadzić do wniosków o prawidłowe zabezpieczenie wifi..

No chyba, że ktoś wykorzystał dziury w sprzęcie (AP, routery) bo sporo się tego ostatnio pojawiało nawet u renomowanych producentów.

pozdrawiam

[PiotrG]

Nic nie chcę udowodnić. Chciałem tylko pokazać, że i w małym grajdołku zdarzają się duże sprawy i włamy. A że przy okazji wyznaję zasadę - co kabel to kabel ? Z mojej strony koniec offtopa

[Paweł]

A jak ktoś kabel przetnie i zaczną przez dziurę wypływać dane. Będą wylewać się na korytarz, chodnik, ulice...

[Lastryko]

Z WiFi wiążą się dużo poważniejsze problemy niż sposób zabezpieczenia.

1. Działanie systemowej usługi do konfiguracji połaczenia wifi ma irytującą właściwość
okresowego szukania nowych AP co może skutkować przerwaniem istniejącego połączenia.
Nie jest to szczególnie pożądane przy pracy z bazą danych.

2. Trudno jest dzisiaj znaleźć obszar wolny od zakłóceń. W mojej okolicy było ok. 25 AP.

3. W systemie Win XP nie można (bez dodatkowego oprogramowania) usunąć z listy dostępnych SSID-ów,
sieci inne niż własne. Użytkownik będzie mógł przyłączyć się do darmowego internetu.

Co do samego zabezpieczenia, to WPA2 z certyfikatami X.509 jest wystarczająco skutecznym zabezpieczeniem.

[Przemyslaw]

Systemowa usługa owszem lecz oprogramowanie dedykowane przez producenta karty WiFi w większości przypadków posiada opcję wyłączenia skanowania innych AP.

[Lastryko]

Systemowa usługa owszem lecz oprogramowanie dedykowane przez producenta karty WiFi w większości przypadków posiada opcję wyłączenia skanowania innych AP.

Nie miałem okazji poznać.
Przez kilka miesięcy miałem KSPPS-a na WiFi (życzenie właściciela).
Mile tego nie wspominam. Skończyło się na wierceniu, kuciu i położeniu klasycznego okablowania.

[PiotrSz]

No ja też się wystrzegałem baz danych (a głównie PPSa) po wifi i właśnie ze względu nie na bezpieczeństwo a niepewność połączenia.
Niestety przez eWusia musiałem 2 punkty w firmie zrobić po wifi i w jednym gdzie był normalny wifi client (usb) do AP nie odważyłem się dać PPSa (ściągają potwierdzenia z portalu eWuś a ja je później importuje), natomiast w drugim połączyłem 2 APki w szyfrowany most niedostępny dla innych połączeń bezprzewodowych i to eliminowało problemy z systemem operacyjnym o których pisałeś.
Połączenie działało nawet w miarę pomimo sporych przeszkód w budynku i straty były tylko na poziomie 1-3% ale na dłuższą metę wolałbym tak PPSa nie mieć postawionego! Może na APkach z pełnym N byłoby lepiej ale na starych Ovislinkach z G było jak było.
Na szczęście właśnie dowierciłem się tam z tymczasowymi kablami i ten problem zniknął..

Inna sprawa, że w tym punkcie gdzie był most nowy komp z win7pro nie chciał i dalej nie chce gadać z eWusiem przez PPSa.. to samo na kablu i na wifi wcześniej. Inny komp w tym miejscu śmiga. Aktualizacja javy (ani usunięcie) nie pomogła ;-)

pozdrawiam

[Lastryko]

[...] Inna sprawa, że w tym punkcie gdzie był most nowy komp z win7pro nie chciał i dalej nie chce gadać z eWusiem przez PPSa.. to samo na kablu i na wifi wcześniej. Inny komp w tym miejscu śmiga. [...]

To wypada sprawdzić co się dzieje na poziomie protokołu IP.
Bez wiresharka się nie obędzie. (proxy dla https?)

[PiotrSz]

To wypada sprawdzić co się dzieje na poziomie protokołu IP.
Bez wiresharka się nie obędzie.

tam jest jakiś problem z certyfikatami
nie pamiętam teraz dokładnie co było w logu PPSa z połączeń ewuś  (w katalogu CWU)
ale chyba coś o liście odwołań
próbowałem sposobu który ktoś wrzucił na forum ale nie zadziałało
(rozwiązaniem miał być wgranie którychś tam certyfikatów z UNIZETO chyba)

za to dzisiaj w FAQ mMedici znalazłem rozwiązanie na ich problemy z uwierzytelnianiem eWusia
a że to przecież ta sama usługa więc powinno i u nas zadziałać!
może jutro uda się potestować

z faqa mMedici
https://mmedica.asseco.pl/FAQ.aspx
"
!!!UWAGA!!!
Mogą wystąpić przypadki, w których mimo posiadania poprawnie skonfigurowanego konta dla systemu eWUŚ, użytkownik otrzymuje komunikat:
(...)
"Niepoprawne dane logowania do systemu eWUŚ"
(...)
Komunikat ten jest wynikiem nie posiadania aktualnych certyfikatów głównych dla systemu operacyjnego w którym wykorzystywany jest system eWUŚ. Aktualizacja certyfikatów jest dostępna na stronie Microsoft Support pod adresem:http://support.microsoft.com/kb/931125/pl
Należy pobrać plik o nazwie: rootsupd.exe i dokonać jego zainstalowania na stanowisku na którym występuje komunikat wymieniony powyżej. Po przeprowadzeniu aktualizacji należy dokonać restartu aplikacji mMedica.
"

(proxy dla https?)

jeżeli dla zwykłego usera wszystkie porty wyjściowe na routerze są zablokowane (w tym 443) i cały ruch dozwolony idzie przez wewnętrzne proxy to chyba sobie squid jakoś z tym radzi..

pozdrawiam

[Lastryko]

[...] Komunikat ten jest wynikiem nie posiadania aktualnych certyfikatów głównych dla systemu operacyjnego [...]

To akurat widać przy logowaniu przez IE.
Jak w systemie nie będzie odpowiedniego root CA, to certyfikat do połączenia SSL nie będzie prawidłowy.

[...] to chyba sobie squid jakoś z tym radzi..

Poradzi sobie doskonale o ile do niego coś trafi.
W PPS-ie nie konfigurujesz parametrów proxy (nie dla ewusia).
Wykorzystywane są parametry wpisane w IE.
Mi się zdarzyło wpisać proxy tylko dla http (z pominięciem pozostałych protokołów).
Efekt był taki, że w EWUSiu nie mogłem nic sprawdzić a w logach squida były pustki.

[PiotrSz]

To akurat widać przy logowaniu przez IE.
Jak w systemie nie będzie odpowiedniego root CA, to certyfikat do połączenia SSL nie będzie prawidłowy.

właśnie dziwne jest to, że przez IE i Firefoxa portal eWUŚ chodzi bez marudzenia o certy

Poradzi sobie doskonale o ile do niego coś trafi.
W PPS-ie nie konfigurujesz parametrów proxy (nie dla ewusia).
Wykorzystywane są parametry wpisane w IE.
Mi się zdarzyło wpisać proxy tylko dla http (z pominięciem pozostałych protokołów).
Efekt był taki, że w EWUSiu nie mogłem nic sprawdzić a w logach squida były pustki.

To wiem
Ustawiam proxy dla wszystkich protokołów w Panelu Sterowania->Opcje Internetowe

pozdrawiam

EDIT: znalazłem w którymś mailu spisany ten błąd z loga

2013-01-09 14:34:28: błąd logowania: Połączenie z serwerem odwołań było niemożliwe lub nie można było uzyskać ostatecznej
odpowiedzi. - URL:https://ewus.nfz.gov.pl/ws-broker-server-ewus/services/Auth - SOAPAction:login

ewidentnie problem z certami :-/

[Lastryko]

[...] ewidentnie problem z certami :-/

Jeśli aktualizacja certyfikatów pomaga, to faktycznie ewidentnie.
Chciaż po samej treści komunikatu ciężko jest to wywnioskować.