ePUAP- fikcyjny urząd – rozwiązanie zagadki?

Słowo się rzekło, zapytanie do Ministerstwa Cyfryzacji wysłałem (Fri, 22 Apr 2016 01:12:54 +0100), otrzymałem również odpowiedź (Thu, 5 May 2016 09:58:15 +0000) – jak można policzyć, w ustawowym terminie.

O co pytałem?

  1. treść regulaminu lub równoważnego dokumentu regulującego prawa i obowiązki użytkowników (w tym administratorów) platformy ePUAP
  2. politykę bezpieczeństwa informacji
  3. informację który użytkownik utworzył na platformie ePUAP konto podmiotu “Jan Kowalski, 00-001 Poznań, Astrowa 21”
  4. informację, czy, kiedy i z jakim rezultatem wniosek o nadanie funkcjonalności podmiotu publicznego w/w podmiotowi został rozpatrzony przez MAiC
  5. informację, w jaki sposób na platformie ePUAP rejestrowany jest fakt oraz rezultat rozpatrzenia wniosku o nadanie funkcjonalności podmiotu publicznego
  6. jeżeli nie wynikało to z powyższych, wyjaśnienie jakie zabezpieczenia przed nieuatoryzowanym tworzeniem kont użytkowników, podmiotów oraz przed nieautoryzowanym (w tym niepopartym pozytywną decyzją Ministra) nadaniem funcjonalności podmiotu publicznego wdrożone są na platformie

Odpowiedź, jak P.T. czytelnicy mogą zobaczyć poniżej, nie jest wyczerpująca i z wdziękiem omija zagadnienie kto utworzył/autoryzował konto testowe podmiotu publicznego w środowisku produkcyjnym, oraz jakie zabezpieczenia przed nieautoryzowanym utworzeniem takiego podmiotu są wdrożone. Niemniej wdzięczny jestem za otrzymanie kopii Zarządzenia nr 14 Ministra Administracji i Cyfryzacji z dnia 12 września 2012 w sprawie Polityki Bezpieczeństwa elektronicznej platformy usług administracji publicznej z załącznikami, w tym rzeczoną Polityką Bezpieczeństwa epuap. Wdzięczny jestem tym bardziej, że w/w zarządzenia nie sposób znaleźć w Dzienniku Urzędowym Ministra Administracji i Cyfryzacji (jak również w Dzienniku Urzędowym Ministra Cyfryzacji). W trakcie moich poszukiwań ustaliłem, że dokument ten wydobył już prędzej nieoceniony Adam Dobrawy, który swoje perypetie opisuje w serwisie ochrona.jawne.info.pl. Można tam znaleźć również link do przedmiotowego dokumentu, ja dla zwiększenia dostępności udostępniam “moją” kopię również tutaj. Jest to skan dokumentu, wyszukiwanie tekstowe nie działa.

Poniżej treść odpowiedzi, którą otrzymałem:

RP-MC-BM-odpowiedz
Szanowny Panie,

w odpowiedzi na wniosek z dnia 22 kwietnia 2016 r. uprzejmie informuję, że prawa i obowiązki użytkowników platformy ePUAP reguluje Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. z 2014 r. poz. 584). Podmiot „Jan Kowalski” o identyfikatorze epuap_test1IP został założony na potrzeby odbiorów produktów (e-usług) w ramach projektu POKL. Sytuacja ta była wyjątkowa, że względu na całkowite wykorzystywanie środowiska testowego ePUAP, w chwili zakładania
konta epuap_test1IP, na potrzeby testów wdrożeniowych nowej odsłony ePUAP 2. Fakt posiadania przez podmiot funkcjonalności podmiotu publicznego na ePUAP jest przede wszystkim rozpoznawalny ze względu na możliwość wyszukania danego podmiotu w słowniku listy adresatów w usłudze pisma ogólnego do podmiotu publicznego. Dokładniej, już następnego dnia po nadaniu uprawnień możliwe jest wysłanie pisma do danego podmiotu i otrzymanie Urzędowego Poświadczenia Przedłożenia (UPP). Ponadto uprzejmie wyjaśniam, iż funkcjonalność podmiotu publicznego nadają wyłącznie osoby upoważnione przez Ministra Cyfryzacji, po weryfikacji danych z wniosku o nadanie funkcjonalności. Jednocześnie w załączeniu przesyłam obowiązujące zarządzenie w sprawie Polityki Bezpieczeństwa elektronicznej platformy usług administracji publicznej.

Lektura Polityki Bezpieczeństwa, która, po pobieżnym przejrzeniu, wydaje się być sensowna, być może zaoowocuje kolejnym “pogłębeniem tematu” z mojej strony, za co pracowników Ministerstwa z góry przepraszam, z drugiej strony mając nadzieję, że zadawane pytania oraz ewentualna krytyka odbierane są konstruktywnie, z pożytkiem dla wszystkich użytkowników platformy ePUAP.

Prawo w sieci vol. 1

Skończyła mi się subskrypcja jednego z systemów informacji prawnej, a branża jest dośc specyficzna. Trudno kilkoma kliknięciami za sensowną cenę kupić dostęp na miesiąc albo trzy, zazwyczaj trzeba kupić abonament na rok, do tego “najlepiej” kontaktować się z przedstawicielem handlowym. Członkowie przeróżnych ORA,NRA i innych prawniczych TLA mają taniej, jako że nie zaliczam się do tego grona, a od produktu dostępnego online oczekuję możliwości zakupu trzema kliknięciami, postanowiłem rozejrzeć się za alternatywą. Jedną z nich jest sejmowy Internetowy System Aktów Prawnych, który zresztą darzę sporym sentymentem, ale z wiekiem poziom lenistwa, a może raczej deficyt czasu, rośnie, przydałyby się więc niektóre funcje dostępne w komercyjnych aplikacjach. Kolejnym systemem, na który zdecydowałem się spojrzeć, jest Legeo, nie tak wyrafinowany jak systemy głównych rozgrywających na tym rynku, ale za to można wykupić dostęp kilkoma kliknięciami. Do tego czas trwania subskrypcji może być mierzony w dniach, a nie latach. I wszystko byłoby pięknie, gdyby nie to, że formularz rejestracyjny, przesyłający dane osobowe oraz hasło do tworzonego profilu, opublikowany jest na stronie internetowej dostępnej tylko i wyłącznie za pośrednictwem klasycznego, nieszyfrowanego protokołu http:

Legeo-rejestracja-2016-04-22

Ta sama bolączka dotyczy zresztą formularza logowania, co implikuje przesyłanie hasła jawnym tekstem. Szanowny Techlandzie, to nie przystoi w obecnych czasach!

Legeo-POST-2016-04-22

ePUAP- fikcyjny urząd cd…

22 lutego 2016, zażywając uciech doczesnych w postaci przeczesywania platformy ePUAP w poszukiwaniu właściwej usługi i właściwego urzedu, natknąłem się na “podejrzany” podmiot o nazwie “Jan Kowalski”, z siedzibą w Poznaniu, przy ulicy Astrowej 21, kod pocztowy 00-001.

Podmiot ten istnieje do dziś:
ePUAP_Kowalski_2016-04-15

Znalezisko niezwłocznie zgłosiłem tego samego dnia korzystając z funkcji Zadaj pytanie / Zgłoś uwagę w systemie ePUAP, a już w piątek 26/02/2016 otrzymałem maila z następującą odpowiedzią:

Re: [Ticket#056902] Dane testowe w środowisku produkcyjnyn
Service-Desk. 26 February 2016 at 10:07
To: ######@#######
Szanowny(a) Panie(i)

Dziękuję za przekazanie spostrzeżeń. Faktycznie mogą występować konta, gdzie osobom fizycznym zostaną nadane uprawnienia podmiotu publicznego.

Pozdrawiam
##################
Zespół Service Desk
Centrum Cyfrowej Administracji.

Oszczędzając słowa, rzekłbym, że odpowiedź nie wyczerpuje tematu. Problem z tym “podmiotem” na platformie ePUAP jest taki, że

  • nazwa tego podmiotu to, w powszechnym przekonaniu, najbardziej popularne imię i nazwisko w Polsce, czyli metonim przeciętnego obywatela Polski.
  • kod pocztowy jest nieprawidłowy dla siedziby podmiotu (Poznań):
    Poczta_Polska_kod_00-001_2016-04-15
  • Adres również wygląda na nieprawidłowy (nie ma numeru 21 przy Astrowej w Poznaniu):
    geoportal_Astrowa_Poznan_2016-04-15

Mając na względzie przepisy rozporządzenia Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej do głowy przychodzi co najmniej kilka pytań…

§ 4. 1. Założenie konta dla podmiotu jest dokonywane przez użytkownika zarejestrowanego działającego w imieniu podmiotu i wymaga podania:
1) nazwy podmiotu;
2) identyfikatora podmiotu.
2. Użytkownik zarejestrowany, zakładając konto dla podmiotu, staje się administratorem podmiotu.
3. Identyfikator użytkownika i identyfikator podmiotu są wybierane przez użytkownika. Raz nadany identyfikator nie może być nadany ponownie.
4. W przypadku zmiany danych, o których mowa w ust. 1 pkt 1, użytkownik zarejestrowany działający w imieniu podmiotu powinien niezwłocznie dokonać ich zmiany w profilu podmiotu.
5. Konto podmiotu może usunąć administrator tego podmiotu albo minister na wniosek podmiotu.
§ 5. 1. Podmiot publiczny występuje do ministra z wnioskiem o nadanie funkcjonalności podmiotu publicznego na ePUAP.

2. Wniosek, o którym mowa w ust. 1, zawiera:
1) oznaczenie podmiotu publicznego;
2) imię i nazwisko osoby upoważnionej do reprezentacji podmiotu publicznego wraz z podaniem funkcji lub stanowiska;
3) dane administratora podmiotu.
3. Funkcjonalność podmiotu publicznego na ePUAP staje się dostępna po pozytywnym rozpatrzeniu wniosku przez ministra.

Pytania prześlę do Ministerstwa.

Monitorowanie aktywności online w miejscu pracy – ECHR 61496/08 CASE OF BĂRBULESCU v. ROMANIA

Od wczoraj trwa eksplozja publikacji o bombastycznych tytułach oraz korespondencji prywatnej i służbowej, odnoszących się do orzeczenia Eurpejskiego Trybunału Praw Człowieka w sprawie o sygnaturze 61496/08.

Rzeczpospolita: Trybunał Praw Człowieka: pracodawca może przeglądać prywatną korespondencję pracowników
Pch24.pl: Europejski Trybunał Praw Człowieka: szef może czytać prywatne wiadomości podwładnych
TVP.INFO: Trybunał Praw Człowieka: szefowie mogą czytać wiadomości pracowników. Nawet te prywatne

Mniej bombastycznie:
Wprost: Pracodawca ma prawo do przeglądania maili pracowników w “uzasadnionych przypadkach”
Onet: ETPCz dopuszcza przeglądanie służbowego maila przez pracodawcę

Za granicą:
Independent: European Court rules bosses can monitor employees’ private messages on WhatsApp and other messaging services
BBC: Private messages at work can be read by European employers

Większośc zaprezentowanych tytułów, a często także treść publikacji, nie odnosi się do stanu faktycznego, który był podstawą rozstrzygnięcia, tak więc kilka cytatów (z luźnym tłumaczeniem).

(…)the employer’s regulations explicitly prohibited all personal use of company facilities, including computers and Internet access.

Regulamin pracodawcy wprost zabraniał wszelkiego użytku urządzeń służbowych, w tym komputerów i dostępu do sieci Internet, do celów osobistych.

They noted that the applicant had set up the Yahoo Messenger account for professional use and he furthermore claimed that he had only used it for this purpose(…)

Skarżący założył konto w usłudze Yahoo Messenger na potrzeby pracodawcy, a w trakcie postępowania wyjaśniającego stwierdził, że używał go tylko do celów słuzbowych.

(…)applicant had been given an opportunity to claim that the use he had made of Yahoo Messenger had been, at least in part, private, and he had clearly stated that this had not been the case as he had declared that he had only communicated with clients on behalf of his employer.

Skarżący miał możliwość wyjaśnienia, że usługa Yahoo Messenger była przez niego, przynajmniej częściowo, wykorzystywana do celów prywatnych, ale stwierdził on, że nie miało to miejsca i używał jej jedynie do komunikacji z klientami w imieniu pracodawcy.

(twierdzenie przeciwne być może nie dałoby asumptu do monitorowania prywatnej korespondencji, ale niekoniecznie uchroniłoby skarżącego przed zwolnieniem z pracy.)

Super silne szyfrowanie numerów kart płatniczych

Oczywisty jest wyłącznie marketingowy aspekt zapewnienia opublikowanego na stronie, bo jego wartość merytoryczna jest bliska zeru (szyfrowanie transmisji czy w spoczynku? 128bit RC4 czy 128bit AES?). Mimo tej wieloznaczności,  faktom nie  udaje się dopasować do teorii 🙂

bsi-group-encryption-mark-record-publicSzczególnie zastanawia powtarzająca się pozycja “preferred”. Będzie okazja przetestować proces obsługi incydentów 🙂

  * TLSV1_2 Cipher Suites:
      Preferred:
                 RC4-MD5                       -              128 bits      HTTP
      Accepted:
                 AES256-SHA                    -              256 bits      HTTP
                 RC4-SHA                       -              128 bits      HTTP
                 RC4-MD5                       -              128 bits      HTTP
                 AES128-SHA                    -              128 bits      HTTP
                 DES-CBC3-SHA                  -              112 bits      HTTP

  * TLSV1_1 Cipher Suites:
      Preferred:
                 RC4-MD5                       -              128 bits      HTTP
      Accepted:
                 AES256-SHA                    -              256 bits      HTTP
                 RC4-SHA                       -              128 bits      HTTP
                 RC4-MD5                       -              128 bits      HTTP
                 AES128-SHA                    -              128 bits      HTTP
                 DES-CBC3-SHA                  -              112 bits      HTTP

  * SSLV3 Cipher Suites:
      Preferred:
                 RC4-MD5                       -              128 bits      HTTP
      Accepted:
                 AES256-SHA                    -              256 bits      HTTP
                 RC4-SHA                       -              128 bits      HTTP
                 RC4-MD5                       -              128 bits      HTTP
                 AES128-SHA                    -              128 bits      HTTP
                 DES-CBC3-SHA                  -              112 bits      HTTP

  * TLSV1 Cipher Suites:
      Preferred:
                 RC4-MD5                       -              128 bits      HTTP
      Accepted:
                 AES256-SHA                    -              256 bits      HTTP
                 RC4-SHA                       -              128 bits      HTTP
                 RC4-MD5                       -              128 bits      HTTP
                 AES128-SHA                    -              128 bits      HTTP
                 DES-CBC3-SHA                  -              112 bits      HTTP

Aktualizacja 30/11/2015:

poza wstępną odpowiedzią, że sprawa zostanie przekazana do odpowiedniego działu nic ciekawego nie otrzymałem, ale widać poprawę:

  * TLSV1_2 Cipher Suites:
      Preferred:
                 AES256-SHA                    -              256 bits      HTTP  
      Accepted:
                 AES256-SHA                    -              256 bits      HTTP  
                 DES-CBC3-SHA                  -              112 bits      HTTP  

  * TLSV1_1 Cipher Suites:
      Preferred:
                 AES256-SHA                    -              256 bits      HTTP  
      Accepted:
                 AES256-SHA                    -              256 bits      HTTP  
                 DES-CBC3-SHA                  -              112 bits      HTTP  

  * SSLV3 Cipher Suites:
      Server rejected all cipher suites.

  * TLSV1 Cipher Suites:
      Preferred:
                 AES256-SHA                    -              256 bits      HTTP  
      Accepted:
                 AES256-SHA                    -              256 bits      HTTP  
                 DES-CBC3-SHA                  -              112 bits      HTTP  

Checkpoint jednak (jeszcze) nie migruje do SHA-256

work-in-progress-CC BY-SA 2.0-kevandotorg-on-flickr
CC BY-SA 2.0 https://www.flickr.com/photos/kevandotorg/

Można się było tego spodziewać. O planach Checkpointa dotyczących migracji z SHA-1 do SHA-256 pisałem tutaj. Mój klient otrzymał poprawki na czas na 99% urządzeń, pozostały 1% przejawiał problemy natury filozoficznej (nie poddam się aktualizacji i co mi zrobisz) bądź technicznej (w dniu aktualizacji dysk zdechł). Najwidoczniej jednak znaleźli się użytkownicy, którzy pokpili sprawę. w związku z czym Checkpoint migrację certyfikatów musiał odłożyć w czasie. Póki co do lutego 2016. Żródło: aktualna treść SK103839

“To proactively enhance the security of our online update services, Check Point is planning to gradually migrate its SHA-1 based certificates to SHA-256 based certificates during February 2016.”

Security through obscurity wiecznie żywe

CC BY-NC 2.0 Glen Darrud
CC BY-NC 2.0 Glen Darrud

P.T. Pan Klient zażądał dzisiaj, żeby zablokować skanowanie jego systemów (udostępnionych publicznie usług) przez Shodan. Jako że Shodan nawiązując połączenie niczym szczególnym się nie wyróżnia, to technicznie należaloby to zrealizować blokując ruch z określonej grupy adresów źródłowych (z których Shodan dokonuje skanowania). Podejście to ma masę słabości, poczynając od tego, że Shodan takiej listy nie publikuje, a to co można znaleźć w sieci to zapis pewnego wycinka rzeczywistości w określonej chwili, bez gwarancji, że zebrane adresy będą niezmienne w przyszłości.

Inżynier, który pracował nad tym zgłoszeniem, zrobił dobrą robotę, i zasugerował uszczelnienie polityki firewalla tak, aby tylko rzeczywiście niezbędne zasoby były dostępne publicznie, a także regularne testy bezpieczeństwa, aplikowanie poprawek i innych rozwiązań usuwających ewentualne podatności – zamiast blokowania skanera. Pan Klient jednak wie lepiej, płaci i wymaga, tak więc koniec końców zaimplementowana została reguła blokująca kilkadziesiąt adresów mniej lub bardziej powiązanych z Shodanem. Inne niż Shodan skanery, w tym potencjalni atakujący, mogą dalej prowadzić rekonesans ze swoich (lub cudzych) adresów. Ponieważ rezultatu tych działań nie będzie widać na shodan.io to Pan Klient będzie spał spokojniej, może nawet zmniejszy częstotliwość testów penetracyjnych, a z poczynionych oszczędności ktoś przyzna mu premię.

A kiedy padną ofiarą ataku… winny będzie MSSP, który przegrał zawody w kopaniu się z koniem.

sk103839 czyli Checkpoint migruje do SHA-256. Tysiące hotfixów czekają.

SHA-1 jest passe, piszą uczeni. Mniejsze i większe serwisy migrują z SHA-1 do SHA-2. Aktualizacja certyfikatów zainstalowanych na serwerach to relatywnie proste zadanie. Problem pojawia się wtedy, kiedy oprogramowanie klienckie również wymaga aktualizacji. Na przykład kilka tysięcy firewalli, które do pobrania i/lub weryfikacji aktualizacji oprogramowania, baz danych sygnatur antywirusowych, IPS, kategorii URL i innych muszą mieć możliwość weryfikacji danych zawartych w certyfikacie.

Problem nie jest wyimaginowany, Checkpoint opublikował artykuł sk103839: Check Point update and online services migration to SHA-256 based certificates, w którym przyznaje, że nawet najnowsza dostępna wersja oprogramowania  (R77.20) wymaga instalacji poprawki.

CC BY-NC-ND 2.0 yuankuei (Flickr)
CC BY-NC-ND 2.0 yuankuei (Flickr)

Na pierwszy ogień idzie klient, który zaplanował upgrade oprogramowania do R77.20 wraz z aktualizacją Jumbo Hotfix Accumulator. Jumbo hotfix dla R77.20 od wersji Take 77 zawiera również poprawki dotyczące obsługi algorytmów z rodziny SHA-2.

Kilka tysięcy  aktualizacji – do zrobienia teraz, a rezultaty zobaczymy dopiero w październiku, po faktycznej migracji certyfikatów na serwerach Checkpointa.