Category Archives: fail

KISS – keep it simple, sweetheart!

“Compliance” za wszelką cenę, tylko nie wiem z czym.

Tak było

Historia zaczyna się tak, że w ramach wymiany uprzejmości z producentem urządzenia, innym słowy – zgłoszenia (ticketu) z supportem, nastąpiła konieczność przesłania pliku – od producenta do klienta. Zazwyczaj odbywało się to bez wielkich ceregieli – plik był dołączany do zgłoszenia, pobierany przez (uwierzytelnionego) odbiorcę przy użyciu przeglądarki, transmisja szyfrowana na poziomie protokołu TLS. Proste, działające rozwiązanie.

Przyszło nowe.

Tym razem klient pobrał – zwyczajową techniką – plik (dokument z rozszerzeniem .docx), a po jego otworzeniu w skojarzonym programie MS Word jego oczom ukazał się zaskakujący widok:

Jako że domena wydawała się podejrzana, do tego link po http, postanowił zasięgnąć języka. Po odpytaniu whois niby jest światełko w tunelu (serwery DNS)…

Domain Name: CAPSULEDOCS.COM
Registry Domain ID: 1949652212_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.domainthenet.com
Registrar URL: http://www.DomainTheNet.com
Registrar: Domain The Net Technologies Ltd.
Registrar IANA ID: 10007
Registrar Abuse Contact Email: abuse@dtnt.com
Registrar Abuse Contact Phone: 972-3-7600500
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS4.CHECKPOINT.COM
Name Server: NS9.CHECKPOINT.COM
DNSSEC: unsigned

… ale próba wymuszonego połączenia po https (w celu podejrzenia certyfikatu) zakończyła się (optymistycznym) błędem:

* Server certificate:
* subject: CN=ds.checkpoint.com,OU=MIS-US,O=Check Point Software Technologies Inc.,L=San Carlos,ST=California,C=US
* start date: Apr 05 00:00:00 2016 GMT
* expire date: May 04 23:59:59 2018 GMT
* common name: ds.checkpoint.com
* issuer: CN=Symantec Class 3 Secure Server CA – G4,OU=Symantec Trust Network,O=Symantec Corporation,C=US
* NSS error -12276 (SSL_ERROR_BAD_CERT_DOMAIN)

Postanowiliśmy sięgnąć do bazy wiedzy producenta. Znalazły się w niej również artykuły opisujące rozwiązanie zastosowane do zabezpieczenia pliku. Artykuł w bazie wiedzy odsyła dla odmiany do domeny securedoc.cc po oprogramowanie niezbędne do otwarcia pliku. Próbujemy więc ponownie.

Domain Name: SECUREDOC.CC
Registry Domain ID: 109699115_DOMAIN_CC-VRSN
Registrar WHOIS Server: whois.domainthenet.com
Registrar URL: http://www.DomainTheNet.com
Registrar: DOMAIN THE NET TECHNOLOGIES LTD.
Registrar Abuse Contact Email: abuse@dtnt.com
Registrar Abuse Contact Phone: 972-3-7600500
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.DTNT.INFO
Name Server: NS2.DTNT.INFO
Name Server: NS3.DTNT.INFO
DNSSEC: unsigned

W sumie jest gorzej, bo nazwa producenta w rekordzie whois nie pojawia się nigdzie. Próba połączenia po https:

* About to connect() to securedoc.cc port 443 (#0)
* Trying 62.219.91.45…
* Connection refused
* Failed connect to securedoc.cc:443; Connection refused
* Closing connection 0
curl: (7) Failed connect to securedoc.cc:443; Connection refused

W akcie desperacji pomacaliśmy po http:

HTTP/1.1 301 Moved Permanently
Location: https://ds.checkpoint.com/ds-portal/desktop

Jest! Nareszcie URL, który wygląda przyzwoicie. Jest https, jest nazwa producenta, Certyfikat się zgadza. Ameryka!

Teraz to już z górki…

Teraz wystarczy “tylko” pobrać oprogramowanie, którego nie potrzebujemy, zainstalować na komputerze, na którym użytkownik nie ma uprawnień do instalacji oprogramowania i  wygenerowany sztucznie problem zostanie bohatersko rozwiązany?

Nie wiem, dlaczego akurat taki, a nie inny pomysł. To znaczy jedyna sensowna odpowiedź, to próba “podprogowego” marketingu tego konkretnego produktu. Niestety wykonanie kiepskie, grupa docelowa na taki security theater też sie nie nabiera, a w rezultacie cierpi użytkownik końcowy, który czeka na instrukcje zapisane w tym nieszczęsnym pliku…

Prawo w sieci vol. 1

Skończyła mi się subskrypcja jednego z systemów informacji prawnej, a branża jest dośc specyficzna. Trudno kilkoma kliknięciami za sensowną cenę kupić dostęp na miesiąc albo trzy, zazwyczaj trzeba kupić abonament na rok, do tego “najlepiej” kontaktować się z przedstawicielem handlowym. Członkowie przeróżnych ORA,NRA i innych prawniczych TLA mają taniej, jako że nie zaliczam się do tego grona, a od produktu dostępnego online oczekuję możliwości zakupu trzema kliknięciami, postanowiłem rozejrzeć się za alternatywą. Jedną z nich jest sejmowy Internetowy System Aktów Prawnych, który zresztą darzę sporym sentymentem, ale z wiekiem poziom lenistwa, a może raczej deficyt czasu, rośnie, przydałyby się więc niektóre funcje dostępne w komercyjnych aplikacjach. Kolejnym systemem, na który zdecydowałem się spojrzeć, jest Legeo, nie tak wyrafinowany jak systemy głównych rozgrywających na tym rynku, ale za to można wykupić dostęp kilkoma kliknięciami. Do tego czas trwania subskrypcji może być mierzony w dniach, a nie latach. I wszystko byłoby pięknie, gdyby nie to, że formularz rejestracyjny, przesyłający dane osobowe oraz hasło do tworzonego profilu, opublikowany jest na stronie internetowej dostępnej tylko i wyłącznie za pośrednictwem klasycznego, nieszyfrowanego protokołu http:

Legeo-rejestracja-2016-04-22

Ta sama bolączka dotyczy zresztą formularza logowania, co implikuje przesyłanie hasła jawnym tekstem. Szanowny Techlandzie, to nie przystoi w obecnych czasach!

Legeo-POST-2016-04-22

ePUAP- fikcyjny urząd cd…

22 lutego 2016, zażywając uciech doczesnych w postaci przeczesywania platformy ePUAP w poszukiwaniu właściwej usługi i właściwego urzedu, natknąłem się na “podejrzany” podmiot o nazwie “Jan Kowalski”, z siedzibą w Poznaniu, przy ulicy Astrowej 21, kod pocztowy 00-001.

Podmiot ten istnieje do dziś:
ePUAP_Kowalski_2016-04-15

Znalezisko niezwłocznie zgłosiłem tego samego dnia korzystając z funkcji Zadaj pytanie / Zgłoś uwagę w systemie ePUAP, a już w piątek 26/02/2016 otrzymałem maila z następującą odpowiedzią:

Re: [Ticket#056902] Dane testowe w środowisku produkcyjnyn
Service-Desk. 26 February 2016 at 10:07
To: ######@#######
Szanowny(a) Panie(i)

Dziękuję za przekazanie spostrzeżeń. Faktycznie mogą występować konta, gdzie osobom fizycznym zostaną nadane uprawnienia podmiotu publicznego.

Pozdrawiam
##################
Zespół Service Desk
Centrum Cyfrowej Administracji.

Oszczędzając słowa, rzekłbym, że odpowiedź nie wyczerpuje tematu. Problem z tym “podmiotem” na platformie ePUAP jest taki, że

  • nazwa tego podmiotu to, w powszechnym przekonaniu, najbardziej popularne imię i nazwisko w Polsce, czyli metonim przeciętnego obywatela Polski.
  • kod pocztowy jest nieprawidłowy dla siedziby podmiotu (Poznań):
    Poczta_Polska_kod_00-001_2016-04-15
  • Adres również wygląda na nieprawidłowy (nie ma numeru 21 przy Astrowej w Poznaniu):
    geoportal_Astrowa_Poznan_2016-04-15

Mając na względzie przepisy rozporządzenia Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej do głowy przychodzi co najmniej kilka pytań…

§ 4. 1. Założenie konta dla podmiotu jest dokonywane przez użytkownika zarejestrowanego działającego w imieniu podmiotu i wymaga podania:
1) nazwy podmiotu;
2) identyfikatora podmiotu.
2. Użytkownik zarejestrowany, zakładając konto dla podmiotu, staje się administratorem podmiotu.
3. Identyfikator użytkownika i identyfikator podmiotu są wybierane przez użytkownika. Raz nadany identyfikator nie może być nadany ponownie.
4. W przypadku zmiany danych, o których mowa w ust. 1 pkt 1, użytkownik zarejestrowany działający w imieniu podmiotu powinien niezwłocznie dokonać ich zmiany w profilu podmiotu.
5. Konto podmiotu może usunąć administrator tego podmiotu albo minister na wniosek podmiotu.
§ 5. 1. Podmiot publiczny występuje do ministra z wnioskiem o nadanie funkcjonalności podmiotu publicznego na ePUAP.

2. Wniosek, o którym mowa w ust. 1, zawiera:
1) oznaczenie podmiotu publicznego;
2) imię i nazwisko osoby upoważnionej do reprezentacji podmiotu publicznego wraz z podaniem funkcji lub stanowiska;
3) dane administratora podmiotu.
3. Funkcjonalność podmiotu publicznego na ePUAP staje się dostępna po pozytywnym rozpatrzeniu wniosku przez ministra.

Pytania prześlę do Ministerstwa.