On 2019-08-16, Szymon <...@w...pl> wrote:

[...]

>>> Brytyjska flota atomowych łodzi podwodnych, [...]
>> Jak będą podpięte do internetu, to wtedy będzie bardziej na temat.
>
> Czyżbyś twierdził, że "urządzenie" niepodpięte do Internetu jest
> bezpieczniejsze?

Nie. Ale mogę twierdzić
*Nieaktualizowane* urządzenie nie podpięte do internetu jest
bezpieczniejsze niż *nieaktualizowane* urządzenie podpięte
do internetu.

> Jeśli tak to rozważ token/smartfon w tym kontekście.

Nie zmienia to niczego w znaczącym stopniu, ponieważ
głównym problemem jest człowiek. Aktualizowany smartfon
jest bezpiecznym narzędzie, a do tego o wiele bardziej
użyteczne.

>> Nadal pozostaje komputer, którego najłatwiej zarazić wirusem,
>> więc niespecjalnie. I pomijasz fakt, że nadal najsłabszym elementem
>> jest człowiek.
>
> 1. Nie jest prawdą, że komputer łatwiej zarazić wirusem.

Jest prawdą.

> Wszystko zależy od okoliczności.

Ale mówimy o statystyce a nie okolicznościach.
Statystycznie łatwiej to zrobić z komputerem, bo ten ma mniej
ograniczających go trybów pracy.

> 2. Przede wszystkim stawiam na człowieka. Powinieneś to już zauważyć.

Nie. Ty stawiasz na to że:
- człowiek używający tokena jest mądry
- człowiek używający smarfona jest debilem o IQ doniczki
I na tym opierasz swoją argumentację. Człowiek z tokenem trzyma
sejfy w każdym miejscu, w tych sejfach te tokeny i w ogóle ich
nie nosi, jest rozważny w chuj. A człowiek ze smartfonem
to "Gimbaza" z odruchem wpisywania PINu.

>> Ale nie ma obowiązku posiadania zegarka do tych czynności.
>
> Podobnie jak można żyć bez konta (chyba). Gdy już kiedyś "zauważysz"
> jednak wzrost aktywności sportowej Polaków to przypatrz się ich
> nadgarstkom. Da Ci to pewne pojęcie o rzeczywistości.

Daje mi za to pewne pojęcie o tym, że niektórzy dyskutanci
nie potrafią czytać ze zrozumieniem i na bazie swoich wymysłów
tworzą rozmaite tezy, które potem przypisują do dyskutanta
jakoby "on" to wymyślił.

Ty sobie wyśniłeś jakieś tezy o tym, że nie zauważam polaków
i ich aktywności sportowej, ale mnie do tego nie mieszaj.
A odzywka o "rzeczywistości" jest po prostu chamska,
podobnie jak przyrównywanie użytkowników smartfonów do Gimbazy.

>>> Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem.
>>
>> Case Apple vs FBI temu przeczy.
>
> W PL nie obowiązuje prawo precedensu, a już orzecznictwo w USA ma się
> nijak do PL.

Nie piszę o prawie, tylko o przypadku w którym FBI miało problem
z odbezpieczeniem telefonu zabezpieczonego *tylko* PINem.
Wg Ciebie czymś niewartym uwagi.

Tak, w końcu sobie poradzili. Doczytaj jak i pomyśl, czy statystyczny
złodziej ma szansę na używanie takich technik (klonowanie pamięci NAND
urzadzenia).

>>> Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za
>>> najlepszy materiał.
>>
>> No chyba że zaginie. I potem udowadniasz że pracowałeś "świadkami"
>> (patrz procedury ZUS).
>
> Sejf/kasa ma to do siebie, iż dostęp do nich jest ściśle określony
> procedurami.

Nie na temat, o ile udowodnisz, że wszyscy właściciele
tokenów trzymają je w sejfach.

[... ciach dygresję o złocie nie na temat ...]

>>> Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz?
>> Wymienię na inną.
> Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia
> istotnych danych np. w serwisie?

Nie, nie ma takiej potrzeby. A możliwość którą opisujesz należy do
kategorii urojonych.

> To była istota tego pytania.

Pokazująca jak mało wiesz o współczesnych metodach zabezpieczania
danych w aplikacjach.

>>> Pisać dalej, czy już zauważyłeś do czego zmierzam?
>>
>> Do tego że problemem jest człowiek, a nie PIN. Ale to wszyscy
>> sensownie myślący wiedza.
>
> Ściślej - ilość haseł, który przeciętny Kowalski musi dziś zapamiętać.

Mniej więcej 2-3, reszta może być zabezpieczona w odpowiednio do tego
celu stworzonych programach.

> Upraszcza to sobie nadając te same PIN-y/hasła w wielu miejscach. Zatem
> tak - problemem jest człowiek, ale także ten, który tworzy system, a nie
> tylko ten, który z niego korzysta.

Człowiek który tak sobie życie upraszcza, upraszcza sobie
też życie nie mając tokena w sejfie, tylko przy sobie.

>>> Podobno wczoraj konto Ewy Farny [...]
>> Fascynujące, ale bez związku.
> Postaram się częściej tłumaczyć z polskiego na polski...

Nie. Po prostu nie kopiuj wydarzeń dnia z internetu, bo są one
bez związku. Ja wiem, że Ci się wydaje, że to ma związek, bo
pojawiło się słowo kluczowe, ale nie. Nie ma związku.

>>> To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie
>>> wymienić kogokolwiek, kto by korzystał?
>>
>> Bo pisaliśmy o firmach. Posterunki policji czy "służba" to nie jest
>> firma w ujęciu podmiotu gospodarczego. Zmieniasz temat.
>
> Podałem policję czy służby jako przykład oczywisty.

Czego? Firmy? Podmiotu gospodarczego?

> Sądziłem, że możesz negować np. oświatę. Także niepubliczną.
> Otóż szkoła niepubliczna także posiada sejf.
> Spełnia kryteria podmiotu gospodarczego.

https://orders-sandbox.lumion3d.net/api/resellers/fd
c40180c0274709946092ccdfc5e1c5

"Do wniosków takich prowadzi art. 83a ust. 1 ustawy o systemie oświaty, który
stanowi, że do prowadzenia szkoły lub placówki nie mają zastosowania przepisy
o działalności gospodarczej. Oznacza to, że ustawodawca przyjął, że działalność
oświatowa polegająca na prowadzeniu szkoły nie jest działalnością gospodarczą."

> Pewnie kasę/sejf posiada także każdy podmiot operujący większą gotówką.

Ale rozmawialiśmy o przypadku sejfu stricte do dokumentów.

> I pewnie niejednokrotnie może używać ich do przechowywania
> najważniejszych dokumentów/haseł.

Nie na temat. Rozmawialiśmy o przypadku firmy (w rozumieniu potocznym)
i posiadaniu sejfu stricte do dokumentów. Takie podmioty zapewne są,
ale ani nie są mniej, ani bardziej poważne niż inne, które wybrały
inne bezpieczne sposoby przechowywania dokumentów ważnych.

> Podobnie jak Kowalski mający sejf w domu zapewne nie tylko będzie
> trzymał tam większą gotówkę, ale złoto, biżuterię czy token.

Gdybologia (z tym tokenem), na którą nie masz żadnego poparcia.

>> a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem.
>> Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć
>> dalej?
>
> Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.

Peszek. Do obalenia Twojej tezy wystarczy Amber Gold.

>
> Ojej... Łopatologicznie: [...] W każdej poważnej firmie jest sejf [...]

Fałsz.

>> Pokazałeś coś o czym w ogóle nie dyskutowaliśmy, stąd i odniesienie
>> do klocków lego.
>
> Może zapomniałeś. Przypomnę: narzędzie autoryzacyjne warto trzymać w
> bezpiecznym miejscu.

Jest to tylko jedna z metod jego zabezpieczenia.

>> Dane wrażliwe to dane wrażliwe. "druki ścisłego zaszeregowania" to termin
>> nieznany ustawie RODO.
>
> Ciekawa interpretacja... Czyli tak... Mam dyplom wyższej uczelni in
> blanco.

Czyli najprościej jak wskażesz punkt ustawy, który definiuje termin "druk
ścisłego zaszeregowania" zamiast tworzyć blubry.

> I wtedy to mogę sobie robić z nim, co chcę?

Jak podpada pod restrykcje wynikające z innych ustaw, to możesz
robić to co wynika z tych ustaw. Ale pisałeś o RODO.

[...]

> Praktyka jest taka... Druki ścisłego zarachowania [...]

A czyli jednak nie "zaszeregowania" tylko "zarachowania",
a to już wchodzi w rachunkowość i dokumenty księgowe.
Ale specjalnie nie ma nic wspólnego z RODO.

[...]

> znaczeniu czy są wypisane czy nie są - muszą być chronione i to TY
> jesteś za to odpowiedzialny. To TY musisz się wykazać należytą starannością.

No dobrze. Mamy spis z natury, ktory ewidentnie jest takim drugiem.
Pokaż przepis nakazujący mi robienie spisu w formie papierowej.

Idąc dalej: jest sobie np. studio dżwiękowe, gabinet masażu,
studio filmowe, studio architektoniczne, czy gabinet fryzjerski,
czy firma hostingowa.

Niech będzie, że część ma osobowość prawną, a część nie (spółki
osobowe lub 1-os działalności). Wkaż mi prosze które z tych
podmiotów muszą mieć sejf i jakie dokumenty w nich muszą
przechowywać i z jakich przepisów to wynika.

>>> Na przykład?
>> Np, szyfrowanie w postaci elektronicznej.
>
> Mistrzu... Ale jak Ty chcesz zaszyfrować w postaci elektronicznej np.
> dowody rejestracyjne przed wydaniem ich właścicielom pojazdu?

Firmy zwyczajowo nie wydają dowodów rejestracyjnych.

> Jak już sobie zaszyfrujesz te swoje dane to gdzieś one muszą leżeć. Te,
> które w ogóle się da zaszyfrować. W chmurę ich nie wrzucisz, bo - jak
> twierdzisz - masz pojęcie o bezpieczeństwie.

Tak, wrzucę. Jaki w tym problem? Oczywiście są to odpowiednie usługi,
nie "Google Drive". Zanim odpowiesz jakie to niebezpeiczne, to może jednak
doczytaj w temacie, co? Bardzo Cię prosze.

> Kopia zapasowa wydaje się [...]

Czy możesz przyjąć do wiadomości, że jednak się na tym (obiegu
elektronicznym dokumentów) nie znasz i krążysz wokół tematu jak
Ci którym "rowery rozdają na placu czerwonym"?

>> Ale rozmawialiśmy o firmach, a nie urzędach.
>
> A to ma znaczenie?

To że najpierw posługiwałeś się pojęciem ogólnym "firma",
a teraz próbujesz udowodnić, że te same reguły dotyczą
"urzędu" co i owej "firmy".

> W biedronkach też są sejfy. ;-) OK. Jeśli rozmawiamy
> o pani z warzywniaka to faktycznie w jej firmie może się obyć. Wystarczy
> pewnie kasetka.

I co, w każdej biedronce jest ten token? Serio? Znowu
zmieniasz kontekst. Nie pisaliśmy o sejfach do gotówki, tylko
do dokumentów i tokenów.

>> I tak, nie musisz mnie przekonywać, że urzędy tkwią w latach 90-tych.
>
> OK. Ostatnio sobie rozmawialiśmy o gimnazjach. Otóż przybywa do
> gimnazjum kurier z arkuszami egzaminacyjnymi. [...]

Szkoła nie jest podmiotem gospodarczym.

[...]

>>> Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3.
>> To kup nowszą nokię za 100. Nadal nie musisz do niej karty kupować.
> Cały czas tłumaczysz mi jak WYDAĆ pieniądze. Pokaż jak zaoszczędzić. ;-)

Zabezpieczyć odpowiednio posiadane już urządzenie.
Ale tą możliwość już odrzuciłeś.

>>> Jeszcze raz: według Ciebie ludzie posiadający więcej
>>> niż 1 konto to mniejszość? Ach! A może słowo "konto" różnie definiujesz? Masz na
myśli pewnie ROR, tak?
>>
>> No o tych statystykach była mowa (kont osobistych aka RORach).
>> I do takich Ci podałem linka.
>
> Pojawia się pewien problem interpretacyjny w tych kontach, zauważasz?
> Jak zdefiniować ROR/konto osobiste?

ROR to ROR. Rachunek Oszczędnościowo Rozliczeniowych.
Nie jest to konto oszczędnościowe.
Nie jest to lokata.
Nie jest to rachunek bieżacy.
Nie jest to konto techniczne.
Nie jest to rachunek kredytowy.

https://pl.wikipedia.org/wiki/Rachunek_oszczędnościo
wo-rozliczeniowy

>> Twierdzisz że osoby mające 30 lat nie są dorosłe?
>
> W moim przekonaniu do osoby 18+, przy czym mam wrażenie, iż średnia
> wieku w PL to trochę więcej niż 30. A zatem "dorośli ludzie" nie
> ograniczają się do max. 30-latków.

Ale nie o tym pisaliśmy. Znowu zmieniasz kontekst.
Przypomnę: pisaliśmy o tym, że Ty masz wśród znajomych ludzi
40+, a ja ludzi w okolicach lat 30, których problem frankowy
nie dotyczy. I pisałem, żebyś nie tworzył statystyk i wyobrażeń
(tu: "na pewno revolut nie ma tylu kont ha ha!") wyłącznie na bazie
Twojej grupy wiekowej, z którą masz kontakt.

>> https://www.businessinsider.com/median-tech-employee
-age-chart-2017-8?IR=T
>> - facebook, mediana 28
>> - google, mediana 30
>> - apple, mediana 31
>>
>> Ale to pewnie nie sa poważne firmy.
>
> haha... Dobre! W kontekście kredytów frankowych w PL... bardzo dobry
> argument.

Google ma też oddział w Polsce i zatrudnia pracowników także w Polsce.
Tak samo Facebook, Amazon, Uber. Wszystkie te firmy zatrudniają sporo
osób w okolicach ~30.

Nie wszyscy pracują w spółkach skarbu państwa z nadania partyjnego,
gdzie pracę dostają spady polityczne 40+.

>> Ja korzystałem z ~10 (podawałem "szczytową" listę, ale w innych bankach też
miałem) i tam nie
>> było tokenów w ofercie, poza zakresem "korporacyjnym".
>
> Wniosek mam wyciągnąć, że jedynie Premium lub korporacje miały dostęp do
> tokenów? Czyli... mniejszego bezpieczeństwa niż Kowalski? Śmiała teza.

Tokeny miały wyższy poziom bezpieczeństwa niż uwcześnie stosowane karty kodów.
A zmiany w bankowości korporacyjnej zachodzą dużo wolniej, zobacz sobie wiek
systemów transakcyjnych.

>>> Niestety to nieprawda.
>> Wpisz błędnie hasło 3-10x i powiedz mi czy nadal masz dostęp.
> Dobre! Naprawdę.
> A masz też pomysł jak zablokować dostęp telefoniczny w banku, który
> twierdzi, że się nie da?

Zależy jaki dostęp. Dostęp transakcyjny w wielu bankach da się wywalić,
czy to przez podobną sztuczkę, czy wyłączenie kanału. Na pewno da się
w mBanku, czy PKO. Generalnie myślę, że w każdym banku gdzie autoryzyjesz
się jakimś nadanym pinem/hasłem mobilnym.

Dostęp do konsultanta będzie zawsze.

--
Wojciech Bańcer
w...@g...com