On 2019-08-16, Szymon <...@w...pl> wrote:

[...]

>> Nie zmienia to niczego w znaczącym stopniu, ponieważ
>> głównym problemem jest człowiek. Aktualizowany smartfon
>> jest bezpiecznym narzędzie, a do tego o wiele bardziej
>> użyteczne.
>
> Swego czasu była afera dot. spowolnienia iPhone'a po aktualizacji. Można
> byłoby dyskutować czy wolniejsze urządzenie jest "bardziej użytecznym".

Na pewno bardziej użytecznym od tokena.

[...]

>> I na tym opierasz swoją argumentację. Człowiek z tokenem trzyma
>> sejfy w każdym miejscu, w tych sejfach te tokeny i w ogóle ich
>> nie nosi, jest rozważny w chuj. A człowiek ze smartfonem
>> to "Gimbaza" z odruchem wpisywania PINu.
>
> Rozumiem, że te skrajności mają pokazać błędy w argumentacji.

Ale Ty takie skrajności mi prezentujesz.

> 2. Nie da się ukryć, iż dla nastolatków smartfon to prawdziwy fetysz. Fakt.
> 3. Rzeczywiście dziwi mnie, iż nigdy nie poznałeś żadnego PIN-u osoby,
> która go wpisywała w telefon - np. w autobusie, tramwaju etc.

PINy większości aplikacji bankowych nie są wymienne z "mazianymi znakami".
Aplikacje do przechowywania haseł nie mają zaś pinów tylko master password.

Poza tym jakie to ma znaczenie, skoro najpierw musi być wykonana operacja
(na komputerze), czyli złodziej musi poznać login, hasło do konta (tych
nie ma "widocznych" na aplikacjach bankowych), a potem dopiero _ewentualnie_
może potwierdzić sobie wspomnianą operację.

A to wszystko w czasie, do momentu aż okradziona osoba nie zorientuje się,
że została okradziona i nie wyłączy dostępu z danego telefonu (co się da
zrobić oczywiście bez wpisywania wspomnianego hasła).

Wspomnianych operacji świadomy użytkownik nie musi robić wiele, bo w większości
współczesnych urządzeń nie przeznaczonych dla nastolatków masz już jakąś formę
autoryzacji biometrycznej, przy której złodziej nawet jak coś ukradnie, to nie
miał szans nic podpatrzyć, a Tobą nie jest więc wiele z tym telefonem nie
zrobi.

A wirusy na smartfonach to: kilka sztuk na Android (tych targetujących aplikacje
bankowe) i zero sztuk na iOS.

> Z ręką na sercu - nie widziałem, aby ktoś równie ostrożnie wpisywał w telefonie,
> co w bankomacie, a przed płatnościami bezstykowymi przy kasie.

A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś?
Jak chcesz mi podpatrzeć PIN na takim telefonie?

[...]

> Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do
> konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X
> czy Y. Okradnie tego, który mu to ułatwi.

I co z nim zrobi dalej?

>> Tak, w końcu sobie poradzili. Doczytaj jak i pomyśl, czy statystyczny
>> złodziej ma szansę na używanie takich technik (klonowanie pamięci NAND
>> urzadzenia).
>
> Tylko co to ma do rzeczy?

Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie
niezabezpieczone. A tu patrz, FBI nie dało rady.

>>> Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia
>>> istotnych danych np. w serwisie?
>>
>> Nie, nie ma takiej potrzeby. A możliwość którą opisujesz należy do
>> kategorii urojonych.
>
> Strasznie trudno Ci przychodzi odpowiedź na to pytanie. Zupełnie
> niepotrzebnie. Serwis sprzętu nie jest niczym nadzwyczajnym. Gdy oddaję
> komputer - zawsze wyciągam z niego dysk.

A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są
zaszyfrowane. Np. na okoliczność utraty urządzenia.

> W przypadku iPada jest to pewien problem. Oczywiście zależy
> co uległo uszkodzeniu. Najrozsądniej byłoby zniszczyć sprzęt,
> ale ponosi to za sobą duże koszty.

A najrozsądniej to byłoby dowiedzieć się jakie urządzenie ma zabezpieczenia
zamiast rozsiewać plotki może?

[...]

> danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD
> (oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym -
> jest problem.

Po to stosuje się szyfrowanie.

>> Mniej więcej 2-3, reszta może być zabezpieczona w odpowiednio do tego
>> celu stworzonych programach.
>
> Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje
> dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy.

Czyli najpierw musisz:

- złamać kod PIN urządzenia (masz 3 próby, potem niestety urządzenie się blokuje)
- potem złamać hasło właściwego programu. No to masz tak na oko 62 do potęgi 20
prób,
bo jakie to hasło, to przecież nie wiesz (mnie urządzenie autoryzuje
biometrycznie),
a hasło wpisuję jedynie raz na kilka dni (jak dłużej nie używam, albo urządzenie
było wyłączone).

A w międzyczasie jak odetnę te urządzenie od zaufanych (albo minie odpowiednio
dużo czasu), to jeszcze będziesz musiał zautoryzować się poprzez podanie wartości
z qrcode, które się wyświetli na innym moim aktywnym urządzeniu, do którego
dostępu nie masz.

Z tego co czytałem benchmarki, dość mocny sprzęt (taki jaki używany
jest do kopania) ogarnie jakieś 6000 prób na sekundę.

> Rozumiem, że owe programy masz w komórce.

Na zaufanych urządzeniach.

> A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy?

Jak mi się zdarzy wypadek śmiertelny, to niewiele mnie będzie obchodzić.
Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie
po zalogowaniu się do firmowego intranetu. A osobiste? No cóz, jak
mnie trafi wypadek śmiertelny, to mi będzie wszystko jedno.

>> Człowiek który tak sobie życie upraszcza, upraszcza sobie
>> też życie nie mając tokena w sejfie, tylko przy sobie.
>
> ??? Upraszczam sobie życie nosząc to, czego nie muszę??? Ciekawa koncepcja.

Tak, wiem. Ty jesteś uporządkowany i zorganizowany na tip top.
A w przypadku 90% "Kowalskich", jak mu się raz trafi sytuacja, że
albo nie będzie miał karty kodów, albo nie będzie miał tokena,
to od razu zacznie nosić przy sobie.

Płatności online kiedyś robiłeś? Czy to też jest niepopularne
i nie istnieje? Bo one też wymagają tego kodu jednorazowego.
Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci
kupienia sobie np. biletów do kina (z wyprzedzeniem), albo skorzystania
z jakiejś promocji, której czas niedługo upłynie i taka osoba od razu
zacznie nosić przy sobie takie urządzenie.

>>> Podałem policję czy służby jako przykład oczywisty.
>> Czego? Firmy? Podmiotu gospodarczego?
> Instytucji używającej sejfu.

A było o firmach.

>> "Do wniosków takich prowadzi art. 83a ust. 1 ustawy o systemie oświaty, który
>> stanowi, że do prowadzenia szkoły lub placówki nie mają zastosowania przepisy
>> o działalności gospodarczej. Oznacza to, że ustawodawca przyjął, że działalność
>> oświatowa polegająca na prowadzeniu szkoły nie jest działalnością gospodarczą."
>
> Wątpliwa interpretacja.

To był trochę starszy przepis (jak jeszcze obowiązywała ust. o swobodzie działalności
gospodarczej). Nowszy masz tu:

https://www.arslege.pl/prowadzenie-dzialalnosci-oswi
atowej/k1581/a102779/

Dz.U.2018.0.996 t.j. - Ustawa z dnia 14 grudnia 2016 r. - Prawo oświatowe

1. Prowadzenie szkoły lub placówki, zespołu, o którym mowa w art. 182
połączenie szkół publicznych, szkół niepublicznych lub placówek w zespół,
oraz innej formy wychowania przedszkolnego nie jest działalnością
gospodarczą.

[...]

>> Ale rozmawialiśmy o przypadku sejfu stricte do dokumentów.
> Takich stricte jest z pewnością dużo mniej.

Nie chcę Cię martwić, ale spora liczba przedsiębiorstw, hurtowni itp. nastawionych
wyłącznie na b2b nie ma nawet potrzeby na obrót gotówkowy. A wręcz ma to utrudnione,
gdyż jest taki drobiazg jak limit powyżej którego masz obowiązek rozliczać się
przelewem.

[...]

> doprecyzować. Już wiem, że wyłączamy z tego oświatę, czyli największą
> grupę zawodową (ok. 700.000 pracowników jeśli dobrze pamiętam statystyki
> Broniarza z okresu strajku), do tego wyższe uczelnie, wszelkie służby od
> zdrowia do specjalnych.

Ale to ustawodawca tego rodzaju podmioty wyłączył. Do mnie masz pretensje?

> Potem jeszcze urzędy, a urzędników to mamy wiadomo ilu... No i sejfy,
> w których trzyma się tak dokumenty, jak i gotówkę.

No to Ty zapodałeś tezę że "poważna firma ma sejf do ważnych dokumentów".
Ja tylko konsekwentnie nie chcę zbaczać z takiego toru.

[...]

> A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli
> różnego szczebla. Czy takie dokumenty elektroniczne wystarczały?

Tak, drukowane na żądanie urzędników.
A w tym roku, to kontrola (czy raczej czynności sprawdzające)
odbyły się poprzez wysłanie Pani urzędnik dokumentów drogą elektroniczną,
nawet się nie musiała fatygować.

> Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz
> elektronicznych.

Dokładnie. Akta pracownicze mogą być prowadzone w formie elektronicznej.
Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki?
Wydruk z CEIDG, czy KRS to sobie właściwe podmioty pobierają "na żądanie"
od urzędu.

To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie
musi tych "blankietów na dyplomy", czy "blankietów na dowody rejestracyjne".

>>> Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.
>> Peszek. Do obalenia Twojej tezy wystarczy Amber Gold.
> No nie. Ja szukam POWAŻNEJ bez. To jednak co innego niż NIEPOWAŻNA z. ;-)

Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje
sejfu. W branży IT to jest takich mnóstwo, od firm hostingowych, poprzez
software house, czy firmy outsourcingowe.

[...]

>> Jak podpada pod restrykcje wynikające z innych ustaw, to możesz
>> robić to co wynika z tych ustaw. Ale pisałeś o RODO.
>
> Chyba faktycznie zbyt skomplikowanie to opisałem. Masz rację: nie każdy
> dokument chroniony RODO musi wylądować w sejfie. Nie każdy druk in
> blanco musi trafić do sejfu.

A taka dokumentacja medyczna będzie *obowiązkowo* przechowywana
elektronicznie. Sądowa i podatkowa już jest (oczywiście dotyczy nowych
dokumentów). Od ubiegłego roku np. sprawozdania finansowe składa się
wyłącznie elektronicznie. Podatki już też możesz rozliczać elektronicznie.
Akta pracownicze możesz trzymać elektronicznie. Zwolnienia lekarskie dostajesz
elektronicznie, przez system ZUSowski. Dokumentacja księgowa w coraz większym
zakresie przyjmuje format JPK i kontroler skarbowy już nawet nie musi Cię
w tym celu odwiedzać. Dokumentacja bankowa od dawna jest przesyłana klientom
elektronicznie. Częściowo dokumentacja medyczna również musi już być prowadzona
elektronicznie (a pewnie niedługo obowiązek się rozszerzy).

To co Ty w tych kasach za dokumenty chcesz trzymać, poza tymi blankietami
dyplomów, dowodów rejestracyjnych czy co tam jeszcze.

>> A czyli jednak nie "zaszeregowania" tylko "zarachowania",
>> a to już wchodzi w rachunkowość i dokumenty księgowe.
>
> Nie znam się. Tak w pierwszym odruchu wydaje mi się, że dowody osobiste,
> paszporty, świadectwa, certyfikaty itp. itd. to nie są dokumenty
> rachunkowe czy księgowe.

Termin druki scisłego zarachowania był terminem z rachunkowości,
ale w jakimś momencie z ustawy chyba wyleciał.

> Przyznaję - mogę się mylić. Zaszeregowania/zarachowania - to był
> pewien skrót myślowy. Być może faktycznie zbyt skomplikowany.

http://reklama-krakow.com.pl/2017/03/19/druki-scisle
go-zarachowania/

"Jak przechowywać druki ścisłego zarachowania?

Jak już wspomnieliśmy, druki tego rodzaju muszą być odpowiednio
przechowywane, by nie dostały się do nich niewłaściwe osoby.
Zakłada się też specjalną ,,Księgę druków ścisłego zarachowania",
w której wprowadza się informacje o drukach. Księga ta powinna
być w stosowny sposób opisana, powinna mieć ponumerowane strony,
ma być trwałe sznurowania, powinna być też opieczętowana i sygnowana
przez kierownika jednostki i głównego księgowego.

Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą
właściwie zabezpieczone, na przykład będą umieszczone w szafie
zamykanej na klucz. Można również zdecydować się na skorzystanie
z usług rachunkowych, a wtedy to zadaniem specjalisty będzie właściwe
zabezpieczenie i zarządzanie drukami. Pomocą służą też firmy oferujące
usługi archiwizacyjne."

Jak widać sejfów nie trzeba.

>> Ale specjalnie nie ma nic wspólnego z RODO.
>
> Myślałem o dokumentach, których druk jest ściśle ograniczony (np.
> dyplomy), a który w pewnym momencie pokrywa się danymi osobowymi (i tu
> RODO).

No to 99% podmiotów gospodarczych raczej z takimi nie ma do czynienia.

> Tak mi się teraz przypomniało - a wiesz, że u mnie w firmie wszelkie
> pieczątki także trafiają do sejfu? Oczywiście na koniec dnia. Na
> początku pobiera je upoważniona osoba. I pewnie znowu - pani Gienia od
> rzodkiewki nie będzie takich procedur stosować, jak "poważna" firma.
> Gdybyś zechciał sobie wpisać do Google "Jarucka, Cimoszewicz, faksymile"
> to poczytasz o aferze związanej właśnie z pewną pieczątką ;-)

Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30
minut? Pamiętam jak sobie za moich czasów studenici "przedłużali" ważność
legitymacji studenckich takimi pieczątkami.

A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię,
o przyślą mi pocztą na skrytkę pocztową. Ale fakt, ostały się takie relikty
PRLu, dla których pieczątki to jakieś poważne zabezpieczenie czegokolwiek.

>> No dobrze. Mamy spis z natury, ktory ewidentnie jest takim drugiem.
>> Pokaż przepis nakazujący mi robienie spisu w formie papierowej.
>
> Ale to głupstwo. Ja mówię o poważnych rzeczach. Spis z natury
> porównujesz do hasłem do kont czy sieci?

Hasła do konta, czy sieci się nie trzyma na papierze.
Po prostu.

>> Niech będzie, że część ma osobowość prawną, a część nie (spółki
>> osobowe lub 1-os działalności). Wkaż mi prosze które z tych
>> podmiotów muszą mieć sejf i jakie dokumenty w nich muszą
>> przechowywać i z jakich przepisów to wynika.
>
> A to akurat bardzo proste. Studio dźwiękowe. Nagrywa materiał i musi
> dochować wszelkiej staranności, aby nie wyciekł. W przeciwnym razie
> pozew o odszkodowanie może je zrujnować.

Wystarczy dyski zaszyfrować i posiadać porządną politykę dot.
bezpieczeństwa danych elektronicznych w firmie.

> Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem
> swoje racje jest priorytetem. Podobnie ze studiem filmowym.

I co, włożysz wszystkie te komputery do tej kasy pancernej,
czy może każesz ludziom rozkręcać te komputery codziennie i wymontowywać
dyski?

[...]

> Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła,
> w tym admina.

Kopie bezpieczeństwa trzymać w sejfie? :-))))))
To się uśmiałem. Zabezpiecza się serwerownię, fakt, ale jak Ty
chcesz te kopie bezpieczeństwa nosić do tego sejfu, to ja nie wiem.
:-))

>> Czy możesz przyjąć do wiadomości, że jednak się na tym (obiegu
>> elektronicznym dokumentów) nie znasz i krążysz wokół tematu jak
>> Ci którym "rowery rozdają na placu czerwonym"?
>
> Dlaczego? Bo tak mówisz, czy może masz jakiś argument?

Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę
dot. projektowania bezpiecznych systemów informatycznych i zasad
przechowywania danych.

I mówię tu o rzeczach oczywistych we współczesnych firmach z dokumentami
w obiegu elektronicznym.

>> To że najpierw posługiwałeś się pojęciem ogólnym "firma",
>> a teraz próbujesz udowodnić, że te same reguły dotyczą
>> "urzędu" co i owej "firmy".
>
> Już przyznałem rację - firmy od rzodkiewki faktycznie obejdą się...

Nie. Po prostu "firmy" się obejdą. Chyba, że:

a) pracują w nich ludzie, którzy nie mają pojęcia o współczesnych metodach
przechowywania informacji
b) nałożone są dodatkowe wymagania ustawowe

> Byle nie większe, bo te mogą np. stawać do przetargu, opracowywać
> oferty, a te z pewnością będą chronione przed np. szpiegostwem
> gospodarczym.

Ależ oczywiście. :-)))

>> ROR to ROR. Rachunek Oszczędnościowo Rozliczeniowych.
>
> Cudowny jesteś! A potem masz pretensje i żale o porównania do Gimbazy.
> "ROR to ROR" - świetna definicja.
>
>> Nie jest to konto oszczędnościowe.
>> Nie jest to lokata.
>> Nie jest to rachunek bieżacy.
>> Nie jest to konto techniczne.
>> Nie jest to rachunek kredytowy.
>
> OK, to już wiem, czym nie jest ROR. A teraz wracamy do pytania: Jak
> zdefiniować ROR?
>
>> https://pl.wikipedia.org/wiki/Rachunek_oszczędnościo
wo-rozliczeniowy
>
> W tej definicji konto a'vista z Pekao się mieści. Jest dla osoby
> fizycznej, jest podstawowym kontem, można się za jego pomocą rozliczać,
> jest umowa.

Mówisz o Rachunku podstawowym? Tak, to jest konto osobiste.

> I choć Wiki podaje: "Rachunek oszczędnościowo-rozliczeniowy
> jest rachunkiem a vista" to jednak Pekao rozróżniało ROR (Eurokonto
> wtedy) i a vista.

To że rozróżnia sobie swoje konta (poza Eurokontem ma jeszcze inne),
nie oznacza że nie są one sumowane do kont osobistych.

[...]

>> (tu: "na pewno revolut nie ma tylu kont ha ha!") wyłącznie na bazie
>> Twojej grupy wiekowej, z którą masz kontakt.
>
> Hmm... Jeśli chcę się dowiedzieć czegoś o Kowalskim to przyglądam się
> grupie 18-70 lat. Ty grupie max. 30 i uważasz, że otrzymane dane są
> porównywalne pod względem wiarygodności?

Przypominam że Twoim argumentem było "mam wśród *znajomych* ludzi
z kredytami frankowymi, a nie mam z revolutem". Więc w kontrze
powiedziałem, że ja wprost przeciwnie, bo mam głównie znajomych
w wieku ok. 30 lat. A takich mam, bo pracuję w spółkach nowych
technologii. Resztę, to już sobie dorabiasz usiłując udowodnić
nie wiem co.

--
Wojciech Bańcer
w...@g...com