W dniu 2019-08-16 o 19:43, Wojciech Bancer pisze:
> Poza tym jakie to ma znaczenie, skoro najpierw musi być wykonana operacja
> (na komputerze), czyli złodziej musi poznać login, hasło do konta (tych
> nie ma "widocznych" na aplikacjach bankowych), a potem dopiero _ewentualnie_
> może potwierdzić sobie wspomnianą operację.

Po co komputer? Skoro hasła na telefon, czy aplikacja to komputer
wkrótce zostanie wyeliminowany.

> Wspomnianych operacji świadomy użytkownik nie musi robić wiele, bo w większości
> współczesnych urządzeń nie przeznaczonych dla nastolatków masz już jakąś formę
> autoryzacji biometrycznej, przy której złodziej nawet jak coś ukradnie, to nie
> miał szans nic podpatrzyć, a Tobą nie jest więc wiele z tym telefonem nie
> zrobi.

Jestem zwolennikiem biometrii (warto zauważyć, iż pojawia się w
laptopach), ale tutaj na grupie niedawno wypowiadała się osoba, która
tego nie podzielała. Pięknie tłumaczysz likwidację tokenów, jednak
biometria w bankowości jest od dawna. Jakoś przebić się nie może. Dlaczego?

> A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś?
> Jak chcesz mi podpatrzeć PIN na takim telefonie?

Zakładasz kradzież/zgubienie bez użycia przemocy.
Zwróć uwagę, że wraz ze wzrostem zabezpieczeń samochodów wzrosła liczba
rozbojów.

>> Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do
>> konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X
>> czy Y. Okradnie tego, który mu to ułatwi.
>
> I co z nim zrobi dalej?

Jeśli podejrzy PIN, a jest on zgodny z tym na karcie - celem ataku
będzie karta. Jeśli za pośrednictwem komórki w ogóle mogę się zalogować
do systemu - wymuszenie rozbójnicze załatwi sprawę.

> Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie
> niezabezpieczone. A tu patrz, FBI nie dało rady.

Zupełnie inny kontekst.
Jest taka scena w "Szklanej pułapce II", gdy bohater nie może rozkodować
krótkofalówki. Pewien technik mu radzi: zanim zastrzelisz następnego,
każ mu wpisać kod. ;-)
Być może FBI najpierw zastrzeliło właściciela. Tymczasem mam wrażenie,
iż złodziej najpierw stara się ustalić PIN. Dopiero według tego wyznacza
sobie ofiarę. A jeśli chodzi o przemoc - inna kategoria.

> A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są
> zaszyfrowane. Np. na okoliczność utraty urządzenia.

No to 4 raz pytam: oddajesz do naprawy?
Rozumiem, że jeśli będzie wymagała zalogowania to przy Tobie?

>> W przypadku iPada jest to pewien problem. Oczywiście zależy
>> co uległo uszkodzeniu. Najrozsądniej byłoby zniszczyć sprzęt,
>> ale ponosi to za sobą duże koszty.
>
> A najrozsądniej to byłoby dowiedzieć się jakie urządzenie ma zabezpieczenia
> zamiast rozsiewać plotki może?

Ja pytam. 4 raz. Otóż zupełnie życiowa sytuacja: telefon się nie włącza.
Co dalej?

>> danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD
>> (oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym -
>> jest problem.
>
> Po to stosuje się szyfrowanie.

Myślę, że niewielu szyfruje w standardzie dysk. I sądzę, że aby
cokolwiek naprawić trzeba mieć jednak dostęp administracyjny.
Komp się wiesza. Nie znam przyczyny - oddaję do naprawy z hasłem na
BIOS, Windows i w TrueCrypcie? To nie bardzo widzę możliwość zrobienia
czegokolwiek przez serwis.

>> Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje
>> dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy.
>
> Czyli najpierw musisz:
>
> - złamać kod PIN urządzenia (masz 3 próby, potem niestety urządzenie się blokuje)

Z nożem na gardle starczy pewnie jedna.

> - potem złamać hasło właściwego programu. No to masz tak na oko 62 do potęgi 20
prób,
> bo jakie to hasło, to przecież nie wiesz (mnie urządzenie autoryzuje
biometrycznie),
> a hasło wpisuję jedynie raz na kilka dni (jak dłużej nie używam, albo
urządzenie
> było wyłączone).

Z przestrzelonym kolanem?

>> A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy?
>
> Jak mi się zdarzy wypadek śmiertelny, to niewiele mnie będzie obchodzić.

No tak. Tymczasem są firmy, które jednak muszą działać dalej. Nie mogą
sobie pozwolić na "przestój", bo admin zszedł i wszystko poblokowane.

> Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie
> po zalogowaniu się do firmowego intranetu.

Czyli jednak ;-) Przypomina mi to trochę muzykę techno - bez prądu nie
istnieje. Zazwyczaj "klasyczny" muzyk - ot, zagra koncert unplugged. ;-)

A osobiste? No cóz, jak
> mnie trafi wypadek śmiertelny, to mi będzie wszystko jedno.

Niektórzy mają rodziny, a wśród nich są i tacy, którzy nie chcieliby
rodzinie utrudniać dostępu do osobistych rzeczy (wliczając np. FB,
którego warto zamknąć lub poinformować znajomych, jak i np. haseł do
bitcoina czy co tam trzeba, aby się do niego dostać).

> Płatności online kiedyś robiłeś? Czy to też jest niepopularne
> i nie istnieje? Bo one też wymagają tego kodu jednorazowego.

Oczywiście. Niemal codziennie robię. Z domu. Nie odważyłbym się na
przygodnym komputerze.

> Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci
> kupienia sobie np. biletów do kina (z wyprzedzeniem), albo skorzystania
> z jakiejś promocji, której czas niedługo upłynie i taka osoba od razu
> zacznie nosić przy sobie takie urządzenie.

Trochę trąci zachowaniami kompulsywnymi. Psycholog by się przydał
bardziej niż token. ;-) Paradoksalnie - dla takich osób utrudniony
dostęp do konta może być elementem psychoterapii.

>> A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli
>> różnego szczebla. Czy takie dokumenty elektroniczne wystarczały?
>
> Tak, drukowane na żądanie urzędników.

A co z podpisami? Znaczną część dokumentów trzeba podpisać.
Jak uzyskać podpis kogoś, kto już nie jest pracownikiem (kontrola kilka
lat wstecz)?
Umowy o pracę/świadectwa pracy/Umowy o dzieło/zaświadczenia bhp/kopie
uprawnień/zaświadczenia z medycyny pracy itp. itd. nic papierowego nie
macie?

A gdy dostaniecie fakturę papierową to mam rozumieć, że skan, a faktura
do kosza?

> A w tym roku, to kontrola (czy raczej czynności sprawdzające)
> odbyły się poprzez wysłanie Pani urzędnik dokumentów drogą elektroniczną,
> nawet się nie musiała fatygować.

Jestem zdziwiony, ale OK. Przyjmuję, że tak jest.

>> Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz
>> elektronicznych.
>
> Dokładnie. Akta pracownicze mogą być prowadzone w formie elektronicznej.

I mam rozumieć, że pracownik nie podpisuje (bo jak?) umowy o pracę, a
gdy kończy nie dostaje świadectwa ze stosownymi pieczątkami, podpisami itd.?

> Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki?

Tak. Wolałbym na papierze. Choćby po to, aby nie okazało się, że wyślesz
mi coś w formacie pliku, którego nie odczytam. Druga rzecz - na papierze
widać modyfikację. W przypadku sporu taki dokument można poddać
oględzinom. A jeśli mój plik i pracodawcy plik różni się od siebie to
dochodzenie, który jest "prawdziwy" może być trudniejsze.

> To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie
> musi tych "blankietów na dyplomy", czy "blankietów na dowody rejestracyjne".

Pozostaje pistolet, bo w przypadku braku prądu czy awarii można jedynie
strzelić sobie w głowę. ;-)
Nie martwi Cię, że jesteście tym samym uzależnieni od firm zewnętrznych?

> Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje
> sejfu. W branży IT to jest takich mnóstwo, od firm hostingowych, poprzez
> software house, czy firmy outsourcingowe.

Outsourcing jakoś nie kojarzy mi się z czymś poważnym. Raczej szukaniem
taniej siły roboczej. Ale OK - masz rację. Wszak jednoosobowych
działalności jest wiele - hydraulik, freelancer etc. nie potrzebuje
przecież nic zabezpieczać.

> A taka dokumentacja medyczna będzie *obowiązkowo* przechowywana
> elektronicznie. Sądowa i podatkowa już jest (oczywiście dotyczy nowych
> dokumentów). Od ubiegłego roku np. sprawozdania finansowe składa się
> wyłącznie elektronicznie. Podatki już też możesz rozliczać elektronicznie.
> Akta pracownicze możesz trzymać elektronicznie. Zwolnienia lekarskie dostajesz
> elektronicznie, przez system ZUSowski. Dokumentacja księgowa w coraz większym
> zakresie przyjmuje format JPK i kontroler skarbowy już nawet nie musi Cię
> w tym celu odwiedzać. Dokumentacja bankowa od dawna jest przesyłana klientom
> elektronicznie. Częściowo dokumentacja medyczna również musi już być prowadzona
> elektronicznie (a pewnie niedługo obowiązek się rozszerzy).

Przekonałeś mnie. Złoto też jest częściej "kupowane" na kontraktach niż
fizycznie. Od gotówki odchodzimy, rękopisy już nie powstają, dzieła
sztuki na tyle marne, że nie warto ich chować. Zamiast płyt - mp3.

> To co Ty w tych kasach za dokumenty chcesz trzymać, poza tymi blankietami
> dyplomów, dowodów rejestracyjnych czy co tam jeszcze.

Już pisałem. Ale jeśli wszystko da się przenieść na formę elektroniczną
- OK.

> Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą
> właściwie zabezpieczone, na przykład będą umieszczone w szafie
> zamykanej na klucz.

No i widzisz... Jeśli uznasz, że mowa tu o szafie pancernej - nikt Ci
nic nie zarzuci. Jeśli natomiast będzie to szafa na ubrania, a klucz
"uniwersalny" to możesz mieć kłopot, gdy coś się wydarzy.

> Jak widać sejfów nie trzeba.

Tak, masz rację. W IT nie trzeba.

>> Myślałem o dokumentach, których druk jest ściśle ograniczony (np.
>> dyplomy), a który w pewnym momencie pokrywa się danymi osobowymi (i tu
>> RODO).
>
> No to 99% podmiotów gospodarczych raczej z takimi nie ma do czynienia.

Tak. Racja. Ciekawe jak radzą sobie firmy mające np. własną ochronę. Czy
broń wymaga kasy czy nie...

> Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30
> minut? Pamiętam jak sobie za moich czasów studenici "przedłużali" ważność
> legitymacji studenckich takimi pieczątkami.

A jednak zdarza się nadal, iż pieczątka i podpis musi być na dokumencie,
aby uzyskał on moc prawną. Jeszcze niedawno trzeba było oklejać go
czasami znaczkami skarbowymi.

Tak sobie myślę... Zadziwiająco mało elektronicznie dziś można załatwić,
jak na ten poziom, który opisujesz. Przykładowo w Idei musiałem
kilkanaście razy pisać do nich z prośbą o zamknięcie konta (po tym jak 2
razy "papierowo" w oddziale zamykałem). I nic... Dopiero za którymś tam
razem zamknęli i... przysłali polecony z przeprosinami. ;-)

> A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię,
> o przyślą mi pocztą na skrytkę pocztową. Ale fakt, ostały się takie relikty
> PRLu, dla których pieczątki to jakieś poważne zabezpieczenie czegokolwiek.

Chyba wynika z rozwoju technologii. Mam sporo danych na dyskietkach,
jeszcze więcej na płytach, trochę na kasetach VHS. Sęk w tym, że nie mam
stacji dyskietek, CD-ROMu i magnetowidu. Ogrom materiałów tym samym
przepadł. To, co było na papierze (np. wspomnienia z wakacji
foto-papier) przetrwało, a to co "elektronicznie" (foto na dyskietce,
film z wakacji na VHS) - poszło... Być może stąd niektórzy mają obawy...
Wolałbym nie mieć za 30 lat dokumentów potrzebnych do obliczenia
emerytury w formacie pliku, który okaże się nie do odczytania.

> Hasła do konta, czy sieci się nie trzyma na papierze.
> Po prostu.

U Ciebie nie. U innych tak. W ten sposób zawsze jest dostępne dla
uprawnionych osób. U Ciebie - jak Ty jesteś. I kilka osób uprawnionych.
I znają hasła. I wszystko działa.

>> A to akurat bardzo proste. Studio dźwiękowe. Nagrywa materiał i musi
>> dochować wszelkiej staranności, aby nie wyciekł. W przeciwnym razie
>> pozew o odszkodowanie może je zrujnować.
>
> Wystarczy dyski zaszyfrować i posiadać porządną politykę dot.
> bezpieczeństwa danych elektronicznych w firmie.

Pamiętaj jednak - mówimy o sporze prawnym. Kasa pancerna, sejf bardziej
do ludzi (a sędzia też może być człowiekiem) przemawia niż tłumaczenie,
że to Apple było i certyfikat.

Podobnie chyba "token zostawiłem w domu" jakoś pewniejsze się wydaje niż
"mam, ale nie dam" w obliczu baseballa.

>> Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem
>> swoje racje jest priorytetem. Podobnie ze studiem filmowym.
>
> I co, włożysz wszystkie te komputery do tej kasy pancernej,
> czy może każesz ludziom rozkręcać te komputery codziennie i wymontowywać
> dyski?

Ależ nie. Włożę gotowy materiał nagraniowy do sejfu. Zmieści się
przecież na dysku. W ten sposób osoba mająca dostęp do sejfu ma dostęp
do materiału. Możliwości wycieku - żadne. Ochrona? Pełna. Co, gdy mnie
zmiecie ciężarówka z tej Ziemi? Szef odda materiał. Co, jeśli samolot ze
mną i z szefem spadnie nieco szybciej niż planował? KAŻDY kto otworzy
sejf odzyska materiał. Nie, nie potrzeba hasła. Jest klucz. Alarm, który
sprowadza ochronę w kilka minut. Na pewno jest ognioodporny. Celuję, że
też ma szansę przeciwstawić się powodzi. Zanik prądu? Niestraszny.
Udział firm zewnętrznych (np. ktoś tę chmurę nadzoruje) - żaden.
Wszelkie ataki hakerskie - bezskuteczne - dysk leży odłączony od sieci i
od prądu. Jakieś tam randsomware'y itp. Nic.

>> Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła,
>> w tym admina.
>
> Kopie bezpieczeństwa trzymać w sejfie? :-))))))

Tak, dokładnie. Odłączone od sieci, a nawet źródła zasilania. Ale już
wiem, że myślimy o czymś innym.

> To się uśmiałem. Zabezpiecza się serwerownię, fakt, ale jak Ty
> chcesz te kopie bezpieczeństwa nosić do tego sejfu, to ja nie wiem.
> :-))

Kopie istotnych danych. Strategicznych dla firmy. Masz powyżej przykład
dlaczego.

> Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę
> dot. projektowania bezpiecznych systemów informatycznych i zasad
> przechowywania danych.

Z podejściem "co mnie obchodzi, gdy mnie zabraknie" nie znalazłbyś
zatrudnienia w poważnej firmie.
To nawet byłoby zabawne, gdyby np. wojsko zamiast map papierowych w
przypadku inwazji czekało aż się zaloguje na serwery, bo muszą uruchomić
strategię, a coś muli im net. ;-)

> I mówię tu o rzeczach oczywistych we współczesnych firmach z dokumentami
> w obiegu elektronicznym.

OK. Przyjmuję do wiadomości. Nie spotkałem się z takowymi.

> Nie. Po prostu "firmy" się obejdą. Chyba, że:
>
> a) pracują w nich ludzie, którzy nie mają pojęcia o współczesnych metodach
> przechowywania informacji
> b) nałożone są dodatkowe wymagania ustawowe

Albo muszą działać także w przypadku totalnej awarii instalacji
elektrycznej chociażby.

> To że rozróżnia sobie swoje konta (poza Eurokontem ma jeszcze inne),
> nie oznacza że nie są one sumowane do kont osobistych.

Tu pojawia się właśnie pytanie czy podając liczbę ROR wszyscy mieli tę
samą definicję.

> Przypominam że Twoim argumentem było "mam wśród *znajomych* ludzi
> z kredytami frankowymi, a nie mam z revolutem".

Masz rację. Powinienem dodać, iż moi znajomi to ludzie 18-70 lat, z
różnych środowisk, o różnych potrzebach itd.

Więc w kontrze
> powiedziałem, że ja wprost przeciwnie, bo mam głównie znajomych
> w wieku ok. 30 lat. A takich mam, bo pracuję w spółkach nowych
> technologii. Resztę, to już sobie dorabiasz usiłując udowodnić
> nie wiem co.

Że tzw. grupa reprezentatywna na podstawie której można wyciągać wnioski
to trochę większy zakres niż znajomi ok. 30 lat z branży IT. Bez sejfu. ;-)