On 2019-08-16, Szymon <...@w...pl> wrote:

[...]

>> nie ma "widocznych" na aplikacjach bankowych), a potem dopiero _ewentualnie_
>> może potwierdzić sobie wspomnianą operację.
>
> Po co komputer? Skoro hasła na telefon, czy aplikacja to komputer
> wkrótce zostanie wyeliminowany.

Dobrze więc.
Mamy aplikację. I co dalej?

[...]

> Pięknie tłumaczysz likwidację tokenów, jednak biometria w bankowości
> jest od dawna. Jakoś przebić się nie może. Dlaczego?

Gdzie się nie może przebić, skoro każda niemalże apka ją potrafi
wykorzystać?

>> A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś?
>> Jak chcesz mi podpatrzeć PIN na takim telefonie?
>
> Zakładasz kradzież/zgubienie bez użycia przemocy.
> Zwróć uwagę, że wraz ze wzrostem zabezpieczeń samochodów wzrosła liczba
> rozbojów.

Zakładasz, że ów Rozbójnik Rumcajs najpierw Ci połamie palce, żeby dostać
pin do telefonu, potem nogi, żeby pin do aplikacji bankowej, a na koniec
wstuka dziarsko 26 cyfr "anonimowego konta" bankowego i dokona przelewu?
To nie prościej gwizdnąć "pacjentowi" kartę? Czy karty debetowe też
trzymasz w sejfie i oczekujesz, że reszta świata również?

>>> Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do
>>> konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X
>>> czy Y. Okradnie tego, który mu to ułatwi.
>>
>> I co z nim zrobi dalej?
>
> Jeśli podejrzy PIN, a jest on zgodny z tym na karcie - celem ataku
> będzie karta.

Karty mają piny 4-cyfrowe, a współczesne telefony 6-cyfrowe
(Apple od iOS 9, Android gdzieś chyba już od wersji 4.x pozwala
na dłuższe niż 4-cyfrowe PINy) + maziane znaki lub biometrykę.
Niespecjalnie dopasujesz, ale powodzenia.

> Jeśli za pośrednictwem komórki w ogóle mogę się zalogować
> do systemu - wymuszenie rozbójnicze załatwi sprawę.

I co zrobią? Przelew na swoje konto? I co jeszcze wesołego wymyślisz?
To już chyba prościej mu będzie załatwić "rozbójniczo" ten pin do karty.

>> Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie
>> niezabezpieczone. A tu patrz, FBI nie dało rady.
>
> Zupełnie inny kontekst.

Kontekst był taki, że telefon zostawiłeś w szatni, no ale spoko.
Nie moja wina, że masz taki archaiczny sprzęt, który wymusza wpisywanie
pinu za każdym razem.

>> A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są
>> zaszyfrowane. Np. na okoliczność utraty urządzenia.
>
> No to 4 raz pytam: oddajesz do naprawy?

Oddałem nie raz. Jeśli urządzenie działa, to je zeruję (zgodnie z procedurami),
bo serwisant powinien mieć dostęp do diagnostyki urządzenia. Jak zostawisz
urządzenie zaszyfrowane, to części diagnostyki zwyczajnie nie wykona.

> Rozumiem, że jeśli będzie wymagała zalogowania to przy Tobie?

No w inny sposób dostępu do danych nie uzyska.

>> A najrozsądniej to byłoby dowiedzieć się jakie urządzenie ma zabezpieczenia
>> zamiast rozsiewać plotki może?
>
> Ja pytam. 4 raz. Otóż zupełnie życiowa sytuacja: telefon się nie włącza.
> Co dalej?

Jak umarł, to kupuję drugi. Dane bezproblemowo odzyskam w jakieś 30 minut.
A skoro ten zepsuty telefon jest wyłączony, to dostępu tam do danych nie
ma żadnego, dopóki ja nie zautoryzuję urządzenia.

>>> danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD
>>> (oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym -
>>> jest problem.
>>
>> Po to stosuje się szyfrowanie.
>
> Myślę, że niewielu szyfruje w standardzie dysk.

iPad i iPhone są szyfrowane w standardzie jeśli tylko ustalisz PIN,
chyba już od wersji 3GS. Komputery w firmach szyfruje się w standardzie

> I sądzę, że aby cokolwiek naprawić trzeba mieć jednak dostęp
> administracyjny.

To źle sądzisz. Trzeba mieć dostęp do trybu diagnostycznego.
A to jest osobny tryb, w którym nie ma dostępu do danych użytkownika.

> Komp się wiesza. Nie znam przyczyny - oddaję do naprawy z hasłem na
> BIOS, Windows i w TrueCrypcie? To nie bardzo widzę możliwość zrobienia
> czegokolwiek przez serwis.

Oddajesz komputer w stanie wyzerowanym, a po odzyskaniu z serwisu
wgrywasz na niego swoje dane.

>>> Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje
>>> dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy.
>>
>> Czyli najpierw musisz:
>>
>> - złamać kod PIN urządzenia (masz 3 próby, potem niestety urządzenie się
blokuje)
>
> Z nożem na gardle starczy pewnie jedna.

W tym serwisie mi przystawią ten nóż do gardła, czy znowu zmieniasz
kontekst, bo Ci nie pasuje do argumentu?

>>> A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy?
>>
>> Jak mi się zdarzy wypadek śmiertelny, to niewiele mnie będzie obchodzić.
>
> No tak. Tymczasem są firmy, które jednak muszą działać dalej. Nie mogą
> sobie pozwolić na "przestój", bo admin zszedł i wszystko poblokowane.

Masz problem ze zrozumieniem zdania poniżej (cyt. "Istotne hasła _firmowe_
są dostępne dla kilku osób..."), czy po prostu usiłujesz zmanipulować moją
wypowiedż, żeby nie przyznać że palnąłeś argument z dupy?

>> Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie
>> po zalogowaniu się do firmowego intranetu.
>
> Czyli jednak ;-)

Czyli jednak Twój poprzedni wtręt był bez sensu?

>> A osobiste? No cóz, jak mnie trafi wypadek śmiertelny, to mi będzie
>> wszystko jedno.
>
> Niektórzy mają rodziny, a wśród nich są i tacy, którzy nie chcieliby
> rodzinie utrudniać dostępu do osobistych rzeczy (wliczając np. FB,
> którego warto zamknąć lub poinformować znajomych, jak i np. haseł do
> bitcoina czy co tam trzeba, aby się do niego dostać).

Nie ma potrzeby dawania dostępu do FB, ani w celu zamknięcia konta w banku,
ani w celu zamknięcia konta na FB, czy też poinformowania o tym znajomych.
https://www.facebook.com/help/requestmemorialization

Do innych usług też nie. Bitcoina nie posiadam.

>> Płatności online kiedyś robiłeś? Czy to też jest niepopularne
>> i nie istnieje? Bo one też wymagają tego kodu jednorazowego.
>
> Oczywiście. Niemal codziennie robię. Z domu. Nie odważyłbym się na
> przygodnym komputerze.

Niekoniecznie przygodny. Własny komputer w pracy ciężko nazwać
"przygodnym".

>> Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci
>> kupienia sobie np. biletów do kina (z wyprzedzeniem), albo skorzystania
>> z jakiejś promocji, której czas niedługo upłynie i taka osoba od razu
>> zacznie nosić przy sobie takie urządzenie.
>
> Trochę trąci [...]

Nie na ten temat rozmawiamy.

>> Tak, drukowane na żądanie urzędników.
>
> A co z podpisami? Znaczną część dokumentów trzeba podpisać.
> Jak uzyskać podpis kogoś, kto już nie jest pracownikiem (kontrola kilka
> lat wstecz)?
> Umowy o pracę/świadectwa pracy/Umowy o dzieło/zaświadczenia bhp/kopie
> uprawnień/zaświadczenia z medycyny pracy itp. itd. nic papierowego nie
> macie?

https://kadry.infor.pl/zatrudnienie/dokumentacja-pra
cownicza/2836109,Elektroniczna-postac-dokumentacji-p
racowniczej-2019-w-pytaniach-i-odpowiedziach.html

> A gdy dostaniecie fakturę papierową to mam rozumieć, że skan, a faktura
> do kosza?

Witamy w XXI wieku.
https://ksiegowosc.infor.pl/podatki/vat/faktura/7150
20,Przechowywanie-papierowych-faktur-w-wersji-elektr
onicznej.html

---
Skan równie dobry jak papier
Spółka zapytała urzędników fiskusa, czy taki system przechowania dokumentów - czyli
archiwizowanie skanów,
a nie faktur oryginalnych - będzie zgodny z przepisami. W interpretacji z 27 lutego
2015 roku (sygnatura
IBPP3/443-1391/14/JP) Izba Skarbowa w Katowicach udzieliła odpowiedzi pozytywnej.

Urzędnicy stwierdzili, że obecne przepisy dopuszczają możliwość przechowywania faktur
w dowolny sposób,
np. w formie zapisu elektronicznego na elektronicznych nośnikach danych. Nie ma więc
przeszkód do stworzenia
systemu mieszanego, w którym papierowe faktury są przechowywane w formie
elektronicznych obrazów.

Stwierdzili, że ważne jest, aby zachować czytelność i autentyczność dokumentów oraz
aby możliwy był
dostęp do zarchiwizowanych faktur, jeśli zażądają go organy podatkowe. A skany
papierowych faktur te
warunki spełniają.

Podobnie wygląda sytuacja w przypadku paragonów i innych podobnych dokumentów, które
również są
podstawa do udowodnienia poniesienia wydatków a które z punktu widzenia prawa
fakturami nie są.
Kwestie przechowywania i postępowania z tymi dokumentami - co zasugerowała spółka, a
potwierdziła
Izba Skarbowa w Katowicach - nie są uregulowane w przepisach, a wiec również nie ma
przeciwskazań
dla przechowywania ich w wersji elektronicznej.
---

A to była interpretacja z 2015 roku, dzisiaj jest jeszcze lepiej.

>>> Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz
>>> elektronicznych.
>>
>> Dokładnie. Akta pracownicze mogą być prowadzone w formie elektronicznej.
>
> I mam rozumieć, że pracownik nie podpisuje (bo jak?) umowy o pracę,

Jak ma podpis kwalifikowany, to może podpisać elektronicznie. Podpisem
zaufanym też wiele rzeczy podpiszesz prawnie skutecznie. Jak nie ma,
to można dokument podpisać tradycyjnie, zeskanować do systemu, użytkownik
może mieć swoją kopię, a oryginał można zniszczyć.

> a gdy kończy nie dostaje świadectwa ze stosownymi pieczątkami, podpisami itd.?

Ale to pracownik dostaje, nie pracodawca. Pracodawca może przechowywać
w postaci elektronicznej i np. w razie potrzeby wydrukować.
Masz problem by taki dokument wystawić i wysłać pocztą?

>> Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki?
>
> Tak. Wolałbym na papierze.

No i tylko przez to, że istnieją takie dinozaury świat ciągle
musi marnować drzewa bez sensu.

> Choćby po to, aby nie okazało się, że wyślesz mi coś w formacie pliku,
> którego nie odczytam.

Na szczęście poza Tobą reszta świata nie ma tutaj problemów.
Dokument elektroniczny też można zabezpieczyć tak by wykluczyć
próby modyfikacji (podpisy cyfrowe mają znaczniki czasu).

> Druga rzecz - na papierze widać modyfikację.

Bzdura roku. Papierowe umowy można spokojnie antydatować,
spróbuj to zrobić z podpisanymi dokumentami elektronicznymi.

> W przypadku sporu taki dokument można poddać oględzinom. A jeśli mój
> plik i pracodawcy plik różni się od siebie to dochodzenie, który
> jest "prawdziwy" może być trudniejsze.

Jesteś w błędzie. Jeśli mam dokument podpisany 4 lata temu.

>> To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie
>> musi tych "blankietów na dyplomy", czy "blankietów na dowody rejestracyjne".
>
> Pozostaje pistolet, bo w przypadku braku prądu czy awarii można jedynie
> strzelić sobie w głowę. ;-)

A kasy fiskalne działają bez prądu?
A terminale płatnicze?
A przelewy bankowe?

> Nie martwi Cię, że jesteście tym samym uzależnieni od firm zewnętrznych?

Absolutnie nie. Dzięki temu oszczędzam pieniądze, a stosowne firmy
to są duże molochy (Microsoft, Google i Amazon), które nie dość że
spełniają o wiele bardziej restrykcje ustawy RODO/GDPR, to pozwalają
mi oszdzędzać pieniądze, usprawniając jednocześnie dostęp do danych.
Co więcej, te firmy mają na tyle pewne systemy, że korzystają z nich
również rządy.

Ty nie dość, że musisz wyszkolić pracowników na takim samym poziomie,
to jeszcze w trybie ciągłym musisz płacić mu za zajmowanie się rzeczami,
które ja albo mam za darmo, albo płacę jakieś opłaty na poziomie 1/10
pensji minimalnej. Rocznie.

>> Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje
>> sejfu. W branży IT to jest takich mnóstwo, od firm hostingowych, poprzez
>> software house, czy firmy outsourcingowe.
>
> Outsourcing jakoś nie kojarzy mi się z czymś poważnym. Raczej szukaniem
> taniej siły roboczej.

Kontraktorzy w tych firmach o których piszę zarabiają kilkukrotność średniej
krajowej (mowa o branży IT).

Tu masz przykładowe ogłoszenia:
https://justjoin.it/offers/omega-senior-react-develo
per
https://justjoin.it/offers/onwelo-s-a-java-developer
-katowice
W obu przypadkach można wybrać B2B i to daje więcej kasy niż "etat".

> Ale OK - masz rację. Wszak jednoosobowych działalności jest wiele - hydraulik,
> freelancer etc. nie potrzebuje przecież nic zabezpieczać.

A nawet jak są jakieś dokumenty papierowe w obiegu, to nikt do takiej
standardowej dokumentacji nie wymaga sejfu, wystarczy zwykłe zamykane
pomieszczenie / solidniejsza szafa (nie musi być pancerna).

[...]

> Przekonałeś mnie. Złoto też jest częściej "kupowane" na kontraktach niż
> fizycznie. Od gotówki odchodzimy, rękopisy już nie powstają, dzieła
> sztuki na tyle marne, że nie warto ich chować. Zamiast płyt - mp3.

Obecnie zamiast kupować płyty, czy mp3 to się do tego ma dostęp
w abonamencie. W chwili obecnej słucham przeciętnie 35 nowych
utworów tygodniowo, co stanowi ok. 2 "albumy" tygodniowo, czyli
~8-10 miesięcznie. Oblicz sobie ile byś musiał na tyle wydać.
Ja płacę niecałe 240 zł rocznie.

>> Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą
>> właściwie zabezpieczone, na przykład będą umieszczone w szafie
>> zamykanej na klucz.
>
> No i widzisz... Jeśli uznasz, że mowa tu o szafie pancernej - nikt Ci
> nic nie zarzuci.

Nie ma takiej potrzeby.

> Jeśli natomiast będzie to szafa na ubrania, a klucz
> "uniwersalny" to możesz mieć kłopot, gdy coś się wydarzy.

W budżetówce na pewno, ale reszta świata sobie poradzi.

>> Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30
>> minut? Pamiętam jak sobie za moich czasów studenici "przedłużali" ważność
>> legitymacji studenckich takimi pieczątkami.
>
> A jednak zdarza się nadal, iż pieczątka i podpis musi być na dokumencie,
> aby uzyskał on moc prawną.

Dokumenty księgowe nie wymagają pieczątki od co najmniej 2005 roku,
czyli odkąd prowadzę rózne formy działalności.

> Jeszcze niedawno trzeba było oklejać go
> czasami znaczkami skarbowymi.

Znaczki skarbowe wycofano w 2007, ale to była po prostu forma opłaty.
Teraz to się robi albo przelewem, albo płatność kartą.

> Tak sobie myślę... Zadziwiająco mało elektronicznie dziś można załatwić,
> jak na ten poziom, który opisujesz.

Zaświadczenia z ZUSu możesz dostać elektronicznie.
Przez EPUAP możesz sobie zamówić druki i zaświadczenia, a także prowadzić
korespondencję z urzędem.

Na platformie rządowej możesz podpisywać dokumenty:
https://www.gov.pl/web/gov/podpisz-dokument-elektron
icznie---wykorzystaj-podpis-zaufany
(m. in. tym podpisujesz sprawozdanie finansowe).

> Przykładowo w Idei musiałem kilkanaście razy pisać do nich z prośbą
> o zamknięcie konta (po tym jak 2 razy "papierowo" w oddziale zamykałem).

To jest tak proste, że aż dziw, że na to nie wpadłeś.
Nie mają interesu w tym by Ci ułatwiać zamykanie konta.
To jest tylko ich zła wola, a nie uwarunkowania prawne.

> I nic... Dopiero za którymś tam razem zamknęli i... przysłali polecony
> z przeprosinami. ;-)

W Citi zamknąłem kartę kredytową i konto wysyłając wiadomość w systemie
transakcyjnym. W tymże samym Citi podpisałem umowę kredytową na dość
konkretną kasę wyłącznie elektronicznie. Telewizor na raty też można
kupić przez internet i podpisałem wszystkie dokumenty elektronicznie,
w systemie banku.

>> A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię,
>> o przyślą mi pocztą na skrytkę pocztową. Ale fakt, ostały się takie relikty
>> PRLu, dla których pieczątki to jakieś poważne zabezpieczenie czegokolwiek.
>
> Chyba wynika z rozwoju technologii.

Co wynika? W latach 90-tych nie było firm poligraficznych
i przedsiębiorcy nie wyrabiali pieczątek? Fakt, trzeba było
mieć jakiś program do przygotowania wzoru (wtedy chyba
z Corela), ale stworzenie kopii pieczątki po 89 roku, tni
nie jest żadna sztuka.

> Mam sporo danych na dyskietkach, jeszcze więcej na płytach, trochę
> na kasetach VHS. Sęk w tym, że nie mam stacji dyskietek, CD-ROMu
> i magnetowidu. Ogrom materiałów tym samym przepadł.

Widać ten ogram był mało istotny, bo przez długi czas można
było przenosić dane z dyskietek na CD, a VHSy przegrywać
na CD (były firmy które się tym zajmowały). Teraz już pewnie
trudno kogoś takiego znaleźć. Ja mam jeszcze archiwalne
pliki z czasów studiów, trzymam je we wpółczesnej chmurze.
Koszt to jakieś $0.10 rocznie.

> Wolałbym nie mieć za 30 lat dokumentów potrzebnych do obliczenia
> emerytury w formacie pliku, który okaże się nie do odczytania.

No patrz, obecnie dokumentację ZUSowską prowadzi się wyłącznie
elektronicznie (w płatniku) i nie trzeba niczego udowdaniać,
poza wskazaniem podmiotu/podmiotów.

>> Hasła do konta, czy sieci się nie trzyma na papierze.
>> Po prostu.
>
> U Ciebie nie.

W żadnym miejscu gdzie traktuje się bezpieczeństwo poważnie
nie drukuje się i nie przechowuje haseł na papierze, bo w razie
skompromitowania systemu nie wiadomo kto tego nie dopilnował.

>> Wystarczy dyski zaszyfrować i posiadać porządną politykę dot.
>> bezpieczeństwa danych elektronicznych w firmie.
>
> Pamiętaj jednak - mówimy o sporze prawnym.

Pamiętam. Mówi Ci coś takie słowo: biegły?

> Kasa pancerna, sejf bardziej do ludzi (a sędzia też może być
> człowiekiem) przemawia niż tłumaczenie, że to Apple było i certyfikat.

Opinia biegłego wystarczy. I nie będę się tłumaczył "że Apple",
co więcej, w razie ewentualnych problemów można prześledzić kto
miał dostęp do danych plików, czego nie jesteś w stanie zagwarantować
w systemie "wkładam sobie cośtam do sejfu".

> Podobnie chyba "token zostawiłem w domu" jakoś pewniejsze się wydaje niż
> "mam, ale nie dam" w obliczu baseballa.

Myślę, że jak nie dasz "i chuj", to też Ci te nogi tym baseballem
może przetrącić. Chociazby po to byś go nie gonił, albo nie powiadomił
policji za szybko. No i wracam do argumentu wyżej, prościej

>>> Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem
>>> swoje racje jest priorytetem. Podobnie ze studiem filmowym.
>>
>> I co, włożysz wszystkie te komputery do tej kasy pancernej,
>> czy może każesz ludziom rozkręcać te komputery codziennie i wymontowywać
>> dyski?
>
> Ależ nie. Włożę gotowy materiał nagraniowy do sejfu.

Nikt tak nie robi.

> Zmieści się przecież na dysku.

W co bardziej zabezpieczonych systemach nie podłączysz dysku
zewnętrznego, ani nie wykręcisz dysku z komputera. Kombinuj
dalej. [...]

>>> Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła,
>>> w tym admina.
>>
>> Kopie bezpieczeństwa trzymać w sejfie? :-))))))
>
> Tak, dokładnie.

Nie. To już nie lata 90-te.

>> chcesz te kopie bezpieczeństwa nosić do tego sejfu, to ja nie wiem.
>> :-))
>
> Kopie istotnych danych. Strategicznych dla firmy. Masz powyżej przykład
> dlaczego.

Powyżej to tylko Twoje wyobrażenie na temat.

>> Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę
>> dot. projektowania bezpiecznych systemów informatycznych i zasad
>> przechowywania danych.
>
> Z podejściem "co mnie obchodzi, gdy mnie zabraknie" nie znalazłbyś
> zatrudnienia w poważnej firmie.

Na szczęście pracodawcy chcący zatrudnić specjalistę nie bawią się
w cięcie akapitu na kawałki w celu udowodnienia swoich racji na grupie
dyskusyjnej.

>> Nie. Po prostu "firmy" się obejdą. Chyba, że:
>>
>> a) pracują w nich ludzie, którzy nie mają pojęcia o współczesnych metodach
>> przechowywania informacji
>> b) nałożone są dodatkowe wymagania ustawowe
>
> Albo muszą działać także w przypadku totalnej awarii instalacji
> elektrycznej chociażby.

Współcześnie praktycznie nie ma takich firm, które to potrafią
na dłuższą metę. Wlicz w to wszystkie firmy które mają kasy fiskalne
i zauważ że dokumenty księgowe jesteś zobowiązany wysyłać do US/ZUS
drogą elektroniczną.

>> technologii. Resztę, to już sobie dorabiasz usiłując udowodnić
>> nie wiem co.
>
> Że tzw. grupa reprezentatywna na podstawie której można wyciągać wnioski

Czyli masz ten ~2000 realych znajomych?
Bo poniżej, to niezbyt statystycznie istotna wartość i żadnych
wniosków na tej podstawie nie można wyciągnąć.

--
Wojciech Bańcer
w...@g...com