Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 14

Temat: Dostawcy internetu radiowego - zabezpieczenie przed sniffingiem - prawo i praktyka

  1. #1
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie Dostawcy internetu radiowego - zabezpieczenie przed sniffingiem - prawo i praktyka

    Zastanawiam się czy i jak dostawcy internetu radiowego powinni zabezpieczać komunikację przed podsłuchem (sniffing) na odcinku między urządzeniem odbiorczym klienta (np. anteną odbiorczą na dachu domu klienta) a anteną nadawczą dostawcy. Jestem klientem dostawcy który zabezpiecza swoją sieć jedynie sprawdzając adresy MAC klientów. Nie stosuje on WPA[2], PPPoE ani VPN. Sprawa mnie interesuje bo dużo mówi się o tym że sieci domowe WiFi powinno się odpowiednio zabezpieczyć (np. powinno być WPA[2], a samo filtrowanie MAC nie wystarczy). Natomiast zdziwiło mnie to że mój WISP nie ma żadnego zabezpieczenia.

    Dlaczego szyfrowanie łącza jest istotne? Niektórzy mogą powiedzieć że podczas logowania się do serwisów internetowych hasła są i tak wysyłane przez HTTPS więc są zaszyfrowane. Jednak po pierwsze nie wszystkie strony stosują HTTPS. Przykładowo następujące strony mają nieszyfrowane strony logowania (sprawdzone w "Tamper Data"):
    - serwisy: skapiec.pl, znam.to, sondi.pl, fotka.pl, telemagazyn.pl,
    - fora: dobreprogramy.pl, ang.pl/forum, forum.jzn.pl, nhl.pl, coś mi się wydaje że większość for może tak mieć.
    Dodatkowo niektóre serwisy domyślnie mają niezabezpieczone strony logowania (HTTPS jest dostępne dopiero po opcjonalnym kliknięciu linku): goldenline.pl, pl.wikipedia.org, sympatia.onet.pl.
    Po drugie część firm hostignowych udostępnia tylko nieszyfrowane FTP zamiast szyfrowanego FTP (np. OVH).
    Podczas logowania się do tych serwisów hasło może być podsłuchane. W jeszcze gorszej sytuacji jest użytkownik używający takiego samego hasła do wszystkich serwisów. W takim przypadku osoba niepowołana może uzyskać dostęp także do stron bankowych, emaila itd.

    Jestem świadomy że nie każdy WISP szyfruje łącze. Jednak na 3 firmy które sprawdziłem tylko moja firma tego nie robi - pozostałe dwie używają szyfrowanego PPPoE.

    Zdobyłem opinie z kilku źródeł i ciągle nie wiem jak powinno być. Poniżej przytoczę te źródła.

    1. Mój punkt widzenia
    W sieci domowej WiFi ważne jest aby ustawić szyfrowanie WPA[2]. Bez niego łatwo podsłuchać hasła oczywiście nawet jeśli ustawimy filtrowanie MAC. Wydaje mi się że sieć WISP z jedynym zabezpieczeniem opartym na filtrowaniu MAC w gruncie rzeczy różni się od sieci domowej tylko tym że nadajnik i odbiornik są daleko (np. 1,5 km od siebie). Nie znam się dobrze na WiFi ale wydaje mi się że gdyby podsłuchujący zbliżył się do klienta którego chce podsłuchać i nakierował antenę na nadajnik dostawcy, to odbierałby sygnał zarówno z nadajnika dostawcy (przy użyciu anteny) jak i od osoby którą chce podsłuchać (ponieważ jest blisko niej, pomimo tego że antena nie jest nakierowana na nią). Obie sieci nie różnią się, więc sieć WISP można podsłuchiwać tak samo jak każdą domową. Czyli sieć mojego dostawcy nie jest zabezpieczona przed podsłuchem.

    2. Jak w praktyce należy zabezpieczyć sieć WISP przed podsłuchem?
    Pytałem się już o to w wątku Szyfrowanie internetu radiowego :: Forum bez kabli . Otrzymałem odpowiedź że przez WPA[2], PPPoE z szyfrowaniem CAŁEJ transmisji lub VPN. PPPoE można szyfrować używając MPPE lub ECP. Jakiego sposobu należy użyć w praktyce? Czy zabezpiecza on w racjonalny sposób przed podsłuchem? Wiadomo że VPN i WPA[2] zabezpiecza, jednak o ile rozumiem w przypadku sieci WISP są to zabezpieczenia wymagające większej mocy obliczeniowej lub są unikane z innych powodów. Czy w takim przypadku pozostaje tylko PPPoE? Jeśli tak to czy zabezpiecza on w racjonalny sposób transmisję? Czy MPPE i ECP używają bezpiecznych algorytmów szyfrowania? MPPE używa algorytmu RC4 z kluczem 128-bitowym. Spotkałem się z opinią że jest on stosunkowo bezpieczny pod warunkiem użycia długiego hasła. Jednocześnie jest mniej bezpieczny od WPA2 AES. W ECP można używać 3DESE. Jednak na stronie dozzie's blob - Jogger jest napisane że zarówno MPPE jak i ECP nie oferują kontroli spójności pakietów, czyli jak rozumiem osoba trzecia może dokonać spoofingu. Wydaje mi się, że aby ktoś chciał to robić to już musi być o wiele bardziej zdeterminowany niż w przypadku chęci podsłuchania haseł, dobrze myślę?

    Wiadomo że wszystko można złamać metodą siłową. Dla tych którzy chcieliby odpowiedzieć, że żadnej transmisji bezprzewodowej nie da się zabezpieczyć w 100% wyjaśnię jakiego poziomu zabezpieczenia oczekuję. Po pierwsze na pewno nie oczekuję ochrony lepszej niż ta zapewniana przez WPA2 AES z kluczem 20-znakowym bo i tak potem rozprowadzam Internet po WiFi w domu. Przez racjonalny sposób rozumiem że nie można podsłuchać innego klienta używając w tym celu jakiegokolwiek sprzętu w rozsądnych granicach cenowych np. do 700zł, dowolnego oprogramowania powszechnie dostępnego, dowolnej techniki (takiej której można się nauczyć w miesiąc) i w racjonalnym czasie obliczeń procesora (np. jeden-dwa tygodnie).

    3. Moj WISP twierdzi że _w_praktyce_ nie da się podsłuchać transmisji w sieci WISP, gdy jest ona zabezpieczona filtrowaniem MAC. Poniżej wycinek z konwersacji. Zaznaczam że nie bardzo zrozumiałem co dostawca rozumie przez "tryb wisp" i ze względu na krótką odpowiedź mogłem niepoprawnie go zrozumieć. W każdym razie wydaje mi się że dostawca nie ma racji.
    -----
    ISP: Filtrowanie po MAC nie zabezpiecza przed podsłuchem. Jest szansa, że [ktoś inny] mógłby się podłączyć [do sieci] ale to Panu wtedy przestanie działać [sieć] a więc nic w tym czasie nie podsłucha.
    Ja: A jeśli ja będę podłączony ze swojego MAC-a, a sąsiad ze swojego MAC-a (innego niż mój), to jemu i mi Internet będzie działał. Czy wtedy sąsiad może podsłuchiwać moje pakiety?
    ISP: nie bardzo na sprzęcie w trybie wisp
    Ja: A czy w innym trybie będzie można podsłuchać? Dlaczego Pan zakłada że haker będzie używał stacji odbiorczej w trybie WISP, czyli jak rozumiem po odebraniu sygnału przez obwody w trybie AP Client przekaże go na obwody pełniące rolę routera? Jak już mówiłem nie znam się bardzo dobrze na sieciach ale wydaje mi się, że jeśli chce się podsłuchiwać pakiety, to po odebraniu pakietów przez obwody pracujące w trybie AP Client należy przekazać je do oprogramowania zapisującego je w pamięci a nie przekazywać je do obwodów pełniących rolę routera. Dlaczego Pan zakłada że haker nie użyje sprzętu który nie może pracować w trybie WISP? Na przykład zwykłej karty WiFi z anteną 5GHz?
    ISP: brak odpowiedzi
    -----

    4. Na forach mało pisze się o zabezpieczeniu przed podsłuchem. Najistotniejsze dla administratorów jest zabezpieczenie przed nieautoryzowanym dostępem do Internetu, chyba dlatego by nikt nie miał go za darmo.

    5. Polskie prawo
    Art. 175. ustawy "Prawo telekomunikacyjne" mówi:
    "1. Dostawca publicznie dostępnych usług telekomunikacyjnych lub operator publicznej sieci telekomunikacyjnej są obowiązani podjąć środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa przekazu komunikatów w związku ze świadczonymi przez nich usługami.
    2. Dostawca usług jest obowiązany do informowania użytkowników, w szczególności w przypadku szczególnego ryzyka naruszenia bezpieczeństwa świadczonych usług, o tym, że stosowane przez niego środki techniczne nie gwarantują bezpieczeństwa przekazu komunikatów, a także o istniejących możliwościach zapewnienia takiego bezpieczeństwa i związanych z tym kosztach."

    Według mnie zabezpieczenie przed podsłuchem podlega pod bezpieczeństwo przekazu komunikatów. Dodatkowo w ustawie użyto słów "obowiązani" oraz "zapewnienia", a więc według mnie WISP powinien dostarczać usługę która jest zabezpieczona z myślą o zapewnieniu braku możliwości podsłuchu. Czy filtrowanie MAC jest środkiem bezpieczeństwa stosowanym w celu zapewnienia braku możliwości podsłuchu? Chyba nie.
    Z ustępu 2. ustawy wynika że "Dostawca usług jest obowiązany do informowania użytkowników o tym, że stosowane przez niego środki techniczne nie gwarantują bezpieczeństwa przekazu komunikatów, a także o istniejących możliwościach zapewnienia takiego bezpieczeństwa ..." Pominałem frazę "w szczególności ...", gdyż jeśli w szczególności to chyba też ogólnie; poza tym transmisja radiowa jest szczególnie narażona na podsłuch. Czy dobrze myślę że oznacza to że WISP nie stosujący odpowiedniego szyfrowania całej transmisji powinnien informować o tym klientów? Na przykład pisząc na stronie internetowej: "Uwaga: Korzystając z naszej sieci jesteś narażony na podsłuchanie haseł podczas logowania do niektórych serwisów. Sugerujemy zmianę operatora na: <lista konkurencyjnych firm>". Sugerowanie zmiany firmy wydaje się rozsądne, bo przecież operator nie będzie sugerował samodzielnego założenia VPN przez klienta (klient musiałby postawić sobie gdzieś w Internecie serwer VPN).

    6. Zwróciłem się do UKE z zapytaniem czy prawo nakłada na WISP obowiązek zabezpieczenia transmisji przed podsłuchem na odcinku między urządzeniem odbiorczym klienta a anteną nadawczą dostawcy internetu. Dostałem odpowiedź że z ustępu 1. ww. artykułu wynika, że WISP musi podjąć środki techniczne w celu zapewnienia bezpieczeństwa transmisji ale prawo nie specyfikuje rodzaju środków, co należy rozumieć jako pozostawienie wyboru środków do decyzji dostawcy oraz że wynika z tego że nie można stwierdzić, że WISP ma obowiązek szyfrowania transmisji na łączu radiowym.
    Nie chcę debatować z UKE na temat spaw technicznych tym bardziej że kontaktowałem się chyba z działem prawnym. Dlatego pytam się tutaj o sprawy techniczne: czy obecnie WISP ma inne metody na zabezpieczenie przed podsłuchem niż szyfrowanie? Bo jeśli nie, to chyba można stwierdzić że obecnie ma obowiązek szyfrowania.

    Opisałem dokładnie temat, bo do tej pory nie dostałem spójnej i przekonującej odpowiedzi na pytanie co mogę i powinienem wymagać od WISP. Sprawa też nie jest prosta gdyż często administratorzy nie chcą mówić o słabościach stosowanych przez nich zabezpieczeń. Aby zwiększyć szanse na otrzymanie pełnej odpowiedzi wysyłam list także tu:
    Trzepak.pl &bull; Zobacz wątek - WISP - zabezpieczenie przed sniffingiem - prawo i praktyka
    WISP - zabezpieczenie przed sniffingiem - prawo i praktyka :: Forum bez kabli
    Ostatnio edytowane przez tarest : 05-12-2011 - 10:10

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Swietny watek!

    Prawo a zycie
    Nie jestem prawnikiem ale to co odpowiedzialo UKE ma ogromny sens. Technologia sie rozwija, ISP powinien przynajmniej informowac (zwlaszcza jesli klient przychodzi i pyta) o to jakie sa zabezpieczenia ale... jesli siec dziala nadal na starszych urzadzeniach (bo nowe kosztuja) to moze nie miec mozliwosci szyfrowania w sprzecie. To jest glowny powod dlaczego prawo nie okresla jakie metody maja byc uzywane i zostawia to w kwestii operatora.

    Teraz technicznie ale nie do konca
    Najpierw wyjasnijmy pare rzeczy - w watku mowa o mozliwosci podsluchu co nieco mija sie z celem. Kazdy sygnal radiowy mozna podsluchac, zapisac i ponownie wyslac w eter - to podstawowa funkcja z ktorej korzystamy, dlatego proponuje rozlozyc problem potocznie zwany podsluchiwaniem czy tez sniffingiem na trzy elementy znane jako "CIA" (nie mylic z pewna agencja w USA):
    - poufnosc (confidentiality) - zapewnia ze nikt poza nadawca i oczekiwanym odbiorca nie wie co jest przesylane
    - integralnosc (integrity) - zapewnia ze nikt nie modyfikuje informacji
    - dostepnosc (availability) - zapewnia ze usluga jest dostepna zawsze kiedy i gdzie jest potrzebna

    Mowiac potocznie o podsluchiwaniu mamy na mysli poufnosc transmisji a nie sam fakt odbioru sygnalu (ktory doslownie zonacza podsluchiwanie). Jesli ktos moglby sie podpiac do sieci jako my albo zmodyfikowac informacje to narusza wszystkie trzy elelementy. Robiac DoS na warstwie radiowej (zagluszanie itp) atakuje dostepnosc, itd. MiTM bylby naruszeniem pierwszych dwoch, itd.

    Dostepnosc
    Tutaj wielkiego problemu nie ma, bo jesli ktos nie zakloca sygnalu to powinno byc ok... no chyba ze padna urzadzenia albo ktos zna nasz haslo, zaloguje sie do sieci jako my a wtedy system odrzuci kolejne proby polaczenia (czasami tak sa ustawione - jedna sesja na jednego klienta).

    Integralnosc
    Ataki na integralnosc to zmiana tresci (podmiana, wstrzykniecie itp). MiTM bylby takim atakiem na przyklad podmieniajac HTTPS na HTTP ciachaczem tak aby user nic nie zauwazyl. Jesli siec nie jest szyfrowana to mozna bardzo latwo wstrzyknac falszywa zawartosc i wtedy dopiero sa jaja! Slowo kluczowe "Defcon 12" :-D
    Jesli cala transmisja bylaby przesylana nawet bez szyfrowania ale w sposob umozliwiajacy weryfikacje integralnosci (tak jak tryb AH w VPNach IPSec) to problem bylby rozwiazany, choc nie zapewnialoby to poufnosci transmisji.

    Poufnosc
    ... i tutaj mamy nasze szyfrowanie - w IPSec jest to tryb ESP (skoro juz wczesniej o IPSec wspomnialem). Trzeba pamietac ze kazde szyfrowanie wymaga mocy obliczeniowej (a wiec drozszych urzadzen) i najczesciej doklada opoznienie (powodzenia z graniem np w CS'a przez VPN, zwlaszcza jesli VPN ma wlaczona kompresje).

    Zobaczmy wiec co mamy do dyspozycji...
    PPPoE jest calkiem OK jesli autoryzacja jest zrobiona poprawnie miedzy AP (czesto znany jako NAS) i serwerem autoryzacji (glownie jakis RADIUS lub podobne ustrojstwo). CPE (CPE to urzadzenie odbiorcze ktore ISP instaluje u klietnow w domach) jest konfigurowane przez ISP i dostarczane klientowi. CPE loguje sie do NAS uzywajac PPPoE i tam moze ale nie musi byc szyfrowania NAS odpytuje (miejmy nadzieje w bezpieczny sposob) serwer RADIUS i ten decyduje co NAS ma zrobic - wpuscic klienta czy nie.
    Filtracja MAC - sorry, to nie sprawdza sie jako zabezpieczenie... i kazdy kto mowi inaczej powinien stanc pod sciana bo w tych czasach byle dzieciak wie jak zmienic MAC na swojej karcie a jak nei wie to znajdzie skrypt ktory zrobi to automatycznie bo takie tez sa dostepne w sieci.
    WPA/WPA2 - sa fajne ale... wymagaja znacznej mocy obliczeniowej, zwlaszcza WPA2 ktore uzywa AES - mowiac o sieciach typu szkielet ISP po prostu umoc obliczeniowa potrzebna do przeniesienia takiej ilosci danych jest na tyle duza, ze urzadzenia nie dadza rady, wydajnosc spadnie, beda ginac pakiety albo calosc sie zatka w cholere i nikt nic nie bedzie mial... a te mocne urzadzenia ktore moglby podolac kosztuja odpowiednie pieniadze...
    VPN - to doskonale podejscie ale wymaga dodatkowej infrastruktury i znowu kolejny problem... zarzadzanie baza userow itd. Wezmy IPSec albo jakis SSL VPN - albo masz klucze szyfrujace dla klientow (ktore musza byc zainstalowane na CPE) albo hasla... albo uzywasz czegos innego co nie jest tak bezpieczne. Powiedzmy ze to rozwiazalismy, mamy centralna baze do autoryzacji klientow itd.. to teraz potrzebujemy koncentrator VPN (albo kilka), ktory podola zadaniu (de)szyfrowania calego ruchu a do tego bedzie robil za router/firewall i pewnie NAT - kolejne koszty i problem administracyjny...
    WISP - jesli mozna to tak nazwac... jak rozumiem to nic wiecej niz tryb WDS na urzadzeniach. Inna struktura ramki radiowej (4 zamiast 3 adresow MAC) i tyle... jest to bridge sieciowy, przedluzenie kabla ethernet i nic wiecej. Jedyne co sie tam dzieje to filtracja po MAC i tylko niektore urzadzenia ktore widzialem potrafia lacze WDS szyfrowac w locie. Po raz kolejny wraca problem ceny urzadzen o odpowiedniej mocy. WDS to po prostu ustawienie dwoch urzadzen tak ze moga rozmawiac tylko miedzy soba bo znaja swoje adresy MAC i na tym sprawa sie konczy.

    Tak wiec wracamy do punktu wyjscia. ISP nie oplaca sie wymieniac calego sprzetu dla zasady i inwestowac znacznych funduszy w infrastrukture o bardzo wysokiej wydajnosci, choc idealem byloby aby siec byla bezpieczna na calej strasie w sensie CIA. Realia jak wszyscy wiemy sa inne i tylko sytuacja rynkowa moze zmusic ISP do zmiany infrastruktury na bezpieczniejsza, to jest gdy klienci zaczna odchodzic (a wtedy bedzie juz raczej za pozno na zmiany). Znam barzdo dobrze jednego WISP bo pomagam tam z zabezpieczeniami - to firma kolegi...

    Winny jest klient
    ... bo klient wybiera najtanszego operatora jaki jest dostepny - w ten sposob operator ktory chce lepiej zabezpieczyc swoja siec nie bedzie mial na to srodkow. Jesli srodki sie znajda i siec zostanie zabezpieczona to cena uslugi i tak bedzie wyzsza wiec... cos w tym jest ze winny jest klient, prawda?

    Co dalej?
    Umiesz liczyc? Licz na siebie
    Ok, ja sporo jezdze po roznych konferencjach itd. Siedzi czlowiek w hotelach, na lotniskach itp i zanudzi sie bez dostepu do netu. VPN to podstawa dla mnie - mam kilka roznych VPNow w roznych krajach, w roznych technologiach (SSL, IPSec, PPTP) i zaleznie od tego jakie urzadzenie mam w rece, takiej technologii uzywam. Do tego jeszcze trzeba wziasc pod uwage, ze niektore takie 'goscinne' sieci zabraniaja i aktywnie blokuja rozne rodzaje VPN'ow ale zawsze znajdzie sie jakies rozwiazanie.

    No ladnie, mialo byc krotko i na temat i znowu nie wyszlo. Lepiej wroce do pracy bo sie ktos zdenerwuje :P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    May 2007
    Skąd
    Kraków
    Postów
    371

    Domyślnie

    Cytat Napisał TQM Zobacz post
    Winny jest klient :)
    ... bo klient wybiera najtanszego operatora jaki jest dostepny - w ten sposob operator ktory chce lepiej zabezpieczyc swoja siec nie bedzie mial na to srodkow. Jesli srodki sie znajda i siec zostanie zabezpieczona to cena uslugi i tak bedzie wyzsza wiec... cos w tym jest ze winny jest klient, prawda?
    Pragnąłbym wspomnieć o tym, że (niestety/w sumie to dobrze) _bardzo mało_ operatorów troszczy się o bezpieczeństwo swoich klientów. Nie umieją przewidywać _podstawowych_ zagadnień z tej tematyki (często ludzie, którzy (niestety) zajmują się "kładzeniem" infrastruktury nie rozumieją takiego czegoś jak ktoś z anteną snifujący pakiety - po prostu nie potrafią tego przewidzieć - brak doświadczenia)... Dochodzi tutaj także często czynnik - nie moje dane, nie moje zoo
    Najszybsza opcja (jeżeli tylko mamy radiówkę lub łączymy się z ogólnodostępną siecią WIFI) i najmniej problemowa to wykupienie jakiegoś taniego serwera _gdzieś_ i łączenie się z nim szyfrowanym tunelem, choć też do końca nie jesteśmy pewni przez co nasze dane przelatują ;) Poprawia to także czasami transfer TCP (jeżeli tunnel idzie po UDP)... Niestety, wiąże się to z dodatkowymi kosztami, które ponosi... klient!
    Ostatnio edytowane przez Teeed : 05-12-2011 - 20:39

  4. #4
    Zarejestrowany
    Mar 2011
    Skąd
    Obecnie, jestem przy komputerze
    Postów
    80

    Domyślnie

    Dodam, że bezpieczeństwo klientów dla ISP to najczęściej nic lub ISP jest leniwy i nie chce mu się implementować żadnych zabezpieczeń.

    Moim zdaniem bezpieczeństwo klientów zależy od niczego innego jak sprzętu i ISP któremu na tym zależy,
    tak jak napisał TQM. Jak dla mnie w 50% zawiniły ceny sprzętów oraz klienci.

    Wnioski?, żeby perfekcyjnie zabezpieczyć sieć bezprzewodową trzeba być milionerem.
    Coraz to nowsze luki i obejścia zabezpieczeń protokołów / urządzeń wymagają coraz częstszej
    zmiany urządzeń i implementacji protokołów, więc nie mówmy tutaj o winie ISP.

    Z tego co obserwuję i robię research w najpopularniejszych metodach zabezpieczeń sieci(Od autoryzacji po szyfrowanie danych i komunikację) w większości występują słabe implementacje. Zazwyczaj jest to PSK lub zły / źle zaimplementowany moduł autoryzacyjny. Niektórzy z ISP ubogacają się w własne tworzenie modeli autoryzacyjnych choćby poprzez oprogramowanie firmy Micro$osft co często prowadzi do błędu, a nie osiągnięcia sukcesu w zabezpieczeniu w sieci choćby poprzez dziecinne autentykacje hostów np poprzez QoS.

    regards,
    smurf

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Lol, tego o QoS to nie slyszalem jeszcze a rozwiazania M$ sa calkiem calkiem, pod warunkiem ze cala infrastruktura (sprzet, AP, kontrolery ruchu) oraz software na klientach (praktycznie glownie M$) bedzie zgodna.

    Cytat Napisał smurf
    Wnioski?, żeby perfekcyjnie zabezpieczyć sieć bezprzewodową trzeba być milionerem.
    Wybacz ale nie zgodze sie... aby perfekcyjnie zabezpieczyc siec bezprzewodowa trzeba ja calkiem wylaczyc.

    Kiedys na forum byly starcia o crypto, uzycie PKI, co bezpieczniejsze itd. Stanelo na tym, ze ludzi nie interesuje to co jest bezpieczniejsze (rozwiazanie A czy B) tylko to co dziala (jest wystarzajaco dobre), jest latwiejsze do wdrozenia i pozniej utrzymania (skalowalnosc, zrzadzanie, itp), nawet jesli oznacza to pewien kompromis. Czesto bierze sie rozwiazanie ktore nie jest najlepsze pod wzgledem bezpieczenstwa ale jest funkcjonalne i wystarczajaco bezpieczne do danych zastosowan - no tak... caly czas mowie o WiFi Teraz moje zdanie pod cytatem ma chyba wiecej sensu
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie

    Opisałem całą sprawę w liście do Urzędu Ochrony Konkurencji i Konsumentów i dostałem odpowiedź którą streszczam/cytuję poniżej.

    W ocenie UOKiK (a także w ocenie UKE przysłanej do mnie kolejnym listem) brak szyfrowania w łączu radiowym WISP może stanowić naruszenie art. 175 ustawy "Prawo telekomunikacyjne".
    To czy brak szyfrowania sieci WISP jest naruszeniem prawa:
    a) nie może być określone w drodze rozporządzenia właściwego ministra, gdyż art. 175 Pt. nie daje administracji rządowej takich uprawnień,
    b) nie może być określone przez UKE z tego samego powodu,
    c) może być rozstrzygnięte polubownie lub na drodze sądowej:
    - przez konsumenta z pomocą Miejskiego (Powiatowego) Rzecznika Konsumentów oraz Federacji Konsumentów i Stowarzyszenia Konsumentów Polskich - konsument sam będzie musiał występować przed sądem jako strona postępowania,
    - przez UOKiK w przypadku gdyby UOKiK został poinformowany o tym że jest więcej sieci WISP które nie szyfrują w żaden sposób transmisji - UOKiK będzie sam prowadził całe postępowanie.

    "Pismo [do UOKiK] jest pierwszym sygnałem wskazującym na potencjalne nieprawidłowości w opisanym zakresie. W przypadku otrzymania kolejnych sygnałów, świadczących o znacznej skali problemu, identyfikujących jednocześnie przedsiębiorców, którzy działają w sposób opisany w zawiadomieniu, Prezes UOKiK rozważy możliwość oraz zasadność wszczęcia postępowania wyjaśniającego, którego celem byłoby szczegółowe wyjaśnienie okoliczności w jakich konkretny dostawca świadczy usługi abonentom."

    Odpowiedź UOKiK wyjaśnia kryteria zasadności wszczęcia postępowania w takim przypadku:
    - skala naruszenia - rozumiana jako potencjalnie szeroki krąg konsumentów będących adresatami bezprawnej praktyki przedsiębiorcy[ów],
    - stopień naruszenia - uszczerbek lub zagrożenie ekonomicznym interesom konsumentów,
    - trudna dostępność instrumentów indywidualnej ochrony prawnej - jeśli dobrze rozumiem, to czy realne byłoby aby klient WISP sam wpłynął (polubownie lub sądownie) na zmianę postępowania swojego WISP; według mnie jest to o wiele trudniejsze niż poprzez UOKiK.
    Moim zdaniem ww. kryteria są w tym przypadku spełnione.

    Wszystko więc sprowadza się do tego aby kilka osób znających WISP nie stosujących _żadnego_ szyfrowania (WEP, WPA(2), szyfrowania w PPPoE ani VPN) zawiadomiły o tym UOKiK podając nazwę przedsiębiorcy i jego dane kontaktowe. Proszę się upewnić, że dostawca nie stosuje żadnego szyfrowania: w przypadku gdy jest się jego klientem wystarczy sprawdzić konfigurację sieci, w przeciwnym wypadku trzeba podsłuchać pakiety i upewnić się że dane lecą niezaszyfrowane.
    Ponieważ wszystko już opisałem w liście do UOKiK, to wydaje mi się, że w liście wystarczy napisać że podejrzewa się nieodpowiednie zabezpieczenie łącza radiowego dostawcy radiowego dostępu do Internetu z powodu braku szyfrowania transmisji i tym samym naruszanie artykułu 175. ustawy "Prawo telekomunikacyjne". Po kilku takich sygnałach UOKiK powinien zająć się sprawą i wyjaśnić czy WISP powinni szyfrować łącze czy nie.
    Jeśli ktoś zna takich WISP to prosiłbym także o wysłanie mi ich nazwy w PW lub emailem.

    Ja nie będę podawał danych mojego WISP do UOKiKu, gdyż nie chcę zawracać głowy mojemu dostawcy następnymi listami.

    Sprawdziłem też praktycznie możliwość podsłuchu sieci WISP. Jest to nawet prostsze niż mi się wydawało. Można użyć zwykłego laptopa ze zintegrowaną anteną WiFi oraz powszechnie stosowanej dystrybucji Linuksa i standardowego darmowego oprogramowania do pasywnego posłuchu WiFi. Sprawdzałem możliwość podsłuchiwania w odległości kilkudziesięciu metrów od klienta WISP (za jego zgodą) - w takim przypadku odbierałem jedynie pakiety wysyłane do Internetu, nie odbierałem pakietów odbieranych z Internetu. Bez problemu odczytałem adresy stron jakie odwiedzała podsłuchiwana osoba oraz odczytałem nazwę użytkownika i hasło do serwisu internetowego. Filtracja MAC nie stanowi oczywiście żadnej przeszkody.
    Ostatnio edytowane przez tarest : 07-06-2011 - 09:35

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał tarest Zobacz post
    Ja nie będę podawał danych mojego WISP do UOKiKu, gdyż nie chcę zawracać głowy mojemu dostawcy następnymi listami.
    No to o co cale bicie piany?

    Odpowiedz obu urzedow jest jak najbardziej poprawna i logiczna. Zanim cokolwiek dalej zrobisz to sprawdz lepiej swoja umowe - jeden dobry prawnik ustrzeli cale postepowanie bo nie slyszalem aby w Polsce szyfrowanie bylo WYMAGANE prawnie, wiec nie ma argumentu na ISP... i jak sami podaja, nie maja prawa wydac nakazu szyfrowania wiec temat zamkniety.

    Art.175 Bezpieczeństwo przekazu komunikatów
    1. Dostawca publicznie dostępnych usług telekomunikacyjnych lub operator publicznej sieci telekomunikacyjnej są obowiązani podjąć środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa przekazu komunikatów w związku ze świadczonymi przez nich usługami.
    2. Dostawca usług jest obowiązany do informowania użytkowników, w szczególności w przypadku szczególnego ryzyka naruszenia bezpieczeństwa świadczonych usług, o tym, że stosowane przez niego środki techniczne nie gwarantują bezpieczeństwa przekazu komunikatów, a także o istniejących możliwościach zapewnienia takiego bezpieczeństwa i związanych z tym kosztach.
    Teraz definiuj pojecie bezpieczenstwa i pokaz gdzie brak szyfrowania narusza ustawe...

    Podpisujesz umowe z ISP, masz w umowie zapisane co on dostarcza, na jakich zasadach i za jakie pieniadze. Czytales umowe? Bylo zapisane ze bedzie cala transmisja szyfrowana od konca do konca i przez caly szkielet operatora? Wiesz chyba, ze czego nie ma na papierze to nie istnieje?

    Chcesz isc do sadu/urzedu i walczyc z ISP, spoko - krzyz na droge... Twoja umowa o dostawe lacza zostanie wypowiedziana w ciagu minut bo jako klient stajesz sie obiektem kosztow a nie dochodow, nie oplaca sie wiec swiadczyc zadnych uslug dla takiego klienta a na dodatek w Twoim zdaniu ktore zacytowalem wyzej, dales jasno do zrozumienia ze nie zaryzykujesz odlaczenia od netu.

    Chcesz miec lepsze lacze, bezpiecznejsze i w ogole - zaplac wiecej - takie sa realia rynku, wszedzie - nie tylko w Polsce. Aby dostarczyc lepsza usluge operator musi zainwestowac, musi miec na to srodki, itd.
    Zdecydowania za malo osob jest zainteresowane tym aby internet byl bezpieczny, dla wiekszosci ma byc i byc tani. Chcesz sie zabezpieczyc - wykup sobie VPSa gdzies, postaw VPN i szyfruj calosc. Bedzie dzialac wolniej (nie wazne kto szyfruje, ISP czy Ty sam) bo opoznien uniknac sie nie da, beda dodatkowe koszty, itp ale mozesz sie zabezpieczyc. Zwalanie winy na operatora i grozenie mu bo nie dostarcza czegos za co nie placisz wyglada delikatnie mowiac naiwnie.

    BTW z innej beczki - jestem ciekawe ile podatnika kosztowalo wydanie takiej opinii ale to inna bajka... obywatel ma pytanie, urzad ma odpowiedziec - przynajmniej sie postarali i dokladnie sprawdzili co i jak.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie

    Dlaczego
    Nie chcę podawać danych mojego WISP do UOKiKu bo UKE już się z nim kontaktował i nie chcę żeby musiał się jeszcze dodatkowo męczyć z UOKiKiem. Jeśli chodzi o mnie to zmienię operatora albo będę używał VPN. Nie wysłałem listu do UOKiK abym miał bezpieczniejszy internet. Chodziło o to aby klienci wszystkich WISP byli świadomi zagrożenia. Jak widać dostawcy dezinformują klientów, więc jest to utrudnione.

    Kto winny
    Pisałeś że winny jest klient bo wybiera najtańszego operatora. Według mnie masz tylko częściowo rację. Cena jest ważnym argumentem. Jednak jak klient może brać pod uwagę kryterium bezpieczeństwa, jeśli nie jest informowany lub jest dezinformowany pod tym względem? Co ma zrobić osoba nie znająca się na komputerach, która ma do dyspozycji dwie takie same oferty: o obu właściciel mówi że są odpowiednio zabezpieczone, jedna kosztuje 40zł/mc, a druga - 50zł/mc lub 60zł/mc? Ma zawsze wybierać najdroższą? Klient nie może podjąć odpowiedniej decyzji jeśli nie jest informowany lub jest dezinformowany. Myślę że mało który WISP, na pytanie potencjalnego klienta czy sieć jest dobrze zabezpieczona, odpowie że jeśli chodzi o podsłuch to nie jest wcale zabezpieczona.

    Niebezpieczeństwo wypowiedzenia umowy
    Cytat Napisał TQM Zobacz post
    Chcesz isc do sadu/urzedu i walczyc z ISP, spoko - krzyz na droge... Twoja umowa o dostawe lacza zostanie wypowiedziana w ciagu minut
    Jak napisałem nie chcę. Jednak inni nie muszą się tego obawiać bo dowolna osoba może zgłosić dowolnego przedsiębiorcę do UOKiKu - nie musi być jego klientem (zgodnie z art. 100 Ustawy o ochronie konkurencji i konsumentów). UOKiK będzie sam prowadził sprawę - zgłaszający nie będzie stroną postępowania. Można też poprosić znajomego aby to zrobił: na przykład kogoś z Bydgoszczy żeby zgłosił WISP z Jeleniej Góry. W takim przypadku odcięcie od sieci nie grozi.

    Możliwość rozstrzygnięcia
    Jeśli chodzi o odpowiedzi urzędów to oni pisali tylko że nie mogą sami zadecydować, ale sąd może. UOKiK może to zrobić jeśli uzna że warto, to znaczy jeśli potencjalne korzyści przewyższą oczekiwany koszt postępowania.
    UOKiK (przy pomocy sądu) mógłby wydać decyzję aby na stronach internetowych WISP którzy nie szyfrują łącza była informacja o niebezpieczeństwie podsłuchu i metodach radzenia sobie z nim: np. informacja o możliwości wykupienia VPN, albo link do listy adresów serwisów w których hasła lecą niezaszyfrowane tak aby klienci nie używali tego samego hasła na niezaszyfrowanym serwisie i innym ważnym serwisie (np. koncie pocztowym). Mając taką informację klient będzie mógł dokonać świadomej decyzji: możliwe że wybierze firmę konkurencyjną która za dodatkowe 10zł miesięcznie lepiej zabezpiecza łącze, a firma konkurencyjna dzięki dodatkowemu klientowi będzie miała więcej pieniędzy na zapewnienie bezpieczeństwa.

    Definicja bezpieczeństwa
    Odnośnie definicji bezpieczeństwa: może nią być zbiór trzech elementów jakie podawałeś tzn. CIA? Przy takiej definicji na bezpieczeństwo przekazu komunikatów składa się ich poufność. Niezaszyfrowane WiFi nie jest poufną metodą dostępu do Internetu, co używając powyższej definicji oznacza że jest szczególne ryzyko naruszenia bezpieczeństwa przekazu komunikatów. A więc UOKiK może się starać przekonać sąd że dostawca powinien informować o tym klientów na podstawie ustępu 2. art. 175.

    Koszt postępowania
    Odnośnie kosztu postępowania. Jeśli chodzi o bezpieczeństwo to nawet gdyby kosztowało to 10 tys. zł to chyba nie gra to takiej roli. Więcej może kosztować podatnika gdyby ktoś włamał się do jego firmowego konta pocztowego i usunął wszystkie maile.
    Poza tym koszt postępowania wygranego przez UOKiK ponosi przedsiębiorca, a nie podatnik, chociaż "w szczególnie uzasadnionych przypadkach Prezes Urzędu może nałożyć na stronę obowiązek zwrotu tylko części kosztów albo nie obciążać jej kosztami". Dlatego lepiej zgłosić więcej dostawców aby koszt rozłożył się np. na kilkudziesięciu WISP. Dodatkowo UOKiK może nałożyć na dostawców karę która będzie dodatkowym dochodem skarbu państwa - chociaż lepiej by było żeby państwo szukało dochodów gdzie indziej. Generalnie działalność UOKiK przynosi duże zyski, także jeśli chodzi o postępowania w sprawach o naruszenie zbiorowych interesów konsumentów. Budżet UOKiK w 2010r. wynosił 48 mln zł, a kar UOKiK nałożył na 347 mln zł (z tego kary za stosowanie praktyk naruszających zbiorowe interesy konsumentów - 64 mln zł).

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Bardzo dobre argumenty!

    Calkowicie zgadzam sie z tym, ze klient powinien byc informowany ale moim zdaniem klienta i tak to bedzie malo interesowac - wezmie to co tansze a pozniej bedzie mial pretensje. Umieszczenie informacji o takim ryzyku jednak zdjeloby odpowiedzialnosc prawna z WISP - jest to po prostu regulacja, ktora jasno okresli kto za co odpowiada i co jest czym - nie bedzie niespodzianek, klient jesli chce to moze sie dowiedziec zanim zostawi podpis na kropkowanej linii. To byloby na prawde dobre!

    Kosz postepowania - jesli przeniesiesz koszty postepowania na WISP to oni podniosa ceny i straci na tym sam konsument. Tutaj trzeba cos subtelniejszego, np wprowadzenia zapisu w przepisach, ze lacznosc radiowa w obrebie sieci teleinformatycznych powinna byc szyfrowana dla ochrony danych klienta. Wprowadzenie takiego zapisu mialoby ogromny sens - moze czas zaczac robic lobbying aby zmienic prawo?

    Nie zgodze sie za to z kwestia ze koszt postepowania jak podajesz np 10tys bedzie mniejszy niz strata spowodowana wlamaniem do skrzynki pocztowej. Po pierwsze dostep do skrzynek leci juz po SSL/TLS i jest to standardowa praktyka, po drugie i tak najczestszy wektor ataku aby uzyskac login/haslo to malware, po trzecie na glupote usera nie ma ratunku (tak, ufam ze ten spoofowany certyfikat SSL jest OK dla mojej skrzynki pocztowej, itp) - WISP nie ma tu nic do zrobienia - on dostarcza mechanizm transportu danych a hasla do poczty itp uslug to juz nie jest jego biznes, nie mozna go wiec ciagnac do odpowiedzialnosc za cos nad czym nie ma kontroli. Owszem, szyfrowanie sygnalu radiowego poprawiloby sytuacje ale w przypadku o ktorym mowisz, na lawie oskarzonych powinien zasiasc wtedy WISP, operator poczty i bardzo czesto sam poszkodowany - po prostu nie mozesz przypiac calej winy WISP, to byloby niesprawiedliwe i w zaden sposob nie uzasadnione.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #10
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie

    Zmiana prawa
    Zaznajomiłem się z prawem unijnym, które dużo wnosi do dyskusji. Poniżej wymienię numery najciekawszych artykułów i napiszę wnioski.

    Dyrektywy
    Parlament Europejski uchwala tak zwane dyrektywy. Są to polecenia uchwalenia ustaw w poszczególnych państwach członkowskich. Jeśli pewne państwo nie uchwali ustawy w czasie określonym w dyrektywie to:
    - Unia może nałożyć na nie kary,
    - obywatele mogą wymagać od państwa obowiązków zapisanych w dyrektywie,
    - państwo ani obywatele nie mogą wymagać od innych obywateli obowiązków opisanych w dyrektywie.
    Jeśli ustawa nie określa czegoś co jest jasno określone w dyrektywie, to jeśli się nie mylę, należy ustawę tak interpretować jak to określa dyrektywa.

    Polska ustawa Prawo telekomunikacyjne uchwalana jest na podstawie dyrektyw unijnych, tak zwanego pakietu łączności elektronicznej składającego się z dyrektyw z 2002 roku:
    - 2002/21/WE - "ramowa" - wspólne ramy regulacyjne sieci i usług łączności elektronicznej,
    - 2002/19/WE - "o dostępie" - wzajemne udostępnianie sieci między operatorami,
    - 2002/20/WE - "o zezwoleniach" - chyba o państwowych zezwoleniach na tworzenie sieci,
    - 2002/22/WE - "o usłudze powszechnej" - usługa powszechna (w Polsce świadczy ją Telekomunikacja Polska) i prawa użytkowników,
    - 2002/58/WE - "o prywatności i łączności elektronicznej" - przetwarzanie danych osobowych i ochrona prywatności.
    Państwa członkowskie miały obowiązek przyjąć je w ustawach do 2003-10-31. Ustawa "Prawo telekomunikacyjne" jest z dnia 2004-07-16 więc jak rozumiem w Polsce był pewien poślizg.
    Kwestie bezpieczeństwa dla użytkownika końcowego są opisane w dyrektywie 2002/58/WE. Najciekawsze są punkty (3), (10), (20) i (21) na początku dyrektywy (nie wiem jak one się nazywają) oraz: art. 4 ust. 1 i 2, art. 5 ust. 1. Wprost z tej dyrektywy wynika art. 175 ustawy Prawo telekomunikacyjne.

    25 listopada 2009 roku Parlament Europejski uchwalił nowelizację dyrektyw pakietu łączności elektronicznej z 2002 roku w dwóch dyrektywach nowelizacyjnych:
    - w dyrektywie 2009/140/WE zmieniającej dyrektywy: 2002/21/WE, 2002/19/WE i 2002/20/WE, opublikowanej w Dz. Urz. UE L 337/37,
    - w dyrektywie 2009/136/WE zmieniającej dyrektywy: 2002/22/WE i 2002/58/WE, opublikowanej w Dz. Urz. UE L 337/11.
    Państwa członkowskie miały obowiązek przyjąć je w ustawach do 2011-05-25.
    Pod względem kwestii bezpieczeństwa dla użytkownika końcowego ciekawe są (pogrubiłem najciekawsze):
    - dyrektywa 2009/140/WE nowelizująca 2002/21/WE - w następujących punktach: (44) i (46) na początku dyrektywy oraz: art. 13a ust. 1, 3 i 4, art. 13b ust. 1 i 3,
    - dyrektywa 2009/136/WE nowelizująca 2002/58/WE - w następujących punktach: (54), (57), (58), (60), (61), (62), (69), (74) na początku dyrektywy oraz art. 4.

    Polska znów się spóźnia, bo Ministerstwo Infrastruktury dopiero przygotowało "Założenia projektu ustawy o zmianie ustawy Prawo telekomunikacyjne". Mówiąc prościej mają dopiero założenia co do tego co powinno być w projekcie ustawy oraz uwagi z konsultacji społecznych. Gdy Ministerstwo napisze projekt, to zgłosi go do Sejmu, tam będzie kilka czytań, jakieś komisje, poprawki i dopiero głosowanie (cały proces w Sejmie będzie można śledzić na stronie Sejmometr). W założeniach projektu ustawy o zmianie ustawy Pt. najistotniejsze są: nowy dział VIIa (Bezpieczeństwo i integralność sieci i usług), zmieniony art. 175 i nowe art. 175a i art. 175d-175e.

    Wnioski
    O czym mówi dyrektywa 2002/58/WE z 2002 r. (podaję cytaty):
    a) Według mnie, choć nie jestem pewien czy tak jest w rzeczywistości, dyrektywa mówią że sieci ISP powinny być bezpieczne i powinny zapewniać poufność. Poniżej cytaty na których opieram swój wniosek:
    "(3) Poufność komunikacji jest zagwarantowana zgodnie z międzynarodowymi instrumentami dotyczącymi praw człowieka, w szczególności zgodnie z Europejską Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności oraz z konstytucjami Państw Członkowskich"
    "(21) W celu ochrony przed niedozwolonym dostępem do komunikatów należy podjąć odpowiednie środki, aby zapewnić ochronę poufności łączności, włączając zarówno treść, jak i dane związane z tego rodzaj komunikatem ..."
    Art. 5. "Poufność komunikacji" ust. 1.: "Państwa Członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników ..."
    b) ISP musi:
    - (art. 4. ust. 1.) "podjąć właściwe środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa oferowanych przez siebie usług, ... . Uwzględniając najnowocześniejsze osiągnięcia techniczne oraz koszty ich wprowadzenia, środki te zapewniają poziom bezpieczeństwa odpowiedni do stopnia ryzyka."
    - (20) "... w razie potrzeby ... poinformować abonentów o szczególnym ryzyku naruszenia bezpieczeństwa sieci. ... Szczególnie ważne jest, aby abonenci i użytkownicy takich usług byli w pełni informowani przez usługodawcę o istniejących zagrożeniach bezpieczeństwa, którym zaradzenie leży poza zakresem możliwości usługodawcy." ISP "powinni poinformować użytkowników i abonentów o środkach, które mogą podejmować w celu ochrony bezpieczeństwa łączności, na przykład przez zastosowanie szczególnych rodzajów oprogramowania lub technologii kodowania. Wymóg informowania abonentów o szczególnych zagrożeniach bezpieczeństwa nie zwalnia usługodawcy z obowiązku podjęcia, na własny koszt, właściwych i natychmiastowych środków zaradczych wobec nowych nieprzewidzianych rodzajów zagrożeń bezpieczeństwa oraz przywrócenia normalnego poziomu bezpieczeństwa usług."

    O czym mówią dyrektywy z 2009 r. (streszczenia obszernych paragrafów):
    Państwo:
    a) zapewnia że ISP podejmują właściwe środki techniczne,
    b) wydaje zalecenia dotyczące najlepszych praktyk dotyczących poziomu bezpieczeństwa, do jakiego środki te powinny prowadzić,
    c) kontroluje środki przyjęte przez ISP.

    Dyrektywy zapewniają bardzo dużo. Te z 2002 r. nakładają obowiązki na ISP. Szkoda że ustawa Pt. nie opisuje ich tak obszernie jak dyrektywy. Jednak zgodnie z orzeczeniem Europejskiego Trybunału Sprawiedliwości organy administracji państwowej i sądy powinny interpretować prawo (ustawę Pt.) zgodnie z dyrektywami. Ciekawe co na to UKE? Według mnie skoro poufność transmisji jest nawet niby zagwarantowana przez "instrumenty dotyczące praw człowieka", to chyba powinno się jakoś zabezpieczać poufność w sieciach WISP.

    W każdym razie dyrektywy z 2009 r. mówią że państwa członkowskie muszą zapewniać bezpieczeństwo w sieciach ISP - także w praktyce. Założenia projektu ustawy Pt. są takie same. Może nawet nie trzeba czekać na nowelizację ustawy Pt., tylko powoływać się bezpośrednio na dyrektywy z 2009 r.? Polska nie uchwaliła Pt. do maja tego roku. Więc możemy wymagać od państwa obowiązków opisanych w dyrektywie. A jeśli chodzi o bezpieczeństwo końcowego użytkownika dyrektywy z 2009 r. nakładają na państwo bardzo dużo obowiązków. Wobec tego może UKE już teraz musi zająć się tą sprawą?

    Czy potrzebny jest lobbing? Można wymóc na Polsce wypełnianie postanowień dyrektywy, nawet jeśli ustawa nie została jeszcze uchwalona. Co do reszty to według mnie dyrektywy z 2009 r. są bardzo szczegółowe więc można poczekać aż Sejm uchwali ustawę Pt. i najwyżej potem pilnować żeby rozporządzenie "zalecenia środków stosowanych w celu zabezpieczenia sieci" zawierało takie sprawy jak szyfrowanie sieci WISP. Chociaż myślę że i bez "lobbingu" taki zapis znalazłby się tam.

    Na koniec dodam, że słabo się znam na prawie, więc niech mnie ktoś poprawi jeśli napisałem jakąś głupotę.

    Koszt postępowania
    Postępowanie przez UOKiK-iem: UOKiK może też nie obciążać kosztami przedsiębiorców - decyzja należy do UOKiK-u.

    Natomiast zgodnie z art. 175a. projektowanej nowelizacji ustawy Prawo telekomunikacyjne:
    "Państwa członkowskie zapewniają, aby właściwe krajowe organy regulacyjne były uprawnione do wymagania od przedsiębiorstw udostępniających publiczne sieci łączności lub świadczących publicznie dostępne usługi łączności elektronicznej: b) poddania się audytowi bezpieczeństwa przeprowadzanemu przez wykwalifikowany niezależny podmiot lub właściwy organ krajowy i udostępnienia krajowemu organowi regulacyjnemu wyników takiego audytu. Koszty audytu ponosi przedsiębiorstwo".
    Więc i tak ISP będą ponosić koszty już za rok lub dwa lata.

    Możliwość dostania się do skrzynki pocztowej w nieszyfrowaniej sieci WISP
    "Po pierwsze dostep do skrzynek leci juz po SSL/TLS i jest to standardowa praktyka"
    Jeśli ktoś zaloguje się do serwisu nie używającego SSL to mamy jego hasło. W profilu tego serwisu odczytujemy adres skrzynki email. Może się zdarzyć, że do tej skrzynki email pasuje akurat to hasło. Logujemy się do skrzynki i kasujemy całą zawartość skrzynki. A to akurat mogła być zawartość skrzynki firmowej pracownika który wyjątkowo połączył się z domu a nie z firmy. Oczywiście nie powinno się używać hasła do poczty w innym serwisie ale ktoś może to robić.
    Ostatnio edytowane przez tarest : 07-14-2011 - 12:40

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj