Marek Pierog

@Da76281Damian @Wbalcerzak87 I zapewne dlatego autoryzacja po tokenach jest deprecated i będzie działać tylko do końca tego roku. dziennikustaw.gov.pl/D2025000181501… §13

@marekpierog @Wbalcerzak87 np. tu masz NIP strony proszącej o token autoryzacyjny (AuthTokenRequest) potem z tego IP mozesz obserwować dalej ruch i tak ziarnko do ziarnka... pamiętajmy, że w KSeF są m.in. łańcuchy dostaw zbrojeniówki...

Czy pamiętacie zapowiedzi, że KSeF będzie bezpiecznym, suwerennym systemem państwowym? Warto przyjrzeć się jego architekturze nieco głębiej - Bo im dalej w las, tym więcej pytań. Z analizy rekordów DNS wynika, że komunikacja z API KSeF korzysta z infrastruktury Imperva (Thales), czyli globalnego dostawcy usług WAF/CDN. Oznacza to, że Ruch podatnik ↔ KSeF nie jest zestawiany bezpośrednio z infrastrukturą MF, ale przechodzi przez warstwę pośrednią należącą do prywatnej, zagranicznej spółki. Na poziomie technicznym mamy tu kilka istotnych konsekwencji: 1️⃣ Terminacja TLS poza infrastrukturą państwową Jeżeli Imperva pełni rolę reverse proxy / WAF, to w praktyce tam następuje terminacja TLS. To oznacza, że: 👉Certyfikaty mogą być obsługiwane poza MF, 👉 Ruch jest odszyfrowywany po stronie dostawcy, dostawca ma techniczną możliwość wglądu w payload i nagłówki. 👉 Nawet jeśli deklaratywnie „nie zagląda”, architektura daje taką możliwość. 2️⃣ Widoczność tokenów i kontekstu autoryzacji Komunikacja z KSeF opiera się na tokenach i kontekście uprawnień. Jeżeli ruch przechodzi przez pośrednika, to: 👉 Widoczne są identyfikatory sesji, 👉 Widoczne są zakresy uprawnień, 👉 Możliwe jest mapowanie kto, kiedy i do jakiego podmiotu się odwołuje. To już nie są „surowe pakiety”, tylko realne dane operacyjne. 3️⃣ Metadane są danymi Nawet bez czytania treści faktur, sama analiza metadanych pozwala: 👉 Budować graf relacji biznesowych, 👉 Określać wolumeny obrotu, 👉 Widzieć częstotliwość i kierunki transakcji. 👉W świecie analityki bezpieczeństwa metadane są często cenniejsze niż sama treść. 4️⃣ Jurysdykcja i CLOUD Act Jeżeli infrastruktura należy do podmiotu podlegającego prawu USA, wchodzi w grę m.in. CLOUD Act, który pozwala amerykańskim organom żądać dostępu do danych przetwarzanych przez amerykańskie firmy – nawet jeśli fizycznie znajdują się poza USA. To nie jest teoria spiskowa, tylko realny problem prawny w projektach publicznych w UE. 5️⃣ Ryzyko architektoniczne, nie Personalne Problemem nie jest „czy Thales jest zły”. Problemem jest to, że: 👉Centralny system fiskalny państwa. 👉Zawierający dane o obrotach całej gospodarki, 👉 Opiera się na zewnętrznym pośredniku, który technicznie może widzieć i analizować ruch. To jest ryzyko systemowe, a nie marketingowe. 6️⃣ Zależność operacyjna (vendor lock-in) Warstwa WAF/CDN staje się elementem krytycznym: 👉 Awaria = Brak KSeF, 👉 Konflikt prawny = Brak KSeF, 👉 Zmiana polityki dostawcy = Problem Państwa. To tworzy zależność infrastrukturalną w obszarze, który powinien być maksymalnie suwerenny. Wniosek analityczny: 👉 KSeF to nie tylko projekt podatkowy, ale projekt infrastrukturalny państwa. 👉Jeżeli jego komunikacja opiera się o zagraniczną warstwę pośrednią, to realne pytania dotyczą: 👉Suwerenności danych. 👉Jurysdykcji. 👉Modelu zaufania, 👉Odporności systemu. Bo bezpieczeństwo to nie deklaracje, tylko architektura.

@jawojcie @Wbalcerzak87 1) nawet nie wiadomo czy jest 2) po to by chronić dane w tranzycie co jest dużo bardziej realnym zagrożeniem (np. postawiony Access point i próby Man in the middle) 3) ruch między dostawcą usług waf/load balancingu a origin powinny i na 99,99% są szyfrowane

@marekpierog @Wbalcerzak87 To po co TLS jak terminacja nie jest w klastrze docelowym? Takie zastosowanie jest dziurawe i narażone na ataki

@Wbalcerzak87 Można masę rzeczy zarzucić sposobie implementacji KSeF, ale to jest słaby FUD wygenerowany przez AI bez elementarnego krytycznego spojrzenia na wygenerowaną pod tezę odpowiedź. Słabe. 4/4

@Wbalcerzak87 Słaby FUD. 1) Nawet jeśli by faktycznie terminowano TLS po stronie Impervy to całe dane wysyłane po API KSeF muszą być dodatkowo zaszyfrowane 2) Nie da się tych informacji wyciągnąć na bazie komunikacji przy wysyłaniu czy odbieraniu faktur 3) Ani wolumenu ani kierunku 1/n

@Wbalcerzak87 7) Z radar Cloudflare też trzeba korzystać ze zrozumieniem. IP zapewne anycast. Przy ruchu z PL ruch nie wychodzi do USA. Widać po przedostatnim HOPie którym jest PLIX (punkt wymiany ruchu) 7. incapsula.plix.pl 8. 45.60.74.103 3/n

@Wbalcerzak87 4) Thales jest francuski nie amerykański 5) I? 6) każdy system ma jakieś elementy krytyczne. To duży i sprawdzony dostawca. Na pewno z lepszym SLA niż gdyby WAFy stawiano on-prem w naprędce wymyślonym DC 2/n

@buzzwordy1891 @9groszy @PAPinformacje Nie korzysta. ~ host platforma.org platforma.org has address 46.242.131.189 ➜ ~ whois 46.242.131.189 (...) inetnum: 46.242.128.0 - 46.242.143.255 netname: HOMEPL descr: home.pl webhosting farm - static allocation

Ta strona platforma.org używa Cloudflare, - jednego z najlepiej przygotowanych dostawców infrastruktury pod względem zabezpieczeń anty DDoS. Nie ma szans, żeby do tej pory tego nie ogarnięto. Życzę pozwu od Cloudflare, bo taka informacja to wielki cios wizerunkowy dla firmy. Patałachy🤩😎

Trwa atak hakerski na stronę Platformy Obywatelskiej. NASK: za atakami na niektóre strony stoi prorosyjska grupa #PAPInformacje pap.pl/aktualnosci/tr…

@SamborskaM @katarynaaa Nie będzie jeśli zbiórka jest organizowana przez organizację która udziela pomocy społecznej. Tutaj nic się nie zmieni.

@katarynaaa Gorzej, bo to dotyczy też zbiórek na operacje, rehabilitacje, leczenie zwierząt, odbudowę domu po pożarze, schroniska. Więc zbiórki o łącznej kwocie powyżej 54 tys. będą opodatkowane.

Tymczasem w ustawie o zniesieniu barier administracyjnych rewolucyjne zmiany w opodatkowaniu darowizn. Zwłaszcza w crowdfundingu. Temat tylko pozornie niszowy.

@STomexon @Sekurak Chyba nic innego nie warto. Próbowałem kilku tańszych alternatyw i po jakimś czasie padały (najczęściej “przyciski” które trzeba nacisnąć w procesie). Innych renomowanych w PL w oficjalnej dystrybucji trudno dostać. A Yubi przypadkiem wyprałem (2 razy) i nadal działa ;)

@Sekurak Coś poza yubico?

Klucze sprzętowe U2F. W komentarzach zadajcie pytania, które Was nurtują w tym temacie.

@bojar1980 @LeszBuk Ale oni ich chyba nie produkują - projekt jest (ale też wymaga licencji od ARM), ale produkcja jest w TSMC a Ci w ChRL maja conajwyzej FABy dla starych litografii, wszystkie zaawansowane tylko na Tajwanie

@LeszBuk W dłuższej perspektywie dla Chin to przykra sprawa, ale nie skreślał bym ich. Już teraz potrafią wyprodukować własne procesory i z roku na rok są coraz mocniejsze. Taki np Yitan 710 na 128 rdzeni i wg niektórych źródeł bije AMD epyc. A produkują znacznie więcej różnych CPU.

1/n Skok technologiczny w dziedzinie półprzewodników, od którego 🇺🇸USA chce odciąć 🇨🇳Chiny, ma trzy aspekty:

@DamskiK @katarynaaa Co jeszcze zabawniejsze - nadal utrzymany jest kochany przez zarządy wspólnot i spółdzielni zapis zwalniający z obowiązku organizacji zebrań właścicieli co skutecznie zabezpiecza leniwe zarządy przed jakąkolwiek krytyką.

Pamiętacie jeszcze o ograniczeniach wprowadzonych na czas pandemii? Ustawodawca też nie. Nadal obowiązuje niepotrzebny i szkodliwy przepis uniemożliwiający wynajmującemu usunięcie lokatora, który łamie umowę najmu. Nikt nie chce wynająć ci mieszkania? To już wiesz dlaczego.

@katarynaaa Fundacje Lux Veritatis i Nasza Przyszłość to standardowe fundacje więc nie mieszczą się w wyłączenie z tytułu “działające na podstawie przepisów o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (…)” Wyłączony by był za to Caritas.

Ok, nie zauważyłam w tym projekcie wyjęcia spod transparentności fundacji Rydzyka więc nie skomentuję, a chwilowo nie mam czasu sprawdzić. Ale tu z drugiej strony głos ws ujawniania prywatnych preferencji osób fizycznych wpłacających na organizacje.

@JKowalski_posel @Bart_Wielinski @SolidarnaPL Czym innym jest wprowadzenie jawności czym innym jest próba narzucenia na organizacje w tym w szczególności organizacje charytatywne obowiązków niemożliwych do spełnienia (weryfikacja tożsamości każdego darczyńcy). Wystarczy elementarna wiedza o systemach finansowych….

@Bart_Wielinski @SolidarnaPL Pan był i jest w mojej ocenie jawnym głosem zagranicy w Polsce. Polacy chcą tylko wiedzieć czy, a jeżeli tak to ile pieniędzy zarobił pan na współpracy np. z niemieckimi fundacjami. Tę wiedzę pan skrzętnie ukrywa. Dlatego rozumiem pana przerażenie wprowadzeniem jawności.

Jak wytłumaczyć to, że @SolidarnaPL tak głośno atakuję Putina, a chce wprowadzać w Polsce putinowskie prawo o "agentach zagranicy"?

@katarynaaa Natomiast zabija to wszystkie fundacje charytatywne zbierające środki dla chorych -ich prowadzenie lege artis będzie praktycznie niemożliwe, a darczyńcy często chcą zostać anonimowi A co do transferów z RU: od czego jest GIIF który zbiera informacje o wszystkich dużych przelewach

@katarynaaa Akurat w tym gniecie jedynym który zyska jest zrzutka bo nie jest NGOsem a instytucja płatniczą. Swoją droga jeśli nie przekazuje danych darczyńców to uniemożliwia im wykonanie obowiązku podatkowego (podatek od darowizn od sumy przekazanych w ciągu 2 lat środków). 1/2

Nie da się dyskutować na twitterku o rozwiązaniach projektu, którego kilt nie przeczytał i jest w stanie tylko powtarzać hasła narzucone przez pomysłodawcę. Pozostaje mieć nadzieję, że w ramach transparentności ziobryści zorganizują uczciwe wysłuchanie publiczne Lex Woś. Pogadamy

@jakubtepper Niestety to nie działa tak, że VISA czy MasterCard nie działa zupełnie w RU - karty wydane w RU nie działają poza RU, karty zagraniczne nie działają w RU, ale karty z RU działają niestety w RU.

Czym oni płacą

@Zaufana3Strona Zobaczcie co się dzieje z BLIKiem od wczoraj - co chwila pada część ulokowana w KIRze. Śmierdzi na kilometr „sąsiadami”

Co tu się... downdetector.pl