Przemysław Frasunek 🇵🇱🇪🇺

@wupeka @_zboral Ja kilka lat temu zapłaciłem opłatę dodatkową, ale nie chcieli mi wystawić FV, argumentując tym, że to kara umowna, która nie podlega VAT. Zawiadomiłem KAS i podjęli postępowanie.

@_zboral Mnie zastanawia czy ich zapytania do CEP o dane właścicieli aut nie stanowią wyłudzenia danych osobowych.

APCOA (w jej imieniu Trafipark) czasem przegrywa jednak w sądach żądanie zapłaty za brak biletu na parkingu...

@gps65 @antymagdalenka Nie wiem. To pytanie należałoby zadać architektowi tego systemu. Być może, uznano że ryzyko ataków DDoS jest niewielkie. Być może ramy prawne pozwalają na to, żeby niedostępność systemu nie była czymś krytycznym.

@venglin @antymagdalenka To dlaczego nawet Francja, która jest właścicielem Impervy, z niej (i z Akamai, i Cloudflare) nie korzysta? informacje-lokalne.pl/audyt-technicz…

Dlaczego umowa Polski z Impervą jest nic niewarta? #GPS65, #Gospodarka, #Biznes, #Cyberbezpieczeństwo, #SuwerennośćCyfrowa Polski system #KSeF jest chroniony przed cyberatakami bramką #WAF firmy #Imperva. By to było skuteczne, na tej bramce następuje odszyfrowanie ruchu sieciowego i firma ta może sobie zapisywać jawnie widoczne dla niej metadane, co pozwala w czasie rzeczywistym zmapować cały polski biznes.   Może to nie jest niebezpieczne, bo być może Ministerstwo Finansów podpisało umowę o poufności z firmą Imperva, która zakazuje jej gromadzenia tych danych. Ta umowa nie jest ujawniona publicznie, ale załóżmy, że istnieje. Czy to wystarczy, by chronić polską gospodarkę? Wyjaśnię to, opierając się na faktach i prawie międzynarodowym. Co to właściwie jest Imperva?   Żeby zrozumieć problem prawny i uwarunkowania geopolityczne, musimy najpierw zrozumieć, z jakim podmiotem Polska w ogóle ma do czynienia.   Imperva Inc. to spółka zarejestrowana w stanie Kalifornia, USA, założona w 2002 roku przez byłych oficerów izraelskiej jednostki wywiadowczej Unit 8200 — tej samej, która wyznacza globalne standardy cyberofensywy i inwigilacji (odpowiada m. in. za architekturę programów takich jak Pegasus). Centrum badawczo-rozwojowe Impervy, zatrudniające setki inżynierów, do dziś znajduje się w Izraelu. W 2018 roku firma została kupiona przez amerykański fundusz private equity Thoma Bravo za kilka miliardów dolarów. Następnie w grudniu 2023 roku Thales — gigantyczny francuski koncern lotniczo-obronny, jeden z kluczowych dostawców uzbrojenia i systemów dla armii francuskiej — kupił Impervę za około 3,6 miliarda dolarów.   Mamy więc podmiot z korzeniami w izraelskim wywiadzie wojskowym, z prawną rejestracją w USA i z właścicielem będącym filarem francuskiego kompleksu militarno-przemysłowego. Polska być może podpisała z nim umowę cywilnoprawną zakazującą ujawniania danych. Zobaczmy teraz, co ta umowa znaczy w zderzeniu z twardym prawem publicznym i interesami tych państw. Pierwszy klucz: CLOUD Act i jurysdykcja USA   W 2018 roku Kongres Stanów Zjednoczonych uchwalił "Clarifying Lawful Overseas Use of Data Act", znany powszechnie jako CLOUD Act. Ustawa ta rozwiązała jeden z największych problemów prawnych ery cyfrowej rządu USA: co się dzieje, gdy dane fizycznie są przechowywane za granicą, ale ich dysponentem jest amerykańska spółka?   Odpowiedź jest prosta i bezwzględna: nie ma znaczenia, gdzie dane leżą. Liczy się to, kto je kontroluje.   Jeśli podmiot jest zarejestrowany w USA lub prowadzi tam działalność, rząd federalny może wydać nakaz sądowy zobowiązujący do wydania danych — niezależnie od tego, na jakiej ziemi fizycznie stoją serwery, i niezależnie od treści umów cywilnoprawnych zawartych z podmiotami zagranicznymi. CLOUD Act to prawo publiczne federalne, które w hierarchii źródeł prawa stoi nieporównywalnie wyżej niż każda umowa handlowa. Imperva Inc., jako podmiot podlegający amerykańskiej jurysdykcji, nie może przeciwstawić się nakazowi federalnemu, powołując się na klauzulę poufności z polskim rządem.   Co więcej, procedura ta może być objęta klauzulą tajności, co oznacza, że Imperva nie tylko musi wydać dane, ale nie ma nawet prawa poinformować polskiego Ministerstwa Finansów, że do przekazania doszło. Polska umowa być może leży bezpiecznie w szafie pancernej w Warszawie, jednak prawo federalne USA całkowicie zmiata ją z planszy. Drugi klucz: Thales i bezpośrednia linia do Paryża   CLOUD Act daje klucz do drzwi rządowi USA. Jednak jest jeszcze drugi wektor dostępu — w pewnym sensie groźniejszy, bo niewymagający nawet śladu postępowania sądowego.   Od grudnia 2023 roku Imperva należy do grupy Thales. Thales to nie jest zwykła prywatna spółka. Francuski Skarb Państwa, pośrednio przez Dassault Aviation i struktury państwowe, jest jej znaczącym akcjonariuszem. Firma ta jest jednym z głównych dostawców systemów wywiadowczych, radarowych i komunikacyjnych dla Direction Générale de la Sécurité Extérieure (DGSE) — francuskiego wywiadu. Thales to strategiczny kontraktor obronny Francji, ściśle zintegrowany z tamtejszym aparatem bezpieczeństwa.   Prawo francuskie — w szczególności "Loi de Programmation Militaire" (LPM) — daje organom Republiki Francuskiej potężne uprawnienia do żądania danych od podmiotów działających na terytorium Francji lub kontrolowanych przez podmioty tam zarejestrowane.   Co jednak najistotniejsze z perspektywy rynkowej: Thales i Imperva to obecnie jeden organizm korporacyjny. Przepływ informacji wewnątrz grupy kapitałowej nie wymaga wyroków — wymaga jedynie decyzji zarządczej. Zewnętrzny obserwator nie zobaczy nic: żadnego nakazu, żadnej notyfikacji dla strony polskiej. Z punktu widzenia ewentualnego audytu wyglądałoby to, jak rutynowy, wewnętrzny transfer danych operacyjnych lub diagnostycznych w ramach grupy. Trzeci klucz: infrastruktura analityczna w Izraelu   Inżynierowie i systemy analityczne utrzymywane m. in. w Izraelu mogą posiadać techniczny dostęp do logów z metadanymi polskiej gospodarki. O jakich metadanych mówimy? NIP sprzedawcy i odbiorcy, pełne nazwy podmiotów, kwoty netto, VAT, waluta, numer i typ faktury, oraz dokładne daty. To wystarczy, by w czasie rzeczywistym zmapować cały krwiobieg biznesu w Polsce.   Mamy do czynienia z zapleczem wywodzącym się z wywiadu, który dysponuje najwyższej klasy zdolnościami technologicznymi i jest zdolny do bezprecedensowych operacji infiltracji globalnych łańcuchów dostaw (co dobitnie pokazały precyzyjne i wielkoskalowe operacje cyber-kinetyczne na Bliskim Wschodzie we wrześniu 2024 roku). Trudno zakładać, by państwo funkcjonujące w warunkach ciągłego zagrożenia ignorowało dostęp do tak potężnych strumieni danych gospodarczych. Trzy klucze. Trzy rządy. I polska bezbronność.   Podsumujmy sytuację każdej polskiej firmy raportującej do KSeF:   Rząd USA ma legalny, wymuszalny sądownie dostęp do danych przechowywanych przez kalifornijską spółkę. Rząd Francji ma strukturalny, operacyjny dostęp poprzez sieć powiązań państwowej grupy Thales. Potężne centrum analityczne funkcjonuje na Bliskim Wschodzie. Te dostępy istnieją niezależnie od siebie i całkowicie poza kontrolą Ministerstwa Finansów.   Nie twierdzę, że rządy te aktywnie, dzień w dzień przeglądają faktury polskich firm. Twierdzę coś znacznie precyzyjniejszego: Polska stworzyła system, w którym obce państwa dysponują techniczną i prawną zdolnością dostępu do pełnego obrazu naszej gospodarki, a polska umowa cywilnoprawna z dostawcą usługi WAF nie stanowi dla nich absolutnie żadnej przeszkody.   W profesjonalnej analizie ryzyka bezpieczeństwa narodowego (Threat Modeling) to wystarczy. Ryzyko nie polega na tym, że w tej sekundzie trwa kradzież — polega na tym, że zbudowano państwową infrastrukturę dostępu, której polskie służby nie mogą suwerennie zablokować. Dlaczego to, co robi Polska, jest ewenementem na tle Europy?   Kontekst ten staje się jeszcze bardziej alarmujący, gdy spojrzymy na inne państwa europejskie wdrażające e-fakturowanie.   Francja obsługuje swój system fakturowania (Chorus Pro) poprzez AIFE — agencję rządową, a infrastruktura zarządzana jest przez podmioty całkowicie krajowe. Rumunia potraktowała e-faktury z pełną powagą jako kwestię bezpieczeństwa narodowego i powierzyła system wojskowej służbie łączności (STS). Włochy i Hiszpania korzystają ze ściśle nadzorowanych, państwowych platform.   Każde poważne państwo rozumie elementarną zasadę: system, przez który w czasie rzeczywistym przepływa obraz całej gospodarki, musi pozostawać pod ścisłą, suwerenną kontrolą krajową. Polska jest niechlubnym wyjątkiem, który powierzył strategiczny węzeł bezpieczeństwa podmiotowi o tak skomplikowanej, wielonarodowej i wrażliwej strukturze wywiadowczo-właścicielskiej.   Ironiczny szczegół: Francja chroni dane gospodarcze swoich firm, polegając na własnych agencjach. Jednocześnie ta sama Francja (przez Thales) obsługuje polski ruch sieciowy, mając potencjalny dostęp do danych o przetargach, zamówieniach publicznych i strategicznych kontrahentach naszego państwa. Umowa, która nie chroni   Ministerstwo Finansów publicznie deklaruje kontrolę nad infrastrukturą. Jednak moje audyty techniczne (analiza DNS, nagłówków i terminacji TLS) jasno dowodzą, że warstwa WAF działa w chmurze Impervy, a nie w modelu bezpiecznym on-premise w Polsce.   Kiedy Ministerstwo tłumaczy, że Imperva nie jest operatorem danych, tylko dostawcą tarczy ochronnej WAF, ma rację tylko w połowie. WAF faktycznie nie czyta treści faktur XML (bo te są zaszyfrowane w modelu End-to-End). Jednak — jak solidnie udowodniłem szczegółowymi audytami technicznym — gigantyczny problem tkwi w metadanych JSON. Na węźle po terminacji szyfrowania TLS infrastruktura pośrednia ma podane na tacy pełne, jawne informacje: NIP-y, nazwy, daty i kwoty. A metadane, jak wiedzą eksperci od wywiadu, wystarczą do pełnego sprofilowania każdego biznesu.   Polskie firmy mogą być uspokajane, że ich tajemnice handlowe są chronione umową z Ministerstwem. Niestety, w erze wojen gospodarczych, dane te są chronione tak samo, jak sejf zamknięty na kłódkę, do której zapasowe klucze posiadają potężne, obce państwa. Jeśli nie zaczniemy traktować suwerenności cyfrowej i własnych danych podatkowych jako twardego elementu bezpieczeństwa narodowego, nasz rodzimy biznes zawsze będzie o krok za globalną konkurencją, całkowicie bezradny wobec informacyjnej asymetrii. Grzegorz GPS Świderski

@gps65 @antymagdalenka Nie no, nie ma polskiej alternatywy w tej skali. Serio. Akamai i Cloudflare są tak samo zachodnie, jak Imperva. NASK nie ma takiej usługi. Budowa CDN z WAF od podstaw to bardzo duża inwestycja, bo jego istotą jest rozłożenie PoP-ów po całym świecie.

To nieprawda. W tym audycie pod koniec wskazuję, że mamy krajowe alternatywy: informacje-lokalne.pl/audyt-technicz… A na dodatek zrobiłem audyty wielu krajów na świecie i one umiały sobie z tym poradzić własnymi siłami bez zagranicznej bramki WAF. Polska jest jedyna, która na tacy oddała mapę całej gospodarki obcym wywiadom.

@gps65 @antymagdalenka Wiesz, fakty są jakie są. Pozostaje ich interpretacja. To, że aplikacja w tej skali musi korzystać z jakiegoś WAF/anty-DDoS to oczywistość. Niestety w kraju nie mamy żadnego dostawcy WAF, który miałby odpowiednio rozproszoną infrastrukturę. Stąd zapewne decyzja o użyciu Impervy.

@venglin @antymagdalenka Dzięki za potwierdzanie moich audytów. Warto byś wyniki gdzieś publicznie opublikował w czytelnej formie i z komentarzami, tak jak ja, by się można było do tego merytorycznie odnieść.

@antymagdalenka @gps65 Umówmy się, że tu jednak wszystko wskazuje na kaczkę. Struktura nagłówka X-iinfo jest taka sama, jak przy gołym zapytaniu do edge, bez ustawionego nagłówka Host.

@venglin @gps65 Nie twierdze, ze ustawia to aplikacja, twierdze, ze jest taka mozliwosc. Moze to robic jakis LB po stronie apki na potrzeby sticky session.

@antymagdalenka @gps65 No dobrze. To uważasz, że ciasteczko sesyjne o strukturze "incap_ses_", obok wspomnianych wcześniej nagłówków, też ustawia aplikacja? Na prawdę, jeśli coś wygląda jak kaczka, chodzi jak kaczka, kwacze jak kaczka, to prawdopodobnie jest kaczką.

@venglin @gps65 Nie mowimy stricte o aplikacji, bo ja za aplikacje uwazam wszystko co wchodzi w jej sklad tj. db, webserver, etc. Wracajac do meritum, nie pytamy o powod dlaczego by to mialo byc robione po stronie apki tylko czy jest to mozliwe, stad nie ma 100% pewnosci.

@gps65 @antymagdalenka Oczywiście, że ma możliwość. Claude świetnie sobie radzi z takimi złożonymi zadaniami. Nie wiem, po co ta formuła „ad personam”.

@venglin @antymagdalenka AI nie ma fizycznie możliwości przeprowadzenia takiego audytu. LLMa użyłem do sformatowania tego do publikacji, co jest wielokroć bardziej pracochłonne niż sam audyt. To elementarne Watsonie, ekspert powinien takie kwestie w lot łapać.

@antymagdalenka @gps65 Tak, widzę, że raport jest wygenerowany w dużej mierze przy pomocy AI, dlatego sprawdziłem sam. Nagłówki faktycznie są dodawane, w dodatku ich wartość ma taką samą strukturę, jak dla innych zasobów chronionych przez Impervę. Nie widzę powodu, żeby dodawała je aplikacja.

@venglin @gps65 Jak mawiala pewna glowa, jest to warunek konieczny, ale niewystarczajacy. Jako, ze masz 25 lat doswiadczenia masz tez swiadomosc, ze cala logika dodatkowych naglowkow moze odbywac sie po stronie apki. Audyt zrobiony przy pomocy srejaj,juz samo sformulowanie o json jest smieszne.

@gps65 @antymagdalenka Tak, przeczytałem i sprawdziłem sam. Obecność nagłówków X-Iinfo i X-CDN świadczy o tym, że WAF działa w trybie terminacji TLS, więc rozszyfrowuje ten ruch i widzi wywołania API. Tak więc to konkretne twierdzenie uznaję za udowodnione.

@venglin @antymagdalenka Masz: informacje-lokalne.pl/audyt-technicz…

@gps65 @antymagdalenka Wypowiedziałem się na temat oczywistego faktu, że usługi WAF mogą działać w dwóch trybach. Na temat wyników badań się nie wypowiadałem, bo ich jeszcze nie czytałem. To chyba też oczywiste. Swoją drogą, pomocne będzie, jeśli wskażesz konkretny fragment z tym dowodem.

@venglin @antymagdalenka Wypowiedziałeś się o moich wynikach badań, a nie umiesz w nich wskazać błędów. To, co zbadałem, to są ogólnie znany fakty — innych nie ma, nikt nigdzie nie opublikował czegokolwiek, co by zaprzeczyło moim ustaleniom.

@gps65 @antymagdalenka Wypowiadam się na temat faktów ogólnie znanych i z perspektywy osoby, która ma 25 lat doświadczenia w IT sec i zbudowała usługę anty-DDoS, która jest oferowana w Polsce. A w temacie audytu wypowiem się, jak go przeczytam.

@venglin @antymagdalenka To wypowiadasz się o czymś, czego nie znasz? Dlaczego? Pod tym wpisem masz wszystkie linki: x.com/gps65/status/2…

@gps65 @antymagdalenka Poproszę o link zatem.

@venglin @antymagdalenka Moje audyty techniczne są takimi dowodami. Wskaż w nich błędy.

@gps65 @antymagdalenka Konkretnie to napisał powyżej. Usługi WAF mogą działać dwojako - odszyfrowywać ruch, albo ograniczać się do TLS fingerprinting w celu ochrony przed atakami DDoS. Nie ma żadnych dowodów mówiących o tym, w jakim trybie działa usługa dla KSeF.

@antymagdalenka To wskaż w nich błędy. Konkretnie.

@SMWarszawa @KonfituraWAkcji

Sposób działania @SMWarszawa na zgłoszenie wykroczenia. Przez tydzień - brak odpowiedzi. Po upomnieniu się - nie umiemy otworzyć maila. Oczywiście mail jest wysłany w plain text, a nie HTML, więc nawet nie ma możliwości, żeby zdjęcia były wklejone w jego treść.

@KonfituraWAkcji Taaa. Dziś pod SP216 dzień jak codzień.

@venglin Jak to mówi straż miejska z Piaseczna „jak ktoś będzie szedł, będziemy się martwić”.

Elitarność.

@auto_moto_pl C7, oczywiście. Idealne połączenie prostego i estetycznego wzornictwa z nowoczesnością.

🇩🇪 Audi A6 C5 🆚 nowe Audi A6 ☝️ Góra czy dół👇

@nomadmum81 @AndrzejDre Ale z loterią, czy bez? 🙃 bo KAS ostatnio nadmiernie aktywny.

@AndrzejDre nie - za sprzedaż produktów elektronicznych np ebook

Nie przestaje mnie to zadziwiać jaki to jest piękny kraj dla dobrze zarabiających. Pan Domański wymyślił sobie, że będę płaciła składkę zdrowotną 15.000 miesięcznie, ale Pan Duda ubił ten pomysł czemu przyklasnął Pan Petru więc cykam 3421 zł miesięcznie i bajka Wczoraj dowidziałam się, że skoro mam mieszkanie w zabytku to mogę wpłaty na fundusz remontowy odliczyć od podatku - buahahahaha - nowy ład najlepszą reformą podatkową od lat 🫠 Dzisiaj za to wysłałam do prawnika link do @deweloperuch (moja najlepsza inwestycja przez buycoffe na ten portal 500 zł ) gdzie wyszło, że kupiłam mieszkanie za 1.6 mln drożej niż poprzednik i dzięki temu uruchomię rękojmię zapisana w akcie notarialnym za wady ukryte na duuuuzo PLN, bez wyrzutów sumienia, że kogoś dojeżdżam. Rozliczam też pit za 2025 na ryczałcie - 2242070,50 na kwocie 5.5-% Reszta na 15%. Daniny solidarnościowej brak bo w końcu ja mam przychody a danina jest powyżej 1 mln ale od dochodów 🫠 Jeszcze potem tylko przeczytać ze @Kpelczynska wspiera socjalizm i jak się wszyscy na nią rzucają - kocham Cię Polsko - nie zmieniaj się.

@Ethouris YAML akurat jest szeroko krytykowany. JSON jest bardzo prosty w porównaniu z XML. To może być zaleta w wielu zastosowaniach (np. API), ale nie zawsze musi tak być.

@venglin Zgadza się. Przemysł się przestawił już dawno na inne formaty - JSON chociażby, czy YAML - ale istniejące technologie stanowią tu mocną kotwicę. Z tego też powodu nadal dobrze się trzyma wielokrotnie starszy relikt minionej epoki, język SQL.

Rok jak prawie każdy :) XML wygenerowany przez aplikację e-PIT nie waliduje się później na bramce.