Tu jest ciąg dalszy  

Pewnego dnia Jasiu wraca ze szkoły do domu i zastaje w kuchni swoją matkę na stole uprawiającą seks z nowym facetem:
- Mamusiu, co wy robicie?
- Eee... pieczemy ciasteczka synku.
- Okej - i poszedł do swojego pokoju.
Następnego dnia Jasiu idzie do sypialni i mówi do mamy:
- Mamusiu, dzisiaj znowu piekłaś ciasteczka z tym panem, prawda?
- Tak, a skąd wiesz?
- Bo przed chwilą zlizałem lukier ze stołu.

- Jasiu, kogo częściej słuchasz, mamy czy taty? - pyta nauczycielka w szkole.
- Mamy. - A dlaczego?
- Bo mama więcej mówi!

Grudzień. Zawieje, zamiecie, marznący deszcz ze śniegiem, wiatr duje, jakby się kto powiesił. Znajdujemy się, drodzy czytelnicy, w domku na przedmieściach. Nagle - pukanie do drzwi. Właściciel otwiera, patrzy, a tam teściowa stoi:
- Mamusiu, co też mamusia w taką pogodę na ulicy robi? Niech mamusia natychmiast wraca do domu!

Do lekarza przychodzi nastolatek i drżącym głosem zaczyna:
- Panie doktorze, mój przyjaciel przespał się z panienką i teraz boi się, że zaraził się jakąś chorobą weneryczną...
- To niech pan ściągnie spodnie - mówi lekarz - i pokaże mi tego przyjaciela.

Okazało się, że to rozum jednego urzędnika, który ostatnio bardzo awansował!
http://www.youtube.com/watch?v=Sv8KUOABArE

szczera prawda

No cóż nasz Vincent ma 8 zastępców, ciekawe ilu z nich (poza nim oczywiście) ma rozum?

Szlak morski u wybrzeży Somali. Do olbrzymiego tankowca zbliża się wydrążona z pnia baobabu łódka. W środku czarnoskóry gość z łukiem przewieszonym przez plecy:
- Ej tam, na statku! – krzyczy. – Macie natychmiast zebrać wszystkie pieniądze jakie posiadacie do jednej walizki i płynąć za mną.
Z jednego z bulajów wychyla się głowa w kapitańskiej czapce:
- Spier*alaj, głupi czarnuchu! – wrzeszczy.
Wioślarz wzdycha głęboko i mruczy pod nosem:
- Ku*wa, znowu nie wypaliło.

Małe cygańskie dziecko znalazło na podwórku łyżeczkę do herbaty. Nie wiedząc co to, pobiegło do mamy i pyta:
- Ja młoda jestem i głupia - odpowiada mama. - Idź spytaj taty.
- Tato, mama młoda jest i głupia, kazała spytać ciebie, co to?
- Oo, nie wiem dziecko, idź spytaj dziadka, swoje przeżył, wiedzę ma.
Dziadek zobaczył, przyjrzał się i krzyczy do dziecka:
- Wyrzuć to jak najprędzej! To może być nasionko łopaty!

Ludzkość od niepamiętnych czasów zadaje sobie pytania:
- Kto wymyślił pracę?
- I jak to możliwe, że pozostali go nie zabili?

- Kiedy w Polsce będzie dobrobyt?
- Gdy głodni zjedzą bezrobotnych.

To chyba dobry dział:

Czy wyciekły dane wszystkich podatników w Polsce?

Ciekawe zawiadomienie o przestępstwie zostało opublikowane na stronie Przemysława Wiplera. Możemy w nim przeczytać, że w trakcie szkolenia dla 100 pracowników skarbówki pracowano na realnych danych polskich podatników, które zostały przekazane uczestnikom na pendrive’ach. Uczestnicy szkoleń nie musieli też zwracać pendrive’ów po szkoleniu…


Strona Przemysława Wiplera
Jak można dowiedzieć się z uzasadnienia zawiadomienia o przestępstwie:

W dniach 19-22 kwietnia 2013 roku w hotelu “Antałówka” w Zakopanem, prywatna firma, Instystut Szkoleń Profesjonalnych Sp. z o.o. zorganizowała szkolenie dla 100 pracowników skarbówki (koszt 2600 PLN za osobę [na stronie organizatora widnieje 2299 PLN za osobę -- dop. red.]). Szkolenie dotyczyło m.in. tzw. hurtowni danych WHTAX , czyli agregatora informacji z baz danych podatników z wszystkich urzędów skarbowych w Polsce, umiejscowionego przy Izbie Skarbowej w Katowicach. Szkolącymi byli pracownicy resortu odpowiedzialni za obsługę WHTAX (osobą prowadzącą była p. Bożena Wosik – pracownik departamentu informatyki Ministerstwa Finansów). Szkolenie odbyło się na sprzęcie komercyjnej firmy organizującej szkolenie (każdy uczestnik miał do dyspozycji komputer na którym pracował).Jako materiał szkoleniowy wszyscy uczestnicy otrzymali dane pobrane z WHTAX z urzędu, z którego przyjechali – przekazane na nośniku pendrive. Obejmowały one m.in. NIP firm i osób prowadzących działalność gospodarczą, numery PESEL osób nieprowadzących działalności oraz przebieg prowadzonych przeciwko podatnikom postępowań egzekucyjnych, włącznie z tytułem i wysokością długów. Dane te tworzą tzw. bazę Egopoltax i odnoszą się do wszystkich podatników z obszaru właściwości danej izby skarbowej.

Przemysław Wipler zarzuca organizatorom szkolenia, że

Osoby prowadzące szkolenie wykorzystały zatem, do celów szkoleniowych – ale także komercyjnych (wszak szkolenie było odpłatne) dane podatników objęte tajemnicą skarbową. Co więcej, osoby, które się szkoliły otrzymały pendrivy z tymi danymi bez konieczności ich zwrotu. W ten sposób doszło do rażącego naruszenia Ordynacji podatkowej i ustawy o ochronie danych osobowych. Taki nieograniczony i niekontrolowany dostęp do baz danych jest wielkim zagrożeniem dla obywateli. Zawartość bazy WHTAX może służyć do szantażowania podatników i nakłaniania ich do korupcji bądź płatnej protekcji, może stać się przedmiotem handlu pomiędzy firmami windykacyjnymi.

Ponieważ nas interesuje nie polityka a warstwa techniczna zdarzenia, rozważając powyższy incydent pod tym kątem ciekawe są 2 kwestie;

1. Z informacji przekazanych przez Przemysława Wiplera nie wynika jednoznacznie, kto tak naprawdę (i na czyj wniosek) pobrał dane podatników z bazy WHTAX. Skoro na szkolenie zjechali pracownicy z całej Polski, a dane maiały pochodzić z ich regionów, to czy przywieźli je sami urzędnicy? Czy może dane dostarczył trener lub ktoś, kto miał dostęp do ogólnopolskiej bazy zgrał odpowiednie jej fragmenty? Czy w związku z tym rzeczywiście wyciec mogły dane podatników z całej Polski, czy tylko z urzędów, które miały swoich “reprezentantów” na szkoleniu? Weźmy największy pendrive o pojemności 64 GB i podzielimy tę przestrzeń na ok. 23 milionów (liczba wszystkich podatników) to da nam to 32 kb danych na podatnika — ale raczej nie takie pendrive’y otrzymali uczestnicy…
2. Co stało się z laptopami po szkoleniu? Skoro to na nich pracowano, można założyć, że dane z pendrive’ów znalazły się na dyskach laptopów. Powszechną praktyką (z racji oszczędności czasu) jest niezbyt dokładne czyszczenie sprzętu przez firmy szkoleniowe pomiędzy szkoleniami — mogło się więc tak zdarzyć, że kolejna grupa (już nie urzędników, ale innych osób) która otrzymała ten sam sprzęt do pracy na innym szkoleniu, przypadkowo natknęła się na dane podatników. I to chyba jest groźniejsza sytuacja od takiej, w której danymi dysponują pracownicy skarbówki (oni przecież i tak mają w nie wgląd w trakcie wykonywania przez siebie obowiązków służbowych; co jednak nie usprawiedliwia faktu wynoszenia danych poza urząd).

Przyczyna problemu…
Sytuację z omawianego szkolenia dla pracowników skarbówki (którzy tutaj akurat są najmniej winni i chyba raczej czujni i praworządni, bo to zapewne od nich informacja o tym co znajdowało się na pendrive’ach przedostała się do p. Przemysła Winplera) można porównać do problemu, z którym spotykamy się na co dzień wykonując testy penetracyjne — a mianowicie — development serwisów internetowych z wykorzystaniem danych z produkcji a nie odpowiednio przygotowanych danych testowych, symulujących realne.

Problem ten dotknął kilka lat temu serwis Wykop.pl, kiedy to na adresie +1 do oficjalnego adresu IP ktoś odkrył serwer testowy/developerski. Serwery developerskie charakteryzuje gorszy stan bezpieczeństwa od konfiguracji produkcyjnej (bo ma być szybko i wygodnie, a poza tym włączone komunikaty o błędach pomagają programistom). W przypadku Wykopu to słabsze bezpieczeństwo pozwoliło atakującym dostać się na serwer developerski. I w zasadzie nic złego by z tego nie wynikło (najwyżej ktoś poznałby przedwcześnie jakie nowe funkcje pojawią się w serwisie) gdyby nie to, że Wykop pod serwer testowy miał podpiętą bazę z produkcji – a zatem realne dane użytkowników. Wyciekły hasła, była afera.
W takich sytuacjach programiści zazwyczaj tłumaczą się tym, że tworzenie danych testowych jest trudne, a poza tym nie jest możliwe tak dokładne przestestowanie serwisu jak na danych oryginalnych (“nic tak dobrze nie testuje mechanizmów jak dane z produkcji“). Dziwnym jednak trafem wymogi chociażby PCI DSS, narzucające sposób rozwoju oprogramowania dedykowanego instytucjom finansowym, zabraniają korzystania w trakcie developmentu z oryginalnych danych kart płatniczych — i co ciekawe, programiści potrafią stworzyć oprogramowanie z takim ograniczeniem — jak oni to robią? :)

PS. Na marginesie, bo to jeden z głośnych tematów w komentarzach do tej “afery”; wbrew pozorom koszt na poziomie 2299 PLN netto za 3 dni szkolenia nie jest wygórowany (zwłaszcza, jeśli zawiera się w nim nocleg i wynajem sprzętu na czas szkolenia) — średnia stawka rynkowa za przeprowadzenie szkolenia komputerowego to ok. 1000 PLN netto za osobę za dzień szkoleniowy, z lunchem ale bez pełnego wyżywienia czy noclegu, który w przypadku omawianego szkolenia był zapewniony.

http://niebezpiecznik.pl/post/czy-wycie ... -w-polsce/

Do lekarza przychodzi młoda mężatka:
- Słucham panią. W czym mogę pomóc?
- Panie doktorze, mam taki problem. Jesteśmy z mężem dwa miesiące po ślubie, a ja mam takie straszne lęki...
- Ale co się stało? Małżonek się nie sprawdza? Wie pani, to kwestia czasu, dotarcia się, dobrania najlepszych pozycji.
- Nie, nie to.
- A co się dzieje? Na czym polega problem?
- Ja, ja... Ja się boję ostatnio nawet po kapcie schylić.

Tata z 6-letnim synkiem robi zakupy w supermarkecie. Kiedy przechodzą obok półki z prezerwatywami, synek pyta:
- Tato, a co to jest?
- To są prezerwatywy, synu - odpowiada ojciec.
- A po co one są? - kontynuuje malec.
- Prezerwatywy są po to, żeby mężczyzna miał bezpieczny seks z kobietą - odpowiada ojciec.
- Tato, tato, a dlaczego w tym opakowaniu są 3 sztuki? - nie daje za wygrana chłopczyk.
- Widzisz synu, bo to jest zestaw dla młodzieży uczącej się: raz w piątek, raz w sobotę, raz w niedzielę.
- Tato, tato, a dlaczego w tym opakowaniu jest 6 sztuk? - pyta synek.
- Widzisz synu, to jest zestaw dla studentów: dwa razy w piątek, dwa razy w sobotę, dwa razy w niedziele - mówi ojciec.
- Tato, tato, a dlaczego w tym opakowaniu jest 12 sztuk? - kontynuuje malec.
- Hmmm... widzisz synu, bo to jest zestaw dla dojrzałych, żonatych mężczyzn: raz w styczniu, raz w lutym, raz w marcu...

Chirurg z Izraela mowi: "U nas medycyna jest tak zaawansowana, że jesteśmy w stanie obciąc facetowi jaja, przeszczepić drugiemu i już po 6-ciu tygodniach będzie biegać w poszukiwaniu pracy".
Chirurg z Niemiec na to: "Chwalę bardzo za takie osiągniecia, ale to i tak malo. U nas jestesmy w stanie wyciąć komuś polowę mózgu, przeszczepić drugiej osobie i już po 4-ech tygodniach będzie latać w poszukiwaniu pracy "
Rosyjski chirurg kpi: " Panowie! Niewatpliwie są to osiągnięcia, ale nie ma co ich równać z naszymi ! Jesteśmy w stanie wyciąć połowę serca człowiekowi, przeszczepić drugiemu i już po 2-och tygodniach będzie biegać jak nowonarodzony w poszukiwaniu pracy "
Włącza się Polski chirurg: " Panowie, Wasze badania i osiągnięcia są godne podziwu, ale jakaż to pomoc dla jednego czlowieka? U nas w Polsce jak 6 lat temu zgarnęliśmy jednego faceta bez jaj, bez mózgu i bez serca. Zrobiliśmy z niego premiera i teraz .................. cały kraj szuka pracy!

Nauczycielka oznajmia na początku lekcji:
- A dzisiaj porozmawiamy o tym, skąd biorą się dzieci...
Na to Jasiu znudzonym głosem:
- A ci co już dymali mogą wyjść na fajkę?

"A czego mam się bać?" - pomyślał Czerowny Kapturek - "Las znam, seks lubię".