Audit Request - audyt bezpieczeństwa i prywatności aplikacji

[SeraMoon]

Is your feature request related to a problem? Please describe. for(var $i=140; $i>=80; $i--)   browse("https\://github.com/ProteGO-Safe/specs/issues/"+$i);

Describe the solution you'd like Aplikacja przejdzie audyt bezpieczeństwa i prywatności przeprowadzony przez odpowiednich niezależnych ekspertów, aplikacja zostanie podpisana cyfrowo oraz zostanie podany jej SHA-256 publicznie, aby umożliwić sprawdzenie użytkownikowi, czy korzysta z tego samego rozwiązania.

Audytorzy sprawdzą też, czy i jakie dane (i jakiej klasy dane) są przesyłane do ewentualnych serwerów.

SHA-256 znajdzie się również w treści przeprowadzonych audytów.

Audytorzy wraz z prawnikami sprawdzą również zapisy licencji czy jest zgodna z wynikami audytu. Prawnik wystawi wytyczne odnośnie poprawy tekstu licencji. Prawnik sprawdzi również, jakie uprawnienia do uzyskania danych osobowych (na podstawie IP) ma Ministerstwo Cyfryzacji oraz inni właściciele serwerów i uwzględni to w opinii współpracując z ekspertem od prywatności.

Describe alternatives you've considered Jeżeli aplikacja ma być bezpieczna i ma zapewniać prywatność nie obędzie się bez audytu. Opcją jest jedynie jej zakończenie lub brak zaufania do aplikacji

Additional context Add any other context or screenshots about the feature request here.

[KoderFPV]

@SeraMoon Hej, Dzięki za informacje. Jak skończycie chętnie dowiemy się co tam w trawie piszczy.

30 marca bieżącego roku kontaktowaliśmy się z niebezpieczynikiem w celu społecznego audytu ale niestety nam odmówiono. Nie dawno także znów próbowaliśmy się z nimi skontaktować ale niestety brak odpowiedzi ;(

Obecnie prowadzone są prace z firma Securitum w zakresie data privacy i data security. Prowadzone są także rozmowy z firmą LogicalTrust.

Jeżeli ty lub my będziemy mieli jakieś wnioski oraz raporty na pewno dajmy o tym znać społeczności!

Pozdrawiamy i dziękujemy za pomoc

[SeraMoon]

@potiuk czy to, że się rzekomo kontaktowali (a Niebezpiecznik nie przeprowadza audytów za darmo) to oznacza, że wątek ten można zanknąć? @potiuk Co powinnam w tej sytuacji zrobić?

Przecież nie dostałam tu wyników audytu.

[mimi89999]

Czy próbowaliście się też kontaktować z organizacjami lub firmami, które są znane z audytowania projektów OSS, np https://radicallyopensecurity.com/, który audytował ich kilka: https://radicallyopensecurity.com/portfolio.htm?

[KoderFPV]

Wątek ponownie otwarty do merytorycznej dyskusji zgodnej z #147 :)

[jasisz]

Czy audyt zawiera w sobie ocenę skutków dla ochrony danych (Data Protection Impact Assessment - DPIA)?

[kolmir]

Tu mamy uwagi EFF co do samego namierzania bliskości przez BT w kontekście API A+G https://www.eff.org/deeplinks/2020/04/apple-and-googles-covid-19-exposure-notification-api-questions-and-answers - warto się zapoznać.

[pingwinwzakiecie]

@SeraMoon To był ten audyt czy go nie było?

[jasisz]

Podbijam - aplikacja już wyszła, a nie mamy nawet DPIA.

[MateuszRomanow]

Informacyjnie - DPIA jest na stronie gov.pl, ale nie wiem od kiedy dokładnie https://www.gov.pl/web/protegosafe/dokumenty -> https://www.gov.pl/attachment/748bd66d-2345-4644-927b-299227ae74a3

[jasisz]

@MateuszRomanow To DPIA to jakiś zlepek starej i nwoej wersji...

W jednym miejscu czytamy o Exposure Notification od Google i Apple, żeby w innym przeczytać np. że:

Serwer nadający anonimowe identyfikatory oraz serwer przesyłający klucze diagnostyczne nie są ze sobą połączone

Serwer ProteGO Safe (Backend) nie umożliwia identyfikacji użytkownika, ani tym bardziej przechowywania lub połączenia (porównania) kluczy dziennych z kluczami diagnostycznymi. Klucze diagnostyczne są przechowywane na serwerze ProteGO Safe przez okres retencji wynoszący 14 dni w postaci zaszyfrowanej.

Takich kwiatków jest więcej.

[jasisz]

Do punktu Użytkownik otrzymuje fałszywy komunikat, że został narażony na zarażenie COVID-19 dodać trzeba wielokrotnie tu wałkowany scenariusz, w którym klucz nie jest tylko nadawany na większą odległość, ale np. klucze z izby przyjęć szpitala zakaźnego są live nadawane w metrze. Taki atak do powodzenia nie wymaga wcale tego:

Aby zakończyć atak, osoba atakująca musi upewnić się, że spotkania między jej urządzeniem a innymi urządzeniami są oznaczone jako spotkania kwalifikujące się do wysłania komunikatu o spotkaniu z osobą chorą na COVID-19. Aby to zrobić, atakujący powinien zmusić/przekonać osobę chorą lub przedstawicieli Centrum Kontaktu, aby przekazali atakującemu kod PIN, który zostanie następnie wprowadzony do urządzenia atakującego.

Nikogo nie trzeba zmuszać, można tylko liczyć na spotkanie zakażonego który sie zgłosi dobrowolnie i zwiększać tego prawdopobieństwo dobierając odpowiednie miejsce "pobierania" kluczy.

[tomekziel]

Informacyjnie - DPIA jest na stronie gov.pl, ale nie wiem od kiedy dokładnie

@MateuszRomanow a co z publikacją wyników testów bezpieczeństwa? Kto je w ogóle zamawiał - Ministerstwo Cyfryzacji, inny organ państwowy, TYTANI24 czy jeszcze ktoś inny?

[potiuk]

Tak. Czekamy na wyniki bo na razie są tylko deklaracje. A z rozmów z potencjalnymi aydytujacymi wynika ze jeszcze nawet nie ma zakresu tych audytów. Z resztą przy aplikacji offline PWA to może lepiej zrobić to po tym jak już będzie to zrobione. Bo inaczej to trochę strata pieniedzy i czasu podatników.

Ale w DPIAjest dla odmiany napisane że audyty były .. warto by upublicznić co tam jest.

[jasisz]

@potiuk Sekurak pisał na fejsie (w komentarzach do https://www.facebook.com/sekurak/posts/4490216434337816 ) że

my też w pewien sposób atakujemy tę aplikację - trzymajmy kciuki żeby była zgoda na publikację raportu

Czyli jakiś raport zrobili (?)

[potiuk]

Poczekamy zobaczymy. W. DPIA piszą o już zdaje się o przeprowadzonych audytach. Chętnie obejrzę

[jasisz]

Zabawna sprawa i mam nadzieję że jakiś przypadek, ale po wczorajszym ściągnieciu DPIA dzisiaj nie mogę się ze swojego IP dostać na prawie żadną stronę w domenie gov.pl - działa dopiero na VPN XD

[SeraMoon]

@jasisz gdzie znajdę DPIA? Zawiera wyniki audytu?

[jasisz]

@SeraMoon tak jak wyżej Mateusz wklejał - https://www.gov.pl/web/protegosafe/dokumenty Nie zawiera wyników audytów, jest to czyste DPIA, które o audytach tylko wspomina.

[KoderFPV]

Zabawna sprawa i mam nadzieję że jakiś przypadek, ale po wczorajszym ściągnieciu DPIA dzisiaj nie mogę się ze swojego IP dostać na prawie żadną stronę w domenie gov.pl - działa dopiero na VPN XD

U mnie działa. LTE. Przed chwilą ściągnąłem dokument.

[jasisz]

@Tarvald u mnie działa na innym łączu albo na VPN (te same maszyny), natomiast na łączu z którego ściągałem wczoraj nie działa na żadnej maszynie i kończy się albo

curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to www.gov.pl:443 

albo czekaniem na timeout :D

Nie że od razu węszę spisek, ale trudno mi to sensownie wyjaśnić i mnie to trochę rozbawiło ;)

[potiuk]

SOA#1 U mnie działa :). DPIA pobierałem. Więc chyba nie to.

@jasisz Prawdopodobnie zupgradowałeś Mac-a i masz ustawienie które priorytetyzuje IPV6:

https://stackoverflow.com/questions/48987512/ssl-connect-ssl-error-syscall-in-connection-to-github-com443

A z tego by wynikało że gov.pl jeszcze nad swoją konfiguracją IPV6 musi popracować - bo mają już adres IPV6 ale go nie obsługują. W linku ze SO masz "rozwiązanie". Ciekaw jestem, czy to to.

[SeraMoon]

@jasisz jeżeli Ci nie działa i zgubiłeś ten dokument po drodze - użyj Tor Browsera - działa. Niestety analiza DPIA poczeka dłużej ponieważ muszę przypomnieć sobie reguły jak przyznaje się ilość punktów i jakie były limity. Do tego mam znów po lock-downie projekt i muszę go dokończyć zanim znów będzie zapowiadany kolejny lock-down, więc mam mało czasu na isssues.

Rozwiąże też SOA#1 nawet gdyby faktycznie zablokowano Cię.

[KoderFPV]

Audyty dostępne

223

[SeraMoon]

@Tarvald temat pozostaje otwarty bowiem nie widzę tam audytu prywatności. Dla zaufania społecznego - najważniejszego. Gdybyście zrobili audyt prywatności, nie wynikłby problem #215. Na 100% zostałoby to znalezione.

[kamilgthecoders]

Raport prywatności: https://www.gov.pl/attachment/c0af6e36-96bf-4640-838a-cf08348f7acc

Temat zamykam