Brak audytów bezpieczeństwa i prywatności

[SeraMoon]

Describe the bug Aplikacja nie posiada przeprowadzonych audytów bezpieczeństwa, na co wskazuje brak szablonów testów dla audytu prywatności oraz audytu bezpieczeństwa w repozytorium projektu. Brak też jest wyników audytu.

To Reproduce Steps to reproduce the behavior:

1. Znaleźć w repozytorium wyniki audytu bezpieczeństwa do ProteGO-Safe 4.2
2. Znaleźć w repozytorium wyniki audytu prywatności do ProteGO-Safe 4.2

Expected behavior Zostaną przeprowadzone audyty bezpieczeństwa oraz prywatności (przez niezależne firmy), zostaną udostępnione w repozytorium testy oraz wyniki audytów z dokładnymi opisami podatności (listy błędów, co było testowane itp.).

Screenshots \x00

Desktop (please complete the following information): \x00

Smartphone (please complete the following information):

• Device: None
• OS: Android & iOS
• Browser None
• Version ProteGO-Safe 4.2

Additional context https://github.com/ProteGO-Safe/specs/issues/201#issuecomment-649956666

141

[KoderFPV]

https://github.com/ProteGO-Safe/specs/issues/201#issuecomment-650083800

[MateuszRomanow]

Cześć, przesyłam aktualizację:

wersja 4.2.1 (z opóźnieniem) trafiła dzisiaj do finalnych retestów - to będzie wersja, w której została zmitygowana większość sugestii, które pozostały z poprzedniej analizy (niski poziom i ogólne zalecenia; tylko takie tematy wyszły w ostatnim). Na bazie tych retestów zostanie przygotowany finalny raport po audytowy części aplikacyjnej (Android i iOS) który - jak tylko go dostaniemy w finalnej formie - opublikujemy go na GH. Niestety się to przedłużyło, głównie przez konieczność testów pomiędzy platformami (Android<>iOS) w warunkach izolacji, co znacząco wydłuża cały proces. Audyty cały czas są w procesie i chcemy je jak najszybciej skończyć właśnie do wersji 4.2.1.

[kwiszowaty]

@MateuszRomanow z mego punktu widzenia wygląda to bardzo słabo.

Wyniki audytu macie, ale nie chcecie się nimi podzielić do czasu aż wszystko naprawicie. Byłoby to nawet OK, gdyby nie fakt, że niezależnie od audytu publikujecie 4.2 w Google/Apple Store i udostępniacie ludziom do pobrania bez jakiejkolwiek informacji, że są co do niej wątpliwości (nawet małe jak to opisujesz). Co więcej nawet wersję 4.1 w reklamach i na konferencjach przedstawiano jako aplikacja jest w pełni bezpieczna i anonimowa, co budzi wiele zastrzeżeń ludzi, którzy się nią tutaj interesowali.

Jeżeli to są "ogólne zalecenia" to dlaczego nie chcecie ich opublikować tutaj? Przecież nikt nie wymaga od Was formy końcowego dokumentu - może być roboczy - na tym forum każdy to rozumie. W innym wypadku mogę sądzić, że macie coś do ukrycia - dlatego nadal wstrzymuję się z instalacją aplikacji.

[potiuk]

Ja też cały czas się wstrzymuję i odradzam innym - dokładnie z tych samych powodów. Nie robię o to wielkiego hałasu tutaj - bo trochę to już nie ma sensu a i tak musimy poczekać na otwarcie kodu G+A, ale moje porady jak się ktoś pyta to "nie instalować, poczekać, zobaczymy jak wszystko będzie dostępne i Google + Apple też otworzy źródła i audyty.

[MateuszRomanow]

@MateuszRomanow z mego punktu widzenia wygląda to bardzo słabo.

Jeżeli to są "ogólne zalecenia" to dlaczego nie chcecie ich opublikować tutaj? Przecież nikt nie wymaga od Was formy końcowego dokumentu - może być roboczy - na tym forum każdy to rozumie. W innym wypadku mogę sądzić, że macie coś do ukrycia - dlatego nadal wstrzymuję się z instalacją aplikacji.

Doceniam, że Ty nie wymagasz formy końcowej, ale jest wielu interesariuszy, którzy jej wymagają. Ustaliliśmy dzisiaj, że 13.07.2020 powinien być finalny raport Aplikacyjny. Łatwiej będzie go też dyskutować jak będzie kompletny i w jednym miejscu. Jeszcze kilka dni i w całości go opublikujemy. Tego terminu będę osobiście pilnował.

[kwiszowaty]

Doceniam, że Ty nie wymagasz formy końcowej, ale jest wielu interesariuszy, którzy jej wymagają.

Nie jestem pewien czy akurat ci interesariusze będą pobierać te raporty z GitHub...

[SeraMoon]

Ja tylko tyle powiem, że aktywnie zaczęłam namawiać do nieinstalowania tej aplikacji, również osoby, które nie wiedzą jeszcze o jej istnieniu, wskazując, że rząd (MC) ma wiele do ukrycia oraz, że kod nie jest otwarty z powodów decyzji Google i Apple. Namawiam też do instalowania i kupowania telefonów z innym systemem operacyjnym jak chociażby e-foundation, tak aby nie byli zmuszeni nigdy do instalowania tak zaniedbanego i podejrzanego programu jak ProteGO-Safe.

Mamy obecnie:

• zamknięty kod G+A Exposure Notification, gdy aplikacja jest reklamowana jako Open Source.
• nie mamy ani jednego publicznego raportu z audytu bezpieczeństwa, mimo że aplikacja reklamowana jest jako bezpieczna (skoro ma bugi, których nie chcecie udostępnić, jest niebezpieczna).
• nie mamy ani jednego raportu z audytu prywatności (uważam to za oddzielne od bezpieczeństwa, bezpieczeństwo =/= prywatność) - podobnie - nic nie opublikowano w repo.
• nie mamy treści załączników do umowe NDA #145
• nie mamy treści wstępnej specyfikacji systemu, czyli mówiąc krótko - umowy o system ProteGO-Safe - publicznej.
• nie mamy wersji ProteGO-Safe Web, która nie wysyłałaby do sieci udzielonych odpowiedzi i przestałaby pytać o imię i zaczęła zwalczać ostry cień mgły...
• przepraszam boli mnie brzuch, jeżeli ktoś ma siłę, może kontynuować, ale mi się zrobiło już słabo.

Ode mnie 1.5 gwiazdki. Pół, za to, że wyjaśniono chociaż pojęcia używane w projekcie w temacie #208. To jednak za mało abym postanowiła kupić smartfona, wgrać e-foundation lub AOSP, dodać Exposure Notification (którego nie mogę skompilować) i zainstalować ProteGO-Safe. O wiele za mało też aby polecać nietechnicznym instalację produktu.

BTW. Gdzie nie zajrzę do tych issues, widzę zbity zegar - zaudytowana aplikacja ProteGO-Safe 4.2 na PLAY to też zbity zegar!

Ustaliliśmy dzisiaj, że 13.07.2020 powinien być finalny raport Aplikacyjny.

Nie interesuje mnie raport Aplikacyjny i nie wiem co to jest - interesuje mnie konkretnie to co wymieniłam wyżej. Dziwna jest zbieżność tego dnia z dniem, w którym będą znane wyniki z 99.8% komisji wyborczych najbliższego głosowania.

[MateuszRomanow]

Aktualizacja: niestety audyt w ramach retestów zakończył się dopiero dziś w nocy (nie jak planowaliśmy w piątek), dlatego dopiero dzisiaj możemy zacząć omawiać robocze wnioski. To - niestety - znów opóźni publikację o kilka dni. Wszyscy zaangażowani są wrzuceni w temat i pracują żeby jak najszybciej dostarczyć finalny raport. Przepraszam w imieniu swoim i zespołu za opóźnienie.

[MadryPan1987]

Tak przeczytałem ten temat i... Co wy chcecie audytować? Przecież kod aplikacji, jest super prosty. Jeżeli byłby problemy z bezpieczeństwem, to dawno by to zauważono w kodzie.

Chyba że hackowanie emacsem przez sendmail to wtedy rozumiem :)

[KoderFPV]

@MadryPan1987 Jednak jest co audytować ;p

Zapraszam do lektury #221

[SeraMoon]

Zapraszam na konsumpcję świeżo wypieczonych bułek z brzeszczotem. Bon Appétit! Skoro nie dokonano audytu prywatności nie zadziałała prośba o audyt prywatności (#141) oraz polityka prywatności aplikacji jest pisana tymi samymi słowami co rządowe obietnice dotyczące Kwarantanny Domowej (nie planjemy ale plany się znajdują na obowiązkowość vs. staramy się, ale starania mogą mieć różną jakość). To oraz #215 (aplikacja jednak dane zbiera) sprowokowało mnie do działań. 😹

https://oko.press/polska-aplikacja-do-walki-z-covid-19-bez-epidemiologicznych-zebow/

[MadryPan1987]

@SeraMoon hahahahaha. A ja zastanawiałem się w kogo imieniu piszesz takie popłuczyny tutaj. A to oko press hahaha. Nie mogę się pozbierać ze śmiechu. Dla "faktu" też pracujesz?:D ps. Myślałem że to rosyjskie trolle a tu tylko oko ;)

[sobaw98247]

@Tarvald, komentarz @MadryPan1987 chyba łamie przyjęte zasady?

[MadryPan1987]

Jakie zasady? Bronisz takiego szamba jakim jest oko.press? Przeciez to jest dno dziennikarstwa, opierające się tylko na skandlach i kontrowersji. Wejdz sobie na ich strone, żadnych pozytywnych wiadomości, samo szambo ;p To chyba jeden z najgorszych portali obok faktu. Teraz też wyjasnią to wszystkie posty okopress na zakładce issues, które mają za zadanie wzbudzić negatywny emocje!!!!!!! Tfu... spluwam na takich ludzi.

[potiuk]

@Tarvald rówwnież uważam że ostatnia wypowiedź zasługuje na zwrócenie uwagi ze względu na niezgodność z zasadami

[MateuszRomanow]

@MadryPan1987 z całym szacunkiem, ale mocno pilnujemy tego, żeby ten projekt był merytoryczny a nie bazował na "rewelacjach", polityce i obrażaniu się wzajemnie. Więc za takie komentarze teraz jest offtop i pierwsza żółta kartka. Obrażanie się lub jakiegokolwiek podmiotu nie będzie tu tolerowane. Tyczy się to obustronnie nas wszystkich - zarówno w sprawie mediów, osób, czy ideologii i polityki.

[potiuk]

Aktualizacja: niestety audyt w ramach retestów zakończył się dopiero dziś w nocy (nie jak planowaliśmy w piątek), dlatego dopiero dzisiaj możemy zacząć omawiać robocze wnioski. To - niestety - znów opóźni publikację o kilka dni. Wszyscy zaangażowani są wrzuceni w temat i pracują żeby jak najszybciej dostarczyć finalny raport. Przepraszam w imieniu swoim i zespołu za opóźnienie.

Powyższa wiadomość była opublikowana przez @MateuszRomanow 13 lipca 2020. Dokładnie 41 dni temu. Słyszę i widzę "gadu-gadu" na linkedinach @MateuszRomanow, a obiecanych audytów prywatności jakoś nie widać. Naprawdę serio uwaźasz - Ty i Ministerstwo Cyfryzacji, które w projekcie podejmuje decyzje, że to jest poważny i profesjonalny sposób tworzenia aplikacji ? Od Twojego wpisu, w którym potwierdziłeś że audyty prywatności będą za parę dni, minął już ponad miesiąc.

Tak zupełnie serio mówicie razem z Ministerstwem o budowaniu zaufania i dziwicie się że nie możecie wyjść z oceny > 2.8 i liczby instalacji rzędu 100.000 ?

Naprawdę nie mogę się doczekać kiedy już nie trzeba będzie w ogóle instalować ProteGO-Safe (o ile to jeszcze będzie miało sens) żeby być częścią Exposure Notification. Zupełnie nie rozumiem, jak po czymś takim można opowiadać o tym jak profesjonalnie tworzy się aplikacje. Nie żeby mnie to jakoś obchodziło, ale na Waszym miejscu raczej zastanawiałbym się nad zmianą branży bo to jest raczej solidna antyreklama solidności, dotrzymywania słowa, profesjonalnego działania - przynajmniej ja tak uważam i generalnie bardzo mocno będę odradzał wszystkim jeśli kiedykolwiek ktoś mnie poprosi o zdanie (a zdarza się to dość często).

[MateuszRomanow]

@potiuk temat leży po stronie MC. Jak pisałem, nie jestem rzecznikiem MC. Transparentnie: my ze swojej strony zakończyliśmy prace, czekamy na publikacje MC na stronie gov.pl, po której opublikujemy dokumenty na GH. Ja ze swojej strony regularnie pinguję ten temat.

Publikowanie dokumentów przez zleceniodawcę a solidne wykonywanie aplikacji przez zespół developerski to dwa różne tematy.

Jarek a prywatnie - zrób proszę kiedyś jakiś projekt przy współpracy z Administracją, daj z siebie 100%, zbierzesz feedback jak to wygląda.

[potiuk]

@potiuk temat leży po stronie MC. Jak pisałem, nie jestem rzecznikiem MC. Transparentnie: my ze swojej strony zakończyliśmy prace, czekamy na publikacje MC na stronie gov.pl, po której opublikujemy dokumenty na GH. Ja ze swojej strony regularnie pinguję ten temat.

Tym bardziej nie wpływa to na pozytywną ocenę aplikacji, i dowodzi że jednak warto jej nie instalować, tylko (na co od dawna czekam) nie będzie trzeba w ogóle tego robić.

Jarek a prywatnie - zrób proszę kiedyś jakiś projekt przy współpracy z Administracją, daj z siebie 100%, zbierzesz feedback jak to wygląda.

Właśnie dlatego nie mam zamiaru nigdy się w coś takiego pakować. Generalnie mocno szanuję swoje podstawowe wartości i nigdy bym nie chciał żeby moje wartości były naruszane w projekcie w którym pracuję. Raz w życiu zdarzyło mi się że zostały naruszone bardzo mocno. Po prostu nie przyszedłem następnego dnia do pracy. Po 3 tygodniach (ale dopiero jak te wartości zostały przywrócone przez pracodawcę) wróciłem na 3 miesiące żeby projekt dokończyć (za odpowiednim wynagrodzeniem). To mnie dużo nauczyło - przede wszystkim że jako człowiek, osoba, mam prawo odmówić brania projektów i udziału w nich jeśli naruszone są moje podstawowe wartości, i że twarde postawienie sprawy (oparło sie o adwokatów obu stron) jest słuszne.

Patrząc na to jak administracja działa, musiałbym odchodzić z takich projektów co 2 tygodnie (albo i częściej). Więc nie mam zamiaru pracować z administracją.

[potiuk]

Jeszcze jeden komentarz, bo jednak przeczytałem jeszcze raz to, co napisałeś i bardzo mi się to nie spodobało. Argumenty które używasz są pięknym usprawiedliwieniem, dla bardzo niepięknych działań. To nie jest tak, że nie masz żadnej odpowiedzialności - a tak to próbujesz przedstawić @MateuszRomanow .

Jako twórca aplikacji, osoba która zainkasowała X PLN (dla swojej firmy ale i dla siebie) odpowiedzialna za projekt i kontrakt podpisany z instytucjami (wielokrotnie aneksowane) która już wielokrotnie wykazała swoją złą wolę i chęci wykorzystania aplikacji Protego Safe do inwigilacji i dyskryminacji. A która według Ciebie teraz jest jedynym winowajcą braku audytu prywatności.

Szczerze mówiąc bardzo mi się nie podoba że tego audytu nie ma i że próbujesz przerzucić odpowiedzialność na innych. To ty jesteś łącznikiem (sam się tak określiłeś) i to że przerzucasz odpowiedzialność na "mocodawców" wcale nie zwalnia Ciebie z odpowiedzialności moralnej za to co się z projektem dzieje. Masz wszystkie benefity (pieniądz), a jakoś nie chcesz się dzielić odpowiedzialnością za stronę moralną tego przedsięwzięcia. Nie wiem jak to określić? Cisną mi się na usta różne określenia, ale umówiliśmy się na rzetelne wypowiedzi, bez osobistych wycieczek i inwektyw.

Mi to niestety w dalszym ciągu przypomina sztukę która na długo zostanie mi w pamięci - sztuka mojego przyjaciela Paula Bargetto - https://teatrpolska.pl/spektakle/104-Album-Karla-Hockera/ tam też zarządzający obozami koncentracyjnymi przecież tylko "dobrze wykonywali swoją pracę" - byli zarządcami, administratorami, sekretarkami, księgowymi. To byli tacy "normalni ludzie" którzy wykonywali "swoją pracę". Ta sztuka jest oparta na prawdziwych zdarzeniach i albumie zdjęć tych ludzi z obozu w Oświęcimiu i Paul zrekonstruował prawdziwą historię która za tym stała.

Mam nadzieję że nie było tak że Twoi ludzie (@Tarvald i inni) nawet jeśli mieli jakieś wątpliwości to nie było tak (jak w sztuce) że jednak ich przekonywałeś, że jest dobrze, że przecież to nie oni są "źli". W prawdziwej historii, prawdziwa osoba, lekarz ze Szwajcarii, który miał wątpliwości popełnił w końcu samobójstwo, bo nie mógł się pogodzić z tym co robił. Ale byli też inni - tytułowy Karl Hoecker, który z adiutanta dyrektora Obozu w Auschwitz (i swojej roli administratora obozu) wrócił po wojnie do swojej normalnej pracy jako kasjer w banku. Zwykły normalny człowiek. Swoją drogą, potem odsiedział swoje w więzieniu - https://en.wikipedia.org/wiki/Karl-Friedrich_H%C3%B6cker

Ja jestem jednak zdania, że zwłaszcza w naszym zawodzie - mamy obowiązek, żeby moralnie odpowiadać za to, w jakim celu tworzymy oprogramowanie (zwłaszcza jeśli oprogramowanie jest tworzone na konkretne zamówienie) - i wymagać od naszych "mocodawców" żeby działali "dobrze". Zwłaszcza w sytuacjach, w których byłeś wielokrotnie (m.in. przeze mnie w kilkugodzinnej rozmowie telefonicznej) przestrzegany że Twoja praca będzie wykorzystywana w złych celach.

To, że teraz zasłaniasz się (osobiście) tym że to "oni" są winni, a Ty - mimo wielokrotnej renegocjacji kontraktów nie zadbałeś o to, żeby się przed tym zabezpieczyć i wymóc coś takiego jak publikację audytu prywatności to jest według mnie jednak dalej Twój problem i odpowiedzialność. Zasłanianie się tym, że to "oni", podczas gdy to ty jednak za projekt wziąłeś pieniądze, jesteś jego twarzą, chwalisz się nim a jednocześnie nie bierzesz za niego odpowiedzialności moralnej - to najzwyklejszy w świecie koniunkturalizm. Przynajmniej według moich standardów - brak etyki w działaniu, brak kręgosłupa moralnego. Dla mnie, to jest też oznaka profesjonalizmu, że jednak nie zamyka się oczu, uszu.i ust, jak te przysłowiowe trzy małpki. To oczywiście, według moich standardów z którymi możesz się nie zgadzać - ocenę zostawiam innym, Twoim ludziom, znajomym, czytelnikom tego forum na GitHubie.

Wiem że zaraz powiesz - no ale nie tak się robi biznes. Otóż tak nie jest i mam z tym bardzo dobre doświadczenia. Jako ex. CTO, prowadzący przez wiele lat software house w przeszłości - jestem dumny że wielokrotnie już w takich sytuacjach twardo stawiałem opór i wielokrotnie rezygnowałem z dużych, fajnych kontraktów jeśli mieliśmy spore wątpliwości moralne. Albo wymogliśmy na swoich klientach działanie zgodne z prawem i etyką i naszymi wartościami. Nigdy nie zaakceptowałbym świadomie projektu który kłócił by się z moimi wartościami. A biznes - mimo wszystko (albo raczej dzięki temu) jakoś całkiem nieźle idzie. W naszym biznesie nie ma co narzekać na brak pracy - więc nawet nie ma kwestii "włożenia czegoś do garnka".

Dlatego uważam, że Twoje tłumaczenie jest nie na miejscu i domagam się jednak, żebyś wymógł na swoich mocodawcach opublikowanie audytu prywatności, który rzekomo został przeprowadzony.

Zabieram się powoli za trzecią odsłonę moich publicznych wypowiedzi na temat ProteGo Safe i nie chciałbym żeby wydźwięk tej wypowiedzi był "Nie mam pojęcia czy jest prywatnie, czy nie - podobno wyniki audytu są, ale nie zostały opublikowane, więc zakładam, że jest bardzo źle". To że - jak twierdzisz - audyt został przeprowadzony ale nie został opublikowany, świadczy wybitnie na niekorzyść ProteGo Safe.

Na razie zapowiada się to na bardzo krytyczny artykuł - właśnie ze względu na to.

[MateuszRomanow]

żebyś wymógł na swoich mocodawcach opublikowanie audytu prywatności, który rzekomo został przeprowadzony.

@potiuk w ramach możliwości, które mamy cały czas to robimy i dzisiaj (ostatecznie) mamy obiecaną publikację. Jak tylko będzie odrazu będziemy ją linkować!

edit: wątek Nazistów i przywoływanie Auschwitz (z literówką) w Twojej wypowiedzi zamyka jakąkolwiek dalszą dyskusję i poddaje mocno w wątpliwośc intencję Twoich wypowiedzi. Przekroczenie tej granicy jest niesmaczne, nieetyczne i bez szacunku dla naszej trudnej historii.

[KoderFPV]

Podzielam zdanie @MateuszRomanow , nawiązywanie do obozów koncentracyjnych oraz zapowiedź bardzo krytycznego artykułu budzi ogromne wątpliwości co do intencji posta.

[potiuk]

Dlaczego zamyka to dyskusję? Argument o podobieństwie do sztuki Hoeckera pojawił się kilka miesięcy temu w dyskusji z programista poprzedniej wersji tej aplikacji który powiedział mi że nie może spać bo mu się ta sztuka od razu przypomina. Zrezygnował z udziału w projekcie.

Nie bardzo rozumiem dlaczego przypisuje mi się złe intencje jeśli ten argument przytaczam, zwłaszcza że sam mam takie skojarzenia. Napisałem to wyraźnie jako swój punkt widzenia i ocenę sytuacji.

Czy mam dobrze rozumieć że @MateuszRomanow i @Tarvald odmawiacie mi wyrażania swoich opinii na temat podobieństwa tych dwóch sytuacji ? Czy nie mogę mieć w tej sprawie opinii i publicznie ich wyrazać?

[potiuk]

Podzielam zdanie @MateuszRomanow , nawiązywanie do obozów koncentracyjnych oraz zapowiedź bardzo krytycznego artykułu budzi ogromne wątpliwości co do intencji posta.

@Tarvald - czemu zapowiedź krytycznego artykułu nagle budzi ogromne wątpliwości? Od początku jasno wyrażałem swoje intencje i zawsze zapowiadałem swoje wypowiedzi zaznaczając że będę chciał krytykować i pisałem konkretnie co. Do tej pory to działało. A co do obozów - takie mam, niestety skojarzenia jak ktoś mi mówi ' ale to oni, ci co mnie wynajęli są źli, ja tylko dobrze robię swoją robotę'. Polecam obejrzenie tej sztuki. Naprawdę daje dużo do myślenia .

[potiuk]

BTW. Dzięki za kwestie literówki @MateuszRomanow. Naprawdę lubię jak ktoś mi konkretnie mówi co źle robię a jak jeszcze podaje kontekst i swoje odczucia z tym związane, to super. Z reguły potem staram to przemyśleć i zastanowić się, czy coś mogę poprawić w swoich wypowiedziach i zachowaniu.

Konkretne wskazania co i jak poprawić a najlepiej też dlaczego druga strona ma takie a nie inne uwagi, i dlaczego się mylę, są bardzo cenne.

Akurat dość często, niestety, robię literówki (czasem po prostu za dużo i za szybko piszę). Bardzo nad tym boleję, Zupełnie serio, to naprawdę moja słaba strona nad którą ciągle pracuję i chętnie przyjmuję w tej dziedzinie krytykę. Używam Grammarly żeby je wychwytywać, ale czasem mi się zdarza coś pominąć.

Dzięki za rzeczową i konstruktywną uwagę co do tego @MateuszRomanow. Już poprawiłem.

[pkleczko]

czasem po prostu za dużo i za szybko piszę

:) da się zauważyć, ostatnie 3 posty są Twojego autorstwa (a 4 z ostatnich 6) - a można było wyedytować.

z mojej strony również uważam że przegiąłeś z powoływaniem się na "moralną odpowiedzialność" i jednoczesnym przyrównaniem do nazistowskich oprawców... Jeszcze do tego próbujesz bronić swoich porównań bo ktoś tam kiedyś tam ich użył. Co to w ogóle za argument? Zwłaszcza w dyskusji, w której próbujesz udowadniać, że każdy powinien samemu odpowiadać za swoje czyny. Mimo szczerej sympatii też mam wątpliwości co do Twoich intencji, tego czy próbujesz krytycznie i konstruktywnie analizować projekt czy narobić trochę szumu i wypromować siebie ('sztuka mojego przyjaciela Paula Bargetto' itp.).

Raporty zostały dzisiaj opublikowane na stronie gov.pl i tym samym mogliśmy je również opublikować w repozytorium projektu o czym wspomniałem w wątku poświęconym audytom.

[potiuk]

z mojej strony również uważam że przegiąłeś z powoływaniem się na "moralną odpowiedzialność" i jednoczesnym przyrównaniem do nazistowskich oprawców... Jeszcze do tego próbujesz bronić swoich porównań bo ktoś tam kiedyś tam ich użył. Co to w ogóle za argument? Zwłaszcza w dyskusji, w której próbujesz udowadniać, że każdy powinien samemu odpowiadać za swoje czyny. Mimo szczerej sympatii też mam wątpliwości co do Twoich intencji, tego czy próbujesz krytycznie i konstruktywnie analizować projekt czy narobić trochę szumu i wypromować siebie ('sztuka mojego przyjaciela Paula Bargetto' itp.).

Rozumiem że możesz mieć taką opinię, ale pozwolę się z nią pięknie nie zgodzić. Wszystko co napisałem było w formie bardzo wyważonego komunikatu "ja". To moje zdanie, moje odczucia, moje skojarzenia i obawy. I pozwoliłem je sobie wyartykułować - wyraźnie zaznaczając, że każdy może tu mieć inne zdanie i że to moje prywatne odczucia i skojarzenia. Były one poparte jeszcze odczuciami przynajmniej jednej (a z moich dyskusji wynika też że paru innych) z osób zaangażowanych.

Nie musisz się z tym zgadzać, ale ja nigdy nie mam oporów przed jasnym mówieniem o tym jakie są moje odczucia i oczekiwania. Zauważ że nikogo o nic nie oskarżałem - przedstawiłem jedynie co ja widzę jak słyszę "to nie my - my robimy dobrą robotę a to nasi mocodawcy są źli". Ja widzę sztukę "Album Karla Hoeckera". I mam nadzieję że więcej osób ją obejrzy i odbierze podobnie jak ja. Choć oczywiście nie musi.

Jeśli ktoś się poczuł urażony tym że w jednym paragrafie było ProteGo, jego imię i Karl Hoecker a zaraz potem (już poprawnie) Auschwitz - to ma do tego pełne prawo i ma też pełne prawo o tym mówić. Nie mogę odpowiadać za czyjeś uczucia, przykro mi - znam tylko swoje. I nie czuję się żebym wypowiadając swoje zdanie miał inne intencje niż to co udało się osiągnąć - czyli publikację raportu. A intencje są tu najważniejsze.

Jeśli ktoś się poczuł urażony - przykro mi, ale nie mam zamiaru przepraszać za to że opisałem jakie ja mam uczucia - w taki sposób właśnie, że jasno powiedziałem że to moje skojarzenia. Nikogo nie pokazałem palcem, nikogo nawet nie porównałem do Karla, opisałem jedynie co mi taka postawa przypomina. Wydaje mi się że spełniłem wszystkie zasady szczerej i otwartej a jednocześnie nie agresywnej komunikacji. Ale może się mylę - chętnie posłucham konstruktywnej krytyki mojej wypowiedzi (poza ogólnym nieetyczne, etc. bez konkretów co takiego było nieetyczne).

Raporty zostały dzisiaj opublikowane na stronie gov.pl i tym samym mogliśmy je również opublikować w repozytorium projektu o czym wspomniałem w wątku poświęconym audytom.

Super. Cieszę się bardzo. jestem chwilowo na wakacjach, ale ściągnąłem w razie czego (kiedyś już opublikowane materiały o Protego zniknęły ze stron rządowych), i jak wrócę to przeczytam z wypiekami na twarzy i ewentualnie zgłoszę swoje komentarze.

A tak swoją drogą - tak zupełnie serio - to moją jedyną intencją w tym - mocno przemyślanym wpisie było tylko i wyłącznie to, co się stało - czyli wymuszenie opublikowania raportu.

Fakty są takie:

• Prawdą jest, że faktycznie te skojarzenia mam a sztukę uważam za fantastyczną i że faktycznie kilka miesięcy temu zgłosił się do mnie programista z takimi skojarzeniami a potem odszedł z projektu .

• 13 lipca 2020 @MateuszRomanow napisał że raport będzie za kilka dni. Link tutaj: https://github.com/ProteGO-Safe/specs/issues/209#issuecomment-657460071

• do 23 lipca 2020 było kilka pytań (trochę offtopów na ten temat)

Potem długo nic.

• 24 sierpnia 2020 - zapytałem co się dzieje https://github.com/ProteGO-Safe/specs/issues/209#issuecomment-678860264

• 26 sierpnia 2020 - @MateuszRomanow - powiedział że "my zrobiliśmy dobrą robotę - to ci z gov nie dowożą, pingam ich regularnie" (swobodna interpretacja) https://github.com/ProteGO-Safe/specs/issues/209#issuecomment-680745888

• 26 sierpnia 2020 - moja łagodna odpowiedź ze wskazaniem na jednak nie wzbudzanie zaufania i sugestię że może by się ministerstwo ogarnęło. Z odautorskim komentarzem ode mnie co do moralności takiej sytuacji i mojej oceny tego w jakim świetle stawia to wykonawcę https://github.com/ProteGO-Safe/specs/issues/209#issuecomment-681024678 . Bardzo łagodnie, w sposób wyważony - bazujący na moich odczuciach w podobnych sytuacjach.

4 dni ciszy

• 31 sierpnia 2020 - boom. Kontrowersyjny wpis w którym opisuję moje odczucia w związku ze sprawą. Staram się podkręcić atmosferę i zrobić z tego coś co inni podchwycą: https://github.com/ProteGO-Safe/specs/issues/209#issuecomment-683489465

• 12 godzin później - pierwsze uwagi na twitterze https://twitter.com/LitwinskiP/status/1300425728840937478 . Krytyczne w stosunku do mojego komentarza

• 18 godzin później -> raport jest opublikowany

Przypadek?

Dopiero jak napisałem taką mocno kontrowersyjną wypowiedź i znowu zawisła groźba rozpętania się burzy - raport można było opublikować w pól dnia.

Cieszę się że moje intencje są jednak czyste, a sposób działania - po raz kolejny bo to nie pierwszy raz, kiedy ta strategia zadziałała - skuteczny.

Dzięki za współpracę.

[pkleczko]

Jeśli uważasz, że publikacja raportu w dniu wczorajszym jest zasługą Twojego niesmacznego wpisu to przykro mi, ale jesteś w błędzie. Tak jest to przypadek. Tak jak wspomniałem, wczoraj MC opublikowało raporty i my też mogliśmy to zrobić, nikt w MC nie czeka na to aż @potiuk rozpęta burzę na GH, mają tam dużo innych zajęć na głowie. Równie dobrze mogli zrobić to w tamtym tygodniu, dzisiaj lub za kilka dni.

Pozdrawiam i udanego wypoczynku.

[potiuk]

W historii tego projektu bylo kilka sytuacji w których Ministerstwo Cyfryzacji reagowało po burzy w social mediach. Wystarczy prześledzić historię projektu. Jeśli potrzeba jestem w stanie przywołać odpowiednie cytaty, wypowiedzi - na szcxescie to wszystko jest publiczne.

osobiście uważam że jeśli coś chodzi jak kaczka, kwacze jak kaczka, (i pozwalam sobie podkreślić że jest to opinia moja, prywatna, a nich inni sobie wyrabiają swoją), w mojej opinii - to jest to kaczka.

A co do niesmaczności mojej wypowiedzi - również nie zgodzę się z Twoją opinią że to było niesmaczne. Mam do tego prawo, podobnie jak Ty masz prawo mieć swoją opinię. I będę ostatnią osoba, która Ci to prawo będzie odbierać.

Mam nadzieję też, że nikt nie będzie mi odbierał prawa do wyrażania swoich.

[ghost]

Raport nie został opublikowany w związku z jakimikolwiek działaniami @potiuk Tyle w temacie. Twierdzenie, że jest inaczej, jest albo wynikiem zupełnego niezrozumienia tego, jak działa administracja publiczna (i w zasadzie każda korporacja), albo manii wielkości.

[potiuk]

Raport nie został opublikowany w związku z jakimikolwiek działaniami @potiuk Tyle w temacie. Twierdzenie, że jest inaczej, jest albo wynikiem zupełnego niezrozumienia tego, jak działa administracja publiczna (i w zasadzie każda korporacja), albo manii wielkości.

Dzięki za opinię @PawelLitwinski. Chętnie bym zobaczył jakieś materiały źródłowe które udawadniają że tak było. W administracji zapewne są jakieś dokumenty, obiegówki, plany publikacji które można w tej sprawie pokazać? Ja zawsze przy tego rodzaju stwierdzeniach staram się odwoływać do materiałów żródłowych.

Szkoda że przez > 40 dni wcześniej osoby obserwujące ten wątek nie dostały ani od Ciebie, ani od Ministerstwa Cyfryzacji na ten temat wiążących informacji. Apeluję w przyszłości (do Ministerstwa) o trzymanie się obietnic o "otwartym" i "transparentnym" projekcie.

Coś, co zostało obiecane 40 dni temu jest publikowane kilkanaście godzin po kontrowersyjnym wpisie. Widzę że wiele jeszcze w kwestii otwartości i transparentności administracja publiczna musi się nauczyć. Chętnie dalej będę pomagał w jej edukacji - sam od dwóch lat działam w Open Source'owych Projektach i wiele się nauczyłem dzięki temu. Mam zamiar dalej się temu przyglądać i działać żeby otwartość była prawdziwa a nie tylko na pokaz.

Materiał źródłowy: Moje konto na GitHub z kontrybucjami - można sobie sprawdzić wszystko https://github.com/potiuk

[potiuk]

@PawelLitwinski -> spójrz proszę na #226 . To jest dyskusja na temat "kill-switch" o którym w raporcie napisaliście że jest "Drugim obszarem" który może "stanowić zagrożenie dla prywatności" . W #226 już ponad miesiąc temu zaproponowałem konstruktywne, możliwe i bardzo tanie dla podatnika rozwiązanie (dogadanie się z Apple i Google w kwestii użycia "kill-switch" który oni mają). Już prawie miesiąc czekamy na informację, co w tej sprawie się dzieje. Mam nadzieję że - zgodnie z tym co piszesz - tym razem obejdzie się bez kontrowersyjnych wpisów.

@PawelLitwinski - skoro już się zacząłeś udzielać na GitHubie. Zawsze chętnie w Open Source widzimy tak zwanych "non-code" contributors. Mówiliśmy o tym między innnymi na tym talku z Airflow Summit 2020 - konferencji z ponad 6000 uczestnikami z całego świata, z Lipca 2020 której byłem jednym z głównych organizatorów i na który osobiście zaprosiłem Gris i Aizhamal żeby opowiedziały o tym jak ważne jest żeby w społeczności Open Source pojawiały się osoby nie-techniczne.

Myślę że Twoje doświadczenie prawnicze może być super przydatne - nie tylko w społeczności ProteGo Safe ale i w wielu innych. Zachęcam do dyskusji w #226 - myślę że super by było, gdybyś brał udział w dyskusji na temat który sam w raporcie razem ze swoimi współpracownikami uznałeś za jeden z najważniejszych problemów.

BTW. Jak wrócę z wakacji i przestudiuję raport dokładnie pewnie otworzę parę innych issue i zaproszę Cię do dyskusji.

[potiuk]

I jeszcze jedno.

Bardzo przepraszam, jeśli kogokolwiek uraziłem moim wpisem o Karlu Hoeckerze (chociaż naprawdę szczerze polecam obejrzenie tej sztuki). W szczególności przepraszam @MateuszRomanow i @Tarvald , również @PawelLitwinski .

Doskonale wiem, że takie bezpośrednie, publiczne porównanie, nie jest do końca adekwatne (przynajmniej w naszych warunkach, na razie jeszcze do nazizmu daleko). Fakt, że takie skojarzenia mam, fakt, że przyszedł do mnie programista który też je miał. Ale nie musiałem tego robić. Zrobiłem to po to, żeby wzbudzić zainteresowanie (udało się) i wymusić publikację raportu (również się udało).

Mimo wakacji, przejrzałem pobieżnie raport i tak jak myślałem - nie był on publikowany do tej pory chyba (znowu niestety zgaduję) nie bez powodu (patrz pkt wyżej i #226). Mam nadzieję że wszyscy wspólnie (również @MateuszRomanow @tarvald @bpaszcza i @PawelLitwinski będziemy działać żeby ten problem - #226 został rozwiązany - najlepiej jak najtaniej w sposób który konstruktywnie już ponad miesiąc temu zaproponowałem).

Jeszcze raz przepraszam tych, których uraziły moje skojarzenia i ich upublicznienie.

[MateuszRomanow]

Jeszcze raz przepraszam tych, których uraziły moje skojarzenia i ich upublicznienie.

Dzięki za to, że pojawiły się te słowa. Ciśnienie było mocno podniesione.

Podsumowując ten wątek:

• raporty zostały opublikowane, przedłużyły się ze względów głównie administracyjnych, na które nie mamy bezpośredniego wpływu; co było z kolei związane ze specyfiką projektu, zmieniającym się w locie systemem, co też wydłużało prace.
• raporty są w folderze audits, dodatkowo w #223 oraz - przede wszystkim - na https://www.gov.pl/web/protegosafe/dokumenty
• dyskusję, momentami mocno emocjonującą już przeszliśmy.

braki zostały uzupełnione, issue jest nieaktualne, wątek pozostaje do zamknięcia.

[potiuk]

Ja bym prosił jednak o parę dni, chyba że otworzę nowy wątek - może tak będzie lepiej ?

Tak jak zapowiadałem mam zamiar przejrzeć ten raport i zadać kilka pytań @PawelLitwinski bo zauważyłem że w raporcie pominięto (tak mi się wydaje) przynajmniej jedną kwestię - mianowicie kwestii traktowania adresu IP jako daną osobową w kontekście możliwości de-anonimizacji adresu IP przez Ministerstwo Cyfryzacji (wątek wielokrotnie poruszany m.in w #116).

Wydaje mi się, że autorzy raportu są bardzo kompetentni w tej dziedzinie i pomogą społeczności wyjaśnić tę kwestię bardzo merytorycznie (z odwołaniem do konkretnych przepisów i materiałów źródłowych). Będę o to do @PawelLitwinski apelował - nasza społeczność potrzebuje takiego merytorycznego głosu w tej dziedzinie.

Potrzebuję kilku dni i powrotu z wakacji i przestudiowania raportu, ale - jeśli tak będzie wygodniej, mogę otworzyć oddzielny wątek.

[MateuszRomanow]

Nowy wątek +1

[kamilgthecoders]

Cel zgłoszenia został osiągnięty. Dziękuję kontrybutorom, a temat zamykam.

[SeraMoon]

Cześć, przesyłam aktualizację:

wersja 4.2.1 (z opóźnieniem) trafiła dzisiaj do finalnych retestów - to będzie wersja, w której została zmitygowana większość sugestii, które pozostały z poprzedniej analizy (niski poziom i ogólne zalecenia; tylko takie tematy wyszły w ostatnim). Na bazie tych retestów zostanie przygotowany finalny raport po audytowy części aplikacyjnej (Android i iOS) który - jak tylko go dostaniemy w finalnej formie - opublikujemy go na GH. Niestety się to przedłużyło, głównie przez konieczność testów pomiędzy platformami (Android<>iOS) w warunkach izolacji, co znacząco wydłuża cały proces. Audyty cały czas są w procesie i chcemy je jak najszybciej skończyć właśnie do wersji 4.2.1.

Tymczasem po przeglądzie raportu z podatności - w poprzedniej wersji testowanej 4.1 ("z poprzedniej analizy") wymieniono 1 podatność krytyczną, 4 wysokie i 1 średnią. Jak to Panie @MateuszRomanow ma się do Pana wersj?

Przepraszam, ale po takich "pomyłkach" i fakenewsach (by nie nazwać tego wprost kłamstwami) to w moim zespole nikt już nie [ma] ufa. Po takich perypetiach jakie miały miejsce w sprawach tej aplikacji (rząd wypierał się, że planował dopuścić 10% więcej klientów z aplikacją ProteGo, promowanie aplikacji przez nieistniejących profesorów i doktorów, w końcu zostaliśmy wprowadzeni w błąd, że w poprzednim sprawdzeniu były tylko niskiej wagi podatności) to już nikt nie powinien zaufać przez własny instynkt samozachowawczy bowiem nikt nie powinien brać na słowo, że nie wróci śledzenie.

Dziękujemy za tak prawdomówną aktualizację.

Odnośnie treści raportu prywatności mam uwagę, że Cloudflare nie gwarantuje prywatności, a co więcej ToS Cloudflare wprost wskazuje, że mogą zbierać dane osobowe. Mam na myśli zdanie (oh jak wspaniale, gdy dostarczacie dokumenty audytowe jako obrazek, niezgodny z WCAG 2.0 i nie mogę skopiować tutaj tego zdania tylko muszę je przepisywać...)

wykorzystanie Exposure Notification API Google i Apple oraz technologii od Cloudflare dla zapewnienia poufności oraz ochrony przed atakami DDoS [Str. 7 z 68, linia 1 i 2]

Raport oczywiście zawiera zalecenia, które powinny zostać wdrożone, nie wypadł więc wzorowo i producent aplikacji wypuścił ją do sklepów App store oraz Google Play bez naprawienia kwestii zalecanych dotyczących prywatności.

Zastanawiające jest też, że raport prywatności mówi o wersji 4.2.2 (wciąż zawierający kwestie do naprawy), a raport bezpieczeństwa, który wyszedł poprawnie dotyczy wersji 4.2.1. Skąd ta niespójność?

[kamilgthecoders]

@SeraMoon proszę utwórz nowy wątek z uwagami do konkretnego raportu + jak chcesz to zalinkuj do wypowiedzi @MateuszRomanow. Ten wątek jest już zamknięty bo Brak raportów + ich dostarczenie wyczerpuje temat Issue. Dziękuję.

[SeraMoon]

Zlinkowane jest w temacie #223.