04.01.2021 | 21:10

Adam Haertle

Kuriozalne zarzuty w dokumentacji przetargowej na zakup sandboksa w KNF

Lektura dokumentacji przetargowej to równie fascynujące zajęcie, co połów perłopławów. Praca ciężka, skracająca życie o wiele lat i raz na jakiś czas dająca chwilę satysfakcji po znalezieniu prawdziwej perełki. Taka chwila właśnie nadeszła, a perła jest dorodna.

Pytać czytelników z3s, czy pamiętają atak Lazarusa na polskie banki z roku 2017, to jak pytać ślimaka, czy ma rogi. To właśnie nasz serwis powiadomił świat o tym ataku, wskazując, że przestępcy do bankowych komputerów dostali się po skutecznym zaatakowaniu serwera Komisji Nadzoru Finansowego. Niezbyt dobrze to o bezpieczeństwie regulatora weryfikującego bezpieczeństwo banków świadczyło. To najwyraźniej – na szczęście – się zmienia, a jednym z przejawów tej trwającej zmiany jest przetarg na sandboksa.

Przetarg jak przetarg, ale to odwołanie

KNF kupuje nowy system chroniący pocztę i ruch internetowy organizacji. Specyfikację systemu znajdziecie w linkowanym już wcześniej dokumencie (strony 38-42). Jej wstępna lektura nie budzi w nas wątpliwości – lecz jedna z firm, zainteresowanych udziałem w przetargu, takich wątpliwości znalazła całkiem sporo. Znaleźć je możecie w odwołaniu do Prezesa Krajowej Izby Odwoławczej.

Firma, która kwestionuje zapisy specyfikacji istotnych warunków zamówienia, prawdopodobnie słusznie podnosi, że spełnić je może tylko system FireEye. Do tego wątku jeszcze wrócimy, lecz najpierw spójrzmy, dlaczego autorzy odwołania uważają, że FireEye nie jest godzien zabezpieczać infrastruktury Komisji Nadzoru Finansowego. Trzymajcie się krzeseł, to będzie dzika jazda.

Uzasadnienie złego wyboru zamawiającego

Niestety dokument został opublikowany w wersji zeskanowanej, ale warto utrwalić ten akapit w formacie indeksowalnym. Oto wersja tekstowa (przepisana dosłownie, z zachowaniem błędów ortograficznych i interpunkcyjnych):

2/ Produkt Fireeye posiada luki, został zhakowany, jego zamówienie przez KNF, Zamawiającego publicznego, w tym momencie nie jest bezpieczne, ponieważ producent Fireeye nie zna luk przez które wchodzą hakerzy, technologia Fireeye obecnie nie zapewnia bezpieczeństwa.

Fireeye zostało przetestowane przez hakerów, którzy włamali się do Fireeye

1) Hakerzy skradli narzędzia. „skradziono arsenał narzędzi hakerskich używanych do testowania zabezpieczeń u klientów”

2) ofiarą mogły paść dane klientów — agencji rządowych: „Poza kradzieżą narzędzi, hakerzy wydawali się być również zainteresowani podzbiorem klientów FireEye: agencjami rządowymi.”

3) Fireeye nie zna przyczyn, dziur, wad, źródła problemu — więc zamawianie rozwiązania Fireeye obecnie jest nierozsądne: wydawanie pieniędzy publicznych na coś, co wiadomo, że padło ofiarą hakerów i producent nie wie jak to się stało i jak temu zapobiec w przyszłości: „operacja hakerów (…) wykorzystywała też wcześniej niewidziane techniki.”

4) W tej sytuacji, opieranie przez Zamawiającego swojego bezpieczeństwa o produkt, który zawiera znane, nie naprawione luki, jest nie uzasadnione. Włamanie do FireEye to ogromny cios dla tej firmy, bo dowodzi, że jej produkt nie zabezpiecza, na co zareagował rynek (…) jest jednym z najbardziej znaczących naruszeń w historii. Akcje firmy spadły o 8 proc. po kilku godzinach od ogłoszenia informacji.”

Dowód https://biznes.wprost.pligospodarka/10397120/gigant-od-cyberbezpieczenstwa-padl-ofiara-hakerow-podeirzana-lest-rosja.html Dowód https://www.nytimes.com/2020/12/08/technoloRy/fireeye-hacked-russians.html

Zakup takiego produktu nie odpowiada rzeczywistym potrzebom Zamawiającego, wśród których znajduje się zapewnienie bezpieczeństwa. Nie jest, więc uzasadnione takie opisywanie przedmiotu zamówienia, które dopuszcza tylko to rozwiązanie.

Od czego tu zacząć komentarz…

Największy problem w momencie pisania komentarza do tego paragrafu mamy, nie wiedząc, w którym miejscu tych bzdur powinniśmy rozpocząć.

Autor w oczywisty sposób nawiązuje do najpoważniejszego incydentu bezpieczeństwa minionego roku. W skrócie opisywaliśmy go wiele dni temu, szykujemy obecnie obszerny webinar poświęcony tylko temu incydentowi (a historia jest spektakularna). Trudno być bardziej w błędzie niż autor odwołania, co spróbujemy opisać w paru punktach poniżej.

  1. FireEye nie tylko świetnie wie, jak się do niego włamano, ale przede wszystkim to FireEye właśnie odkryło to włamanie. Ofiarami były najważniejsze agencje rządowe USA, chronione przez amerykańskie służby specjalne. Ofiarami były Microsoft, Palo Alto czy Crowdstrike, firmy posiadające wyspecjalizowane działy bezpieczeństwa, lecz to właśnie FireEye jako pierwszy namierzył działania włamywaczy, więc medal im, a nie oszczerstwa się należą.
  2. To nie produkt FireEye „posiada luki, został zhakowany”. Włamanie nastąpiło poprzez złośliwą aktualizację narzędzia do zarządzania siecią, produkcji innego dostawcy.
  3. „Producent Fireeye nie zna luk przez które wchodzą hakerzy” – to właśnie FireEye jako pierwszy opublikował rozbudowaną analizę działań włamywaczy i używanych przez nich technik i narzędzi.
  4. „Akcje firmy spadły o 8%”. Spadły nawet o 12% (z ok. 15 dolarów na 13), a krótko potem wzrosły o ponad 80% – obecnie warte są ok. 21 dolarów.
  5. A szkoda już elektronów na dalsze komentowanie tych bzdur.

To nie jedyne kuriozum

Polecamy lekturę całego odwołania. Firma je wnosząca zarzuca zamawiającemu, że wymagając, by zamawiany system posiadał możliwość emulacji nie tylko systemu Windows, ale też MacOS i wykluczając emulację w chmurze ogranicza pulę dostępnych rozwiązań do produktów FireEye. Podnosi także, że MacOS jest „rzadko stosowany w Polsce, jest drogi, niszowy”, emulacja w chmurze nie powinna być wyłączona z postępowania, ponieważ „nie ma żadnej różnicy czy uruchomienie następuje na urządzeniu czy w chmurze, bo efekt końcowy jest ten sam”, a wymagania wobec sandboxa nie powinny obejmować wyposażenia go w licencje Microsoft Office.

Nasz komentarz, krótki już, bo naprawdę szkoda czasu naszego i waszego: MacOS może jest i drogi, ale bywa (i to często) używany w środowiskach korporacyjnych, także (i to nierzadko) bankowych, wysyłanie plików do chmury jest fajne pod warunkiem, że nie zawierają informacji, które mogą być objęte jedną z rozlicznych ustaw regulujących różne tajemnice, chociażby bankową czy dane osobowe (a takie zapewne KNF przetwarza regularnie), a oczekiwanie usunięcia wymogu, by produkt zawierał już licencje MS Office trudno skomentować.

Na koniec warto zaznaczyć, że podstawowy zarzut odwołania, jakoby tylko produkt FireEye spełniał wymogi postępowania dotyczące lokalnej instancji MacOS, także wydaje się całkiem chybiony – wymóg taki spełnić mogą m. in. produkty Juniper ATP czy Joe Sandbox Ultimate.

Przetargi w Polsce to temat rzeka i nie podejmujemy się nawet go zaczynać – ale ta perła musiała ujrzeć światło dzienne.

Artykuł zaktualizowany o informacje o możliwych innych dostawcach rozwiązań.

Powrót

Komentarze

  • 2021.01.04 21:24 aCzemu

    Tu się nie ma co śmiać, gdyż znając merytorykę co niektórych orzeczników KIO to takie odwołanie może być skuteczne.

    Odpowiedz
    • 2021.01.05 14:16 wk

      Dokładnie. To jest spear odwołanie ;) celowane w proces rozpatrywania.

      Odpowiedz
  • 2021.01.04 22:33 Rafał

    Kto uczestniczył w rozprawie KIO to czytając takie odwołanie się nie śmieje.

    Odpowiedz
  • 2021.01.04 22:36 asdsad

    Mi się podoba strona tej firmy. Fajnie panie się tam wyginają w tle :)

    Odpowiedz
    • 2021.01.10 13:49 zmg

      W sam raz dla firmy z branży IT ;)

      Odpowiedz
  • 2021.01.05 00:05 Kell

    Mi wygląda to na takie szybkie notatki, które sobie prawnik zapisał na kolanie żeby później wysmażyć poważny tekst. „Dobra, przygotuje sobie taki szybki szkic co wpisać w poszczególnych punktach, a potem to ubiorę ładnie w zdania i odpowiednio zrobię przypisy”. Tylko chyba coś nie pykło…

    Odpowiedz
  • 2021.01.05 00:24 smieshne

    „Nie znam się na p.z.p ale się wypowiem …” – eksperci od wszystkiego, byle klikanie było ;)

    Odpowiedz
    • 2021.01.05 12:04 maruda

      Ale to nie dotyczy PZP, tylko strony merytorycznej.
      Gdyby ktoś w liście wysłanym pocztą do NASA napisał, że Mars krąży wokół Saturna, to byłaby to bzdura i do stwierdzenia tego nie trzeba pracownika Poczty Polskiej.

      Odpowiedz
      • 2021.01.05 13:07 z3stoUSD

        dotyczy,
        przeczytaj siwz i cale odwołanie.
        takie wyciaganie kontekstu zalatuje Kurskim i TVP, ale czego nie robi sie pod publike bycie pseudo ekspertem.

        domena cyberpudelek.pl wykupiona?;)

        Odpowiedz
  • 2021.01.05 10:01 p0k3m0n

    Faktem jednak jest, ze kupowanie za ciezkie pieniadze systemu, ktory okazal sie bezuzyteczny jest komiczne. Z drugiej strony jak znam sytuacje nikt w Polsce nie mial wyboru: USA nakazaly swojemu chlopowi panszczyznianemu uzywac FireEye to parobek bedzie go uzywac. Jeszcze tak nie bylo, aby jakis sektor publiczny w Polsce nie byl pod pelna kontrolna Waszyngtonu i NY. Pamietajmy, ze polskie dane fiskalne i ludnosci leza na serwerach USA do ktorych to panstwo ma pelny dostep. O czym tu mowic.

    Odpowiedz
    • 2021.01.05 10:08 adamh

      Powtarzasz bzdury bez żadnej weryfikacji. Dane fiskalne są przechowywane wyłącznie w formie zaszyfrowanej, a klucze pozostają w Polsce.

      Odpowiedz
      • 2021.01.05 12:32 kleo

        To inny temat. Ale ciekawy, jak sądzę.

        Czy masz na myśli przechowywanie danych polskich podatników na serwerach firmy Microsoft?

        Nie wyobrażam sobie żeby te dane nie były zaszyfrowne. Nawet jeżeli tak jest w istocie: czy nie sądzisz, że władze polskie jednak powinny trzymać je na własnym komputerze zamiast na cudzym? W ogóle nie chodzi mi o kwestie prawne. Raczej mam na myśli niezależność.

        Odpowiedz
        • 2021.01.05 14:21 wk

          @kleo

          Ważna jest też dostępność danych. Tzn dane na krajowej infrastrukturze stają się bezużyteczne gdy są niedostępne. Poza tym (ale to już szczegół) państwo jako takie nie posiada własnych centrów danych. Musi je wynająć od prywatnego podmiotu. Podmiot musi spełnić konkretne wymagania. Jeśli podmiot lokalny ich nie spełnia…

          Odpowiedz
          • 2021.01.05 16:02 xiMR

            > państwo jako takie nie posiada własnych centrów
            > danych. Musi je wynająć od prywatnego podmiotu

            Jeżeli państwo nie ma własnej infrastruktury do prowadzenia rejestrów państwowych w formie elektronicznej, to musi pozostać przy formie papierowej. Sorry.

            Brzmi to szaleńczo, ale wysyłanie całego rejestru państwowego do cudzej infrastruktury jest o wiele, wiele gorsze. „Cyfryzacja” państwa bez własnej infrastruktury to jest porywanie się z motyką na słońce i jako taka jest niedopuszczalna.

            A w praktyce: da się samemu takie centrum danych zbudować, i państwo takie posiada. Zastanawiam się, czy korzystanie z komputerów Microsoftu zamiast z własnych nie wynika z wygody i nonszalanckiego podejścia do prywatności milionów podatników.

          • 2021.01.05 16:17 Adam Haertle

            Można bezpiecznie korzystać z cudzej infrastruktury w ogóle jej nie ufając. Matematyka wystarczy.

          • 2021.01.05 22:51 Kamil Br

            @Adam Haertle

            Moim zdaniem mylisz się. Jeżeli mówiąc „bezpieczeństwo” ma się na myśli zapewnienie nie tylko poufności i integralności danych, ale także ich dostępności, to nie możemy. I matematyka nie wystarczy.

            Nasz dostawca może być zmuszony (w państwach bandyckich: fizycznie, w państwach niebandyckich: prawnie) do odcięcia nam dostępu do infrastruktury, którą u niego wynajęliśmy. Także państwo, którego jurysdykcji podlega dostawca, może nas takim działaniem szantażować.

            Między innymi dlatego jest niedopuszczalne trzymanie danych polskich podatników przez polskie urzędy na serwerach prywatnych firm za granicą.

          • 2021.01.05 23:41 adamh

            Prędzej Iwan rozjedzie polską serwerownię czołgiem niż Amazon odetnie klienta „bo tak”. Prosta analiza ryzyka :)

          • 2021.01.06 01:15 wk

            @adamh

            No mi też podobnie wychodzi :) Duży dostawca ma też o wiele większe możliwości oparcia się naciskom politycznym.

          • 2021.01.06 00:23 cukier

            > Prędzej Iwan rozjedzie polską serwerownię czołgiem

            Zabezpieczenie przeciw skutkom fizycznego zniszczenia krajowej serwerowni daje na przykład redundancja, wykorzystywana zresztą dzisiaj z powodzeniem w innych państwowych rejestrach elektronicznych. I to już od lat 80. XX wieku.

            To trudniejsze niż wrzucić dane prawie wszystkich Polaków na cudze serwery, lecz gwarantujące niezależność. Między innymi niezależność od decyzji obcych polityków.

            > niż Amazon odetnie klienta „bo tak”.

            Gdyby rząd Stanów Zjednoczonych zechciał, to nałożyłby sankcje na Polskę i Amazon w try miga zablokowałby to, czego rząd by zażądał. Precedensy już są (Iran, Krym, Turcja).

            > Prosta analiza ryzyka :)

            Nie, wcale nie taka prosta.

            Sankcje np. USA są dziś bardzo mało prawdopodobne, ale podatki będzie się zbierać również za kilkadziesiąt lat i rejestry też za kilkadziesiąt lat będą istnieć. Polski rząd raczej nie wdroży tam technologii blockchainowych. A nawet jeśli tak, to niektóre serwery państwowe w przewidywalnej przyszłości i tak będą istnieć. Również w zupełnie innych realiach politycznych niż dziś.

          • 2021.01.16 11:13 asdsad

            @wk
            Nie no, państwo ma infrastrukturę, a przynajmniej stwarza takie pozory. Np. Ministerstwo Finansów ma swój CIRF (Centrum Informatyki Resortu Finansów), zwane wcześniej CPD (Centrum Przetwarzania Danych), a mieście Ra(n)dom. Dobre parę baniek na to poszło.

      • 2021.01.05 14:13 p0k3m0n

        „Dane fiskalne są przechowywane wyłącznie w formie zaszyfrowanej, a klucze pozostają w Polsce.” – oczywiscie w to wierzysz. Czemu? Bo Kowalskie wierza we wszystko.

        A nawet jesli jest tak pieknie i idealnie, to wytlumacz mi, jak ma sens, aby trzymac najbardziej wrazliwe dane na cudzych serwerach, zamiast na wlasnych. Sadzisz, ze Polski nie stac na kilka serwerow w naszym kraju i trzeba je trzymac na infrastrukturze USA?

        Odpowiedz
        • 2021.01.05 14:46 adamh

          A wierzysz, ze nie żyjesz w jednej wielkiej symulacji i wszystko, z tym komentarzem włącznie, jedynie ci się wydaje? Gdzie jest granica wiary?

          Odpowiedz
          • 2021.01.05 15:56 p0k3m0n

            Buhahahaha! Co za odpowiedz z psychiatryka. Ja tu o podeglosci Polski wzgledem USA, a norm wyjezdza z jakimis wizjami. Paradne.

          • 2021.01.06 01:26 wk

            @p0k3m0n

            Duże firmy są w stanie prowadzić swoją politykę, niezależną od polityki państw. I prowadzą.

          • 2021.01.06 10:33 Większy piesek

            Znaczy się vty pokemonie wyjeżdżasz z wizjami a on swoim komentarzem pokazuje jak daleko uciekłeś od rzeczywistości.

          • 2021.01.07 18:19 Forden

            > Duże firmy są w stanie prowadzić swoją politykę,
            > niezależną od polityki państw. I prowadzą.

            Pod warunkiem, że nie są to „duże firmy w dużym państwie”. Duże firmy amerykańskie przestrzegają prawa amerykańskiego i wykonują dyrektywy rządu USA. Analogicznie duże firmy chińskie są związane realiami prawno-politycznymi ChRL, a duże firmy rosyjskie – realiami Rosji.

            Amazon, Microsoft czy Google nie mogą i nie będą się sprzeciwiać sankcjom nałożonym na jakiś kraj przez rząd USA. Dlatego trzymanie tam danych *państwowych* jest gorsze niż własna serwerownia na terenie swojego *państwa*, bo dostęp do tych danych zależy *bezpośrednio* od polityki rządu Stanów Zjednoczonych.

        • 2021.01.12 13:02 Krzysiek

          „„Dane fiskalne są przechowywane wyłącznie w formie zaszyfrowanej, a klucze pozostają w Polsce.” – oczywiscie w to wierzysz. Czemu? Bo Kowalskie wierza we wszystko.”

          Pracowałem w firmie która pisze oprogramowanie do kas fiskalnych – szyfrowanie asymetryczne, klucze siedzą TPM-ie (producent europejski), do chmury leci to co jest zaszyfrowane. Ministerstwo ma na swoich serwerach klucze by to rozszyfrować.

          „A nawet jesli jest tak pieknie i idealnie, to wytlumacz mi, jak ma sens, aby trzymac najbardziej wrazliwe dane na cudzych serwerach, zamiast na wlasnych. Sadzisz, ze Polski nie stac na kilka serwerow w naszym kraju i trzeba je trzymac na infrastrukturze USA?”
          Problem z tymi danymi jest taki, że jest ich sporo, problem drugi to taki, że mamy „gorące okresy sprzedażowe” i wtedy „sporo” leci „często i gęsto”. Najłatwiej (najtaniej) było to zrzucić na infrastrukturę zewnętrzną – czyli do chmury Mikrosoft-u. Kopie i tak mamy i to rozproszone :) – kasy ma pamięć fiskalną i wszystko sobie tam leży :). Nie wiem jak wygląda temat z kasami online bo takie pomysły były.

          Odpowiedz
      • 2021.01.07 14:26 Agent Orange

        Niestety biznes z USA bardzo się słucha swojego rządu. Firmy dostarczające sprzęt podlegający pod ITAR bardzo szybko się wycofywały z transakcji z sojusznikami gdy tylko ich rząd miał zastrzeżenia.
        Z tego powodu w Europie zaczęsto inwestować w rozwój pewnych technologii aby uniezależnić się od fochów dostawców z USA.
        Z taki powszechnie znanych histroii jest przypadek systemu Android i chińskiego producenta smartfonów.
        Więc trzymanie danych u „sojusznika” który w każdej chwili może się rozmyśleś to spore ryzyko.

        Odpowiedz
        • 2021.01.07 21:41 Kornel

          Dlatego jedyne rozwiązanie to własne serwery.

          Baza danych podatników całkowicie odcięta od Internetu, wymiana danych ze stacjami roboczymi urzędów i podatników tylko przez serwery pośredniczące.

          Niestety, patrząc na rzeczywistość w Polsce, to na razie to science fiction.

          Do niedawna strona gov.pl miała tak źle skonfigurowany HTTPS, że dostał ocenę F od SSLlabs. A kilka miesięcy temu wystąpił błąd admina dający nieograniczony dostęp do tysięcy skierowań innych Polaków.

          Błąd naprawiono. A jakie wnioski na przyszłość wyciągnęła z tego nasza kochana władza? Ano właśnie wprowadzają (od jutra) te skierowania jako *obowiązkowe* dla wszystkich. Słowem: tragedia.

          Cyfryzacja w Polsce to ogromne ułatwienie inwigilacji dla służb plus nieuchronne wycieki wrażliwych danych Bogu ducha winnych mieszkańców Polski.

          Odpowiedz
    • 2021.01.05 15:44 Hieronim Kopytko

      Uzasadnij kiedy i dlaczego „okazal sie bezuzyteczny”?

      Odpowiedz
      • 2021.01.06 10:29 Mnich

        No bezużyteczny bo nie dał 100% ochrony. Jeżeli Volvo robi samochody i jeden na milion popsuje się w trakcie pierwszego roku po zakupie to Volvo robi bezużyteczne samochody. Jeżeli masz dostawcę internetu a w piątek mierzy 13:02 a 13:05 nie było internetu to to jest bezużyteczny dostawca który nie dostarcza internetu i już lepiej te pliki drukować na kartkach i wysyłać poczta polską bo oni zawsze działają miedzy 13:02 a 13:05. Itd. Itp. Myślenie jest takie że albo 100% albo 0% jesteś nieomylny albo jesteś bezużyteczny dlatego najlepszy pracownik to 18 latek bez doświadczenia bo każdemu innemu udowodniono że się kiedyś w pracy pomylił a skoro się myli to jest bezużyteczny.

        Odpowiedz
    • 2021.01.06 10:25 Trew

      Pytanie w jakim kontekście okazał się bezużyteczny. Np. dowolna instytucja która rozważa zakup rozwiązania może być teraz zhackowana i nie mieć o tym świadomości. Zobaczmy kilka ostatnich wycieków po zhackowany np. sklepow internetowych. Zawsze wyglądało to tak: pojawia się duża liczba klientów którzy zaczęli dostawać „dziwne smsy” i ich wspólna cecha jest zakup s sklepie X. Sklep X mówi że to na pewno nie oni i robi to tak długo aż złodziej sam informuje „zhackowalem sklep X i mogę sprzedać dane za 5 zł”.
      I tak jest pewnie w większości firm że wycieku nie było tak długo aż złodziej sam na ich stronie nie opublikuje info o ataku.

      Więc o tej firmie wiemy że był atak i został już zatrzymany. Nie wiadomo co z takim atakiem zrobiłyby inne firmy ale wiara że na pewno odparlyby każdy atak jest raczej naiwna.

      Zresztą to jak z pracownikami są dwa podejścia jedna firma wierzy że wszyscy ludzie są bezbłędni i zwalnia ludzi po pierwszym przewinieniu i nie zatrudnia ludzi którzy popełnili błąd i dziwi się czemu skoro zatrudniają samych bezbłędnych ludzi to co chwila u nich albo b ktoś wydaje maila z zarobkami nie do tej osoby albo tajne informacje do konkurencji? Podczas gdy druga forma wierzy w to że człowiek uczy się na błędach i wierzy że jak raz człowiek popełni błąd wysłania maila nie tak gdzie trzeba to będzie wiedział żeby w przyszłości się pilnować w tym obszarze.

      Odpowiedz
  • 2021.01.05 10:04 Name

    Ja bym sie skupil na tym, ze przetarg zostal rozpisany pod konkretna firme (jesli tak faktycznie jest), a cala reszte bzdur na ta chwile olal. FireEye faktycznie wykryli atak ale tylko dlatego, ze sami zostali zaatakowani.

    Odpowiedz
    • 2021.01.05 10:08 adamh

      Artykuł poprawiony, są inne produkty spełniające założenia.
      A argument że FE wykrył bo był zaatakowany – a jak miał wykryć jakby nie był? Oraz reszta też była, a nie wykryli, więc twój argument jest inwalidą.

      Odpowiedz
      • 2021.01.05 13:28 Name

        Adamie, ktorzy inni konkurenci z branzy FireEye zostali zaatakowani (z sukcesem) w ten sam sposob (SolarWind) i nie tego wykryli? Pytam bo nie wiem.

        Odpowiedz
        • 2021.01.06 10:35 Kc

          Nie wiesz bo pewnie są tak bardzo zhackowany że willa nawet tego nie sprawdzać tylko co wieczór się modlą „daj pytanie żeby kradli dane a nie robili random bo się wyda”.

          Odpowiedz
          • 2021.01.06 10:36 Kc

            Ransom nie random miało być

      • 2021.01.05 13:31 Name

        Jak FE mial wykryc atak jesli nie byl sam atakowany? Moze u swoich klientow Adamie?

        Odpowiedz
    • 2021.01.05 14:24 kattom

      Tak to nie dziala. KIO – jak kazdy sad administracyjny – reaguje na to co powód zarzuca (o co wnioskuje) i na tym sie skupia. Nie rozwija watkow pobocznych, nawet jakby byly oczywiste. Na te moze jedynie reagowac reprymenda wzrokowa.

      Odpowiedz
  • 2021.01.05 10:57 Morris

    A mi się wydaje że kij ma dwa końce. Przetarg był rozpisany, ale pewnie i tak wygra firma która ma wygrać i w białych rękawiczkach złote monety popłyną tam, gdzie mają popłynąć.
    Firma się przyburzyła, ale zrobiła to na tyle nieudolnie że tylko się ośmieszyła.

    Ale jestem ciekaw czy wygra FireEye :-)

    Odpowiedz
  • 2021.01.05 11:02 Seb

    Mam warażenie ,ze autor tego artykułu reprezentuje firmę Fireeye. Najlepiej potwierdza to przedostatni akapit tekstu. Autor wskazuje na mniej znaczącą tezę odwołania i kreuje z niej główny zarzut. Zwykła manipulacja.

    Odpowiedz
    • 2021.01.05 11:07 adamh

      Tak, właśnie wystawiam fakturę.

      Odpowiedz
      • 2021.01.05 22:32 KsiegowyOSP

        Właśnie dzwonili z Waszyngtonu, przelew poszedł.

        Wracając do tematu danych trzymanych w USA – słowo klucz to szyfrowanie.

        Odpowiedz
  • 2021.01.05 11:05 iot

    Jakieś źródła tego, że ofiarami były „Palo Alto czy Crowdstrike” ?

    Odpowiedz
    • 2021.01.05 11:14 adamh

      Palo Alto https://blog.paloaltonetworks.com/2020/12/solarwinds-statement-solarstorm/
      „Recently, we experienced an attempt to download Cobalt Strike on one of our IT SolarWinds servers. Cortex XDR instantly blocked the attempt with our Behavioral Threat Protection capability and our SOC isolated the server, investigated the incident and secured our infrastructure. We also deployed a set of IOCs to our customer-facing Palo Alto Networks products as a result of this.”
      Komentarz – oczywiście wykryliśmy ten incydent tylko zapomnieliśmy sprawdzić, jak to się stało, że ktoś nam Cobalta na serwer pobierał. Tzn może sprawdziliśmy, ale nikomu nie powiedzieliśmy, bo to w sumie nic poważnego nie było. LOL.

      Crowdstrike https://www.crowdstrike.com/blog/crowdstrike-launches-free-tool-to-identify-and-help-mitigate-risks-in-azure-active-directory/
      „Whilst doing our review, CrowdStrike was contacted by the Microsoft Threat Intelligence Center on December 15, 2020. Specifically, they identified a reseller’s Microsoft Azure account used for managing CrowdStrike’s Microsoft Office licenses was observed making abnormal calls to Microsoft cloud APIs during a 17-hour period several months ago. There was an attempt to read email, which failed as confirmed by Microsoft. As part of our secure IT architecture, CrowdStrike does not use Office 365 email.”
      Komentarz – Microsoft nam powiedział, że ktoś chciał się dobrać do naszej poczty – na szczęście nie mamy jej w chmurze, uff.

      Odpowiedz
      • 2021.01.05 11:43 iot

        to chyba inaczej rozumiemy kto jest ofiarą.

        1) jeśli odparli atak to raczej trudno nazywać ich ofiarą
        2) jeśli nic im nie zginęło/wyciekło to też raczej trudno nazwać ich ofiarami. Szczególnie jeśli ich architektura bezpieczeństwa nie pozwala na tego typu nadużycia.

        Komentarz: za to FireEye był ofiarą, do tego żywo zainteresowaną, żeby przeanalizować atak, chociażby po to aby oszacować straty.

        Ciekawe które działy bezpieczeństwa analizują z braku czasu ataki, które odparli. Np każdorazowe blokowanie złośliwego pliku na brzegu sieci…toż to muszą być prawdziwe ofiary.

        LOL

        Odpowiedz
        • 2021.01.05 11:46 Adam Haertle

          Porównujesz pobranie Cobalt Strike na serwer z blokowaniem złośliwego pliku na brzegu sieci? Lol.

          Odpowiedz
          • 2021.01.05 12:03 iot

            Nie. To wy porównujecie ofiarę, która została skompromitowana i napisała raport (brawa!) do niedoszłych ofiar (które nazywacie ofiarami! – LOL)

            Firmy 1 i 2 skutecznie atak zatrzymały lub do niego nie dopuściły. Czy napisały raporty? Tak. Czy zrobiły to jako pierwsze? Do publicznej wiadomości napewno nie. CZemu? Bo nie miały w tym interesu. FireEye miał, i to duży.

            A wystarczyło sprostować głupoty…

          • 2021.01.06 10:40 Ttt

            To ty raczej porownujesz kogoś kogo kto został skutecznie przejechany podczas gdy stał na chodniku i czekał na zmiane świateł do kogoś kto przypadkiem przechodził obok i przypadkiem został ochlapany przez ten v sam samochód. No tak bo ten ochlapany był bo dużo uważniejszy i dlatego go nie przejechano a nie dlatego że nikomu nie zależało.

          • 2021.01.05 13:36 Name

            Adamie, on porownuje atak zakonczony kompromitacja ofiary (FireEye) z atakiem odpartym przez ich konkurentow z branzy. To powininen byc glowny argument przy wyborze dostawcy sandboxa.

          • 2021.01.06 10:43 Kozak

            Tylko nie masz żadnych dowodów czy to nie jest tak. Masz sklep a i b. W sklepie a zauważyli że ktoś ukradł 4 bułki. W sklepie b brakuje rocznego zapasu korniszonów który ktoś wyniósł ale nikt ich nie szuka ani nawet o tym nie wie że zostały ukradzione bo akurat złapali 14 latka który chciał ukraść gumę balonową więc od razu widać że są bardziej odpornymi na ataki specami od bycia bezpiecznym.

          • 2021.01.06 19:31 Kc

            Tylko czy fireye zostało zaatakowane w ten sam sposób i nie podołali czy też fireye odparlyby tego typu atak też tylko zostało zaatakowane w bardziej wyrafinowany sposób?

          • 2021.01.06 13:38 iot

            Ttt i Kozak widzę, że zamiast o faktach wolicie dyskutować o wyimaginowanych sytuacjach, które zapewnie w waszej opinii są przystępnym sprowadzeniem 1:1 sytuacji ze świata IT Sec do sytuacyjek z ulicy i zakupów. No to tak na szybko, proszę poniżej dla was kilka ułomności waszych historyjek:
            1) Skoro samochód wjechał tyko w jednego a reszta, przypadkiem została ochlapana to Ttt pokaż mi proszę jakiś fakt (raport może?), który sugeruje, że atak był wycelowany tylko w FireEye, był kampanią prowadzoną tyko przeciw nim, a reszta to przypadkiem dostała rykoszetem.
            2) Poza tym, nawet jeśli się zgodzimy z tą wątpliwej jakości analogią to Ci dwaj ochlapani, tak gwoli ścisłości, mieli parasole i nawet się nie pobrudzili. Za to ten rozjechany…..wiadomo, próbuje wstać ale brudu i ran tak szybko nie zmyje.

            Wracając do faktów. Artykuł w jednym punkcie przyrównuje 3 firmy z obszaru IT Sec, z czego jedna została skompromitowana a reszta nie. Tutaj wchodzi Kozak z analogią, która sugeruje, że być może 2 pozostałe firmy nawet nie wiedzą, że zostały okradzione na dużą skale a wyłapały jedynie drobnego złodziejaszka. Czy Kozak może przedstawić na to jakieś dowody? Oczywiście NIE. Bo jakby mógł to by pewnie podlinkował. Czyli sytuacja urodziła się w jego głowie i barwnie próbuje ją nam tutaj sprzedać. Tyle, że niewiele w tym faktów i bliżej temu do beletrystyki.

            Odnosząc się zaś do faktów i samego artykułu (sorry Kozak i Ttt – wracamy na ziemie.) W zdaniu: „Ofiarami były najważniejsze agencje rządowe USA, chronione przez amerykańskie służby specjalne. Ofiarami były Microsoft, Palo Alto czy Crowdstrike, firmy posiadające wyspecjalizowane działy bezpieczeństwa, lecz to właśnie FireEye jako pierwszy namierzył działania włamywaczy, więc medal im, a nie oszczerstwa się należą.” :

            – Autor próbuje pomniejszyć wagę samej kompromitacji FireEye (no bo przecież nie tylko jedna firma miała wpadkę a wiele innych, w tym także te z branży IT Sec, czyli „troszeczkę” manipuluje i sugeruje, że nie dało się tego uniknąć bo tyle innych firm z działami bezpieczeństwa też nie dało rady).
            – Przemilcza, że wymienione dwie firmy z branży IT Sec, nawet się nie pobrudziły (czyli jednak dało się tego uniknąć).
            – Wbrew faktom obsadza firmy Palo Alto i Crowdstrike w roli ofiar (czyli skutecznie zaatakowanych)
            – W tym samym zdaniu medal chce dać firmie, która została skompromitowana i najbardziej oberwała ze wszystkich
            – w komentarzu do artykułu Autor przyznaje, że w sumie to nie zostały zaatakowane skutecznie, ale brak udokumentowanych i znanych Autorowi działań po zablokowaniu ataku najwyraźniej uzasadnia, aby w artykule nadal ofiarami były.
            – Jeśli to nie czarny PR to nie wiem co?

          • 2021.01.06 19:40 Kozak

            Oczywiście że nie mam dowodów – nie mam prawa przeglądać sieci i infrastruktury każdej firmy ale wiem na przykładzie starych ataków że polskie firmy nie przyznają się do bycia zhackowaną do momentu aż gówno uderzy w wiatrak i nie da się już tego dalej ukrywać.

            Przykladowo mam antywirusa i bardziej mnie interesuje że mój antywirus zazwyczaj radzi sobie lepiej niż konkurenci tj. że statystycznie szybciej wykrywa zagrożenia, skutecznie itd. niż to że w zeszły piątek nie wykrywał zagrożenia które jego konkurent potrafił wykryć.

            Podsumowując liczy się całokształt a nie jedno zdarzenie.

          • 2021.01.06 19:47 Kozak

            Nie przekonujesz mnie iot, może ty daj dowody i raporty że każdą firmę atakowano identyczne i zużywając takie same zasoby ze strony atakującego. Bo taka tezę stawiasz a jej nie popierasz. Równie dobrze na fireye mógł polecieć wyrafinowany atak a pozostałe formy przetestowano tylko czy nie ma jakiś głupich łuk które dość tanio pozwolą je hackowac.

        • 2021.01.07 21:01 ofca

          ad.1 Czyli zablokowanie pobierania CobaltStrike’a to już odparcie ataku? A jak niby zainicjowano jego pobieranie?
          ad.2 To, że jeszcze nic nie wiadomo na temat, że coś wyciekło to nie znaczy, że nie wyciekło. Poza tym już z samego wpisu CrowdStrike wychodzi, że przejęto konto Microsoft Azure (czyli jednak coś komuś wyciekło).

          Komentarz sponsorowany przez urządzenia każdorazowo blokujące pobranie szkodliwego pliku na brzegu sieci.

          Odpowiedz
          • 2021.01.08 19:23 spec

            Ad1) wiadomo jak został pobrany. Doczytaj zanim napiszesz znowu coś mądrego. Wiadomo, też że nie został zatrzymany na brzegu sieci.

            Ad2) Szerzenie różnych teorii w artykule jak i komentarzu wypada poprzeć jakimiś dowodami. przypominam, że całość dyskusji dotyczy nazwania kogoś ofiarą bez popracia tego faktami. Każdy ma prawo do swojej opinii i przedstawiania alternatywnych historyjek. Jednak odrobina przyzwoitości, nawet jeśli są prawdopodobne, nakazuje poprzedzić je takimi wyrażeniami jak: „w mojej opinii”, „moim zdaniem”, „wydaje mi się” itd. Chyba, że ma się na to jakieś twarde dowody to w porządku. Tych w artykule jak i komentarzach nie widzę.

            O ile komentującym można jeszcze wybaczyć, że prezentują różny poziom i brak im elementarnych zasad, o tyle od redaktora naczelnego poczytnego pisma branżowego można wymagać nieco więcej. Nie uważasz?

      • 2021.01.10 10:01 yaslaw

        Ciekawe. My dostaliśmy w pierwszym tygodniu po ujawnieniu tego włamania, oficjalną wiadomość od CrowdStrike w którym nas zapewniali, że nigdy nie używali Oriona…

        Odpowiedz
  • 2021.01.05 11:25 Zygmunt Żelazko

    A cała dyskusja o bezpieczeństwie z pudełka. Myślę że w przypadku ukierunkowanego ataku jego autorzy rozpatrują stosowane rozwiązania tylko pod jednym kątem – jako wektor ataku.

    Odpowiedz
    • 2021.01.05 18:15 Re

      Oczywiście mam cichą nadzieję że podatnicy nie za sponsorują jakiegoś wybitnego rozwiązania powstałego w głowie Pana Macierewicza i jego kolegów w ramach akcji teraz my bo jego producent zna lepiej potrzeby firmy rozpisującej przetarg ale w sumie pewnie skończy się na polskiej myśli technicznej

      Odpowiedz
  • 2021.01.05 11:54 Czytelnik

    Nie bronię jednej czy drugie strony ale po przeczytaniu, mam odczucie jakby artykuł był pisany pod zamówienie albo autor przeczytał tylko kilka zdań z całości i na postawie tego wyciągał wnioski.
    Analizując datę opublikowania odwołana oraz zawarty w odwołaniu link do NY Times ewidentnie widać ze na czas tworzenia odwołania nie było jeszcze wiadomo o ataku poprzez SolarWind.
    Ale to mniejsza uwaga.
    Dziwi mnie że autor artykułu nie zauważa uwag o licencjonowaniu os ogryzków.
    The End User License Agreement (EULA) for Apple Mac OS X legally and explicitly binds the installation and running of the operating system to Apple-labeled computers only.
    https://www.apple.com/legal/sla/docs/osx_snow_leopard_sec_upd.pdf
    https://kb.vmware.com/s/article/1000131
    Sumując, KNF chciał sobie kupić produkt który opisał zbyt nieudolnie(bo nie wpisał z nazwy tylko opisał go okrężnie  ) no i ktoś się zdenerwował. Na koniec zobaczymy co z tego zrozumieją sędziowie z KIO.
    Jak to ktoś od przetargów mi kiedyś powiedział, „nas stać kupić każdy produkt, chodzi o to aby wybrać taki który nam będzie odpowiadał”

    Odpowiedz
    • 2021.01.05 15:42 Adam Haertle

      Czytelniku, odwołanie trafiło do KIO 16 grudnia. Od 14 grudnia wszystko było o SolarWinds wiadomo a nikt nie pofatygował się przez 2 dni by ten akapit zaktualizować. Wstyd.

      Odpowiedz
      • 2021.01.06 20:41 Paweł

        Adam, zwróć uwagę, że odwołanie składała kancelaria w imieniu Kogośtam. Więc klient wrzucił wsad w jego pojęciu merytoryczny, a potem prawnicy ubierali to w swój slang. Był za późno na uwzględnienie Solarwind, choćby dlatego, że KIO spóźnień nie wybacza.

        Odpowiedz
  • 2021.01.05 12:07 Alek

    Fajny artykuł, taki tendencyjny. Ciekawe ile maców jest w knfie pewnie prezesa i 2 członków zarządu jak to zwykle w publiku bywa. Joe sandbox to nie onpremise a Junek do sandboxa macosowego wymaga dodatkowego komponentu dostarczonego przez klienta – redachtór sie nie zapoznał chyba z zapisami które komentuje.

    Odpowiedz
    • 2021.01.05 14:35 kattom

      To nie ma znaczenia ile jest OSXów. Nawet jesli jest jeden (i to akurat prezesa) to jest uzasadnienie wstawienia takiego wymagania.

      Problem jest zgola inny i dotyczy PzP. Bo ten wielokrotnie nowelizowany akt prawny jest (uwaga, eufemizm) daleki od doskonalosci. Bo daje w d.e zarowno zupelnie nieprzygotowanemu i niewiedzacemu co chce zamawiajacemu (wide: byle jakie OPeZety – Opisy Przedmiotu Zamówienia) jak i temu, ktory dokladnie wie czego chce i potrafi to precyzyjnie opisac. I tak – jesli OPZ bylby nijaki i generyczny – to krzyczeliby, ze Zamawiajacy to tacy i owacy, teraz w wielu komentarzach podniesione jest, ze opisali szczegolowo. Moim zdaniem – to dobrze, bo nie daje pola do manipulacji takim pozniej pisanym do KIO przez prawniczyny bzdurom.

      Odpowiedz
      • 2021.01.05 16:34 Jimnię

        Bo problem z PZP jest taki, że ma szansę się dobrze sprawdzić tylko w momencie gdy albo kupujesz coś skrajnie typowego i masz ochtyliard dostawców, którzy konkurują wyłącznie ceną (ewentualnie np. długością gwarancji), albo wręcz przeciwnie – masz bardzo ogólne wymogi i właściwie jest ci obojętne jak te wymogi zostaną spełnione. W pozostałych przypadkach zamawiający ma straszny zgryz żeby przypadkiem nie kupić czegoś kompletnie bez sensu. Been there, done that.
        Wiesz jak fajnie się np. specyfikowało Novellowy OWS, żeby przypadkiem nie dostać Windows Serwerów i Exchange? A windowsów nie chcieliśmy nie dlatego, że mieliśmy takie widzimisię, tylko mieliśmy już istniejącą infrastrukturę novellową, którą chcieliśmy po prostu zmigrować do nowszej wersji.
        A jak wchodzisz w sprzęt, jest jeszcze weselej. Bo niby kupujesz do biura pecety i niby jest ci obojętne co dostaniesz, ale jednak chciałbyś nie dostać jakiegoś badziewia, o którym wiesz, że po trzech miesiącach kondensatory puchną i pewnie z połowa dostawy byłaby po pół roku do wymiany na gwarancji. Owszem, wiesz, że będzie trochę drożej, ale przynajmniej nie spalisz tony godzin na przestojach i ogarnianiu logistyki reklamacji.
        I tu zaczynają się zabawy w kreatywne specyfikacje.

        Odpowiedz
  • 2021.01.05 12:22 Tomasz

    Uwaga! Artykuł sponsorowany. Brawo!!! Niski poziom w zamówieniach po stronie zamawiającego i wykonawcy to niestety nic nadzwyczajnego – tu kasa determinuje działania. Za to ten artykuł zapisze się na pewno we wzorcach pisania artykułów sponsorowanych. Szkoda czasu na czytanie.

    Odpowiedz
    • 2021.01.05 13:08 Adam Haertle

      Sponsorem jest autor odwołania.

      Odpowiedz
      • 2021.01.05 13:17 allclouds.pl

        Proszę o uprzejmie sprostowanie tego twierdzenia, ewentualnie pokazanie dowodów.
        W innym wypadku będziemy rozmawiać bardziej oficjalnie …

        Odpowiedz
        • 2021.01.05 14:57 adamh

          O ja cie…

          Oświadczenie i sprostowanie

          Niniejszym uroczyście oświadczam, iż komentarz o treści „Sponsorem jest autor odwołania” nie zawiera prawdy. Miał charakter żartobliwy, gdzie słowo „sponsor” występuje w charakterze figuratywnym, gdyż bez powstania odwołania nie powstałby artykuł. Ubolewam iż mógł zostać odczytany jako prawdziwy przez strony zainteresowane.

          Jednocześnie z ubolewaniem przyznaję, że artykuł nie miał sponsora. Jak można łatwo zauważyć, artykuły sponsorowane w serwisie ZaufanaTrzeciaStrona.pl zawsze są jasno oznaczane odpowiednim tagiem oraz wpisem w ostatnim akapicie.

          De facto jedynym sponsorem artykułu jestem ja sam – nie dość, że ponoszę koszty utrzymania serwisu, to jeszcze poniosłem koszty utraconych korzyści, które mogłem osiągnąć, gdybym odwołania nie czytał, artykułu nie pisał i komentarzy nie czytał i zamiast tego zajął się w tym czasie na przykład uprawą kalarepy.

          Co gorsza, nie dość, że nie było żadnego sponsora, to jeszcze na jego wyświetleniu nie zarobiłem ani grosza, gdyż nie tylko nie rozliczam się za wyświetlenia, ale dodatkowo w tej chwili w serwisie nie jest opublikowany żaden baner.

          Istnieje także spore prawdopodobieństwo, że wynik finansowy netto związany z publikacją tego artykułu będzie istotnie ujemny – mogę przecież utracić przyszłe zlecenia na różne usługi szkoleniowe czy występy ze strony podmiotów, które w przetargu nie mogły wystartować. Pozostaje mi tylko mieć nadzieję, że nie zaprzepaściłem niniejszym swojej świetlistej kariery.

          Przepraszam, ale nie żałuję i nie obiecuję, że to się nie powtórzy.

          Adam Haertle
          Redaktor Naczelny serwisu ZaufanaTrzeciaStrona.pl

          Odpowiedz
          • 2021.01.05 17:31 saddas

            Adamie,
            Dawno się tak nie bawiłem czytając komentarze, jak przy tym artykule!
            Po prostu dzięki :D

            Przecież jest jasne, że chciałeś pokazać nietrafione odwołanie, napisane koślawym językiem. A wszyscy uczepili się PZP, tak jakby pierwszy raz w historii, instytucja pisała przetarg pod konkretny produkt!

            Przecież to normalne!!! Nikt o zdrowych zmysłach nie chce dostać kota w worku, na zasadzie „napisaliśmy przetarg na >jakiś sandbox<… ciekawe co nam przyślą?".

            Ja, przykładowo, słabiusieńko opisałem pewne dyski SSD do biurowych kompów – niezamykając się na nikogo i modląc się do Bozi, że sprzedadzą mi Samsunga i… teraz bujam się z syfem, bo Samsunga oczywiście nie dostałem – po 3 latach padła 1/4. No… ale "zaoszczędziłem" państwowe pieniądze. A jedyne, co państwo straciło, to 12 TB danych :D

          • 2021.01.05 22:56 Pawel

            A co do hodowania kalarepy, gdybyś chciał kogoś do pomocy i zbierania, daj znać ;>

        • 2021.01.06 12:36 Ttt

          Wow ale strona te chmurki pl. Wygląda jakby wzięli stronę jakiegoś clubu fitness i zamienniki słowo crossfit na bezpieczeństwo. Mówiac w stylu tego odwołania – jak ktoś nie potrafi przygotować profesjonalnie swojej strony internetowej to pewnie nie potrafi też profesjonalnie w zabezpieczenia.

          I jeszcze ten głupi tekst teraz. Wyjmijcie kijek z dupci bo takim napinaniem się tylko pokazujecie poziom karyny „gdzie jest Twój kierownik?”.

          Odpowiedz
  • 2021.01.05 12:50 K6T

    Pan się zbulwersował, bo nici ze sprzedaży avasta premium

    Odpowiedz
  • 2021.01.05 13:35 czytajacy

    „…wygmóg taki mogą spełniać m. in. produkty Juiper ATP czy Joe Sandbox Ultimate”.
    Nie mogą, nie można uruchamiać OSX na maszynie wirtualnej na innym sprzęcie niż Apple.
    Juniper ATP ma integracje z MacMini, ale to nie jest maszyna wirtualna, to raz.

    A dwa, Zamawiający specyfikuje, że systemy mają być uruchamiane w maszynie wirtualnej, co w przypadku MacOS łamie EULA Apple, która nie zezwala na uruchamianie OSX na innym sprzęcie niż Apple.

    Kolejna kwestia, Zamawiajacy nie pozwala na uruchamianie funkcjonalności na innych komponentach niż dane urządzenie.

    p.s.
    Jak można pisać artykuł nie przywiązując wagi do analizy cytowanego źródła ?

    Odpowiedz
    • 2021.01.05 14:56 Name Odpowiedz
      • 2021.01.05 16:42 heheshek

        tyle, że z powyższego wynika, że chyba nikt literalnie nie spełnia wszystkich zapisów siwz,
        to tylko świadczy o rubasznej twórczości Zamawiającego.

        Odpowiedz
    • 2021.01.06 10:06 Z

      Robilem swego czasu sandboxa na OSX i:
      – na Macu Mini/Pro odpalasz VM-ki i w nich dziala sandbox (wiec VM jest i dziala na sprzecie Apple)
      – Apple ogranicza umowa ilosc „jednoczesnie dzialajacych VM na jednym hoscie” do 2 i jesli wersja systemu wewnatrz VM jest taka sama jak na hoscie (iirc)
      – jest kilka firm, ktore udostepniaja MacOS w chmurze, jedna z nich nawet byla prezentowana na ktoryms evencie Apple i miala ich wszystkie blogoslawienstwa. Jednoczesnie dalo sie u nich dostac Maca Pro z ESXi, na ktorym odpalalo sie wiecej niz 2 VM
      – obecnie AWS ma tez MacOS w chmurze (jak to robia od strony sprzetowej nie wiem)
      Wiec po mojemu jak najbardziej sie da miec sandboxa z MacOS i w chmurze, i „on premise”, i jest on zgodny z EULA.

      Odpowiedz
      • 2021.01.06 12:53 asdkasdasd

        Ale daje to nie spełnia warunków postępowania.
        Zamawiający chce mieć OSX na VM, które działa na tym samym sprzęcie co cały system sandboxowy, jednocześnie nie może to być rozwiązanie oparte o inną wirtualizacje.

        Więc nawet Mac Pro z ESXi, gdzie odpalisz rozwiązanie sandboxowe kogokolwiek nie jest tu rozwiązaniem.

        Nie mówiąc już innych wymaganiach.

        Odpowiedz
        • 2021.01.06 13:28 Z

          Nie zajmowalem sie nigdy takimi zamowieniami, ale po mojemu jak wsadzisz w szafe rackowa „glowny kawalek” i podepniesz do niego uchwyt rackowy z kilkoma pudelkami Apple, to to spelnia wymagania. Pkt. 4h ze strony 39 wspomina o „innym urzadzeniu do sandboxingu”, bo czesto tak jest, ze jedno pudelko przetwarza ruch, drugie mieli jakimis silnikami AV, trzecie bedzie robilo sandboxing, etc.
          No i cytujac South Park „I read it in People”, ze niektorzy dostawcy podobno wyciagaja flaki z Maca Mini i pakuja je do glownego pudelka i wtedy masz „jedno urzadzenie” ;). Czy to dalej jest „na sprzecie Apple” to juz pytanie do prawnikow.

          Odpowiedz
          • 2021.01.06 15:04 VendorLock

            a co z zapisem:

            ” 2 j. Zaproponowane rozwiązanie musi być dostarczone od jednego producenta danego systemu”

  • 2021.01.05 14:13 kattom

    Artykul, jak i odwolanie, najwyzszych lotow nie jest. Takie mocne 30% autora.

    Swoja droga, odwolanie do KIO wskazuje tez na raporty NSS Labs, ktore juz niestety przestalo istniec. Prawniki sie nie przygotowaly.

    Ale ten kto kiedykolwiek byl w KIO ten wie, ze wyrok nie jest oczywisty (tutaj oczywiscie oddalenie pozwu i nakaz zaplaty pozywajacemu).

    Odpowiedz
  • 2021.01.05 14:14 kattom

    Artykul, jak i samo odwolanie, najwyzszych lotow nie jest. Takie mocne 30% autora.

    Swoja droga, odwolanie do KIO wskazuje tez na raporty NSS Labs, ktore juz niestety przestalo istniec. Prawniki sie nie przygotowaly.

    Ale ten kto kiedykolwiek byl w KIO ten wie, ze na koniec dnia moze byc roznie (tutaj oczywiscie powinno byc oddalenie pozwu i nakaz zaplaty pozywajacemu).

    Odpowiedz
    • 2021.01.06 00:31 giddhjwkfodhwgshkakihe

      chyba zależy którego zarzutu …
      w odwołaniu jest ich kilka.

      Odpowiedz
  • 2021.01.05 14:29 wk

    Znam odwołania od wyników przetargów w innej branży (ja nie pracuję w systemie przetargów, ale niektórzy kilenci tak) i tak generalnie powiem Wam, że nie zawsze merytoryczna poprawność okazuje się najskuteczniejsza. Czasem elementy socjotechniczne (jak w cytowanym przez Was odwołaniu) po prostu działają.

    Odpowiedz
    • 2021.01.05 15:10 Heh

      Dokładnie. Najgorsze jest to, ze wyrok KIO jest nieprzywidywalny, bo to wlasnie KIO, a sedzia rozprawe wczesniej ocenial odcienie bieli umywalek do kibli w jakiejs powiatowce.

      Odpowiedz
    • 2021.01.05 16:37 Jimnię

      Niestety. A nawet jak powołają „biegłego”, to czasem aż przykro się czyta wypociny tegoż.

      Odpowiedz
  • 2021.01.05 18:01 Koteria

    Przekazior działa

    Odpowiedz
  • 2021.01.06 04:55 Res

    Autor widze zaciekle broni Fireye jakby conajmniej byl blisko biznesowo zwiazane ze sprzedaza rozwiazan tej firmy. Caly artykul mozna podsumowac cytatem:

    'A szkoda już elektronów na dalsze komentowanie tych bzdur.”

    Odpowiedz
  • 2021.01.06 11:12 Obserwator

    Szkoda, że durnie z KNF nie zauważyli, że opisali SNORTa do monitorowania aktywności sieciowej i Amavisd do filtrowania załączników pocztowych.
    Oprócz tego opisali Thunderbirda z wyłączonym Javascriptem do czytania poczty.

    oczywiście za aktualne reguły snorta trzeba trochę zapłacić, ale z pewnością nie tyle, ile KNF wydaje na przetargi IT.

    Dodatkowo można dodać Libreoffice uzbrojony profilem Apparmora do otwierania załączników MS Office.
    Linuksa do przeglądania FB i czytania poczty można dorzucić gratis.

    Pozdro

    Odpowiedz
    • 2021.01.06 15:00 0penBSD

      Albo OpenBSD na desktop ;)
      Tyle, że to utopijne, bo M$ Office jednak lepiej działa niż Libre ;)

      Odpowiedz
      • 2021.01.06 15:46 hashtak

        @0penBSD
        „Tyle, że to utopijne, bo M$ Office jednak lepiej działa niż Libre ;)”
        Czyli potwierdzasz, że dostęp do kodu źródłowego OSa pomaga w tworzeniu „lepiej działających” produktów?
        Z tego wypływają dwa wnioski. Aby pisać lepiej działające programy należy otworzyć źródła OSów, albo wspierać monopole.

        Odpowiedz
      • 2021.01.07 05:30 Obserwator

        „Tyle, że to utopijne, bo M$ Office jednak lepiej działa niż Libre ;)”

        MS Office działa dobrze, ale i tak 99% użyszkodników nie potrafi używać więcej niż 5% jego unikalnych i cudownych funkcji.
        Natomiast korzyści z obslugiwania zdalnych makr, pobierania czcionek i bibliotek z netu są źródłem tylu infekcji i ataków na Windows, że warto się zastanowić nad alternatywą.

        Libre też ma wsparcie dla Javy i Pythona, także makra i wtyczki można w nim tworzyć i używać dowolne, jednak nie wiąże się to na razie z przejmowaniem przez dokument Libre konta usera na Linuxie, o kompromitacji systemu nie wspominając.
        Kompromitowanie systemu Windows przez makro Office to podstawowa i naważniejsza funkcja wbudowana w MS Office.

        I jakoś MS nie kwapi się nawet w tym, żeby MS Office chociażby działało w sandboxie, izolowane od systemu, co już jest standardem nawet w zakładkach Firefoxa i Chrome.

        Pozdro

        Odpowiedz
    • 2021.01.09 22:27 ba

      Słabo prawicie….nie da się tego SIWZ przeskoczyć, bo:
      „Urządzanie musi współpracować z rozwiązaniami typu SIEM -co najmniej SPLUNK”

      Żaden z podanych wyżej softów nie współpracuje ze splunkiem, gdyby jeszcze chodziło o goły SIEM, to możnaby pod to podciągnąć EventLoga albo syslogd, ale tutuaj leżycie haha

      Odpowiedz
  • 2021.01.08 00:53 2grosze

    Poczytałem uwagi firmy allclouds napisane przez ich prawnika.. Zarzuty do fireeye to śmiech na sali, ale inne niestety już nie..

    Niegospodarność, brak konkurencyjności, a pewnie i ustawienie przetargu – to podnosi prawnik. Standardem w PL jest to że klient dogaduje się z ulubionym integratorem, dostaje wkład do siwz a integrator najlepszą cenę od vendora. Na koniec dnia integrator modli się aby nie było w siwz błędów i że wygra przetarg bez problemu.

    Zamówienia publiczne w PL to kpina, są tak samo ustawiane jak przed ustawą, a to jest przykład. Nie mamy apple ale chcemy sandbox pod ten system. Inne firmy, integratorzy, szukają błędów w ofertach innych firm po to żeby zająć ich miejsce. Klient napisał w siwz że serwery muszą mieć napęd CD z prędkością x52 a serwery firmy X nie mają tego w specyfikacji. Faktycznie nie mają, vendor też tego nie napisał, bo to jak wymagać aby w przetargu żeby samochód miał 4 koła.

    Pan prawnik tej firmy trochę się ośmieszył pisaniem głupot pod kątem apple, fireeye itp, ale to są najlepsze metody na wygranie przed KIO. A jak wiadomo kio to jedyne „sądy” gdzie można legalnie kłamać :-)

    Odpowiedz
    • 2021.01.08 12:57 asdsad

      Wszystko racja, ale postaw się po stronie zamawiającego. Chcesz kupić coś porządnego, coś co umiesz obsłużyć, coś nieprzesadnie drogiego. Tymczasem musisz pogodzić się z tym, że aby być prawym, musisz dopuścić rozwiązanie, które się nie sprawdzi, którego nie znasz, albo które wygeneruje dodatkowe koszty. Czyli „chciałbym mieć sandbox… ciekawe co dostanę?”.
      Jak jest z samochodami? Wielu powie „tylko niemiecki!”. To skąd tyle „Francuzów”? Więc czemu nie FireEye? Najlepszość zawsze jest subiektywna.

      A jeśli kupujesz coś jedynego w swym rodzaju? – Jak to opisać? Trudzisz się pisząc „bulbulator, z cyncykatorem podwójnego zadziałania, o powrozowaym hamulcu zapadkowym”… a potem i tak musisz dopisać: „…lub cokolwiek innego” – żeby dopuścić konkurencję?

      Oczywiście sporo przetargów to wałki, gdzie klany ludzi zepsutych od kilku pokoleń, decydują o zakupie przepłaconego szmelcu. Dostają w ramach offsetu wartościowe szkolenia i niekończące się dostawy kalendarzy, długopisów, innych gadżetów i drogich flaszek. Ale to nie reguła.

      Odpowiedz
  • 2021.01.16 00:27 T

    „Nasz komentarz, krótki już, bo naprawdę szkoda czasu naszego i waszego: MacOS może jest i drogi, ale bywa (i to często) używany w środowiskach korporacyjnych, także (i to nierzadko) bankowych, wysyłanie plików do chmury jest fajne pod warunkiem, że nie zawierają informacji, które mogą być objęte jedną z rozlicznych ustaw regulujących różne tajemnice, chociażby bankową czy dane osobowe (a takie zapewne KNF przetwarza regularnie), a oczekiwanie usunięcia wymogu, by produkt zawierał już licencje MS Office trudno skomentować.”

    Nie wiem czy się przytulacie z PISem ale pisanie czegoś takiego to jest masakra w takim dole gospodarki.

    Kupcie wszystkim posłom MacOSy, jakby to miało zmienić hasła typu 1234 na twitterze i cholera wie gdzie jeszcze…

    Odpowiedz

Zostaw odpowiedź do asdsad

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Kuriozalne zarzuty w dokumentacji przetargowej na zakup sandboksa w KNF

Komentarze