Zapisi in dokumenti iz področja prava, človekovih pravic in tehnologije.

Spletna stran portala eDavki

Uporabniki portala eDavki.durs.si smo te dni doživeli neprijetno presenečenje – vstop v spletno aplikacijo namreč ni bil mogoč.

eDavki - varnostno opozorilo.

eDavki – varnostno opozorilo.

Razlog? DURS je na spletni strani zamenjal korensko digitalno potrdilo, zato sodobni brskalniki dostop do spletne strani zavrnejo. Do pred kratkim je spletišče onemogočalo uporabo nešifrirane povezave (upravljavci strežnika so sedaj to izključili), zato dostop do eDavkov sploh ni bil mogoč. V primeru, da pa uporabniki uporabljajo še dodatne varnostne mehanizme, ki onemogočajo dostop na nešifrirano spletišče eDavkov (npr. dodatek HTTPS Everywhere), pa je težava še težje rešljiva.

Ko uporabnik nekako uspe ugotoviti, da je težavo mogoče rešiti z namestitvijo novega korenskega potrdila in se uspešno prijavi na spletno stran eDavki, ga na vrhu pričaka naslednje obvestilo:

Obvestilo.

Obvestilo.

Vse lepo in prav, vendar obvestila uporabnik ni mogel videti, dokler se ni uspel prijaviti v eDavke. Prijava v eDavke pa ni bila mogoča, dokler korenska potrdila niso uspešno nameščena oziroma dokler upravljavci spletišča niso omogočili povezovanja preko nešifrirane povezave.

Nekoliko podrobnejši pregled spletne strani Finančne uprave sicer pokaže, da so uporabnike predhodno obvestili, da bodo izvedli zamenjavo digitalnega korenskega potrdila:

Obvestilo o menjavi potrdil.

Obvestilo o menjavi potrdil.

A kot je razvidno iz obvestila, je bilo le-to objavljeno 20.7.2016 ob 11:59:03, menjava potrdil pa je bila izvedena že naslednji dan (21. 7. 2016), torej zgolj 12 ur po objavi.

Takšno ravnanje je skrajno neresno in neodgovorno do uporabnikov. Še zlasti do tistih, ki morajo npr. do nekega določenega datuma izpolniti svoje obveznosti, sicer jim grozi globa.

Namesto, da bi FURS uporabnike portala eDavki o menjavi kontinuirano obveščal z jasno vidnim obvestilom vsaj kakšen mesec ali dva vnaprej, so tako rekoč brez resnega obvestila digitalna potrdila zamenjali praktično čez noč in s tem uporabnikom povzročili kup težav.

Vprašanje, ki se zastavlja kar samo po sebi je, ali bo za to kdo odgovarjal? Zdi se, da je na to vnaprej poznan tudi odgovor.

HTTPS varnost spletišča eDavki?

Vse skupaj je seveda zadosten razlog, da si gremo nekoliko podrobneje ogledati stopnjo varnosti spletišča eDavki. Za ta namen smo uporabili spletno aplikacijo SSL Test. Rezultati testa so za leto 2016 – milo rečeno – precej slabi.

SSL test eDavkov.

SSL test eDavkov.

Kot je razvidno iz slike, je varnost ocenjena zelo nizko – s stopnjo T. Glavni razlog za tako nizko oceno je dejstvo, da spletišče uporablja državna korenska digitalna potrdila, ki niso vključena v sodobne spletne brskalnike. Če to težavo odmislimo – uporabnik si lahko korenska digitalna namesti sam – pa je stopnja varnosti še vedno ocenjena z oceno C. Kar ni ravno najbolje.

Pa pojdimo po vrsti. Spletišče eDavki uporablja protokol TLS 1.0, ne podpira pa TLS 1.1 in TLS 1.2. Na srečo spletišče vsaj ne uporablja več SSL 3, a očitno je bila sprememba nastavitev spletnega strežnika opravljena precej na hitro, saj so upravljavci strežnika zgolj onemogočili SSL3, pozabili pa so onemogočiti uporabo manj varnih šifrirnih algoritmov (konkretno RC4). Prav tako še vedno manjka vklop preferenčnega vrstnega reda uporabljenih šifrirnih algoritmov.

Poleg tega spletišče uporablja šibke Diffie-Hellmanove parametre za izmenjavo šifrirnih ključev, zaradi česar je na komunikacijo mogoč tim. Logjam napad. Nastavitev uporabe 2048-bitnih Diffie-Hellman parametrov bi upravljavcem spletišča vzela zgolj nekaj minut dela. Prav tako je slabo podprta uporaba mehanizma tim. poudarjene zaupnosti (angl. Perfect Forward Secrecy).

Glede na rezultate testiranja izpred slabih dveh let sicer lahko rečemo, da se je varnost spletišča eDavki sicer izboljšala, a je stanje še vedno nezadovoljivo. Sploh glede na to, da spletišče očitno teče na spletnemu strežniku Microsoft Internet Information Server 8.5 (podpis spletnega strežnika je Microsoft-IIS/8.5), ki podpira novejše varnostne mehanizme. Potrebno jih je le vklopiti.

* * *

Vsi uporabniki spletišča eDavki se verjetno strinjamo, da je portal res uporaben in koristen pripomoček. Zato bi upravičeno pričakovali, da bi upravljavci portala v njegovo delovanje vložili (zgolj) še nekaj ur dodatnega dela in s tem precej izboljšali njegovo varnost.

Poleg tega bi bilo upravljavce smiselno opozoriti na to, da skušajo biti pri prenovi sistema bolj pozorni na pravočasno obveščanje uporabnikov. Z nekoliko spremenjenim načinom dela bi namreč tako uporabnikom povzročili bistveno manj težav, posledično pa tudi na svoji strani zmanjšali obremenitev centra za podporo uporabnikom.

A po drugi strani so stvari lahko tudi slabše. Uprava za javna plačila namreč pri aplikaciji za oddajo eRačunov še vedno uporablja SSL3. In ja, piše se leto 2016.

Nova aplikacija Erar

Komisija za preprečevanje korupcije je prejšnji teden predstavila novo spletno aplikacijo Erar s katero je nadomestila aplikacijo Supervizor.

Kot bivši zaposleni na KPK in eden od soavtorjev Supervizorja sem dobil kar nekaj novinarskih in drugih vprašanj povezanih z novo aplikacijo. Same odločitve KPK glede spremembe aplikacije sicer ne želim komentirati, se mi pa kljub vsemu zdi smiselno podati kratko analizo same aplikacije iz stališča funkcionalnosti in uporabniške izkušnje.

Nova aplikacija Erar prinaša nekaj pomembnih novosti. Glavna novost je vsekakor vključitev novih baz podatkov (žal nekatere stare (še?) manjkajo – konkretno baza javnih naročil ter baza nakazil v davčne oaze), prikaz podatkov o plačilih pod 2.000 EUR (sicer brez namena transakcije), pohvaliti pa je potrebno predvsem nov pristop, ki uvaja analize oziroma, kot jim pravijo na Erarju, “zanimivosti”. Ob tem je seveda potrebno dodati, da nekatere teh “novih” baz v resnici niso povsem nove, saj je seznam prijavljenih omejitev poslovanja že dlje časa dostopen na spletni strani KPK, pohvalno pa je, da je KPK končno odprla register prejetih daril, katerega zbiranje je sicer že dlje časa elektronsko podprto. Upajmo, da bodo kmalu podobno storili še s prijavljenimi lobističnimi stiki, ki so trenutno dostopni v računalnikom manj prijazni obliki (niso v enotni bazi, se ne posodabljajo samodejno, itd…).

Po drugi strani pa ima aplikacija Erar kar nekaj slabosti, za katere pa verjamem, da predstavljajo zgolj porodne težave in bodo v prihodnosti odpravljene. Poglejmo si jih nekaj.

eRačuni

Pohvalno je, da je KPK v Erar dodala bazo eRačunov. Žal – vsaj v trenutni različici – baza eRačunov večinoma ne vsebuje prikaza najbolj relevantnih podatkov. Pri večini organov so namreč polja “Opis“, “Dobavnica” in “Naročilnica” prazna oz. prikazujejo napis “Podatki niso na voljo“.

eRačuni - podatki niso na voljo.

eRačuni – podatki niso na voljo.

Razlog za to je varstvo osebnih podatkov in potrebno je poudariti da za to pomanjkljivost v aplikaciji zagotovo ni odgovorna KPK. Še več, po mojih informacijah KPK na reševanju tega problema že intenzivno dela. Tako so eRačuni, ki jih ročno pregledajo že dostopni (konkretno so to eRačuni izdani KPK), ostali eRačuni pa menda sledijo kmalu. Mimogrede, zadevo bi se verjetno dalo pospešiti s kakšno avtomatsko anonimizacijo. Res je sicer, da avtomatska anonimizacija ni stoodstotna, a isto velja tudi za ročno anonimizacijo.

Druga težava je, da eRačuni na časovnici oziroma pri prikazu posameznih transakcij niso povezani s transakcijami. Prav tako pri transakcijah ni videti javnih naročil (v Supervizorju so bila javna naročila na časovnici vidna kot dogodek).

eRačuni - podrobnosti, prvič.

eRačuni – podrobnosti, prvič.

Pozornejši opazovalec bo tudi hitro opazil tudi nekatere nelogičnosti pri prikazu podatkov o eRačunih. Če uporabnik pri pregledu eRačunov klikne na ikono v stolpcu “Datum plačila” (na desni strani), se odpre okence, kjer so prikazane podrobnosti o transakciji. Pri tem se pri zneskih nižjih od 2000 EUR izpiše: “Pri transakcijah pod 2000,00 EUR prikazujemo le datum in znesek“. Ko pa si ogledamo podrobnosti konkretnega eRačuna, pa se izpišejo podrobnejši podatki tega eRačuna (to velja za tiste eRačune, ki so že bili s strani KPK ročno pregledani in se v bazi prikazujejo).

eRačuni - podrobnosti, drugič.

eRačuni – podrobnosti, drugič.

Na tem mestu bi bilo zato vsekakor vredno razmisliti o drugačnem prikazu podatkov za že objavljene eRačune.

Slaba uporabniška izkušnja

Podrobnejši pregled hitro pokaže, da se s samo uporabniško izkušnjo spletne aplikacije na KPK očitno niso pretirano ukvarjali. Poglejmo si nekaj primerov.

Primer 1

Uporabnik v iskalniku izbere neko ustanovo (npr. KPK). Ko si želi ogledati nek eRačun, aplikacija zahteva CAPTCHA preverjanje.Ko je uporabnik uspešno “preverjen”, pa ga spletna stran ne vrne na nadaljevanje (torej h ogledu konkretnega eRačuna), pač pa ga vrže na osnovno spletno stran.

Mimogrede, rešitev s CAPTCHA preverjanjem je zelo nerodna saj imajo uporabniki z njo velike težave. Poleg tega konkretna implementacija CAPTCHE v resnici ne rešuje problema samodejnega indeksiranja, saj je uporabljeno rešitev mogoče razmeroma enostavno zlomiti. Konkretnih podrobnosti sicer na tem mestu ne bom navajal. 🙂

Primer 2

Pri pregledu omejitev poslovanja (konkretno si lahko zopet ogledamo primer KPK), se na zaslonu spodaj desno prikažejo gumbi za naslednjo stran, čeprav seznam obsega samo tri omejitve, ki se prikažejo na eni strani.

Omejitve poslovanja...

Omejitve poslovanja…

Podobna težava se pojavlja pri prikazu seznama prejetih daril (spet primer KPK). Aplikacija v tem primeru prikaže gumba “Prejšnji” in “Naslednji“, a nanju ni mogoče klikniti.

Prejeta darila...

Prejeta darila…

Postavlja se vprašanje, zakaj sta gumba sploh prikazana, če ju ni mogoče klikniti? Res je, da gre za malenkost, a pri razvoju spletnih aplikacij ravno take malenkosti naredijo razliko med dobro in slabo uporabniško izkušnjo.

Primer 3

V aplikaciji Erar je kar nekaj zavihkov, ki prikazujejo različne podatkovne zbirke. S stališča programerja je takšen pristop povsem logičen. S stališča uporabnika pa je zaželena čim večja integracija različnih podatkovnih virov v čim bolj enovit prikaz. Zato bi bilo smiselno čim več zavihkov združiti.

Konkretno to velja za zavihka “Zastopniki” in “Časovnica“. V zavihku “Zastopniki” se pri pregledu proračunskih uporabnikov na časovnem grafu prikazujejo zastopniki danega organa, “Časovnica” pa poleg tega vsebuje še nekatere druge dogodke povezane s posameznim organom (vpis organa v Poslovni register, itd.).

Ta dva zavihka pa v resnici prikazujeta eno in isto stvar, zato ni jasno zakaj sta potrebna dva zavihka oz. zakaj se podatki ne prikazujejo združeno.

Pri pregledu zastopnikov uporabnik lahko hitro dobi vtis, da se prikazujejo napačni podatki. Imena zastopnikov se namreč prikazujejo desno od grafa, v primeru, da je zastopnikov malo, pa uporabnik hitro dobi napačen vtis, da se imena zastopnikov prikazujejo nad črto grafa.

Prikaz več zastopnikov deluje...

Prikaz več zastopnikov deluje…

V primeru KPK, se pod imenom Gorana Klemenčiča prikazuje trajanje funkcije Borisa Štefaneca (“31. 3. 2014 <-> Funkcija še ni prenehala“), kar uporabnika lahko zavede (video demonstracija).

Prikaz pri majhnem številu zastopnikov je zavajajoč.Zastopniki KPK.

Prikaz pri majhnem številu zastopnikov je zavajajoč.

Vsekakor je pri razvoju spletnih aplikacij smiselno uporabiti take rešitve, ki delujejo tako pri prikazu majhnega, kot tudi velikega števila podatkov.

Podobno velja tudi za nekatere druge zavihke. Zavihek “Osnovni podatki” je namreč po našem mnenju ravno tako po nepotrebnem ločen. Enako velja za zavihke “Letna poročila“, “Bančni računi“, “Zastopniki in nadzorni svet” ter “Ustanovitelji“.

Po mojem mnenju bi bilo bistveno bolj pregledno, da bi se podatki prikazovali v enotnem zavihku, npr. “Podatki o organu” in “Podatki o poslovnem subjektu“, poleg tega bi se dalo nekatere podatke (tipičen primer so hčerinska podjetja) prikazovati z bistveno boljšo vizualizacijo.

Še bolj optimalna pa bi bila rešitev, ki jo je uporabljal Supervizor, kjer so bile na eni strani prikazane vse relevantne informacije o proračunskih uporabnikih in poslovnih subjektih, bi se pa dalo tudi tisto rešitev z nekoliko bolj spretno vizualizacijo še izboljšati.

Primer 4

Tipičen primer nepremišljene uporabniške izkušnje je prikaz davčnih dolžnikov. S klikom na “Dolžniki” se na levi strani prikaže seznam oz. časovnica objave davčnih dolžnikov. Namesto, da bi se že takoj prikazali najbolj sveži podatki, mora uporabnik ročno klikniti na datum objave davčnih dolžnikov. Dodaten, v resnici nepotreben klik, uporabniško izkušnjo poslabša.

Davcni dolžniki...

Davcni dolžniki…

Mimogrede, tudi tukaj bi bilo smiselno prikaz organizirati na drugačen način, ne zgolj po časovnih obdobjih. Kako, pa lahko na KPK z nekaj malega razmišljanja ugotovijo sami…

Primer 5

Pri prejemnikih transakcij in plačnikih Erar sedaj za razliko od Supervizorja ne prikazuje več tortnega grafa. Podatki so v tabeli, kar je sicer čisto v redu, a za večino ljudi grafična vizualizacija prinaša bistveno boljšo uporabniško izkušnjo, saj je tako z enim hitrim pogledom mogoče videti kdo so glavni plačniki oziroma glavni prejemniki javnih sredstev ter tudi dobiti hiter vtis o strukturi finančnih transakcij.

Tabele, tabele...

Tabele, tabele…

V splošnem lahko na Erarju opazimo pomanjkanje grafičnih prikazov oz. vizualizacij ter prevlado podatkov v tabelarični obliki. To kaže na to, da je aplikacijo razvijal nekdo, ki se sicer dobro spozna na podatkovne strukture in programiranje, nima pa občutka za sodobne spletne tehnologije in prijetno uporabniško izkušnjo.

Primer 6

Eden izmed glavnih elementov Supervizorja je bila časovnica s prikazom mesečnih prejemkov. Ta koncept so avtorji Erarja temeljito spremenili, pri čemer ni jasno kaj so s tem hoteli doseči, oziroma se postavlja vprašanje ali so sploh razumeli pomen omenjene grafične rešitve na Supervizorju.

Prvo kar uporabnik opazi je, da povečava (tim. “zoomiranje”) oz. omejitev časovnega prikaza na časovnici ne deluje več.

Druga stvar je, da se na časovnici ne prikazujejo različni dogodki, ki pa so se na Supervizorju prikazovali. Supervizor je tako prikazoval različne dogodke pri poslovnih subjektih (ustanovitev, izbris, sprememba zastopnikov), proračunskih uporabnikih (spremembe zastopnikov), javna naročila, nakazila v davčne oaze (mimogrede, te baze trenutno v Erarju ni), itd. Prikaz posameznih tipov dogodkov je bilo mogoče poljubno vklapljati in izklapljati. Kot rečeno, so ta koncept avtorji Erarja temeljito spremenili in zdi se, da so ravno s tem bistveno poslabšali uporabniško izkušnjo spletne aplikacije.

Na tem mestu lahko omenimo še eno malenkost. Če je bil v danem mesecu izplačani znesek 0 EUR, se na časovnici ob prehodu miške čez graf ne prikaže tim. “namig” (ang. hint) oz. okvirček s prikazanim zneskom za posamezni mesec. Tipičen primer je časovnica izplačil podjetju ASTECH d.o.o. npr. v mesecu juliju 2003).

Precej bolj problematično iz stališča uporabniške izkušnje pa je, da Erar na časovnici prejemnikov prikazuje finančne transakcije izbranega prejemnika skupaj z njegovimi hčerinskimi podjetji. Uporabnik takega načina prikaza ne more izključiti, torej ne more pogledati samo transakcij izbranega podjetja ali zgolj nekaj njegovih hčerinskih družb.

Nepregleden prikaz hčerinskih družb.

Nepregleden prikaz hčerinskih družb.

Še več. Če se uporabnik z miško pomakne nad posamezen stolpec na grafu, se mu izpišejo mesec in leto izplačila ter znesek v tem mesecu. Ne izpiše pa se na katero (hčerinsko) podjetje se podatek nanaša. Uporabnik se mora pri tem zanašati na barvno legendo, kar pa je ob v primeru množice hčerinskih podjetij precej nepregledno. Kot je razvidno iz zgornjega primera, stolpci na grafu v določenih primerih tudi segajo čez območje grafa.

Primer 7

Pri prikazu določenih transakcij transakcijah (in tudi na nekaterih drugih mestih) se občasno pojavlja izraz [ROBOT].

Transakcije - robot?

Transakcije – robot?

Kot uporabniku mi ni jasno kaj naj bi to pomenilo, zato se postavlja vprašanje ali bi ta izraz potreboval kakšno dodatno razlago, ali pa je morda podatek odveč?

Časovnica - robot?

Časovnica – robot?

Netransparentni URL naslovi

Ena izmed funkcij Supervizorja, ki je bila razvita s premislekom in namenoma je bila možnost uporabe tim. transparentnih naslovov. URL naslov je namreč opisal vrsto prikaza. Uporabnik je tako z URL naslovom lahko določil prikaz določenega časovnega obdobja na časovnici ali kakšnega drugega podatka. Primer: če je uporabnik v spletni brskalnik vpisal URL naslov “http://supervizor.kpk-rs.si/organ/31305/?page=1&start=2015-7-1&end=2015-7-27”, so se mu prikazale transakcije proračunskega uporabnika s PU številko 31305 (Ministrstvo za javno upravo) in sicer za obdobje od 1. julija 2015 do 27. julija 2015. Ta koncept Erar sicer delno ohranja, a ne za prikaz vseh podatkov. Deljenje zanimivih podatkov med uporabniki spleta je tako precej težje, kot bi sicer lahko bilo.

Piškotki

Erar ima na desni strani spodaj objavljeno povezavo do obvestila o spletnih piškotkih, ki se glasi:

“Aplikacija privzeto ne namešča piškotov v uporabnikov brskalnik. Če pa želi uporabnik videti tudi nekatere osebne podatke, kot sta npr. ime in priimek nadzornika poslovnega subjekta, pa se mora strinjati z uporabo piškotov in dokazati da je uporabnik človek in ne robot. Pri tem dokazovanju se v uporabnikov brskalnik namesti piškot za vzdrževanje seje, katerega namen je zgolj zagotavljanje funkcionalnosti, da uporabniku ni potrebno na vsaki strani dokazovati, da ni robot.”

V resnici pa spletna stran ob prvem obisku (in še preden uporabnik reši CAPTCHO) brez opozorila nastavi sejni piškotek, kar dokazuje spodnji zaslonski posnetek:

Sejni piškotek v Erarju.

Sejni piškotek v Erarju.

Res je, da je piškotek sejni in ne trajni. Res je tudi, da nastavljanje sejnih piškotkov ni v nasprotju z zakonom, če je potrebno za osnovno funkcionalnost spletne strani. A avtorji Erarja trdijo, da aplikacija piškotkov sploh ne namešča. Kar pa očitno ne drži.

Zanimivosti oz. analize

Zavihek “Zanimivosti“, ki prinaša nekatere (zanimive) analize, veliko obljublja. Žal podrobnejši pregled kaže, da Erar v tem delu vsaj zaenkrat ne prinaša kakšnega presežka.

Uporabnike bi gotovo zanimala kakšna bolj podrobna analiza omejitev poslovanja. Sicer je res, da se v sami aplikaciji prikazuje število transakcij v času, ko so veljale omejitve poslovanja, a uporabnike bi zanimala kakšna bolj poglobljena analiza. Recimo vizualizacija vseh sumov kršitev omejitev poslovanja na enem mestu, zraven pa podatek ali je KPK glede teh sumov izpeljala kakšen postopek in ali je bila ugotovljena dejanska kršitev ali ne. Mimogrede, kako se opravlja takšne analize sem že podrobno pisal na tem blogu.

Zanimiva bi bila tudi kakšna analiza oz. vizualizacija prejetih daril. Ali pa koliko je bilo nakazil na tuje bančne račune, itd… Idej je še kar nekaj. A poglejmo si raje katere analize so trenutno že na voljo.

Prva je analiza odvetniških družb brez odprtih fiduciarnih računov. O tem sem pred časom že pisal na tem blogu, zato me vsekakor veseli, da so na KPK med analize vključili tudi to področje. A pri samem prikazu bi si želel še vsaj analizo vrste izplačil, oz. oceno katera plačila so glede na namen oz. knjiženje verjetno plačila, ki bi morala biti nakazana na fiduciarni račun ter pri katerih izplačilih gre za “običajno” plačevanje storitev. Res je, da tovrstna analiza ni prav enostavna, saj je treba poseči po analizi besedil, vendar je povsem mogoča.

Prikaz porabe denarja občin je odlična ideja, na prvo žogo moti zlasti izbira prav strupenih barv na vizualizaciji. Očitno nekdo res nima smisla za barvno usklajenost…

"Strupena" vizualizacija občin.

“Strupena” vizualizacija občin.

Najprej majhna opomba – tudi tukaj bi bili lahko pri prvem prikazu že prikazani podatki za trenutno leto, ne pa da mora uporabnik ročno izbirati leto. Bi bilo pa smiselno podatke tudi utežiti oz. normalizirati glede na različne parametre, npr. površino občine, število prebivalcev, itd…

Zanimiva pa bi bila zlasti primerjava z načrtovanimi proračuni. Morda bi se dalo izračunati še kakšen podatek povezan z zadolževanjem, itd… Morda ne bi bilo odveč, da bi si avtorji nekoliko podrobneje ogledali analizo proračunov slovenskih občin, ki smo jo pred kratkim pripravili skupaj s Transparency Slovenija in Virostatiq.com.

Pri prikazu slabo ocenjenih vrednosti javnih naročil najprej zmoti dejstvo, da pri tej analizi ni točno vidna metodologija izračuna. Glede na besedilo na uvodni strani (“Vsaj del napak, prikazanih na tej strani, lahko pripišemo tudi napakam pri vnosu podatkov“) bi lahko sklepali, da gre za podatke iz baze javnih naročil, a spodaj je kot vir podatkov napisan MFERAC. Pri tem je pomembno vedeti, da glavna knjiga načeloma vsebuje bistveno manj napak kot baza javnih naročil – slednja je v resnici v precej slabem stanju in na meji uporabnosti.

Vsekakor bi bila tukaj potrebna dodatna razlaga, prav pa bi prišli tudi kakšni dodatni podatki, na primer datum oddaje javnega naročila, začetek izvajanja projekta, kako so bili knjiženi stroški (po katerih postavkah), dinamika izplačil (tok denarja) – sploh po koncu izvajanja projekta – morda še povezava na pogodbo in morebitne anekse. Večina teh podatkov je v MFERAC bazi, predvsem pa je te podatke mogoče dobiti s povezavo različnih baz.

Zadnja analiza je seznam ponudnikov z negativnimi referencami. Gre sicer za zelo uporaben vir podatkov, žal pa ni povezan z ostalimi bazami, niti ni vizualiziran. Res je, da so podatki sami po sebi precej suhoparni in nezanimivi, a kot smo skupaj s Transparency Slovenija in Virostatiq.com pokazali z vizualizacijo državnih projektov, je tudi iz relativno “dolgočasnega” seznama podatkov v Excel tabeli mogoče narediti razmeroma privlačno vizualizacijo.

Dizajn spletne aplikacije

Sicer velja rek, da imajo vsake oči svojega malarja, a po mojem mnenju je aplikacija Erar povsem neustrezno dizajnirana. Pravzaprav aplikacija sploh nima resnega dizajna, vsaj takega ne, ki bi ga naredil nekdo z nekaj oblikovalskimi izkušnjami. Na to kaže tako izbira barv, kot oblikovanje in razporeditev elementov na spletni strani.

Res je, da je Erar sedaj oblikovno precej bliže ostalim stranem državne uprave, kot je bil to Supervizor (to je bil menda tudi eden izmed ciljev projekta), a so po mojem mnenju spletne strani slovenske državne uprave oblikovno zelo zastarele in na meji uporabnosti. Vsekakor ne bi škodilo, če bi se Erarja dotaknil še kdo z izkušnjami iz spletnega oblikovanja in z znanji iz področja uporabniške izkušnje.

Zaključek

Kot rečeno, Erar prinaša nekaj novosti, žal pa ima aplikacija tudi nekaj slabosti. Splošni vtis je, da so podatki sedaj slabše povezani, da je po njih težje iskati, da je aplikacija manj pregledna in posledično tudi manj uporabna. Po moji oceni je transparentnost porabe javnega denarja z Erarjem manjša kot je bila prej s Supervizorjem.

A po drugi strani drži, da je vse omenjene težave mogoče relativno hitro popraviti in izboljšati. Zato naj ta zapis ne bo mišljen kot negativna kritika, pač pa kot (brezplačna) analiza uporabniške izkušnje nove spletne aplikacije ter predlog za izboljšave.

Sam sem v preteklih dveh letih sodeloval pri več projektih razvoja spletnih aplikacij in vizualizacij odprtih podatkov, kjer sem v fazi razvoja pripravljal podobne analize. Na podlagi izkušenj vem, da je aplikacijo Erar mogoče z relativno majhnim vložkom bistveno izboljšati. V trenutni fazi pa aplikacija žal predstavlja nedokončan izdelek. Škoda, da KPK s predstavitvijo ni počakala še nekaj časa in vmes aplikacije še malo izpilila. A kot rečeno, je to mogoče relativno hitro popraviti. Če bo le dovolj volje za to.

Slabi časi za zasebnost v Androidu

Napad na šifriranje notranjega pomnilnika na Androidne telefone s Qualcommovim čipovjem

ARM TrustZone je desetletje stara tehnologija (v bistvu gre za SoC), ki omogoča poganjanje aplikacij v tim. varnem okolju. Ko ARM procesor teče v tim. “varnem načinu”, ima programska oprema, ki teče na procesorju, dostop do dodatnih funkcij in naprav, ki jih zunaj tega varnega okolja ne vidi. Tako ima programska oprema s preklopom v TrustZone dostop do kriptografskih funkcij in kriptografskih poverilnic, do katerih aplikacije, ki tečejo izven TrustZone območja nimajo dostopa. Qualcommova implementacija ARM TrustZone (Qualcomm je eden največjih proizvajalcev procesorjev za mobilne telefone) omogoča običajnim aplikacijam, da v tim. varno okolje, ki ga imenujejo Qualcomm Secure Execution Environment naloži tim. zaupanja vredne aplikacije (imenujejo se trustlets). Le-te se izvajajo v varnem načinu in lahko dostopajo do strojnih kriptografskih dodatkov.

Omenjena tehnologija se uporablja tudi pri šifriranju notranjega pomnilnika mobilnega telefona. V ta namen Android uporablja tim. KeyMaster – gre za modul, ki teče v varnem okolju (tim. Trusted Execution Environment) in je popolnoma ločen od Androida (gre za tim. Hardware-Backed Keystore). KeyMaster modul je mogoče uporabiti za ustvarjanje šifrirnih ključev ter izvajanje kriptografskih operacij ne da bi bilo ob tem potrebno šifrirne ključe razkriti “ne-varnemu svetu”. Pri de/šifriranju notranjega pomnilnika (tim. FDE – Full Disk Encyption) v Androidu naj tako šifrirni ključi ne bi nikoli zapustili KeyMaster modula v surovi obliki.

A kot je ugotovil neodvisni izraelski varnostni raziskovalec Gal Beniamini, Androidni telefoni s Qualcommovim čipovjem šifrirnih ključev za FDE ne shranjujejo na ločenem strojnem modulu (kot to na primer počne iPhone s svojim Secure Enclave, ki teče na ločenem, A7 procesorju), pač pa so neposredno dostopni vsej TrustZone programski opremi (torej tim. trustles-om).

Takoj se seveda postavi vprašanje kako varna je torej TrustZone programska oprema (tim. trustlet-i) in kako varno je TrustZone jedro, oziroma ali je v tej programski opremi mogoče najti kakšno zlorabo (tim. exploit). Beniamini je pokazal, da je to vsekakor mogoče. Na svojem blogu je objavil dva postopka za zlorabo varnostne ranljivosti, ki omogočata pridobitev FDE ključev iz TrustZone. Zlorabi sta sicer že zakrpani (CVE-2015-6639 in CVE-2016-2431), vendar posodobitve zaradi znane razdrobljenosti Andriodnega ekosistema še niso prišle na vse ranljive mobilne telefone (po nekaterih ocenah je z opisanim postopkom ranljivih še okrog 57% mobilnih telefonov). Poleg tega šifrirni ključ za FDE izvira iz strojnega ključa SHK (ki ga ni mogoče spreminjati), kar pomeni, da je na ranljive naprave mogoče namestiti predposodobljeno različico programske opreme, kjer je napad na šifrirne ključe zopet uspešen. Mimogrede, uporaba SHK za šifriranje namesto njegovega kriptografskega derivativa, ni mogoča, saj je SHK dostopen programskim aplikacijam na Androidu, poleg tega uporaba derivativa omogoča, da je kriptografska implementacija neodvisna od strojne opreme.

"Ugrabljeni" KeyMaster kljuc.

“Ugrabljeni” KeyMaster kljuc.

Dodatno težavo predstavlja tudi dejstvo, da lahko proizvajalci mobilnih telefonov (npr. na zahtevo kakšne države) sami izdelajo zlonamerno posodobitev TrustZone, ki omogoča izvoz šifrirnih ključev. Ko pa so šifrirni ključi enkrat izvoženi, je mogoče nad njimi s pomočjo kriptoanalize ugotoviti šifrirno geslo uporabnika. Od tam dalje je telefon popolnoma odprt za forenzično analizo.

Google uvaja hrambo prometnih podatkov

Dodaten udarec varnosti in zasebnosti Androida pa očitno zadaja kar sam Google. Z zadnjimi posodobitvami politike zasebnosti iz dne 28. junija 2016, si namreč Google pridržuje pravico za beleženje dnevniških zapisov vašega telefona, kar vključuje tako vašo telefonsko številko, številke, ki ste jih klicali, datume in čase ter tipe klicev in prometne podatke povezane z SMS sporočili.

Google torej potihem uvaja hrambo prometnih podatkov, torej prakso, ki so jo številna vrhovna in ustavna sodišča v Evropi že označila kot nezakonito. Res je, da je šlo v prvem primeru za beleženje in hrambo prometnih podatkov, ki je bila zapovedana s strani države, a je bivši nemški pooblaščenec za varstvo osebnih podatkov in predsednik ARTICLE 29 Data Protection Working Party Peter Schaar mnenja, da je takšna praksa tudi v primeru Googla nezakonita.