Tool für Koco-Backup

Forum für kontrovers diskutierte technische Lösungen, Programme, Skripte.
Bei Abruf bzw. Nutzung ist eine über das hier ohnehin gebotene hohe Maß an Aufmerksamkeit hinaus gehende Vorsicht geboten.
Forumsregeln
Hinweis: Dies ist ein Subforum für kontrovers diskutierte technische Lösungen, Programme, Skripte.
Wie auch in den anderen Bereichen nehmen Boardbetreiber und Moderatoren keine nähere inhaltliche Prüfung vor.
Erkennbare Malware oder potenziell nicht legitime Beiträge und Links haben hier nichts verloren. Bei Auftauchen bitte Beitrag melden.

In jedem Fall gilt: Bei Abruf bzw. Nutzung ist eine über das hier ohnehin gebotene hohe Maß an Aufmerksamkeit hinaus gehende Vorsicht geboten.
Antworten
ivenae
Beiträge: 9
Registriert: Dienstag 16. August 2022, 21:42
1
Bedankt: 12 times

Tool für Koco-Backup

Beitrag von ivenae »

Ich hab hier mal ein Tool veröffentlicht, mit dem man sich ein Konnektor-Backup selbst erstellen kann, das im Klartext lesbar ist.
Das hat ein paar Vorteile ggü. der im Konnektor enthaltenen Backup funktion, z.B. im Klartext lesbar, versionsübergreifend nutzbar, automatisierbar (keine Pin-Eingabe erforderlich).

www.konnektor-backup.de
XRAY
Beiträge: 296
Registriert: Donnerstag 4. Oktober 2012, 13:32
11
Hat sich bedankt: 11 times
Bedankt: 30 times

Re: Tool für Koco-Backup

Beitrag von XRAY »

Die Verwendung eines nicht zertifizierten Fremdprogramms eines nicht verifizierten Entwicklers mit Komponenten der Telematikinfrastruktur entsprechen einem datenschutzrechtlich relevanten Eingriff. Risikoanalyse und Datenschutz-Folgenabschätzung dürften vernichtend sein.
ivenae
Beiträge: 9
Registriert: Dienstag 16. August 2022, 21:42
1
Bedankt: 12 times

Re: Tool für Koco-Backup

Beitrag von ivenae »

Aha.
Das Programm ist OpenSource und besteht aus übersichtlichen 200 Zeilen Quellcode.
Das kann man vom Browser nicht behaupten, mit dem du das Webinterface ebenfalls öffnest. Quellcode vom Edge schon angefordert? Also der Browser, der Screenshots aller Webseiten macht und so?
Kannst du deine datenschutzrechtliche Befürchtung bei der Ansteuerung einer vom Konnektor bereitgestellten, offenen JSON Schnittstelle etwas ausformulieren?
Hier haben diverse Ärzte nach einer Möglichkeit gefragt, das Infomodell zu exportieren. Das kann der Konnektor leider nicht; Screenshots klappen wegen der vielen versteckten Tabellen (KT2EAP, KT2AP, CS2M, AP2M, CSAPS, RemotePinKT, ...) auch nicht.
Ich habe geliefert. Und was kam von dir so?
XRAY
Beiträge: 296
Registriert: Donnerstag 4. Oktober 2012, 13:32
11
Hat sich bedankt: 11 times
Bedankt: 30 times

Re: Tool für Koco-Backup

Beitrag von XRAY »

Mein Beitrag war ein datenschutzrechtlicher Einwand, welchen Sie leider grundlegend nicht berücksichtigt haben.
Zu den Rahmenbedingungen dessen, was Sie geliefert haben, zitiere ich Inhalte Ihrer Website:
Das Antivirusprogramm meines PC zeigt mir, dass in der Datei ein Virus enthalten ist. Ist das so?
Antivirenprogramme sind Schlangenöl. [...]
Da ist etwas kaputt gegangen und nun steht meine Praxis still, wohin kann ich die Rechnung schicken?
Ha ha. Witzig. Die können Sie sich ganz tief ... das darf ich hier nicht schreiben. [...]
https://web.archive.org/web/20230911212 ... backup.de/
bofh
Beiträge: 425
Registriert: Mittwoch 5. September 2018, 21:47
5
Wohnort: Land Brandenburg
Hat sich bedankt: 17 times
Bedankt: 31 times

Re: Tool für Koco-Backup

Beitrag von bofh »

Nunja, der Quellcode liegt offen. Vielen Dank dafür.
Jeder kann ihn lesen und sich selbst ein Bild machen. Es wird niemand zur Benutzung gezwungen (im Gegensatz zu den TI-Anwendungen - die deutlich größere Sicherheitslücken in mein System reißen).
c-it
Beiträge: 178
Registriert: Montag 5. August 2019, 18:48
4
Hat sich bedankt: 4 times
Bedankt: 24 times

Re: Tool für Koco-Backup

Beitrag von c-it »

... hmmm, das script liest aus was JEDER im Besitz von user/pwd der KocoBox
auch auslesen und ändern kann. Für die Sicherheit der Accountdaten der KocoBox
ist i.A. der Praxiseigner verantwortlich (der ebenfalls nicht zertifiziert ist), da ändert
sich die datenschutzrechtliche Betrachtung IMHO nicht.

Schönen Tag
c-it
Forti
Beiträge: 484
Registriert: Sonntag 14. August 2011, 16:28
12
PVS: Allerlei
Konnektortyp: "alle"
Hat sich bedankt: 32 times
Bedankt: 11 times

Re: Tool für Koco-Backup

Beitrag von Forti »

Hinweis der Moderation:
Dieser Beitrag bekommt die Ehre, ein spezielles Subforum zu begründen.
Ich schreibe hier sowohl als Moderator als auch als TI-Nutzender.

Vorab: Die Sichtung des via Wayback-Machine abrufbaren Python-Skripts ergibt meinem Eindruck nach keine Anhaltspunkte für unerwünschte Aktivitäten im Sinne von Phonehome, Datendiebstahl oder anderen Risiken. Das ist kein Gutachten, und auch bin ich kein Python-Programmierer. Den Code an sich würde ich aber ohne Sorge nutzen, wenn ich Bedarf hätte.
Es bleibt aber - wie immer - eine eigenverantwortliche Entscheidung zu treffen.

Meine persönliche Meinung zur Funktionalität: Das Tool ruft laut Beschreibung und dessen, was ich im Code erkenne, nur auslesbare Informationen vom Konnektor ab. Diese werden dann in strukturierter Form im Klartext gespeichert.
Inwiefern dies die Nutzungsbedingungen der verschiedenen Anbieter verletzt oder gar die gesetzlichen Vorgaben umgeht, vermag ich nicht zu beurteilen.

Ich sehe aber, von der Klartextspeicherung abgesehen, nichts Anderes als das, was TurboMed selbst vermutlich macht, um bei Bedarf die Warnung zu bald ablaufenden Zertifikaten einzublenden (ja, und dann bemerkt es nicht, wenn bereits alles getauscht ist - andere Spielwiese). Inwiefern TM diese Infos irgendwo unverschlüsselt ablegt, kann ich ebenfalls nicht abschließend klären.
Solange die ausgelesenen Daten mit der gebotenen Sorgfalt sicher abgelegt werden, also wie Konnektorkennwörter, PINs etc., sehe ich hier kein besonderes Risiko.


Zugleich liegen die positiven Aspekte darin, dass dieses Tool ermöglicht, Einsicht in die Datenverarbeitung des Konnektors zu gewinnen. Das ist durchaus wünschenswert, und die Bereitstellung der Codezeilen ist als Proof-of-Concept zu begrüßen.

Trotzdem: Diese Codezeilen lassen sich womöglich schreibend nutzen, um dem Konnektor etwas unterzujubeln. Inwiefern er das zulässt oder durch interne Sicherheitsfunktionen unterbindet, weiß ich nicht. Es würde mich nicht überraschen, wenn hier eine Art Einfallstor erkennbar oder abzuleiten wäre. Das würde eine weitere Unzulänglichkeit in der Welt der TI offenbaren.



Aber nun die Gründe für´s Verschieben:

- Die verlinkte Seite wird von ESET Internet Security geblockt (potenziell gefährliche Inhalte). Das passiert gelegentlich auch bei harmlosen Seiten, ist also nicht verbindlich. Ich mache mir nun nicht die Mühe, die Website in einer Sandbox zu öffnen. Wer möchte, kann nach gewissenhafter Sichtung gern das hier nutzen:
https://support.eset.com/de/kb141-wie-u ... mitWebsite

- Potenziell "könnte" das Tool als Zugriff außerhalb der erlaubten Nutzung aufgefasst werden. Auch wenn ich hier gelassen in eine Auseinandersetzung gehen würde, heißt das nicht, dass jede/r sich das antun möchte. Wenn das so sensibel und gefährlich wäre, hätte die Spezifikation sicher die Verhinderung des Auslesens gefordert. Anyway: Cave!

- Die subtile Schärfe im Tonfall in diesem Thread - Ich bitte um Respekt aller Beteiligten gegenüber Leistung, Skepsis, Meinung untereinander.
- Whataboutism ist nicht zielführend. Bereits die Berührung eines PC kann bei entsprechenden Voraussetzungen lebensgefährlich sein. :lol:

- Es mag suspekt wirken, wenn eine Website ein Tool bereitstellt, das nur in einem sensiblen Kontext genutzt werden kann/soll und dann anstelle eines Impressums oder Weglassen eines solchen ein Satz zu lesen ist, der "zwischen den Zeilen" den Wunsch des Autors zeigt, seine Identität nicht zu offenbaren.
NB: Meiner (nichtanwaltlichen) Meinung nach ist das aber alles legitim auf einer privaten Seite. Auch kann es gute Gründe dafür geben, nicht für alle erreichbar sein zu wollen. Die .de-Domain legt nahe, dass der Autor sich nicht verstecken will, sondern nur eben nicht seine persönlichen Daten offen ins Netz stellt.

- Gab es hier schon einmal usergenerierte Tools als fertige .EXE? Ich meine nicht. Code-Signing ist aufwendig bzw. teuer und hier sicherlich wirtschaftlich nicht vertretbar. Insofern verständlich, dass die EXE unsigniert daherkommt. Schön, dass es sie überhaupt gibt und nicht nur Python-kundige User eine Chance auf Nutzung haben. Dennoch: Warnhinweis. Mehr nicht.

---
Fazit: Thread bleibt hier, Seite bleibt verlinkt, solange keine echte Meldung wegen Malware oder Ungesetzlichkeit eingeht (oder auf andere Art derartiges bekannt wird).

Sollte CGM bzw. eine Tochterfirma als Hersteller damit ein Problem haben und darum bitten, diesen Thread zugunsten eines kostenfreien Patches innerhalb weniger Tage für alle(!) noch zugelassenen Firmwares zu schließen, wird dies sicherlich wohlwollend geprüft werden. Maßstab wäre hier anzusetzen wie bei CVE-Vorfällen. Vorsorglich aber noch einmal: Bisher gibt es noch keine nachvollziehbaren Hinweise, dass hier eine Sicherheitslücke vorliegt.
--
Beste Grüße
Forti
ivenae
Beiträge: 9
Registriert: Dienstag 16. August 2022, 21:42
1
Bedankt: 12 times

Re: Tool für Koco-Backup

Beitrag von ivenae »

Die Weboberfläche des Konnektors schreibt ja ebenfalls Daten auf den Konnektor zurück. Das hatte ich bereits hier vor einem Jahr schonmal beschrieben: viewtopic.php?p=58929#p58929
und nun dieses Tool als privaten Wochenend-Programmierjob nachgeliefert.

Einigen hier *hust* scheint das nicht klar zu sein, aber wenn man diese Oberfläche im Konnektor bedient und z.B. ein Infomodell anlegt, muss dieses in der Weboberfläche generierte Infomodell ja irgendwie im Konnektor abgelegt werden. Wie funktioniert dieses teuflische Hexenwerk? Nun, man kann den Datenfluss zwischen Konnektor-Weboberfläche und Konnektor über die Browserkonsole (Firefox: STRG + UMSCHALT + i ) im Reiter Netzwerkanalyse beobachten und mittels Python Programm nachbilden. Das geht nicht nur mit dem Konnektor, so etwas geht grundsätzlich mit jedem webfähigen Gerät, auch z.B. einer Fritzbox.

Jetzt sind die Daten im Konnektor recht komplex. Nicht nur hier und da ein String, Checkbox oder Radio Button, sondern ganze Arrays von Dictionarys und Tabellen. Deshalb hat der Konnektor eben jene ominöse JSON Schnittstelle, die die Konnektor-eigene Weboberfläche als auch obiges Hexen-Werkzeug benutzt, um Daten abzulegen.

Natürlich kann das Tool diese Schnittstellen nicht nur auslesen, sondern den jeweiligen Gegenpart auch beschreiben, allerdings kann das Tool hier nur die vormals ausgelesenen Daten zurückschreiben. Und genau dieses zurückschreiben geht nicht mit allen Daten, die auch auslesbar sind.
Aus Sicherheitsgründen können z.B. Signierschlüssel zwischen Konnektor und Kartenterminal nicht gespeichert oder zurückgeschrieben werden. Auch Benutzer und zugehörige Passwortinformationen kann man auf diese Weise nicht auslesen (Passwörter) bzw. zurückschreiben (Benutzer + Passwörter). Das ist eine grundsätzliche, gewollte Einschränkung, die (vermutlich von der Gematik) vorgegeben wird.

Man könnte aber natürlich über ein solches Tool 'Klicks' auf der Weboberfläche simulieren, d.h. neue User anlegen, Kartenterminal koppeln, Zertifikat löschen oder generieren lassen, etc. Es stellt sich lediglich die Frage, wozu man so etwas brauchen würde. Und ich denke an dieser Stelle könnte man vermuten, was ich so beruflich mache.

Meine Daten verschleier ich nicht, gebe sie aber nicht offen Preis. Mit ein wenig Recherche ist es vermutlich ein leichtes, die herauszufinden. Ich möchte hier lediglich keine direkte Beziehung zu meinem Namen oder meinem Arbeitgeber herstellen.

Code signing ist auch Schlangenöl. Wer sollte das denn für mich signieren? Jemand der das gegengeprüft hat und einen Namen hat? Oder nur irgendjemand mit Namen gegen Geld. Ersteres wäre erst einmal nur sehr kostspielig und würde auch nicht jeden überzeugen. Zweiteres ist absolut sinnlos.
Echo21
Beiträge: 1
Registriert: Dienstag 24. Oktober 2023, 20:09
Hat sich bedankt: 3 times
Bedankt: 1 time

Re: Tool für Koco-Backup

Beitrag von Echo21 »

In dem Zusammenhang ist es mir schleierhaft (und ich habe keine Info dazu ergooglen können), warum ich mit der KoCoBox Weboberfläche zwar ein Infomodell aus einer konformen XML importieren kann aber es keinen Weg zu scheinen gibt, mit dem ich mein mühsam manuell gepflegtes Infomodell in eine ebensolche XML Datei sichern kann.

Kann es mir hier bitte jemand erklären?
CGM-FTW
Beiträge: 23
Registriert: Mittwoch 15. November 2023, 08:10
PVS: CGMMANAGEDTI
Konnektortyp: Kocobox
Bedankt: 9 times

Re: Tool für Koco-Backup

Beitrag von CGM-FTW »

Aus der DVO Schulung weiß ich, dass der XML Import dafür gedacht war, das Infomodell im Primärsystem zu erzeugen und dann in den Konnektor zu importieren.
Das war der Weg, für den es gedacht war. Deshalb gab es nur den Export im Primärsystem und den Import im Konnektor. Das war nie für Backupzwecke gedacht.

Möchtest du ein Backup machen, speicher dir das JSON, was dir der Konnektor unter /administration/json-data/infomodell zurückgibt.
Das kannst du nach /administration/json-store/infomodell zurückschreiben.

Das ist über den Browser sicherlich ziemlich müßig, aber das Konnektor-Backup (konnektor-backup.de) macht dir das halt genau so.
Man muss im Nachgang die CT_IDs anpassen, sofern man zwischenzeitlich den Konnektor auf Werkseinstellungen gesetzt hat, oder einen neuen Konnektor verwendet. Das ist kein Problem, wenn man einzelne Kartenterminals betreibt. Wer mehr als 5 hat, benötigt vermutlich eine Lösung, wie man die CT_IDs nach dem import automatisch abgleicht.
Für die Zuordnung der alten zu den neuen CT_IDs kann man die MAC-Adressen aus dem cardterminalservice des Exports mit den aus dem aktuellen Zustand des cardterminalservice vergleichen. Kann man automatisieren, hab ich für CGM Clinical mal gemacht. Funktioniert toll, wenn man weiß, was man tut.

"Das beste Werkzeug ist ein Tand, in des tumben toren Hand."
(Erika Fuchs a.k.a. Daniel Düsentrieb)
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste