[Chaza!]

[Dogbert]

[netcat]

[pppd]

[netcat]

[CnZ]

Ja nagu kutsutult pidin vanatädi kodus käima täna serte uuendamas. Lõunapaus jäi vahele. Liiga keeruline ja arusaamatu temale, et mis ja kus ning kuidas. Eks mõtte- ja arenguruumi on, kuidas selliseid infra tasemel asju paremini ja intuitiivsemalt korraldada, k.a teavitustöö parem "reach"

[netcat]

Aga milleks paremini korraldada, kui saab probleemid alati nende inimeste sugulaste kaela lükata, kellele asi liiga keeruliseks osutub? Õudselt lihtne ja efektiivne riigile ja arendajatele. Siiamaani on ju toiminud nii hästi. Ja kui keegi julgeb poole sõnaga kritiseerida, siis on vaja alustada isiklikke rünnakuid viitsimise teemadel.

Täiesti offtopic, aga samasse auku nagu see maksumaksja raha eest korraldatud kampaania, et "aita oma vanatädil suitsuandurit kontrollida". Selmet pühenduda natuke mõtlemisele, _miks_ vanatädi ise oma suitsuanduriga hakkama ei saa, ja _miks_ ei ole juba jagatud või vähemalt reklaamitud liikumisraskustega vanuritele käeulatusse jääva juhtimispuldiga suitsuandureid, kui taoline tehnoloogia on olemas ja võimalik.

[LiivaneLord]

[Tanel]

LiivaneLord, ära enam peale võta.
Turvalahendused ja nõuded muutuvad ajas, SHA-2 algoritmi kasutuselevõtt on asjade loogiline käik, liiati kui sul on rohkem kui 500 päeva aega need tasuta ära uuendada.
Tagaukse jutuga koli vandenõudeteooriate teemasse.

[arm2004]

[LiivaneLord]

[WäntWõll]

LiivaneLord, kaart kehtibki ja serdid on ka 5a.
Tundub et adu biiti või oled midagi valesti lugenud või üldse diagonaalis loetud asju kommenteerid.

[Draqula]

LiivaneLord,

http://www.id.ee/index.php?id=30300

[Donald]

[Tanel]

Donald, paluks siis ka selgeid fakte ja tõestusi, kui nii absoluutseid väiteid õhku loobitakse.
Vastasel juhul kategoriseerub selline jutt uudisteagentuuri NSR tasemele.

Tuletan meelde ka tarkusetera, et ei saa tõestada ühegi süsteemi turvalisust, tõestada saab ainult ebaturvalisust.
Seega paluks tõestusmaterjal ID-kaardi ebaturvalisuse kohta lauale

[elukaz]

Vaevalt et keegi hakkab brute forcega id-kaarti lahti murdma, ebaturvalisuseks tuleb kasutada seda mis on kaardi ümber. Nagu näiteks võrku ühendatud arvuti mis ei ole täielikult omaniku kontrolli all. See et tuleb arvuti puhas hoida on bullshit, käsi püsti kes teab täpselt mis ta masinas jookseb? Ei saa panustada sellele et meil on miljon superguru kes teab eksimatult viimset kui bitti mis ta ümber liikleb. Rääkides suletud lähtekoodiga opsüsteemist ei saa seda kunagi teada saamagi. Jääb üle ainult usaldada, aga turvalisus ei saa püsida usaldusel.

Ja kui id haldusvahend saab töötada samal ajal tundmatu pahavaraga ja on nõus võtma pin koodi vaba ligipääsuga klaviatuurilt, mis vahet seal on mitu bitti võltsturvatunnet meile pakutakse?

[Tanel]

elukaz, turvahügieen on elementaarne, aga see pole ju otseselt seotud ID-kaardi enda turvalisusega. Siiani pole teada mitte ühtegi ID-kaardi endaga seotud turvaintsidenti.
Kui eksin, kuulaksin heameelega vastupidist. Kui kardad pahavara enda arvutis, on tagumine aeg arvuti lasta spetsialistil üle vaadata. Veel hullem muidugi siis koodikaardi kasutamine panka sisenemiseks.
Kuid ID-kaarti muidugi arvutis niisama hoida ei tasuks, see on elementaarne. Ja kui väga kardad keyloggereid, siis on saadaval ka PIN-padiga ID-lugejad.

[elukaz]

Ei ma ei karda et keegi isiklikult minu arvutisse minu saladusi varastama tuleb ja mul seisab kaart vahelduva eduga 24/7 masinas, aga mis häirib et müüakse kuvandit et meil on maja paraadnajaks superturvaline seifiuks, aga et majal on ka aknad, no oma viga siis kui on.

Ja ei ole ju vahet kas paned id-kaardi ainult siis arvutisse kui vaja on või istub see seal kogu aeg, mitu millisekundit kulub et mingi automatiseeritud tegevus teha? Kindlasti vähem kui käsitsi pangas ringi surfamine.

[Tanel]

elukaz,

[elukaz]

Ometi sa ütled et ei ole turvaline hoida 24/7, kui sa selle ära põhjendada oskad siis selgub et selsamal põhjusel on ebaturvaline ka ükskõik kui lühike seanss. Id-kaart ei tööta üksi ja iseseisvalt, nii et jah, me ju võime rääkida et kaart ise on turvaline, aga kui seda ka kasutada, siis tekib kohe ketti juurde uusi lülisid mis ei pruugi kõik olla tugevamad. Nii et jõuamegi sinna et tuleb leida tasakaal kasutatavuse ja turvalisuse vahel ja seda tunnistada, aga mitte trummi taguda kuidas kõik on mugav ja kättesaadav ja turvaline ja whatnot.

Samal ajal jättes rääkimata et kui kuskile sisse logimiseks on pinkoodi vaja siis järgmisesse kohta saad juba ilma sisse, nagu wtf?? Kumb pool on hoolimatu idioot?

[Tanel]

elukaz, ausalt, ma ei saa su postituse pointist aru, kuhu sa püüdled ja mis seos käesoleva teemaga on?
Teoretiseerima oleme kõik kõvad, aga kui praktilisi näiteid või tõestusi küsitakse, on vastuseks vaikus.
Kui sulle ID-kaardi lahendus ebaturvaline tundub, siis loobu ometi selle kasutamisest.

[elukaz]

Kas jääb mulje et ma iseenda pärast muretsen? Meil on kuuekohaline arv dumbjuusereid kellel on võimalus id-kaarti kasutada.

[Tanel]

elukaz, jällegi, pole teada mitte ühtegi sellist turvaintsidenti, rääkimata sellise võimaliku pahavara levimisest.
CERT kindlasti jälgib kõike ID-kaardiga seonduvat ja kui peaks kasvõi üks kahtlus tekkima võimaliku kuritarvituse osas, küllap sellele ka reageeritakse.
Massiliseks selline asi (kui see ka aset peaks leidma) kindlasti ei muutu, seega kuuekohaline kasutajaskond võib ID-kaarti rahus edasi kasutada.
Pole mõtet paanikat külvata spekulatsioonidega. Ja antud teemaga seonduvalt on vaid kiiduväärt, et SHA-1 algoritm asendatakse ennetavalt tugevama SHA-2 algoritmiga.

P.S. Soovitan sul mõnel CERT, SK või RIA korraldatud (turva)seminaril käia ja saad oma mure kurta.

[Donald]

[Tanel]