[napoleon]

Tanel, loe mu postitust uuesti. Rünnak on võimalik, kuigi eeldab et kasutaja arvutisse õnnestub mingi troojalane istutada.

[Tanel]

Turvalisust ei saa tõestada, tõestada saab vaid ebaturvalisust.
On sul mingi tõestus oma väite kinnitamiseks?

[napoleon]

Ei ole, aga kui lubad oma arvutisse teamvieweri ja keyloggeri installida, siis arvatavasti suudan tõestada
Tegelikult on iga tagauks ja muu turvaauk niikaua teoreetiline ebaturvalisus kui keegi seda ära kasutanud pole

[Tanel]

napoleon, aga palun, tee seda ja anna ka RIA-le teada oma häkkimistulemustest.
Seniks aga, kui pole tõestatud vastupidist, ID-kaart on turvaline ja vastupidist väita (eriti siinses IT-teemalises foorumis) on pehmelt öeldes eksitav.

[napoleon]

Tanel, ma ei kavatse illegaalselt häkkima hakata, tegelt enam ei viitsi ka otsida, kuidas neid OS tasemel hook-e kasutada.
Aga kumma fakti vastu sa vaidled, kas selle vastu, et keyloggeri abil võib ID kaardi PIN koodid kätte saada või selle vastu, et kui PIN koodid on teada ja kasutaja arvutisse mingi backdoor installitud, siis ei saa neid PIN koode kasutada kui kasutaja id kaarti lugejas hoiab?
Ma kahtlustan pigem, et see rünnak on suht keeruline kuna peab olema suht spetsiifiliselt Eesti id kaardi kuritarvitamiseks loodud ja lõksu langevad vähesed, kuna suuremal osal mingi antiviirus on, mis pahalase eest juba varakult hoiatab.

[Tanel]

napoleon, mina ei ole hiromant ega ekspert selles vallas.
Mu point on selles, et kui varsti 20-seks saav ID-kaardi infra oleks ebaturvaline, oleks sellele ammu käpp peale pandud, pangakontosid tühjaks tehtud jne.
Seniks, kuni selle kohta pole mitte mingit kompromiteerivat informatsiooni, on ka väär spekuleerida ja kindlas kõneviisis väita midagi, mida ta pole.
Niimoodi need vandenõuteooriad tuld võtavadki ja seetõttu ei saa ma sinu valeinfot sisaldavat postitust siin portaalis ka ignoreerida ja märgin postituse kustutamisele.

[napoleon]

Tanel, see ei ole vandenõuteooria. Kujutan üsna täpselt ette kuidas selline rünnak teoorias korraldada. Tõsi ta on, et see on umbes sama kui väita, et kui oma kodu uksest välja astud, võib keegi su 9600bps modemiga maha lüüa, aga see on siiski teoorias võimalik. Minu eesmärk pole siin paanikat külvata vaid väita, et kui mõni peab mobiili id-d väga ebaturvaliseks ja id kaarti ülimalt turvaliseks, siis on ka id kaardil mõni nõrk koht. Tegelikult on see ka päris dokumendil, kui keegi kes sinuga natuke sarnane on su passi või id kaardi sisse vehib, siis saab ta ka sinu nimel tehinguid teha, biomeetrilist tuvasatust minu teada veel kuskil ei kasutata kuigi passi taotlemisel sõrmejäljed võetakse.

[Mnator]

napoleon, palun selgita miks sinu arvates hoitakse id-kaarti arvutis valmis sulle kasutada? Ehki ma ei eita, et taolisi hulle võib leiduda. aga see on nende hullumeelne turvarisk (teamviewer aktiveeritud ja id-kaart sees). Ja sinu stsenaariumi puhul pole ju tarvis mingeid "OS taseme hooke" jms. See pole mingi ebaturvalisuse tõestus, kui teoks teha, vaid lihtlabane inimliku hooletuse ärakasutamine. Sama hästi võid ka mingi bandega selle inimese koju sisse murda ja sõrmed sahtli vahele lüüa pin koodide teadasaamiseks ja siis avalikult edasi tegutseda ja lahkudes oma ohri voodisse kinni sideda, et ta liiga ruttu sulle politseid kaela ei saaks saata..........

[napoleon]

Mnator, mina ei hoia ID kaarti lugejas. Aga tean nii mõndagi kes hoiab kui seda tihti vaja läheb. Mõni on lausa digi ID teinud, et saaks ühte kaarti lugejas ja teist rahakoti vahel hoida.

[Tanel]

napoleon, no aga see on ju teooria, kuniks pole tõestatud vastupidist.
Ja neid on ilmselt ikka palju, kes oleks huvitatud infra kompromiteerimisest.
See oleks ammu ära tehtud, kui see oleks sinu arvates nii lihtne.

[napoleon]

ok, kui mõni õhtu igav on siis püüan nii katsetada, et panen ühte oma masinasse keyloggeri ja vaatan kas annab kompromiteerida.

[Mnator]

[Tanel]

Mnator, ma ei mõelnud nüüd konkreetselt teamvierit, vaid üldisemalt

[napoleon]

Mnator, kusjuures remote desktop kaudu visatakse lugeja küljest ära. Olen selle teemaga hoopis teises kontekstis kokku puutunud. Aga jah, teamviewer oli näide, pahalasel on kindlasti mingi muu backdoor, mis kuskilt välja ei paista
Kordan veelkord, see pole vandenõuteooria vaid rõhutan ainult seda, et teoorias on rünnak võimalik olenemata sellest, kas keegi seda praktikas kunagi teinud on
Turvalisust saaks tõsta sellega, kui id kaardi lugejal oleks füüsiliselt klaviatuur ja sisestad pin'i lugeja klaviatuuril mitte arvutis.

[Tanel]

Praktika on tõe kriteerium ja teooria jääb seni teooriaks.
Jah, seda ohutut kasutamist on loomulikult korrutatud ja müüaksegi ka eraldi pin-klaveriga lugejaid.
Seniks aga ei saa ega eriti Eestis valeuudiste tingimustes väita midagi sellist, mida ta tehniliselt pole.

[Dirty Harry]

[napoleon]

Baeskades, oled kindel, et ikka windowsi enda RDP mitte VM oma?

[Dirty Harry]

[napoleon]

Baeskades, Virtualbox masinale näiteks saab nii ligi, et on kliendi pool küll mstsc, aga masin tuleb ette nagu konsool ehk pole windowsi enda RDP. Contabo pakub sama KVM lahendust VNC kaudu. Saab windowsi enda omaga ka muidugi läheneda.

[Dirty Harry]

Ah niiviisi mõtled. Ikka täitsa tavaline rdp, jah.

[WäntWõll]

https://www.err.ee/943492/riik-hindab-smart-id-d-ka-pettustelaine-jarel-turvaliseks-lahenduseks

[RCC]

no mida kuradit peaks pank mulle saatma selliseid sõnumeid - suurim vaenlane saab ainult kannaga, teiseks, miks ma peaks mobiilist kuhugi sisse logima, nokia 6101 ei võimaldagi seda. no nii rumal ei saa ka ju olla. pank saadab mulle kõik sõnumid posti teel, mis sisaldavad endas nuttu, et maksa ära 1,96 eurot, millest 31 senti on intress, mida ma muidugi ei tee, vaid venitan mitu kuud.

[jägaja]

https://forte.delfi.ee/article.php?id=91250657
Kurjamid on kinni võetud, kuid nende poolt kasutatud nõrkuseid saab ilmselt ka tulevikus ära kasutada. Väide, et nüüd on kõik nõrkused parandatud, ajab muigama.

Üllatav on ka, et 400 isikuni jõuti oma tegevust laiendada.