praegune kellaaeg 24.06.2025 18:35:25 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
16.03.2011 12:47:50
|
|
|
| bv kirjutas: |
Nagu sa ise kirjeldad, siis selline rünne on nähtav ja avastatakse.
Eesti e-valimise süsteemi vastu saab panna toime ründeid, mis süsteemi arhitektuuriliste iseärasuste tõttu jäävad avastamata ja hiljem ei saa isegi ründaja tõestada, et toimus manipuleerimine, sest salajasus tagatakse moel, mis manipuleerimise jäljed hävitab.
Rünnakute nähtavus muudabki Norra süsteemi paremaks. Jama korral kukub süsteem "fail-safe" seisundisse, reetes rünnaku toimumise fakti. |
Erm, muidugi oli see ära toodud teoreetiline rünnak "nähtav ja avastatav" - see pidigi olema, selle põhimõte ja eesmärk eeldas seda. Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav, vaata mis sellest on praeguseks saanud, Riigikohus ja avalikkus arutavad tõsiselt terve e-hääeltamise lubatavust, kuigi tegu oli ainult teoreetilise arutlusega . Erinevatel rünnetel ongi erinevad eesmärgid, erinevad avaldumisviisid, erinevad vastumeetmed. Kõike ei saa ühte patta panna.
Aga rünnakute "nähtavusest" nagu sa seda nimetad - see on alati kompromiss valimiste salajasuse arvel. Kuidas Sa ise kommenteeriksid, kas ja kui palju oleks võimalik leevendada valimiste salajasust, nii et rahvas lisandunud monitooritavuse nimel seda on nõus taluma? Jõuame vana hea "ausal inimesel pole midagi varjata"-teesini?
|
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
 |
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 12:53:33
|
|
|
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni.
| pppd kirjutas: |
| Aga rünnakute "nähtavusest" nagu sa seda nimetad - see on alati kompromiss valimiste salajasuse arvel. Kuidas Sa ise kommenteeriksid, kas ja kui palju oleks võimalik leevendada valimiste salajasust, nii et rahvas lisandunud monitooritavuse nimel seda on nõus taluma? Jõuame vana hea "ausal inimesel pole midagi varjata"-teesini? |
Ei Eesti ega Norra süsteem paku salajasust valimiskomisjoni poolsest otsast. Kui valimiskomisjon tahab näha, kes ja kuidas hääletas, siis seda saab teha nii Eesti kui Norra süsteemiga. Nii et sellest aspektist on süsteemide võrdlemine mõttetu. Küll aga pakub Norra süsteem veendumisvõimalust, et korrektne hääl jõudis kohale ja läks arvesse.
viimati muutis bv 16.03.2011 12:55:07, muudetud 1 kord |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
16.03.2011 12:53:37
|
|
|
| bv kirjutas: |
| sukelduja kirjutas: |
| Tuhandete koduarvutite ( ja vastavate privaatvõrkude ) nakatamine on hoopis keerulisem + rakendust ei ole pikka aega kättesaadav + vajalik tegevus on erinevates arvutites erinev + ei ole riistvara kaudu sisevõrku ligipääsu. |
Stuxnet oli nakatanud ka kümneid tuhandeid koduarvuteid (avastamise hetkel leviku ulatus ca 60 000).
Aga Eestis on vähemalt üks ca 20 000 arvutiga botnet. Neisse valimisi mõjutava nakkuse paigutamine on triviaalne.
|
Ma lihtsalt hindad sellise tegevuse mõjusid.
Rakendus tuleb piisavalt kiiresti väljatöötada, testida, kohale toimetada ja peale valimisi võimalikult ruttu hävitada. Võimalik ründeaken on ajaliselt väga kitsas. Põhiline probleem on kohaletoimetamine. Botnetid ei ole väga operatiivsed. Lisaks tavatsetakse nende C&C node regulaarselt maha võtta. 20 000 arvutist kasutatakse valimiseks heal juhul 2000 arvutit, lisaks veel need arvutid kus valmiste manipuleerimise pahvara lihtsalt ei suuda töötada või töötab valesti. See teeb ringkonna peale tühiselt väikse hulga.
|
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
|
16.03.2011 13:05:17
|
|
|
| bv kirjutas: |
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni. |
Said valesti aru. Ma ei mõelnud PP "rünnaku" all mitte selle tema poolt pakutud teoreetilise stsenaariumi realiseerumist, vaid tema algatatud meediakampaaniat ja kaebust VVK-le, mis taotleb e-hääletamise tühistamist. Mõlemal juhul on sisuliseks tagajärjeks usaldamatuse tekitamine valimissüsteemi vastu.
| bv kirjutas: |
| pppd kirjutas: |
| Aga rünnakute "nähtavusest" nagu sa seda nimetad - see on alati kompromiss valimiste salajasuse arvel. Kuidas Sa ise kommenteeriksid, kas ja kui palju oleks võimalik leevendada valimiste salajasust, nii et rahvas lisandunud monitooritavuse nimel seda on nõus taluma? Jõuame vana hea "ausal inimesel pole midagi varjata"-teesini? |
Ei Eesti ega Norra süsteem paku salajasust valimiskomisjoni poolsest otsast. Kui valimiskomisjon tahab näha, kes ja kuidas hääletas, siis seda saab teha nii Eesti kui Norra süsteemiga. Nii et sellest aspektist on süsteemide võrdlemine mõttetu. Küll aga pakub Norra süsteem veendumisvõimalust, et korrektne hääl jõudis kohale ja läks arvesse. |
Turvalisus ei ole binaarne - et "on" ja "ei ole". Kas Sa oled vähemalt nõus tunnistama et Eesti variandi puhul on ka VVK liikmel (jätame süsteemivälise häkkeri hetkel kõrvale) vähemalt oluliselt keerulisem ühendada valija isik ja valija hääl? Ja kas Sa tahaksid äkki laiemalt avada oma väidet et sellest aspektist süsteemide omavaheline võrdlemine on mõttetu - ei tea miks?
Ja see veendumisvõimalus - äkki ikka vastad küsimusele, kui palju hääletamise salajasust võiks Sinu hinnangul selle ohvriks tuua, nii et valijad ka rahule jääks?
viimati muutis pppd 16.03.2011 13:09:28, muudetud 5 korda |
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 13:05:45
|
|
|
| sukelduja kirjutas: |
Ma lihtsalt hindad sellise tegevuse mõjusid.
Rakendus tuleb piisavalt kiiresti väljatöötada, testida, kohale toimetada ja peale valimisi võimalikult ruttu hävitada. Võimalik ründeaken on ajaliselt väga kitsas. Põhiline probleem on kohaletoimetamine. Botnetid ei ole väga operatiivsed. Lisaks tavatsetakse nende C&C node regulaarselt maha võtta. 20 000 arvutist kasutatakse valimiseks heal juhul 2000 arvutit, lisaks veel need arvutid kus valmiste manipuleerimise pahvara lihtsalt ei suuda töötada või töötab valesti. See teeb ringkonna peale tühiselt väikse hulga. |
Selle aasta valimiste mõjutamise ettevalmistamiseks jäi kõvasti aega. Valimisprogrammi sai näppida alates proovihääletamise algusest (8. veeb) ja päris valimine läks lahti alles 24. veebruaril.
| pppd kirjutas: |
| Kas Sa oled vähemalt nõus tunnusitama et Eesti variandi puhul on ka VVK liikmel vähemalt oluliselt keerulisem ühendada valija isik ja valija hääl? |
Ei ole.
Kui VVK hakkab hääli ühekaupa ümbrikutest avama, jälgides, kelle juurde ühes tabelis tekib märge hääletamise kohta ja mis kandidaadi toetus teises tabelis ühe võrra tõuseb, siis... mis siin keerukat.
| sukelduja kirjutas: |
| Ja see veendumisvõimalus - äkki ikka vastad küsimusele, kui palju hääletamise salajasust võiks Sinu hinnangul selle ohriks tuua, nii et valijad ka rahule jääks? |
Hääletamise salajasus on elektroonilise hääletamisega nagunii kompromiteeritud. Ei ole midagi ohverdada.
viimati muutis bv 16.03.2011 13:11:17, muudetud 1 kord |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 13:09:45
|
|
|
| bv kirjutas: |
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni.
|
Siiski jääksid neile kohe silma sellised anomaaliad, kus PIN 1 sisestatakse kandidaatide nimekirjade laadimiseks, kuid sellele järgnevat reaalset hääletust ja hääle laekumist ei toimu.
Kui juba vaid ühe kodaniku, täpsemalt PP tegevus e-proovihääletusel kahtlust äratas, mis siis veel massilisemast anomaaliast ja selle tuvastamisest rääkida.
| tsitaat: |
8.-10. veebruarini toimusid proovivalimised, mille käigus avalikustati programm, millega e-hääletamine tänavu läbi viidi ning Pihelgas laadis selle oma arvutisse ja püüdis luua teist programmi, mis seda mõjutaks.
Juba toona märkasid valimiskomisjoni kübervalvurid, et keegi Paavo sorgib nende süsteemi. "Meil olid siin proovivalimised ja siis juba vaatasime, et logides on midagi imelikku. Siis ma panin kõrva taha, et keegi vist midagi katsetab," ütles Martens. |
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 13:18:03
|
|
|
| Tanel kirjutas: |
| Siiski jääksid neile kohe silma sellised anomaaliad, kus PIN 1 sisestatakse kandidaatide nimekirjade laadimiseks, kuid sellele järgnevat reaalset hääletust ja hääle laekumist ei toimu. |
Esialgsest logimisest saab mööda, kui rakendada social engineeringut: kaardistada inimeste meelsust (nt kogudes protestiallkirjade üritustelt nagu 100 000 häält Savisaare vastu inimeste nimesid) ja "vaenlastele" juba valimisprogrammi käivitamisest alates näidata dummyt.
|
|
| tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
|
16.03.2011 13:18:53
|
|
|
| bv kirjutas: |
| pppd kirjutas: |
| Kas Sa oled vähemalt nõus tunnusitama et Eesti variandi puhul on ka VVK liikmel vähemalt oluliselt keerulisem ühendada valija isik ja valija hääl? |
Ei ole.
Kui VVK hakkab hääli ühekaupa ümbrikutest avama, jälgides, kelle juurde ühes tabelis tekib märge hääletamise kohta ja mis kandidaadi toetus teises tabelis ühe võrra tõuseb, siis... mis siin keerukat.
| sukelduja kirjutas: |
| Ja see veendumisvõimalus - äkki ikka vastad küsimusele, kui palju hääletamise salajasust võiks Sinu hinnangul selle ohriks tuua, nii et valijad ka rahule jääks? |
Hääletamise salajasus on elektroonilise hääletamisega nagunii kompromiteeritud. Ei ole midagi ohverdada. |
Sorry.. minu poolt side lõpp. Jälle korra, inimene ei tea süsteemi toimimispõhimõtteid ega seda mis üldse on võimalik ja mis mitte, aga väited on grandioossed. Vabandan kõigi ees oma vastustega mõttetult kulutatud foorumiruumi ja lugemisele kulutatud aja pärast.
viimati muutis pppd 16.03.2011 13:26:42, muudetud 3 korda |
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 13:23:36
|
|
|
| bv kirjutas: |
| Tanel kirjutas: |
| Siiski jääksid neile kohe silma sellised anomaaliad, kus PIN 1 sisestatakse kandidaatide nimekirjade laadimiseks, kuid sellele järgnevat reaalset hääletust ja hääle laekumist ei toimu. |
Esialgsest logimisest saab mööda, kui rakendada social engineeringut: kaardistada inimeste meelsust (nt kogudes protestiallkirjade üritustelt nagu 100 000 häält Savisaare vastu inimeste nimesid) ja "vaenlastele" juba valimisprogrammi käivitamisest alates näidata dummyt. |
Selline anomaalia tuleks kohe välja, kui see valim paarikümnest totaalsest dumbuserist inimesest vähegi suurem on.
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 13:25:53
|
|
|
| Tanel kirjutas: |
| Selline anomaalia tuleks kohe välja, kui see valim paarikümnest totaalsest dumbuserist inimesest vähegi suurem on. |
Kuidas?
|
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
16.03.2011 13:34:13
|
|
|
| bv kirjutas: |
Selle aasta valimiste mõjutamise ettevalmistamiseks jäi kõvasti aega. Valimisprogrammi sai näppida alates proovihääletamise algusest (8. veeb) ja päris valimine läks lahti alles 24. veebruaril.
|
Miskipärast ma arvan, et need ei olnud samad rakendused. Vähemalt kui mina seda süsteemi disainiks, siis kohe kindlasti ei annaks ma testperioodil sama rakendust välja. Kui kellelgi on testi ja lõpprakendus olemas, siis võiks võrrelda.
|
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 13:36:23
|
|
|
Esiteks tuleks see spetsiifiline pahavara massiliselt kümnetesse tuhandetesse arvutitesse märkamatult saada, et viirusetõrjeprogrammid ja CERT sellest teada ei saaks, mis on praktiliselt võimatu. Kui selline asi avastataks, on Vabariigi Valimiskomisjonil õigus e-hääletus peatada ja tulemused tühistada.
Teiseks, kui see ka peaks mõne arvuti puhul õnnestuma, on alati võimalus, et seda arvutit juhtub kasutama keskmisest targem arvutikasutaja, kes suudab tuvastada selle pahavara olemasolu ning kes siis alarmeeriks CERT-i sellise pahavara olemasolust.
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 13:47:57
|
|
|
| pppd kirjutas: |
| bv kirjutas: |
| pppd kirjutas: |
| Kas Sa oled vähemalt nõus tunnusitama et Eesti variandi puhul on ka VVK liikmel vähemalt oluliselt keerulisem ühendada valija isik ja valija hääl? |
Ei ole.
Kui VVK hakkab hääli ühekaupa ümbrikutest avama, jälgides, kelle juurde ühes tabelis tekib märge hääletamise kohta ja mis kandidaadi toetus teises tabelis ühe võrra tõuseb, siis... mis siin keerukat.
| sukelduja kirjutas: |
| Ja see veendumisvõimalus - äkki ikka vastad küsimusele, kui palju hääletamise salajasust võiks Sinu hinnangul selle ohriks tuua, nii et valijad ka rahule jääks? |
Hääletamise salajasus on elektroonilise hääletamisega nagunii kompromiteeritud. Ei ole midagi ohverdada. |
Sorry.. minu poolt side lõpp. Jälle korra, inimene ei tea süsteemi toimimispõhimõtteid ega seda mis üldse on võimalik ja mis mitte, aga väited on grandioossed. Vabandan kõigi ees oma vastustega mõttetult kulutatud foorumiruumi ja lugemisele kulutatud aja pärast. |
Samas ei ole sinagi esitanud ühtegi allikat, mis kinnitaks sinu väidete õigsust. Niiet pean nõustuma sinu viimast seisukohta, sa kulutasid mõttetult aega vastamisele ning argumenteerimisele kuna üksi väide ei oma reaalset ja usaldusväärset kinnitust. Lisaks, kuigi süsteemid on keerukad lihtinimese jaoks, on võimalik esitada lihtsustatud ning loogiline skeem süsteemi toimimisest. Seega võib iga inimene sellest aru saada ning selle vastu kahtlust avaldada.
| sukelduja kirjutas: |
| bv kirjutas: |
Selle aasta valimiste mõjutamise ettevalmistamiseks jäi kõvasti aega. Valimisprogrammi sai näppida alates proovihääletamise algusest (8. veeb) ja päris valimine läks lahti alles 24. veebruaril.
|
Miskipärast ma arvan, et need ei olnud samad rakendused. Vähemalt kui mina seda süsteemi disainiks, siis kohe kindlasti ei annaks ma testperioodil sama rakendust välja. Kui kellelgi on testi ja lõpprakendus olemas, siis võiks võrrelda. |
Tekib küsimus milleks lasta välja testrakendus kui reaalne erineb sellest. Põhimõte peaks olema inimesele süsteemi toimimise selgitamine ja sellega harjutamine. Kui aga reaalne rakendus erineb sellest siis pole ju vahet kas testprodukt on või ei ole avalikusele kättesaadav.
| Tanel kirjutas: |
Esiteks tuleks see spetsiifiline pahavara massiliselt kümnetesse tuhandetesse arvutitesse märkamatult saada, et viirusetõrjeprogrammid ja CERT sellest teada ei saaks, mis on praktiliselt võimatu. Kui selline asi avastataks, on Vabariigi Valimiskomisjonil õigus e-hääletus peatada ja tulemused tühistada.
Teiseks, kui see ka peaks mõne arvuti puhul õnnestuma, on alati võimalus, et seda arvutit juhtub kasutama keskmisest targem arvutikasutaja, kes suudab tuvastada selle pahavara olemasolu ning kes siis alarmeeriks CERT-i sellise pahavara olemasolust. |
Samas ei saa kodukasutajate seas nakatunud arvutite hulka uurida. Inimene võib küll ise seda teha kuid oskamatusest ei pruugi. Muidugi võib panna inimestele südamele lasta enda arvutit regulaarselt kontrollida kuid sellisel juhul võiks rakendada meedet, mis eelmisel leheküljel välja pakuti - valimisrakenduse küljes olev programm, mis kontrollib arvuti turvalisust hääletamiseks ning kui arvuti ei ole rakenduse jaoks piisavalt turvaline, hääletamisvõimalus tühistada ning soovitada inimesel kas kontrollida ja puhastada arvuti või hääletada sedelil.
Lisaks, pahavara tuleb enne kui abinõu selle vastu. AV ei pruugi pahavara äragi tunda, rääkimata suutlikusest selle vastu meetmeid rakendada.
viimati muutis Leo Kalme 16.03.2011 13:56:06, muudetud 2 korda |
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 13:49:31
|
|
|
| sukelduja kirjutas: |
| Miskipärast ma arvan, et need ei olnud samad rakendused. Vähemalt kui mina seda süsteemi disainiks, siis kohe kindlasti ei annaks ma testperioodil sama rakendust välja. Kui kellelgi on testi ja lõpprakendus olemas, siis võiks võrrelda. |
Programmikoodis võis erinevusi olla, aga user experience (programmi välimus ja käitumine) oli sama. Pealtnägijas olnud rünnaku jaoks ei ole koodi vaja tunda, piisab välimuse teadmisest. Ma ise sattusin valimiste lehele millalgi sügisel ja nägin juba siis screenshotte GUIst.
| Tanel kirjutas: |
| Esiteks tuleks see spetsiifiline pahavara massiliselt kümnetesse tuhandetesse arvutitesse märkamatult saada, et viirusetõrjeprogrammid ja CERT sellest teada ei saaks, mis on praktiliselt võimatu. Kui selline asi avastataks, on Vabariigi Valimiskomisjonil õigus e-hääletus peatada ja tulemused tühistada. Teiseks, kui see ka peaks mõne arvuti puhul õnnestuma, on alati võimalus, et seda arvutit juhtub kasutama keskmisest targem arvutikasutaja, kes suudab tuvastada selle pahavara olemasolu ning kes siis alarmeeriks CERT-i sellise pahavara olemasolust. |
Stuxneti näitel sai juba kirjeldatud, kui hambutud on kaitsemeetmed hästi rahastatud rünnaku vastu.
|
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 13:57:31
|
|
|
| tsitaat: |
Stuxneti näitel sai juba kirjeldatud, kui hambutud on kaitsemeetmed hästi rahastatud rünnaku vastu.
|
Jah, teoreetiliselt on kõik võimalik (ka minu saamine USA presidendiks, võltsides sünnitunnistust jne), kuid oleme siiski pragmaatikud.
Kas Stuxnet suudab valida arvuteid sõltuvalt kasutajast? (st. suudab vältida turbeekspertide või nende tuttavate arvuteid) ning selle pahavara eelnevat või e-valimistepäevadel levimist ei tuvastatud ei turbeekspertide ega CERT poolt?
Kas jah, siis kas usud, et toimunud valimiste juures toimus vastav rünnak, massiliselt nakatatud arvutites toimus mitte-valimine ning kas kümned tuhanded eestlaste arvutid on võib-olla endiselt nakatatud?
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator
viimati muutis Tanel 16.03.2011 13:57:53, muudetud 1 kord |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 14:02:57
|
|
|
Vabandan, vajutasin "tsiteeri" nuppu oma postitusel "muuda" asemel.
| Tanel kirjutas: |
| tsitaat: |
Stuxneti näitel sai juba kirjeldatud, kui hambutud on kaitsemeetmed hästi rahastatud rünnaku vastu.
|
Jah, teoreetiliselt on kõik võimalik (ka minu saamine USA presidendiks, võltsides sünnitunnistust jne), kuid oleme siiski pragmaatikud.
Kas Stuxnet suudab valida arvuteid sõltuvalt kasutajast? (st. suudab vältida turbeekspertide või nende tuttavate arvuteid) ning selle pahavara eelnevat või e-valimistepäevadel levimist ei tuvastatud ei turbeekspertide ega CERT poolt?
Kas jah, siis kas usud, et toimunud valimiste juures toimus vastav rünnak, massiliselt nakatatud arvutites toimus mitte-valimine ning kas kümned tuhanded eestlaste arvutid on võib-olla endiselt nakatatud? |
Ma kahtlen, et e-valimistel toimus edukas rünnak süsteemi vastu. Kuid asi ei ole selles. Eelnevalt mainiti, et asi pole selles kas rünnak toimus või mitte vaid põhimõttes, et selleks loodi võimalus. Ja kuigi mina võin kahelda, et selline asi toimus ning süsteem ka ei registreerinud ega avastanud ühtegi, ei välista võimalust, et edukas rünnak toimus. Probleem ei teki alles siis kui rünnak on toimunud vaid selle ennetamisel. Ja sellel peaks süsteemide testimine põhinema.
Pahavara areneb ruutvõrdeliselt turvameetmetega võrreldes. Kui süsteemi piisavat turvalisust ei saa kontrollida siis ei tohiks seda kasutada. Kui aga kasutatakse siis tuleks sellest inimesi teadvustada.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 14:04:15
|
|
|
Point ongi selles, et kui see rünnak oleks reaalselt toimunud, oleks olnud äärmiselt vähetõenäoline, et selle pahavara otsa poleks sattunud mõni sõltumatu turbeekspert.
Ja siis oleks see juba oluliselt suurema kella küljes, kui praegune tagantjärgi näitlikustatud hüpoteetiline probleem.
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
|
16.03.2011 14:09:33
|
|
|
| bv kirjutas: |
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni. |
Samas oleks üsnagi lihtne programmile juurde lisada ekstra samm. Näiteks peale hääle saatmist saadaks server omalt poolt vastuseks mingi hulga infot mida on lihtne kasutajal kontrolida kuid mida ei ole võimalik viirusel teha. A'la saadaks kinnituseks tagasi ID kaardi omaniku pildi (need peaks olema digitaalselt kusagil baasis olemas ja vajadusel kättesaadavad kuid otse ID kaardilt vist ei saa välja lugeda). Kui oma lõust peale hääletust ekraanilt vastu ei vaata siis ongi selge, et mingi jama on.
_________________
Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity"
viimati muutis Ho Ho 16.03.2011 14:10:32, muudetud 1 kord |
|
| Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 14:10:27
|
|
|
| Tanel kirjutas: |
Point ongi selles, et kui see rünnak oleks reaalselt toimunud, oleks olnud äärmiselt vähetõenäoline, et selle pahavara otsa poleks sattunud mõni sõltumatu turbeekspert.
Ja siis oleks see juba oluliselt suurema kella küljes, kui praegune tagantjärgi näitlikustatud hüpoteetiline probleem. |
Aga inimene ei saagi hüpoteetlisest turvaprobleemi teadvustamisest rohkemat teha õige eesmärgi nimel kuna see muudaks ta kurjategijaks ning sel juhul ei oleks enam küsimuse all valimissüsteemi turvalisus vaid kurjategija vastutusele võtmine.
See kõlab uskumatult aga Eestis on tohutult palju arvutivõõraid inimesi, kes ei adu ohte ning kasutavad oma arvutit vaid e-kirjade lugemiseks, raadio kuulamiseks ning uudistega kursis olemiseks. teadagi, läbi e-posti liigub tohutul hulgal pahavara ning suur osa neist ei saaks arugi kui nad on valele lingile vajutanud.
Olgugi, on suur võimalus, et spetsialist satub sellise pahavara otsa ning teadvustab sellest CERT'i kuid kui vaadata seda videot mis bv ennist postitas siis selgub sealt, et F-Security labs juht märgib, et Stuxnet võiks ka tema arvuti enda teadmata ilma probleemita nakatada ning igasugused AV'd on selle vastu suhteliselt võimetud.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 14:14:41
|
|
|
| Tanel kirjutas: |
| Kas Stuxnet suudab valida arvuteid sõltuvalt kasutajast? (st. suudab vältida turbeekspertide või nende tuttavate arvuteid) ning selle pahavara eelnevat või e-valimistepäevadel levimist ei tuvastatud ei turbeekspertide ega CERT poolt? |
Turbeeksperdi arvutisse sattumine ja pahavara avastamine ei ole seotud sündmused. Korralik pahavara võib vabalt isegi turbeeksperdi arvutis elutseda nii, et ta seda tähele ei pane. Varem viidatud F-Secure'i mehe videos on neil teemadel natuke juttu.
Omaette küsimus on, kas pahavara avastamise järel saadakse aru, mida pahavara teeb.
| Tanel kirjutas: |
| Kas jah, siis kas usud, et toimunud valimiste juures toimus vastav rünnak, massiliselt nakatatud arvutites toimus mitte-valimine ning kas kümned tuhanded eestlaste arvutid on võib-olla endiselt nakatatud? |
Selles Eesti e-valimiste süsteemi jama ongi, et keegi ei tea. Klõpsin ekraanil ühe kandidaadi poolt, aga kas see hääl ka kunagi kohale jõuab - ei tea. Ja valimiskomisjon ei saa teada, kui pahavara hääletamist takistab.
|
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 14:25:06
|
|
|
| tsitaat: |
Aga inimene ei saagi hüpoteetlisest turvaprobleemi teadvustamisest rohkemat teha õige eesmärgi nimel kuna see muudaks ta kurjategijaks ning sel juhul ei oleks enam küsimuse all valimissüsteemi turvalisus vaid kurjategija vastutusele võtmine.
|
Ee, misasja?
Kui sa pead silmas kodanikku, kes selle teema tõstatas, siis tegi ta ju kõik õigesti, demonstreeris süsteemi teoreetilist haavatavust oma arvutist. Oma arvutiga võib ju kõike teha, kasvõi vasaraga ekraani pihta lüüa ja näidata et valimisrakenduses on mõra. Aga kui ta oleks seda koodi hakanud levitama, oleks asjalood loomulikult teised olnud.
| tsitaat: |
Klõpsin ekraanil ühe kandidaadi poolt, aga kas see hääl ka kunagi kohale jõuab - ei tea.
|
Seda on juba mitmetel valimistel töötavalt testitud, rääkimata testimisest VVK sisemiselt, et kõik toimiks nii nagu peab.
Nagu ma ühes teises teemas kirjutasin, kui sa niivõrd tähtsat organit kui VVK ei usalda tema töös, tähendab see sisuliselt oma riigi umbusaldamist. Kõik algab pihta usaldamisest. VVK ja CERT ekspertide valimissüsteemi selgitused on vähemalt minu jaoks olnud ammendavad ja piisavad. Kui on konkreetseid andmeid nende ekspertide kuritarvitamistest, siis paluks konkreetseid andmed ning need faktid saavad suurema kella otsa riputatud.
| tsitaat: |
Ja valimiskomisjon ei saa teada, kui pahavara hääletamist takistab.
|
Nagu öeldud, valimiskomisjon ja CERT ei tuvastanud hääletamisele eelnevalt ega selle jooksul pahavara levitamist.
Lisaks oleks süsteem registreerinud massilised anomaaliad, kui valimisrakendust alla laeti, aga hääletust ei toimunud. Korduvalt on ka öeldud, et kui kodanik pole kindel oma arvuti turvalisuses, tuleks eelistada paberhääletust.
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
16.03.2011 14:26:55
|
|
|
Mitu kasutajat peaks valimisrakenduse alla laadima ja siis e-valimata jätma, et VVK kvalifitseeriks selle PP kirjeldatud ründeks?
Kavatsen järgmistel e-valimistel sedasi teha ja kutsun üles ka teisi sedasi käituma.
Saate ju isegi aru, et VVK ei suuda eristada juhtumeid, kus valimise jättis pooleli valija, nendest, kus valijat lollitati pahavara poolt.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
H_K
Aeg Maha 2n
liitunud: 09.01.2002
|
|
16.03.2011 14:35:52
|
|
|
| tsitaat: |
..., kui sa niivõrd tähtsat organit kui VVK ei usalda tema töös, tähendab see sisuliselt oma riigi umbusaldamist. Kõik algab pihta usaldamisest.
|
See kõlab umbes sedasi, et kui sa ei usalda suht suure rahva mandaadi saanud opositsioonierakonna juhti, tähendab see sisuliselt oma riigi umbusaldamist  Või kui sa ei usalda oma riigi keskkonnaministrit Villut, tähendab see sisuliselt oma riigi umbusaldamist.
Ma ei laiendaks mingite persoonide või komisjonide usaldamist või mitteusaldamist kogu riigile. See tekitaks olukorra, kus keegi julgegi kitsaskohtadele tähelepanu juhtida, sest teda võidaks süüdistada riigivastasuses. Kui selline hirm levib, soosime me ebaausust ja vigast riiki - petame iseendid.
viimati muutis H_K 16.03.2011 14:36:22, muudetud 1 kord |
|
| Kommentaarid: 53 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
51 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 14:36:08
|
|
|
| tsitaat: |
VVK ei suuda eristada juhtumeid, kus valimise jättis pooleli valija, nendest, kus valijat lollitati pahavara poolt.
|
| tsitaat: |
oleks olnud äärmiselt vähetõenäoline, et selle pahavara otsa poleks sattunud mõni sõltumatu turbeekspert.
|
Tõenäolisem ja suurem probleem olnuks see, kui näiteks mõne erakonna valimistelgis (nagu 2009 KOV valimistel oli KE valimistelgid) oleks ekraani suurendus kõikidel arvutitel sätitud 150% peale ja seetõttu poleks saanud valida osade valimisringkondade üksikkandidaate. AFAIK see aasta valimistelke vist õnneks polnud...
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 14:38:14
|
|
|
| tsitaat: |
Ma ei laiendaks mingite persoonide või komisjonide usaldamist või mitteusaldamist kogu riigile.
|
Aga palun too siis välja need konkreetsed persoonide nimed, kes ei vääri usaldust (st. nad on kuritarvitanud süsteeme ja/või võltsivad tulemusi) ning paneme suure kella otsa 
Antud juhul sa tegeled otsese laimamisega VVK aadressil, kui ei räägi konkreetsetest faktidest või inimestest.
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
