praegune kellaaeg 01.06.2024 17:53:20 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
sõnum   |
|
mikk36
HV Guru
liitunud: 21.02.2004
|
25.04.2009 07:34:03
|
|
|
| Sults, mitut ID-kaardi häkkimis juhtumit sa kuulnud oled selle 7 aastase levikuloleku ajal ?
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:12:05
|
|
|
| mikk36 kirjutas: |
| Sults, mitut ID-kaardi häkkimis juhtumit sa kuulnud oled selle 7 aastase levikuloleku ajal ? |
mikk36, mitu juhtumit sa tead viimase 100 aasta jooksul, kus käte peal ülekäigurajal sõiduteed ületanud jalakäija jääb auto alla? Või siis sellisel viisil tee ületamisel juhtunud õnnetust, nagu siin videos? Mina ei tea mitte ühtegi, kuid ometi ei pea ma sellist viisi turvalisemaks tavapärasest teeületamisest, mis sest, et viimasega juhtub igal aastal massiliselt õnnetusi.
Selle sinu poolt küsitud ajavahemiku jooksul on ID kaardiga tehtud vaid alla 1% kõigist tehingutest. Valdav enamik, tõenäoliselt üle 90%, on tehtud koodikaardi abil. Pole midagi imestada, et rünnakud on olnud keskendunud koodikaardi peale. Samas ei tea ma mitte ühtegi edukat rünnakut koodikaardile ei omast käest ega ka oma tutvusringkonnast. Isegi meedia vahendusel on kõrvu jäänud ainult need naljakirjad, a la "saada oma kasutajatunnus, püsiparool ja koodikaardi koodid kusagile hooldusesse" 
Kui ID-kaardi osakaal kasvab, siis suureneb ka ID-kaardiga autentimise ja digiallkirjade andmise rünnakute tõenäosus. ID-kaardiga autentimise ja digiallkirja andmise ründamise teeb ahvatlevaks ju see, et sellega antud allkiri on pangas raha liigutamisest märksa laiema kasutusalaga ja võimalik on kasutada varjatud pettust suure hulga pettuste sooritamiseks ja siis nende lühikese aja jooksul realiseerimist. Tõenäoliselt lõptatakse massiliste pettuste ilmsiks tuleku korral see ID-kaardi pull ära, kuid pidevalt üksikute pettusjuhtumite järkjärguline ilmumine meedias avaldaks ID-kaardi tegeliku ebaturvalisuse ja inimesed loobuksid ebaturvalisest ID-kaardist teiste autentimisviiside kasuks. Seega on kurjategijail mõistlik praegu arendada ja lihvida ID-kaardi kasutamisel põhinevaid ründemeetodeid, koguda suur hulk pahaaimamatuid ohvreid ja realiseerida kuritarvitused kunagi hiljem suhteliselt väikeste ohvriportusde kaupa, sest esimeste suuremate ründejuhtumite õnnetumisel loobuks paljud potentsiaalsed ID-kaardi kasutajad selle kasutamisest, kuid sellise meetodi puhul on kurjategijatel juba suure osa kohta neist juba pahaaimamatult olemas igasuguseid põnevaid lepinguid, mida siis saab kurjategijate poolt mõistlike portsude kaupa täitmisele pöörata ja kasud välja võtta. Kõiki korraga realiseerida ei saa, sest siis tühistataks kõik ID-kaardiga sõlmitud lepingud ja kurjategijad jääks ilma lihtsast ja ohutust ründeviisist.
viimati muutis Sults 25.04.2009 09:16:35, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
25.04.2009 09:14:48
|
|
|
Sults, kui pikk aeg on piisav siis toote turvalisuse testimiseks ?
Mis periood tõestaks sulle näiteks et ID kaardi süsteemid on piisavalt turvalised ?
edit: Kui kaua on testitud näiteks internetipanga turvalisust ? Kui kaua on testitud panga süsteemide turvalisust ? Kuidas sa nende turvalisuses üldse kindel saad olla ?
viimati muutis mikk36 25.04.2009 09:22:08, muudetud 1 kord |
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
sakinaga
HV Guru
liitunud: 30.08.2006
|
|
25.04.2009 09:18:30
|
|
|
| mikk36, tundub, et isegi 100 aastat ei ole talle piisab(vt näidet)
|
|
| Kommentaarid: 158 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
150 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
 
|
|
25.04.2009 09:25:51
|
|
|
| tsitaat: |
ID-kaardiga autentimise ja digiallkirja andmise ründamise teeb ahvatlevaks ju see, et sellega antud allkiri on pangas raha liigutamisest märksa laiema kasutusalaga ja võimalik on kasutada varjatud pettust suure hulga pettuste sooritamiseks ja siis nende lühikese aja jooksul realiseerimist
|
| tsitaat: |
Seega on kurjategijail mõistlik praegu arendada ja lihvida ID-kaardi kasutamisel põhinevaid ründemeetodeid, koguda suur hulk pahaaimamatuid ohvreid ja realiseerida kuritarvitused kunagi hiljem suhteliselt väikeste ohvriportusde kaupa
|
| tsitaat: |
kuid sellise meetodi puhul on kurjategijatel juba suure osa kohta neist juba pahaaimamatult olemas igasuguseid põnevaid lepinguid, mida siis saab kurjategijate poolt mõistlike portsude kaupa täitmisele pöörata ja kasud välja võtta.
|
Jääb mulje, nagu kurjategijaiks nimetad sa panku?  Või pead silmas kedagi/midagi muud?
_________________
HV valuutakalkulaator |
|
| Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:31:46
|
|
|
| mikk36 kirjutas: |
Sults, kui pikk aeg on piisav siis toote turvalisuse testimiseks ?
Mis periood tõestaks sulle näiteks et ID kaardi süsteemid on piisavalt turvalised ? |
See olenev tublisti tootest.
Kui ikka tootes on silmaga nähtavaid turvaauke, pole mõtet eeldada, et pikaajaline turvatestimine seda päästab.
Kuna kasutaja ei saa kuidagi tuvastada, mida ta veebi kaudu digiallkirjastamisel allkirjastab, siis see tegevus lihtsalt ei ole turvaline! See on oma legaalselt siduva allkirja andmine musta kasti, nägemata, mida allkirjastatakse! See on tõsine põhimõtteline turvarisk, mida ei võta ära mitte mingi testimisperioodi abil, vaid võibolla üksnes kogu süsteemi ümberdisainimise teel (maksete digiallkirjastamisest loobumisega).
ID-kaardi nurgaadvogaadid sonivad siin midagi tohutust pankade usaldusväärsusest, et pankadele võib julgelt usaldada selliselt pimesi antud allkirju. Paraku on sellise mõttemalli levitamisel selline oht, et kui keskmine lollkasutaja harjutatakse andma pimesi allkirju pangamaksetele, siis hakkavad need varsti neid sama kergekäeliselt andma igal pool mujal. Mida laiemaks läheb selliselt veebi kaudu digiallkirjastamist kasutavate teenuste ring ja mida rohkem on selliste teenuste kasutajaid, seda suuremaks muutub kuritarvitamise risk. Ja see risk ei ole mitte lineaarses seoses, vaid eksponentsiaalselt.
| Tanel kirjutas: |
| tsitaat: |
ID-kaardiga autentimise ja digiallkirja andmise ründamise teeb ahvatlevaks ju see, et sellega antud allkiri on pangas raha liigutamisest märksa laiema kasutusalaga ja võimalik on kasutada varjatud pettust suure hulga pettuste sooritamiseks ja siis nende lühikese aja jooksul realiseerimist
|
| tsitaat: |
Seega on kurjategijail mõistlik praegu arendada ja lihvida ID-kaardi kasutamisel põhinevaid ründemeetodeid, koguda suur hulk pahaaimamatuid ohvreid ja realiseerida kuritarvitused kunagi hiljem suhteliselt väikeste ohvriportusde kaupa
|
| tsitaat: |
kuid sellise meetodi puhul on kurjategijatel juba suure osa kohta neist juba pahaaimamatult olemas igasuguseid põnevaid lepinguid, mida siis saab kurjategijate poolt mõistlike portsude kaupa täitmisele pöörata ja kasud välja võtta.
|
Jääb mulje, nagu kurjategijaiks nimetad sa panku? Või pead silmas kedagi/midagi muud? |
Ma ei saa midagi sinna parata, kui sulle meeldib nii mõelda. Ma kohe kuidagi ei sooviks sel teemal sinuga kenal laupäeva hommikul vaielda. Mulle ei meeldi, kui mind mitte mõistvad isikud minu kirjapandut väänama hakkavad. Palun näita, kust selline seos pärineb? Minu tekstis erinevatest osadest nopitud lausekatkete abil saab väljendada igasuguseid mõtteid, kuid püüaks siiski jääda nende juurde, mida ma ise olen kirja pannud ja jätaks "lõika, rebi, kleebi" mängud vahele.
viimati muutis Sults 25.04.2009 09:33:01, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:32:38
|
|
|
| tsitaat: |
Mida laiemaks läheb selliselt veebi kaudu digiallkirjastamist kasutavate teenuste ring ja mida rohkem on selliste teenuste kasutajaid, seda suuremaks muutub kuritarvitamise risk.
|
sellega olen isegi täitsa nõus
Kuid inimesi peabki igakülgselt turvalisuse osas harima (et hoiaks arvutid puhtana, ei käiks kahtlastel lehtedel jne), kuid teine teema on pankade turvalisus, või õigemini nende usaldusväärsus.
Senimaani, kuni pole faktilõhnagi sellest, et pank võiks midagi kuritegelikku korda saata seoses kasutaja maksekorralduse digiallkirjaga, usaldan ma panku ja lähtun süütuse presumptioonist.
_________________
HV valuutakalkulaator |
|
| Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:36:41
|
|
|
| Tanel kirjutas: |
Senimaani, kuni pole faktilõhnagi sellest, et pank võiks midagi kuritegelikku korda saata seoses kasutaja maksekorralduse digiallkirjaga, usaldan ma panku ja lähtun süütuse presumptioonist. |
Äkki annad mullegi (ja miks mitte mõnele äsja Rummu vanglast vabanenud retsile) mõne valgele A4 paberile antud oma korrektse allkirja, lähtudes süütuse presumptsioonist peaks see ju ok olema? Sa vist ei tea, mis asi on süütuse presumptsioon ja millisel juhul seda kasutatakse.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:38:49
|
|
|
| tsitaat: |
Palun näita, kust selline seos pärineb?
|
loe nüüd uuesti oma tekst läbi ja selline mulje jäi küll  , arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
Ma ei ole panga palgal ega promo neid, vaid väidan, et panga usaldusväärsuse kahtluse alla seadmine on alusetu.
See on minu jaoks sama usalduse küsimus, nagu kraani avades tean, et saan juua vett, mitte torusiili.
Vastupidise korral oleks loomulikult terve Tallinna Vee vms usaldusväärsus löögi all.
_________________
HV valuutakalkulaator |
|
| Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:40:04
|
|
|
| Tanel kirjutas: |
| tsitaat: |
Palun näita, kust selline seos pärineb?
|
loe nüüd uuesti oma tekst läbi ja selline mulje jäi küll , arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
Ma ei ole panga palgal ega promo neid, vaid väidan, et panga usaldusväärsuse kahtluse alla seadmine on alusetu.
See on minu jaoks sama usalduse küsimus, nagu kraani avades tean, et saan juua vett, mitte torusiili.
Vastupidise korral oleks loomulikult terve Tallinna Vee vms usaldusväärsus löögi all. |
Lugesin, ei leidnud seda, mida sina väidad. Äkki aitad?
Ma katsun nüüd avaldada eelpool sinu poolt tsiteeritud minu lause mõtet
| tsitaat: |
ID-kaardiga autentimise ja digiallkirja andmise ründamise teeb ahvatlevaks ju see, et sellega antud allkiri on pangas raha liigutamisest märksa laiema kasutusalaga ja võimalik on kasutada varjatud pettust suure hulga pettuste sooritamiseks ja siis nende lühikese aja jooksul realiseerimist
|
Selles on lihtsalt öeldud, et digiallkirjal on märksa laiem kasutusala kui vaid pangas raha liigutamine. Sa oled minu suhtes lihtsalt nii vaenulikult meelestatud, et mõtled ise midagi juurde minu poolt väljendatud mõtetele. Ma tean küll sellist psühholoogilist eripära. Katsu minu kirjutisi siiski neutraalselt lugeda või jäta need üldse vahele, kui need sulle ei sobi.
viimati muutis Sults 25.04.2009 09:45:11, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:43:50
|
|
|
| Sults kirjutas: |
| Tanel kirjutas: |
Senimaani, kuni pole faktilõhnagi sellest, et pank võiks midagi kuritegelikku korda saata seoses kasutaja maksekorralduse digiallkirjaga, usaldan ma panku ja lähtun süütuse presumptioonist. |
Äkki annad mullegi (ja miks mitte mõnele äsja Rummu vanglast vabanenud retsile) mõne valgele A4 paberile antud oma korrektse allkirja, lähtudes süütuse presumptsioonist peaks see ju ok olema? Sa vist ei tea, mis asi on süütuse presumptsioon ja millisel juhul seda kasutatakse. |
no praegu sa räägid oma isikliku kõhutunde näol teoreetilisest ohust, aga samas meelevaldselt võrdsustad panka Rummu vanglast vabanenud retsiga. Mina sellist meelevaldset võrdusmärki nende kahe (pank ja rets) vahele ei paneks. Minu jaoks on see usalduse küsimus ja antud juhul ma usaldan panka, retsi aga loomulikult mitte. Sel teemal on minu jaoks vaidlus kaotanud mõtte, mõlemad oleme oma seisukohti piisavalt tutvustanud
Jäägem konstruktiivseteks  Nagu ma ennist ütlesin, kui ma kusagilt haistaks ka, et pank võiks midagi sarnast korda saata, liitun silmapilkselt sinu "klubiga" 8)
_________________
HV valuutakalkulaator |
|
| Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:45:03
|
|
|
| Sults kirjutas: |
| Tanel kirjutas: |
| tsitaat: |
Palun näita, kust selline seos pärineb?
|
loe nüüd uuesti oma tekst läbi ja selline mulje jäi küll , arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
Ma ei ole panga palgal ega promo neid, vaid väidan, et panga usaldusväärsuse kahtluse alla seadmine on alusetu.
See on minu jaoks sama usalduse küsimus, nagu kraani avades tean, et saan juua vett, mitte torusiili.
Vastupidise korral oleks loomulikult terve Tallinna Vee vms usaldusväärsus löögi all. |
Lugesin, ei leidnud seda, mida sina väidad. Äkki aitad? |
et sa siis ei pea panku kurjategijateks? Väga hea siis
_________________
HV valuutakalkulaator |
|
| Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:45:58
|
|
|
| Tanel kirjutas: |
| Sults kirjutas: |
| Tanel kirjutas: |
| tsitaat: |
Palun näita, kust selline seos pärineb?
|
loe nüüd uuesti oma tekst läbi ja selline mulje jäi küll , arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
Ma ei ole panga palgal ega promo neid, vaid väidan, et panga usaldusväärsuse kahtluse alla seadmine on alusetu.
See on minu jaoks sama usalduse küsimus, nagu kraani avades tean, et saan juua vett, mitte torusiili.
Vastupidise korral oleks loomulikult terve Tallinna Vee vms usaldusväärsus löögi all. |
Lugesin, ei leidnud seda, mida sina väidad. Äkki aitad? |
et sa siis ei pea panku kurjategijateks? Väga hea siis |
Jällegi, ära esita oma mõtteid minu mõtetena!
On ka pankade hulgas kuritegelikult käitunuid, käituvaid ning tulevikus kuritegusid sooritavaid. Aga minu arvamus pankadest ei mängi praeguse teema juures suurt rolli. See lihtsalt ei puutu objektiivse pildi puhul asjasse.
viimati muutis Sults 25.04.2009 09:54:47, muudetud 3 korda |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:50:01
|
|
|
 lootusetu
Las see vaidlus jääda sinnapaika, meie arutelust ei sõltu nagunii midagi 8)
_________________
HV valuutakalkulaator |
|
| Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 10:00:53
|
|
|
| Tanel kirjutas: |
lootusetu
Las see vaidlus jääda sinnapaika, meie arutelust ei sõltu nagunii midagi 8) |
Ka mina pooldan seda, et jutt ei läheks mingiks mõttetuks lamisemiseks teemal, mis mulje kellelegi mõnest minu lausetest jäi, vaid püsiks ikka õiges teemas, ehk siis ID-kaardi pealesurumine pankade poolt ning ID-kaardi ja koodikaardi turvalisuse võrdlemine.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
sakinaga
HV Guru
liitunud: 30.08.2006
|
|
25.04.2009 10:09:37
|
|
|
| Sultsga vaidlemine on nagu peaga vastu seina jooksmine. Lõpuks saavad kõik aru, et sellel pole mõtet.
|
|
| Kommentaarid: 158 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
150 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 10:16:34
|
|
|
maatriks, ärme palun lasku isiklikule tasandile.
Sultsi jutus on teatud tõeterad olemas, kuid pankade usaldusväärsuse osas (potentsiaalne digiallkirja kuritarvitamine) jään eriarvamusele.
_________________
HV valuutakalkulaator |
|
| Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
| tagasi üles |
|
|
SurfData
HV Guru
liitunud: 19.05.2006
|
|
25.04.2009 12:42:23
|
|
|
| Tanel kirjutas: |
arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
|
aga miks mitte? kõik inimesed kes toorikuid ja kirjutajaid ostavad on ka ju kurjategijad, kuna neilt võetakse ka maksu autoriõigusorganisatsioonide poolt, et VÕIBOLLA hakkad siin midagi ebaleegaalset kirjutama, aga kui Sa siiski lisaks midagi illegaalset kirjutad ja vahele jääd on kobedad trahvid tulema. Seega peetakse suurorganisatsioonide poolt kõiki inimesi varasteks/pättideks/kurjategijateks (osadel juhtudel on piraatlus isegi juba KRIMINAALkuritegu), miks peaks inimesed pimesi uskuma siis suuri erafirmasid/korporatsioone, kes siin nagu varemgi toodud näite puhul tõmbavad mõne miljoni pärast klientidele julmalt koti pähe, kuigi kasumid on miljardites!!!
Oma puhtas arvutis koodikaardi kasutamine ka ju ei evi ohtu 
Ma ei ütle et idioodikaarti üldse kasutada ei tohi, kes tahab see kasutagu, aga ärgu tehku seda nii sunniviisiliseks kõigile. Peale sunnitud asjad võetakse üldiselt väga vastumeelselt vastu.
|
|
| Kommentaarid: 84 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
74 |
|
| tagasi üles |
|
|
Spezz
HV veteran
liitunud: 21.08.2005
|
|
30.04.2009 22:31:58
|
|
|
| Sults kirjutas: |
| Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas. |
Tahad sa rääkida sellest, kuidas see pahavara su PIN(1)(2) sisestab? Ehk viitad koguni mõnele töötavale pahavaralisele vidinale? Või loed enne Küberneetika AS poolt koostatud turvaspetsifikatsiooni ja -auditi kokkuvõtteid?
|
|
| Kommentaarid: 67 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
63 |
|
| tagasi üles |
|
|
rex
HV Guru
liitunud: 09.01.2002
|
|
01.05.2009 01:02:06
|
|
|
| SurfData kirjutas: |
| Ma ei ütle et idioodikaarti üldse kasutada ei tohi, kes tahab see kasutagu, aga ärgu tehku seda nii sunniviisiliseks kõigile. Peale sunnitud asjad võetakse üldiselt väga vastumeelselt vastu. |
Autot sind kah ju ilma luba omamata juhtida ei lasta. Võta siis ID-kaarti kui luba sooritada tehinguid ilma vastavaid asutusi reaalselt külastamata. Kui seda ei soovi, siis jääb ju alternatiivina siiski see reaalse külastamise, paberile lepingute kirjutamise ja pastakaga allkirjastamise variant ikkagi alles. Ega keegi sunnigi ju sind seda kiiremat ja mugavamat teed kasutama.
Sults, sa unustad seda "valgele lehele allkirja andmist" korrutades selle, et sa annad ju vaid ühe allkirja - kui see läheb kõrvalteid mööda valgele lehele, siis jääb see minemata sellele lehele, millele sa seda anda planeerisid. Sa ei signeeri ühekordse PIN2 andmisega korraga kahte lehte. Läbi virtuaalse "kopeerpaberi" valgele lehele tekkinud allkiri ei ole enam autentne. Ilmselt sa märkad, kui su allkiri sinu plaanitud virtuaalsele "paberile" ei satu - see "paber" jääb ju siis käitlemata - vastav ülekanne tegemata vms. Ma usun, et kohtus ei leiaks panga poolt tõendamist ka sellise peidetud lisa tõepärasus, et sa tegid näiteks ülekande 64 krooni ja 30 sendiga ning ühtlasi soovisid pantida oma olemasoleva ja edaspidi muretsetava vallas- ja kinnisvara.
|
|
| Kommentaarid: 247 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
226 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
01.05.2009 07:36:01
|
|
|
| Spezz kirjutas: |
| Sults kirjutas: |
| Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas. |
Tahad sa rääkida sellest, kuidas see pahavara su PIN(1)(2) sisestab? Ehk viitad koguni mõnele töötavale pahavaralisele vidinale? Või loed enne Küberneetika AS poolt koostatud turvaspetsifikatsiooni ja -auditi kokkuvõtteid? |
Enamik Eestis kasutuses olevatest ID-kaardi lugejatest on pinpadita lugejad, kus pin antakse tavaliselt klaviatuurilt. Kõike, mida klaviatuuri kaudu sisestatakse, saab keyloggeriga kinni püüda ja siis hiljem programselt samade klahvivajutuste imiteerimist teha ilma klahve tegelikult vajutamata.
Seda sinu viidatud turvaspetsifikatsiooni ja turvaauditit olen ma arvatavasti juba korduvalt lugenud. Ja mitte üksnes kokkuvõtet, vaid ikka tervet dokumenti.
"Arvatavast lugenud" seetõttu, et ma ei ole päris kindel, kas sa pead nende dokumemtide all silmas samu dokumente, mis minagi.
Pinide näppamise kohta ka üks viide: http://www.theregister.co.uk/2009/04/16/pin_security_breach_survey/.
Muide, Verizon ei näe pin koodide näppamisele lahendust ID-kaardi sarnases kiipkaardis või vähemalt ei paku seda lahendusena välja http://www.verizonbusiness.com/about/news/displaynews.xml?newsid=25282&mode=vzlong
Mina usun, et Verizonis om märksa tugevamad turvaeksperdid kui mina, seega võtan nende poolt kiipkaartide lahendusena mitte välja pakkumist kui otsest kinnitust, et see ei aitaks kuidagi probleemi lahendada.
| rex kirjutas: |
| Sults, sa unustad seda "valgele lehele allkirja andmist" korrutades selle, et sa annad ju vaid ühe allkirja - kui see läheb kõrvalteid mööda valgele lehele, siis jääb see minemata sellele lehele, millele sa seda anda planeerisid. Sa ei signeeri ühekordse PIN2 andmisega korraga kahte lehte. Läbi virtuaalse "kopeerpaberi" valgele lehele tekkinud allkiri ei ole enam autentne. Ilmselt sa märkad, kui su allkiri sinu plaanitud virtuaalsele "paberile" ei satu - see "paber" jääb ju siis käitlemata - vastav ülekanne tegemata vms. Ma usun, et kohtus ei leiaks panga poolt tõendamist ka sellise peidetud lisa tõepärasus, et sa tegid näiteks ülekande 64 krooni ja 30 sendiga ning ühtlasi soovisid pantida oma olemasoleva ja edaspidi muretsetava vallas- ja kinnisvara. |
See sinu jutt võib kehtida PINpadiga kaardilugeja kasutamisel. Kuid ka siis pole olulist vahet kasutaja jaoks riski suuruses, sest kui pank maksekorralduse allkirjastamise asemel sõlmib sinule nt. kellegi käenduslepingu suure summa peale panga kasuks ja sooritab ka selle maksekorralduse, siis puudub kasutajal ilma põhjaliku nuuskimiseta alus kahtlustada, et tema digiallkiri ei läinud maksekorraldusele vaid hoopis mõnele muule dokumendile.
Pinpadita kaardilugeja korral (mida on valdav enamus, ma usun, et tublisti üle 90%) saab programselt digiallkirjastada sellise arvu dokumente, mida ID-kaardi lugejas viibimine võimaldab. Katsu aru saada, et kui rakendus on tehtud võimaliku ründaja poolt, siis saab ta kinnipüütud PINe kasutada sama vabalt, nagu oleks tal palgatud mingid tillukesed neegrid sinu klaviatuuri sisse PIN koodi toksima. Või on tänpäeval ka klaviatuuri ja arvuti vaheline liiklus turvasertifikaatidele üles ehitatud?
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
SurfData
HV Guru
liitunud: 19.05.2006
|
|
01.05.2009 09:29:56
|
|
|
| rex kirjutas: |
| SurfData kirjutas: |
| Ma ei ütle et idioodikaarti üldse kasutada ei tohi, kes tahab see kasutagu, aga ärgu tehku seda nii sunniviisiliseks kõigile. Peale sunnitud asjad võetakse üldiselt väga vastumeelselt vastu. |
Autot sind kah ju ilma luba omamata juhtida ei lasta. Võta siis ID-kaarti kui luba sooritada tehinguid ilma vastavaid asutusi reaalselt külastamata. Kui seda ei soovi, siis jääb ju alternatiivina siiski see reaalse külastamise, paberile lepingute kirjutamise ja pastakaga allkirjastamise variant ikkagi alles. Ega keegi sunnigi ju sind seda kiiremat ja mugavamat teed kasutama.
|
Nagu ma mainisin, siis ma ei ole vastu, et idioodikaardi kasutamine võiks paralleelselt eksisteerida, aga praegu põhimõtteliselt likvideeritakse ära alternatiivne variant ja Sul lihtsalt ei jää muud üle. Praegu on suhteliselt sama valikuvabadus, mis oleks siis, kui Sul on püstolitoru meelekohal ja kästakse kuhugi paberile alla kirjutada. Sul on valik ka mitte alla kirjutada, aga siis oleks ka Sinuga lõpp, praegu on samamoodi. Kui idioodikaarti ei kasuta, siis varsti ei saa Sa enam mitte midagi. Alternatiivide kasutamise võimalus peaaegu nullitakse ära. Oleks siis veel faktiliselt põhjendatud vms, aga ei tooda MITTE MINGIT  statistikat kui palju siis tõesti nende koodikaardi pildistamistega raha kätte on saadud. Hämatakse, et lihtsalt näed nii võivad teha. Ma ütlen ka, et kui idioodikaardi arvutisse unustad, siis pahalsed teevad 1:0 ja mitte ainult Su kontoga vaid ka laenud ja käendused jms lisaks (näiteid ja statistikat pole ju vaja tuua kuna vastaspool ka ei too 8) ) seega tuleks kasutada hoopis midagi muud. Seda aga ei ole. Mina ei näe miks on üks väga suurelt parem kui teine, mõlemal on omad eelised ja omad puudused, aga siiski suretatakse üks alternatiividest välja 
|
|
| Kommentaarid: 84 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
74 |
|
| tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
|
03.05.2009 18:31:49
|
|
|
| Sults kirjutas: |
| Spezz kirjutas: |
| Sults kirjutas: |
| Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas. |
Tahad sa rääkida sellest, kuidas see pahavara su PIN(1)(2) sisestab? Ehk viitad koguni mõnele töötavale pahavaralisele vidinale? Või loed enne Küberneetika AS poolt koostatud turvaspetsifikatsiooni ja -auditi kokkuvõtteid? |
Enamik Eestis kasutuses olevatest ID-kaardi lugejatest on pinpadita lugejad, kus pin antakse tavaliselt klaviatuurilt. Kõike, mida klaviatuuri kaudu sisestatakse, saab keyloggeriga kinni püüda ja siis hiljem programselt samade klahvivajutuste imiteerimist teha ilma klahve tegelikult vajutamata.
Seda sinu viidatud turvaspetsifikatsiooni ja turvaauditit olen ma arvatavasti juba korduvalt lugenud. Ja mitte üksnes kokkuvõtet, vaid ikka tervet dokumenti.
"Arvatavast lugenud" seetõttu, et ma ei ole päris kindel, kas sa pead nende dokumemtide all silmas samu dokumente, mis minagi.
Pinide näppamise kohta ka üks viide: http://www.theregister.co.uk/2009/04/16/pin_security_breach_survey/.
Muide, Verizon ei näe pin koodide näppamisele lahendust ID-kaardi sarnases kiipkaardis või vähemalt ei paku seda lahendusena välja http://www.verizonbusiness.com/about/news/displaynews.xml?newsid=25282&mode=vzlong
Mina usun, et Verizonis om märksa tugevamad turvaeksperdid kui mina, seega võtan nende poolt kiipkaartide lahendusena mitte välja pakkumist kui otsest kinnitust, et see ei aitaks kuidagi probleemi lahendada.
| rex kirjutas: |
| Sults, sa unustad seda "valgele lehele allkirja andmist" korrutades selle, et sa annad ju vaid ühe allkirja - kui see läheb kõrvalteid mööda valgele lehele, siis jääb see minemata sellele lehele, millele sa seda anda planeerisid. Sa ei signeeri ühekordse PIN2 andmisega korraga kahte lehte. Läbi virtuaalse "kopeerpaberi" valgele lehele tekkinud allkiri ei ole enam autentne. Ilmselt sa märkad, kui su allkiri sinu plaanitud virtuaalsele "paberile" ei satu - see "paber" jääb ju siis käitlemata - vastav ülekanne tegemata vms. Ma usun, et kohtus ei leiaks panga poolt tõendamist ka sellise peidetud lisa tõepärasus, et sa tegid näiteks ülekande 64 krooni ja 30 sendiga ning ühtlasi soovisid pantida oma olemasoleva ja edaspidi muretsetava vallas- ja kinnisvara. |
See sinu jutt võib kehtida PINpadiga kaardilugeja kasutamisel. Kuid ka siis pole olulist vahet kasutaja jaoks riski suuruses, sest kui pank maksekorralduse allkirjastamise asemel sõlmib sinule nt. kellegi käenduslepingu suure summa peale panga kasuks ja sooritab ka selle maksekorralduse, siis puudub kasutajal ilma põhjaliku nuuskimiseta alus kahtlustada, et tema digiallkiri ei läinud maksekorraldusele vaid hoopis mõnele muule dokumendile.
Pinpadita kaardilugeja korral (mida on valdav enamus, ma usun, et tublisti üle 90%) saab programselt digiallkirjastada sellise arvu dokumente, mida ID-kaardi lugejas viibimine võimaldab. Katsu aru saada, et kui rakendus on tehtud võimaliku ründaja poolt, siis saab ta kinnipüütud PINe kasutada sama vabalt, nagu oleks tal palgatud mingid tillukesed neegrid sinu klaviatuuri sisse PIN koodi toksima. Või on tänpäeval ka klaviatuuri ja arvuti vaheline liiklus turvasertifikaatidele üles ehitatud? |
Minu arust need lingid räägivad tavalistest pangakaartidest. Sama teema, mis vahepeal levis, et pangaautomaatidele paigaldati kaamerad ja kaardi kopeerijad. See on natuke teine teema, kui ID-kaardiga autentimine.
_________________
ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Alo-Aerton
HV kasutaja
liitunud: 18.02.2007
|
|
11.05.2009 19:52:31
|
|
|
| Kuna tuleb aeg kui võimalik HV ID kaardiga sisse logida.
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
11.05.2009 20:18:31
|
|
|
Sa pead silmas HV avalehe sisselogimist?
Ilmselt mitte nii pea, kuid millalgi tulevikus võib küll tulla.
See oleks siis pelgalt selleks, et ei pea avalehe registreerimise ja sisselogimisega vaeva nägema 8)
_________________
HV valuutakalkulaator |
|
| Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
