praegune kellaaeg 13.06.2026 14:43:40 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 20:40:43
|
|
|
| Sults kirjutas: |
| someOtherDude kirjutas: |
| Sults kirjutas: |
| someOtherDude kirjutas: |
Vabandust ma ei saa täpselt pihta kuidas see likviidsusfondi jama sinu argumenti toetab. Tekkis probleem, pank üritas kinni mätsida, probleem sai suure kõlapinna kuna inimesed kaebasid, asi läks meediasse, kahjud hüvitati.
Kui pank hakkab metoodiliselt lepingute sisudega sedasi sahkerdama, miks sa arvad siis et ei teki samasugust kära meedias? Lisaks suuremad lepingud allkirjastatakse notari juures. Digiallkirjaga sa ju päris korterilaenu ei võta ja laenutingimusi ei muuda. Selle jaoks ju notarid on. Arvad et pank hakkab mingit mingeid sandikopikaid (panga jaoks) taga ajama riskides suurema jamaga, millega kaotab klientide usalduse. On see sinu arvates normaalne riski/kasu suhe panga jaoks? Miskipärast ma ei usu seda. |
Likviidsusfondi teema iseloomustab hästi seda, kuidas pank nahhaalselt üritab klientide usaldust kuritarvitada. Selle asemel, et katta tühised 13.5% kahjumit oma varasemate perioodide miljardistest kasumitest, sest lubatud sai riskivaba investeeringut, püüti ikka klientidele kotti pähe tõmmata. Kui klientide hulgas ei oleks olnud mõnd eriti tähtsat ja mõjukat isikut, olekski klientidele kott pähe tõmmatuks jäänudki. Tuletan sellega seoses meelde, et siseinfo põhjal müüsid "omad" vahetult enne osakute allahindamist oma osakud maha (nn. insaidertehing, mis on seadusega keelatud, kuid kas pank sellest hoolis?). Seda osa teistele klientidele koti pähe tõmbamisest ei ole minu teada tagasi pööratud.
Oskusliku ohvrite valiku ja osava social engineeringuga annab võimalikku kära ennetada. Likviidsusfondi puhul mindi lihtsalt hooletuks ja tehti asja lihtsalt liiga robustselt. |
Sul vist insider info, et nii täpselt tead mida teha taheti. Kas me räägime nüüd SEB likviidsusfondi jamast või ID-kaardist? Sinu argument on siis, et ära kasuta ID kaarti kuna pank tõmbab sul igal võimalikul sammul naha üle kõrvade? Ja nüüd juba räägime pensionifondidest. Teema kaldub minu jaoks natuke liiga kõrvale ära. Kui sul midagi enamat lisada pole siis ma vist lahkuks siit teemast ja jääksime sõbralikult oma erinevate arvamuste juurde. |
Minu argument on, et internetipanga kasutamisel koodikaardi asendamine ID-kaardiga ei ole sugugi turvalisem vaid toob kaasa täiesti uued ja tõsised ohud. Pankade poolne surve ID-kaardi kasutamisele ainult annab minu jaoks sellistele kahtlustele kinnitust. Minu arvates oleks elementaarne, et kliendil oleks oma valik, milliseid autentimisviise ta eelistab ja millised on tema tehingulimiidid. Pangapoolne surve ID-kaardi kasutamiseks ja kliendi enda raha kasutamisele seatavad piirangud, ei jäta mingit kahtlust, et asja aetakse mitte kliendi vaid panga huvides. |
No selge, sa siis järgid mõttemalli et süüdi enne kuritegu. Sest kõik kes relva ostavad poest lähevad ka ju inimesi tapma. Samasugune loogika täpselt. Tavaliste rünnete vastu on ID-kaart turvalisem, kui koodikaardid. MiTM rünnete vastu pole vahet mis asjaga sa autendid. Selliste rünnete vastu tuleks kogu autentimis arhitektuur ümber ehitada. Muid vandenõuteooriaid ma ei viitsi arutada.
Otseloomulikult järgib pank ka omi huve. Kui ta neid ei järgiks võiks ta ju ka tasuta raha välja jagada.
_________________
ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
|
23.04.2009 20:50:39
|
|
|
| someOtherDude kirjutas: |
| No selge, sa siis järgid mõttemalli et süüdi enne kuritegu. Sest kõik kes relva ostavad poest lähevad ka ju inimesi tapma. Samasugune loogika täpselt. Tavaliste rünnete vastu on ID-kaart turvalisem, kui koodikaardid. MiTM rünnete vastu pole vahet mis asjaga sa autendid. Selliste rünnete vastu tuleks kogu autentimis arhitektuur ümber ehitada. Muid vandenõuteooriaid ma ei viitsi arutada. |
... ja nagu ikka puuduvad sinu väidetel vähimadki põhjendused. Minu käest nõuad aga oma väidete kinnituseks ma ei tea mida!
See sinu väide ID-kaardi kõrgemast turvalisusest on samaväärne sellega, kui väita, et majas, kus on voodi all hoiul nii püstolipadrun, kui ka tuumalõhkeseadeldis, on turvalisem asi tuumapomm, sest vaat püstolipadruni kasutamiseks on sobilik püstol majas olemas, kuid tuumapommi kasutamise seadeldis puudub. Ometi saab selle püstolipadruniga teha vaid ühe pisikese plõksu, tuumapommiga aga pühkida hetkega maapinnalt pool linna.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
|
23.04.2009 21:01:32
|
|
|
| Sults kirjutas: |
| someOtherDude kirjutas: |
| No selge, sa siis järgid mõttemalli et süüdi enne kuritegu. Sest kõik kes relva ostavad poest lähevad ka ju inimesi tapma. Samasugune loogika täpselt. Tavaliste rünnete vastu on ID-kaart turvalisem, kui koodikaardid. MiTM rünnete vastu pole vahet mis asjaga sa autendid. Selliste rünnete vastu tuleks kogu autentimis arhitektuur ümber ehitada. Muid vandenõuteooriaid ma ei viitsi arutada. |
... ja nagu ikka puuduvad sinu väidetel vähimadki põhjendused. Minu käest nõuad aga oma väidete kinnituseks ma ei tea mida! |
Palun loe:
http://en.wikipedia.org/wiki/Two-factor_authentication
http://en.wikipedia.org/wiki/Smart_card
Mõningad lõiked, kui sa oled liiga laisk:
| tsitaat: |
Smart cards
Smart cards are about the same size as a credit card. Some vendors offer smart cards that perform both the function of a proximity card and network authentication. Users can authenticate into the building via proximity detection and then insert the card into their PC to produce network logon credentials. They can also serve as ID badges. The downside is that the smart card is a bigger device, the card reader is an extra expense.
Additionally, many banks and financial institutions are implementing Chip Authentication Program technology which pairs a banking smart card with an independent, unconnected card reader. Using the card, reader and ATM PIN as factors, a one-time password is generated that can then be used in place of passwords. The technology offers support against man-in-the-middle attacks by facilitating Transaction Data Signing, where information from the transaction is included in the calculation of the one-time password - this is proving to be strong protection when making bank transfers or other financial transactions. During 2008, this method of two-factor authentication will be made available in the e-commerce environment through the 3D Secure architectures managed by MasterCard (SecureCode) and VISA (Verified by Visa). |
| tsitaat: |
Cryptographic smart cards
Cryptographic smart cards are often used for single sign-on. Most advanced smart cards are equipped with specialized cryptographic hardware that let you use algorithms such as RSA and DSA on board. Today's cryptographic smart cards are also able to generate key pairs on board, to avoid the risk of having more than one copy of the key (since by design there usually isn't a way to extract private keys from a smart card).
Such smart cards are mainly used for digital signature and secure identification, (see applications section).
.........
|
| tsitaat: |
Smart cards used for client-side identification and authentication are the most secure way for eg. internet banking applications, but the security is never 100% sure. In the example of internet banking, if the PC is infected with any kind of malware, the security model is broken. A malware can override the communication (both input via keyboard and output via application screen) between the user and the internet banking application (eg. browser). This would result in modifying transactions by the malware and unnoticed by the user. There are malwares in the wild with this capability (eg. Trojan. Silentbanker). Banks like Fortis and Dexia in Belgium combine a Smart card with an unconnected card reader to avoid this problem. The customer enters a challenge received from the bank's website, his PIN and the transaction amount into the card reader, the card reader returns an 8 digits signature. This signature is manually copied to the PC and verified by the bank. This method prevents a malware to change the transaction amount.
|
ID-kaardi väärkasutamiseks on vaja väga spetsialiseerunud tarkvara mida saab kasutada aint siis kui ID-kaart on lugejas ja sessioon on käimas. Paroolikaardi väärkasutamiseks piisab lihtlabasest keyloggerist. Kui paroolid käes ongi kõik.
_________________
ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
23.04.2009 21:15:32
|
|
|
| someOtherDude kirjutas: |
| ID-kaardi väärkasutamiseks on vaja väga spetsialiseerunud tarkvara mida saab kasutada aint siis kui ID-kaart on lugejas ja sessioon on käimas. Paroolikaardi väärkasutamiseks piisab lihtlabasest keyloggerist. Kui paroolid käes ongi kõik. |
Minu arvates on see, et ID-kaardi väärkasutamine eeldab mõnevõrra keerukama koodiga pahavara kui koodikaartide väärkasutamine, suhteliselt vähetähtis fakt. Võrreldes võimaliku saadaoleva tuluga oleks sellise pahavara kirjutamise kulu tühine. Ja asja muudab kurjategijale põnevaks just see, et ID-kaardi kuritarvitamist saab teha sellest masinast, mille küljes on ID-kaardiga kaardilugeja, ning sel ajal, kui kasutaja oma ID-kaarti kasutab, sest see muudab hilisemad vaidlused tehingu tegemise üle praktiliselt mõttetuks ("No olid ju sel ajal selle arvuti taga ja tegid oma tavapäraseid makseid ning seekord allkirjastasid lisaks vee ühe lepingu!") ja selliste lepingute tagajärgede ajaline nihe annab selliste pettuste sooritamisele vaid lisaväärtust. Põhimõtteliselt võib selliseid libalepinguid koguda mitu aastat ja saada need suure hulga isikute kohta, enne kui hakata lepinguid oma kasuks täitmisele pöörama. Ja ka siis saab seda teha valikuliselt, vaid nende isikute kohta kasutades, kelle suhtes seda parajasti paremaks pead. Keskmine eestlane on selline lammas, et kui just tema ise kahju ei saa, siis on teise hädast ja õnnetusest pigem hea meel ja teiste vigadest ei õpita. Selliseid annab ikka mõnuga koorida!
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
|
23.04.2009 21:23:36
|
|
|
| Sults kirjutas: |
| someOtherDude kirjutas: |
| ID-kaardi väärkasutamiseks on vaja väga spetsialiseerunud tarkvara mida saab kasutada aint siis kui ID-kaart on lugejas ja sessioon on käimas. Paroolikaardi väärkasutamiseks piisab lihtlabasest keyloggerist. Kui paroolid käes ongi kõik. |
Minu arvates on see, et ID-kaardi väärkasutamine eeldab mõnevõrra keerukama koodiga pahavara kui koodikaartide väärkasutamine, suhteliselt vähetähtis fakt. Võrreldes võimaliku saadaoleva tuluga oleks sellise pahavara kirjutamise kulu tühine. Ja asja muudab kurjategijale põnevaks just see, et ID-kaardi kuritarvitamist saab teha sellest masinast, mille küljes on ID-kaardiga kaardilugeja, ning sel ajal, kui kasutaja oma ID-kaarti kasutab, sest see muudab hilisemad vaidlused tehingu tegemise üle praktiliselt mõttetuks ("No olid ju sel ajal selle arvuti taga ja tegid oma tavapäraseid makseid ning seekord allkirjastasid lisaks vee ühe lepingu!") ja selliste lepingute tagajärgede ajaline nihe annab selliste pettuste sooritamisele vaid lisaväärtust. Põhimõtteliselt võib selliseid libalepinguid koguda mitu aastat ja saada need suure hulga isikute kohta, enne kui hakata lepinguid oma kasuks täitmisele pöörama. Ja ka siis saab seda teha valikuliselt, vaid nende isikute kohta kasutades, kelle suhtes seda parajasti paremaks pead. Keskmine eestlane on selline lammas, et kui just tema ise kahju ei saa, siis on teise hädast ja õnnetusest pigem hea meel ja teiste vigadest ei õpita. Selliseid annab ikka mõnuga koorida! |
Ma ei tea miks sa nende lepingute küljes ikka oled. Naljakas lausa. Ma arvan, et keskmine lambasus eestlaste seas tuleb suurel hulgal tänu sinule.
Enivei. Mis sa arvad kumba varianti pahalased esmalt kasutavad. Kas seda võimalust mida on lihtsam täide viia või seda mida on keerukam?
Ja järjekordselt kogu su argument on tühi õhk. Pole mõtet enam midagi arutada. Kui tahad maailmalõppu kuulutada siis kuulutada edasi. Lase endal palk ka sulas välja maksta ja kõik on häppid.
_________________
ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
23.04.2009 21:25:56
|
|
|
someOtherDude & Sults: Äkki surute nüüd teineteisel kätt ja teete vastastikku  välja ja rahunete natuke maha  
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
|
23.04.2009 21:27:09
|
|
|
| tahanteada kirjutas: |
| someOtherDude & Sults: Äkki surute nüüd teineteisel kätt ja teete vastikku välja ja rahunete natuke maha |
Ma ei usu, et sults vihaseks sai. Mulle tundus ta arutlemine suht rahulik ja kaalutletud. Lihtsalt meie arvamused lähevad lahku. Mis vaidlemisel viga on? Sedasi ju tarkus tulebki.
_________________
ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
23.04.2009 21:38:03
|
|
|
| someOtherDude kirjutas: |
Ma ei tea miks sa nende lepingute küljes ikka oled. Naljakas lausa. Ma arvan, et keskmine lambasus eestlaste seas tuleb suurel hulgal tänu sinule.
Enivei. Mis sa arvad kumba varianti pahalased esmalt kasutavad. Kas seda võimalust mida on lihtsam täide viia või seda mida on keerukam?
Ja järjekordselt kogu su argument on tühi õhk. Pole mõtet enam midagi arutada. Kui tahad maailmalõppu kuulutada siis kuulutada edasi. Lase endal palk ka sulas välja maksta ja kõik on häppid. |
Lambasus on kõrge ikka tänu nendele, kes lasevad ennast väitega "ID-kaart on turvaline" ära rääkida!
Mina arvan, et pahalased kaaluvad hoolikalt võimalikke tulusid ja riske ja võtavad ennekõike sealt, kus suuremad panused ja väiksem risk. Ehk siis antud teema puhul ID-kaarti väärkasutades.
Maailmalõpust on asi kaugel. Mina soovitan igatahes PIN2 andmist vältida ning eelistada internetipangas ID-kaardile pinkalkulaatorit. Samuti soovitan ma sellise panga klientidel, kes seab klientidele mõttetuid piiranguid nende endi raha kasutamisel, võtta lihtsalt kogu oma raha sellest pangast ja hakata kasutama Eesti pangaliitu mittekuuluvaid panku. Oma riskitundlikkust ja rahaliste vahendite kasutamisel esinevate ohtude suurust ning nendele vastavat kasutuslimiidi suurust oskab pea iga pangaklient hinnata sada korda paremini kui pank. Kõigile ühe lauaga koodikaardiga autentimisel oma raha kasutamisele 3000 kroonise tehingupiirangu seadmine on üks absurdsemaid ja nahaalsemaid võtteid, mida ma pankade kohta kuulnud olen.
Aga vastu tulles närviliseks muutunud kaasfoorumlastele, lõpetan ma siin teemas selle juba äranämmutatud asja käsitlemise ja naasen siia vaid juhul, kui keegi seda tungivalt nõuab.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
electron
HV kasutaja
liitunud: 06.10.2004
|
|
23.04.2009 22:03:22
|
|
|
| Sults kirjutas: |
Kõigile ühe lauaga koodikaardiga autentimisel oma raha kasutamisele 3000 kroonise tehingupiirangu seadmine on üks absurdsemaid ja nahaalsemaid võtteid, mida ma pankade kohta kuulnud olen.
|
Ma olin juba selle 5k limiidi peale VÄGA pahane! Aga krt - Swedbanga internetipangaga olen nii harjunud, et Nordea netipanka kuidagi ei taha kasutada. Olen isegi nõus selle swedi kirveste ülekandetasudega. Nüüd aga siiski ilmselt täielikult kogu oma rahanatukesega Nordeasse minek...
_________________
Tuleb lihtsalt täiega panna!!! |
|
| tagasi üles |
|
|
DigeBeni
HV Guru
liitunud: 06.11.2001
|
|
24.04.2009 10:09:22
|
|
|
Sults,
... sa loobid absurdseid süüdistusi loogika alusel, mis ei oma reaalses elus mingit pidepunkti ja kui sellele viidatakse, siis süüdistad sa, et oponendid ei too piisavalt argumenteeritud vastuväiteid. Samas, kuidas saakski midagi asjalikku vastata väidetele, mis põhinevad vaid mingi persooni põikpäisel arusaamisel asjast, mida ei toeta elulised faktid vaid pigem faktidega manipuleeritud teooriad ...
... pensionifondi näide on sinu manipuleeritud loogika ilmestamiseks väga hea näide. Fondide allakäigus pole midagi kriminaalset, inimesed lihtsalt ei taha mõista, et nii kardinaalsed muutused, nagu praegu majanduses toimunud, mõjutavad ka kõige kindlamaid alustalu. Samuti pole ilmselt enamik hoiustajatest fondi reklaamlausest kaugemale jõudnudki ja ei oma seega mingit ettekujutust, kuidas need fondid reaalselt toimivad. Ajakirjandus andis omalt poolt kallutatud vürtsi juurde ja seal see paanika alguse saigi. Loomulikult ei soovi ükski pank oma rahaga temast mitte sõltuvaid auke kinni toppida, seega esmane reaktsioon oli igati ootuspärane ja selles pole midagi kriminaalset. Võrrelda seda allkirja võltsimisega on ikka nii kohatult üldistav ja asjatundmatult meelevaldne, kui see veel vähegi olla saab ...
_________________
 |
|
| Kommentaarid: 198 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
5 :: |
163 |
|
| tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
|
24.04.2009 11:23:05
|
|
|
Kui arvestada sellega, et pank on pahalane siis ei aita ükski turvameede või autentimismeetod. Ainuke võimalus ongi vältida siis pangaga tegemisi. Usalduse puudumine on pigem maailmavaate küsimus, kui mingi tehnoloogia turvalisuse küsimus.
_________________
ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
24.04.2009 14:06:36
|
|
|
| DigeBeni kirjutas: |
Sults,
... sa loobid absurdseid süüdistusi |
Mina ei ole mitte kedagi süüdistanud.
Minu jaoks tähendab mõiste "turvalisus" ohtude puudumist. Mina üritan vaid näidata, et millegi allkirjastamine, mida sa ei näe, ega saa kontrollida, on väga, väga, väga tõsine oht! Seega ei ole ID-kaardi kasutamine internetipangas turvaline. Vähemalt kliendi seisukohast.
Oponendid väidavad, et valgel lehel allkirjade jagamine on usalduse küsimus ja agiteerivad ka teisi sellist asja praktiseerima, hinnates panga piisavalt usaldusväärseks, et anda pangale allkirjastatud tühje paberilehti. Mina püüdsin likviidsusfondi ja pensionifondi näitel tuua inimestele hoiatava näite, et pank on siiski oma kasumit taga ajav äriettevõte ja oskab soovi korral kliendist teerulliga üle sõita küll. Ma ei saa aru, mida on siin veel igiseda?
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
|
24.04.2009 14:08:15
|
|
|
| Sults kirjutas: |
| DigeBeni kirjutas: |
Sults,
... sa loobid absurdseid süüdistusi |
Mina ei ole mitte kedagi süüdistanud.
Minu jaoks tähendab mõiste "turvalisus" ohtude puudumist. Mina üritan vaid näidata, et millegi allkirjastamine, mida sa ei näe, ega saa kontrollida, on väga, väga, väga tõsine oht! Seega ei ole ID-kaardi kasutamine internetipangas turvaline. Vähemalt kliendi seisukohast.[/b] |
Mitu sellist intsidenti on juhtunud kus keegi on allkirjastanud mingi dokumendi, mille sisu ei vastanud sellele, mida allkirjastaja signeeris? On sul tõendusi sellistest juhtumitest? Et kellegi ID-kaardiga antud allkirja on väärkasutatud?
Samahästi võid väita ükspuha mida. Et Eesti riik paneb pinnavette mingeid aineid, et sinu mõtteid kontrollida.
_________________
ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
DigeBeni
HV Guru
liitunud: 06.11.2001
|
|
24.04.2009 14:18:57
|
|
|
| tsitaat: |
mida sa ei näe, ega saa kontrollida
|
... järjekordne absurdsus  mõtle nüüd natuke järgi, palju on sinu elukorralduses momente, mida sa pead usaldama nö. pimesi. Võtame näiteks transpordi, kui sa liikled liikluses jalgsi, pead sa usaldama teisi kaasliiklejad, et nad järgivaid ja peavad kinni liikluseeskirja reeglitest, kui sa liikled autoga, pead sa usaldama autotootjat, et mingi tootmisvea tõttu su auto ükshetk koos sinuga pilbasteks ei lenda, kui sa liikled ühistranspordiga, pead sa usaldama selle juhti, et see on täie mõistuse juures ehk pole seisundis, mis võib reisijad ohtu seada. Selliseid riske on ühiskonnas lugematu arv, kuid kuna me oleme nendega juba harjunud, ei tee neist keegi enam suurt numbrit. ID-kaardiga seonduv on lihtsalt üks neist paljudest riskidest, praeguseks küll veel nii uus ja uudne, et see võtab veel tublisti aega, et inimesed sellega harjuks. Ükski tegevus siin maamunal pole 100% riskivaba, kuid antud kontekstis pole see üldse asja iva, iva peitub selles, et ID-kaardi kasutamine on keskmise inimese jaoks siiski turvalisem, kui koodikaardi kasutamine - kõik, kogu loo point ja iva, pole vaja rohkem midagi ise juurde mõelda ega leiutada ...
_________________
|
|
| Kommentaarid: 198 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
5 :: |
163 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
24.04.2009 14:29:18
|
|
|
| DigeBeni kirjutas: |
| tsitaat: |
mida sa ei näe, ega saa kontrollida
|
... järjekordne absurdsus |
Mitte kusagil mujal ei nõuta minult valgel lehel allkirja, kui veebi kaudu digiallkirjastamisel!
Vaid kuritahtlik isik või idioot peab sellist tegevust normaalseks.
Normaalne on see, et usaldatakse vastavalt teatavatele piiridele. Valgel lehel allkiri on aga piiramatu usalduse küsimus.
Mina usaldan panka hoidma oma raha ja tegema minu poolt näidatud makseid. See on kõik! Ma ei pea pangale andma pimesi allkirju! Ma ei usalda neid selleks piisavalt. Ma ei usalda panku isegi sel määral, et sõlmida otsekorralduslepingut.
ID-kaardi uudsus seisneb lihtsalt selle erakordses ebaturvalisuses, mida nüüd lihtsalt teatavate seltsimeeste poolt popilt ja noortepäraselt "eriti turvaliseks" nimetatakse.
viimati muutis Sults 24.04.2009 14:31:33, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
DigeBeni
HV Guru
liitunud: 06.11.2001
|
|
24.04.2009 14:29:36
|
|
|
... keegi ei nõua ka praegu, see on sinu valik, kui sa seda ei aktsepteeri, siis keegi ei kohusta sind midagi elektrooniliselt allkirjastamast võid vabalt ka ise pangakontorisse kohale minna vajalikud toimingud paberil teha, kui see sinu arvates turvalisem ...
_________________
|
|
| Kommentaarid: 198 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
5 :: |
163 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
24.04.2009 14:37:17
|
|
|
| DigeBeni kirjutas: |
| ... keegi ei nõua ka praegu, see on sinu valik, kui sa seda ei aktsepteeri, siis keegi ei kohusta sind midagi elektrooniliselt allkirjastamast võid vabalt ka ise pangakontorisse kohale minna vajalikud toimingud paberil teha, kui see sinu arvates turvalisem ... |
Jah, olen nõus, et keegi otseselt ei nõua. Aga üritatakse masse lollitada väitega, et see on turvaline. Ja alternatiividele piirangute seadmisega (kõnealune tehingulimiidi vähendamine) sundida. Turvalisus on aga olematu!
Keda sa lollitada püüad? Ja millisel eesmärgil? Oled panga itimees? Või sertifitseerimiskeskuse asjapulk?
Isegi koodikaarti internetipangas kasutada on turvalisem kui ID-kaarti. Mina ei põe paranoiat. Mina usaldan märksa lihtsamaid autentimisviise. Paranoiat põevad ID-kaardi vennad, kes ainsa alternatiivina ID-kaardiga valgel lehel allkirjade jagamisele toovad välja panka kohale jalutamise.
ID-kaart on nurisünnitis ja oleks parem kui see üldse ära unustatakse.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
DigeBeni
HV Guru
liitunud: 06.11.2001
|
|
24.04.2009 14:58:36
|
|
|
... oh-jah, oleks see vaid nii, pangas töötamise vastu poleks mul kõige vähematki igasugune lollitamine vms. muud väited oled sa küll ise juurde mõelnud aga sõnavabadus eelkõige
_________________
|
|
| Kommentaarid: 198 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
5 :: |
163 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
24.04.2009 15:00:36
|
|
|
| Sults: Ole mureta, varsti pannakse kõigile inimestele ID-Kiibid naha alla 8) Katsetused käivad täie hooga. Kuhugi teemasse panin ka lingi, kus oli sellest juttu koos paigaldatava ID-Kiibi pildiga.
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
24.04.2009 15:08:00
|
|
|
Ma pean vist tõesti teema tõsiselt üles võtma ja trükimeedias avaldama kirjatüki ID-kaardi ebaturvalisusest, sest kui ikka ei ole võimalik kontrollida, millele sinu digiallkiri läheb, on tegemist väga ebaturvalise lahendusega. Ja need ID-ioodid, kes üritavad vastupidist väita ja näidata oma oponente mingite poolearulistena, vajavad natuke tõsisemat õpetust, kui selle foorumi vahendusel siin on võimalik anda.
Mis seal ikka, edu teile!
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
note1
Lõuapoolik
liitunud: 02.09.2007
|
|
24.04.2009 17:48:07
|
|
|
| Sults kirjutas: |
Ma pean vist tõesti teema tõsiselt üles võtma ja trükimeedias avaldama kirjatüki ID-kaardi ebaturvalisusest, sest kui ikka ei ole võimalik kontrollida, millele sinu digiallkiri läheb, on tegemist väga ebaturvalise lahendusega. Ja need ID-ioodid, kes üritavad vastupidist väita ja näidata oma oponente mingite poolearulistena, vajavad natuke tõsisemat õpetust, kui selle foorumi vahendusel siin on võimalik anda.
Mis seal ikka, edu teile! |
Viikingite ajal ei olnud miskit plastikkaarti.
Elati ikka ära. Ainus allkirjastamine oli nuiaga pähe ja asi vask.
Ei vaidle teitele vastu millekski. Maailm on niigi tänapäeval tehniliselt kirju. Kui nuiaga ei saa, siis vast mingi koondamise mullina küll saab täie laksuga.
Idlaks, pangalaks, töötulaks.
|
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
SurfData
HV Guru
liitunud: 19.05.2006
|
|
24.04.2009 18:19:37
|
|
|
| DigeBeni kirjutas: |
Sults,
| tsitaat: |
| Allkirjastatud valgete paberilehtede usaldamise kuritarvitamise võimalus pankade poolt on aga reaalne oht. |
... usud sa tõepoolest, et ükski pank julgeks võtta sellist riski ? Pangad kardavad sellist võimalust kordades rohkem, kui kõige paranoilisem klient oma kõige märjemates õudusunenägudes. Piisaks vähimast kahtlusest ja panga usaldusväärsus on üleöö kempsust alla lastud. Ükski pank ei saa endale lubada sellist usalduskriisi, isegi kõige lihtsama klendi tasandil. Sellised süüdistused on absurdi tipp ... |
põhja minev pank näiteks võib igasuguseid asju teha ning Sina ei tõesta neile pärast mitte kuidagi, et Sina ei ole kaamel ja Sina ei võtnud neilt miljonit laenu :p Usaldus on alati kahe otsaga asi! See, et Sa pimesi kõike ja kõiki usud ei tähenda, et teised seda kaasa peavad tegema. ÜLDJUHUL niisama riskima ei hakata selliste asjadega, aga...kunagi ei tea mis tulevik toob
| someOtherDude kirjutas: |
Ometi räägid mingitest troojalastest ja asjadest.
Jah tõesti kui sessioon on püsti siis on võimalus seda rünnata aga see on vaid nii kaua kui sessioon on püsti.
Versus, see et su paroolikaardist tehakse pilt või saadakse mingi hulk koode kätte, peale mida on võimalik ilma paroolikaardita juba sessioon püsti tõmmata.
Mille põhjal sa oma pingerea kokku panid täpsemalt? Mida arvestasid turvalisuse juures ja mida mitte? Samamoodi isegi kui su PIN2 kätte saadakse pole võimalik signeerida ilma kaardita asju. Selleks on sul ikkagi vaja füüsilist eset kui ka PIN koodi ehk midagi mis sul on ja midagi mida sa tead. Sellest ka two-factor authentication. |
kes ja kuidas mu paroolikaardist pilti teeb? Tuleb minu juurde ja ütleb ,et näita korraks oma paroolikaarti, ma teen pilti, lisaks ütle oma kasutajatunnus ja püsiparool, mul läheb vaja???? Lisaks ootaks seisukohti sellele:
| SurfData kirjutas: |
lisaks kõik need mõttetud hämamised turvalisusest jms.
Näide 1: Kodus teed idioodikaardiga näiteks makse, jätad/unustad kaardi lugejasse, arvuti on pahalasi täis, tehakse Sinu kontoga selline tsikibriki ära (konto tühjaks ja kes teab, võibolla ka mõned laenud lisaks kaelas) ja vot siis on 
Näide 2: Kodus teed paroolikaardiga näiteks makse, arvuti on pahalasi täis, kätte saadakse 1 parool paroolikaardilt, sellega pole eriti midagi teha, paroolikaart võib laua peale vedelema jääda, pahalased seda ei näe ega saa kasutada, lisaks ei saa nad ka niisama laenu kaela Sulle võtta.
Tööl vms kohas ikka paroolikaarti niisama vedelema ei jäta 
Seega rääkigu nad parem nii nagu asi on, konkreetseid fakte, palju on koodikaarte üle võetud, palju on idioodikaart kaitsnud inimesi. Hämada oskab igaüks. |
selliste situatsioonide puhul näide 1 põhjal võidakse Sul konto tühjaks teha, lisaks sellised laenud ja käendused selga et ohohohooo ja vastupidist ei tõesta Sa enam kuidagi. Näide 2 põhjal aga maximum mis teha saavad on konto tühjendamine ja sedagi selles ulatuses mis on Sul internetipangas endal limiit pandud.
Kuna siin nõutakse fakte id kaardi muukimisest, siis ma paluks fakte kui palju on koodikaarte pildistatud ja kui palju on selle põhjal kontosid tühjaks tehtud. See statistika peaks ju kõikidel pooldajatel ometi olemas olema, ega te siis pimesi seda kõike (et paroolikaardiga on kõik kontod tühjaks tehtud ja idioodikaardiga ei saa seda mitte kunagi mitte kuidagi teha) usu!!!
Mina pean seda limiidi väiksemaks tegemist pidevalt vastu tahtmist rõhumiseks. Üle 3k kandeid väga palju ei ole vaja teha, aga kui teiekord on vaja teha ning idioodikaardi lugejat kuskil käepärast ei ole siis on lood sitad küll  Kõige hullem on kui sel ajal kuskil välisriigis oled vms. Kõik inimesed ei ole nii rikkad ka et EMT klient olla
P.S Idioodikaardi endale tegin ka sunniviisiliselt-vabatahtlikult omal ajal, siis kui öeldi et idioodikaardiga on ühistransport tlnas ca 2x odavam kui ilma selleta
| someOtherDude kirjutas: |
Too siis palun need argumendid välja, mis sinuarust nii paikapanevad olid. Sest ma lugesin kõik ta postid läbi ja leidnud küll midagi asjalikku. Tõsi ID-kaart ei ole hõbekuul pettuste vastu. Seda saab murda ja on olemas pahalased, mida ei peata 2factor autentimine. Aga selline väide et ID-kaart on muudest autentimisviisidest kõige nõrgem on küll vale. Kui sul on arvutis see konkreetne pahalane (otsi googlest näiteks Trojan.Silentbanker), mis oskab ennast sessiooni sisse peita ja muuta seal andmeid siis ei aita sind ka PIN kalkulaatorid ega ühekordsed paroolilehed, kuna muudatused tehakse käimatõmmatud sessiooni sees. Fakt on see, et kiipkaardiga autentimine on nendest hetkel kõige turvalisem kuna sul on vaja füüsiliselt kiipkaarti ja PIN koodi, et midagi korda saata. |
Selle kohta ütleks, et paroolikaardiga ei saa laene jms kaela endale võtta, idioodikaardiga aga saab teha peaaegu kõike ja piiramatult ning see on VÄGA SUUR vahe!!!
| someOtherDude kirjutas: |
| Vaata asi on sedasi. Ükski pahalane ei hakka sulle mingeid lepinguid väänama. Sest hiljem nad ei tule seda ju kohtusse vaidlustama eksole. Seega see krdi kohustuste väide põhineb ainult sellel alusel, et pangal on mingi huvi sind lepinguga tüssata. Kui sa seda kardad siis palun ära allkirjasta ID kaardiga dokumente. Aga sellest hirmust ei tulene ID-kaardi ebaturvalisus. Pank saab samamoodi paljude muude vahenditega sulle käkki keerata, kui tahab. Ometi sa ajad pangaga asju (ma eeldan), seega mingi usalduse on nad sinu silmis siis ära teeninud? Miks sa arvad et nad lambist mingeid lepinguid allkirjastama hakkavad. |
küsiks ka et miks ei hakka??? Miks uskuda pimesi, et sellist pahalast ei tehta mitte kunagi??? Kuidas Sa kohtus ütled, et see seal pole nendel dokumentidel minu allkiri??? Vaadatakse, et Sinu idioodikaardiga tehtud ja kogu lugu, Sina oled kaamel ning vaielda ja edasi kaevata ei ole Sul enam mitte kui midagi!!! Sellele sobib hästi see näide:
| electron kirjutas: |
| someOtherDude kirjutas: |
Ainuke risk, mis on reaalne on ikkagi see et liiguvad ringi pahalased mis teevad inimeste kontosid tühjaks. Miks peaks mingi tüüp tegema mingi proge mis allkirjastab niisama suvalisi dokumente kellegi nimega. Lihtsalt funi pärast?
|
Paljud peavad siin Sultsi paranoiliseks... OK, võibolla tõesti ei SEB, Swedbank või mingi muu suur pank sellist asja endale lubada ei saa. Aga näiteks teevad mingid kandid järjekordse kiirlaenu kontori. Reklaamivad ennast kui et kiirlaen otse arvutist, võtad seda ja kasutad ID-kaarti ja toksid nii PIN-1 kui ka PIN-2 sinna sisse. Tegelikult annad aga allkirja maja müümiseks ja oledki maja maha müünud mingi 10 000 krooniga. ütleme, et pool aastat või aasta korjab niimoodi "ettevõte" allkirju majanduslikult raskustesse sattunud inimestelt ja siis paneb oma kontori kinni ja viskab kõik allkirja andnud inimesed SEADUSLIKULT tänavale.
Kas tänapäeva Eestis on selline mõtlemine paranoia? |
Vaadates siin pooldajaid ja vastaseid siis enamasti pooldajad ütlevad, et vot see on nii turvaline ja seda tuleb haipida, fakte aga tuuakse väga vähe. Vastastel paistavad faktid ja näited palju kergemini ja lihtsamini tulevat. Kui see tõesti on nii turvaline, siis las inimesed kasutavad seda, aga miks see tehakse nii rõhuvalt sunniviisiliseks erafirmade poolt? Vot see ei meeldi!!! Öeldakse küll et ära siis kasuta, aga ise pannakse limiidid nii, et Sul ei jää muud üle kui kasutada.
Hetkel on maailmamastaabis idioodikaardi kasutajaid vähe ning seetõttu pole ka pahavara sellele väga atraktiivne, tekib piisav kriitiline/rikkam mass taha ning neid pahalasi ei jõua enam ära tõrjuda
|
|
| Kommentaarid: 84 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
74 |
|
| tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
|
24.04.2009 23:17:05
|
|
|
| SurfData kirjutas: |
| Hetkel on maailmamastaabis idioodikaardi kasutajaid vähe ning seetõttu pole ka pahavara sellele väga atraktiivne, tekib piisav kriitiline/rikkam mass taha ning neid pahalasi ei jõua enam ära tõrjuda |
Ma ei loobu ID Kaardi kasutamisest,kuna tulevikus võib sellega seoses pahavara ohvriks langeda.
Täpselt samamoodi nagu ma ei osta üliodavat mobiiltelefoni, sest mine tea - äkki kallima ostan, siis varastatakse ära jne
Ei saa elada oma elu hirmus,et midagi võib juhtuda  .Tuleb ise riske maandada ja oma elu elada mitte lasta varastel ja muidu tõbrastel seda dikteerida
_________________
Win11 25H2 upgrade skriptid neile kelle masin ise ei taha 23H2 või 24H2 pealt ennast uuendada: https://foorum.hinnavaatlus.ee/viewtopic.php?p=11720738#11720738
Youtube lisa vene jama eemaldamiseks: https://foorum.hinnavaatlus.ee/viewtopic.php?p=11745846#11745846 |
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
82 |
|
| tagasi üles |
|
|
SurfData
HV Guru
liitunud: 19.05.2006
|
|
24.04.2009 23:28:21
|
|
|
| tomorrow kirjutas: |
| SurfData kirjutas: |
| Hetkel on maailmamastaabis idioodikaardi kasutajaid vähe ning seetõttu pole ka pahavara sellele väga atraktiivne, tekib piisav kriitiline/rikkam mass taha ning neid pahalasi ei jõua enam ära tõrjuda |
Ma ei loobu ID Kaardi kasutamisest,kuna tulevikus võib sellega seoses pahavara ohvriks langeda.
Täpselt samamoodi nagu ma ei osta üliodavat mobiiltelefoni, sest mine tea - äkki kallima ostan, siis varastatakse ära jne
Ei saa elada oma elu hirmus,et midagi võib juhtuda .Tuleb ise riske maandada ja oma elu elada mitte lasta varastel ja muidu tõbrastel seda dikteerida |
kas ma olen rääkinud loobumisest? Ma olen pigem maininud, et seda sunnitakse liialt peale, mida rohkem, massilisemalt, jõulisemalt ja kiiremalt seda peale sunnitakse, seda kiiremini tuleb olukord, kus kõikidel kasutajatel on oht kaotada KÕIK ja seda sõna otseses mõttes. Praegu ju need Sinu nö "tõprad" dikteerivadki ju ja ütlevad, et vot selline valik on ja kõik on lihtsalt sunnitud seda idioodikaarti kasutama Kui seda nii jõuliselt peale ei surutaks läheksid asjad omasoodu ning need kes tahaksid kasutaksid ja oleksid õnnelikud ning kes ei tahaks saaksid ka elada, praegu aga likvideeritakse see teine seltskond jõuvõtetega ära
|
|
| Kommentaarid: 84 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
74 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 01:02:28
|
|
|
| tomorrow kirjutas: |
| Ei saa elada oma elu hirmus,et midagi võib juhtuda... |
ID-kaardi propageerimine käibki ju pideva hirmutamise saatel, nagu oleks koodikaardid ja muud autentimisviisid hirmsasti ebaturvalised. Paraku toimub sellise hirmutamise saatel hoopis kõige ebaturvalisema internetipanga autentimisviisi pealesurumine. Ehk siis vihma käest räästa alla, nagu vanasõna ütleb. Olen koodikaarti kasutanud juba üle 10 aasta ja pole sellega veel midagi halba juhtunud. Ma ei ole ühtki väärkasutuse juhtumit kuulnud ka oma tutvusringkonnas. Ärge uskuge ID-kaardi lobistajate jutte teiste autentimisviiside ebaturvalisuse kohta! Hoidke oma arvuti pahalastest puhas, ja ei ole mingit vahet, kas kasutate ühekordseid või korduvkasutusega koode. Kui kahtlustate, et ei suuda oma arvutis alati täielikku puhtust tagada või olete sunnitud oma pangatehinguid tegema võõrastest arvutitest, siis vaadake ühekordsete koodilehtede ja pinkalkulaatori poole.
ID-ioodid on nagu need, kes turvavööd kunagi kinni ei pane, sest nende arvates on nende maanteemuhk ülimalt turvaline, ning on seisukohal, et kui siiski peaks midagi tõsist juhtuma, siis pigem surrakse nagu mees, kuid haiglaravi kulusid haigekassale ei põhjustata.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
25.04.2009 07:34:03
|
|
|
| Sults, mitut ID-kaardi häkkimis juhtumit sa kuulnud oled selle 7 aastase levikuloleku ajal ?
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:12:05
|
|
|
| mikk36 kirjutas: |
| Sults, mitut ID-kaardi häkkimis juhtumit sa kuulnud oled selle 7 aastase levikuloleku ajal ? |
mikk36, mitu juhtumit sa tead viimase 100 aasta jooksul, kus käte peal ülekäigurajal sõiduteed ületanud jalakäija jääb auto alla? Või siis sellisel viisil tee ületamisel juhtunud õnnetust, nagu siin videos? Mina ei tea mitte ühtegi, kuid ometi ei pea ma sellist viisi turvalisemaks tavapärasest teeületamisest, mis sest, et viimasega juhtub igal aastal massiliselt õnnetusi.
Selle sinu poolt küsitud ajavahemiku jooksul on ID kaardiga tehtud vaid alla 1% kõigist tehingutest. Valdav enamik, tõenäoliselt üle 90%, on tehtud koodikaardi abil. Pole midagi imestada, et rünnakud on olnud keskendunud koodikaardi peale. Samas ei tea ma mitte ühtegi edukat rünnakut koodikaardile ei omast käest ega ka oma tutvusringkonnast. Isegi meedia vahendusel on kõrvu jäänud ainult need naljakirjad, a la "saada oma kasutajatunnus, püsiparool ja koodikaardi koodid kusagile hooldusesse"
Kui ID-kaardi osakaal kasvab, siis suureneb ka ID-kaardiga autentimise ja digiallkirjade andmise rünnakute tõenäosus. ID-kaardiga autentimise ja digiallkirja andmise ründamise teeb ahvatlevaks ju see, et sellega antud allkiri on pangas raha liigutamisest märksa laiema kasutusalaga ja võimalik on kasutada varjatud pettust suure hulga pettuste sooritamiseks ja siis nende lühikese aja jooksul realiseerimist. Tõenäoliselt lõptatakse massiliste pettuste ilmsiks tuleku korral see ID-kaardi pull ära, kuid pidevalt üksikute pettusjuhtumite järkjärguline ilmumine meedias avaldaks ID-kaardi tegeliku ebaturvalisuse ja inimesed loobuksid ebaturvalisest ID-kaardist teiste autentimisviiside kasuks. Seega on kurjategijail mõistlik praegu arendada ja lihvida ID-kaardi kasutamisel põhinevaid ründemeetodeid, koguda suur hulk pahaaimamatuid ohvreid ja realiseerida kuritarvitused kunagi hiljem suhteliselt väikeste ohvriportusde kaupa, sest esimeste suuremate ründejuhtumite õnnetumisel loobuks paljud potentsiaalsed ID-kaardi kasutajad selle kasutamisest, kuid sellise meetodi puhul on kurjategijatel juba suure osa kohta neist juba pahaaimamatult olemas igasuguseid põnevaid lepinguid, mida siis saab kurjategijate poolt mõistlike portsude kaupa täitmisele pöörata ja kasud välja võtta. Kõiki korraga realiseerida ei saa, sest siis tühistataks kõik ID-kaardiga sõlmitud lepingud ja kurjategijad jääks ilma lihtsast ja ohutust ründeviisist.
viimati muutis Sults 25.04.2009 09:16:35, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
25.04.2009 09:14:48
|
|
|
Sults, kui pikk aeg on piisav siis toote turvalisuse testimiseks ?
Mis periood tõestaks sulle näiteks et ID kaardi süsteemid on piisavalt turvalised ?
edit: Kui kaua on testitud näiteks internetipanga turvalisust ? Kui kaua on testitud panga süsteemide turvalisust ? Kuidas sa nende turvalisuses üldse kindel saad olla ?
viimati muutis mikk36 25.04.2009 09:22:08, muudetud 1 kord |
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
sakinaga
HV Guru
liitunud: 30.08.2006
|
|
25.04.2009 09:18:30
|
|
|
mikk36, tundub, et isegi 100 aastat ei ole talle piisab(vt näidet)
_________________
Tsensuur HinnaVaatluse foorumis |
|
| Kommentaarid: 164 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
155 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:25:51
|
|
|
| tsitaat: |
ID-kaardiga autentimise ja digiallkirja andmise ründamise teeb ahvatlevaks ju see, et sellega antud allkiri on pangas raha liigutamisest märksa laiema kasutusalaga ja võimalik on kasutada varjatud pettust suure hulga pettuste sooritamiseks ja siis nende lühikese aja jooksul realiseerimist
|
| tsitaat: |
Seega on kurjategijail mõistlik praegu arendada ja lihvida ID-kaardi kasutamisel põhinevaid ründemeetodeid, koguda suur hulk pahaaimamatuid ohvreid ja realiseerida kuritarvitused kunagi hiljem suhteliselt väikeste ohvriportusde kaupa
|
| tsitaat: |
kuid sellise meetodi puhul on kurjategijatel juba suure osa kohta neist juba pahaaimamatult olemas igasuguseid põnevaid lepinguid, mida siis saab kurjategijate poolt mõistlike portsude kaupa täitmisele pöörata ja kasud välja võtta.
|
Jääb mulje, nagu kurjategijaiks nimetad sa panku?  Või pead silmas kedagi/midagi muud?
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 464 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
361 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:31:46
|
|
|
| mikk36 kirjutas: |
Sults, kui pikk aeg on piisav siis toote turvalisuse testimiseks ?
Mis periood tõestaks sulle näiteks et ID kaardi süsteemid on piisavalt turvalised ? |
See olenev tublisti tootest.
Kui ikka tootes on silmaga nähtavaid turvaauke, pole mõtet eeldada, et pikaajaline turvatestimine seda päästab.
Kuna kasutaja ei saa kuidagi tuvastada, mida ta veebi kaudu digiallkirjastamisel allkirjastab, siis see tegevus lihtsalt ei ole turvaline! See on oma legaalselt siduva allkirja andmine musta kasti, nägemata, mida allkirjastatakse! See on tõsine põhimõtteline turvarisk, mida ei võta ära mitte mingi testimisperioodi abil, vaid võibolla üksnes kogu süsteemi ümberdisainimise teel (maksete digiallkirjastamisest loobumisega).
ID-kaardi nurgaadvogaadid sonivad siin midagi tohutust pankade usaldusväärsusest, et pankadele võib julgelt usaldada selliselt pimesi antud allkirju. Paraku on sellise mõttemalli levitamisel selline oht, et kui keskmine lollkasutaja harjutatakse andma pimesi allkirju pangamaksetele, siis hakkavad need varsti neid sama kergekäeliselt andma igal pool mujal. Mida laiemaks läheb selliselt veebi kaudu digiallkirjastamist kasutavate teenuste ring ja mida rohkem on selliste teenuste kasutajaid, seda suuremaks muutub kuritarvitamise risk. Ja see risk ei ole mitte lineaarses seoses, vaid eksponentsiaalselt.
| Tanel kirjutas: |
| tsitaat: |
ID-kaardiga autentimise ja digiallkirja andmise ründamise teeb ahvatlevaks ju see, et sellega antud allkiri on pangas raha liigutamisest märksa laiema kasutusalaga ja võimalik on kasutada varjatud pettust suure hulga pettuste sooritamiseks ja siis nende lühikese aja jooksul realiseerimist
|
| tsitaat: |
Seega on kurjategijail mõistlik praegu arendada ja lihvida ID-kaardi kasutamisel põhinevaid ründemeetodeid, koguda suur hulk pahaaimamatuid ohvreid ja realiseerida kuritarvitused kunagi hiljem suhteliselt väikeste ohvriportusde kaupa
|
| tsitaat: |
kuid sellise meetodi puhul on kurjategijatel juba suure osa kohta neist juba pahaaimamatult olemas igasuguseid põnevaid lepinguid, mida siis saab kurjategijate poolt mõistlike portsude kaupa täitmisele pöörata ja kasud välja võtta.
|
Jääb mulje, nagu kurjategijaiks nimetad sa panku? Või pead silmas kedagi/midagi muud? |
Ma ei saa midagi sinna parata, kui sulle meeldib nii mõelda. Ma kohe kuidagi ei sooviks sel teemal sinuga kenal laupäeva hommikul vaielda. Mulle ei meeldi, kui mind mitte mõistvad isikud minu kirjapandut väänama hakkavad. Palun näita, kust selline seos pärineb? Minu tekstis erinevatest osadest nopitud lausekatkete abil saab väljendada igasuguseid mõtteid, kuid püüaks siiski jääda nende juurde, mida ma ise olen kirja pannud ja jätaks "lõika, rebi, kleebi" mängud vahele.
viimati muutis Sults 25.04.2009 09:33:01, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:32:38
|
|
|
| tsitaat: |
Mida laiemaks läheb selliselt veebi kaudu digiallkirjastamist kasutavate teenuste ring ja mida rohkem on selliste teenuste kasutajaid, seda suuremaks muutub kuritarvitamise risk.
|
sellega olen isegi täitsa nõus
Kuid inimesi peabki igakülgselt turvalisuse osas harima (et hoiaks arvutid puhtana, ei käiks kahtlastel lehtedel jne), kuid teine teema on pankade turvalisus, või õigemini nende usaldusväärsus.
Senimaani, kuni pole faktilõhnagi sellest, et pank võiks midagi kuritegelikku korda saata seoses kasutaja maksekorralduse digiallkirjaga, usaldan ma panku ja lähtun süütuse presumptioonist.
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 464 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
361 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:36:41
|
|
|
| Tanel kirjutas: |
Senimaani, kuni pole faktilõhnagi sellest, et pank võiks midagi kuritegelikku korda saata seoses kasutaja maksekorralduse digiallkirjaga, usaldan ma panku ja lähtun süütuse presumptioonist. |
Äkki annad mullegi (ja miks mitte mõnele äsja Rummu vanglast vabanenud retsile) mõne valgele A4 paberile antud oma korrektse allkirja, lähtudes süütuse presumptsioonist peaks see ju ok olema? Sa vist ei tea, mis asi on süütuse presumptsioon ja millisel juhul seda kasutatakse.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:38:49
|
|
|
| tsitaat: |
Palun näita, kust selline seos pärineb?
|
loe nüüd uuesti oma tekst läbi ja selline mulje jäi küll , arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
Ma ei ole panga palgal ega promo neid, vaid väidan, et panga usaldusväärsuse kahtluse alla seadmine on alusetu.
See on minu jaoks sama usalduse küsimus, nagu kraani avades tean, et saan juua vett, mitte torusiili.
Vastupidise korral oleks loomulikult terve Tallinna Vee vms usaldusväärsus löögi all.
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 464 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
361 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:40:04
|
|
|
| Tanel kirjutas: |
| tsitaat: |
Palun näita, kust selline seos pärineb?
|
loe nüüd uuesti oma tekst läbi ja selline mulje jäi küll , arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
Ma ei ole panga palgal ega promo neid, vaid väidan, et panga usaldusväärsuse kahtluse alla seadmine on alusetu.
See on minu jaoks sama usalduse küsimus, nagu kraani avades tean, et saan juua vett, mitte torusiili.
Vastupidise korral oleks loomulikult terve Tallinna Vee vms usaldusväärsus löögi all. |
Lugesin, ei leidnud seda, mida sina väidad. Äkki aitad?
Ma katsun nüüd avaldada eelpool sinu poolt tsiteeritud minu lause mõtet
| tsitaat: |
ID-kaardiga autentimise ja digiallkirja andmise ründamise teeb ahvatlevaks ju see, et sellega antud allkiri on pangas raha liigutamisest märksa laiema kasutusalaga ja võimalik on kasutada varjatud pettust suure hulga pettuste sooritamiseks ja siis nende lühikese aja jooksul realiseerimist
|
Selles on lihtsalt öeldud, et digiallkirjal on märksa laiem kasutusala kui vaid pangas raha liigutamine. Sa oled minu suhtes lihtsalt nii vaenulikult meelestatud, et mõtled ise midagi juurde minu poolt väljendatud mõtetele. Ma tean küll sellist psühholoogilist eripära. Katsu minu kirjutisi siiski neutraalselt lugeda või jäta need üldse vahele, kui need sulle ei sobi.
viimati muutis Sults 25.04.2009 09:45:11, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:43:50
|
|
|
| Sults kirjutas: |
| Tanel kirjutas: |
Senimaani, kuni pole faktilõhnagi sellest, et pank võiks midagi kuritegelikku korda saata seoses kasutaja maksekorralduse digiallkirjaga, usaldan ma panku ja lähtun süütuse presumptioonist. |
Äkki annad mullegi (ja miks mitte mõnele äsja Rummu vanglast vabanenud retsile) mõne valgele A4 paberile antud oma korrektse allkirja, lähtudes süütuse presumptsioonist peaks see ju ok olema? Sa vist ei tea, mis asi on süütuse presumptsioon ja millisel juhul seda kasutatakse. |
no praegu sa räägid oma isikliku kõhutunde näol teoreetilisest ohust, aga samas meelevaldselt võrdsustad panka Rummu vanglast vabanenud retsiga. Mina sellist meelevaldset võrdusmärki nende kahe (pank ja rets) vahele ei paneks. Minu jaoks on see usalduse küsimus ja antud juhul ma usaldan panka, retsi aga loomulikult mitte. Sel teemal on minu jaoks vaidlus kaotanud mõtte, mõlemad oleme oma seisukohti piisavalt tutvustanud
Jäägem konstruktiivseteks Nagu ma ennist ütlesin, kui ma kusagilt haistaks ka, et pank võiks midagi sarnast korda saata, liitun silmapilkselt sinu "klubiga" 8)
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 464 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
361 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
25.04.2009 09:45:03
|
|
|
| Sults kirjutas: |
| Tanel kirjutas: |
| tsitaat: |
Palun näita, kust selline seos pärineb?
|
loe nüüd uuesti oma tekst läbi ja selline mulje jäi küll , arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
Ma ei ole panga palgal ega promo neid, vaid väidan, et panga usaldusväärsuse kahtluse alla seadmine on alusetu.
See on minu jaoks sama usalduse küsimus, nagu kraani avades tean, et saan juua vett, mitte torusiili.
Vastupidise korral oleks loomulikult terve Tallinna Vee vms usaldusväärsus löögi all. |
Lugesin, ei leidnud seda, mida sina väidad. Äkki aitad? |
et sa siis ei pea panku kurjategijateks? Väga hea siis
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 464 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
361 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 09:45:58
|
|
|
| Tanel kirjutas: |
| Sults kirjutas: |
| Tanel kirjutas: |
| tsitaat: |
Palun näita, kust selline seos pärineb?
|
loe nüüd uuesti oma tekst läbi ja selline mulje jäi küll , arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
Ma ei ole panga palgal ega promo neid, vaid väidan, et panga usaldusväärsuse kahtluse alla seadmine on alusetu.
See on minu jaoks sama usalduse küsimus, nagu kraani avades tean, et saan juua vett, mitte torusiili.
Vastupidise korral oleks loomulikult terve Tallinna Vee vms usaldusväärsus löögi all. |
Lugesin, ei leidnud seda, mida sina väidad. Äkki aitad? |
et sa siis ei pea panku kurjategijateks? Väga hea siis |
Jällegi, ära esita oma mõtteid minu mõtetena!
On ka pankade hulgas kuritegelikult käitunuid, käituvaid ning tulevikus kuritegusid sooritavaid. Aga minu arvamus pankadest ei mängi praeguse teema juures suurt rolli. See lihtsalt ei puutu objektiivse pildi puhul asjasse.
viimati muutis Sults 25.04.2009 09:54:47, muudetud 3 korda |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
| Kommentaarid: 464 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
361 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
25.04.2009 10:00:53
|
|
|
| Tanel kirjutas: |
 lootusetu
Las see vaidlus jääda sinnapaika, meie arutelust ei sõltu nagunii midagi 8) |
Ka mina pooldan seda, et jutt ei läheks mingiks mõttetuks lamisemiseks teemal, mis mulje kellelegi mõnest minu lausetest jäi, vaid püsiks ikka õiges teemas, ehk siis ID-kaardi pealesurumine pankade poolt ning ID-kaardi ja koodikaardi turvalisuse võrdlemine.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
sakinaga
HV Guru
liitunud: 30.08.2006
|
|
25.04.2009 10:09:37
|
|
|
Sultsga vaidlemine on nagu peaga vastu seina jooksmine. Lõpuks saavad kõik aru, et sellel pole mõtet.
_________________
Tsensuur HinnaVaatluse foorumis |
|
| Kommentaarid: 164 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
155 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
| Kommentaarid: 464 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
361 |
|
| tagasi üles |
|
|
SurfData
HV Guru
liitunud: 19.05.2006
|
|
25.04.2009 12:42:23
|
|
|
| Tanel kirjutas: |
arvestades ka eelnevaid postitusi, et pangad on juba ette süüdi digiallkirja kuritarvitamises (ehk kurjategijad).
Oma puhtas arvutis dokumendi digiallkirjastamine ei evi ohtu, küll aga loomulikult kahtlastel saitide (milleks ma ei pea pangainstitutsioone) suvaliste dokumentide signeerimine.
|
aga miks mitte? kõik inimesed kes toorikuid ja kirjutajaid ostavad on ka ju kurjategijad, kuna neilt võetakse ka maksu autoriõigusorganisatsioonide poolt, et VÕIBOLLA hakkad siin midagi ebaleegaalset kirjutama, aga kui Sa siiski lisaks midagi illegaalset kirjutad ja vahele jääd on kobedad trahvid tulema. Seega peetakse suurorganisatsioonide poolt kõiki inimesi varasteks/pättideks/kurjategijateks (osadel juhtudel on piraatlus isegi juba KRIMINAALkuritegu), miks peaks inimesed pimesi uskuma siis suuri erafirmasid/korporatsioone, kes siin nagu varemgi toodud näite puhul tõmbavad mõne miljoni pärast klientidele julmalt koti pähe, kuigi kasumid on miljardites!!!
Oma puhtas arvutis koodikaardi kasutamine ka ju ei evi ohtu
Ma ei ütle et idioodikaarti üldse kasutada ei tohi, kes tahab see kasutagu, aga ärgu tehku seda nii sunniviisiliseks kõigile. Peale sunnitud asjad võetakse üldiselt väga vastumeelselt vastu.
|
|
| Kommentaarid: 84 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
74 |
|
| tagasi üles |
|
|
Spezz
HV veteran
liitunud: 21.08.2005
|
|
30.04.2009 22:31:58
|
|
|
| Sults kirjutas: |
| Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas. |
Tahad sa rääkida sellest, kuidas see pahavara su PIN(1)(2) sisestab? Ehk viitad koguni mõnele töötavale pahavaralisele vidinale? Või loed enne Küberneetika AS poolt koostatud turvaspetsifikatsiooni ja -auditi kokkuvõtteid?
|
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
67 |
|
| tagasi üles |
|
|
rex
HV Guru
liitunud: 09.01.2002
|
|
01.05.2009 01:02:06
|
|
|
| SurfData kirjutas: |
| Ma ei ütle et idioodikaarti üldse kasutada ei tohi, kes tahab see kasutagu, aga ärgu tehku seda nii sunniviisiliseks kõigile. Peale sunnitud asjad võetakse üldiselt väga vastumeelselt vastu. |
Autot sind kah ju ilma luba omamata juhtida ei lasta. Võta siis ID-kaarti kui luba sooritada tehinguid ilma vastavaid asutusi reaalselt külastamata. Kui seda ei soovi, siis jääb ju alternatiivina siiski see reaalse külastamise, paberile lepingute kirjutamise ja pastakaga allkirjastamise variant ikkagi alles. Ega keegi sunnigi ju sind seda kiiremat ja mugavamat teed kasutama.
Sults, sa unustad seda "valgele lehele allkirja andmist" korrutades selle, et sa annad ju vaid ühe allkirja - kui see läheb kõrvalteid mööda valgele lehele, siis jääb see minemata sellele lehele, millele sa seda anda planeerisid. Sa ei signeeri ühekordse PIN2 andmisega korraga kahte lehte. Läbi virtuaalse "kopeerpaberi" valgele lehele tekkinud allkiri ei ole enam autentne. Ilmselt sa märkad, kui su allkiri sinu plaanitud virtuaalsele "paberile" ei satu - see "paber" jääb ju siis käitlemata - vastav ülekanne tegemata vms. Ma usun, et kohtus ei leiaks panga poolt tõendamist ka sellise peidetud lisa tõepärasus, et sa tegid näiteks ülekande 64 krooni ja 30 sendiga ning ühtlasi soovisid pantida oma olemasoleva ja edaspidi muretsetava vallas- ja kinnisvara.
|
|
| Kommentaarid: 248 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
227 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
01.05.2009 07:36:01
|
|
|
| Spezz kirjutas: |
| Sults kirjutas: |
| Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas. |
Tahad sa rääkida sellest, kuidas see pahavara su PIN(1)(2) sisestab? Ehk viitad koguni mõnele töötavale pahavaralisele vidinale? Või loed enne Küberneetika AS poolt koostatud turvaspetsifikatsiooni ja -auditi kokkuvõtteid? |
Enamik Eestis kasutuses olevatest ID-kaardi lugejatest on pinpadita lugejad, kus pin antakse tavaliselt klaviatuurilt. Kõike, mida klaviatuuri kaudu sisestatakse, saab keyloggeriga kinni püüda ja siis hiljem programselt samade klahvivajutuste imiteerimist teha ilma klahve tegelikult vajutamata.
Seda sinu viidatud turvaspetsifikatsiooni ja turvaauditit olen ma arvatavasti juba korduvalt lugenud. Ja mitte üksnes kokkuvõtet, vaid ikka tervet dokumenti.
"Arvatavast lugenud" seetõttu, et ma ei ole päris kindel, kas sa pead nende dokumemtide all silmas samu dokumente, mis minagi.
Pinide näppamise kohta ka üks viide: http://www.theregister.co.uk/2009/04/16/pin_security_breach_survey/.
Muide, Verizon ei näe pin koodide näppamisele lahendust ID-kaardi sarnases kiipkaardis või vähemalt ei paku seda lahendusena välja http://www.verizonbusiness.com/about/news/displaynews.xml?newsid=25282&mode=vzlong
Mina usun, et Verizonis om märksa tugevamad turvaeksperdid kui mina, seega võtan nende poolt kiipkaartide lahendusena mitte välja pakkumist kui otsest kinnitust, et see ei aitaks kuidagi probleemi lahendada.
| rex kirjutas: |
| Sults, sa unustad seda "valgele lehele allkirja andmist" korrutades selle, et sa annad ju vaid ühe allkirja - kui see läheb kõrvalteid mööda valgele lehele, siis jääb see minemata sellele lehele, millele sa seda anda planeerisid. Sa ei signeeri ühekordse PIN2 andmisega korraga kahte lehte. Läbi virtuaalse "kopeerpaberi" valgele lehele tekkinud allkiri ei ole enam autentne. Ilmselt sa märkad, kui su allkiri sinu plaanitud virtuaalsele "paberile" ei satu - see "paber" jääb ju siis käitlemata - vastav ülekanne tegemata vms. Ma usun, et kohtus ei leiaks panga poolt tõendamist ka sellise peidetud lisa tõepärasus, et sa tegid näiteks ülekande 64 krooni ja 30 sendiga ning ühtlasi soovisid pantida oma olemasoleva ja edaspidi muretsetava vallas- ja kinnisvara. |
See sinu jutt võib kehtida PINpadiga kaardilugeja kasutamisel. Kuid ka siis pole olulist vahet kasutaja jaoks riski suuruses, sest kui pank maksekorralduse allkirjastamise asemel sõlmib sinule nt. kellegi käenduslepingu suure summa peale panga kasuks ja sooritab ka selle maksekorralduse, siis puudub kasutajal ilma põhjaliku nuuskimiseta alus kahtlustada, et tema digiallkiri ei läinud maksekorraldusele vaid hoopis mõnele muule dokumendile.
Pinpadita kaardilugeja korral (mida on valdav enamus, ma usun, et tublisti üle 90%) saab programselt digiallkirjastada sellise arvu dokumente, mida ID-kaardi lugejas viibimine võimaldab. Katsu aru saada, et kui rakendus on tehtud võimaliku ründaja poolt, siis saab ta kinnipüütud PINe kasutada sama vabalt, nagu oleks tal palgatud mingid tillukesed neegrid sinu klaviatuuri sisse PIN koodi toksima. Või on tänpäeval ka klaviatuuri ja arvuti vaheline liiklus turvasertifikaatidele üles ehitatud?
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
SurfData
HV Guru
liitunud: 19.05.2006
|
|
01.05.2009 09:29:56
|
|
|
| rex kirjutas: |
| SurfData kirjutas: |
| Ma ei ütle et idioodikaarti üldse kasutada ei tohi, kes tahab see kasutagu, aga ärgu tehku seda nii sunniviisiliseks kõigile. Peale sunnitud asjad võetakse üldiselt väga vastumeelselt vastu. |
Autot sind kah ju ilma luba omamata juhtida ei lasta. Võta siis ID-kaarti kui luba sooritada tehinguid ilma vastavaid asutusi reaalselt külastamata. Kui seda ei soovi, siis jääb ju alternatiivina siiski see reaalse külastamise, paberile lepingute kirjutamise ja pastakaga allkirjastamise variant ikkagi alles. Ega keegi sunnigi ju sind seda kiiremat ja mugavamat teed kasutama.
|
Nagu ma mainisin, siis ma ei ole vastu, et idioodikaardi kasutamine võiks paralleelselt eksisteerida, aga praegu põhimõtteliselt likvideeritakse ära alternatiivne variant ja Sul lihtsalt ei jää muud üle. Praegu on suhteliselt sama valikuvabadus, mis oleks siis, kui Sul on püstolitoru meelekohal ja kästakse kuhugi paberile alla kirjutada. Sul on valik ka mitte alla kirjutada, aga siis oleks ka Sinuga lõpp, praegu on samamoodi. Kui idioodikaarti ei kasuta, siis varsti ei saa Sa enam mitte midagi. Alternatiivide kasutamise võimalus peaaegu nullitakse ära. Oleks siis veel faktiliselt põhjendatud vms, aga ei tooda MITTE MINGIT statistikat kui palju siis tõesti nende koodikaardi pildistamistega raha kätte on saadud. Hämatakse, et lihtsalt näed nii võivad teha. Ma ütlen ka, et kui idioodikaardi arvutisse unustad, siis pahalsed teevad 1:0 ja mitte ainult Su kontoga vaid ka laenud ja käendused jms lisaks (näiteid ja statistikat pole ju vaja tuua kuna vastaspool ka ei too 8) ) seega tuleks kasutada hoopis midagi muud. Seda aga ei ole. Mina ei näe miks on üks väga suurelt parem kui teine, mõlemal on omad eelised ja omad puudused, aga siiski suretatakse üks alternatiividest välja
|
|
| Kommentaarid: 84 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
74 |
|
| tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
|
03.05.2009 18:31:49
|
|
|
| Sults kirjutas: |
| Spezz kirjutas: |
| Sults kirjutas: |
| Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas. |
Tahad sa rääkida sellest, kuidas see pahavara su PIN(1)(2) sisestab? Ehk viitad koguni mõnele töötavale pahavaralisele vidinale? Või loed enne Küberneetika AS poolt koostatud turvaspetsifikatsiooni ja -auditi kokkuvõtteid? |
Enamik Eestis kasutuses olevatest ID-kaardi lugejatest on pinpadita lugejad, kus pin antakse tavaliselt klaviatuurilt. Kõike, mida klaviatuuri kaudu sisestatakse, saab keyloggeriga kinni püüda ja siis hiljem programselt samade klahvivajutuste imiteerimist teha ilma klahve tegelikult vajutamata.
Seda sinu viidatud turvaspetsifikatsiooni ja turvaauditit olen ma arvatavasti juba korduvalt lugenud. Ja mitte üksnes kokkuvõtet, vaid ikka tervet dokumenti.
"Arvatavast lugenud" seetõttu, et ma ei ole päris kindel, kas sa pead nende dokumemtide all silmas samu dokumente, mis minagi.
Pinide näppamise kohta ka üks viide: http://www.theregister.co.uk/2009/04/16/pin_security_breach_survey/.
Muide, Verizon ei näe pin koodide näppamisele lahendust ID-kaardi sarnases kiipkaardis või vähemalt ei paku seda lahendusena välja http://www.verizonbusiness.com/about/news/displaynews.xml?newsid=25282&mode=vzlong
Mina usun, et Verizonis om märksa tugevamad turvaeksperdid kui mina, seega võtan nende poolt kiipkaartide lahendusena mitte välja pakkumist kui otsest kinnitust, et see ei aitaks kuidagi probleemi lahendada.
| rex kirjutas: |
| Sults, sa unustad seda "valgele lehele allkirja andmist" korrutades selle, et sa annad ju vaid ühe allkirja - kui see läheb kõrvalteid mööda valgele lehele, siis jääb see minemata sellele lehele, millele sa seda anda planeerisid. Sa ei signeeri ühekordse PIN2 andmisega korraga kahte lehte. Läbi virtuaalse "kopeerpaberi" valgele lehele tekkinud allkiri ei ole enam autentne. Ilmselt sa märkad, kui su allkiri sinu plaanitud virtuaalsele "paberile" ei satu - see "paber" jääb ju siis käitlemata - vastav ülekanne tegemata vms. Ma usun, et kohtus ei leiaks panga poolt tõendamist ka sellise peidetud lisa tõepärasus, et sa tegid näiteks ülekande 64 krooni ja 30 sendiga ning ühtlasi soovisid pantida oma olemasoleva ja edaspidi muretsetava vallas- ja kinnisvara. |
See sinu jutt võib kehtida PINpadiga kaardilugeja kasutamisel. Kuid ka siis pole olulist vahet kasutaja jaoks riski suuruses, sest kui pank maksekorralduse allkirjastamise asemel sõlmib sinule nt. kellegi käenduslepingu suure summa peale panga kasuks ja sooritab ka selle maksekorralduse, siis puudub kasutajal ilma põhjaliku nuuskimiseta alus kahtlustada, et tema digiallkiri ei läinud maksekorraldusele vaid hoopis mõnele muule dokumendile.
Pinpadita kaardilugeja korral (mida on valdav enamus, ma usun, et tublisti üle 90%) saab programselt digiallkirjastada sellise arvu dokumente, mida ID-kaardi lugejas viibimine võimaldab. Katsu aru saada, et kui rakendus on tehtud võimaliku ründaja poolt, siis saab ta kinnipüütud PINe kasutada sama vabalt, nagu oleks tal palgatud mingid tillukesed neegrid sinu klaviatuuri sisse PIN koodi toksima. Või on tänpäeval ka klaviatuuri ja arvuti vaheline liiklus turvasertifikaatidele üles ehitatud? |
Minu arust need lingid räägivad tavalistest pangakaartidest. Sama teema, mis vahepeal levis, et pangaautomaatidele paigaldati kaamerad ja kaardi kopeerijad. See on natuke teine teema, kui ID-kaardiga autentimine.
_________________
ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Alo-Aerton
HV kasutaja
liitunud: 18.02.2007
|
|
11.05.2009 19:52:31
|
|
|
| Kuna tuleb aeg kui võimalik HV ID kaardiga sisse logida.
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
| Kommentaarid: 464 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
361 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
