|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
16.03.2011 12:47:50
|
|
|
| bv kirjutas: |
Nagu sa ise kirjeldad, siis selline rünne on nähtav ja avastatakse.
Eesti e-valimise süsteemi vastu saab panna toime ründeid, mis süsteemi arhitektuuriliste iseärasuste tõttu jäävad avastamata ja hiljem ei saa isegi ründaja tõestada, et toimus manipuleerimine, sest salajasus tagatakse moel, mis manipuleerimise jäljed hävitab.
Rünnakute nähtavus muudabki Norra süsteemi paremaks. Jama korral kukub süsteem "fail-safe" seisundisse, reetes rünnaku toimumise fakti. |
Erm, muidugi oli see ära toodud teoreetiline rünnak "nähtav ja avastatav" - see pidigi olema, selle põhimõte ja eesmärk eeldas seda. Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav, vaata mis sellest on praeguseks saanud, Riigikohus ja avalikkus arutavad tõsiselt terve e-hääeltamise lubatavust, kuigi tegu oli ainult teoreetilise arutlusega . Erinevatel rünnetel ongi erinevad eesmärgid, erinevad avaldumisviisid, erinevad vastumeetmed. Kõike ei saa ühte patta panna.
Aga rünnakute "nähtavusest" nagu sa seda nimetad - see on alati kompromiss valimiste salajasuse arvel. Kuidas Sa ise kommenteeriksid, kas ja kui palju oleks võimalik leevendada valimiste salajasust, nii et rahvas lisandunud monitooritavuse nimel seda on nõus taluma? Jõuame vana hea "ausal inimesel pole midagi varjata"-teesini?
|
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
 |
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 12:53:33
|
|
|
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni.
| pppd kirjutas: |
| Aga rünnakute "nähtavusest" nagu sa seda nimetad - see on alati kompromiss valimiste salajasuse arvel. Kuidas Sa ise kommenteeriksid, kas ja kui palju oleks võimalik leevendada valimiste salajasust, nii et rahvas lisandunud monitooritavuse nimel seda on nõus taluma? Jõuame vana hea "ausal inimesel pole midagi varjata"-teesini? |
Ei Eesti ega Norra süsteem paku salajasust valimiskomisjoni poolsest otsast. Kui valimiskomisjon tahab näha, kes ja kuidas hääletas, siis seda saab teha nii Eesti kui Norra süsteemiga. Nii et sellest aspektist on süsteemide võrdlemine mõttetu. Küll aga pakub Norra süsteem veendumisvõimalust, et korrektne hääl jõudis kohale ja läks arvesse.
viimati muutis bv 16.03.2011 12:55:07, muudetud 1 kord |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
16.03.2011 12:53:37
|
|
|
| bv kirjutas: |
| sukelduja kirjutas: |
| Tuhandete koduarvutite ( ja vastavate privaatvõrkude ) nakatamine on hoopis keerulisem + rakendust ei ole pikka aega kättesaadav + vajalik tegevus on erinevates arvutites erinev + ei ole riistvara kaudu sisevõrku ligipääsu. |
Stuxnet oli nakatanud ka kümneid tuhandeid koduarvuteid (avastamise hetkel leviku ulatus ca 60 000).
Aga Eestis on vähemalt üks ca 20 000 arvutiga botnet. Neisse valimisi mõjutava nakkuse paigutamine on triviaalne.
|
Ma lihtsalt hindad sellise tegevuse mõjusid.
Rakendus tuleb piisavalt kiiresti väljatöötada, testida, kohale toimetada ja peale valimisi võimalikult ruttu hävitada. Võimalik ründeaken on ajaliselt väga kitsas. Põhiline probleem on kohaletoimetamine. Botnetid ei ole väga operatiivsed. Lisaks tavatsetakse nende C&C node regulaarselt maha võtta. 20 000 arvutist kasutatakse valimiseks heal juhul 2000 arvutit, lisaks veel need arvutid kus valmiste manipuleerimise pahvara lihtsalt ei suuda töötada või töötab valesti. See teeb ringkonna peale tühiselt väikse hulga.
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
|
16.03.2011 13:05:17
|
|
|
| bv kirjutas: |
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni. |
Said valesti aru. Ma ei mõelnud PP "rünnaku" all mitte selle tema poolt pakutud teoreetilise stsenaariumi realiseerumist, vaid tema algatatud meediakampaaniat ja kaebust VVK-le, mis taotleb e-hääletamise tühistamist. Mõlemal juhul on sisuliseks tagajärjeks usaldamatuse tekitamine valimissüsteemi vastu.
| bv kirjutas: |
| pppd kirjutas: |
| Aga rünnakute "nähtavusest" nagu sa seda nimetad - see on alati kompromiss valimiste salajasuse arvel. Kuidas Sa ise kommenteeriksid, kas ja kui palju oleks võimalik leevendada valimiste salajasust, nii et rahvas lisandunud monitooritavuse nimel seda on nõus taluma? Jõuame vana hea "ausal inimesel pole midagi varjata"-teesini? |
Ei Eesti ega Norra süsteem paku salajasust valimiskomisjoni poolsest otsast. Kui valimiskomisjon tahab näha, kes ja kuidas hääletas, siis seda saab teha nii Eesti kui Norra süsteemiga. Nii et sellest aspektist on süsteemide võrdlemine mõttetu. Küll aga pakub Norra süsteem veendumisvõimalust, et korrektne hääl jõudis kohale ja läks arvesse. |
Turvalisus ei ole binaarne - et "on" ja "ei ole". Kas Sa oled vähemalt nõus tunnistama et Eesti variandi puhul on ka VVK liikmel (jätame süsteemivälise häkkeri hetkel kõrvale) vähemalt oluliselt keerulisem ühendada valija isik ja valija hääl? Ja kas Sa tahaksid äkki laiemalt avada oma väidet et sellest aspektist süsteemide omavaheline võrdlemine on mõttetu - ei tea miks?
Ja see veendumisvõimalus - äkki ikka vastad küsimusele, kui palju hääletamise salajasust võiks Sinu hinnangul selle ohvriks tuua, nii et valijad ka rahule jääks?
viimati muutis pppd 16.03.2011 13:09:28, muudetud 5 korda |
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 13:05:45
|
|
|
| sukelduja kirjutas: |
Ma lihtsalt hindad sellise tegevuse mõjusid.
Rakendus tuleb piisavalt kiiresti väljatöötada, testida, kohale toimetada ja peale valimisi võimalikult ruttu hävitada. Võimalik ründeaken on ajaliselt väga kitsas. Põhiline probleem on kohaletoimetamine. Botnetid ei ole väga operatiivsed. Lisaks tavatsetakse nende C&C node regulaarselt maha võtta. 20 000 arvutist kasutatakse valimiseks heal juhul 2000 arvutit, lisaks veel need arvutid kus valmiste manipuleerimise pahvara lihtsalt ei suuda töötada või töötab valesti. See teeb ringkonna peale tühiselt väikse hulga. |
Selle aasta valimiste mõjutamise ettevalmistamiseks jäi kõvasti aega. Valimisprogrammi sai näppida alates proovihääletamise algusest (8. veeb) ja päris valimine läks lahti alles 24. veebruaril.
| pppd kirjutas: |
| Kas Sa oled vähemalt nõus tunnusitama et Eesti variandi puhul on ka VVK liikmel vähemalt oluliselt keerulisem ühendada valija isik ja valija hääl? |
Ei ole.
Kui VVK hakkab hääli ühekaupa ümbrikutest avama, jälgides, kelle juurde ühes tabelis tekib märge hääletamise kohta ja mis kandidaadi toetus teises tabelis ühe võrra tõuseb, siis... mis siin keerukat.
| sukelduja kirjutas: |
| Ja see veendumisvõimalus - äkki ikka vastad küsimusele, kui palju hääletamise salajasust võiks Sinu hinnangul selle ohriks tuua, nii et valijad ka rahule jääks? |
Hääletamise salajasus on elektroonilise hääletamisega nagunii kompromiteeritud. Ei ole midagi ohverdada.
viimati muutis bv 16.03.2011 13:11:17, muudetud 1 kord |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 13:09:45
|
|
|
| bv kirjutas: |
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni.
|
Siiski jääksid neile kohe silma sellised anomaaliad, kus PIN 1 sisestatakse kandidaatide nimekirjade laadimiseks, kuid sellele järgnevat reaalset hääletust ja hääle laekumist ei toimu.
Kui juba vaid ühe kodaniku, täpsemalt PP tegevus e-proovihääletusel kahtlust äratas, mis siis veel massilisemast anomaaliast ja selle tuvastamisest rääkida.
| tsitaat: |
8.-10. veebruarini toimusid proovivalimised, mille käigus avalikustati programm, millega e-hääletamine tänavu läbi viidi ning Pihelgas laadis selle oma arvutisse ja püüdis luua teist programmi, mis seda mõjutaks.
Juba toona märkasid valimiskomisjoni kübervalvurid, et keegi Paavo sorgib nende süsteemi. "Meil olid siin proovivalimised ja siis juba vaatasime, et logides on midagi imelikku. Siis ma panin kõrva taha, et keegi vist midagi katsetab," ütles Martens. |
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 13:18:03
|
|
|
| Tanel kirjutas: |
| Siiski jääksid neile kohe silma sellised anomaaliad, kus PIN 1 sisestatakse kandidaatide nimekirjade laadimiseks, kuid sellele järgnevat reaalset hääletust ja hääle laekumist ei toimu. |
Esialgsest logimisest saab mööda, kui rakendada social engineeringut: kaardistada inimeste meelsust (nt kogudes protestiallkirjade üritustelt nagu 100 000 häält Savisaare vastu inimeste nimesid) ja "vaenlastele" juba valimisprogrammi käivitamisest alates näidata dummyt.
|
|
| tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
|
16.03.2011 13:18:53
|
|
|
| bv kirjutas: |
| pppd kirjutas: |
| Kas Sa oled vähemalt nõus tunnusitama et Eesti variandi puhul on ka VVK liikmel vähemalt oluliselt keerulisem ühendada valija isik ja valija hääl? |
Ei ole.
Kui VVK hakkab hääli ühekaupa ümbrikutest avama, jälgides, kelle juurde ühes tabelis tekib märge hääletamise kohta ja mis kandidaadi toetus teises tabelis ühe võrra tõuseb, siis... mis siin keerukat.
| sukelduja kirjutas: |
| Ja see veendumisvõimalus - äkki ikka vastad küsimusele, kui palju hääletamise salajasust võiks Sinu hinnangul selle ohriks tuua, nii et valijad ka rahule jääks? |
Hääletamise salajasus on elektroonilise hääletamisega nagunii kompromiteeritud. Ei ole midagi ohverdada. |
Sorry.. minu poolt side lõpp. Jälle korra, inimene ei tea süsteemi toimimispõhimõtteid ega seda mis üldse on võimalik ja mis mitte, aga väited on grandioossed. Vabandan kõigi ees oma vastustega mõttetult kulutatud foorumiruumi ja lugemisele kulutatud aja pärast.
viimati muutis pppd 16.03.2011 13:26:42, muudetud 3 korda |
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 13:23:36
|
|
|
| bv kirjutas: |
| Tanel kirjutas: |
| Siiski jääksid neile kohe silma sellised anomaaliad, kus PIN 1 sisestatakse kandidaatide nimekirjade laadimiseks, kuid sellele järgnevat reaalset hääletust ja hääle laekumist ei toimu. |
Esialgsest logimisest saab mööda, kui rakendada social engineeringut: kaardistada inimeste meelsust (nt kogudes protestiallkirjade üritustelt nagu 100 000 häält Savisaare vastu inimeste nimesid) ja "vaenlastele" juba valimisprogrammi käivitamisest alates näidata dummyt. |
Selline anomaalia tuleks kohe välja, kui see valim paarikümnest totaalsest dumbuserist inimesest vähegi suurem on.
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 13:25:53
|
|
|
| Tanel kirjutas: |
| Selline anomaalia tuleks kohe välja, kui see valim paarikümnest totaalsest dumbuserist inimesest vähegi suurem on. |
Kuidas?
|
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
16.03.2011 13:34:13
|
|
|
| bv kirjutas: |
Selle aasta valimiste mõjutamise ettevalmistamiseks jäi kõvasti aega. Valimisprogrammi sai näppida alates proovihääletamise algusest (8. veeb) ja päris valimine läks lahti alles 24. veebruaril.
|
Miskipärast ma arvan, et need ei olnud samad rakendused. Vähemalt kui mina seda süsteemi disainiks, siis kohe kindlasti ei annaks ma testperioodil sama rakendust välja. Kui kellelgi on testi ja lõpprakendus olemas, siis võiks võrrelda.
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 13:36:23
|
|
|
Esiteks tuleks see spetsiifiline pahavara massiliselt kümnetesse tuhandetesse arvutitesse märkamatult saada, et viirusetõrjeprogrammid ja CERT sellest teada ei saaks, mis on praktiliselt võimatu. Kui selline asi avastataks, on Vabariigi Valimiskomisjonil õigus e-hääletus peatada ja tulemused tühistada.
Teiseks, kui see ka peaks mõne arvuti puhul õnnestuma, on alati võimalus, et seda arvutit juhtub kasutama keskmisest targem arvutikasutaja, kes suudab tuvastada selle pahavara olemasolu ning kes siis alarmeeriks CERT-i sellise pahavara olemasolust.
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 13:47:57
|
|
|
| pppd kirjutas: |
| bv kirjutas: |
| pppd kirjutas: |
| Kas Sa oled vähemalt nõus tunnusitama et Eesti variandi puhul on ka VVK liikmel vähemalt oluliselt keerulisem ühendada valija isik ja valija hääl? |
Ei ole.
Kui VVK hakkab hääli ühekaupa ümbrikutest avama, jälgides, kelle juurde ühes tabelis tekib märge hääletamise kohta ja mis kandidaadi toetus teises tabelis ühe võrra tõuseb, siis... mis siin keerukat.
| sukelduja kirjutas: |
| Ja see veendumisvõimalus - äkki ikka vastad küsimusele, kui palju hääletamise salajasust võiks Sinu hinnangul selle ohriks tuua, nii et valijad ka rahule jääks? |
Hääletamise salajasus on elektroonilise hääletamisega nagunii kompromiteeritud. Ei ole midagi ohverdada. |
Sorry.. minu poolt side lõpp. Jälle korra, inimene ei tea süsteemi toimimispõhimõtteid ega seda mis üldse on võimalik ja mis mitte, aga väited on grandioossed. Vabandan kõigi ees oma vastustega mõttetult kulutatud foorumiruumi ja lugemisele kulutatud aja pärast. |
Samas ei ole sinagi esitanud ühtegi allikat, mis kinnitaks sinu väidete õigsust. Niiet pean nõustuma sinu viimast seisukohta, sa kulutasid mõttetult aega vastamisele ning argumenteerimisele kuna üksi väide ei oma reaalset ja usaldusväärset kinnitust. Lisaks, kuigi süsteemid on keerukad lihtinimese jaoks, on võimalik esitada lihtsustatud ning loogiline skeem süsteemi toimimisest. Seega võib iga inimene sellest aru saada ning selle vastu kahtlust avaldada.
| sukelduja kirjutas: |
| bv kirjutas: |
Selle aasta valimiste mõjutamise ettevalmistamiseks jäi kõvasti aega. Valimisprogrammi sai näppida alates proovihääletamise algusest (8. veeb) ja päris valimine läks lahti alles 24. veebruaril.
|
Miskipärast ma arvan, et need ei olnud samad rakendused. Vähemalt kui mina seda süsteemi disainiks, siis kohe kindlasti ei annaks ma testperioodil sama rakendust välja. Kui kellelgi on testi ja lõpprakendus olemas, siis võiks võrrelda. |
Tekib küsimus milleks lasta välja testrakendus kui reaalne erineb sellest. Põhimõte peaks olema inimesele süsteemi toimimise selgitamine ja sellega harjutamine. Kui aga reaalne rakendus erineb sellest siis pole ju vahet kas testprodukt on või ei ole avalikusele kättesaadav.
| Tanel kirjutas: |
Esiteks tuleks see spetsiifiline pahavara massiliselt kümnetesse tuhandetesse arvutitesse märkamatult saada, et viirusetõrjeprogrammid ja CERT sellest teada ei saaks, mis on praktiliselt võimatu. Kui selline asi avastataks, on Vabariigi Valimiskomisjonil õigus e-hääletus peatada ja tulemused tühistada.
Teiseks, kui see ka peaks mõne arvuti puhul õnnestuma, on alati võimalus, et seda arvutit juhtub kasutama keskmisest targem arvutikasutaja, kes suudab tuvastada selle pahavara olemasolu ning kes siis alarmeeriks CERT-i sellise pahavara olemasolust. |
Samas ei saa kodukasutajate seas nakatunud arvutite hulka uurida. Inimene võib küll ise seda teha kuid oskamatusest ei pruugi. Muidugi võib panna inimestele südamele lasta enda arvutit regulaarselt kontrollida kuid sellisel juhul võiks rakendada meedet, mis eelmisel leheküljel välja pakuti - valimisrakenduse küljes olev programm, mis kontrollib arvuti turvalisust hääletamiseks ning kui arvuti ei ole rakenduse jaoks piisavalt turvaline, hääletamisvõimalus tühistada ning soovitada inimesel kas kontrollida ja puhastada arvuti või hääletada sedelil.
Lisaks, pahavara tuleb enne kui abinõu selle vastu. AV ei pruugi pahavara äragi tunda, rääkimata suutlikusest selle vastu meetmeid rakendada.
viimati muutis Leo Kalme 16.03.2011 13:56:06, muudetud 2 korda |
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 13:49:31
|
|
|
| sukelduja kirjutas: |
| Miskipärast ma arvan, et need ei olnud samad rakendused. Vähemalt kui mina seda süsteemi disainiks, siis kohe kindlasti ei annaks ma testperioodil sama rakendust välja. Kui kellelgi on testi ja lõpprakendus olemas, siis võiks võrrelda. |
Programmikoodis võis erinevusi olla, aga user experience (programmi välimus ja käitumine) oli sama. Pealtnägijas olnud rünnaku jaoks ei ole koodi vaja tunda, piisab välimuse teadmisest. Ma ise sattusin valimiste lehele millalgi sügisel ja nägin juba siis screenshotte GUIst.
| Tanel kirjutas: |
| Esiteks tuleks see spetsiifiline pahavara massiliselt kümnetesse tuhandetesse arvutitesse märkamatult saada, et viirusetõrjeprogrammid ja CERT sellest teada ei saaks, mis on praktiliselt võimatu. Kui selline asi avastataks, on Vabariigi Valimiskomisjonil õigus e-hääletus peatada ja tulemused tühistada. Teiseks, kui see ka peaks mõne arvuti puhul õnnestuma, on alati võimalus, et seda arvutit juhtub kasutama keskmisest targem arvutikasutaja, kes suudab tuvastada selle pahavara olemasolu ning kes siis alarmeeriks CERT-i sellise pahavara olemasolust. |
Stuxneti näitel sai juba kirjeldatud, kui hambutud on kaitsemeetmed hästi rahastatud rünnaku vastu.
|
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 13:57:31
|
|
|
| tsitaat: |
Stuxneti näitel sai juba kirjeldatud, kui hambutud on kaitsemeetmed hästi rahastatud rünnaku vastu.
|
Jah, teoreetiliselt on kõik võimalik (ka minu saamine USA presidendiks, võltsides sünnitunnistust jne), kuid oleme siiski pragmaatikud.
Kas Stuxnet suudab valida arvuteid sõltuvalt kasutajast? (st. suudab vältida turbeekspertide või nende tuttavate arvuteid) ning selle pahavara eelnevat või e-valimistepäevadel levimist ei tuvastatud ei turbeekspertide ega CERT poolt?
Kas jah, siis kas usud, et toimunud valimiste juures toimus vastav rünnak, massiliselt nakatatud arvutites toimus mitte-valimine ning kas kümned tuhanded eestlaste arvutid on võib-olla endiselt nakatatud?
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine
viimati muutis Tanel 16.03.2011 13:57:53, muudetud 1 kord |
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 14:02:57
|
|
|
Vabandan, vajutasin "tsiteeri" nuppu oma postitusel "muuda" asemel.
| Tanel kirjutas: |
| tsitaat: |
Stuxneti näitel sai juba kirjeldatud, kui hambutud on kaitsemeetmed hästi rahastatud rünnaku vastu.
|
Jah, teoreetiliselt on kõik võimalik (ka minu saamine USA presidendiks, võltsides sünnitunnistust jne), kuid oleme siiski pragmaatikud.
Kas Stuxnet suudab valida arvuteid sõltuvalt kasutajast? (st. suudab vältida turbeekspertide või nende tuttavate arvuteid) ning selle pahavara eelnevat või e-valimistepäevadel levimist ei tuvastatud ei turbeekspertide ega CERT poolt?
Kas jah, siis kas usud, et toimunud valimiste juures toimus vastav rünnak, massiliselt nakatatud arvutites toimus mitte-valimine ning kas kümned tuhanded eestlaste arvutid on võib-olla endiselt nakatatud? |
Ma kahtlen, et e-valimistel toimus edukas rünnak süsteemi vastu. Kuid asi ei ole selles. Eelnevalt mainiti, et asi pole selles kas rünnak toimus või mitte vaid põhimõttes, et selleks loodi võimalus. Ja kuigi mina võin kahelda, et selline asi toimus ning süsteem ka ei registreerinud ega avastanud ühtegi, ei välista võimalust, et edukas rünnak toimus. Probleem ei teki alles siis kui rünnak on toimunud vaid selle ennetamisel. Ja sellel peaks süsteemide testimine põhinema.
Pahavara areneb ruutvõrdeliselt turvameetmetega võrreldes. Kui süsteemi piisavat turvalisust ei saa kontrollida siis ei tohiks seda kasutada. Kui aga kasutatakse siis tuleks sellest inimesi teadvustada.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
|
16.03.2011 14:09:33
|
|
|
| bv kirjutas: |
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni. |
Samas oleks üsnagi lihtne programmile juurde lisada ekstra samm. Näiteks peale hääle saatmist saadaks server omalt poolt vastuseks mingi hulga infot mida on lihtne kasutajal kontrolida kuid mida ei ole võimalik viirusel teha. A'la saadaks kinnituseks tagasi ID kaardi omaniku pildi (need peaks olema digitaalselt kusagil baasis olemas ja vajadusel kättesaadavad kuid otse ID kaardilt vist ei saa välja lugeda). Kui oma lõust peale hääletust ekraanilt vastu ei vaata siis ongi selge, et mingi jama on.
_________________
Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity"
viimati muutis Ho Ho 16.03.2011 14:10:32, muudetud 1 kord |
|
| Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 14:10:27
|
|
|
| Tanel kirjutas: |
Point ongi selles, et kui see rünnak oleks reaalselt toimunud, oleks olnud äärmiselt vähetõenäoline, et selle pahavara otsa poleks sattunud mõni sõltumatu turbeekspert.
Ja siis oleks see juba oluliselt suurema kella küljes, kui praegune tagantjärgi näitlikustatud hüpoteetiline probleem. |
Aga inimene ei saagi hüpoteetlisest turvaprobleemi teadvustamisest rohkemat teha õige eesmärgi nimel kuna see muudaks ta kurjategijaks ning sel juhul ei oleks enam küsimuse all valimissüsteemi turvalisus vaid kurjategija vastutusele võtmine.
See kõlab uskumatult aga Eestis on tohutult palju arvutivõõraid inimesi, kes ei adu ohte ning kasutavad oma arvutit vaid e-kirjade lugemiseks, raadio kuulamiseks ning uudistega kursis olemiseks. teadagi, läbi e-posti liigub tohutul hulgal pahavara ning suur osa neist ei saaks arugi kui nad on valele lingile vajutanud.
Olgugi, on suur võimalus, et spetsialist satub sellise pahavara otsa ning teadvustab sellest CERT'i kuid kui vaadata seda videot mis bv ennist postitas siis selgub sealt, et F-Security labs juht märgib, et Stuxnet võiks ka tema arvuti enda teadmata ilma probleemita nakatada ning igasugused AV'd on selle vastu suhteliselt võimetud.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
bv
HV vaatleja
liitunud: 22.08.2009
|
|
16.03.2011 14:14:41
|
|
|
| Tanel kirjutas: |
| Kas Stuxnet suudab valida arvuteid sõltuvalt kasutajast? (st. suudab vältida turbeekspertide või nende tuttavate arvuteid) ning selle pahavara eelnevat või e-valimistepäevadel levimist ei tuvastatud ei turbeekspertide ega CERT poolt? |
Turbeeksperdi arvutisse sattumine ja pahavara avastamine ei ole seotud sündmused. Korralik pahavara võib vabalt isegi turbeeksperdi arvutis elutseda nii, et ta seda tähele ei pane. Varem viidatud F-Secure'i mehe videos on neil teemadel natuke juttu.
Omaette küsimus on, kas pahavara avastamise järel saadakse aru, mida pahavara teeb.
| Tanel kirjutas: |
| Kas jah, siis kas usud, et toimunud valimiste juures toimus vastav rünnak, massiliselt nakatatud arvutites toimus mitte-valimine ning kas kümned tuhanded eestlaste arvutid on võib-olla endiselt nakatatud? |
Selles Eesti e-valimiste süsteemi jama ongi, et keegi ei tea. Klõpsin ekraanil ühe kandidaadi poolt, aga kas see hääl ka kunagi kohale jõuab - ei tea. Ja valimiskomisjon ei saa teada, kui pahavara hääletamist takistab.
|
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 14:25:06
|
|
|
| tsitaat: |
Aga inimene ei saagi hüpoteetlisest turvaprobleemi teadvustamisest rohkemat teha õige eesmärgi nimel kuna see muudaks ta kurjategijaks ning sel juhul ei oleks enam küsimuse all valimissüsteemi turvalisus vaid kurjategija vastutusele võtmine.
|
Ee, misasja?
Kui sa pead silmas kodanikku, kes selle teema tõstatas, siis tegi ta ju kõik õigesti, demonstreeris süsteemi teoreetilist haavatavust oma arvutist. Oma arvutiga võib ju kõike teha, kasvõi vasaraga ekraani pihta lüüa ja näidata et valimisrakenduses on mõra. Aga kui ta oleks seda koodi hakanud levitama, oleks asjalood loomulikult teised olnud.
| tsitaat: |
Klõpsin ekraanil ühe kandidaadi poolt, aga kas see hääl ka kunagi kohale jõuab - ei tea.
|
Seda on juba mitmetel valimistel töötavalt testitud, rääkimata testimisest VVK sisemiselt, et kõik toimiks nii nagu peab.
Nagu ma ühes teises teemas kirjutasin, kui sa niivõrd tähtsat organit kui VVK ei usalda tema töös, tähendab see sisuliselt oma riigi umbusaldamist. Kõik algab pihta usaldamisest. VVK ja CERT ekspertide valimissüsteemi selgitused on vähemalt minu jaoks olnud ammendavad ja piisavad. Kui on konkreetseid andmeid nende ekspertide kuritarvitamistest, siis paluks konkreetseid andmed ning need faktid saavad suurema kella otsa riputatud.
| tsitaat: |
Ja valimiskomisjon ei saa teada, kui pahavara hääletamist takistab.
|
Nagu öeldud, valimiskomisjon ja CERT ei tuvastanud hääletamisele eelnevalt ega selle jooksul pahavara levitamist.
Lisaks oleks süsteem registreerinud massilised anomaaliad, kui valimisrakendust alla laeti, aga hääletust ei toimunud. Korduvalt on ka öeldud, et kui kodanik pole kindel oma arvuti turvalisuses, tuleks eelistada paberhääletust.
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
|
16.03.2011 14:26:55
|
|
|
Mitu kasutajat peaks valimisrakenduse alla laadima ja siis e-valimata jätma, et VVK kvalifitseeriks selle PP kirjeldatud ründeks?
Kavatsen järgmistel e-valimistel sedasi teha ja kutsun üles ka teisi sedasi käituma.
Saate ju isegi aru, et VVK ei suuda eristada juhtumeid, kus valimise jättis pooleli valija, nendest, kus valijat lollitati pahavara poolt.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
|
H_K
Aeg Maha 2n
liitunud: 09.01.2002
|
|
16.03.2011 14:35:52
|
|
|
| tsitaat: |
..., kui sa niivõrd tähtsat organit kui VVK ei usalda tema töös, tähendab see sisuliselt oma riigi umbusaldamist. Kõik algab pihta usaldamisest.
|
See kõlab umbes sedasi, et kui sa ei usalda suht suure rahva mandaadi saanud opositsioonierakonna juhti, tähendab see sisuliselt oma riigi umbusaldamist  Või kui sa ei usalda oma riigi keskkonnaministrit Villut, tähendab see sisuliselt oma riigi umbusaldamist.
Ma ei laiendaks mingite persoonide või komisjonide usaldamist või mitteusaldamist kogu riigile. See tekitaks olukorra, kus keegi julgegi kitsaskohtadele tähelepanu juhtida, sest teda võidaks süüdistada riigivastasuses. Kui selline hirm levib, soosime me ebaausust ja vigast riiki - petame iseendid.
viimati muutis H_K 16.03.2011 14:36:22, muudetud 1 kord |
|
| Kommentaarid: 53 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
51 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 14:36:08
|
|
|
| tsitaat: |
VVK ei suuda eristada juhtumeid, kus valimise jättis pooleli valija, nendest, kus valijat lollitati pahavara poolt.
|
| tsitaat: |
oleks olnud äärmiselt vähetõenäoline, et selle pahavara otsa poleks sattunud mõni sõltumatu turbeekspert.
|
Tõenäolisem ja suurem probleem olnuks see, kui näiteks mõne erakonna valimistelgis (nagu 2009 KOV valimistel oli KE valimistelgid) oleks ekraani suurendus kõikidel arvutitel sätitud 150% peale ja seetõttu poleks saanud valida osade valimisringkondade üksikkandidaate. AFAIK see aasta valimistelke vist õnneks polnud...
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
H_K
Aeg Maha 2n
liitunud: 09.01.2002
|
|
16.03.2011 14:51:11
|
|
|
| tsitaat: |
Aga palun too siis välja need konkreetsed persoonide nimed, kes ei vääri usaldust (st. nad on kuritarvitanud süsteeme ja/või võltsivad tulemusi) ning paneme suure kella otsa thumbs_up.gif
Antud juhul sa tegeled otsese laimamisega VVK aadressil, kui ei räägi konkreetsetest faktidest või inimestest.
|
Kuskohast mu tekstist on väljaloetav, et ma kedagi konkreetselt süüdistan. Minu teravik oli suunatud taunitavale tendentsile kultiveerida suhtumist "kui sa ei usalda VVK-i, siis sa ei usalda Eesti riiki" - selliste loosungid ei tegele sisuliselt vaid rõhuvad pigem patriootlikusele, a'la "õige eestlane ei kahjusta oma kahtlustega meie eduka e-riigi kuvandit" jne
Kuigi süsteemina võiks ka VVK kritiseerida - sisuliselt valimiste korraldaja ka kontrollib enda töö kohta tehtud kaebusi, puudujääke ja rikkumisi ise - selline järelvalve ei süsti just usaldust  Tekib tunne, et nad ei oleks huvitatud enda nõrkusi ja vigu tunnistama.
|
|
| Kommentaarid: 53 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
51 |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
16.03.2011 15:14:36
|
|
|
| H_K kirjutas: |
Kuskohast mu tekstist on väljaloetav, et ma kedagi konkreetselt süüdistan. Minu teravik oli suunatud taunitavale tendentsile kultiveerida suhtumist "kui sa ei usalda VVK-i, siis sa ei usalda Eesti riiki" - selliste loosungid ei tegele sisuliselt vaid rõhuvad pigem patriootlikusele, a'la "õige eestlane ei kahjusta oma kahtlustega meie eduka e-riigi kuvandit" jne
|
Kui sa ei usalda valimiskomisjoni, siis ei usalda sa valmisi üleüldse. Valimiskomisjonil pole tarvis mitte mingeid keerulisi botnette arendada, vaid ainult "õiged" numbrid teatavaks teha ja kõik.
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
|
16.03.2011 15:18:47
|
|
|
Siinsed "turvaspetsid" ei oska siis öelda millised augud jääks e-hääletusse peale seda, kui implementeerida see lihtne kontroll-abinõu mida mõned postid tagasi kirjeldasin? Esimese hooga ütleks et see välistaks igasuguse hääletamise blokeerimise
| Ho Ho kirjutas: |
| bv kirjutas: |
| pppd kirjutas: |
| Täpselt samamoodi oli PP "rünnak" avalik, nähtav ja avastatav |
Ei vasta tõele. Hääle blokeerimisest ei jää valimiskomisjonile mingit indikatsiooni. |
Samas oleks üsnagi lihtne programmile juurde lisada ekstra samm. Näiteks peale hääle saatmist saadaks server omalt poolt vastuseks mingi hulga infot mida on lihtne kasutajal kontrolida kuid mida ei ole võimalik viirusel teha. A'la saadaks kinnituseks tagasi ID kaardi omaniku pildi (need peaks olema digitaalselt kusagil baasis olemas ja vajadusel kättesaadavad kuid otse ID kaardilt vist ei saa välja lugeda). Kui oma lõust peale hääletust ekraanilt vastu ei vaata siis ongi selge, et mingi jama on. |
_________________
Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity" |
|
| Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
| tagasi üles |
|
|
NATAS999
HV Guru
liitunud: 02.04.2007
|
|
16.03.2011 15:22:07
|
|
|
Ho Ho, IDkaardi soft ju näitab lõusta. Selline asi pole võimalik, et viirus selle lõusta sealt kätte saab sama moodi???
_________________
"Kuidas on see hea?"
-Auto kirurgia kliinik |
|
| Kommentaarid: 41 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
39 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
|
16.03.2011 15:32:27
|
|
|
| NATAS999 kirjutas: |
| Ho Ho, IDkaardi soft ju näitab lõusta. Selline asi pole võimalik, et viirus selle lõusta sealt kätte saab sama moodi??? |
Küsimus on mida on tarvis selle lõusta pildi kätte saamiseks ja kas see tuleb kaardilt või saadetakse serverist.
_________________
Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity" |
|
| Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 15:40:00
|
|
|
Pilt tuleb loomulikult serverist, PIN koodi sisestamise peale ID-kaardi utiliidis.
Postitatud Nokia mobiililt
|
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
16.03.2011 16:00:23
|
|
|
| Ho Ho kirjutas: |
| Siinsed "turvaspetsid" ei oska siis öelda millised augud jääks e-hääletusse peale seda, kui implementeerida see lihtne kontroll-abinõu mida mõned postid tagasi kirjeldasin? Esimese hooga ütleks et see välistaks igasuguse hääletamise blokeerimise |
Kusjuures väga mõistlik mõte. 
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
|
soomer
HV vaatleja
liitunud: 07.05.2006
|
|
16.03.2011 16:39:49
|
|
|
Mina pakuks lahenduseks välja midagi sarnast vastupidisele (reverse) SecureID lahendusele. (http://www.rsa.com/node.aspx?id=1156)
Inimene hääletab, hääl saadetakse severisse ning server saadab tagasi SecureID koodi, mida rakendus näitab ekraanil.
Inimene kontrollib st see kood oma sama mis SecureID aparaadil. Need koodid muutuvad näiteks iga 5 minuti järel.
See küll eeldaks e-valimisest osa võtta tahtvatel inimestel selle hankimises, kuid need on kasutatavad igal järgmisel valimisel.
Samuti pole kindel kui lihtne on selle turvamine, peavad olema serverid mis omavad kõiki hääletajate SecureID võtmeid.
Aga kindlasti turvalisem kui paberkoodid. Võrreldav panga koodikaardilt üleminekuga paroolikalkulaatorile.
|
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 18:24:53
|
|
|
| Tanel kirjutas: |
| tsitaat: |
Aga inimene ei saagi hüpoteetlisest turvaprobleemi teadvustamisest rohkemat teha õige eesmärgi nimel kuna see muudaks ta kurjategijaks ning sel juhul ei oleks enam küsimuse all valimissüsteemi turvalisus vaid kurjategija vastutusele võtmine.
|
Ee, misasja?
Kui sa pead silmas kodanikku, kes selle teema tõstatas, siis tegi ta ju kõik õigesti, demonstreeris süsteemi teoreetilist haavatavust oma arvutist. Oma arvutiga võib ju kõike teha, kasvõi vasaraga ekraani pihta lüüa ja näidata et valimisrakenduses on mõra. Aga kui ta oleks seda koodi hakanud levitama, oleks asjalood loomulikult teised olnud. |
Õigus. Kuid rünnet pole ju toimunud. VVK väidab raudkindlalt, et rünnet pole toimunud, seega probleemi ei eksisteeri. Selleks, et probleem aga eksiteeriks, tuleks rünne korraldada. Kui seda ka teha siis oled automaatselt kurjategija süüdistatud kuritahtlikus tegevuses riigi ja riigi institutsioonide vastu.
Seega, kuidas teha neile selgeks, et nende süsteem ei toimi?
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 18:46:58
|
|
|
| Tanel kirjutas: |
Aga miks seda rünnet peab tingimata tegema?
Kui reaalne rünne toimub, küll CERT võtab vastavad meetmed kasutusele kuni selleni, et VVK tühistab e-hääletamise? |
Seda ei pea tegema. Aga VVK võiks oma vigu tunnistada mitte süüdistada kõike muud või üldse vead maha salata. Sest fakt on see, et kui tõesti hästi organiseeritud rünne toimub ja edukalt siis nad ei pruugi seda avastada. Aga ega nad sellepärast valimistulemusi ei tühista.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 18:54:45
|
|
|
| tsitaat: |
Sest fakt on see, et kui tõesti hästi organiseeritud rünne toimub ja edukalt siis nad ei pruugi seda avastada.
|
millist rünnet ja milliseid konkreetseid VVK vigu sa nüüd silmas pead?
Klientarvutite vastu või valimisserveri vastu? Ja viimase puhul pead silmas sissehäkkimist, VVK komisjoni poolset komprat või lihtlabast DDOS rünnakut?
Ma kaldun siiski arvama, et kõikidel juhul jääb rünnetest/häkkimisest (kui see üldse võimalik peaks olema) jälg, see tuleb üsna ruttu välja ning kehtestatakse vastavad meetmed.
See kui teoritiseeritakse rünnakute võimalikkuse üle, peaks selle kartuses üldse keelama praktiliselt kõik PKI seotud tegevused.
Selleks CERT ongi loodud, tegelemaks nii reaalsete kui hüpoteetiliste probleemidega.
Kui CERT hindab mingid probleemid tõsisemateks, küll ka vastavad meetmed kasutusele võetakse.
Olenemata Riigikohtu otsusest, tahaks väga näha põhjalikku analüüsi, kuidas on otsuseni jõutud.
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 18:57:17
|
|
|
| Tanel kirjutas: |
| tsitaat: |
Sest fakt on see, et kui tõesti hästi organiseeritud rünne toimub ja edukalt siis nad ei pruugi seda avastada.
|
millist rünnet sa nüüd silmas pead?
Klientarvutite vastu või valimisserveri vastu? Ja viimase puhul pead silmas sissehäkkimist, VVK komisjoni poolset komprat või lihtlabast DDOS rünnakut?
Ma kaldun siiski arvama, et kõikidel juhul jääb rünnetest/häkkimisest jälg, see tuleb üsna ruttu välja ning kehtestatakse vastavad meetmed.
See kui teoritiseeritakse rünnakute võimalikkuse üle, peaks selle kartuses üldse keelama praktiliselt kõik PKI seotud tegevused. |
Erinevalt teiste PKI'ga seotud rakendustest, mis põhinevad kontrollil, on valimissüsteem sõltuv privaatsusest. Mina kalduksin ka arvama, et sellest jääb jälg. Ilmselt jääbki aga mitte tingimata kohta, kus seda võimalik kontrollida ja avastada on. Kui rünne toimub valijate arvutite vastu, ehk siis pmst tegelikult kodukasutajate, pean mina silmas. Aga tegelikult polegi vahet mida mina silmas pean. Raportites on selgelt väljatoodud fakt, et rünnakuid ei pruugi avastada.
Aga mis sel puhul juhtuks kui seda ei avastataks? Tulemusi ei tühistataks, sest nende andmete kohaselt pole rünnakut toimunud. Aga kas see oleks usaldusväärne süsteem? Puhtalt spekulatsioon, siin ei ole midagi pistmist faktidega antud momendil.
[quote="Tanel"]
| tsitaat: |
| Olenemata Riigikohtu otsusest, tahaks väga näha põhjalikku analüüsi, kuidas on otsuseni jõutud. |
Lõpuks ometi midagi, mis on kulda väärt. Ütlen ausalt, ma oleksin sellisest analüüsist vägagi huvitatud.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
16.03.2011 19:01:46
|
|
|
| tsitaat: |
Ilmselt jääbki aga mitte tingimata kohta, kus seda võimalik kontrollida ja avastada on.
|
Kui me räägime valimisserverist või selle süsteemist, usud sa, et misiganes andmete liigutamisega seonduvat ei logita ja selle peale pole VVK mõelnud? Või et keegi jalutab lihtsalt serveriruumi ja paneb serveri või andmemassiivi pätsu?
| tsitaat: |
Kui rünne toimub valijate arvutite vastu, ehk siis pmst tegelikult kodukasutajate, pean mina silmas.
|
mina pakun jällegi välja (ja seda korduvalt), et kui massiline rünne toimuks koduarvutite vastu, siis on äärmiselt ebatõenäoline, et rünne tehtaks vaid vähekogenud kasutajate arvutite vastu ning see jääb täiesti nii sõltumatute turbeekspertide kui Eesti võrguliiklust jälgiva CERT tähelepanuta.
Jällegi, ma ei alahindaks vastava omaala ekspertide oskusi. Vastasel korral ei töötaks nad nii vastutusrikkal ametikohal.
_________________
Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 20:09:11
|
|
|
| Tanel kirjutas: |
| tsitaat: |
Ilmselt jääbki aga mitte tingimata kohta, kus seda võimalik kontrollida ja avastada on.
|
Kui me räägime valimisserverist või selle süsteemist, usud sa, et misiganes andmete liigutamisega seonduvat ei logita ja selle peale pole VVK mõelnud? Või et keegi jalutab lihtsalt serveriruumi ja paneb serveri või andmemassiivi pätsu?
| tsitaat: |
Kui rünne toimub valijate arvutite vastu, ehk siis pmst tegelikult kodukasutajate, pean mina silmas.
|
mina pakun jällegi välja (ja seda korduvalt), et kui massiline rünne toimuks koduarvutite vastu, siis on äärmiselt ebatõenäoline, et rünne tehtaks vaid vähekogenud kasutajate arvutite vastu ning see jääb täiesti nii sõltumatute turbeekspertide kui Eesti võrguliiklust jälgiva CERT tähelepanuta.
Jällegi, ma ei alahindaks vastava omaala ekspertide oskusi. Vastasel korral ei töötaks nad nii vastutusrikkal ametikohal. |
See on sinu arvamus. Ei tasu siiski igat inimest ja tema juttu pimesi uskuda. Palju saamatuid inimesi töötab olulistel ametikohtadel.
Sealjuures ei saa kordamata jätta, et palju suurema olulisusega firmade eksperdid on tunnistanud, et nad ei pruugiks avastata professionaalselt korraldatud pahavara rünnet nende arvuti süsteemidele. Rõhutan asjaolu, et ei pruugi. Võimalus seda avastada on loomulikult eksperdil suurem kui tavakasutajal kuid kummagi poolele rünnaku registreerimine ei ole kindel.
Nad on kindlasti eksperdid kuid ma kahtlen, et nad mingil põhjusel kompetentsemad on kui mujal maailmas leiduvate arvutiturbe instituutide eksperdid.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
| Kommentaarid: 463 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
7 :: |
360 |
|
| tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
|
16.03.2011 21:31:10
|
|
|
Vaikselt hakkab ära tüütama see vaidlus juba siin. Lepime kokku, et tehniliselt on võimalik hetke implementatsiooni juures tõesti blokeerida häälte serverisse jõudmist ning seda pole lihtne märgata. See, kui lihtne toda viirust on kirjutada, levitada või avastada ei ole eriti oluline, eriti kui seda praegu kasutatud rakendust ei kasutata enam järgmine kord vaid seda kindlasti vahepeal täiendatakse.
Kogu süsteemi läbikukkunuks kuulutamsie asemel võiks oigem proovida leida lahendusi kitsaskohtade parandamiseks. Mine tea, ehk mõni asjaosaline satub siia ja korjab paar ideed üles.
Pakkusin välja tolle idee peale hääle kohale jõudmist näidata hääletaja passipilti. Eeldusel, et sellele pildile ei saa programmiliselt mingil ligi enne reaalse hääle ära saatmist peaks see välistama igasuguse häälte vasakule suunamise. Kui pildile on siiski võimalik ligi pääseda siis millised oleks alternatiivsed variandid säärase kaitse loomiseks? Kas ehk hoitakse kusagil serveris inimeste kohta veel mingeid andmeid mida ID kaardilt endalt kätte ei saa kuid mida praktiliselt iga inimene teaks oma mälu järgi kontrollida?
Teine variant oleks norra laadselt paberkoodide saatmine kuid sellega kaasnevaid probleeme juba lahati ning pigem muudab süsteemi haavatavamaks.
[edit]
Pood ja tagasi jalutades lõi pähe suht-koht lollikindel variant kuidas saaks säärast serveri poolt saadetava info kontrolli teha ka siis, kui konkreetse hääletava inimese enda kohta käiv info on võimalik kusagilt välja uurida: kasutada tema vanemate/hooldajate nimesid-nägusid. Oma vanemaid peaks nime pidi teadma vist samuti kõik Seda infot minu teada niisama naljalt ID kaardi sisestamise teel pole võimalik programmaatiliselt kasutaja PCst kätte saada, küll aga on suhteliselt triviaalne leida serveri poolt vastava inimese vanemate info ning see talle kontrolliks edastada.
_________________
Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity" |
|
| Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 21:35:16
|
|
|
| Tanel kirjutas: |
Nõus, et maailm on täis ebakompetentseid inimesi valedel ametikohtadel.
Aga küsin konkreetsemalt, kas on mingeid fakte, et VVK ja/või CERT turbeekspertidena on sinna sattunud ebakompetentsed inimesed või see kõik on spekulatsioon? |
CERT kohta ma ei saa midagi öelda, nad ilmselt teevad oma tööd võimaluste piires hästi. Siiski, võimalused on piiratud. Kuid VVK kohta, isegi mitte nende turbeekspertite vaid juhtide, kohta pole mul midagi head öelda. Samastuvad Eesti igapäeva poliitikaga - "loobime rahvale palju sitta, küll neid ära tüütab ja rahule jätavad".
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
|
16.03.2011 21:38:56
|
|
|
Olen ma ainus kellele on jäänud mulje, et kodanik Leo Kalme on siin teemas puhtalt ainult VVK'd ja evalimisi maha tegemas kui ta ei viitsi kuidagi kaasa mõelda süsteemi paremaks tegemiseks? 
_________________
Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity" |
|
| Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 21:46:37
|
|
|
| Ho Ho kirjutas: |
Vaikselt hakkab ära tüütama see vaidlus juba siin. Lepime kokku, et tehniliselt on võimalik hetke implementatsiooni juures tõesti blokeerida häälte serverisse jõudmist ning seda pole lihtne märgata. See, kui lihtne toda viirust on kirjutada, levitada või avastada ei ole eriti oluline, eriti kui seda praegu kasutatud rakendust ei kasutata enam järgmine kord vaid seda kindlasti vahepeal täiendatakse.
Kogu süsteemi läbikukkunuks kuulutamsie asemel võiks oigem proovida leida lahendusi kitsaskohtade parandamiseks. Mine tea, ehk mõni asjaosaline satub siia ja korjab paar ideed üles.
Pakkusin välja tolle idee peale hääle kohale jõudmist näidata hääletaja passipilti. Eeldusel, et sellele pildile ei saa programmiliselt mingil ligi enne reaalse hääle ära saatmist peaks see välistama igasuguse häälte vasakule suunamise. Kui pildile on siiski võimalik ligi pääseda siis millised oleks alternatiivsed variandid säärase kaitse loomiseks? Kas ehk hoitakse kusagil serveris inimeste kohta veel mingeid andmeid mida ID kaardilt endalt kätte ei saa kuid mida praktiliselt iga inimene teaks oma mälu järgi kontrollida?
Teine variant oleks norra laadselt paberkoodide saatmine kuid sellega kaasnevaid probleeme juba lahati ning pigem muudab süsteemi haavatavamaks.
[edit]
Pood ja tagasi jalutades lõi pähe suht-koht lollikindel variant kuidas saaks säärast serveri poolt saadetava info kontrolli teha ka siis, kui konkreetse hääletava inimese enda kohta käiv info on võimalik kusagilt välja uurida: kasutada tema vanemate/hooldajate nimesid-nägusid. Oma vanemaid peaks nime pidi teadma vist samuti kõik Seda infot minu teada niisama naljalt ID kaardi sisestamise teel pole võimalik programmaatiliselt kasutaja PCst kätte saada, küll aga on suhteliselt triviaalne leida serveri poolt vastava inimese vanemate info ning see talle kontrolliks edastada. |
Enam-vähem olen ma esimese osaga nõus. Siiski, asi ei tule mitte maha matta kuigi seda on suuresti paljude välisriikide poolt tehtud, vaid selle arendamist tuleb isekeskis jätkata. Eelkõige turvalisusküsimuste lahendamine on oluline. Taustauuringute instituudid peavad kasulikuks loovutada veidi kasutajamugavusest turvalisuse eest - seega tuleb just rohkem keskenduda mitte sellele, et ajudeta inimene ka seda kasutada saaks vaid, et süsteem oleks usaldusväärne. Aga seda ei saa praktiliselt kasutada reaalselt riigivõimu valimiseks nii kapitaalsete ebatäiuste korral.
Selle süsteemi kohta, ma kahtlen kas selline süsteem neile vastuvõetav oleks. Privaatsus ikkagi ja puha. Lisaks olen kahelnud kas nad tahavadki turvalist süsteemi. Korruptsioon on ju meie riigis igapäevane nähtus.
| Ho Ho kirjutas: |
Vaikselt hakkab ära tüütama see vaidlus juba siin. Lepime kokku, et tehniliselt on võimalik hetke implementatsiooni juures tõesti blokeerida häälte serverisse jõudmist ning seda pole lihtne märgata. See, kui lihtne toda viirust on kirjutada, levitada või avastada ei ole eriti oluline, eriti kui seda praegu kasutatud rakendust ei kasutata enam järgmine kord vaid seda kindlasti vahepeal täiendatakse.
Kogu süsteemi läbikukkunuks kuulutamsie asemel võiks oigem proovida leida lahendusi kitsaskohtade parandamiseks. Mine tea, ehk mõni asjaosaline satub siia ja korjab paar ideed üles.
Pakkusin välja tolle idee peale hääle kohale jõudmist näidata hääletaja passipilti. Eeldusel, et sellele pildile ei saa programmiliselt mingil ligi enne reaalse hääle ära saatmist peaks see välistama igasuguse häälte vasakule suunamise. Kui pildile on siiski võimalik ligi pääseda siis millised oleks alternatiivsed variandid säärase kaitse loomiseks? Kas ehk hoitakse kusagil serveris inimeste kohta veel mingeid andmeid mida ID kaardilt endalt kätte ei saa kuid mida praktiliselt iga inimene teaks oma mälu järgi kontrollida?
Teine variant oleks norra laadselt paberkoodide saatmine kuid sellega kaasnevaid probleeme juba lahati ning pigem muudab süsteemi haavatavamaks.
[edit]
Pood ja tagasi jalutades lõi pähe suht-koht lollikindel variant kuidas saaks säärast serveri poolt saadetava info kontrolli teha ka siis, kui konkreetse hääletava inimese enda kohta käiv info on võimalik kusagilt välja uurida: kasutada tema vanemate/hooldajate nimesid-nägusid. Oma vanemaid peaks nime pidi teadma vist samuti kõik Seda infot minu teada niisama naljalt ID kaardi sisestamise teel pole võimalik programmaatiliselt kasutaja PCst kätte saada, küll aga on suhteliselt triviaalne leida serveri poolt vastava inimese vanemate info ning see talle kontrolliks edastada. |
Enam-vähem olen ma esimese osaga nõus. Siiski, asi ei tule mitte maha matta kuigi seda on suuresti paljude välisriikide poolt tehtud, vaid selle arendamist tuleb isekeskis jätkata. Eelkõige turvalisusküsimuste lahendamine on oluline. Taustauuringute instituudid peavad kasulikuks loovutada veidi kasutajamugavusest turvalisuse eest - seega tuleb just rohkem keskenduda mitte sellele, et ajudeta inimene ka seda kasutada saaks vaid, et süsteem oleks usaldusväärne. Aga seda ei saa praktiliselt kasutada reaalselt riigivõimu valimiseks nii kapitaalsete ebatäiuste korral.
Selle süsteemi kohta, ma kahtlen kas selline süsteem neile vastuvõetav oleks. Privaatsus ikkagi ja puha. Lisaks olen kahelnud kas nad tahavadki turvalist süsteemi. Korruptsioon on ju meie riigis igapäevane nähtus.
| Ho Ho kirjutas: |
| Olen ma ainus kellele on jäänud mulje, et kodanik Leo Kalme on siin teemas puhtalt ainult VVK'd ja evalimisi maha tegemas kui ta ei viitsi kuidagi kaasa mõelda süsteemi paremaks tegemiseks? |
Mina ei ole ekspert. Seega ma ei suuda hinnata objektiivselt turvalisuslahendusi ja kuidas neid rakendata ilma süsteemi detailselt tundmata. Ma võiksin ka pakkuda erinevaid lahendusi alates koera nimedest kuni maiade kalendri kuupäevadeni kinnituskoodidena aga kuna ma ei suuda hinnata nende lahenduste kõiki aspekte siis ei saa ma seda teha. Selle jaoks on eksperdid, kes, vähemalt minu arvamuse kohaselt, peaksid tegema kõik endast sõltuva, et muuta süsteeme paremaks ja turvalisemaks.
Kui ma oleksin nüüd silmakirjalik, nagu peaaegu iga teine inimene siin, siis ma küsiksin sinult iga viimse su sõna kohta tõendavaid fakte. Absurd.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Dirty Harry
HV Guru
liitunud: 05.09.2002
|
|
16.03.2011 21:48:39
|
|
|
| Ho Ho kirjutas: |
| Olen ma ainus kellele on jäänud mulje, et kodanik Leo Kalme on siin teemas puhtalt ainult VVK'd ja evalimisi maha tegemas kui ta ei viitsi kuidagi kaasa mõelda süsteemi paremaks tegemiseks? :| |
Ei ole ainus.
|
|
| Kommentaarid: 186 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
147 |
|
| tagasi üles |
|
|
H_K
Aeg Maha 2n
liitunud: 09.01.2002
|
|
16.03.2011 21:49:11
|
|
|
| Ho Ho kirjutas: |
| Olen ma ainus kellele on jäänud mulje, et kodanik Leo Kalme on siin teemas puhtalt ainult VVK'd ja evalimisi maha tegemas kui ta ei viitsi kuidagi kaasa mõelda süsteemi paremaks tegemiseks? |
See on rohkem e-valimiste nõrkuste ja probleemide otsimise teema. Enne kui midagi parandama saab asuda tuleb leida probleemsed kohad.
Ho-Ho peaks esmalt oma oskused ja energia panustama e-valimiste süsteemi murdmisele. Kui ei murdu on väga hästi, kui murdub on hästi, sest siis teab kus ja mida parandada.
|
|
| Kommentaarid: 53 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
51 |
|
| tagasi üles |
|
|
Leo Kalme
Reasõdur
liitunud: 13.03.2011
|
|
16.03.2011 21:52:28
|
|
|
| H_K kirjutas: |
| Ho Ho kirjutas: |
| Olen ma ainus kellele on jäänud mulje, et kodanik Leo Kalme on siin teemas puhtalt ainult VVK'd ja evalimisi maha tegemas kui ta ei viitsi kuidagi kaasa mõelda süsteemi paremaks tegemiseks? |
See on rohkem e-valimiste nõrkuste ja probleemide otsimise teema. Enne kui midagi parandama saab asuda tuleb leida probleemsed kohad.
Ho-Ho peaks esmalt oma oskused ja energia panustama e-valimiste süsteemi murdmisele. Kui ei murdu on väga hästi, kui murdub on hästi, sest siis teab kus ja mida parandada. |
Pealegi, süsteemi saab parandada siis kui selle vigu on tunnistatud. Niikaua kui inimesed keelduvad uskumast aka "oh issand, kas sellel võib tõesti vigu olla?", ei ole võimalik ega vajalik seda muuta. Las lollid olla, peaasi, et ei vigise.
Ärge tundke ennast puudutatuna.
|
|
| Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
14 |
|
| tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
|
16.03.2011 21:57:12
|
|
|
| Leo Kalme kirjutas: |
| Selle süsteemi kohta, ma kahtlen kas selline süsteem neile vastuvõetav oleks. Privaatsus ikkagi ja puha |
Pead silmas iseenda näopildi vanemate nimede nägemist? Eriti ei saa aru kuidas see privaatsusega seotud on, kogu see info on ju nii ehk naa rahvastikuregistris olemas ning seda näidatakse inimesele endale. See on umbes sama nagu lõpetada kõik ID kaardiga seotu kuna seal on tegu inimeste andmete hoidmisega. Kogu info töötlus käib ju serveri pool ning seostamine käib lihtsalt läbi eri andmebaaside. Privaatsusprobleemiks oleks see siis, kui suvaline tont saaks suvalise teise inimese kohta vastavaid päringuid teha. Või ma eksin?
| Leo Kalme kirjutas: |
| Mina ei ole ekspert. Seega ma ei suuda hinnata objektiivselt turvalisuslahendusi ja kuidas neid rakendata ilma süsteemi detailselt tundmata |
Ära muretse, seda ei arva keegi et sa ekspert oleksid Küll aga on naljakas kuidas sa taod kui rauda et süsteem on pöördumatult katki kui sa tunnistad et sa ise selle tööpõhimõtteid ei tunne.
| Leo Kalme kirjutas: |
| Ma võiksin ka pakkuda erinevaid lahendusi alates koera nimedest kuni maiade kalendri kuupäevadeni kinnituskoodidena aga kuna ma ei suuda hinnata nende lahenduste kõiki aspekte siis ei saa ma seda teha |
Nii palju peas sul vast ikka mõistust peas olema et välja pakkuda reaalselt teostatavaid lahendusi. Ehk siis näiteks konkreetselt häälte blokeerimise vastu pakkusin välja ühe variandi, kus on sarnaselt Norraga mingit sorti kontroll peale hääle andmist kus hääle andja saaks lihtsa vaevaga ning ilma eriliselt vaeva nägemata ning süsteemi keerukamaks ajamata veenduda, et hääl kohale läks. Norras oli selleks paber-sms koodid mis ei ole eriti ilus lahendus. Meie eestis saaksime teostada aga näiteks isiku kohta käiva riigi registrites olevate andmete järgi kontrolli. Valides kontrolli teostamiseks sobivad parameetrid peaks see probleem üsnagi lihtsalt lahenema.
Kindlasti on ka mitmeid teisi variante kuidas seda lahendada, ei ole mõtet häbeneda ning karta neid välja pakkuda. Kui aus olla siis olen suht pettunud, et keegi pole viitsinud mu pakutud variantide potentsiaalseid turvaprobleeme välja tuua.
_________________
Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity"
viimati muutis Ho Ho 16.03.2011 21:58:16, muudetud 2 korda |
|
| Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
