[daddo]

[daddo]

[Darwin]

See tähendab, et maksimaalset turvalisust pakuvad lahendused, kus vähemalt üks sisselogimiseks või tehingu kinnitamiseks kasutatavatest koodidest on unikaalne (satub arvutisse ainult üks kord, järgmisel korral kasutatakse uut koodi). Praegu on levinud kaks lahendust: PIN kalkulaator või ühekordsete koodidega koodileht.

[daddo]

[Darwin]

Aga ma küsiks ikkagi, et mis peale seda edasi? Ma olen täiesti kindel, et nende sade tuhandete ID-kaardi omanike seas on neid, kelle PIN1 on näiteks '1234' ja PIN2 '12345'. Aga edasi? Mida on ühel suvalisel vandil selle teadmisega teha?

Salakoodi keerulisus ei oma mingit tähtsust. Et Sinu nimel ID kaardiga pangas tehingut teha, on vaja teada kasutajatunnust pangas, püsiparooli ja ID kaardi PIN koodi. Need kõik on muutumatud suurused ja keylogeri poolt salvestatavad esimesel korral, mil peale keylogeri aktiveerumist panka lähed. Veel on vaja, et ID kaart oleks arvutis. Kui viirus on piisavalt sügaval OP-süsteemis, saab ta käivitada IE nii, et aken pole ekraanil nähtav. Seega ajal, mil Sina lähed oma kodanikukohust täitma ja ID kaardiga valimistel hääletama, võtab viirus Sinu nimel pangaga ühendust ja kannab kontolt mõned miljonid kuskile Nigeeriasse. Peale ühekordselt kasutatavate koodide ei suuda Sind selle eest keegi kaitsta.

[DigeBeni]

... peamised põhjused, miks mina eelistan ID kaarti panga koodikaardile:

1. ID kaart toimib nii visuaalse kui ka elektroonilise isikut tõendava dokumendina, koodikaart kõlbab ainult pangatoimingute tegemiseks;
2. ID kaart on kopeerimiskindel ja selle puudumist ehk vargust märkaksin üsna kiiresti ja saaks selle operatiivselt kehtetuks muuta samas, kui koodikaardi võib osav näpumees kopeerida nii, et selle omanik midagi tähelegi ei pane enne, kui tema arvelt raha "müstilistel põhjustel" kaob;
3. ID kaardi erinevad elektroonilised kasutamisvõimalused, vähendavad märgatavalt erinevate koodide meeles pidamise vajadust ja on lootust, et kui koode on vähem, siis vähemalt need paar peetakse ikka meeles, mitte ei kasutata ebaturvalisi meetodeid nende säilitamiseks;
4. ID kaardile tekib kasutamisvõimalusi üha juurde, kuid panga koodikaart jääb alati monofunktsionaalseks.

... koodikaart on minu jaoks lihtsalt üks iganenud võti panka ehk kui mul on olemas mugavam ja universaalsem viis, siis milleks mulle enam koodikaart ? Turvalisus on üldjoontes kasutaja enda teha, kui oma asjadega lohakalt ümber käia, siis ilmselt pole probleemiks ükskõik millise turvameetme kuritarvitamine, kuid kui jälgida elementaarseid turvareegleid, võib ka üsna ebaturvaliste vahenditega ennast keskmisest turvalisemana tunda ...

[daddo]

[Darwin]

PIN koodi kalkulaator iseenesest ei ole mingi juhusliku numbri genereerija vaid allub ikkagi teatud logaritmile, et pangapoolne server ka aru saaks, et tegemist on "õige" koodiga. Ja tänu sellele on täiesti võimalik ka PC peal tarkvaraliselt hakata samu koode genereerima...

Teoreetiliselt küll, aga enne konto lukustumist saad proovida maksimaalselt 3 korda. Et kood ära arvata on vaja "võtit", see aga asub isesesvas füüsilises seadmes, arvutiga mitte ühendatud PIN kalkulaatoris. Kuidas Sa selle sealt kätte kavatsed saada? ID kaardi puhul toksid Sa aga võtme (olgu selleks siis kasvõi "1234") pangasessiooni käigus ise keylogerisse.

[daddo]

[vendeur]

[Darwin]

Mis puutub veel sinu teooriat varjatud IE akendest, siis ära unusta, et selline ülekanne ei ole mingi ühe päringu saatmine panka, vaid eeldab paljuski inimmõistust, kes erinevalt arvutist, saab aru, mis ekraanile kirjutatud on.

See on asja kõige keerulisem külg, viirus peab tundma panga internetilahendust ja suutma sellega suhelda. Kui keylogeri abil panga kasutajatunnuse, püsiparooli ja ID kaardi PIN koodi hankimine on jõukohane algajale häkkerile, siis automaatne suhtlemine pangaga nõuab veidi vilunumat arvutispetsialisti. Ent see on ainult tehniline probleem, mingeid põhimõttelisi takistusi (nagu näiteks PIN kalkulaatori võtme hankimise puhul) ei eksisteeri. Kõik sõltub sellest, kui suur on tahtmine ja palju ollakse valmis kulutama toimiva rakenduse loomiseks. Kogu vajaliku info panga Internetilahenduse kohta saab, saates tankisti panga kliendiks ja sooritades panga kaudu ühe ülekande. Peale seda saab tankisti nime all tarkvara abil automaatseid ülekandeid ka piiramatult katsetada, ilma pangas kahtlusi tekitamata.

Ühest võimalikust rakendusest ma juba varasemas kommentaaris kirjutasin, kui pangal on mitmeid ID kaardi kasutajatest kliente, tasub see kindlasti ära, kuna sobib kõigi nende kontode tühjendamiseks. PIN kalkulaatorid on kõik unikaalsete võtmetega, kui suudad neist ühe koodi lahti murda, ei laiene see teistele.

Ja teine põnev lahendus oleks mitte saata arvutisse viirust, vaid keylogeriga trooja hobune. See muudab asja veelgi lihtsamaks, mingit automaatset suhtlemist pangaga pole vaja, zombiks muudetud arvutit saab häkker juhtida ka Interneti kaudu. Mäletan, kuidas meie peaminister hr. Ansip üritas viimaste valimiste ajal suhteliselt ebaõnnestunult oma ID kaardi PIN koodi telekaamera eest varjata. Oletame, et FSB soovib oma suurimat vaenlast "eesti natsi" diskrediteerida. Saadetakse hr. Ansipi laptopi keyloger koos trooja hobusega, kui Ansip on Internetis ja ID kaardiga pangas, salvestatakse kõik koodid, seejärel informeerib trooja hobune FSB agenti, kes zombistunud arvuti kaudu kannab Ansipi kontolt mõnele neonatside organisatsioonile "toetuseks" paarkümmend tuhat krooni. Täiesti jõukohane ülesanne keskpärasele häkkerile, rääkimata FSB luureagentidest, kulutused minimaalsed, probleemid Eesti mainele korvamatud, rahalises mõttes ilmselt miljardeid. Kõige hullem on, et midagi sisuliselt ei varastata eelnevalt (PIN kalkulaatori või koodilehe kadumist ilmselt märgataks ja saaks politseisse varem avalduse teha), teade natside "toetamisest" avaldatakse vene meedias ilmselt kohe peale ülekande tegemist. Selle asemel, et ID kaardiga eputada, keelaksin mina tähtsamatel kohtadel töötavatel poliitikutel ja tippametnikel ID kaardi kasutamise üldse ära, vaenulikult meelestatud riikide luureorganisatsioonidele ei valmista identiteedivargus ID kaardi abil mingeid probleeme. Ja eks sa siis pärast selgita, et sa pole kaamel, kui mingil sigadusel juba sinu enda allkiri all.

[DigeBeni]

... ebanormaalselt palju eeldusi peaks sellise paranoia reaalsuseks muutumiseks õnnestuma, kas sulle ei tundu ? Pealegi, kui see oleks nii lihtne, arvad sa tõepoolest, et seda poleks juba üritatud ? Niikaua, kui pretsedenti ei luua on kõik sellised teooriad puhas paranoia ...

[priitr]

Neile, kes veel juhuslikult ei tea - (üli)kiire ülevaade PIN-kalkulaatori tööpõhimõttest (time-based autentication, nagu see Eesti internetipankades kasutusel on):
Kalkulaatoris on võti, sama võti on pangas. Kell on kalkulaatoril ja pangal sünkrooniseeritud kalkulaatori programmeerimisel.
Kasutaja tahab koodi. Kalkulaator võtab hetke kellaaja ja krüpteerib selle oma võtmega (3DES näiteks). Tulemuseks mingi kood. Kasutaja esitab koodi pangale, pank dekrüpteerib sama võtmega selle koodi, saab tulemuseks kellaaja. Kui kellaaeg on mingi aktsepteeritava erinevusega hetke kellaajast, on kood õige.
Võtit PIN-kalkulaatorist kätte saada on väga,väga raske.

[tahanteada]

Selline v2ike soovitus, et teema algtekstile lisaks tasuks l2bi lugeda ka t2ispikkuses Informaatikan6ukogu arenguplaan.
Ja soovitan lugeda paberi kujul infot, kuna arvutiekraanilt lugemisega v6ib osa infost kaduma minna.

Postitatud mobiililt

[daddo]

[priitr]

[daddo]

[Sults]

[videvik]

see, kes loobub oma vabadustest "turvalisuse" nimel, ei vääri ei turvalisust ega ka vabadust.

[daddo]

[Sults]

[daddo]

Leian, et see on nüüd küll liialt meelevaldne käitumine, et neid nelja lahendust järjestada kasutaja rumalusele toetudes. On täiesti selge, et lollid on erakordselt andekad ja turvalisuse seisukohast suudavad nad ükskõik millise lahenduse turvalisuse alla viia. Küll aga ei taha ma mitte nõustuda, et kui me oleme juba langenud selleni, et perekonnas on meil mõni liige, kes teise perekonna liikme tagant varastab, et siis saab väita, et üks asi (PIN kalkulaator) on raskemini varastatav kui teine (ID kaart).
Ja olgu tegemist esimese või teisega, kasutajanimed, püsiparoolid saab mõlemal juhul keylogeriga kätte. Minumeelest pole see PIN kalkulaator koos keylogeriga hõivatud kasutajanime ja püsiparooliga päti käes sugugi parem variant, kui ID-kaart PIN koodidega - arve teeb puhtaks ju mõlemaga. Aga sellest hoolimata koostad meelevaldselt nende turvalisuse toppi?

[priitr]

[wader]

Mina soovitan pin kalkulaator kaardilugejasse panna.

[Sults]