| Author |
Message |
hinkus
Pingviini aktivist
Age: 54
Joined: 07 Oct 2009
Posts: 137
Distributsioon: mint 12
|
|
Spetsiifilise nuhkvara abil saab ka ID-kaardi pinkoode pihta panna, kinnitab sertifitseerimiskeskuse valdkonnajuht Tarvi Martens.
“Selle vastu aitaks mõnevõrra kallima klaviatuuriga kiipkaardilugeja,” ütleb Tarvi Martens Õhtulehele.
See tähendab, et kümnetele tuhandetele inimestele tasuta või poolmuidu jagatud kaardilugejad on võimaliku turvariskiga. Virtuaalne rünne on Martensi sõnul pangakaartidele oluliselt lihtsam kui ID-kaartidele, sest nende puhul ei pea ründaja kaarti füüsiliselt laenama ega varastama.
“Ta saab suvalises ruumipunktis koode koguda ja varastada seeläbi suvalise inimese identiteedi.” Martensi sõnul pole ID-kaart kopeeritav: “Jutud selle isetegemise võimalustest kuuluvad ulme valdkonda — ID-kaardi turvatase on selleks lihtsalt liiga kõrge.”
allikas: DELFI
|
|
|
|
|
|
|
    |
imapi
Vana Pingviin
Age: 45
Joined: 01 Dec 2005
Posts: 567
Location: Rakvere
Distributsioon: Mageia Cauldron
|
|
| Emm, kuidas peaks arusaama "kallima klaviatuuriga kiipkaardilugeja"? Et ma olen näinud klaviatuure, kus on kiipkaardi lugeja küljes aga kiipkaardilugejaid, kus oleks klaviatuur küljes ...
|
|
|
|
_________________
More than once my wife has asked why I don't do Windows, because that's where the money is. Why don't I just sell drugs or produce porn - there's money in those things, right?
|
|
|
|
sander85
Vana Pingviin
Age: 40
Joined: 08 Aug 2005
Posts: 4359
Location: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
mõeldud siis vast neid klavereid, kus sees olevad kaardilugejad on võimelised vastavalt konfimisel töötama nii, et pin klaverist välja ei jõua ja klaver ise töötab see moment siis pinpadina..
opensc konfis on selleks rida enable_pinpad = true;
|
|
|
|
_________________
  
|
|
|
|
illukas
Vana Pingviin
Age: 45
Joined: 24 Oct 2006
Posts: 2036
|
|
kindlasti on võimalik ka sealt kuidagi asjad kätte saada (elektriline ja saadab impulsse)- kurat isegi kaablit kuulatakse pealt...
Teine variant mille vastu ei aita mitte midagi on panna kuhugi ülesse pisike high-res kaamera ja olgu mis iganes lugeja selle vastu aitab ainult pimedas teki all pini sisestamine...
Id kaart ei ole paha AGA minuarust sellega kaasnev turvarisk inimese jaoks on ikka mega- mõtle mis on võimalik ära teha kui teatakse sinu pin-e ja kaardi jätad näiteks reisi ajaks koju- tuleb varas, kellel eeltöö hästi tehtud- pinid teada ja ülla ülla, mine kuhugi peale reisi seletama, et sina ei teinud seda- digi allkiri samaväärne tavaalkirjaga...
Panga koodidega kaotad ainult ühel kontol oleva summa, id kaardiga võid kõik tühjaks kanda, lisaks terve elu peapeale keerata... Ainus mis selle vastu aitab on kiibi füüsiline rikkumine...
Mõeldud olid selliseid lugejaid
|
|
|
|
_________________
https://www.inlink.ee
|
|
|
|
tramm
Vana Pingviin
Joined: 03 Nov 2008
Posts: 903
Distributsioon: Debiani pere
|
|
| illukas wrote: | | Teine variant mille vastu ei aita mitte midagi on panna kuhugi ülesse pisike high-res kaamera ja olgu mis iganes lugeja selle vastu aitab ainult pimedas teki all pini sisestamine... |
Selle vastu aitab ehk jälle infrapunakaamera. 
|
|
|
|
|
|
|
|
kernull
Pingviini kasutaja
Joined: 03 Aug 2008
Posts: 58
Location: Tallinn
|
|
| imapi wrote: | | Emm, kuidas peaks arusaama "kallima klaviatuuriga kiipkaardilugeja"? Et ma olen näinud klaviatuure, kus on kiipkaardi lugeja küljes aga kiipkaardilugejaid, kus oleks klaviatuur küljes ... |
Vähe oled näinud veel...
http://www.tigma.ee/?action=products.view&id=11052&cat_id=54
http://www.reiner-sct.com/content/view/6/17/
Euroopas on selliste loomade jaoks isegi eraldi turvaklassid olemas.
Reiner-SCT lugejat peaks vähemalt Smartlinki tarkvara toetama, kunagi beeta peal katsetasin. Omnikey toetus on iseenesestmõistetav.
|
|
|
|
|
|
|
|
mckevin
Pingviini aktivist
Age: 36
Joined: 02 May 2007
Posts: 121
Location: tallinn
Distributsioon: Arch Linux x86_64
|
|
järjekordne pastakast välja imetud delfi uudis ei klikke püüda,
kui inimene igasugu paska enda arvutisse laseb ja ssl sessioone ei kontrolli pole midagi imestada et talt papp tuuri lastakse
|
|
|
|
|
|
|
|
zeroconf
Vana Pingviin
Joined: 31 Mar 2007
Posts: 1068
|
|
Uudisest ei selgu, et kas see on vaid Windowsi probleem või peaks ka teiste operatsioonisüsteemide kasutajad (eriti Linuxi kasutajad) ka muret tundma. Eks PIN-koodi sisestamisel peab olema ettevaatlik nagu ka teiste koodide sisestamisel (nt pangaautomaadi juures või ka poes kaardiga makstes). Huvitav oleks teada kui turvaline on paljukiidetud mobiil-ID. Ehk siis millist krüptot kasutab SMS ja kas seda on võimalik pealt kuulata ja kinni püüda ning hiljem kuidagi ära kasutada...
Eespool näidatud SPR532 pinpadiga kaardilugeja tugi võiks parem olla - uus ID-kaardi tarkvara nt ei toeta seda kaardilugejat alati... See võiks tõesti parem olla...
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Age: 45
Joined: 24 Oct 2006
Posts: 2036
|
|
| mckevin wrote: | | kui inimene igasugu paska enda arvutisse laseb ja ssl sessioone ei kontrolli pole midagi imestada et talt papp tuuri lastakse |
Sa nõuad tavaliselt arvutikasutajalt ikka väääägaaaa palju, see on liiga palju tahetud...
Sellega peab arvestama, et igas inimeses ei ole peidus tipptasemel elektroonikut, automehaanikut, keevitajat, finantsjuhti, et kõikke igapäevaselt kontrollida....
Zeroconf
mõtle natuke kummas op süsteemis on rohkem keyloggereid ja saadki vastuse kumma op süsteemi mure see peamiselt on. Kõik mis sisestatakse klaviatuurilt on võimalik olenemata op süsteemist kinni püüda, iseasi kuidas selle kinnipüüdja paigaldamine on...
|
|
|
|
_________________
https://www.inlink.ee
|
|
|
|
myoldryn
Pingviini külastaja
Age: 39
Joined: 27 Feb 2007
Posts: 17
Location: Tallinn
Distributsioon: Ubuntu FF
|
|
| ID-kaardt on turvaline. Kõige suurem turvarisk on ikkagi selle kasutaja.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Age: 45
Joined: 24 Oct 2006
Posts: 2036
|
|
| enamasti on see kõigi muugagi nii, paroolikaardid on ka turvalised kui kasutaja on tark...
|
|
|
|
_________________
https://www.inlink.ee
|
|
|
|
co
Pingviini aktivist
Joined: 19 Oct 2006
Posts: 106
Location: KO38KA
Distributsioon: Slackware
|
|
Tänases "Pealtnägijas" rääkis ka üks tüüp mingist ID-kaardi turvaveast!?
Teab keegi rääkida, milles uba on?
|
|
|
|
|
|
|
|
Kaar3l
Vana Pingviin
Age: 38
Joined: 07 May 2007
Posts: 692
Location: Plv
Distributsioon: Ubuntu
|
|
|
_________________
Hyva päiva!
|
|
|
|
hinkus
Pingviini aktivist
Age: 54
Joined: 07 Oct 2009
Posts: 137
Distributsioon: mint 12
|
|
|
|
zeroconf
Vana Pingviin
Joined: 31 Mar 2007
Posts: 1068
|
|
| illukas wrote: | |
Zeroconf
mõtle natuke kummas op süsteemis on rohkem keyloggereid ja saadki vastuse kumma op süsteemi mure see peamiselt on. Kõik mis sisestatakse klaviatuurilt on võimalik olenemata op süsteemist kinni püüda, iseasi kuidas selle kinnipüüdja paigaldamine on... |
Seda ma just tahangi öelda! Mina tean, mis OS-i probleem see on ja tahangi seda öelda, et nüüd maksab see Windowsi üles haipimine kätte...
|
|
|
|
|
|
|
|
pisi
Pingviini kasutaja
Joined: 09 Jul 2007
Posts: 65
Location: Eesti
Distributsioon: Debian / Darwin
|
|
Keyloggeri/rootkiti probleem eksisteerib sõltumata operatsioonisüsteemist kuid lihtne matemaatika kallutab kausi rohkem Windowsi poole.
@tramm Füüsiliste rünnakute (infrapuna kaamerad ja teab mis veel) teemal pole siin mõtet teoretiseerida, samamoodi on (teoorias, eksole, kindlasti ka praktikas) võimalik inimese käest kätte saada kõike mida vaja õige suurusga ora õigele sügvausele p**se torgates. Väidad vastupidist? Sellegipoolest ei käi inimesed ringi metallist Everlast alukatega.
@kernull SPR532 ja viidatud teiste lugejate vahe on praktikas olematu, lisatud ekraanike ei tee veel seda mingiks superlugejaks kui lugeja ei oska seal "usaldatud infot" kuvada, tegelikud "trusted terminals" (kus kaart ja kaardilugeja ennast vastastikku autendivad ja näiteks analoogselt poes kasutatava terminaliga tegelikku hinda kuvad) koos spetsiifilise firmwarea on tõesti eraldi turvaklass (klass 4 mitte klass 2/3). Aga neid ei jõua niipea kodukasutaja lauale ja ka viidatud ründe tõrjumiseks piisab lihtsamat pinpadist.
@zeroconf Mobiil-ID turva kohta loe seda: http://www.slideshare.net/momoestonia/peeter-laud-formal-analysis-of-the-mobileid-protocol
@co - id-kaardi enda turvaga pole pealtnägija saatel suurt midagi tegemist, see rohkem võsapetsi teema. Igatahes peale kaheksat aastat kaardi teada olnud omadust (et osa andmeid on loetavad ilma PIN koodita) praegu sellise kella külge panna tundub imelik. Ebaseaduslik jälitustegevus, pettus, kelmus jne on endiselt kõik karistatavad tegevused. Kellegi PIN2 abil allkirjastatud "soovin surra ja seega lasen ennast maha" dokument ei tähenda, et kuulihaavaga kuklas laiba leidmisel uurimist ei tuleks ja süüdlast kinni ei pandaks. Ega kaota vajadust, et mainitud kohtunikud ja poliitikud pornot surfides enda tegevust ja seonduvaid riske endale teadvustama peavad.
|
|
|
|
_________________
pisi - muidumees ja maailmaparandaja
@MartinPaljak.net
|
|
|
|
|
|
