Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
hinkus
Pingviini aktivist
Pingviini aktivist


Vanus: 52
Liitunud: 07.10.2009
Postitused: 137

Distributsioon: mint 12
estonia.gif
postituspostitatud: 15.11.2010, 09:09  postituse pealkiri:  ID-kaardi koode saab varastada
Alates 15.11.2010, 09:00 kuni 16.12.2010, 08:58 (kaasa arvatud)
 

Spetsiifilise nuhkvara abil saab ka ID-kaardi pinkoode pihta panna, kinnitab sertifitseerimiskeskuse valdkonnajuht Tarvi Martens.
“Selle vastu aitaks mõnevõrra kallima klaviatuuriga kiipkaardilugeja,” ütleb Tarvi Martens Õhtulehele.

See tähendab, et kümnetele tuhandetele inimestele tasuta või poolmuidu jagatud kaardilugejad on võimaliku turvariskiga. Virtuaalne rünne on Martensi sõnul pangakaartidele oluliselt lihtsam kui ID-kaartidele, sest nende puhul ei pea ründaja kaarti füüsiliselt laenama ega varastama.

“Ta saab suvalises ruumipunktis koode koguda ja varastada seeläbi suvalise inimese identiteedi.” Martensi sõnul pole ID-kaart kopeeritav: “Jutud selle isetegemise võimalustest kuuluvad ulme valdkonda — ID-kaardi turvatase on selleks lihtsalt liiga kõrge.”

allikas: DELFI


imapi
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
estonia.gif
postituspostitatud: 15.11.2010, 09:19  postituse pealkiri:  (teema puudub)  

Emm, kuidas peaks arusaama "kallima klaviatuuriga kiipkaardilugeja"? Et ma olen näinud klaviatuure, kus on kiipkaardi lugeja küljes aga kiipkaardilugejaid, kus oleks klaviatuur küljes ...

_________________
More than once my wife has asked why I don't do Windows, because that's where the money is. Why don't I just sell drugs or produce porn - there's money in those things, right?

sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 15.11.2010, 09:31  postituse pealkiri:  (teema puudub)  

mõeldud siis vast neid klavereid, kus sees olevad kaardilugejad on võimelised vastavalt konfimisel töötama nii, et pin klaverist välja ei jõua ja klaver ise töötab see moment siis pinpadina..

opensc konfis on selleks rida enable_pinpad = true;

_________________
Image Image Image

illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 15.11.2010, 11:07  postituse pealkiri:  (teema puudub)  

kindlasti on võimalik ka sealt kuidagi asjad kätte saada (elektriline ja saadab impulsse)- kurat isegi kaablit kuulatakse pealt...

Teine variant mille vastu ei aita mitte midagi on panna kuhugi ülesse pisike high-res kaamera ja olgu mis iganes lugeja selle vastu aitab ainult pimedas teki all pini sisestamine...

Id kaart ei ole paha AGA minuarust sellega kaasnev turvarisk inimese jaoks on ikka mega- mõtle mis on võimalik ära teha kui teatakse sinu pin-e ja kaardi jätad näiteks reisi ajaks koju- tuleb varas, kellel eeltöö hästi tehtud- pinid teada ja ülla ülla, mine kuhugi peale reisi seletama, et sina ei teinud seda- digi allkiri samaväärne tavaalkirjaga...
Panga koodidega kaotad ainult ühel kontol oleva summa, id kaardiga võid kõik tühjaks kanda, lisaks terve elu peapeale keerata... Ainus mis selle vastu aitab on kiibi füüsiline rikkumine...

Mõeldud olid selliseid lugejaid

_________________
https://www.inlink.ee

tramm
Vana Pingviin
Vana Pingviin



Liitunud: 03.11.2008
Postitused: 900

Distributsioon: *buntu
blank.gif
postituspostitatud: 15.11.2010, 12:50  postituse pealkiri:  (teema puudub)  

illukas kirjutas:
Teine variant mille vastu ei aita mitte midagi on panna kuhugi ülesse pisike high-res kaamera ja olgu mis iganes lugeja selle vastu aitab ainult pimedas teki all pini sisestamine...

Selle vastu aitab ehk jälle infrapunakaamera. Smile


kernull
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 03.08.2008
Postitused: 58
Asukoht: Tallinn

estonia.gif
postituspostitatud: 15.11.2010, 13:04  postituse pealkiri:  (teema puudub)  

imapi kirjutas:
Emm, kuidas peaks arusaama "kallima klaviatuuriga kiipkaardilugeja"? Et ma olen näinud klaviatuure, kus on kiipkaardi lugeja küljes aga kiipkaardilugejaid, kus oleks klaviatuur küljes ...
Vähe oled näinud veel...
http://www.tigma.ee/?action=products.view&id=11052&cat_id=54
http://www.reiner-sct.com/content/view/6/17/
Euroopas on selliste loomade jaoks isegi eraldi turvaklassid olemas.

Reiner-SCT lugejat peaks vähemalt Smartlinki tarkvara toetama, kunagi beeta peal katsetasin. Omnikey toetus on iseenesestmõistetav.


mckevin
Pingviini aktivist
Pingviini aktivist


Vanus: 34
Liitunud: 02.05.2007
Postitused: 121
Asukoht: tallinn
Distributsioon: Arch Linux x86_64
estonia.gif
postituspostitatud: 15.11.2010, 13:09  postituse pealkiri:  (teema puudub)  

järjekordne pastakast välja imetud delfi uudis ei klikke püüda,
kui inimene igasugu paska enda arvutisse laseb ja ssl sessioone ei kontrolli pole midagi imestada et talt papp tuuri lastakse


zeroconf
Vana Pingviin
Vana Pingviin



Liitunud: 31.03.2007
Postitused: 1065


blank.gif
postituspostitatud: 17.11.2010, 01:09  postituse pealkiri:  (teema puudub)  

Uudisest ei selgu, et kas see on vaid Windowsi probleem või peaks ka teiste operatsioonisüsteemide kasutajad (eriti Linuxi kasutajad) ka muret tundma. Eks PIN-koodi sisestamisel peab olema ettevaatlik nagu ka teiste koodide sisestamisel (nt pangaautomaadi juures või ka poes kaardiga makstes). Huvitav oleks teada kui turvaline on paljukiidetud mobiil-ID. Ehk siis millist krüptot kasutab SMS ja kas seda on võimalik pealt kuulata ja kinni püüda ning hiljem kuidagi ära kasutada...
Eespool näidatud SPR532 pinpadiga kaardilugeja tugi võiks parem olla - uus ID-kaardi tarkvara nt ei toeta seda kaardilugejat alati... See võiks tõesti parem olla...


illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 17.11.2010, 09:33  postituse pealkiri:  (teema puudub)  

mckevin kirjutas:
kui inimene igasugu paska enda arvutisse laseb ja ssl sessioone ei kontrolli pole midagi imestada et talt papp tuuri lastakse

Sa nõuad tavaliselt arvutikasutajalt ikka väääägaaaa palju, see on liiga palju tahetud...
Sellega peab arvestama, et igas inimeses ei ole peidus tipptasemel elektroonikut, automehaanikut, keevitajat, finantsjuhti, et kõikke igapäevaselt kontrollida....

Zeroconf
mõtle natuke kummas op süsteemis on rohkem keyloggereid ja saadki vastuse kumma op süsteemi mure see peamiselt on. Kõik mis sisestatakse klaviatuurilt on võimalik olenemata op süsteemist kinni püüda, iseasi kuidas selle kinnipüüdja paigaldamine on...

_________________
https://www.inlink.ee

myoldryn
Pingviini külastaja
Pingviini külastaja


Vanus: 37
Liitunud: 27.02.2007
Postitused: 17
Asukoht: Tallinn
Distributsioon: Ubuntu FF
estonia.gif
postituspostitatud: 17.11.2010, 16:20  postituse pealkiri:  (teema puudub)  

ID-kaardt on turvaline. Kõige suurem turvarisk on ikkagi selle kasutaja.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 17.11.2010, 17:51  postituse pealkiri:  (teema puudub)  

enamasti on see kõigi muugagi nii, paroolikaardid on ka turvalised kui kasutaja on tark...

_________________
https://www.inlink.ee

co
Pingviini aktivist
Pingviini aktivist



Liitunud: 19.10.2006
Postitused: 106
Asukoht: KO38KA
Distributsioon: Slackware
estonia.gif
postituspostitatud: 17.11.2010, 21:42  postituse pealkiri:  (teema puudub)  

Tänases "Pealtnägijas" rääkis ka üks tüüp mingist ID-kaardi turvaveast!?
Teab keegi rääkida, milles uba on?


Kaar3l
Vana Pingviin
Vana Pingviin


Vanus: 36
Liitunud: 07.05.2007
Postitused: 692
Asukoht: Plv
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 17.11.2010, 23:35  postituse pealkiri:  (teema puudub)  

Äkki see:
http://www.minut.ee/article.pl?sid=10/11/02/0714239

_________________
Hyva päiva!

hinkus
Pingviini aktivist
Pingviini aktivist


Vanus: 52
Liitunud: 07.10.2009
Postitused: 137

Distributsioon: mint 12
estonia.gif
postituspostitatud: 18.11.2010, 00:34  postituse pealkiri:  (teema puudub)  

http://id.anttix.org/leak/leak.html


zeroconf
Vana Pingviin
Vana Pingviin



Liitunud: 31.03.2007
Postitused: 1065


blank.gif
postituspostitatud: 20.11.2010, 00:43  postituse pealkiri:  (teema puudub)  

illukas kirjutas:

Zeroconf
mõtle natuke kummas op süsteemis on rohkem keyloggereid ja saadki vastuse kumma op süsteemi mure see peamiselt on. Kõik mis sisestatakse klaviatuurilt on võimalik olenemata op süsteemist kinni püüda, iseasi kuidas selle kinnipüüdja paigaldamine on...


Seda ma just tahangi öelda! Mina tean, mis OS-i probleem see on ja tahangi seda öelda, et nüüd maksab see Windowsi üles haipimine kätte...


pisi
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 09.07.2007
Postitused: 65
Asukoht: Eesti
Distributsioon: Debian / Darwin
estonia.gif
postituspostitatud: 23.11.2010, 12:21  postituse pealkiri:  (teema puudub)  

Keyloggeri/rootkiti probleem eksisteerib sõltumata operatsioonisüsteemist kuid lihtne matemaatika kallutab kausi rohkem Windowsi poole.

@tramm Füüsiliste rünnakute (infrapuna kaamerad ja teab mis veel) teemal pole siin mõtet teoretiseerida, samamoodi on (teoorias, eksole, kindlasti ka praktikas) võimalik inimese käest kätte saada kõike mida vaja õige suurusga ora õigele sügvausele p**se torgates. Väidad vastupidist? Sellegipoolest ei käi inimesed ringi metallist Everlast alukatega.

@kernull SPR532 ja viidatud teiste lugejate vahe on praktikas olematu, lisatud ekraanike ei tee veel seda mingiks superlugejaks kui lugeja ei oska seal "usaldatud infot" kuvada, tegelikud "trusted terminals" (kus kaart ja kaardilugeja ennast vastastikku autendivad ja näiteks analoogselt poes kasutatava terminaliga tegelikku hinda kuvad) koos spetsiifilise firmwarea on tõesti eraldi turvaklass (klass 4 mitte klass 2/3). Aga neid ei jõua niipea kodukasutaja lauale ja ka viidatud ründe tõrjumiseks piisab lihtsamat pinpadist.

@zeroconf Mobiil-ID turva kohta loe seda: http://www.slideshare.net/momoestonia/peeter-laud-formal-analysis-of-the-mobileid-protocol

@co - id-kaardi enda turvaga pole pealtnägija saatel suurt midagi tegemist, see rohkem võsapetsi teema. Igatahes peale kaheksat aastat kaardi teada olnud omadust (et osa andmeid on loetavad ilma PIN koodita) praegu sellise kella külge panna tundub imelik. Ebaseaduslik jälitustegevus, pettus, kelmus jne on endiselt kõik karistatavad tegevused. Kellegi PIN2 abil allkirjastatud "soovin surra ja seega lasen ennast maha" dokument ei tähenda, et kuulihaavaga kuklas laiba leidmisel uurimist ei tuleks ja süüdlast kinni ei pandaks. Ega kaota vajadust, et mainitud kohtunikud ja poliitikud pornot surfides enda tegevust ja seonduvaid riske endale teadvustama peavad.

_________________
pisi - muidumees ja maailmaparandaja
@MartinPaljak.net

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group