Co v tom bylo... (Was: jak se podivat na Vlastni oci)

Ing. Pavel PaJaSoft Janousek Janousek na FoNet.Cz
Čtvrtek Květen 15 13:44:47 CEST 2003


	Jsem rad, ze tato debata zacala, jinak jsem mel v umyslu ji
rozvinout jinde, osvety nikdy neni dost a ani ja nemam plne jasno - viz
nize.

> -----Original Message-----
> From: Petr Stehlik [mailto:pstehlik na sophics.cz] 
> Videl jsem az druhou pulku, clovek se tam vkradl do kanclu, strcil
> disketu do mechaniky, pak vystrcil a utekl z kanclu. Potom 
> mleli neco o
> certifikatech.

	A Vy si myslite, ze je tak velky problem v pripade certifikatu a
pristupu k nemu (odposlechnutem) ho zneuzit? Zvlaste, pokud ten
certifikat neni unikatni ve smyslu hmotnem? Ja sice vim, jak to Jouda
nafouk, se zajmem jsem sledoval celou reportaz, ale jak uz padlo - skoro
nikdo, komu je ten produkt urcenej o tom nema sajnu a nikdo ho
dostatecne NEINFORMUJE...

> certifikaty nemam! Takze i kdyby nakrasne prisli a strcili mi disketu
> (ehm, ja vlastne nemam disketovou mechaniku), tak certifikat 
> neodnesou.

	Pokud mate Win2K a vyssi, byt s minimalnimi pravy, taxe vsadim,
ze mate nekde schovany i USB port - otazka stazeni certifikatu vcetne
instalace driveru (automaticka, divil jsem se, ale funguje i bez Power
Usera) se v pohode vejde do doby inzerovane soudnim znalcem (pokud se
pamatuju, pak to bylo 5 minut obecne, minimum 2 minuty)

> Snad jen ten fyzicky odposlech, kdyz klepu heslo na klavesnici.

	A to je tak jednoduche ho zabezpecit?

> No to je teda fakt strasna bezpecnostni dira.

	Ano, je to velmi velke riziko v dnesnim "digitalnim" svete, na
ktere se pri navrzich systemu naprosto nedba a cela odpovednost je
prenasena pouze na jednu stranu.

> -----Original Message-----
> From: Martin.Pustka na vsb.cz [mailto:Martin.Pustka na vsb.cz] 

	Ahoj Martine!

> A to Vam staci k pocitu bezpeci? Pokud se nepouziva autentikace pres
> mobilni/externi elektronicky klic (nebo jak se vsechny ty 
> zarizeni nazyvaji),
> tak se necitim bezpecne.

	Sam neverim zcela ani SMSkam, zatoulat se muze, ze ano... Jsem
dinosaurus, ale rad si zaplatim za vlastni kalkulacku, ostatne ja i zena
mame kazdy svou, ale je fakt, ze vstupni PINy vime vzajemne, coz neni
problem zmenit...

> Na druhou stranu ale jako laik skutecne nevim, jestli si jen 
> nevytvarim iluzi,
> ze muj pristup je bezpecny :-)

	Ja nerad ziji v iluzi, presto urcitym vecem verim, pokud je to
iluze, pak jsem mel jen stesti, pokud ne, pristup pres kalkulacku je pro
mne zatim v pozici bezpecny.

> Rozhodne jmeno/heslo, byt obcas menene, IMHO neni i pri 
> pouziti SSL bezpecne.

	Kdo Ti to uveri?'-)

> Reportaz byla v podstate o nicem. Ostatne jako obvykle, kdyz 
> se technickeho
> problemu chopi novinari :)

	Ja myslim, ze jisty smysl mela a ze byl naplnen - nechci
hodnotit, nakolik je to progresivni cesta, ale jak jinak kopat do lidi,
aby za sebe, sve prostredky apod. nesli VLASTNI odpovednost (pripadne za
uplatu odpovidajici riziku ji predali)?

--------------------

	Tak a ted ta nejasnost pro mne, nechci vypadat jako
cracker/hacker, proto jsem se k tomuto cinu/pruzkumu neodhodlal a ptam
se, zda-li to nekdo zkousel.

	Jako nejnebezpecnejsi cesta se mi vyjma certifikatu jevi
odposlech komunikace v nesifrovane podobe (metoda neni podstatna -
kamera snimajici obrazovku, snimani stisku klaves, cteni myslenek
apod.).

	A dostavame se k podstate - jak jsem jiz uvedl vyse, pouzivam
kalkulacku od E-banky. Vezmu, ze nekdo vidi komunikaci, tazi se:

- co se stane, kdyz v relativne kratkem (dlouhem) obdobi se pristupuje
na jeden ucet ze dvou pocitacu/prohlizecu (dle sitoveho provozu treba i
neoddelitelny) pod stejnym autentizacnim kodem?

- vzhledem k tomu, ze na vykonani libovolneho prikazu je treba
autorizace pozadavku, ve ktere je "nejakym zpusobem" zakodovan i obsah
pozadavku samotneho (aspon tak se mi to jevi, pokud se preklepnu v cisle
sveho uctu (protiucet vzdy kontroluji bedlive), JavaScript mi to primo
po pokusu o autorizaci pozadavku rekne), domnivam se, ze i ukradeny
autorizacni kod je utocnikovi k nicemu, protoze by nemohl jej
modifikovat... Je to pravda?

	Moje otazky smeruji z pozice, ze nekdo opravdu vidi, co pisu
(chci videt toho, kdo ma penize na to, aby s klidnym svedomim mohl rici,
ze toto si zabezpecil) - jevi se mi pravdepodobne, ze sice muze videt
"historii" a aktualni stav uctu, ale nemuze ho vybrat ve smyslu
reportaze...

-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)             FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet     Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz         Tel.: +420  5  4324 4749
WWW:    http://WWW.FoNet.Cz/           E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------



Další informace o konferenci Linux