eID prelomene?

Veda pracuje najlepsie, ked je co najtransparentnejsia. Vyskumnici musia zverejnovat a siahodlho opisovat svoje metody a postupy: aby preukazali, ze ich vysledky su replikovatelne a su to skutocne objavy a nie vymysly alebo dielo nahody. Plati to v medicine, biologii, fyzike a aj v pocitacovej bezpecnosti. Je to bezna prax a posuva to poznanie celej spolocnosti dopredu.

Ocakavam, ze na konferencii 2. novembra bude ukazany replikovatelny postup, ktory vsak nebude mat podobu hotoveho programu, ktory staci nainstalovat a mozes zacat hladat privatne kluce. Take nieco sa vsak casom moze objavit na darknete a prave preto by nase organy mali konat co najskor a nie sa tvarit, ze obcanom nic nehrozi.

Ti vyskumnici to vsak musia cele zverejnit, to je ich poslanim.

Ano, a nespochybnil to, verejne sa k tomu priznava.

On uz riesenie ma TPM update - Infineon Technologies

Bohuzial, NEPOCHOPIL SI obsah pojmu “Security through obscurity”. V pripade tychto klucov NEJDE, opakujem, NEJDE o zabezpecenie na zaklade tajnych postupov. Cela technologia je verejna. Tu ale doslo k chybe v kniznic dodavatela klucov. On ju musi opravit, a kuzelne prutiky na okamzite riesenia (aspon podla reci) mate len vy, nie staty a organizacie. Tu nejde o tajenie postupu a technologie zabezpecenia. Tu ide o to nezverejnovat zlocincom postup ako zneuzit chybu, kym bude odstranena. Zverejenie postupu zneuzitia - pre beznu verejnost - je celkom zbytocne, nevedie k nicomu pozitivnemu, a je to len trestny cin. To, ze ta univerzita chybu zistila a poskytla ju statom a organizaciam je PRESNE to, co urobila spravne. Ale na november chystane poskytnutie verejnosti navodu na pachanie trestnych cinov - uz je trestnym cinom.

Myslim si, ze uz to, ze sa zverejnuje informacia, ze sa to da zneuzit je trestnym cinom - nasmeruje totiz pozornost zlocincov do tejto oblasti. Tieto informacie patria statom a organizaciam. Zverejnovanie metod, postupov, dokazov v oblasti vedy si pochopil spravne. Neda sa aplikovat na tento pripad, kedy ide o poskytnutie sposobu ako pachat zlociny.

Pochopil, technologia je znama ale mali by sme utajit jej zname zranitelnosti, resp. zranitelne implementacie? Nie je to naviazane algoritmy, ale na vsetky vedomosti, ktore s tym suvisia.
Je to potom falosny pocit bezpecnosti. Sice to nebude vediet verejnost, ale ti, co maju o to zaujem sa to mozu dozvediet ako a zneuzivat. Napr. tajne sluzby sa k tomu mozu dostat a zacat zneuzivat svoje postavenie. Alebo teroristi, ked maju dostatocnu motivaciu investovat cas a peniaze (a ine) do zistenia neverejnych informacii.

1 Like

To ja viem, ze to nespochybnil. Len 99% vseveducich kritikov o tom ani len netusi a pritom sa tu tvaria ako odbornici.
Preto to pisem.

Ak uz oprava existuje, vyzaduje cas na jej implementaciu.

Je to cele banalne - doslo k chybe v softveri. Kym nie je opravena, tak aspon nevytrubujem do sveta ako chybu zneuzit. Toto tu nechapete?

len pripomínam, že trestný zákon pozná odpoveď na túto situáciu

§ 27 Dovolené riziko
(1)
Čin inak trestný nie je trestným činom, ak niekto v súlade s dosiahnutým stavom poznania vykonáva spoločensky prospešnú činnosť v oblasti výroby a výskumu, ak spoločensky prospešný výsledok, ktorý sa od vykonávania činu očakáva, nemožno dosiahnuť bez rizika ohrozenia záujmu chráneného týmto zákonom.

§ 29 Súhlas poškodeného
(1)
Čin inak trestný nie je trestným činom, ak bol vykonaný so súhlasom poškodeného a nesmeruje proti jeho životu alebo zdraviu.

Bezepečnosžt štátu však ohrozuje sebestredná bohurovnosť vyskokýčh štátnych úradníkov, ktorí nútia občanov používať nezebezpečené technické prostriedky, nerobia opatrenia na predchádzanie škodám, a v neposlednom rade navrhujú postupy, ktoré ohrozujú samotnú bezpečnosť štátu a občanov

1 Like

Boha jeho. Ja nehovorim o tom, ze by sa zranitelnosti mali utajit. Krista boha. To, ze zranitelnost bola zistena malo byt oznamene statom a zakaznikom - to sa aj stalo a to je spravne. Co sa ti na tom zda ako utajenie? Hovorim o tom, ze je trestnym cinom - na novembrovej (ci inej) konferencii (a inym sposobom) - davat do ruk zlocincov postup, ako zranitelnost zneuzit na okradanie ludi. Toto je taky problem pochopit?

tá chyba sa nedá opraviť, s výpočtovým výkonom sa totiž dá v čase faktorizovať akýkoľvek elekronický podpis

Ved prave. Suhlasim. Preto ju vyskumnici najskor oznamili vyrobcovi, ten vsetkym odberatelom a nase ministerstvo sa dozvedelo v juni. Od vtedy urobili trt makovy a este tvaria ze to vlastne ani problem nie je.

1 Like

Zverejnenie postupu ako okradat tisice ludi absolutne nie je povolene ziadnym zakonom a ani tym co si uviedol.

Ja som si isty, ze som viackrat jasne naznacil, ze zverejenie postupu a navodu ako zneuzit chybu v softveri a sposobit tym okradnutie obcanov viacerych krajin moze byt povazovane za trestny cin. Zistenia tych vyskumnikov budu mat rovnaku hodnotu aj po oprave problemu v krajinach, ktorych sa to tyka, akurat potom uz nebudu navodom na pachanie zlocinu.

Bullshit.

Akeho zlocinu, podla akeho paragrafu ktoreho zakona?

Nedavno som v lietadle videl film Going In Style, je o tom, ako sa traja dedkovia rozhodli vykradnut banku. V tom filme je podrobny navod:

  • presne ukazane, ake vybavenie treba na lupez (tasky na peniaze a pod.)
  • popisane, ako sa na lupez pripravit (navstivit banku a nenapadne si pofotit, kde maju kamery a SBSkarov)
  • navod na pripravu dokonaleho alibi
  • ukazane, ako nenapadne uniknut z miesta cinu
  • navod ako znehodnotit dokazy po lupezi

Dopustaju sa filmove spolocnosti premietanim tohoto filmu trestneho cinu? Je v nom predsa “postup ako okradat tisice ludi” (akcionarov banky). :slight_smile:

1 Like

:-D, videl som cast toho filmu - nez som pochopil ze je to fraska, nepozeral tolko tych filmov a neber ich tak vazne :smiley:

Mohol si dat nieco aj o tom filme, ze o tych kuzelnikoch co akoze na dialku vykradli banku? Aj to by bolo zabavne. :smiley:

Clovek ked si uvedomi ze tito ludia su oponentami a potencialne sa mozu vyskytnut na vykonnej strane, kde oni by nieco tvorili tak ma striasa od hrozy.

Ok, tak teda ktory paragraf ktoreho zakona podla teba 2. novembra na konferencii ti vyskumnici porusia?

1 Like

Iste, len trocha problemom je cas, kde ten vypocet moze trvat nasobky veku vesmiru. Ale tym sa nedajme zastrasit.

1 Like

sice sa mi nechcelo reagovat, ale…
mam z teba pocit, ze jediny komu unika podstata si ty. V prvom rade “zakaznikom” je obcan a pristup MINV je vrcholne nezodpovedny. preco snad na tomto mieste vysvetlovat netreba.
Pokrivene videnie mas jedine ty a si jasnou ukazkou toho, ako bude komunikovat MINV po 2.11. Chyba bude na strane vedcov a stat v tomu bude nevinne. smutne.

3 Likes

Milan:

  1. Ak výskumnici nezverejnia podrobnosti ako to spraviť, tak to asi nikto z tohto fóra nespraví… nie sme black hats aby sme teraz opakovali postup výskumníkov a našli si tú chybu sami.
    Výsledok:
  • Existuje možnosť že black hats si tú chybu nájdu znova (vedia na čo sa zamerať)
  • MINV nič neurobí, lebo je to “teoretické”
  • ukradnú mi byt (a možno tisícom ďalších)
  • loss-loss
  1. Ak to výskumníci zverejnia, tak asi vedia prečo môžu - postupovali eticky a sprístupnili informáciu najprv výrobcovi. Času bolo od začiatku roka dosť.

Občanove možnosti:

  • nespraviť nič:

    • Ak občan nespraví nič, MINV sa bude naďalej tváriť že “je to teoretické”
    • ukradnú mi byt (a možno tisícom ďalších)
    • loss-loss
  • zlomiť kohokoľvek kľúč kto dal na to súhlas a vykonať neškodnú akciu typu “zvolať tlačovku”

    • MINV sa bude naďalej tváriť “že je to teoretické” ? asi ťažko
    • ukradnú mi byt? je to možné
    • začne MINV konať? zneplatiť certifikáty alebo pozastaviť podpisovanie celoplošne, vymeniť občianske? je to možné - už veľakrát sa občan presvedčil že jediné verejný tlak núti inštitúcie konať.
    • je konanie MINV vo veci prospešné pre občana? áno
    • čo čhcem? aby konali
    • loss- a half-win , stále môžem prísť o byt ale aspoň zobudím spiace MINV

Čiže mne ako občanovi vychádza, že

  1. ak výskumníci nezverejnia podrobnosti na základe ktorých viem útok urobiť aj ja, tak som v prdeli
  2. ak výskumníci zverejnia podrobnosti tak chcem konať

A to že tu teoretizujeme, že ako všakovako sa podávajú dokumenty a ako by sa daná chyba dala použiť podľa mňa nie je trestným činom ale nech sa páči podaj trestné na neznámeho. Teším sa na to vysvetľovanie. Lebo akože občan, ktorému musíš vysvetľiť na internete ako má spraviť podvod, je úplne že prototyp páchateľa…
Rovnako ak výskumníci zverejnia postup a podrobnosti, tak môžem ja si podať trestné za verejné ohrozenie … ale najprv si zneplatím cert.

2 Likes