Veda pracuje najlepsie, ked je co najtransparentnejsia. Vyskumnici musia zverejnovat a siahodlho opisovat svoje metody a postupy: aby preukazali, ze ich vysledky su replikovatelne a su to skutocne objavy a nie vymysly alebo dielo nahody. Plati to v medicine, biologii, fyzike a aj v pocitacovej bezpecnosti. Je to bezna prax a posuva to poznanie celej spolocnosti dopredu.
Ocakavam, ze na konferencii 2. novembra bude ukazany replikovatelny postup, ktory vsak nebude mat podobu hotoveho programu, ktory staci nainstalovat a mozes zacat hladat privatne kluce. Take nieco sa vsak casom moze objavit na darknete a prave preto by nase organy mali konat co najskor a nie sa tvarit, ze obcanom nic nehrozi.
Ti vyskumnici to vsak musia cele zverejnit, to je ich poslanim.
Bohuzial, NEPOCHOPIL SI obsah pojmu “Security through obscurity”. V pripade tychto klucov NEJDE, opakujem, NEJDE o zabezpecenie na zaklade tajnych postupov. Cela technologia je verejna. Tu ale doslo k chybe v kniznic dodavatela klucov. On ju musi opravit, a kuzelne prutiky na okamzite riesenia (aspon podla reci) mate len vy, nie staty a organizacie. Tu nejde o tajenie postupu a technologie zabezpecenia. Tu ide o to nezverejnovat zlocincom postup ako zneuzit chybu, kym bude odstranena. Zverejenie postupu zneuzitia - pre beznu verejnost - je celkom zbytocne, nevedie k nicomu pozitivnemu, a je to len trestny cin. To, ze ta univerzita chybu zistila a poskytla ju statom a organizaciam je PRESNE to, co urobila spravne. Ale na november chystane poskytnutie verejnosti navodu na pachanie trestnych cinov - uz je trestnym cinom.
Myslim si, ze uz to, ze sa zverejnuje informacia, ze sa to da zneuzit je trestnym cinom - nasmeruje totiz pozornost zlocincov do tejto oblasti. Tieto informacie patria statom a organizaciam. Zverejnovanie metod, postupov, dokazov v oblasti vedy si pochopil spravne. Neda sa aplikovat na tento pripad, kedy ide o poskytnutie sposobu ako pachat zlociny.
Pochopil, technologia je znama ale mali by sme utajit jej zname zranitelnosti, resp. zranitelne implementacie? Nie je to naviazane algoritmy, ale na vsetky vedomosti, ktore s tym suvisia.
Je to potom falosny pocit bezpecnosti. Sice to nebude vediet verejnost, ale ti, co maju o to zaujem sa to mozu dozvediet ako a zneuzivat. Napr. tajne sluzby sa k tomu mozu dostat a zacat zneuzivat svoje postavenie. Alebo teroristi, ked maju dostatocnu motivaciu investovat cas a peniaze (a ine) do zistenia neverejnych informacii.
len pripomínam, že trestný zákon pozná odpoveď na túto situáciu
§ 27 Dovolené riziko
(1)
Čin inak trestný nie je trestným činom, ak niekto v súlade s dosiahnutým stavom poznania vykonáva spoločensky prospešnú činnosť v oblasti výroby a výskumu, ak spoločensky prospešný výsledok, ktorý sa od vykonávania činu očakáva, nemožno dosiahnuť bez rizika ohrozenia záujmu chráneného týmto zákonom.
§ 29 Súhlas poškodeného
(1)
Čin inak trestný nie je trestným činom, ak bol vykonaný so súhlasom poškodeného a nesmeruje proti jeho životu alebo zdraviu.
Bezepečnosžt štátu však ohrozuje sebestredná bohurovnosť vyskokýčh štátnych úradníkov, ktorí nútia občanov používať nezebezpečené technické prostriedky, nerobia opatrenia na predchádzanie škodám, a v neposlednom rade navrhujú postupy, ktoré ohrozujú samotnú bezpečnosť štátu a občanov
Boha jeho. Ja nehovorim o tom, ze by sa zranitelnosti mali utajit. Krista boha. To, ze zranitelnost bola zistena malo byt oznamene statom a zakaznikom - to sa aj stalo a to je spravne. Co sa ti na tom zda ako utajenie? Hovorim o tom, ze je trestnym cinom - na novembrovej (ci inej) konferencii (a inym sposobom) - davat do ruk zlocincov postup, ako zranitelnost zneuzit na okradanie ludi. Toto je taky problem pochopit?
Ved prave. Suhlasim. Preto ju vyskumnici najskor oznamili vyrobcovi, ten vsetkym odberatelom a nase ministerstvo sa dozvedelo v juni. Od vtedy urobili trt makovy a este tvaria ze to vlastne ani problem nie je.
Ja som si isty, ze som viackrat jasne naznacil, ze zverejenie postupu a navodu ako zneuzit chybu v softveri a sposobit tym okradnutie obcanov viacerych krajin moze byt povazovane za trestny cin. Zistenia tych vyskumnikov budu mat rovnaku hodnotu aj po oprave problemu v krajinach, ktorych sa to tyka, akurat potom uz nebudu navodom na pachanie zlocinu.
Clovek ked si uvedomi ze tito ludia su oponentami a potencialne sa mozu vyskytnut na vykonnej strane, kde oni by nieco tvorili tak ma striasa od hrozy.
sice sa mi nechcelo reagovat, ale…
mam z teba pocit, ze jediny komu unika podstata si ty. V prvom rade “zakaznikom” je obcan a pristup MINV je vrcholne nezodpovedny. preco snad na tomto mieste vysvetlovat netreba.
Pokrivene videnie mas jedine ty a si jasnou ukazkou toho, ako bude komunikovat MINV po 2.11. Chyba bude na strane vedcov a stat v tomu bude nevinne. smutne.
Ak výskumnici nezverejnia podrobnosti ako to spraviť, tak to asi nikto z tohto fóra nespraví… nie sme black hats aby sme teraz opakovali postup výskumníkov a našli si tú chybu sami.
Výsledok:
Existuje možnosť že black hats si tú chybu nájdu znova (vedia na čo sa zamerať)
MINV nič neurobí, lebo je to “teoretické”
ukradnú mi byt (a možno tisícom ďalších)
loss-loss
Ak to výskumníci zverejnia, tak asi vedia prečo môžu - postupovali eticky a sprístupnili informáciu najprv výrobcovi. Času bolo od začiatku roka dosť.
Občanove možnosti:
nespraviť nič:
Ak občan nespraví nič, MINV sa bude naďalej tváriť že “je to teoretické”
ukradnú mi byt (a možno tisícom ďalších)
loss-loss
zlomiť kohokoľvek kľúč kto dal na to súhlas a vykonať neškodnú akciu typu “zvolať tlačovku”
MINV sa bude naďalej tváriť “že je to teoretické” ? asi ťažko
ukradnú mi byt? je to možné
začne MINV konať? zneplatiť certifikáty alebo pozastaviť podpisovanie celoplošne, vymeniť občianske? je to možné - už veľakrát sa občan presvedčil že jediné verejný tlak núti inštitúcie konať.
je konanie MINV vo veci prospešné pre občana? áno
čo čhcem? aby konali
loss- a half-win , stále môžem prísť o byt ale aspoň zobudím spiace MINV
Čiže mne ako občanovi vychádza, že
ak výskumníci nezverejnia podrobnosti na základe ktorých viem útok urobiť aj ja, tak som v prdeli
ak výskumníci zverejnia podrobnosti tak chcem konať
A to že tu teoretizujeme, že ako všakovako sa podávajú dokumenty a ako by sa daná chyba dala použiť podľa mňa nie je trestným činom ale nech sa páči podaj trestné na neznámeho. Teším sa na to vysvetľovanie. Lebo akože občan, ktorému musíš vysvetľiť na internete ako má spraviť podvod, je úplne že prototyp páchateľa…
Rovnako ak výskumníci zverejnia postup a podrobnosti, tak môžem ja si podať trestné za verejné ohrozenie … ale najprv si zneplatím cert.