Teoreticka moznost pri tych ich poctoch je aj 7680 za jeden mesiac. To je botnet s 20 000 PC “servermi” na 1/3 vykon. Kupi sa v dakom “eshope”… https://threatpost.com/how-much-does-botnet-cost-022813/77573/
1 Like
paradoxne sucasny stav vyuzivania elektronickych sluzieb na Slovensku, MV SR tak trochu pomaha, kedze bud musis vsetko poslat cez slovensko.sk alebo portal financnej spravy alebo “portal” SP (cize vyzaduje sa BOK, alebo ina forma autentifikacie - grid karta). Najvacsi profit by som videl v prepise nehnutelnosti, alebo prepise firmy, to je ale v dnesnom stave na Slovensku asi len teoria. Problem je skor v sukromnej sfere ale tu Slovensko tiez asi nepatri medzi lidrov, malokto realne akceptuje dokument podpisany ZEPom.
Mozno ma ale niekto opravi.
Infikovat tolko PC na mesiac neznie ako teoria. Mimochodom, tie vypocty su zalozene na lamani do hlbky (mam konkretny verejny kluc a lamem). Mozno, ked budem mat N klucov, najdem optimalizaciu, ako nejaky trafit s vacsou sancou tak, aby celkova zlozitost nebola krat N… A mozno nie 
2 Likes
Disig potvrdil, že až keď sa hrozba preukáže, tak zneplatnia kľúče všetkým eID držiteľom (cca 300.000) a aj to až po dohode s MV SR.
Ako povedzme si otvorene, hovoriť o nejakom použití BOK či prihlasovaní sa na ÚPVS pri tomto útoku je proste úplne odveci. Scenárov ako to to obísť sa dá vymyslieť asi tak tisíc. Len tak jeden z hlavy:
- mám dostupný Janov certifikát -> faktorizujem verejný kľúč -> vyrátam privátny kľúč
- napíšem splnomocnenie že Jano mi dáva právo zastupovať ho pri prevode nehnuteľnosti, template napr. tu
- na tom splnomocnení sfalšujem Janov KEP
- prihlásim sa mojim eID na portál a spravím podanie, že v Janovom mene prevádzam jeho domček na niekoho iného
- dovidenia
7 Likes
Nemozes sa prihlasit svojim eID. Musis sa prihlasit eID bieleho kona a cez neho uploadnut sfalsovany Janov KEP.
2 Likes
Počuj to je dobrý nápad. Vidno že v tomto som dosť amatér.
“Výskumníci pritom odovzdali výrobcovi čipov reálne súkromné kľúče, ku ktorým sa dopočítali.” - tak neviem, ale v opatrnom svete kryptografie toto je pokladané za úplné prelomenie a niet na čo čakať.
instrumentarium a podrobnosti budu predstavene o 2 tyzdne. Dovtedy mas cas 
nemusi, jano ani nezisti ze sa take nieco stalo ;), preto aby sa toto nestavalo, preto sa teraz spravne pozaduje aby sa pri zasielani roznych rozhodnuti, posielalo vsetkym ucastnikom, pretoze prax bola, z akej schranky prislo, takej zaslem odpoved
Plot twist: Lubor v pripade sporu prehlasi, ze nevie o tom, ze to bolo sfalsovane a bude ziadat od statu nahradu skody (tiez tisic moznosti).
2 Likes
Plot twist 2: Jano to takto spraví sám a následne ma obviní že som hackol jeho kľúč a chce odškodné
4 Likes
Na odlahcenie: a uz ste na Slovensku zazili take elektronicke podanie (okrem informacnych povinnosti) pri ktorom vam nevolali spat ze ste nieco zabudli, nespravne vyplnili, pripadne mate doplnit scan obcianskych preukazov, alebo potrebuju vediet kam vam maju zaslat uradny dokument atd? 
4 Likes
Je pravda, ze mam od teba tusim nejaky podpisany dokument. Uz mi chyba len botnet.
rychlo vyuzi, dokial niekto neurobi prislusne opatrenia na zamedzenie zneuzitia…
Casu dost, na policii uz padla, elektronicka sluzba revokacie nejde tiez.
2 Likes
btw: srandicky, avsak pri tom ako funguje OR je to realny scenar, aj s motivaciou. v zasade sa da takto ukradnut firma a doknuty sa velmi dlho nemusi dozvediet nic
1 Like
Podľa ich stanoviska (výskumníkov, off-the-record) išlo o 512-bitový kľúč, ktorý zodpovedal príslušnému verejnému kľúču a netýkal sa slovenského eID, z tejto kompromitácie následne bolo možno dopočítať tie časy, ktoré by bolo nevyhnutné na dlhšie kľúče. Zo stanoviska Disigu implicitne vyplýva, že oni žiadajú reálny dôkaz o prelomení eID kľúča, čo je pre mňa z používateľského pohľadu obskúrne, pretože vtedy už môže byť neskoro.
2 Likes
Rozumiem spravne, ze
“Major vendors including Microsoft, Google, HP, Lenovo, Fujitsu already released the software updates and guidelines for a mitigation.”
a tuto my sa ideme hrat na neveriaceho Tomasa?
4 Likes
A kopa inych veci. Ale ked sme na to upozornovali tak bolo pocut iba same tss…
Najlepsie by bolo ak by napodobnu katastrofu bol pripraveny nejaky scenar (technicky, legislativny), nestaci sa spoliehat na to ze algoritmus sa zatial javi ako bezpecny a po nas nech pride aj potopa.(nestaci ludom povedat ze mali ste mat dokumenty ulozene v akreditovanom ulozisku). On ten chaos v dokumentoch sa da presne predpovedat co moze sposobit ake nasledky, tak by sme si myslim mali byt na ne pripraveni viac a lepsie. Pri takej elektronizacii aku teraz podstupujeme by sa patril v tejto veci mat kriticky scenar.
Ako vidno nemusi dojst k prelomeniu algoritmu a podobny problem moze nastat iba preto ze si niekto nieco zlahcil, alebo nedokazal bezpecnejsie implementovat. Taktiez to ukazuje na problem certifikacie bezpecnych zariadeni, ze by sa malo overovat daleko viac parametrov.
Budme stastni ze sa to objavilo tak skoro po zelektronizovani, ze sa medzitym nepovydavalo este viac takychto klucov.
2 Likes
No mna teraz skutocne vystrasilo az to stanovisko MV SR, Disig a ziadna reakcia NBU SR v clanku od @AdamValcek. To naozaj mysleli vazne?
1 Like