Schneier.com - Na Nizozemskem naj bi v javnem potniškem prometu v kratkem uvedli vozovnice RFID. Razvoj sistema je stal dve milijardi dolarjev, a Schneier in Tanenbaum iz Amsterdamske fakultete za naravoslovje poročata, da so sistem uspešno shekali, še preden je bil dokončno implementiran.
Prvi uspešen napad na nove vozovnice sta izvedla študenta Amsterdamske falkultete Siekerman in van der Schee. V poročilu sta pokazala, kako enkratno vozovnico resetirati in jo tako večkrat uporabiti.
Hkrati pa sta dva nemška varnostna strokovnjaka in hekerja Nohl in Plotz izvedla uspešen napad na čip, uporabljen na običajni vozovnici RFID. Uspela sta namreč odstraniti ovojnico čipa Mifare in fotografirati notranje vezje, na podlagi česar je mogoče sklepati o uporabljenem kriptografskem algoritmu. To dejstvo sicer še ne omogoča uspešnega napada na čip, je pa pomemben korak k njegovemu uspešnemu razbitju.
Člani nizozemskega parlamenta so omenjene študente že povabili na predstavitev rezultatov, Schneier pa dodaja, da jih gotovo zanimajo podrobnosti o tem, kako je mogoče zapraviti 2 milijardi dolarjev.
jype@ Če se ne bi, bi Študenta verjetno zaprli ali pa temeljito oglobili. Tako so ju pa povabili v parlament na predstavitev. Kar se mene tiče - odlično.
Definitivno primer dobre prakse. Človek opozori na varnostno pomankljivost in se s tem nima namena okoriščati, javna klima pa to z odobravanjem sprejme. Redko viden scenarij, je pa zato vreden vse pohvale!
Saj ravno zato je hecno, da se zaupa papirnatim zagotovilom o znanju - naj se za take reči razpiše javno-javni natečaj, kjer lahko rešitve že pred implementacijo komentirajo vsi.
Hja simpl računica - če bi bila tiho in se vozila zastonj celo leto bi prisparala za letno karto. Sedaj ko sta pa javno to naznanila sta pa v očeh mnogih sposobna in dobro plačana služba ali vsaj priložnost je tu! Pošteno.
Vprašanje koliko bi bila poštena, če bi se dalo kaj več ven potegnit...
P.S. pa ne zdej rečt, da bi lahko na "Bavarcu" prodajala shekane karte...
A si želel s tem sestavkom kaj povedati? Če ja, kaj?
Ker v njem ene trikrat trdiš nekaj, potem se pa zanikaš.
Praviš, da je "antidemokratično", če stroka ocenjuje, pred tem omeniš, da nihče ni nezmotljiv.
Verjetno torej predlagaš, da se politik, ki je sicer npr. splošni zdravnik, odloča o tem kakšne vozovnice naj se uporabljajo v javnem potniškem prometu?
Thomas> Sej to je bil javni natečaj, sigurno.
Rekel sem javno-javni, da bi ga lahko ločili od zgolj javnega, kjer komisija deluje samostojno in prav nič javno.
To je po moje predvsem dober primer oz. argument, zakaj je treba o zadevah javno in odprto govorit. Zakaj mora biti znanje "opensourced".
Se pravi - če vlada nekaj naredi, uredi, predlaga neko zakonsko rešitev - mora imeti kdorkoli, stroka, javnost, kdorkoli - možnost povedati svoje pripombe.
Ne pa da vlada potem ljudi zmerja s "tako imenovanimi" strokovnjaki, profesorji, študenti.
Ne pa, da je edini medijski strokovnjak v Sloveniji nek obskuren poslanec.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas
RFID is bad very very bad. Tisti, ki imate nove potne liste s biometričnimi podatki, upam, da se zavedate, da lahko vsakdo s RFID čitalcem samo, ko se sprehodi mimo vas prebere vse vaše osebne podatke.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
krho> Tisti, ki imate nove potne liste s biometričnimi podatki, upam, da se zavedate, da lahko vsakdo s RFID čitalcem samo, ko se sprehodi mimo vas prebere vse vaše osebne podatke.
Tudi na glavi je priporočljivo nosit klobuk iz alu-folije. Tako se izogneš vplivu naprav, s katerimi je mogoče kontrolirati misli, recimo tako, da kupiš pepsi namesto kokakole.
Matthai, se čisto strinjam, bi pa imel eno vprašanje: ali sme biti tudi tista informacija javna, ki opisuje slabosti nekega sistema, predvsem pa, kako lahko obideš zaščito? Ali pa je to že izven konteksta?
Jype: čelada iz ALU folije te ne zaščiti. So celo študijo delali o tem.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas
Matthai, se čisto strinjam, bi pa imel eno vprašanje: ali sme biti tudi tista informacija javna, ki opisuje slabosti nekega sistema, predvsem pa, kako lahko obideš zaščito? Ali pa je to že izven konteksta?
Jaz sem bolj za full disclosure, kot proti. Sicer sem načeloma za to, da se najprej potiho obvesti proizvajalca in se mu da čas, da zadevo popravi. Kljub temu pa se mi zdi smiselno javno opozoriti na napake, saj je to dobra šola, da se naslednjič napakam izognemo.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas
No v Sloveniji se pa kaj rado zgodi da za odkrivanje varnostnih lukenj v različnih sistemih zaideš na pota krivice in naravnost za rešetke, čeprav nevarnost še vedno čaka odzunaj da jih kdo uporabi za nepravične namene...
![[:\]](http://slike.slo-tech.com/smeski/icon_rolleyes.gif){kind=icon}
![[:D]](http://slike.slo-tech.com/smeski/icon_biggrin.gif){kind=icon}
![[:))]](http://slike.slo-tech.com/smeski/icon_lol.gif){kind=icon}
![[:P]](http://slike.slo-tech.com/smeski/icon_razz.gif){kind=icon}