Izvedba popolnega MITM napada

@Brane2: Mislim, da si mojo poanto utemeljil veliko bolje, kot sem jo bil sposoben sam.

Da ni videti, da je ta sistem dorasel stopnji garancije, ki naj bi jo nudil ?

Nisi bil ti v drugem taboru ?

Močno dvomim, da bi si ta firma, ki je sistem postavila, privoščila vnašanje lažnih podatkov na lastno pest, ker bi v tem primeru partnerske bonitetne hiše gotovo takoj odpovedale sodelovanje pri vsej stvari. Pa še točno bi se vedelo, koga bi bilo v takem primeru potrebno zagrabiti za jajca.

Prej sem ti navedel očiten in ogromen primer, kjer je tip delal v smeri "odličnega motivatorja" in nategnil svoje plačnike za $50G.
In ti mi praviš, da je zgodovina odličen učitelj- očitno je nekaj tudi na učencih...

Plačniki so tisti, ki so zadovoljni s storitvijo (tudi če ni popolna). Če jih izgubi, propade in lastniki ostanejo brez denarja. Pohlep je pa tista prvina, ki poskrbi za to, da si nikoli ne želijo ostati brez denarja.

V nekem stabilnem stanju tega posrednika mogoče. Ko pa posrednik dobi nespodobno povabilo, ki ga noče zavrniti, kaj točno mu preprečuje da te zajebe ?

Saj po tej tvoji logiki bi sedanji sistem s CAji moral dealti imenitno. So na trgu in motivira jih pohlep, pa vendar vlečejo poteze, za katere je očitno, da so zajebale plačnike.
Kako je to možno po tvoje ?

Praviloma pa ne zaupam nekim mednarodnim, državnim in birokratskim sistemom. Ti delajo in delujejo po svojih zakonitostih, ki niso nujno zaželjene pri vsakodnevnem poslovanju. Politike ne razume nihče. Denar razume vsakdo.

Saj se hecaš. VSE, kar počneš, je zasnovano na teh pogovrih. Sam svobodni trg je zadeva, ki se dogaja na podlagi teh dogovorov in pogodb. Te so osnova in predpogoj prostora, v katerem se potem sploh lahko pogovarjamo o trgovanju in obligacijah.

Dejstvo, da bi mu moral ta nespodobni ponudnik s časom pokriti ves tisti dobiček, ki mu bo izpadel zaradi odliva strank.

Kar se, kot rečeno, v praksi dogaja.

X.509 PKI drevesa nam tega ne zagotavljajo. Sami certifikati pa, vkolikor smo uspeli nedvomno prenesti pravi javni ključ. Tako lahko npr. točno vem, da mi je nek mejl res poslal ta in ta človek, če sva se enkrat fizično srečala in mi je predal svoj javni ključ.

Če se z osebo srečaš, potem ne potrebuješ X.509 strukture. Daš javni ključ, vzameš njegovega in to je to.

Za pravilno pa bi bilo potrebno:
- X.500 imena so unikatna, nahajajo se v globalnem imeniku

- X.509 je vezan na unikatno ime, zato ga ni možno ponovno zahtevati brez privoljenja lastnika

- spletni brkljalnik bi moral prikazati samo LASTNIŠVO IZRAŽENO V X.509 STRUKTURI, odločitev o zaupanju pa bi moral prepustit uporabniku.

tem bi se zagotovilo naslednje:
- obstoj globalnega imenka bi onemogočal centralno evidenco vseh kvalificiranih X.509 potrdil
- če X.509 potrdila v globalnem imeniku ne bi bilo, potem ne bi bilo kvalificirano.
- uporabnik se bi vedno odločal na podlagi kvalificiranosti potrdila ter imena in države (lokacije) podjetja/osebe, sam spletni brkljalnik ne bi sprejemal ali vsiljeval nikakršnih odločitev.

Ja, cesar lahko da delat izdelavo recimo obrazcev ali osebnih doo-ju, vendar mu pri tem ne prepušča nadzor nad nobenimi bistvenimi parametri, razen čisto proizvodnih.
Identifikacija in skrb za podatke o podjetjih pa ni stvar nekega d.o.o.-ja pač pa večinoma državnih inštitucij. Connet za tuje trge trenutno lahko zagotavlja podatke preko svetovne bonitetne hiše Coface, ki je zaupanja vredna (pa naj bo d.o.o., ltd, whatever - če ne bi delali dobro, bi jim posel po vsej logiki že davno šel iz rok).

V državah, kjer se odpirajo zastopništva, bodo zastopniki postopno poiskali državne ali neodvisne institucije z zaupanja vrednimi podatki. Na vsakem certifikatu je označeno, kdo stoji za podatki in je odgovoren zanje.

Bistveno je, da vsak trenutek vemo, kdo je odgovoren. Če gre kje kaj narobe, vemo, KOMU lahko to pripišemo.

Če ne bi delal sistem Company On Net, je odgovoren Connet.
Če bi bili podatki o podjetju napačni, je odgovoren verifikator.

Izvedba je malo bol inovativne narave, kar govorijo nagrade, ki jih je sistem prejel (nacionalne in tudi na mednarodni ravni) - http://www.pressebox.de/pressemeldungen...

Podelitev nagrade na: http://www.isse.eu.com

Mislim, da zaupanje in ocene tovrstnih organizacij daje samemu sistemu določeno težo in kredibilnost ter dodatne poslovne potenciale.

Identiteto naj potrjujejo čimbolj kredibilne, lokalne (ker svoja podjetja bolje poznajo) in neodvisne institucije (Gospodarske Zbornice, Bonitetne hiše, ...).

Popolnoma jasno je, da za delovanje neke xy pravne osebe nobena verifikacije ne more prevzemati odgovornosti v vsebinskem smislu (npt. da redno plačuje, da obljublja samo tisto, kar je res, da plačuje davke, da ...), pač pa je ključno to, da v primeru, ko gre kaj narobe oškodovani ve kdo je odgovorna oseba s katero je posloval.

V obstoječih razmerah lastniki phishing strani ostajajo neidentificirani, zato so tudi morebitni zahtevki za storjeno škodo imaginarni, ker ni naslovnika. Teh primerov je ogromno in prav ti primeri predstavljajo problem številka ena. Takoj ko vemo kdo je naslov za pritožbo, tožbo, ... smo prvi korak k rešitvi naredili.

Seveda pa je tudi samo število kriminalnih dejanj v pogojih anonimnosti neprimerno večje. Nikakor pa ne gre mešati jabolk in hrušk. Poštenosti pravne osebe ne zagotavlja noben certifikat in ne vidim mehanizma kako bi to naredil, kdo bi jamčil, kako bi jamčil...

. Ideje o likvidacijah in vnaprejšnje negiranje vrednosti nagrad (med vrsticami pa tudi obtoževanje, da moraš biti za uspeh v Sloveniji povezan s politiko) se mi ne zdijo vredni tega foruma. Lahko se o temu šališ, vendar pa to ne prispeva k iskanju rešitve ali novih idej. Politiko na svojem nivoju bi lahko odpeljal na kakšen drug portal.

Enako kot banka ve, da je ta in ta oseba odprla TRR na okencu. Stvari, ki niso problematične, ne bom posebej omenjal ali jih problematiziral. Še posebej ne v kontekstu MITM napadov.

V kontekstu odgovora, ki se tiče MITM je to čisto korektna izjava. Če sem si z osebo varno izmenjal javna ključa, potem MITM realno več ni možen

Preberi si celotno sporočilo, da boš razumel kontekst. Če pa ne veš o čemu govorim, pa si preberi standarde. ITU X.500 oziroma ISO 9594. Notri je tudi to popisano.

spletni brkljalnik bi moral prikazati samo LASTNIŠVO IZRAŽENO V X.509 STRUKTURI, odločitev o zaupanju pa bi moral prepustit uporabniku.

Ne. Uporabnika gledam kot intelegentno in misleče bitje, ki se je sposobno odločati, če mu podatke prikažemo na njemu razumljiv način. Tako je sposobno razumeti, da napis "Renaaault Pizza" verjetno pomeni, da ni prišel na varno spletno mesto svoje banke. Hkrati pa razumem, da tega verjetno ne more ugotoviti, če ima pred seboj napisano "http://www.nlb.si.com.click.kslfkughkjh...

Če si bi res kaj prebral, potem bi videl, da sem opisal kakšen bi bil originalno predlagan način implementacije X.500 standarda. Naj ti namignem: takšen je, kot je tvoja ideja rešitve tovrstnih zlorab.

Seveda pa se danes že celotna skupnost bolja ali manj strinja, da ta ideja v tem trenutku ni izvedljiva, kakor se je tudi ni dalo udejaniti v preteklih 15 letih. Tudi to si uspel spregledati.

Strinjam se, da inovacija same še ne predstavlja uspeha. Bi pa z veseljem kaj več slišal o tvojih terenskih uspehih na tem področju. Še posebej me zanima kaj si do sedaj storil, da bi v mednarodnem merilu udejanil svojo lastno idejo.

Kaj ima IBon, pa AJPES nima? Kaj ima Jus-info, pa UL nima?

Si kdaj pomislil, da obstajajo podjetja, ki imajo neko dodano vrednost na področju preverjanja verodostojnosti podjetja? Celo toliko vrednosti, da jim ljudje in podjetja plačujejo te podatke, čeprav jih "cesar" nudi zastonj.

Pa še konkretni odgovori: GZS ima podatke o poslovanju, finančni trdnosti in dejanskem naslovu poslovanja podjetja, "cesar" ima samo podatek iz sodnega registra o obstoju.

Naslov identiteta odgovorne osebe so že dvomljivi podatki, ker se jih ne preverja non-stop.

IBon ima več virov bonitetnih podatkov o podjetju, AJPES jih zbira samo iz uradnih evidenc, ki se jih da "pofrizirati".

Jus-info nudi še vse soodvisnosti med zakoni, evidenco sodne prakse in pravna mnenja o posameznih "popularnih" členih ali sklopih zakonodaje.

cesarju (ne vem zakaj povzemam tvojo terminologijo :)) je bila zadeva ponujena, vendar je popolnoma logično, da je bila ponudba zavrnjena, saj cesar ne more favorizirati enega ponudnika in mora ostati v tej verigi nevtralen.

in tako je prav. Uradni register podjetij pri nas vodi ajpes in uporaba tega registra je naprodaj. Kdo ga uporablja in zastavi svoje ime je stvar tehnike. Lahko bi bil tudi ti, in četudi si najbolj pošten človek na svetu je problem še vedno v tem, da bi ti verjelo mnogo manj ljudi kot je to v primeru nacionalne gospodarske zbornice.

Zato cesar v tej zgodbi nima tako velike vloge, kot si si ti morda zamislil. Slovenske domene. Si so bile še štiri leta nazaj pod okriljem arnesa in kontrola nad temi domenami je bila zelo dobra. S stališča zaupanja pa to tudi takrat ni kaj dosti pomagalo, saj američani, nemci in avstralci tega niso vedeli.

na tehnološkem nivoju pa je ključno to, da mora produkt identifikacije dajati dodatne dodane vrednosti, ne zgolj identifikacijo, saj je zgolj identifikacija premalo, da bi bila podjetja ta trenutek pripravljena zanjo odšteti nekaj sto evrov letno.

problema sindroma "nevarnih ulic" se namreč mnogo premalo zavedajo. Analize kažejo, da je obdobja "slepega zaupanja" obiskovalcev spleta definitivno konec. Obiskovalci želijo dodatna zagotovila, zunanje potrditve,... Posebej še če naj bi oddali svoje osebne podatke, svoj email naslov,... Izdajatelji ssl certifikatov so naredili nekaj ključnih napak, kar je povzročilo inflacijo zaupanja v ssl certifikate, ne glede na izdajatelja, saj zaklenjena ključavnica v statusni vrstici ne pomeni tistega, kar so ljudje pričakovali. Začarani trikotnih je torej sestavljen iz razvrednotenja ssl certifikatov, padca zaupanja obiskovalcev, in ogromna rast phishinga in copycat-a na celotnem spletu. Zato niso potrebni prav obupani poskusi razvrednotenja trenutno najboljšega sistema na svetu za identifikacijo podjetij, saj kot zelo hitro rastoče podjetje dajemo delo našim ljudem, glavnino naših prihodkov ustvarimo na tujih trgih, gre za čisti izvoz našega znanja,... Nagrada na evropski varnostni konferenci skupaj s spin offom finske nokie in t systems na tretjem mestu ni naklučje in tudi dogovoriti se takih stvari ne da. Mislim, da ti je to jasno. Če bi bil dogovor mogoč, potem nas zanesljivo ne bi bilo med nagrajenimi . Skratka, ni ti potrebno igrati upornika brez razloga. Četudi vsega ne veš in še ne razumeš, je slepo nasprotovanje zaradi nasprotovanja nesmiselno.

Še enkrat moje mnenje: ideja je v osnovi dobra, odkupiti in izvajati pa bi jo morala država oz. neka neodvisna državna agencija.

Sicer pa bo pokazal čas - moje mnenje je, da se ti certifikati v tej obliki preprosto ne bodo prijeli. Počakajmo par let, pa bomo potem "pametovali".

Je pa jasno, da ljudje, ki so idejo razvili le-to tudi zagovarjajo. Ampak zadeva je podobna kot pri kripto algoritmih. Vsak lahko izumi algoritem, ki ga on sam ne more zlomiti. Tisti, ki nekaj izumi pač ne more "preko sebe" in ne vidi pomanjkljivosti lastnega dela. To je seveda normalno in pričakovano.

Se pa včasih najde zunanji opazovalec, ki zadevo vidi iz druge perspektive in zato takoj najde neko pomanjkljivost. Pa to ni nagajanje ali zlonamernost, pač pa samo stvar drugačne perspektive, ki je oseba, ki si je zadevo zamislila praviloma ne zmore zavzeti.

Pametni ljudje bodo to razumeli in še sami poskušali pogledati iz druge perspektive ter svoj produkt izboljšati. Neumni se bodo prepirali.

Kar se bonitetnih hiš tiče- fino, nekateriljudje jim zaupajo. Nekateri ljudje zaupajo tudi privatnim detektivom, pa to še ne pomeni, da lahko policijo outsourceamo.

Saj jaz se ne bi rad prepiral. Obupano iščem odgovor na pravni del vprašanja, vi mi pa razlagate tako zagnano o drevesih, DNSju in ostalih strokovnih zadevah, ki me samo medejo.

Pravzaprav vas dosedaj nisem. Ozoroma nisem hotel. Saj je koneckoncev BlueRunner rekel, da se v tehničnem delu strinjava.

Kaj je torej s pravnimi/obligacijskimi vprašanji ? So tudi ta pod vašim nivojem ?

Po alternativnem sistemu pa bi jaz, kot uporabnik spletnih storitev, plačeval nek pavšal za preverjanje veljavnosti/verodostojnosti digitalnega potrdila. Na drugi strani pa bi spletna mesta po verifikaciji pridobila overovljen podpis zastonj. S tem bi izničil negativen pritisk na varnost, saj bi bilo v interesu overitelja zbrati čim več uporabnikov spletnih storitev.

Žal odpade. Problem micropaymenta.

Če bi pa rešili problem mcropaymenta - da plačaš z enim klikom ali še to ne, pa bi morda delovalo. Morda- ker danes hočejo/mo uporabniki vse zastonj.

Za micropayment že vem, da odpadel. Nisem še slišal, da bi kjer resnično dobro deloval. Kaj pa sistem naročnin? Mesečne, četrtletne, letne? Nekako tako kot plačaš članarino ZPS, potem pa imaš na voljo njihovo pomoč, če jo potrebuješ. Kakršen koli drugačen način za zaračunavanje, ki ne bi bilo per click?

Če gremo na sistem naročnin, se jih lahko plačuje na različne načine. Neposredno, preko ISP-ja, preko potrošniških organizacij, ... Ali to vpliva na voljo uporabnika, da se zavaruje pri nakupu?

Tole bom napisal kar tako v zrak, da še malo svojo idejo reklamiram. Zdi se mi, da se je v enem izmed odgovorov nekako izgubila, ker ni stala sama zase.

Mislim, da je bistven del težave z današnjimi CA-ji v temu, da jemljejo denar od tistih, ki zahtevajo potrdilo o svoji identiteti. To pomeni, da je v interesu CA-ja prodati čim več teh potrdil. To pa predstavlja negativen pritisk iz vidika varnosti, saj se kriteriji verifikacije v takšnih pogojih nižajo.

Po alternativnem sistemu pa bi jaz, kot uporabnik spletnih storitev, plačeval nek pavšal za preverjanje veljavnosti/verodostojnosti digitalnega potrdila. Na drugi strani pa bi spletna mesta po verifikaciji pridobila overovljen podpis zastonj. S tem bi izničil negativen pritisk na varnost, saj bi bilo v interesu overitelja zbrati čim več uporabnikov spletnih storitev.

Če bi poskusil nek lastnik spletnega mesta plačati za verifikacijo, bi slej kot prej prišlo do razkritja s strani uporabnikov. Ti uporabniki pa bi lahko potem odšli k alternativnim ponudnikom iste storitve. Tako bi sprejemanje podkupnine povzoričilo dve zunanji sili, ki se bi dopolnjevali. Vedno manj upoarbnikov bi zmanjševalo prihodke na strani uporabnikov, kar bi dvigalo zahtevano "podkupnino" na strani spletnega mesta. Hkrati pa bi manjše število potencialnih žrtev preko tega ponudnika tudi zmanjševalo "podkupnino", ki jo bi bilo spletno mesto pripravljeno plačati.

S tem se bi pohlep, ki danes deluje kot negativen dejavnik, spremenilo v pozitiven dejavnik, saj bi bile finančne posledice hitro opazne - delovale bi bolje kot pa kateri koli drug papirnat nadzor ali pa transparentnost poslovanja. Verjetno pa bi že sam sum, da je nek ponudnik te storitve prejemal "podkupnino", tega praktično uničil.

Če se bi dalo komu še bolj bosti s to idejo, pa naj jo napade. Da vidimo, če so v njej kakšne ogromne luknje, ki bi naredile več škode, kot pa koristi.

Zanimivo. Se pravi, ko ti tip seže v roko in ti pove ime, te to sploh ne zanima. Pravzaprav te torej ne zanima če dejanjsko govori resnico. Zakaj je potem fizično srečanje nujno ? Da se prepričaš, da res obstaja nekdo ki ti bo rekel, kako mu je ime ?
To ziher nima zveze s tehniko, je to kaka budistična fora v stilu zvoka "ploska ene roke" ali kaj takega ?

Saj štekam. ITU standarde sem iz takih in drugačnih vzrokov lovil okrog kot mulc že dolgo preden je GSM dejanjsko prišel k nam. Pravzaprav še preden sem veselo prodajal po terenu Telerayeve pagerje za takratnih IIRC 1000+ DM za kos - z zelo tanko provizijo ;o/

V bistvu bi se potem dalo državo tožiti zaradi kraje identitete, za kar pa še nisem slišal, da bi bilo (v EU) izvedljivo, kaj šele uspešno. Suverenost suverena je ravno v temu, da ti za svoje neumnosti ne odgovarja.

Kar v bistvu sploh ni res. _Mogoče_ je bilo to nekoč. Sedaj že nekaj časa povsem realno lahko tožiš državo. In zmagaš.

Ah, ti hočeš reči, da bi ti sistem izpljunil podatke o pravni osebi, kot jo definira cesar ? ( Kratko, dolgo ime, IDštev pri sodišču, ID za DDV ) ? Če je tako, potem tozadevno v redu...

So what ? Kje piše, da bi morali za rešitev uporabiti ravno X500 in ravno v obstoječi obliki ?

2 .Za pobiranje davkov je predpogoj, da nadziraš trg. Ne v smislu trenutne cene kolerabe seveda ampak v smislu pravil igre, dovoljeneh načinov poslovanja itd.
3. Ker se promet seli na internet, se tudi pogoj pod točko 2 seli z njim. To, da bo moral cesar imeti nadzor nad tovrstnim poslovanjem za efektivno obdavčevanje je jasno in od tod sledi, da bo cesar moral nekaj narediti na tem.

Kar se pa tiče prepuščanja bistvenih parametrov varnosti trga klasiči pravni osebi, pa to vidim vsepovsod okoli sebe. Konec koncev obstaja tudi "varnostni trg", kjer se trži tovrstne storitve in rešitve.

O.K. Daj mi primer. Recimo države, katere fiskalno politiko vodi doo samostojno.
Ali države, kjer doo nadzira tiskanje denarja in njegovo sproščanej v obtok( količine, serije itd).

Katera od opcij praktično zagotovo pomeni, da tvoje podjetje ne obstaja:
- če ga ni v GZSjevih evidencah in je v sodnem registru
- obratno