Policisti pri ogledu kraja dejanja tega dodobro dokumentirajo s steganografijo ali fotografijo, avtentičnost posnetkov pa je seveda še kako pomembna. Slika je iz lasvegaške različice serije CSI, kjer proti ustreznemu plačilu dosledno reklamirajo Nikonove izdelke.
Prikaz postopka priprave digitalnega podpisa dokumenta (levo) in naknadnega preverjanja avtentičnosti dokumenta (desno)
ElcomSoft je za 'proof of concept' uporabil znani fotografiji 'Abbey Road' in 'Lunar Landing'. Na levi sta originala, na desni pa sfotošopirani različicami z rusko noto. Oba fotošopa sta veljavno digitalno podpisana, gornji z Nikonovim ključem, spodnji pa s Canonovim. Canonov ključ so Elcomsoftovci sicer dobili že decembra lani.
Manj znana prednost digitalne fotografije je digitalno podpisovanje slik neposredno na fotoaparatu. S tem lahko imetnik fotografije preveri, če je slednja res avtentična in torej ni bila spremenjena (popularno shopped). Zmožnosti se poslužujejo predvsem sodišča in drugi pravosodni organi, v nevladni sferi pa časopisi, ker želijo od svojih fotografov dobiti originalne vsebine.
Boljši zrcalnorefleksni izdelki podjetja Nikon imajo v svojem nedrju skrit zasebni ključ, s katerim se takoj po snemanju podpisujejo fotografije. Preverjanje podpisa je mogoče z namenskim programom Image Authentication Software, ki ni zastonj (cena je okoli 500€) in za delovanje zahteva celo poseben USB ključek s kodo. Žal nič od tega ne pomaga, če hekerji uspejo priti do zasebnega ključa v fotoaparatu. Ruski raziskovalci podjetja ElcomSoft (sicer tržijo predvsem izdelke za povrnitev MS Windows in PDF gesel) so uspeli narediti prav to. Točne podrobnosti še niso na voljo, vendar zgleda, da fotoaparat ključ sicer dobro skriva, a ga med uporabo v nezaščiteni obliki skopira v polnilnik (kar niti ni pretirano različno od PS3).
Elkomsoft je podatke o najdbi posredoval CERT-u in pa seveda Nikonu, ki pa se še ni odzval. To niti ni tako nepričakovano, saj bi bila odprava napake v obstoječih modelih zelo draga, obenem pa večina lastnikov njihovih fotoaparatov zadevne funkcije sploh ne uporablja. Po vsej verjetnosti bodo ravnali podobno kot Canon po lanskoletni odtujitvi njihovih ključev - molče bodo napako popravili v prihodnjih modelih, s starimi pa naj bo kar bo.
Pri blogu crackpassword.com so ob tej priložnosti objavili tudi kratek pregled najbolj znanih slikovnih ponaredkov.
...molče bodo napako popravili v prihodnjih modelih, s starimi pa naj bo kar bo.
Kako lahko tako napako sploh odpraviš? Podpisovanje se mora izvesti v fotoaparatu, fotoaparat pa ima napadalec pri sebi - ne glede na to, kaj naredijo, je možno fotoaparat prirediti tako, da podpiše katerokoli sliko (tudi če do ključa sploh ne prideš - pač zamenjaš svetlobni senzor z nečim, kar pošlje tvojo lastno sliko).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
Torej, da nekomu podtaknes avtenticno sliko, mu moras ukrasti fotoaparat, dobiti kljuc iz njega, mu potem fotoaparat vrniti in na koncu se sliko podtakniti nekam. Ali pa taksno sliko uporabis kot 'dokaz' nekje drugje.
Ja, nevem no. Takoj, ko ostanes brez foto aparata je prepozno. Priblizno tako, kot ce bi ti nekdo ukradel web server. :)
Torej, da nekomu podtaknes avtenticno sliko, mu moras ukrasti fotoaparat, dobiti kljuc iz njega, mu potem fotoaparat vrniti in na koncu se sliko podtakniti nekam. Ali pa taksno sliko uporabis kot 'dokaz' nekje drugje.
Ja, nevem no. Takoj, ko ostanes brez foto aparata je prepozno. Priblizno tako, kot ce bi ti nekdo ukradel web server. :)
BW, fora tega digitalnega podpisa je, da so s tem podpisane samo TVOJE posnete fotografije. Exploit je, da lahko s tem ključem podpišeš NE-SVOJE posnete fotografije in fotošopirane fotografije.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Oh. Ja, O tem nisem niti razmisljal. Cist premal sem corrupted. :>
Jaz sem pa simbol pokvarjenosti
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Naši so tako napredni, da jih še enkriptirajo z random passwordom!! Zasebnost (sobe) je namreč bolj pomembna, kot policisti, da bi krčili to zasebnost (sobe) z ponovnim ogledom fotografij. Inf.poob.press
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
