On 2015-12-13 12:58, J.F. wrote:
>> Problem w tym że nic, a kasa topnieje. Nawet oszustwem tego nie można
>> nazwać. Majstersztyk.
> Jakis konkrety by sie przydaly, ale tak ogolnie: komu wystarcza
> standardowy procent, ten zaklada zwykle lokaty, na 3.. 2.. 1%.
> Kto chce wiecej, zazwyczaj musi sie zgodzic na ryzyko.

Tu nie o ryzyko chodzi ale o sposób pobierania opłat w tym opłaty
likwidacyjnej. Opłaty sa na tyle wysokie że praktycznie zawsze tracisz
chyba że agresywnie inwestujesz. Nikt nie ma na to czasu a wyniki są i
tak bliskie rand().

>> Jak już napisałem, podważenie takiej umowy jest trywialne. Przy
>> odrobinie środków technicznych mogło by się odbywac z urzędu.
> Mowilismy zdaje sie o kims, kto dowod falszywy wyrabia i po chwilowke
> sie udaje. Czemu mialby prawdziwe dane innej osoby na nim zamieszczac?

Nie musi bo chwilówki nie chcą / nie mogą werfikować. Zasada działania
chwilówek polega m.in. na tym aby zaskoczyc jakiegoś Kowalskiego
wejściem na pensę. Zanim się zorientuje komornik pobierze co trzeba a to
jest nieodwracalne. Chwilówka zadowolona, komornik swoje pobrał,
Kowalski naplacze się do mediów, przyschnie i następny. Chwilówki czasem
świadomie dają "złe" kredyty. Mają doskonałe rozeznanie jak ściągnąć
kasę z przypadkowego obywatela i doskonale wiedzą że za 2tyś nikt nie
będzie chodził do sądu ani płaszczył się przed komornikiem.

W przypadku umowy z telekomem na drogi telefon możliwości weryfikacyjne
mogły by istnieć (dostęp weryfikujacy do bazy PESEL) gdyby tylko
chcieli. Ale nie chcą.

Postuluje zeby każda umowa wymuszała podpis elektroniczny. Wiele typów
oszustw nie będzie mialo wtedy miejsca.

>> Patent to końcowka lat 60-tych. Praktyczne implementacje to końcówka lat
>> 70tych. Użyteczne od 20 lat. Pierwsza mifare to połowa 90tych. Tak, wiem
>> że mifare mają bugi security, ale nie o to chodzi tutaj.
> No wlasnie - uzyteczne od 20 lat, a nie od 40.

Nie. 40 lat temu były środki techniczne, ale nie było nacisku.
Pielęgnowanie tego dziadostwa wykarmia całe tabuny prawników, nie dziwię
się że rządy widzą to jako pewien rodzaj zagrożenia dla własnych
finansów. Gdybyś w okolicy lat 70-tych nacisnął na producentow
półprzewodników to chipy byly by dostepne. Nie były by tak wypasione
kryptograficznie, ale równiez komputery nie byly by tak wypasione aby je
złamać. Powoli ewolucja wykształciła by system bez błedów i z
wystarczająca skutecznością już wtedy.

> Uzyteczne z bugami :-)

Bugi są wszedzie. To nie oznacza że nie nalezy używać technologii.
Prezerwatywy trafiają się z dziurami. To nie oznacza że nie ma sensu ich
używac.

> Ale nie kradziezy.

PIN.

>> Nie. Z prostej przyczyny. Dowód może być tokenem, takim na pin.
>> Zgubienie nic nie da zlodziejowi. Wtedy nawet internet nie jest
>> potrzebny żeby dowód nie dał się użyć.
> Owszem, ale o tym nie napisales :-)

Bo to oczywiste, karty z pinem sa produkowane i używane. Nie widze
problemu aby dowód miał pin. Ba, nawet z małą klawiaturą w *dowodzie* bo
terminalom nie wolno ufać.

> Poza tym wyobrazasz sobie starsze babcie ze swoim 6-cyfrowym pinem ?

Nie wyobrażam sobie. Ale też nie zarabiam 1mln $ rocznie za grzanie
stołka na stanowisku ministra. Przeciez oni zarabiają kasę nie bez
powodu, prawda? Inteligentniejsi sie ode mnie, prawda? To niech wymyślą
jak rozwiązać problem osób starszych. Ja zaryzykuje że starsza osoba
może się pokusić o pełnomocnika, bo w końcu nie podpisujesz 40 umów na
dobę. Pole do nadużyć jest oczywiscie, ale to tak samo jak z prezerwatywami.

A co z debilami? Schizofrenikami? Prawnikami? Lekarzami? Kopiacymi rowy?
Im wszystkim też nieogranianie technologii może utrudniać życie.
Sugeruje wobec tego żeby te 2% społeczeństwa mialo prawo wyłaczyć
podawanie pinu. Na własne ryzyko. Niech reszta ludzi nie będzie równana
w dół.

>>> No i zapomniales o przylozeniu palca do czytnika linii papilarnych.
>> Nie jest to konieczne.
> Ale najlepsze. Po kontroli palca oczywiscie.
> U notariusza tez mogliby podpisujacy palec przykladac, elektroniki do
> tego nie trzeba :-)

Nie wiem jaka moc obliczeniowa jest potrzebna aby rozpoznać palec, ale
coś czuje że spora. Poszlibyśmy w spore koszty, a tłuszcz, tfu, warstwa
lipidowa, skutecznie ujawnia linie. Pin mozna podejrzeć na kamerze.
Telepatie można podsluchać. O kurcze, to lepiej używajmy podpisów i
niech wszyscy wszystkich moga oszukać w imię sprawiedliwości społecznej.

>>>> Skopiować się nie da.
>>> Poczekamy, zobaczymy.
>> Jedyne znane obecnie atak na chipy w kartach kredytowych to exploit na
>> *oczywisty* błąd z flaga "pin ok" oraz dziadostwo algorytmiki mifare
>> wynikające z nadęcia i ignorancji inżynierów Philipsa.
> Kiedys ktos moze zlamac RSA i bedzie

I będzie wymana dowodów na takie z innym algo szyfrującym o równie
ładnym 3-literowym skrócie. Problem sloved.

PS. Już widze osiedlowego kibola który w przerwie napierdalania się po
psyku łamie RSA na gejfonie. Nikłe szanse.

>> Widzisz jakiś problem? Jedna ustawa, wprowadzamy za tydzień, przychodnie
>> znajdą fundusze. Oni sa *naprawdę* bogaci. Nie takie zarządzenia NFZ
>> potrafi wymyśleć.
> I ustawa polozy kable w calym kraju i da lekarzom komputery.

Nikogo to nie obchodziło. Koszty poniosły przychodnie.

> Pamietaj, ze jak to wprowadzali, to Slask byl rejonem
> wysokozurbanizowanym i bogatym, a Podlasie nisko i biednym.

To naprawde nie był żaden problem, nikogo nie interesuje jaki to region.
Ma być i już. Myślisz że ktokolwiek przejmował się problemami z
zasiegiem internetu w tamtych czasach?

Ponadto internet jest niezbedny tylko jeśli chcesz mieć "sekundowe
zastrzeganie". PIN na dowód powoduje że nie jest to super niezbędne.

> Teraz problemow by nie bylo ... ale tez NFZ rozwija inne metody, np
> sprawdz swoj rejestr.

To przerzucanie detekcji naciagaczy na pacjenta. "Weź se Pan tu sprawdź
co tydzień czy ktoś NFZ nie oszkuje". I znowu: są środki techniczne ale
głąby u władzy.

> No i np mama narzeka "lekarz mnie nie przyjal, bo ... awaria
> komputerow". No dobra, poszla na drugi dzien, akurat u niej roznicy
> wielkiej nie bylo, smierc nie grozila.

Systemy są projektowane pod kątem awarii. Ale one praktycznie już nie
występują w "całym szpitalu" co najwyżej jakaś lekarka wsadziła
dyskietkę odwrotnie popychając młoteczkiem neurologicznym (przypadek
autentyczny). Jak prąd wyłaczą to i tak z innych przyczyn nie kupisz
telefonu, nie załatwisz kredytu itp bo uzależnienie od komputera jest
już za duże.

>> W ogólnosci tajne algorytmy szyfrowania nie są bezpieczniejsze od
>> jawnych. Często natomiast udowodniono matematycznie tezę odwrotną.
>> Mifare jest tego przykładem.
> W ogolnosci, to dzieki opublikowanu DES czy RSA mozna powiedziec
> "dziesiatki tysiecy ludzi nad tym pracuja i nikt nie zlamal".
> Ale czy na pewno nikt ? A jakbys wpadl na pomysl jak zlamac, to bys
> opublikowal, czy poszukal kto da wiecej?

Mówisz o czyms innym. Tak, dzięki komputerom kwantowym prawdopodobnie
możliwe będzie łamanie konsumenckich szyfrów w sposob oplacalny. Ale
dostep do nich mają tylko duże organizacje. Nie przypusczam żeby były
one zainteresowane braniem na Ciebie kredytu w firmie "Zenek i Siara
szybkie kurwa chwilowki".

Atakującymi są ludzie bez infrastruktury. Dla nich nawet bardzo kiepskie
zabezpieczenia informatyczne są absolutnie nie do przeskoczenia.

> Szyfr tajny nie musi byc bezpieczny, bo sprawdzajacych jest znacznie
> mniej, tym niemniej sporo utrudnia hakerom, jesli nie wiedza nic.

Od dawna nie musimy znać algorytmów, analizuje się szyfry używając
metoda statystycznych na zasadzie czarnej skrzynki.

> No coz - najprosciej polaczyc oba - najpierw zaszyfrowac tajnym
> algorytmem, potem jawnym, mamy sile obu.

Nie. Tak samo jak zaszyfrowanie 2x algorytmem jawnym nie spowoduje że
masz 2x lepiej zaszyfrowane.

>> Trywialnie. Jedynie mi znanym kodem którego nie używam do innych celow
>> jak jednorazowe zablokowanie dowodu. Killer code. Podaje w urzędzie 3
>> cyfrową liczbę i dowód zablokowany. Widzisz tu jakiś problem poza faktem
>> że nalezy go zapamiętać?
> To jest wystarczajacy problem. 3 cyfrowa liczba nigdy nie uzywana ...

Dla mnie żaden. Że 5% populacji ma z tym kłopot? No i co z tego.

> myslisz, ze dlugo bedziesz pamietal ?

Tak. Od tego zależą moje pieniądze a być może wiele innych gorszych
rzeczy. Zenek i Siara mogą nie bawić sie w komornika tylko używać
ciekawszych metod pracy operacyjnej.

> Nigdy nie dzwoniles do banku "prosze podac 3-cia, 5 i 6-ta cyfre
> telekodu" ... jakiego k* telekodu ?

Nie dzwonie do banku. Pamiętam za to sporo haseł do nieistniejących już
rzeczy.

To może indywidualnie ustawiane pytanie<->odpowiedź?

Nie, lepiej: strona w necie w ktorą wpisujesz ciąg znaczków z kartki
schowanej pod pościelą 6 lat temu.

Pfff... wygląda na to że jest wiele mozliwości zrobienia killer code. I
nie jest to niezbedne do bezpieczeństwa, tylko jako helper.

>> Pół prawdy to całe kłamstwo. Pół moralności to całe zło.
> No widzisz - policjant nie mial oporow z wzieciem 100 zl za nadmierna
> predkosc, ale 2000 od pijanego juz nie bral.
> Kurier nie a skrupulow, aby sie podpisac za klienta jesli ma premie za
> dostarczenie przed 17-ta, ale paczke dostarczy.
> Bank cie na polisolokate namowi, ale falszywego kredytu nie zalozy.
> Choc pojedynczy pracownikom moze sie zdarzyc. Itp.

Dlatego sa środki technicze eliminujace takie małe gówna z życia. Nie
używamy ich z wielu powodów, wiele z nich wynika z faktu że pewne grupy
żyją z nich.