Dnia Sun, 13 Dec 2015 14:07:27 +0100, Sebastian Biały napisał(a):
> On 2015-12-13 12:58, J.F. wrote:
>>> Jak już napisałem, podważenie takiej umowy jest trywialne. Przy
>>> odrobinie środków technicznych mogło by się odbywac z urzędu.
>> Mowilismy zdaje sie o kims, kto dowod falszywy wyrabia i po chwilowke
>> sie udaje. Czemu mialby prawdziwe dane innej osoby na nim zamieszczac?
>
> Nie musi bo chwilówki nie chcą / nie mogą werfikować. Zasada działania
> chwilówek polega m.in. na tym aby zaskoczyc jakiegoś Kowalskiego
> wejściem na pensę. Zanim się zorientuje komornik pobierze co trzeba a to
> jest nieodwracalne. Chwilówka zadowolona, komornik swoje pobrał,
> Kowalski naplacze się do mediów, przyschnie i następny. Chwilówki czasem
> świadomie dają "złe" kredyty. Mają doskonałe rozeznanie jak ściągnąć
> kasę z przypadkowego obywatela i doskonale wiedzą że za 2tyś nikt nie
> będzie chodził do sądu ani płaszczył się przed komornikiem.

Na razie to chwilowki dzialaja chyba jednak dzieki wysokiemu
procentowi, i moze hodowaniu dlugow u rzeczywistych dluznikow.
Wysoki procent u rzetelnego dluznika moze nie byc taki straszny, bo
jak zamierza splacic w 2-3 miesiace, to nie wyglada to zle.

> W przypadku umowy z telekomem na drogi telefon możliwości weryfikacyjne
> mogły by istnieć (dostęp weryfikujacy do bazy PESEL) gdyby tylko
> chcieli. Ale nie chcą.

Nie wiem czy nie chca, czy im rzady odmawiaja. Bo to panie ustawa,
ochrona itp. Banki nie maja, UFG nie ma ...

> Postuluje zeby każda umowa wymuszała podpis elektroniczny. Wiele typów
> oszustw nie będzie mialo wtedy miejsca.

Podpis elektroniczny w krajowym wydaniu jest po prostu za drogi.
A w razie upowszechnienia upowszechnia sie tez przekrety.

Zobacz - bankom powinno zalezec na pieniadzach, a widziales gdzies
karte kredytowa z klawiatura, zeby klient musial najpierw karte pinem
odblokowac ?

>>> Patent to końcowka lat 60-tych. Praktyczne implementacje to końcówka lat
>>> 70tych. Użyteczne od 20 lat. Pierwsza mifare to połowa 90tych. Tak, wiem
>>> że mifare mają bugi security, ale nie o to chodzi tutaj.
>> No wlasnie - uzyteczne od 20 lat, a nie od 40.
>
> Nie. 40 lat temu były środki techniczne, ale nie było nacisku.
> Pielęgnowanie tego dziadostwa wykarmia całe tabuny prawników, nie dziwię
> się że rządy widzą to jako pewien rodzaj zagrożenia dla własnych
> finansów. Gdybyś w okolicy lat 70-tych nacisnął na producentow
> półprzewodników to chipy byly by dostepne.

Po 50$ sztuka.

> Nie były by tak wypasione
> kryptograficznie, ale równiez komputery nie byly by tak wypasione aby je
> złamać. Powoli ewolucja wykształciła by system bez błedów i z
> wystarczająca skutecznością już wtedy.

No ale mialbys mase problemow, ze nowy bankomat i stara karta.

Po prostu - karty przynosily wystarczajacy dochod w wersji zelazko,
pasek magnetyczny - po co sobie utrudniac ?

>>>> No i zapomniales o przylozeniu palca do czytnika linii papilarnych.
>>> Nie jest to konieczne.
>> Ale najlepsze. Po kontroli palca oczywiscie.
>> U notariusza tez mogliby podpisujacy palec przykladac, elektroniki do
>> tego nie trzeba :-)
> Nie wiem jaka moc obliczeniowa jest potrzebna aby rozpoznać palec, ale
> coś czuje że spora. Poszlibyśmy w spore koszty, a tłuszcz, tfu, warstwa

50-100$ kiedys, a dzis dostepne w produktach za 200-500, stanowiac
ulamek ceny.

> lipidowa, skutecznie ujawnia linie. Pin mozna podejrzeć na kamerze.
> Telepatie można podsluchać. O kurcze, to lepiej używajmy podpisów i
> niech wszyscy wszystkich moga oszukać w imię sprawiedliwości społecznej.

Oczywiscie, tym niemniej taki odcisk palca u notariusza bylby powaznym
dowodem, a kosztuje tyle co tusz do pieczatek.

>>>>> Skopiować się nie da.
>>>> Poczekamy, zobaczymy.
>>> Jedyne znane obecnie atak na chipy w kartach kredytowych to exploit na
>>> *oczywisty* błąd z flaga "pin ok" oraz dziadostwo algorytmiki mifare
>>> wynikające z nadęcia i ignorancji inżynierów Philipsa.
>> Kiedys ktos moze zlamac RSA i bedzie
>
> I będzie wymana dowodów na takie z innym algo szyfrującym o równie
> ładnym 3-literowym skrócie. Problem sloved.
>
> PS. Już widze osiedlowego kibola który w przerwie napierdalania się po
> psyku łamie RSA na gejfonie. Nikłe szanse.

A kto tu mowi o osiedlowym kibolu ?
Ktos zlamie, a potem kibol pojdzie do banku.

Kibol sprzetu do skimmingu nie zrobi, falszywej strony banku nie
zrobi, a interes sie kreci.

>>> Widzisz jakiś problem? Jedna ustawa, wprowadzamy za tydzień, przychodnie
>>> znajdą fundusze. Oni sa *naprawdę* bogaci. Nie takie zarządzenia NFZ
>>> potrafi wymyśleć.
>> I ustawa polozy kable w calym kraju i da lekarzom komputery.
> Nikogo to nie obchodziło. Koszty poniosły przychodnie.

Przychodnia komputery owszem - kupi. Ale kabli nie polozy.

>> Pamietaj, ze jak to wprowadzali, to Slask byl rejonem
>> wysokozurbanizowanym i bogatym, a Podlasie nisko i biednym.
>
> To naprawde nie był żaden problem, nikogo nie interesuje jaki to region.
> Ma być i już. Myślisz że ktokolwiek przejmował się problemami z
> zasiegiem internetu w tamtych czasach?

No ale dlatego nikt go nie wymagal.

> Ponadto internet jest niezbedny tylko jeśli chcesz mieć "sekundowe
> zastrzeganie". PIN na dowód powoduje że nie jest to super niezbędne.

W zaleznosci od dlugosci - jest szansa, ze trafisz w jakims dowodzie.

Albo przylozysz noz do gardla i delikwent powie. To wszystko juz
testowane.

>> Teraz problemow by nie bylo ... ale tez NFZ rozwija inne metody, np
>> sprawdz swoj rejestr.
> To przerzucanie detekcji naciagaczy na pacjenta. "Weź se Pan tu sprawdź
> co tydzień czy ktoś NFZ nie oszkuje". I znowu: są środki techniczne ale
> głąby u władzy.

30 mln kontrolujacych to lepiej niz 3 tys musisz przyznac.
A niektorzyt szybko by sie nauczyli omijac.

>> No i np mama narzeka "lekarz mnie nie przyjal, bo ... awaria
>> komputerow". No dobra, poszla na drugi dzien, akurat u niej roznicy
>> wielkiej nie bylo, smierc nie grozila.
> Systemy są projektowane pod kątem awarii. Ale one praktycznie już nie
> występują w "całym szpitalu" co najwyżej jakaś lekarka wsadziła
> dyskietkę odwrotnie popychając młoteczkiem neurologicznym (przypadek
> autentyczny). Jak prąd wyłaczą to i tak z innych przyczyn nie kupisz
> telefonu, nie załatwisz kredytu itp bo uzależnienie od komputera jest
> już za duże.

Ale sluchawka lekarza bez pradu dziala.


>>> W ogólnosci tajne algorytmy szyfrowania nie są bezpieczniejsze od
>>> jawnych. Często natomiast udowodniono matematycznie tezę odwrotną.
>>> Mifare jest tego przykładem.
>> W ogolnosci, to dzieki opublikowanu DES czy RSA mozna powiedziec
>> "dziesiatki tysiecy ludzi nad tym pracuja i nikt nie zlamal".
>> Ale czy na pewno nikt ? A jakbys wpadl na pomysl jak zlamac, to bys
>> opublikowal, czy poszukal kto da wiecej?
>
> Mówisz o czyms innym. Tak, dzięki komputerom kwantowym prawdopodobnie
> możliwe będzie łamanie konsumenckich szyfrów w sposob oplacalny. Ale
> dostep do nich mają tylko duże organizacje.

No, akurat DES juz nie jest bezpieczny - lamac mozna za cene nieomal
prywatna. Za malo skomplikowany.

>> Szyfr tajny nie musi byc bezpieczny, bo sprawdzajacych jest znacznie
>> mniej, tym niemniej sporo utrudnia hakerom, jesli nie wiedza nic.
> Od dawna nie musimy znać algorytmów, analizuje się szyfry używając
> metoda statystycznych na zasadzie czarnej skrzynki.

Ta, szczegolnie jesli nie masz pojecia co jest w srodku.

>>> Trywialnie. Jedynie mi znanym kodem którego nie używam do innych celow
>>> jak jednorazowe zablokowanie dowodu. Killer code. Podaje w urzędzie 3
>>> cyfrową liczbę i dowód zablokowany. Widzisz tu jakiś problem poza faktem
>>> że nalezy go zapamiętać?
>> To jest wystarczajacy problem. 3 cyfrowa liczba nigdy nie uzywana ...
> Dla mnie żaden. Że 5% populacji ma z tym kłopot? No i co z tego.

99% populacji nie zapamieta.

>> Nigdy nie dzwoniles do banku "prosze podac 3-cia, 5 i 6-ta cyfre
>> telekodu" ... jakiego k* telekodu ?
> Nie dzwonie do banku.

I wlasnie dlatego nie bedziesz pamietal :-)

>>> Pół prawdy to całe kłamstwo. Pół moralności to całe zło.
>> No widzisz - policjant nie mial oporow z wzieciem 100 zl za nadmierna
>> predkosc, ale 2000 od pijanego juz nie bral.
>> Kurier nie a skrupulow, aby sie podpisac za klienta jesli ma premie za
>> dostarczenie przed 17-ta, ale paczke dostarczy.
>> Bank cie na polisolokate namowi, ale falszywego kredytu nie zalozy.
>> Choc pojedynczy pracownikom moze sie zdarzyc. Itp.
>
> Dlatego sa środki technicze eliminujace takie małe gówna z życia. Nie
> używamy ich z wielu powodów, wiele z nich wynika z faktu że pewne grupy
> żyją z nich.

Zaszyc policjantom kieszenie, czy pelny monitoring w radiowozach ? :-)

J.