EXIF thumbnailid
Tõnu Samuel
http://www.jes.ee/~tonu/exif.php
Sama asja lähtekood on:
http://www.jes.ee/~tonu/exif.txt
Tõnu
Sven
Hei!
Jäi veidi segaseks, milles point on.
parimat,
Sven
Kaido Orav
ta avalikuks kui ise näeb.
"Sven" <sven_u...@metal.ee> wrote in message
news:4429132b$0$77199$bb62...@diablo.uninet.ee...
Tõnu Samuel
Hei!
>
> Jäi veidi segaseks, milles point on.
Digikaameratel on patarei hoidmiseks ja kiiruse tõstmiseks kasutusel nipp,
et fotost tehakse thumbnail, mida siis LCD peal hea kiire näidata on.
Reaalne pilt on tihti megades ja selle mahaskaleerimine on raske töö.
Vahel jääb see thumbnail pildi sisse väga kauaks. Tihti säilitab infot ka
peale croppimist ja muid muudatusi. Vahel sisaldab thumbnail üldse muud
pilti. Vahel teeb kaamera 2 fotot - ühe alguses thumbnaili ja igasuguste
parameetrite mõõtmiseks, siis teise ja korraliku. Siis võib ajaline nihe
nende piltide vahel olla sekundites ja pildi sisu küllaltki erinev. Nähtud
eelkõige mobiilidega tehtud fotode korral.
Tõnu
Paavo Sild
Iseenesest ju huvitav. Nüüd võiks kõik saadaval olevad pildid seal
scriptiga üle jalutada ja teha statistikat kasutusel olevate seebikate
kohta...
---
rgds,
Paavo Sild
(NB! from address before @ is ROT13 encoded)
PS
> Iseenesest ju huvitav. Nüüd võiks kõik saadaval olevad pildid seal
> scriptiga üle jalutada ja teha statistikat kasutusel olevate seebikate
> kohta...
Ei, ee.arvutid.turvalisus-es pole kasutusel olevate seebikate statistika
üldse huvitav.
Huvitav on hoopis see mida fotokas natuke aega enne pildistamist nägi,
aga peremehele enam triviaalselt ei näita.
Nüüd kõik see kamp komprat otsima!
--
petslane :-)
Sven
> nende piltide vahel olla sekundites ja pildi sisu küllaltki erinev. Nähtud
> eelkõige mobiilidega tehtud fotode korral.
Tänud!
Selle peale ise ei tulnudki:)
Sven
Tõnu Samuel
>
> Nüüd kõik see kamp komprat otsima!
Kui leiate, teatage mullegi. Ma ei viitsinud mujalt kui reidist oluliselt
otsida. kapo.ee ja fbi.ee tagaotsitavad vaatasin ka üle ja nipet-näpet
mujaltki aga ei midagi huvitavat. Tegelikult on neid pilte väga raske
leida, kus huvitav info sees oleks. Eks ma ka tegelikult robotiga otsisin
aga see on omaette teema. Tahtsin rohkem probleemile tähelepanu tõmmata.
Tõnu
vtl
> Kes tahab teada, mida rate.ee pildid endas veel sisaldavad,
> võib vaadata: http://www.jes.ee/~tonu/exif.php
kui koeral midagi teha pole, siis lakub ta mune...
tõnu on enda jaoks avastanud exif-i ja rate.ee pildid.
vinge.
--
vootele
Sven
Omavahel öeldes - vtl... Kas Sul on palju tegemist ja kas Sul _mõne_
teema alla mõni asjalik kommentaar ka lisada on?
Tänan,
Sven
Ivar Zarans
> kui koeral midagi teha pole, siis lakub ta mune...
Nunuh. Teine populaarne mittemillegi tegemise meetod on igale postitusele
mingi repliigi lisamine. Mida sapisema, seda vingem. :)
--
Ivar
vtl
> Nunuh. Teine populaarne mittemillegi tegemise meetod on igale
> postitusele mingi repliigi lisamine. Mida sapisema, seda vingem. :)
kui sulle ja svenile minu (sapine) repliik arusaamatuks jäi,
siis katsuks pikemalt põhjendada.
minu arvates on exif info (s.h. thumbnailide) olemasolu
selline elementaarne käibetõde, mis ei ulatu iseenesest
turvagrupi tasemeni.
iseküsimus on asjaolu, et amatöörid, kes rate.ee-sse
oma mobiili- ja seebikapilte postitavad, ei valda reeglina
pilditöötlusprogramme ning jätavad (ilmselt paljuski
teadmatusest) exif-i koristamata/korrastamata.
minu repliigi teine pool käis selle kohta, kas ka SEE
info on midagi uudset ja väärib turvagrupis lahkamist?
aga tõnu tähelepaneku kohta ütleks lihtsalt: tubli. istu, viis.
--
vootele
Kill Kask
amatöörid.
Miski pole elementaarne. Ja niiöelda
tavakasutajate elementaarsed eksimised
ja vead on enim tõenäolisemad.
Isegi wordi ja exceli meta-info
(dokumendi või selle põhja ajalugu - eelmine
autor, pealkiri, versioonid, arvuti
kasutaja info), selle üle vaatamine pole
enamikele arvutikasutajatele
(sh IT-spetsidele) elementaarne.
Rääkimata EXIF, IPTC erinevatest versioonidest,
aparaatide raudvara ja tarkvara võimalustest.
vtl wrote:
> minu arvates on exif info (s.h. thumbnailide) olemasolu
> selline elementaarne käibetõde, mis ei ulatu iseenesest
> turvagrupi tasemeni.
> minu repliigi teine pool käis selle kohta, kas ka SEE
> info on midagi uudset ja väärib turvagrupis lahkamist?
> iseküsimus on asjaolu, et amatöörid,
Marek Mänd
> Tõnu Samuel wrote:
>> Kes tahab teada, mida rate.ee pildid endas veel sisaldavad, võib
>> vaadata:
>> http://www.jes.ee/~tonu/exif.php
>> Sama asja lähtekood on:
>> http://www.jes.ee/~tonu/exif.txt
> Jäi veidi segaseks, milles point on.
Vaata seda siis
http://www.jes.ee/~tonu/exif.php?src=http://pics.rate.ee/dating/1/3/e/13e57638702.jpg
Tüdruku pildi asemel on thumbnailis hoopis 2 alkoholipudelit ja
sidrunitaoline apelsin akna peal.
Marek Mänd
Või siis see
http://www.jes.ee/~tonu/exif.php?src=http://pics.rate.ee/dating/1/3/e/13e57638733.jpg
kus lumes hüppava tüdruku asemel on thumbnailis hoopis aiapiirde ääres
olev taksikoer.
Marek Mänd
> no kujuta ette et keegi paneb pildi üles aga ei tea et midagi rohkemat
> teeb ta avalikuks kui ise näeb.
Te minge otsige siis presidendist tehtud fotosid, äkki on seal
thumbnailina kadriorgia ka peal... ;P
Tõnu Sergo
>> Vaata seda siis
>> http://www.jes.ee/~tonu/exif.php?src=http://pics.rate.ee/dating/1/3/e/13e57638702.jpg
>>
>>
>> Tüdruku pildi asemel on thumbnailis hoopis 2 alkoholipudelit ja
>> sidrunitaoline apelsin akna peal.
>
> Või siis see
>
> http://www.jes.ee/~tonu/exif.php?src=http://pics.rate.ee/dating/1/3/e/13e57638733.jpg
>
> kus lumes hüppava tüdruku asemel on thumbnailis hoopis aiapiirde ääres
> olev taksikoer.
Pole küll enam turvateema aga kas mõni seebikarp nii käitubki, et teeb thumbnaili
mitte reaalselt pildistatud kaadrist vaid sel hetkel kui mingi objekti fookusesse
võtan? Muidugi on ka hulk muid võimalusi, kuidas selline asi seebikast sõltumatult
juhtuda saab aga need on suhteliselt vähetõenäolised.
Tõnu Samuel
> Pole küll enam turvateema aga kas mõni seebikarp nii käitubki, et teeb
Kusjuures minu arvates on tegemist just turvaprobleemiga :). Kujuta nüüd
ette kui oma arust pildistad miskit materjali veebi panemiseks aga pärast
selgub, et pildile on miskit sensitiivset ka jäänud? Või vastupidi. Siin
http://www.jes.ee/~tonu/exif.php?src=http://pics.rate.ee/dating/1/6/8/16834580031.jpg
tuleb välja keskkond, kus pilt on tehtud. Pedofiile taga ajavale politseile
täiesti asjalik juhtniit.
Huvitav on ka see, et pildid on hakanud kaduma :). Mitmed näited ei tööta
enam.
Tõnu
Ivar Zarans
> minu arvates on exif info (s.h. thumbnailide) olemasolu
> selline elementaarne käibetõde, mis ei ulatu iseenesest
> turvagrupi tasemeni.
Exif-i olemasolu on tõepoolest elementaarne. Tõnu aga jagas ka niisugust
infot:
===
Vahel sisaldab thumbnail üldse muud
pilti. Vahel teeb kaamera 2 fotot - ühe alguses thumbnaili ja igasuguste
parameetrite mõõtmiseks, siis teise ja korraliku. Siis võib ajaline nihe
nende piltide vahel olla sekundites ja pildi sisu küllaltki erinev. Nähtud
eelkõige mobiilidega tehtud fotode korral.
===
Kuna ma ei ole mingi digipildiguru, siis see telefonide kohta käiv info tuli
vähemalt minu jaoks uudisena. Ja teatava reservatsiooniga kvalifitseerub
see turvalisti teemaks küll.
Ühesõnaga - Tõnu jutt sisaldas vähemalt mingisugustki kasulikku infot. Sinu
repliigi infosisaldus oli aga paraku samaväärne munade lakkumisega. :)
--
Ivar
Tõnu Samuel
> Te minge otsige siis presidendist tehtud fotosid, äkki on seal
> thumbnailina kadriorgia ka peal... ;P
Vabalt võib olla, et mingid fotod, kus inimese nägu on uduseks tehtud, saab
taastada.
Tõnu
Tõnu Samuel
> Pole küll enam turvateema aga kas mõni seebikarp nii käitubki, et teeb
> thumbnaili mitte reaalselt pildistatud kaadrist vaid sel hetkel kui mingi
> objekti fookusesse võtan? Muidugi on ka hulk muid võimalusi, kuidas
> selline asi seebikast sõltumatult juhtuda saab aga need on suhteliselt
> vähetõenäolised.
Mul on olemas konkreetne keiss, kus Motorola E398 thumbnail on igati OK kuid
see pilt mida arvutiprogrammid näevad on täielik mõttetu udu, kuna kaamera
liikus. Mingid tarkvarabugid tunduvad ka vahel olema. Ühel kasutajal olid
mitmed fotod, kõik just sellised, et thumbnail sisaldas mingit fookusest
väljas olevad jama. Telefon teeb taskus pilti?
Tõnu
Virgo Inno
news:442945e5$1...@news.estpak.ee...
> minu arvates on exif info (s.h. thumbnailide) olemasolu
> selline elementaarne käibetõde, mis ei ulatu iseenesest
> turvagrupi tasemeni.
Pole vaja lärtsuda. Minu jaoks igastahes oli selline "võimalus" uudiseks.
Ega kõik inimesed igapäevaselt pildinikerdamisega tegele.
v
Sven
> Kuna ma ei ole mingi digipildiguru, siis see telefonide kohta käiv info tuli
> vähemalt minu jaoks uudisena. Ja teatava reservatsiooniga kvalifitseerub
Sama siin. Ei tegele ise peaaegu üldse fotondusega ja selle tõttu pole
varem sellise info otsa sattunud. Väga hea teada!
svn
Arno Arengu
wrote:
> Exif-i olemasolu on tõepoolest elementaarne. Tõnu aga jagas ka niisugust
> infot:
Küsimus oleks, kas EXIF info muutmine on raskendatud või miks seda pole
siiamaani lihtne teha. Digiga veel ei tegele, seega kunagi otsitud kiire
ainult EXIF editor jäi leidmata. Selline, millega saaks suvalist võimaliku
infot muuta... Pole ette nähtud?
Ivar Zarans
> Küsimus oleks, kas EXIF info muutmine on raskendatud või miks seda pole
> siiamaani lihtne teha. Digiga veel ei tegele, seega kunagi otsitud kiire
> ainult EXIF editor jäi leidmata. Selline, millega saaks suvalist võimaliku
> infot muuta... Pole ette nähtud?
Tegelikult on EXIF info muutmine üsna lihtne. Siin kaks abiks vahendit:
ExifTool - http://www.sno.phy.queensu.ca/~phil/exiftool/
JHead - http://www.sentex.net/~mwandel/jhead/
Miks seda aga ei tehta? Pilditöötlustarkvara ilmselt jätab selle info
täiesti teadlikult alles - säilib ju nii info originaali kohta ja see on
enamalt jaolt üsna hea ja kasulik. Kuna suur hulk inimesi aga ei ole Exif
headeri olemasolust ja võimalustest teadlik, siis nad ei taipa seda enne
piltide veebi riputamist ära koristada
--
Ivar
vtl
> Exif-i olemasolu on tõepoolest elementaarne.
> Tõnu aga jagas ka niisugust infot:
> ===
> ...Nähtud eelkõige mobiilidega tehtud fotode korral.
> ===
> Kuna ma ei ole mingi digipildiguru, siis see telefonide
> kohta käiv info tuli vähemalt minu jaoks uudisena.
telefonijutt minu jaoks ka.
kuna a) kõik minu käest läbi käinud digifotokad (seebikatest
kuni digipeegliteni) ning b) kolm minu kasutuses olnud
fotokaga mobiili on teinud thumbe korrektselt, siis ei võtnud
ma postitatud probleemi kuigi tõsiselt.
> Sinu repliigi infosisaldus oli aga paraku samaväärne
> munade lakkumisega. :)
JA kuna vahetult enne seda lugesin juttu sellest, et kuskil
on php auk ja inimesed peaksid elu üle järele mõtlema;
JA eelmisel õhtul lugesin minut.ee-st sama autori artiklit
teemal "ostis endale uue ibm lapaka, mis erineb eelnevast
lapakast selle poolest, et mahub bussis istme vahel lahti";
SIIS mingil hetkel lihtsalt kihvatas, minus tärkas
kodanikukohus ja kutsusin tegelast läbi satiiriprisma korrale.
vabandan kõikide ees, kes ennast minu repliigist puudutatuna tundsid.
--
vootele
Ivar Zarans
> JA kuna vahetult enne seda lugesin juttu sellest, et kuskil
> on php auk ja inimesed peaksid elu üle järele mõtlema;
> JA eelmisel õhtul lugesin minut.ee-st sama autori artiklit
Blablabla... :)
Ühesõnaga, "argumentum ad hominem" - kuna Sulle Tõnu kirjutised pinda
käisid, siis ei olnud siinkohal lugemine ja tekstist arusaamine enam
vajalik, võis kohe mune lakkuma hakata? ;)
> vabandan kõikide ees, kes ennast minu repliigist puudutatuna tundsid.
Pole hullu, loodetavasti teed ka Sina vajalikud järeldused :)
--
Ivar
Tõnu Samuel
> Küsimus oleks, kas EXIF info muutmine on raskendatud või miks seda pole
> siiamaani lihtne teha. Digiga veel ei tegele, seega kunagi otsitud kiire
> ainult EXIF editor jäi leidmata. Selline, millega saaks suvalist võimaliku
> infot muuta... Pole ette nähtud?
Käsurea jubinad jhead ja exif sisaldavad miskeid võtmeid nende piltidega
manipuleerimiseks - saab ära korjata, lisada, extractida.
Tõnu
Tõnu Samuel
> JA kuna vahetult enne seda lugesin juttu sellest, et kuskil
> on php auk ja inimesed peaksid elu üle järele mõtlema;
Nii ta on. Kuskil 1997 paiku kui ma postitasin newsi nupu SQL injectioni
ohtlikkusest tuli samasugune pasalaviin kaela, kus räägiti inseneri
mõtlemisest ja sellest, et sellised progejad tuleks lahti lasta. Praegu on
aasta 2006 ja ma otsin igas riigis, kus koolitusi pean mõne huvitava augu
klassile. UK-s eelmine nädal oli SQLi auk Inglise Keskpangas. Tänasest on
üüs koolitus ja eks ma vaatan mõne asja lähemalt valmis.
Aja jooksul on tekkinud kogemus, et sama asi kordub jälle ja jälle ning on
miskid tüüpasjad, millega eksivad kõik peale Vootele. Võimalik, et ongi nii
kõva mees. Enamus ei ole.
Mingi tüüpiliste vigade loetelu, mis ei ole kuhugi kadunud (peast panen):
* Igasugu puhvri jamad. Viimane PHP asi on ka ohtlik, mis sest et paljud
sellest aru ei saa.
* Igasugu kataloogides ".."-ga kolamine. Microsofti võrgud, IIS ja IE on
selles suhtes supernäited. Alates Windows 3.11 aegadest kuni siiani kordub.
* Vaikeparoolid alias backdoorid mingites tarkvarades ja riistvarades.
Oracle 10g install näiteks küsib, et "kas paneme kõigidele kontodele sama
parooli?"
* Telefonitehnika phreaking (tõuseb jälle aktiivselt päevakorda)
* Social Engineering (väga kuum teema)
> JA eelmisel õhtul lugesin minut.ee-st sama autori artiklit
> teemal "ostis endale uue ibm lapaka, mis erineb eelnevast
> lapakast selle poolest, et mahub bussis istme vahel lahti";
Jah. Point oligi selles, et on nagu T seeria, ainult mõni oluline asi
paremaks läinud. Mul on nädalas tihti 12 tundi bussis-lennukis vaja olla
ning võimalus seal miskit maili lugeda on äärmiselt abiks. Muus osas on Z
ok.
Tõnu
Meelis Roos
TS> selles suhtes supernäited. Alates Windows 3.11 aegadest kuni siiani kordub.
See on veel vanem - enne oli seda näha näiteks NFS realisatsioonides ja
vabalt võib asi veel vanem olla. Mis olid esimesed võrgufailisüsteemid? ;)
--
Meelis Roos
Tõnu Samuel
See jääb mu nooruse ja silmaringi taha :). Ma võrke enne DOSi ja Lantasticut
ei näinud. Unixilaadsetel pole seda mujal näinud kui veebirakendustes, kus
see on hoopis teise kihi progeja viga. Aga ega kõike ei tea kunagi. Täitsa
hea meelega kuulaks detaile, sest linuxis olen 1995-st alates ja turvaga
sidusin ennast oluliselt hiljem.
Aga suht kindel on see, et ".." on ka 10 aasta pärast aktuaalne.
Tõnu
vtl
> Praegu on aasta 2006 ja ma otsin igas riigis, kus koolitusi
> pean mõne huvitava augu klassile. UK-s eelmine nädal oli
> SQLi auk Inglise Keskpangas...
> [...]
> ...on miskid tüüpasjad, millega eksivad kõik peale Vootele.
> Võimalik, et ongi nii kõva mees. Enamus ei ole.
seda, kuidas sa lennult, loengu käigus "häkid sisse" järjest
uutesse pankadesse, börsile, valitsus- ja militaarasutustesse
jne jne, olen ma palju kordi kuulnud. nii sinu enda käest kui
siin-seal avaldatud artiklites (newsgruppidest õhtuste uudisteni)
võimalik, et sa oledki nii kõva mees. enamus ei ole.
aga selgita palun üks asi lahti - mis asi on sinu jaoks "auk"?
kas "auk" tähendab võimalust kuhugi "sisse saada", nt.
andmeid kopeerida/kustutada/muuta või nimetad sa "auguks"
igagugust mittekorrektset käitumist stiilis otsingukasti läbu
sisestamise peale saad vastuseks kõvera lehe?
(mis jah annab _teoreetilise_ võimaluse edasi minna)
kas "inglise keskpangas leiduva augu" otsimine- leidmine ja
koolitusel õppematerjalina demonstreerimine ei või lõppeda
samamoodi, nagu elioni case, kus tõnu pärast nutab, et
talle tehti suurfirma poolt liiga ja arvutid viidi ära.
> Mul on nädalas tihti 12 tundi bussis-lennukis vaja olla ning
> võimalus seal miskit maili lugeda on äärmiselt abiks.
ja tänapäeval lubatakse lennukites mobiili kasutada või on
parematel lendudel lausa kohalik internetiühendus?
või räägid sa räpina-tartu-tallinn bussist?
--
voo...@ei.liikle.just.kuigi.sagedasti.bussi.ega.lennukiga.ee
Andres Kuusk
> ja tänapäeval lubatakse lennukites mobiili kasutada või on parematel
> lendudel lausa kohalik internetiühendus?
Mobiil palutakse välja lülitada tõusu ja maandumise ajaks.
A.
Tõnu Sergo
> aga selgita palun üks asi lahti - mis asi on sinu jaoks "auk"?
Auk ei tähenda alati võimalust andmeid muuta või kustutada, auk
võib olla ka see, kui neid saab kätte rohkem kui süsteemi looja
poolt ettenähtud. Siin peab muidugi arvestama ka info olemusega...
kui saan mingil moel näiteks ühe päringuga kätte kõik kunagi a'la
delfis avaldatud artiklid, siis on natuke paha lugu kuid samas
midagi hullu sellest ei juhtu. Kui saan mingi trikiga kätte mõne
firma klientide andmed, siis on lood juba kehvemad.
> kas "auk" tähendab võimalust kuhugi "sisse saada", nt.
> andmeid kopeerida/kustutada/muuta või nimetad sa "auguks"
> igagugust mittekorrektset käitumist stiilis otsingukasti läbu
> sisestamise peale saad vastuseks kõvera lehe?
> (mis jah annab _teoreetilise_ võimaluse edasi minna)
Üldiselt on sellega nii, et kui asjale just script-kiddie kombel
ei lähene, annab just "kõver" leht kasulikke vihjeid, mis suunas
edasi tegutseda. "kõveral" ja "kõveral" on muidugi vahe... kui
annan portaalis url-i
http://www.sinu-lemmik-portaal.ee/uudis/?id=sellistid'dteilkyllpole
ja saan vastuseks tühja lehe, pole hullu midagi aga kui saan
<kirjuta siia oma lemmik andmebaasimootor ja/või arendusvahend>
veateate, siis annab see enamasti juba välja infot, mis pole
avaldamiseks mõeldud. Tõsi, sellest ei järeldu veel otseselt, et
infot, mis kaitsmist vajab, lugeda/muuta/kustutada saab kuid suurendab
siiski sellise võimaluse tõenäosust ja suurendab ka oluliselt augu
leidmise tõenäosust kui see süsteemis olema peaks.
> ja tänapäeval lubatakse lennukites mobiili kasutada või on
> parematel lendudel lausa kohalik internetiühendus?
> või räägid sa räpina-tartu-tallinn bussist?
Nime enam ei mäleta aga üks firma kunagi reklaamis, et nende
kontinetidevahelistel lendudel on võimalus interneti kasutada.
vtl
> Üldiselt on sellega nii, et kui asjale just script-kiddie kombel
> ei lähene, annab just "kõver" leht kasulikke vihjeid, mis suunas
> edasi tegutseda...
teame-teame.
see on igal elualal nii. näiteks auto armatuurlaual või klaasinurgas
oleva mahuanduri või kasvõi valgusdioodi krae välimus annab
asjatundjale aimu sellest, milline signalisatsioonisüsteem on
installitud jne jne.
mõnes teises situatsioonis ehk ainult muigaks jutu peale,
kuidas "alles eile häkkisin inglise keskpanka sisse", aga
kuna turvakoolituste müümine on tõnu töö ja leib, siis on mul
esitatud "aukude" suuruse ja sügavuse suhtes oma arvamus.
väga võimalik, et eksin. peaks ise kord kuulama minema.
--
vootele
Tõnu Sergo
> Tõnu Sergo pajatas:
>
>> Üldiselt on sellega nii, et kui asjale just script-kiddie kombel
>> ei lähene, annab just "kõver" leht kasulikke vihjeid, mis suunas
>> edasi tegutseda...
>
> teame-teame.
> see on igal elualal nii. näiteks auto armatuurlaual või klaasinurgas
> oleva mahuanduri või kasvõi valgusdioodi krae välimus annab
> asjatundjale aimu sellest, milline signalisatsioonisüsteem on
> installitud jne jne.
Ma ei mõelnud päris seda... kui näiteks webiserver ennast http
headeris tutvustab, siis see on (eeldatavalt) süsteemi looja
poolt avalikult jagatav info[1] samuti nagu sinu mainitud mahuanduri
või valgusdioodi krae. Pidasin silmas siiski veateateid, mida kasutaja
nägema ei peaks näiteks stiilis "You have an error in your SQL syntax
near 'SELECT kala,kalamees FROM table kala'" või
"Undefined variable: is_admin in line xxx".
[1] - selle info peitmine võib aidata *pisut* turvariske maandada
aga see on juba teine teema.
Tõnu Samuel
> uutesse pankadesse, börsile, valitsus- ja militaarasutustesse
> jne jne, olen ma palju kordi kuulnud. nii sinu enda käest kui
> siin-seal avaldatud artiklites (newsgruppidest õhtuste uudisteni)
>
> võimalik, et sa oledki nii kõva mees. enamus ei ole.
>
> aga selgita palun üks asi lahti - mis asi on sinu jaoks "auk"?
> kas "auk" tähendab võimalust kuhugi "sisse saada", nt.
> andmeid kopeerida/kustutada/muuta või nimetad sa "auguks"
> igagugust mittekorrektset käitumist stiilis otsingukasti läbu
> sisestamise peale saad vastuseks kõvera lehe?
> (mis jah annab _teoreetilise_ võimaluse edasi minna)
Häkkimise jutu võtsid sa praegu meelevaldselt ise üles. Mina räägin
turvaprobleemidest. Näiteks vaatad, mida Google annab kui otsid:
filetype:sql site:nasa.gov
See kuulub kategooriasse "häkime valitsusasutusi". Kategoorias "sisse saada"
võtan otsin mõne md5 kalkulaatori, näiteks http://pajhome.org.uk/crypt/md5/
ning lasen sealt läbi miski tüüpparooli "123456", saan vastuseks
"e10adc3949ba59abbe56e057f20f883e". Otsime Googlega:
e10adc3949ba59abbe56e057f20f883e filetype:sql
Saame hunniku sql dumpe, kus sees kasutajad, koos "krüptitud" paroolidega.
"auk" on www.roscosmos.ru peal SQL injection minnes mööda IDS-st, mis seal
üritab blokeerida kahtlasi asju kui kasutad tühikute asemel
kommentaarimärke. Korjad mõne blabla=123 tüüpi URLi üles ja hakkad lisama:
union select name from sysobjects where name like '%pass%' jne.
"mittekorrektne käitumine" on see, kui lähed www.okia.ee peale ning toksid
otsimootori auku
"<img src=http://hosto.ru/znako/ban-prost.gif>
(jutumärk alguses peab olema)
Milleks seda infot kasutad on juba iseasi. Probleemid on, jäävad ja ainult
suurenevad.
>> Mul on nädalas tihti 12 tundi bussis-lennukis vaja olla ning
>> võimalus seal miskit maili lugeda on äärmiselt abiks.
>
> ja tänapäeval lubatakse lennukites mobiili kasutada või on
> parematel lendudel lausa kohalik internetiühendus?
> või räägid sa räpina-tartu-tallinn bussist?
Kuna sa juba küsid - jah lennukis lubatakse helistada lennukis oleva
satelliittelefoniga ning parematel lendudel on ka internetiühenduse variant
olemas. Maksab ropult, toimib rea komplikatsioonidega ja mina seda ei
kasuta.
Tõnu
Sven
Päris nii ei ole. Kuna endal on tulnud viimasel ajal ikka küllaltki
tihti lennata, siis tean neid tekste ka päris täpselt.
1) Mobiiltelefonid peavad olema välja lülitatud kogu lennukis viibimise ajal
2) Muud elektroonilised seadmed peavad olema välja lülitatud õhkutõusul
ja maandumisel.
Vähemalt Eesti Õhus asi nii käib:)
svn
vtl
>>> ja ma otsin igas riigis, kus koolitusi pean mõne huvitava augu
>>> klassile. UK-s eelmine nädal oli SQLi auk Inglise Keskpangas...
> Häkkimise jutu võtsid sa praegu meelevaldselt ise üles.
> Mina räägin turvaprobleemidest.
tahaks selle jutu peale küsida, kas nimetatud asutused
annavad sulle ise infot oma turvaprobleemidest, või tuleb
see siiski sinu sihipärase otsimise ja tegevuse tulemusena?
> Näiteks vaatad, mida Google annab kui otsid:
võib ju vaielda, kas otsimine on häkkimine või mitte.
nagu kunagi üks tegelane üritas selgeks teha, et
"kui ots on sees, aga ei liiguta, siis pole veel
truudusemurdmine"...
--
vootele
Tõnu Samuel
> tahaks selle jutu peale küsida, kas nimetatud asutused
> annavad sulle ise infot oma turvaprobleemidest, või tuleb
> see siiski sinu sihipärase otsimise ja tegevuse tulemusena?
See on "insenerimõtlemine". :)
P.S. Paneks privas või ee.bullshitas edasi?
Tõnu
Andres Soolo
> Auk ei tähenda alati võimalust andmeid muuta või kustutada, auk
> võib olla ka see, kui neid saab kätte rohkem kui süsteemi looja
> poolt ettenähtud. Siin peab muidugi arvestama ka info olemusega...
> kui saan mingil moel näiteks ühe päringuga kätte kõik kunagi a'la
> delfis avaldatud artiklid, siis on natuke paha lugu
Kui ma saan ühe wget'ijooksutamisega kätte kõik kunagi Delfis avaldatud
artiklid, mis sellest siis paha on?
> kuid samas
> midagi hullu sellest ei juhtu. Kui saan mingi trikiga kätte mõne
> firma klientide andmed, siis on lood juba kehvemad.
Seda küll. Ja "klientide andmed" jagunevad ka erinevatesse kihtidesse.
Nii näiteks on firma, kes müüb pangakaarte, kliendilist hoopis
sensitiivsem, kui firma, kes müüb sadat sorti paberit, kliendilist.
Edasi on pangakaarte müüva firma kliendilist koos kaardinumbritega
sensitiivsem, kui seesama kliendilist ilma kaardinumbriteta. Ja sada
sorti paberit müüva firma kliendilist tähestikulises järjekorras on
vähem sensitiivne, kui seesama kliendilist viimase ostu kuupäeva järgi
sorteerituna.
> Üldiselt on sellega nii, et kui asjale just script-kiddie kombel
> ei lähene, annab just "kõver" leht kasulikke vihjeid, mis suunas
> edasi tegutseda. "kõveral" ja "kõveral" on muidugi vahe... kui
> annan portaalis url-i
> http://www.sinu-lemmik-portaal.ee/uudis/?id=sellistid'dteilkyllpole
> ja saan vastuseks tühja lehe, pole hullu midagi aga kui saan
> <kirjuta siia oma lemmik andmebaasimootor ja/või arendusvahend>
> veateate, siis annab see enamasti juba välja infot, mis pole
> avaldamiseks mõeldud.
Mõnikord küll. Mõnikord aga trigerdub sihandset päringut nähes hoopis
IDS, Sulle genereeritakse fake-veateade ja Su edasist tegevust
jälgitakse ja salvestatakse ja lindistatakse ja ... :-)
> Tõsi, sellest ei järeldu veel otseselt, et
> infot, mis kaitsmist vajab, lugeda/muuta/kustutada saab kuid suurendab
> siiski sellise võimaluse tõenäosust ja suurendab ka oluliselt augu
> leidmise tõenäosust kui see süsteemis olema peaks.
Niisiis, on süsteeme, mille veateateid tuleb lugeda konfidentsiaalseks.
Vootele ütleb loomulikult, et see on igivana ja ammutuntud tõde, aga
praktikas ehitavad paljusid -- sealhulgas ka rohkem või vähem kriitilisi
-- süsteeme inimesed, kes ei ole kursust 'Igivanad ja ammutuntud
turvatõed -- 4ap' läbinud. Ja see on probleem -- ja see aitab musta
mütsiga tegelasi üsna arvestatavalt.
>> ja tänapäeval lubatakse lennukites mobiili kasutada või on
>> parematel lendudel lausa kohalik internetiühendus?
>> või räägid sa räpina-tartu-tallinn bussist?
Mobiiltelefoniga on sedasi, et ta on (reaktiiv)lennukis pigem kasutu
kui ohtlik. Muu pudipadiga on sedasi, et selle oht maandumisel ja
õhkutõusul ei ole niipalju elektrooniline müra, kui see, et portaablid
plastasjad võivad lennuki ootamatu kiirenduste korral nende kasutajate
käest lennata ootamatutesse kohtadesse. Olenevalt konkreetsest riigist
võib selle tagajärjeks olla, et pihtasaaja kaebab lennukompanii kohtusse
ja nõuab valuraha või, et katkiläinud laptopi/PSP/mobiiltelefoni omanik
kaebab lennukompanii kohtusse ja nõuab valuraha. Mõlemad on
lennukompaniile ebameeldivad tagajärjed, niisiis üritab lennukompanii
niisuguste tagajärgede põhjuseid elimineerida.
> Nime enam ei mäleta aga üks firma kunagi reklaamis, et nende
> kontinetidevahelistel lendudel on võimalus interneti kasutada.
Kui lennuk on varustatud kommunikatsioonivahenditega, mida lennuki
liikumise kiirus ega kõrgus ei häiri -- näiteks Tehnoloogia Viimase
Sõna(tm) järgi konstrueeritud riistapuuga, mida hüütakse raadioks --, ei
ole tehniliselt sugugi raske noid vahendeid mööda muuhulgas ka IP-d
liigutada. Ja seda IP-d siis vajadusel ja/või lisatasu eest klientidele
marsruutida viisil, mis neile käepärane on.
--
Andres Soolo
Andres Soolo
>>> Üldiselt on sellega nii, et kui asjale just script-kiddie kombel
>>> ei lähene, annab just "kõver" leht kasulikke vihjeid, mis suunas
>>> edasi tegutseda...
>>
>> teame-teame.
>> see on igal elualal nii. näiteks auto armatuurlaual või klaasinurgas
>> oleva mahuanduri või kasvõi valgusdioodi krae välimus annab
>> asjatundjale aimu sellest, milline signalisatsioonisüsteem on
>> installitud jne jne.
>
> Ma ei mõelnud päris seda... kui näiteks webiserver ennast http
> headeris tutvustab, siis see on (eeldatavalt) süsteemi looja
> poolt avalikult jagatav info[1] samuti nagu sinu mainitud mahuanduri
> või valgusdioodi krae.
Siin on veel üks faktor.
Veebiserveri tüübiinfo HTTP-päises ei viita konkreetse installatsiooni
iseärasustele, vaid üksnes kasutatavale väga üldotstarbelise
massproduktile -- kuivõrd veebiserverid on tänapäeval enamasti
masstoode. See tähendab, et kui füüsilise turvalisusega võrrelda, siis
on veebiserveri tüübiinfo nagu teadmine, et panga X rahakamber on
valmistatud E-betoonelemendi paneelidest. See teadmine ei anna
pahalasele sugugi niipalju kasulikku informatsiooni, kui teadmine, et
panga X rahakamber on valmistatud arhitekti See Jasee tüüpprojekti nr. 7
järgi -- ehk teadmine, et konkreetses veebiserveris toimetab
sisuvormistust phpnuke. (Kui veebiserveris endas tuntud auke on, siis
on muidugi iseasi, aga need on iga vähegi viisaka tootja korral võimalik
administratiivsete vahenditega mõistliku kiirusega eemaldada.)
Võimalikud sisendandmete ebapiisavat saneerimist paljastavad veateated
paljastavad aga juba mitte kasutatud kruvide läbimõõtu, vaid kohti, kuhu
kohalik arendustiim on unustanud kruvid panemata jätta või
üldligipääsetava ventilatsioonišahti rahakambris töötavate inimeste
kiirema aklimatiseerimise huvides huvides rahakambrist läbi viinud. Ja
selle pahalasele teatavakssaamine on probleem, mida pangal on tark
vältida. (Eestis nõuab seadus seda ka.)
> Pidasin silmas siiski veateateid, mida kasutaja
> nägema ei peaks näiteks stiilis "You have an error in your SQL syntax
> near 'SELECT kala,kalamees FROM table kala'" või
> "Undefined variable: is_admin in line xxx".
Missugune kasutaja neid nägema ei peaks?
Näiteks "Undefined variable" teadet on arendustiimil kasulik õigeaegselt
näha. Kui süsteem paikneb keskkonnas, kus ühe betoonpunkreid välja
üüriva ettevõtte (hüüdkem seda rahahostinguks) ruume kasutab teine
ettevõte, et selle baasil kolmandatele isikutele ise rakendusi ehitada,
on arendustiim, keda rakenduse defineerimata muutujad huvitavad,
tõenäoliselt too teine ettevõte ja teised temasugused, mitte esimene
ettevõte. Kolmandad ettevõtted võivad ka teatud olukordades niisuguseid
veateateid nägema pidada. Teistes teatud olukordades jälle ei pea.
> [1] - selle info peitmine võib aidata *pisut* turvariske maandada
> aga see on juba teine teema.
See on üks turvalisust edendavatest kihtidest. Sellele üksi loota ei
tohi ja alusvigade tegemist tuleb ka vältida, aga see võte aitab teatud
juhtudel rünnet takistada või isegi ära hoida. Näiteks võib juhtuda, et
Tõnu jätab Su süsteemi turvakoolitusel rahule, kui Sa talle
veateateid ei jaga ;-)
Teatud sorti kuulikindlaid veste saab teha näiteks keraamiliste plaatide
ja sünteetilise kanga kihtide vaheldumisi kasutamise teel. Emba-kumba
komponenti ära jättes kahaneb vesti kuulikindlus märgatavalt, õigesti
kokkupandud vahvel aga suudab märkimisväärset kineetilist energiapundart
inimest mööda vastuvõetavalt õhukeseks kihiks laiali määrida ja seega
teatud juhtudel tema elu päästa.
--
Andres Soolo
Tõnu Sergo
>> Pidasin silmas siiski veateateid, mida kasutaja
>> nägema ei peaks näiteks stiilis "You have an error in your SQL syntax
>> near 'SELECT kala,kalamees FROM table kala'" või
>> "Undefined variable: is_admin in line xxx".
>
> Missugune kasutaja neid nägema ei peaks?
>
> Näiteks "Undefined variable" teadet on arendustiimil kasulik õigeaegselt
> näha. Kui süsteem paikneb keskkonnas, kus ühe betoonpunkreid välja
> üüriva ettevõtte (hüüdkem seda rahahostinguks) ruume kasutab teine
> ettevõte, et selle baasil kolmandatele isikutele ise rakendusi ehitada,
> on arendustiim, keda rakenduse defineerimata muutujad huvitavad,
> tõenäoliselt too teine ettevõte ja teised temasugused, mitte esimene
> ettevõte. Kolmandad ettevõtted võivad ka teatud olukordades niisuguseid
> veateateid nägema pidada. Teistes teatud olukordades jälle ei pea.
Pidasin silmas siiski lõppkasutajat. Muidugi võib siin lõpmatuseni
jaurata teemal, et arendustiim on näiteks andmebaasimootori või
programmeerimiskeele lõppkasutaja ja vaielda lõppkasutaja definitsiooni
üle kuid arvan, et enamikule on selge, mida selles kontekstis lõppkasutaja
all peaks mõtlema;)
>
>> [1] - selle info peitmine võib aidata *pisut* turvariske maandada
>> aga see on juba teine teema.
>
> See on üks turvalisust edendavatest kihtidest. Sellele üksi loota ei
> tohi ja alusvigade tegemist tuleb ka vältida, aga see võte aitab teatud
> juhtudel rünnet takistada või isegi ära hoida. Näiteks võib juhtuda, et
> Tõnu jätab Su süsteemi turvakoolitusel rahule, kui Sa talle
> veateateid ei jaga ;-)
Nõus, ega ma väitnudki, et teab mis tõhus vahend on ja selle peale loota
saab kuid teeb pahalase elu siiski pisut keerulisemaks kui muud meetmed
on juba kasutusele võetud.
Who walks alone
Sven juba täpse teksti ütles. Omalt poolt lisaksin, et ega seal
10-konna kilomeetri kõrgusel moblaga miskit tarka teha kah ei oleks.
Liiati, kui liigutakse oma paar-kolm korda kiiremini, kui GSM-i
standardis ette nähtud ;)
Parematel lendudel *on* internetiühendus, üsna varsti võiblla isegi WiFI
> A.
--
Cuprum alias Elvar Vask
Andres Kuusk
> Sven juba täpse teksti ütles. Omalt poolt lisaksin, et ega seal
> 10-konna kilomeetri kõrgusel moblaga miskit tarka teha kah ei oleks.
> Liiati, kui liigutakse oma paar-kolm korda kiiremini, kui GSM-i standardis
> ette nähtud ;)
Ju SoomeÕhu stjuuardessid ei teadnud neid GSM-i nüansse. Vähemalt kaks
korda kordasid maandumisele asumisel, et kontrollige, kas mobiilid (ja
muud seadmed ka) on välja lülitatud, ja seda kõigis kolmes kohalikus
keeles (soome, rootsi, sihtmaa). Ju vist asjal väike mõte ka - just
maanduma tulles on inimestel tahtmine aegsasti proovida, kas saab
juba teatada, et nüüd jõuame.
Andres
PS. jutt rohkem lennuturvale nihkunud.
Sven
> keeles (soome, rootsi, sihtmaa). Ju vist asjal väike mõte ka - just
> maanduma tulles on inimestel tahtmine aegsasti proovida, kas saab
> juba teatada, et nüüd jõuame.
No aga ega see ju ei tähendab, et lennu alguses öeldi, et tohib mobiilid
sisse lülitada/jätta? Või öeldi?:)
svn,
formaalne loogika ja süllogismid jne
Urmet Jänes
> Ju SoomeÕhu stjuuardessid ei teadnud neid GSM-i nüansse. Vähemalt kaks
> korda kordasid maandumisele asumisel, et kontrollige, kas mobiilid (ja
> muud seadmed ka) on välja lülitatud, ja seda kõigis kolmes kohalikus
> keeles (soome, rootsi, sihtmaa). Ju vist asjal väike mõte ka - just
> maanduma tulles on inimestel tahtmine aegsasti proovida, kas saab
> juba teatada, et nüüd jõuame.
Selle kohta, kas on mõtet midagi sellist nõuda, on üks värske artikkel siin:
http://www.spectrum.ieee.org/mar06/3069/3
selle lehekülje lõpus on näide, kuidas Samsungi telefonid paar aastat
tagasi GPS-i lolliks ajasid.
Kuskil hiljem oli maining DVD mängijast, mis tekitas 30 kraadise
kursinihke :-)
Urmet.
Kill Kask
serveritele millel on ostetud ligipääs; aga ka muidu)
on tavaliselt tõesti sellised et terve kollektsiooni,
andmebaasi, serveri sisse tõmbamine, peegeldamine,
kopeerimine, "spidering" jms on keelatud.
Mõte selles et publitseerija tahab kasutust, mõned
ka raha saada enda äriplaani alusel (loed reklaami jm)
see rajaneb tavalisel kasutusel. See tähendab et
ebatavaline kasutus ei vastagi kasutustingimustele,
tavadele.
(vt ka vt http://www.delfi.ee/misc/copyright.php )
Andres Soolo wrote:
Tõnu Samuel
> korda kordasid maandumisele asumisel, et kontrollige, kas mobiilid (ja
> muud seadmed ka) on välja lülitatud, ja seda kõigis kolmes kohalikus
> keeles (soome, rootsi, sihtmaa). Ju vist asjal väike mõte ka - just
> maanduma tulles on inimestel tahtmine aegsasti proovida, kas saab
> juba teatada, et nüüd jõuame.
Siiski võib häirete pärast ka olla. Maandumisel on toimub navigatsiooni
majakate järgi ning igasugune segamine sellel perioodil on halb. Lennuki
metallkeres ehk tekivad miskid vastikud nähtused, mis probleemi võimendavad?
Tõnu
Tõnu Samuel
> selle lehekülje lõpus on näide, kuidas Samsungi telefonid paar aastat
> tagasi GPS-i lolliks ajasid.
>
> Kuskil hiljem oli maining DVD mängijast, mis tekitas 30 kraadise
> kursinihke :-)
Puhtalt fakti mõttes - GPS ei ole lennunduses tunnustatud
navigatsioonivahend. Ikka klassikaline kaart, magnetkompass jms träni.
Lisaks majakad, raadioside. Kommertslendurite koolitus on väga karm ja nad
suudavad orienteeruda ka oludes, kus pole suurt enam midagi järel. Pooluse
läheduses kompass valetab teadmata palju ja siis on tähed abiks. GPS on
alles kõige lõpuks üle kontrollimise jaoks ebaametlikult olemas.
Tõnu
Andres Soolo
>> Missugune kasutaja neid nägema ei peaks?
>>
>> Näiteks "Undefined variable" teadet on arendustiimil kasulik õigeaegselt
> Pidasin silmas siiski lõppkasutajat. Muidugi võib siin lõpmatuseni
> jaurata teemal, et arendustiim on näiteks andmebaasimootori või
> programmeerimiskeele lõppkasutaja ja vaielda lõppkasutaja definitsiooni
> üle kuid arvan, et enamikule on selge, mida selles kontekstis lõppkasutaja
> all peaks mõtlema;)
Sedasi turvaaugud sünnivadki :-(
Insener ei viitsi lahendust läbi mõelda ja peab esimest pähetorganud
lahendust "ilmseks".
Muide, miks just "lõppkasutaja" peaks olema see, kes veateateid näha ei
tohi? Ehk on antud situatsioonis "lõppkasutaja" panga hoiulaeka-klient,
kellele oleks väga abiks teada, kui ta üritab sahtlit laekasse valepidi
paigutada?
> Nõus, ega ma väitnudki, et teab mis tõhus vahend on ja selle peale loota
> saab kuid teeb pahalase elu siiski pisut keerulisemaks kui muud meetmed
> on juba kasutusele võetud.
Kasulik on ka tähele panna, et see keerustumine ei ole aditiivne.
--
Andres Soolo
Joel Kuusk
Tõnu Samuel kirjutas:
> Puhtalt fakti mõttes - GPS ei ole lennunduses tunnustatud
> navigatsioonivahend. Ikka klassikaline kaart, magnetkompass jms träni.
Kisub juba OT OT-ks, aga kas lennukites mitte pigem gürokompasse ei
kasutata? Seal ju ohtralt metallkola igal pool ümberringi.
--
Joel
Tõnu Sergo
> Sedasi turvaaugud sünnivadki :-(
>
> Insener ei viitsi lahendust läbi mõelda ja peab esimest pähetorganud
> lahendust "ilmseks".
>
> Muide, miks just "lõppkasutaja" peaks olema see, kes veateateid näha ei
> tohi? Ehk on antud situatsioonis "lõppkasutaja" panga hoiulaeka-klient,
> kellele oleks väga abiks teada, kui ta üritab sahtlit laekasse valepidi
> paigutada?
Kui just peab sel teemal jaurama, eks siis üritan täpsemini selgitada.
Süsteem on n-kihiline. Kõrgem kiht peaks madalama kihi veateated kinni
püüdma ja nendega midagi peale hakkama. Mõnel juhul võib midagi peale
hakkamine väljenduda ka selles, et neid töödeldud võid töötlemata kujul
kasutajale näidatakse kui konkreetse kihi looja leiab, et see mõistlik ja
vajalik on. Samuti peaks kõrgem kiht mõnel juhul arvestama madalama kihi
iseärasustega ja vältima madalamale kihile selliste soovide esitamist, mida
see teadaolevalt täita ei suuda ja/või kontrollima, et madalame kihile edastatud
soovid on ikka konkreetsele kasutajale lubatud. Selle abstraktselt kirjeldamine
ja arutamine on siiski suht keeruline... näiteks ei saa hästi võrrelda a'la
tora-t ja netipanga veebiliidest.
Marek Mänd
> Kusjuures minu arvates on tegemist just turvaprobleemiga :). Kujuta nüüd
> ette kui oma arust pildistad miskit materjali veebi panemiseks aga pärast
> selgub, et pildile on miskit sensitiivset ka jäänud? Või vastupidi. Siin
>
> http://www.jes.ee/~tonu/exif.php?src=http://pics.rate.ee/dating/1/6/8/16834580031.jpg
>
> tuleb välja keskkond, kus pilt on tehtud. Pedofiile taga ajavale
> politseile täiesti asjalik juhtniit.
LOL SCNR
Irw, seega sinu teo mõte probleemi teadvustades ja teostele tutvustades
oli see, et pedofiilid lugedes sinu positust oskaksid hoiduda politseile
tõendusmaterjali kättesaadavaks tegemisest ja et politsei ei saaks
piltidelt tõendusmaterjale enam kätte, kuna kodanik Tõnu koolitas
pedofiilid välja kuidas jälgi peita. ;D
Andres Soolo
>> Puhtalt fakti mõttes - GPS ei ole lennunduses tunnustatud
>> navigatsioonivahend. Ikka klassikaline kaart, magnetkompass jms träni.
>
> Kisub juba OT OT-ks, aga kas lennukites mitte pigem gürokompasse ei
> kasutata? Seal ju ohtralt metallkola igal pool ümberringi.
Mõnedes kasutatakse. Kõigis ei kasutata. Lennukiriistvara-uuendajad on
konservatiivne seltskond.
Lennukimetall on suuremas osas alumiinium, mis magnetkompasside töö
häirimisel mõõdukas on. Ja nagu Tõnu juba ütles, korralikult
väljaõpetatud piloodi jaoks on kompass üksnes üks
navigatsioonivahenditest -- isegi, kui see põhjapooluse asemel
magnetiseeritud aiateibaid näitama hakkaks, on tõenäosus, et piloot
hakkama saab, kaunis suur.
--
Andres Soolo
Tõnu Samuel
> LOL SCNR
> Irw, seega sinu teo mõte probleemi teadvustades ja teostele tutvustades
> oli see, et pedofiilid lugedes sinu positust oskaksid hoiduda politseile
> tõendusmaterjali kättesaadavaks tegemisest ja et politsei ei saaks
> piltidelt tõendusmaterjale enam kätte, kuna kodanik Tõnu koolitas
Mis teha, turva on alati kahe tahuga. Praktika on näidanud, et probleemidest
avalik teavitamine on siiski parem tee. Näiteks Cliff Stoll kirjeldab
sellele järeldusele jõudmist oma raamatus ilusti.
Tõnu Samuel
> Kisub juba OT OT-ks, aga kas lennukites mitte pigem gürokompasse ei
> kasutata? Seal ju ohtralt metallkola igal pool ümberringi.
Güro on ka aga seda kalibreeritakse maa peal magneti järgi.
Kommertslenduritel on atesteerimine iga 6 kuu tagant, kus tehakse läbi
simulaatoris suht haiged situatsioonid - raadio ei tööta, aknast välja ei
näe, üks mootor põleb, güro on katki, kaaspiloot on surnud (tähendab, et sa
ei näe tõenäoliselt teist gürot) ja siis maandu kuidas tahad. Arvutite turva
ta jah enam pole aga lennundus reeglid ja taust on puhtalt verega kirjutatud
turva.
Tõnu
Who walks alone
> LOL SCNR
> Irw, seega sinu teo mõte probleemi teadvustades ja teostele tutvustades
> oli see, et pedofiilid lugedes sinu positust oskaksid hoiduda politseile
> tõendusmaterjali kättesaadavaks tegemisest ja et politsei ei saaks
> piltidelt tõendusmaterjale enam kätte, kuna kodanik Tõnu koolitas
> pedofiilid välja kuidas jälgi peita. ;D
IMHO pole siin midagi irvitada ;) Loodusseadus ütelb, et ellu jääb ja
järglasi annab kohanemisvõimelis{ei}m indiviid. Sama peaks kehtima ka
arvutiturva valdkonnas. Me ei saa mitte kuidagi garanteerida, et
"pahalased" ei saaks õppida, saame ainult tagada selle, et info oleks
*kõigile* kättesaadav ja loota seda, et ka "head" on õppimisvõimelised.
Mis päti & võmmi mängimisse puutub, siis siin ongi tavaliselt pätid
ühe sammu võrra eespool ja võmmid rühivad järgi -> samuti info
avalikustamine teeb seisu võrdsemaks.
Tõnu Samuel
news:e0l6g0$18l$1...@kadri.ut.ee...
> Marek Mänd wrote:
> IMHO pole siin midagi irvitada ;) Loodusseadus ütelb, et ellu jääb ja
> järglasi annab kohanemisvõimelis{ei}m indiviid. Sama peaks kehtima ka
> arvutiturva valdkonnas. Me ei saa mitte kuidagi garanteerida, et
> "pahalased" ei saaks õppida, saame ainult tagada selle, et info oleks
> *kõigile* kättesaadav ja loota seda, et ka "head" on õppimisvõimelised.
19. sajandil kirjutas sõjanduse klassik Carl von Clausewitz päris huvitavat
juttu, mida loe nagu oleks kirjutatud
peale mõlemat maailmasõda ja kehtib ka küberkeskkonnas üllatavalt hästi.
Mingi osa sellest on siin:
http://en.wikisource.org/wiki/On_the_nature_of_war_%28Book_I%29#Definition
Tema defineeris ellujäämise selliselt, et ellu jääb tugevaim, mitte
eetiliseim. Sealt tuli järeldus, et sõda ei saa olla
eetiline. Seal on palju muidki mõtteid ning soovitan lugeda ka turvaga
tegelevatel inimestel. Militaarid teavad
seda raamatut naguinii.
Tõnu
Tõnu Samuel
> huvitavat juttu, mida loe nagu oleks kirjutatud
Huhh, leidsin ehk paremagi allika neile, kes tervet kapsast läbi lugeda ei
viitsi:
http://en.wikiquote.org/wiki/Carl_von_Clausewitz
Tõnu
Indrek Siitan
> ja tänapäeval lubatakse lennukites mobiili kasutada või on
> parematel lendudel lausa kohalik internetiühendus?
WiFi hakkab pikamaalendudel järjest tavalisemaks saama - Euroopa<>USA,
Euroopa<>Aasia<>Austraalia lennud. Kohalikel veel mitte, ilmselt ei tasu
ära.
USA-lendudel tahetakse keskmiselt $30 lisaks saada WiFi kasutamise võimaluse
eest. Lennupileti hinna kõrval ja selle eest, et Sa saad 8h tööd teha, üsna
olematu summa minu arust.
See, kuidas peale sellise kommertsvõimaluse tekkimist enam raadiolaineid
levitava seadme lennukis kasutamise peale see kohe alla ei kuku (nagu kõik
need aastad senini ähvardatud on), on muidugi eraldi küsimus. :)
--
Indrek
Indrek Siitan
>> ja tänapäeval lubatakse lennukites mobiili kasutada või on parematel
>> lendudel lausa kohalik internetiühendus?
>
> Mobiil palutakse välja lülitada tõusu ja maandumise ajaks.
Mobiil palutakse senini küll ikka terve lennu ajaks välja lülitada, tõusu ja
maandumise ajaks tuleb kinni panna kõik elektroonikaseadmed.
--
Indrek
Tõnu Sergo
> USA-lendudel tahetakse keskmiselt $30 lisaks saada WiFi kasutamise võimaluse
> eest. Lennupileti hinna kõrval ja selle eest, et Sa saad 8h tööd teha, üsna
> olematu summa minu arust.
>
> See, kuidas peale sellise kommertsvõimaluse tekkimist enam raadiolaineid
> levitava seadme lennukis kasutamise peale see kohe alla ei kuku (nagu kõik
> need aastad senini ähvardatud on), on muidugi eraldi küsimus. :)
>
Ma olen suhteliselt kindel, et lennuk ei kuku alla ega saa viga ka siis kui
mobiiltelefoni välja ei lülita ja see nõue on pigem turvakaalutlustel, kus
on eelduseks võetud, et rikkis mobiiltelefon karjub lubatust tunduvalt
kõvemini, remondimees on kaablisse keeru jätnud, kus juhuslikult resonants
tekib ja õnnetul kombel karjub mobiiltelefon selle keeru vahetus läheduses.
Kui lennuki allakukutamiseks piisaks vaid tavalisest mobiiltelefonist, oleks
telefonide lennukiga transportimisel pea sama karmid turvanõuded kui
tulirelvade ja lõhkeainetega.
Võimalik, et nimetatud kommertsvõimaluse jaoks peab lennufirma viima regulaarselt
läbi teste tõestamaks, et see ka kõikide ebasobivate asjaolude kokkulangemisel
ohutu on.
Offf
[rook]
> See kuulub kategooriasse "häkime valitsusasutusi". Kategoorias "sisse saada"
> võtan otsin mõne md5 kalkulaatori, näiteks http://pajhome.org.uk/crypt/md5/
> ning lasen sealt läbi miski tüüpparooli "123456", saan vastuseks
> "e10adc3949ba59abbe56e057f20f883e". Otsime Googlega:
>
> e10adc3949ba59abbe56e057f20f883e filetype:sql
>
> Saame hunniku sql dumpe, kus sees kasutajad, koos "krüptitud" paroolidega.
Kysimus - miks SQL server paroolidele "soola" ei raputa?
Kysimus kaks - kes selles syydi on? Serveri valmistaja? Serveri admin?
Rahvusvaheline Imperialism?
A.