Теоретически правильное поведение — это поведение строго согласно договору.
Т.е. данная ситуация вполне возможна и, по идее, должна была быть оговорена в договоре.
Например так (грубо говоря): В случае задолженности X мы ограничиваем скорость доступа к ресурсу в течении времени n, затем полностью отключаем доступ и через время k освобождаем сервера.
При определенном стаже (кол-ва трафика или чего-то еще) даются следующие поблажки n = n + стаж, k = k + стаж
Вы не меценаты, и даже, если сервис проработал у Вас 14 лет он в условиях текущих бизнес-ситуаций вполне может разлететься в пух и прах — и Вы, мало того, что окажетесь без оплаты, Вы еще и потеряете время.
Если Вы считаете с ключа несколько последовательностей, ключ перестанет открывать замок, ибо он с ним рассинхронизируется.
Не очень понимаю, как Вы его сможете скопировать, если честно.
Объясните?
На keeloq есть атаки сдвигом — там все понятно.
Здесь атака сдвигом не пройдет.
И битовая последовательность там, если он действительноменяется, это простой keelog или подобное.
По словам инженера из той компании, который это все устанавливал и настраивал — там разновидность псевдослучайного генератора (он и генерит следующую последовательность) + некая соль. Генератор у каждого ключа разный, в базе прописываются все они, следующая последовательность хранится отдельно для каждого прописанного ключа.
Ошибаетесь. Я описывал, в каком случае копировали. Не верите мне — можете поспрашать гугл.
Но ничего расшифровать он не смог
Окей, если правильно понимаю — то мы по разному воспринимаем слово «расшифровал» => давайте я заменю его «взломал» — и тогда все встанет на свои места.
Давай я расскажу, почему они так боятся перехвата
Они — это кто? Как прям в «о чем говорят мужчины» ОНИ :D
Если Вы про производителей того замка — то нет, не бояться (битовая последовательность меняется после открытия).
А если про меня — я тоже не боюсь — я просто описал Вам в кратце, почему свет более безопасен, чем радио-канал или провода — вот и все.
Ни один из них не был вскрыт прослушиванием трафика.
А это было не к прослушиванию трафика вообще, это было к Вашему:
Смог, сделал и пользуется
Т.е. народ тоже думал, что сделал все хорошо и по честному — алгоритмы стойкие, ключи длинные — и вот те бах :)
О картах с полосой что-ли?
Именно их. Их масса огромна, компрометация проста и их выпускают все еще — чем кардеры и пользуются.
Банковские карты с чипом сложнее. Но и их копировали (из-за бага в реализации протокола ЕМНИП) до недавнего времени, потом баг поправили.
Потом использовали задержки при пересылки данных от банкоматов и как раз за счет прослушивания трафика с компромитированного банкомата делали транзакции «от лица» использовавшего в данный момент свою карту и данный банкомат.
Таких историй — вагон и маленькая тележка. На любом хакадее или конфе можно воочию увидеть что да как.
TROIKA — чел реверсил приложение, затем смог разобраться и расшифровать участки смарткарты — про это там тоже написано.
Именно по этому серебряной пули нет, и надо максимально осложнять возможность взлома.
Если есть контакты или беспроводное соединение — это можно вывести из строя (глушилка, флуддер, шоккер), либо перехватить достаточно просто.
Свет-же гораздо труднее перехватить, или вывести из строя принимающую сторону — потому как можно оптикой отдалится от источника контакта, а от ослепления защититься копеечным фильтром. Именно по этому это на данный момент — один из самых надежных вариантов.
Смог, сделал и пользуется. Банковское оборудование
До недавнего времени многое из такого обрудования пользовалось ipsec-ом — он был скомпромитирован, OpenVPN — bleed — был скомпромитирован — чем не примеры?
Много кардеры смарткарт подделали?
А причем тут смарткарты? Вы же писали:
Миллионы выпущенных банковских карт это подтверждают.
Это только от незнания внутреннего устройства карты
Эээ? Вы мне про чип так намекаете или про что?
Если про него — посмотрите на хабре статью про карточки TROIKA и их взлом, например.
Давайте так — если действительно все сделать ИДЕАЛЬНО — то таки да.
Но мир криптографии так и не смог в реальности сделать идеально пока, увы.
Трудновзламываемого — да, делали, невзламываемого — нет.
Т.е. да — с точки зрения теории вроде все ок, но, как я уже выше писал — то рандом подведет, то броски по питанию, то вообще байпасс замутят.
А множество СКУД
Я Вам говорил уже, что для большинства СКУД карточки вполне подходят (например в Сбере они повсеместно кроме хранилищ). А вот если требования по безопасности жесткие — то увы, такое не ставят. Биометрические датчики точно также не ставят — ибо очень легко компромитируются. Сканера радужки я не встречал — возможно где-то и используется.
На деле, то что видел — используют два — три ключа — т.е. дверь могут открыть только в присутствии (например) шефа безопасности, директора и тех.дира.
Миллионы выпущенных банковских карт это подтверждают.
Это Вы кардерам скажите :)
Карточки пользуются популярностью ввиду своей простоты, дешевизны и удобства.
Это не тот подход, который необходим для безопасности.
Поймите, мы недавно здесь, никто из руководства еще не поймет, зачем
Звучит очень и очень странно. Т.е. зачем — не понятно — но мы должны быть на хабре, да?
Может в этом вся проблема, а инструкции Вы не читали просто потому что «Партия сказала — надо! Комсомол ответил — есть!»? Ну тогда и ожидать-то можно ничего не ожидать :)
Ну и смысл кормить обещаниями? Не обещайте, а сделайте — вот тогда и видно будет что да как.
Если одна компания платит другой (а не выкидывает деньги, как Вы) — то вполне очевидно — зачем.
Она это делает за услугу. В данном случае — за услугу по предоставлению аудитории, часть которой вполне возможно могла бы стать клиентами платящей компании.
Однако, с любой аудиторией нужно уметь работать. В данном случае — с технарской сложнее — технарю — люди въедливые, которые не любят маркетингового буллщита, а любят подробности, подкрепленные фактами.
Бурум проводит даже лекции в TM про то, как правильно с такой аудиторией работать. Но Вы, судя по всему, лекции таки прогуляли.
Вы написали две глупые маркетинговые статьи за которые заслуженно получили кучу минусов. Вам даже кидали примеры статей как надо писать — но Вы и это прошляпили.
но мы — безопасники
Вы — не безопасники. Безопасники — люди осторожные и аккуратные. В брод полезут только тогда, когда убедятся, что знаю дно.
Вы — маркетологи, которые прикидываются безопасниками. Причем прикидываются неграмотно и глупо. Не прячьтесь за тем, кем не являетесь.
В вашей тонкой игре, где люби задают вопросы и минусуют так, чтобы не было ответов, мы не разбираемся
Вы, собственно, вообще ни в чем не разбираетесь — ну да ладно.
Хоть я и не гомофоб, но наверное попрошу самоотвод отсюда
От это правильно — залезели, не разобрались, обвинили всех и свалили — это да, это праильно!
А разбираться, конечно, не хочется — оно же сложнее в десятки раз. Ум требуется применить, хитрость а кое-где и смекалку.
Ну что-ж — я думаю, никто не расстроится — и Вы в том числе. Будете «безопасить» в другом месте.
Вы думаете, окружающие не понимают эту клинику?
Клиника лишь в том, что Вы не хотите разбираться ни в чем. Вы думаете, что если заплатили — то и все.
Вот они — клиенты то — вешай им лапшу на уши, да строчи статьи капитанские — но Вы просчитались с аудиторией — здесь — не магазин на диване — я Вам выше и пара комментаторов в предыдущей статье уже Вам пытались объяснить.
А так — милости просим — вливайте и дальше бабло — Ваши статьи вместе с кармой будут уходить в минуса — и все — Вы будете просто выкидывать деньги на ветер.
Ну не на ветер, а в ТМ — что куда лучше. Ибо статьи в минусах никто не читатет. Вот эту статью посмотрело примерно всего 2800 человек.
Т.е. можете и дальше пилить — дело Ваше.
Или найдите интересный материал и подайте его интересно — потому как технари — еще и очень благодарная публика, если писать годно.
А лично я и еще достаточное количество людей, при текущих Ваших статьях, видеть Вас на хабре не хотим — уж извините. Этого и так полно вокруг — на ТВ в газетах и биллбордах.
Про разрешение сканера — ну надо-ж точку то уже поставить над Вашей чушью.
Разрешение обычной камеры действительно гораздо выше IR-камеры, по этому берется картинка с обычной камеры, переводится в серый и на нее интерполируется (растягивается) картинка с IR-камеры — вот и вся хитрость.
Для большинства случаев этого хватает за глаза.
Ничего, только взламывают их иногда :) — на хабре полно статеек :)
Плюс тут IT, где постоянно обновляют алгоритмы и стараются закрыть все дыры.
А замок — будете Вы так постоянно за замком следить? Фирмварьку ему подкладывать новую? :)
Не проецируйте технологии шифрования IT на совсем другую область применения.
Еще разок — при секурных доступах в помещения токены и карточки обычно не применяются.
Ибо применяются максимально простые и устойчивые и надежные штуки. Максимально не боящиеся внешних факторов (вода / излучение) и максимально сложно прослушивающиеся — это позволяет им быть длительное время вне досягаемости ненужных людей.
Только в их поделии его нет + он должен быть примерно равен температуре тела.
Ну и в предыдущей статье описывалось, как сделать тоже самое вообще без тепловизора.
И еще — любой здравомыслящий человек понимает, что невзламываемой защиты — нет.
И все, что делается — железные двери, замки, решетки, сигнализации — это лишь способ увеличить время взлома.
Да и криминальные элементы Вы очень зря за дураков считаете — многое изменилось со времен медвежатников, вооруженных только фомкой. И сканеры используют и глушилки и жидкий азот с портативными дремелями и много чего еще.
Вы уверены, что этот замок подойдет для железной двери? Ибо судя по тому, что я вижу на картинках с их сайта — у них абсолютно другой профиль — внутренние двери в помещениях.
Расскажите, почему код нельзя подсмотреть? Как борются с тепловизором?
Диалог между считывателем и картой основанный на несимметричных ключах можно слушать сколько угодно, но абсолютно бесполезно.
Посмотрите, сколько таких утверждений было опровергнуто — взламывали из-за коллизии хэшей, из-за неравномерного рандома и т.д. Гораздо надежней, когда подслушать передачу практически невозможно — нет данных — нет взлома.
Скажем так — из своего опыта скажу — в местах, где безопасность ставится превыше всего карточки и токены я не встречал ни разу.
Имелось ввиду про замки и помещения, а не токены для софта, тем более Aladdin-ские, тем более — USBшные :)))
Беспроводную карточку / токен гораздо проще скомпромитировать / подслушать / скопировать, чем опто-ключ.
Считыватель обнаружить, даже если не знаешь где — секундное дело — по излучению, кроме того, нельзя сделать ванадлоустойчивым — металлом не закроешь. Вобщем, эта технология не для безопасности, а для удобного быстрого доступа — а это совсем другая тема.
В том замке наличие скважины не дает никаких плюсов для взлома, наоборот, усложняет его — отверстие очень небольшое — его даже обнаружить проблематично, просунуть туда что-то — тем более.
Обмен данными практически не перехватить. Вывести из строя считыватель конечно можно, но считыватель карточек и токенов вывести из строя еще проще.
Скажем так — из своего опыта скажу — в местах, где безопасность ставится превыше всего карточки и токены я не встречал ни разу.
Теоретически правильное поведение — это поведение строго согласно договору.
Т.е. данная ситуация вполне возможна и, по идее, должна была быть оговорена в договоре.
Например так (грубо говоря):
В случае задолженности X мы ограничиваем скорость доступа к ресурсу в течении времени n, затем полностью отключаем доступ и через время k освобождаем сервера.
При определенном стаже (кол-ва трафика или чего-то еще) даются следующие поблажки n = n + стаж, k = k + стаж
Вы не меценаты, и даже, если сервис проработал у Вас 14 лет он в условиях текущих бизнес-ситуаций вполне может разлететься в пух и прах — и Вы, мало того, что окажетесь без оплаты, Вы еще и потеряете время.
Но если сэмулировать «замочную скважину» то таки да — останетесь с закрытой дверью — но в этом случае Вы — ССЗБ, как-бы.
Насчет атаки сдвигом объясните плиз, как Вы это себе представляете? — очень интересно.
Не очень понимаю, как Вы его сможете скопировать, если честно.
Объясните?
На keeloq есть атаки сдвигом — там все понятно.
Здесь атака сдвигом не пройдет.
По словам инженера из той компании, который это все устанавливал и настраивал — там разновидность псевдослучайного генератора (он и генерит следующую последовательность) + некая соль. Генератор у каждого ключа разный, в базе прописываются все они, следующая последовательность хранится отдельно для каждого прописанного ключа.
По мне — вполне надежно.
Ошибаетесь. Я описывал, в каком случае копировали. Не верите мне — можете поспрашать гугл.
Окей, если правильно понимаю — то мы по разному воспринимаем слово «расшифровал» => давайте я заменю его «взломал» — и тогда все встанет на свои места.
Они — это кто? Как прям в «о чем говорят мужчины» ОНИ :D
Если Вы про производителей того замка — то нет, не бояться (битовая последовательность меняется после открытия).
А если про меня — я тоже не боюсь — я просто описал Вам в кратце, почему свет более безопасен, чем радио-канал или провода — вот и все.
А это было не к прослушиванию трафика вообще, это было к Вашему:
Т.е. народ тоже думал, что сделал все хорошо и по честному — алгоритмы стойкие, ключи длинные — и вот те бах :)
Именно их. Их масса огромна, компрометация проста и их выпускают все еще — чем кардеры и пользуются.
Банковские карты с чипом сложнее. Но и их копировали (из-за бага в реализации протокола ЕМНИП) до недавнего времени, потом баг поправили.
Потом использовали задержки при пересылки данных от банкоматов и как раз за счет прослушивания трафика с компромитированного банкомата делали транзакции «от лица» использовавшего в данный момент свою карту и данный банкомат.
Таких историй — вагон и маленькая тележка. На любом хакадее или конфе можно воочию увидеть что да как.
TROIKA — чел реверсил приложение, затем смог разобраться и расшифровать участки смарткарты — про это там тоже написано.
Именно по этому серебряной пули нет, и надо максимально осложнять возможность взлома.
Если есть контакты или беспроводное соединение — это можно вывести из строя (глушилка, флуддер, шоккер), либо перехватить достаточно просто.
Свет-же гораздо труднее перехватить, или вывести из строя принимающую сторону — потому как можно оптикой отдалится от источника контакта, а от ослепления защититься копеечным фильтром. Именно по этому это на данный момент — один из самых надежных вариантов.
До недавнего времени многое из такого обрудования пользовалось ipsec-ом — он был скомпромитирован, OpenVPN — bleed — был скомпромитирован — чем не примеры?
А причем тут смарткарты? Вы же писали:
Эээ? Вы мне про чип так намекаете или про что?
Если про него — посмотрите на хабре статью про карточки TROIKA и их взлом, например.
Давайте так — если действительно все сделать ИДЕАЛЬНО — то таки да.
Но мир криптографии так и не смог в реальности сделать идеально пока, увы.
Трудновзламываемого — да, делали, невзламываемого — нет.
Т.е. да — с точки зрения теории вроде все ок, но, как я уже выше писал — то рандом подведет, то броски по питанию, то вообще байпасс замутят.
Я Вам говорил уже, что для большинства СКУД карточки вполне подходят (например в Сбере они повсеместно кроме хранилищ). А вот если требования по безопасности жесткие — то увы, такое не ставят. Биометрические датчики точно также не ставят — ибо очень легко компромитируются. Сканера радужки я не встречал — возможно где-то и используется.
На деле, то что видел — используют два — три ключа — т.е. дверь могут открыть только в присутствии (например) шефа безопасности, директора и тех.дира.
Это Вы кардерам скажите :)
Карточки пользуются популярностью ввиду своей простоты, дешевизны и удобства.
Это не тот подход, который необходим для безопасности.
и Ваше:
Звучит очень и очень странно. Т.е. зачем — не понятно — но мы должны быть на хабре, да?
Может в этом вся проблема, а инструкции Вы не читали просто потому что «Партия сказала — надо! Комсомол ответил — есть!»? Ну тогда и ожидать-то можно ничего не ожидать :)
Ну и смысл кормить обещаниями? Не обещайте, а сделайте — вот тогда и видно будет что да как.
Ну или я конструкцию не понимаю.
Она это делает за услугу. В данном случае — за услугу по предоставлению аудитории, часть которой вполне возможно могла бы стать клиентами платящей компании.
Однако, с любой аудиторией нужно уметь работать. В данном случае — с технарской сложнее — технарю — люди въедливые, которые не любят маркетингового буллщита, а любят подробности, подкрепленные фактами.
Бурум проводит даже лекции в TM про то, как правильно с такой аудиторией работать. Но Вы, судя по всему, лекции таки прогуляли.
Вы написали две глупые маркетинговые статьи за которые заслуженно получили кучу минусов. Вам даже кидали примеры статей как надо писать — но Вы и это прошляпили.
Вы — не безопасники. Безопасники — люди осторожные и аккуратные. В брод полезут только тогда, когда убедятся, что знаю дно.
Вы — маркетологи, которые прикидываются безопасниками. Причем прикидываются неграмотно и глупо. Не прячьтесь за тем, кем не являетесь.
Вы, собственно, вообще ни в чем не разбираетесь — ну да ладно.
От это правильно — залезели, не разобрались, обвинили всех и свалили — это да, это праильно!
А разбираться, конечно, не хочется — оно же сложнее в десятки раз. Ум требуется применить, хитрость а кое-где и смекалку.
Ну что-ж — я думаю, никто не расстроится — и Вы в том числе. Будете «безопасить» в другом месте.
Клиника лишь в том, что Вы не хотите разбираться ни в чем. Вы думаете, что если заплатили — то и все.
Вот они — клиенты то — вешай им лапшу на уши, да строчи статьи капитанские — но Вы просчитались с аудиторией — здесь — не магазин на диване — я Вам выше и пара комментаторов в предыдущей статье уже Вам пытались объяснить.
А так — милости просим — вливайте и дальше бабло — Ваши статьи вместе с кармой будут уходить в минуса — и все — Вы будете просто выкидывать деньги на ветер.
Ну не на ветер, а в ТМ — что куда лучше. Ибо статьи в минусах никто не читатет. Вот эту статью посмотрело примерно всего 2800 человек.
Т.е. можете и дальше пилить — дело Ваше.
Или найдите интересный материал и подайте его интересно — потому как технари — еще и очень благодарная публика, если писать годно.
А лично я и еще достаточное количество людей, при текущих Ваших статьях, видеть Вас на хабре не хотим — уж извините. Этого и так полно вокруг — на ТВ в газетах и биллбордах.
Выбор за Вами.
Разрешение обычной камеры действительно гораздо выше IR-камеры, по этому берется картинка с обычной камеры, переводится в серый и на нее интерполируется (растягивается) картинка с IR-камеры — вот и вся хитрость.
Для большинства случаев этого хватает за глаза.
Плюс тут IT, где постоянно обновляют алгоритмы и стараются закрыть все дыры.
А замок — будете Вы так постоянно за замком следить? Фирмварьку ему подкладывать новую? :)
Не проецируйте технологии шифрования IT на совсем другую область применения.
Еще разок — при секурных доступах в помещения токены и карточки обычно не применяются.
Ибо применяются максимально простые и устойчивые и надежные штуки. Максимально не боящиеся внешних факторов (вода / излучение) и максимально сложно прослушивающиеся — это позволяет им быть длительное время вне досягаемости ненужных людей.
Ну и в предыдущей статье описывалось, как сделать тоже самое вообще без тепловизора.
И все, что делается — железные двери, замки, решетки, сигнализации — это лишь способ увеличить время взлома.
Да и криминальные элементы Вы очень зря за дураков считаете — многое изменилось со времен медвежатников, вооруженных только фомкой. И сканеры используют и глушилки и жидкий азот с портативными дремелями и много чего еще.
Вообще — недооценивать врага — это проиграть ему.
Но Вы даже в игру не смогли включиться…
Вам объясняли, что на хабре любят технические статьи — Вы это проигнорировали.
Вам объясняли, что тепловизоры сейчас имеют возможность автоматом совмещать два слоя — с обычной камеры и с инфракрасной — Вы проигнорировали это.
Вам объясняли про уязвимости Вашей системы — Вы проигнорировали и это.
Все это, вместе со стилем изложения показывает, что Вы абсолютно не компетентны в освещаемом вопросе.
Зачем Вы на хабре, а?
Расскажите, почему код нельзя подсмотреть? Как борются с тепловизором?
Многие на рынке криптографии утверждали, что их алгоритм — самый стойкий, но потом его ломали…
Поэтому и нужно максимально затруднять перехват данных — это способ, позволяющий не дать «дообследовать».
Посмотрите, сколько таких утверждений было опровергнуто — взламывали из-за коллизии хэшей, из-за неравномерного рандома и т.д. Гораздо надежней, когда подслушать передачу практически невозможно — нет данных — нет взлома.
Имелось ввиду про замки и помещения, а не токены для софта, тем более Aladdin-ские, тем более — USBшные :)))
Считыватель обнаружить, даже если не знаешь где — секундное дело — по излучению, кроме того, нельзя сделать ванадлоустойчивым — металлом не закроешь. Вобщем, эта технология не для безопасности, а для удобного быстрого доступа — а это совсем другая тема.
В том замке наличие скважины не дает никаких плюсов для взлома, наоборот, усложняет его — отверстие очень небольшое — его даже обнаружить проблематично, просунуть туда что-то — тем более.
Обмен данными практически не перехватить. Вывести из строя считыватель конечно можно, но считыватель карточек и токенов вывести из строя еще проще.
Скажем так — из своего опыта скажу — в местах, где безопасность ставится превыше всего карточки и токены я не встречал ни разу.