Комментарии 48
Взломать можно все, что угодно. Вопрос только в ресурсах и времени, которые кто-то готов направить на взлом и в возможных последствиях. Взломщикам всегда проще, чем тем, кто защищает.
И неудивительно, что на эту передачу оказали давление, чтобы они не разглашали способы взлома в эфире — зачем обычным людям знать про это? Меньше людей будут знать про это — меньше бояться взлома и меньше будут взламывать.
И неудивительно, что на эту передачу оказали давление, чтобы они не разглашали способы взлома в эфире — зачем обычным людям знать про это? Меньше людей будут знать про это — меньше бояться взлома и меньше будут взламывать.
Те кто будет взламывать, скорее всего, уже и так все знают. А вот обывателей предупредить, да еще бы какие-нибудь меры защиты посоветовать, лишним не будет.
Ну их нафиг, предупреждать — нервничать начнут, меньше Американ Экспрессом пользоваться…
Тех, кто будет взламывать не так уж и много, т.к. это заговор молчания создает впечатление, что взломать или украсть с карточки — это очень сложно. Поэтому этим занимаются только те, кто как-то заинтересовался и смог про это узнать. А какие могут быть методы защиты при работе с RFID картами? :)
Так ведь и я о том же. Наверняка сложность взлома несопоставима со взломом популярного форумного движка и только единицы смогут воспользоваться инструкцией по взлому, если таковая будет обнародована. Потому ничего вредного в огласке я не вижу. Ну, разве что для Amex и Visa — они не обрадуются, это понятно.
Про технические меры защиты ничего сказать не могу, не эксперт. На бытовом уровне — не пользоваться RFID-картами, или не хранить на карточном счету весь семейный бюджет.
Про технические меры защиты ничего сказать не могу, не эксперт. На бытовом уровне — не пользоваться RFID-картами, или не хранить на карточном счету весь семейный бюджет.
Я думаю, что любое разглашение данных о том, как можно что-то взломать — это зло. Даже если взлома сложно.
У меня все деньги на картах и я не хочу, чтобы кто-то их взламывал :)
У меня все деньги на картах и я не хочу, чтобы кто-то их взламывал :)
К сожалению от нашего желания тут мало что зависит %)
У меня тоже когда-то все деньги были на карточках. Номера нигде не светил. А в один прекрасный день порциями по 10 т.р. (видимо, банкомат больше не позволял) кто-то за несколько минут снял половину моих накоплений. Спасли смс-уведомления — я был за компом и успел карточку заблокировать. Про скиммеры я тогда ничего не слышал, это мне уже потом в службе безопасности банка рассказали и показали. Деньги, кстати, к чести банка, удалось вернуть. Но осадок остался %)
Карточками я конечно все равно пользуюсь, куда без них в наше время. Но только для оплаты, никак не для хранения.
У меня тоже когда-то все деньги были на карточках. Номера нигде не светил. А в один прекрасный день порциями по 10 т.р. (видимо, банкомат больше не позволял) кто-то за несколько минут снял половину моих накоплений. Спасли смс-уведомления — я был за компом и успел карточку заблокировать. Про скиммеры я тогда ничего не слышал, это мне уже потом в службе безопасности банка рассказали и показали. Деньги, кстати, к чести банка, удалось вернуть. Но осадок остался %)
Карточками я конечно все равно пользуюсь, куда без них в наше время. Но только для оплаты, никак не для хранения.
А я считаю, что всё-таки этот факт можно было бы осветить общественности хотя бы в кратце. Не думаю, что шквал взломов захлестнул бы Америку, зато люди объективно представили реальность — «Взломать можно все, что угодно».
Информация должна быть доступна.
Информация должна быть доступна.
Взломщикам всегда проще, чем тем, кто защищает.
Защищающим всегда проще, чем взломщикам. :)
Если бы в бесконечной борьбе этих сущностей был значительный перевес в одну сторону, эта тема не была бы актуальной.
Защищающим всегда проще, чем взломщикам. :)
Если бы в бесконечной борьбе этих сущностей был значительный перевес в одну сторону, эта тема не была бы актуальной.
Защитники в софте обычно работают вторым номером — клепают заплатки на дырки. А взломщики их ищут.
Можно, конечно, писать код так, чтобы дырок было совсем мало, но это дорого, да и все равно немного дырок останется.
Так что перевес до сих пор, к сожалению, в сторону взломщиков.
Можно, конечно, писать код так, чтобы дырок было совсем мало, но это дорого, да и все равно немного дырок останется.
Так что перевес до сих пор, к сожалению, в сторону взломщиков.
У разработчика, создающего защиту, практически неограниченный выбор методов, как в количественном, так и в качественном выражении, свободный доступ к ресурсам. Взломщик же поставлен перед фактом. Принимать априори что система огромна, и где-то найдется дыра не совсем корректно, если мы говорим не о конкретной системе. Еще можно добавить, что процесс взлома обычно незаконен, что добавляет психологическое давление на взломщика.
Всё не так. Разработчик — создает. Взломщик — ломает. Ломать всегда проще, чем создавать и защищать.
Это как с оружием — всегда проще сделать более мощное оружие, чем защититься от него.
Это как с оружием — всегда проще сделать более мощное оружие, чем защититься от него.
Заканчикаю холивар, извините. Мне не понравилось слово «всегда», но я его принимаю. Оставлю другие аргументы при себе. Истина где-то рядом ))
В случае с ПО как раз нет. Взломщик ПО ничего не ломает. Взломщик лишь находит тропинки, которые специально или случайно оставил ему разработчик (нет тропинок — взломщик в жопе).
Почитайте криптографию, есть несколько открытых протоколов и алгоритмов которые при достаточной длине ключей не подвержены взлому за приемлемое время.
Если для взлома потребуется 1000 лет работы специализированного вычислителя, выполняющего 10^20 операций в секунду, то следует ли это называть 'можно'? Всё же пока большие квантовые компьютеры не построены, криптосистемы с открытым ключом вполне надёжны. А если квантовые компьютеры всё же будут построены, то остаются системы с закрытым ключом. И для особо параноидальных личностей — щиты Вернама.
Другое дело, что почему-то в коммерческих системах это всё не используется. И криптография там какая-то отвратительно слабая. И RFID в ряду подобных систем — не первая. Сигнализации, замки, etc…
Другое дело, что почему-то в коммерческих системах это всё не используется. И криптография там какая-то отвратительно слабая. И RFID в ряду подобных систем — не первая. Сигнализации, замки, etc…
Просто часто возможность взлома появляется из-за того, что разработчики халатно (или намеренно ослабили?) отнеслись к проработке системы защиты (просто вяли деньги и слепили как придется). К сожалению, наказать разработчика/заказчика в данной ситуации никак нельзя (по крайней мере, я не слышал про такие случаи), вот и страдают потребители.
Что же касается беспроводных платежей (и беспроводных паспортов), здесь нужно *очень* тщательно подходить к вопросам безопасности (а первые б/п паспорта, если я помню, не шифровали обмен информацией), другой вопрос, комунужна эта безопасность?
Что же касается беспроводных платежей (и беспроводных паспортов), здесь нужно *очень* тщательно подходить к вопросам безопасности (а первые б/п паспорта, если я помню, не шифровали обмен информацией), другой вопрос, комунужна эта безопасность?
>Взломать можно все, что угодно.
Вам знакомо понятие «одноразовый шифроблокнот»?
>Меньше людей будут знать про это — меньше бояться взлома и меньше будут взламывать.
«… при оценке надёжности шифрования необходимо предполагать, что противник знает всё об используемой системе шифрования, кроме применяемых ключей» (Принцип Керкгоффса ака Принцип Шеннона).
Вам знакомо понятие «одноразовый шифроблокнот»?
>Меньше людей будут знать про это — меньше бояться взлома и меньше будут взламывать.
«… при оценке надёжности шифрования необходимо предполагать, что противник знает всё об используемой системе шифрования, кроме применяемых ключей» (Принцип Керкгоффса ака Принцип Шеннона).
Похоже теле рейтинги у «Разрушителей» стали падать, вот Сэвидж и пиарится таким образом.
Откусил бы руку тому, кто поставил минус этому топику.
Электронные паспорта пока можно ломать. Но карты оплаты уже нет, они слишком распространены. И даже нельзя показывать этот процес: пострадают ведь не только компании, но и многие люди.
Нет, а всё же, знание КАК взламывать например меня не сподвигнет на нарушение закона (я тока музыку и софт могу скомуниздить, хватит и этого), но зато даст почву звдуматься как защититься, например я понятия не имею как выглядит и работает скример.
А как сказали выше — кто хочет скомуниздить — тот знает, ну или узнает, в инете инфы достаточно.
А как сказали выше — кто хочет скомуниздить — тот знает, ну или узнает, в инете инфы достаточно.
вот как выглядит скример:
а так скиммер:
а так скиммер:
В любом случае, пропаганда по телевидению способов взлома карт оплаты, привела бы к увеличению взломов карт в несколько раз.
Вы можете задуматься о том, как обезопасить свою карточку и даже найти способ защиты (если такой существует), но огромное количество людей так и будет надеятся на саму защиту карт оплаты, а потом хлопать ресницами, обнаружив на счету 0 долларов 5 центов.
Вы можете задуматься о том, как обезопасить свою карточку и даже найти способ защиты (если такой существует), но огромное количество людей так и будет надеятся на саму защиту карт оплаты, а потом хлопать ресницами, обнаружив на счету 0 долларов 5 центов.
Не ужели взлом настолько лёгок, что посмотрев по телику передачу описывающую как взломать это можно сделать просто раз и всё?!
Или вы рассчитываете примерно так:
«Понадобится коробок спичек, моток проволки, туба с полонием и пользоватль с картой. Приматываем тубу к пользователю проволкой и начинаем жечь спичками пока не скажет пин и не отдаст карту....»?
Сомневаюсь, покажут скиммер, в кратце раскажут что его можно прилепить и скопировать карту (не сказав где болванку взять), про камеру расскажут руки снимающую, итд итп.
А пропагандировать, это вообще… за это и канал может пострадать…
Или вы рассчитываете примерно так:
«Понадобится коробок спичек, моток проволки, туба с полонием и пользоватль с картой. Приматываем тубу к пользователю проволкой и начинаем жечь спичками пока не скажет пин и не отдаст карту....»?
Сомневаюсь, покажут скиммер, в кратце раскажут что его можно прилепить и скопировать карту (не сказав где болванку взять), про камеру расскажут руки снимающую, итд итп.
А пропагандировать, это вообще… за это и канал может пострадать…
Думаю дело не в том, что это просто. Дело в том, что это возможно в разумные сроки и без использования каких либо очень специализированных инструментов, и то, что показывая как это делается по ящику, передача разогреет интерес.
По этой же причине запрещена, например, реклама сигарет. Купить то не сложно, но тем ни менее.
По этой же причине запрещена, например, реклама сигарет. Купить то не сложно, но тем ни менее.
вот пара статей в компьютерре на эту тему — www.computerra.ru/focus/295193/ и offline.computerra.ru/2008/728/352810/
Насколько я понимаю, речь шла о RFID чипах вообще и они обратились в TI за описанием технологии, архитектурой и т.п. TI их «подставил», пригласив на телефонную конференцию представителей AMEX. MasterCard и Visa, после чего они отказались от выпуска этой серии в эфир, т.к. доход Discovery идут в основном от рекламы. Адам говорит обо всем этом в том ролике, который доступен по ссылке в посте, а вообще это боян и было на рэддит'е неделю назад:
Ссылка к комментарию выше:
www.reddit.com/r/technology/comments/6ytii/adam_savage_credit_card_companies_bullied/
www.reddit.com/r/technology/comments/6ytii/adam_savage_credit_card_companies_bullied/
Не страшны так хакеры как кулхацкеры.
Обычно человек у которого хватает ума найти самостоятельно уязвимость, хватает ума и предупредить разработчика дырявого продукта о ней. Я сужу о сайтах. Мне нравится практика, когда ставят в известность владельца сайта о дыре на сайте, перед тем как трубить в инет, что нашел дыру в ресурсе.
А вот кулхацкеры, сопливые дети, которые прочитали, разжеванный взрослыми дядями ман, о взломе или нашли эксплоит. И первое что они делают, это бегут отметится на данный ресур. Дефейсить, удалять базы прочие вредительства.
Поэтому я против ресурсов которые раздают палки в лапы обезьянам.
Обычно человек у которого хватает ума найти самостоятельно уязвимость, хватает ума и предупредить разработчика дырявого продукта о ней. Я сужу о сайтах. Мне нравится практика, когда ставят в известность владельца сайта о дыре на сайте, перед тем как трубить в инет, что нашел дыру в ресурсе.
А вот кулхацкеры, сопливые дети, которые прочитали, разжеванный взрослыми дядями ман, о взломе или нашли эксплоит. И первое что они делают, это бегут отметится на данный ресур. Дефейсить, удалять базы прочие вредительства.
Поэтому я против ресурсов которые раздают палки в лапы обезьянам.
А если разработчику глубоко наплевать на найденные вами уязвимости. и вместо «Спасибо» к вам пришлют наряд милиции (чтоб никому больше не рассказал)?
Ну вы на всякий случай ему своих паспортных данных не присылайте.
А если у вас не настроена цепочка анонимных проксей, то не переживайте, вы не хакер и ничего такого сверхсекретного и важного не поломали.
А вообще хотел бы посмотреть на рожу дежурного мента которому звонят и кричат в трубку.
— Срочно наряд ОМОНА, ломают мой сайт!!!
А если у вас не настроена цепочка анонимных проксей, то не переживайте, вы не хакер и ничего такого сверхсекретного и важного не поломали.
А вообще хотел бы посмотреть на рожу дежурного мента которому звонят и кричат в трубку.
— Срочно наряд ОМОНА, ломают мой сайт!!!
«Разрушители легенд» один из моих любимых сериалов на дискавери )
НЛО прилетело и опубликовало эту надпись здесь
Дело в том, что если не е**ть периодически производителей софта, эмитентов карт, разработчиков технологий — они пойдут по минимально затратному для себя (т.е. минимально безопасному для пользователей) пути.
Я вот хочу, чтобы ради моей безопасности устраняли уязвимости, а не делали так, чтобы вместо 10000 воров о дыре знали 1000.
Я вот хочу, чтобы ради моей безопасности устраняли уязвимости, а не делали так, чтобы вместо 10000 воров о дыре знали 1000.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
« Разрушители мифов» против заговора замалчивания