[elektro-etc] Nem semmi
Móczik Gábor
pm_levlista at progzmaster.hu
Fri Feb 1 09:38:05 CET 2013
2013.02.01. 8:27 keltezéssel, Xorn írta:
> szakemberei, mert erre szükségük lehet. De erre is van működő
> megoldás, ismét hangsúlyozom, nem urándúsítóban, hanem "csak" egy
> "sima" telekom cégnél. Amikor jönnek, kapnak egy olyan ideiglenes
> jelszót, amit tudnak használni, emberileg elviselhető bonyolultságú,
> begépelhető, majd a munka elvégzése után visszaáll a random generált
> qrvahosszú hieroglifa, amit ember meg nem jegyez, gép ki nem talál
> stb.
Az a probléma, hogy ez semmit sem ér.
Vegyük a következő scenariót:
Adott egy vezérlő gép, rajta egy management szoftver, és ez csatlakozik
valamilyen periférián a hardverhez.
Ha a vezérlő gép felett valami átveszi az irányítást, akkor semmilyen
jelszóval nem tudod megakadályozni hogy a perifériát irányítsa.
- Ha user gépeli be a jelszót, akkor keyloggerrel össze lehet szedni.
- ha a management program automatikusan bejelentkezik a hardverre, akkor
az adatforgalom analizálásával
- ha a hardver titkosítást használ, lényegletelen, a gépen ott van a
kulcs, hogy tudjon kommunikálni
Egy frekiváltó vagy PLC kb. eddig tart, de még ha komolyabb
kriptográfiai módszerekkel ellenőrzné a hozzá kapcsolódott eszköz
tanúsítványát, akkor sem ér az egész semmit, mert ott van egy PC ami
eredetileg jogosult kapcsolódni, a legitim vezérlőprogramot is
kicserélhetjük olyanra, amire akarjuk.
More information about the Elektro-etc
mailing list