On 2010-05-03, kamil <k...@s...com> wrote:

> Dokladnie kolego. Dlatego w UK nie kupuje sie samochodow, w ktorych historie
> i poprzednie przeglady "pies mi zjadl". Szansa na to ze porzadnie
> udokumentowany bedzie krecony mizerna, bo nie wystarczy ksiazke serwisowa z
> allegro wypelnic.
>
> Sposob jest tak banalny w swojej prostocie, ze naprawde nie pojmuje dlaczego
> polska walczaca z kreceniem licznikow od lat nie wprowadzi w DR rubryczki na
> przebieg pod pieczatka przegladow..

Coś Ci się wydaje, nikt w Polsce nie walczy z kręceniem liczników.

Pzdr,
Krzysiek Kiełczewski

do góry

On Mon, 03 May 2010 12:26:56 +0200, Sebastian Biały
<h...@p...onet.pl> wrote:

> Ciekawostką jest fakt, że wiele kluczy i podpisów elektronicznych
> stosowanych jest przez banki, przedsiebiorstwa, państwa. I jakoś
> stosują. Dziwne, nie? Nie boją się że wycieknie?

Nie wiem, czy się boją, ale nie wykluczają takiej możliwości:
urzędy certyfikacyjne mają mechanizmy i procedury na wypadek
skompromitowania CA, oraz mechanizmy służące zmniejszeniu
rozmiaru zniszczeń:

- czas życia certyfikatu,
- certyfikaty pośrednie,
- możliwość odwołania certyfikatu,
- OCSP.

A mimo to zdarzają się różne problemy, często związane z błędami
w implementacjach. Jak np. idiotyczny błąd debianistów:

http://digitaloffense.net/tools/debian-openssl/

Tylko np. słabo sobie wyobrażam możliwość odwołania
skompromitowanych kluczy/certyfikatów czy nadania im
ograniczonego czasu życia w samochodzie bez obowiązkowego
odwiedzania ASO czy, o zgrozo, podłączenia go do jakiejś sieci.

> http://www.aacsla.com/home
>
> Wyobraź sobie że kompromitacja ich całego zabezpiecznia w skali
> globalnej wymaga tylko wycieku 16 bajtów klucza root. Na fakcie że nie
> wycieknie bazuje caly przemysł filmowy warty miliardy dolarów. Idioci, nie?

Zapomniałeś już o DeCSS-ie? To poczytaj może o tym:

http://en.wikipedia.org/wiki/AACS_encryption_key_con
troversy

Jest taka różnica między samochodem, a odtwarzaczem DVD, że po
odwołaniu klucza samochód nie przestanie automagicznie się
uruchamiać, tak jak DVD przestanie odtwarzać nowe pozycje.

r.
--
____________________________________________________
_____________
robert rędziak e36/5 323ti mailto:giekao-at-gmail-dot-com

I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

Użytkownik "Sebastian Biały" <h...@p...onet.pl> napisał w wiadomości
news:hrm3g4$o0g$1@news.onet.pl...
> Jurand wrote:
>> Myślę, że pojęcia nie masz, jak, wbrew pozorom, skomplikowane w
>> ówczesnych samochodach jest usunięcie WSZYSTKICH wpisów z przebiegami.
>
> Jest niesłychanie ŁATWO. Robia to dresy kawałkiem druta. Wystarczy ze
> usuną/zmienią informacje od których dostęp ma kupujący.

Po pierwsze - nie robią tego dresy. Robią to osoby bardzo mocno
wyspecjalizowane w elektronice samochodowej - i nie raz posługując się w tym
celu mikroskopem.

>> A jednak, dysponując odpowiednią gotówką, da się to zrobić i fachowców od
>> tego nie brakuje. Nawet, jeśli w tym celu mają kupić sprzęt po kilka
>> tysięcy dolarów.
>
> Kompletnie nie kumasz o czym tutaj mowa. A moza tutaj o tym, ze będziesz
> musial wydać kilka tysięcy dolarów na _JEDEN_ samochód. Tyle będzie
> kosztowało przestawienie licznika. Wystarczy przekroczyć próg
> nieopłacalności. Podobnie będzie z odpaleniem bez prawidłowego klucza.
> Tymczasem niektore immobilizery wyglądaja jak zaprojektowane przez
> studenta na kacu po imprezie w akademiku (Lanos i jego odłaczanie pompy
> paliwa).

Nie pieprz, proszę Cię. Wydajesz kilka tysięcy dolarów na NARZĘDZIE, dzięki
któremu skorygujesz X liczników. Próg nieopłacalności to jest moment, w
którym ten X liczników razy N klientów nie wystarcza na pokrycie kosztów
nabycia narzędzia.

>> Musisz wziąć pod uwagę jedną rzecz - producent samochodu musi zostawić
>> sobie opcję naprawy/wymiany danego modułu, na wypadek, gdyby się ów moduł
>> zepsuł. I ZAWSZE będzie jakaś procedura, wedle której programuje się nowy
>> moduł. I wystarczy poznać tą procedurę, żeby zrobić to dokładnie tak
>> samo.
>
> Bzdura. Jestem zmeczony tłumaczeniem na czym polega komunikacja
> zaszyfrowana. Wyjaśnie ci więc że procedure tą możesz dostać od producenta
> samochodu w posob jawny. I NIC to nie pomoże. Bo nie masz kluczy
> szyfrujących _konkretny egzemplarz samochodu_. Bez tej wiedzy o kluczu
> którą posiada jedynie producent niewiele da się zrobić.

Oczywiście i pięknie dzięki temu uniemożliwiasz sobie zdiagnozowanie
pojazdu, bo skoro każdy egzemplarz ma dane szyfrowane wg unikatowego klucza,
to jak podepniesz sobie komputer, żeby chociażby sprawdzić ten przebieg
samochodu, albo historię błędów? Musisz udostępnić narzędzia diagnostyki,
które będą przechowywały dane z kluczami, tudzież będą wiedziały, skąd ten
klucz pobrać - a skoro już wiadomo skąd pobrać klucz... mam tłumaczyć dalej?
;)

Jurand.

do góry

Użytkownik "Sebastian Biały" <h...@p...onet.pl> napisał w wiadomości
news:hrm9nt$6u4$1@news.onet.pl...
> LEPEK wrote:
>> A ty wciąż nie przyjmujesz do wiadomości, że przebieg samochodu potrafi
>> być zapisywany w kilkunastu miejscach, zaś metoda "kabelek za 100 zł"
>> zmienia jedynie wygląd licznika przed oczami kierowcy.
>
> Brawo. Teraz zgadnij _po co_ zmienia się stan licznika. Hint: kupujacy nie
> ma innych łatwych metod odczytu pozostalych licznikow (o ile istnieją).

Ma. Musi tylko wydać c.a. 100-200 PLN za podpięcie komputera serwisowego i
odczytanie tego.
Niestety kupujący najczęściej liczy każdą złotówkę... ;)

Jurand.

do góry

Jurand wrote:
>> Jest niesłychanie ŁATWO. Robia to dresy kawałkiem druta. Wystarczy ze
>> usuną/zmienią informacje od których dostęp ma kupujący.

> Po pierwsze - nie robią tego dresy.

Kręceniem liczników zajmuje się czesto byle dres z komisu. Ma gotowy
kabel i gotowy program gdzie musi wpisać coś i kliknąc. I już. Tak
wygląda poziom zaufania do tego licznika. Ja na niego nie patrzę podczas
kupowania. Może bym zerknął gdybym posiadał wiedzę jak cieżko go złamać.
Ale wiem ja _łatwo_ go złamać.

> Robią to osoby bardzo mocno
> wyspecjalizowane w elektronice samochodowej - i nie raz posługując się w
> tym celu mikroskopem.

Zabezpieczenie przed odczytam flash powoduje ze mikroskop staje się
bezużyteczny. Wymagana jest masa innych narzędzi.

> Nie pieprz, proszę Cię. Wydajesz kilka tysięcy dolarów na NARZĘDZIE,
> dzięki któremu skorygujesz X liczników.

W postulowanym przeze mnie rozwiązaniu koszt złamania jednego licznika
wynosi X. Koszt złamania dwóch liczników wynosi X*2. Nie ma stałych
kosztow, ponieważ każdy licznik jest _unikatowy_ i złamanie jednego nic
nie pomoże następnym. A że X wynosi grubo powyżej opłacalności procederu
kręcenie liczników to przestaje się opłacać.

Zrozum: nie ma uniwersalnego narzedzia do łamania zabezpieczeń
zaszyfrowanych _unikatowynm_ kluczem. Będziesz musial go wydobyć za
każdym razem stosując bardzo kosztowne zabiegi. Kwestia utrudnienia tych
zabiegów do poziomu wymogu specjalistycznej aparatury wykraczającej poza
zaplecze "Pana kazia złota rączkę od robienia centralnych zamków i
kręcenia licznikami w golfach".

> Oczywiście i pięknie dzięki temu uniemożliwiasz sobie zdiagnozowanie
> pojazdu, bo skoro każdy egzemplarz ma dane szyfrowane wg unikatowego
> klucza, to jak podepniesz sobie komputer, żeby chociażby sprawdzić ten
> przebieg samochodu, albo historię błędów?

A jaki widzisz problem żeby licznik w sposób niezaszyfrowany pozwalał na
odczyt przebiegu ? Jesteś jeszcze jedną osobą na tej grupie która nie
odróżnia czym się różni odczyt danych od odczytu klucza szyfrujacego?

> Musisz udostępnić narzędzia
> diagnostyki, które będą przechowywały dane z kluczami

G. prawda. Nic nie musze udostępniać _do diagnostyki_. To zapis licznika
jest chroniony. Odczyt nie, przeciez widac go na wyświetlaczu.

>, tudzież będą
> wiedziały, skąd ten klucz pobrać - a skoro już wiadomo skąd pobrać
> klucz... mam tłumaczyć dalej? ;)

Sugeruje głebokie zastanowienie się nad działaniem całości tego
mechanizmu zanim zaczniesz generować następne "na chłopski rozum" tezy.

do góry

Krzysiek Kielczewski wrote:
> Po zaszyfrowaniu transmisji będzie miał łatwiej?

Odczyt licznika nie jest szyfrowany. ZAPIS jest.

do góry

Użytkownik "Sebastian Biały" <h...@p...onet.pl> napisał w wiadomości
news:hrmcfj$gj9$1@news.onet.pl...
> Jurand wrote:
>>> Jest niesłychanie ŁATWO. Robia to dresy kawałkiem druta. Wystarczy ze
>>> usuną/zmienią informacje od których dostęp ma kupujący.
>
>> Po pierwsze - nie robią tego dresy.
>
> Kręceniem liczników zajmuje się czesto byle dres z komisu. Ma gotowy kabel
> i gotowy program gdzie musi wpisać coś i kliknąc. I już.

Aham. Praktycznie w żadnym nowym samodzie tak się już nie da zrobić. Ale
możesz sobie dalej bajdurzyć.

>> Robią to osoby bardzo mocno wyspecjalizowane w elektronice samochodowej -
>> i nie raz posługując się w tym celu mikroskopem.
>
> Zabezpieczenie przed odczytam flash powoduje ze mikroskop staje się
> bezużyteczny. Wymagana jest masa innych narzędzi.

No i te narzędzia te osoby też mają.

>> Nie pieprz, proszę Cię. Wydajesz kilka tysięcy dolarów na NARZĘDZIE,
>> dzięki któremu skorygujesz X liczników.
>
> W postulowanym przeze mnie rozwiązaniu koszt złamania jednego licznika
> wynosi X. Koszt złamania dwóch liczników wynosi X*2. Nie ma stałych
> kosztow, ponieważ każdy licznik jest _unikatowy_ i złamanie jednego nic
> nie pomoże następnym. A że X wynosi grubo powyżej opłacalności procederu
> kręcenie liczników to przestaje się opłacać.

No dobrze, to opisz dokładnie to rozwiązanie, a ja Ci wskażę wszystkie jego
słabe punkty.

>> Oczywiście i pięknie dzięki temu uniemożliwiasz sobie zdiagnozowanie
>> pojazdu, bo skoro każdy egzemplarz ma dane szyfrowane wg unikatowego
>> klucza, to jak podepniesz sobie komputer, żeby chociażby sprawdzić ten
>> przebieg samochodu, albo historię błędów?
>
> A jaki widzisz problem żeby licznik w sposób niezaszyfrowany pozwalał na
> odczyt przebiegu ? Jesteś jeszcze jedną osobą na tej grupie która nie
> odróżnia czym się różni odczyt danych od odczytu klucza szyfrujacego?

Skoro ten przebieg jest w jakiś sposób szyfrowany przy zapisie, to musi się
odbyć deszyfracja przy odczycie, tak?

>> Musisz udostępnić narzędzia diagnostyki, które będą przechowywały dane z
>> kluczami
>
> G. prawda. Nic nie musze udostępniać _do diagnostyki_. To zapis licznika
> jest chroniony. Odczyt nie, przeciez widac go na wyświetlaczu.

Ale chcesz go zweryfikować. W serwisie. Komputerem. Jak?

Jurand.

do góry

Robert Rędziak wrote:
> Tylko np. słabo sobie wyobrażam możliwość odwołania
> skompromitowanych kluczy/certyfikatów czy nadania im
> ograniczonego czasu życia w samochodzie bez obowiązkowego
> odwiedzania ASO czy, o zgrozo, podłączenia go do jakiejś sieci.

PO CO. Klucze w samochodzie są unikatowe. Żyją tylko w nim. Jedyne co
może wycieknąć to baza danych tych kluczy u producenta. Ale nie, oni nie
mają tego na MySQLu na łaczu neostrady. Naprawdę. Podobnie można bać się
że wycieknie baza danych PINów z banku i żyć w jaskini.

> Zapomniałeś już o DeCSS-ie?

DeCSS jest mniej więcej analogią z dzisjaszym staniem liczników i
immobilizerow w samochodach. Banda ignorantów przyjeła jako standard
totalnie spieprzone zabezpieczenie. Mniej więcej jak blokada pompy
paliwa w immo Lanosa. Na szczeście po CSS ktos puknął się w czoło i
zatrudnił matematyków a nie studentów. Czekam na puknięcie się w czoło
przemysłu samochodowego.

> To poczytaj może o tym:
> http://en.wikipedia.org/wiki/AACS_encryption_key_con
troversy

Sledziłem to wtedy na żywo. Jak widzisz AACS nie padło. Padł "jeden
samochód".

> Jest taka różnica między samochodem, a odtwarzaczem DVD, że po
> odwołaniu klucza samochód nie przestanie automagicznie się
> uruchamiać, tak jak DVD przestanie odtwarzać nowe pozycje.

Jest tak różnica miedzy blueRay a samochodem, że w samochodzie
komunikacja miedzy licznikiem a centralnym komputerem może być
dwukierunkowa. A techniki szyfrowania stosowane są wtedy kompletnie inne
niż w AACS. Przykaład z AACS był podany jako kontrast, ze miliardy
dolarow zależą od wartości 16 bajtów i jakoś się im ufa. Krecenie
liczników nie jest tyle warte, a mimo to pozwala na stosowanie metod
równie bezpiecznych co te za którymi te miliardy stoją.

do góry

Dnia 03.05.2010 Sebastian Biały <h...@p...onet.pl> napisał/a:
>
> Sledziłem to wtedy na żywo. Jak widzisz AACS nie padło. Padł "jeden
> samochód".

Hmm masz jakiś problem ze ściągnieciem jakiegokolwiek filmu hd który
wyszedł na hd? IMO padło wszystko co istnieje na hd :)

Nie ma zabezpieczeń doskonałych, kwestia jest tylko jedna - pieniądze:
jeśli koszt złamania zabezpieczenia jest niższy niż wartość zabezpieczona,
tzn że albo to już jest złamane, albo za kilka dni będzie.
Content hd ma niepoliczalnie wysoką wartość, resztę sobie dopowiedz.

Porównaj to sobie do wartości swojego konta, do siły zabezpieczeń ssh.
Masz tam kilka prywatnych plików i trochę poczty - nikomu nic nie potrzebne,
masz bardzo dobrze zabezpieczone. Teraz wyobraź sobie że masz na tym koncie
całą wideotekę wszystkich wydawnictw na świecie w HD itd i wszyscy o tym
wiedzą, a ty nie możesz go odpiąć od sieci - Twój komputer pada w kilka
godzin - proste.

--
"A cóż to za sens kupować samochód, żeby jeździć po asfalcie?
Tam, gdzie jest asfalt, nie ma nic ciekawego, a gdzie jest
coś ciekawego, tam nie ma asfaltu".
Strugaccy - Poniedziałek zaczyna się w sobotę.

do góry

Dnia Sun, 2 May 2010 14:58:47 -0700 (PDT), AwD napisał(a):

> postaci wzrostu sprzedaży. I to dotyczy wielu produktów. A
> dostosowywanie się do oczekiwań lokalnych rynków trudno uznac za
> "olewanie" klientów.

Ja chętnie rzucę przykład różnicy jakości:

http://www.fotosik.pl/pokaz_obrazek/pelny/082dbb762c
0d94ad.html

Prawy - na rynek szwajcarski. Odpady - do nas.

--
Borys Pogoreło
borys(#)leszno,edu,pl

do góry