Sul on variandina kas nakatada 30k arvutit peale hääletustarkvara laaditavaks saamist või peab trooja häkkimise algoritmi kuskilt alla tõmbama. Esimene variant on ebareaalne ja teine paneb kohe kellad helisema.
Formaalne võis turve olla "sinu firmas". On ka neid, kus see nii ei ole.
Piisab ühest sellisest ja asi läheb suure kella külge.
Aitäh, raulr kirjeldas ühe võimaliku valimiskomisjonipoolse troojalasega ründe ära. Edasi võib rahulik olla, sest selline asi tuleb välja. Neid inimesi, kes oma netiliiklusel silma peal hoiavad, on Eestis ka. Pole vaja, et igaüks leiab, piisab kogu Eesti peale ühest.
"marker"
Sul on variandina kas nakatada 30k arvutit peale hääletustarkvara laaditavaks saamist või peab trooja häkkimise algoritmi kuskilt alla tõmbama. Esimene variant on ebareaalne ja teine paneb kohe kellad helisema.
Formaalne võis turve olla "sinu firmas". On ka neid, kus see nii ei ole.
Variant on nakatada arvutid enne, mitme aasta jooksul.
Häkkimise algoritm on serialiseeritud massiiv/objekt, paarisajast baidist juba piisab. See võib olla nii eraldi tekstifail kui ka osa näiteks pildifailist.
Ma olen viimase 15 aasta jooksul teinud üle 100 projekti, neist rahvusvahelistes suurfirmades (tuntud meedia, auto, spordi jne ettevõtted) kindlasti üle 10.
Mingi pisikese pildifaili üle http tõmbamine (või selle üritamine) kindlasti mingeid kelli tööle ei pane. Veebilehed üritavad ju pidevalt mingit kolmanda partei jura tõmmata.
"hex"
Aitäh, raulr kirjeldas ühe võimaliku valimiskomisjonipoolse troojalasega ründe ära. Edasi võib rahulik olla, sest selline asi tuleb välja. Neid inimesi, kes oma netiliiklusel silma peal hoiavad, on Eestis ka. Pole vaja, et igaüks leiab, piisab kogu Eesti peale ühest.
Ma arvan, et kui sellist asja kasutati, siis viimati 2019 RK valimistel. Neid võimalikke auke on aga veelgi :)
Ma ise ehitasin ghostclickerit viimati 19. jaanuar 2024. See ei jooksnud küll varjatud aknas, vaid tõmbas AWSis tuhandeid virtuaalseid kasutajaid tööle ühele äpile, kus nad siis 3 erinevat kasutuslugu tsüklis täitsid. Serverid jooksid ca 7000 kasutaja pealt tookord kokku :) Kuna ka servereid sai samal ajal profileeritud, siis sai ka koodis enamvähem kohad välja tuua, mis probleemsed olid.
Pärast koosolekul neile hindudele, kellelt see äpp oli tellitud, ma üldse ei meeldinud ja see UK tellija pole ka rohkem teste soovinud.
"raulir"
Mingi pisikese pildifaili üle http tõmbamine (või selle üritamine) kindlasti mingeid kelli tööle ei pane. Veebilehed üritavad ju pidevalt mingit kolmanda partei jura tõmmata.
Seda ei monitoorita mitte ainult müürist, vaid ka arvutist. Piisab netti pöördumise katsest programmis, mis pole selleks ette nähtud.
"marker""raulir"
Mingi pisikese pildifaili üle http tõmbamine (või selle üritamine) kindlasti mingeid kelli tööle ei pane. Veebilehed üritavad ju pidevalt mingit kolmanda partei jura tõmmata.
Seda ei monitoorita mitte ainult müürist, vaid ka arvutist. Piisab netti pöördumise katsest programmis, mis pole selleks ette nähtud.
Nagu veebibrauseri plugin? Kusjuures ma olen isegi näinud stackoverflows vms teemat kunagi, kus keegi kurtis, et Eesti ID kaardi tarkvara injectib kõiki veebilehti ja soovitati kõik sellele lubada, kuna ikkagi riiklik asi.
See "Managed by your organization" ei ole mitte mingi näitaja windowsimaailmas. Ka koduarvutis omav windows, mis pole domeenis jne, võib sellist teksti ekraanil näidata.
"raulir"
Nagu veebibrauseri plugin?
Suvalised pluginid ei teki lihtsalt niisama corporate keskkonda. LIsaks eeldab su visioon valimisprogrammi exe tõmbamist ja käivitamist. Isegi osad koduarvuti setupid hakkavad selle peale karjuma. Coroprates läheb kohe teavitus tundmatu exe kohta.
"raulir"
Ma arvan, et sa oled veidike naiivne.
Uh-oh?
"raulir"
Vilepuhumine on kiire võimalus koduaias kiviks muutuda, samas on pahalaste eelarve miljardites. See, et leidub inimesi, kes lähevad igal juhul vilet puhuma ei tähenda, et ei leiduks inimesi, kes ei lähe vilet puhuma.
Miljardites? MIL-JAR-DI-TES?!? Ou, Refid, kuulsite vä? Teie eelarve on MILJARDITES!!! Ja ebasobivate kodanike Tallinna lahte paigaldamine koos betoonist kingadega, ei ole ka probleem.
Mul vist hakkas õudne, präega. Või siis ma olen veidikene naiivne ja hästi ei usu Orawite Pundi seesugust kõikvõimsust ja seaduseülimust.
"Offf""raulir"
Ma arvan, et sa oled veidike naiivne.
Uh-oh?"raulir"
Vilepuhumine on kiire võimalus koduaias kiviks muutuda, samas on pahalaste eelarve miljardites. See, et leidub inimesi, kes lähevad igal juhul vilet puhuma ei tähenda, et ei leiduks inimesi, kes ei lähe vilet puhuma.
Miljardites? MIL-JAR-DI-TES?!? Ou, Refid, kuulsite vä? Teie eelarve on MILJARDITES!!! Ja ebasobivate kodanike Tallinna lahte paigaldamine koos betoonist kingadega, ei ole ka probleem.
Mul vist hakkas õudne, präega. Või siis ma olen veidikene naiivne ja hästi ei usu Orawite Pundi seesugust kõikvõimsust ja seaduseülimust.
Vabandust, summad olid sadades miljardites. Mitme riigi kohtutes tõendamist leidnud. Eks sealt protsendike ka logistikale kulus.
Tallinna lahte paigaldamise kohta ei tea, aga koduõu tundub küll olevat olnud ohtlik koht kui neile sadadele miljarditele ette jäid.
Tuletaks meelde, et kunagi töötas advokaadibüroos nimega Borenius keegi Kaja Leiger, kelle kohta oli büroo St Peterburgi lehel kirjas umbes nii (parafraseerin, mälu järgi, detailid ja stiil ei tarvitse olla täpsed, viimati oli see üleval ja ma lugesin seda ca 10 a tagasi, nii et kõik võis hoopis vastupidi olla) - "Kaja on meil spetsialiseerunud suuremahuliste investeeringute vahendamisele Venemaalt Euroopa Liitu. Kui te olete Venemaa suurärimees ja teil on probleeme oma väga suure hulga raha viimisega Euroopa Liitu, siis on just Kaja see, kelle poole tuleb pöörduda ja ta ajab asja kiirelt korda!"
"marker""raulir"
Nagu veebibrauseri plugin?
Suvalised pluginid ei teki lihtsalt niisama corporate keskkonda. LIsaks eeldab su visioon valimisprogrammi exe tõmbamist ja käivitamist. Isegi osad koduarvuti setupid hakkavad selle peale karjuma. Coroprates läheb kohe teavitus tundmatu exe kohta.
Kui me saame corporate avastamisohtlikud arvutid niimoodi välja filtreerida, siis seda parem.
Suvalised pluginid on vajalikud kui tahad Eesti ID kaarti brauseris kasutada. Huvitav oleks teada, kui palju Eestis tegutsevaid korporatsioone on selle Eestis installeerimise ära keelanud?
See exe on ainult laiend. Üldotstarbelises arvutis võid mille iganes käima tõmmata, nimi ei pea olema exe. Kui vaja alla laadida, siis saab selle vajadusel obfuskeerida. Eraldi teema on ID kaardi paketi väga suured õigused su arvutis võrreldes tavarakendustega.
"raulir""marker"
Sul on variandina kas nakatada 30k arvutit peale hääletustarkvara laaditavaks saamist või peab trooja häkkimise algoritmi kuskilt alla tõmbama. Esimene variant on ebareaalne ja teine paneb kohe kellad helisema.
Formaalne võis turve olla "sinu firmas". On ka neid, kus see nii ei ole.
Variant on nakatada arvutid enne, mitme aasta jooksul.
Häkkimise algoritm on serialiseeritud massiiv/objekt, paarisajast baidist juba piisab. See võib olla nii eraldi tekstifail kui ka osa näiteks pildifailist.
Ma olen viimase 15 aasta jooksul teinud üle 100 projekti, neist rahvusvahelistes suurfirmades (tuntud meedia, auto, spordi jne ettevõtted) kindlasti üle 10.
Mingi pisikese pildifaili üle http tõmbamine (või selle üritamine) kindlasti mingeid kelli tööle ei pane. Veebilehed üritavad ju pidevalt mingit kolmanda partei jura tõmmata.
Sa ikka saad aru, et piisab ühest häirekellast, et nii koodijupp, mis laaditi kui ka koodijupp mis selle laadis, saadetakse antiviiruse poolt analüüsiks antiviiruse tootja poole üles. Peale seda on mustas nimekirjas kõik, mis seda võib sisaldada, samuti kõik ühendused ja nende ühenduste tekitajad. Paari päeva jooksul levib see Virustotalisse ja ka teistesse malwarega tegelevatesse tarkvaradesse, kaasa arvatud Windows Defender. Ja webilehed ei ürita üldse mingit kolmanda partei jura tõmmata tänapäeval. Lisaks on browseri protsess üsna kitsasse liivakasti surutud. Tüüpilselt on korporatiivsete klientide kõik kasutatavad tarkvarad ning browseri laiuendused lubatud ainult whitelisti alusel ja tavakasutajal puudub üldse igasugune õigus sinna midagi lisada.
>>> Vabandust, summad olid sadades miljardites. Mitme riigi kohtutes tõendamist leidnud. Eks sealt protsendike ka logistikale kulus. <<<
Mis iganes aineid te seal tarvitate, nüüd oleks küll aeg lõpetada. Järgmiseks loeme juba teooriat, et Ref. ongi Vene Oligarhia filiaal eestis ja ühtlasi valitseb siin absoluutse võimuga. JjVmÜMVN kah takkaotsa. Ega keemiasabad ei häiri? 5Gga ei kiiritata? Ja ega polümorfsete objektide deserialiseerimine pole blokeeritud?
Mis iganes aineid te seal tarvitate, nüüd oleks küll aeg lõpetada. Järgmiseks loeme juba teooriat, et Ref. ongi Vene Oligarhia filiaal eestis ja ühtlasi valitseb siin absoluutse võimuga. JjVmÜMVN kah takkaotsa. Ega keemiasabad ei häiri? 5Gga ei kiiritata? Ja ega polümorfsete objektide deserialiseerimine pole blokeeritud?
"Offf"
>>> Vabandust, summad olid sadades miljardites. Mitme riigi kohtutes tõendamist leidnud. Eks sealt protsendike ka logistikale kulus. <<<
Mis iganes aineid te seal tarvitate, nüüd oleks küll aeg lõpetada. ...
Rahapesu oli objektiivne reaalsus.
Siin eelnevalt räägiti statistilistest tõenditest - huvitav fakt - mäletatavasti 50% väljamakstud 500 eurostest kogu Eurotsoonis maksti teatud aastatel välja Eestis.
"Olevipoeg""raulir""marker"
Sul on variandina kas nakatada 30k arvutit peale hääletustarkvara laaditavaks saamist või peab trooja häkkimise algoritmi kuskilt alla tõmbama. Esimene variant on ebareaalne ja teine paneb kohe kellad helisema.
Formaalne võis turve olla "sinu firmas". On ka neid, kus see nii ei ole.
Variant on nakatada arvutid enne, mitme aasta jooksul.
Häkkimise algoritm on serialiseeritud massiiv/objekt, paarisajast baidist juba piisab. See võib olla nii eraldi tekstifail kui ka osa näiteks pildifailist.
Ma olen viimase 15 aasta jooksul teinud üle 100 projekti, neist rahvusvahelistes suurfirmades (tuntud meedia, auto, spordi jne ettevõtted) kindlasti üle 10.
Mingi pisikese pildifaili üle http tõmbamine (või selle üritamine) kindlasti mingeid kelli tööle ei pane. Veebilehed üritavad ju pidevalt mingit kolmanda partei jura tõmmata.
Sa ikka saad aru, et piisab ühest häirekellast, et nii koodijupp, mis laaditi kui ka koodijupp mis selle laadis, saadetakse antiviiruse poolt analüüsiks antiviiruse tootja poole üles. Peale seda on mustas nimekirjas kõik, mis seda võib sisaldada, samuti kõik ühendused ja nende ühenduste tekitajad. Paari päeva jooksul levib see Virustotalisse ja ka teistesse malwarega tegelevatesse tarkvaradesse, kaasa arvatud Windows Defender. Ja webilehed ei ürita üldse mingit kolmanda partei jura tõmmata tänapäeval. Lisaks on browseri protsess üsna kitsasse liivakasti surutud. Tüüpilselt on korporatiivsete klientide kõik kasutatavad tarkvarad ning browseri laiuendused lubatud ainult whitelisti alusel ja tavakasutajal puudub üldse igasugune õigus sinna midagi lisada.
Selge - iga kord kui ma nõustun ID kaardi tarkvara uuendusega selles tüütus popupis, saadetakse see Viirustotalisse. Huvitav teada!
Veebilehed ei ürita kolmanda partei kraami tõmmata - kas sa elad samas paralleelreaalsuses Reformierakonna Suure Juhi Päikese all, kus ka Offf paistab elavat? Tee Chromes "Inspect element" lahti ja ava "Network" tab, siis ava Delfi ja naudi.
Whitelist - kui kasutaja vajab ID kaardiga autentimist või allkirjastamist üle veebi, siis ei jää sellel korporatsioonil muud üle kui lubada see plugin ja selle injectionid.
"raulir"
Selge - iga kord kui ma nõustun ID kaardi tarkvara uuendusega selles tüütus popupis, saadetakse see Viirustotalisse. Huvitav teada!
Veebilehed ei ürita kolmanda partei kraami tõmmata - kas sa elad samas paralleelreaalsuses Reformierakonna Suure Juhi Päikese all, kus ka Offf paistab elavat? Tee Chromes "Inspect element" lahti ja ava "Network" tab, siis ava Delfi ja naudi.
Whitelist - kui kasutaja vajab ID kaardiga autentimist või allkirjastamist üle veebi, siis ei jää sellel korporatsioonil muud üle kui lubada see plugin ja selle injectionid.
Kas sa mängid lolli või oledki päriselt nii rumal? Korralikus korporatiivses võrgus ei installi kasutaja mitte midagi ja Delfit ta ka lahti ei tõmba. Iga softi uuendus käib läbi totaalse paberisõja ja siis läbi policy.
"raulir"
Rahapesu oli objektiivne reaalsus.
Kas mõni "rahapesujuhtum" ka reaalselt rahapesuna ära tõestati ja sellena karistati?
Nii palju, kui mulle silma jäi, siis kõik "trahvid" olid kas kokkuleppemenetlus või ebapiiisavate rahapesumeetmete eest.
Kuulge, kolige "vandenõuteooriatesse". 100 Öljardi pealt oleks keskmine "rahapesumaks" 20% ehk 20 miljardit. KUI Refide "kampaaniaeelarve" oleks "natuke vähem kui kaks eesti riigieelarvet" siis mida kuradit mingi evalimisega jännata. Ilma selletagi sõidaks teerullliga absolutuselt kõigest üle ja saaks abs. enamuse RKs.
Äkki ikka püüaks natukenegi arvutada ja suurusjärke jälgida enne kui lahmima kukume ... või siis "vanedenõuteooriad" -- väga sobiv teema sellise sonimise jaoks.
Äkki ikka püüaks natukenegi arvutada ja suurusjärke jälgida enne kui lahmima kukume ... või siis "vanedenõuteooriad" -- väga sobiv teema sellise sonimise jaoks.
10000, või mis iganes arvu, hääle manipuleerimisest:
Teatavasti toimub enne häälte lugemist anonüümistamine, kus häältest eraldatakse isikuandmed ning hääled miksitakse. Kogu protsessi mõte on tagada hääletamise anonüümsus ning peale seda protsessi ei ole võimalik omavahel võrrelda anonüümistatud andmekogu ja e-urni.
Lähemalt loe siit (IV Häälte lugemine ja hääletamistulemuste kontroll)
Kuna see protsess juba definitsiooni kohaselt peab olema salajane ning läbipaistmatu, siis just selles etapis ongi võimalik hääli manipuleerida.
Sisemisel pahalasel, ja siin ma ei pea silmas patsiga poissi vaid kogu süsteemi kõige kõrgemal tasemel, ei ole mingi probleem kasutada selles protsessis spetsiaalselt manipuleeritud või disainitud riistvara/tarkvara, et anonümiseerimisprotsessi käigus ühtlasi manipuleerida hääli sobivalt. Mitte kellelgi ei ole võimalik jälgida ega kontrollida, mis toimub selle "turvalise platvormi" sees ja sisemine pahalane teeb kõik selleks, et seda kontrolli piisava põhjalikkusega mitte kunagi läbi ei viida. Välisel vaatlejal ei ole võimalik kontrollida, et süsteem toimib häälte lugemise hetkel täpselt nii nagu see on avalikkusele esitatud või dokumenteeritud.
Probleem ei seisne mitte selles, et keegi (patsiga poiss) teeb hea ja toimiva süsteemi katki, installib mingi troojalase, vms ja keegi ei saa aru... Probleem on selles, et kõige kõrgemal poliitilisel tasemel puudub tahe luua head, usaldusväärset, läbipaistvat ja kontrollitavat süsteemi, ning seda piisava põhjalikkusega auditeerida.
Valimiste korraldus peab olema selline, kus inimesed saavad anonüümselt hääletada valitseva seltskonna vastu ja olla kindlad, et nende hääl läheb arvesse. e-valimiste puhul sellist kindlust anda ei saa - hääletustulemuse kujunemise protsess on läbipaistmatu ja mitte kontrollitav, hääletamise süsteemi loojad ja haldajad on valitseva seltskonna valida ja määrata.
Teatavasti toimub enne häälte lugemist anonüümistamine, kus häältest eraldatakse isikuandmed ning hääled miksitakse. Kogu protsessi mõte on tagada hääletamise anonüümsus ning peale seda protsessi ei ole võimalik omavahel võrrelda anonüümistatud andmekogu ja e-urni.
Lähemalt loe siit (IV Häälte lugemine ja hääletamistulemuste kontroll)
Kuna see protsess juba definitsiooni kohaselt peab olema salajane ning läbipaistmatu, siis just selles etapis ongi võimalik hääli manipuleerida.
Sisemisel pahalasel, ja siin ma ei pea silmas patsiga poissi vaid kogu süsteemi kõige kõrgemal tasemel, ei ole mingi probleem kasutada selles protsessis spetsiaalselt manipuleeritud või disainitud riistvara/tarkvara, et anonümiseerimisprotsessi käigus ühtlasi manipuleerida hääli sobivalt. Mitte kellelgi ei ole võimalik jälgida ega kontrollida, mis toimub selle "turvalise platvormi" sees ja sisemine pahalane teeb kõik selleks, et seda kontrolli piisava põhjalikkusega mitte kunagi läbi ei viida. Välisel vaatlejal ei ole võimalik kontrollida, et süsteem toimib häälte lugemise hetkel täpselt nii nagu see on avalikkusele esitatud või dokumenteeritud.
Probleem ei seisne mitte selles, et keegi (patsiga poiss) teeb hea ja toimiva süsteemi katki, installib mingi troojalase, vms ja keegi ei saa aru... Probleem on selles, et kõige kõrgemal poliitilisel tasemel puudub tahe luua head, usaldusväärset, läbipaistvat ja kontrollitavat süsteemi, ning seda piisava põhjalikkusega auditeerida.
Valimiste korraldus peab olema selline, kus inimesed saavad anonüümselt hääletada valitseva seltskonna vastu ja olla kindlad, et nende hääl läheb arvesse. e-valimiste puhul sellist kindlust anda ei saa - hääletustulemuse kujunemise protsess on läbipaistmatu ja mitte kontrollitav, hääletamise süsteemi loojad ja haldajad on valitseva seltskonna valida ja määrata.
"Olevipoeg"
Kas sa mängid lolli või oledki päriselt nii rumal? Korralikus korporatiivses võrgus ei installi kasutaja mitte midagi ja Delfit ta ka lahti ei tõmba. Iga softi uuendus käib läbi totaalse paberisõja ja siis läbi policy.
See, et paarituhandele (suurusjärk) tööarvutile ei saa seda installeerida, ei muuda midagi. Parem ongi kui riskantne segment välja jääb.