Google -- Není na čase začít se bát? (diskuse)

Inu, tento projekt se mi sice vůbec nelíbí, ale možná je menší zlo mít to v Googlu, kde je to relativně na očích veřejnosti, v hledáčku médií a se souhlasem uživatelů, než aby se takové databáze budovaly pokoutně a zcela bez kontroly. Výhoda je mimo jiné v tom, že uživatel má alespoň jistou možnost určit, co se bude publikovat a co ne, a pokud proniknou ven informace, které označil za choulostivé a důvěrné, může dělat bugr. Pokud jsou jeho data v nějaké tajné databázi v kdovíjaké firmě, tak se ho nikdo ptát nebude.

Totiž, přijde mi, že postupnému shromažďování a propojování informací o každé osobě nejde moc zabránit, protože k prosakování údajů z firmy do firmy a z databáze do databáze dochází běžně při nejrůznějších obchodních transakcích.

To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...

Tyhle jednorazove hesla neni jedina moznost. Mne osobne se moc nelibi, protoze chybi pridana ochrana pro pripad ztraty. Kdyz ztratim token, nemel bych, v pripade ze nalezce vi kdo jsem, byt ohrozen.

Lepsi jsou sifrovane SMS + PIN ala Ebanka. Docela by se mi libilo, kdyby konecne zacali lide poradne podporovat klasicke klice. Takovej iKey je super vec.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

28.2.2008 01:17 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Nalezce zna jen cislo z tokenu, ale nezna heslo, takze ma utok dost tezky. A nez heslo uhodne, tak zase ja vim, ze nemam token. A do tokenu se tezko dava backdoor. U chytrych telefonu bych mozna uz byl s bankovnimi SMS opatrnejsi. Ty bankovni SMS asi necekaji, ze nekdo je mezi klavesnici mobilu a SIM kartou.

iKey je prima, ale tam narazime na tu nepodporovanost. Treba ssh-agent z debianu neumi z ikey pouzit klice, to umi jen OpenSUSE a nejsem si jistej jestli Fedora. U windows tam uz je to vubec o nicem, protoze tam aby clovek nosil sebou instalacni CD a doufal, ze kam prijde, tam bude mit prava administratora.

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money

28.2.2008 02:59 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Jak jsem to pochopil, tak tohle je klasicky generator, ktery v (ne)pravidelnych intervalech zobrazuje ruzna hesla (http://en.wikipedia.org/wiki/Security_token#Time-synchronized_one-time_passwords). Prihlasujes se loginem + timhle vygenerovanym heslem.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

28.2.2008 07:56 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

To jak se heslo pouzije zalezi na konkretni implementaci, vetsinou se bud delaji tri vstupni policka a nebo se proste k zobrazenemu cislu prida jeste nejake dalsi cislo nebo slovo. Skutecne malokdy se dneska pouzije ciste jen kombinace jmena a tohohle hesla, to snad jen v pripade, kdy je samotne prihlasovaci jmeno utajovane.

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money

28.2.2008 16:39 miro
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Když ztratíte iKey, budete nejspíš ohrožen také. Jiná věc je, že už vás neohrozí kdejaká lama (i když kdoví, kdo kdy a kde si sniffnul váš PIN do iKeye nějakým keylogerem). IMHO prakticky jakákoli autentizační metoda bude suboptimální, nebude-li doplněna možností okamžité revokace.

28.2.2008 17:59 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Tak to je jasne. Ale nez prijdu na to, ze token nemam a nahlasim to, muze to trvat netrivialni dobu (uz vidim jak si blokujete jediny pristupovy bod, kdyz nevite jestli jste token nenechal doma). Od toho pak je nejaka pridana ochrana (casto trivialni, protoze i jednoduchy ciselny pin na tuhle dobu staci).

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

29.2.2008 17:17 miro
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Souhlas, já jsem reagoval na tvrzení "Kdyz ztratim token, nemel bych, v pripade ze nalezce vi kdo jsem, byt ohrozen." v kontextu s vaší zmínkou o iKey jako supr věci. Že iKey přidanou hodnotu má (ve smyslu zpomalení útočníka), to je bez debat. Kalkulačka Komerční banky, tuším, uměla dokonce po asi čtyřech špatných pokusech o zadání PINu zničit nějakým zkratem toho brouka uvnitř (což samozřejmě nutně neznamená, že nejde hacknout). Jestli se nepletu, tak dnes už komerčka tu kalkulačku nenabízí, bohužel.

Určitě je na čase přemýšlet o tom, jakou moc Google vlastně má.

Má kontrolu nad tím, co je možné na internetu najít. Takže mohou zařídit, aby nepohodlné věci nešly najít.
Šlo by zařídit i že pokud někdo vyhledává informace o něčem divném (např. podle seznamu klíčových slov), tak o něm zaznamenat všechny informace a ty předat někomu (třeba policii, nevím).

Mimochodem podobnou online databázi zdravotnických informací někde má i Microsoft.

28.2.2008 08:03 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Ta Microsofti vec je linkovana z toho prispevku v blogu. Asi udelana o neco lepe, resp. nebyla propojena s dalsimi databazemi, ale nebyla uspesna a Microsoft si to zapsal na seznam ostatnich ztratovych projektu.

Ony ty databaze vznikaji a vznikat budou, protoze to je proste vec, ktera dava smysl a lidi ji chteji. Ale musi se to delat na nejake urovni.

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money

Zrovna cislo Ekonomu 6 7.-13.2. 2008 je na tema bezpecnost dat sverenych statu. Stat si vede 239 databazi. Podle mne jedina cesta je o sobe poskytnout co nejvice dat, a zaroven skryvat citliva data, ale jen v malych davkach:)

28.2.2008 08:21 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Tak zase stat je tradicne neschopen udrzet ta data nejak konzistentni natoz propojit ty databaze mezi sebou. Proto tech databazi je take tolik. Budu se na ten clanek muset mrknout, jsem zvedavy jestli tam zminuji tech 13 zdravotnickych statnich registru, ktere jsou rozsahem daleko za tim, co si jakykoliv jiny stat na svete dovoli sbirat a to se pritom uvadi jako duvod, proc se nesmi zrusit.

Navic kazdou databazi vede pro stat jina firma, takze kdyz jich bude mene, tak bude mene statnich IT zakazek. A fura nezamestnanych ITaku. Vzdyt si to predstavte, kdyby ministertsvo financni vyhodilo taxdata pro opakovanou mnoholet trvajici neschopnost napsat aplikaci fungujici pod alespon vice nez jednou verzi prohlizece. To by vypukla dalsi hypotecni krize.

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money

28.2.2008 11:13 elviin | skóre: 29 | blog: elviin | Plzeň-Praha
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Zrovna taktez v Ekonomu, ale nepamatuji se na cislo, se pise o firmach, ktere o lidech sbiraji informace, ktere by ani pro jejich cinnost nepotrebovaly. Je toho pry tuny (majetek, umrti, pribuzni, orientace, ...). Co si pamatuji, tak hodne dat o lidech maji banky (mluvim o datech, ktera nepotrebuji k poskytovnai sluzeb), elektrarny, plynarny.

28.2.2008 14:20 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Dodavatelé elektřiny a plynu moc údajů nemají. Mají přehled o větších spotřebičích, pokud jim je lidé nahlásili (což zdaleka ne vždy dělají), ale to je asi tak všechno. Mnohem více informací mají banky, už i jen podle transakcí (protistrana, částka, pravidelnost atd.), další informace si pak zjišťují při poskytování úvěru.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

29.2.2008 03:55 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Banky zase az tak vela nesuviacich dat nezbieraju. Rozhodne o transakciach maju kazdy prd, ale umrtia, orientacie a pod. nezbieraju.

If you hold a Unix shell up to your ear, you can you hear the C.

29.2.2008 09:33 elviin | skóre: 29 | blog: elviin | Plzeň-Praha
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

No s tou orientaci jsem to prehnal, ale napr. prazske plynarny chteji umrtni list (nebo alespon v dobe, kdy jsem cetl clanek v Ekonomu, chtely) v pripade, kdy nekdo potreboval odhlasit plyn v byte, jehoz uzivatele umreli.

V nespojování databází jsou naprostí mistři naše státní správa. Teď jsem byl měnit trvalé bydliště a to si musí člověk zajít napřed na registr obyvatel, vyplnit si žádost a dostane papírek. Pak musí jít k paní naproti a dát jí papírek a vyplnit přesně stejné informace do nového formuláře, aby mu paní vyřídila novou občanku. Paní dá zase jiný papírek a pak se jde na registr řidičských průkazů o patro výše. Tam pro změnu vyplním zase stejné informace do formuláře a paní mi pro změnu nic nového nedá. Čirou náhodou jsem si pak potřeboval vyřídit ještě cestovní pas, to jsou dveře vedle řidičáků, opět vypsat stejné informace do formuláře. Problém je, že v této chvíli má člověk jenom občanku s ustřiženým rožkem, které je sice plně platná, ale totožnost se podle ní ověřit nedá, takže paní musela zavolat na oddělení občanských průkazů, jestli já jsem opravdu já - spojení databází tedy funguje, ale join se dělá "analogově" přes telefonní linku.

No a k věci - co je špatného na Google Health? U nás funguje izip, který může obsahovat stejné informace a osobně v tom spatřuji celkem výhodu. Provozuje jej soukromá společnost (AFAIK), která se zaručuje, že nebude informace zveřejňovat, stejnou noticku má v licenci určitě i Google, který si tam může přidat, že nebude tato data kombinovat s jinými v rámci účtu Google. Tak jako tak věřím stejně jenom té dané společnosti.

Jedině to udělat decentralizovaně, něco jako "Health server", kde by měl člověk na svém střeženém stroji svoje zdravotní údaje, které by mohl poskytovat lékařům přímo z toho serveru. :-)

28.2.2008 12:32 Cohen | skóre: 21 | blog: Drobnosti | Brno
Rozbalit Rozbalit vše Re: Google -- Není na čase začít se bát?

Tak to jsi v ČR vyhrál první cenu – máš to všechno v jedné budově. ;-)

OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)