On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ
komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo
z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí
a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti
za jejich provozovatelem klidně můžou jít, on jim může klidně i dát
disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým
píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš
a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by
zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému
šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho
webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený
z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat
tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS
Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou
ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do
formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného
sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené
SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná
zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor
jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie.
Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo
chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na
tohle by to chtělo software, který bude na jedné straně generovat
falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen
MITM útočníky.
Zneužitelnost povinností zavedených DMCA ukazuje případ stránky, která kopíruje obsah z cizích webů a pak s využitím požadavků podle DMCA nechává odstraňovat původní články.
Cibi vytáhl z T-Mobile (část) dat, která o něm TMo shromažďuje na základě zákona o data retention. Zároveň několik dní těchto logů vizualizoval. O tom, jak postupovat, pokud chcete dosáhnout téhož, bude mít ve čtvrtek (7.2.2013) v brmlabu lightning talk.
Unikl tajný dokument Ministerstva spravedlnosti USA o podrobnostech programu „cíleného zabíjení“ (v jehož rámci jsou zabíjeni i američtí občané, aniž by byli z něčeho obviněni). Dokument například obsahuje mnohem širší definici „sebeobrany“ nebo „hrozícího útoku“, než jak bylo veřejně předkládáno.
Oskar píše o případu nelegálního výlepu reklam. I když se nepodařilo prokázat, že žalovaná firma samolepky opravdu vylepila, musí platit - díky reklamě (kterou si nevyžádala) jí totiž prý stoupl zisk, což je neoprávněné obohacení.
V Javě bylo nalezeno několik nepříjemných bezpečnostních děr, a proto je pochopitelně doporučeno aktualizovat. Co a jakým způsobem Oracle do aktualizací přibalil rozebírá ZDNet.
Řada běžně prodávaných kamerových systémů komunikující protokolem TCP/IP je náchylná na k nabourání hackerským útokem. Útočník pak může systém zcela ovládnout, tedy nejen sledovat či kopírovat záznam, ale také ho smazat nebo upravit. Některé kamery postrádají jakoukoli ochranu a pro přístup k nim se stačí připojit na port, na kterém naslouchají.
Ministerstvo práce a sociálních věcí dostane pokutu za sKartu. Úřad pro ochranu osobních údajů při kontrole zjistil vážné porušení zákona v souvislosti s předáním osobních údajů České spořitelně.
Podle reportu firmy Google se za poslední tři roky zdvojnásobil počet požadavků na údaje o uživatelích, které přišly ze států Evropské unie. V USA byl nárůst „jen“ 70 %. Celkově o 10 procentních bodů (ze 76 na 66 %) klesl počet žádostí, kterým firma vyhověla. Z Česka přišly první požadavky až v roce 2012, a to celkem 95 (týkaly se 128 uživatelů); firma jich však většinu zamítla (69, resp. 68 % v každém z pololetí).
Šifrování, BFU, detekce a falešné zprávy
On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti za jejich provozovatelem klidně můžou jít, on jim může klidně i dát disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie. Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na tohle by to chtělo software, který bude na jedné straně generovat falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen MITM útočníky.