On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ
komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo
z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí
a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti
za jejich provozovatelem klidně můžou jít, on jim může klidně i dát
disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým
píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš
a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by
zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému
šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho
webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený
z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat
tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS
Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou
ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do
formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného
sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené
SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná
zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor
jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie.
Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo
chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na
tohle by to chtělo software, který bude na jedné straně generovat
falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen
MITM útočníky.
Policejní složky v Minnesotě snímají a analyzují registrační značky vozidel. Nepoužívají je jen k odhalování kradených aut a ke hledání zločinců, nýbrž také tiše zaznamenávají pohyb jednotlivých vozidel. Státní policie maže data po 48 hodinách, městská policie v St. Paul však až po 14 dnech a ve městě Minneapolis se uchovávají dokonce celý rok.
Generální advokátka australské vlády Nicola Roxon pozastavila zavedení data retention, a to do nejbližších voleb. Důvodem je odpor veřejnosti proti záznamu informací. Při nedávné žádosti o poskytnutí návrhu legislativní úpravy vláda poskytla dokument, který byl z 90 % začerněn.
Stránky, na které Google dostává hodně stížností, budou umístěny hůře ve výsledcích vyhledávání. Mimochodem - Google dostává přes sto tisíc požadavků na odstranění denně. Jakpak se asi zajistí, aby se tam sem-tam nevloudila i nějaká legální, avšak nepohodlná stránka?
Microsoft bude partnerem policie v New Yorku pro zprovoznění mohutného sledovacího systému. Systém bude shromažďovat a v reálném čase analyzovat data z více než 3000 kamer, z volání na tísňovou linku, ze snímačů registračních značek, policejních databází atd.
Pomocí sociálního inženýrství technické podpory se neznámému crackerovi podařilo získat cizí účet na Apple iCloud a odtamtud rozšířit svou působnost na všechny účty oběti, kterou byl známý novinář. Data smazal a digitální identitu kompromitoval. Případ ukazuje, co se může stát, pokud máte všechna data v cloudu na jednom místě a nemáte zálohu. 123
Americká organizace MPAA shání spojence, kteří by podpořili vydání britského studenta Richarda O’Dwyera do USA. Podle „komunikačního plánu“ MPAA by tito spojenci měli psát články a blogposty podporující postoj organizace.
Po nedávném rozhodnutí o konečném termínu povinného zavedení systému eCall je tady další nová povinnost u vozidel. U všech lehkých užitkových vozů a možná i u všech osobních bude povinnou součástí systém krizového brzdění.
Vědci z University college of London vyvinuli metodu využití domácího WiFi AP jako součásti radarového systému, který dokáže i skrz zdi lokalizovat osoby pohybující se v budově. Osoby se lokalizují speciálním přijímačem s využitím Dopplerova jevu.
Šifrování, BFU, detekce a falešné zprávy
On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti za jejich provozovatelem klidně můžou jít, on jim může klidně i dát disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie. Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na tohle by to chtělo software, který bude na jedné straně generovat falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen MITM útočníky.