On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ
komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo
z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí
a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti
za jejich provozovatelem klidně můžou jít, on jim může klidně i dát
disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým
píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš
a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by
zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému
šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho
webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený
z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat
tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS
Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou
ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do
formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného
sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené
SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná
zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor
jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie.
Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo
chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na
tohle by to chtělo software, který bude na jedné straně generovat
falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen
MITM útočníky.
V americkém státě Missouri schválili zákon, který mj. zakazuje soukromou komunikaci mezi učiteli a žáky (i bývalými) na sociálních sítích i přes jiné weby.
Pákistánská vláda se zřejmě pokouší zcela zakázat šifrování při přenosu informací. V prováděcí vyhlášce k telekomunikačnímu zákonu se poskytovatelům služeb ukládá široká škála povinností, kromě jiného i „zajistit nezašifrovanost“.
Breivik v Norsku vyrobil výbušninu v garáži a proto EU musí zakázat prodej dusičnanových hnojiv a peroxidu vodíku - teroristé z nich totiž dokáží vyrobit výbušniny!
Odvolací soud osvobodil Waltera Bagdasariana, který na webovém chatu vyzýval k likvidaci (tehdy) prezidentského kandidáta Baracka Obamy, a to i slovy „zastřelte toho negra“. Podle soudu sice Bagdasarian vyzýval k násilí, ale nemohlo to být bráno jako skutečné ohrožení.
Ve švédské školce „Egalia“ se rozhodli přestat používat zájmena „on“ a „ona“ a dětem říkají jednotně „to“. Jsou zde zakázané klasické pohádky o Sněhurce nebo Popelce, místo toho tu dětem vyprávějí příběhy např. o dvou žirafích samcích, kteří chtěli mít potomky ale nedařilo se jim to, a nakonec se ujali opuštěného krokodýlího vejce.
No Novém Zélandu vstoupí 1.9.2011 v platnost nový zákon o autorském právu. Vlastník autorských práv sbírá adresy sdílečů a soud pak na základě tohoto seznamu může uložit vlastníkovi přípojky pokutu až 15 000 NZD (220 000 Kč, 9 000 Eur).
Itálie cenzuruje Internet, například Pirate Bay a BTJunkie. Teď zcenzurovali i jednu open-proxy. Důvod? Umožňovala přístup k zakázaným stránkám. Do důsledku vzato jsou tak v Itálii nelegální tisíce služeb od VPN po virtuální servery a měly by být také zcenzurovány.
V USA ruší zákaz žárovek. Od začátku roku 2012 měl platit zákaz 100W žárovek, kongres jej ale zrušil. V EU budou od září zakázány žárovky nad 45 W a v roce 2012 všechny s paticí E27.
Po jednoduchém rootnutí Vodafone UMTS Femto cell, BTS pro 3G síť, kterou si každý může snadno koupit (4500 Kč) pro dokrytí míst se slabým signálem (podzemní a železobetonové budovy, samoty v lese), se dají dělat úžasné věci. Například odposlouchávat hovory a volat na cizí účet v síti 3G/UMTS, která dosud nebyla na rozdíl od GSM jako taková prolomena.
Šifrování, BFU, detekce a falešné zprávy
On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti za jejich provozovatelem klidně můžou jít, on jim může klidně i dát disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie. Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na tohle by to chtělo software, který bude na jedné straně generovat falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen MITM útočníky.