On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ
komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo
z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí
a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti
za jejich provozovatelem klidně můžou jít, on jim může klidně i dát
disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým
píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš
a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by
zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému
šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho
webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený
z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat
tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS
Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou
ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do
formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného
sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené
SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná
zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor
jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie.
Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo
chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na
tohle by to chtělo software, který bude na jedné straně generovat
falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen
MITM útočníky.
Společnost Google se rozhodla data, která získala zachytávání z WiFi sítí, poskytnout vládám Německa, Francie a Španělska k dalšímu zkoumání. Dojde k tomu na základě odůvodnění žádosti uvedených států, kterým je zjištění, jaká data firma zaznamenávala.
Konference SmartCard Forum se věnovala mimo jiné biometrickým údajům, novým občanským průkazům a pasům či čipovým kartám. Můžete si stáhnout sestříhané videozáznamy přednášek.
V holandském Rotterdamu se budou testovat „biometrické kamery“ umístěné v autobusech MHD. Kamery budou snímat různé obličejové rysy cestujících a porovnávat je s údaji v databázi. Nizozemský ministr vnitra projekt podpořil a v případě úspěchu by se toto řešení asi pokusil zavést v celé zemi.
Po Ústí nad Labem se pohybuje dodávkový automobil za 7 mil. Kč vybavený sadou kamer a trojčlennou posádkou. Podle Vladimíra Junka, představitele ústecké policie, vozidlo slouží k „preventivní ochraně a monitorování projevů extremismu“.
Telefónica změnila taktiku a zapírá. „Nevhodným“ doménám (např. indexlolita.net, kisslola.com, offlolita.org, thaimisc.com, za příklady děkujeme uživateli podepsanému Jirka P) vrací A záznam 194.228.41.66 (server je dostupný i mimo síť O2). Na tomto serveru běží Red Hat Linux a Apache 2.0.55, který na veškeré HTTP požadavky vrací 200 OK a následuje HTML, ve kterém je napsáno 403 Access denied, což je jistě velmi kreativní řešení. Nezasvěcený uživatel si tak myslí, že chyba je na straně provozovatele serveru.
Na skladech v ČR zbývá asi 600 000 vakcín proti prasečí chřipce, které už nikdo nepotřebuje a časem se vyhodí. Nakoupit je ale prý bylo potřeba. Na jakou chřipku se budeme připravovat příště? Opičí? Psí? Tipovat můžete v komentářích.
Poslanci Evropského parlamentu mohou nyní podepisovat písemné prohlášení č. 29 (pdf), které pod záminkou boje proti dětské pornografii požaduje rozšíření povinnosti uchovávat provozní a lokalizační údaje (data retention) i na internetové vyhledávače, informuje Christian Engström. Iniciátory prohlášení jsou Ital Tiziano Motti a Slovenka Anna Záborská, oba za Evropskou lidovou stranu. Pokud se pod dokument do 9.9. podepíše alespoň 369 z 736 poslanců, bude dokument přijat a předán jako doporučení Evropské komisi. Do 20.5. prohlášení podepsalo 324 poslanců. Pokud by byl dokument schválen, spadal by pravděpodobně do kompentence švédské komisařky pro vnitřní záležitosti Cecilie Malmström, která je známa svým kladným postojem k cenzuře Internetu - viz rozhovor s ní. K propagaci prohlášení slouží web na adrese smile29.eu.
Britské ID karty kritizované pro narušování soukromí budou pravděpodobně zrušeny. Příslušný zákon čeká druhé čtení 9. června 2010. Konservativně-liberální vláda zároveň slíbila ukončení velkobratrského národního registru, odebírání otisků prstů dětí ve školách a bezdůvodného uchovávání internetových a e-mailových záznamů. „Je to dobrý začátek“ poznamenává iniciativa NO2ID.
Výsledky největšího průzkumu konaného v ČR za poslední čtyři roky ukázaly, že většina občanů a občanek je spokojena s politickou situací, vyrovnaností státního rozpočtu a dalšími aspekty politického a ekonomického života. Naši politici si mohou k tak skvělému výsledku jistě gratulovat.
Evropská unie plánuje kvóty na minimální počet žen v managementu velkých firem. Podrobnosti ještě nejsou známy, ale pravděpodobně bude muset žen být kolem 40 %. Takové kvóty mají v Norsku už od roku 2006. "Podle studií vykazují firmy, v nichž jsou ženy zastoupeny odpovídajícím způsobem, výborné finanční výsledky," tvrdí vicekomisařka Evropské unie pro spravedlnost Viviane Redingová.
Šifrování, BFU, detekce a falešné zprávy
On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti za jejich provozovatelem klidně můžou jít, on jim může klidně i dát disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie. Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na tohle by to chtělo software, který bude na jedné straně generovat falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen MITM útočníky.