On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ
komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo
z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí
a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti
za jejich provozovatelem klidně můžou jít, on jim může klidně i dát
disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým
píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš
a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by
zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému
šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho
webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený
z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat
tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS
Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou
ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do
formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného
sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené
SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná
zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor
jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie.
Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo
chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na
tohle by to chtělo software, který bude na jedné straně generovat
falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen
MITM útočníky.
Komunistická strana Číny v Tibetu pod záminkou boje s terorismem začíná přísně kontrolovat přístup k tak - z našeho pohledu - nevinným zařízením jakým jsou běžné kopírky. Nově musí každý, kdo by nějaký takový stroj chtěl použít, prokázat svou identitu a kopírované dokumenty se archivují. Obzvláště pokud jde o text v Tibetštině, může se stát, že nebude možné pořídit jeho kopii bez souhlasu policie.
V tomto kontextu dostává v Tibetu slovní spojení "nelegální kopie" zcela nový význam.
Na serveru AbcLinuxu vyšly další rozhovory se zástupci politických stran – tentokrát ČSSD, KSČM a KDU-ČSL. Odpovědi všech tří stran k dohodě ACTA jsou více méně potěšující – nicméně jde o to, aby nezůstalo jen u slov…
Na serveru AbcLinuxu vyšel první ze série rozhovorů se zástupci politických stran. Dnes s Českou pirátskou stranou. Postupně se ke slovu dostanou i další strany. Jednou z kladených otázek je i tajně projednávaná dohoda ACTA.
Na webu D-FENS se dozvíte, že Svobodní jsou ostře proti cenzuře a podobným věcem, nebo že ODS má cenzuru Internetu dokonce ve svém volebním programu. Redakce webů Linuxexpres a Deep in IT obeslaly různé politické strany dotazy, jak se staví k cenzuře Internetu, autorskému právu atd. Odpovědi si můžete prohlédnout v rozsáhlých článcích.
Nový zákon (implementaci směrnice „o audiovizuálních mediálních službách na vyžádání“ Evropské komise) podrobně rozebírá článek na DigiZone. Provozovatelé, kteří na internetových AV službách vydělávají, se musí registrovat u RRTV a ta je pak bude namátkově kontrolovat – například jestli věnují 10 % vysílacího času nebo 1 % zisku evropské tvorbě či zda vedou archiv odvysílaného materiálu za poslední měsíc. V zákoně je rovněž povinnost opatřovat všechny pořady titulky pro neslyšící. Ta začne platit 1. ledna 2011, ale pravděpodobně bude do té doby upřesněna nějakou vyhláškou.
Stejně jako Vodafone a Telefónica O2začal už i T-Mobile cenzurovat svým zákazníkům Internet. V Česku ani na Slovensku tak už neexistuje žádný GSM operátor, který by necenzuroval.
V Belgii chtějí zakázat zahalování obličeje na veřejnosti. Opatření mířené hlavně proti zvykům muslimských žen již hladce prošlo dolní komorou parlamentu (pro: 136, zdrželi: 2, proti: 0), teď ho ještě má schválit senát.
Šifrování, BFU, detekce a falešné zprávy
On je spíš problém v tom, že spousta lidí (se kterými někdy potřebuješ komunikovat) prostě šifrovat neumí nebo nechce (ať už z lenosti nebo z jiných důvodů). Takže kus cesty ten e-mail nešifrovaně stejně urazí a tam se dá zachytit.
Ale pokud by všichni šifrovali, tak na serverech moc nezáleží – agenti za jejich provozovatelem klidně můžou jít, on jim může klidně i dát disky, ale zprávy si stejně nepřečtou – maximálně metadata, kdo si s kým píše (což má sice taky hodnotu, ale to už se utajuje hodně blbě).
Otázka je, jak ochránit tu „první míli“ mezi BFU, se kterým si píšeš a prvním serverem, který by třeba mohl znát tvůj veřejný klíč a mohl by zprávu hned zašifrovat. Něco takového mám na TODO seznamu…
A opačným směrem je to ještě horší – když píšeš BFU neschopnému šifrování, tak by se to zase muselo někde dešifrovat – třeba na jeho webmailu, který by znal jeho klíč – ten by teoreticky mohl být odvozený z jeho hesla, takže by ho provozovatel serveru neznal… ale nainstalovat tomu uživateli keylogger (nebo použít nějaký, který je zabudovaný v MS Windows) není nic složitého.
Obecně je tohle trochu neřešitelný problém – dokud uživatelé nebudou ochotní si něco nastudovat a budou chtít jen tupě zadat jméno a heslo do formuláře na webu, tak jim není moc pomoci.
Kromě toho bych se zaměřil na odhalování a dokumentaci případného sledování – chce to sbírat důkazy – např. kdy a jak bylo podvržené SSL/SSH spojení, kdy byla narušena nebo ztracena šifrovaná/podepsaná zpráva, kdy vracel DNS server „divné“ výsledky, proč má tenhle soubor jiný kontrolní součet, když ho stahuji z jiné sítě a další anomálie. Dále je pak dobré posílat falešné zprávy a zkoumat, jestli se jich někdo chytne, jestli se prozradí tím, že má znalost, kterou by mít neměl. Na tohle by to chtělo software, který bude na jedné straně generovat falešné zprávy a na druhé je zahazovat, aby nemátly příjemce, ale jen MITM útočníky.