Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
iDnes píše o problémech, které mohou potkat každého, kdo v Londýně pořizuje fotografie veřejných míst. Fotografující lidé se mohou těšit na sledování, kontrolu paměťové karty (případně i její vymazání) nebo dokonce i zadržení a výslech.
Vydavatelství CPress Media a.s. čelí žalobě za neodstranění diskusních příspěvků na serveru FinExpert.cz. Žalobcem je firma PROLUX Consulting Int. s.r.o., které se nelíbí, jakým způsobem se účastníci diskuse vyjadřovali o její činnosti.
Nad nesmyslností nařízení Evropského parlamentu a rady č. 593/2008, které říká, že obchod přes hranice členských států se řídí právem platným v zemi zákazníka, se pozastavuje Lukáš Jelínek.
Úřad Ústeckého kraje musí zaplatit náklady soudního řízení, které proti němu vedlo sdružení Děti Země kvůli odpírání poskytnutí informace (související s výrokem bývalého hejtmana Šulce). Úřad vydal informaci až po podání žaloby proti němu, přechozí žádost, stejně jako tři příkazy Ministerstva vnitra, úřad ignoroval.
Firma e-Fractal s.r.o., u které si pražský primátor Pavel Bém objednal audit projektu OpenCard, sídlí na stejné adrese jako jedna z kontrolovaných firem, Grand Princ a.s. Může to být jen náhoda, nicméně stín pochybností zůstává...
Poněkud starší zpráva (15. ledna 2009), ale pro informaci, že se o našich problémech píše i jinde: Mark Glaser na MediaShift píše blokaci nevinných technických blogů českým Vodafonem. Jak jinak, než společně s IWF a pod záminkou ochrany před dětskou pornografií.
The New York Times píší o tom, jak americká vláda stále intenzivněji sleduje sociální sítě jako je Facebook, Twitter nebo MySpace. V říjnu např. FBI prohledávala byt muže podezřelého z toho, že přes Twitter organizoval protesty během setkání G-20 v Pittsburghu.
Zástupci Kalifornské univerzity v San Franciscu varovali šest set pacientů, že jejich zdravotní záznamy asi unikly, jelikož jejich doktor podlehl rhybářskému útoku (phishingu). V srpnu obdržel onen nejmenovaný lékař e-mail, který se tvářil, jako že je od IT pracovníků univerzity… Více na The Register.
Definitivně rozhodnuto. Uživatelům Windows v EU se při instalaci zobrazí seznam dvanácti webových prohlížečů řazených dle popularity, přičemž prvních pět jich bude náhodně. Stíhání Microsoftu za zneužití dominantního postavení na trhu bylo zastaveno.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.