Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Evropský soud pro lidská práva rozhodl, že estonské soudy nepochybily, když učinily provozovatele webu Delfi odpovědného za obsah komentářů (útočících na místního lodního dopravce), které někdo na web anonymně vložil. Jednalo se v zásadě o obdobu české causy Prolux.
Američtí vědci se rozhodli bojkotovat konferenci NASA v reakci na to, že se jí nesmí účastnit občané Číny (ani ti, kteří pracují pro americké subjekty). Zákaz vstupu Číňanů do NASA byl schválen Kongresem USA letos v březnu.
Rusko plánuje důkladné monitorování veškeré komunikace při Zimních olympijských hrách v Soči. Bude se zřejmě jednat o nejširší a nejhlubší sledování v celé historii olympijských her.
London School of Economics publikovala novou studii, podle které není pravdou, že stahování „zabíjí hudbu“. Drastický propad tvrzený hudební lobby se nekonal, pokles prodeje fyzických nosičů je kompenzován nárůstem tržeb z jiných kanálů šíření děl.
Anonymní tržiště SilkRoad bylo uzavřeno a jeho provozovatel Ross William Ulbricht byl zatčen a obviněn z obchodování s drogami, počítačových útoků a praní špinavých peněz. Tržiště fungovalo na síti Tor a platilo se na něm měnou Bitcoin.
Letos to bude 30. let ode dne, kdy Richard Stallman oznámil svůj projekt GNU – svobodný operační systém unixového typu. Hlavní část oslav probíhá na universitě MIT v Cambridge (Massachusetts, Boston). Při této příležitosti jsme pro vás připravili Setkání příznivců svobodného softwaru v Praze. Těšit se můžete na následující přednášky:
Anna Šabatová (bývalá zástupkyně ombudsmana, bývalá předsedkyně Českého helsinského výboru) navrhuje, aby se problém rasové a etnické nenávisti řešil mj. regulací médií a veřejných diskusí.
Wikileaks pokračují - zveřejnily další dávku SpyFiles. Vybíráme například dokument od firmy FinFisher, o které jsem již psal. Dodává vládám různé nástroje pro „offensive security“ (lámání do počítačů) zabalené v pěkném pozlátku GUI. Umí třeba louskat WEP a WPA nebo vydumpovat vaši paměť přes PCIe nebo FIreWire.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.