Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Snowden leaknul a Bruce Schneier komentuje: NSA nutí výrobce softwaru přidávat backdoory, které lze potom vysvětlit jako chyba (1, 2, 3… netvrdím, že jde o konkrétní případy podstrčeného backdooru, jen pro ilustraci) a taky
Na webech některých britských firem (příklad) můžete nalézt logo, kterým se firmy chlubí spoluprací s Metropolitní policií – jedná se zřejmě o předávání informací o tom, kdo si co v daném obchodě koupil. Motto Metropolitní policie zní „Total Policing“ – tedy totální kontrola či absolutní dohled.
Pastafarián v americkém Texasu vyhrál svoji bitvu s úřady a na fotografii na řidičském průkazu může mít cedník na hlavě. Článek zmiňuje i Lukáše Nového, který s takovou fotografií na brněnském magistrátu uspěl, ale následně se proti ní postavilo ministerstvo vnitra.
Ladara Levisona, provozovatele nedávno skončivší e-mailové služby Lavabit, pronásledují právníci americké vlády. Nesmí k tomu ale sdělovat žádné podrobnosti, protože by tím spáchal trestný čin.
I když si povypínáte v prohlížeči cookies, JavaScript, Local Storage a další podobné věci, stále jste poměrně dobře sledovatelní. Pro účely efektivního cachování obsahu se totiž používá tzv. ETag, umožňující jeho jednoznačnou identifikaci. A i ten lze využít ke sledování velmi podobně jako třeba cookies.
Podle deníku Independent, který čerpal ze Snowdenových materiálů, má Velká Británie v některém ze středovýchodních států tajnou základnu pro odposlech internetových dat. Data sbírá agentura GCHQ, která je následně poskytuje i americké NSA.
Bývalý americký voják Bradley Manning byl odsouzen na 35 let do vězení. Od celkové výše bude odečten čas strávený ve vazbě plus 112 dní za špatné podmínky na začátku vazby. Za vynesení tajných informací obžaloba žádala šedesátiletý trest. Rozsudek bude přezkoumán vojenským kriminálním odvolacím soudem, může ho přezkoumat také velitel vojenského okrsku.
Zákon o bezpečnosti vládních komunikací (GCSB) úspěšně prošel třetím čtením v novozélandském parlamentu. Přestože byl deklarován jako zvýšení dohledu nad tajnými službami, kritici o zákonu hovoří jako o omezení svobody projevu a ochrany soukromí, a to zejména usnadněním sledování komunikace.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.