Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Autor Cover72 na server DFENS shrnuje aktuální realitu přístupu k výchově dětí v USA. Děti, často i ve velmi nízkém věku, jsou zde kriminalizovány za naprosté banality.
Servery služby Skype analyzují soukromé zprávy, extrahují z nich URL a připojují se na ně. Týká se to i těch, které obsahují přístupové údaje. Microsoft to zdůvodňuje ochranou proti spamu.
V rámci Exile Game Jam vznikla zajímavá věc: simulátor popravy gilotinou. Za pomoci virtuální reality si člověk může prožít pocity těch, kteří se v dobách minulých vzepřeli zákonu.
Britská vláda chce blokovat porno na veřejných přístupových bodech WiFi. Podle premiéra Camerona by se rodiče mohli spolehnout, že jejich děti nemohou přistupovat na „nevhodné“ weby.
Podle policejního komisaře z New Yorku je nyní, po útoku v Bostonu, vhodná chvíle nainstalovat mnohem více bezpečnostních kamer. Soukromí tu podle něj nemá místo.
Ačkoli americká policie disponuje moderními systémy pro rozpoznávání obličejů, podle šéfa bostonské policie tyto technologie při nedávném útoku zcela selhaly. Obličeje obou podezřelých přitom policie k dispozici měla, Tamerlan byl dokonce dříve vyšetřován FBI. Práce na odhalování podezřelých byla velmi náročná, jeden agent shlédl stejný úsek videa čtyřistakrát.
V souvislosti s útokem v Bostonu budou určitě snahy o další „utahování šroubů“ a tedy zpřísňování legislativy. Ovšem asi málokdo ví, že i za cracking (vlamování se do cizího systému) lze v Česku už nyní podle trestního zákoníku jít do vězení až na doživotí – a to v případě, že je spáchán z „teroristických pohnutek“ a v rámci organizované skupiny.
Projekt Tor žádá o pomoc při získávání nových „obfuskovaných mostů“ pro zajištění větší odolnosti vůči zásahům cenzorů (zejména ve státech jako je Čína, Írán nebo Sýrie). Běžné brány sítě Tor jsou totiž zhusta blokovány blacklistem. Je však třeba říct, že ani „utajené“ mosty nemusí vždy fungovat, například starší obfuskační plugin obf2 již čínští cenzoři dokáží detekovat pomocí DPI.
Zajímavá infografika porovnává pravděpodobnost smrti následkem teroristického útoku s jinými příčinami smrti. Oproti teroristovi vás 8x pravděpodobněji zabije policista, ještě spíše se udusíte zvratky nebo utopíte či se zabijete v autě. Vedou samozřejmě ale nemoci srdce a rakovina.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.