Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Vláda podpořila ministerský návrh zákona o prekursorech drog. Nově upravuje nakládání s látkami, které budou (nově jen vládním nařízením, oproti dosavadnímu uvádění v zákoně) považovány za prekursory drog a tzv. výchozí a pomocné látky. Omezit přístup se nově plánuje zejména k červenému fosforu, gama-butyrolaktonu a 1,4-butandiolu.
Nový britský tiskový zákon může vystavit bloggery a provozovatele webů vysokým pokutám, které dostanou, pokud se nezaregistrují u tiskového regulátora. Podle zákona budou pod regulaci spadat weby, které mají "redakční charakter" (tj. někdo zodpovídá za publikování), kromě vědeckých, studentských a neziskových komunitních médií.
Ačkoli se může zdát, že solární energie má v EU zelenou, týká se to jen solárních panelů od „těch správných výrobců“. Pokud si objednáte panely např. z Číny, může vám EU dodatečně vyměřit clo (tzv. retroaktivní). Pokud se tak stane, musíte do 7 dnů uhradit „celní dluh“. Aby tento penězovod mohl fungovat, jsou obchodníci nuceni nahlašovat Celní správě, komu zboží prodali a uvádět i přesné údaje o zboží – modely a výrobní čísla. O problému informují jednotliví prodejci, např.
Soudkyně Susan Illston zakázala americké vládě používat tzv. „národní bezpečnostní dopisy“, kterými bezpečnostní složky získávaly informace od různých subjektů a které téměř vždy (cca 97 % ze zhruba 200 000 dopisů) obsahovaly uložení široké povinnosti mlčenlivosti. Podle soudkyně jde o nepřípustný zásah do svobody projevu. Účinnost rozsudku byla odložena o 90 dní, vláda se proti němu může odvolat.
Soudce v americkém Ohiu nařídil obci Elmwood Place zastavit používání kamer pro záznam řidičů překračujících povolenou rychlost. Počet zachycených přestupků za první měsíc provozu třikrát převýšil počet obyvatel obce. Podle soudce toto využívání kamer porušuje ústavní právo na spravedlivý proces.
Od vývojáře Indie hry Unknown Worlds si někdo koupil spoustu licencí pomocí kradených kreditek. Na poplatcích za následný chargeback prodělal 30000 dolarů.
Evropský parlament bude hlasovat o Zprávě o eliminaci genderových stereotypů. Pirátský poslanec Christian Engström upozornil na to, že zpráva vyzývá ke konkrétním krokům navazujícím na rezoluci z roku 1997, která navrhuje mj. zakázat všechny formy pornografie ve sdělovacích prostředcích. Podle této rezoluce mají být zapojeni do akce i všichni poskytovatelé internetového připojení.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.