Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Začíná se hovořit o „nové teroristické hrozbě“ – dálkově ovládaných modelech letadel, do nichž lze umístit výbušninu a navádět je pak na cíle. Blíží se doba, kdy bude majitel leteckého modelu považován za teroristu a letecké modely budou zakázány nebo omezeny?
Šestnáctiletý americký student byl uvězněn poté, co byly ve škole objeveny v jeho notebooku kresby zbraní. Následně policie prohledala jeho domov a našla tam „elektronické součásti a chemikálie, které pokud by se smísily, mohly by způsobit výbuch“. Školu pak ještě prohledali (s negativním výsledkem) psi cvičení na hledání výbušnin.
V Jižní Karolině unikly daňové údaje o milionech lidí. Guvernérka Nikki Haley se snažila záležitost vysvětlit, přičemž se ukázalo, jak extrémně špatně je o problematice bezpečnosti dat informována od svých podřízených.
Britská vláda odmítla návrh prosazovaný poslankyní Claire Perry, aby bylo veškeré porno automaticky blokováno a k odblokování byla třeba explicitní žádost.
Majiteli auta přišla pokuta 40 USD za přestupek spočívající v překročení nejvyšší povolené rychlosti 25 m/h. „Problém“ spočívá v tom, že auto, které podle radaru jelo 38 m/h, ve skutečnosti stálo na místě.
Egyptský blogger, který se také stará o facebookovou stránku egyptských atheistů, byl odsouzen na tři roky do vězení za zveřejnění traileru k filmu Nevinnost muslimů (jehož tvůrci byli odsouzeni dokonce k trestu smrti). Je také ohrožován militantními muslimy.
Američtí uživatelé Google Image Search mají nově na výběr jen dvě možnosti filtrace obsahu: "Moderate" (mírná) a "Filter explicit results" (filtrovat explicitní výsledky). Uživatelé musí definovat své dotazy explicitně, tedy pokud chtějí získat obrázky nahých prsou, musí zadat "nahá prsa" a ne pouze "prsa".
Americký úřad NHTSA (bezpečnostní sekce ministerstva dopravy) připravuje povinnou instalaci černých skříněk do všech nových automobilů. Zaznamenávat by měly zhruba 45 různých údajů, například rychlost, polohu ovládacích prvků, zapnutí pásů nebo účinek bezpečnostních systémů. Pro využití zaznamenaných údajů nebudou žádná federální omezení, jen malý počet států USA má vlastní legislativu pro tuto oblast.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.