Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Německé spotřebitelské organizace žalují Facebook kvůli tomu, že sdílí osobní údaje uživatelů bez jejich výslovného souhlasu. Dříve se FB při spouštění aplikací třetích stran dotazoval uživatelů na to, zda chtějí s aplikací sdílet své údaje, to však bylo nedávno změněno.
Facebook kritizuje povinnost, kterou připravuje EU, spočívající v právu uživatelů na odstranění informací, které se jich týkají. Bude to podle něj znamenat mnohem podrobnější sledování aktivit těchto uživatelů (i na jiných webech, než je v tomto případě samotný Facebook), aby mohla být data odstraněna.
Julian Assange v rozhovoru pro RT řekl, že přichází „on-line totalitarismus“, kde jsou sledovány celé národy. Například přirovnává Facebook k východoněmecké Stasi, která však měla v obyvatelstvu jen 10 % agentů – kdežto když např. na Islandu 80 % obyvatel používá Facebook, každý uživatel se stává agentem.
Ruský soud rozhodl, že videa z akcí Pussy Riot jsou extremistická a weby je musí stáhnout. Pokud tak neučiní, „mohou být uzavřeny“. Shodou okolností zrovna nedávno vstoupil v Rusku v platnost zákon o cenzuře Internetu.
Sýrie se dnes dopoledne odpojila od Internetu. Celý adresní prostor využívaný v rámci tohoto státu je nyní nedostupný. Důvodem je zřejmě snaha režimu zastavit šíření informací o průběhu vojenských operací.
Člověk, který je stíhán pro hackování webových stránek, byl v Británii též obviněn za to, že odmítl vydat heslo k šifrovanému disku. Povinnost rozšifrovat data v Británii platí už od října 2007 a občanovi, který odmítne, hrozí až 2 roky vězení (5 v případě podezření z terorizmu).
Zabavování domén se již netýká jen TLD, které jsou v působnosti USA. Na základě transatlantické spolupráce a za účasti Europolu byly již zabaveny i domény v Evropě, konkrétně v národních TLD několika evropských států a v TLD .eu.
V roce 2010 přikázalo americké Ministerstvo pro vnitřní bezpečnost, aby server Megaupload zachoval (neodstraňoval) 39 souborů, které byly předmětem vyšetřování firmy NinjaVideo. O dva roky později se při zákroku proti Megauploadu ve zdůvodnění objevilo, že server nemaže pirátský obsah – a bylo konkrétně zmíněno 36 souborů z oněch 39, které nebyly smazány.
Sedm amerických poslanců volá po tom, aby FBI vynutila u Twitteru zrušení účtů skupinám, které USA považují za teroristické: jmenovitě by se nyní mělo jednat o Hamás, Hizballáh a Aš-Šabáb.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.