Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
V Německu odsoudili jednoho uživatele, který v síti podobné Toru dělal obdobu exit node. Přeposlal totiž zašifrovanou písničku (sám nemohl technicky vědět, co se v paketu skrývá).
Sohrab Ahmari se zamýšlí nad současným vývojem na amerických univerzitách. Podle něj se stávají čím dál autoritativnější, a místo aby byly kolébkou svobody projevu, stávají se jejím hrobem. Utápějí se v boji proti politicky nekorektnímu vyjadřování, údajnému sexismu, resp. obecně nekonformní mluvě.
Na serveru Novinky.cz, a patřící vydavateli deníku Právo (!), se objevil článek o tom, jak si Češi sami víceméně dobrovolně ukrajují ze svobod, které získali po pádu komunistického režimu.
Britský premiér David Cameron připravil nový předpis, který nařídí povinnou instalaci filtru pro přístup k pornografii na počítači. Při nákupu počítače nebo uzavírání smlouvy s ISP bude muset každý odpovědět, zda má děti – a pokud odpoví „ano“, bude mu do počítače nainstalován filtr blokující přístup k pornografii.
Australská vláda oznámila, že nebude zavedena povinná cenzura Internetu. Nicméně to neznamená, že by byl podobným věcem nadobro konec. Už nyní velcí ISP provádějí „dobrovolnou“ filtraci, nyní bude policie „asistovat“ i těm menším.
Článek na EFF se zabývá tématikou firem vyvíjejících a prodávajících zero-day exploity. Firma VUPEN tvrdí, že má funkční 0-day na všechny rozšířené webové prohlížeče, Word, Adobe Reader, iOS a Android; exploit na Chromium demonstrovala. Cena exploitu se pohybuje v řádu 100.000 USD.
V USA se používají elektronické přístroje umožňující volit bez použití volebních lístků. Jak se ale ukázalo, kvůli chybné kalibraci dotykového displeje zasahovala u některých přístrojů detekční oblast pro Obamu až do zobrazeného tlačítka pro Romneyho. Nancy z Topeky ve státě Kansas (jejíž manžel se s problémem setkal) se obává, že pokud si voliči problému nevšimli, mohl být jejich hlas zmanipulován, a že mohlo jít dokonce o záměr.
V Rusku vstoupil v účinnost zákon, kterým úřady mohou i bez souhlasu soudu nařizovat blokaci přístupu k určitým webům. Blokační seznam bude spravovat úřad Roskomnadzor. Podle průzkumu podporuje tuto cenzuru 62 % dotazovaných Rusů, jen 16 % s ní nesouhlasí.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.