Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Technologie SmartScreen v systému Windows 8 hlásí Microsoftu každý program, který je do systému instalován. Při instalaci systému o tom uživatel není informován. Zatím lze předávání informací zabránit vypnutím technologie SmartScreen, nicméně to může zvýšit riziko infiltrace malwaru.
Australský daňový úřad (Australian Taxation Office) chce mít přístup k telekomunikačním datům v reálném čase. Současný stav, kdy se k provozním a lokalizačním údajům může dostat až následně, považuje za zásadní omezení při odhalování daňových úniků.
Náměstek ministra spravedlnosti Daniel Volák (ODS) uvedl v rozhovoru se čtenáři na IHNED.cz, že náramky pro sledování vězňů odsouzených k domácímu vězení umožňují paralyzovat nositele na dálku elektrickým šokem. V případě ohrožení nebo při krizové situaci (např. při požáru) má prý nositel možnost prostřednictvím své domácí stanice komunikovat o mimořádných událostech s operátorem.
Nejvyšší soud ČR rozhodl, že firmy mohou omezovat využívání Internetu svými zaměstnanci a mohou i kontrolovat, jak ho využívají. Odmítl dovolání muže, kterého zaměstnavatel propustil na základě výsledků takového sledování.
Evropská aliance pro bezpečnost dětí vydává hodnocení. Shrnuje například, že v České republice chybí národní zákon upravující design a prodej šňůr k žaluziím nebo národní program návštěv dětí doma, které zahrnují výchovu dítěte sledující bezpečnost ve vodě.
Americká pornostudia žalovala desetitisíce lidí za stahování (a samozřejmě současné sdílení) pornofilmů přes BitTorrent. Ovšem někteří si to nechtějí nechat líbit a namítají, že na porno se copyright nemůže vztahovat, protože copyright má sloužit k podpoře „vědeckého pokroku“ a „užitečného umění“.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.