Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Policejní složky v Minnesotě snímají a analyzují registrační značky vozidel. Nepoužívají je jen k odhalování kradených aut a ke hledání zločinců, nýbrž také tiše zaznamenávají pohyb jednotlivých vozidel. Státní policie maže data po 48 hodinách, městská policie v St. Paul však až po 14 dnech a ve městě Minneapolis se uchovávají dokonce celý rok.
Generální advokátka australské vlády Nicola Roxon pozastavila zavedení data retention, a to do nejbližších voleb. Důvodem je odpor veřejnosti proti záznamu informací. Při nedávné žádosti o poskytnutí návrhu legislativní úpravy vláda poskytla dokument, který byl z 90 % začerněn.
Stránky, na které Google dostává hodně stížností, budou umístěny hůře ve výsledcích vyhledávání. Mimochodem - Google dostává přes sto tisíc požadavků na odstranění denně. Jakpak se asi zajistí, aby se tam sem-tam nevloudila i nějaká legální, avšak nepohodlná stránka?
Microsoft bude partnerem policie v New Yorku pro zprovoznění mohutného sledovacího systému. Systém bude shromažďovat a v reálném čase analyzovat data z více než 3000 kamer, z volání na tísňovou linku, ze snímačů registračních značek, policejních databází atd.
Pomocí sociálního inženýrství technické podpory se neznámému crackerovi podařilo získat cizí účet na Apple iCloud a odtamtud rozšířit svou působnost na všechny účty oběti, kterou byl známý novinář. Data smazal a digitální identitu kompromitoval. Případ ukazuje, co se může stát, pokud máte všechna data v cloudu na jednom místě a nemáte zálohu. 123
Americká organizace MPAA shání spojence, kteří by podpořili vydání britského studenta Richarda O’Dwyera do USA. Podle „komunikačního plánu“ MPAA by tito spojenci měli psát články a blogposty podporující postoj organizace.
Po nedávném rozhodnutí o konečném termínu povinného zavedení systému eCall je tady další nová povinnost u vozidel. U všech lehkých užitkových vozů a možná i u všech osobních bude povinnou součástí systém krizového brzdění.
Vědci z University college of London vyvinuli metodu využití domácího WiFi AP jako součásti radarového systému, který dokáže i skrz zdi lokalizovat osoby pohybující se v budově. Osoby se lokalizují speciálním přijímačem s využitím Dopplerova jevu.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.