Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Podle aktuálních zjištění ACLU jen malá část bezpečnostních složek žádá o souhlas soudu se sledováním mobilních telefonů. Drtivá většina sleduje mobily bez tohoto souhlasu. Na druhou stranu existuje nemálo agentur (více než těch, které mají soudní souhlas), které mobily nesledují vůbec.
The New York Times publikoval Tréninkový manuál pro sledování mobilů, který získala ACLU. Může samozřejmě posloužit i pro porozumění tomu, co všechno lze skrze mobilní telefon o jeho uživateli zjistit.
Americký soud rozhodl, že lze žalovat USA za neoprávněné prohledávání na hranicích. Rozhodl na základě žaloby podané ACLU jménem Davida Maurice House, vědce z MIT, který byl kvůli svým vazbám na Bradley Manning Support Network zadržen na hranicích a byly mu zabaveny a prohledány elektronické přístroje.
Město Boston bylo odsouzeno k zaplacení odškodného ve výši 170 tisíc USD muži, který byl zatčen a uvězněn za to, že natáčel policejní zásah. Podle soudu bylo takové natáčení v souladu s Prvním dodatkem ústavy USA.
Britský student napsal na Twitter poté, co na hřišti zkolaboval jeden fotbalista: „LOL. Fu*k Muamba. He's dead!!!“. Teď půjde do vězení za podněcování rasové nenávisti.
Zhruba 20 000 žáků ve městě Vitória da Conquista bude nosit zvláštní trička vybavené mikročipy, které umožní sledování dětí. Čipy vydrží praní i žehlení. Údajně má jít o ochranu před záškoláctvím. Místní vláda investovala do sledovacího systému 700 000 USD. Více na: BBC News a Deník.cz.
Nová japonská technologie pro bezpečnostní kamery dokáže rozpoznávat obličeje v reálném čase, a to rychlostí až 36 milionů obličejů za sekundu. Kdokoli, kdo před takovou kamerou kdy projde, je (za předpokladu splnění technických podmínek) zaindexován pro pozdější vyhledávání.
V rámci vrcholící kampaně před prezidentskými volbami a v reakci na události posledních dnů, navrhl francouzský prezident Sarkozy, aby se za prohlížení webů s „teroristickým obsahem“ zavíralo do vězení. „Neříkejte mi, že to nejde. Co jde u těch (webů) pro pedofily, mělo by jít i u těch pro ty, kdo se cvičí na terorismus a pro jejich podporovatele“, dodal Sarkozy.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.