Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Federální odvolací soud v USA rozhodl, že obžalovaný nesmí být nucen k rozšifrování dat na disku, jelikož to odporuje pátému dodatku Ústavy (konkrétně právu nevypovídat). Zdroj: Electronic Frontier Foundation a AbcLinuxu.cz. Na druhou stranu, ale v jiném podobném případě bylo odvolání zamítnuto a dotyčné bylo nařízeno disk dešifrovat.
Polsko definitivně odmítlo ratifikovat smlouvu ACTA. A některé další země alespoň pozastavily ratifikaci: Česko, Slovensko, Polsko, Lotyško, Litva, Bulharsko, Německo a Nizozemí. Polský premiér Donald Tusk prohlásil:
Podpis dohody byl chybou. Nikdo není rád, když musí změnit názor. Ale hříchem je zůstat v omylu a nezměnit názor, když k tomu existují jasné důvody.
Díky polskému odmítnutí nebude smlouva platit na území EU. Ostatní země ji mohou přijmout, ale bude platit jen u nich.
V Kanadě se bude hlasovat o schválení zákona, podle kterého by ISP měli povinnost logovat historii navštívených webových stránek. Píše AbcLinuxu. Záminkou k utahování šroubů je – jako obvykle – boj s dětskou pornografií. Policie by měla přístup k historii prohlížení webu libovolného občana a nepotřebovala by k tomu ani schválení soudem.
V Íránu zablokovali šifrovaný provoz. Tím odřízli i uživatele Toru. Vývojáři se snaží omezení obejít pomocí tunelu, který vede přes zdánlivě nešifrované HTTP.
Knihovnice v knihovně v americkém Seattlu odmítla vykázat muže, který si na jednom z počítačů knihovny prohlížel porno. Podle mluvčí knihovny nelze cenzurovat přístup k informacím (přestože Nejvyšší soud USA již dříve takový postup nařídil) - porušovalo by to První dodatek Ústavy USA.
Skupině zakladatelů The Pirate Bay bylo zamítnuto odvolání proti rozsudku, který je odsuzuje k trestu odnětí svobody. Soud dle slov odsouzených neměl zájem rozebírat technické detaily fungování své doby největšího BitTorrent trackeru na světě. Píše AbcLinuxu.cz a TorrentFreak.
Nejen ve Velké Británii se můžete dostat do vězení za to, že odmítnete dešifrovat svůj disk (nebo třeba zapomenete heslo). Tentokrát americký soudce Robert Blackburn požaduje po obžalované, aby vydala šifrovací klíč ke svému disku, jinak to bude považovat za pohrdání soudem.
Ramona Fricosu je obviněna z hypotečního podvodu a FBI u ní našla notebook při razii v jejím domě, který žena sdílí se svou matkou a dětmi.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.