Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
V USA hladce prošel (93 % pro) senátem zákon, který umožňuje osoby podezřelé z terorizmu neomezeně zadržovat a provádět na nich „pokročilé výslechové metody“. Čeká se, zda jej Barack Obama vetuje.
Zjistilo se, že ve sto milionech chytrých telefonů převážně v USA měli operátoři nainstalovaný rootkit, který mimo jiné zaznamenával stisknuté klávesy: 1234
V Thajsku hrozí trest 3 až 15 let vězení každému, kdo by kliknutím na „Líbí se mi“ na Facebooku nebo podobným způsobem vyjádřil podporu textům nebo obrázkům, které obsahují „nelichotivá“ vyjádření o monarchii. Až pětiletý trest pak hrozí každému, kdo by šířil informace ohrožující bezpečnost země či „mír a svornost nebo dobrou morálku lidí“.
Evropská komise vydala nová pravidla pro používání bezpečnostních skenerů na letištích. Používání tělesných skenerů na bázi rentgenového záření je těmito předpisy zakázáno, jiné skenery lze za určitých podmínek používat.
Na konferenci MalCon v indické Bombaji předvede rakouský vývojář a bezpečnostní analytik Peter Kleissner, jak lze prolomit „bezpečný boot“ v systému Microsoft Windows 8. Kleissner již dříve vyvinul bootkit, kterým lze získat plnou kontrolu nad počítačem se staršími verzemi Windows (XP až 7).
Nejen ČR má problémy s nepotřebnými vakcínami. Obamova vláda protlačila nákup 1,7 mil. dávek experimentální vakcíny proti pravým neštovicím za cenu 443 mil. USD, tedy 255 USD za jednu dávku. Přitom není pravděpodobné, že by se virus ze dvou míst na světě, kde je uchováván, dostal do terénu. Navíc běžná vakcína, která působí i pokud se podá do 4 dnů po kontaktu s virem, stojí jen 3 USD za dávku.
Na Slovensku schválili zákon podobný naší „honbě za osobou blízkou“. Držitel vozidla bude povinen zabezpečit, aby při používání vozidla byly dodržovány rozličné dopravní předpisy.
Mladý muž v Kalifornii zjistil, že jeho vůz byl sledován pomocí GPS. Na svém autě nalezl v nedávné době hned dvě sledovací zařízení, která odesílala informace o jeho poloze.
Podobný případ se stal již v minulosti. Zřejmě se teď jedná o běžnou praxi v USA a zveřejněných případů bude přibývat. Prodejci GPS přiznali, že federálové od nich koupili tisíce sledovacích zařízení.
iHNED.cz píše o novém způsobu výkladu autorského zákona, který chce prosadit Integram: „Správce autorských práv Intergram chce poplatky za autorádia ve služebních vozech. Soukromé účely se podle něj vztahují jen na vlastníka radia. Pokud radio v autě poslouchá zaměstnanec na služební cestě, pak se prý jedná o veřejnou produkci.“
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.