Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Firma Warner Bros. přiznala, že si vyžádala odstranění z hostingu Hotfile i u souborů, ke kterým nevykonávala autorská práva (jednalo se např. i o svobodný software). Warner Bros. již od září čelí žalobě právě kvůli zneužívání pravomoci vyplývající z DMCA.
Soudce u rozvodového soudu v Connecticutu nařídil rozvádějícím se manželům, aby vydali právníkům protistran svá hesla na Facebook a na seznamovací portály. Cílem je, aby mohly obě strany získat důkazy pro rozvodový spor.
Společnost Valve, provozovatel herního systému Steam, nedokázala uhlídat osobní údaje svých zákazníků a došlo k jejich úniku. Může se jednat o e-mailové adresy, jména, hesla, údaje o nákupech, čísla kreditních karet – ta sice měla být šifrovaná, ale není vyloučeno, že unikl i klíč k jejich dešifrování. Společnost zatím nezaznamenala zneužití karet, ale doporučuje zákazníkům pečlivě sledovat výpisy z účtu a všechny karetní operace.
Německá spolková země Hamburg uloží Facebooku pokutu (do výše € 300 000) za to, že provozuje rozpoznávání obličejů v režimu opt-out a nevyhověl požadavku úřadů tuto funkci odstranit. Podle komisaře pro ochranu osobních údajů je funkce v rozporu s evropskou i národní legislativou.
Že nás na silnicích sledují (údajně pod záminkou snížení nehodovosti) tisíce kamer, není žádná novinka. Používané technologie se ale stále zdokonalují – multiradar Cordon prý umí měřit až 32 aut najednou a v reálném čase zobrazuje jejich registrační značky a rychlosti (viz video v odkazovaném článku).
Britský vrchní soud zamítl odvolání Juliana Assange proti rozsudku o jeho vydání do Švédska. Podle soudců jde o případ závažného sexuálního deliktu. Assangeovi právníci mají nyní 14 dní na to, aby přesvědčili soud, že je ve veřejném zájmu, aby se případem zabýval Nejvyšší soud, který by ještě mohl rozhodnutí zvrátit.
Sociální síť Google+ dovolí uživatelům vystupovat pod pseudonymy (zatím zde bylo nutné uvádět skutečné jméno) a umožní jim tak lépe chránit svoje soukromí. Victory! Google Surrenders in the Nymwars.
Vědci varují, že připravovaný úplný celosvětový zákaz používání rtuti může ohrozit očkovací programy. Jako konzervant se totiž ve vakcínách používá sloučenina thiomersal, jejíž úplná náhrada zatím nepřichází v úvahu.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.