Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Katolický biskup z Kansas City byl obžalován za to, že neohlásil policii nález dětského porna v počítači kněze z jeho diecéze. Jde o zatím nejvýše postaveného katolického hodnostáře v USA stíhaného pro takový delikt.
Antispamová organizace Spamhaus zařadila do svého blacklistu celý blok IP adres používaným nizozemskou firmou A2B. Firma kvůli tomu podala dvě trestní oznámení, protože k blokaci prý není právní důvod a záležitost nelze řešit občanskoprávní cestou. Podobným problémům s blokací čelil i český operátor Telefónica.
Spojené státy využily tajný soudní příkaz vycházející ze zákona přijatého v roce 1986 k vymáhání osobních informací (IP adresy, e-mailové adresy a IP adresy kontaktů) od společností Google a Sonic.net (malý ISP). Terčem byl Jacob Appelbaum, který pracuje jako dobrovolník pro WikiLeaks a spolupracuje na softwaru Tor. Více na Wall Street Journal.
Bavorský ministr vnitra přiznal, že místní státní úřady používají virus R2D2 ke sledování vytipovaných uživatelů. Trojský kůň umožňuje např. zachytávat stisky kláves, pohyby myší, obraz z webkamery a zvuk z mikrofonu. Sledování objevila a analyzovala skupina Chaos Computer Club. V češtině píše: Root.cz, anglicky: Slashdot.org.
Máme novou ochranu proti spamu (CAPTCHA). Místo nudného opisování textu z obrázků to jsou znalostní otázky. Takže by anonymní přispívání mohlo být i trochu zábavné :-) Přihlášení uživatelé mohou samozřejmě komentovat bez toho. Pokud nám chcete pomoci, posílejte návrhy dalších otázek pomocí kontaktního formuláře (nevkládejte je do komentářů, ať nedojde k jejich vyzrazení).
Uvidíme, jak se nový systém osvědčí, pro kontaktní formulář se zatím používá ještě původní obrázková reCAPTCHA.
Kalifornský odvolací soud rozhodl, že policie smí během silničních kontrol prohledávat mobilní telefony osob ve vozidlech. Soudní proces byl zahájen člověkem, v jehož telefonu byla fotografie tohoto člověka se dvěma zbraněmi AR-15. Na základě této fotografie byla následně provedena domovní prohlídka.
Již 60 lidí obdrželo třetí varování v rámci zákona HADOPI (nyní se ukáže, zda budou opravdu odpojeni; navíc jim hrozí pokuta až 1500 €). Druhé varování dostalo 44 000 osob, první pak 650 000 lidí.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.