Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Úřad vlády dotuje novou Kampaň proti rasizmu. Cílem je znechutit veřejnosti výrobky některých oděvních firem. Pokud má podezření na porušení příslušných paragrafů, tak ať zahájí s výrobcem nebo dovozcem příslušné řízen. Takhle to zavání akorát pomluvou.
Veškerá práva k webovým stránkám a logu Úřadu pro ochranu osobních údajů jsou vyhrazena a chráněna podle autorského práva. Použití loga Úřadu pro ochranu osobních údajů je možné pouze na základě předchozího písemného svolení. Zdůvodněné žádosti o použití loga přijímá tiskové oddělení Úřadu.
Právě byly zakázány 75W žárovky. Prodejci mohou ještě doprodat to, co mají na skladě, ale nové již odebírat nesmí. Za rok (1. 9. 2011) budou následovat žárovky o výkonu 60 W, v roce 2012 pak „čtyřicítky“. R.I.P.
Policie obvinila 100 podezřelých. Údajně se jednalo o směnnou burzu na nekomerční bázi: „jeden předal něco druhému, ten mu přeposlal zpátky materiály, které získal od někoho dalšího“. Má šanci tomu zabránit cenzura veřejně dostupných webů? A jak pomůže dětem?
Ministr vnitra Radek John chce změnit zákon tak, aby stát již neproplácel mobilním operátorům náklady spojené s provozováním odposlechů. Z dostupných informací bohužel není jasné, zda se to týká i ostatních podnikatelů v elektronických komunikacích a zda se to vztahuje i na poskytování provozních a lokalizačních dat.
Protože se meziročně téměř zdvojnásobil počet cyklistů zemřelých při dopravních nehodách (a zejména při těch, které cyklisté zavinili), připravuje se novelizace zákona, která zavede pro všechny cyklisty povinné nošení přilby a reflexního oděvu.
V pražském metru se údajně začíná budovat nový bezpečnostní systém, který bude stát čtyři miliardy korun. „Komplexní zabezpečení“ má zahrnovat jak centrální řízení vlaků, tak i bezpečnost prostoru stanic a zázemí - s využitím kamerového systému, detektorů chemických látek a dalších prvků. Upozornil D-FENS.
Čerpací stanice budou mít kamery s OCR a budou kontrolovat, zda k nim nepřijelo natankovat kradené auto. Chytří lidé by si například každou hodinu stahovali seznam kradených aut, ti méně chytří by kontrolovali SPZ proti on-line databázi. Který způsob se bude používat v ČR sice není známo, ale asi tušíme…
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.