Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Více než třicet zaměstnanců ministerstva obrany USA bylo obviněno z držení dětské pornografie. Vládní zaměstnanci stahovali a kupovali dětskou pornografii, někteří k tomu dokonce využívali vládních počítačů. Informovaly Novinky a Boston Globe.
Je chvíli po volbách a už tu máme několik úžasných perel. Poslanec Huml chce popřít ústavní právo nevypovídat a právo vlastnit majetek (to však možná nakonec skončí „jen“ specifikací t.č. podvodu - jestlipak se dočkáme i specifikace krádeže mobilu, krádeže peněženky, krádeže auta?). Občané si mají platit léčbu chorob, které si sami způsobí.
Na tzv. svlékací servery, o kterých jsme už několikrát psali (1, 2), nedávno zareagoval web Flying Pasties. Nabízejí gumové samolepky, které mají ochránit intimní partie cestujících před letištními skenery a jejich obsluhou. Je ale zatím otázkou, zda se jedná o funkční řešení, nebo spíše o vtip.
Používáte-li prohlížeč Opera, můžete se cenzuře ze strany svého poskytovatele vyhnout jediným kliknutím - aktivací funkce Opera Turbo klepnutím na stejnojmennou ikonku ve stavovém řádku.
Pozn.: DNS překlady se dělají lokálně, takže to nebude fungovat v síti O2. Ale u jiných poskytovatelů připojení k filtru to fungovat bude.
Neelie Kroes, místopředsedkyně Komise pro digitální agendu, chce, aby významní hráči na trhu s mobilními aplikacemi byli „otevřenější“. Například Applu by tak mohla zatrhnout jeho schvalování aplikací do AppStore. „Musíme zajistit, aby se významní hráči na trhu prostě nemohli jen tak rozhodnout, že jejich produkty nebudou spolupracovat s jinými. Uživatelé potřebují mít na výběr, pokud jde o software a hardware.“
Pozn.: tatáž paní již dříve udělila Microsoftu za nedostatečnou otevřenost pokutu 900 milionů €.
Vláda USA si dělala zálusk na domény thepiratebay.org a megaupload.com (torrentový vyhledávač a obdoba RapidShare), protože jejich vlastníci prý provozují nelegální činnost. ICANN neměla problém jí domény vydat, ale vláda na poslední chvíli svou žádost zrušila.
O sčítání lidu bloguje František Matějka. Dochází k závěru, že většinu informací, které tento projekt za 2,65 miliardy Kč zjistí, už stát ve skutečnosti má. Sčítání lidu v celé EU pak bude celkem stát v přepočtu 130 miliard Kč.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.