LastPass bylo koupeno LogMeIn Inc. a ještě se neví, jestli to je dobře, nebo ne. Byly i nějaké „úspěšné“ útoky, tuším, že otisky master hesel, tak půl roku zpět. Pro jistotu jsem přešel na 1Password, který je funkcemi podobný, ale je možné zašifrovaná hesla ukládat do libovolného úložiště (a tím se dosáhne snadné synchronizace).
Aspirin
Jj, poté co jsem to četl jsem nechal LastPass jen na ty tuny hesel do různých eshopů, fór, na licenční klíče sw, apod. Kritické věci jako platební karty, údaje bank.účtu mám jinak.
Ada
Pokud je na Vás „zájem“ nemusíte mít ani žádný počítač a přesto na něm najdou dětské porno. A naopak nikoho asi nepřekvapí, že Bin Ladin měl počítač bež šifry a všecky plány na ovládnutí světa měl ve složce na ploše. (A určitě před smrtí hladil svou angorskou kočku a zle se u toho pochechtával)
zrg1
Proč se k problematice vyjadřují lidé, kteří o tom nic nevědí ?
Jen samé fámy, kydy a blbosti – jak Ada tak autor tohoto článku.
Například: „Level 1: Heslo – Vaše heslo do Windows je první linií obrany“
BLBOST !!!!!!!!!!!!!!!!!!
První linií obrany je už samozřejmě volba OS a nastavení routování na síti. Pokud chcete chránit data, určitě ne na OS Windows a pokud už na OS Windows, tak spíše na starých XP, kde si podle svého nejlepšího vědomí a svědomí uděláte snadno vlastní minimalistický build, např dle doporučení např. zde http://csrc.nist.gov/itsec/SP800-68r1.pdf
Určitě se vám snadněji podaří odinstalovat veškeré potencionálně nebezpečné a nepotřebné služby na XP, s aktualizací Windows na prvním místě, než na WIN 7, WIN 8 o WIN 10 ani nemluvím , to je škodlivý software sám o sobě a např. v Rusku je přímo zakázaný v korporátní sféře! Druhý krok je zabezpečit síťový traffic, ne přes WIN firewall, což je omalovánka pro děti, ale na routeru. Pravidelně si kontrolovat, která aplikace se kam připojuje a proč! Až na takto zabezpečeném systému má smysl instalovat vlastní zabezpečení, řešit heslo, bitlocker, kryptování a tak dále. Nikoliv na Windows 10, kde vám odečítají hesla přímo z klávesnice, odposlouchávají vás přes mikrofon, šmírují vás kamerou, indexují si soubory na vašem disku, dělají si přehled, kam jste šli na internetu, co jste tam dělali a pod jakými hesly provádíte online platby a jaké je číslo vašeho bankovního účtu. Na WIN 10, což je čistý šmírácký spyware, nemá smysl ani dodatečné šifrování, ani nic jiného… viz článek Analýza Windows 10: Ve svém principu jde o pouhý terminál na sběr informací o uživateli, jeho prstech, očích a hlasu! http://aeronet.cz/news/analyza-windows-10-ve-svem-principu-jde-o-pouhy-terminal-na-sber-informaci-o-uzivateli-jeho-prstech-ocich-a-hlasu/
Autoru dávám tímto za 5. To co vám radí je stejné, jako pokus zabezpečit automobil tak, že ho necháte stát přes noc odemčený s klíčky v zapalování a staženými okénky na parkovišti před supermarketem, ale pomocí speciálního udělátka odpojíte blinkry, takže před jejich zapnutím budete muset pomocí ďábelské kombinace pěti kódů odblokovat dvě přídavné řídící jednotky týkající se jen funkce blinkrů. Pokud chcete mít opravdu citlivá a důležitá data mimo dosah šmíráků, první krok je mít je na adekvátně zabezpečeném serveru v zabezpečené místnosti, na adekvátně zabezpečené sítí a na těžce customizovaném OS, které si budete spravovat sami a mít ho plně pod kontrolou… Což znamená, že vám to sežere spoustu času a 90% běžných věcí vám nebude fungovat správně. Také se z takového počítače asi nebudete přihlašovat na Fejs, Google, Youtube, hrát onlinovky a platit svoje účty. Zbývá jen poslední otázka. Pro kterého uživatele z řad široké laické veřejnosti má takový počítač vlastně smysl a co na něm hodlají dělat, že jim to stojí za to úsilí. Ale to už není otázka technická, spíše praktická.
masiton
Děkujeme za vysvětlení, „adekvátně zabezpečený server v zabezpečené místnosti na adekvátně zabezpečené síti a na těžce customizovaném OS“, to je přesně to, co takový uživatel, který neví, co vůbec datová bezpečnost znamená, hledá. Ach jo, co bysme si bez těch Linuxáků asi počali. Jste jako vegetariáni, každýmu to cpete a nikoho to nezajímá. Lidi jako vy byli k smíchu už na střední, dělali jsme si z vás prdel, protože zatímco my, programátoři Windows aplikací, jsme už ve třeťáku vydělávali na auta a mobily, vy ste furt seděli u switche a kompilovali Gentoo pro váš vlastní procesor, což bylo děsně cool, akorát chleba se dá koupit za Gentoo zkompilovaný pro vlastní procesor a dvě pětky k tomu. Mimochodem aeronet je sračka, opravdoví profesionálové nečtou recenze operačních systémů na aeronetu, to vážně ne…
zrg1
Linux ? Kde jsem zmínil Linux ? A WIN 10 nejsou sračka ? Smím se zeptat proč ? Nevadí Vám, že o tom, že WIN 10 jsou sračka píšou veškeré zahraniční portály ? Protože jediný, kdo si dal tu práci přeložit to pro českého matláka do češtiny, je Aeronet, tak to není pravda ? Mohu se Vás zeptat, proč vykřikujete hovadiny ? Když někdo nerozumí základní problematice raketového inženýrství, taky neradí technikovi, který to dělá 40 let, jak má provádět dynamickou kalibraci tahu raketového motoru na kapalná paliva ! Ale prostě kdokoliv, kdo má notebook a umí vypnout systém tlačítkem „START“ má pocit, že je IT génius, protože má systém, který se vypíná Startem, který jako první na světě zavedl serverový OS, u jehož vzdálené správy se defaultně předpokládá dotyková obrazovka (win8 server), protože jeho systém, který pod jeho rukama stahuje a posílá cokoliv, kamkoliv, sám se od sebe přepisuje, odpírá vlastnímu uživateli cokoliv měnit, mazat a provádět administrátorská nastavení a je už z fabriky plný spywaru a bonzáckých protokolů…. je prostě FREE COOL IN ??
Stačí jedna odpověď…
Tivek
Spousta webů přišla zejména s tvrzením, že W10 odesílá spousty dat, nikdo pořádně neví co, ale spousta hlupáků o tom mluví jako o nějvětší konspiraci. Je pravdou, že v jedné zkušební verzi bylo odesílání i citlivějších informací (jako jsou např. stisky kláves) nicméně s tím se MS nijak netajil a tuto věc potvrdil, do ostrých verzí údajně ale tyto funkce jít neměli a NENÍ nijak potvrzen opak.
Tlačítko START bylo naposledy ve Vámi vyzdvižených WinXP, od té doby je tam tlačítko s logem windows a pokud by dle Vás byla největší závada desktopových OS Windows to, že se někdy vypínali přes tlačítko start, tak je to dokonalý systém a Vy jste akorát k smíchu. Nevím jak jste přišel že u W2008 srv se počítá pro vzdálenou správu s dotykovou obrazovkou, ale nejspíš si opět pletete pojmy a myslíte vzdálenou plochu a uzpůsobením pro dotykové obrazovky myslíte prostředí metro. Ano metro je na serveru hovadina, nicméně vzdálenou správu to má uplně stejnou jako předchozí W SRV. Navíc MS plánuje u nových verzí windows serveru rozvoj micro a nano buildů, které už vůbec GUI nebudou obsahovat, budou se víceméně ovládat pomocí powershellu.
masiton
Aeronet uvádí, že komunikace je šifrovaná a tak ji nelze přečíst. To se jiným podařilo, protože prostě podvrhli certifikát těch Microsoftích serverů, na který se data odesílala a tedy byli schopni data rozluštit. Veřejná beta desítek skutečně odesílala v podstatě úplně všechno, včetně ťuků klávesnice. Ostrá verze to samozřejmě nedělá, ale třeba u Windows Phone 10 přetrvává situace, že Kortana, která stále poslouchá mikrofon, je něco jako Internet Explorer. Můžete ho odinstalovat, ale fakticky se ho nezbavíte. Microsoft se vyjádřil v duchu, že Kortana skutečně zcela vypnout nejde, můžete ji v menu deaktivovat, ale to ji nevypne, jen na vás přestane reagovat, ale stále poslouchá…
Windows jako platforma bezpečná je, česká autorita nepůjde za Microsoftem s žádostí o spolupráci, protože a) u nich nikdo neví, o čem se s nima má vůbec bavit, nemaj na to specialisty a b) Microsoft jim vyhovět nemusí a taky to neudělá, alespoň co mám informace z české pobočky, protože k tomu je potřeba souhlas korporace a ta ho nikdy nevydá, protože česká vláda, narozdíl od té americké, nedosáhne na vedení, ani na jejich účty, čili znovu, pro českého pepíka a jeho firmu a citlivá data je to bezpečné. Pokud plánujete terorismus a nukleární hrozby v metropolích, pak je pro vás situace jiná a šifrování dat asi nebude váš nejpalčivější problém, když vás někdo chytí s plechovkou uranu na hraničním přechodu.
Tivek
V příspěvku níže posílám odkaz na takový malý rozbor paketů ostré verze. Co se ale skutečně odesílá není odnikud (zejména od MS) potvrzeno – neustále se jen ubezpečuje, že nejde o citlivá data. V tom samém příspěvku píšu zároveň to, že i když jsou nejspíš skutečně v OS windows zadní vrátka, tak jejich využití je omezeno na jen na některé instituce se kterými se běžný čech zřejmě nesetká. Ale znovu upozorňuji smysl článku nebylo jak se chránit proti napadení po síti, ale jak se bránit proti fyzickému napadení. Proti napadení po síti Vám nepomůže sebelepší šifrování HDD, naopak fyzickému napadení Vám nepomůže sebevíc síťově zabezpečený systém.
zrg1
Já bych si to dovolil celé posunout zpět k původnímu tématu. Jelikož tento článeček navazoval na díl 1 , který se směle honosil bombastickým nadpisem „Jak ochránit vaše data 1. část: Státní fízlování a legislativa“, tak jsem měl za to, že to píše nějaký člověk z branže, expert, ale omyl. Kryptovaný disk možná opravdu představuje pro české policajty problém, protože jsem zažil spoustu firemních notebooků, které policie nejprve zabaví s tím, že na nich někdo stahoval dětské porno, anebo že musí dělat audit kvůli finančním podvodům a pak škemrají o heslo do biosu a do bitlockeru, protože ho neumějí překonat. Pak se cca rok nic neděje, protože na zabaveném odblokovaném notebooku nějaká policejní ratolest doma paří gamesky… Takže to není o tom, jestli to umí, anebo neumí prolomit, ale jestli se jim chce a jak moc na to chvátají. Ovšem podle nadpisu mělo jít spíše o to, že máte nějaká supertajná data a nikdo kromě vás se k nim nikdy za živého boha nedostane. Pokud lidi co tu píšou svoje „návody“ čerpají z nějakých článků, fajn, ale pokud se tomu budou věnovat pár let, tak zjistí, že žádná metoda není samospásná a že mezi námi žijí lidé, kteří „hackují software“ asi tak rychle, jako slepice v drůbežárnách snášejí vejce. Já takového jednoho týpka znám a třeba nabourat cokoliv běžného, co neprogramoval profík podobného kalibru, mu trvá cca 5 minut, jen zběžnou diagnostikou a odposloucháváním paketů. Hesla do mejlu, Skypu, k webovým stránkám a tyhle věci. Čímž chci naznačit, že takový člověk se vám může v počítači vrtat klidně roky, aniž by jste o tom měli sebemenší tušení. A to je hodně zlé. Pokud jde o borce v USA, kteří mají klíče ke všem udělátkám, tak buďte naprosto bez obav, že vás šmírují už teď, preventivně. Je veřejným tajemstvím, že USA monitorují ze svých satelitů veškerou evropskou komunikaci a v reálném čase ji ukládají pro budoucí použití-zneužití A pokud vám to nepřipadá důležité, že si ukládají kolik berete, za co utrácíte, komu voláte, co říkáte, co píšete, kudy se pohybujete a od win 10 také na průmyslové bázi zcela bezostyšně shromažďují úplně všecko, co děláte na PC, tak mi to opravdu jedno není. Podle mě jsou všechny tyto informace těžce zneužitelné. A je celkem buřt, jestli to dělají se zlým úmyslem vás do něčeho namočit, anebo „jen“ chtějí na vás zacílit co nejjefektivnější a nejúčinější reklamu a donutit vás koupit si nějaký americký spotřební šunt, který byste si jinak určitě sami nekoupili…. Takže příště prosím k dané problematice méně bombasticky a odpovědněji….
JJ
No zrovna Vy máte autorovi co vyčítat…
Jen tak namátkou – máte představu o tom, jak funguje internet? Jaká je šířka pásma všech amerických družic v porovnání s šířkou pásma na využívaných optických kabelech? Ke Skype lze mít spoustu výhrad, ale není to napsané zase tak blbě, abyste se pouhým odposlechem packetů dostal k heslu. Na webu se čím dál tím víc prosazuje https, bezpečné varianty protokolů POP3 a IMAP4 jsou také používané docela dost. atd. atd.
zrg1
Vím o tom dost natolik, že pokud nekomunikuji po síti tlustým klientem, který si sám odladím, nastavím a zakryptuju nějakou méně běžnou metodou, kterou navíc budu neustále měnit, tak nikdy nemám jistotu, že to někdo na druhé straně v reálném čase nerozlouskne přes nějakou neznámou dírou v obecně používaném protokolu a že jich tam je. Přes web browser proto nebude komunikace bezpečná nikdy. Co se týče kapacity odposlouchávací infrastruktury USA, tak o tom fakt nevím vůbec nic, je třeba se zeptat Snowdena a také americké vlády, proč zaměstnávají v agenturách jako NSA řádově sto tisíc lidí, kteří nedělají celý boží den nic jiného, než že šmírují a šmírují a šmírují pro US vládu. Vaše argumenty o optice a její násobné kapacitě proti satelitům neobstojí, co jde po kabelu, to se do USA přenese také po kabelu. A co se týče limitů konečné přenosové kapacity, tak je vidět, že to borci v USA intenzívně řeší, protože win 10 nejsou tak blbé, aby hned bezhlavě posílala veškerá data, která přes vás počítač protečou. Ale posílají dost na to, aby se z toho dala chytit vaše hesla (pár kB dat z klávesnice), aby si navzorkovali váš hlas a rozpoznali vás kdekoliv, kde promluvíte v blízkosti repráků (třeba na letišti), aby odeslali vaše otisky, pokud používáte čtečku, aby si naskenovali oční rohovku, pokud máte webkameru. Nemusí odesílat ke kontrole celý film, který si stahujete z Warezu, stačí, když si ho rozpoznají na disku podle názvu souboru a vzorku dat a už jste v té správné kolonce. Proč by v tomto případě posílali GB dat, stačí pár bitů. Nejsmutnější na tom je, že váš vlastní PC a jeho výpočetní a disková kapacita slouží k tomu, aby to šmíráci na druhé straně dostali už zpracované na stříbrném podnose a s mašličkou a osekané od nezajímavého elektronického balastu. A úplně to samé se dle mého názoru děje i na veškeré přenosové soustavě, komprimace dat 1:1 000 0000 0000 ještě pořád podle mého odhadu zaručí zachytitelnost 99,999999% dat, o které jim jde. Zeptejte se Snowdena, jak to dělají, mě tohle nezajímá. Mě spíše zajímá metoda, jak s nima vy*ebat, což je samo o sobě dost vysilující disciplína.
JJ
Komunikace přes web browser bezpečná být může – pokud se používá SSL/TLS a browser či server nemají díry, umožňující útok postranními kanály.
Pokud jde o méně běžné metody a jejich neustálou změnu, tak se obávám, že to bezpečnost v praxi spíše sníží. Méně je někdy více a tyhle snahy o vylepšení do řešení spíš jen vnesou problematické a napadnutelné prvky.
Existenci neznámých děr např. v AES 256 samozřejmě nelze zcela vyloučit, ale tuto hrozbu považuju za zanedbatelnou. I díru v konkrétní implementaci považuju za méně pravděpodobnou než to, že se podobná díra objeví v „méně obvyklých metodách“ nebo že něco zvořu či přehlédnu při pokusu o vylepšení standardních řešení.
Já nepopírám, že NSA šmíruje, navážel jsem se do té představy o všemocných satelitech. Vlastního obsahu IMHO zachycují relativně málo a kdo chce, tak si data pošle tak, aby se k nim nedostali. Jenže při jejich kapacitách toho dost vytahají i z metadat a statistických analys provozu. A mimochodem, určitě tam existují výjimky, ale ani NSA bych nepodezíral primárně ze snahy o nějaké ovládnutí světa apod. Je to vládní agentura a řekl bych že hlavní motiv bude snaha krýt si pozadí a udržet práci – tj. hlavně aby nějaký ručníkář něco nespáchal a NSA nebylo předhazováno, že to či ono měla vědět apod. Občanská práva, soukromí apod. jsou pro tyhle lidi jen necessary collateral damage, nikoli ale hlavní cíl.
To samozřejmě nic nemění na tom, že tohle šmírování je svinstvo, protože když nic jiného, tak buduje snadno zneužitelné nástroje a soubory informací. Něco jako meziválečné centrální registry obyvatelstva, které také nebyly budovány primárně se zlými úmysly a u kterých v zásadě o nic nešlo, dokud nepřišli náckové.
Stran šmírování ve Win 10 – nehledal bych v tom spiknutí americké vlády, ale snahu Microsoftu o udržení posice, zákazníků a zároveň dobrých vztahů s držiteli copyrightů, zadaveteli reklamy apod. A Microsoft v tom není sám – Apple má Siri, Amazon Alexu, Google speech recognition…
zrg1
V oblasti IT bezpečnosti mohu říct jen tolik, že nejčernější noční můry jsou jen slabý odvar skutečné reality. Podle mého subjektivního názoru je na vině fakt, že nikde jinde není šance ukrást tolik peněz a citlivých informací tak rychle a tak snadno. A kde je příležitost, tam jsou zdroje. Tisíce talentovaných ruských, indických , čínských atd. hackerů jen obcházejí a hledají příležitost, místo aby se doma doživotně hrabali v hnoji a nikdo nemůže být dostatečně paranoidní, aby si mohl říct, že jeho systém zabezpečení je nepřekonatelný. A to nemluvím o USA, kde je nezákonná manipulace s cizími daty povýšena na průmyslové odvětví. Je to strašlivý korporátní problém, například když máte ve firmě 5000 zaměstnanců a z toho 100 operátorů na interním IT helpdesku, kteří z principu musí mít úplně ta nejvyšší práva, včetně možnosti administrovat osobní počítač CEO, kde jsou dokumenty v ceně miliónů dolarů a vy máte jako bezpečnostní technik uhlídat tu stovku lopat, kteří berou dvacku hrubého měsíčně a ani netuší, že mají v ruce nástroj, který může pár kliky způsobit firmě milionové škody. Jak si můžete být jisti, že jeden z nich třeba není z oboru a nedělá za vašimi zády nějakou prasárnu aže místo, aby CEO opravil problém s připojením mu tam nenahrává virus. Přes veškerou snahu na to v 99% nepřijdete a pokud jo, tak po letech a zpravidla úplnou náhodou. Čím více jste nuceni mít systém „normální“ a „standardní“ a „vyhovující potřebám běžného uživatele“ a čím více lidí vám v systému prasí, tím více jste v loji. Takže se omezíte na pár základních praktik a pak jenom doufáte, že to projde a za vaši kariéru vás nepotká žádná katastrofa, protože všichni ostatní to dělají stejně, jako vy.
Lojza
To mi pripomina ten vtip…Prodam obsah celeho internetu na 3424543254312DVD, bez porna na jednom.
Ovsem kdyz si predstavim, jak nekde nekdo zalohuje VSE, co tece (I kdyby jen v Evrope) po netu….uprimne receno bych chtel videt technicke vybaveni, ktere je k tomu pouzite :-D
zrg1
Viz muj komentar o borcich, kteri si poridi system, ktery se vypina tlacitkem START a nasledne pousteji moudra do eteru. Ano, je mozne kopirovat a ukladat veskery obsah co protece na internetu real time. Nemusim napriklad prenaset kopie milionu stejnych souboru, abych vedel, ze jsou ty same. Ze si lidi po webu milionkrat stahnou WOWko, ktere ma na disku cca 30GB neznamena, ze smiraci v USA musi prenest 3×10^16 B dat, což je just FYI 30 000 TB. Stačí jim pár kilo případných rozdílových souborů a jedna 30GB kopie. Takhle to mají i velké firmy, které používají VMWare. Ale český Lojza prostě ví, že to nejde. Děkuji, přesně tuhle informaci jsem potřeboval vědět….
pivko
Na rozdíl od vás ale Lojzovi alespoň nechybí selský rozum.
zrg1
selský rozum je fajn, pokud jde o hnůj a obilí, ale v oblasti IT jaksi nemá co nabídnout.
adawolfa
Pokud je ale komunikace šifrovaná, nevíte, co v ní je. Stejné soubory nebudou v rámci jednoho požadavku stejné (z pohledu zašifrovaných dat). Skutečně byste tedy musel ukládat naprosto všechno a čekat na dobu, kdy bude možné data dešifrovat (šifrování je stejně nakonec vždy o boji s časem).
zrg1
to je pravda. Ovšem při ceně $2,5 za uložení 1TB dat (běžná komerční cena) si v USA nepochybně mohou dovolit ten luxus preventivně nahrávat a ukádat veškerý internetový traffic, který roztřídí první síto oddělující totálně nezajímavý trash od potencionálně důležitých přenosů a pak to dál čistit a mazat jemnějšími a jemnějšími síty. A pokud je něco fakt brutálně zakódované, tak to prostě nechají ležet někde na disku a případný klíč k rozkódování mohou řešit klidně až po letech, když se o tu osobu začnou opravdu zajímat.
Netvrdím, že přesně takhle to dělají, ale nějak podobně bych k tomu problému přistupoval já.
Pro nás, kteří jsme takříkajíc na druhé straně barikády je blbá zpráva v tom, že si nikdy nemůžeme být jisti, co všechno na nás mají. Ale bude toho fakt hodně.
LWG
Jako ve všech situacích, kdy má nepřítel brutální převahu, je nutno zahájit maskování. Čili pokud už někdo má taková data, která by ho mohla stát svobodu/firmu/atd., tak na venek by měl vypadat co nejobyčejněji (ne „nic na mě nemáte“, ale „nic na mě není zajímavého a pokud ano, tak je to snadno vysvětlitelné“).
Že se taková skladovat taková data a operace musí dělat mimo síť je asi jasné, i když problematická. Dobře šifrované spojení bude asi nápadné samo o sobě.
Jakmile po někom vyrazí síla odpovídající výkonným složkám velmoci, má velmi malou šanci, že unikne. A pokud na něj něco nenajdou, tak si to prostě vykonstruhují.
JVP
Svého času (začátek devadesátek) jsem pravidelně jezdíval do Jihlavy busem v tehdejším outloooku „somrák-pankáč“ a v odrbané somračce jsem míval obvykle za půl mega v šilinkách, márách nebo korunách. Nenápadnost funguje univerzálně, nikdy jsem neměl sebemenší problém, byť se v maloměstě vědělo, co a kde dělám.
pasky
Dobře šifrované je každé OpenVPN nebo HTTPS spojení (používáte-li rozumné verze protokolů a velikosti klíčů, ale to je standard). Spíše než šifrováni samotné jsou háčky v chybách jednotlivých síťových programů, většině se ale dá vyhnout zdravou obezřetností.
Bez hlubokých technických znalostí bych volil strategii poučit se ze zmedializovaných honů na ty nejlákavější cíle, jako operátor Silkroad či různí pedofilové – zopakovat to, díky čemu dlouho unikali (Tor, Tails atd.), a vyhnout se chybám, kvůli kterým je chytili. Vůbec nejtěžší pro ty, kteří se vyhnou těm opravdu amatérským chybám, je v oné obezřetnosti (v hantýrce „opsec“) po čase nepolevit.
zrg1
No, tak si to znovu po sobě přečti ve světle ani ne týden staré aféry PANAMA PAPERS, kdy neznámý „dobroděj“ nashromáždil 2,6 TB super citlivých dat z ¨databáze Mossack Fonseca a poté je v pravý čas zveřejnil „bez nároku na odměnu“, jen tak, z dobré vůle, protože proti kriminalitě je třeba bojovat (ha ha). A teď si znovu přečti to, co tvrdím o tajných službách z USA já a jaká dávám doporučení a zamysli se, komu PANAMA PAPERS pomohly a koho tím primárně vydírají zrovna před referendem GB o opuštění EU. Někdo z nás dvou je tu TĚŽCE naivní.
Jak zvýší zabezpečení počítače nastavení routování v síti? – jakože budu neustále sniffovat provoz na síťové kartě a podezřelý traffic směrovat někam do „dev/null“? Buď jste zmínil naprosto nevhodnou metodu ochrany, nebo jste si spletl „nastavit routování“ s „nastavit router“ oboje znamená uplně něco jiného. -Ať už je to tak nebo onak, každopádně dokazujete, že problematice nerozumíte spíše sám. Navíc jste ani nepochopil o čem autor píše – tedy ne o napadení síťovém, ale o fyzickém. Svou síť (ať už domácí nebo firemní) totiž můžete mít zabezpečenou HW firewallem s různými detekcemi + dalšími analyzátory datového toku, ale to vše je Vám uplně k ničemu, když odpojíte notebook a jedete s ním někam, kde jste v souvislosti s legislativou nucen notebook (či jiné zařízení) předkládat ke kontrole.
Pokud se vrátím k Vašim blábolům o bezpečnosti windows, které jak jsem již napsal jsou poněkud mimo od tématu článku na který reagujete, tak používat zastaralý OS WXP nebo buildy založené na něm je opravdu nevhodné i pro paranoika. Ono celkově za ten Váš výplod by se nemusel stydět kdejaký konspirační teoretik. Sice je pravdou, že operační systémy obsahují zadní vrátka a čím jsou novější, tím jsou vrátka větší ovšem k těmto zadním vrátkům se nedostane jen tak někdo a určitě ne kdejaký celník při běžné prohlídce. Naopak pokud už se Váš počítač dostane do rukou opravdových odborníků s patřičným vybavením, tak je uplně jedno jaký OS na tom zařízení máte – k Vašim datům se snadno dostanou. Například k datům při použití Vámi zmíněným buildů WXP se dostane kdokoli mající šroubovák a jiný počítač se stejným rozhraním (přičemž mnohdy není třeba ani ten šroubovák, ani jiný pc). Jediná možnost fyzické ochrany je tedy šifrování a momentálně neexistuje lepší šifrovací nástroj nežli v článku zmíněný TrueCrypt. Závěr Vašeho příspěvku pak snad ani nemá cenu komentovat, přirovnání k automobilu je mimo uplně z důvodů uvedných výše, hodnocení je zavádějící – protože jste smysl článku nepochopil a Vaše úvaha nad zabezpečením dat je sice kreativní a možná i zčásti funkční, ale pro většinu lidí je takové řešení nepředstavitelné, navíc naprosto neefektivní a nevhodné – věc lze řešit pro většinu potřeb běžných uživatelů daleko jednodušeji (v případě neběžných uživatlů jenom jednodušeji).
Joker
Tak tohle je nesmysl.
Ano, sice by asi šlo z XP odinstalovat všechny potenciálně nebezpečné věci a vznikl by sice bezpečný systém, ale nedalo by se na něm nic dělat, protože ty potenciálně nebezpečné věci jsou zároveň potřeba pro normální činnost uživatele.
A používat nepodporovaný systém s veřejně známými a neopravenými bezpečnostními dírami, který nabourá každý rádoby-hacker s programem staženým z webu, skutečně není optimální volba z pohledu bezpečnosti.
Překopat celý systém je taky nesmysl, respektive to ani pokročilý uživatel nedokáže udělat tak, aby vyřešil bezpečnostní problémy a zároveň nevyrobil nové.
Tivek
O čem píše zrg1 je dost upravený systém postavený na jádru WXP, lze na tom normálně pracovat a teoreticky v těchto případech nejsou běžné bezpečnostní updaty potřeba. Problém je s kompatibilitou u nového HW a i u nového SW a částečně také s tím, že spousta těchto buildů je postavena na 32bitech. Nicméně znovu podotýkám, že se bavíme o SW bezpečnosti, je uplně jedno v jakém OS mám uložená data, když nejsou zašifrovaná a fyzicky se k nim každý dostane. Článek pojednává o tom, jak si zabezpečit zařízení před fyzickou kontrolou.
pzkudk
Ono to stejně nebude tak jednoduché. I kdyby někdo ořezal ixpéčka až na kost, tak si třeba bude myslet, že dosáhl úrovně C2 (což je tak maximum, kolik se dá z takto koncipovaného systému vyrazit), ale stejně mu bude chybět verifikace těchto vlastností. Aby dosáhl na nějakou vyšší úroveň zabezpečení, která je úplně k ničemu bez dostatečného ověření, že to tak opravdu je, tak musí systém od počátku budovat jako bezpečný a každý krok návrhu formálně verifikovat. A to windows nejsou (a linux taky ne).
zrg1
naprostý souhlas.
scadar
Pekny clanek, ja bych k tomu dodal jen tolik, ze by kazdy, i ten nejnepodstatnejsi minion mel pouzivat alespon stupen 3 – sam to tak delam uz leta – nejdriv truecrypt, ted uz jen bitlocker s dvojim overenim (TPM a alfanumericky pin – ten je jen potreba povolit v group policy). Uz jsem to zazil dvakrat – ten nahovno pocit z ukradeneho notebooku se prijemne otupi vedomim, ze k mejm datum se nikdo nedostane a ja je mam doma vsechny pekne zalohovane.
A technicka poznamka – TPM chip se nezucastni procesu kryptovani, pouze provadi (zjednodusene) overovani a kontrolu integrity. To co ma ve skutecnosti vliv na vykon de/kryptovani je pritomnost AES/NI instrukci primo v procesoru (zpravidla jen u Core i5 a i7)
Standa
Ještě doplním k těm hrátkám s podchlazováním RAM. Jde o techniku k prodloužení retence dat u vypnutého počítače: Vy sedíte u počítače, máte připojený svazek TrueCrypt. V tom policie vyrazí dveře. Vy stihnete akorát vykopnout šňůru ze zásuvky. Když v ten okamžik přiskočí technik s chladícím sprejem, počítač prudce ochladí, vyjme paměti, a vloží je do čtečky, podaří se mu rekonstruovat značnou část TrueCrypt klíče, a svazek nejspíš přečíst.
Jako obranu proti tomu vyvinuli někteří výrobci SSD disky s červeným tlačítkem. Pokud ho stisknete, z SSD disku se vznese hustý dým, a zaručeně z něj již nikdo nic nepřečte, i kdyby měl dešifrovací klíč v ruce. Navíc předejtede riziku mučení za účelem vydání hesla.
Sysop
Kdyz byly memu diteti 4 roky, tak mne zamknulo v moji pracovne. Zadny omyl, nebo nahoda. Proste nikdo netusil, ze chape smysl klice ve dverich. Do te doby nic neodemykalo, ani nezamykalo, nicmene zrejme nekde videlo. Ja jsem rekl, ze chci mit klid na praci, ze ho vyhodim a ja se zamknu. Na to jsem slysel cvaknuti dveri a dvoji otoceni klice…
Nastesti jsem paranoidni a vsechny klice vnitrnich dveri v dome maji na spici vypilovany slic pro sroubovak. Nicmene, clovek nesmi zapomenout myslet na to, ze treba ditko muze zaujmout barevny cudlicek na SSD a podobne…
masheenfeera
V některých případech ani nemusí podchlazovat RAMky.
Pokud je Váš počítač vybaven například rozhraním Thunderbolt nebo FireWire, vybaveným fíčurou zvanou DMA (Direct Memory Access), lze nejen přečíst obsah paměti RAM a dostat se ke klíčům, ale lze dokonce do paměti vložit vlastní kód. Doporučuji nagooglit výraz „DMA Attack“.
Do určité míry lze takovému útoku zamezit např. aktivací technologie VT-d, případně jiné IOMMU, pokud jí Vaše počitadlo disponuje.
Další alternativou je komerční obdoba TrueCryptu zvaná BestCrypt, která umožňuje pro Volume Encryption navolit klávesovou zkratku Alarm Crash HotKey, po jejímž stisku program přepíše klíč v RAM náhodnými znaky a poté přivede jádro Widlí ke kolapsu a vynutí tak restart. Takové opatření samozřejmě vyžaduje přítomnost operátora u stroje v okamžiku vykopnutí dveří.
K obsahu článku: Článek se mi líbil, snad jen několik postřehů; Level 1 – heslo do Windows nejsou dveře, ale takový plot, resp. spíš plůtek; Pokud je heslo do Windows jedinou ochranou, pak si orgán o heslo říkat ani nebude. Pro heslo v BIOSu platí totéž.
Pokud pan esembé hrozí vazbou, 100 lety vězení nebo například tím, že pokud mu nesdělíte heslo tak přijdete do pekla, doporučuji odpovědět, že jste slušně vychovaný a tudíž se s policajty nebavíte. Jednoduchou analýzou takové hypotetické situace pak snadno dojdeme k závěru, že pokud má na Vás útočník takovou páku, že mu sdělíte heslo, má na Vás páku i k tomu aby jste podepsali přiznání k čarodějnictví.
Zatím naštěstí nejsme v Anglii, a tudíž legální způsob, jakým by z Vás OČTŘ dostaly heslo neexistuje, existují pouze způsoby, jak Vás přesvědčit, aby jste ho vydali sami nebo využít Vaší neopatrnosti při zacházení s heslem nebo social engineeringu pokud si zvolíte heslo dostatečně slabé.
V případě vykopávání dveří státními autoritami také následně zpravidla dochází k domovní prohlídce, při které jsou rutinně zabavovány veškeré datové nosiče a zařízení vybavená pamětí, včetně mobilních telefonů všech osob, fotoaparátů apod. a tyto nosiče a zařízení jsou posléze podrobena extrakci dat a analýze – asi tolik k uchovávání klíče na nezapezpečené paměťové kartě; Nicméně a letišti to asi projde, ale tam asi projde ledascos.
Rozhodně je nutné si také uvědomit rizika pramenící z falešného pocitu bezpečí.
DATOVÁ A KOMUNIKAČNÍ BEZPEČNOST NENÍ SOFTWARE ANI ZAŘÍZENÍ, DATOVÁ A KOMUNIKAČNÍ BEZPEČNOST JE ZPŮSOB UVAŽOVÁNÍ.
Adam
Dobrý den,
Zaujalo mě „…přivede jádro Widlí ke kolapsu a vynutí tak restart…“. Nevíte o tom něco víc, jak se to prakticky provede ? Žiju v tom, že kolaps se dá zařídit především zápisem do oblasti RAM, kde má jádro svá data, ale pokud vím, tak si tam sáhnout jen tak nenechá (jde to vůbec u Win7 a vyšších ?).
Pokud by se restart přihodil posláním příkazu (linux: „halt“), tak sice se to provede „ihned“, ale všechny aplikace i jádro se korektně ukončí (zapíší na disk).
Vlastně kromě tlačítka „reset“, které ale třeba na notebocích už není, mě ani nenapadá možnost jak ihned shodit OS
masheenfeera
Dobrý den, nejedná se o korektní restart, z pohledu uživatele po stisku Alarm Crash HotKey dojde po několika sekundách k BSOD.
Osobně mám s BestCryptem zkušenost pouze na Windows (Vista, 7, 8, a 10). Nerad bych se pouštěl do spekulací, jakým způsobem konkrétně BestCrypt shazuje Windows, ale je možné že právě přepisem částí paměti, do kterých si Windows běžně „nenechá sáhnout“. Napovídal by tomu fakt, že tato klávesová zkratka funguje na všech výše zmíněných OS i při zamčeném počítači, při odhlášeném uživateli, a dokonce i kdykoli v průběhu bootu nebo vypínání.
JJ
OS X už nějakou dobu DMA vypíná, pokud není uživatel zalogovaný, počítač je zamknutý apod. Takže útok uživateli podstrčeným zařízením za určitých okolností možný je, ale pokud vytrhnu šňůru, nebo jen zaklapnu víko na laptopu, orgáni se mohou jít klouzat. Mám dojem, že něco podobného mají i Windows snad od verse 7.
Jinak ten princip „nouzového“ hesla je sice pěkný, ale v praxi je jeho účinnost sporná a zdá se, že dostatečně tvrdý útočník dokáže z uživatele vymlátit heslo správné. (pro trochu low-tech versi vizte https://de.wikipedia.org/wiki/Englandspiel byť tam samozřejmě roli sehrálo víc faktorů)
masheenfeera
S low-tech souhlasím, ulimate limitem jakéhokoliv řízení přístupu (lhostejno zda šifrování, nebo zamčeného protiatomového krytu) je možnost vymlátit z oprávněné osoby klíč.
Ono se tam ale píše, že na nezabezpečené kartě v mobilu můžete nosit ten svazek, ne to heslo.
L.C.
Pro sirotčí jistotu můžete mít v mašince na červené tlačítko nachystaný pytlík s termitem.
Znělo mi to směšně, dokud mi jeden známý neprozradil, že jeden německý výrobce jistého specializovaného vybavení to tak dělá již drahně let.
meldak
Pokud chcete dobré heslo na zapamatování, můžete použít třeba „ahoj“ nebo „1234“.
Stačí generátor MD5 a máte z tohoto jednoduchého textu řetězec který je proti brutal force či slovníkovému útoku neprolomitelný…a pokud není jiná skupina v systému.
pzkudk
To určitě ne :-) Útočník nebude zkoušet metodou brute force všech 2^128 kombinací pro výsledný hash, ale pouze (v popsaném případě) hashe všech alfanumerických hesel. U nejvýše čtyřmístného alfanumerického hesla se s jistotou trefí za méně než dva milióny pokusů. MD5 se u hesel používá jen pro vygenerování binárního klíče, popřípadě v iteraci pro zvýšení výpočetní složitosti a tím k principiálnímu zpomalení brute force útoků.
cwds
Q:
Dnešní SSD disky fungujou tak, že defaultně všechny data šifrujou AES a klíč je zaheslovanej přes ATA password, který je z výroby nenastavený. Kryptoprocesor je součástí dneska asi každýho SSD řadiče, funguje to pro systém úplně transparentně.
Stačí heslo povolit v Setupu a šifrovanej disk je na světě.
Jak moc je to bezpečný? V domácích podmínkách sem si vyzkoušel jen to, že při vygenerování novýho klíče utilitou od výrobce disku „zmizej“ data a ani Recuva nic nenajde. Víc nemám jak vyzkoušet :(
CNN
Nevim co bych musel bejt za idiota abych měl data, který nechci aby někdo našel na HDD nějakýho svýho počítače, nebo abych je tahal po světě. Všechny compy jak doma nebo ve firmě žádný heslo nemaj.
Sysop
On je rozdil, kdyz treba nekdo prodava rohliky a nebo vojensky material. Myslite, ze treba obchodnik nejake zbrojovky je idiot?
CNN
Tak na to maj nějakou corporate policy, ne? Takže to dělá tak jak se mu řekne. Asi těžko jezdí s noťasem po světě s plánama na vodíkovou pumu.
Sysop
Ale vubec nejde o nejake plany produktu. Staci treba i jen obchodni korespondence. Je beznym zvykem, ze se diky odposlechum a virum kradou zakazky. Dalsi vec je, ze konkretne v tomto businessu se mota fura malych firmicek, eventualne i samostatni jedinci. Bude si snad obchodnik-zivnostnik delat corporate policy? Proc? Proste jen ma nejak vychytany zpusob, co a jak na ntb vozi. Nemusi kvuli tomu byt idiot.
CNN
Jako maily? Tak buď jsou už šifrovaný a když ne, tak je to stejně jedno, ne (protože kde je jistota, že ten na druhý straně je má zabezpečený)?
No a já za vychytanej způsob považuju nic tam nemít. Ale každýho věc jak si to zařídí.
Sysop
Ne e-maily. Ruzne korespondence v PDF, DOC a jinych beznych formatech, ktere si kdekdo uklada. Kalkulace a rozpocty v nejakych spreadsheetech atd., atp. Co kde kdo komu napsal e-mailem, to je u techto lidi davno odposlouchavano a mene, ci vice uspesne dekodovano.
Nemit na ntb nic ma asi tak stejny smysl pro obchodnika, jako tahat s sebou velky diar, ve kterem neni ani slovo. To se urcite vyplati.
Zaujalo mne, ze napriklad v Cesku je mozne si velmi snadno zjistit podpis nejakeho statutara proste tak, ze na justice.cz se podivam u dane firmy do papiru, ktere dala na soud. Je tam vsechno, vcetne bydliste, rodnych cisel, podpisu, parada. Ptal jsem se na Uradu pro ochranu osobnich udaju a bylo mi sdeleno, ze je to ok. Po teto zkusenosti je lepsi bud na soud nic nedavat (coz je v rozporu s bla bla bla…) a nebo tam proste psat picoviny ohledne osobnich dat a misto podpisu treba dva ctverecky. Takhle funguje bezpecnost na statni urovni.
JJ
Pokud někdo prodává vojenský materiál a komunikuje tak, že je to možno odposlouchávat a dekódovat, asi by měl změnit obor. Pro komunikaci v rámci jedné firmy/mailového serveru stačí naprosto v pohodě používat SSL varianty běžných mailových protokolů a odposlech i dekódování jsou krajně netriviální až nemožnou záležitostí. Citlivou komunikaci mimo firmu je pak možno snadno* šifrovat end-to-end.
Samozřejmě pokud informace po bezpečném předání vykecá protistrana, ať už úmyslně, nebo tak, že to nahraje na nezabezpečený thumbdrive, který pak zapomene v baru či bordelu, nedá se dělat nic.
Pokud jde o ty osobní údaje, tak souhlas – taky nechápu, proč je vše takhle plošně vystavené včetně nich. Jen s tím podpisem to asi není zase až tak hrozné. On se sice zfalšuje snáz, než nějaký digitální werk, ale často/většinou se dá padělek následně odhalit, což u digitálních technologií moc nehrozí.
___
* Bylo by to ještě snadnější, kdyby se nějaký blbec u Apple obtěžoval s lepší dokumentací toho, jak přesně systémový keychain pracuje s certifikáty.
CNN
Bavíme se o datech, které nikdo nemá najít na našem HW. Nejbezpečnější a jediný způsob (v dnešním zpraseném světě „národní bezpečnosti“ a bojům proti „ismům a íliím“) je nemít je tam.
Když budu chtít aby nikdo nezjistil kdy a kde mám s kým schůzku tak si to rozhodně nezapíšu do svýho diáře nebo kalendáře telefonu.
Tivek
a k čemu takové zařízení na kterém nebudu mít svá data tedy je?
CNN
To je jak u blbejch, bavíme se o datech, které když někdo najde na Vašem compu mohou být důvodem k narušení Vaší integrity (ať už fyzické nebo psychické), jestli máte za to, že Vám stačí je zašifrovat a nikdo je nezíská, tak si to tak dělejte. Jen říkám, že dnes existují takové nástroje a způsoby včetně legislativních, které přes veškerou Vaší snahu a erudovanost získání dat nezabrání (nebo i zabrání, ale bude Vám to k hovnu, protože půjdete sedět tak jako tak), takže je blbost je tam uchovávat.
Tivek
Většina lidí si kupuje notebook, aby na něm pracovali s daty, pokud data na zařízení nemají – tak je jim takové zařízení k ničemu. K narušení integrity osoby ve smyslu jakém se o ni bavíte stačí sakra málo – mnohdy například fotky z dovolené/služební cesty apod – tedy data zdánlivě bezvýznamná. Samozřejmě, pokud vlastním výkresovou dokumentaci v hodnotě milionů, tak je nebudu tahat letadlem v nezabezpečeném notebooku. Každopádně téma bezpečnosti je hodně obsáhlé a rozhodně jej nestačí shrnout slovy, že abych data uchránil, tak je nesmím mít – to zkrátka není řešení.
Sysop
Takove zarizeni je treba k tomu, abyste tam mel data, ktera nejsou tak fatalni. Navic je to vejicka, ktera ukoji pripadneho cmuchala. Horsi je, pokud mate jen ruce v kapsach a oni vedi, ze maji hledat. Tak muzete nekde na celnici take treba stravit i hezky den.
Jinak – myslite, ze bez hromady elektroniky neni mozne cestovat? Umim si docela i predstavit ze nekdo, kdo jede domlouvat velkej xeft nekam ven, tak proste pojede s par picovinama, ale v prvnim krame v dane zemi koupi nejaky ojety ntb, pripoji se nekde na Internet pres lokalni koupenou datovou kartu a pak pres par proxy si pro data sahne domu. Az se bude zvracet, hodi ten kram proste nekam do jezera.
Tivek
Ojety notebook z bazaru a jeho následné hození do jezera je tedy opravdu vrchol bezpečnosti.
LWG
Jistě ne vrchol, ale celkem vysoká bezpečnost za poměrně nevelké peníze. Pokud po dotyčném vysloveně nejdou sledovačkou (pak je víceméně vše marné, pokud člověk nemá podporu někoho z oboru), tak náhodně vybrané zařízení plus náhodně vybraná karta a pak všechno zase zmizí. Pokud to spolu funguje krátký čas, tak je slušná šance, že to nikdo nepospojuje, než to zase skončí.
zrg1
pokud tě sledují, tak to vůbec nemusí být marné, pokud se nechováš jako naprostý břídil. Jak jsem psal výše, první krok je mít na svém serveru OS, který jsi schopný mít pod kontrolou, druhý krok je hlídat si pakety na síti a čas od času si vyjet logy, co se dělo , co tě bombardovalo a jestli si s tím poradil tvůj router. To je naprostý základ. Teprve za tohoto předpokladu má smysl řešit zbytek, protože v opačném případě ti tam někdo lehce bez tvého vědomí nainstaluje nějakého trojana, který stejně vybonzuje veškeré tvoje ochranné prvky včetně způsobu kryptování HDD . A pak si pro ten počítač mohou fyzicky dojít, ale už ne, aby z něho dostali data, ale aby ho použili u soudu jako důkaz, protože data už dávno mají u sebe….
Falesne Jmeno
Wow, to mě nenapadlo, že si porno před partnerkou schovávám pomocí šiforvací metody nejvyšší úrovně^^ Když jsem TrueCrypt stahoval, tak se mi právě líbilo, že neuvidí, že něco schovávám. Ale o tom, že se dá ještě zašifrovat něco uvnitř zašifrovaného obsahu jsem netušil; vyzkouším, díky za články.
mjfox
To si schováváš, abys utajil skutečnou sexuální orientaci nebo nějakou deviaci? Ideální partnerka by se přece na porno koukala s tebou ;)
shifty
Ideální partnerka partnerovi porno toleruje, ať už na něj kouká taky nebo ne :)
btw. dneska si stahovat porno? Proč proboha? :D
Sysop
…protoze kdyz je treba bourka,posere se WiFi,mlaskne do BTS a uplne nejlepe vylitne elektrika,tak jsou kadrove rezervy vcetne nekolika baterii vzdy pripraveny…? :-)
Ja nevim, ale moje panterky se koukaly se mnou a az na svetle vyjimky jsme se shodli, ze to stoji za hovno. Ja, chudak bez deviaci, si proste tezko vyberu. A co hur, obvykle saham do starsi produkce, kdy jeste nebyly kombinace kureciho hrudnicku s megagigabalony a podobna zverstva.
shifty
To je fakt, ale pak je buď po ruce partnerka, nebo lahev něčeho dobrého, takže proč si neužít pěknou černou hodinku :)
Sysop
Kdyz jsem byl malej kluk, delaval muj deda cernou hodinku (obvykle cely vecer) kazdou stredu. Ja se na to tesil jako malej kluk :-). Jo, kde jsou ty casy. Dneska vypadne elektrika na par desitek minut a uz premyslim, co to kurva odsere: rozjebany hodiny po celym baraku, nelezte kurva do lednice dokud to nezapnou, zase bude rozmrdanej cas na casovacich v kotelne,… jeden velkej stres.
tomsth
Přesně tak – nedávný příval sněhu mající za následek v našem případě 16 hodin bez elektřiny mi připomněl tento vtip – nevtip:
Klábosí spolu Facebook, Wikipedie a Google:
Facebook se prsí: já znám úplně všechny!
Wikipedie se holedbá: znám úplně všechno!
Google si přisadí: já najdu úplně všechno!
Slyší je internet a říká: Pche, beze mě by jste si ani neškrkli…
Dosud v koutku tiše sedící elektrika pronese: Tak se uklidníme, jo?!
CR ma jeste krasne podminky co se pripojeni tyce, jsou zapadni zeme, kde je na venkove vcelku bezne, ze vypadek proudu trva 6 hodin az dva dny a nejblizsi internetove pripojeni je 40mil daleko, na wifi v KFC. A navic porno, nebo treba i dokumentarni porady (bezna konzumni TV a filmova tvorba ani tak ne, toho jsou mraky vsude mozne), je vzdy zahodno archivovat, mnohokrat jsem hledal neco specifickeho a stravil hodiny zbytecnou snahou o nalezeni funkcniho odkazu. Clovek se pak nauci stahnout, zaradit do patricke slozky a mit v tom poradek.
Idealni partnerka nema s pornem problem, ovsem horsi je, kdyz to ma pak za nasledek nadmiru zvysene pozadavky…
CL
Když pominu naprosto katastrofální sloh a úpravu, dodám jen, že diletanti co znají akorát Windows a TrueCrypt (jedno je děravé už z podstaty a druhé už neexistuje) , by o počítačové bezpečnosti neměli nikde nic psát, někdo by je mohl vzít vážně a na průser je zaděláno …
Lojza
Ha, pan Genialni se ozval :-D
Vzhledem k tomu, ze vetsina lidi proste na svych pocitacich porad jeste maji ty Windows, tak je celkem na miste o nich psat.
pipe.maze
jedno je děravé schválně, druhé EXISTUJE
CL
Jedno je děravé proto, že se snaží být papežštější než papež a jednoduše na to nemá a druhé od května 2014 prostě NEEXISTUJE. Kdybys měl alespoň minimální pojem o tom jak se věci mají, tak bys taky věděl že sami vývojáři TC zařízli s tím, že už prostě není bezpečný. Co tomu předcházelo si rač dohledat sám …
pipe.maze
Existuje, provedený audit ukázal, že je to bezpečný a lidi to stále používají na šifrování dat. A budou, dokud to někdo nezakáže. Vlastně budou i když to zakáže.
masiton
Tohle je dezinformace, Windows 98 už podle takové logiky také neexistuje, přesto ho používají téměř všechny bankomaty světa a ještě nějakou dobu budou. Nalinkované verze TrueCryptu skutečně prošla nejméně dvěma audity, jeden audit proběhl na americké univerzitě a předcházel mu fundraising, druhý proběhl, jak autor píše, skrz německou vládní agenturu. TC je dodnes používán i v korporacích pro šifrování dat s obchodním tajemstvím, protože je to jeden z mála nástrojů, na jehož spolehlivosti se shodují IT specialisté napříč obory a platformami, tudíž nedochází ke konfliktům ohledně bezpečnosti mezi podniky při předávání dat. Prosím vás přestaňte tady šířit bludy.
Tivek
TrueCrypt samozřejmě existuje, pouze neexistuje jeho vývoj. Ale i kdyby neexistoval, tak je to uplně bezpředmětné, jelikož ochrana jeho v článku zmíněnou verzí ještě doposud nebyla prolomena. Víte snad o lepším šifrovacím nástroji?
A co se týče děravých windows, tak ne vždy je možné je plně nahradit.
zrg1
Pro nas to je black box, o kterem se obecne predpoklada, ze v nem neni dosud nalezena dira. Ver / Never. Muzes to vzit z druhe strany, ze ten soft schvalne vyvinuly americke tajne sluzby a kdo ho pouziva, pada okamzite do kategorie lidi, kterym venuji specialni pozornost, protoze „urcite neco taji“. Je to tak zhruba fifty-fifty. Takze docela spatonka.
zrg1
CL – BINGO.
Adam
On Windows není žádný zázrak, ale pro BFU je přechod na alternativy naprosto nereálný (už jen pro to, že linux nemá „C:/“ :-), takže články o tom, jak kryptovat v „děravém OS“ je rozhodně přínosnější, než salóní diskuse na téma „programy si zásadně kompiluji sám“.
JJ
V současné době, kdy 90 % uživatelů na počítači dělá 90 % věcí v browseru, je naopak přechod výrazně snazší než kdykoli předtím. 80 % lidí bude jedno, jestli sedí před Macem, malinou s Linuxem nebo Windows boxem. Browser do fullscreenu a jsou spokojeni. Když se jim navíc hned objeví seznam, budou v sedmém nebi.
Jestli je na tom někdo blbě, tak my, kteří si na ty kchloudy, soušl mídia a webové aplikace nepotrpíme, protože některé demence z nich pronikají i do klasických desktopových aplikací (např. GUI novějších versí Office nebo iWorks).
masiton
To je něco, co slýchávám už asi deset let a furt to není pravda. Normální uživatel si koupí počítač v Alze, trial licenci Office používá i po vypršení s rudým pruhem s varováním a až i to přestane fungovat, jde na warforum, nainstaluje si aktivátor (s hromadou virů) a spokojeně přede, protože otravné licenční hlášky už nevyskakují a on ušetřil 300 korun. Těch 90 procent uživatelů s 90ti procenty věcí je samozřejmě taky výmysl. Tento druh uživatele nepotřebuje zabezpečovat data, protože žádná data k zabezpečení nemá. Normální účetní má na počítači firemní korespondenci v outlooku s POP3 a účetnictví třeba za deset let, všechno bez záloh, lokálně, a to jsou přesně data, která se vyplatí chránit alespoň tak, jak je popsáno v článku a která mají cenu. Linux nikoho nezajímá zejména kvůli lidem, jako je zrg1 – nejsou schopni si sekretářce nabídnout jednoduchý systém, na kterém půjde PREMIER a Fakturky a fejsbuk, místo toho vlezou do diskuse, kde se sekretářka ptá, jestli může používat X a odpoví jí, že je to píča a Windous je na hovno, a i kdyby se jí nakrásně snažili nějakou alternativu nabídnout, skončej u toho že jí do Ubuntu nainstalujou VirtualBox a na něm rozjedou ten stejnej Windows, kterej do tý doby používala. Jak zrg1 správně píše, „Proč se k problematice vyjadřují lidé, kteří o tom nic nevědí ?“, já naprosto souhlasím. Zrg1 by měl držet hubu a šoupat nohama, protože o reálném světě zjevně vůbec nic neví.
Tivek
ano přesně to je pravda pravdoucí
zrg1
Naopak. O reálném životě nic nevíte vy. Vy si tu nalháváte, že máte bezpečně data kryptovaná na disku a už vůbec vám nevadí, že přímo z vrstvy OS odposlouchávají všecko, co píšete na klávesnici, mnohem dříve, než to zamíří na disk. Jo vlastně. Já zapomněl. Nadlidé – uživateleé WIN – nosí přímo v hlavě HWinterface nadrátovaný rovnou k mozku a na klávesnici už píšou v kvantovém šifrovacím protokolu, nad kterým agenti z FBI lezou nešťastně po zdech…
mjfox
Právě pro těch 10% věcí, které v browseru nejdou dělat, zůstávají lidi u Woken. A i kdyby to bylo 100% v browseru, základ úspěchu je, aby se to připojilo na Wifi, což není úplně samozřejmé. Zkoušel jsem nedávno z nudy několik live linuxů a wifi kartu našel jeden. (A když to nebude wifina, tak to bude třeba zvukovka a BFU nemá šanci, jak to rozchodit.)
mhi
Bubuntu funguje na vetsine notebooku pomerne obstojne, spustite instalator a za pul hodky mate plne funkcni system i s (Libre)office. Jak pise predrecnik, 10% veci co v Linuxu nejdou delat jsou jednoduse prusvih. Kdyz treba nemuzete vytisknout nejaky formular, nebo vest ucetnictvi apod., tak je Linux sice hezky, ale do firmy nepouzitelny. Bohuzel to je dokonce vice nez 10% veci a Linux ma pro bezne uzivatele spoustu uplne zbytecnych nedostatku (proc treba nemaji xfce defaultne bindovanou Win klavesu? Takova blbost!) a celou radku systemovych nedodelku.
To pisu jako clovek, ktery Linux pouziva a v minulosti jsem i aktivne prispival do vyvoje.
zrg1
Pocitac, na kterem vedete ucetnictvi, nemá cenu nijak brutalne zabezpecovat. To uz spise zálohovat proti tuposti uzivatelu a moynemu defektu HW a ztrate dat. Pocitac, na kterem mate porno není třeba uz vůbec nijak zabezpecovat. Zabezpecovat ma smysl například pocitac, pokud ridi bezpecnostni čidla a kamerovy okruh a streamujete svůj barak/firmu na internet, abyste kdekoliv videli, jestli vas nahodou nevykradaji/nerozkradaji. Tzn musí to byt na siti, nebudou na tom surfovat dementni uzivatele a nesmí se do toho dostat nikdo nepovolany, od pubertaka s příručkou Skriptovani snadno a rychle az po naší slavnou BIS.
A jinak k povsechne urovni této dikuze… netušil jsem, kolik lidí bude mít potřebu se vyjadřovat k problematice zabezpečení PC, když o tom prakticky vůbec nic nevědí.
masiton
Děkujeme za profesionální a jediný správný pohled na to, která data kterých uživatelů stojí za to chránit.
zrg1
No jasně. V článku o ultimátnímu způsobu ochrany proti „státnímu šmírování“ mi nadhodíte, že nabádám lidi, aby své účetní výkazy váleli po ulici. Jasně. Tak si to sami vyjasněte. Co se stane, když mi finančák udělá razii a začne hloubkově zkoumat účetnictví a já v něm mám prasárny, které budou stačit k tomu, aby mě zavřeli do lochu.
Varianta 1 – běžně zabezpečené/ rozkódovatelné účetnictví — zavřou mě
Varianta 2 nadstandardně kryptované účetnictví —- varianta A rozkódují to a zavřou mě akorát to bude trvat déle a budou se vozit po mých podřízených a účetních a tahat je pořád dokola k výslechům a ve finále mi přišijou, že nespolupracuju.
—– Varianta B nerozkódují to, protože ještě včas zničím data a zametu veškeré stopy (utopie). V tom případě ale stejně přijdu o svou firmu, protože mě to finančně položí a pravděpodobně půjdu i sedět, protože zlomek nějakých dat stejně někde vykutají a na těch mě usmaží tak jako tak. Plus mi dají o to víc sežrat, že nespolupracuju.
Ale jinak v pohodě, hlavně, že si plně rozumíme…
mhi
Nevyjadroval jsem se k zabezpeceni, ale k pouziti Linuxu pro beznou desktopovou kancelarskou praci.
Zrovna ucetnictvi bych si docela zabezpecil, ale jak pisete, nerozumim tomu, tak proc se vlastne vyjadruju, ze.
zrg1
Vážený pane, radíte tedy široké laické veřejnosti, aby váš účetní systém jel na počítači, který bude mít nasazen TrueCrypt ? Ano nebo Ne ? Protože pokud Ano, tak doufám poradíte široké laické veřejnosti, co má následně dělat, při ztrátě hesla k TrueCryptu. Až ho sami zapomenou – nechtěně změní – nebo jim ho nějaký zaměstnanec změní schválně, protože mu šlápnou na kuří oko a on ručí 4,5 násobkem platu a ještě je pojištěný na blbost.
Když TrueCrypt je dávno ukončený opensource bez jakékoliv podpory a jeho instalace je plně na vlastní riziko.
Takovéhle samozvané IT experty a hrdiny na diskuzích opravdu miluji…..
Karkulka
A co má „veřejnost“ dělat když odejde disk? Nebo když ten zaměstnanec, co bude mít možnost změnit schválně heslo k truecryptu, ta data prostě smaže? Nebo…
… prostě ho vytáhne ze zálohy, nezávisle na tom zda kryptuje či nikoli. Jen idiot nezálohuje věci, jejichž absence by ho položila.
CNN
Tak jen aby ta záloha byla kryptovaná!!!:-)
Sprosty Podezrely
Malina je pro obycejneho BFU relativne komplikovana, uz jen proto, ze si do ni koupi akcni tesco pametovou kartu s vuni taveneho plastu. Ale od nekoho nainstalovany linux mint nekde na notasu, to by si jeden asi ani nevsiml zmeny.
CL
BFU, má na PC XPčka, v lepším případě Win 7 nebo 8, ale v nějaké Home Basic edici, takže doporučovat mu BitLocker je nesmysl a pokud někdo nedokáže klikat na ikonu „Mozila Firefox“ v Linuxu, když ve Windows mu to šlo, tak je stejný nesmysl používat TrueCrypt, protože pokud doteď mu byl někdo schopen ty data z mrtvého PC dostat, tak po opatření TrueCryptu heslem, které za týden BFU zapomene, je jistota že o ně přijde takřka 100%. Pokud to teda myslí někdo alespoň trošku vážně, pak určitý efektivní způsob najde třeba tady – http://dfens-cz.com/kryptografie-jednoduse-byt-nad-ramec-ovcana/ ,ale tenhle článek, ať už je to první díl (kde autorovi věřím tak třetinu toho co napsal), nebo druhý (což mu kdejaký průměrný „ajťák“ okamžitě vyvrátí) je prostě normální bulvární blábol, toť vše …
Zná autor LastPass? A jaký má na něj názor?
LastPass bylo koupeno LogMeIn Inc. a ještě se neví, jestli to je dobře, nebo ne. Byly i nějaké „úspěšné“ útoky, tuším, že otisky master hesel, tak půl roku zpět. Pro jistotu jsem přešel na 1Password, který je funkcemi podobný, ale je možné zašifrovaná hesla ukládat do libovolného úložiště (a tím se dosáhne snadné synchronizace).
Jj, poté co jsem to četl jsem nechal LastPass jen na ty tuny hesel do různých eshopů, fór, na licenční klíče sw, apod. Kritické věci jako platební karty, údaje bank.účtu mám jinak.
Pokud je na Vás „zájem“ nemusíte mít ani žádný počítač a přesto na něm najdou dětské porno. A naopak nikoho asi nepřekvapí, že Bin Ladin měl počítač bež šifry a všecky plány na ovládnutí světa měl ve složce na ploše. (A určitě před smrtí hladil svou angorskou kočku a zle se u toho pochechtával)
Proč se k problematice vyjadřují lidé, kteří o tom nic nevědí ?
Jen samé fámy, kydy a blbosti – jak Ada tak autor tohoto článku.
Například: „Level 1: Heslo – Vaše heslo do Windows je první linií obrany“
BLBOST !!!!!!!!!!!!!!!!!!
První linií obrany je už samozřejmě volba OS a nastavení routování na síti. Pokud chcete chránit data, určitě ne na OS Windows a pokud už na OS Windows, tak spíše na starých XP, kde si podle svého nejlepšího vědomí a svědomí uděláte snadno vlastní minimalistický build, např dle doporučení např. zde http://csrc.nist.gov/itsec/SP800-68r1.pdf
Určitě se vám snadněji podaří odinstalovat veškeré potencionálně nebezpečné a nepotřebné služby na XP, s aktualizací Windows na prvním místě, než na WIN 7, WIN 8 o WIN 10 ani nemluvím , to je škodlivý software sám o sobě a např. v Rusku je přímo zakázaný v korporátní sféře! Druhý krok je zabezpečit síťový traffic, ne přes WIN firewall, což je omalovánka pro děti, ale na routeru. Pravidelně si kontrolovat, která aplikace se kam připojuje a proč! Až na takto zabezpečeném systému má smysl instalovat vlastní zabezpečení, řešit heslo, bitlocker, kryptování a tak dále. Nikoliv na Windows 10, kde vám odečítají hesla přímo z klávesnice, odposlouchávají vás přes mikrofon, šmírují vás kamerou, indexují si soubory na vašem disku, dělají si přehled, kam jste šli na internetu, co jste tam dělali a pod jakými hesly provádíte online platby a jaké je číslo vašeho bankovního účtu. Na WIN 10, což je čistý šmírácký spyware, nemá smysl ani dodatečné šifrování, ani nic jiného… viz článek Analýza Windows 10: Ve svém principu jde o pouhý terminál na sběr informací o uživateli, jeho prstech, očích a hlasu!
http://aeronet.cz/news/analyza-windows-10-ve-svem-principu-jde-o-pouhy-terminal-na-sber-informaci-o-uzivateli-jeho-prstech-ocich-a-hlasu/
Autoru dávám tímto za 5. To co vám radí je stejné, jako pokus zabezpečit automobil tak, že ho necháte stát přes noc odemčený s klíčky v zapalování a staženými okénky na parkovišti před supermarketem, ale pomocí speciálního udělátka odpojíte blinkry, takže před jejich zapnutím budete muset pomocí ďábelské kombinace pěti kódů odblokovat dvě přídavné řídící jednotky týkající se jen funkce blinkrů. Pokud chcete mít opravdu citlivá a důležitá data mimo dosah šmíráků, první krok je mít je na adekvátně zabezpečeném serveru v zabezpečené místnosti, na adekvátně zabezpečené sítí a na těžce customizovaném OS, které si budete spravovat sami a mít ho plně pod kontrolou… Což znamená, že vám to sežere spoustu času a 90% běžných věcí vám nebude fungovat správně. Také se z takového počítače asi nebudete přihlašovat na Fejs, Google, Youtube, hrát onlinovky a platit svoje účty. Zbývá jen poslední otázka. Pro kterého uživatele z řad široké laické veřejnosti má takový počítač vlastně smysl a co na něm hodlají dělat, že jim to stojí za to úsilí. Ale to už není otázka technická, spíše praktická.
Děkujeme za vysvětlení, „adekvátně zabezpečený server v zabezpečené místnosti na adekvátně zabezpečené síti a na těžce customizovaném OS“, to je přesně to, co takový uživatel, který neví, co vůbec datová bezpečnost znamená, hledá. Ach jo, co bysme si bez těch Linuxáků asi počali. Jste jako vegetariáni, každýmu to cpete a nikoho to nezajímá. Lidi jako vy byli k smíchu už na střední, dělali jsme si z vás prdel, protože zatímco my, programátoři Windows aplikací, jsme už ve třeťáku vydělávali na auta a mobily, vy ste furt seděli u switche a kompilovali Gentoo pro váš vlastní procesor, což bylo děsně cool, akorát chleba se dá koupit za Gentoo zkompilovaný pro vlastní procesor a dvě pětky k tomu. Mimochodem aeronet je sračka, opravdoví profesionálové nečtou recenze operačních systémů na aeronetu, to vážně ne…
Linux ? Kde jsem zmínil Linux ? A WIN 10 nejsou sračka ? Smím se zeptat proč ? Nevadí Vám, že o tom, že WIN 10 jsou sračka píšou veškeré zahraniční portály ? Protože jediný, kdo si dal tu práci přeložit to pro českého matláka do češtiny, je Aeronet, tak to není pravda ? Mohu se Vás zeptat, proč vykřikujete hovadiny ? Když někdo nerozumí základní problematice raketového inženýrství, taky neradí technikovi, který to dělá 40 let, jak má provádět dynamickou kalibraci tahu raketového motoru na kapalná paliva ! Ale prostě kdokoliv, kdo má notebook a umí vypnout systém tlačítkem „START“ má pocit, že je IT génius, protože má systém, který se vypíná Startem, který jako první na světě zavedl serverový OS, u jehož vzdálené správy se defaultně předpokládá dotyková obrazovka (win8 server), protože jeho systém, který pod jeho rukama stahuje a posílá cokoliv, kamkoliv, sám se od sebe přepisuje, odpírá vlastnímu uživateli cokoliv měnit, mazat a provádět administrátorská nastavení a je už z fabriky plný spywaru a bonzáckých protokolů…. je prostě FREE COOL IN ??
Stačí jedna odpověď…
Spousta webů přišla zejména s tvrzením, že W10 odesílá spousty dat, nikdo pořádně neví co, ale spousta hlupáků o tom mluví jako o nějvětší konspiraci. Je pravdou, že v jedné zkušební verzi bylo odesílání i citlivějších informací (jako jsou např. stisky kláves) nicméně s tím se MS nijak netajil a tuto věc potvrdil, do ostrých verzí údajně ale tyto funkce jít neměli a NENÍ nijak potvrzen opak.
Tlačítko START bylo naposledy ve Vámi vyzdvižených WinXP, od té doby je tam tlačítko s logem windows a pokud by dle Vás byla největší závada desktopových OS Windows to, že se někdy vypínali přes tlačítko start, tak je to dokonalý systém a Vy jste akorát k smíchu. Nevím jak jste přišel že u W2008 srv se počítá pro vzdálenou správu s dotykovou obrazovkou, ale nejspíš si opět pletete pojmy a myslíte vzdálenou plochu a uzpůsobením pro dotykové obrazovky myslíte prostředí metro. Ano metro je na serveru hovadina, nicméně vzdálenou správu to má uplně stejnou jako předchozí W SRV. Navíc MS plánuje u nových verzí windows serveru rozvoj micro a nano buildů, které už vůbec GUI nebudou obsahovat, budou se víceméně ovládat pomocí powershellu.
Aeronet uvádí, že komunikace je šifrovaná a tak ji nelze přečíst. To se jiným podařilo, protože prostě podvrhli certifikát těch Microsoftích serverů, na který se data odesílala a tedy byli schopni data rozluštit. Veřejná beta desítek skutečně odesílala v podstatě úplně všechno, včetně ťuků klávesnice. Ostrá verze to samozřejmě nedělá, ale třeba u Windows Phone 10 přetrvává situace, že Kortana, která stále poslouchá mikrofon, je něco jako Internet Explorer. Můžete ho odinstalovat, ale fakticky se ho nezbavíte. Microsoft se vyjádřil v duchu, že Kortana skutečně zcela vypnout nejde, můžete ji v menu deaktivovat, ale to ji nevypne, jen na vás přestane reagovat, ale stále poslouchá…
Windows jako platforma bezpečná je, česká autorita nepůjde za Microsoftem s žádostí o spolupráci, protože a) u nich nikdo neví, o čem se s nima má vůbec bavit, nemaj na to specialisty a b) Microsoft jim vyhovět nemusí a taky to neudělá, alespoň co mám informace z české pobočky, protože k tomu je potřeba souhlas korporace a ta ho nikdy nevydá, protože česká vláda, narozdíl od té americké, nedosáhne na vedení, ani na jejich účty, čili znovu, pro českého pepíka a jeho firmu a citlivá data je to bezpečné. Pokud plánujete terorismus a nukleární hrozby v metropolích, pak je pro vás situace jiná a šifrování dat asi nebude váš nejpalčivější problém, když vás někdo chytí s plechovkou uranu na hraničním přechodu.
V příspěvku níže posílám odkaz na takový malý rozbor paketů ostré verze. Co se ale skutečně odesílá není odnikud (zejména od MS) potvrzeno – neustále se jen ubezpečuje, že nejde o citlivá data. V tom samém příspěvku píšu zároveň to, že i když jsou nejspíš skutečně v OS windows zadní vrátka, tak jejich využití je omezeno na jen na některé instituce se kterými se běžný čech zřejmě nesetká. Ale znovu upozorňuji smysl článku nebylo jak se chránit proti napadení po síti, ale jak se bránit proti fyzickému napadení. Proti napadení po síti Vám nepomůže sebelepší šifrování HDD, naopak fyzickému napadení Vám nepomůže sebevíc síťově zabezpečený systém.
Já bych si to dovolil celé posunout zpět k původnímu tématu. Jelikož tento článeček navazoval na díl 1 , který se směle honosil bombastickým nadpisem „Jak ochránit vaše data 1. část: Státní fízlování a legislativa“, tak jsem měl za to, že to píše nějaký člověk z branže, expert, ale omyl. Kryptovaný disk možná opravdu představuje pro české policajty problém, protože jsem zažil spoustu firemních notebooků, které policie nejprve zabaví s tím, že na nich někdo stahoval dětské porno, anebo že musí dělat audit kvůli finančním podvodům a pak škemrají o heslo do biosu a do bitlockeru, protože ho neumějí překonat. Pak se cca rok nic neděje, protože na zabaveném odblokovaném notebooku nějaká policejní ratolest doma paří gamesky… Takže to není o tom, jestli to umí, anebo neumí prolomit, ale jestli se jim chce a jak moc na to chvátají. Ovšem podle nadpisu mělo jít spíše o to, že máte nějaká supertajná data a nikdo kromě vás se k nim nikdy za živého boha nedostane. Pokud lidi co tu píšou svoje „návody“ čerpají z nějakých článků, fajn, ale pokud se tomu budou věnovat pár let, tak zjistí, že žádná metoda není samospásná a že mezi námi žijí lidé, kteří „hackují software“ asi tak rychle, jako slepice v drůbežárnách snášejí vejce. Já takového jednoho týpka znám a třeba nabourat cokoliv běžného, co neprogramoval profík podobného kalibru, mu trvá cca 5 minut, jen zběžnou diagnostikou a odposloucháváním paketů. Hesla do mejlu, Skypu, k webovým stránkám a tyhle věci. Čímž chci naznačit, že takový člověk se vám může v počítači vrtat klidně roky, aniž by jste o tom měli sebemenší tušení. A to je hodně zlé. Pokud jde o borce v USA, kteří mají klíče ke všem udělátkám, tak buďte naprosto bez obav, že vás šmírují už teď, preventivně. Je veřejným tajemstvím, že USA monitorují ze svých satelitů veškerou evropskou komunikaci a v reálném čase ji ukládají pro budoucí použití-zneužití A pokud vám to nepřipadá důležité, že si ukládají kolik berete, za co utrácíte, komu voláte, co říkáte, co píšete, kudy se pohybujete a od win 10 také na průmyslové bázi zcela bezostyšně shromažďují úplně všecko, co děláte na PC, tak mi to opravdu jedno není. Podle mě jsou všechny tyto informace těžce zneužitelné. A je celkem buřt, jestli to dělají se zlým úmyslem vás do něčeho namočit, anebo „jen“ chtějí na vás zacílit co nejjefektivnější a nejúčinější reklamu a donutit vás koupit si nějaký americký spotřební šunt, který byste si jinak určitě sami nekoupili…. Takže příště prosím k dané problematice méně bombasticky a odpovědněji….
No zrovna Vy máte autorovi co vyčítat…
Jen tak namátkou – máte představu o tom, jak funguje internet? Jaká je šířka pásma všech amerických družic v porovnání s šířkou pásma na využívaných optických kabelech? Ke Skype lze mít spoustu výhrad, ale není to napsané zase tak blbě, abyste se pouhým odposlechem packetů dostal k heslu. Na webu se čím dál tím víc prosazuje https, bezpečné varianty protokolů POP3 a IMAP4 jsou také používané docela dost. atd. atd.
Vím o tom dost natolik, že pokud nekomunikuji po síti tlustým klientem, který si sám odladím, nastavím a zakryptuju nějakou méně běžnou metodou, kterou navíc budu neustále měnit, tak nikdy nemám jistotu, že to někdo na druhé straně v reálném čase nerozlouskne přes nějakou neznámou dírou v obecně používaném protokolu a že jich tam je. Přes web browser proto nebude komunikace bezpečná nikdy. Co se týče kapacity odposlouchávací infrastruktury USA, tak o tom fakt nevím vůbec nic, je třeba se zeptat Snowdena a také americké vlády, proč zaměstnávají v agenturách jako NSA řádově sto tisíc lidí, kteří nedělají celý boží den nic jiného, než že šmírují a šmírují a šmírují pro US vládu. Vaše argumenty o optice a její násobné kapacitě proti satelitům neobstojí, co jde po kabelu, to se do USA přenese také po kabelu. A co se týče limitů konečné přenosové kapacity, tak je vidět, že to borci v USA intenzívně řeší, protože win 10 nejsou tak blbé, aby hned bezhlavě posílala veškerá data, která přes vás počítač protečou. Ale posílají dost na to, aby se z toho dala chytit vaše hesla (pár kB dat z klávesnice), aby si navzorkovali váš hlas a rozpoznali vás kdekoliv, kde promluvíte v blízkosti repráků (třeba na letišti), aby odeslali vaše otisky, pokud používáte čtečku, aby si naskenovali oční rohovku, pokud máte webkameru. Nemusí odesílat ke kontrole celý film, který si stahujete z Warezu, stačí, když si ho rozpoznají na disku podle názvu souboru a vzorku dat a už jste v té správné kolonce. Proč by v tomto případě posílali GB dat, stačí pár bitů. Nejsmutnější na tom je, že váš vlastní PC a jeho výpočetní a disková kapacita slouží k tomu, aby to šmíráci na druhé straně dostali už zpracované na stříbrném podnose a s mašličkou a osekané od nezajímavého elektronického balastu. A úplně to samé se dle mého názoru děje i na veškeré přenosové soustavě, komprimace dat 1:1 000 0000 0000 ještě pořád podle mého odhadu zaručí zachytitelnost 99,999999% dat, o které jim jde. Zeptejte se Snowdena, jak to dělají, mě tohle nezajímá. Mě spíše zajímá metoda, jak s nima vy*ebat, což je samo o sobě dost vysilující disciplína.
Komunikace přes web browser bezpečná být může – pokud se používá SSL/TLS a browser či server nemají díry, umožňující útok postranními kanály.
Pokud jde o méně běžné metody a jejich neustálou změnu, tak se obávám, že to bezpečnost v praxi spíše sníží. Méně je někdy více a tyhle snahy o vylepšení do řešení spíš jen vnesou problematické a napadnutelné prvky.
Existenci neznámých děr např. v AES 256 samozřejmě nelze zcela vyloučit, ale tuto hrozbu považuju za zanedbatelnou. I díru v konkrétní implementaci považuju za méně pravděpodobnou než to, že se podobná díra objeví v „méně obvyklých metodách“ nebo že něco zvořu či přehlédnu při pokusu o vylepšení standardních řešení.
Já nepopírám, že NSA šmíruje, navážel jsem se do té představy o všemocných satelitech. Vlastního obsahu IMHO zachycují relativně málo a kdo chce, tak si data pošle tak, aby se k nim nedostali. Jenže při jejich kapacitách toho dost vytahají i z metadat a statistických analys provozu. A mimochodem, určitě tam existují výjimky, ale ani NSA bych nepodezíral primárně ze snahy o nějaké ovládnutí světa apod. Je to vládní agentura a řekl bych že hlavní motiv bude snaha krýt si pozadí a udržet práci – tj. hlavně aby nějaký ručníkář něco nespáchal a NSA nebylo předhazováno, že to či ono měla vědět apod. Občanská práva, soukromí apod. jsou pro tyhle lidi jen necessary collateral damage, nikoli ale hlavní cíl.
To samozřejmě nic nemění na tom, že tohle šmírování je svinstvo, protože když nic jiného, tak buduje snadno zneužitelné nástroje a soubory informací. Něco jako meziválečné centrální registry obyvatelstva, které také nebyly budovány primárně se zlými úmysly a u kterých v zásadě o nic nešlo, dokud nepřišli náckové.
Stran šmírování ve Win 10 – nehledal bych v tom spiknutí americké vlády, ale snahu Microsoftu o udržení posice, zákazníků a zároveň dobrých vztahů s držiteli copyrightů, zadaveteli reklamy apod. A Microsoft v tom není sám – Apple má Siri, Amazon Alexu, Google speech recognition…
V oblasti IT bezpečnosti mohu říct jen tolik, že nejčernější noční můry jsou jen slabý odvar skutečné reality. Podle mého subjektivního názoru je na vině fakt, že nikde jinde není šance ukrást tolik peněz a citlivých informací tak rychle a tak snadno. A kde je příležitost, tam jsou zdroje. Tisíce talentovaných ruských, indických , čínských atd. hackerů jen obcházejí a hledají příležitost, místo aby se doma doživotně hrabali v hnoji a nikdo nemůže být dostatečně paranoidní, aby si mohl říct, že jeho systém zabezpečení je nepřekonatelný. A to nemluvím o USA, kde je nezákonná manipulace s cizími daty povýšena na průmyslové odvětví. Je to strašlivý korporátní problém, například když máte ve firmě 5000 zaměstnanců a z toho 100 operátorů na interním IT helpdesku, kteří z principu musí mít úplně ta nejvyšší práva, včetně možnosti administrovat osobní počítač CEO, kde jsou dokumenty v ceně miliónů dolarů a vy máte jako bezpečnostní technik uhlídat tu stovku lopat, kteří berou dvacku hrubého měsíčně a ani netuší, že mají v ruce nástroj, který může pár kliky způsobit firmě milionové škody. Jak si můžete být jisti, že jeden z nich třeba není z oboru a nedělá za vašimi zády nějakou prasárnu aže místo, aby CEO opravil problém s připojením mu tam nenahrává virus. Přes veškerou snahu na to v 99% nepřijdete a pokud jo, tak po letech a zpravidla úplnou náhodou. Čím více jste nuceni mít systém „normální“ a „standardní“ a „vyhovující potřebám běžného uživatele“ a čím více lidí vám v systému prasí, tím více jste v loji. Takže se omezíte na pár základních praktik a pak jenom doufáte, že to projde a za vaši kariéru vás nepotká žádná katastrofa, protože všichni ostatní to dělají stejně, jako vy.
To mi pripomina ten vtip…Prodam obsah celeho internetu na 3424543254312DVD, bez porna na jednom.
Ovsem kdyz si predstavim, jak nekde nekdo zalohuje VSE, co tece (I kdyby jen v Evrope) po netu….uprimne receno bych chtel videt technicke vybaveni, ktere je k tomu pouzite :-D
Viz muj komentar o borcich, kteri si poridi system, ktery se vypina tlacitkem START a nasledne pousteji moudra do eteru. Ano, je mozne kopirovat a ukladat veskery obsah co protece na internetu real time. Nemusim napriklad prenaset kopie milionu stejnych souboru, abych vedel, ze jsou ty same. Ze si lidi po webu milionkrat stahnou WOWko, ktere ma na disku cca 30GB neznamena, ze smiraci v USA musi prenest 3×10^16 B dat, což je just FYI 30 000 TB. Stačí jim pár kilo případných rozdílových souborů a jedna 30GB kopie. Takhle to mají i velké firmy, které používají VMWare. Ale český Lojza prostě ví, že to nejde. Děkuji, přesně tuhle informaci jsem potřeboval vědět….
Na rozdíl od vás ale Lojzovi alespoň nechybí selský rozum.
selský rozum je fajn, pokud jde o hnůj a obilí, ale v oblasti IT jaksi nemá co nabídnout.
Pokud je ale komunikace šifrovaná, nevíte, co v ní je. Stejné soubory nebudou v rámci jednoho požadavku stejné (z pohledu zašifrovaných dat). Skutečně byste tedy musel ukládat naprosto všechno a čekat na dobu, kdy bude možné data dešifrovat (šifrování je stejně nakonec vždy o boji s časem).
to je pravda. Ovšem při ceně $2,5 za uložení 1TB dat (běžná komerční cena) si v USA nepochybně mohou dovolit ten luxus preventivně nahrávat a ukádat veškerý internetový traffic, který roztřídí první síto oddělující totálně nezajímavý trash od potencionálně důležitých přenosů a pak to dál čistit a mazat jemnějšími a jemnějšími síty. A pokud je něco fakt brutálně zakódované, tak to prostě nechají ležet někde na disku a případný klíč k rozkódování mohou řešit klidně až po letech, když se o tu osobu začnou opravdu zajímat.
Netvrdím, že přesně takhle to dělají, ale nějak podobně bych k tomu problému přistupoval já.
Pro nás, kteří jsme takříkajíc na druhé straně barikády je blbá zpráva v tom, že si nikdy nemůžeme být jisti, co všechno na nás mají. Ale bude toho fakt hodně.
Jako ve všech situacích, kdy má nepřítel brutální převahu, je nutno zahájit maskování. Čili pokud už někdo má taková data, která by ho mohla stát svobodu/firmu/atd., tak na venek by měl vypadat co nejobyčejněji (ne „nic na mě nemáte“, ale „nic na mě není zajímavého a pokud ano, tak je to snadno vysvětlitelné“).
Že se taková skladovat taková data a operace musí dělat mimo síť je asi jasné, i když problematická. Dobře šifrované spojení bude asi nápadné samo o sobě.
Jakmile po někom vyrazí síla odpovídající výkonným složkám velmoci, má velmi malou šanci, že unikne. A pokud na něj něco nenajdou, tak si to prostě vykonstruhují.
Svého času (začátek devadesátek) jsem pravidelně jezdíval do Jihlavy busem v tehdejším outloooku „somrák-pankáč“ a v odrbané somračce jsem míval obvykle za půl mega v šilinkách, márách nebo korunách. Nenápadnost funguje univerzálně, nikdy jsem neměl sebemenší problém, byť se v maloměstě vědělo, co a kde dělám.
Dobře šifrované je každé OpenVPN nebo HTTPS spojení (používáte-li rozumné verze protokolů a velikosti klíčů, ale to je standard). Spíše než šifrováni samotné jsou háčky v chybách jednotlivých síťových programů, většině se ale dá vyhnout zdravou obezřetností.
Bez hlubokých technických znalostí bych volil strategii poučit se ze zmedializovaných honů na ty nejlákavější cíle, jako operátor Silkroad či různí pedofilové – zopakovat to, díky čemu dlouho unikali (Tor, Tails atd.), a vyhnout se chybám, kvůli kterým je chytili. Vůbec nejtěžší pro ty, kteří se vyhnou těm opravdu amatérským chybám, je v oné obezřetnosti (v hantýrce „opsec“) po čase nepolevit.
No, tak si to znovu po sobě přečti ve světle ani ne týden staré aféry PANAMA PAPERS, kdy neznámý „dobroděj“ nashromáždil 2,6 TB super citlivých dat z ¨databáze Mossack Fonseca a poté je v pravý čas zveřejnil „bez nároku na odměnu“, jen tak, z dobré vůle, protože proti kriminalitě je třeba bojovat (ha ha). A teď si znovu přečti to, co tvrdím o tajných službách z USA já a jaká dávám doporučení a zamysli se, komu PANAMA PAPERS pomohly a koho tím primárně vydírají zrovna před referendem GB o opuštění EU. Někdo z nás dvou je tu TĚŽCE naivní.
nojo psali to na aeronetu tak to bude pravda ….. raděj si přečtěte opravdu odborný článek http://www.root.cz/clanky/windows-10-analyza-probihajici-komunikace/
Jak zvýší zabezpečení počítače nastavení routování v síti? – jakože budu neustále sniffovat provoz na síťové kartě a podezřelý traffic směrovat někam do „dev/null“? Buď jste zmínil naprosto nevhodnou metodu ochrany, nebo jste si spletl „nastavit routování“ s „nastavit router“ oboje znamená uplně něco jiného. -Ať už je to tak nebo onak, každopádně dokazujete, že problematice nerozumíte spíše sám. Navíc jste ani nepochopil o čem autor píše – tedy ne o napadení síťovém, ale o fyzickém. Svou síť (ať už domácí nebo firemní) totiž můžete mít zabezpečenou HW firewallem s různými detekcemi + dalšími analyzátory datového toku, ale to vše je Vám uplně k ničemu, když odpojíte notebook a jedete s ním někam, kde jste v souvislosti s legislativou nucen notebook (či jiné zařízení) předkládat ke kontrole.
Pokud se vrátím k Vašim blábolům o bezpečnosti windows, které jak jsem již napsal jsou poněkud mimo od tématu článku na který reagujete, tak používat zastaralý OS WXP nebo buildy založené na něm je opravdu nevhodné i pro paranoika. Ono celkově za ten Váš výplod by se nemusel stydět kdejaký konspirační teoretik. Sice je pravdou, že operační systémy obsahují zadní vrátka a čím jsou novější, tím jsou vrátka větší ovšem k těmto zadním vrátkům se nedostane jen tak někdo a určitě ne kdejaký celník při běžné prohlídce. Naopak pokud už se Váš počítač dostane do rukou opravdových odborníků s patřičným vybavením, tak je uplně jedno jaký OS na tom zařízení máte – k Vašim datům se snadno dostanou. Například k datům při použití Vámi zmíněným buildů WXP se dostane kdokoli mající šroubovák a jiný počítač se stejným rozhraním (přičemž mnohdy není třeba ani ten šroubovák, ani jiný pc). Jediná možnost fyzické ochrany je tedy šifrování a momentálně neexistuje lepší šifrovací nástroj nežli v článku zmíněný TrueCrypt. Závěr Vašeho příspěvku pak snad ani nemá cenu komentovat, přirovnání k automobilu je mimo uplně z důvodů uvedných výše, hodnocení je zavádějící – protože jste smysl článku nepochopil a Vaše úvaha nad zabezpečením dat je sice kreativní a možná i zčásti funkční, ale pro většinu lidí je takové řešení nepředstavitelné, navíc naprosto neefektivní a nevhodné – věc lze řešit pro většinu potřeb běžných uživatelů daleko jednodušeji (v případě neběžných uživatlů jenom jednodušeji).
Tak tohle je nesmysl.
Ano, sice by asi šlo z XP odinstalovat všechny potenciálně nebezpečné věci a vznikl by sice bezpečný systém, ale nedalo by se na něm nic dělat, protože ty potenciálně nebezpečné věci jsou zároveň potřeba pro normální činnost uživatele.
A používat nepodporovaný systém s veřejně známými a neopravenými bezpečnostními dírami, který nabourá každý rádoby-hacker s programem staženým z webu, skutečně není optimální volba z pohledu bezpečnosti.
Překopat celý systém je taky nesmysl, respektive to ani pokročilý uživatel nedokáže udělat tak, aby vyřešil bezpečnostní problémy a zároveň nevyrobil nové.
O čem píše zrg1 je dost upravený systém postavený na jádru WXP, lze na tom normálně pracovat a teoreticky v těchto případech nejsou běžné bezpečnostní updaty potřeba. Problém je s kompatibilitou u nového HW a i u nového SW a částečně také s tím, že spousta těchto buildů je postavena na 32bitech. Nicméně znovu podotýkám, že se bavíme o SW bezpečnosti, je uplně jedno v jakém OS mám uložená data, když nejsou zašifrovaná a fyzicky se k nim každý dostane. Článek pojednává o tom, jak si zabezpečit zařízení před fyzickou kontrolou.
Ono to stejně nebude tak jednoduché. I kdyby někdo ořezal ixpéčka až na kost, tak si třeba bude myslet, že dosáhl úrovně C2 (což je tak maximum, kolik se dá z takto koncipovaného systému vyrazit), ale stejně mu bude chybět verifikace těchto vlastností. Aby dosáhl na nějakou vyšší úroveň zabezpečení, která je úplně k ničemu bez dostatečného ověření, že to tak opravdu je, tak musí systém od počátku budovat jako bezpečný a každý krok návrhu formálně verifikovat. A to windows nejsou (a linux taky ne).
naprostý souhlas.
Pekny clanek, ja bych k tomu dodal jen tolik, ze by kazdy, i ten nejnepodstatnejsi minion mel pouzivat alespon stupen 3 – sam to tak delam uz leta – nejdriv truecrypt, ted uz jen bitlocker s dvojim overenim (TPM a alfanumericky pin – ten je jen potreba povolit v group policy). Uz jsem to zazil dvakrat – ten nahovno pocit z ukradeneho notebooku se prijemne otupi vedomim, ze k mejm datum se nikdo nedostane a ja je mam doma vsechny pekne zalohovane.
A technicka poznamka – TPM chip se nezucastni procesu kryptovani, pouze provadi (zjednodusene) overovani a kontrolu integrity. To co ma ve skutecnosti vliv na vykon de/kryptovani je pritomnost AES/NI instrukci primo v procesoru (zpravidla jen u Core i5 a i7)
Ještě doplním k těm hrátkám s podchlazováním RAM. Jde o techniku k prodloužení retence dat u vypnutého počítače: Vy sedíte u počítače, máte připojený svazek TrueCrypt. V tom policie vyrazí dveře. Vy stihnete akorát vykopnout šňůru ze zásuvky. Když v ten okamžik přiskočí technik s chladícím sprejem, počítač prudce ochladí, vyjme paměti, a vloží je do čtečky, podaří se mu rekonstruovat značnou část TrueCrypt klíče, a svazek nejspíš přečíst.
Jako obranu proti tomu vyvinuli někteří výrobci SSD disky s červeným tlačítkem. Pokud ho stisknete, z SSD disku se vznese hustý dým, a zaručeně z něj již nikdo nic nepřečte, i kdyby měl dešifrovací klíč v ruce. Navíc předejtede riziku mučení za účelem vydání hesla.
Kdyz byly memu diteti 4 roky, tak mne zamknulo v moji pracovne. Zadny omyl, nebo nahoda. Proste nikdo netusil, ze chape smysl klice ve dverich. Do te doby nic neodemykalo, ani nezamykalo, nicmene zrejme nekde videlo. Ja jsem rekl, ze chci mit klid na praci, ze ho vyhodim a ja se zamknu. Na to jsem slysel cvaknuti dveri a dvoji otoceni klice…
Nastesti jsem paranoidni a vsechny klice vnitrnich dveri v dome maji na spici vypilovany slic pro sroubovak. Nicmene, clovek nesmi zapomenout myslet na to, ze treba ditko muze zaujmout barevny cudlicek na SSD a podobne…
V některých případech ani nemusí podchlazovat RAMky.
Pokud je Váš počítač vybaven například rozhraním Thunderbolt nebo FireWire, vybaveným fíčurou zvanou DMA (Direct Memory Access), lze nejen přečíst obsah paměti RAM a dostat se ke klíčům, ale lze dokonce do paměti vložit vlastní kód. Doporučuji nagooglit výraz „DMA Attack“.
Do určité míry lze takovému útoku zamezit např. aktivací technologie VT-d, případně jiné IOMMU, pokud jí Vaše počitadlo disponuje.
Další alternativou je komerční obdoba TrueCryptu zvaná BestCrypt, která umožňuje pro Volume Encryption navolit klávesovou zkratku Alarm Crash HotKey, po jejímž stisku program přepíše klíč v RAM náhodnými znaky a poté přivede jádro Widlí ke kolapsu a vynutí tak restart. Takové opatření samozřejmě vyžaduje přítomnost operátora u stroje v okamžiku vykopnutí dveří.
K obsahu článku: Článek se mi líbil, snad jen několik postřehů; Level 1 – heslo do Windows nejsou dveře, ale takový plot, resp. spíš plůtek; Pokud je heslo do Windows jedinou ochranou, pak si orgán o heslo říkat ani nebude. Pro heslo v BIOSu platí totéž.
Pokud pan esembé hrozí vazbou, 100 lety vězení nebo například tím, že pokud mu nesdělíte heslo tak přijdete do pekla, doporučuji odpovědět, že jste slušně vychovaný a tudíž se s policajty nebavíte. Jednoduchou analýzou takové hypotetické situace pak snadno dojdeme k závěru, že pokud má na Vás útočník takovou páku, že mu sdělíte heslo, má na Vás páku i k tomu aby jste podepsali přiznání k čarodějnictví.
Zatím naštěstí nejsme v Anglii, a tudíž legální způsob, jakým by z Vás OČTŘ dostaly heslo neexistuje, existují pouze způsoby, jak Vás přesvědčit, aby jste ho vydali sami nebo využít Vaší neopatrnosti při zacházení s heslem nebo social engineeringu pokud si zvolíte heslo dostatečně slabé.
V případě vykopávání dveří státními autoritami také následně zpravidla dochází k domovní prohlídce, při které jsou rutinně zabavovány veškeré datové nosiče a zařízení vybavená pamětí, včetně mobilních telefonů všech osob, fotoaparátů apod. a tyto nosiče a zařízení jsou posléze podrobena extrakci dat a analýze – asi tolik k uchovávání klíče na nezapezpečené paměťové kartě; Nicméně a letišti to asi projde, ale tam asi projde ledascos.
Rozhodně je nutné si také uvědomit rizika pramenící z falešného pocitu bezpečí.
DATOVÁ A KOMUNIKAČNÍ BEZPEČNOST NENÍ SOFTWARE ANI ZAŘÍZENÍ, DATOVÁ A KOMUNIKAČNÍ BEZPEČNOST JE ZPŮSOB UVAŽOVÁNÍ.
Dobrý den,
Zaujalo mě „…přivede jádro Widlí ke kolapsu a vynutí tak restart…“. Nevíte o tom něco víc, jak se to prakticky provede ? Žiju v tom, že kolaps se dá zařídit především zápisem do oblasti RAM, kde má jádro svá data, ale pokud vím, tak si tam sáhnout jen tak nenechá (jde to vůbec u Win7 a vyšších ?).
Pokud by se restart přihodil posláním příkazu (linux: „halt“), tak sice se to provede „ihned“, ale všechny aplikace i jádro se korektně ukončí (zapíší na disk).
Vlastně kromě tlačítka „reset“, které ale třeba na notebocích už není, mě ani nenapadá možnost jak ihned shodit OS
Dobrý den, nejedná se o korektní restart, z pohledu uživatele po stisku Alarm Crash HotKey dojde po několika sekundách k BSOD.
Osobně mám s BestCryptem zkušenost pouze na Windows (Vista, 7, 8, a 10). Nerad bych se pouštěl do spekulací, jakým způsobem konkrétně BestCrypt shazuje Windows, ale je možné že právě přepisem částí paměti, do kterých si Windows běžně „nenechá sáhnout“. Napovídal by tomu fakt, že tato klávesová zkratka funguje na všech výše zmíněných OS i při zamčeném počítači, při odhlášeném uživateli, a dokonce i kdykoli v průběhu bootu nebo vypínání.
OS X už nějakou dobu DMA vypíná, pokud není uživatel zalogovaný, počítač je zamknutý apod. Takže útok uživateli podstrčeným zařízením za určitých okolností možný je, ale pokud vytrhnu šňůru, nebo jen zaklapnu víko na laptopu, orgáni se mohou jít klouzat. Mám dojem, že něco podobného mají i Windows snad od verse 7.
Jinak ten princip „nouzového“ hesla je sice pěkný, ale v praxi je jeho účinnost sporná a zdá se, že dostatečně tvrdý útočník dokáže z uživatele vymlátit heslo správné. (pro trochu low-tech versi vizte https://de.wikipedia.org/wiki/Englandspiel byť tam samozřejmě roli sehrálo víc faktorů)
S low-tech souhlasím, ulimate limitem jakéhokoliv řízení přístupu (lhostejno zda šifrování, nebo zamčeného protiatomového krytu) je možnost vymlátit z oprávněné osoby klíč.
https://imgs.xkcd.com/comics/security.png
Ono se tam ale píše, že na nezabezpečené kartě v mobilu můžete nosit ten svazek, ne to heslo.
Pro sirotčí jistotu můžete mít v mašince na červené tlačítko nachystaný pytlík s termitem.
Znělo mi to směšně, dokud mi jeden známý neprozradil, že jeden německý výrobce jistého specializovaného vybavení to tak dělá již drahně let.
Pokud chcete dobré heslo na zapamatování, můžete použít třeba „ahoj“ nebo „1234“.
Stačí generátor MD5 a máte z tohoto jednoduchého textu řetězec který je proti brutal force či slovníkovému útoku neprolomitelný…a pokud není jiná skupina v systému.
To určitě ne :-) Útočník nebude zkoušet metodou brute force všech 2^128 kombinací pro výsledný hash, ale pouze (v popsaném případě) hashe všech alfanumerických hesel. U nejvýše čtyřmístného alfanumerického hesla se s jistotou trefí za méně než dva milióny pokusů. MD5 se u hesel používá jen pro vygenerování binárního klíče, popřípadě v iteraci pro zvýšení výpočetní složitosti a tím k principiálnímu zpomalení brute force útoků.
Q:
Dnešní SSD disky fungujou tak, že defaultně všechny data šifrujou AES a klíč je zaheslovanej přes ATA password, který je z výroby nenastavený. Kryptoprocesor je součástí dneska asi každýho SSD řadiče, funguje to pro systém úplně transparentně.
Stačí heslo povolit v Setupu a šifrovanej disk je na světě.
Jak moc je to bezpečný? V domácích podmínkách sem si vyzkoušel jen to, že při vygenerování novýho klíče utilitou od výrobce disku „zmizej“ data a ani Recuva nic nenajde. Víc nemám jak vyzkoušet :(
Nevim co bych musel bejt za idiota abych měl data, který nechci aby někdo našel na HDD nějakýho svýho počítače, nebo abych je tahal po světě. Všechny compy jak doma nebo ve firmě žádný heslo nemaj.
On je rozdil, kdyz treba nekdo prodava rohliky a nebo vojensky material. Myslite, ze treba obchodnik nejake zbrojovky je idiot?
Tak na to maj nějakou corporate policy, ne? Takže to dělá tak jak se mu řekne. Asi těžko jezdí s noťasem po světě s plánama na vodíkovou pumu.
Ale vubec nejde o nejake plany produktu. Staci treba i jen obchodni korespondence. Je beznym zvykem, ze se diky odposlechum a virum kradou zakazky. Dalsi vec je, ze konkretne v tomto businessu se mota fura malych firmicek, eventualne i samostatni jedinci. Bude si snad obchodnik-zivnostnik delat corporate policy? Proc? Proste jen ma nejak vychytany zpusob, co a jak na ntb vozi. Nemusi kvuli tomu byt idiot.
Jako maily? Tak buď jsou už šifrovaný a když ne, tak je to stejně jedno, ne (protože kde je jistota, že ten na druhý straně je má zabezpečený)?
No a já za vychytanej způsob považuju nic tam nemít. Ale každýho věc jak si to zařídí.
Ne e-maily. Ruzne korespondence v PDF, DOC a jinych beznych formatech, ktere si kdekdo uklada. Kalkulace a rozpocty v nejakych spreadsheetech atd., atp. Co kde kdo komu napsal e-mailem, to je u techto lidi davno odposlouchavano a mene, ci vice uspesne dekodovano.
Nemit na ntb nic ma asi tak stejny smysl pro obchodnika, jako tahat s sebou velky diar, ve kterem neni ani slovo. To se urcite vyplati.
Zaujalo mne, ze napriklad v Cesku je mozne si velmi snadno zjistit podpis nejakeho statutara proste tak, ze na justice.cz se podivam u dane firmy do papiru, ktere dala na soud. Je tam vsechno, vcetne bydliste, rodnych cisel, podpisu, parada. Ptal jsem se na Uradu pro ochranu osobnich udaju a bylo mi sdeleno, ze je to ok. Po teto zkusenosti je lepsi bud na soud nic nedavat (coz je v rozporu s bla bla bla…) a nebo tam proste psat picoviny ohledne osobnich dat a misto podpisu treba dva ctverecky. Takhle funguje bezpecnost na statni urovni.
Pokud někdo prodává vojenský materiál a komunikuje tak, že je to možno odposlouchávat a dekódovat, asi by měl změnit obor. Pro komunikaci v rámci jedné firmy/mailového serveru stačí naprosto v pohodě používat SSL varianty běžných mailových protokolů a odposlech i dekódování jsou krajně netriviální až nemožnou záležitostí. Citlivou komunikaci mimo firmu je pak možno snadno* šifrovat end-to-end.
Samozřejmě pokud informace po bezpečném předání vykecá protistrana, ať už úmyslně, nebo tak, že to nahraje na nezabezpečený thumbdrive, který pak zapomene v baru či bordelu, nedá se dělat nic.
Pokud jde o ty osobní údaje, tak souhlas – taky nechápu, proč je vše takhle plošně vystavené včetně nich. Jen s tím podpisem to asi není zase až tak hrozné. On se sice zfalšuje snáz, než nějaký digitální werk, ale často/většinou se dá padělek následně odhalit, což u digitálních technologií moc nehrozí.
___
* Bylo by to ještě snadnější, kdyby se nějaký blbec u Apple obtěžoval s lepší dokumentací toho, jak přesně systémový keychain pracuje s certifikáty.
Bavíme se o datech, které nikdo nemá najít na našem HW. Nejbezpečnější a jediný způsob (v dnešním zpraseném světě „národní bezpečnosti“ a bojům proti „ismům a íliím“) je nemít je tam.
Když budu chtít aby nikdo nezjistil kdy a kde mám s kým schůzku tak si to rozhodně nezapíšu do svýho diáře nebo kalendáře telefonu.
a k čemu takové zařízení na kterém nebudu mít svá data tedy je?
To je jak u blbejch, bavíme se o datech, které když někdo najde na Vašem compu mohou být důvodem k narušení Vaší integrity (ať už fyzické nebo psychické), jestli máte za to, že Vám stačí je zašifrovat a nikdo je nezíská, tak si to tak dělejte. Jen říkám, že dnes existují takové nástroje a způsoby včetně legislativních, které přes veškerou Vaší snahu a erudovanost získání dat nezabrání (nebo i zabrání, ale bude Vám to k hovnu, protože půjdete sedět tak jako tak), takže je blbost je tam uchovávat.
Většina lidí si kupuje notebook, aby na něm pracovali s daty, pokud data na zařízení nemají – tak je jim takové zařízení k ničemu. K narušení integrity osoby ve smyslu jakém se o ni bavíte stačí sakra málo – mnohdy například fotky z dovolené/služební cesty apod – tedy data zdánlivě bezvýznamná. Samozřejmě, pokud vlastním výkresovou dokumentaci v hodnotě milionů, tak je nebudu tahat letadlem v nezabezpečeném notebooku. Každopádně téma bezpečnosti je hodně obsáhlé a rozhodně jej nestačí shrnout slovy, že abych data uchránil, tak je nesmím mít – to zkrátka není řešení.
Takove zarizeni je treba k tomu, abyste tam mel data, ktera nejsou tak fatalni. Navic je to vejicka, ktera ukoji pripadneho cmuchala. Horsi je, pokud mate jen ruce v kapsach a oni vedi, ze maji hledat. Tak muzete nekde na celnici take treba stravit i hezky den.
Jinak – myslite, ze bez hromady elektroniky neni mozne cestovat? Umim si docela i predstavit ze nekdo, kdo jede domlouvat velkej xeft nekam ven, tak proste pojede s par picovinama, ale v prvnim krame v dane zemi koupi nejaky ojety ntb, pripoji se nekde na Internet pres lokalni koupenou datovou kartu a pak pres par proxy si pro data sahne domu. Az se bude zvracet, hodi ten kram proste nekam do jezera.
Ojety notebook z bazaru a jeho následné hození do jezera je tedy opravdu vrchol bezpečnosti.
Jistě ne vrchol, ale celkem vysoká bezpečnost za poměrně nevelké peníze. Pokud po dotyčném vysloveně nejdou sledovačkou (pak je víceméně vše marné, pokud člověk nemá podporu někoho z oboru), tak náhodně vybrané zařízení plus náhodně vybraná karta a pak všechno zase zmizí. Pokud to spolu funguje krátký čas, tak je slušná šance, že to nikdo nepospojuje, než to zase skončí.
pokud tě sledují, tak to vůbec nemusí být marné, pokud se nechováš jako naprostý břídil. Jak jsem psal výše, první krok je mít na svém serveru OS, který jsi schopný mít pod kontrolou, druhý krok je hlídat si pakety na síti a čas od času si vyjet logy, co se dělo , co tě bombardovalo a jestli si s tím poradil tvůj router. To je naprostý základ. Teprve za tohoto předpokladu má smysl řešit zbytek, protože v opačném případě ti tam někdo lehce bez tvého vědomí nainstaluje nějakého trojana, který stejně vybonzuje veškeré tvoje ochranné prvky včetně způsobu kryptování HDD . A pak si pro ten počítač mohou fyzicky dojít, ale už ne, aby z něho dostali data, ale aby ho použili u soudu jako důkaz, protože data už dávno mají u sebe….
Wow, to mě nenapadlo, že si porno před partnerkou schovávám pomocí šiforvací metody nejvyšší úrovně^^ Když jsem TrueCrypt stahoval, tak se mi právě líbilo, že neuvidí, že něco schovávám. Ale o tom, že se dá ještě zašifrovat něco uvnitř zašifrovaného obsahu jsem netušil; vyzkouším, díky za články.
To si schováváš, abys utajil skutečnou sexuální orientaci nebo nějakou deviaci? Ideální partnerka by se přece na porno koukala s tebou ;)
Ideální partnerka partnerovi porno toleruje, ať už na něj kouká taky nebo ne :)
btw. dneska si stahovat porno? Proč proboha? :D
…protoze kdyz je treba bourka,posere se WiFi,mlaskne do BTS a uplne nejlepe vylitne elektrika,tak jsou kadrove rezervy vcetne nekolika baterii vzdy pripraveny…? :-)
Ja nevim, ale moje panterky se koukaly se mnou a az na svetle vyjimky jsme se shodli, ze to stoji za hovno. Ja, chudak bez deviaci, si proste tezko vyberu. A co hur, obvykle saham do starsi produkce, kdy jeste nebyly kombinace kureciho hrudnicku s megagigabalony a podobna zverstva.
To je fakt, ale pak je buď po ruce partnerka, nebo lahev něčeho dobrého, takže proč si neužít pěknou černou hodinku :)
Kdyz jsem byl malej kluk, delaval muj deda cernou hodinku (obvykle cely vecer) kazdou stredu. Ja se na to tesil jako malej kluk :-). Jo, kde jsou ty casy. Dneska vypadne elektrika na par desitek minut a uz premyslim, co to kurva odsere: rozjebany hodiny po celym baraku, nelezte kurva do lednice dokud to nezapnou, zase bude rozmrdanej cas na casovacich v kotelne,… jeden velkej stres.
Přesně tak – nedávný příval sněhu mající za následek v našem případě 16 hodin bez elektřiny mi připomněl tento vtip – nevtip:
Klábosí spolu Facebook, Wikipedie a Google:
Facebook se prsí: já znám úplně všechny!
Wikipedie se holedbá: znám úplně všechno!
Google si přisadí: já najdu úplně všechno!
Slyší je internet a říká: Pche, beze mě by jste si ani neškrkli…
Dosud v koutku tiše sedící elektrika pronese: Tak se uklidníme, jo?!
Nechcete nějaký UPSky do té kotelny? :D
CR ma jeste krasne podminky co se pripojeni tyce, jsou zapadni zeme, kde je na venkove vcelku bezne, ze vypadek proudu trva 6 hodin az dva dny a nejblizsi internetove pripojeni je 40mil daleko, na wifi v KFC. A navic porno, nebo treba i dokumentarni porady (bezna konzumni TV a filmova tvorba ani tak ne, toho jsou mraky vsude mozne), je vzdy zahodno archivovat, mnohokrat jsem hledal neco specifickeho a stravil hodiny zbytecnou snahou o nalezeni funkcniho odkazu. Clovek se pak nauci stahnout, zaradit do patricke slozky a mit v tom poradek.
Idealni partnerka nema s pornem problem, ovsem horsi je, kdyz to ma pak za nasledek nadmiru zvysene pozadavky…
Když pominu naprosto katastrofální sloh a úpravu, dodám jen, že diletanti co znají akorát Windows a TrueCrypt (jedno je děravé už z podstaty a druhé už neexistuje) , by o počítačové bezpečnosti neměli nikde nic psát, někdo by je mohl vzít vážně a na průser je zaděláno …
Ha, pan Genialni se ozval :-D
Vzhledem k tomu, ze vetsina lidi proste na svych pocitacich porad jeste maji ty Windows, tak je celkem na miste o nich psat.
jedno je děravé schválně, druhé EXISTUJE
Jedno je děravé proto, že se snaží být papežštější než papež a jednoduše na to nemá a druhé od května 2014 prostě NEEXISTUJE. Kdybys měl alespoň minimální pojem o tom jak se věci mají, tak bys taky věděl že sami vývojáři TC zařízli s tím, že už prostě není bezpečný. Co tomu předcházelo si rač dohledat sám …
Existuje, provedený audit ukázal, že je to bezpečný a lidi to stále používají na šifrování dat. A budou, dokud to někdo nezakáže. Vlastně budou i když to zakáže.
Tohle je dezinformace, Windows 98 už podle takové logiky také neexistuje, přesto ho používají téměř všechny bankomaty světa a ještě nějakou dobu budou. Nalinkované verze TrueCryptu skutečně prošla nejméně dvěma audity, jeden audit proběhl na americké univerzitě a předcházel mu fundraising, druhý proběhl, jak autor píše, skrz německou vládní agenturu. TC je dodnes používán i v korporacích pro šifrování dat s obchodním tajemstvím, protože je to jeden z mála nástrojů, na jehož spolehlivosti se shodují IT specialisté napříč obory a platformami, tudíž nedochází ke konfliktům ohledně bezpečnosti mezi podniky při předávání dat. Prosím vás přestaňte tady šířit bludy.
TrueCrypt samozřejmě existuje, pouze neexistuje jeho vývoj. Ale i kdyby neexistoval, tak je to uplně bezpředmětné, jelikož ochrana jeho v článku zmíněnou verzí ještě doposud nebyla prolomena. Víte snad o lepším šifrovacím nástroji?
A co se týče děravých windows, tak ne vždy je možné je plně nahradit.
Pro nas to je black box, o kterem se obecne predpoklada, ze v nem neni dosud nalezena dira. Ver / Never. Muzes to vzit z druhe strany, ze ten soft schvalne vyvinuly americke tajne sluzby a kdo ho pouziva, pada okamzite do kategorie lidi, kterym venuji specialni pozornost, protoze „urcite neco taji“. Je to tak zhruba fifty-fifty. Takze docela spatonka.
CL – BINGO.
On Windows není žádný zázrak, ale pro BFU je přechod na alternativy naprosto nereálný (už jen pro to, že linux nemá „C:/“ :-), takže články o tom, jak kryptovat v „děravém OS“ je rozhodně přínosnější, než salóní diskuse na téma „programy si zásadně kompiluji sám“.
V současné době, kdy 90 % uživatelů na počítači dělá 90 % věcí v browseru, je naopak přechod výrazně snazší než kdykoli předtím. 80 % lidí bude jedno, jestli sedí před Macem, malinou s Linuxem nebo Windows boxem. Browser do fullscreenu a jsou spokojeni. Když se jim navíc hned objeví seznam, budou v sedmém nebi.
Jestli je na tom někdo blbě, tak my, kteří si na ty kchloudy, soušl mídia a webové aplikace nepotrpíme, protože některé demence z nich pronikají i do klasických desktopových aplikací (např. GUI novějších versí Office nebo iWorks).
To je něco, co slýchávám už asi deset let a furt to není pravda. Normální uživatel si koupí počítač v Alze, trial licenci Office používá i po vypršení s rudým pruhem s varováním a až i to přestane fungovat, jde na warforum, nainstaluje si aktivátor (s hromadou virů) a spokojeně přede, protože otravné licenční hlášky už nevyskakují a on ušetřil 300 korun. Těch 90 procent uživatelů s 90ti procenty věcí je samozřejmě taky výmysl. Tento druh uživatele nepotřebuje zabezpečovat data, protože žádná data k zabezpečení nemá. Normální účetní má na počítači firemní korespondenci v outlooku s POP3 a účetnictví třeba za deset let, všechno bez záloh, lokálně, a to jsou přesně data, která se vyplatí chránit alespoň tak, jak je popsáno v článku a která mají cenu. Linux nikoho nezajímá zejména kvůli lidem, jako je zrg1 – nejsou schopni si sekretářce nabídnout jednoduchý systém, na kterém půjde PREMIER a Fakturky a fejsbuk, místo toho vlezou do diskuse, kde se sekretářka ptá, jestli může používat X a odpoví jí, že je to píča a Windous je na hovno, a i kdyby se jí nakrásně snažili nějakou alternativu nabídnout, skončej u toho že jí do Ubuntu nainstalujou VirtualBox a na něm rozjedou ten stejnej Windows, kterej do tý doby používala. Jak zrg1 správně píše, „Proč se k problematice vyjadřují lidé, kteří o tom nic nevědí ?“, já naprosto souhlasím. Zrg1 by měl držet hubu a šoupat nohama, protože o reálném světě zjevně vůbec nic neví.
ano přesně to je pravda pravdoucí
Naopak. O reálném životě nic nevíte vy. Vy si tu nalháváte, že máte bezpečně data kryptovaná na disku a už vůbec vám nevadí, že přímo z vrstvy OS odposlouchávají všecko, co píšete na klávesnici, mnohem dříve, než to zamíří na disk. Jo vlastně. Já zapomněl. Nadlidé – uživateleé WIN – nosí přímo v hlavě HWinterface nadrátovaný rovnou k mozku a na klávesnici už píšou v kvantovém šifrovacím protokolu, nad kterým agenti z FBI lezou nešťastně po zdech…
Právě pro těch 10% věcí, které v browseru nejdou dělat, zůstávají lidi u Woken. A i kdyby to bylo 100% v browseru, základ úspěchu je, aby se to připojilo na Wifi, což není úplně samozřejmé. Zkoušel jsem nedávno z nudy několik live linuxů a wifi kartu našel jeden. (A když to nebude wifina, tak to bude třeba zvukovka a BFU nemá šanci, jak to rozchodit.)
Bubuntu funguje na vetsine notebooku pomerne obstojne, spustite instalator a za pul hodky mate plne funkcni system i s (Libre)office. Jak pise predrecnik, 10% veci co v Linuxu nejdou delat jsou jednoduse prusvih. Kdyz treba nemuzete vytisknout nejaky formular, nebo vest ucetnictvi apod., tak je Linux sice hezky, ale do firmy nepouzitelny. Bohuzel to je dokonce vice nez 10% veci a Linux ma pro bezne uzivatele spoustu uplne zbytecnych nedostatku (proc treba nemaji xfce defaultne bindovanou Win klavesu? Takova blbost!) a celou radku systemovych nedodelku.
To pisu jako clovek, ktery Linux pouziva a v minulosti jsem i aktivne prispival do vyvoje.
Pocitac, na kterem vedete ucetnictvi, nemá cenu nijak brutalne zabezpecovat. To uz spise zálohovat proti tuposti uzivatelu a moynemu defektu HW a ztrate dat. Pocitac, na kterem mate porno není třeba uz vůbec nijak zabezpecovat. Zabezpecovat ma smysl například pocitac, pokud ridi bezpecnostni čidla a kamerovy okruh a streamujete svůj barak/firmu na internet, abyste kdekoliv videli, jestli vas nahodou nevykradaji/nerozkradaji. Tzn musí to byt na siti, nebudou na tom surfovat dementni uzivatele a nesmí se do toho dostat nikdo nepovolany, od pubertaka s příručkou Skriptovani snadno a rychle az po naší slavnou BIS.
A jinak k povsechne urovni této dikuze… netušil jsem, kolik lidí bude mít potřebu se vyjadřovat k problematice zabezpečení PC, když o tom prakticky vůbec nic nevědí.
Děkujeme za profesionální a jediný správný pohled na to, která data kterých uživatelů stojí za to chránit.
No jasně. V článku o ultimátnímu způsobu ochrany proti „státnímu šmírování“ mi nadhodíte, že nabádám lidi, aby své účetní výkazy váleli po ulici. Jasně. Tak si to sami vyjasněte. Co se stane, když mi finančák udělá razii a začne hloubkově zkoumat účetnictví a já v něm mám prasárny, které budou stačit k tomu, aby mě zavřeli do lochu.
Varianta 1 – běžně zabezpečené/ rozkódovatelné účetnictví — zavřou mě
Varianta 2 nadstandardně kryptované účetnictví —- varianta A rozkódují to a zavřou mě akorát to bude trvat déle a budou se vozit po mých podřízených a účetních a tahat je pořád dokola k výslechům a ve finále mi přišijou, že nespolupracuju.
—– Varianta B nerozkódují to, protože ještě včas zničím data a zametu veškeré stopy (utopie). V tom případě ale stejně přijdu o svou firmu, protože mě to finančně položí a pravděpodobně půjdu i sedět, protože zlomek nějakých dat stejně někde vykutají a na těch mě usmaží tak jako tak. Plus mi dají o to víc sežrat, že nespolupracuju.
Ale jinak v pohodě, hlavně, že si plně rozumíme…
Nevyjadroval jsem se k zabezpeceni, ale k pouziti Linuxu pro beznou desktopovou kancelarskou praci.
Zrovna ucetnictvi bych si docela zabezpecil, ale jak pisete, nerozumim tomu, tak proc se vlastne vyjadruju, ze.
Vážený pane, radíte tedy široké laické veřejnosti, aby váš účetní systém jel na počítači, který bude mít nasazen TrueCrypt ? Ano nebo Ne ? Protože pokud Ano, tak doufám poradíte široké laické veřejnosti, co má následně dělat, při ztrátě hesla k TrueCryptu. Až ho sami zapomenou – nechtěně změní – nebo jim ho nějaký zaměstnanec změní schválně, protože mu šlápnou na kuří oko a on ručí 4,5 násobkem platu a ještě je pojištěný na blbost.
Když TrueCrypt je dávno ukončený opensource bez jakékoliv podpory a jeho instalace je plně na vlastní riziko.
Takovéhle samozvané IT experty a hrdiny na diskuzích opravdu miluji…..
A co má „veřejnost“ dělat když odejde disk? Nebo když ten zaměstnanec, co bude mít možnost změnit schválně heslo k truecryptu, ta data prostě smaže? Nebo…
… prostě ho vytáhne ze zálohy, nezávisle na tom zda kryptuje či nikoli. Jen idiot nezálohuje věci, jejichž absence by ho položila.
Tak jen aby ta záloha byla kryptovaná!!!:-)
Malina je pro obycejneho BFU relativne komplikovana, uz jen proto, ze si do ni koupi akcni tesco pametovou kartu s vuni taveneho plastu. Ale od nekoho nainstalovany linux mint nekde na notasu, to by si jeden asi ani nevsiml zmeny.
BFU, má na PC XPčka, v lepším případě Win 7 nebo 8, ale v nějaké Home Basic edici, takže doporučovat mu BitLocker je nesmysl a pokud někdo nedokáže klikat na ikonu „Mozila Firefox“ v Linuxu, když ve Windows mu to šlo, tak je stejný nesmysl používat TrueCrypt, protože pokud doteď mu byl někdo schopen ty data z mrtvého PC dostat, tak po opatření TrueCryptu heslem, které za týden BFU zapomene, je jistota že o ně přijde takřka 100%. Pokud to teda myslí někdo alespoň trošku vážně, pak určitý efektivní způsob najde třeba tady – http://dfens-cz.com/kryptografie-jednoduse-byt-nad-ramec-ovcana/ ,ale tenhle článek, ať už je to první díl (kde autorovi věřím tak třetinu toho co napsal), nebo druhý (což mu kdejaký průměrný „ajťák“ okamžitě vyvrátí) je prostě normální bulvární blábol, toť vše …