Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.
Správce české národní domény CZ.NIC zneužil svého postavení a zablokoval několik „dezinformačních“ webů. Jedná se o nebezpečný precedent. Správce domény tu není od toho, aby určoval, jaké názory jsou správné nebo jaké zprávy jsou pravdivé. Mylné, zavádějící či úmyslně lživé informace se na internetu vyskytují odjakživa. Je na každém dospělém jedinci, aby vyhodnotil důvěryhodnost zdroje a informace a udělal si vlastní názor.
Omezovat či řídit přísun informací mohou rodiče svým dětem, ale nikoli stát nebo organizace typu CZ.NIC plnoletým občanům.
Nově oznámená verze Relačních rour v0.18 přináší řadu změn – podporu mnoha nových formátů, protokolů a transformací (ASN.1, INI, MIME, YAML, JSON, CBOR, HTML, QR, X11, XPath, XMLTable…). Nová je i podpora datových typů v CSV.
Článek Předpověď počasí v terminálu & Relační roury na jednoduchém příkladu ukazuje, jak si načíst strukturovaná data v XML, udělat nad nimi pár transformací a zobrazit si je včetně sloupcového grafu v textovém terminálu. Článek se dále věnuje některým myšlenkám, které jsou za projektem Relational pipes (složitost M×N×O vs.
Richard Stallman, zakladatel projektu GNU a FSF se vrací do vedení Nadace pro svobodný software (FSF). Udádí to v krátkém videu. Oficiální oznámení se připravuje. Jeho návratu se věnují i články na techrights.org a itsfoss.com.
Na serveru Techrights.org vyšel článek The GNU Project is Bleeding Into Microsoft, který upozorňuje na podezřele se množící případy projektů, které jsou přesměrované z webových stránek GNU na GitHub (proprietární software a služba provozovaná Microsoftem). Článek poukazuje i na to, že k řadě přesměrování došlo po tom, co byl Richard Stallman (zakladatel hnutí GNU a nadace FSF) „vyhnán“ z vedení FSF (resp. odstoupil po agresivní štvavé kampani vedené proti jeho osobě v září 2019). Zdrojové kódy z GitHubu si lze sice (zatím) stahovat (git clone) i bez registrace a přihlášení, ale pokud se někdo chce aktivně zapojit do projektu a např. hlásit chyby nebo posílat tzv. pull requesty (patche), je k tomu nutné mít účet u této proprietární centralizované služby, což znamená uzavřít smlouvu s GitHubem. Tomuto problému se věnuje i Sane software manifesto, dle kterého přispívání do svobodného a příčetného softwaru nesmí být podmíněno uzavíráním takových smluv (ani registrací u nějaké konkrétní třetí strany ani podepsáním politického či náboženského prohlášení).
Po dvou letech od posledního pokusu vyšel nový návrh zákona o vojenském zpravodajství a ochraně kyberprostoru. Vybíráme: Vyžaduje-li to veřejný zájem na zajišťování obrany státu, lze na základě vyhodnocení jevů nasvědčujících o existenci útoku nebo hrozby ohrožující důležité zájmy státu v kybernetickém prostoru a v souvislosti s opatřeními přijatými k odstranění útoku nebo hrozby nebo omezení jejich důsledků připustit v nezbytně nutném rozsahu také zásahy do základních práv a svobod fyzických osob, je-li to nezbytné ke splnění povinností Vojenského zpravodajství při provádění činností,
Heptapod je svobodný software pro hostování zdrojových kódů (případně libovolných souborů) a správu projektů. Heptapod je odvozený z GitLabu a podporuje distribuovaný verzovací systém Mercurial.
Kdokoli si může provozovat vlastní instanci Heptapodu, a není tak závislý na žádném poskytovateli.
Richard Stallman, zakladatel hnutí svobodného softwaru, se dnes v e-mailové konferenci guix-devel vyjádřil, že svobodný software je apolitický resp. jedinou podporovanou politikou je politika svobodného softwaru. Reagoval na některé návrhy, že by se do svobodného softwaru měl zabudovat feminismus nebo jiný -ismus. Témata jako komunismus nebo sexuální orientace jsou „off-topic“. Je v pořádku mít politické názory, ale lidé by je měli vyjadřovat na svých osobních webových stránkách nebo jinde – zatímco v rámci FSF/GNU bychom se měli soustředit na náš společný cíl, kterým je svobodný software.
Právě vyšlo Sane software manifesto verze v0.8. Manifest se zabývá tím, jak psát příčetný software s ohledem na práva uživatelů, ochranu soukromí, svobodu, bezpečnost a dlouhodobou udržitelnost. Před vydáním verze v1.0 je ideální čas k zasílání komentářů a poznámek do e-mailové konference.
Můžete svému počítači věřit?
Bohužel čím dál tím víc nabývám názoru, že bezpečný počítač prostě neexistuje. Vidím totiž, kolik je možností rootnout stroj můj i ostatních.
Používáte na spolupráci nějaký VCS? Máte ho na nějakém serveru, kde má účet víc lidí, nebo k němu má někdo fyzický přístup nebo nedej bože je to VPS? Co když někdo cinkne zdrojové kódy v repozitáři?
Co když vyownují GitHub nebo se nějaký jeho správce rozhodne páchat zlo? Každý projekt, který si stáhnete, může obsahovat malé překvapení.
Znáte správce mirroru, ze kterého stahujete svou linuxovou distribuci? Dbá na bezpečnost? Zamyká počítač, když odchází, a nekompromitoval nikdo jeho SSH klíče? Můžete zaručit, že to LiveCD, které jste si stáhli, on nebo kdokoli, kdo nějak získal přístup, neupravil, aby získal remote shell?
Kolik chyb bylo v prohlížeči, který používáte, ve Flashi a v dalších pluginech? Kolik chyb bylo ve vašem mailovém klientu a, zobrazuje-li automaticky přílohy, slyšeli jste o průseru s libpng?
Že to máte oddělené virtualizací? Co ta díra v KVM? Co interakce aplikací na jednom X serveru? Co díra přímo ve vašem procesoru?
Zamykáte terminál, když odcházíte? Nemůže vám nikdo do USB portu zasunout miniaturní phantom keyboard nebo keylogger? Nezadáváte heslo na veřejných místech, pod kamerami, pod dohledem dalekohledu útočníka? Nemůže vám nikdo počítač ukrást a vydumpovat paměť přes firewire, dokovací konektor, PCI-Express, Thunderbolt nebo cold-boot útokem?
…a když všechno selže, pořád jsou tu tisíciletími osvědčené metody extrakce informací s použitím násilí. Kryptotoken s možností zničení vydáním špatného hesla v současné době neexistuje.