Category: bezpečnost

Securing Digital Democracy

V průběhu září a října jsem se zúčastnil dalšího kurzu na Coursera. Tentokrát šlo o kurz Securing Digital Democracy, o který jsem se zajímal hlavně proto, že mě zajímaly kryptologické otázky hlasování přes internet. V tomto ohledu jsem byl trochu zklamán, protože hlasování přes internet tvoří jen velmi malou část předmětu, a ta by se ještě dala shrnout do stručného „zapomeňte na to“, ale přesto stráveného času nelituji – dozvěděl jsem se řadu zajímavých věcí, které se ještě budou hodit (možnost elektronických voleb se zvažuje i u nás).

(more…)

Útoky na operační paměť

Máte v počítači disky zašifrované nějakým silným systémem, jako je TrueCrypt nebo FreeOTFE? To je prima. A vypínáte ho, když od něj odcházíte? Jestli ne, vystavujete svoje data některému z mnoha útoků na operační paměť, protože šifrovací klíč musí pro neodpojené (přimountované) disky v paměti zůstat a šikovný útočník ho z té paměti dokáže přečíst. Ve článku rozebírám způsoby, jak toho může útočník dosáhnout, i možné způsoby obrany.

(more…)

Crypto-Class – vyhodnocení

Před časem jsem tu upozorňoval na free kurz kryptologie na Stanfordu, Crypto-Class, který vede profesor Dan Boneh. Od té doby uplynuly tři měsíce a kurz je za mnou. Normálně bych se spokojil s prostým komentářem u původního příspěvku, že kurz byl prima, ale protože v pondělí 11.6.2012 začíná další běh tohoto kurzu, je asi vhodné popsat, co se v něm můžete dozvědět a proč stojí za to investovat těch několik hodin týdně do studia. Pokud se o kryptologii zajímáte, doporučuji se na kurz zapsat – opravdu to stojí za to.

(more…)

Crypto-Class

Zcela výjimečně (znáte to, maximálně jednou za deset let…) jsem se rozhodl informovat o aktuální události: Právě se spouští Crypto Class, což je projekt Stanfordské univerzity, která umožňuje zdarma a komukoliv zúčastnit se kurzu kryptologie. Stačí se přihlásit a hned budete mít přístup k slajdům a videům přednášek, budete muset odevzdávat úkoly a dělat testy. Myslím, že stojí za to to přinejmenším vyzkoušet – a co jsem se díval na první úkoly, bude to asi dost zajímavé. Pokud vás bezpečnost zajímá a umíte anglicky, povinnost.

BestCrypt Volume Encryption v3

V průběhu ledna nebo února by měla vyjít třetí verze programu BestCrypt Volume Encryption (článek). Normálně o novinkách nepíšu, tahle ale obsahuje několik nových vlastností s různými zajímavými dopady, které buď mají obecnou platnost, nebo mohou být dost nepříjemné, proto udělám výjimku. Na své si tedy přijdou i uživatelé jiných šifrovacích nástrojů.

Pozn.: Oficiálně byl zveřejněn jen seznam novinek na uživatelské úrovni. Většina informací, které zde uvádím, pochází z mého zkoumání alpha verze a z komunikace s vývojáři, tzn. nemusí být úplně stoprocentně přesné (v některých oblastech se jen dohaduji).

(more…)

Asrar-Al-Mujahideen – bezpečnost teroristického šifrovacího programu

Už v několika článcích jsem se tu zabýval bezpečností TrueCryptu a zdaleka ne vždy vyzněly mé závěry pozitivně. To je ovšem hodně relativní – moje hodnocení TrueCryptu možná nejsou extra pozitivní ve srovnání s tím, co se o TrueCryptu tvrdí, ale pokud by se měla postavit vedle hodnocení jiných produktů, hned by vypadala skvěle. Měl jsem například možnost podívat se na program Asrar-Al-Mujahideen, který údajně používají teroristé pro šifrovanou komunikaci mezi sebou, protože nevěří běžně dostupným řešením. Pokud je to pravda, tak jsou to idioti.

Asrar-Al-Mujahideen 2.0 - hlavní obrazovka

(more…)

Nová analýza bezpečnosti TrueCryptu

Minulý týden rozvířil poklidné vody TrueCrypt Forum odkaz na zbrusu novou analýzu TrueCryptu (lokální kopie), kterou publikovali lidé kolem Ubuntu Privacy Remix. UPR je speciální „Live“ prostředí vytvořené tak, aby se v něm dalo bezpečně pracovat s citlivými daty; k dosažení tohoto účelu používá TrueCrypt a tudíž je pro něj zajímavé, nakolik je nebo není TrueCrypt bezpečný. To je ovšem zajímavé i pro nás, kdo TrueCrypt používáme…

(more…)

Vážná bezpečnostní chyba v BestCrypt Volume Encryption

Už několikrát jsem se na tomto blogu zabýval otázkami informační bezpečnosti a bezpečnostních rizik. Články jsou poměrně populární, ale z mého pohledu mají jednu chybu: vesměs jde o články, které jen shrnují zjištění jiných lidí. Včera ale konečně došlo k průlomu – podařilo se mi najít závažnou bezpečnostní chybu, o které nikdo jiný nevěděl. Týká se programu BestCrypt Volume Encryption (všech verzí) a za určitých okolností může vést k tomu, že útočník získá přístup k odpojeným šifrovaným diskům, aniž by znal heslo.

(more…)

Privoxy

Články o zajímavém softwaru, zejména bezpečnostním, jsou tu poměrně populární. Tak zkusíme další, tentokrát o filtrovacím proxy serveru Privoxy. Název programu je složeninou dvou slov – „privacy“ (soukromí) a „proxy“ (prostředník). První z nich zvýrazňuje jednu z hlavních funkcí programu, druhý způsob, jak je toho dosaženo – Privoxy sedí jako žába na prameni mezi internetovým prohlížečem a internetem a zasahuje do všeho, co prochází jedním nebo druhým směrem tak, aby zvýšila soukromí uživatele. A když už to dělá, tak při tom taky filtruje reklamy a umožňuje měnit obsah stránek.

(more…)

Skryté oddíly a plausible deniability

Před nedávnem proběhla i našimi médii zpráva o britovi, který byl tamním soudem potrestán za neprorazení hesla k šifrovanému kontejneru. Britové mají pro tento účel roztomilý zákon RIPA (Regulation of Investigatory Powers Act), který to umožňuje; u nás by to zatím neprošlo, ale nemylme se – stačí jeden úspěšný teroristický útok nebo jedna nepotrestaná pedofilní vražda, ve kterých bude figurovat šifrovaný disk, a můžeme s nějakou formou zákazu šifrování počítat i u nás. Jde se tomu bránit, pokud sice nejste vrah ani terorista, ale přesto si chcete chránit své soukromí? Ano, jde – některé šifrovací nástroje už dlouho operují s přístupy, jak dosáhnout tzv. plausible deniability. V duchu hesla „buď připraven“ se pojďme podívat, co to obnáší.

(more…)

Strana 1 z 3123

Themocracy iconWordPress Themes

css.php