V průběhu ledna nebo února by měla vyjít třetí verze programu BestCrypt Volume Encryption (článek). Normálně o novinkách nepíšu, tahle ale obsahuje několik nových vlastností s různými zajímavými dopady, které buď mají obecnou platnost, nebo mohou být dost nepříjemné, proto udělám výjimku. Na své si tedy přijdou i uživatelé jiných šifrovacích nástrojů.
Pozn.: Oficiálně byl zveřejněn jen seznam novinek na uživatelské úrovni. Většina informací, které zde uvádím, pochází z mého zkoumání alpha verze a z komunikace s vývojáři, tzn. nemusí být úplně stoprocentně přesné (v některých oblastech se jen dohaduji).
(Celý příspěvek…)
Už v několika článcích jsem se tu zabýval bezpečností TrueCryptu a zdaleka ne vždy vyzněly mé závěry pozitivně. To je ovšem hodně relativní – moje hodnocení TrueCryptu možná nejsou extra pozitivní ve srovnání s tím, co se o TrueCryptu tvrdí, ale pokud by se měla postavit vedle hodnocení jiných produktů, hned by vypadala skvěle. Měl jsem například možnost podívat se na program Asrar-Al-Mujahideen, který údajně používají teroristé pro šifrovanou komunikaci mezi sebou, protože nevěří běžně dostupným řešením. Pokud je to pravda, tak jsou to idioti.
(Celý příspěvek…)
Minulý týden rozvířil poklidné vody TrueCrypt Forum odkaz na zbrusu novou analýzu TrueCryptu (lokální kopie), kterou publikovali lidé kolem Ubuntu Privacy Remix. UPR je speciální „Live“ prostředí vytvořené tak, aby se v něm dalo bezpečně pracovat s citlivými daty; k dosažení tohoto účelu používá TrueCrypt a tudíž je pro něj zajímavé, nakolik je nebo není TrueCrypt bezpečný. To je ovšem zajímavé i pro nás, kdo TrueCrypt používáme…
(Celý příspěvek…)
Už několikrát jsem se na tomto blogu zabýval otázkami informační bezpečnosti a bezpečnostních rizik. Články jsou poměrně populární, ale z mého pohledu mají jednu chybu: vesměs jde o články, které jen shrnují zjištění jiných lidí. Včera ale konečně došlo k průlomu – podařilo se mi najít závažnou bezpečnostní chybu, o které nikdo jiný nevěděl. Týká se programu BestCrypt Volume Encryption (všech verzí) a za určitých okolností může vést k tomu, že útočník získá přístup k odpojeným šifrovaným diskům, aniž by znal heslo.
(Celý příspěvek…)
Články o zajímavém softwaru, zejména bezpečnostním, jsou tu poměrně populární. Tak zkusíme další, tentokrát o filtrovacím proxy serveru Privoxy. Název programu je složeninou dvou slov – „privacy“ (soukromí) a „proxy“ (prostředník). První z nich zvýrazňuje jednu z hlavních funkcí programu, druhý způsob, jak je toho dosaženo – Privoxy sedí jako žába na prameni mezi internetovým prohlížečem a internetem a zasahuje do všeho, co prochází jedním nebo druhým směrem tak, aby zvýšila soukromí uživatele. A když už to dělá, tak při tom taky filtruje reklamy a umožňuje měnit obsah stránek.
(Celý příspěvek…)
Před nedávnem proběhla i našimi médii zpráva o britovi, který byl tamním soudem potrestán za neprorazení hesla k šifrovanému kontejneru. Britové mají pro tento účel roztomilý zákon RIPA (Regulation of Investigatory Powers Act), který to umožňuje; u nás by to zatím neprošlo, ale nemylme se – stačí jeden úspěšný teroristický útok nebo jedna nepotrestaná pedofilní vražda, ve kterých bude figurovat šifrovaný disk, a můžeme s nějakou formou zákazu šifrování počítat i u nás. Jde se tomu bránit, pokud sice nejste vrah ani terorista, ale přesto si chcete chránit své soukromí? Ano, jde – některé šifrovací nástroje už dlouho operují s přístupy, jak dosáhnout tzv. plausible deniability. V duchu hesla „buď připraven“ se pojďme podívat, co to obnáší.
(Celý příspěvek…)
Soukromí na internetu je v poslední době v odborných médiích skloňováno ve všech pádech, zejména v souvislosti s aktivitami Googlu, Facebooku a dalších významných firem. Pokud toho stále ještě nemáte dost a chcete svoji paranoiu ještě trochu přiživit, přišli jste na správné místo. Chtěl bych vás totiž upozornit na stránku What The Internet Knows About You, která nedávno rozvířila poněkud zatuchlé vody detekování, na jakých stránkách se uživatel pohyboval, než přišel na stránku vaši. Zajímavé na jejím přístupu je, že na svoji činnost nepotřebuje žádný javascript ani Flash, vystačí si s pouhým CSS.
(Celý příspěvek…)
Před časem jsem se tu zmiňoval o Yubikey, zařízení podobném bezpečnostnímu tokenu, které se stará o jednorázová hesla. Uvedl jsem také knihovnu PkYubikey pro jednoduchou práci s Yubikey, a následně i upravený SlimFTPD, FTP server s podporou Yubikey. V tomto článku vám nabídnu další aplikaci upravenou pro podporu Yubikey, VNC server UltraVNC.
(Celý příspěvek…)
Hlídáte si na internetu soukromí? Používáte TOR, anonymní VPN nebo anonymní proxy? Promazáváte nebo vůbec nepoužíváte cookies a vyřadili jste Flash s jeho „supercookie“? Vypínáte javascript? V tom případě by vás mohla zajímat série článků na webu Electronic Frontier Foundation, zejména poslední Browser Versions Carry 10.5 Bits of Identifying Information on Average, která se zabývá možností identifikovat browser na základě informací, o kterých obvykle jako identifikujících nepřemýšlíme – například o používaném prohlížeči. Je příznačné, že z českých webů o tom, pokud vím, neinformoval ani jeden (titulek „Patří soukromí online mezi vaše priority?“ na Rootu vypadal nadějně, ale je o něčem jiném).
(Celý příspěvek…)
Je to něco přes půl roku, co jsem se v článku Ochrana přenášených dat zamýšlel nad tím, jak moc důvěryhodné je tzv. hardwarové šifrování přítomné na některých USB flashdiscích. No prosím, a už tu máme praktickou ukázku: Německá bezpečnostní firma SySS těsně před vánoci oznámila nalezení závažné bezpečnostní díry v šifrovaných USB discích firem Kingston a Sandisk (a přebarvených verzích téhož, např. pod značkou Verbatim). Jak závažné? Tak, že útočník může celkem jednoduše přistupovat k datům, aniž by znal heslo.
(Celý příspěvek…)
