CDR.cz - Vybráno z IT

Diskuse k CDR SecUpdate 41 - Bugzilla umožňovala deset let odhalit citlivé zranitelnosti

Chyba v Bugzille mně rozesmála. To je totiž tak těžce uvěřitelné, že by člověk až řekl, že se něco takového nemůže stát... a přesto...!

Po podobně neuvěřitelných chybách typu Hearbleed vede toto "poněkud opožděné odhalení" takto kritické chyby k nutnému závěru, že složité a komplikované systémy musí principielně obsahovat nějakou chybu a může být dokonce z hlediska bezpečnosti fatální.

Ujišťování, že "neexistují žádné zprávy o nezákonném zisku informací nebo aktivním zneužití chyb na internetu" může být toliko "lhaní si do kapsy".
O Heartbleed chybě věděla NSA minimálně 2 roky a aktivně ji užívala a - nikde se tím přirozeně nechlubila, aby v jejím využívání mohla co? Pokračovat.

Pokud jakékoliv tajné služby odhalí takovou kritickou chybu, tak si to přeci nechají zákonitě pro sebe. Lze poukázat na prolomení Německé Enigmy za WW2. Využívání takto dešifrovaných depeší bylo umožněno JEN když bylo možné (byť to třeba nebylo provedeno, bylo to možné) informaci získat i jiným způsobem, aby nevzniklo podezření.
Stejně podezření časem vzniklo a byl přidán další šifrovací válec... ale chci říci, že "tajné služby" se obecně jmenují "tajné" proto, že se nechlubí svými úspěchy.

I memoáry vydané po 50+ letech dokáží často napáchat neuvěřitelné škody. Např. když se ve svých pamětech nazvaných trefně "Ze stínu" svěřil Robert Gates, ředitel CIA pod Ronaldem Reaganem a Bushem seniorem (dále byl Ministrem obrany pod Bushem juniorem a Obamou), že ve skutečnosti v Afghánu USA začaly tajnou operaci 6 měsíců před invazí Rusů a jejím nezakrývaným cílem bylo vlákat Rusy do Afghánské bažiny...
http://books.google.com/books?id=M51ssIgLMl8C&pg=PA131&lpg=PA131&dq=arno...

Tak z toho je pěkný průšvih, protože Ruský vpád do Afghánu byl vydáván za důkaz Ruské agrese, ale jak uvedl např. válečný zločinec Zbigniew Brzezinskij, tak financovat teroristy v Afghánu začali půl roku před tou invazí Rusů s tím cílem, že Rusy k invazi vyprovokují. Když se ho reportér optal, jestli to nebyla přímá provokace tak si uvědomil co řekl a otočil to tak, že řekl, že "my jsme nedotlačili Rusy k invazi" ale "vědomě jsme zvýšili (našimi akcemi) pravděpodobnost, že k tou dojde." (jako kdyby to nebylo to samé...) Dále to líčí jako že "políčil na Rusy Afghánskou past" a že to Carterovi prezentoval tak, že "dá Rusům jejich Vietnam."
http://dgibbs.faculty.arizona.edu/brzezinski_interview

Tedy bude třeba přepsat učebnice dějepisu, když lidé neumí držet jazyk za zuby (i když možná jen malá lži se musí chránit, velké jsou chráněny nezájmem populace...?) ...

...

Kauza Silk Road začíná být zajímavá. Tvrzení, že: "FBI si neudržuje záznamy své komunikace" je zjevně lživé. Protože tady nejde o CIA, ale o Federální úřad vyšetřování (něco jako vyšší level policie, např. u nás UOOZ) a všechny tyto složky musí svou činnost bezpodmínečně mít zachycenu ve spisu a doloženu. Jinak řečeno - u soudu a v právu obecně platí, že quod non est in actis, non est in mundo - co není ve spisu, to není na světě.
Nemohou-li doložit, jak k datům přišli, pak je nemají (byť data byla zaznamenána).

Spojuji-li se přes Tor, tak vše co browser činí, činí přes Tor = nelze tvrdit něco o vystopování. To prostě nedává smysl. Že by jen komunikace Silk Road serveru s CAPTCHa nebyla přes Tor? Tak to je možné... a je to tedy třeba změnit a umožnit, aby CAPTCHA makala i s Torem :)

Zjímavý je už i protimluv:
"Obhajoba (...) vyžádala (...) seznam použitého softwaru"
"Vláda (...) zamítla (...) FBI si neudržuje záznamy své komunikace"

Vidím jistý rozdíl mezi "seznamem užitého SW" (aby bylo jasné, co z toho umožnilo IP adresu vypátrat) a "záznamy komunikace FBI", jenž nebyly žádány a jak k daným výsledkům došla musí vláda doložit.

Už proto, že pokud by šlo např. o nezákonný postup, pak by všechny získané informace a informace z nich odvozené (doktrína ovoce z otráveného stromu je vždy otrávené) nebyly v řízení jakkoliv použitelné.

+1
+39
-1
Je komentář přínosný?

No k tomu úvodu bych si snad dovolil jen volně citovat jeden starý Murhyo zákon:

a) každý program/systém obsahuje minimálně jednu chybu
b) pokud systém žádnou chybu nemá, je to tím, že o ní autor ještě neví

+1
+45
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.