Plán útoku na ČT1 - Máte slovo – ČT 1 - 25.3.2010

[next_ghost]

A ještě mě napadlo, že by se určitě u tématu bezpečnost měly zmínit datové schránky jako příklad, jak na bezpečnost kašle i celá státní správa. V oficiálních návodech na přihlášení se správcům ISDS povedlo popsat prakticky všechny hlavní chyby při práci se SSL certifikáty:
- První týden otevřeně radili uživatelům, že mají chybové hlášení o neznámém certifikátu ignorovat a prostě ho odkliknout. Nějakých phishingových stránek se nejspíš nemusíme bát... Na opakované upozornění, že tahle rada znamená obrovskou bezpečnostní díru zástupci ISDS reagovali ve stylu "certifikát je bezpečný, protože na to máme úřední razítko."
- Pak to aspoň trochu napravili a do návodu napsali, že si máme stáhnout kořenový certifikát PostSignum CA, ale zapomněli dodat, že se při stažení z Internetu musí ověřit fingerprint z nějakého důvěryhodného zdroje, například osobně na poště.
- Teď už mají v návodu i ověření fingerprintu, ale pořád máme ověřovat podle čísla, které si spolu s certifikátem stáhneme z Internetu. To je asi jako ověřovat totožnost "zástupce pojišťovny," který si přišel pro peníze, na telefonním čísle, které nám dal ten "zástupce." Proti man-in-the-middle útoku to prostě nefunguje.
- Zaměstnanci pošty jsou ohledně bezpečnosti také nevyškolení a většinou lidi, kteří si pro certifikát přijdou osobně, odkazují na Internet. Zaměstnanci na helpdesku jsou pro změnu schopní odsouhlasit i zcela smyšlený fingerprint.
- Celá tahle nebezpečnostní komedie by nemusela být, kdyby se fingerprint kořenového certifikátu nebo rovnou celý certifikát posílal v doporučeném dopisu spolu s přihlašovacími údaji. Nebo kdyby se použil certifikát třeba od 1.CA, která má také status kvalifikované certifikační autority a navíc má kořenové certifikáty předinstalované ve všech hlavních operačních systémech a prohlížečích.

[Jan.Podhajsky]

dneska budeme mit spicha s produkcni.

Hele, diks za ty dalsi argumentace, co jste tady napsali. Presne tak to chceme vest. Ivan i Petr Lupac dostanou dlouhej brief, jak se s tim porvat.

dalsi z veci je, ze Petr si snad prichysta nejaky grafy - kolace :) - z vyzkumu, aby jima mohl vrhat po oponentech. popravde jsou to ty samy vyzkumy, ktery pro ty oponenty delal, jenze je prekroutili :)) snad na ty data dostane ok k zverejneni.

[jzvc]

Zverejnete to na main page, uz zbyvaji jen 2 dny a jestli chcete mit nejakou sledovanost, je nevyssi cas. Nebo pockate az jak to dopadne ? .

[Jaroslav.Kucera]

Upoutávka je v novinkách na webu.

[Jiri.Rezek]

No, zveřejnil bych to rozhodně na FB,,,,

[jzvc]

Hodne k tematu bude nejspis bod 12 http://www.ceskapiratskastrana.cz/wiki/zo:docs:decl_cyb

[Ivan.Bartos]

Ahoj piráti, včera jsme zásadně diskutovali přípravu na zítřejěí life streaming ČT.
Pokud vás to zajímá, prostudujte a komentujte. Ještě je čas.
Díky Ivan

[Jaroslav.Kucera]

To s tou StB bych klidně použil a hned na začátku. Nejlépe v tom kontextu, že již za mlada tento pán pracoval pro StB a dohlížel na lidi nepohodlné minulému režimu, proto není divu, že se k tomu vrací. To by ho mělo ze zbytku pořadu prakticky diskvalifikovat. Ale jistě jste to také zvažovali

[jzvc]

Mnoooo, ja bych to videl tak, ze az vytahne takove to "nase deti je treba chranit pred zvrhliky jako jste vy ..." tak bych bezeslova komentare podal onen vypis moderatorce, necht jej precte sama .

[Tomas.Fuksa]

Můžete z toho udělat exemplární příklad kyberšikany + ukázku, že co se jednou na zaznamená není problém kdykoliv vytáhnout...