K predchozi diskusi: http://blog.azimuthsecurity.com/2013/06/attacking-crypto-phones-weaknesses-in.html

Talky z Brmlabu, nekdy v prubehu doby bude i ten o zakladech crypta na uzivatelske urovni ... http://nat.brmlab.cz/stream/
Pozdej linknu i nahravku, az bude... eng

PEPAK: Tak socialni inzenyrstvi je to nejlevnejsi. Ani nemusis intalovat keyloggery. Nekdy se staci dokonce jen zeptat... :)

NYX: On je tu jeste jeden problem: na jednu stranu se vyplati pouzivat malo rozsirene sw, protoze malware se pise vetsinou na sw, ktery je rozsireny, protoze je to efektivni. Na druhou stranu je dobre pouzivat rozsireny sw, protoze jsou v nem vice hledany chyby... ;)

LIBORO: Jak uz se reklo nize: ma, ale nestaci to...

Můžete prosím blbcovi (me) říct, jestli má nějaký smysl sifrovat celý disk TrueCryptem?

PROFOR: Proste zaver pro uzivatele: premyslejte nad tim, co (byt to vypada na prvni pohled nevinne) je mozne zneuzit - z toho, co o sobe rikate na netu, z toho, co o vas eviduje stat verejne na netu, z toho, co mate na disku, atd atd. _Potom_ se zamyslejte nad tim, jak eliminovat bud prozrazeni citlivych dat a nebo nasledky takoveho prozrazeni.
Vim, je to prilis obecne. Ale pokud nad tim clovek nebude premyslet, tak mu nepomuze sebelepsi sw.
Kdyz oponujeme nektere projekty, tak se sice udelaji nejake checky podle metodologii, ale stejne je nejlepsi se vzit do kuze darebaka a premyslet jako on a hledat diry tam, kde je zadna metodologie nenajde. A stejne bude clovek vzdycky az ten druhy.

NYX: Vsak ja jsem netvrdil, ze je sifrovani celeho disku uplne k nicemu (viz ta ochrana pri ukradeni - tedy kdyz je komp vypnuty). Jen je potreba si uvedomit, k cemu slouzi a nemit falesny pocit bezpeci. To je cele. Mas pravdu - kombinace obeho je rozumna.

A presne to, co rikas o tom uvedomeni si toho, s cim pracujes - to je dulezity - a tam vidim prostor pro propagandu. Ne lidem strkat technologie, ale ucit je a ucit je a ucit je... (bohuzel ne vzdycky to dopada na urodnou pudu)...

BTW - dneska je docela bezne to, ze notebooky maji antitheft ochranu. Zaroven je ale bezne si kupovat notebooky z druhe ruky. Kdo z uzivatelu se zamysli nad tim, ze kdyz je puvodni majitel darebak, ze se muze bavit tim, co delaji u kompu?

PEPAK: S tim uzivatelem souhlasim. :)) To je pravda :) Ale s tim, ze implementace je az daleko vzadu uz ne... Spravna implementace totiz muze v dost velke mire eliminovat i chyby uzivatele (i kdyz ne absolutne). Ostatne na mff byl (mozna jeste je) jeden clovek, ktery - kdyz mu studenti prinesou nejaky svuj program - si zahraje na totalne tupeho uzivatele a dost se nestaci divit (ti studenti), co se vsechno deje... Ostatne - popovidej si s Pavlem Vondruskou o tom, jak kvalitni jsou samotne sifrovaci algoritmy a jak kvalitni jsou programy, ktere je implementuji...
Kdysi se dobre napsanym programum rikalo idiotenfest a ani ty nebyly dokonale. Dnes je to o hodne horsi. Souvisi to se stylem prace pri navrhu a vyvoji sw.

PROFOR: Největší slabina obecně čehokoliv je oprávněný uživatel. Implementace je až daleko vzadu.

NYX: Ale no tak - ma - jen clovek musi vedet, co dela. A to je prave ten problem, o kterem jsem mluvil... Mas vsak pravdu, ze jak se clovek pohybuje zejmena v linuxu, tak nejak zapomina na jine OS, kde to tak snadne ukocirovat neni...

PROFOR: jak rikam nejsem militantni a bezpecnost pro me neznamena nasadi cryoto vsude kde to jde, to je overkill... ale se zvysujici se user-freindlyness uz je to rozumne nasazovat jakoze transparentne pro lidi... treba Pidgin by primarne mel uz chodi s pluginem OTR a byt nakonfigurovany do modu VYZADUJ CRYPTO, stejne jako nechapu, proc neni uz primo ve firefoxu HTTPS Everywhere ale musim jej BFU doporucovat [vypinatelny default SSL by podle meho nicemu neskodil] atp.


PROFOR: problem je, ze na tom zalezi na urovni ala prism, tedy plosne odposlouvhavani jen proto, ze to jde... je chladna rozvaha nenosit u sebe chytry telefon? neni. ale chladna rozvaha je treba revers engineering a vyzadovat otevrena reseni, aby bylo jasne, kdy jsem zbytecne sledovani...
Jinak rainbow tabulky samo nejsou nic noveho, myslim, ze na to tema bude i nova kniha Coryho Doctorowa... je to pop mezi geeky, ale kdyz sleduju uroven tady, tak je to klicove slovo, ktere by si lide meli najit na nejakem vyhledavaci

Vis co? Vis proc vedu tuhle debatu, ackoliv uz defacto nevyjadruju na nyxu nazory? Jde mi o to, ze ted je svet plny paranoidniho balastu ohledne prism a je ted nejlepsi doba VZDELAVAT Lamy a BFU, potazmo sebe sama.
Pokud budu psat aspon trosku smysluplne, naucim lidi, ktery aplikace maji pouzivat, jaky klicovy slova si vyhledat a tak a to je pro me dulezite. Je to propaganda ve smyslu: VOLE KOMUNIKUJ NA FACEBOOKU PRES OTR PIDGIN NE NADRZO POSTOU. atd. To je cil. Zaroven je cil posunout se, protoze ja jsem ta na urovni... ehm, no proste si o tom ctu a vlasne jsem se diky cryptu naucil zachazet s linuxem a tak... takze jako nekde je ten prvni krok kdy Te to zacne bavit, zacnes se ucit... a nekde se taky zastavis a ches aby ti ostatni dali vic. K obojimu bych jako smeroval sve aktivity ohlende crypta: propaganda propaganda propaganda. naucit lidi, aby nemuseli uplne moc premejslet nad resenim, ale nad dusledky, napriklad. delat veci transparentne atd.

Dneska vecer asi bude k dispozici nejaka ma prednaska z BRMLABU na tema Prakticka cryptografie. Prosukal a prochlastal jsem noc, takze nemam slidy a tak, tak uvidime, jestli to budu vubec linkovat, ale kazdopadne je porad co resit. Napriklad transparentni sifrovani disku je ted tema, co me zajima a snazim se vynmamit nejakej smysluplnej uvod do problematiky z Nyxe... atd.

Nic musim bezet. Pastnu link casem

OVERDRIVE: Jinak to, co pises o GSM je vec (a to se stale bavime na urovni studentiku, kteri si s tim po Praze hraji) stara asi dva roky. Myslim, ze nikdo znaly nebere GSM jako komunikaci, ktera slouzi pro duverne hovory. Na to je v tuto chvili mozne pouzit UMTS (obecne 3G, pokud si jej umis locknout a zajistit, ze nebudes mit handover do nizsi technologie). Ale opet je to o tom, ze nema cenu panikarit v pripadech, kdy na tom nezalezi.

OVERDRIVE: No - ono to je o tom, ze se nekdo hodne zajima a studuje a studuje a navic k tomu pouziva i zdravy selsky rozum a nebo je jen paranoidni a potom to dopada takhle... A ver mi, ze bezpecnost neni o tom _vsude_, kde to jde, nasadit sifrovani. Bezpecnost je o tom, ze si udelas chladnou rozvahu proti cemu a za jakych okolnosti se chces branit a k tomu nasadis spravny prostredky...