Vlákno názorů k článku Čtou ruské úřady zprávy na Telegramu? Kouzelné API neexistuje, tvrdí tvůrci od technomaniak - Těch možností (reálných/nere­álných) jak dosáhnout daného efektu je...

Těch možností (reálných/nere­álných) jak dosáhnout daného efektu je příliš.
(např. většina IT jsou posránci, když je rozhodí i trapné vulgarity/urážky na webu, teď si přestavte jak budou reagovat když budou mít nabitou pistoly u hlavy, nebo uneseš manželku či dítě, nebo jenom ukážeš pár jejich fotek jak jdou do školy - tyto scénáře jsou kruté ale reálné )

Já jsme mimochodem rád za tyto články, už jenom proto že lidem připomenou riziko nevhodného použití různých zařízení pro přenos informací, člověk by ke každému zařízení(cizí­mu/vlastnímu) měl přistupovat jako k potecionálně kompromitovanému. Na jednu stranu je neuvěřitelné, že pouhých 20.let stačilo k tomu, aby lidi dobrovolně(a sami si to ještě platí!!!!) u sebe měly zařízení s integrovaným mikrofonem, s GPS a non-stop připojenému k internetu. Tak toto kdyby mě někdo řekl na začátku 90.tých tak bych se mu úplně vysmál.

Tak na tom, co popisujete v posledním odstavci nevidím nic špatného per se, naopak jsem se na to i těšil.

Co je problém a co opravdu nezkousnu (a to i za cenu odříznutí se od majority) je to, že ono zařízení aktivně posílá získaná data někam domů. A co neopchopím, že jsou lidi ovce, že mávnou rukou a používají to, přestože o tom dobře vědí.

Jinak ano, rubberhose cryptoanalysis je i v popsaném případě nejpravděpodob­nější, s tím že ani k té hadici nemuselo dojít, když si to některý z účastníků nezabezpečil ani heslem. (Ano, SMS je pořád dobrá doplňková autentizace proti běžnému útočníkovi. Ale rozhodně ne jediná, a tím méně proti cílenému útoku.)

No, na to jsem taky nepřímo narážel tedy na aktivní stažení aplikací co tohle dělají. Tak jako jsem už od 90tých přistupoval k netu jako systému který je tajně monitorován (viz. kauzy Assange, Snowden), které mě tehdy moc nepřekvapily, tak stejně přistupuji i k těmto zařízením. To, že to je pasivní ještě neznamená že uvnitř nemůžou být schované programy, které daná zařízení nepromění v aktivní odposlechy.

Samotného by mě zajímalo jestli třeba procesorech/mi­kroprocesorech by nemohlo existovat tajné API(přesněji. instrukční sady), ke kterému by s normálními kompilátory nebyl přístup. Na druhou stranu toto by se asi utajit nedalo. I když jsem viděl nějaký dokument kde mluvily o tom, že 80.tých tajné služby USA napomohly získat Rusům specifické procesory či zařízení, které v sobě měly kurvitko, které v určitém případě nebo po určitém čase přestaly fungovat nebo dělaly chyby. Když tohle dokázaly, proč by nešlo mít tajnou instrukční sadu.

Žádná tajná API/instrukční sady pro procesor jako takový nejsou. Co existuje specificky u Intelu a AMD je separátní menší mikroprocesor uvnitř samotného CPU (kompletní i s vlastním operačním systémem a neveřejné - viz. technologie 'Intel Management Engine' a 'AMD Platform Security Processor'), které představují kompletní prostředí používané k dálkové správě počítače, tzn. jde o zařízení, které má kompletní přístup ke všem subsystémům počítače - fakticky tak má přístup k HW na nižší úrovni, než třeba BIOS/EFI (podobně jsou na tom mobily, kde každý mobil má svůj separatní procesor/systém obsluhující anténu - tyto ale dělá velké množství výrobců narozdíl od PC, kde jsou dva).
Pokud bude chtít tajná služba ovládnout počítač na dálku a získat data z paměti, tak pro to využije právě tyto technologie - proto jsou taky takové snahy ze strany Ruska a Číny vyrábět vlastní mikroprocesory, byť by tyto měly být výkonnostně o 2 a více generací pozadu.

Intel má históriu nedokumentovaných inštrukcií. K niektorým sa dali získať informácie pod NDA, k niektorým ani tak. Tieto zvyčajne sú špecifické pre konkrétnu mikroarchitektúru, v ďalšej generácií zmiznú, resp. sú nahradené inými inštrukciami. Inštrukcie však nie sú dostatočné na to, aby vykonali nejakú high-level činnosť, na to sú ME, resp. PSP ďaleko vhodnejšie.

ARM má zase svoj Trusted Execution Environment. Tam ani srnka netuší, čo výrobca zariadenia dal.

Ad unos: mel jsem roota vsude u jednoho IT giganta a v pripade unosu nebo ohrozeni byli instrukce jasne: spolupracovat a nehrat si na hrdiny. Firma byla ochotna zaplatit pripadne vykupne, jakozto pripadnou ponuku namisto dat.

Stejne jsou vsude audit logy a nektere citlive ucty maji monitoring, ktery by me hned po pristupu vysvitil u security.

A nakonec, nepratelska policie si mozna precte nekolik schranek disidentu. Disidenti tohle vedi a pouzivaji PGP, takze ziska "pouze" metadata. Nic prijemne, ale za ohrozeni zivota to nestoji.

Samozřejmě, je jasné že kvůli některým(drastické většině) datům si nestojí stát se hrdinou. Hlavně jsem chtěl poukázat, že ty informace se dají získat i netechnickými cestami a netřeba k tomu v zásadě nic sofistikovaného. Že stačí i konvenční způsoby bolest, vydírání, násilí, apod.. A taky, že lidé kteří se snadno rozhodí, neboť jsou zjevně přecitlivělí nebudou tak odolní.