Názory k článku Česku chybí znalosti v kyberbezpečnosti, plně ji neovládají ani ajťáci

Proč bych to dělal když už mi to řekli?

A do té doby se o mě tajné služby zajímat nebudou?

přesně tak se řeší bezpečnost, minimalizují se rizika při zachování maximální funkčnosti.

Od admina se ani nečeká více, jeho hlavní úkol je dbát o chod systému, udržovat ho bezpečný a sledovat co se v něm děje. V případě podezření, incidentu by práci měl předat bezpečnostnímu týmu k vyřešení a co nejdříve zamezit problémům (nefunkčnost, únik dat atd.).

Ve velkých internetových společnostech je naprosto běžné, že je k dispozici bezpečnostní tým a admini se analýzou a zkoumáním zdrojových kódu či kódů aktualizací nezabývají a často tomu ani nerozumí, nikdo není superman.

Základní problém ideálního světa je ale cena, málokterá společnost si tohle může zaplatit a na řadu přichází sdílení zdrojů. Náš bezpečnostní tým a admini běžně spolupracují s dalšími společnostmi, stejně tak jsem u některých projektů využíval možnosti hostingů a jejich placeného supportu pro servery. Bohužel řada společností není ochotná jít touhle cestou a řeší vše doma lidma, kteří tomu nerozumí...

A máš tedy nějaký algoritmus/orá­kulum, který rozhodne, kdo je Jouda a kdo je Anděla, a jak to bude za 10 let?

Můžeš to prosím spustit na mě a pastnout sem výsledek?

Nemusite byt "zajmova osoba", staci kdyz na googlu budete hledat papinak, a po pristani na letisti v US dostanete do pasu razitko "nezadouci".

Divate se na to spatne. Netreba hodnotit rizika, treba je eliminovat. Administrator prevazne (pokud ma zrovna 10 minut na bezpecnost) neresi, jestli je nebo neni dany typ utoku proveditelny, on resi, jak minimalizovat rizika vsech utoku, i takovych, ktere vubec zatim neexistuji.

Tudiz defakto by mel system pripravit i na utoky, o kterych v tento okamzik ani ti, kteri se venuji bezpecnosti vyhradne, netusi. Samozrejme 100% to nelze, ale jak tu bylo receno jinde, i pomerne primitivni zabezpeceni muze byt temer 100%. Nebot realne utocnik nepoleze pres plot(hackovat firmu po siti), kdyz muze vejit hlavni branou(zeptat se uklizecky). Vse je ve finale jen otazka casu a tudiz penez.

No a jak jinak by to také mělo a mohlo dopadnout?

Mezi těmito variantami navíc administrátor může vybrat. Když zakáže opakování starých hesel, potom už zbývá jen to heslo na samolepícím žlutém papírku na monitoru.

I kdy, vždy je tu možnost. To heslo může být na modrém papírku, a ten nemusí být na monitoru, ale v šuplíku. A ten papundeklový šuplík může být i zamčený.

I kdyby to byl jeden z 5-ti miliónů, tak jeden jediný vydíratelný člověk za to stojí.

Také plácáš pitomosti o (bez)významnosti. Ten proces je automatický.

"Opět, nejčastějším hackem je to, že vám partner prošmejdí telefon na milence a milenku. Děje se to zcela běžně. K čemu by v NSA šmírovali váš telefon? Americký špión netouží po ničem jiném než znát vaši milenku, to víte že jo..."

Taková informace se dá použít k vydírání. A nejen o milence.
Ostatně proč si myslíš, že odposlouchávali, odposlouchávají, Merckelovou? Že by nějaký americký špión toužil vědět, asi z nudy, jestli má milence?

taky jsem to četl :), naštěstí MS s onedrive je míle za Google. Mluvil jsem o úniku a ne o zranitelnosti, ale ono to je ve výsledku to stejné.

Máš ale pravdu, že by to člověk tak moc na to spoléhat neměl...

Zrovna teď o tom píšou na Rootu: http://www.root.cz/clanky/postrehy-z-bezpecnosti-kolosalni-chyba-microsoftu/

> Vic než 95% se žádnou známou osobností nestane.

Víc než 95 % lidí nevyhoří, přesto může být dobrý nápad pojistit se.

> Za to víc než %90 zastánců toho, že je sleduje NSA tím maskuje jen svou bezvýznamnost . Kdy často nezajímají ani své blízké okolí, natož lokální tajné služby, o tech za oceánem nemluvě.

Jistě. Máš nějaký způsob, jak určit, ve které z těch dvou skupin jsem, a ve které budu za 20 let?

Jo jo jo Jo

to ale není pravda, generalizuješ podle jedneho produktu všechny ostatní.

V Google Apps rozhodně google nemůže data zveřejnit, mazat nebo si s nimi dělat co chce, naopak jasně se v nich řiká, že data patří předplatiteli, nikoliv google a nemohou se ani používat pro cílení reklamy.

U Googlu zatím není žádný veřejný masivní unik dat, stejně tak u MS (a samozřejmě u dalších služeb).

Jiste, narozdil od vas nectu denne o unicich dat od provozovatelu kde ceho, treba takova Sony, jedna z pidifirem. V pripade Googlu nebo Microsoftu pak rovnou v podminkach sluzby souhlasite s tim, ze vase data patri prave jim a mohou je vyuzivat jak se jim hodi. Klidne je zverejnit, nebo smazat.

asi povazuji vyhru 12 tisic za motivujici sumu, to se spletli asi o 50 let

je to o důvěře a Googlu firma důvěřuje. Pro většinu firem je nereálné mít vše svoje a prostě si musí někoho zvolit komu bude důvěřovat, ať už to je hosting, admin, operační systém atd. To, že jsou veřejná je pouze tvůj dojem a nemáš to nikterak podložené.

u nás jsme zase nechali klidně jednopísmenná hesla a zavedli yubikey pro všechny zaměstnance, hlídat svoje klíče si umí i ten nejhorší šéf a prozatím nejsou velké problémy, naopak si to lidé schválí.

u nás týdenní rotace hesla dopadla tím, že uživatelé lepí postit lístečky na monitory, nebo rotují jedno a to samé heslo a mění velká a malá písmena tam a zpět

Konečně se ozval někdo s reálnou praxí. Je to bohužel přesně tak jak je popsáno. 99% uniklých dat je vždy ukradeno vnitřním zaměstnancem.

Také v reálu je operativy tak hodně, že není prostě v lidských silách držet krok, tak jak si teoretici představují. Ano, existují bezpečnostní procesy, ale ty ve velkých firmách fungují poněkud jinak.

Ono to ma jeste dalsi aspekt - jakakoli bezpecnost (at uz interni nebo externi) neni jen o penezich, ale casto o pohodli. A vedeni mnoha firem neni ochotno obetovati ani pid sveho pohodli, tudiz pokud jim IT sdeli, ze jejich jednopismena hesla opravdu nejsou dobry napad, tak se stejne nic nezmeni. Natoz aby vedeni schvalilo kuprikladu odpojeni USB, vzdyt je nezbytne potrebuji - na prehravani svych mp3.

A realne vubec netusite, kdo vsechno k tem datum vlastne ma pristup. Realita je totiz takova, ze jsou verejna.

Uplne jednoduse, nemusi ani teoreticky vedet jak se vyuzije dira napriklad v IIS, kdyz k tomu IIS znemozni pristup.

s tím nelze než souhlasit, kupovat drahej zámek na vrata, které jde obejít je opravdu střelené.

Všichni na to nadávají, ale právě u cloudu je možné přístup ke zdrojům daleko lépe škálovat a auditovat, ač jsem původně byl proti, celá firma jedeme na googlu a mohu říct, že admini mají přesný přehled kdo kam leze, ale zároveň ani admini nemohou vidět obsah a přitom to tolik peněz nestojí. To je právě jeden z důvodů proč si společnosti volí podobné služby, na které mi v diskuzích nadáváme...

Jinak píšeš, že jsi admin. Třeba je nějaký zákazník vaší firmy zájmovou osobou (dodává technologii, kterou náhodou taky používají továrny na zbraně, whatever), nebo jsi u ISP a jde přes něj provoz, který NSA zajímá. Tak ti hackne mobil a doufá, že v dnešní době smartphonů ho nemáš jenom na faxting s milenkou, ale přihlásíš se na něm do nějakého vnitřního systému. https://theintercept.com/2014/03/20/inside-nsa-secret-efforts-hunt-hack-system-administrators/

> K čemu by v NSA šmírovali váš telefon?

Preventivně, kdyby ses náhodou v budoucnu stal zájmovou osobou?

Jsem admin a bohužel se nové věci objevují tak rychle že prostě už nestíhám. Sotva napatchji jeden systém, už je tu nějaký upgrade jiného, případně se objeví nějaká zákonná sr...a kterou je nutno implementovat a odladit. Operativa tak člověka zahltí, že studovat jak mu vleze někdo dírou domů stíhám tak po večerech. Ale nebojte. Ať se to pos... Tak se najednou u managementu finance najdou.

Bylo by zajimave vedet podle ceho padl predpoklad 5ti az 10ti uspesnych resitelu. Take by mne zajimal alespon naznak uspesneho postupu vedouciho k reseni. U podobnych soutezi jsou postupy zverejnovany - min. od autora bych to cekal, kdyz uz se nikdo uspesny nenasel.

nenapsal jsem, že neví jak toho zneužít, ale že to neumí. Nejnázornější je třeba situace se šifrovacími algoritmy, vím, že některé používat nesmím, některé jsou nejisté a některé jsou zatím bezpečné. To, že dneska je už RC4 nebezpečná věc ví všichni, ale zneužít jí umí pořád jen hrstka lidí.

To je tajný. Ale hackl jsem gůgl a co nevidím? https://www.alef.com/alefnula/podminky-souteze-alef-nula-hacker-challenge.c-210.html?hidden_hash=XdHCC2F

A link na tu sutaz ALEF NULA?

nemyslím si, že penetrace do nějakého prostředí je přímo úměrná schopnosti administrátora udržovat bezpečný systém.

Vědět X a vědět Y, abych tomu X zabránil neimplikuje totiž, to X umí sám zneužít.

Po několika stážích v zahraničích společností si nemyslím, že naše jsou znalosti horší, já osobně spíše narážím na problém svázaných rukou, pro řadu i velkých českých firem je nepředstavitelné, aby platili bezpečnostního experta nebo naopak spolupracovali s takovou firmou.