Hlavní navigace

Vlákno názorů k článku CSIRT.CZ: útoky z minulého týdne se nedostaly k cílovým serverům od PT - Skutecne doporucuju venovat veci trochu cas a prislusne...

  • Článek je starý, nové názory již nelze přidávat.
  • 13. 3. 2013 19:02

    PT (neregistrovaný)

    Skutecne doporucuju venovat veci trochu cas a prislusne veledilo si precist. Zaujaly me nasledujici body:

    1) Popis udalosti mi prijde jako by ho vytvarel nekdo na zaklade toho co si precetl v novinach.

    2) Je pekne ze bylo odhaleno, ze utoky jsou ze site RETN, nicmene reakce z jejich strany zadna. Tedy nejak mi unika smysl vytvareni CSIRT tymu, kdyz presne to co CSIRT deklaruje, ze ma delat stejne neni schopen realne zajistit.

    3) Pise se tam, ze spravci v sitich svou roli zvladali dobre - aby ne, je to tak nejak jejich prace. V cem jim teda pomahal CSIRT (teda krtom toho, ze je mozna otravoval aby mel nejaka data o kterych pak bude moc psat)

    4) Docela by me zajimalo k cemu dosla ona oborna skupina cz.nic, cesnet, gts, sporitelna. Jak to pak prispelo k omezeni utoku? Souvisi to asi s bodem 5.

    5) Technicka doporuceni - pri vsi ucte, jsou to doporuceni asi jako neco typu "jidlo se dava do pusy". Mam neblahy pocit, ze odbornici z CSIRTu zacinaji teprve objevovat jake realne prostredky se dnes uz leckde pouzivaji.

    6) Sama zprava pise, ze operatori jsou vcelku dobre pripraveni. Opet prilis nerozumim v cem jim tedy byl CSIRT napomocny.

    V souvislosti s CSIRTem se neustale hovori o nejake koordinaci, predavani informaci, komunikaci, ale vse je pro jistotu opredeno tajmenem, takze neni jasne jake presne informce se predavaly a k cemu, komu a jak slouzily.

    No a zaverem si neodpustim poznamku k vete "...CSIRT týmu ještě více podporovat komunikaci a výměnu informací na technické úrovni..."

    Mam tomu rozumet tak, ze potrebujete kompetence k tomu aby vam ty informace MUSEL nekdo vydat ? Co jineho si predstavit pod "podporou komunikace a vymeny informaci" ? Mel jsem za to, ze zijeme ve spolecenskem zrizeni, kde plati svoboda slova a kazdy si muze sam rozhodnout jake informace chce a s kym vymenovat a hlavne s kym urcite NE. Kazdy muze dle sevho uvazeni psat o utocich na blogu, prezentovat je ostatnim a pripadne si za to know-how nechat zaplatit.

    Na druhou stranu me ponekud uklidnuje, ze nekteri odmitli vydavat nejake informace tretim stranam, tedy lidem z CZ.NICu, pripadne CESNETu (byt se to jmenuje vznesene CSIRT.CZ). Predpokladam, ze asi budete pracovat na tom aby se to uz priste neopakovalo.

    Jen jeste ryze spekulativni otazka - co myslite, ze by minuly tyden bylo jinak, kdyby zadny CSIRT nebyl ?

  • 14. 3. 2013 9:28

    Atila III (neregistrovaný)

    Může to být také, ale velice jednoduché prostě proti tomu nebojovat. Citlivé sítě a systémy nemají být vůbec k internetu žádným přímím způsobem propojeny už vůbec ne ty státní a ani ty soukromé. Prostě mezi vnitřní síť a internet posadit člověka i za cenu chybovosti. No a www plakáty různých firem a staních institucí můžou pro mě za mě hackeři vesele napadat. Prostě žádný problém jenom více peněz pro lidi a ne stroje to je celé.

  • 14. 3. 2013 10:40

    Atila III (neregistrovaný)

    V tom případě ať si stát a firmy vyžerou co si sami zaseli. Rozhodně by za to neměli doplácet daňoví poplatníci zvláště jeli jim úplně ukradený na jaké www plakáty kdo útočí.

  • 14. 3. 2013 14:18

    Atila III (neregistrovaný)

    Nerozčiluj se Žeryku. Ono by to ve skutečnosti mohlo býti takhle jednoduché a většina kritických systémů přesně takhle dneska funguje. Jenom to nechce být závislí jenom na tom jednom internetovém kanálu, ale třeba si zajít do banky osobně. Jenže je to vše o penězích a lenosti lidí v bankách by museli zaměstnávat více lidí kteří by museli obsluhovat klienty bez dlouhých front. Nebo třeba operátoři by museli zaměstnat více lidí na zákaznické linky atd.
    Rozhodně pokud se nějaká firma rozhodne pro určitou obchodní strategii a pak zjistí že na to nemá (zabezpečení, dostatečně vzdělaní IT, neschopnost managementu, atd.) neměl by ihned její neschopnost řešit stát za peníze nás všech.
    To je o co mi jde nemusí se hnedle kvůli tomu rušit zrovna internet natož jakkoliv omezovat jeho svobodnost. Jestliže se někdo rozhodne býti na internetu pak i s tím rizikem že jeho data dostane nějaký hacker a to podle mě má platit i pro firmy a né že budou tlačit na státy aby jim pomáhaly. Pokud se i přes to rozhodnou na internetu být tak ať si zabezpečení dat řeší jak chtěj za jejich peníze. Internet se živelně rozvinul do nádherné svobodné až anarchistické věci je na něm nádherně vidět co je ve skutečnosti lidstvo zač a mělo by to tak zůstat pokud to někomu nevyhovuje ať si stvoří vlastní internet podle svých pravidel a za vlastní peníze, ale tenhle by měl patřit všem bez rozdílů vyznání, kasty, názorů a ideologii.

  • 14. 3. 2013 10:56

    Danny

    Nechapu konstrukce typu "RETN nereaguje, CSIRT je zbytecny". Uz samotna informace o prevazujicim zdroji utoku je uzitecna, zvlast z pohledu koncove site, na kterou se to v dany moment vali. S tou informaci se da dale pracovat a touto informaci CSIRT uzitecny byt muze.

    Uprimne - ja take nebudu verejne vypoustet vsechny informace, ktere vim. Predam je maximalne nekomu duveryhodnemu, u koho mam zaruceno, ze tyto nezneuzije - a i tak budu hodne opatrny. Problem v podobnych situacich je skutecne to, ze technicke informace nekdo odmitne predat s odkazem na nejakou ochranu soukromi atd. I kdyz by je treba predal rad - ale boji se postihu podle jineho zakona.

    Tahat svobodu projevu do situaci, kdy realne dochazi k napadeni nekoho je ponekud irelevantni. Jen proto, ze je svoboda projevu komukoliv rozbit hubu taky nemuzete ;-)

  • 15. 3. 2013 9:39

    Michal Krsek

    Mno krome toho, ze se Krsek o zadnou funkci neuchazi, tak se zda, ze jste mozna spatne pochopil funkci CSIRT.

    Funkce CSIRT je kontaktni a koordinacni. To, ze mate CSIRT ve vasi organizaci, znamena jenom to, ze v pripade utoku, ktery se tyka vasi site (jste obet, delate tranzit a nebo mate v siti utocnika), je nejaka kontaktni adresa, na ktere muzete komunikovat. CSIRT na narodni urovni je jenom organizace, ktera muze pomoct najit kontakt nejakemu zahranicnimu zoufalci a pripadne zorganizovat nejakou "multilatelarni komunikaci".

    Zbytek je neco, co si proste domyslite.

  • 13. 3. 2013 23:22

    AI (neregistrovaný)

    Sdileni detailnich technickych informaci v podobe nutne pro koordinovane analyzy je skutecne problem. ZoEK efektivne brani predavani takovych dat.

  • 14. 3. 2013 1:21

    m (neregistrovaný)

    hmm, a nemělo by se to řešit nějakou částečnou anonymizací těch dat, spíše než rušením zákonů ochraňujících soukromí?

  • 14. 3. 2013 3:08

    AI (neregistrovaný)

    To je celkem komplikované. Anonymizací těch dat, respektive zakrytím zákonem chráněných provozních údajů, ta data prakticky znehodnotíte pro detailní analýzu a celá snaha s těmi daty operativně pracovat za účelem eliminace trvajícího útoku nebo pátrání po zdroji atd. padá pod stůl. Je samozřejmě otázkou, jak korektně vyvážit chráněné zájmy vůči technické nutnosti znát hluboký detail pro účinnou obranu. Internet je příliš komplexní a robustní, což je na první pohled naprosto skvělé, ovšem skýtá to i široké možnosti prakticky nepostižitelně škodit. Rychlá expertní spolupráce mezi sítěmi, ať jsou operátorské nebo koncové, je jediná možnost boje s útoky obecně. Ale k tomu je potřeba mít potřebné nástroje, možnosti a ideálně i připravené scénáře pro koordinaci a spolupráci. V situaci, kdy legislativa vlaje léta za vývojem reality, stát nemá k dispozici prakticky jediného kompetentního odborníka na nic a nedokáže takové lidi angažovat, je to v podstatě předem prohraná bitva. Že se něco v právních předpisech v tomto směru stát musí je jasné. A že nesmí utrpět svoboda a soukromí si doufám odpovědní úředníci uvědomují. Tak uvidíme.

  • 15. 3. 2013 7:56

    PT (neregistrovaný)

    Jo presne o to jim nejspis jde a je to presne to s cim nesouhlasim. Bezduvodne se vytvari struktura, ktera v konecnem dusledku bude jen skodit (= otravovat a buzerovat jen proto aby sama o sobe obhajila svoji dulezitost). Se zastavovanim utoku to samozrejme nema nic spolecneho (Jak se ostatne ted potvrdilo).

  • 15. 3. 2013 8:28

    x (neregistrovaný)

    Ano, tak je to spravne, tak to ma byt ... dejte Krskovi funkci ... a vymysli lejstro ... nebo to bylo nejak jinak? A aby se admini nemuseli zaobirat vyplnovanim nejakych debilnich hlaseni, tak si na to povine kazdej najme aspon 10 uredniku. Takze nam tu pekne vznikne neco jako povinost vyplnovat lejstra nahowno pro statistickej urad ...

  • 15. 3. 2013 21:29

    PT (neregistrovaný)

    Neni rec o utoku, ale o incidentu (=nejaky zakaznik mel na torentech posledni dil zoufalych manzelek). A i kdyby vysetrovani kriminalniho precinu ma byt prace policie a ne nejakeho samozvaneho CSIRTu.

    Nicmene to je pak tezka diskuse, kdyz nejdriv tvrdite, ze CSIRT stejne z principu nic delat nemuze a kdyz vam clovek predlozi argument, ze CSIRT presne tohle delat chce, tak tvrdite, ze je to vlastne v poradku a proc by to nemel delat.

    Timto se k tomu uz vracet nebudu.

  • 15. 3. 2013 18:20

    PT (neregistrovaný)

    Asi se pohybujeme v jinych realitach

    Doporucuju se podivat na video z konference IT11, konkretne http://www.nic.cz/public_media/IT11/den2_05_andrea_kropacova.mp4

    Cca od 15-te minuty. Pro ty co se na to nechteji divat si divolim nekolik vybranych citaci (jak jinak, nez vytrzenych z kontextu).

    CITUJI:
    ...
    CSIRT by mel zadat zpetnou vazbu, mel by se starat o to co spravci s bezpecnostnimi incidenty delaji, jak je resi
    ...
    Co se musi zmenit je vnimani jak ma probihat incident handling.
    - Budes vyzadovat od koncoveho spravce odpoved
    - Tim ze jsi to tam poslal to nekonci,
    - Budes jim pomahat
    - Budes je tlouct kdyz ti neodpovi
    - Budes ten problem eskalovat na nadrizenou autoritu
    ...
    - My vam opravdu nedame pokoj, my vam to budem posilat znova a znova
    ...
    KONEC CITACI

    Jen tak pro predstavu jake "chute" maji clenove CSIRTu.

    Dale pokud se podivate jak probihaji cviceni CSIRT tymu (bezesporu velmi uzitecna), tak proste to zadnym koncem neodpovida tomu, jak je snaha prezentovat zamyslenou cinnost CSIRT tymu v techto dnech. Video je k mani na http://www.nic.cz/public_media/IT12/Tomas_Hala.mp4 , pripadne clanek http://www.root.cz/clanky/reportaz-cvicny-utok-na-eu-na-vlastni-kuzi/.

    Pokud je to jen v rovine akademickych instituci a hrani si na virtualni vojacky, tak je mi to celkem jedno, ale vime jak to chodi. S jidlem zpravidla roste chut.

    Nazor necht si samozrejme udela kazdy sam.

  • 18. 3. 2013 10:13

    Danny

    Policii sice mame, ale ona nezvlada poradne ani to, co ma delat dnes. Ale chapu, pokud sam jste v pozici utociciho cloveka, pak vam jeji neschopnost konat vyhovovat muze a zakonite budete volat po tom, aby se nic nemenilo ;-)

    Srovnavat problematiku utoku vedenych na internetove infrastrukture se sousedskymi vztahy je ponekud zcestne. Souseda je mozne se jednoduse zbavit, treba tim ze treba zmenim misto a soused ode me bude dostatecne daleko. Na internetu tohle nejde - i kdyz zrusim primy propoj se siti, ze ktere je veden utok, porad se nejaka cesticka nekudy najde. Navic je realitou, ze i v CR funguji subjekty, ktere moc ochotne spolupracovat pri eliminaci utocnika proste nejsou. Takze stavet jen na nejake dobrovolnosti take plne nejde. I na bazi dobrovolnosti spousta subjektu naopak spolupracuje pri reseni podobnych incidentu uz dnes - a popravde, tem nejaka pravni kodifikace takoveho pocinani vadit rozhodne nebude, naopak odpadnou ruzne sporne otazky.

    Bezny obcan v tomto ani neni schopen rozlisovat, co je a neni potreba. On maximalne rozlisuje stavy funguje / nefunguje, ale o nejakych technickych aspektech paru fakt nema. A kdyz neco nefunguje, tak dokaze byt cela rada beznych spoluobcanu znacne neprijemnych. A casto, cim mene za sluzby plati, tim vice nadava ;-) Ono staci proletnout diskuze v neodbornych periodikach, co tam je obcas za perly...

    A mimo jine - rozlisuju mezi tim, kdy dochazi k nejakemu utoku na neci infrastrukturu, kdy dojde ke zneuziti nejake bezpecnostni diry atd... a tim, kdy si nekdo doma neco "sosa". A rozhodne nepristoupim na to, aby se kvuli torrentum neresilo radsi vubec nic - torrenty jsou to posledni, co vsechny trapi. Na druhou stranu je nesmysl si vytvaret nejakou iluzorni predstavu nejakeho soukromi na internetu.

    Nektere konstrukce (mj. ta s temi torrenty) jsou jen obycejnym pritahovanim reality za vlasy na zaklade mylnych dojmu. Do odborne diskuze kolem pravni kodifikace problematiky CSIRT se ma moznost zapojit kazdy, kdo k tomu ma co rict. A jen na pude CZ.NICu tech pripominek par vzniklo. Kazdopadne, ze vznikne nejaky globalnejsi pohled na to, co se v jednotlivych sitich z pohledu skutecnych bezpecnostnich incidentu (viz vyse) deje rozhodne od veci neni.

  • 14. 3. 2013 10:04

    Karel (neregistrovaný)

    Jenomže to už dnes prakticky nejde, příkladem jsou datové schránky nebo komunikace s bankami. Jistě, velmi významé sítě by měly být od Internetu odděleny, ale nepochybuji o tom, že tak tomu je.

  • 14. 3. 2013 11:50

    Žeryk (neregistrovaný)

    Představujete si to jako Hurvínek válku. Kdyby to bylo tak jednoduché a jasné, už by se to dávno stalo a nemuseli bychom čekat na Vaši dobrou radu. Ještě nám zkuste navrhnout úplné zrušení internetu a pak jděte jako první příkladem. Bez keců o svobodě.

  • 14. 3. 2013 22:33

    PT (neregistrovaný)

    Protoze aby CSIRT mohl neco smysluplne delat, tak k tomu potrebuje kompetence (coz lide s CSIRTem spojeni nijak nepopiraji). Bez nich ma CSIRT postaveni stejne jako asi mistni svaz zahradkaru. Nicmene pokud nejaky CSIRT ma mit nejake nadstandardni pravomoce, tak s tim, jako obcan, ostre nesouhlasim ! Od toho tady mame policii a jeji slozky.

    Ano to je presne smyslem prislusneho zakona aby data/informace nekdo jen tak nekomu nepredal i kdyby chtel (navic jeste rad). Argumentovat tim, ze byl nekdo napaden je zcestne. To je asi jako kdybych ja predaval vasemu sousedovi informaci o vysi vaseho platu jen proto, ze si myslim ze jste darebak (neberte to prosim osobne - ryze priklad) a ze berete tolik na kolik nezasluhujete a povazuju to treba za strasnou nespravedlnost.

    Za sebe bych si nesmirne pral aby ony CSIRT tymy v zadnem pripade neziskaly vetsi kompetence nez vyse zmineny svaz zahradkaru. Bohuzel realita asi bude jina, neb kazdy byrokraticky organizmus prahne vzdy po vetsi moci a narozdil od nas beznych lidi, kteri maji spoustu jine prace, je ono uzurpovani moci jejich kazdodennim chlebem. Je to tedy boj znacne nerovny.

    Ostatne vzpomente si na energeticke stitky na budovach - nejsem si vedom, ze by nejaky obcan po necem takovem touzil. Je to pouhe vitezstvi stitkove lobby, ktere spoustu lidi bude stat nemale penize za stitek ktery je dobry tak leda na.... .

    Mozna si na tato slova vzpomenete az budete za cas CSIRT tymu vyplnovat formular o poctu vyresenych bezpecnostnich incidentu za posledni rok, pripade budete platit pokutu za to, ze jste neodpojil vaseho uzivatele (=zakaznika), jen proto z torrentu nekde stahnul nejaky hollywoodsky skvar.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).