Vlákno názorů k článku Juraj Malcho (ESET): Běžným lidem nedochází, že i chytrá televize se dá napadnout od Petr M - Tak se s tím smiř. Máme oficiálně dvě...

Tak se s tím smiř. Máme oficiálně dvě stejně legitimní verze IP protokolu a ISP už to normálně nabízí (třeba VDSL od T-Mobile dává /56 prefix a pokud si to BFU nevypne, telka má veřejnou adresu automaticky). Ignorovat jeden z nich, když diskutuješ o bezpečnosti, je prostě špatně bez ohledu na osobní názory na IPv6 nebo na to, že to milostpána nudí.

Bagatelizovat bezpečnost systému tím, že na IPv4 je za NATem a ignorovat IPv6 je jak tvrdit, že těžkou věc ti na rudlu z baráku zloděj nevyveze, protože u vchodových dveří je pět schodů a při tom ignorovat bezbariérový přístup z terasy přes zahradu. Btw, NAT nechrání před ničím, takže i tak by ta argumentace byla na vodě.

Článek problém trochu zjednodušuje a trochu straší lidi. neni divu, prodat antivir do všech tv a telefonů by byl obchod století. Existuje několik věcí které je třeba rozlišovat. Tou první je, zda na chytrém zařízení běží android a nebo jakási upravená linuxová distribuce. To je obrovský rozdíl. Android, nebo linux, je za běžných podmínek napadnutelný dvěma způsoby.

Prvním je získání přístupu k systému z venku po internetu pomocí nějaké od výrobce nezabezpečené aplikace. Dejme tomu ssh konzole se slabým heslem. Nebo špatně nastavené ftp. To může, a je, problém na linuxových chytrých zařízeních, kde útočník může teoreticky získat plný přístup k zařízení a i ho poškodit. Nicméně na androidích telefonech se to nestává protože tam ssh konzole ani nic podobného v základu neni. Nehledě na fakt, že žádná televize nebude mít veřejnou adresu čímž se problém eliminuje téměř k nule pro linux i Android.
V tomto případě antivir absolutně nic neřeší.

A pak je tu druhá možnost, tedy pomocí nějakého, dejme tomu, malware kterýsi uživatel sám nainstaluje. Tady to není problém pro upravený linux protože takové zařízení (jako třeba webos od LG) v zásadě umožní instalaci jen z oficiálního zdroje a ještě omezeně. Ale začíná problém pro Android. Nicméně NEmá cenu propadat panice a hned kupovat antivirový program. Ten škodlivý malware na Androidu, to bude aplikace která se NEnainstaluje sama od sebe, ale uživatel jí vědomě nainstaluje sám, většinou z neověřeného zdroje. Neni to masový problém a situace je srovnatelná s mobilním telefonem. Pokud je uživatel rozumný a používá google play (případně obchod výrobce zařízení) tak se šance na problémy blíží k nule. nehledě na fakt, že běžná aplikace v Androidu ani nemůže mít práva aby poškodila systém, i když může škodit.
V tomto případě má antivir malý význam pro uživatele androidu a je tu analogie s telefony. Ten antivir v zásadě nedělá nic jiného, než že (zjednodušeně) porovnává nainstalované programy s programy v jakési databázi těch závadných. A pak občas aby se neřeklo tak proskenuje celé zařízení což nedává absolutně význam protože kde by se tam ten program vzal když antivir běží rezidentně a zdržuje pořád.

Nejak jste pominul, ze primarni aplikaci vsech tzv "smart" TV je webovy browser, a ten je a vzdy bude deravy. Problem pak je predevsim to, ze vyrobci sve vyrobky neaktualizuji. Takze uzivatel nic instalovat nemusi a zadne verejne IP neni treba. Staci na to vhodne sestaveny javascript. Ostatne, muzete dohledat spousty postupu jak se prave pres deravy browser dostat k ovlatnuti TV, ziskani roota a instalaci neceho, co bude narozdil od dodavaneho crapware delat to, co uzivatel chce.

Zadny antivir tomu nepomuze, nebot ten na tom bude exaktne stejne - nikdo jej nebude aktualizovat.

No třeba u nás na vesnici měl T-Mobile vloni investiční akci, router s podporou IPv6 dávali za korunu, jednu veřejnou IPv4 a /56 IPv6 automaticky v ceně. Z 15 baráků vím o čtyřech BFU, co toho využili. Pokud o IPv6 nic neví, nevypne ho a je odkázaný na defaultní nastavení routeru (včetně firewallu). Takže IPv6 v síti prostě mají, pokud se neupíšou kyslíkářům.

No a když BFU koupí novou telku a chtějí koukat na YouTube, prostě si zapnou WiFi, zadají heslo a v tom okamžiku telka vidí veškerou komunikaci v LAN (protože prolomená WPA2 a kabel je sprostý slovo). A může ven.

A i kdyby dneska IPv4 v sítích normálně nebylo, počítat se s tím do budoucna prostě musí. Je to holt standard a rozšíření klesat nebude. Osobně bych dneska bral šanci na IPv6 při návrhu zařízení jako 50/50 - buďto tam je, nebo ne a ignorovat nejde (protože Srandoid vychází z Linuxu a kernel IPv6 podporuje).

Nemyslíš, že pokud někdo ohledně bezpečnosti argumentuje "tohle tam nikdy nebude" a ono to tam normálně je, tak by bylo fajn zmínit, že něco přehlídl a jeho argumentace je díky tomu trochu mimo?

Veřejnou IPv4 adresu mít pravděpodobně nebude, pokud nebude viset na recepci někde v korporátu. Veřejnou IPv6 už má, pokud je přiděluje router, za kterým visí...

Ale je fakt, že antivir bezpečnost spíš zhoršuje a snižuje výkon zařízení...

Strach je emoce a emoce prodávají. Kdo se bojí, ten nebude dělat racionální analýzu situace.