"bezpečné jsou sítě tak, jak si je zabezpečí jejich provozovatelé"
Poněkud naivní. Když máte v krabičce backdoor, ať úmyslný, nebo jde jen o šlendrián výrobce, nic vám nepomůže. Viz legendární díra v routerech ROM0.
Nebo výpadek britských operátorů, když Ericsson pustil update, kde byl expirovaný certifikát a aktualizované prvky přestaly komunikovat. Výpadek částí sítě přes 24 hodin.
Když je výrobce nedůvěryhodný, je totální pitomost od něj něco kupovat. Jak důvěryhodný je Huawei, když je stíhaný za průmyslovou špionáž od roku 2012?
Opravdu je rozumný postoj "neřešme původ"?
Nějak mi to přijde jako článek na objednávku, kde je účel jasný, teprve dodatečně se pak hledají pro něj argumenty a dělají z lidí hlupáky.
Zmíním pár z těch slabších:
- "Levné routery za pár stokorun, které si lidé kupují nejčastěji, nejsou zrovna zázrak bezpečnosti,..." - ano, lidé někupují to nejlepší, ale ty největší šunty tradičně distribuují tradičně operátoři, takže nemá cenu dělat vola z uživatelů.
- "Jakou úroveň zabezpečení mají další domácí spotřebiče, které je nyní módou připojovat k internetu, jako jsou třeba „chytré televize“, si ani raději nedomýšlím..." - zase pláč na špatném hrobě, před pár měsíci mi nešla nová televize LG bez připojení k internetu ani zprovoznit, móda-nemóda.
- "...koneckonců pořád ještě vídáme to, že si někteří lidé píšou přístupová hesla na papírky a ty pak přilepují k monitoru" - další urban legend. Kolik nemocnic bylo kvůli papírku na monitoru napadeno?
Neřešte původ? Ale tím se musí začít. Absolutní většina čínských značek má nějaký problém co se týče bezpečnosti či šifrování. Čím levnější šunt tím větší jistota. Čínský výrobce nakupuje a lepí do kupy velmi divné celky kterí v prvním okamžiku kdy začnou trošku fungovat tak spouští velkovýrobu a chrlí výrobky. Sw na něm běžící se už neřeší, firmware už taky ne. On totiž za měsíc soudruh v nákupu už nesežene ten puvodní čip a tak se bastlí zas nějaká jiná verze.
Mám domácí a firemní síti celkem slušnou řadu krabiček co jsem je nakoupil protože jsou levné s tím že bezpečnost si vyřeším až u mne na síti (typicky pravidlem na routeru abych je odříznul od vnějšího světa) Když to neudělám tak výsledkem je např kontinuální tok dat na čínské ip adresy. Rekordmanem je NVR server co i když na něm není jediná kamera , tak vytváří tok 7-30kbit/s na 3 čínské IP adresy. Mám tu taky GSM bránu na rozesílání smsek která při každé odeslané sms vygeneruje datový provoz na dvě čínské IP adresy. Kdybych měl čas to analyzovat víc tak bych se asi divil. Takhle jim jen zakazuju na mikrotiku jakýkoli provoz ven a dál to neřeším. Stačí mi ta základní funkcionalita co ty krabičky dělají. Samozřejmě mám v sítích asi dost děr , ale život je příliš krátký na to abych řešil bezpečnost na 100%.
naprosty souhlas. Clanek mi pripomina spise masirku na to proc nekdo chce nasadit Huawei nez aby se vazne zamyslel nad rizikami. Krome toho rikat neco o bezpecnosti jako “by default” u operatoru je proste naivni. Za svuj zivot jsem nejenom v CR ale i v jinych statech po celem svete zazil to, ze dulezite jsou pro operatora naklady a na nejakou bezpecnost se se$e jako vsude. Od toho ze se provozovali datove site bez jakehokoliv sifrovani az po soubory s klicema do site readable pro kohokoliv na SIM karte (zdravim nejmenovaneho Francouzskeho vyrobce). Taky ze operatori maji desitky bezpecaku je proste vlhky sen nekoho kdo nevidel realitu nebo kdo k bezpecakum operatora radi i ochranku u vstupu do budov.
Kdo je dodavatelem technologií hraje zásadní roli. Zabezpečit síť plnou zařízení s backdoorem nejde. A i pokud tam backdoor nebude, tak je krajní nerozum se stát technologicky závislý na firmách z jedné země, tím spíš, když je to diktatura, co má historii nesplněných slibů a jednostranného jednání.
Čína zneužívá byznys k protlačení své politiky víc než jakýkoli jiný stát. A zbavit se závislosti na Číně bude čím dál těžší.
Levné routery za pár stokorun nedistribuují operátoři, ale Alza a podobní prodejci. Operátoři mají často svoje vlastní routery (třeba O2). Důležitost zabezpeční sítí narůstá a i malí operátoři mění svoje chování.
To, že vám chytrá televize LG nešla zprovoznit bez připojení k internetu spíš potvrzuje argumentaci článku - jakou úroveň zabezpečení ta televize má? Má na sobě kameru, což hodně televizí má, protože je fajn s jejich pomocí dělat videokonference přes Skype? Mrk mrk.
Hesla na papírku nejsou urban legend, ale bohužel jsou běžnější ve veřejné správě, než by si člověk myslel. Nesmyslné bezpečnostní politiky typu “každých 90 dní si změňte heslo” tomu samozřejmě masivně nahrávají.
V lukrativním oboru, v němž se točí miliardy, by bylo divné, kdyby se občas nevynořily „nezávislé“ články dokládající neškodnost toho či onoho. Ve 40.–50. letech zažila Amerika vědecké studie o neškodnosti kouření, o 20 let později zase vědci sponzorovaní potravinářskými kolosy na sladkosti rozšířili vědomí o tom, že cukr je prospěšný a za všechno mohou tuky a cholesterol. Nyní se zase objevují články o neškodnosti čínských technologií od firmy kontrolované komunistickým státem. Ale pan Rejzek to jistě psal nezištně …
Ach jo, pane Rejzek,
tento článek se nepovedl.
Neřešme původ, největším nebezpečím je uživatel a jeho levné krabičky mimo bezpečnostní pravidla sítě
Síť a koncová zařízení jsou dva různé cíle. Samozřejmě, že napadením jednoho lze snáze útočit na ten další.
Ale i proto je třeba hlídat alespoň tu síť - když už nemůžeme poručit koncákům, co si smějí dovolit.
Kritickou infrastrukturu vždy musí hlídat stát a musí za ni být zodpovědný.
Co se jinak stane jsme viděly u hmotných rezerv - naprosto exemplární případ. Prostě přístup "na co tam ty rezervy mít, stejně se nic nestane, tak jen schrábneme prachy". A to (nejspíš) ve hře nebylo žádné otevřené nepřátelství, tak jako to je u čínksých zájmů.
Ve chvíli, kdy se masivně nahrazují "fyzické" komunikace (silnice, ulice, cesty) digitálními dálnicemi a firmy (a brzy i občané) jsou státem donuceny využívat tyto digitální dálnice namísto fyzického dostavení se kamsi na úřad, tak se digitální infrastruktura ve spoustě situací stala kritičtější, než fyzická dosažitelnost úřadu skrzevá tradiční komunikace (cesty, ulice, auto, vlak, tramvaj, šalina, pošta, Česká pošta atp.).
Navíc firmy potřebují komunikovat digitálně kvůli efektivitě a rychlosti, eBusiness vůbec musí komunikovat digitálně ;-), lidi to již také ve velké míře přijali za standard, atp. atp - a koronakrize ten posun do digitálna ještě mnohem víc urychlila.
Takže sítě je třeba zabezbečit ještě dvakrát lépe, než jsou. A záleží na kdejaké drobnosti. Kdežto původ je jedním z primárních hledisek.
A s koncovými zařízeními je nejvyšší čas začít něco dělat.
Např. digitalizace státní správy nemůže být primárně o technické stránce - to nebude fungovat. Musí umožnit občanům a úředníkům myslet jinak a pomoct jim v tom. A v souvislosti s tím musí jít inteligentní přístup k fungování celého systému (zjednodušeno):
úřadSeZajímavýmiÚředníkyAZařízeními---kriminálníciSnažícíSeOjbtÚřad---digitálníSíť---kriminálníciSnažícíSeNarušitSíť---kriminálníciSnažícíSeOjbtObčanaAFirmyNeboJejichZařízení---občanNeboFirmaAJejichZařízení
Bohužel tohle je nad rozlišovací schopnost většiny uživatelů. A "krabičky" ISP i velkých operátorů nejsou zárukou ničeho, často obsahují tuny balastu, za bezpečnější je rozhodně považovat nelze.
Bohužel řešením není ani modla Mikrotik nebo dnes populární Ubiquity, viděl jsem na nich mnoho instalací (školy, hotely) s default nastavením, ideální pro další článek do kroniky "hrůza a děs" (default loginy, přesměrované porty pro web, RDP, DNS přístupné z venku) ;-(
Tak samozřejmě, že upustit někam MK a nezajímat se už co se na něm děje je chyba. V každém případě defaultní instalace NAT na MK s tím, že se veřejná IP dotáhne na vnější port je celkem v pohodě nastavení a jediné proti čemu to není odolné je nějaký DOS útok.
No a kdo si do sítě promapuje port třeba na nějakou čínskou kamerku místo aspoň základního VPN připojení a do toho nezmění výchozí heslo pro admina na MK, tak tomu nepomůže sebelepší router.
Stát se technologicky závislý na firmách z jedné země (nebo spíš na jedné firmě) je vskutku nerozum, proto to také čeští operátoři nedělají. Chceme bezpečnostní certifikaci každého produktu nezávislou organizací ENISA. Tolik k důvěryhodnosti. Nikdo uvažující nebude stavět celou infrastrukturu na technologiích od jednoho operátora. Evropský Ericsson je špičkový výrobce. Když mu zakážete konkurenci, jaká asi bude cena?
Trochu v tom cítím přenesení viny na koncového uživatele a případně pokus obhájit negativní dopad jaky to bude mit. Trochu jako s autama. Budeme se hádat jestli ev z Číny nebo z Evropy nebo z USA . Budeme argumentovat bezpečností , pezkuovat majitele starých . Vlastně to bude ona daň z chudoby. Ale neuděl se žádný krok který by to vic zpřístupnil a zlevnil.
Na jednu stranu je pravda, že většina útoku najde slabé místo jinde. Ale tady je problém že jde o celkem klíčovou infrastrukturu a ta by měla poskytnout alespoň nějakou důvěryhodnost. Protože pokud bude síť postavena na zařízeních které mají účel špehovat / shromažďovat data a budu pro tento účel dobře udělaná tak prakticky jako koncoví zákazník nemůžu nijak zabezpečit svou komunikaci přes tuto síť. Nepomůžou se pádem spolehnout na skoro žádná moderní šifrování přenosu, protože v mnoha případech se spoléhají na nějakou trusted autoritu a její ověřování, a tato síť by mohla nad celým procesem navázání spojení udělat proxy které zná veškeré šifrovací klíče potřebné pro dešifrování přenosu. A asi jediná možnost by byla vrátit se k výměně klíče přes disketu s osobním donesenim druhé straně (to jediné by mohlo být bezpečné).
P.S. možná je to strochou nadsázky ale věřím tomu že by to šlo
19. 10. 2020, 22:33 editováno autorem komentáře
Ano, otázka bezpečnosti sítě je stále důležitější. Už jste někdy zkoušel konfigurovat nějaké zařízení v síti operátora? Já ano, a fakt to není ze dne na den lusknutím prstů.
Prošlý skript nebo chyba při operacích v síti? Dělá se plán prací s možností rollbacku. Neznám podrobnosti, kdy se to v UK stalo?