Názory k článku Ondřej Filip: Nečekejme, že při útoku přiběhnou chlapíci z CSIRTu a vše vyřeší
-
JKL (neregistrovaný) ---.net.upcbroadband.cz
Aha, takže jestli to chápu správně, tak CSIRT plánuje v podstatě spustit něco jako uzavřené webové fórum, kde teda dojde ke "sdílení informací".
Jestli je hlavním cílem této státní organizace zajistit "sdílení informací", pak by měla být rovnou zrušena, protože subjekty, kterých se různé IT hrozby týkají mají mnoho způsobů jak sdílet informace samy o sobě.
To už byl tedy lepší i projekt Internet do škol, tam sice byly pálkované naprosto neadekvátní částky taky, ale alespoň se nějaké počítače pořídily. Jenže hodnota výstupu CSIRTu je nulová. Pokud bude chtít sdílet informace například Seznam, KB a ČS, tak opravdu nechápu proč k tomu potřebují CSIRT. Nakonec bývá zvykem v zahraničí, že takové firmy, když chtějí nějakou "centrální organizaci", tak si založí vlastní sdružení - které si taky plně hradí... Ovšem pak asi neexistuje, aby za pouhé "sdílení informací" se pálkovaly částky s mnoha nulami.
-
Jiří Bouda (neregistrovaný) ---.net.upcbroadband.cz
Naprostý souhlas. V současné době je CSIRT v podstatě neškodný a zatím nic nedělá (naštěstí), teda krom přeposílaní 107 mailů ročně a vygenerování nesmyslných 1132 zpráv z IDS/honeypotu (viz. http://www.csirt.cz/files/csirt/statistics/stats.html).
Jenže jako všichni ouřadové na nesmyslném úřadě, začnou pošilhávat po vice penězích a více moci (už jen aby obhájili svoji nesmyslnou existenci). Co takový ouřada pak vymyslí - lejstro. Jenže k tomu potřebuje oporu v zákoně, protože by se jim na to všichni z vysoka ... Takže operátoři budou muset hlásit útoky, předávat pakety a vyplňovat formuláře. Jen je třeba "zákonu o buzeraci operátoru" dát nějaký vznešený název - třeba zákon o kybernetické bezpečnosti.
Samozřejmě, aby to bylo sichr, tak ten úřad se zřídi hned 2x (pro stát a nestát) a to vše z pěnez daňových poplatníku za pouhých několik desítek mln ročně a to se vyplatí ne? (no někomu určitě)
-
CSIRT doted fungoval vicemene jen diky dobrovolnosti, nadseni a zapaleni velmi omezene skupiny lidi. A zastupci operatoru, kteri se o CSIRT zajimaji uz meli mimo jine moznost ten zakon o kyberneticke bezpecnosti pripominkovat.
A nezlobte se, reseni bezpecnostnich incidentu - kam ja zarazuji i deravy domaci pocitac - nesmyslne neni. Nesmyslne se muze jevit maximalne tomu, kdo ty diry z nejakeho duvodu potrebuje vyuzit... ;-)
-
ZP (neregistrovaný) 2001:4de8:d1a1:----:----:----:----:----
Nesmyslne neni reseni bezpecnostnich incidentu, ale nesmyslna je povinnost reportingu takovych incidentu pod hrozbou vysoke pokuty nejakemu uradu, ktery si navic musime platit z dani. Navic takovy urad ma podle navrhu onoho zakona nesmyslne siroke pravomoci a bude-li nedostatecne kompetentni (coz se od statni instituce da vcelku ocekavat), muze formou rozhodnuti nebo opatreni obecne povahy operatorovi naridit neco, co muze vazne narusit jeho cinnost, aniz by operator mel moznost takove rozhodnuti odmitnout, protoze rozklad podle uvedeneho navrhu zakona nema odkladny ucinek a opatreni obecne povahu nelze podrobit prezkumnemu rizeni (a tedy patrne ani spravni zalobe). Takze jedine, co operator muze, je nasledne vycislit skodu a tu pak vymahat po statu, tedy presneji danovem poplatnikovi.
-
Existuje v teto zemi spousta instituci, ktera...
- nic nerekne, protoze nechce
- nic nerekne, protoze ze zakona "nemuze"Pochopitelne pristup takovych organizaci reseni problemu znacne komplikuje. Problem, ktery je v clanku popisovan s rusaky se netyka zdaleka jen jich, na informacni barieru casto narazis i u nas. A fakt nevidim nic spatneho na tom, ze operatori budou sdilet informace typu "probehl tu na nas nejaky masivni utok, vypadalo to tak a tak, prislo to k nam odsud... zitra to muze prijit k vam".
Ostatne, sam nechapu, proc jsi nevyuzil moznosti se ucastnit debaty kolem toho pripravovaneho zakona a prezentovat tam svuj pohled :-) Myslim, ze tam nekolikrat padlo treba to, ze je dulezity, aby clovek nestravil pul dne reportingem na X ruznych mist, s ohledem na povinnosti vyplyvajici z jinych zakonu.A je naivni si myslet, ze kdyz tohleto z dani platit nebudeme, pak se dane snizi ;-) Utraci se v tehle zemi mnohem vic a za mnohem vetsi prkotiny. Tohle aspon muze byt ku prospechu. A je hloupost jen "trollovat" po diskuznich forech, protoze tim se nic nezmeni ;-)
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Reseni incidentu o ktere nestoji postizeny JE nesmysl. Je to naprosto totez, jako kdyby zakon ukladal majiteli domu nahlasit rozbite okno ... nebo jeste lepe, je to presne totez jako uz schvaleny zakon o "eko stitcich" o ktery nikdo nestoji.
A je tudiz treba necemu takovemu branit a zabranit za jakoukoli cenu.
Ale chapu, rizbijim vam tim vasi babovicku (a potencielni korytko) ...
-
Problem je ale to, ze skoda vznika nejen jednomu subjektu - tech postizenych a poskozenych byva vesmes vice. U dopravni nehody, kde nevznikla skoda jen vam take musite policajty povolat...
Me babovicku ci korytko rozhodne nerozbijite ;-) Ze je potreba informace o bezpecnostnich incidentech sdilet mi nevyvratite. Naopak nejsem zastancem nejakeho tutlani.. to rozhodne neprospeje nikomu a nicemu.
-
Martin Kalenda (neregistrovaný) ---.net.upcbroadband.cz
mě přijde že nedělá vůbec nic a za podporu státu nebo cz.nicu se jen schovává - základním parametrem těchto týmů může musí být důvěra ale koordinačně to takto nefunguje. přitom v čr je řada subjektů na které tento typ útoků chodí pravidelně a sledují dění ale fakticky se nic neděje.
ono sdílení infrastruktury nebo know-how by se zaplatilo všem, ovšem bez podpory státu je to čistá fantasmagorie. pokud půjde tento útok z čr tak bude v 99 procentech případů nastavená selektivní filtrace tj na zdroj útoku nikdo nedošáhne.
proto si dokážu např od nixu představit "cendrovinu" tj kdo nespolupracuje na řešení těchto problémů s tím nepeeruji (utopie že?)
-
Mate v tom ponekud zmatek. NIX.CZ je propojovaci infrastruktura a peering policy svych clenu rozhodne nenastavuje. A je to tak SPRAVNE.
CSIRT.CZ je organickou soucasti CZ.NICu. Pokud mate k jeho cinnosti nejake namety, je treba kontaktovat CZ.NIC.
Stejne jako pro propojeni nebo provoz ccTLD, pro provoz CSIRT nepotrebujete pomoc statu. V nekterych statech CSIRT ma jen volnou vazbu na stat. CSIRT muze zprostredkovat nejakou vazbu na stat - tj. treba byt mediatorem, ale na to nepotrebuje mit zadne oficialni povereni.
Jen je treba si uvedomit, jaka je role CSIRT (koordinacni) a neplest do komunikace zadne vlastni fantasmagorie.
CSIRT nutne potrebuje vazbu na stat pouze v jednom pripade - pokud se nachazeji zdroje nebo cile utoku v sitich spravovanych statem. Tam to ma smysl.
-
Martin Kalenda (neregistrovaný) ---.jisvi.klfree.cz
michale to je demagogie, tuhle hru hrat nebudu. NIX je neutralni L2 platforma mezi ISP a peering je dobrovolnej, stejne tak dobrovolne by mohli sdilet informace na teto platforme. Velikost CR v globale je tak mala ze identifikovat zdroj (pokud je v cechach) je snadne.
navic se hovori o bezpecnosti obecne a ne jen o DoS/DDoS. Realne se ukazuje jak stat selhava - naprosto nestiha resit veci ktere by mohl 10x, soud nas nutil poskytovat data v rade kauz a obvykle to byla komedie 10 let zpatky. Pokud chteji opravdu efektivne fungovat tak musi but vzniknout specializovane pracoviste v ramci UZC.
Podleme je hlavni problem v tom, ze vnimate tyto aktivity ciste jako pasivni tj ve sdileni know-how. V okamziku kdy zacne polsku vadit nas export a posle na nas 50+g v 2mpps (samozrejem je to hypoteticky priklad) tak to budou ISP kdo to budou resit? A proc - infrastruktura to ustoji, zakaznik plati. A malokdo je ochoten platit fixni fee za ochranu pred timto typem utoku nehlede na to ze za podminek za kterych to delaji to ISP nejsou schopni provozovat plosne - tedy na bazi casoveho zpoplatneni.
Ja hovorim o skutecnem "response tymu" ktery by napr udrzoval informace o infrastrukture /a to klidne jen metodicky pro isp/ diky ktere by mohl spojovat informace od ISP. Mohl by operovat na urovni komunikace s nadnarodnimi opy protoze nejakej mensi poskytovatel nema silu ani spravne kontakty ptat se nekde v amsterodamu nebo rusku odkud ta data tecou.
Ten problem nema reseni Vasi logikou, zadnej sw box ani nic na svete nema sanci ustat ten provoz -botnety jsou paraziticke systemy provozovane na cizi infrastrukture neni v cr subjekt kterej by dokazal zajistit ochranu pred opravdu masivnim utokem. Ano dokazal by to filtrovat - nedokazal by ovsem zajistit dostupnost sluzby. Mastercard/PayPal/Amazon/Akamai do toho nasypaly radove vic prostredku nez vsichni ISP a content provideri v CR dohromady a stejen tento typ utoku nedokazou odvratit.
-
Martine neni zadna MOJE logika.
Moje zavery vychazeji z cca patnacti let pohybu v ISP prostredi. Troufam si rict, ze dokazu odhadnout, co ISP budou nebo nebudou chtit sdilet. Take jsem byl kdysi nadsen pro to, aby NIX.CZ slouzil pro jine aktivity nez je pouhe L2 propojeni, ale opakovany naraz na realitu me poucil.
Muj posledni (a pomerne nedavny) pokus smeroval ke sdileni informaci o opticke infrastrukture. Setkal jsem se se dvema typy reakci:
a) zdvorily nezajem
b) zdvorile odmitnutiMimochodem, spojovani informaci ma v popisu prace CSIRT.
Otazka "ochrany pred opravdu masivnim utokem" je zajimava. Ochrana nikdy nebude absolutni. Zalezi take na tom, kdo jsou Vasi uzivatele.
Troufam si tvrdit, ze pokud definuji svoje uzivatele jako uzivatele na uzemi CR (a zanedbam zahranici), tak bude ekonomicky udrzitelne vybudovat (jednodussi) a provozovat (slozitejsi) system, ktery bude schopen podobne utoky ustat.
Nemyslim, ale ze se takoveho ukolu muze ujmout NIX.CZ, je otazka, zda se toho muze ujmout CZ.NIC (podle me spise ne, myslim, ze proti tomu bude silna opozice).
Urcite na to ma silu Seznam, ale obavam se, ze dalsi poskytovatele obsahu nebudou nadseni z provozu sveho webu na platforme Seznamu.
Muze to byt nejaky nezavisly neutralni subjekt. Ale zatim se nidko nehlasi :-)
Mimochodem, ja nikdy nenavrhuji system postaveny na "boxu". V pripade ochrany proti tomuto typu utoku mam na mysli nejakou CDN, ktera bude dusledne aplikovat anycast v kombinaci s duslednou peering policy.
-
Jenze ta response na urovni narodniho CSIRT neni o tom, ze bude psat za maleho operatora v CZ nekam do Ruska nebo nekde neco vypinat. Primarni reseni/response je porad na operatorech mezi sebou - v tom smyslu, ze Vy musite spolupracovat se svymi ISP a oni se svymi upstreamy. Narodni CSIRT muze pomoct svymi kontakty, ktere ostatne uz na mezinarodni urovni ma. Ale aby mohl nejak konat, musi se o incidentu dozvedet - pokud mozno z duveryhodneho zdroje, a idealne s nejakymi detaily, co se deje. Coz jsou informace, ktere ale z malokoho dnes dobrovolne vypadnou...
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
"ktere ale z malokoho dnes dobrovolne vypadnou"
Ano a tak je k tomu prinutime ... mno ja bych rek, ze nas ceka spousta sklerotickych disku, ztracenych logu ...
Oni ti ISP asi dobre vedi, proc se informacema nechlubi... ono by se trebas nekomu mohlo hodit, kdyby pak prisel za zakaznikem a rek mu "no vite, vas ISP ustoji jen XYZ ... my vam nabidnem, ze ustojime XYZ+1".
-
Jiří Bouda (neregistrovaný) ---.net.upcbroadband.cz
> Je to asi stejné, jako kdybyste říkal: někdo vykradl byt, protože byl na
> vchodových dveřích špatný zámek, a může za to stát. Soukromník
> se musí ochránit sám.Ale to je docela podnětný nápad. Co třeba zřídit úřad pro řešení zámkové bezpečnosti (UZB). Občané a oragnizace by si tam mezi sebou mohli sdílet zkušenosti. Samozřejmě, že by to mělo oporu v zákoně, každý kdo si nainstaluje do dveří zámek, tak by to musel UZB hlásti a v případě vykradení by musel pochopitelně vyplnit formulář a odevzdat postižený zámek, aby úřad mohl věc podrobně prozkoumat a připravit na podobný incident ostatní.
UZB by se samořejmě zřídil zvlášť pro nás - prostý lid a zvlášť pro státní organizace (ty zámky ve vládních budovách jsou přece uplně jiné). Odhaduju rozpočet 100 - 200 mln. by mohl pro začátek stačit (musíme v těchto časech šetřit, tak to s těma nulana nesmíme přehánět).
Časem by třeba úřad mohl skladovat kopie klíčů (které by se tam na základě zákona musely odevzdat). Samořejmě - to není nějaké šmirování, to by bylo přece pro dobro nás všech. Nikdy nevíte, kdy se vám klíč může ztratit a stát by vám garantoval tuhle skvělou službu. No nezní to skvěle.
-
CSIRT jednoznačně ukázal, že je totálně zbytečný a peníze do něj nalité k ničemu nevedou. Pravomoce řešit ani vyžadovat cokoli nemá. Pokud má existovat něco jako CSIRT, pak jedině jako útvar policie, aby měl nějaká práva vůbec nějaké informace vyžadovat.
Osobně roli CSIRTu z pozice admina řešícího i abuse vnímám jako "automat spamující abuse" z honeypotů - sorry, to je dost slabá funkce za ty prachy, co do toho CZ.NIC podle svého tvrzení leje.Jasně, sice říkáme "není to za státní", ale podle mého by měl být stát ten, kdo dostává peníze z "výnosů" ze správy tld .cz, a cz.nic je v tomto směru jeho prodloužená ruka. Bohužel je zřejmé, že se tu za to zřizují CSIRTy, případně za státní "centra národní kybernetické bezpečnosti", která při útoku končí na "viníka pravděpodobně nikdy nenajdeme".
-
Pokud ten automat spamuje kvuli deravemu systemu, ktery ve sve siti mate, pak je to myslim celkem v poradku ;) Rozhodne to ale neni jedina funkce CSIRT a pokud nekoho zajima vice, jiste jsou rozumnejsi zpusoby, jak se k informacim dobrat. Nadavani po diskuzich, jak je to ci ono k nicemu nikam obvykle beztak nevede :)
-
Jasne, ale rekneme si, neni to trochu malo? Opravdu potrebuji provideri "platformu pro sdileni" provozovanou nejakym takovymhle subjektem?
Nemam nic proti csirtu jako takovemu, jen mi model kdy nemuzou ziskat zadne informace, protoze nemaji zadne pravomoci, prijde proste zvraceny. Kdyby ti odbornici sedeli nekde u policie (samozrejme otazka je, jeslti by tam za ty penize sedeli), tak to muze mit mnohem vetsi prinos. -
Martin Kalenda (neregistrovaný) ---.net.upcbroadband.cz
uz jsem jednu takovou repliku prave tobe psal. Povinnost poskytnout máš už teď tak jako já si zřejmě podepsal stovky "mlčenlivostí" v konkrétních kauzách.
tj michal (krajcirovic) má pravdu alespon z cásti. buď musí být taková instituce silová a nebo důvěryhodná - a zatím takovou žádnou nevidím.
to že by to bylo zhoršení je nesmysl, stát dávno tyto praktiky používá a kupodivu pro obecnou kriminalitu a ne pro kyberkriminalitu. není vyjímka že přijdou sedí a čekají až dostanou papír který jim někdo mezitím vystaví když potřebují. zvlášť se jedná o případy kdy musí dělat ramena na partnery v organizacích kde je stát účasten (interpol, europol) - to se pak můžou přetrhnout.
efektivita je úžasná, jsou schopný jet 4x plzeň-praha, ostrava-praha týdně jen předat pitomej papír. takže by vznikla trojčlenka policie by tu žádost dala czshchkrtdn-cirtu podnět a ten by ho předal operátorům právě něcím ekvivalentním DS tj by to bylo okamžitě účinné.
-
Problem duveryhodnosti si musi kazdy usporadat v hlave sam :-)
Pro me je CZ.NIC duveryhodna pravnicka osoba. Respektuju sice, ze to tak nemaji v hlave srovnane vsichni, ale to povazuju predevsim za jejich problem.
V nekterych pripadech to neni problem duveryhodnosti, ale legality a pak samozrejme chapu, ze to musi resit urady. Povazuju CSIRT za neutralni vodic informaci mezi hraci na trhu.
-
Andrea Kropáčová (neregistrovaný) ---.cesnet.cz
Dobrý den,
je potřeba si uvědomit, že CSIRT (jak už v článku zaznělo) není banda elitních střelců v černých kuklách, kteří naběhnou do sítě a začnou budovat obranu před útokem. Stejně tak gramotný správce sítě nezačne v případě útoku vyřvávat "CSIRTe pomož mi, na mě někdo útočí" a nečeká s rukama v klíně, ale jde hledat vhodnou obranu. Až má útok pod kontrolou, tak se jde s CSIRTem poděli o informace, případně ho může požádat, ať jde útočníka klepnout přes prsty a pod. Tyto informace, které CSIRT touto cestou dostane, zase může distribuovat dál - např. tam, kde se dá očekávat, že útok může udeřit, nebo směrem k méně schopnému správci a podobně. A příště se to správci, který se o info a know-how podělil, zase může vrátit - právě prostřednictvím platformy, která takové know-how shromažďuje. Dáš a dostaneš.
Ad Subject: přesně naopak - CSIRTy provozované v ČR teď poprvé měly
pořádnou možnost ukázat, k čemu infrastruktura CERT/CSIRT týmů je - ke sběru informací, jejich sdílení a další distribuci, výměně postřehů a využívání znalosti prostředí a schopnosti rychle svolat relevantní lidi na poradu a pod. Myslím si, že to bylo přínosné.Zdravím
Andrea Kropáčová
-
Martin Kalenda (neregistrovaný) ---.jisvi.klfree.cz
ano ale muze to byt elitni datamining ktery bude na sdilene urovni (tj budou prispivat vsichni "zakaznici" daneho XY RT) shromazdovat informace napr o topologii site velkych tranzitnich operatoru - to co by jednotlivce slozilo pri stovce participantu dostaneme na rozumnou uroven.
pak by bud za uplatek nebo v ramci "pausalu" nebo za prispevek od cz.nicu kterej dle meho vyhazuje penize za blbosti mohl coby "mozek" pomoci resit se stopovanim utoku. obvykle utok trva nekolik hodin (deje se nam jich desitky rocne) a to je pro jednotlivy subjekt prilis malo na to aby dokazal dostopovat skutecnej zdroj. kdezto duveryhodny XY-RT by mel nastavene komunikacni kanaly s danymi ISP at uz s cetnosti tak s formality (byla by to jeho napln prace) narozdil od postizenych ktery sice muzou mit metodicky zmaknute postupy ale cas jde proti nim.
-
Prijde mi, ze od CSIRTu cekate neco v duchu "zavolam 158, at vyresi DDoS na me servery". V prvni rade ale musite stavet svou infrastrukturu tak, aby neco vydrzela - rozumne dimenzovane uplinky, hranicni prvky, co za normalniho provozu nebezi na 80%... ;-) Pripadne fnukat, ze prichozi provoz, ktery se Vam moc nelibi chce nekdo zaplatit.
Udrzovat nejake centralni informace o topologiich je v podstate sci-fi. Site jsou zivy organismus, meni se kazdy den - vzajemne propoje vznikaji, rusi se... co se moc menit nemusi jsou kontakty. Problem je ta duveryhodnost - a misty take strach spolupracovat pri reseni incidentu - mj. kvuli jiz existujici legislative.
A ukazte mi nekoho, kdo za blbosti neutraci - hodnoceni, co je a neni blbost je ponekud relativni... :-) Nicmene, podle mineni vetsiny clenu CZ.NIC se tam za blbosti neutraci - kdyby ano, jeho rozpocet asi neprojde. Smirte se s tim, ze vas nazor je mensinovy... jde o demokraticky rizenou organizaci.
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Psat o zdruzeni komercnich subjektu, ze jde o demokraticky rizenou organizaci ... lol. Kde se muzu jako uzivatel domen prihlasit se svym hlasem k rozhodovani?
NIC jednoduse inkasuje za domeny nesmyslny penize a tak se musi vymyslet nejaka pitchovina za kterou se utrati - jednoduse proto, ze NIC je oficielne neziskovka, takze to nejde jen tak vzit a rozdat clenum.
-
Muzete zalozit obcanske sdruzeni a do CZ.NICu vstoupit.
Pokud vim, v minulosti existovaly minimalne dve aktivity (z toho jedna moje), ktere chtely nabrat nejake uzivatele za ucelem aktivni participace v CZ.NICu. Obe skoncily s tim, ze se nenasli ani tri lide, kteri by se toho chteli ucastnit.
Ja jsem to nakonec vyresil vstupem meho srocka :-)
-
Je dobře, že se konečně začíná opatrně mluvit o zapojení státu (v podobě nastavení nějakých pravidel a povinností spolupráce při obraně před útoky). Zatím bylo slyšet převážně jen stádní „omezilo by to svobodu internetu“.
Ono totiž to, co dnes známe jako lidská práva a svobody, je umožněno právě díky regulacím, pravidlům, společným dohodám – nebo jak to chcete nazývat. Dobré zákony svobodu zvětšují, a anarchie často znamená menší svobodu, než jakou přinese i ne zcela perfektní zákon.
-
programator (neregistrovaný) 195.113.183.---
kdybyste znal technologické pozadí toho oč se tu jedná (webové služby) tak by vás ani nenapadlo dělat takovou pitomost jako založení útvaru na jejich ochranu před kybernetickými útoky, už jen tato věta musí zasvěcenému znít naprosto absurdně. Ale jak je na vás vidět, má smysl to udělat už jen proto že běžný volič na to skočí a hodí to pár hlasů, i když skutečný přínos nebude ani nulový, bude spíše záporný.
-
Ano, funguje. Ale kdyz se nekdo "vymluvi" na zakon s tim, ze ti informace o nejakem incidentu proste neposkytne, tak to moc fungovat nemuze. Nektere instituce bohuzel ten zakon potrebuji, aby ty z pohledu kyberneticke bezpecnosti uzitecne informace poskytovaly. Asi pochopis, ze ne kazdeho se podari nekam "vytahnout na pivo" ;-)
-
Andrea Kropáčová (neregistrovaný) 2001:718:1:----:----:----:----:----
Ano, přesně tak. Subjekt, na který je útočeno, začne jako první hledat vhodnou obranu, takže odklonit část kapacity na to, aby si s dalšími subjekty začal vyměňoval informace napřímo, může být smrtící.
Představte si situaci, kdy subjekt A je napaden, najde vhodnou obranu, rozkřikne se to a začnou se na něj po stovkách obracet další subjekty, aby mu A sdělil, co se dělo, jak na to přišel, co udělal, co aplikoval ... A to třeba v době, kdy se A ještě potřebuje soustředit na další činnost - DR, kontrolu dat, zálohy, vlastní uživatele a pod. Tuto fázi může efektivně přebrat CSIRT, takže A předá informace CSIRTu a ten je distribuuje dál.
Andrea Kropáčová
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Jezis, tohle sou zase plky ... kdyz si budu chtit pokecat s adminem od sousedu, tak na to vazne nepotrebuju vas, a kdyz nas bude vic, tak si nekde pustime irc/forko/news/... a fakt na to nepotrebujem zadnou organizaci/firmu/... ktera jen stoji naprosto zbytecne prachy.
Kdyby radsi NIC konecne zprovoznil IDN a nezabejval se podobnejma pitchovinama.
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
KB treba ne, ale treba ho zna admin od UPC, kteryho znam. Navic tyhle lidi tak jako tak navstevujou velmi podobny weby a velmi podobny forka, kde si informace (byt se tam nelegitimujou jako "admin KB") vymenujou. A na to abych se s nekym podelil o problem a jeho reseni vazne nepotrebuju vedet, jak se kdo jmenuje a jaky ma cislo bot.
Ostatne, znam osobne celkem dost lidi co se pohybujou kolem IT, a znacnou cast z nich neznam jmenem, znam jen nick ktery pouzivaji. Nevidim v tom zadny problem.
-
Cim vic lidi bude v tom retezci, tim spis hrozi, ze informace k pozadovanemu cili nedoputuje vubec, a i kdyz doputuje bude znacne zkreslena. Navic to bude trvat dlouho. Take znam spoustu lidi, ale vsechny nezname nikdo a zjistovat v pripade problemu kdo koho kde zna je trosku pozde ;-) Silne pochybuju o tom, ze ve sve socialni siti mate u znamych poznamenano, koho znaji oni...
-
Klidne to delejte. Bohuzel tak siroke kontakty jako Vy nema kazdy (ja zcela jiste nikolivek).
Co se IDN tyce, jsem take velkym priznivcem, nicmene zprovozneni IDN neni problem kapacitni nebo financni, ale problem mentalni - v myslich nekterych lidi. Proto je treba vyckat, nez situace dozraje - pripadne muzete udelat take-over CZ.NICu se zamerem IDN zprovoznit.
-
m (neregistrovaný) ---.cust.centrio.cz
místo planého tlachání bychom si měli co nejdříve ten chystaný zákon přečíst a případně se nějak pokusit ovlivnit jeho znění, než bude pozdě.
-
liq (neregistrovaný) 217.28.90.---
Podle mne za to muze take hromada installaci CMS 'joomla'.
V tydnech pred utokem vysly 2 zranitelnosti.
Bylo napadeno hodne moc takovych webu a nasli jsme veci typu: http://pastebin.com/mZe7YUHD
Toto jim nejspise umoznilo zesilovat utoky: http://1337day.com/exploit/20434 -
Protože každá parta politiků a vysokých úředníků, která se dostane k moci, musí vše dělat znova a po svém, nemůže navázat na práci předchůdců (protože ti před nimi dělali všechno blbě, a teprve teď se dostali k moci ti praví, kteří nás zachrání). No a gov.cz by nebylo dražší, bylo by to bezpečnější a srozumitelnější – tedy samá pozitiva, to nemůžete po politicích-amatérech chtít.
-
Jen to ne.
Pokud by to stat chtel, at si to stat zaplati. Sluzby anycastu domen jsou k mani a pokud by to stat nechtel od nekoho koupit, tech par serveru muze koupit.
Kouzlo CZ.NICu neni v tom, ze dela superslozite veci jako raketoplan, ale ze dela to, co ma delat, poradne. Pokud by ke svoji infrastrukture pristupovali vsichni hraci na Internetu podobne odpovedne, bylo na svete lepe.
-
Martin Kalenda (neregistrovaný) ---.jisvi.klfree.cz
A dela to poradne? Predstavte si ze CZ.NIC neni zspo ale napr ministerstvo informatiky? Porad to jeste delaji nejlepe co muzou? CO mam s temi propiskami hrnickami a trickami porad delat? jako fajn ze muzu porad rozdavat cetky nebo odmenovat nekoho chozenim na vecirky ale .cz domena je omezeny zdroj - obzvlaste ve spojeni s reseni domenovych sporu kde si cz.nic dela casto naprosto co chce a doslovne plati "silnejsi pes m..a" kdy s drzitelem domeny vymetou jen proto ze chteji byt s nekym za dobre.
Takze ja bych byl s tim "delat poradne" velmi opatrny - jako posun k lepsimu je skutecne zrejmy, o tom zadna - nicmene za nirvanu to nepovazuji. to radeji at ty penize investuji napr do CA a hned muzou spolecne s DNSSEC udelat pro "stat" tedy z velke casti drzitele vic nez kdyz se "rozpusti" v zmeho pohledu nesmyslech (fin podpora za ziskane mojeID ktere vedlo k neskutecnym drzostem - napr eshopy registrovaly bez vedomi usery do mojeID praktikami uverovych firem , odkaz na VOP, vop nekde na zdi nedohledatelne z internetu).
-
Ja samozrejme chapu, ze jsou ruzni lide, kteri maji k cinnosti CZ.NICu vyhrady.
Jedna z veci, kterou by CZ.NIC fakt delat NEMEL, je neco "pro stat". CZ.NIC vnimam jako komunitni subjekt a jako takovy by mel slouzit komunite (tj. nikoliv statu). CZ.NIC by si mel uchovat svuj neutralni status.
Pokud by spravu domeny .cz melo nejake ministerstvo, je to uplne jiny pribeh.
-
Existují i vyšší zájmy než je konkurence. A zrovna v trojúhelníku privátní sektor (členové CZ.NIC a klienti), veřejná služba (CZ.NIC) a stát to s tou konkurencí či nekonkurencí bude vždy složité. Provoz CSIRTu také může konkurovat členům, ale zrovna nedávné útoky ukázaly, že někdy je důležitější spolupracovat než si konkurovat – a to „nadstranický“ CZ.NIC dokáže zabezpečit lépe.
-
Nicmene v tomto konkretnim pripade (zminene gov.cz) nespatruju zadny prinos. Ani uzivatelsky (lidi uz si na neco zvykli, tak proc to najednou menit a proc adresy zeslozitovat), ani technicky - naopak, shovanim vseho pod jednu domenu se utoky spise trosku zjednodusi (za predpokladu, ze by gov.cz vylozene nekopiroval infrastrukturu .cz se vsemy anycasty).
-
Nemyslím si, že by lidé znali zpaměti adresy několika ministerstev nebo dalších státních institucí, spíš neznají žádnou. Případně nějakou adresu zkusí, dostanou se někam úplně jinam – a pak ještě pokud možno píšou na danou instituci stížnosti, jak to že má na svém webu porno. Pro znalé lidi by naopak bylo fajn, kdyby věděli, že když zkusí zkratku státní instituce + .gov.cz, nejspíš se dostanou na správný web, a určitě neskončí u nějakého podvodníka. Kdyby nic jiného, aspoň by .gov.cz zabránilo šílenostem typu mojedatovaschranka.cz.
Pokud by .gov.cz mělo ten význam jakési jistoty, dávalo by podle mne smysl provozovat ho na stejné infrastruktuře, jako .cz. Myslím, že už se na internet nedá dívat jen jako na takový doplněk, který když nebude, nic se nestane. V současné době už v době nějaké krize internet rozhodně funguje jako informační kanál (a doplňuje tak televizi a rozhlas), pomalu nastává doba, aby takovou funkci začal plnit i v opačném směru (než se pokoušet přečíst operátorovi na 150 číslo přejezdu, může být jednodušší ho vyfotit a poslat přes internet). A pro takové případy je vhodné mít nějaká privilegovaná jména (jako ta stovková telefonní čísla).
-
Pokud neznaji tech nekolik adres ministerstev a statnich instituci, tak ty jejich zkratky magicky znat budou? ;-) Ehm, asi ne, coz... zvlast v prostredi, kde pani na dverich ma desaty stitek s jinym napisem a pritom dela stale stejnou praci.
Pocit jistoty rozhodne domenove jmeno typu "gov.cz" samo o sobe neda. Treba uz proto, ze DNSSEC ve statni sprave zrovna moc nefrci a podvrhnout neco na urovni DNS take az tak tezke neni. Naopak by vedlo jeste k vetsimu otupeni a jeste vic bezmyslenkovitemu klikani - je to preci z gov...
Podle me dost dobre nejde aplikovat ty "telefonni" koncepty i na internetu - jednoduse proto, ze ty koncepty v telefonii vznikaly v dobe, kdy rizika byla v zasade minimalni. Dnes ale s IP telefonem ani neni jiste, zda kdyz vytocite 158, zda skutecne volate policajtum ;-)
-
Vytvořit z Český statistický úřad zkratku ČSÚ nebo z Ministerstvo obrany MO se děti naučí někdy na prvním stupni ZŠ. Zkratky tedy není potřeba znát. Mapování ČSÚ -> czso.cz nebo MO -> army.cz už nijak dovodit nelze, tu adresu musíte buď znát nebo ji někde zjistit.
Koncept, že v krizové situaci nemusím nic složitě hledat a použiju jednoduché a snadno zapamatovatelné postupy a čísla/adresy/symboly, je univerzální, rozhodně neplatí jen pro telefony a internet.
-
To, ze se neco vyucuje na zakladni skole skutecne neznamena, ze to lide umi. A popravde ted i premyslim, co bych v krizove situaci hledal na strankach CSU ;-)
Beztak v krizove situaci se narazi spis na to, ze obcan vlastne ani netusi, kde by danou potrebnou informaci vlastne hledal (u jake instituce), a i kdyz se dostane na web spravne instituce, web je tak "prehledny", ze to tam stejne nenajde... ve vysledku zacne tim, ze zkusi stesti pres nejaky obecny vyhledavac a bude verit jeho vysledkum.
Nekdy opravdu neni od veci se odpoutat od "ajtackeho" pohledu na svet a vyrazit mezi skutecne normalni lidi a idealne nekam daleko od Prahy. Normalni lidi uvazuji ponekud jinak.
-
To, že občan netuší, kde by danou informaci hledal, ale právě nahrává tomu, aby existovalo jedno místo, třeba www.gov.cz, kde ty nejdůležitější informace pro krizové situace najdu.
-
Jarda (neregistrovaný) ---.vabo.cz
Nabízí se logická protiotázka - proč by se to mělo používat? Není k tomu žádný důvod. V některých zemích si to takto zavedli, v jiných zase ne. Třeba v Anglii to maji docela důsledně - firmy jsou pod co.uk, školy pod ac.uk; naopak ve Francii nebo v Německu je to jako u nás. Je to spíše snaha kopírovat ony původní americké top level domény.
-
Takže nejlepší webový prohlížeč je vlastně netcat a openssl.
Pokud nějaký nástroj vede své uživatele k tomu, aby jej používali špatně, je to především chyba toho nástroje. Druhá věc je, proč uživatelé takový nástroj používají -- jenže když mají na výběr ze čtyř nástrojů, kde jeden to dělá úplně blbě, jeden blbě a dva zbývající jsou někde mezi, uživatel si těžko může vybrat dobře. Chyba je především na straně autorů prohlížečů a také na IT odbornících, že na to neupozorňují. Uživatel má dostat nástroj, který ho povede ke správnému používání – je nesmysl požadovat, aby se z každého uživatele stal odborník na PKI.
-
Zapominate, ze uzivatel je primarne veden touhou neco videt a ta pretluce cokoliv. Moderni prohlizece na rizika upozornuji, ve vychozim nastaveni k zobrazeni nedojde - je treba explicitne vyslovit souhlas (a neni to vychozi hodnota). Dost casto je i v adresnim radku barevne odliseno, kdyz neco neni zcela v poradku. A stejne tam lidi bezelstne zadavaji cisla svych kreditek, hesla atd.
Takze je fakt hodne naivni si myslet, ze podle "textoveho obsahu adresniho radku" budou lidi neco rozlisovat :-) Kdyz neresi ani to, zda je neco cervene ci zelene... naopak, v tomto smeru prave "gov.cz" z uzivatelu udela jeste hloupejsi ovce.
-
Zapominate, ze uzivatel je primarne veden touhou neco videt
No právě. Tak mu to má prohlížeč zobrazit. Není vůbec žádný důvod, proč by měl předtím prohlížeč uživatele donutit naimportovat certifikát serveru.Vy sám také neřešíte obsah adresního řádku, ani to, zda je tam něco červené nebo zelené? Nebo existují uživatelé, kteří to řeší, a tím pádem má smysl jim něčím pomoci, když ta pomoc nikomu jinému neuškodí?
-
Prohlizec uzivatele dotazy ohledne certifikatu zatezuje v momente, kdy s nim neni neco v poradku. Ale to samo o sobe neznamena, ze informace nema byt zobrazena. Sam tu argumentujete krizovymi situacemi - co kdyz zrovna v te krizove situaci vyprsi platnost certifikatu? To se nema radsi zobrazit vubec nic? ;-)
Procento lidi, kteri obsah adresniho radku skutecne resi je tak mizive, ze ty vynalozene naklady (za vsechny zmeny s tim spojene) za to proste nestoji. Uvedomte si, ze nejake "GOV" bude pro obycejneho cloveka pusobit stejne tak trosku... krypticky. Ne kazdy je anglicky mluvici a notabene zvykly na americke zpusoby :-)
-
Vždyť jsem to psal v předchozím komentáři: prohlížeč má uživateli především zobrazit požadovanou stránku. Informace o zabezpečení může zobrazovat někde bokem. Vždyť když jdu na stránku přes HTTP, prohlížeč mne (naštěstí) nijak nevaruje, přitom je to z bezpečnostního hlediska daleko horší, než když jdu na stránku s expirovaným certifikátem.
Pokud chce jít uživatel na nějakou stránku opravdu bezpečně, nemá to přece hlídat uživatel, ale prohlížeč. Od toho snad ty stroje jsou, aby dělaly rutinní práci. Aby uživatel musel pořád kontrolovat, co je v adresním řádku, to nepatří do 21. století. Uživatel by měl mít možnost zvolit si v záložkách, že na daný web chce vždy jít jen přes HTTPS, případně by měl mít možnost aktivní okno (záložku) prohlížeče zamknout pro zvolený certifikát. O hlídání zámku už se pak má postarat prohlížeč. A teprve v tomto případě, pokud narazí na nějaký problém, má uživatele upozornit.
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Jasne, a kdyz si bude chtit starosta kotehulek zridit web, tak na to bude muse vyplnovat 50ti strankovou zadnost na ministerstvo, o prideleni domeny, a pak se bude jeste poradat spravni rizeni s dolnima a hornima kotehulkama, o tom, kdo z nich dostane domenu kotehulky.gov ...
A pak se zjisti, ze DNS providera vraci lidem co chtej kotehulky.gov hornidolni.gov ... nacez se prijde po par mesicich zkoumani na to, ze tahle proste DNS funguje ...
-
Většina mediální odezvy zatím je ve smyslu "ať stát zařídí bezpečnost".
Takový přístup dle mého názoru fungovat nebude, zato může mít spoustu negativních dopadů. Napsal jsem k tomu komentář, který sice HN nevydaly, ale vydal jsem jej tedy dnes sám formou blogpostu:
http://kment.blog.ihned.cz/c1-59489500-resenim-utoku-neni-perzekuce-internetu
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Vetsina lidi jsou tupe ovce (75% min). Staci se (omylem) podivat na "zpravodajstvi" - porad se resi "podvedeni" kupci hrncu ... a dalsich uzasnych produktu ... a pritom se da rict, ze 2/3 z toho rozhodne nejsou duchodci jednou nohou v hrobe a s vyschlym mozkem.
Ja osobne bych tem lidem jeste rozdal flastry - za blbost. Netvrdim ze se podvody nedeji, a ze podveden nemuze byt i rozumny clovek, ale 90% pripadu je to o tom, ze po nich nekdo chce presne to, co naprosto dobrovolne podepsali. Kdyz si necm nejsem jistej tak to proste podepisovat nebudu. A to, ze mi nekdo vykalda, jak mi tu smlouvu domu dat nemuze = snazi se me podrazit => obratem se zvedam a jdu pryc.
-
Odkazovaný článek byl viditelný ale zamčený od "vydání" v úterý asi 20:00 do středa 0:45, kdy měl nastaven čas publikace. Bohužel to je vlastnost redakčního systému.
Od té doby článek stále vidím celý, i nyní, i pokud přistupuji přes nějakou zahraniční proxy.
Pokud Vám to nejde, tak zkuste vymazat cache, jiný prohlížeč nebo proxy jako proxify.com nebo zend2.com.
-
- IT Helpdesk Administrátor
- Senior Software Engineer
- Fullstack developer React + Kotlin
- Site Reliability Engineer
- SysOps - Systems Engineer
- +++ Test analytik (long term, celá ČR) +++
-
- Obchodní myšlení
- Sebevědomá a asertivní komunikace
- Barevná osobnostní typologie pro obchodníky
- Myšlení vítězů s olympijským šampionem v moderním pětiboji
- Agilní metodiky v praxi
- Strategie získání TOP kandidáta
-
- React Native Developer pro oblast telemedicíny - 170k/měs. ✨
- Software Developer Analyst
- Specialista on-line marketingu PAKETO.CZ
- Senior Software Engineer
- SysOps - Systems Engineer
- +++ Test analytik (long term, celá ČR) +++
-
- Obchodní myšlení
- Sebevědomá a asertivní komunikace
- Barevná osobnostní typologie pro obchodníky
- Myšlení vítězů s olympijským šampionem v moderním pětiboji
- Strategie získání TOP kandidáta
- Co se v mládí naučíš, v byznysu zapomeň
