Názory k článku CERT/CSIRT týmy a jejich role

Nerobite z toho zbytocnu vedu? Mat podobne timy je fajn, avsak toto mi pripada ako marketingovy bullshit.. :(

Takisto mam pocit, ze uroven upada, niekedy som sa tesil na spravicky/clanky, momentalne vsak z toho aj tak maleho mnozstva povazujem len par za kvalitnych.

PS: Odpoved typu: "Mozes takisto prispiet." si vopred nechajte pre seba, radsej si precitam spravy inde. Len neviem prist na to, kde ste urobili chybu, mozno by bolo na case sa nad touto myslienkou zamysliet a skusit s tym nieco spravit..

Muzes taky prispet.. :)

A pokud jsi jeste nesel cist jinam, jak vyhrozujes, tak by ses mel jeste zamyslet nad tim.. jestli jsi nekdy nekomu z roota psal, co bys chtel tady cist (namet, tema, ..)?

Mne se clanek libi a nepripada mi vubec zbytecny. Kolem me je spousta spravcu, kteri CSIRT neznaji a incidenty/hlaseni posilaji kdo vi kam.

R.O.

Niekto si tu myli dojmy s pojmami. Naozaj citas len jeden portal? To svedci asi o vstetkom..

Na tom článku je vidět jak se úřednické myši snaží přesvědčovat o důležitosti své zbytečné práce. Na těch řečech je přesně vidět trend posledních několika let. Bezpečnosti IT (možná proto jak je to široký obor) málo kdo rozumí, a když rozumí, tak o tom nemá čas psát. Takže se na ten obor přisály pijavice, které mají výřečnost a přesvědčování lepší jak pojišťovák, sorry finanční poradce.

Na http://napravnik.blog.ihned.cz/c1-59692700-kyber-bezpecnost-a-pripravovany-zakon jsem četl jiný pohled. Kyberbezpečost zahrnout do zákona o krizovém řízení (velké průšvihy) a komerční prostředí řešit jinak.
CERTy jsou všude po světě sbíráním informací o tom, že byl u nás hacker. Asi.

Mimochodem. Na tom blogu iHned jsem našel příspěvěk i o nebezpečnosti zaručeného elektronického podpisu. Docala si dokážu představit, že úředníci, kteří spáchali elektronický podpis se teď tlačí do kyberbezpečnosti. To je větší ohrožení pro státní správu než Stuxnet, Flame a další taková havěť dohromady.

Tak takovou "krabicku" bych chtel videt!

Na takový nesmysl musím reagovat.

V souvislosti s DDoS útoky jsem skutečně uvedl pro LN, že řešení pro banky mohlo být za několik (15) miliónů.

Pokud hledáte dodavatele, tak zkuste
- Fortinet
- Corero
- Radware
- CheckPoint
- atd, atd.
a můžete si vybrat řešení určená čístě pro síťovou úroveň nebo i pro aplikační vrstvu. S garancí a možná i za výrazně nižší cenu.

Pokud byste vážený anonyme skrytý za DgBd věnoval trochu času studiu možností anti DDoS nastavení síťových prvků nebo specializovaných zařízení, tak byste věděl, že obrana je možná. Není 100%, ale pro zajištění dostupnosti služeb to stačí nebo máte pocit, že jsem lepší odborník na IP sítě než vývojáři ve výše uvedených firmách?

Vážený DgBd na podobné výkřiky jako jste uvedl jsem již za ty roky zvyklý. Naposledy se vaši kolegové ozvali, když jsem říkal, že běžný uživatel není schopen si uhlídat počítač před profi útokem - http://napravnik.blog.ihned.cz/c1-58845300-slabiny-windows-8-proc-se-o-ne-maji-zajimat-bezni-uzivatele
a že zaručený elektronický podpis je zaručeně zneužitelný elektronický podpis - http://napravnik.blog.ihned.cz/c1-59489550-vse-o-zarucene-zneuzitelnem-elektronickem-podpisu
Bylo by, ale prima pokud byste příště uváděli své jméno.

JN

Ja bych rekl, ze SA za par milionu vam bude houby platny, kdyz vam ddos saturuje downlink. Tim ochranite akorat tak koncovej servr pred pretizenim, jenze nezarucite dostupnost. To muze udelat leda tak ISP s velice dobre nadimenzovanou konektivitou...

Ani ten nemuze, pokud budu cilene na nekoho chtit zautocit, tak samozrejme zaroven vim, jaky +- "prumery trubek" jsou cestou. A i pokud neodstrelim konkretni srv, odstrelim jeho pripojovatele.

Navic pokud se na to dobre pripravim, neni problem generovat zcela standardni traffic per IP. Vubec nemluve o tom, ze spouste serveru staci, kdyz o nich nekde nekdo zverejni clanek, a jdou k zemi obratem. Netreba na to vytvaret infrastrukturu.

Ona bezpečnost je hodně o spolupráci, často především o neformální spolupráci. Je to vidět na mnoha iniciativách po Internetu. Jasně není to v prvé řadě ten tvrdý business, ale je to obyčejné selské uvažování, pomůžeš ty mně, pomůžu já tobě.
Kdysi to bylo vydět při ochraně majetku. Zvýdavý soused či domovnice byli pro někoho nepřijemní, ale často pomohli.

V případě bezpečnosti na Internetu je to podobné. Buď budu vše (kapacitu linky, spolehlivost linky, DoS, a další) řešit sám nebo budu spolupracovat se svým ISP a dalšími.

S tou "velkou" bezpečností je to stejné. Pokud budeme mít CERT a zákon, který bude nařizovat hlásit podezřelé aktivity, tak úspěšných odhalení bude minimum, ale bude naplněn požadavek zákona.

Pokud se začne ze zdola od adminů, tak to bude sice pracné a zdlouhavé. Ona práce s lidmi je vždy komplikovaná a není podstatné zda jsou informatici, lékaři nebo zámečníci. Podstatné je, že touto cestou se získají zkušenosti, zavedou se neformální a později i psaná pravidla, která pomohou všem.

JN

Už jste od "Cvičný útok na sítě EU očima CSIRT.CZ" vyřešily problém s komunikační infrastrukturou, v případě nefunkčnosti datových a telekomunikačních sítí?

Dobrý den,

myslíte dotaz v diskusi pod zmíněným článkem "jak by se komunikovalo, kdyby
nejel Internet"? Na toto téma jsem nezapomněla, mám k tomu shromážděno poměrně
dost materiálu, ale než z toho budu schopna vytvořit článek, ještě to bude
trvat.

Andrea Kropáčová

Ano jde o dotaz z té diskuse. Myslím že pro koordinační orgán, který byl vytvořen pro zvládání mimořádných událostí většáho rozsahu je redundance komunikačních kanálů podstatná.

Kazdy z tymu ma pripravene alternativni zpusoby komunikace. Prazske tymy maji kombinaci bezcu a cyklistu (napriklad cyklospojka CESNET-CERTS znama pod zkratkou TK denne trenuje).

CERT-MU zase pripravuje stavbu holubniku - bohuzel zatim nenasli zpusob, jak dle zakona o verejnych zakazkach vysoutezit jeho stavbu a z ceho platit krmeni.

Tak na MU se tomu vyuzije dynamicky nakupni system. Akorat se bude muset vzdycky cekat nez pojde vetsi mnozstvi, aby se hromadne mohly koupit cerstve kusy a tim v maximalni mire zefektivnit hospodareni s pridelenymi prostredky.

Reknu to takhle, nevadi mi ani jedno, pokud jsou to tymy posledni instance a ta instance pred nima je plati, jde to mimo me, pokud to plati nejake sdruzeni nebo nejaky filantrop zase mi nevadej, pokud je to na soukrome bazi taky mi to nevadi, ale pokud vladni tym platim ja co by danovej poplatnik, tak me to pekne sere!

O to vic, ze ti jeste budou za tvy prachy narizovat, co mas delat, a stejne jako trebas statak, po tobe budou chtit, abys jim posilat vi buh co ... (a vysledek bude, ze jim vyjde, ze stale prsi, i kdyz ty zrovna lezis na plazi a nikde ani kapka)

no ja uz se tesim jak se vyporadaji ted s temi okennimi botnety co od vanoc hezky chrnej... zatim co vidim v okoli, tak se infikovanost leze k 90% a skoro vsechno je to z doby prosinec-keveten a bez vyjimky pres javu v prohlizeci a nasledne lokalni exploity. pridany prava na adresarich, kde mit pristup obycejny uzivatel nema, modifikovany cryptoapi zrejme kvuli podvrzenym aktualizacim nebo maskovani distribuce a dalo by se pokracovat...

a netreba rikat, ze antiviraky to najdou akorat v nouzovym rezimu a jen kdyz je stesti a nesmazal se jeste distribucni soubor. detekci a odstraneni zmen zatim nema asi porad jeste zadny z tech nekolika co jsem doted zkousel.

a jestli to ma fakt to co si myslim - distribucni/o­vladaci kanal v zarovnani do bloku (padding) uvnitr sifrovanyho spojeni, tak s tim asi jen tak nekdo cucenim na sitovy provoz neco neudela. hadam bude jeste veselo.

Konec prvniho odstavce:
"aby byli hrozby a rizikové situace"
hrozby bylY

Pardon, jsem blb. Mate to spravne.

Tak nevím... Tenhle styl psaní článků se mi tak nějak nelíbí.
Člověk přečte X odstavců a má pocit, že se nic moc nedozvěděl.

Ps.
Ano, jistě je velice krásné si jen tak pohrávat se slovy, avšak osobně bych tento styl raději viděl někde, řekněme u záměrně umělecky pojatých textů(které by lidé povětšinou četli právě pro obsah oné hry se slovy), než příklad u takovéhoto článku, který je navíc na odborném webu zaměřeném hlavně do IT, a od něhož bych proto osobně spíše očekával nějaký významný přísun užitečných informací a případně i nějakých pěkných, či zajímavých myšlenek ve formě, která bude dosahovat mnohem lepšího poměru mezi obsahem informací a svým rozsahem...

Libi se mi jak se tu neustale pripominaji ty nedavne DDOS utoky a jejich dusledky se vysvetluje vyznam bezpecnostnich tymu. Ten utok, pokud se clovek podiva do oficialne neoficialnich ceniku soudruhu z Ruska, tak to byl utok na urovni 100USD (mixovane adresy z jedne oblasti a s nejistym typem pripojeni), tedy pokud si ani s timto nebyli schopni admini resp. infrastruktura poradit, tak jim jsou nejake bezpecnostni tymy k nicemu. Uprimne nechapu, cemu takovy CSIRT/CERT tym pomuze v procesu: odhalit (D)DOS -> null routovat ho u upstream providera ci na svem boxu, ktery to ustoji.

Pokud mi nekdo skutecne duvody pro cinnost takovych teamu objasni, budu rad :) jen aby to nebylo podobne kontrolam RIPE aneb "za vase tezke penize vam do toho jeste budeme kecat, jelikoz jedine my vime, jak to delat nejlepe." :)

sdileni informaci o utocich je asi v poradku, ale doufat, ze se uzivatel bude ve vetsi mire nekam aktivne dotazovat snad neni mysleno vazne stejne jako doufat, ze nekdo v blizkosti utocnika bude v radu minut reagovat na nejaky email od CSIRT/CERT tymu, coz je ostatne psano i v oficialnim dokumentu na http://www.csirt.cz/files/csirt/Rekapitulace-utoky-20120311.pdf

"Většina toku při útocích přišla přes síť RETN (http://www.retn.net/en/). Ačkoliv napadené
strany, ISP i CSIRT.CZ zkoušeli kontaktovat provozovatele této sítě, nepodařilo se nikomu
získat relevantní pomoc (data, zablokování útočníků)."