Názory k článku Kybernetická bezpečnost: o čem je nový zákon?
-
Jenda (neregistrovaný)
Mě fascinuje ta myšlenka stavu kybernetického nebezpečí, který se dá na chvíli vyhlásit a pak zase zrušit. Přijde mi, že když mám k internetu připojené děravé systémy, tak je takový stav pořád. Podle definice je třeba teď. Pojďme ho vyhlásit.
> Musí pouze nahlásit kontaktní údaje a v případě kybernetického nebezpečí provádět opatření vydaná NBU.
Já vím že už jsem se ptal, ale tady by to snad mohl někdo vědět. Máte nějaké příklady toho, co můžou být taková opatření? Existuje nějaký limit, co už není přípustné („vypněte internety!“)?
> Povinné osoby, které jsou uvedeny v první části článku
Ve skutečnosti se to netýká ISP, kteří nemají přímý peering do zahraničí (§ 8 a odkazované písmeno a). Což má teda kde kdo kromě garážových přeprodávačů (takže pozor, hlásit budou muset třeba i lidi v CzFree).
> U kritické informační infrastruktury (KII) probíhá v současné době její určování.
To je bžunda, ono to už dva týdny platí a teprve se řeší o čem vlastně bude.
-
Karlik (neregistrovaný)
Těmi opatřeními může být od zakázání přístupu konkrétnímu uživateli ve vnitřní síti přes vypnutí služby (která je právě zneužívána k nějakému útoku u jiného subjektu) až k omezení non-czech IP nebo celého připojení do internetu.
Třeba vlna DDOS nebo jiných útoků, která by se zaměřovala na státní úřady a známé zranitelnosti. (Bohužel, podíváte-li se na historii veřejných zakázek, zjistíte co kde se válí za systém vč. bezpečnostních řešení). Víš, že jsi další v pořadí, že ochránit důležitá data (tím ddos se dá zamaskovat i průchod do systému) lze spolehlivě jen bloknutím linky. A na druhé straně víš, kolik práce a peněz stojí takový blackout, možná tvojí hlavu, minimálně výprask od vrchnosti. Rozhoduj se v takovou chvíli... no a tady dostaneš příkaz, na jehož důsledky jsi (díky tomu zákonu) připravený nejen ty, ale i tvoji IT nadřízení a ředitelé (teda, by měli být...).
> To je bžunda, ono to už dva týdny platí a teprve se řeší o čem vlastně bude.
Ono to dva týdny platí a řeší se to "ještě pořád", víc než rok. -
Hele, to neřeš. Stejný typ otázek jsem si kladl u zprávičky o tom, že NIX zavádí podsíť FENIX, kde budou platit nějaká "přísnější pravidla". (Že by se třeba ona pravidla zavedla pro všechny sítě napojené do NIXu to asi nikoho nenapadlo). Ale co, NIX je sdružení, to ať si dělá co chce.
Tady se stát místo řešení problému (nebylo by třeba lepší ty kritické systémy vůbec nezapojovat do sítě Internet, než je potom nějak složitě chránit) problém obchází a to navyšováním povinností pro někoho jiného. Když použiji parafrázi na "HW který se dá zničit softwarovou chybou si nic lepšího nezaslouží", která by zněla: informační systém, který lze prolomit z Internetu si nic lepšího nezaslouží. Nevím, proč by nějakého ISP mělo zajímat, že se někdo (třeba i díky tranzitu přes jeho síť), vlámal do dementně navrženého IS nějakého úřadu.
Takže v podstatě jediné k čemu to má sloužit (kromě dalšího zbytečného úřadu a místečka pro kamarády, což se řešilo loni), k pocitu navýšení moci některých politiků.
-
Petr (neregistrovaný)
Systemy ministerstev jsou rekneme dulezite. A sama ministerstva nabadaji uzivatele k nebezpecnemu chovani. Z aplikace provozovane ministerstvem financi (Http://isp.mfcr.cz):
"Aktuálně
Nové verze prohlížečů způsobují výskyt chyby připojení. Doporučujeme použít MS Explorer nebo starší verze původních prohlížečů. "Osobne povazuju za utok na bezpecnost uz to, ze nekdo nabada uzivatele k tomu, aby pouzivali stare verze prohlizecu. Nebo treba MVCR - základní registry - http://www.szrcr.cz/vyvojari/pristup-do-service-desk-managera?highlightWords=ie11 - nefunguje to v IE11 uz pres rok. Popsany postup je potreba realizovat pri kazdem zapnuti prohlizece a ne vzdy to s nim zafunguje. Opet nabadani k tomu, pouzit stary prohlizec...
-
jeden z kolemjdoucich (neregistrovaný)
Ad zastaralý prohlížeč.
Není to příjemné, ale představte si, že například na aktualizaci aplikace pro nejnovější prohlížeče musí ministerstvo nejpprve naplánovat peníze do rozpočtu pro přístí kalenddární rok a doufat, že je dostane. Pak vyhlásit veřejnou zakázku, doufat v účast alespoň dvou uchazečů, doufat že se nikdo neodvolá a že vybraná firma s nejnižší cenou nezprasí dosud rozumně fungující aplikaci.
Jedna zkušenost z mého zaměstnání je, že od vybrání vítěze přes nejrůznější odvolání trvalo dva roky, než UOHS potvrdil výběr vítěze. -
Verton (neregistrovaný)
@ Heron
Nemyslím si, že věta "informační systém, který lze prolomit z Internetu si nic lepšího nezaslouží" je zde zrovna na místě. V dnešní době lze prolomit přeci jakýkoliv systém.
Zákon o KB mi nepřijde ničím natolik odlišný oproti jiným zákonům upravující kritickou infrastrukturu (KI). Vždyť jak už bylo řečeno, jde zde spousta jiných vymezených prvků KI a v důsledku zvyšujícího se vlivu a důležitosti informačních technologií v denním životě, bude mít tento zákon stále důležitější pozici. Vnímám ho jako opatření proti chaosu, který by vznikl v případě napadení/pádu informačních systémů nemocnic, bankovního sektoru, státní správy, přímého zahraničního propojení (zásah do Evropské KI).Každopádně připouštím, že správné nastavení kritérií je klíčovým bodem celého zákona.
-
No to jaksi neodpovídá na otázku jak.
Vůbec se v různých diskusích objevují naprosto samozřejmá vyjádření, že jakýkoliv uživatel může získat roota, proto se uživateli musí zabránit přihlásit na terminál (přitom použitelných chyb eskalace práv bylo v jádře za celou jeho existenci na prstech jedné ruky a rozhodně neplatí, že jakýkoliv přihlášený uživatel je mohl použít) a teď se dovídám stejně samozřejmé vyjádření, že jakýkoliv systém lze prolomit.
Nic takového není pravda. Dobře napsaný a dobře udržovaný systém prolomit nelze. Časem se jistě objevují chyby, které vyžadují nějaký krok od admina navíc (za rok 2014 asi tak 2, z toho obě tak trochu obtížně použitelné -- heartbleed od admina vyžadoval vygenerování všech klíčů; potom na podzim vypnutí sslv3 v konfiguraci), ale ty má admin učinit tak rychle jak je to možné (tedy reálně v rámci hodin). Vedle toho pochopitelně udržuje systém aktuální v rámci update jeho OS, průběžně.
-
Jenda (neregistrovaný)
> No to jaksi neodpovídá na otázku jak.
Tak třeba v letech 2006-2008 mohl všem debianistům na desktopu přes noc faktorizovat SSH klíč (CVE-2008-0166). V letech 2012-2014 mohl všem s openssl vydumpovat z paměti hesla (CVE-2014-0160). V letech 1999-2011 mohl vyownovat libovolný systém zpracovávající obrázky pomocí libpng (CVE-2011-2690). Z interpretů díry v PHP, Bashu, Perlu, … Přes co lze vyownovat tvůj systém dnes se dozvíš za týden na libovolném security listu.
A pak tu jsou samozřejmě různé hypotetické backdoory. Tak a teď přijdeš ty a tvrdíš, že tvůj systém prolomit nejde. Můžeš nějak dokázat, že v něm výše zmiňované chyby nejsou?
> ale ty má admin učinit tak rychle jak je to možné (tedy reálně v rámci hodin)
Ty máš podle mě naprosto mylný předpoklad, že chyba existuje, nikdo o ní neví, a první člověk, který o ni zavadí, ji hned běží opravit, diskrétně o tom informovat vývojáře a ti vyhlásí zveřejnění opravy. Jenže takhle to nefunguje. Spousta lidí neustále hledá chyby nikoli pro to, aby je opravili, ale aby je využili buď pro sebe, nebo je prodali někomu, kdo je, opět tajně, zneužije. Dokonce si na tom několik firem postavilo velice výnosný byznys (VUPEN, Hacking Team). Takže to, že jsi systém zazáplatoval deset minut po obdržení mailu z debian-security, je naprosto irelevantní. Tvůj systém přes ni mohl být kompromitovaný třeba před rokem kýmkoli, kdo si a) dal tu práci chybu najít, b) o ni náhodně zavadil, c) si ji za blbých 100kUSD koupil.
-
"Tak třeba v letech 2006-2008 mohl všem debianistům na desktopu přes noc faktorizovat SSH klíč (CVE-2008-0166)."
Mohl a admin by ze secure logu hned ráno zjistil, že se tam přihlásil někdo z nějaké divné adresy a v nějakou divnou dobu a on ví, že on to nebyl (a kolegové také ne). Takže ano, útočník by se tam klidně dostal, ale admin by to hned zjistil.
"V letech 2012-2014 mohl všem s openssl vydumpovat z paměti hesla (CVE-2014-0160)."
A už to někdo viděl v praxi? Co jsem četl, tak při útoku na heartbeat dochází k pádům webserveru, takže útočník už nemá co dolovat a admin si všimne, že je něco v nepořádku.
"Ty máš podle mě naprosto mylný předpoklad, že chyba existuje, nikdo o ní neví, a první člověk, který o ni zavadí, ji hned běží opravit, diskrétně o tom informovat vývojáře a ti vyhlásí zveřejnění opravy."
Ne, já vycházím z letité praxe. V praxi jsou útoky na staré známé verze phpmyadmin, wordpresu a drupalu. Víc advanced útoky (ale těch je také významně méně) jsou třeba na SQL injection. Když se objevila (zveřejnila) chyba shellshock, tak se v logu webserveru začaly objevovat charakteristické řetězce. Za několik let dozadu (kam až archiv logů sahá) nebyl ani jeden výskyt. Zrovna tento typ "útoků" se začal objevovat až po té, co "chyba" byla odstraněna a navíc, který admin má v cgi povolený bash, že. Tohle je typické i pro útoky na webové aplikace, útoky začnou až po té, co je chyba zveřejněna a aplikace dávno updatovány.
Takže v praxi je situace trochu jiná než to může vypadat pod články o nějakém bezpečnostním problému. Ve skutečnosti jsou ty útoky necílené, útočník prostě zkouší hesla na ssh, kde jsou povolené jen klíče, zkouší hledat phpmyadmin na serveru, který nemá php ani mysql apod. Většina (na určitých serverech všechny) útoků se zcela míjí cílem. Ty jsou zcela neškodné. Další útoky už útočí na již záplatovanou zranitelnost. Archivi logů dokazují, že před zveřejněním zranitelnosti nenastal ani jeden pokus.
Takže v praxi skutečně situace vypadá tak, že stačí dodržovat nějaké hygienické minimum a admin může docela klidně spát.
A navíc je docela podstatné si odpovědět na otázku, co by útočník získal, kdyby prolomil: ssh, https apod. Kam by se přesně dostal. To, že útočník případně překročí vodní příkop jaksi ještě neznamená, že má volný přístup do královské pokladnice.
-
Jenda (neregistrovaný)
> Mohl a admin by ze secure logu hned ráno zjistil, že se tam přihlásil někdo z nějaké divné adresy
A data/infrastruktura/whatever už jsou mezitím v čudu.
> A už to někdo viděl v praxi?
https://twitter.com/markloman/status/453502888447586304/photo/1
> Za několik let dozadu (kam až archiv logů sahá) nebyl ani jeden výskyt.
> Takže v praxi je situace trochu jináTo může jenom znamenat, že jsi nikomu nestál za to, aby na tebe plýtval vzácný exploit.
> Ve skutečnosti jsou ty útoky necílené
Jedna věc je když si chci vyrobit levný velký botnet, druhá věc je, když někdo chce vypnout jednu konkrétní rozvodnu, získat jeden konkrétní dokument. Možná jenom nespravuješ tu správně důležitou infrastrukturu a tak to tam nevidíš (já také ne).
> A navíc je docela podstatné si odpovědět na otázku, co by útočník získal, kdyby prolomil: ssh, https apod. Kam by se přesně dostal.
Může pokračovat dál. V případě katastrofického scénáře s HW backdoorem docela snadno.
-
"A data/infrastruktura/whatever už jsou mezitím v čudu."
Pokud tam nejsou žádná další bezpečnostní opatření tak ano. Otázkou je, jestli bychom systém, který má pouze jednu bezpečnostní zábranu označili jako bezpečný. Já ne. To, že se někdo dostane na ssh (třeba i na roota), by nemělo znamenat, že se dostane k (citlivých) datům.
"https://twitter.com/markloman/status/453502888447586304/photo/1"
Zajímavé.
"když někdo chce vypnout jednu konkrétní rozvodnu"
Napadá mě hromada mnohem přístupnějších možností jak tohle provést. Předpokládám správně, že narážíš na STUXNET? Obávám se, že pokud se někdo dostane po hledáček světových rozvěděk, tak ani zákon o kybernetické bezpečnosti mu nijak nepomůže.
"Možná jenom nespravuješ tu správně důležitou infrastrukturu a tak to tam nevidíš (já také ne)."
No já nevím, já spravuji jistý systém, který má v ČR podíl přes 33% (nejbližší konkurence 11%). Jedná se o celorepublikové systémy a zase tak malé to není. Ale asi ano, asi to nikomu nestojí za napadení a jsem celkem rád.
Jinak, já už jsem to tu psal dřív a celkem se to hodí zopakovat. Jako admin jsem rád, když pracuji na systému, který ani mě neumožňuje se dostat k datům (či je změnit). Protože se občas stane, že někdo po vás chce, abyste změnil nějaká data (jsi admin, máš k tomu přístup, tak to změň). Jsem velmi rád, že to nejde. Všechna data jsou minimálně podepsaná, změna by znamenala neplatnost podpisu a některá data jsou šifrovaná klíči zcela mimo můj dosah. Nemůže po mě tedy nikdo chtít něco změnit a stejně tak nemůže nikdo chtít, abych něco přečetl. Číst můžu pouze veřejná data. Tohle je další způsob ochrany jednak těch dat, ale také pracovníků, na které by někdo mohl chtít vyvíjet nátlak.
-
Jenda (neregistrovaný)
> Otázkou je, jestli bychom systém, který má pouze jednu bezpečnostní zábranu označili jako bezpečný.
Když zase tohle ti může být k ničemu pokud máš backdoor v hardware nebo si nainstaluješ rootkit z repozitáře, protože možná tvoje distribuce bohužel takhle striktní bezpečnostní opatření při buildění a podepisování balíčků nemá.
A taky jestli je takové opatření z povahy systému možné.> Předpokládám správně, že narážíš na STUXNET?
I když před autory Stuxnetu smekám, myslím, že to není nic, co by leželo mimo možnosti nevládní skupinky (ostatně já bych teda řekl, že vláda bude mít často méně schopné lidi). IIRC to viselo na overflow v kreslení ikonek v Exploreru a Flame potom na implementaci útoku na (již dlouho prolomenou) MD5.
> Obávám se, že pokud se někdo dostane po hledáček světových rozvěděk, tak ani zákon o kybernetické bezpečnosti mu nijak nepomůže.
No já bych řekl, že tenhle zákon nepomůže ani když budeš v hledáčku bezdomovce. Ale tak bavíme se o zabezpečení obecně.
> Ale asi ano, asi to nikomu nestojí za napadení a jsem celkem rád.
Kritická infrastruktura v ČR zatím nikomu nestála za napadení. Tady nikoho nic nezajímá…
Taky jsem rád. Bál bych se, že spíš než metasploitem by si útočník od určité úrovně zabezpečení mohl začít opatřovat přístupy nožem.
-
xxx (neregistrovaný)
Ale napadlo, Herone, napadlo. Jenze co se siti (at uz ceskou nebo zahranicni), ktera ono pravidlo nesplni? Odpojit od NIXu? Fajn, tak se pripoji nekde k nejake garazove konkurenci, bezpecnost by se tim nikterak nezlepsila a pro ostatni cleny NIXu by to znamenalo ztratu casti provozu a tedy i snizeni uzitku z existence one IXP platformy a to neni dobry plan.
-
muf (neregistrovaný)
Ač se kybernetika s informatikou často potkává, rozhodně nejsou jedno a to samé.
Když v souvislosti třeba s tímto zákonem čtu "kybernetická bezpečnost", říkám si, co to jako má být? Kvalita regulace a bezpečnost nějakých regulačních smyček, které drží ve vzduchu dejme tomu erárního drona, aby nespadl???Že takové kraviny píší novináři nebo politici, to chápu, u těch jsou hluboké neznalosti čehokoliv standard a tak nějak se předpokládají. Ale tady?
-
ytr (neregistrovaný)
Terminologie byla prevzata ze zahranici, viz napr. http://www.europarl.europa.eu/EPRS/EPRS-Briefing-542143-Cyber-defence-in-the-EU-FINAL.pdf . Vyznam slova "cyber" se posunul. Cyberspace, cyber warfare, cyber defense, ... jsou bezne pouzivane terminy. Asi to souvisi s tim, ze americkym vojakum se "cyber" dobre vyslovuje.
-
Tohle je velice zajímavé téma. Stejný problém jsem kdysi též řešil: http://www.cleverandsmart.cz/kyberneticke-hrozby-jsou-jen-dalsi-buzzword/ a nedávno jsem se k němu opět vrátil: http://www.cleverandsmart.cz/information-security-vs-cybersecurity/. Možná by se to dalo ještě více rozpracovat.
-
zoro (neregistrovaný)
vláda se bojí ,kalousko náboženská mafie má strach ze nevyditelné armády kterou nemůže ovládat proto jimi ovládané veřejnoprávní tv,24 čt,1 a jiné neustále cenzůrují, a vnucují psychologické lživé postoje, většine národa
podsouvájípolopravdy,a lži aby dostali tu 95%většinu pod kontrolu
ČLÁNKY DO MAILU