Vlákno názorů k článku Malware VPNFilter na půl milionu routerů Linksys, MikroTik, Netgear a TP-Link od K - Ať ti hackeři nemachrujou a prostě ty stovky...
-
V tomhle jsou hackeři daleko prozíravější. My, IT, neustále "zvyšujeme" bezpečnost nabalováním nových technologií, ale ve skutečnosti jen jedny díry nahrazujeme jinými - třeba o něco hůř dosažitelnými, ale existujícími. Jenže: o něco hůř dosažitelné díry stejně hacker a botnet dosáhne, a v globálním měřítku se hackerovi vyplatí na to vynaložit i vysoké prostředky. Oni si však svoje know how dlouho tají, jak už se historicky ukázalo, profesionální hackeři mají celé knihovny děr a automatizovaných nástrojů, které doslova pročešou zařízení a dostanou se do něj. Některé díry jsou hackerům známé i dlouhé roky a trpělivě čekají, až bude čas tu znalost dobře zužitkovat (prodat).
Naopak my, IT, pak máme se sanací zvýšenou práci, protože komplikované technologie se také komplikovaněji "staví na nohy".
Podle mě bychom se měli daleko víc věnovat pasivní bezpečnosti. Technologie co nejvíc zjednodušovat, co nejvíc oddělovat (nekombinovat routery s intranet servery apod.), uvnitř sítě používat oddělení VLAN, ... Management jen z určité VLAN nebo portu zařízení, flashování jen při současném stlačení tlačítka nebo přepnutí zkratosvorky... Prostě triviální mechanismy, které se jen tak nedají překonat nějakou chybou v softwaru.
Možná to přijde někomu krok zpět, ale mě to přijde jako krok zpět ze směru, na který jsme vykročili špatně.
-
Inat (neregistrovaný)
Tady jednoduchá řešení jednoznačně fungují, často to sice znamená více nákladů a méně pohodlí, ale tak to je s bezpečností snad vždy. Taky bych uvítal kdyby se některé věci dali přepsat jen pokud je napětí x na pinu y kam se může dostat propojkou, spínačem, po oděleném drátu… Jenže vývoj je přesně opačný.
-
Coz pak aktualizovat treba 150 AP nekde v hotelu (nebo jeste lepe nekde na stozarech, kominech...) znamena tejdny chodit s propojkama a lezt na mnohdy spatne pristupne mista.
To asi ne, ale je také zbytečné, aby na ty AP vedla ta samá management VLAN, jako na zbytek technologií - např. na servery atd. Prostě udělám na AP VLAN, která bude sloužit jen a pouze k tomu, aby se prováděl management a aktualizace. Omezím na AP management protokoly na minimum a jen na tu jednu VLAN.
Bohužel v praxi spíš potkávám, že je všechno sesypáno v jednom bridgi, o odděleném managementu se tomu ani nezdá, a do toho všeho jsou píchnuté i vnitrofiremní servery. To, když se stane průšvih, už pak jede jak na skluzavce.
-
654 (neregistrovaný)
Jak to tak vypadá, tak existuje zhruba 100 000 000 IoT zařízení (bohužel nejde o překlep), u kterých je možné snadno downgradovat komunikační protokol na starší verzi, která používá defaultní klíč "0000000000000000". O problému věděli už před 5 lety, ale nepovažovali to za bezpečnostní riziko. Chyby se stávají, ale tohle už je do nebe volající nedbalost. A ještě k tomu to nazvali "bezpečnostní standart", ikdyž nikdy nezajišťoval žádnou bezpečnost.
