Názory k článku Tvůrci routeru Turris: nechceme lidem koukat přes rameno
-
Tonic (neregistrovaný)
Myslenka dle meho soudu je dobra dokonce bych si troufl rici "skvela", bohuzel ta cena je velmi neprizniva pro klientske nasazeni, ci nasazeni domu, coz samozrejme chapu cim je to zpusobeno.
Nicmene budu muset sehnat prostredky abych toto zarizeni vlastnil.
Panove, jen tak dale.Mnohokrate vam dekuji.
-
Miramel (neregistrovaný)
"Výrobní cena jednoho kusu se bude pohybovat kolem osmi až devíti tisíc korun."
Ale kdepak, to bude dotované státem, z naší vychrtlé a nemocné rozpočtové stračeny se jistě pár miliard vyrazit povede. Když navíc bude cena "dobrá", tak si na tom třeba i někdo slušně namastí kapsu :-)
Svět rozdělme na tři skupiny:
- Debilové, ti si koupí cokoliv
- BFU, ten za to tolik nedá, protože má antivirus a protože si nekoupí router dražší než jeho PC, ostatně stejně má profil na FB a všechno na sebe napráší dobrovolně (leda když to bude dotované)
- Profík, ten si to nekoupí, protože to prostě JE čmuchací karabička, přesně podle hesla "cesta do pekla je dláždena nejlepšími úmysly", možná to není myšleno jako čmuchací krabička, ale bude to čmuchací krabička dříve nebo pozdějiMě osobně, mohu se plést, je to jen můj názor, to přijde jako začínající tunel na státní prachy, vyhazování peněz za vývoj, který nemá opodstatnění, ztráta času a tak obecně. Pak mi to prostě přijde takové Náckovské. Prostě ještě větší nesmysl než bájné červené tlačítko "stránky jsou nebezpečné".
-
Himi (neregistrovaný)
Neziskovka určitě dostane dotaci, neziskovky totiž obvykle získávají tučné dotace. A jak to, že je to neziskovka, když evidentně má zisk, když se může pouštět do podobných projektů? Dřív CZ.NIC rozdělovalo přebytky jiným a tak by to i mělo zůstat, měli by vydávat knížky a když tak podporovat jiné projekty, ale CZ.NIC by si určitě neměla hrát na Třetí říši ani Velkou Čínu.
-
martin kalenda (neregistrovaný)
to ovsem neznamena ze pro ekonomiku a bezpecnost tohoto statu by se asi dali penize vyuzit jinak. mynimalne dos a bezpecnost tj napr dotahnout to konce honeypot reseni klidne i ve sprave cz. nicu do nekolika dc bych jim klidne tyto sondy dal.
to same si myslim ze na x86 by udelali nejakymsecurity firewallem lepsi skuzbu. ale je to zspo tak at si delaji co chteji.
-
Nic není tak jednoduché, jak to na první pohled vypadá. Tenhle problém zrovna tak, psal jsem o tom kdysi na blogu. Stručně:
1. Snižovat cenu mnoho lidí nechce (včetně mě), protože už tak je to až moc levné, což nahrává spekulantům a lidi blokují dobré domény. Já platím za doménu necelých 15 Kč za měsíc. Tohle už skoro jako regulace nefunguje.
2. Dávat jiným se zkoušelo, ale vyvolávalo to řadu otázek: Proč zrovna jim? Jak jste na ně napojení? Proč ne někomu jinému? Jste netransparentní! Divné toky peněz za naše domény! Kam se to ztrácí?
3. Nechávat si peníze CZ.NIC nemůže. Takže co s přebytkem? Jestli máte nápady na lepší projekty, tak jim napište. Oni budou určitě rádi.
-
Himi (neregistrovaný)
Ať sponzorují knížky, vzdělání a osvětu. Něco, z čeho budou mít užitek všichni, router za 10 000 určitě není věc pro každého. Také platím za doménu a jsem docela proti tomu, aby se za takové věci vyhazovaly peníze. Ať se snaží lidi vzdělávat. Kvalitní článk na Rootu každý týden by byl rozhodně přínosnější než megadrahý (i podle mě špiclovský) router pro pár "vyvolených".
-
krdw (neregistrovaný)
Možná by stálo za úvahu zlevnit kurzy - http://www.nic.cz/akademie/ (aneb investice do bezpečnostního vzdělávání).
Soudě podle volných míst za tu cenu není zájem. Já se teda na dva kurzy přihlásil, ale kdo si může dovolit dávat cca 5000 Kč každý měsíc za školení?Pak kromě školení pro odborníky by se dalo vymyslet vzdělávací turné pro laiky, osobně si myslím, že úloha CZ.NIC by měla být i edukativní, ostatně správa národní domény a internetová bezpečnost jedno jest.
-
krdw (neregistrovaný)
Prosím vás, nechte toho, jste trapný. Nikdo vás nenutí toto zařízení používat. Já se naopak rád do výzkumu zapojím a je to moje věc, stejně jako vaše věc, že si tento router nikdy domů nepřinesete.
Já celý projekt chápu primárně jako výzkumný, proto jen 1000 kousků a propagace jen na odborných serverech.
-
mno nevím (neregistrovaný)
Otázka je, co se na vzorku 1000 kousků vyzkoumá. A taky zvažte, kdo je bude mít. Asi těžko zjístíte, co ohrožuje Tondu Fondu na Malé Horní (kterému třeba plynule každou minutu odchází hlášení od 10 wormů, co má na kompu, a vesele to množí do okolí), když mu nabídnete krabičku za 9 tisíc. (Za to by mohl mít vojetýho Favorita vod soudeda!)
Jako upřímně, nejdřív mě to nadchlo - router sestavený odborníky, bez nějakých stupidních přehmatů, co ho zlevněj o 20 korun a zkurvěj o 50%. Jasná volba!
No a pak jsem se dočetl ty ale ...
- cena
- čenichání
- 1000 kusů
- a v podstatě vlastně taková hračka pro pár lidí, aby bylo do čeho cpát přebytečné peníze.
No holt, se někdo má... -
Když to nazvu nacionalismem za předpokladu, že je to totéž, nemyslíte, že (biologicky) je nacionalismus klíčovou vlastností lidského společenství pro dlouhodobé přežití? Když budeme mít 2 státy a jeden bude držet při sobě (diskriminovat cizí), zatímco druhý si nechá zamořit zemi jinými rasami, kde asi bude za 500 let stejný genofond/rasa/národ? Multikulturalismus=sebegenocida!
-
Ondra Satai NekolaZlatý podporovatelŘekl člověk, co nejspíš biologii neviděl od základky a slovo antropologie teď slyší poprvé...
-
SB (neregistrovaný)
To, že vám to připomíná Hitlera, neznamená, že národ je něčím špatným. Naopak. Jedná se o komunitu lidí (mimo jiné) se stejným zájmem a kulturou, což je prostředí odpovídající jejich myšlení, tedy optimální pro život. Živořit se dá kdekoli na světě, ale opravdu žít jde jen v kompatibilní kultuře. To se o nových kulturách deroucích se do Evropy říci nedá. To měl Zdenek na mysli a řekl to dobře.
-
Petr M (neregistrovaný)
Jo, ale u izolované skupiny je zase malá variabilita z pohledu genetiky. Proto jsou pro nás tak sexy asiatky, mulatky,... Populce, kde je několik etnik, je celkově odolnější, protože má pestřejší genofond.
Takže proti migraci nic nemám, ale když už se někdo někam přestěhuje, měl by respektovat místní kulturu. Nemůže si někdo vydupávat právo nosit burku ve Francii, když by doma ukamenoval francouzskou slečnu, která si vyjde ne nákup v minisukni. Ale to je docela rozdíl.
-
SB (neregistrovaný)
Tak to já si radši nechám tu malou variabilitu.
Moc jste to nepochopil - cizí etnika/kultury se nederou do Evropy, aby tu vytvořily odolnější populaci, ale aby tu vytvořily vlastní, homogenní populaci a původní zlikvidovaly. V tomto světle smysl infiltrace Evropy padá.
„...měl by respektovat místní kulturu...“ Měl, takhle to ale nefunguje. -
Doporučuju víc nastudovat historii a sociologii. Stačí učebnice pro střední školu. Národní stát je výmysl 19. století. Středověký člověk by vůbec nechápal, o čem mluvíš. Stačí se podívat, jaký Čech byl "největší Čech" Karel IV., popř. kde se narodil třeba takový kníže Rostislav.
Takže hrát si na nějaké národovectví, to je asi taková reminiscence, jako kroužek historického šermu.
Howgh k tomuhle offtopicu.
-
SB (neregistrovaný)
Je ale ÚPLNĚ šumák, co bylo v 19. století nebo dokonce předtím, bavíme se o současnosti, nejen proto, že čelíme současné situaci. Český národ existuje, má bezpochyby své území, kulturu a řeč, případně další vlastnosti, včetně těch špatných, když už podle vás nemá historii. To vše právě vytváří ono specifické prostředí, ve kterém žijeme. Jestli vás natolik irituje termín „národ“, prostě tomu říkejte „prostředí“ a ušetříme si tady vaši exkurzi do historie českého „nenárodu“ a léčení vašich identitních komplexů.
Taky doufám, že nezareagujete, protože o tomhle se dohadovat, to už je fakt trollování. -
Z těhle routerů ale budou mít užitek všichni. Primárním účelem je analýza datových toků v síti a detekce hrozeb v internetu. Ti "vyvolení" jsou pokusní králíci, kteří se nechají dobrovolně špiclovat a za odměnu dostanou půjčený router. (Ostatně - většina účastníků pokusu budou nejspíš nadšenci, kteří už nějaký router beztak doma mají a připojí se jen ze zvědavosti.)
Také si platím doménu a zrovna tenhle projekt se mi zdá jako docela dobrá investice, narozdíl od jiných aktivit CZ.NICu. Je to holt věc osobního názoru.
-
Filip JirsákStříbrný podporovatelNěkdo jiný zase nebude mít užitek z knížek nebo vzdělávání, ale z routeru ano. Tak co s tím? Buď vy budete proti routeru, já proti knížkám, někdo další proti MojeID a aby CZ.NIC všem vyhověl, nebude dělat vůbec nic. Nebo se holt budete muset smířit s tím, že CZ.NIC dělá i věci, které jsou zrovna podle vás zbytečné.
-
Prid sa pozriet na Slovensko, mat tu vase CZ.NIC tak skaceme od radosti do stropu. Ako tak sledujem, tak stale nieco vymyslaju, zdokonaluju. U nas nie su schopni urobit normalnu funkcnu stranku a odstranit byrokraciu - faktury chodia postou a pre zmenu registratora, alebo vlastnika je potrebne notarsky overene potvrdenie odoslane postou.
-
KapitanRUM (neregistrovaný)
Tak to bys byl nadšený z Číny, tam mají dokonce velký ochranný firewall.
http://www.greatfirewallofchina.org/Ti se ale snaží co?
-
a SK-NIC ani nekona, uz davno by mala byt nasa narodna.sk domena byt podpisana (spolu aj s ceskou), ale nas narodny register na to vsetko uplne kasle a navyse jeho stranka je taaaak neprehladna, ze az to je ostuda (layout robeny tabulkami a nie CSS) a okrem toho ani ziadna podpora komunity... iba vybera prachy za domeny a to je vsetko...
cesky CZ-NIC aspon sa stara o komunitu, vyvija HW/SW (napr. Turris, DNSSEC validator, KNOT - dns server,...), informuje o bezpecnosti domen,...toto by som skor nazval ako krabicku na zber informacii pre dalsi bezpecnostny vyskum, ved uplne vsetko (aj HW, ako aj SW) je sirene ako open source, cize hocikto moze si skontrolovat co ta krabicka robi a ci neposiela citlive udaje, ako niektore ine programy a systemy
a takisto ani netaja tym, co presne ta krabicka posiela, cim sa odlisuje pristup CZ-NICu od inych spolocnosti, kde to vsetko sa taji a ku zdrojakom nie je pristup (napr. M$) a kde su iba dohady o tom, co sa posiela -
a to je prave to najhorsie, co moze byt.. a pokial si budem dakedy si zakladat domenu, nebude to .sk, ale .cz a nebude to ani u slovenskeho registratora... nemienim platit spolocnosti, ktora bere prachy a neinovuje svoje sluzby podla trhu (sk-nic uz davno zaspala dobu)
v Cechach sa mi podla poskytnutych sluzieb zda jeden z naj napr. Active 24
-
zz_indigo (neregistrovaný)
A ty si myslis ze odpocuvanie ala prism je novinka?
Taky francuzi maly dlho zakazane sifrovanie aby odpocuvanie moc nestalo. Amici mali dlho obmedzenu dlzku kluca aby to vedeli rozsifrovat v rozumnom case. Korejci mali zas len vlastny sifrovaci protokol aby ludia nesifrovali nicom co tajny nepoznaju. A sondy su napchate vsade a odobrene zakonom. A nik nieje tak sprosty aby takto chel odpocuvaj internet sak je to drahe a este to rozkrikovat?
Odporucil by som viac prechadok na cerstvom vzduchu ;-)
Toto je projekt analyzi na specializovanom HW. Vec ktoru robi vecsina bezpecnostnich SW. veci posiela do "cloudu" a ten pomaha v zabezpecovani. napriklad taky trendmicro sa tym chvalia. A tym za to este platis.
-
tie odpocuvania, co ty tvrdis boli robene open source softwareom? ci propritarnym, uzavretym? zacni rozlisovat open source a proprietarny!
u proprietarneho nevidis do kodu, cize za tvojim chrbtom moze posielat hocico z tvojho pocitaca a ani nevies co sa posiela, ale u open source si mozes pozriet cely kod a uvidis, co presne sa posiela, ci sa posiela iba hlavicka paketu, alebo aj kkomplet cele pakety
-
blchavec (neregistrovaný)
ja by som ten router tiež privítal , mne sa zase zdá ta vec vporiadku ak si bude svoj účel plniť tak ako má , keď si zoberieme cenovo na tom možno trhnú 50€ čo nieje veĺa , procesor stojí cca 70 - 80€ , smetie okolo toho dajme tomu 60€ , doštička 30€ , a niekto to musí aj vyrobit zabaliť ... atď atď , si zoberte že len daná vyvojová doska a ten typ procesoru stoja cca 2000€
takže stále sú v norme ak zato chcú len smiešnich 310€ . k pánovi hore papierová faktúra je ok , overenie prevodu domény notárom je ok , ale vporiadku nie je že sk.nic nevyvíja aktivitu ako cz.nic -
Honza Jaroš (neregistrovaný)
To ovšem platí pouze pokud si explicitně zažádáte o zvýšené zabezpečení objektu v databázi CZ.NIC. Jinak stačí Auth-ID...
-
Mipi (neregistrovaný)
A to zase ne, zadarmo bych si moho regnout celý slovník českých slov včetně jejich kombinací a k tomu navrch ještě seznam všech registrovaných domén. Nějaká platba, byť malá, opravdu zabraňuje spekulacím.
Ale vybrané peníze by měly jít na veřejně prospěšné účely, třeba na ty články. -
Ten poplatek je především regulační. Aby nebylo možné si zaregistrovat stovky tisíc nesmyslných domén jen tak.
Navíc ty DNS servery musí někdo provozovat a pokud chcete nějakou spolehlivost, nedá se to dělat zadarmo. Samozřejmě, že by bylo možné to dělat nízkonákladově, ale tam by zase selhávala ta regulace, kdyby na pokrytí provozu stačila pětikoruna ročně za doménu.
-
Nevím, nakolik je to legislatvně možné, ale co vyrábět tyhle routery se ztrátou a prodávat je v nějaké relativně běžné cenové hladině? Prostě je z té hromady peněz dotovat...
Mít to cenu srovnatelnou s Mikrotikem, kter mám doma (433), koupím si to. Být to opodstatněne dražší, koupím si to taky (2 USB, všechny porty Gbit, Wifi na desce).
Na rovinu - nad 3500 je to už moc. Za 4000 si koupím Mikrotik s 8 Gbit porty, 3 miniPCIe, ale "slabým" CPU a "minimální RAM" a flash. Ale službu mi udělá lepší. Když hodí cenu do 3500, přemýšlím o tom.
To jen taková úvaha nad hromadou peněz, se kterou musí sdružení něco udělat :-)
-
Filip JirsákStříbrný podporovatel
1 Kč za pronájem je snad míň, než těch vašich jednorázových 3500 Kč…
-
Nejsem expert na Mikrotik, ale model s 3x miniPCIe jsem nanasel, nicmene netvrdim, ze neni. Ale to neni podstatne, protoze chapu Vasi uvahu. Nas model se prave odlisuje tim vykonem, ktery potrebujeme pro tu analyzu, nikdy nemel konkurovat Mikrotiku. Delat 1000ks serii a snazit se konkurovat velkym vyrobcum by bylo celem Don Quijotovske.
A k druhe casti poznamky: Ta hromada penez CZ.NICu skutecne neni tak velika, abychom mohli takto dotovat routery pro vsechny, byt pri velkoseriove vyrobe bychom se pochopitelne s cenou dostali vyrazne nize. Ale predevsim by to bylo velmi nefer vuci komercnim vyrobcum.
-
-
H. (neregistrovaný)
Je to teprve včera představený produkt
http://www.mikrotik.com/download/share/us13.pdf -
Filip JirsákStříbrný podporovatel
Už tady x lidí psalo, že snížit cenu za doménu by nebyl problém. Ale vedlo by to k větší nedostupnosti českých domén. Spoustu by si jich totiž zaregistrovali spekulanti, a rozumné domény by se pak nekupovaly od CZ.NICu, ale mnohem dráž od spekulantů. Pro koncové zákazníky by tedy domény nakonec byly dražší, CZ.NIC by získal méně peněz a za rozdíl by si spekulanti užívali někde u moře. Opravdu by to bylo zlepšení?
-
j (neregistrovaný)
jiste jiste ... proto ma hromada "registratoru" ... regly tisice domen, na kterejch nic neni, ale ktery radi za prislusny obulus prodaji ... a proto existujou ve svete sluzby, ktere poskytuji domeny (prevda prevazne 3. radu) zcela gratis ... a nejspis proto, ze je to zcela gratis ... tak neni problem si regnout cokoli ... a presto sem si nevsim, ze by nekdo 24/7 registroval vsechny slova ze slovniku .... hmm ...
-
Pavel (neregistrovaný)
V době kdy nemůžeme věřit Google, Microsoft, Facebook přichází NIX s tím že mě bude sledovat místo těchto společností. Pro mě je to děsivé, protože člověk co mě sleduje může bydlet ve stejném městě jako já. Samozřejmě že NIXu nevěřím a pokud má problém s přebytkem peněz, nechápu proč zdvojnásobili členské poplatky a teď čelí komerční konkurenci od Superhostingu. NIX jsou síťaři, tak at dělají síťe.
Pro ty co chtejí bezpečný router, za bezmála 2000 ať si koupí třeba http://www.alza.cz/mikrotik-rb450g-d184217.htm?kampan=adw1_dsa-alza&gclid=CLbkmszhz7kCFcmV3godOTQAZw ještě dnes.
Co může NIX udělat, je poskytovat databázi útočníků, kterou by můj domácí router dokázal na můj pokyn použít k filtrování internetu.
Souhlasím s Miramel, pokud NIX dělá HW je to tunel. To že v NIXu rozhodují jeho členové akorát tunel teorii podporuje. -
Michal (neregistrovaný)
a verite svemu ISP, ktery musi sbirat data podle zákona č. 273/2012 Sb.
zneni:
zde -
j (neregistrovaný)
To sis ten zakon moc dobre neprecet ...
Je tam totiz napsano, ze musi uchovavat udaje, ktere vznikaji pri zajistovani tech sluzeb => napriklad pokud nejakym zpusobem prideluji IPcka, tak si musi pamatovat, kdo ho dostal. Ale v zadnem pripade mezi to nepatri preventivni odposlech veskere komunikace.
-
Mirage (neregistrovaný)
Jakmile se najde magor, co to připraví, najde se další magor, který to prosadí jako povinnost. To už si snad nepamatujete věci s ACTA-PIPA-SOPA?
Tohle je jen salámová metoda, po trošká, postupně, odkrajovat, připravovat si, nejprve lidi zvyknout, že posílat data někam je dobré, pak že posílat data státu je dobré, atd, atd. -
bmann (neregistrovaný)
Takže dle Vaší interpretace Vám přidělí privatní IP adresu a tento provoz už musí monitorovat, protože Vám tímto poskytuje službu.
Jinak obecně poskytovatel zajišťuje obecně služby přístupu k internetu a toto
monitoruje jako celek. A takto jsou také nabízena řešení.Osobně si myslím, že menší poskytovatelé to neřeší a ani si nejsem jist co opravdu vše na ně z onoho zákona platí, pouze poukazuji na praxi a v jaké formě jsou nabízena řešení velkým firmám.
Navíc pokud si přečtete obchodní podmínky často tam uvidite pasáže o monitorování sítě pro zajištění funkce sítě atd.
-
Michal (neregistrovaný)
Provozními a lokalizačními údaji podle odstavce
3 jsou zejména údaje vedoucí k dohledání a identifikaci
zdroje a adresáta komunikace a dále údaje vedoucí
ke zjištění data, času, způsobu a doby trvání komunikace.chapu jako:
dohledání a identifikaci zdroje a adresáta komunikace - mel bych vedet kdo vlastnil danou IP
data, času, způsobu a doby trvání komunikace - toto chapu tak, ze ISP ma logovat skym, jaka sluzba a jak dlouhoChapu to tedy spatne ?
jen v tom chci mit jasno -
M. (neregistrovaný)
Musíte rozlošit, zda váš poskytovatel připojení je ragistrován jako:
a) Neveřejná síť telekomunikací - nemá povinnost logovat.
b) Veřejná síť telekomunkací (mů učité výhody v možnostech lézt cizím na barák atd) - má povinnost logovat v takovém rozsahu, aby na žádost Police/soudu dokázal identifikovat o koho jde. V podstatě pak dvě podvarianty:
b1) Uživatle má veřejnou IP - pouze mám statistiku, kdo, kdy, jakou IP měl přidělen a úkol splním.
b2) uživatel je za nějakou vriantou NAT 1:N - musím logovat každé spojení, abych dokázal zpětně dohledat při konkrétním dotazu na konkrétní spojení o koho šlo. Dodávají se hotové řešení na toto, včetně outscorovaných.
Pokud spadám do varianty b) a neloguji nebo o data logů přijdu (byť katasttrofou), tak můžu být opakovaně pokutován v řádech MKč od ČTU za neplnění zákonem uložené povinnosti. -
j (neregistrovaný)
Opet zjevne neumis cist zakony. Toto jen upresnuje to, jaka data se maji uchovavat, ale pouze v pripade, ze je poskytoval te sluzby nejakym zpusobem vyuziva/pracuje snimi/... => telefonni operator napriklad potrebuje vedet, komu kdo volal, aby mohl hovor vyuctovat. Pokud by ale potencielne poskytl sluzbu za pausal (zcela nezavislou na tom, odkud kam volate) tak takova data nanic nepotrebuje => nemusi je ukladat.
=> ano, rozumis tomu spatne.
-
Rhinox (neregistrovaný)
Byl bych opatrnej taky v hodnoceni te myslenky. Kvalitni routr ano, jenze jakemukoli monitorovani rikam NE!
A pokud jde o ty prostredky, jeste radsi zatim neshanej. V rozhovoru je neco o nake smlouve s NIC.cz, taky na webu se pise "bude muset mezi naší společností a uživatelem dojít k uzavření smlouvy o pronájmu" (nikde na webu nic blizsiho neni). Tak si pockejme co v te smlouve bude...
-
Rhinox (neregistrovaný)
Ano, jenze predpokladam, ze pokud ji neuzavru, pak cena bude nejmene tech 9 litru (pokud tedy vyrobni cena je 8-9 tisic Kc). A to muze byt problem i pro geeka. Vzdyt za tu cenu si muze koupit u Mikrotiku neco z vyssi rady, treba RouterBoard 1100/1200 a hrat si s tim do aleluje...
-
Rhinox (neregistrovaný)
Turris samozrejme neznam, presto bych byl opatrnej co se tyce srovnani moznosti. Rekl bych, ze co do HW tam velkej rozdil neni, a s ROS 7.x se da taky celkem solidne pohrat...
Ovsem za kardinalni povazuju informaci ze Turris stejne nebude na prodej. Pronajem za 1Kc (se smirovanim v cene) pro mne neni zajimavej. A obavam se, ze pro mnoho geeku nebude. Kdo by chtel mit hracku, kterou mu muze nekdo kdykoli vzit, ze ano...
-
Pegas (neregistrovaný)
Já jsem si postavil levnějsí, deska intel atom 2,1 Gb dvoujadro, 4 Gb RAM a místo disku CF karta v SATA redukci, nainstaloval jsm si PFSENSE, který je na bázi frebsd a jsem s ním plně spokojen, i Wifi karta se da do desky použít z noteboku. takže mám WAN 2 nezavislé LAN a Wifi. Funguje i trafic shaping.
-
j (neregistrovaný)
jj => prijdou "zeleni muzici" ... Kdo ze to komunikoval s IP 1.2.3.4 ? => vsechny je zavrem.
Ostatne, na zaklade ceho si asi tak dotycny mysli, ze se poradaji hony na ony "siritele DP" a dalsi. Odsouzen snad nikdo nikdy nebyl ... ale domovni prohlidky se na zaklade niceho konaji neustale.
Nehlede na to, ze za 10k postavim tak zhruba o 2-3 rady vykonejsi PC router, ktery ma zaroven nasobne vyssi vyuziti (zaroven vpohode muze byt sitovym ulozistem, web serverem ...) a spotrebu zas otolik vyssi mit nebude.
-
Ano, jiste si muzete dat domu PC jako router, proc ne. Ale tohle reseni je ve velikosti klasickeho domaciho routeru/modemu, nema zadny vetrak a pritom ma dostatecny vykon. Navic CZ.NIC bude neustale pridavat nove aplikace a vylepsovat firmware, takze s casem se muze hodnota toho reseni pro Vas zvysovat.
-
Navic, opravdu to *uroutuje* gigabit... "Obsahovat gigabitove porty" a "uroutovat gigabit" jsou veci naprosto odlisne :) Viz treba Cisco 2901 ISR - ma gigabit porty, ale dle uroutuje 168 Mb/s... viz http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf
-
Na prototypové verzi je opravdu 6 ethernetových portů. Pět je napojeno do procesoru přes switch-chip, šestý přímo (ten bude defaultně nastaven jako WAN).
I když jsme to takto udělali pro testovací účely, je pravděpodobné, že to tak zůstane i ve finální verzi. U samostatného LAN portu pak ve výchozím nastavení uvažujeme o možnosti specifického použití, např. pro DMZ.
-
Už sem to psal na Lupě . Přenáší takový router opravdu pro běžného koncového uživatele nějak zásadní vyšší reálné bezpečí? Ne teoretické ale odlehčí mu od toho z čím nejčastěji bojuje?
Celé to padá na ...Pro koho je vlastně zařízení určeno?... Je skutečně ten potencionální klient ohrožen ze sítě?
Podle mě je takový uživatel ohrožen primárně na SW vrstvě, kterou vůbec nebo minimálně dokáže tento router, nebo podobné ovlivnit.
Jinak problém krabiček doma... pokud někdo má kabelovku má proprietární HW od ISP , pokud někdo má xDSL opět má jiný router. Kolik procent tedy potencionálně zbude kdo si pořídí aktivní prvek navíc?
-
Právě nějakou analýzu paketů proti Win32 kompatibilní havěti v aktivních prvcích není v segmentu SOHO prakticky vůbec. To bývají až samostatné aktivní prvky nebo přímo proxy servery pro medium business.
A při nasazení do heterogenního prostředí domácích nalých firemních sítí bude jak píšete systém blacklistů a whitelistů velice těžkopádný a o uživatel v instalování bad-ad-ware bude vždy napřed....
-
fpul (neregistrovaný)
V krabičkách "z eklektra" jsou občas šílené věci. Jednu (ne zrovana moc lacinou) jsem studoval. Měla otevřený telnet do světa s jedním triviálním helslem na roota co změnit šlo a jedním méně triválním co změnit nešlo. Po upozornění výrobce (nějaká Asie) do rc scriptů napsali IF že v serii co se dělala pro nás se telnet daemon starotvat nemá :-( Problém vyřešen. Po asijsku.
OpenWRT je řešením. Pokud je na něm něco špatně a CZ.NIC nevý co s prachama, tak ať jej vylepší. Nebo ať udělá něco jako OpenWRT od nuly.
Je otázkou, zda todle povinné utrácení peněz by nemělo mít formu spíše nějaké nadace co by dávalo granty, než že si Ondra Surý (nebo někdo jiný) udělá lab a tam si kutí co ho napadne.
-
"než že si Ondra Surý (nebo někdo jiný) udělá lab a tam si kutí co ho napadne."
Co takhle nechat mluvit fakta? CZ.NIC už udělal tolik celosvětově užitečných projektů (a všechno open source!), že má "odpracováno" na mnoho let dopředu. Ono si stačí přečíst historii internetu, ten taky v dnešní podobě vznikl díky nadšení lidí, kteří si jen něco kutili (nepočítám ten úplný základ v ARPA, z kterého toho moc nezbylo). A ty lidi taky někdo platil (univezity z veřejných peněz). Nebo takový Google, díky tomu, že si mohli zaměstnanci "jen tak něco kutit", vznikl třeba Gmail. A co teprv Linux...
OK, tohle jsou veřejné peníze, ale zkuste najít ccTLD, kde mají levnější domény. Moc jich asi nenajdete. I v tom je vidět, jak je CZ.NIC efektivní, když navíc ještě zbývají prostředky na vývoj...
-
bmann (neregistrovaný)
Osobně mi to přijde jako zajímavý projekt.
CZ.NIC pracuje na zajímavých projektech jako DNSSEC, vlastní DNS server a další projekty. A tento router je jeden z nich. Cena za doménu je opravdu dnes minimální a regulační prvek by tu měl být. Navíc ty servery, toutery apod. se nenakoupí a nespravují samy.
Jsem rád za aktivní CZ.NIC s řadou zajímavých projektů a slušnou pověstí ve světě více než za šedou myš.
K vlastnímu routeru. Mnohem více budu věřit CZ.NIC, který uvolní celý kód pod open source licencí a otevřeně deklaruje co sbírá a já se mohu rozhodnout jestli mi to vadí či ne. Každý si může rozhodnout za sebe a má tu možnost.
Hodně lidí ani neví co vše posílá jejich browser případně jiné aplikace.Myslím, že své zájemce si to najde a může to mít nějaké výsledky. Těm co to vadí tak si prostě nepřipojí.
-
Kdyz jsme pred lety s kolegy zacali pracovat na CESKEM reseni routovaci deamona BIRD, mozna byste mel stejny pocit. A vidite dnes tento software slouzi v tech nejvetsich internetovych uzlech sveta a sklidili jsme za to mezinarodni cenu a spoustu uznani. 99% kodu psali Cesi.
Spoluprace s ostatnimi spravci domen neni prilis jednoducha, tymy, u techto projektu byvaji hodne heterogenni a prilis to nefunguje. Jako priklad uvedme projek DNS serveru BIND10, pro ktery se slozil mezinarodni tym (i s nasi ucasti) a po peti letech neni funkcni verze, ackoliv to stalo miliony dolaru. Oproti tomu jsme v malem lokalnim tymu vyvinuli Knot DNS, ktery hodne zmenil situaci v DNS server.
Vetsina spravcu (chce se mi rict vsichni) narodnich domen nema takove vyvojarske kapacity jako CZ.NIC a to mluvim i o firmach jako Nominet (.uk) ci SIDN (.nl), ktere maji mnohem vice penez a vice zamestnancu.
-
Jako off-topic bych si dovolil podekovat a pochvalit za daemona BIRD - behem chvile jsem ho rozbehnul na testovaci masine. Zda se, ze je o hodne flexibilnejsi nez quagga, kterou jsme pouzivali doposud. S quaggou mame obcas problemy, ze vypadavaji urcite routy, tak ji zacnu asi nahrazovat BIRDem. Diky!
-
Ondrej Santiago Zajicek (neregistrovaný)
> 99% kodu psali Cesi.
No, ja tedy osobne se za cecha nepovazuju. Mam sice ceske obcanstvi, ale hlasim se k evropske a ne k ceske narodnosti.
Krom toho, komunita kolem BIRDa je z velke casti mezinarodni, mnoho lidi z ne-CR posila bugreporty ci rovnou opravne patche, ci pisou nejake experimentalni, zatim nezamergovane featury (napr. BGPSec). A to ani nezminuju masivni vyvojarskou aktivitu Alexandra Chernikova ;-)
-
Phokz (neregistrovaný)
+1
Bird je super, první routovací sw který JustWorks(tm) a byl jsem ho schopen nainstalovat a nakonfigurovat doslova v minutách.
KnotDNS je taky fajn, ale využije ho až někdo kdo má v serverech opravdu hodně domén.
CZ.NIC je super, to, co dělají dělají dobře a kdo prudí, většinou sám nic užitečného neudělal.
Já bych dokonce byl rád, kdyby CZ.NIC nebo nějaké alespoň podobně kvalitní a transparentní sdružení dokázalo převzít další agendy krom domén. Například část agendy ČTU (přidělování čísel a spektra) by jistě dokázali řešit otevřeněji, transparentněji a efektivněji.
-
Hodně lidí ani neví co vše posílá jejich browser případně jiné aplikace... ...a teď to vědět bude?
Normální aktivní prvek jako je domácí router s firewallem pracuje zjednodušeně jen s adresou, portem, protokolem. Tedy nedělá analýzu, co je přenášeno a jak je s tím pak naloženo.
Pokud někdo stáhne falešný_antivir.exe přes http s obyčejným routerem stáhne ho pravděpodobně i s tímto routerem. Řešení jsou , ale jsou komplikované, nákladná a hlavně vytvářená na základě ex post zkušeností a následně plnění blacklistu a whitelistů , vytváření virových definic atd… -
bmann (neregistrovaný)
Jak je psáno v článku, sběr dat končí na úrovni hlaviček. Nic víc, nic míň.
Existují komerční řešení, která se snaží detekovat hrozby a napadení sítě na základě statistiky a anomálií v provozu. A tímto směrem si myslím jde toto řešení.Pravděporobně bude schopno detekovat až reálné napadení sítě, případně pokusy na základě dat z dalších zařízení.
Navíc jak je řečeno i v článku, moc se nebojím, že by vůbec někdo po CZ.NICu chtěl nějaká data. Data sbíraná tímto routerem může posbírat ISP bez větší námahy. Navíc tyto údaje dle zákona musí sbírat již teď a poskytnout statním orgánům. Existují na to již hotová řešení.
-
Na detekci anomalii v sitovem provozu. Jiz dnes mame velmi kvalitni nastroje, ktere dokazi odhalit i pomerne male anomalie v DNS provozu. Diky tomu lze treba (podotykam pouze z DNS provozu) vystopovat rozesilani spamu, detekovat cinnost nejakeho webcrawlera, pokus o enumeraci zony a podobne. Pro zajemce je treba tady prezentace na toto tema: http://toronto45.icann.org/bitcache/c6215e0ce84013f0a7050cc18b449287846a564a?vid=41887&disposition=attachment&op=download Tento algoritmus muze svym zobecnenim na bezny IP provoz davat velice zajimave informace o internetovych utocich, cervech a podobne a pritom porad nepotrebujeme narusit soukromy a jit dovnitr do packetu.
-
bmann (neregistrovaný)
Předpokládám, že asi znáte známou píseň o statistice :-)
Statistika je mnohdy mocný nástroj a nejde jen o vlastní hlavičky, ale celkovou analýzu. Ne nadarmo nedávno Cisco koupilo menší českou firmu vyvyjející bezpečností řešení na základě analýzy dat provozu (jménem si teď nejsem jist, snad Cognitive Security).
Samozřejmě nic není samospásné, ale hodně firem má podobné řešení jako doplněk ke stávajícím "klasickým" řešením.
-
Jste mimo nebavím se o tom co sosá pro potřeby NIC bavím se o tom, co přináší tomu úzko profilovému uživateli za vyšší bezpečnost než jiné podobné aktivní prvky.
Říkám, že uživatel této kategorie je ohrožen primárně na koncové stanici zavirováním, které nepřijde z vnějšku. Ale aktivitou uživatele, on sám stáhne škodlivý SW a provede zavirování. Prostě ten vir si sám nainstaluje. V tom mu aktivní prvek jako je firewall normálně nezabrání. Protože analýza provozu na úrovni routeru a paketového firewallu tohle nedělá.
To co by uživatele ovlivnilo nejvíc je proxy serve a aplikační firewall ten to bude dost těžko obsahovat. Jednak to co o tom píšou zmínku o tom neobsahuje a pak OpenWRT také tím to směrem založeno není.
Takže mám názor, že třeba v maximálně 20% budete zařízení chránit lepe než zařízení běžně dostupná na trhu. Ve cca 80 nebo více procentech bude chránit naprosto stejně jako každé jiné zařízení na trhu.
Otázka zní, stojí mě těch maximálně 20% za to nebo patřím k té skupině 20% ohrožených?
-
Filip JirsákStříbrný podporovatel
Vy ale řešíte jen to, jak zabránit zavirování počítače. A tomu nikde nejde zabránit stoprocentně. Druhá věc ale je, když už k tomu zavirování dojde – co nejrychleji to rozpoznat a informovat uživatele. Případně se na základě toho rozpoznání dá upravit rozpoznávání a u jiných uživatelů už se stihne napadení zabránit.
To druhé žádná zařízení běžně dostupná na trhu pro SOHO nedělají. Což lze poznat třeba podle toho, že to není záležitost toho zařízení, ale to zařízení jen slouží pro konzumaci určité služby.
-
Bingho! A co myslíte, že dnes je bezpečnost toho SOHO uživatele je? Že mu někdo napadne fileserver nebo web server? Nikoliv obyčejný uživatele je hlavně konzument, neodborník. A kam myslíte, že by ten route od NIC měl zapadat?
Běžnému uživatele ten router prostě nic zásadního nepřináší a do medium business nebo vyššího sektoru nemíří. Případů kdy ochrání toho koncového SOHO uživatele ne naprosté minimu.
Jinak zmíněnou druhou věc ten router také moc nevyřeší, protože on nemá zpětnou vazbu od toho PC. Ten router nepozná, že uživatel má nainstalován škodliví toolbar. Že mu policie ČR zablokovala PC, že mu trojský kůň zašifroval jpg nebo že je cílen na nějak pokus o mailový phising . To jsou věci které firewally a routery neřeší ale uživatel s nima víc než z nějakýma pokusy o dos, flood ping, scanning, atd...
Jde o to, že mi tu „řešíme“ obyčejné uživatele a obyčejní uživatelé nejsme , nemáme jejich problémy , nemáme jejich potřeby a myslím že i spousta lidí neví nedokáže si uvědomit jaké mají problémy, potřeby a jak asi myslí.
-
Filip JirsákStříbrný podporovatel
Informace pro uživatele „pravděpodobně máte zavirovaný počítač“ podle vás uživateli nic nepřináší? Zablokování útoku, který se podařilo zaznamenat a rozpoznat díky jiným routerům v síti podle vás uživateli nijak nepomůže?
Ten router nepozná, že má uživatel nainstalován škodlivý toolbar. Ale pozná, že nějaké zařízení v síti generuje „divný“ provoz. Nebo že se nějaké zařízení v síti pokouší přistoupit na phisingový web.
Vy si asi představujete, že ten router má primárně řešit síťové útoky. Podle mne má primárně řešit síťové projevy toho, co i podle vás uživatele trápí. Zašifrovaný jpg samozřejmě nevyřeší. Ale nástroje, které tohle mají řešit, existují a používají se. Přesto ty problémy existují dál – takže ty nástroje buď nejsou dokonalé, nebo je uživatelé používají špatně. Má tedy smysl pokusit se to řešit i jiným způsobem.
Někdo si třeba problémy „obyčejných uživatelů“ aspoň trochu představit dokáže. Třeba byste si to dokázal lépe představit také, kdybyste četl, co je v komentářích opravdu napsáno. Třeba když někdo píše o rozpoznání zavirování počítače, opravdu tím myslí rozpoznání zavirování počítače a ne útok na fileserver, webserver, DoS ani flood ping.
-
Ne nepomůže je to takzvaně nošení dříví do lesa, nebo páté kolo u vozu. Ikdyž už to PC bude mít zavirované tak pravděpodobně to už pozná. Případně nebude prostředek, jak mu to sdělit viz stav toho PC
Ten divný provoz může te označit, až na základě nějaké modelové signatury. Tedy opět jste ten druhýNe já si právě nepředstavuji, že by měl nějak víc řešit bezpečnost. Protože právě jsem argumentoval je to nošení dříví do lesa, případně to páté kolo u vozu. Nepřináší totiž nic navíc považuji ho za zbytečný kus HW. To je moje strana pohledu.
Ale tu ta druhá strana, jako prostředek na vytvoření testovacího prostředí ten router chápu. Jen bych to nebalil do té pohádky o bezpečnosti pro lidi. To je stejná lež jako že DVB-T přinese kvalitnější obsah..
Ten router je prostě součástí pokusu, pro někoho to budou neobhajitelné prostředky investované do něčeho s něčím nesouhlasí. To neřeším, ty peníze už stejně mají, bezpečnost mě v tomhle nestraší. Jediné co se mi nelíbí, je nadšená argumentace ohledně bezpečnosti.
-
Filip JirsákStříbrný podporovatel
Pokud uživatelé zavirované PC poznají, proč jich tedy tolik zavirovaných zůstává? Předchozí znalost signatury není potřeba.
Autoři toho routeru tvrdí, že dnes něco umí rozpoznávat (třeba rozesílání spamu) – a vy na to reagujete, že je router zbytečný, protože takovéhle rozpoznávání nemůže existovat. Klidně si věřte víc vašim ničím nepodloženým domněnkám, než autorům projektu, já s dovolením tento váš pohled na věc nesdílím.
-
A proč je tolik lidí nemocných a nevyléčí se samo? Promiňte ale tohle je demagogie že?
Ta věc nepřinese prvotní prevenci. Pokud to PC začne rozesílat s neskutečnou intenzitou spam, nebo tam začně běžet nějaký primitivní server tak to opravdu poznáte. Jenže poznáte až to tam je. Jak zabráníte opakovaní? Banem ex post IP adresy? Jak dlouho to pomůže?
Router bude dobrá analyzační síť na výzkum třeba botlenetů nebo spamových farem. Z pohledu hlavních témat bezpečnosti je v segmentu opravdu zbytečné zařízení. Protože hlavní témata to neřeší.
-
Filip JirsákStříbrný podporovatel
Řekl bych, že je to u lidé stejné, jako u jejich počítačů -- prostě se nedokážou sami vyléčit, potřebují někoho, kdo se v tom aspoň trochu vyzná, podle příznaků dokáže určit onemocnění a navrhnout léčbu. Vy tvrdíte, že lékaři jsou zbyteční, protože nezajistí prvotní prevenci. Já tvrdím, že prvotní prevence není stoprocentní a že u lidí i současných domácích počítačů je potřeba počítat s tím, že se občas někde nakazí, a je potřeba umět nákazu co nejrychleji rozpoznat, uživatele/člověka na ni upozornit a zahájit léčbu. Ano, "hlavní téma" (aby se člověk nenakazil nebo nezranil) lékaři opravdu neřeší, to ale ještě neznamená, že jsou zbyteční.
Opakování se zabrání třeba tím, že se aktualizují antivirové databáze, zazáplatuje se děravý software, zaktualizuje se databáze škodlivých webů, kterých se dotazují prohlížeče. A to vše se zvládne dříve, protože se na problém dříve přijde.
-
Jak říkám neříkejte, že to je bezpečnější, protože ten rozdíl je minimální. O tom možná můžete diskutovat na akademické půdě, ale pro reálnou praxi je dopad směšný. Napadá mě uštěpačná poznámka jako spousta jiných věcí co se tam řeší a pro praxi je k ničemu a pak se diví že na to lidé nechtějí dát peníze…
Ten router nejsou ani bezpečnostní pásy není to ani doktor. Žádnou prvotní prevenci to nepřináší, je to vždy až druhé. Primární prevence je v SW na koncovém stroji. Tam je ten doktor\bezpečnostní pásy ve formě aplikačního FW a antiviru.
Životnost routeru\firewallu v segmentu SOHO je jen cca 2 roky, prostě ty zřízení odchází. Firewall, NAT, šifrování wifi ty nové začínají mít základu aktivované. Takže nic podstatného tohle uživateli navíc nepřinese. Proto to vidím jako nošení dříví do lesa, protže s běžným komerčním segmentem to soupeřit nemůže. A to sami píší.
Ten router prostě beru jako pokus. Testovací prostředí pro sběr informací k výzkumu. K tomu kolik ten projekt může stát. Nebo že sbírá nějaké informace nemám výhrad. Co mě prostě vadí je to, že tematicky ta bezpečnost je pojatá jako FUD.
-
Filip JirsákStříbrný podporovatel
Vy pořád trváte na tom, že jediná použitelná ochrana je prvotní prevence. Já asi žiju v jiném světě, ve kterém prvotní prevence rozhodně nestačí, o čemž svědčí spousta zavirovaných počítačů, botnetů a spammerů. V tomto světě bezpečnost koncové sítě zvýší i zařízení, které sice nedokáže vždy zabránit napadení koncového počítače, ale dokáže ten napadený počítač rozpoznat v řádu třeba minut nebo hodin (a ne měsíců, než si dotyčný přeinstaluje Windows).
Zároveň ten router může na hrozby reagovat téměř v reálném čase – dnes jsou takhle (pomocí blacklistů) chráněné jen webové prohlížeče, ten router takhle může chránit veškerý síťový provoz. To na koncových počítačích s Windows běžně obstarává antivir+firewall, jenže ty zdaleka nedokáží reagovat tak rychle. A pak tu samozřejmě je čím dál víc různých krabiček jako mobily, WiFi routery, NAS nebo SmartTV, které se běžně neaktualizují vůbec.
V tomto světě tedy toto sekundární zabezpečení není žádný FUD. A obávám se, že v tomto světě žije drtivá většina lidí, zatímco ten váš svět, kde takřka vše řeší prevence, nejspíš moc obyvatel nemá. Nebo možná píšete z budoucnosti, pak je to dobrá zpráva, že se tu prvotní prevenci podaří vyřešit.
-
bmann (neregistrovaný)
Přesně tak.
Firewally, IPS, Antiviry apod. systémy jsou dobrá věc, ale nedokaží zachytit vše.
V tomto případě nastupuje detekce anomálií a analýza síťového provozu, která neochrání proti napadení,ale dokáže odhalit již napadený systém a zjednat nápravu.Pokud se budeme bavit o reálném nasazení větších korporací tak je to vždy kombinace všech metod prohnaná přes SIEM řešení, které koreluje veškeré informace.
-
Pokud se budeme bavit o reálném nasazení větších korporací.... ...to je super jenže tenhle router nemíří do větších korporací.
Botlenety tvoří počítače kormporátní, nebo spíš písíčka ekonomicky slabých userů ? Kde nemají na zabezpečení natož znalosti. Kradou SW a daň kterou za to platí je to, že si to zavšiví nějakou win32 havětí?
-
Filip JirsákStříbrný podporovatel
Nevím, kde se podle vás vyskytují neaktulizované WiFi routery za pár stovek, SmartTV, neaktualizované (nebo rovnou upirátěné) Windows, a to vše připojené k internetu modemem nebo routerem ve výchozím nastavení. Podle mne jsou to domácnosti. Pokud jsou to podle vás větší korporace, žijeme každý v jiném světě.
-
Filip JirsákStříbrný podporovatel
Otazníku jsem pozornost věnoval, ale fakt nedokážu tipnout, co si o tom myslíte vy. Každopádně domácí počítače součástí těch botnetů jsou, podíl napadených domácích počítačů (ze všech domácích) bude nesrovnatelně vyšší, než podíl napadených korporátních počítačů. Každopádně nezáleží na tom, zda je napadených víc domácích nebo korporátních PC, protože tenhle router je zaměřený na SOHO. Takže v této diskusi je podstatné to, zda existuje dostat napadených domácích sítí. Já nesdílím vaši představu, že SOHO sítě jsou dnes dostatečně chráněny antiviry a výchozími firewally v krabičkách za pár stovek, a že najít nějaký domácí zavirovaný počítač je unikát.
Záleží na tom, k čemu ten botnet má sloužit. Většina využití nepotřebuje příliš velký výkon koncového zařízení, naopak je často důležitý počet koncových zařízení. Takže taková ta domácí bižuterie je celkem vhodná, zejména proto, že je dnes mnohem méně chráněná.
-
Tak tomu, že by tvůrce takového routeru byl lepší v aktualizacích, než třeba velké firmy prodávající bezpečnostní SW opravdu nevěřím. Protože on musí mít především vazbu z SW prostředí.
ISP, hostingové, a různé telekomunikační firmy dostávají informace o kompromitovaných strojích a sítích spíše od SW firem než opačně. Prostě nejdřív si to někdo zaviruje, pak to zjistí x různých firem vytvářejících antiviry a teprve asi jako poslední jsou ISP, hostingy, peeringové centra atd.
Ale nelze se divit. Síťařům by mělo být jedno si uživatelé přenášejí dokumenty, video nebo viry. On to bude řešit, až ten provoz bude kolabovat, nebo bude vyzván k spolupráci. Nikoliv jako jeho vlastní aktivita.Napadá mě ještě jedna věc. Proč myslíte, že pokud bude monitorovat provoz kompromitovaného PC ,nebo sítě musí být nějak abnormální proti čistému PC, nebo síti? Jen z toho provozu to nezjistíte, potřebujete tam zase tu zpětnou vazbu do SW. Bez té vazby tam bude spousta falešných poplachů nebo naopak projde leda s co.
-
bmann (neregistrovaný)
Pletete se a dle Vašeho příspěvku žijete asi v jiném světě.
Můj příklad s korporacemi byl pouze ilustrativní, abyste věděl, že se to dá použít jako technika k detekci již kompromitovaných strojů. Tím pádem tato technika je aplikovatelná i na jiné skupiny uživatelů jako domácí čí menší firmy.
Nevím proč je obtížné akceptovat analýzy síťového provozu jako jednu z relevatních metod na detekci napadení.Zkuste si přečíst aspoň začátek tohoto článku:
http://www.root.cz/clanky/botnety-novinky-ze-sveta-linuxu/Pokud budete hledat na internete studie jak rychle jsou AV firmy schopny přidávat signatury to databáze, tak se dozvíte že u některých vzorků to trvá i měsíc a nekteré nejsou vůbec přidány. Zavísí to samozřejmě vždy na daném kusu malware a výrobce.
-
Seti (neregistrovaný)
"Pokud to PC začne rozesílat s neskutečnou intenzitou spam, nebo tam začně běžet nějaký primitivní server tak to opravdu poznáte."
Jasně. Proto je ve světě tolik botnetů. Ti uživatelé o své účasti vědí a dobrovolně na tom participují :-D Mimochodem třeba zdroj SYN flood by ten router rozpoznal spolehlivě.
-
Petr M (neregistrovaný)
Mě třeba ještě nic nepřinesly bezpečnostní pásy, ale používám je - ségra by už bez nich měla hlavu na placku.
A bezpečnost, to není jenom o tom, že zapnu jednu krabičku v defaultním nastavení. V autě taky není ohledně bezpečnosti jenom samotný ABS, ale přidávají se i ESP, bezpečnostní pásy a kdoví co...
Síť má přenášet data a není jí nic do toho, co je to za data. Ale v případě, že průměr za měsíc je třeba 100kB/sec na různý adresy a najendou skočí na 800kB/s a z 90% jedna IP adresa, je asi něco špatně. Z provozu se nepozná, co za zařízení za NATem to posílá, která aplikace tam běží a který vlákno posílá pakety. Ale může se "rozsvítit červená kontrolka", že je něco špatně. Jako když se za jízdy rozsvítí v autě kontrolka dobíjení...
Když se podaří získat informace o trafficu různých uživatelů za dlouhou dobu, je to jakási statistika, která se dá vztáhnout na hodně dalších uživatelů a dá se nějak odhadnout, co normální domácí uživatel dělá. A jak ho chránit na straně providera.
-
j (neregistrovaný)
Heh ... a kolik lidi bezpecnostni pasy zabily (pripadne temer), o tom se jaksi radsi nemluvi .. znam takove pripady, kdy lidem zachranilo zivot prave to, ze pasy nemeli. Ted je otazka, kolik % je takovych a kolik onakych, ale o tom se nemluvi.
Stejne jako se nemluvi o tom, kolik lidi poskodi trebas ockovani - to je tabu.
Urcovat pak, ze je "neco spatne" z toho, ze si nekdo prave sosa 30GB fotek od kamose, protoze jinak navstivi jeden web za tejden ... lol.
V aute se kontrolka dobijeni NIKDY nerozsviti. Osobne sem zazil, a pak 3 lidi v mem okoli, ze auto chciplo (protoze nedobijelo) a zadna kontrolka nesvitila.
Ano ano, provider bude resit, jestli nahodou zrovna nekdo nesosa moc filmu ... lol lol lol.
-
Filip JirsákStříbrný podporovatel
Nemusíte si kupovat krabičku za 8 tisíc (jakou?), můžete si pronajmout krabičku za 1 Kč, o které je rozhovor.
U firewallu na zařízení samotném nikdy nemáte jistotu, že vidíte opravdu všechnu komunikaci – nikde nemáte zaručeno, že se útočník nedostal hlouběji do systému, než firewall.
-
Chápu, že Vás tato myšlenka neoslovuje. Co už však nechápu, proč legitimní open-source open-hardware bezpečnostní výzkum Internetového provozu, který směřuje z/do domácích sítí nazýváte fašounstvím.
Tyto data dnes ISP mají a nemusí s Vámi uzavírat žádnou smlouvu. Bohužel jsou to také data, která jsou roztroušena přes různé ISP, a získat celkovou představu skrze celou populaci (na statistické úrovni sběru dat) o provozu a jeho bezpečnosti je pro libovolného bezpečnostního výzkumníka nereálné.
Pokud máte nápad, jak celý proces udělat ještě transparentnější, než vydáním všech zdrojových kódů i návrhu hardware, tak rádi Vaše připomínky uvítáme.
A úplně na rovinu mi rozhodně přijdou zajímavější agregovaná statistická data externího síťového provozu od 1000+ uživatelů než konkrétní provoz jednotlivých uživatelů.
-
dustin (neregistrovaný)
K čemu budou ty výsledky sloužit? Nějaké příklady využití, abychom si pod tím uměli něco konkrétního představit?
Osobně nemám problém s takovým průzkumem, ale vyvíjet kvůli tisíci respondentů extra hardware považuji za vyhození peněz. Holt když je dost vaty, není problém ji utratit... Kdyby vata nebyla, nikoho by vyvíjet vlastní hw v tisícové sérii ani nenapadlo.
Výkonného relativně nežravého hardwaru je na trhu dost, ale špičkový software není. Třeba to DNS mi přijde jako vynikající investice vybraných peněz. Ale jednorázové vyvinutí HW na sérii 1000 kusů, po kterém za chvíli neštěkne ani pes, je IMO nesmysl. Dobře, bylo by to třeba x86 kvůli výkonu/cena, žralo by to o pár wattů víc, musel by se přidat gigabitový switch, ale ušetřily by se stovky tisíc, spíše milióny.
Že bude HW open source? To se obávám až tak velký přínos nebude, stejně si to vzhledem k počátečním fixním nákladům nikdo nenechá vyrobit.
-
KapitanRUM (neregistrovaný)
Za cca 5-6 000 se dá složit dobrý router s dvoujádrovým x86 procesorem, takže se připojuji k ostatním, dělat extra hardware pro nějaký jednorázový pokus je naprostý nesmysl, ale mě by ani tak nevadilo, že si chtějí nakrást, doufejme, že je to jen tunel na prachy.
Horší je to šmírování, JSEM PROTI JAKÉMUKOLIV SLEDOVÁNÍ A ODPOSLOUCHÁVÁNÍ PROVOZU. To jsou totalitní praktiky. Většina technologií sloužila nejprve k dobrý účelům, aby pak byla obratem zneužita. Například koncentrační tábory jsou vynález Angličanů, kteří v nich vyhlazovali lidi po desetitisících a podívejme se na nácky, ti tam vybili šest milionů chudáků. Nejprve to nasadí s tím, že to je dobrovolné, aby se to vyvinulo a obratem to někdo nařídí a budeme tu jako v KLDR!
Nene, dělejte si osvětu, jestli si chcete nakrást, tak prosím, nemám iluze o tom, že Vám v tom někdo zabrání, ale s tímhle NAZI pořádkem táhněte do hajzlu.
-
Jan Starosta (neregistrovaný)
Jéé, Kapitánku, ahoj, ty stará vojno!
To jsem moc rád, že už Ti je lépe, že už Tě dokonce pouštějí k počítači. Ale pozor, šetři se, viděl jsem, kolik jsi za těch 20 minut napsal krásných příspěvků a myslím si, že už je přeci jenom čas vzit si léky a jít si zase odpočinout. Nesmíš se přepínat, zloduchů je na světě hodně a ty jsi na ně sám. Dneska jsi to těm náckům rozhodně nandal a zítra můžeš porazit někoho jiného, třeba ty komunisty v KLDR. Tak se měj moc pekně a snaž se slušně chovat, třeba jednou dostaneš i vycházku mimo areál. -
Petr M (neregistrovaný)
Jeden rozdíl proti firewallu na PC přece jenom je. Platím si omezenou kapacitu linky (třeba můj poskytovatel dává 6Mb/6Mb 1:10) a mám pevnou IP adresu. Pokud na mou a devět dalších adres někdo hodí 1Mb útok, tak mě odřízne od netu. Když bude firewall reportovat výš a zařídí, že se ten binec vůbec nedostane zablokováním těch paketů někde výš, tak se stránka na webu nebude načítat půl hodiny... A když tyhle data z třeba 50 IP adres dokážou třeba dokopat CIRT k blokaci útočníka, je to jenom dobře...
Takže osobně proti hledání anomálií v provozu a jejich reportování nic nemám. Spíš naopak. Jak jinak zjistit, že je něco špatně, než z reálných dat?
-
Béďa (neregistrovaný)
Problém je že v Česku (nevím jak jinde) je u obyčejných přípojek prodávaných lidem považováno za nestandardní úplně vše. Jakákoli odchozí komunikace, jakýkoli jiný protokol pro příchozí komunikaci než TCP. Až začne někdo detailně sledovat provoz a zjistí, že Papa poskytuje službu vlastního name serveru širokému okolí a že nemrava Anča má zřejmě každý večer vlastní peep show,...
Obecně, když nebudete s něčím na Internetu spokojen, stále existuje nějaká mizerná šance, že někdo to začne dělat po svém a dovolí vám využívání toho co stvořil a navrhnul. Minimálně čeští ISP velmi úspěšně znemožňují užívat všech služeb na Internetu které sami neuznají za vhodné. Myslím, že rádi využijí služeb NIC na blokování dalšího "nestandardního" provozu. Konečně budou mít byrokraticky a před zákonem ošetřeno že konají správně a pro blaho všech.
Jak říkám, dnes je to velmi špatné. Mnoho skupin by chtělo aby to v budoucnu bylo ještě horší. Já NIC nevěřím, jejich aktivity ani vztahy ani pozice kterou si vytvářejí nevidím cůbec v ničem přínosnou Internetu. Oni prostě Internet omezují, dělají nesvobodným a svazují ho. Za mne, zrušit bez náhrady, nebo alespoň nepřijímat jejich podněty k další správě čehokoli spojeného s Internetem.
-
j (neregistrovaný)
Ber to tak, ze kdyz si koupis PCcko, s nejakym low pwr CPU, tak bez HDD a dalsich propriet (pokud budes startovat trebas z SSD/USB) to bude +- totez. Akorat to PCcko postavis za 3-5k. Pravda, nebude to mala krabka. Na druhou stranu ziskas rovnou NAS, streaming server, videorekorder, webserver, mailserver, ... proste vpodstate si na tom PC muzes provozovat naprosto vse, po cem duse domaciho usera touzi.
V lehce naprumerny(poctem HW) domacnosti stejne potrebujes jeste switch - to mas 2-4 pocitace (kazdy clen domacnosti), 2-4 televize, pak pripadne zabezpecovacka, vytapeni, .... proste se to nascita.
-
zz_indigo (neregistrovaný)
Pobavylo 20W na streemserver? na kompletku?
Z toho co Intel aktualne vyraba zerie najmenej atom ktory ma v desktopovej verzii 10-13W (embeded si asi v pc obchode nekupis ;-) a pokial neches 5 rokou stary tak ten spapa 10W tiez) A to tu nemame chipset (ktory zerie zrovnatelne a viac). A este stale nemame disk (Intel SSD zeru od ~1 az po 5W), sietovky (Realtek podla datasheetu chce cca 0.5W), pamete .....
A ked tam nacapes vsetko co popisujes tak ten procak a spol pojdu nonstop naplno.
A si u 30W a viac ani nevies ako. Z nejakeho dovodu sa robia ITX zdroje 60W a viac.
-
zz_indigo (neregistrovaný)
Ano tie poznam. Osadzali sa napriklad do D945GSEJT a tie vyzadovali 60W zdroj ;-)
A nedosahovali vykon SoC z PowerPC ani priblizne. A fakt ze su 5 rokou stare nechame bokom.
Ci sa vam to paci tak pomer vykon/spotreba vykonneho SoC riesenia z intel/amb skladackou tazko dozenies. To bude aj dovod preco tam maju PowerPC a nie ARM ;-)
-
mhi (neregistrovaný)
To PPC zase takovy megavykon nebude, rekl bych, ze lecktery lepsi ARM by mu natrel pr***. Vyhoda ARM SoC od ruznych mediateku/allwinneru a podobnych je, ze jsou mnohdy i radove levnejsi nez Freescale. Pak tu mame i obvody od firem jako TI, ktere jsou taktez levne a maji taky 1G MAC (nevim zda > 1).
-
zz_indigo (neregistrovaný)
No hocktory to nebude mal by to byt nieco lepsie ako A9 a to tazko zozenies ako komunikacny SoC A zdielana RAM medzi grafikou a CPU pricom prst na RAM ma Grafika Dost upravy realitu oproti teoretickym hodnotam.
Takze krafika dokaze polamat nohy aj takemu Cortex A57 co je asi najvykonnejsia ARM rodina. MISP = 4.1*Freq
Nemyslim zi ze by v CZ-NIC boly tak blby ze by nesiahli po lacnejsiech ARMoch keby v tom nebol nejaky zadrhel ;-)
-
mhi (neregistrovaný)
Vychazim ze svych praktickych zkusenosti se SoC od Freescale (ten jejich konkretni QorIQ neznam, ale predpokladam, ze e500 jako e500). PPC ISA se mi velice libi, nejsem rozhodne nepritelem teto architektury, ale ARM mi vysel pomerem cena/vykon snad vzdy lepe. Ono to bude dle meho nazoru tim, ze tech ARMu se chrli o nekolik radu vice nez dela Freescale, ktery vyzobava tresnicky na dortu (spolehlivost, kontinuita, temperature range, etc).
S Gigovou sitovkou jsou pekne ARM SoC na NAS (napr. od toho TI).
Prikladem toho az kam muze jit cutovani costu (na BoM) jsou obvody od MTK na mobilni telefony, ty maji ceny v radu dolaru SoC+Flash+SDRAM (smrtelnik to ale neobjedna).
-
Santiago (neregistrovaný)
> Osadzali sa napriklad do D945GSEJT
Myslim, ze zrovna tuhle desku ma kolega a podle nasich mereni ma spotrebu ~ 10 W. Jinak Intel v technicke dokumentaci udava, ze s pripojenou USB klavesnici, mysi a aktivnim DVI-D (pripojenym monitorem) ma v idle 12.28 W.
Jaky vykon maji soucasne PowerPC SoC netusim, dle mych zkusenosti ma Atom nekolikrat vetsi vykon nez vetsina MIPSu SoC, ktere se pouzivaji na routery. Z PowerPC SoC jsem videl akorat starsi SoC od AMCC a ty na tom byly podobne jako ty MIPSove.
-
j (neregistrovaný)
netusis ... ja tu neco takovyho mam, procak nedela nic. Streamovani = hloupy predavani dat sitovce. Sakumprask to ma na skt A nekde kolem 40W, a to sou tam 3 TV karty a dve sitovky + disk.
Zadnej SSD nema 5W, to je spickova spotreba beznyho HDD.
Pokud bude rozdil ve spotrebe litr rocne ... tak se na srovnatelnou cenu dostanu nekde za 8let (jediny co stalo penize, byly ty TV karty). To uz bude krabka/PC davno v popelnici nahrazeno necim jinym.
-
zz_indigo (neregistrovaný)
Ja uz ine ako ITX stroje nemam a a niekde 40W nieje max 20W.
Taky Intel SSD 525 240G ma pri sekvencnom zapise 4.46 (http://www.anandtech.com/show/6769/an-update-on-intels-ssd-525-power-consumption)
Prevadzka nie je len elektrika. ale i chladenie. Ale pokial netusis ako sa pocita naklady na prevadzku zariadenia v serverovni tak to nema zmysel.
-
j (neregistrovaný)
Co placas o chazeni probuh ... co placas o serverovne ... to si jako myslis, ze home user ma doma v kumbali klimu, aby uchadil ten router? lol.
On takovej routostroj zcela bezne neustale neco cte, zapisuje na HDD, neustale pocita atomovou bombu ... takze neustale jede na 100% ... ze ...
Pro tvoji informaci - firemni router (v serverovne, vcetne klimy)
load average: 0.11, 0.21, 0.32
%Cpu(s): 3.6 us, 0.5 sy, 0.0 ni, 94.9 id, 0.2 wa, 0.0 hi, 0.8 si, 0.0 stTen se nadre, co? Podotykam, ze ma nekolik stovek pravidel ve firewallu, bezi na nem mailforwarder, DNS cache, nekolik VPN spoju ...
Domaci router (s jednim pidiventilatorem na CPU):
load average: 0.01, 0.03, 0.06
%Cpu(s): 0.7 us, 1.0 sy, 0.3 ni, 98.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 stPostfix, imap, apache, myslq, vdr, bind, dhcp, nekolik desitek pravidel ve firewallu ... Chudak nevi co delat driv ... Kdyz vypnu logovani, muzu klidne disk vypnout uplne.
-
Nenechte se odradit omezenci, ohánějícími se fašounstvím. Osobně nechápu, proč někomu vadí, že 1000 DOBROVOLNÍKÚ bude o sobě poskytovat nějaké informace, když ty samé informace má každý poskytovatel internetu bez ptaní.
CZ.NIC považuju za vzor, jak má fungovat "úřad"; kdyby takhle fungovaly všechny úřady, tak nám bude závidět i západní Evropa. Když si vzpomenu, jak fungoval CZ.NIC před 10 a více lety, tak je to změna naprosto neuvěřitelná. A to se neudělalo samo, za tím stojí konkrétní schopní lidé...
Zajímalo by mě, jaký je dlouhodobý cíl projektu. Zjistíte data od 1000 lidí a co dál? Předpokládáte například vliv na další rozvoj IPv6 a dalších protokolů, nebo spolupráci s výrobci routerů, aby váš systém implementovali, nebo něco úplně jiného?
Asi by bylo dobré routery rozhodit i mezi "lamy", u technicky orientovaných lidí kolem Rootu, Živě... asi nenachytáte tolik podezřelého provozu jako mezi zcela neznalými lidmi.
P.S.: už jsem dávno přihlášenej :)
-
Srandista myslící to vážně (neregistrovaný)
Já bych to zavrhl už z principu!
Oni teď spustí nějaký výzkum a vymyslí třeba nějaké super (opravdu funkční) a možná i levné řešení (kdo ví čeho), které následně nasadí váš mini ISP. A už začnou problémy.
Další důvod blokování provozu, omezování neutrality. Pak se do toho vloží nějaký ten zákonodárce, NIC vyrukuje se svým dalším balvanem "podpisy na všechny způsoby",...,
Já si pak tak budu moc natáhnout akorát kabel se sousedem, protože ten zbytek sítě sítí bude pro mne uzavřený, nebo bude riziko vůbec se do něj připojit. Předpokládám, že hned nakluše nšjaká banda zakuklenců.
P.S.
Jen si vzpomeňte jak mnozí členové sdružení NIC bojovali až do morku kostí za elektronizaci státní správy a hájili elektronickou komunikaci. Stopli to až lékaři, kteří se kdo ví proč probudili za pět minut dvanáct. Jinak lidi v týhle zemi minimálně poslední dva roky chrápali a nechali stát a jeho rádce konat. Nyní je na pořadu dne další úžasná věc.Já vám říkám, radši mít dráty kam se člověk bojí připojit, než nechat podobná sdružení ovlivňovat dění a svět kolem nás.
-
Nejak nechapu, za co mnozi clenove (nebo snad primo CZ.NIC?) bojovali az do morku kosti? Nepletete se?
Jedina vec, ktera s tematem alespon mirne souvisi a ke ktere se CZ.NIC (ato pomerne hlasite vyjadril) byla smlouva ACTA a pak Dubajska konference k Mezinarodnimu telekomunikacnimu radu. A u techto veci jsme naopak "do morku kosti" bojovali proti blokovani internetu a na podporu sitove neutrality.
-
Hmmm (neregistrovaný)
PISTE CLANKY, JEZDETE NA KONFERENCE, ALE TOHLE NEDELEJTE!
Vazne, nepodporujte nic co zavani smirovanim, nechte to antivirovym spolecnostem a radeji se starejte o svoji praci. Jestli mate miliony prebytku navic, poslete penize AVG nebo AVAST at to udelaji oni, to bude mit smysl, vy zustante neutralni!ZUSTANTE NEUTRALNI!
Slibili jste to!
Nebo jste lhali????
http://www.mojeid.cz/page/802/vyhody-pro-poskytovatele/
O sdružení CZ.NIC Jsme komerčně neutrální subjekt. Nemusíte se obávat zneužití informací o přístupech na vaše weby. Nebudeme jakkoliv monitorovat pohyb uživatelů ani je kontaktovat s konkurenční obchodní nabídkou.Takze to jsou jen lzi?
Ted monitorovat chcete?
Vcem vsem jeste lzete? -
Rad vidim, ze mate duveru v antivirove spolecnosti, ktere jsou ve skutecnosti mnohem hloub do packetu. Nicmene cim myslite, ze tento projekt porusuje nasi neutralitu? Mozna to slovo kazdy vnimame jinak.
A podminky, ktere citujete jsou ze sluzby mojeID a jsou platne a stojime si za nimi. V ramci mojeID skutecne nic nesledujeme. Podminky Turrisu jsou jine protoze smyslem projektu je prispet ke kyberneticke bezpecnosti. Nevidim v tom zadny rozpor.
-
Mirage (neregistrovaný)
Já v tom rozpor vidím teda velký.
Je to jako když ten šéf tajných služeb v USA říkal, že vlastně nikoho nesledují. Vy taky nikoho nesledujete?
Vážně? A tím myslím v žádném ze svých programů?
Opravdu ne?
Jestli nesledujete, tak sledovat chcete.
Tak ty prachy dejte národnímu týmu pro bezpečnost!
Antivirovým společnostem by to možná pomohlo vyvinout řešení jako je Cisco ASA a zlepšilo jejich postavení na trhu.
Mohl by to realizovat napříkladi i CSIRT.CZ, lepší, než když budete suplovat jejich práci vy. Není vaše práce dělat práci jiných lidí! Koukejte raději dělat svojí práci pořádně, třeba konečně zavést háčky i čárky. A nevymlouvejte se na ty kraviny, že by si lidi museli registrovat moc domén, kdo bude mít coca-colu.cz ať si může zaregistrovat čoča-čola.cz i cóca-cóla.cz zadarmo atd. Kdo dřív přijde a zaregistruje si doménu bez háčku a bez čárek, ten mele. Raději přemýšlejte nad tím, jak udělat tohle! Raději dělejte vlastní práci pořádně!
Ale to ne, to místo toho raději vymýšlíte bejkárny.
Peněz máte zdá se na vyhazování spoustu! A co takhle dělat svojí práci?!? -
Lol Phirae (neregistrovaný)
třeba konečně zavést háčky i čárky.
Ano, přesně po tom lidi prahnou! Viz zde.
-
KapitanRUM (neregistrovaný)
Nebudu řešit to, jestli lidi chtějí nebo nechtějí háčky a čárky.
Ale spočítal si to někdo vůbec? 10 000 Kč na jeden kus * 1000 výzkumných kousků, které chtějí sponzorovat.
Zdá se mi to, nebo chtějí udělat projekt za 10 000 000 ?
Spíš to vidím na 15-20 mega, on se ten software sám nenapíše!
Prostě nějaký tradá pokus za 15 000 000?
Deset-dvacet milionů chtějí jen tak vyhodit!?
Z peněz, které jim dávám za doménu?
Tak na to seru!Dejte 4 000 000 Rootu, 4 mil žive a zbytek dejte na charitu!
Dobrá, tak dejte 10 000 000 na vývoj OpenWRT a za zbytek si postavte baráčky, dejte JEDNO mega DESETI začínajícím Linuxovým startupům! Ale proboha nedávejte patnáct mega na špiclování!
-
KapitanRUM (neregistrovaný)
Možná by bylo lepší příště zmínit, že CSIRT patří pod Vás, ono to v článku nikde není uvedené, nebo blbě koukám, TAKÉ jsem to nevěděl. Pokud by bylo rovnou uvedeno, že projekt špiclování je projekt CSIRTu, zřejmě by to hodně lidí uklidnilo. Mě ovšem ne, přijde mi, že si chcete hrát na Homeland security a tímto jsem v tom ještě utvrzený. Škoda, tajně jsem doufal, že si opravdu jen chcete nakrást.
Takže sekce CSIRT CZ.NIC plánuje spustit šmírovací akci za bratru 15 melounů?
No, hned se cítím mnohem bezpečněji :-DTak, kdy to plánujete nasadit a kdy chcete začít zavírat lidi?
Já jen abych se stihl odstěhovat dřív, než postavíte první koncentrák. -
bmann (neregistrovaný)
Aktivita CZ.NICu je pro Vás problém, ale radši budete cpát data do AV firem?
Nejen to, že u většiny AV je nastavena opt-out varianta pro zamezení zasílání dat, pokud vůbec jde deaktivovat, ale vůbec nevíte co se posílá. Navíc v rámci "cloud" ochrany některé produkty mohou zasílat celé podezřelé soubory dotyčné AV společnosti.Víte, že prohlížeče v defaultu zasílají navštívené stránky Google či Microsoftu?
U CZ.NICu máte opt-in variantu, to znamená dobrovolně s tím souhlasíte. Navíc máte k dispozici zdrojové kódy a veškeré informace o sběru dat.
Pokud vím, tak šmírování je nedovolené sledování určitých osob,ale ne v tomto případě. Nikdo Vás nenutí se tohoto výzkumu účastnit.
-
dustin (neregistrovaný)
Ale nutí nás sledovat, jak se provaří prachy, které by mohly sloužit k něčemu užitečnému. Např. pořádné osvětové podpoře IPv6. Serverhosteři pomalu přestávají mít IPv4 adresy pro klienty na komerční projekty a IPv6 nikdo pořádně neumí ani nepodporuje, včetně běžně dostupného síťového hardwaru.
-
Lol Phirae (neregistrovaný)
Např. pořádné osvětové podpoře IPv6. ... IPv6 nikdo pořádně neumí ani nepodporuje, včetně běžně dostupného síťového hardwaru.
Kurňa, to zas byla minela, co? Chlapi, jako nic proti, mně to šmírování taky není sympatické a proto se nezúčastním, ale kurva vy pálíte jak česká fotbalová reprezentace.
-
dustin (neregistrovaný)
?? Jak tomu pomůže 1000 routerů za 9k? Např. by mohli nakoupit vzorky komerčně dostupných routerů a připravit pro ně otestovaný postup a otestovaný build openwrt s plnou podporou IPv6 včetně konfigurace ve webovém rozhraní. Za ty prachy by zmákli podporu pro desítky modelů. Hotových, nejen pro jeden exkluzivní HW. A pokud to již dělají, tak aspoň přihodit trochu na marketing, protože se o tom obecně moc neví. Třeba by pak provideři měli větší motivaci IPv6 řešit.
-
Lol Phirae (neregistrovaný)
připravit pro ně otestovaný postup a otestovaný build openwrt s plnou podporou IPv6 včetně konfigurace ve webovém rozhraní.
Ty woe... tady je dneska sbírka. Umíš číst?
Naše řešení bude tedy založené na OpenWrt a budeme se snažit v maximální možné míře začlenit naše vylepšení zpět do tohoto projektu.
Jak přesně závisí (ne)podpora IPv6 na použitém železe?
To je fakt zoufalost, co se tady v diskusi předvádí.
-
dustin (neregistrovaný)
Zkoušel jsi někdy instalovat openwrt na neúplně podporovaný router? Jasně že openwrt umí IPv6, ale nejdříve jej na ten IPv4-only HW, který si přineseš z obchodu, musíš dostat a musí tam taky pořádně běžet. Podívej se na stav podpory běžně dostupných routerů třeba do 1000 Kč na wiki openwrt. Budeš muset chvíli hledat, abys nesáhl vedle. A šance, že jej budou mít zrovna někde poblíž (že je vůbec ještě v nabídce obchodů), je ještě daleko menší. Přitom to většinou nějak jde, jenom chybí kapacita lidí, kteří umí zjistit jak a jednoduše a spolehlivě to popsat.
Toto je jen jeden z příkladů, našlo by se spoustu jiných.
-
dustin (neregistrovaný)
Ano, JTAGy a experimentovat. Přesně o tom to je a moc lidí to neumí.
Levný HW tebe nezajímá, ale podívej se do obchodů, co si dnes kupují i do malých firem. To jsou další dlouhé roky, než si příště koupí snad něco s IPv6. Přitom by se s tím dalo něco dělat, jenom to chce trochu peněz. A zrovna NIC.CZ je očividně má, když financuje takovéto projekty.
-
dustin (neregistrovaný)
A nebo si koupí ten samý HW od místního IT retailera, který jej prodává o dvě stovky dráž s OpenWRT. Všichni na tom vydělají (vedle připravenosti na IPv6 získá např. DNS a slušnější DHCP server se statickými adresami, které na levnějších routerech např. není). Jenom ten dealer potřebuje někde popsaný jednoduchý postup, které zařízení bude jednoduše zprovoznitelné a jak. Je spoustu šikovných lidí, kteří by to za pár stovek dělali, jenom samozřejmě neumí a nevyplatí se jim to nejtěžší = nejdražší - přijít na to jak.
-
Lol Phirae (neregistrovaný)
Myslím, že i tobě je jasné, že nekoupí. Buď to koupí v Alze, protože viděl toho uřvanýho Ufona v televizi, nebo to hodí do Heuréky a koupí to kdekoliv, kde mu vyleze nejnižší cena. Na místního retailera se vyprdne. A na druhou stranu místní retailer není zvědavý na nějaké rozcházení alternativního FW na experimentálním železe. Kdyby po tom měl poptávku, tak nakoupí jeden osvědčený bezproblémový model, a bude tam to DD-WRT/OpenWRT sekat jak Baťa cvičky.
-
dustin (neregistrovaný)
Vidíš. Já se podívám na net a pošlu zadání svému místnímu retailerovi. Dodá mi to levněji, než net plus poštovné. A mám s kým řešit záruku i technické otázky.
Nakonec takový router může CZ.NIC do distribuční sítě dodávat sám, v rámci podpory IPv6. Ale ne proprietární železo za 9k, ale přeinstalovaný sériově vyráběný do 1k. Ani na tom nemusí na rozdíl od toho dealera vydělávat. A můj dealer mi jej nabídne přednostně, protože je to dobrá investice pro všechny.
Prostě trvám na tom, že ty miliony lze utratit daleko užitečněji. Jenže když si chtějí kluci hrát a mají na to dost vaty...
-
bmann (neregistrovaný)
CZ.NIC má vícero projektů. Jak někdo psal výše tak třeba routovací daemon BIRD, dns server KNOT. Tuším, že dělali i něco ohledně datových schránek.
Toto jeden z dalších na výzkum ohledně bezpečnosti a ne na to vyrobit krabici za 1k. Těch je na trhu dost.Co takhle nasměrovat energii a ptát u státních orgánů zda vynakládají peníze účelně?
To by bylo asi účelnější než tady vykřikovat, že mi nechtěj udělat levnou super krabičku. -
KapitanRUM (neregistrovaný)
Jo to by mohli, ale to neudělají.
S 10 - 15 miliony se dá udělat spousta práce.
A to jak té dobré, přesně v tom smyslu, který jsi zmínil, tak té zlé.Teď si představ, že by udělali pořádný support pro freenety.
Za 15 000 000, pořádná školení zadarmo, pomoc s infrastrukturou, hodilo by se vybavení pro profesionální měření signálu. To by bylo dobře využitých 10-15-20 míčů (kolik to nakonec bude stát). Stejně ty freenety berou internet od velkých hráčů. -
KapitanRUM (neregistrovaný)
Jak Hitler dostal Němce tam kam chtěl?
Chtěl je chránit před hrozbou!CZ.NIC nás tu taky chce chránit před hrozbou.
Cenzůra taky chrání před hrozbou, ten router ostatně bude dělat přesně tu cenzuru, tohle je špatný obsah Áááno, protože to není dobrý web, Ááááno.Základem svobody a demokracie je:
- svobodná diskuze, lidé by měli mít právo číst i tu Mein Kampf, protože svobodná diskuze je základ svobody
- nikdo by nikoho neměl špiclovatChápu, že policie odposlouchává třeba lidi podezřelý z vraždy, nebo obchodu s drograma, ale jak začne někdo špiclovat všechny, je to náběh na Třetí říši nebo Komunistický lágr.
Náckové i komanči prováděli cenzuru a špiclovali.
Jak začneš zavádět cenzuru, jak začneš lidi hromadně špiclovat, stáváš se buď fašounem nebo komoušem.Hitlerovi tleskalo skoro celé Německo, nelze se spoléhat na to, že když nějakému Hitlerovi nikdo netleská, že se nic neděje.
Říkám NE špiclování a ANO svobodné diskuzi!
Najednou máš centrálně řízený router, jak zajistíš to, abys neposílal upravené stránky? Aby v zájmu OCHRANY lidé nedostávali správně upravené zpravodajství? Aby v zájmu OCHRANY lidí před nevhodným tématem router neměnil obsah HTTP relací?
Jsou tu lidé, kteří už dávno plánují zavést cenzuru na Internetu v daleko širším měřítku:
Ale svoboda je o svobodné diskuzi!
Bez svobodné diskuze není žádná svoboda, je to jen hezčí nebo ošklivější totalita.
Proto říkám NE jakémukoliv hromadnému špehování, které se může cvaknutím vypínače změnit na cenzuru nebo upravování textů. -
KapitanRUM (neregistrovaný)
Proč mlčet nebudu:
Když přišli nacisté pro komunisty, mlčel jsem – nebyl jsem přece komunista.
Když zavírali sociální demokraty, mlčel jsem – nebyl jsem přece sociální demokrat.
Když přišli pro odboráře, mlčel jsem – nebyl jsem přece odborář.
Když přišli pro mě, nebyl už nikdo, kdo by se mohl ozvat. -
Mirage (neregistrovaný)
A počkej, jak bude ječet, až si přečte tohle:
Děkuji všem za zajímavou (neodvažuji se jí celkově označit jako plodnou) diskuzi.
Rád bych vyjasnil některé nejasnosti, které se v dotazech objevují a vznikly pravděpodobně tím, že článek je rozhovor o konkrétních parametrech projektu a nikoli celkovým přehledem projektu.
Router není komerční produkt, který budeme prodávat. Bude dostupný pouze formou pronájmu za symbolickou 1 Kč a podmínkou jeho používání bude zapojení do bezpečnostního výzkumu.
Naším cílem není konkurovat komerčním routerům v jakékoli cenové kategorii.
Vývoj routeru není cílem projektu, pouze nástrojem, který nám umožní cíl, tedy výzkum v bezpečnostní oblasti, realizovat. Výstupy projektu budou k dispozici celé internetové komunitě formou reportů, varování, atp.
Nikoho nenutíme, aby se do projektu zapojoval. Účast je čistě dobrovolná a její pravidla budou popsána smlouvou, která bude veřejně dostupná s dostatečným předstihem před závaznou registrací prvních uživatelů. Z projektu bude možné kdykoli vystoupit. -
Petr M (neregistrovaný)
Jak dlouho musí kapt. Rum pít, aby vystřízlivěl? Tři dny vodu :)
Cenzura je blokování informací. Tady ten router bude blokovat jenom to, co si uživatel nastaví. Jako každý firewall.
Špiclování je, když tě někdo sleduje a ty o tom nevíš. Když se dělá třeba výzkum preferencí politických stran, můžeš se svobodně rozhodnout, jestli (ne)odpovíš a co tam napíšeš. Tohle je podobný, taky uživatel pošle něco dobrovolně a ví co.
Tady existuje smlouva. Cvaknout vypínačem jde jenom teoreticky, mělo by to právní dohru, ostudu pro CZ.NIC a v okamžiku, kdy mě tohle router udělá, hne na jeho místo zapojuju jinou krabičku.
Svoboda je možnost se rozhodnout. Jestli uzavřu smlouvu s NICem, jestli jim poskytnu korunu a data, na straně NICu zase to, že se sami rozhodnou, za co budou utrácet a jaký projekt spustí. V okamžiku, kdy ty jim budeš chtít diktovat podmínky, stává se diktátor z tebe. A protože proti diktatuře bojuješ, budeš se muset zastřelit, uchlastat nebo pověsit za krk na svazek patch kabelů.
S Helsinským výborem, tam by to chtělo se obrátit na policii a na MV ČR, který tyhle organizace registruje. To, co poslední dobou melou, už je nejenom za htranicí, ale začíná to útočit na podstatu svobody projevu a smrdí to i rasismem. Ale ta koza snad není z NIC.CZ, že?
-
j (neregistrovaný)
Tady je nekdo negramot, a neumi si ani precist, co se kolem pise.
Router bude odesilat data na zaklade ... uvahy nekoho v NICu, takze user nevi, a vedet nemuze jaka data. On dokonce nevi a vedet nemuze, zda NIC bude dodrzovat jakykoli slib, ktery kolem toho da. Samozrejme, teoreticky si muze pred router dat jeste dalsi snifovaci krabku, ktera bude prozmenu jemu bonzovat to, co router bonzuje NICu. ... takze budem delat zavirak na votvirak.
Router totiz kupodivu uplne klidne muze presmerovat/naklonovat kompletni provoz.
Svoboda rozhodne neni vo tom, ze nekdo pouzije penize, vybrany na spravu domeny, na neco uplne jinyho. Pak jednoduse drzitele domen okrada. To uz by mi bylo milejsi, kdyby cztko provozoval komercni subj a vykazoval to jako zisk. Aspon by z toho odved dane.
-
j (neregistrovaný)
Jak si uzivatel overi, ze jeho router pouziva SW, ktery je na netu zverejnen? Zeby presne ... nijak? Jak si uzivatel overi (i v pripade, ze by porovnaval kompilovany binarky) ze jeho router nebyl nijak upraven? ... Aha, taky nijak ...
A vubec nejvetsi prdel to bude, az to cely nekdo nabori ... a preflashuje ty routery vsechny. Idealne tak, ze se v NICu nic nedozvedi aspon par mesicu ... a apk se bude vsude po netu resit velky halo, ze jejich uzasnje bezpecnosti system ... smiruje uzivatele nejen pro nic, ale pro nekoho kdesi ...
-
Mard (neregistrovaný)
Lidi, me to pripada jako silena diskuze k nicemu :-( Kazdy kdo ma trochu hmoty mezi usima musi preci chapat, ze kdyz rozhodim mezi lidi krabice, ktere dokazi odhalit podezreni na anomalii v toku dat a zaslat o tom zpravu, tak se velmi vyrazne zvysi moznosti detekce nekterych problemu v siti. Ta krabka bude smirovat jen daneho uzivatele a tudiz, kdo smirovani nechce, tak si ji neporidi. Na druhou stranu i Pepa co ji nechce, bude mit prinos z toho, ze Lojza tu krabici ma a diky tomu se hrozba nedostane az k Pepovi. Podle meho soudu je to prima vyzkum, ktery mozna ukaze jak v budoucnu resit nejake hrozby. A argumentace o nacismu mi prijde zcela zcestna a spise mam pocit ze zde hraji roli nejake osobni averze nebo komplexy pisatele.
-
Krtek ve zbroji (neregistrovaný)
To je vy "diskutující" trubky právě to na co se měl autor rozhovoru i vy ptát v první řadě. Jakým přesně způsobem bude zjištěných údajů využito k "lepšímu zabezpečení všech". Detailně, jaké mechanismy, jaká morální pravidla.
Podle mne se budou snažit nabídnout výzkum svého bádání ISP kteří blokaci prováděli na koncových uzlech či ve svých sítích.
Menší část poslouží zřejmě k ovlivnění řízení toku velkého Internetu. Což také nevidím bezproblémově, ale snad půjde jen o zaručené nově odhalené botnety.
O tom, že budou spolupracovat s nějakým tvůrcem antivirů a jeho laboratoří pochybuji. Jedině by to byl výnosný byznis, možná si v budoucnu založí nějaké vlastní řešení. I dnes existuje nástrojů, které nejsou antiviry a přesto chrání. V tomto případě bych to viděl třeba na spolupráci s někým kdo poskytuje síťovou inspekční vrstvu ve firewallech, antivirech, firewallech jiných routerů.
AŤ to co jsem napsal vypadá jakkoli. Myslím že nic dobrého z toho nevzejde. Jen další problémy pro človíčka na konci drátu. Pro toho by ten internet měl být dostupný především aby se lidi mohli porůznu popropojovat.
V lepším případě jen těch tisíc pomatenců umožní NICu dělat další byznis, takže v brzku asi opět rozšíří své aktivity. Hrozná představa.
Vůbec nechápu jak mohl být celý článek/rozhovor v tak zavádějícím duchu a být o nějakém pitomém routeru a kecech o bezpečnosti těch uživatelů co router nemají. Tu část o té ceně nechápu již vůbec, zas tak technicko-fandovsky mi ten popis nepřišel, a platit někomu za to že mu umožníte provést výzkum toho jak používáte síť a jaký je u vás síťový provoz?! Bych NICu řekl ať si tu krabičku sebere a jde sní kam patří.
-
j (neregistrovaný)
Ta krabka bude smirovat vsechny, kteri s dotycnym budou nejakym zpusobem komunikovat => ocekavam, ze NIC nekde zverejni jejich IPcka, abych si je mohl vsechny dat do firewallu a veskerou komunikaci snima zakazat. Presne totez delam na webu, takze holt se budem muset posunout o uroven niz.
-
KapitanRUM (neregistrovaný)
Ve starých řeckých bájích vypráví jedna o dívce, která odmítla nabídky jednoho z bohů a ten jí za trest obdařil darem jasnozřivosti, věděla vždy, co přijde, ale všichni se jí smáli. To byl její trest. Věděla, že její město bude dobyto, ale nikdo jí neposlouchal. Tak ať si to užijou. Člověk se taky nestane kuřákem po první cigaretě. Ale po kolikáté cigaretě se stáváte kuřákem?
O2/Tmobile/Vodafone dávno nasadili cenzuru na bázi DNS a teď ještě přiostřili:
http://www.pooh.cz/pooh/a.asp?a=2015562
http://www.o2.cz/osobni/forum/?forum_id=25&topic_id=4814Šabatová volá po zpřísnění regulací internetu:
http://zpravy.idnes.cz/anna-sabatova-ke-zprave-helsinskeho-vyboru-fko-/domaci.aspx?c=A130913_105226_domaci_natCZ.NIC tu plánuje monitorovací krabičku, podle všeho s ní má plány na několik let dopředu.
Ale jinak se tu nic neděje, všechno je v pořádku, problém je v KapitánuRUMovi a ve firmě Profico.cz kde pracuje. No, jak chcete, tak fááájn.
Kdo chce kam, pomozme mu tam, když tu zjevně všichni chcete mít totalitu a stejská se Vám po koncentrákách, tak Vám přece nemůžu kazit náladu a radost.
-
Filip JirsákStříbrný podporovatel
Takových, co o sobě tvrdili, že jsou jasnozřiví, už tu bylo... A pokaždé, když se dostali k moci, zavedli totalitu, někteří i koncentráky.
Každá změna týkající se svobody znamená, že nějaká svoboda se zmenší a jiná zase zvětší. Zvětšení svobody vlastníků znamená zmenšení svobody zlodějů atd. Pokud někdo zmíní jenom jednu stranu, znamená to, že buď jen slepě věří tomu, co mu někdo nakukal, a sám nad tím vůbec nepřemýšlí. Nebo si je vědom toho, že "omezuje svobodu" je jen půl pravdy, ale říká to tak schválně, aby ostatní zmanipuloval, a oni začali slepě věřit.
-
Pavel Píša (neregistrovaný)
Projekt statistik mě až tak nezajímá a ani nevím, jestli bych byl ochotný svoje data nabízet.
Ale HW je to pěkný a ve srovnání s běžnými routery na levných MIPS a ARM CPU to vypadá moc pěkně. Z pohledu vývojáře pro řídicí systémy a automobilové nasazení chválím volbu Freescale (i když je to většinou o dost dražší). Chip má zaručenou longevitu/dostupnost (sice jen nižší, ale i 10 let je pěkných) a u FS na rozdíl od jiných věřím, že jí dodrží. Další věc je dostupnost verze od -40C to 125C. OTÁZKA, máte představu, jestli i ostatní součástky vašeho návrhu mají dostupnou i tuto variantu?
Další věc je, že 3 MAC jsou přímo na chipu. Většina routerů má jen jeden a rozděluje jen VLANami na switch chipu. Tady by měly být k dispozici plnohodnotné tři kanály s plnou možností VLAN.
Dál několik PCIe a DDR3 jsou opravdu zajímavé.
Co se týče výkonu, tak PPC na tom není špatně ale v porovnání s x86 to pro tuto embedded e500 nevyjde asi příliš dobře. Ale kryptografie díky integrovaným enginům na tom může být lepší než na PC.
RapidIO a PCIe mohou být krásně použité na připojení nějakých konfigurovatelných periferiích v FPGFA.
V každém případě se těším na schémata a i by mě zajímalo, kdo přímo HW navrhoval třeba is tím, že by mohl někdy v budoucnu udělat nebo konzultovat něco pro nás, kdyby jsme na to měli finance a odběratele. Například nějaká zabezpečená GW do automobilu.
Pavel Píša
-
Děkuji všem za zajímavou (neodvažuji se jí celkově označit jako plodnou) diskuzi.
Rád bych vyjasnil některé nejasnosti, které se v dotazech objevují a vznikly pravděpodobně tím, že článek je rozhovor o konkrétních parametrech projektu a nikoli celkovým přehledem projektu.
- Router není komerční produkt, který budeme prodávat. Bude dostupný pouze formou pronájmu za symbolickou 1 Kč a podmínkou jeho používání bude zapojení do bezpečnostního výzkumu.
- Naším cílem není konkurovat komerčním routerům v jakékoli cenové kategorii.
- Vývoj routeru není cílem projektu, pouze nástrojem, který nám umožní cíl, tedy výzkum v bezpečnostní oblasti, realizovat. Výstupy projektu budou k dispozici celé internetové komunitě formou reportů, varování, atp.
- Nikoho nenutíme, aby se do projektu zapojoval. Účast je čistě dobrovolná a její pravidla budou popsána smlouvou, která bude veřejně dostupná s dostatečným předstihem před závaznou registrací prvních uživatelů. Z projektu bude možné kdykoli vystoupit.
-
Petr Polák (neregistrovaný)
Navrhoval bych, aby zdejší formulář na vkládání komentářů obsahoval nějakou formu testu na pochopení psaného textu. Přispělo by to ke kultuře místní diskuze, protože tento komentář by pak nemohl vůbec vzniknout, protože s pochopením významu psaného textu očividně máte problém.
-
j (neregistrovaný)
To je pravda, aspon bys neprispival ...
Vysledek cely akce totiz, je, ze si za spostu mega bude par lidi hrat. Taky by se mi hodilo, kdyby mi nekdo koupil za par mega hracky ... samozreme za cizi mega.
... jeste ze cz domenu nemam ... a chvala bohu, nikdy mit nebudu, tohle zivit ...
-
Me zatim stale chybi podstatna informace a to sice kam je vhodne Turris dat aby byl co neuzitecnejsi. Je jeho umisteni za NATem vhodne? Nebo je lepsi mit verejnou IP? Je to v podstate neco jako "honeypot" nebo to skutecne analyzuje puchozi provoz? Co kdyz uzivatel skoro nic neprenasi, k cemu to pak bude?
-
Vnímám to tak, že neužitečnější bude veřejná IP adresa na odchozím rozhraní, protože tak Turris uvidí i náhodné skenování sítě a necílené útoky (tedy trochu jako ten "honeypot"). Asi nedává smysl dát Turris do DMZ schovaný za aplikační proxy.
Tedy čím více bude instalace Turrisu exponovaná do světa a ničím nechráněná, tím budou získaná statistická data bohatší.
-
pdx (neregistrovaný)
Myšlienka je to určite dobrá. Čoho sa nie len ja obávam, je možnosť, že príde k buď k zneužitiu dát alebo priamo k nainštalovaniu backdooru na ruter. Som presvedčený, že toto nikto z CZ.NIC nechce, ale žiaľ nie je v ich silách zabrániť tomu, aby im to niekto neprikázal.
Áno, všetko to môže urobiť aj (už aj dnes) ISP (MITM, ..), ale toto je potenciálne ďaľia hrozba. Iphone so svojou čítačkou otlačkou palcou tiež nie v podstate určený na získavanie dát pre XY tajných služieb. Ale, keď ... - a tie "Ale keď" konšpirácie sa ukazujú ako pravdivé, chalani pomôžte slobodnému internetu.
Urobte exit node pre TOR službu. Vy tie súdne spory ustojíte ľahšie. Fyzickej "no name" osobe sa to na provinčnom súde sa isté veci ťažko vysvetlujú.
Nikdy som si nemyslel, že to poviem: KapitanRUM má pravdu.
PS Keď už rovno nie exit node, tak aspoň jeden bridge :)
-
skk (neregistrovaný)
jaky je rozdil treba mezi firmou profico.cz a nic.cz?
u Turrisu mam moznost diky opensource zjistit co se sleduje za data a kam odchazeji atd..
u firmy profico.cz, ktere sverim do spravy servery, firewally, pocitace, atd.. nemam sanci zjistit zda mi nesleduji provoz, nectou postu, nepredavaji za uplatek informaci konkurenci atd..
kde je ta hranice duvery? verit soukromemu subjektu nebo organizaci, ktera se snazi byt maximalne otevrena?
-
Skeptik (neregistrovaný)
Myslim si ze hlavni prekazkou v myslich uzivatelu neni dohled v realnem case - tomu se nelze ubranit, to uz stejne mohu delat ISP. Co je vetsi problem je ukladani tech dat, protoze provozovatel muze dostat soudni prikaz k vydani tech dat z minulosti (ano, vim ze jde pouze o hlavicky - ale i to jsou dulezita data) a pak je otazkou cemu da prednost - chranit soukromi uzivatelu nebo vyhovet soudnimu prikazu? Muze na tuto otazku prosim odpovedet nekdo relevantni z CZ.NIC?
-
Velmi dobry dotaz, dekuji za nej! Pokud prijde soudni prikaz, tak mu pochopitelne vyhovime, tezko muzeme porusit zakon. Ale to podstatne je, co budeme skutecne sbirat. A to prave nebudou hlavicky provozu, ale vysledky analyzy primo na tom routeru. Pokud router vyhodnoti, ze objevil neco, co vyzaduje dalsi zpracovani, preda to centrale. Tedy rozhodne nepujde o hlavicky celkoveho provozu, drtiva vetsina analyzovanych dat neopusti sit uzivatele a router je pochopitelne okamzite zahazuje. Vysledky analyzy routeru budou na centrale znovu analyzovany a porovnavany a ostatnimi routery a pokud se zadny utok nenajde, budou tato data v kratkem case smazana. V tomto by tedy jakykoliv soudni prikaz nemel byt nijak uzivatelu ublizit.
-
Filip JirsákStříbrný podporovatel
Soudce v ČR nemůže jen tak vydat jakýkoli příkaz ho napadne, může postupovat vždy jedině v rámci zákona. Nevím o zákonu, který by dával soudci možnost vydávat jakékoli příkazy týkající se domácího routeru.
-
Filip JirsákStříbrný podporovatel
Soudce v ČR nemůže jen tak vydat jakýkoli příkaz ho napadne, může postupovat vždy jedině v rámci zákona. Ale to už jsem psal, že?
-
Filip JirsákStříbrný podporovatel
Protože diskutujeme ve vlákně o tom, co by se stalo, kdyby soudce takový příkaz vydal?
-
j (neregistrovaný)
Jirsak jirsak, kdybys neplacal kraviny ... soudce povoli odposlech vuci panu XYZ. Detaily vubec neresi. Samo v onom povoleni zmini Providera, NIC, telefonni operatory .... Dalsi uz zalezi na policii a jejich schopnostech/moznostech/tom, co jim dotycny umozni. => pokud sebou budou mit nekoho aspon s pulkou mozku (coz je teda dost nepravdepodobny, ale hypoteticky se to stat muze), tak ten pulmozek po nich samozrejme bude chtit, aby mu nekam dali kusdrat, ze kteryho mu poleze vse, co leze pres ten router.
Pak je otazka, zda mu NIC vyhovi, nebo ho posle dohaje s tim, ze to nejde.
-
Filip JirsákStříbrný podporovatel
A když soudce v tom povolení odposlechu zmíní vás, že máte donášet, tak to pro vás bude závazné? A když vás zmíní, že WiFi souseda dosáhne až k vám a vy se mu do sítě dokážete nabourat, bude to pro vás závazné? A když vás zmíní, že jste sousedovi konfiguroval router a znáte heslo? Není to spíš tak, že odposlechy se týkají poskytovatelů telekomunikačních služeb, a CZ.NIC v tomto případě žádným poskytovatelem telekomunikačních služeb není? Možná by vám pomohlo méně energie věnovat urážením spoludiskutujících a věnovat ji raději lepším promýšlením vlastních komentářů.
-
Skeptik (neregistrovaný)
Diky za vyjadreni. Ale co pokud ten soudni prikaz bude obsahovat povinnost ta data zacit shromazdovat a navic o tom uzivatelum nedat vedet? ISP se tomuto dokazi ubranit tim ze to s jejich vybavenim neni technicky mozne, vy ale bohuzel svym vychloubanim jak mate strasne otevrenou platformu o tuto moznost prichazite, navic vas router bude mit primo pripojene rozhrani do vnitrni site uzivatelu, ktera by jinak byla pres firewall nedostupna. Proste se obavam ze cesta do pekla je opet dlazdena dobrymi umysly...
-
Filip JirsákStříbrný podporovatel
Ale co pokud ten soudni prikaz bude obsahovat povinnost ta data zacit shromazdovat a navic o tom uzivatelum nedat vedet?
Na základě kterého zákona by soudce takový příkaz vydal?
-
Filip JirsákStříbrný podporovatel
Nařízený komu a z jakého titulu? Může vám soud nařídit, že máte přiložit hrnek na zeď a odposlouchávat sousedy?
-
CZ.NIC nebude mít přímý přístup k routeru. Jediný způsob, jak do něj něco doinstalovat bude pomocí automatických updatů u nichž se zavazujeme, že veškeré zdrojové kódy k nim budou veřejně dostupné před jejich vydáním v podobě balíčků.
Vzhledem k tomu, že náš software zmíněnou funkci sám od sebe nebude mít, museli bychom buď zveřejnit zdrojáky odposlouchávacího kódu a nebo vydat update bez příslušných zdrojových kódů - což by opatrným uživatelům prozradilo, že se děje něco špatného.
Pokud jde o monitorování vnitřku sítě, tak tam půjde veškerý provoz přes interní switch a pro naše sondy bude naprosto neviditelný, protože se vůbec nedostane do procesoru.
Poznámka na závěr - opravdu myslíte, že se ISP dokáží ubránit soudnímu příkazu k odposlechu tím, že to neumí? Já osobně bych se na to nespoléhal a to určitě nejsem tak velký skeptik jako Vy :)
-
j (neregistrovaný)
Soud klidne muze prikazat, ze mate presmerovat veskery provoz kamsi. To sice defakto muze udelat provider, ale pokud jde o (napriklad) VPN, je to pripadnemu smirakovi k prdu. Pokud bude mit nekdo zrizenou VPNku primo z tyhle krabice, je to bezpecnostni dira jak svina.
Uplne stejne soud muze prikazat zaznamenavat veskerou komunikaci ... a dokonce, by se v tomto pripade (narozdil od toho ISP, ktery zadny data pro svuj provoz nepotrebuje) moh otocit na tom, ze ta data se stejne zaznamenavaji, protoze je zarizeni na svuj provoz potrebuje => NIC je povinene je skladovat. ISP ta data skladovat nemusi, protoze je pro provoz nepotrebuje (viz nekde vejs odkazovanej zakon, kde je to celkem jasne receno).
A nebavime se o zadnem mozna a kdyby ... fizlokracie v teto zemi funguje na vysoke urovni, k povoleni domovni prohlidky staci, ze "mate nastroj". Kuprikladu takove "DP" totiz samo o sobe neni dost zavazny tr cin, ale takove znasilneni uz jiste je ... => presne toto bude na povoleni.
-
j (neregistrovaný)
Kamery jsou uplne stejny svinstvo ... samo.
A soud samo nebude resit jakou krabku kdo ma, ten proste povoli odposlech. Detaily si resi uz policie. Jina vec je, ze policajti nepoznaj zidli od stolu, takze ... ale to hodne zalezi na tom, jak moc hodla spolupracovat prislusny subj. Soud jim samo nemuze naridit (prostrednicvim policie), co neumi, ale muze jim naridt, co umi.
=> technicky to mozne je, zalezi jen natom, jestli to nekdo bude chtit. Uplne stejne je technicky mozne patchnout jen jeden konkretni router - a pokud se patchuje potichu, tak se to uzivatel vubec nemusi dozvedet. Takze pindy nekde vejs, o tom, ze by to "uzivatele zjistili" jsou naprosto mimo.
Do toho routeru - zcela konkretniho - si muzou nainstalvoat cokoli => neni problem delat naprosto cokoli s trafficem, samozrejme vcetne snifovani interniho trafficu na "switchi". Samo, konkretni uzivatel toho konkretniho routeru to muze zjistit. Pokud je technicky zdatny a pokud to pravidelne kontroluje.
-
Rhinox (neregistrovaný)
Ondrej Filip:
"...Ale to podstatne je, co budeme skutecne sbirat. A to prave nebudou hlavicky provozu, ale vysledky analyzy primo na tom routeru..."
Bedřich Košata:
"...Důležité tedy pro nás je maximálně omezit množství informací, které se k nám dostanou a které by mohly mít citlivou povahu. Rozhodli jsme se tedy udělat tlustou čáru mezi hlavičkami paketů a jejich obsahem: hlavičky ano, obsah ne..."
_______________________________Snad by bylo nejlepsi nejdriv se shodnout uvnitr sveho timu co vlastne budete sbirat. Aby to nevypadalo pak takhle blbe, ze jeden rika to, druhej neco jinyho. Na serioznosti to neprida, spis je to o duvod vic na skepsi a neduveru...
-
Filip JirsákStříbrný podporovatel
V čem přesně je podle vás ten rozpor? Já to chápu tak, že router se vůbec nebude dívat do těla paketů, jenom do hlaviček. Z těch udělá nějakou analýzu a její výsledek pošle do centra. Teprve pokud se zjistí nějaká anomálie, vyžádá si centrum pro podrobnější analýzu i ty hlavičky. Obě vyjádření jsou s tímhle popisem v souladu.
-
Inak chápající (neregistrovaný)
No a vidíte pánové já si zase představoval že odešlete na výzkum hlavičky + nějakou statistiku a po vyhodnocení si dlouhodobě uchováte jen jakousi anonymní a nic nevypovídající analýzu.
Také myslím, že ještě nemáte dopředu stanoveno do čeho půjdete, ale už předstupujete s nabídkou podílet se na výzkumu - hledáte dobrovolníky kteří dodají provozní data.
Pokud vám tedy dají tu korunu, čímž zřejmě stvrdí smlouvu, pro případ že by všechna zařízení nebyla hned k dodání. Tohle píši jen jako narážku na obchod, mnozí tu totiž jásají nad routerem za 1 kč a naprosto jim unikají souvislosti a předstva o projektu jako celku. A už se zase had kousl do ocasu, jsme opět u toho jak si mají lidi co představovat když i z vaší prezentace není jasné mnoho a probíhá v duchu technického nadšení nad kusem železa...
-
Projekt Turris vypadá přinejmenším zajímavě, s paranoidními křiklouny bych si nedělal hlavu, to je tady normální. Však se nemusí do projektu zapojit a klidně můžou dál žít klasicky: šifrovat porno TrueCryptem, nevycházet bez staniolové čepičky a tak... prostě pohodově :)
Chtěl bych vás ale, kluci, pochválit hlavně za Datovku a v souvislosti s tím se zeptat, jestli chystáte nějaká další angažmá v oblasti e-governmentu a komunikaci se státní správou obecně. Chápu, že i tou Datovkou trochu suplujete něco, co by stát měl dělat sám, a pouštíte se do něčeho, co není úplně vaše oblast zájmu, ale jednak to jinak zřejmě nikdo jiný neudělá, jednak to s vaší hlavní činností souvisí aspoň tou síťovou neutralitou.
Nejnovější schválené dokumenty vypadají sice dobře ( http://www.korupce.cz/assets/partnerstvi-pro-otevrene-vladnuti/otevrena-data/Metodika_Publ_OpenData_verze_1_0.pdf ), ale chtělo by to někoho nestraného, kompetentního a důvěryhodného, kdo by na to trochu dohlídnul, udělal oponenturu, popř. dodal nějaké chybějící střípky (jako s tou Datovkou).
Zvažujete nějaké projekty z téhle oblasti?
Díky za případnou odpověď.
-
"Open data" jsou pro nás obecně velice zajímá. Ondřej Filip je předsedou odborné poroty Fóra pro otevřená data (http://www.nasstat.cz/cze/archiv-zprav/2013/23_ceka-cesko-datova-revoluce.html) a zajímáme se o veškeré dění v této oblasti.
Uvidíme, jaký bude další vývoj, ale je dost možné, že nějaký projekt zaměřený na toto téma v CZ.NIC časem vznikne.
-
Určitě plánujeme zveřejňovat výsledky analýz i pro další použití. Pravidla firewallu, která budeme vydávat budou veřejně dostupná v repozitáři projektu a budeme je doplňovat pravidelnou publikací výsledků. Rádi bychom časem nabídli i aplikace pro běžné routery (pokud to bude v daném systému možné), které budou sloužit jako příjemci našich dat a aktualizovat firewall.
Spolupracovat budeme také s CSIRT.cz, který bude moci získaná data využívat při své práci.
-
úvěr (neregistrovaný)
Ahoj lidi. Jmenuji se Helena Karas z Praha 8. V pondelí 07/01/19 dostal jsem úver ve výši 15.000.000 Kc od Peter Krajcovic za nemovitost v Praze 2. Správný e-mail pana Krajcovic je senatorrpwalter@hotmail.com. Jeho úver je 100% garantován. Kontaktujte jej, pokud stále hledáte pujcku.
ČLÁNKY DO MAILU