Vlákno názorů k článku Tvůrci routeru Turris: nechceme lidem koukat přes rameno od bmann - Osobně mi to přijde jako zajímavý projekt. CZ.NIC pracuje...

Ona je dnes pro lidi jako Mirage i jednodušší cesta: Založí nové sdružení, sepíšou vlastní pravidla, požádají o vlastní TLD, a v ním budou přidělovat domény podle vlastního systému i ceníku. Nic jim v tom nebrání.

Ja to do PDF neprevadel, za to se omlouvam, pokud mate zajem poslu, muj e-mail je <jmeno>.<prij­meno>@nic.cz

Bingho! A co myslíte, že dnes je bezpečnost toho SOHO uživatele je? Že mu někdo napadne fileserver nebo web server? Nikoliv obyčejný uživatele je hlavně konzument, neodborník. A kam myslíte, že by ten route od NIC měl zapadat?

Běžnému uživatele ten router prostě nic zásadního nepřináší a do medium business nebo vyššího sektoru nemíří. Případů kdy ochrání toho koncového SOHO uživatele ne naprosté minimu.

Jinak zmíněnou druhou věc ten router také moc nevyřeší, protože on nemá zpětnou vazbu od toho PC. Ten router nepozná, že uživatel má nainstalován škodliví toolbar. Že mu policie ČR zablokovala PC, že mu trojský kůň zašifroval jpg nebo že je cílen na nějak pokus o mailový phising . To jsou věci které firewally a routery neřeší ale uživatel s nima víc než z nějakýma pokusy o dos, flood ping, scanning, atd...

Jde o to, že mi tu „řešíme“ obyčejné uživatele a obyčejní uživatelé nejsme , nemáme jejich problémy , nemáme jejich potřeby a myslím že i spousta lidí neví nedokáže si uvědomit jaké mají problémy, potřeby a jak asi myslí.

Informace pro uživatele „pravděpodobně máte zavirovaný počítač“ podle vás uživateli nic nepřináší? Zablokování útoku, který se podařilo zaznamenat a rozpoznat díky jiným routerům v síti podle vás uživateli nijak nepomůže?

Ten router nepozná, že má uživatel nainstalován škodlivý toolbar. Ale pozná, že nějaké zařízení v síti generuje „divný“ provoz. Nebo že se nějaké zařízení v síti pokouší přistoupit na phisingový web.

Vy si asi představujete, že ten router má primárně řešit síťové útoky. Podle mne má primárně řešit síťové projevy toho, co i podle vás uživatele trápí. Zašifrovaný jpg samozřejmě nevyřeší. Ale nástroje, které tohle mají řešit, existují a používají se. Přesto ty problémy existují dál – takže ty nástroje buď nejsou dokonalé, nebo je uživatelé používají špatně. Má tedy smysl pokusit se to řešit i jiným způsobem.

Někdo si třeba problémy „obyčejných uživatelů“ aspoň trochu představit dokáže. Třeba byste si to dokázal lépe představit také, kdybyste četl, co je v komentářích opravdu napsáno. Třeba když někdo píše o rozpoznání zavirování počítače, opravdu tím myslí rozpoznání zavirování počítače a ne útok na fileserver, webserver, DoS ani flood ping.

Ne nepomůže je to takzvaně nošení dříví do lesa, nebo páté kolo u vozu. Ikdyž už to PC bude mít zavirované tak pravděpodobně to už pozná. Případně nebude prostředek, jak mu to sdělit viz stav toho PC
Ten divný provoz může te označit, až na základě nějaké modelové signatury. Tedy opět jste ten druhý

Ne já si právě nepředstavuji, že by měl nějak víc řešit bezpečnost. Protože právě jsem argumentoval je to nošení dříví do lesa, případně to páté kolo u vozu. Nepřináší totiž nic navíc považuji ho za zbytečný kus HW. To je moje strana pohledu.

Ale tu ta druhá strana, jako prostředek na vytvoření testovacího prostředí ten router chápu. Jen bych to nebalil do té pohádky o bezpečnosti pro lidi. To je stejná lež jako že DVB-T přinese kvalitnější obsah..

Ten router je prostě součástí pokusu, pro někoho to budou neobhajitelné prostředky investované do něčeho s něčím nesouhlasí. To neřeším, ty peníze už stejně mají, bezpečnost mě v tomhle nestraší. Jediné co se mi nelíbí, je nadšená argumentace ohledně bezpečnosti.

Pokud uživatelé zavirované PC poznají, proč jich tedy tolik zavirovaných zůstává? Předchozí znalost signatury není potřeba.

Autoři toho routeru tvrdí, že dnes něco umí rozpoznávat (třeba rozesílání spamu) – a vy na to reagujete, že je router zbytečný, protože takovéhle rozpoznávání nemůže existovat. Klidně si věřte víc vašim ničím nepodloženým domněnkám, než autorům projektu, já s dovolením tento váš pohled na věc nesdílím.

A proč je tolik lidí nemocných a nevyléčí se samo? Promiňte ale tohle je demagogie že?

Ta věc nepřinese prvotní prevenci. Pokud to PC začne rozesílat s neskutečnou intenzitou spam, nebo tam začně běžet nějaký primitivní server tak to opravdu poznáte. Jenže poznáte až to tam je. Jak zabráníte opakovaní? Banem ex post IP adresy? Jak dlouho to pomůže?

Router bude dobrá analyzační síť na výzkum třeba botlenetů nebo spamových farem. Z pohledu hlavních témat bezpečnosti je v segmentu opravdu zbytečné zařízení. Protože hlavní témata to neřeší.

Řekl bych, že je to u lidé stejné, jako u jejich počítačů -- prostě se nedokážou sami vyléčit, potřebují někoho, kdo se v tom aspoň trochu vyzná, podle příznaků dokáže určit onemocnění a navrhnout léčbu. Vy tvrdíte, že lékaři jsou zbyteční, protože nezajistí prvotní prevenci. Já tvrdím, že prvotní prevence není stoprocentní a že u lidí i současných domácích počítačů je potřeba počítat s tím, že se občas někde nakazí, a je potřeba umět nákazu co nejrychleji rozpoznat, uživatele/člověka na ni upozornit a zahájit léčbu. Ano, "hlavní téma" (aby se člověk nenakazil nebo nezranil) lékaři opravdu neřeší, to ale ještě neznamená, že jsou zbyteční.

Opakování se zabrání třeba tím, že se aktualizují antivirové databáze, zazáplatuje se děravý software, zaktualizuje se databáze škodlivých webů, kterých se dotazují prohlížeče. A to vše se zvládne dříve, protože se na problém dříve přijde.

Jak říkám neříkejte, že to je bezpečnější, protože ten rozdíl je minimální. O tom možná můžete diskutovat na akademické půdě, ale pro reálnou praxi je dopad směšný. Napadá mě uštěpačná poznámka jako spousta jiných věcí co se tam řeší a pro praxi je k ničemu a pak se diví že na to lidé nechtějí dát peníze…

Ten router nejsou ani bezpečnostní pásy není to ani doktor. Žádnou prvotní prevenci to nepřináší, je to vždy až druhé. Primární prevence je v SW na koncovém stroji. Tam je ten doktor\bezpečnostní pásy ve formě aplikačního FW a antiviru.

Životnost routeru\firewallu v segmentu SOHO je jen cca 2 roky, prostě ty zřízení odchází. Firewall, NAT, šifrování wifi ty nové začínají mít základu aktivované. Takže nic podstatného tohle uživateli navíc nepřinese. Proto to vidím jako nošení dříví do lesa, protže s běžným komerčním segmentem to soupeřit nemůže. A to sami píší.

Ten router prostě beru jako pokus. Testovací prostředí pro sběr informací k výzkumu. K tomu kolik ten projekt může stát. Nebo že sbírá nějaké informace nemám výhrad. Co mě prostě vadí je to, že tematicky ta bezpečnost je pojatá jako FUD.

Vy pořád trváte na tom, že jediná použitelná ochrana je prvotní prevence. Já asi žiju v jiném světě, ve kterém prvotní prevence rozhodně nestačí, o čemž svědčí spousta zavirovaných počítačů, botnetů a spammerů. V tomto světě bezpečnost koncové sítě zvýší i zařízení, které sice nedokáže vždy zabránit napadení koncového počítače, ale dokáže ten napadený počítač rozpoznat v řádu třeba minut nebo hodin (a ne měsíců, než si dotyčný přeinstaluje Windows).

Zároveň ten router může na hrozby reagovat téměř v reálném čase – dnes jsou takhle (pomocí blacklistů) chráněné jen webové prohlížeče, ten router takhle může chránit veškerý síťový provoz. To na koncových počítačích s Windows běžně obstarává antivir+firewall, jenže ty zdaleka nedokáží reagovat tak rychle. A pak tu samozřejmě je čím dál víc různých krabiček jako mobily, WiFi routery, NAS nebo SmartTV, které se běžně neaktualizují vůbec.

V tomto světě tedy toto sekundární zabezpečení není žádný FUD. A obávám se, že v tomto světě žije drtivá většina lidí, zatímco ten váš svět, kde takřka vše řeší prevence, nejspíš moc obyvatel nemá. Nebo možná píšete z budoucnosti, pak je to dobrá zpráva, že se tu prvotní prevenci podaří vyřešit.

Pokud se budeme bavit o reálném nasazení větších korporací.... ...to je super jenže tenhle router nemíří do větších korporací.

Botlenety tvoří počítače kormporátní, nebo spíš písíčka ekonomicky slabých userů ? Kde nemají na zabezpečení natož znalosti. Kradou SW a daň kterou za to platí je to, že si to zavšiví nějakou win32 havětí?

Nevím, kde se podle vás vyskytují neaktulizované WiFi routery za pár stovek, SmartTV, neaktualizované (nebo rovnou upirátěné) Windows, a to vše připojené k internetu modemem nebo routerem ve výchozím nastavení. Podle mne jsou to domácnosti. Pokud jsou to podle vás větší korporace, žijeme každý v jiném světě.

Věnujte vyšší pozornost u věty ...Botlenety tvoří počítače kormporátní, nebo spíš písíčka ekonomicky slabých userů ?... tomu otazníku.

Z SmartTV a levných routerů moc "úspešný" botnet nepostavíte. Z Win XP které v hitparádě botnetů vedou ano.

Otazníku jsem pozornost věnoval, ale fakt nedokážu tipnout, co si o tom myslíte vy. Každopádně domácí počítače součástí těch botnetů jsou, podíl napadených domácích počítačů (ze všech domácích) bude nesrovnatelně vyšší, než podíl napadených korporátních počítačů. Každopádně nezáleží na tom, zda je napadených víc domácích nebo korporátních PC, protože tenhle router je zaměřený na SOHO. Takže v této diskusi je podstatné to, zda existuje dostat napadených domácích sítí. Já nesdílím vaši představu, že SOHO sítě jsou dnes dostatečně chráněny antiviry a výchozími firewally v krabičkách za pár stovek, a že najít nějaký domácí zavirovaný počítač je unikát.

Záleží na tom, k čemu ten botnet má sloužit. Většina využití nepotřebuje příliš velký výkon koncového zařízení, naopak je často důležitý počet koncových zařízení. Takže taková ta domácí bižuterie je celkem vhodná, zejména proto, že je dnes mnohem méně chráněná.

Tak tomu, že by tvůrce takového routeru byl lepší v aktualizacích, než třeba velké firmy prodávající bezpečnostní SW opravdu nevěřím. Protože on musí mít především vazbu z SW prostředí.

ISP, hostingové, a různé telekomunikační firmy dostávají informace o kompromitovaných strojích a sítích spíše od SW firem než opačně. Prostě nejdřív si to někdo zaviruje, pak to zjistí x různých firem vytvářejících antiviry a teprve asi jako poslední jsou ISP, hostingy, peeringové centra atd.
Ale nelze se divit. Síťařům by mělo být jedno si uživatelé přenášejí dokumenty, video nebo viry. On to bude řešit, až ten provoz bude kolabovat, nebo bude vyzván k spolupráci. Nikoliv jako jeho vlastní aktivita.

Napadá mě ještě jedna věc. Proč myslíte, že pokud bude monitorovat provoz kompromitovaného PC ,nebo sítě musí být nějak abnormální proti čistému PC, nebo síti? Jen z toho provozu to nezjistíte, potřebujete tam zase tu zpětnou vazbu do SW. Bez té vazby tam bude spousta falešných poplachů nebo naopak projde leda s co.

Nikoli myšleno, že to geniální moudro je ve smyslu nebude li pršet nezmokneme. Tím že by nepoznali bych se raději nechlubil , ale hlavně je to jak sem několikrát psal ex-post tedy zjistíte to až si to zaviruje nikoliv když třeba toho trojského koně teprve stahuje.