Názory k článku
BrickerBot ničí zranitelná IoT zařízení
-
A (neregistrovaný)
V podstatě je to dobře. Všechna ta zařízení jsou potenciálně použitelná k dalším, škodlivějším, útokům. Pokud je zařízení v záruce, nepochybně bude reklamace uznána. Pokud v záruce zařízení není, už je to beztak (vzhledem ke kvalitě a pořizovací ceně) šrot.
Třeba to výrobce donutí neprodávat šmejdy, protože se jim budou vracet. Možná to uživatele donutí nekupovat šmejdy.
-
TanyStříbrný podporovatelA jak to chcete vyřešit jinak?
Pokud není dobré řešení, musí se zvolit bohužel to méně špatné.
-
Kokos99 (neregistrovaný)
A co jako? Běžnýmu uživateli je úplně u řiti že jeho nezabezpečené IoT po nocích DDoSuje někoho jiného. Pokud to bude dělat s určitým respektem, tzn. že nepoužije veškerou konektivitu tak to jednat běžný člověk nepozná a za druhé když mu to funguje tak to určitě nebude řešit.
-
j (neregistrovaný)
Do toho baraku ale muzes snadno a osobne umistit krabku, tkera bude nekoho DOSovat, tudiz jej zapalit je zcela v intencich niceni cehokoli co muze nekoho "ohrozovat".
Apropos, tvoje auto lze snadno ukrast, a pak snim lze nekoho zabit => prave sem ti propich vsechny gumy a rozmlatil okna, abych tomu zabranil - o takovy zajem nebude.
-
K> (neregistrovaný)
nechapu jak vubec muze nekdo byt naznakem obhajovat podobny software - viz diskuze vyse.
jedna vec je, ze ruzne krapy jsou nezabezpecene.
ale uplne jina vec je, ze nekdo ty krapy hackne a pouzije je na nejaky utok.
a treti vec je, ze nekdo provede nelegalni vec proto, aby na to upozornil.hernajs je jedno, jaky je umysl, byt sebelepsi, ale znicit nekomu zarizeni je proste neobhajitelny zlocin. spravte si svoje moralni zasady.
jestli nekomu vadi, ze se vyrabi nezabezpecene krapy, tak to musi natlouct do tech zakazniku jinak, ne tim ze je nasere zlikvidovanim jejich zarizeni. stejne ten BFU nepozna cim to bylo, proste jen pujde reklamovat dany krap a pri dalsim nakupu opet vybere podle ceny a ne nejakeho zabezpeceni kteremu nerozumi.
-
SB (neregistrovaný)
„...jestli nekomu vadi, ze se vyrabi nezabezpecene krapy, tak to musi natlouct do tech zakazniku jinak...“
Máte recht, ale zkuste něco navrhnout. Taky mi to přijde pochybné, ale někteří zjevně rozumějí pouze hrubé síle.
Pojem zpětná vazba znáte, zákazník nemusí vědět nic o bezpečnosti, stačí nekupovat zařízení, která se v čase projevila jako vadná. A dokud se to zařízení vadným nestane, zákazník nepozná, že je nebezpečné. A bezpečné zařízení se vadným nestane.
-
K> (neregistrovaný)
tak muzeme se podivat jak se to dela jinde. napriklad se nesmi prodavat zarizeni, ktera maji spatnou izolaci vodicu pod napetim. v elektrikarskych normach je spousta reguli co spotrebic musi fungovat. ocividne ty normy vznikly proto, ze zakaznik nebyl schopny zhodnotit jestli je zarizeni bezpecne, a samovolna regulace trhu moc nezafungovala. a to slo primo o zdravi/zivot, ne jen o nedostupne webove stranky.
tedy bych si dokazal napriklad predstavit normu, ze se nesmi prodavat zarizeni, ktere umozni uzivateli fungovat s od vyroby nezmenenym administratorskym heslem.
nerikam ze to je jedine dobre reseni, hadam ze se ozve dalsich milion chytrolinu, co pomoci jakekoliv extrapolace a prirovnani ukazou ze to je nesmysl. je to jen navrh a urcite se najde spousta chytrejsich navrhu. elektrikarske normy taky nevznikly ze dne na den.
-
tedy bych si dokazal napriklad predstavit normu, ze se nesmi prodavat zarizeni, ktere umozni uzivateli fungovat s od vyroby nezmenenym administratorskym heslem.
Uplne staci na kazdem zarizeni unikatni a slozite heslo jiz z vyroby. Jsou treba routery, ktere to tak maji a jeste maji jakesi nahodne heslo na wifi, takze kdyz ho nezmeni, nedostane se tam ani majitel.
-
koudy (neregistrovaný)
- hernajs je jedno, jaky je umysl, byt sebelepsi, ale znicit nekomu zarizeni je proste neobhajitelny zlocin. spravte si svoje moralni zasady.
Takže hasiči, když jedou k požáru školky nesmí nabourat (=odsunout) porsche podnikatele, který si "jen" skočil na oběd a blokuje příjezdovou cestu?
-jestli nekomu vadi, ze se vyrabi nezabezpecene krapy, tak to musi natlouct do tech zakazniku jinak, ne tim ze je nasere zlikvidovanim jejich zarizeni.
Ne, nemusí.
On si dělá co chce, tak jako Vy tu píšete co chcete. Máme demokracii, to že jeho počínání je protiprávní ještě neznamená, že to nesmí (nebo že něco jiného musí) dělat. -
koudy (neregistrovaný)
Fakt by mě zajímalo s čím na mém názoru nesouhlasíte.
Pevně doufám, že na tom, že lidský život je důležitější než majetek se shodneme? (tedy že v krajním případě mohu někomu zničit majetek, abych zachránil člověka a nemusím být ani hasič, policista,...)
Pokud ne, tak bych si asi měl jít spravit své morální zásady... (kulkou do hlavy, protože v takové společnosti nechci žít)S tím, že někteří lidé podporují demokracii, jen do té doby, dokud všichni ostatní demokraticky dělají to co chtějí oni, jsem si zvykl a v tomhle směru se mnou nesouhlaste jak chcete, máme demokracii.(ale i tak by mě zajímalo proč se mnou nesouhlasíte) ;)
No a pokud se mnou máte nějaký osobní problém, pak chápu, že mi dáváte "-" automaticky.
To je Váš problém. ;)
Abych citoval Coelha - "What other people think of you is none of your business!” -
K> (neregistrovaný)
tak ti odpovim, kdyz jsi reagoval na mne, proc jsem ti taky dal minus.
"hasiči, když jedou k požáru školky nesmí nabourat"
uznavam ze ultimatni slovo "neobhajitelny" nebylo uplne vhodne, mel jsem na mysli "neobhajitelne v tomhle pripade" (plosny utok). Ve chvili kdy jde o zivot, jasne hasici poskodi porsche, a nikdo se divit nebude. Ale je to jen extrapolovane prirovnani, takze to nebyl rozumny prinos do diskuze (muj nazor, neni ultimatni)."Ne, nemusí."
a opet uznavam, slovo musi bylo vic ultimatni nez by melo, nemusi to do zakazniku natlouct jinak, nemusi vubec nic, nebo dokonce muze co chce, ale opet cim to prinasi neco do diskuze? je to jen slovickareni (muj nazor, neni ultimatni). -
koudy (neregistrovaný)
Já to vzal moc ze své strany, ti ostatní zase asi z té své.
V tomhle případě je to slovíčkaření a určitě jsem neměl v úmyslu chytat tě za slovo (v tom je problém diskuse na internetu, nemůžeš dát důraz intonací na to co je podstatné), to byl možná spíš jen předčasný start nad něčím, co jsem si vyložil jinak než jsi myslel. (a nyní vysvětlil a nyní s tebou souhlasím)
Většinou nemám v úmyslu trolit (pokud to není opravdu kkt, nebo opravdu hloupé sdělení, které si to zaslouží ;) ) a fakt mě zajímá názor ostatních lidí (proto do diskusí píšu a už jsem se občas kupodivu i něco zajímavého dozvěděl), jen se někdy ptám hloupě a navíc mám potřebu svá sdělení zjednodušovat (místo 8 vět napíšu 2 souvětí) což má občas za následek, že mé sdělení lidé pochopí jinak. (o mých "češtinských" úletech se radši nezmiňuji :) )
Děkuji za odpověď.
-
j (neregistrovaný)
To se bezne dela ... vybombaduje se nemocnice, protoze si nekdo myslel ze by tam mohli byt ... a pak se rekne, z pripade US, ze to byl omyl, v pripade RU, ze to byl hnusny teroristicky cin ...
Pripadne se povrazdi 1/2M civilistu proste proto ... ze nekdo rekne ze nekde nekdo prej ma chemicky a kdovijaky zbrane ... ktery nikdo nikdy nenajde. (irak)
Nebo se svrhne demokratoctky zvolena vlada a dosadi se sach ... nacez je strasna divenice, ze se to lidem nelibi a sacha svrhnou ... (iran).
Alternativne se vyzbroji rebelove bojujici za osvobozeni, nacez se prohlasi za teroristy (afganistan, syrie, libye, ...)
Je nacase bombardovat pragl, sere me tam par lidi ... urcite maj jadernou hlavici.
-
O čem to tu moralizujete? Je-li připojené do veřejné sítě zařízení, které má veřejně známé heslo, jedná se snad o zařízení taktéž veřejné a každý si na něm může veřejně dělat, co chce, ne? Je to možná nepříjemné, ale bohužel nezbytné. Firmy vyrábějící levné krámy kašlou na bezpečnost, kašlou na aktualizace, kašlou i na velmi konkrétní bug reporty. Stejně tak lidé kašlou na to, že jsou varováni ze všech stran. Nerozumí tomu a nemají důvod k obavám, protože jim přece nikdo nic hackovat nebude, jsou hodní a nemají nepřátele. Možná by pomohlo na ně přenést část zodpovědnosti za vlastní zařízení.
Kdyby takhle došel každej měsíc účet, "Vaše internetová přípojka se zůčastnila v Dubnu 8 DDoS útoků, vyčíslený podíl na škodách je 750Kč, náklady na řízení 3500Kč, uhraďte do 14ti dnů na účet..."
Zdá se vám to ujetý? A máte auto? Nebudeme se bavit o životech, ať je to fér. Nemáte auto v dobrém stavu, brzdový destičky jsou v řiti a vy to nedobrzdíte před sousedovou popelnicí. Popelnice na sr..., škoda blbých 1000Kč. Kdo za to může? Kdo to zaplatí? Budete to ignorovat s tím, že ty brzdový destičky jsou jen rok starý, výrobce je debil a vám je to vlastně jedno, protože to není váš problém a vaše popelnice? Budete v klidu rušit 10 popelnic měsíčně a dělat, že se nic neděje?
Jo... ono se vám nechtělo měnit brzdový destičky, protože to neumíte... hmmm... a je to tak správně, protože změnit heslo na routeru taky neumíte a je to taky v pohodě... hmmm...Probuďte se moralisti, ty děravý šmejdy způsobují škody v řádech, o kterých se vám asi ani nesnilo. Prostě po dobrým to nejde, tak to půjde po zlým. Schválně, po kolikáté popelnici vám soused propíchá všechny kola a vymlátí všechny skla?
-
Ano, zodpovědnost je obecně na internetu dost zvláštní pojem... tím, že člověk není nucen postavit se někomu tváří v tvář, má pocit, že zodpovědnost je značně omezená, nebo dokonce žádná.
Co se týče vzdělanosti, tam je to ještě větší problém. Technologie jsou daleko za hranicí chápání běžného člověka, který je pouze pasivně využívá. Na tom není nic zvláštního. Většina lidí taky detailně neví, jak funguje auto, televize, telefon...
Současná společnost je už na internetu natolik závislá, že není možné jej prostě nechat umřít pod náporem útoků. Ale jak z toho ven? Jak dohnat lidi k zodpovědnosti? Na někoho je potřeba začít šlapat a je na čase v tomto ohledu přitvrdit. Buď se vydat cestou homologací, kdy zařízení připojené k internetu bude muset splňovat nějaké normy a dodržovat pravidla, jinak jej nebude možné používat (bude zakázána jejich distribuce), tím by se velká část zodpovědnosti přenesla na výrobce, což je asi ta rozumnější varianta, nebo jít cestou postihu nezodpovědných uživatelů, což by souviselo s nějakou technologií jejich dostatečné kontroly a to je za prvé velký technický problém a za druhé dost nepopulární krok. Nějaká kontrola ze strany ISP mi taky nepřijde příliš smysluplná.
Nejlépe asi opravdu vychází vytvoření tlaku na výrobce šmejdů. Možná už by nebyly routery za 300, ale za 1500, což je dle mého názoru mnohem přijatelnější, než další šmírování, zavádění kravin zvyšujících složitost a tím i cenu samotného připojení atd. -
SB (neregistrovaný)
Nerozumíme si:
1. Mám na mysli zodpovědnost za provoz zařízení, ne za to, že někomu do chatu napíšu, že je kokot.
2. Mícháte dohromady vzdělanost odbornou a uživatelskou - pro práci s počítačem či na inetu není třeba ta odborná (jako to není třeba u auta), ale uživatel musí vědět, co se smí a nesmí (stejně jako u auta musí vědět, kde jsou která světla a jak se zapnou).Kvalita zařízení se dá řešit klidně ve všech 3 oblastech - prodejce prodává jen homologovaná zařízení (např. u modemů to pro fyzickou vrstvu bylo vždy), ISP konečně začne (pod hrozbou pokuty za neprovedení) odpojovat uživatele, majitelé zařízení budou pokutováni od ISP, ... Nějak se to asi bude muset udělat, jinak se z Iot posereme.
P. S.: Opět: Z tohoto pohledu je vycihlení zařízení funkčním opatřením.
-
K> (neregistrovaný)
"zařízení taktéž veřejné a každý si na něm může veřejně dělat, co chce, ne?"
Ne. Zarizeni je v soukromem vlastnictvi a nic z toho co jsi napsal z neho nedela verejne zarizeni. Nebo jsem neco prehlidnul v zakoniku?Sousedova lednicka provedla utok na moji. Tak ja tu jeho zlikviduju. Je to v poradku? Asi ne. To se tak delalo driv, soused mi zabil ovci, tak ja mu zabiju kravu. Dnes mame normy/policii/soudy. Se tomu rika civilizace nebo tak nejak.
-
To je špatný pohled na věc. Pokud se zařízení například účastní DoS útoku, protože ho někdo hacknul, tak je viníkem ten kdo to zařízení hacknul. Ten kdo si zařízení nezabezpečil sice má také máslo na hlavně, ale rozhodně není viníkem.
To že něco není dostatečně zabezpečené z dané věci nijak nedělá veřejný statek. Když si necháte otevřené okno, nebo máte "papírové" dveře které lze prokopnout na první pokus, tak to také nijak neopravňuje vniknutí do vašeho bytu.
-
Aha... zajímavé myšlenky... na internetu běží služba, na internetu je k té službě veřejně dostupné i heslo. Služba mi něco umožňuje, já se k ní přihlásím a těchto možností využiji. To se nesmí? Tím pádem ovšem nesmím používat internet, ne? Nebo jde o zlý úmysl? A je zlý úmysl ochrana internetu před botnety? Když píšu tento příspěvek, jaký mám úmysl? Chci sdělit svůj názor? Chci zaplnit část databáze nesmyslnými kecy a vytížit síťové prvky po cestě? Můžu vlastně surfovat po internetu a využívat jeho služeb, i když mi to poskytovatelé těchto služeb předem nedovolili? Co když se po odeslání tohoto příspěvku projeví nějaký bug a iinfu popadají servery? Stane se tím ze mě zločinec? Myslíte, že po přihlášení na ty krámy jsem dostatečně varován, že tam nemám co dělat? A jsem při surfování po netu dostatečně upozorňován na to, že jsem klikl správně a nedostal jsem se omylem někam, kde můžu něco rozbít? Co takhle kromě odsouhlasování koláčků na každé stránce vynucovat i čtení podmínek používání?
Je třeba začít měřit stejným metrem. To, že je internet anonymní a v zásadě nehmotný neznamená, že se na něj budeme dívat úplně opačně, než na hmotný svět. Buď je podle vás v pořádku, že krabička útočí a tím pádem je v pořádku i protiútok. Není to hezký, ale co, hacker má jen máslo na hlavě. Jsou to jen nějaký bity lítající všude možně, ostatně, když tu krabičku bricknu, taky jí jen pošlu nějaký bity a ona si jen přepíše svoje bity. Krabička je stále krabičkou a z HW pohledu se nic nezměnilo, takže vlastně ani nevznikla škoda. Nebo se na to budeme dívat stejně, jak na hmotný svět. Nechal jsem na internetu pohozenou nezabezpečenou krabičku, tak mi ji prostě někdo ukradne. Já budu mít máslo na hlavě, hacker je sice vinen, ale policie se vám vysměje, že jste debil. V okamžiku, kdy to někdo zneužije k něčemu nelegálnímu, ponesu si svoji část viny. A nakonec zjistím, že stejně jako mám v autě i v domě alarm, v autě k tomu ještě imobilizér a většinou dům i auto poctivě zamykám, tak úplně stejně se budu muset chovat k síti. Nebudu si kupovat krabičky s nedostatečným zabezpečením, pokud to neumím sám, nechám si to od někoho zapojit a nastavit...
Zákony, policie, ani soudy takový blbosti na internetu zatím neřeší a není se na koho obrátit. Čím víc bude podobných akcí, tím dřív to někdo řešit začne.
Co se týče toho másla na hlavě, zkuste na ulici položit vaši legálně drženou zbraň a odejít. Nechte stát venku nastartované auto bez dozoru. A ano, ten kdo toho zneužije bude vinen, o tom žádná, ale rozhodně neskončíte s tím, že máte "jen máslo na hlavě".
Doufejte, že podobných útoků bude přibývat a že to někdo vyřeší dříve a lépe, než se do toho pustí nějaká banda typu EU, protože to by mohlo taky skončit zavedením internetoškol, povinných síťových průkazů pro uživatele a s tím samozřejmě spojená registrace a kontrola. Na ministerstvo cenzury a internetu pak budete povinně posílat EEI (elektronická evidence internetu) a všechno bude sluníčkový.
Osobně budu mnohem raději, když někdo všechny ty krámy pozabíjí a donutí tak lidi přemýšlet nad tím, jestli kupované zboží řeší bezpečnost, nebo jestli jen vyhazují peníze za něco, co jim bude sestřeleno do dvou minut od připojení kabelů. -
Ve fyzickém světě neexistuje absolutní zabezpečení. Do mnoha bytů lze vniknout po jediném kopnutí do dveří, nebo po směšně snadném rozbití skla. A existuje dlouhá řada nástrojů pro překonávání zámků.
Na internetu není vniknutí do cizího systému rozšířeným problém z toho důvodu, že je to snadné. Je to spíš protože je internet relativně anonymní, průnik většinou není zjevný, nehrozí u něj riziko fyzické konfrontace, dá se zkoušet vzdáleně a velmi rychle. Výsledkem je faktická beztrestnost naprosté většiny pachatelů.
Jak už jsem psal, když rozbijete okno a vniknete někomu do domu, abyste ho vykradl, tak nemá smysl se hájit, že to bylo směšně snadné. Podobně pokud soused nechá klíč pod rohožkou a vy ho vykradete, tak je to pořád krádež. Podobně pokud ukradnete auto, které mělo klíč "pod rohožkou", tak je to pořád krádež.
Pokud jde o právní kvalifikaci, tak si přečtěte §§ 230-232 TZ.
Kdo získá přístup k počítačovému systému nebo k nosiči informací a... neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat, bude potrestán odnětím svobody až na tři léta, zákazem činnosti nebo propadnutím věci. Tresty se pak navyšují s tím jestli pachatel chtěl způsobit škodu nebo získat prospěch, chtěl omezit funkčnost systému, byl členem organizované skupiny, a podle rozsahu škody a prospěchu.Pokud někdo "všechny ty krámy pozabíjí a donutí tak lidi přemýšlet", tak za TZ patří do kriminálu. Pro mě je to ekvivalent toho, když ve městě budete sousedům prokopávat dveře které lze prokopnout, abyste je "donutil přemýšlet".
-
Dert (neregistrovaný)
Vsechno hezky, ale jen do doby nez to zacihlickuje nejeke lekarske zarizeni na podporu zivota (Bohuzel je jich dneska uz hodne, ktery jsou na siti a vetsina z nich ne moc dobre zabezpecena.). Pokud takove zarizeni jede v ddos, tak zivot pacienta nemusi byt obrozen (vyuzita jen konektivita, ale zarizeni samotne pracuje dal), ale pokud zarizeni neco sestreli (zarizeni prestane pracovat), tak uz zivot bude ohrozen.
V sirsim kontextu toto muze mit horsi nasledky nez samotny ddos utok, kteremu se to snazi zabranit. :-(
