Názor k článku
Výzkumníci opět varují před stále nedostatečně zabezpečenými SSH servery od Filip Jirsák - Danny: Čekal jsem, kdo s tímhle nesmyslem přijde....

Danny: Čekal jsem, kdo s tímhle nesmyslem přijde. Zakopal jste pod server kořen mandragory? Ne? Ale přece nemůžete zpochybňovat takové bezpečnostní opatření s tím, že přece nevíte o vektoru útoku, kterému by to mohlo zabránit. A proč sem motám kořen mandragory? No protože vy nedokážete s vašimi argumenty rozlišit mezi bezpečnostními opatřeními kořen mandragory a fail2ban. (A protože nemáte žádné protiargumenty, bude opět následovat nějaký váš komentář úplně mimo téma.)

Nikdo po vás nechtěl konkrétní popsaný typ útoku. Celou dobu chceme znát jen nějaký základní mechanismus útoku, obecný princip. Ten musíte znát, abyste se mu mohl bránit. Když ho neznáte, nemůžete se bránit – protože nevíte, co na útok pomáhá, co je irelevantní a co naopak může útok usnadnit nebo zhoršit. Ke každé obraně se totiž dá vymyslet problém, kdy ta obrana situaci ještě zhorší, např. umožní průnik. No a když nedokážete porovnat rizika, nemůžete určit, kterou obranu použít a kterou ne.

Představte si to třeba na baráku. U baráků se jako bezpečnostní opatření dělají dveře, které je pracné otevřít. A také se tam jako bezpečnostní opatření dělají dveře, které je snadné otevřít. A také se tam jako bezpečnostní opatření dělají dveře v místech, kde by jinak nikdo žádné dveře nedělal. Takže jednotlivá bezpečnostní opatření jsou protichůdná – a musíte vědět, čemu se bráníte, abyste mohl navrhnout odpovídající opatření. Vy byste to vyřešil – všude byste místo dveří dal květináč s kaktusem a argumentoval byste, že nikdo nemůže zpochybňovat kaktusové bezpečnostní opatření jenom proto, že nevíte o nebezpečí, před kterým by mohl kaktus chránit.

Největší podcenění rizika je tvářit se, že jakákoli hloupost, kterou uděláte, je obrana proti nějakému útoku (o kterém samozřejmě nic nevíte a nemůžete ho popsat).