Názory k článku
Informace o Češích tečou do Číny. Stát vůči tomu vydal varování, je nutné ho zohlednit
-
To psal zjevne nejaky mimon odtrzeny od reality :-) Opravdu bych chtel videt pitomce, ktery (dnes) umoznuje nerizenou vzdalenou spravu technickych aktiv v ramci vlastni infrastruktury (a ne, nebavime se o mobilech ci levnych SoHo kramech) - zvlast pokud se bavime o subjektech, co byt jen potencialne pod ZoKB spadaji nebo spadnou.
Uz jen ciste prakticky, tolik volnych IP(v4) adres, aby si ten luxus mohli dovolit ma jen malokdo. IPv6 se moc v praxi lokalni kotliny nenosi. Dostat se primo k zarizeni znamena i pro cinskeho utocnika nutnost prekonat nejakou dalsi prekazku. Ale to jde ekvivalentne aplikovat na kohokoliv. Pulka textu je jen teorii "co by kdyby", kdy je ocividne nekdo placeny od (napsanyho) pismenka. Vykazovani cinnosti urednikem.
A ano, zarizeni cinskych vyrobcu mi pres prah nesmi dyl, nez si na uradu vzpomeli, ze Cina by mohla byt nepritelem. Ale to neznamena, ze budu tleskat podobnym zjevnym slataninam z uradu - ktere zjevne ucelove vydavaji v dobe, kdy se schvaluji provadeci predpisy k novemu ZoKB.
-
Ale nezaspal... jen normalni lidi bezhlave nepovoli z management infrastruktury spojeni ani zevnitr smerem ven, zeano. Nebo u vas se to dela jinak? ;-) Cloud sprava se tyka spise SoHo krabicek a pak by to varovani melo byt psane univerzalne na cokoliv, bez ohledu na vendora... protoze problem je to vsude. A nemusi jit jen o problem zpusobeny nejakou vladou, ono staci kdyz nejakemu vendorovi skrze jinou diru ty data utecou, zeano... coz se s oblibou take deje, zeano.
-
Ty jsi nic nezaspal, ty jsi totalne mimo. Ve sve bubline to mozna vidis nejak, ja videl spoustu korporatu a smb a pristup do infrastruktury je u spousty firem bezny (dodavatel telefonniho reseni, dodavatel crm, dodavatel…). Papirove se NUKIBu ukaze policy a ze je to realne jinak nikoho nezajima. NUKIB nema lidi kteri by chodili po firmach a delali nejakou praci, oni maji uredniky vymyslejici ptakoviny jak je dulezita zmena hesla v dobe kdy spousta firem presla/prechazi na bezheslova reseni…
-
Tak na tomhle detailu nic nezmeni ani padesat dalsich urednich varovani v podobnem duchu. Urad ma mozna lidi na generovani podobnych lejster plny teorie, ale lejstra bezpecnost nezajisti. Neschopnost uradu ve velkem ukazuje uz jen to, jak zvladaji ohlidat tu svou soucasnou "jurisdikci", tedy primarne statni spravu... treba prusvihy na MZV nebo MVCR. Stejne jako neschopnost poskytnout prakticke - tedy aplikovatelne - informace. Jen vznikaji alibisticke papiry na vsech stranach... aneb kdyztak se to hodi na dodavatele, zeano.
Vlastne pristup NUKIB pripomina jinde diskutovany pristup "EU Centre"... v realu za nic nezodpovidat, obecne reci... ale aby tem nebozakum ze SMB dali do rukou treba nejaky IPSET, to ani omylem. Jeste by se mohlo stat, ze na urade by na neco zapomeli... nene, prusery at padaj na hlavu jinejm. Alibisticka varovani tak jak se predkladaji jsou k nicemu. Dobre to je leda k PR...
-
např. Huawei AirEngine 5762 využívá k připojení do cloudu upstream, kterým mají komunikovat klient, musí se blokovat konkrétní IP adresy (či DNS) na bráně/fw, žádný oddělený management port nemáš. Bohužel tenhle nešvar ze SoHo se nám dostává do firemní infrastruktury.
Doba, kdy jsme na vše měli dedikované porty na management se pomalu vytrácí a řada krabiček umí mísit management provoz na datové lince. Takový návrat nešvaru v podobně ATM v rámci Intel vPro.
Nemluvě o spoustě různého HW od čínských firem, který mají k dispozici vlastní antény a subsystémy pro komunikaci (wifi, lora, e-sim atd.), to je pak opět těžko řešitelné, když ti vše dodavatel/výrobce nezdokomentuje. O tom přesně mluví to varování. Kombinace liknavosti a nečestnosti.
-
To ale uplne stejne muzu vytahnout treba Meraki, Ubiquiti nebo treba Tplink. A muzeme tak pokracovat. Resime tu cinske firmy, ale uz neresime ze ty z druheho konce sveta jsou sice na prvni strane pro nas ti hodni a spravni, ale kdyz se clovek podiva, jak to uvnitr funguje a jak je to sflikovane... tak je jen otazka casu, kdy nam ty reseni z te spravne casti sveta ty data, co tam jsou do te Ciny vyexportuji skrze nejakou nejakou diru v software - protoze cely tenhle ekosystem funguje tak, ze se to zbastli tak, aby to hezky vypadalo navenek... a co je na pozadi se nikde moc neresi. S tim jak nas svet funguje ten cinan ani moc nepotrebuje sve krabice, aby se dostal k nasim datum - staci vyuzit slendrian, ktery je vsude okolo. Aneb bavime se mj. o tom, ze se spokojene zneuzivaji zranitelnosti stare i nekolik let, ktere nikdo neresi - at uz z nedbalosti, nebo se najde jiny duvod/vymluva, proc zachovat status quo.
-
ano, technicky to je hodně podobné, tady hlavní roli hraje to, že s Čínou nemáme žádné smlouvy, které by tohle řešily. Čínské společnosti mají i zakázané zveřejňovat zranitelnosti třetí straně mimo Čínu (ať už objevené nebo i ty opravené), takže to co je dostupné, je dostupné jen buď jako únik nebo to objevil někdo mimo Čínu. I na tohle to varování NÚKIB poukazuje. Dříve se s Huawei podepisovalo NDA a enterprise zákazníkům dával přístup do databáze CVE, dnes sice ten přístup máš pořád, NDA také, ale prostě se tam ty vážné zranitelnosti neobjevují, za posledních 12 měsíců žádná, přitom bezpečnostní aktualizace chodí pořád, jen nevíš, co v nich je.
Na jednu stranu se teď tlačí na výrobce, aby byly za své díry nějak odpovědní, na druhou stranu se tlačí na produkty ze zemí, s kterými nemáme rozumně nastavené vztahy, aby ty produkty se buď nepoužívaly nebo chovaly jinak. To je přece v pořádku, ne?
Říkáš, že je nikdo neřeší a pak zároveň kritizuješ zkb2, který se právě tyhle konkrétní věci snaží řešit a omezovat, tj. aby ani nemohlo být neaktualizované meraki s cloud přístupem v kritické infrastruktuře.
-
A co vyresi smlouva v momente, kdy mi data od libovolneho "spravneho" vyrobce utecou diky tomu, ze je jejich aplikace derava jak reseto do Ciny? Ja se muzu stavet na hlavu, ale ty data v Cine skonci. A navic se porad bavime o tom, ze se na vec musi prijit, tedy - musi se explicitne zjistit, ze ty data nekde utikaji. I po systemech statni spravy se tu cinani prochazi cele roky zcela bez povsimnuti (viz treba APT31 na MZV). Mimoto, on ani ten cinan asi nebude zas tak blbej a nebude nutne pouzit zrovna cinske adresy, tak aby to slo identifikovat aspon podle geoIP... za par susni si pronajme infrastrukturu klidne v CR (ci okolo po EU), treba i pres nejakyho nastrcenyho kone a bezny smrtelnik nema sanci zjistit, co je to zac. A samozrejme, cim vetsi "humbuk" kolem bude, tim vice se bude snazit utocnik skryt - a tedy se bude hure ta aktivita vubec identifikovat.
Realne se to delo treba i u utoku NoName057, kdy source byly mimo jine v CR... tam taky primo do Ruska vedlo jen minimum identifikovatelnych stop, samotny utoky litaj spokojene z EU z beznych komercnich sluzeb. A ze se v cervenci pochlubili, jak to rozbili? Bejvavalo, uz to tu zase vesele lita.
Co predvadi NUKIB je cista politika a ne realne reseni bezpecnosti. Protoze tak jednoduche to v dnesnim globalizovanem svete neni - viz i ty auta ad nize - kdy je zrejme, ze ani oni nemaji podchycene detaily - i kdyz tim viditelne nekdo travi cas. A jede se primarne PR - viz vyse odkazane "rozbiti" nounejmiho botnetu, ktere melo jen jepici zivot. Ale ze by nekdo varoval, ze to je zpet... tobychom po uradu chteli moc, ze? :-) Realne resi jen to co je pro ne samotne jednoduche - ukazuji prstem na firmy jen na zaklade zeme puvodu. Ale mozne prusvihy okolo se neresi. Cinan se svym zpusobem musi te nasi neschopnosti smat.
A s tim co predvadi trumpetka bych byl opatrny i ve vyrocich o rozumne nastavenych vztazich - ktere dnes spise funguji systemem nahodnych erupci, kdy se spousta veci spise popira. Mame to ostatne o clanek vedle ve vztahu k cloudovym sluzbam, kde dodavatel... ehm... nemuze zarucit... ze bude vsechno v cajku jak si myslime ze bude. A ano, opet se bavime o prostredi, kam se sype taky kdeco... protoze mit to onprem neni cool & in.
-
analýza rizik!
Tohle je varování o tom, že se tahle aktivita děje, že to je problém a že si subjekty musí na to dát pozor a zohlednit ve své analýze rizik. Pokud jim to výjde, že to je ještě v pořádku či mají jiné mechanismy, jak tomu zabránit, ok, nic se neděje, když to použijí.
Stejně tak to je s děravým SW od velkých západních výrobců, musím to zohlednit v analýze rizik a podle toho se zařídit. Co si ale budeme povídat, většina průniků je prostě na neaktualizovaných zařízeních.
Za mě je ale velký špatný to, na co jsem už upozorňoval, zákaz zveřejňovat zranitelnosti u čínských produktů. To se pak blbě dělá analýza rizik. Vč. pak naprosto tristní dokumentace, kdy prostě ti spoustu HW a SW věcí ani nezmíní, na to nejspíš zpráva NÚKIBu naráží. To jestli to je řízeno státem nebo jen ty společnosti jsou k tomu liknavé a pak se to může využít je vlastně asi jedno, důsledek je obdobný.
-
Analyza rizik je takovy krazny buzzword, jo papir toho snese. Ale v praxi muze byt problem ty veci do detailu zanalyzovat - a bohate staci zustat u toho, ze je potreba zjistit jaka rizika jsou spojena s dodavatelem sidlicim mimo CR. Ono ne vse funguje podle "ceske jurisdikce", kde s nejakou mirou jistoty ty informace mame i verejne. Nicmene ani to neni dokonale - staci nejaky bily kun, ktery si necha zaplatit a ten, kdo skutecne taha za nitky je skryt v pozadi. A ne, bezna firma opravdu nema stejny aparat, co maji tajne sluzby - a a ty sve informace moc nebudou, ze? :-) Zjistovat informace o zahranicnich dodavatelich muze byt nemaly problem.
Ano, vetsina pruniku je skrze neaktualizovane veci. A u sofistikovanejsich apliances clovek ani nemusi vedet, ze tam tu diru ma - ono ne kazdej ma cas/prostor na to zkoumat, jaky bordel v tom nekolikagigabajtovem slepenci dodaneho nejakym klidne ceskym, nemeckym ci treba americkym dodavatelem vlastne je. Aneb i v Cesku se nam tu za drahe penize prodavaji veci (kupovane i NUKIBem), ktere jsou stale bastlem nad jiz EOL Centos7 a vselijak rucne poflikovane, jen aby to "navenek" vypadalo hezky. O dalsich vendorech prodavajici "cool" management appliance nemluve - za hezkym webikem je skryty softwarovy hnuj. Opet, dostavame se k tomu, ze tohle neni pro spoustu firem realne vubec nejak analyzovat - a tedy vyhodnotit rizika.
Co se (ne)zverejnovani tyce - ono embarga na zranitelnosti mame i v "civilizovanem" svete. Nekdy oprava trva i cele mesice (a do te doby to neni verejne), ale soucasne nikdy neni jistota, ze na tu diru pod embargem neprisel jeste nekdo z tech neprilis hodny - nedejboze, jestli ji rovnou nezneuziva. Ne kazdy chodi po svete s bilym kloboukem na hlave, zeano. Tristni dokumentace... ehm, opet - to je vlastnost hromady produktu, ze dokumentace je takova spartanska. To je takovy nepekny industry standard, jedno kam se clovek podiva (vc. i hloupych manpages, kde obcas neni dohromady nic a cloveku nezbyva, nez zacit zkoumat zdrojak).
-
není právě ale riziko i to, že to nejsi schopný posoudit do hloubky nebo zjistit informace? :)
Jo, SW v posledních letech narostl do naprosto absurdních rozměrů, aplikace s sebou táhne 2000 jar souborů, docker image má 8 GB pro frontend, SW typu Informatica zabere 50 GB jen instalačky. Chápu to u her, kde mají textury a grafiku, nechápu to u podobných programů.
Dneska opravdu začínáme pracovat s rizikem, že SW je příliš komplexní na to, aby ho šlo rozumně posuzovat. Za ty roky aspoň vidím, že se konečně i tenhle aspekt zohledňuje.
Embargo na zranitelnost, pokud ještě není opravená je ale něco jiného než nezveřejňování ničeho, co je jen trochu vážné. On Huawei a další čínské společnosti mají opravdu zakázané zveřejňovat zrenitelnosti nečínským společnostem. Naši operátoř se sice kasají, jak Huawei je super levnej a funkční, ale pak na poradách se dost eskaluje a řeší, co vlastně s tím, protože to prakticky znamená, že nejsou schopní sledovat zranitelnosti a jejich opravy a nedokážou to smluvě strčit na třetí stranu.
-
Ale ono se neco nezverejnuje i cilene. Mame tu i primo firmy, co se primo zivi tim ze prodavaji software krom jineho samotnym bezpecnostnim slozkam, jehoz cilem je se nekam prolomit... a to stoji na cem... inu, krom jineho i na nepublikovanych zranitelnostech. Jejich zajmem nebude o zjistenych zranitelnostech mluvit, notabene se zasazovat o jejich opravu. Kaprici si svuj rybnik nevypusti, zejo. Aneb ono dnes muze byt i byznysovym zajmem (i na te "lepsi" strane) zranitelnost nepublikovat vubec... a vydelat na te znalosti jinak. Proc by nekdo delal charitu, kdyz muze trhnout balik jinde.
Cela teze o zverejnovani zranitelnosti stoji na tom, ze vsichni okolo nas jsou ti hodni, kterym jde o nejake obecne blabo. Ale pak tu mame tuhle sedou zonu, ktera se tise prechazi. A ano, smluvni alibismus stylem "hlavne to mit na nekoho hodit" je sice (formalne) pekny, ale merit veci - tedy zda se citliva data do te Ciny (ne)dostanou to jaksi neresi. A problem roste geometrickou radou prave tim, jak software "kyne", kdy si kazdej s sebou tahne privatni sadu knihoven se kterymi to kdysi nekdo ubehal a od te doby se na to i tvurci boji sahnout.
A realita je takova, ze tu mame pruniky do infrastruktur, kde by clovek apriori ocekaval, ze to maji obednene dukladne - MZV, MVCR... je strasne fajn, ze urednik to alibisticky hodi na smluvniho dodavatele, mozna padne i nejaka ta smluvni pokuticka, ale utekly data uz ten Cinan vracet nebude, zeano :D
-
ale tohle dělá třetí strana a ne samotný výrobce. Číně legislativa zakazuje čínským společnostem zveřejňovat vážné a kritické zranitelnosti, ať už ty neopravené, tak i ty opravené. To o čem mluvíš je naprosto diametriálně něco jiného.
Pořád píše dokola to stejné. Podívej se jak třeba zmiňované cisco zveřejňuje zranitelnosti, řekne její číslo, popíše větou o co se jedná (memory overflow whatever), v kterých produktových řadách byla a jaký patch jí opravuje. Tohle není nic, co by mohl nějak efektivně a přímo využít útočník, ale ani tohle ti Huawei nemůže zveřejnit.
Dříve jsi býval v oboru poměrně informovaný, věděl jsi, dnes ale hodně mluvíš a vlastně to vypadá, že s tím už nepracuješ. Pohádky o tom, že si někdo nebude vypouštět rybník není nic jiného než konspirace převlečená v argument.
NIS2 neumožňuje přenést odpovědnost za zranitelnost jen tím, že za to může dodavatel a má smluvní pokutu.
-
To je hezke, ale ona nase legislativa zrovnatak nikomu neprikazuje zname zranitelnosti hlasit vyrobci. Mozna se to drobne lisi - ale vysledek je stejny, koncovy uzivatel se o zranitelnosti nedozvi i v situaci, kdy je aktivne zneuzivana. Rozhodne bych netvrdil, ze je to diametralne jine, dopady jsou stejne.
Rozhodne taky neplati, ze by na Huwaei zadne zranitelnosti neexistovala. Nejaky zakon mozna existuje, ale informace dostupne v praxi jsou. To si fakt nejsou lidi schopni aspon vygooglit neco a jen papouskuji nejake politicky motivovane plky odjinud? :-) Protoze tohle je primarne o politice... ano, muzeme licitovat o tom, jestli je publikovane vse, ale to nevime nikdy a u nikoho.
Takze ano, muzu oponovat i tim, ze ty sam jsi neinformovany a podlehas politicky motivovanym plkum, aniz by sis overoval fakta :-) Lhat se nema - a to ani o nepriteli, protoze to proste smrdi propagandou a s resenim (technicke) bezpecnosti to nic spolecneho nema.
Co se samotneho NIS2 tyce - uz i v EU zaznivaji hlasy mj. ohledne nekonzistenci ve vztahu k dalsim smernicim - aneb uz ted se mluvi o tom, ze nektere veci bude nutne revidovat. Zrovnatak se mluvi o tom, ze je nutne mit politiky v ramci EU harmonizovane, do cehoz progamove NUKIB hazi vidle svymi lokalnimi vymysly, zeano.
-
A co s tím kdo udělá, když se 80% elektroniky mlátí v Číně? Sami jsme si dobrovolně průmysl zlikvidovali a chytré lidi nechali utéct. A ta slavná upozornění jsou na prd, paač tohle je známá věc už dlouho. Stejně tak, že celý svět dostanou na kolena bez války ekonomicky a i naše slavná EU půjde do kopru.
-
tohle je také docela vtipné, protože to není pravda. Čína razí politiku, že cokoliv je v exportováno z Číny, musí mít také čístek "mady in China" ač se to třeba přes Čínu pouze převáží. Elektronika se v Čína masivně montovala, to už dnes také tolik neplatí a rozvíjí se montovny v Indii, Větnamu, Filipínách atd. Infrastruktura, kterou mají ale vybudovanou pro spedici je obrovská.
Čína samozřejmě pořád masivně vyrábí hodně elektroniky a věcí, ale ty veřejně propagovaná čísla jsou nadnesena, jistou dobu jsem to chtěl rozkličkovat a moc se mi to nepodařilo, protože Čína množství importů selektivně tají nebo je nemá tak podrobné jak exporty.
-
Designed in dosad zemi, kterou mas rad, made in China je pomerne oblibene reseni. Z Ciny se sem vozi i auta, byt mame fabriky take v Evrope. A je vtipne, ze ackoliv NUKIB varuje pred cinskymi vozidly, tak treba takove Volvo jim z nejakeho duvodu nevadi (neni v seznamu), i kdyz uz pres deset let ma Volvo cinskeho vlastnika. Ze se v Cine vyrabi i nektere modely BMW (nebo i Tesly) se taky taktne vymlci... :)
-
jo, to máš pravdu, s auty to je velmi vtipné :).
Tesla i BMW se v číně vyrábí pro Čínský trh, nevyváží se nikam daleko. Např. v případě Škodovky (v rámci SAIC Volkswagen) se mohly auta vyráběná v Číně vyvážet jen do konkrétních okolních zemí. Takže ono to není to stejné, i ty auta měla velkou míru odlišností.
-
Řešení vy bylo jen svobodný software a svobodný hardware pro koncové uživatele. A pro stát to můžou být Black Box pro uživatele ale stát by do toho musel vidět. V praxi má každý android do kterého má přístup google a další včetně NSA i čínské firmy včetně čínská vlády.
Jak to řešit pro uživatele je alá stolman. Žádný moderní telefon není plně svobodný včetně Pine phone, fairphone s /e/ či Pure..Možná nějaký tablet. Ale ani s RISC-V to není ideální..
Takže moc možností teď uživatelé nemají..
EU a vláda by mohla leda nějak podpořit nebo vynutit svobodný software a hardware a vymyslet jak zlepšit bezpečnost i tam. Například RedHat bude používat flatpak. Takže by to chtělo mít flatpaky s různými úrovněmi kontroly a mírou rizik. Mít tam nějaké respirační systému autorit i uživatelů a kontrolu aktuálnosti všech knihoven..
Pro distribuci obsahu a komunikaci to čce co nejvíce P2P.
Tedy aby zařízení mohli komunikovat i bez serverů přímo mezi sebou atd..4. 9. 2025, 08:42 editováno autorem komentáře
-
a kdo to svobodně (=zdarma) bude vyvíjet a udržovat?
Android je vesměs také svobodný, problém začne se svobodou být v momentě, kdy chceš integrovat nějaké Google službu, protože dnes zařízení bez napojení a integrace je velmi zpátečnické.
Jenže stolman skončil ve stavu, kdy na svém svobodném zařízení není schopný spoustu věcí dělat, tak to pro něj dělají kamarádi s nesvobodným zařízení.
Souhlasím ale s tím, že situace, kdy máme k dispozici jen komernční mobilní OS a polokomerční v podobě Androidu není zdravá.
-
Cele varovani k FVE je hlavne fakticky ponekud s krizkem po funuse... no co, hlavne ze si urednik udelal carku :) Hlavni boom skoncil, coz potvrzuji i zpravy z firem, ktere tyhle veci realizuji. Nelze ocekavat, ze by lidi ted houfne sli a menili sve existujici instalace. Realne to maji doma lidi, co casto jsou IT nepolibeni a odpovida tomu mj. i to, jak maji nastavenou svou domaci sit... aneb klasika... jeden segment, tam nastrkane vsecko :-) Domacnosti, kde by dochazelo k nejake segmentaci je jak safranu a podobne je to u mnohych SMB. O nejakem sofistikovanejsim firewallu si muzete nechat zdat pekne sny.
ČLÁNKY DO MAILU