Názory k článku
Útočníci napadli Správu služeb hlavního města Prahy. Stáhli jsme 200 GB dat, říkají

Pred x lety jsem nasel zranitelnosti na ruznych systemech Prahy, vcetne spravy sluzeb. Upozornil jsem je na zranitelnosti a po nejake dobe jsem se podival na ty same zranitelnosti a upozornil je znovu. Ani po x mesicich od druheho upozorneni se nic nestalo. Takze za me kdyz je nekdo lempl tak si nic jineho nezaslouzi.

Tak nějak si vzpomínám, že Praze šéfoval jakýsi Dr. HŘIB. A toho tam poslali Piráti, kteří se tváří, že IT je jejich rybník. Hledal bych tu lidskou chybu někde mezi jeho kamarády, co je město zaměstnává.

To je úplně marný oni to daj do kupy jen papírově aby to bylo "NÚKIB NIS" certifikovaný, ale bude to pořád stejná srágora.
Cicada3301 a Qilin se specializují na tyhle "enterprise" odpady postavené na Windows a prochází primárně přes AD na celou strukturu. Popřípadně VMWare, prostě na garážnická řešení
Hlavní problém prostě je, že většina IT systémů v ČR je prostě odpad. kde jen krouží firmy a nabízejí "zázračné krabice", které to magicky vyřeší. Neviděl jsem jedinou firmu v ČR, která by nenabízela bezpečnostně ohavná řešení. Hlavně pak začnou blekotat o firewalech, antivirech a jiných "super" analyzátorech, které ty žumpy ochrání.

18. 4. 2025, 18:27 editováno autorem komentáře

Nebylo by lepší to nahlásit třeba NÚKIBu? A nebo jinak - dám jim ultimátum, aby chybu k nějakému datu opravili a pokud tak neučiní, bude zranitelnost zveřejněna. Myslím, že by jinak kmitali. ;-) A nebo taky ne.

Psssst, to se tady nesmí říkat, už mi to 3x smazali.

Říkali Hřib s Bartošem? :-P

Zkusím to taky. Pirátští pseudoodborníci. Ale ctižádost jim nechybí.

Zrovna u magistrátní organizace, jako je SSHMP (bývalý SEZAM) bych se rozpočtů nebál, naopak. Takže to spíše bude o tom lemplovství, nebo že někdo prostě někde něco podělal. (Mimochodem bude taky zveřejněno kdo a s jakým potrestáním? Náprava přeci jen bude stát velký balík peněz daňových poplatníků. O uniklých datech ani nemluvim.)
Stačí si vzpomenout na děravost zmiňovaného magistrátního radiosystému tetra, který je v provozu již tolik let a teprve letos po mnoha letech se implementuje vyšší úroveň zabezpečení přenosu. Videa z odposlechnutých relací nebo "napíchnutých" informačních dopravních tabulí není těžké dohledat na Ytb. Škoda, zrovna u největšího města v ČR bych čekal špičkové a ukázkové IT zabezpečení.

kolik firem jsi v ČR viděl? :) Já jen, že není pravděpodobné, že tady žádná taková není.

Hlavně celé tohle paradigma enterprise systému je postavené na tom, že to jednou nainstaluješ, nastavíš a už na to nikdy nešaháš, tedy pokud si neobjednáš úpravy. Nějaké pravidelné aktualizaci, optimalizace či starání se o ten systém (a s tím i spojená znalost toho systému) je asi nežádoucí.

Města a jejich firmy jsou obecně na tom velmi špatně, malé rozpočty, infrastruktura se lepí z různých krabic nezřídka servery běží přímo v kancelářích. Nějaké aktivity soukromých firem s tím obcím pomoc tady byly, ale výsledek není vidět.

Protože je to blábol.

Ja takhle nasel zranitelnost nekde mezi ISDS a portalem obcana. A s nahlasenim jsem dopadl uplne stejne. Portal obcana se postaral jen o to, abych tu chybu nemohl dal zkouset na svem uctu a posta jako provozovatel ISDS totalni ignorace.

že tys ten formulář nikdy nezkoušel? :) Pokud hlásíš incident podle § 32 vyhlášky č. 82/2018 Sb. musíš ho hlásit jménem organizace, hlášení třetí osoby je odmítnuto. V systému zároveň jsou jen konkrétní organizace.

Nalezená zranitelnost ani není sama o sobě bezpečnostním incidentem. Pokud by náhoda bezpečnostním incidentem byla a ty jsi byl původcem indicentu, mohl jsi se dopustit trestného činu.

Ano, tohle se děje poměrně běžně ve světě, zpravidla se jede podle amerického práva a ty registry spravují americké společnosti (CVE a další). Bohužel u nás jsme zatím takoví zpátečnický. Při hledání zranitelností nesmíš na systém aktivně útočit, zranitelnost můžeš leda odpozorovat z běžného provozu a používání, nesmíš překročit žádné bezpečností bariéry (a to i ty pouze písemné). Prakticky je u nás nebezpečné tohle dělat bez předchozí domluvy s provozovatelem. Spoustu provozovatelů je proti tobě jako domnělému útočníkovi dost agresivní, rádi si asi hledají obětního beránka a jakmile výjde z anonymity a příhlásíš se jim, můžeš mít problém. S policií jsem to řešil třeba už tak u 20 případů, kdy jsem musel podávat vysvětlení, dostal jsem i předžalobní výzvu o náhradu škody od naší pošty (údajně museli odstavit systém, aby to prověřili, lol). K soudu ale nikdy nic nešlo, taky v podstatě hlásím jen ty zjevné věci a nikam se neprolamuji.

Všimni si, že u nás prakticky neexistují bounty programy, kdy se za nahlášené zranitelnosti vyplácí peníze.

To už nevypadá úplně na výjimky... :D
Před 15+ lety jsem opakovaně hlásil chybu na RZP. Systém se od té doby x klát změnil, chyba tam dodnes je.

To aby si člověk někdy raději nechal objev nějaké zranitelnosti pro sebe než s tím mít pak problémy. To, co organizacím hlásím já, jsou doslova prkotiny, za které by měl maximálně dostat za uši jejich správce, např. chybný SPF záznam, prošlý certifikát nebo trable s DKIM/DMARC... :)

a jak se to prosímtě hlásí NÚKIBu? :)

Tvoje doporučení lze u nás klasifikovat jako trestný čin vydírání (§ 175; osobní zkušenost, bohužel).

Nahlásil bych to jako kybernetický incident - https://nukib.gov.cz/cs/kontakty/hlaseni-incidentu/ a pokud by se tím nikdo nezabýval, asi je mi to taky jedno. ;-) V práci často reportuju ostatním správcům poštovních/webových serverů chyby, na které v jejich systémech narážím a většina mi poděkuje, ale třeba nedávno jedna firmy absolutně ignorace. Chybu tam mají dodnes.

Nejednou jsem na internetech četl, že když někdo objevil zranitelnost v systému, informoval o tom dotyčného provozovatele/tvůr­ce s tím, že současně bylo sděleno, že bude tato informace za čas zveřejněna. Možná jde jen o dobrou slovní formulaci, aby se to nedalo brát jako vydírání? Něco jako "sepisuju o tom článek, který vyjde ode dneška za měsíc" - prošlo by to? :-)

v ČR skoro jo, většina společností reaguje v pořádku a slušně, ale jsou jednotky, kteří naprosto tomu nerozumí a myslí si, že se jim tam vloupeš, abys něco mohl nahlásit.

To já většinou už hlásím RCE, otevřené rozhraní, chybné ošetření vstupu, dostupné služby na veřejných wifi či otevřená rozhraní ve vnitřní síti. Máme vybudovanou síť sond a odchytávám některé věci na různých privátních skupinách, tam se občas někdo pochlubí s nějakou ukázkou, tak to zase hlásím k těm společnostem, ale pak s tím mám oplétačky já.

Klasika, dokud se nic nestane, tak na bezpečnost zdroje (peníze) nejsou. S bezpečností se ve většině organizací (státní nevyjímaje, ale existují výjimky) něco děje až potom, co se něco stane (útok nebo nová legislativa ;)), do té doby...

22. 4. 2025, 08:29 editováno autorem komentáře

Ne, protože jsi nedodal žádný důkaz.