Názory k článku Atomová data v zářivém tahu

je jediná odpověď na spekulace, že by snad nějaký důležitý státní "úřad" mohl podcenit bezpečnost ...

Bohužel to takto funguje i v bankách :(
Asi před 3 týdny jsem si zablokoval účet (změna hesla každý rok se podepsala na mé paměti) a když jsem se snažil je na pobočce přesvědčit, ať mi zruší pravidelnou změnu hesla, bylo mi řečeno že to nelze. A že si to heslo mám někam napsat :)))

No nutit uzivatele internetoveho bankovnictvi zmenit si jednou za rok heslo je IMHO rozumne a nikoliv prehnane.
Co je spatneho na tom, si heslo zapsat? Nikdo vas nenuti si ho zapisovat v "plain-text" podobe.
Napriklad ja mam zapsane heslo - Skakal pes pres oves. Z toho moc snadno nevydolujete moje heslo obsahujici velka a mala pismena, cislice a specialni znaky.
A kazdy rok zmenim bud parametr toho stejneho psa (treba hmotnost za pocet stenat), nebo pouziji stejny parametr jineho psa.

Rozhodne nerozumne je vubec v internetovem bankovnictvi pouzivat staticka hesla.

A proto mají mít uživatelé práva jen uživatelů, aby si nemohli nic doinstalovat a nic spouštět pokud to není v adresáři Windows nebo Program Files. Na nový notebook v síti může upozornit monitorovací SW - že se mu tam prohání nějaká nová MAC adresa :)
Nejsem žádný admin-diktátor, ale zmiňované věci (IE jako main browser, Skype, ICQ - original klient, p2p) podle mě nemají na firemní síti co dělat.

no kdyby byli Win s jen uzivatelkymi pravami pouzitelne, tak ok, ale nejsou.

A pak jeste exituje programek \"ntpasswd\", ktery resi problem s lokalnim adminem.

nevim co si o tom clanku mam myslet:

1. nikdo nic nevi - jednalo se vubec hackera (resp. crackera)? nebo to byl jen tah vyborneho manipulatora (jako napr. mintnicka), ktery ke svemu utoku shodou okolnosti pouzil pocitac nebo dokonce telefon?

2. dokazu si velice zive predstavit k cemu by se dal pouzit seznam lidi a jejich osobnich informaci v takovem provozu

3. "reseni" se tomu tak, rika protoze zatim nikdo nic lepsiho nevymyslel. ono to pro bezneho uzivatele je mozna tezko predstavitelne, ale v pripade dodavky softwaru takove organizaci neni jenom program s instalacnim programem typu next, next, finish, ale dodavaji se dalsi sluzby od analyzy potreb zadavatele, prizpusobeni aplikace vcetne integrace s jejich stavajicim "resenim", migrace stavajich systemu, atp. podpory a stejne tak zaruk. to nemluvim o takovych vecech, ze soucasti koupe "reseni" byva i dodavky softwaru tretich stran atp. tady tyto polozky predstavuji podstatnou cast ceny "reseni". pokud mate lepsi napad jak takovyto balik, nazvat budu vam vdecen "reseni" uz je z marketignoveho hlediska docela okoukane.

4. vsechna ta "reseni", ac nejsou pouze siditkem, maji za ukol snizit pravdepodobnost utoky. btw. tady slovo reseni vubec nepatri do uvozovek, protoze pri dodavkach "reseni" do takove organizace musi hw i sw projit spolecnou certifikaci a celkova bezpecnost systemu je dana bezpecnostni nejslabsi slozky (vcetne te lidske)

5. ano bezpecnost muze komplikovat, ale musi se na ni pristoupit za vsech okolnosti. vemte si dodrzovani pravidel silnicniho provozu...klidne si muzete jezdit v aute nepripoutany 200km/h, kdyz jste frajer s nejvetsi pravdepodobnosti skoncite ve skarpe a zabijete se, presto kdyz bude jezdit 50km/h nikdo vam nezaruci, ze vam to auto nikdo neukradne. tato logika je hodne sverazna, ale jako analogie k pocitacove bezpecnosti je myslim postacujici.

> Jenže přílišné soustředění na bezpečnost jí nejen nepomůže, ale zkomplikuje život tomu, kdo se chtěl původně chránit.

nějak mi nedochází ... to, jakože problém vznikl tím, že se v dané agentuře příliš soustředili na bezpečnost?

Napsat si heslo na papirek a ten si dat do penezenky neni az tak spatny napad. I ten nejvetsi blbec vi, jak si ma penezenku hlidat. A i ten nejvetsi blbec pozna, pokud mu penezenku ukradnou.

Je potreba rozlisit hesla na papirku v penezence a hesla na post-itce prilepena na monitoru.

Na odlehčení bych poznamenal, že pravděpodobnost krádeže peněženky je přitom mnohem vyšší než pravděpodobnost krádeže monitoru. Pes aby se v tom vyznal!

No a vznikne nam z toho krasny souboj uzivatele VS admin. Uzivatele bloudi po internetovych forech a tahaji ze svych znalejsich kolegu (obcas adminu) znalosti, jak obejit to ci ono a admini pro zmenu jak to ci ono zakazat aby neprestalo fungovat neco jineho.

Vetsinou prohraje ten admin, protoze nema dostatecne velke paky (jako treba dotycneho vyhodit), uzivatele si vyrobi veci jako http tunely kdovikam, misto aby jim admin trebas rozchodil jabber s ICQ branou.

Osobne to vidim tak, ze pokud ma byt sit takto extremne restriktivni, pak je lepsi ji na internet vubec nepripojovat. Mam totiz jistou osobni zkusenost s velkou nadnarodni korporaci. Na jedne strane absolutne paranoidni pristup na druhe strane, stejna data ktera se takto zabezpecuji se posilaji mailem.

administrátor, CIO, šéf informačních technologií
Druhy a treti termin jsou synonyma, prvni nikoliv. Chapu to pouze jako snahu blysknout se znalosti ciziho vyrazu. Driv byla znakem osviceni nemecky pokrivena huba, posleze rusky, dnes americky. Mam z toho vseho headache a to je sotva deset o'clock.

Jaderne zbrane se nastesti stale pouzivaji jako "odstrasujici prostredek". Ocividne se urednici mylili a mysleli si, ze stejna taktika funguje na Internetu. Nefunguje.

Kdyz mate na serveru nalepku "Protected by federal law", "XYZ SuperActiveUnbreakable Protection" nebo "Don't touch it! Danger of expensive law suits!", nefunguje to stejne jako nalepka "Velky atomovy cvalik" na rakete. :-D

A k cemu je seznam lidi pohybujicich se v okruhu ministerstva energetiky?
a) Muzete si snadno tipovat slabsi mista (lidske exploity)
b) Jednoduse se to tak dela, protoze ikdyby to nemelo zadnou cenu, ma to cenu, protoze nikdo nevi jakou to cenu vlastne ma, jsou vsichni nervozni (mozna teprve udelaji chyby pri pokusu minimalizovat domnele skody - vymenit hardware, software, nahradit lidi, zmenit pravidla) a to za to stoji...

tak o tomhle byla ta glosa preci: \"by fungovaly vsechny sluzby jako doma (IE, Skype, ICQ, p2p)\". Ve firme kde je vse zakazano to samozrejmne zamestnanci obchazeji (tunelovani, sdileni hesel a IP adres, vlastni pripojeni do Internetu) a udelaji tak mnohem vetsi bezpecnotni diry, nez kdyby tyto sluby byly v rozumne mire povolene.

To je snad stará známá věc, že vysoká míra požadované bezpečnosti vede přesně k opaku. Mají-li pracovníci vnucovánu vysokou míru bezpečnosti a přitom není-li zde schopnost míru dodržování pravidel nikterak dohlížet (třeba k tomu není vůle) dojde po čase k tomu, že se bezpečnostní pravidla přestanou dodržovat (protože jsou zdlouhavá a nepohodlná) a bezpečnost je na nule.

Ostatně pan autor zapomněl, že bezpečnost zdaleka netkví jen ve firewallech a podobných serepetičkách, které plní bezesporu důležitou úlohu, nicméně z pohledu celkové bezpečnosti to je úloha jen marginální. To, co je z pohledu bezpečnosti nejdůležitější je definice pravidel bezpečnosti, která obsahují mnohá další opatření (z mnoha dalších oborů a oblastí), a dohled nad jejich dodržováním a vynucováním.

A nakonec: pokud v ČR bude fungovat subjekt, který má právo přístupu k utajovaným skutečnostem, jednou z prvních podmínek dohlížející instituce (NBÚ)a zákona je úplné oddělení počítačů obsahujících chráněné skutečnosti od venkovního světa. Do té doby, než se najde nějaký mamlas, který notebook s utajovanými informacemi zapomene někde v hospodě pokud možno v nezašifrované podobě.

Najít dneska dobreho odbornika na IT je docela problem. A statni urady v CR, ktere se navic musi ridit tabulkami muzou dat takovemu cloveku jen takovy plat, za ktery jim brzy utece nebo k nim vubec neprijde. Dalsim problemem jsou sefove, kteri chteji, aby fungovaly vsechny sluzby jako doma (IE, Skype, ICQ, p2p) a vubec jim nevadi bezpecnostni rizika.

"A uz vubec ne internet exploderem" ...tohle mela byt nejaka populisticka, narazka abyste byl "in"? V clanku neni ani pul slova o platforme, na ktere bezela databaze, ze ktere dotycna osoba informace odcizila. Kazdopadne souhlasim s tim, ze systemy s takto ciltivymi udaji by pro jistotu nemely mit konektivitu do Internetu vubec. Avsak pokud ji maji, pak je potencialnimu utocnikovi zcela jedno, na jake jsou provozovany platforme (a s jakymi aplikacemi), pokud tyto systemy spravuje clovek, ktery neni tak zcela na svem miste, coz bohuzel neni neobvykly obrazek.