Názory k článku Existuje „červené tlačítko“, kterým nám umí Čína vypnout sítě?

To je logika typu kdyby Rusko mělo jaderné zbraně, dávno by je použilo.
Pokud by Čína hypotetické červené tlačítko použila, tak možná bude pár let na koni, ale izoluje se a přijde o veškerý business, dost možná to eskaluje ve válečný konflikt, prostě nemá důvod ho použít, i kdyby existovalo.

6. 2. 2023, 07:27 editováno autorem komentáře

> Pokud by Čína hypotetické červené tlačítko použila (...) dost možná to eskaluje ve válečný konflikt, prostě nemá důvod ho použít, ...

A co když by válečný konflikt už probíhal? Tak by nebylo kam eskalovat a Čína by ho klidně použít mohla a měla by k tomu dobrý důvod.

Pokud dodavatelé mohou dodávat do zařízení aktualizace (což je dost nutné), tak je celé slavné "pečlivé" laboratorní testování naprosto k ničemu. Dodavatel dodá na testy zařízení, které ho nemá / má vypnuté a doplní / povolí ho až nějakým updatem v situaci, kdy bude na spadnutí konflikt, ve kterém ho bude chtít použít.

Navíc to nemusí být "tlačítko na povel" , může to být například ve formě že když zařízení nedostane pravidelný update, tak přestane fungovat.

To ovšem jen za předpokladu, že se záplaty dávají hned a rovnou do produkčního prostředí. Což se obvykle ve společnostech, kde jen trochu dbají na bezpečnost a stabilitu, neděje.

Tohle je totální nesmysl. Vem si 2 stejné zařízení, v jednom bude FW nějak reagovat na speciálně upravený paket, ve druhém ne. Jak bys chtěl určit ve kterém je takto obohacený fw, když se to aktivuje až tím upraveným paketem? Můžeš to testovat roky a vůbec na nic nepřijdeš. Může to být taky přímo v hw / mikrokontroléru ze kterých celý fw ani nedostaneš, abys ho mohl analyzovat.

tyto dva odstavce mě přesvědčily, že to operátoři "mají" plně pod kontrolou

Na bájné „červené tlačítko“ nevěří žádný z velkých operátorů. „Pokud existuje, mají ho i Američané, Ericsson, Nokia a další,“ říká viceprezident Vodafonu pro bezpečnost Jan Klouda.

„I kdyby někde v Číně ono červené tlačítko existovalo, máme síť postavenou tak, že by potenciální následky byly zmírněny na tu úroveň, že by nebyly závažné,“ navázal technický ředitel O2 Jan Hruška. „Červené tlačítko neexistuje. Kdyby bylo, máme to pod kontrolou,“ doplnil s tím, že krví to ale nepodepíše.

Tak zrovna O2/CETIN jsou v security tak mimo, ze toto jsou jen naproste blaboly. Jejich vlastni interni aplikace jsou/byly otevrene do sveta bez autorizace.

Jenze to cervene tlacitko muze byt vhodne zmrseny paket - kdy po jeho pruchodu se zarizeni v lepsim pripade restartuje, v horsim zasekne zcela. To nejsou zadne scifi - treba staricke Smitkostroje (10GHz radia) se kousaly, kdyz pres ne (v data plane) prosel urcity typ VoIP provozu. Jasne, tehdy to byl jen bug ve firmware. A samozrejme podobne veci se v zadnem labu podchytit nedaji - kdyz nevite predem, co hledat, to je takova metoda pokus-omyl s nejistym vysledkem. A i dnes se u vendoru objevuji chyby, co dokazou sestrelit drahy router jen tim, ze pres ne projde nejaky (magicky?) paket. A vesmes se na ne prijde az v provozu a kdyz takove pady nejsou caste, tak se i blbe odhaluji...

Ono oprit bezpecnost infrastruktury jen o to, ze mam schovany control-plane (aka management zarizeni) nestaci. Bohuzel ta "chlacholiva" argumentace je presne o tomto. Operatori se timto snazi obhajit nakup levnejsi (cenove dumpovane) technologie. Jenze ty zadni vratka nemusi byt jen o tom, ze se nekdo dostane o zarizeni, tak jak se to z nekterych mist podava. Ono bohate staci, kdyz ma zpusob, jak znemoznit komunikaci. Bez spojeni neni veleni, ze?

A od vyrobcu nemate zdrojaky, ktere byste slo zauditovat. Nemate moznost ty zdrojaky vzit a sam si sestavit funkcni firmware. Protoze jedine tak je jistota, ze v kodu neni neco, co by mohlo eventuelne uskodit. Pokud tuhle moznost nemam, je to jen a pouze o duvere v konkretniho dodavatele. Bud vyrobci verim, ze me v krizovy moment nepodrazi a nebo ne.

off topic, ale potěšila mě vzpomínka na bratry Smítky - kdysi jsem dělal ve firmě, kde jsme pro ně tyhle věci osazovali:-)

daňoví podvodníci

https://justice.cz/documents/14569/1865916/41T_2_2017_238/ac71c725-562f-404b-a0d1-1458588a907f

jen to dnes už nemusí být v FW, ale přímo zadrátované, ať už jde o bugy myšlené či nemyšlené.

Dělal jste někdy code review? V nějakém složitém software? Kolik řádků jste schopen zkontrolovat za hodinu? Je většinou rychlejší něco naprogramovat, než to zrevidovat. Co chci říct - u trochu složitějšího software je vám i zdrojový kód málo platný. Nemáte kapacitu jej celý pochopit sám, vždy budete muset někomu dát důvěru - programátorovi, kontrole kvality, dodavatelskému řetězci. Operátoři nemají kapacitu ověřovat zdrojáky všeho, co používají. Leda by založili agenturu, která by to dělala za ně. Ale pak se zpět vracíte k původnímu problému - budete důvěřovat té agentuře?

"... omylem poskytl verzi zařízení, která není určená pro trhy v Evropské unii."
Typičtí Číňané, nešpehování jen za příplatek.

Škoda, že se redaktor nezeptal jak se v labu testuje spící kód, aktivovaný třeba paketem s definovanou částí MAC adresy z kontrolovaného rozsahu (což je nejhloupější co mne napadlo) a následným porušení FW po určité době.

Pripadne s obsahem ktery je podepsany nejakym certifikatem.

Máte pravdu, žádné červené tlačítko není, ve skutečnosti je totiž zelené s modrými puntíky a není to tlačítko, ale pedál...

Těžko očekávat, že čínské fabriky budou mít nějaký konkrétní přístroj, kterým by mohli odstavit sítě klientů. Ale jejich modus operandi je z principu děravý software, nemluvě o mizerné kvalitě hardware, pokud jde o low-end. A tyto bezpečnostní díry lze pak velmi efektivně využít k případnému útoku.

Je pochopitelně diskutabilní obviňovat Čínu z toho, že děravý SW vyrábí právě s cílem mít backdoor k dispozici, tedy že bugy vytváří záměrně. Ve velkém množství případů jde nejspíš jen o mizernou práci nekvalifikovaných a špatně placených zaměstnanců. Na druhou stranu jim to můžeme věřit stejně dobře, jako to, že horkovzdušný balon s technikou rozměru spřažené tramvajové soupravy, který měl technologii řízení směru letu, se "omylem" zatoulal nad lokality s vojenskými základnami jaderného zaměření. A myslím že takovou důvěru nepodpoří ani fakt, že dokud to plulo po obloze, tak se nic nedělo, ale jakmile to Američani sundali a dostali se k možnosti zkoumat trosky, najednou vznáší Čína ostré námitky...

Čili celé to je jedna velká spekulace z obou stran, každopádně byť "omylem" otevřený port používaný policií totalitního státu s praxí v genocidě bych rozhodně nepovažoval za projev důvěryhodné spolupráce.

A hlavně tu chybí ta nejdůležitější otázka: opravdu nám vyhovuje tvářit se jako kultivovaní a ekologičtí Evropané a pak škodit vlastní ekonomice, když místo vlastní výroby za férových sociálních i ekologických podmínek raději nakupujeme za dumpingové ceny od totalitního státu, který odmítá jakékoliv ekologické dohody a cenu práce snižuje zaměstnáváním dětí a politických vězňů bez férové mzdy?

Miliarda lidí dokáže ve výsledku více, než 10 / 450 milionů, pokud beru ČR / Evropu. Pokud nechci snižovat životní úroveň, tak logicky jdu cestou specializace. A čím více jsme specializovaní, tím více se musíme smířit s tím, že některé činnosti prostě neumíme. Podle mě je cestou jedině budovat maximální globální provázanost, aby se nikomu nevyplatila možná izolace.

Pokud se snažím o nezávislost, tak se ochuzuji o schopnosti lidí, kteří žijí mimo můj “nezávislý” prostor.

Když už, více bych se obával izolace Tchaj-wan ze strany Číny (jednotná Čína) a nedostatku čipů z důvodu ... (doplňte si sami), jako odveta.

Ono je to celé nepochopení. Taková skrytá funkce nemusí nutně znamenat že má nějaká cizí nepřátelská vláda červené tlačítko, takovou skrytou funkci tam může vložit libovolný pracovník, podílející se na vývoji, produkci, nebo jak bylo i zde v diskuzi uvedeno, na aktualizacích. Buď tedy záměrně, nebo omylem, náhodou, přehlédnutím. Což se může stávat a stává i u západních výrobků.
Ale to o čem od začátku varoval třeba náš NÚKIB jako bezpečnostní varování - je pro konkrétního provozovatele té které služby musí udělat bezpečnostní analýzu, jak se v jeho případě, na jeho technice a celkové technologické infrastruktuře může ta která chyba projevit, a jak jí může včas detekovat a eliminovat, aby mu to způsobilo co nejmenší ztráty.. Že bych dal takový příklad, dneska měla výpadky jista naše nejmenovaná banka, a ani se neobtěžovala to sdělit klientům, prostě až se to opraví, tak to zase půjde, klienti prostě počkaj..:)))))

Mě spíš mrzí, že T-Mobile a O2 nabízí různé 4G a 5G modemy od ZTE a Huawei ale nejde pomalu v nich nic pořádně nastavit, ani pořádně sledovat provoz ve vnitřní síti.

To, že "následně dorazila aktualizace, která posílání dat do Číny zamezila" ve mně vyvolává otázku, jestli se takové testy dělají před každou aktualizací softwaru; nebo jestli se taková věc dá odhalit v normálním provozu; nebo jestli ta aktualizace jenom nezměnila periodu posílání nebo okolnosti, za kterých se data posílají.

To se taky kdysi říkalo, že přece Rusko nebude z ropy a plynu dělat zbraň, vždyť by byli sami proti sobě... No a už rok žijeme ve světě, kde se přesně tohle děje.

Diktatury totiž nejsou racionální.

Nemohl byste Vaše myšlenky trochu rozvést? Někdo ideologicky méně kovaný by totiž mohl být zmaten, mohl by dokonce podlehnout dojmu (fuj, do pekla s ním!), že Rusko by plyn i ropu klidně dodávalo, nebýt sankcí a zničených plynovodů.

Rusko nedodávalo plyn už od roku 2021 a i předtím byly případy, kdy plynem vydíralo (minimálně si vzpomínám na Moldávii, ale nebyla v tom sama). Možná jste si toho nevšiml, ale to je právě jeden z důvodů, proč bylo proti Gazpromu zahájeno několik arbitráží (od nás ČEZ, další od jiných firem z Německa či Polska).

Za SVÝCH podmínek a cen by jistě dodávalo rádo, ale zase nebudeme hloupí a nebudeme Rusku platit jeho vyhlazovací válku proti Ukrajině, že.

Ohledně Nord Streamu - jsou indicie, že to udělalo Rusko právě aby se vyhnulo sankcím za neplnění smluv, které neplnilo v rámci přípravy na válku.

Myslím, že to není zase tak komplikované.

Zapomněl jste dodat některé „drobnosti“. Že by Rusko plyn i ropu klidně dodávalo, ovšem jen za splnění podmínek, které nemají nic společného s technologiemi – jsou to podmínky upevňující geopolitickou moc Ruska. Že ty plynovody zničilo samo Rusko. Chápu, že se vám tyhle věci do vaší proputinovské ideologie nehodí, ale bez nich není obraz světa kompletní.