Názory k článku Pardubický kraj si postavil síť na technologiích od Huawei a zkouší to utajit

Ne, nebude to konec kauzy
https://pardubicky.pirati.cz/aktuality/je-huawei-bezpecnostni-hrozbou-pro-pardubicky-kraj/

Tady bych spis videl jiny problem ... kolik prvku zrovna treba teto provenience v CR asi tak bude v provozu ... A kdyz reknu ze 0, tak to bude v pomeru k ostatnim celkem relevantni cislo, nemyslite?

Zatimco kdyz vam nekdo nabidne Cisco, tak vite ze to bude drahe, ale vite, ze jich kolem bezi hromada, a kdyz vam nabidne Huawei, tak i kdyz o tom nevite skoro nic, tak vite, ze to pouzivaji mobilni opove, takze to zas tak spatne byt nemuze.

A kdyz to rozeberete, tak mozna zjistite, ze to je exaktne totez, jen s jinym logem na krabici.

Ono zajímavý je i pohled do NIS2, kdy nemocnice nejsou v přísnější kategorii a tak i vydané opatření od NUKIB, nebude znamenat automatický zákaz dodávek.

Oni to tedy umí i jiní... Tady 48xSFP+ (10 Gbps) a 8xQSFP28 (100 Gbps) https://www.fs.com/products/115385.html na dostřel je podobný https://www.fs.com/products/110478.html pro datacentra. Obojí je tzv. ceník...

Ta bezpečnost je nepříjemná, ale OOB management port bych do internetu a ani LAN pro běžná zařízení nevystavoval asi na žádném switchi, ani Cisco, ani Juniper. Obecně je software v síťových prvcích dost bastl i u renomovaných firem a věřit čemukoliv bez testu je dost odvážné. Takže se to schovává za firewall do speciální management VLAN nebo dokonce zcela separé fyzické sítě, aby to bylo skutečně nezávislé a tedy skutečně Out Of Band.

Máme jen tohle: https://www.pardubickykraj.cz/vybory-zpk
A silně pochybují, že by v roce 2017 ten výbor existoval

Zajimave, ze jeho existenci minimalne v roce 2017 kraj sam i zminil (strana 154). A predpokladam, ze vyrok existenci daneho vyboru cerpal autor clanku ze zamitavych vyjadreni poskytnutych samotnym krajem. Ostatne, casem by se to asi melo objevit i na webu. Kazdopadne sdeleni o neexistenci predmetneho vyboru je... zajimave :-)

Akorát, že Pardubický kraj žádný takový výbor nemá. A Výbor pro digitalizaci, informatiku a eGoverment žádnou informaci o dodavateli také nedostal. Protože zakázka byla v kompetenci rady, a to nám nedávají.

Problém Huawei je bohužel více politický než technický.

V případě 5G vnímám však technický problém na straně SDR ( Software Defined Radio). Tam lze zakomponovat věci vůči, kterým není ochrany pomocí dalších prvků.

tak nevím nešlo by někam zajet do nemocnice, skoro bych se vsadil, že na chodbě najdete živou zásuvku, nebo rack se skleněnými dveřmi. V nejhorším případě z nějakého uživatele nějak vymámit MAC...
A máte odpověď. BTW podle toho jak znám jak probíhá obměna IT ve státním sektoru jim většina těch nakoupených krámu bude několik roků hnít ve skříních, protože buď to nebylo ve smlouvě nebo to měli udělat vlastníma silama a nebo se na to dodatel vykašlal a nikdo to po něm nepožadoval....

CC je ryze technická a velmi certifikace. A teoreticky může projít certifikací i zařízení se známými backdoory. Má svůj význam, ale rozhodně neřeší problém typu Huawei.

Psal jsem jiné země, takže podívejme se na španielský nukib. Který certifikuje Huawei produkty a uděluje jim stupeň CC EAL 4+, Mimochodem dle mezinárodní smlouvy tento certifikát uznává i NUKIB. Náš zákon však předpokládá výslovný souhlas NUKIB ke každému systému zvlášť.

Opatrně na pojmy, myslím, že Vaše "tajné" asi nebude to opravdové tajné ve smyslu zákona 412.

Jsou dvě cesty jak se dostat ke všemu.

První je jako účastník po skončení zadávacího řízení tedy po podpisu smlouvy požádat o nahlédnutí do spisu.

Druhý podat námitku na UOHS a i když uchazeč označení něco jako tajné, tak vás do toho UOHS pustí pouze vám nedovolí si to okopírovat a musí te si to pouze zapamatovat v hlavě. (Nesmíte mít ani tužku a papír)

Ano typické opisování produkt sheetů a pozná se tím, že někdo jen opisuje hodnoty, které ani pro velikost daného zadavatele nemají smysl. Např. velikos MAC tabulky :-) Případně nějaký výrobce má nestndartní velikost jumbo frame a on ji tam napíše ihned víme na koho je to napsané :-)

Nejlepší fór je když někdo napíše v parametrech požadovaných "/" v product sheetu to znamená, že umí víc. V případě požadavků na funkci to znamená v překladu "nebo", takže nemusím plnit vše, ale jen pouze jednu věc z výčtu :-)

Příklad pokud je v požadavcích požadavek na Wireles LAN 802.11 a/b/g/n/ac/ax, tak to neznamená, že musí umět všechny stačí jedna z nich.

Máte pravdu, pokud se podíváte po evropě tak zjistíme, že jiné země EU v čase po vydání varování NUKIB vydali huawei zařízením bezpečnostní certifikát pro využití v utajovaných systémech.

Tuhle nebo podobnou povinnost mají vůči svým vládám firmy či instituce na celém světě. Někde na to mají zákony, jinde se vydávají doporučení.

Jestli nebude drobny rozdil v tom, kdo pro to pise firmware, ze? ;-)

Je třeba rozlišovat mezi Čínou (Čínskou republikou, Tchajwanem) a Čínou (Čínskou lidovou republikou). Třeba Apple se vyrábí spíš v té první, ale kompletuje se v té druhé. Což není ideální, ale je to lepší, než kdyby to bylo opačně.

Ano, přesně tak to je. Ale místní ČínoBijce to stejné nepresvedci. Ale, že příspěvek napíší na IBM, pardon Lenovu či jabku co ho vyrobil číňan, to je v pohodě.

Jasne, ono kdyz ma cinska firma zakonnou povinnost spolupracovat s tamnimi tajnymi sluzbami (o autoritarskem vedeni zeme nemluve), tak je to zcela bez rizika... a ted poprosim tu o cerveny karkulce... :-)

Samozrejme vsechno jde, kdyz se chce. Jenom nekdy se proste nechce / je pohodlnejsi rict, ze to nejde, nez tomu venovat patricny cas. Jenze ono i tady je fajn veci nazyvat pravym jmenem. Nejde to vyresit a ekonomicky se nevyplati to resit (coz je objektivne pochopitelne, ani ten cas neni zadarmo) jsou dva ruzne stavy.

Ale vůbec nic neobhajuju, jen jste to nepochopil. Reagoval jsem na vaše obecné fráze. A že to vůbec není o veřejném sektoru, protože v enterprise sektoru to je ještě složitější. Zrovna síťové prvky jsou triviální, často stačí jen RFI a pak je koupit napřímo. Ale napsat RFP dle kvalitativních kritérií na dodávku systémové celku je někdy až nereálné a těch důvodů je poměrně hodně.

Nezapomeňte na ono stupňování nebezpečnosti:
1) nepřítel,
2) úhlavní nepřítel
3) přítel nejvěrnější.

Ale mohlo by být i hůř: představme si, kdyby Pardubický kraj nakupoval technologie třeba od našeho českého miliardáře Dědka z Jablotronu - tedy toho pána, který svým zákazníkům vypíná výrobky na základě svého politického názoru :-)

Komentuju Vase vystupovani, kdy tu defacto obhajujete slendrian ve verejnem sektoru. Co cekate? ;-) Vsechno rozhodne neznam, to jste si tam podsunul vy sam. Ale zrovna kolem vyberek sitovych prvku jsem se kdysi davno motal a to, jak to chodi v prostredi zakazek pro erar jsem si toho uzil v minulosti dost.

A vy fakt neumite cist ;-) Ja rikal neco, ne vsechno. Nektere veci jinak nez tak, ze si na zarizeni opravdu sahnete ani nezjistite. A situace, kdy vyrobce neco na papire slibuje ale pak to v praxi moc nefunguje jsou zrovna tady pomerne caste - a mj. pri vyplnovani tech tabulek do vyberek se neresi takove detaily, ze nektere funkce zaraz pouzit ani nejde...

Samozrejme to nikdo neresi, protoze vsem zucastnenym status quo vlastne vyhovuje.

Problem konglomeratu nekolika jazyku opravdu neni problem jen u Cisca, na ten problem narazite u mnohych slozitejsich a dele vyvijeneho produktu. A to vc. firem, co vyviji sve reseni primo v Cesku... treba takovy Flowmon (drive InveaTech).

S tou extremni slozitosti jde souhlasit, bohuzel takova je uz doba a opet to nejde vztahnout jen k jednomu konkretnimu vendoru.

Radsi budu sdilet informace se zapadnim pritelem nez s vychodnim nepritelem.

zrovna tohle jsou věci, které se v těch zdrojákách dají hledat dobře, ale zadrátované přístupové údaje je obecný problém úplně všude.

Cisco zdrojáky je dvougenerační konglomerát několika jazyků, od AMS po javu, k tomu tam jsou integrované hodně rozsáhlé open source projekty, část věcí je v integrovaných obvodech, tam tě ani nepustí.

Systém, který je takhle extrémně komplexní nemůže být nikdy bezpečný.

Vy fakt máte úplně mylné představy, jak to funguje. Dokumentace rozhodně v takových případech nestačí.

A v čem je to ohraná písnička, když je to stále pravda? Platí to minimálně 20 let, fakticky ho za celou dobu nikdo neřešil a tak se problém spíše prohlubuje, než že by se zmenšoval.

Takže jasně, můžeme si vymýšlet, co všechno a jak by měl stát dělat, ale dokud tam nebudou lidi schopni to alespoň pochopit, co se po nich požaduje, tak se nikam neposuneme.

Jsem zapomněl, že reaguji na zdejšího brouka pytlíka, který tady leží v diskuzích a dokazuje všem, jak všechno zná a všechno ví. Stačí jen ten nesmysl, že jsem v publicu, až na to, že vůbec. Není nic víc vzdálenějšího realitě, ale to těžko vysvětlovat někomu, kdo má pocít, že ví všechno nejlépe. Škoda slov.

Krasny abstraktni hate, ze ktereho si nikdo neoveri nic :-) Aneb proc nam nereknete jmeno produktu, pripadne i jmeno partnera? ;-)

Nevím, jestli alibismus je to správné slovo. Když to stát nechce, tak to má zakázat a ne nedoporučovat. Kraj hospodaří s nějakým rozpočtem a když ušetří na "neviditelných" technologiích, tak si může dovolit něco, co vidět je a to jsou kladné body do voleb. Navíc když už něco mají postaveného na Huawei, tak mají i lidi, co to umí. Neříkám, že se mi tato strategie libí, ale docela chápu, proč to dělají.

Jiste, a proto oficielni parner cisco pri dodavce shanel po vsech certech a dablech, jak se ma dostat k tomu, aby ty dodavane switche patchnul na aktualni verzi. A neumel mu poradit nikdo, ani primo z cisco.

Ano, duveryhodnost cisco je v tomto ohledu presne nulova. Protoze jak sem psal, vubec neslo o chyby, ale opakovane vkladani zadnich vratek. Tedy umyslne jednani.

U HP si aktualizaci proste stahnu na webu, divne ze? Specielne kdyz sem si u nich koupil za par set tisic drobnych ...

Tak neco zjistite uz z dokumentace, ktera casto byva i verejne dohledatelna.

A to, ze si verejny sektor neumi zaplatit kvalifikovane lidi je uz takova trapne ohrana pisnicka. Toliko k te vasi otazce "kdo by to delal".

Zakon o verejnych zakazkach tu v ruznych mutacich mame cca od roku 1995. To, ze se to na uradech dodnes za tech skoro tricet let nenaucili do te miry, ze by zpochybneni vyberovych rizeni u UOHS neuspelo je jen dalsim dokladem nekvality prace uredniku, ze? ;-)

Vzhledem k tomu, ze jsem par takovych vyberek videl me neucte znat, jak to chodi. Vcetne toho, ze se byla snaha do tech dlouhych tabulek nekam propasovavalo "neco", co zarucene nikdo krome jednoho nema. Ostatne, obcas tohle resi i UOHS.

Podle reakci nicmene soudim, ze jste plkal ze statni spravy, co nas tu bude presvedcovat o tom, jak je to tezky udelat... to je cinnost, ve ktere statni urednici vzdy vynikali ;-)

Diskuze je samozrejme obecna. Zadavaci dokumentace se odviji od konkretniho projektu... a tezko vam tu v par radcich komentaru nekdo vystreli kompletni zadavaci dokumentaci.

Opět moc pěkná teorie, ovšem v praxi téměř nerealizovatelná. Dopadlo by to tak, že by všichni dodavatelé tvrdili, že jejich zařízení splňují všechy požadavky a mají ještě něco navíc. Jak byste ověřoval pravdivost těch tvrzení? Nechal si dodat vzorky a testoval je? Kdo by to na tom kraji měl dělat - tamní běžní zaměstnanci? Některá RFC nejsou jednoduchá a kromě toho existují jiné, důležitější standardy, třeba IEEE.
Nakonec někoho vyberete, a poražený se bude odvolávat, nebo protlačí pochybovačný článek třeba sem na Lupu, viz ten o satelitním spojení pro armádu před nějakou dobou.
Úder může přijít i z jiné strany, může být zpochybněn zadání výběrového řízení (třeba proč tato RFC a ne jiná, atd.).
Pochopitelně jiná situace je u opravdu velikých zakázek za miliardy, to ale asi není případ onoho kraje.

Zase jen obecné fráze míchající páte přes deváte. Sepsání takhle banálního zadání na síťový prvek umí každý a v privátu se tohle ani moc neřeší nějakým výběrkem, stačí na to rfi. Ale komplexní výběrka takhle vůbec nevypadají. Ten problém při soutěžení na kvalitativní podmínky je úplně někde jinde a vůbec to není o žádných "marketingových terminologiích", ale je ve složité objektivizaci těch podmínek a vytvoření sjednoceného hodnotícího frameworku pro všechny části dodávky. To není vůbec jednoduché.

Problematicke muzou byt i produkty, ktere ziskali v ramci nejakych akvizic (sam pamatuju veci typu, ze v koupene veci byly natvrdo zadratovane root credentials). A nemusi to byt nutne zamysleny backdoor - staci diletant, co bezpecnost vubec neresi, kdyz neco dela a nebo to dela s tim ze to se "casem doresi"... Ostatne ono to bylo videt i u slavneho hackatonu k dalnicnim znamkam - kdy se "doufalo", ze se to nejak osefuje v prubehu a pak jim z toho utikali data. Bezpecnost musi byt integralni soucasti uz ve fazi navrhu produktu, nejde ji dobastlit dodatecne... akorat to spousta vyvojaru resit nechce.

Cisco několika zákazníkům v cz zdrojáky poskytlo v rámci jejich TSC, musíš ale k nim, zdrojáky ti nepošlou, stejně tak je možné si v jejich prostředí zkompilovat FW. Huawei to největšímu zákazníkovi u nás slibuje už 4 roky a zatím nic.

Cisco těch backdoorů mělo požehnaně, ale spousty z nich spíše vypadá jako chyba nebo propašování zaměstnancem. Zpravidla se vždy jedná o zranitelnost management rozhraní, což je něco, co by síťově nemělo být dostupné veřejně.

Problém nejsou backdoory, problém je změna chování či konfigurace síťového prvku podle provozu, to může vést k dost rozsáhlým útokům.

Aktualizaci si oficialne v pohode stahnete z jejich webu. A pokud nemate radne zaplacenou podporu a tedy nemate pristup k aktualizacim, mate porad moznost si u TAC vyzadat bezpecnostni update ke konkretnimu produktu i bez toho - a mate to napsane na konci skoro kazde security advisory, ze...? ;-) Pasaz o tom, co mate delat, kdyz nemate service contract tam byva.

A jinak v bezpecnosti obecne je dulezitym kriteriem duvera v dodavatele. Predstava, ze se prohrabete miliony radku zdrojovych kodu a najdete tam potencialni diry je beztak usmevna. Nez dojdete na konec, tak vyjde v mezicase deset dalsich aktualizaci a muzete zacit znovu. Ostatne i v opensource software jsou diry, co treba ani nikdo neodhalil spoustu let - napriklad v takovem Putty byla dira pres dvacet let.... a to se vam zdrojaky vali na internetu, ze? ;-) A takovych veci najdete vic...

Kde si muzu stahnout zdrojaky od switchu rekneme Cisco? A umim i dolozit opakovana zadni vratka v jejich SW. Nikoli chyby. Chcete mit neco takoveho ve sve infrastrukture? Navic za desetinasobek?

A to nemluvim o tom, ze specielne v jejich pripade si ani nemam kde a jak oficielne stahnout nejakou aktualizaci.

Sepsat zadani na zrovna na sitovy prvek, kde vyjmenujete vami pozadovane technologie s odkazem na prislusne RFC ci IEEE normy zas tak tezke neni. Cemu se musite pochopitelne vyhnout je proprietarni "marketingova" terminologie konkretnich vyrobcu (onib obcas trpi nutkavou potrebou vymyslet cool nazvy pro veci i popsanych v normach). A samozrejme pouzivat standardni technologie popsane v normach i chcete prakticky nasazovat, jinak jste v krasne pasti vendor-locku, ze? ;-) Dodavatel se vas do tech proprietarnich veci samozrejme natlacit bude snazit s tim, ze to urcite nutne potrebujete - ale jeho motivaci je prodavat, co nejvic a co nejvic si vas zavazat k sobe. Cemu presne nerozumite? :-)

Souhlas. Těchto obecných frází dokáže každý napsat milión za den. Ale přesně specifikovat konkrétní postup a metodiku je hrozně těžké A vůbec to není problém jen státu. V privátu je to také těžké někdy dokonce těžší, protože není vázanost postupu dle ZVZ a management do toho libovolně vstupuje a mění podmínky a cena je pro ně to nejdůležitější.

"Vymyslet sofistikovanejsi hodnotici pravidla do vyberoveho rizeni, ktere by soucasne nikoho nediskriminovala je uz moc prace. "

Moc pěkně formulováno, teď by to ještě chtělo praktický příklad těch sofistikovaných pravidel a zejména postupu jejich tvorby.

Pokud politici chtějí mít co nejméně úředníků a co nejhůře placených, tak prostě stát je nucen tyto náklady přenášet za násobně vyšší cenu na dodavatele.

u obcí a krajů ten rozdíl v cenách nevidím tak markantní jak to je vidět u ministerstev. Tohle je opět chyba státu, že nedokázal vymyslet kuchařku na zadávání i pro kraje a obce, ale on to vlastně neumí ani sám.

Rozumných cen za IT zakázky se dočkáme až stát přestane vše nakupovat na klíč a začne se účastnit procesu dodávky. Obrazně řečeno dát do zadávací dokumentace jako přílohu sbírku zákonů a všechny technické dokumentace systémů, na které se to má integrovat je prostě problém, na to je potřeba stovky lidí se sazbou 10tis/MD, pak skáčkou miliardy.

Něco jako “I když je Rusko opravdu nebezpečné, k nějakým velkým obavám zatím není důvod. Je to jen politika … “ vždy mne překvapí neschopnost některých lidi poučit se z historie a stale opakovat stejné chyby.

Z pohledu urednika je ten alibismus proste nejjednodussi. Vymyslet sofistikovanejsi hodnotici pravidla do vyberoveho rizeni, ktere by soucasne nikoho nediskriminovala je uz moc prace. Takze na uradech si pochopitelne takto usnadnuji zivot - proste soutezi primarne na tu cenu.

Ale samozrejme konkurencni dodavatele tomu take moc nepomahaji. Neni vubec zadnym tajemstvim, ze ceny, za ktere se bezne prodava do eraru jsou u stejneho hardware i pri stejne urovni podpory vyrazne vyssi, nez za ktere to kupuje privatni/komercni sektor pro sebe. Cinani z toho samozrejme pak tezi celkem snadno.

Argument nejnižší cenou je dobrý alibismus, Huawei je schopný prodávat 48p 10GBE switch za 98 tis + DPH, stejně tak to je i s dalšími produkty, to prostě vypadá jako uměle snížená podnákladová cena jen aby vyhrál výběrko.

Problém je, že Huawei opakovaně sliboval nějaké záruky, zdrojové kódy, lepší otevřenost, ale zatím u žádného klienta a ani oficiálního zastoupení to nevidím.

Testování bezpečnosti typu, že vezmou síťový prvek do laboratoře, tam ho 2 týdny zkouší (zdravím Cetin), označí ho jako bezpečný a pak mu v produkci instalují jednu aktualizaci na druhou?

Ono pokud ta zařízení vykucháte, často se ukáže že SW i HW, navrhovala nějaká Taiwanská firma čip vyrobil TSMC (často obsahuje licencované IP z USA nebo Evropy) a Čiňan jen narazil dekl ještě tak osadil PCB a prodává se to.

Jako ty sankce ve skutečnosti nadělaly víc zla než užitku, protože donutili Čínu opouštět či krást IP a vyrábět vlastní verze u SMIC. Stejně to ale často hrnou na Taiwan viz UNISOC a jeho Tiger.

I když je Čína opravdu nebezpečná, k nějakým velkým obavám zatím není důvod. Je to jen politika. Ty obavy z přiznání čínských technologií jsou tu už roky. Ani mobilní operátoři nikdy nechtěli přiznat, že mají téměř vše od ZTE a Huaweii. Lepší je si klást podmínky jak to má vypadat, než tupě blokovat.

Prostě by se v tom zase nějakej ocas s VŠ evropských práv začal hrabat a zaplavení těmito lidmi ve vysokých postech je větší riziko.

A počítá analýza rizik s tím, že Čína vytlačí ostatní výrobce a pak si bude klást jaké požadavky chce?

Vybor pro rizeni kyberneticke bezpecnosti zda se zvlada jen metodu "security through obscurity" :-) Ridi to skvele, to nemohu rict.