Názory k článku Recyklování HTTPS certifikátů i SSH klíčů ohrožuje miliony zařízení

"Rizikovým jevem je i aktivita některých ISP, kteří routery a modemy svých zákazníků nechávají volně přístupné z internetu."

S tím nesouhlasím. ISP nejsou od toho, aby cokoli blokovali a do čehokoli zasahovali - případně blokovat mohou, pokud si ale zákazník takovou službu sjedná nebo nastaví. Analogie se spamfiltrem - pokud poskytovatel freemailu blikouje spam, může to být prospěšná a zákazníky ceněná služba, ale vždy by ji měl zákazník mít možnost vypnout.

A výsledek naběhnutí zrůdnosti typu IoT bude ještě geometricky otřesnější a odpornější...

Zkuste si to APcko se stenym nazvem zprovoznit. Behem par minut mate hromadu pristupu a pochopitelne vcetne hesel. Vazne jsem nepochopil, proc ta sit vubec hesla pouziva.

Osobne se ovsem domnivam, ze primarnim ucelem je znemoznit provoz jakekoli wifi v okoli, protoze kdyz ma v dome 30lidi modem UPC, tak je vysledek ten, ze to nefunguje poradne nikomu, 2/3 z tech lidi nemaji ani tuseni, ze jim nejaka wifi bezi, a vsichni co maji jeste nejake vlastni AP uz prakticky nemaji jak jej provozovat. Takze by se tim mel zabyvat predevsim CTU, protoze je to zcela zjevne porusovani GL.

hm, a jak by to poskytovatel pripojeni obsluhoval, kdyz to nepujde administrovat z Inetu? a pro mne jako uzivatele sluzeb je to kram, do ktereho pichnu kabel a dal se nestaram, kdyz to neni moje.

proč myslíš? Naopak IoT jsou zatím velice jednoduchá zařízení právě bez podobných certifikátů.

Každopádně bránit vývoji/pokroku/změ­ně (nehodící vyškrtni), protože se bojím, že to někdo udělá špatně je dost zvrácený styl uvažování.

Ty kdo to myslí vážně, nespoléhají s bezpečnostní na jednotlivá zařízení a nevystavují je bez kontroly venku.

Zrusit HTTPS, zn. ihned ;-)

A v čem je u těch certifikátů problém?
Předpokládám, že jediné riziko je v možnosti odposlechnutí komunikace/hesla na to veřejné www rozhraní. Kolik domácích uživatelů se připojuje z vnějšku na svůj router? Asi tak 5 z 100000? Předpokládám, že pokud pošlu těm 100000 lidí mail, který se bude např. tvářit jako od jeho sourozence s nakaženou přílohou, tak budu mít 1000x lepší zásah a navíc přímo na počítači oběti.
Vychází mi z toho jediné: jsou daleko problematičtější oblasti bezpečnosti než zmiňovaná zranitelnost.

To už si raději posviťte na wifiny UPC-WiFree nebo jak se to jmenuje. Pokud si do pc nevložíte UPC certifikát, tak se v klidu připojíte na fakeAP a při první návštěvě nějakého eshopu přes http máte min z 50% heslo i k mailu :/

A to že nás s IoT čeká celkem peklo s bezpečností je dost jistota-

Myslim, ze myslenka autora byla trochu jina a to, ze ISP dodavaji svym zakaznikum routery, ktere jsou ve vychozim stavu takto nebezpecne nastavena. Coz je spatne. Vetsina koncovych uzivatelu nema o tomto nastaveni ani tuseni, proto si objedbali zarizeni od poskytovatele sluzby a ocekavaji, ze zarizeni bude dostatecne bezpecne nastaveno. Pokud si nejaky pokrocily uzivatel chce toto nastaveni vypnout, ma moznost tak v konfiguraci ucinit. Jiste to nebylo mysleno tak, ze by ISP meli blokovat pristup do admin rozhrani v sitove komunikaci.

z interní sítě, ono to nemusí být vidět zvenku, ale přesto se tam dá dostat (v 99% jde stejně ale o bezúdržbové nastavení).

většina těchto zařízení jsou podle mne ale spíš ty, co si kupovali a nastavovali zákaznící sami. každý trochu rozumný ISP se snaží mít routery, které klientům instaluje nastavené správně, i když na pravidelný update firmwaru se standardně kašle.

To záleží na tom, jak ten Internet chápete. Pokud je Internet síť poskytující IPv4/IPv6 konektivitu (což je IMHO definice Internetu), pak samozřejmě všechny ty blbůstky jsou připojené na Internet, protože na ten svůj server lezou právě přes IP. Pokud pod pojmem Internet chápete Google nebo Facebook, pak samozřejmě tyto blbůstky na Internet ve vašem pojetí přístup nemají.

ještě možná dodám, že výjimka je pak jen upc, o2, ti mají reálný vzdálený management. u zbytku to nejde kvůli heterogennosti sítě, hlavně CPE na wifi sítích je z historických důvodů každé úplně jiné, i když se to s nv2/ubnt trochu zlepšilo, ale stejně tam nikdo nedělá vzdálenou správu nějak centralizovaně a kompletně s update firmwaru, hlavně aby se to celé nerozpadlo při chybě (slavný hodně rozšířený český ispadmin dokáže shodit síť sám od sebe i bez toho).

a pak logicky u kabelovek a o2 většinou IP končí na jejich zařízení a nic tam nejede..ale wifi může být natováno až na zákazníkově domácím routeru, který dodává sám..z toho pak vyplývá větší nebezpečnost, protože ISP to bude mít OK, ale zákazník tomu obvykle nerozumí, když si to zrovna nenechá nastavit od ISP. no a pak fail od výrobců, default heslo nebo backdoor ve stylu TP linku stačí, kolikrát to dřív mívalo naslouchání na všech interfacech zapnuté a to se lehce v konfigu přehlédne.

Já ti nevím, podobná zařízení si programuji už deset let, IoT je jen marketingový hype a vlastně ani nevím, kde vznikl.

Zatím se k internetu připojují jen televize, protože potřebuji si z něho stahovat obsah. Z hlavy mě teď nenapadá jiné masivní zařízení připojené na internet. Všechny ty malé měřiče, sledovače, blbůstky jsou tak malé, že internet je pro mě až příliš náročný, vše co jsem měl v ruce komunikuje přes svůj hub/center a až poté případně na internet a to jen kvůli tomu, že si to pak někdo chce zobrazit právě v mobilu, na webu nebo zpracovat na svých serverech.

Existují technologie, která dobře ochrání přenášená data a zabrání jejich odzizení nebo sledování. Bez toho by nemohly fungovat některé bankomaty, alarmy, poplašné systémy nebo i interní systémy ve firmách. Často se ani nejedná o nic uzavřeného a technologie se znalostmi jsou volně dostupné.

tohle nemá ani s iot až tak moc co dělat, na internetu je kdejakého bordelu bez zabezpečení už teď a víc iot věcí na tom moc nezmění.

viz moje pokusy tady
https://tom.hetmer.com/security/2012_scada_exploration

já právě doufám, že to bude naopak. moderní iot by měly mít zabezpečený socket na nějaký veřejný server a posílat data jen přes něj, bez nějakého přímého přístupu. ovh třeba testuje na runabove.com opentsdb pro sběr timestamped údaju a kreslení grafů + je k tomu pak jejich API, tohle je IMHO směr, kterým to půjde. žádný bordel ve stylu admin/123 a http(s) for all na každé ledničce.