Vlákno názorů k článku Skutečně se kybernetická obrana neobejde bez šmírování? od Jenda - > zůstává mnoho systémů, které od veřejného internetu...

> zůstává mnoho systémů, které od veřejného internetu prostě odpojit nejde, jedná se zejména o systémy určené pro širokou veřejnost. Příkladem budiž datové schránky, internetová bankovnictví, obchodní rejstřík, ARES, elektronická podání daňových přiznání

Překlad: stát si vymyslí nějakou věc, a pak řeší dostupnost tím, že občanům do soukromých sítí nastrká šmírovací a MITMovací krabičky. A pro jistotu radši do všech sítí, i do těch, které s jeho službami nesouvisí.

> scrubbing

Naprosto nechápu, proč druhá polovina článku utekla od šíře zákona a začala se zaměřovat jenom na DDoSy. Ten vojenský HW může dělat úplně cokoli (v zákoně to není nijak omezeno) a zrovna proti DDoSu podle mě nemá moc jak pomoct (je umístěn tady, nikoli na druhém konci té linky; už vidím, jak vojáci někomu kupují supervýkonné zařízení na odražení terabitového DDoSu; pro boj s DDoSem se hodí znát strukturu té sítě kterou chrání, a té nejvíc rozumí ten ISP sám).

Stát si vymyslí internetové bankovnictví???
Jinak některé systémy provozované státem mi přijdou jako smysluplné - jako např. OR apod. (Jiné samozřejmě podstatně méně - i když často je podle mne v jejich kritice zaměňována smysluplnost se zvolenou realizací - např. DS.)

Tak ony jsou známy už jen dva teoreticky efektivní útoky na rozumně zabezpečenou infrastrukturu, pokud pomineme útok fyzický. Tím prvním je (D)DoS, tím druhým prefix hijacking. Prefix hijacking za nás armáda nevyřeší, to je úkolem IETF a tam narozdíl od DDoSů alespoň je známo, jak to uspokojivě a víceméně definitivně vyřešit: masivní rozšíření RPKI a k tomu bude ještě nutné připravit standard pro nějakou autorizaci cesty.

Naopak DDoS ani teoretické definitivní řešení nemá, to je trvalý závod ve zbrojení. Co ale je známé, to je způsob, jak se jim s nějakou efektivitou (která nikdy není 100%) bránit. To je právě ten scrubbing. Bylo by iluzorní si představovat, že vojáci na to někomu budou kupovat nějaké supervýkonné zařízení. To by ani nedávalo smysl, protože i když budu mít na své síti sebevýkonnější zařízení, pokud nebudu mít na síti terabitové kapacity do všech směrů, odkud takový útok může přijít, útočník beztak dosáhne svého.

Čili taková supervýkonná zařízení, ani v komerčním provedení, nejsou přímo asociována s infrastrukturou žádného cílového ISP, ti přes něj jen v případě potřeby směrují provoz, pokud to si s ním už nevědí rady jinak; tyhle systémy jsou zpravidla napojeny do sítí Tier1 operátorů a do velkých IXP, bývají to distribuovaná řešení s více lokalitami po světě a pak už je jen potřeba vyřešit, jak pak dostat z toho scrubbingového centra vyčištěný provoz do sítě konkrétního operátora (což se dělá buď přímým propojem nebo tunelem). Proto mohou zůstat neutrální, proto to, čistě teoreticky, mohou provozovat i vojáci.