Názory k článku Malware VPNFilter na půl milionu routerů Linksys, MikroTik, Netgear a TP-Link
-
V tomhle jsou hackeři daleko prozíravější. My, IT, neustále "zvyšujeme" bezpečnost nabalováním nových technologií, ale ve skutečnosti jen jedny díry nahrazujeme jinými - třeba o něco hůř dosažitelnými, ale existujícími. Jenže: o něco hůř dosažitelné díry stejně hacker a botnet dosáhne, a v globálním měřítku se hackerovi vyplatí na to vynaložit i vysoké prostředky. Oni si však svoje know how dlouho tají, jak už se historicky ukázalo, profesionální hackeři mají celé knihovny děr a automatizovaných nástrojů, které doslova pročešou zařízení a dostanou se do něj. Některé díry jsou hackerům známé i dlouhé roky a trpělivě čekají, až bude čas tu znalost dobře zužitkovat (prodat).
Naopak my, IT, pak máme se sanací zvýšenou práci, protože komplikované technologie se také komplikovaněji "staví na nohy".
Podle mě bychom se měli daleko víc věnovat pasivní bezpečnosti. Technologie co nejvíc zjednodušovat, co nejvíc oddělovat (nekombinovat routery s intranet servery apod.), uvnitř sítě používat oddělení VLAN, ... Management jen z určité VLAN nebo portu zařízení, flashování jen při současném stlačení tlačítka nebo přepnutí zkratosvorky... Prostě triviální mechanismy, které se jen tak nedají překonat nějakou chybou v softwaru.
Možná to přijde někomu krok zpět, ale mě to přijde jako krok zpět ze směru, na který jsme vykročili špatně.
-
Inat (neregistrovaný)
Tady jednoduchá řešení jednoznačně fungují, často to sice znamená více nákladů a méně pohodlí, ale tak to je s bezpečností snad vždy. Taky bych uvítal kdyby se některé věci dali přepsat jen pokud je napětí x na pinu y kam se může dostat propojkou, spínačem, po oděleném drátu… Jenže vývoj je přesně opačný.
-
Coz pak aktualizovat treba 150 AP nekde v hotelu (nebo jeste lepe nekde na stozarech, kominech...) znamena tejdny chodit s propojkama a lezt na mnohdy spatne pristupne mista.
To asi ne, ale je také zbytečné, aby na ty AP vedla ta samá management VLAN, jako na zbytek technologií - např. na servery atd. Prostě udělám na AP VLAN, která bude sloužit jen a pouze k tomu, aby se prováděl management a aktualizace. Omezím na AP management protokoly na minimum a jen na tu jednu VLAN.
Bohužel v praxi spíš potkávám, že je všechno sesypáno v jednom bridgi, o odděleném managementu se tomu ani nezdá, a do toho všeho jsou píchnuté i vnitrofiremní servery. To, když se stane průšvih, už pak jede jak na skluzavce.
-
654 (neregistrovaný)
Jak to tak vypadá, tak existuje zhruba 100 000 000 IoT zařízení (bohužel nejde o překlep), u kterých je možné snadno downgradovat komunikační protokol na starší verzi, která používá defaultní klíč "0000000000000000". O problému věděli už před 5 lety, ale nepovažovali to za bezpečnostní riziko. Chyby se stávají, ale tohle už je do nebe volající nedbalost. A ještě k tomu to nazvali "bezpečnostní standart", ikdyž nikdy nezajišťoval žádnou bezpečnost.
-
Děkuji, ale dnes nepotřebuji přezdívku (neregistrovaný)
Pročpak asi všechen mainstream systematicky zapomíná sdělit, že se v tomto případě jedná o Linux, a to různé platformy?
V tomto případě svádění problému na výrobce krabiček ani na Rusy moc nepomůže.
Co myslíte, kde přesně je ten botnetem využitý backdoor?
A co váš desktop? -
Petr M (neregistrovaný)
Jádro systému je jedna věc, jeho naportování na konkrétní železo je druhá věc, aplikace nad ním jsou třetí věc a konfigurace (a její možnosti) věc čtvrtá.
Kdo může za to, že nad (v té době bezpečnou verzí) jádra běží děravá aplikace? No ten, kdo ji tam instaloval -> výrobce.
Kdo může za to, že je v zařízení kernel, který byl dva roky obsolete ještě před rozhodnutím, že tu krabičku začnou vyvíjet? Kupodivu její výrobce.
Kdo může za to, že ta krabička nedostane automatickou aktualizaci, když se najde chyba? A dokonce ani není nový SW, co by se dal instalovat ručně? No výrobce přece.
Kdo může za to, že v továrním nastavení je zapnutý Telnet a vystrčený ven, případně další podobný zvěrstva? Těžko vinit někoho jinýho, než výrobce.
A kdo že to může za nevynucení změny výchozího hesla, pokud předpokládá, že to bude používat BFU? Aha?
-
tt (neregistrovaný)
no jo, security frikuliny budou vzdy obhajovat gdpr a neznaset fungujuci hw))
kdyz se vam nepaci security brand routeru kupte si turris)))
mne dlink funguje skvele 5 let a zatim ani hack, ani problemy s hw/sw (restarty jen kdyz odpojim energii).
ps: vlastnim jiz starej ale funkcnej model dlink dir-655 -
mne dlink funguje skvele 5 let a zatim ani hack, ani problemy s hw/sw (restarty jen kdyz odpojim energii).
To je dost krátkozraké. Bezpečnostní díry jsou známé, nebo se ukáže zpětně, jak dlouho o nich věděly bezpečnostní služby, hackerské skupiny a často i samotní výrobci, kteří už ale nechtěli investovat do oprav.
To, že Vás nikdo nehacknul je asi tak stejně silný důkaz o tom, že neexistují kapesní zloději, protože Vaši peněženku ještě nikdo neodcizil.
-
bububu (neregistrovaný)
to poznate jednoduse, nenajdete fotky vasi dcery na porno serverech :D (narazim na srandu, byl to blog.cz jak nekdo stahnul fotecky vsech trinactek v CR?).
Bez monitoringu nepoznate nic, i kdyz byste flashnul firmware a bordelu se zbavil i presto, ze o nem nevite, neznamena to, ze tam zase nenaleze nebo ze tam nenaleze nejakej jinej.
Je to jenom muj pocit, nebo je zde trend obecneho narustu zajmu o "IT security" a s tim zvysene pozadavky/naroky na provozovatele sluzeb, ale pritom ve finale dopad takovych opatreni je vlastne spise nedostatecny (je vic der nez zaplat)? -
fest (neregistrovaný)
V článku je zmíněý QNAP a koukám, že globálně k tomu vydali zprávu, viz.: https://www.qnap.com/en/news/2018/response-to-claims-of-vpnfilter-malware-infections-security-concerns-were-addressed-in-2017
ČLÁNKY DO MAILU