Názory k článku Postřehy z bezpečnosti: nový botnet Eleven11bot otřásá kyberprostorem

Doporučení pro ochranu jsou pak notoricky známá, tedy používat silná hesla, měnit ta výchozí, aktualizovat firmware a monitorovat síťovou aktivitu.
Problém je, že tohle doporučení je prakticky k ničemu. Protože ten, kdo by ta doporučení mohl realizovat, v drtivé většině případů vůbec neví, že má napadené zařízení, ani že by měl něco takového dělat – ale hlavně nemá žádnou motivaci to dělat. Protože to, že je jeho zařízení napadené, jemu přímo nijak neškodí a žádný trest mu za to nehrozí.

Ta výchozí hesla řeší zákaz (myslím, že už platí) prodeje zařízení se sdílenými výchozími hesly – heslo musí být unikátní pro dané zařízení. Jenže to neřeší problém děravých firmwarů.

Podle mne je nutné přenést zákonnou zodpovědnost co nejblíž tomu zařízení, ideálně na jeho vlastníka. Což samozřejmě neznamená, že by si vlastník sám záplatoval firmware. Bylo by to tak, jako v ostatních případech – uvádět na trh je možné jen zařízení, která splňují nějaké normy (a pokud si někdo něco doveze sám z Číny, je to na jeho zodpovědnost), dělají se kontroly elektrických rozvodů, plynových zařízení apod. Tj. uživatel by se mohl spolehnout, že když koupí zařízení v EU a nebude na něm provádět neoprávněné zásahy, jde zodpovědnost za prodejcem a ne za ním.

Jakoze uzivatel ma byt odpovedny za to, ze programatori jsou cunata a namisto toho, aby produkovali kvalitni kod bez tech chyb se vykecavaji po internetech, a pak metodou "sup sup" neco slepi, aby splnili KPIcka? ;-) Odpovednost ma jit primarne prave za tim vyrobcem a nikoliv spotrebitelem. V jinych oblastech je naprosto bezne, ze dodavatel za vady ruci... u software si vsichni "navykli" za nic nerucit a tvarit se, ze chyby jsou vlastne normalni. Uz tohle je ta chyba. Samozrejme tvurce software nema zadnou motivaci delat jej bez chyb, kdyz si vedle napise, ze za nic neodpovida.

Hodně štěstí, když budete tímhle způsobem hnát k odpovědnosti výrobce – nějakou garážovku v Číně.

Vsak sem nemusime vozit kdejaky cinsky brak jen proto, ze to je to levny. A vymahat se to muze treba i na dovozci, pokud se vam jevi vyrobce nedosazitelny - stejne, jako tomu je u fyzickeho zbozi. A jinak tim stripkem, ktere k odpovednosti vyrobce/dovozce postupne vede je treba prave smernice 2024/825 ES.

A pro hnidopichy - smernice 2024/2853 ES tim smerem dale pokracuje :-) Chapu, ze tvurci software to muzou nest nelibe, ze se take budou muset naucit za sve produkty odpovidat stejne, jako tvurci cehokoliv jineho... ale soucasna anarchie, se kterou ke kodu nekteri pristupuji je neudrzitelna.

Máte pocit, že zákazníci by tohle "hnát k odpovědnosti výrobce" zvládli lépe? Já myslím, že nikoliv. Když na výrobce nedosáhne naše legislativa, tak naši občané už vůbec ne. Jediná šance co mají je nekupovat to. Pokud to bude postaveno jako "nekupuj to, protože jsou v tom chyby a rozdpovědnost poneseš ty", tak už by bylo snažší to prostě zakázat dovážet a prodávat.

Z obchodů se v jednom kuse stahuje nějaké zboží, které bylo odhaleno jako nebezpečné. Takže jestli jít nějakou cestou, tak touhle - pokud je v nějakém zařízení chyba, tak stáhnout z prodeje a zákazníkům vrátit peníze. To by motivovalo obchodníky tlačit na dodavatele, případně od nich nebrat zboží.

Ale to reseni je snadne. Chces pripojeni k internetu? Dostanes router od poskytovatele a ten za nej bude odpovidat. Chces svuj vlastni router? Neni problem, ale taky za nej odpovidas. A stejne jako kdyz mas server v DC tak te v pripade zavadneho trafficu tvuj poskytovatel upozorni nebo klidne rovnou odrizne. Funguje to takhle ve spouste zemi a nevidim duvod proc by CR mela vynalezat sve vlastni kolo.

10. 3. 2025, 15:59 editováno autorem komentáře

Funguje to u elektrických přístrojů, u telekomunikačních, u plynových zařízení, u zařízení vysílajících elektromagnetické záření – není důvod, proč by to u síťových zařízení nemohlo fungovat stejně.

Nechat to jen na obchodnících a distributorech nestačí, protože pak bychom tu měli spoustu šedého dovozu z AliExpressu a podobných. Navíc tohle je celosvětový problém (v článku je zmíněn Írán), takže nestačí vyřešit si to v EU. Civilizované státy se mohou dohodnout, že vlastník sítě je zodpovědný za provoz, který z té sítě odchází. A pak mohou tlačit na ostatní státy, ať si to nějak vyřeší, jinak bude provoz z jejich sítí omezen. Ale tlačit na Írán, ať řeší, jaká zařízení se u něj mohou prodávat, na to fakt žádné páky nemáme.