Vlákno názorů k článku Postřehy z bezpečnosti: příliš inteligentní kamery od Miroslav Šilhavý - Zranitelnosti zařízení jsou průšvih. Při dnešních spotřebních cenách...
-
Zranitelnosti zařízení jsou průšvih. Při dnešních spotřebních cenách nemá výrobce reálně jinou možnost, než stavět univerzální platformu a do ní zahrnovat OSS. Zranitelnosti se sice teoreticky dobře odstraňují, ale už ne prakticky. V praxi nejsou prostředky udržovat firmware pro zařízení starší než rok, ale na to spotřebitel není připravený; očekává, že zařízení je i softwarově funkční celou dobu, co funguje fyzicky. Otevřenost software je pak dvousečná. Z teoretické výhody se stává praktická nevýhoda: do neaktualizovaných a neaktualizovatelných zařízení pak existují díry jako vrata, o kterých ví celý svět.
Anonymizačním službám úplně nerozumím. Soukromí je potřeba chránit, ale především tím, že nepřipustíme legitimitu šmírování. Člověk nemusí být zrovna anonymní na to, aby nebyl sledován. Nedovedu si představit, že bych neměl na schránce svoje jméno, nebo že bych se nepředstavil lidem, se kterými hovořím. A přesto musím a chci spoléhat na to, že mě tito lidé nesledují, a kdyby sledovali, že jsou za to stihatelní. Stejně jako v reálném životě, ani na internetu nejde zajistit 100% anonymitu, vždy existují místa, na kterých se důležité informace sbíhají - minimálně je to poskytovatel VPN, který ví kdo (resp. odkud) s kým (resp. kam) komunikuje. Být státní agenturou, první, co mě napadne je, že zřídím a budu sponzorovat anonymizační službu, ze které si vytáhnu data. Protože přesně na takovou službu se mi sami od sebe nalepí ti, které se možná "vyplatí" sledovat.
-
kiiz (neregistrovaný)
Říkej to Číňanům. Tam minimálně majitel VPN ví, kdo se kam připojuje a velice rád to sdělí úřadům, jakmile si o to řeknou. Takže může být chudák popotahovaný třeba za to, že někde nasdílí obrázek medvídka Pú. Není nic špatného na používání anonymizačních služeb k legálním účelům. Gauner si stejně zaplatí nebo vyrobí botnet. Ne vždy všechno řeší zákony.
Jen pro info: Pokud vím, v Číně mají čerstvý zákon, kdy VPN nemůže být poskytována ze zahraničí a medvídek Pú je nějaká forma karikatury prezidenta Si Ťchin Pchinga.
-
ůlku (neregistrovaný)
To je sice pravda, ale pořád neví, co na té VPN dělá. Taky je třeba si uvědomit, že donedávna byly mimočínské VPN mostem k "zahraničnímu" internetu. Navíc pořád je zde TOR, u kterého není tak snadné poznat, že se jedná o šifrované připojení. Přiznávám že nevím, jak funguje v Číně.
Ostatně hlavní problém s VPN v Číně není ten, že to tam používají místní obyvatelé, ale že si firmy ze západu chtějí udržet své know-how a nenechávat sledovat veškerou svoji komunikaci.
-
Starous (neregistrovaný)
je lumparna ze i nova zarizeni jdou na trh s "proslym" softwarem. Jinak zjistit jestli vase aplikace ma nejake stare knihovny s dirou neni tezke za pouziti spravneho nastroje. Znam BlackDuck nebo pro javu Nexus IQ co z binarek zdetekuje vsechny verze knihoven a vypise jake jsou tam zranitenosti a pak je snadne ty zvolene knihovny updatovat a clovek ma i objektivni duvod rict proc je to potreba. To by se ale ty firmy musely vazne zajímat o bezpecnost toho sw crapu co pousteji do sveta. Zajimalo by me zda bude v budoucnu povinne zverejnovat "slozeni" sw jako mame treba u jidla. ja bych byl pro.
-
Zajimalo by me zda bude v budoucnu povinne zverejnovat "slozeni" sw jako mame treba u jidla. ja bych byl pro.
Tím zveřejníte i ty díry a pomůžete ještě další skupině zoufalců, aby programovali záškodné boty. Veřejnost takovému složení neporozumí.
Problém nemá moc řešení. Opravdovou bezpečnost tvoříte jedině kombinací technologií, analýzou rizik, ..., a terpve na konci všeho něco vystrkáváte prdelí do internetu. Ale spotřebitel chce něco jiného. Chce koupit krabičku, která mu UPNP udělá díru ve firewallu a nic neřešit. K tomu přidejdete nekonečné zástupy IT-"odborníků", kteří se účastní této hromadné asistované bezpečnostní sebevraždy. Ti aspoň trochu lepší z nich si rizika nějak mlhavě uvědomují, ale zájem vydělat a přání zákazníka jsou nade vše (ostatně, rizika nejsou zákazníkovi ani schopni vysvětlit), ale většina z takových kolegů si rizika neuvědomuje vůbec. Dnes i blbá kamera vystrčená do internetu může znamenat přístupový bod do vnitřní sítě.
Stejně, jako si lidstvo zvyklo na to, že auto, lednička, televizor už nejsou na 15 let, ale ztěží na pět, budeme si všichni postupně přivykat, že i technologie se neustále obměňují, protože s novým hardwarem přijde i nový software.
-
Starous (neregistrovaný)
zjišťovat složení sw může být v některých zemích považován za ilegální - viz reverse engineering, drm a dalsi hutné debaty o to kdo vlastni sw. Imho by to pomohlo, kdyby bylo povinne zveřejňovat složení sw a byly by nejake organizace at uz statni nebo verejne co by na to mohli podle slozeni nalepit nalepku A-F za kvalitu sw. Akorat ze by se to muselo testovat periodicky nebo klidne i poloautomaticky
-
Cyber ITL dělá přesně tohle :) O tom, jak se jim tato snaha daří, se můžete dozvědět kupříkladu z těchto přednášek:
-
jkotek (neregistrovaný)
Zeby Lenin? Tedy spíše: https://xkcd.com/1966/ .
Neboli jen botnet zajistí aktualizace firmware po záruční době. Pouze provozovatel botnetu bude mít zájem udržet napadená zařízení funkční ;-) . Prodejce by raději, kdybyste si koupili nové zařízení.
