Názory k článku Postřehy z bezpečnosti: vyhoďte už konečně ty faxy!

Resil jsem cca rok a pul zpatky u jednoho maleho penzionu v lazenskem meste take fax - presli k jinemu operatorovi a analogova linka pro fax se musela udelat pres nejaky SIP analog prevodnik. Ptal jsem se proc tam tan fax maji - pry pojistovna posila udaje o klientech zasadne faxem a neni zadna metoda jak to zmenit.
Druhy pripad - firma vyrabi plastove vyrobky a dodava je do shopu jako je Obi,... do Cech a Nemecka. Kdyz chcete posilat do nemeckeho obi objednavky a dodaky, tak proste pres fax (je to prece proverena a spolehliva technologie)..

Mimochodem, telefonní operátoři dnes umí i službu, kdy sice máte na venek faxové číslo, ale ten vám dorazí jako e-mail a opačně. Je pravda, že je to o něco draží, než mít fax klasický.

jasne, takovych sluzeb je spoustu (faxuj.cz,...), ale vetsinou je to na prijem faxu. Tady vznikaly problemy pri odesilani faxu do nemecka takze maji jeste stary stroj s winXP kde maji strcenou modem pci kartu a do toho je pustena telefonni linka a nejaky historicky soft tam zachytava faxy... nastesti to jde mimo me a nemusim si toho vsimat :-)

To je takovy problem udelat scan/foto pres nejakou multifunkcni opicarnu a poslat to pres ty faxove GW jako je uvedene vyse? Je to mnohem spolehlivejsi nez honit faxy pres SIP, nehlede na to ze spousta VoIP bran a i provideru ani neumi T.38.
Vetsina sroubovaku ani nema zaklady telekomunikaci a tak honi analogovy fax pomalu pres GSM kodek a pak se divi proc jim to nejde. Kdyz nahodi G711 tak se divi ze projde jeden fax z peti protoze narozdil od klasickych TDM linek je u kliose sileny jitter nehlede na ztratovost -> opet zabijak pro faxy ktere pres frantu wifinare nebehaji pres T.38 (kolik lidi ma vubec ten funkcni konfig?

Ani beznyho kancl PC sroubovaka co chodi zivnostnikum odvirovavat peckudnes clovek nesezene ktery ty veci umi resit jednoduse...

No, já bych hlavně uvítal, kdyby se do toho článku doplnilo kterých konkrétních faxů od které konkrétní firmy se ty CVE-2018–5924 a CVE-2018–5925 (a mj. i to video) týkají.
Protože se mi nezná, že by ta díra byla obecně v všech faxech, ale pouze faxech od kohosi (viz ty CVE)

a asi taky bylo dobré změnit ten obrázek toho faxu v hlavičce toho článku za nějaký smysluplný typ - protože toho zařízení co je na tom obrázku se to fakt netýká - navíc to závání "odborností" typu LžiDnes - kde není problém k havarií ultralightu dát ilustrační fotku Boeingu 747.
Zařízení, jichž se to týká:
https://support.hp.com/us-en/document/c06097712

Eh, tak ono je cílem, aby tam byl vidět fax. Ne multifunkční krabice, z které se vůbec nepozná, že tam nějaký fax je.

a umíš jako ČÍST? Ta zranitelnost (viz ty obě cve) se netýká žádných "faxů", ale multifunkčních krabic (inkjet tiskárny) firmy HP, přičemž některé z toho seznamu umí i faxovat.
Takže není sebemenší důvod, aby předmět na fotce byl od jiné firmy než HP a hlavně tam nemá co dělat klasický fax.
Díra se týká konkrétních výrobků HP a ne obecných faxů.

Co vim, tak z hlediska zakona se vetsinou bere fax a ne email. Tzn. pokud budu chtit neco elektronicky poslat a mit jistotu, ze to je akceptovane i z hlediska zakona, tak jedine faxem. Nejsem si jisty, ze legislativa postavila email na stejnou nebo vyssi uroven nez byl a je fax ...

@Lad

Pokud vím, tak jestliže je email provozován třetí stranou a komunikace je dostatečně obsáhlá ( ve smyslu dokládající záměr a delší záměrnou komunikaci - tedy ne jenom jeden mail "Vzdávám se celého majetku"), tak se to dá použít jako nepřímý důkaz.

Ach jo... A co elektronicky podepsany a overeny email vydany statem uznavanou autoritou? To uz fungovalo za mlynare kdyz mi teklo na CVUT pivo po brade...

pro pobaveni rozesaklo :)))

„novinkou je přístup serverless, který znamená, že nevíš, kde máš servery“ – to je tak pěkné :)

To není až taková novinka. Moji vrstevníci jistě znají tu historku se zazděným Netware serverem. Tam taky nevěděli, kde ho mají. ;-)

Na strahove byl dlouha leta zazdeny server - ve zdi. Prisli na nej az pri rekonstrukci. Fungoval. Myslite chlapci ze jsme za naselo mladi byli blbi nebo co? Ano byli! Ale uplne jinak!

Rád bych tuto historku vyprávěl, mám ji už celou sepsanou. Bohužel, redakční systém naznal, že se jedná o spam. Budete tedy o ni ochuzeni. Netuším, jaká zakázaná slova jsem mohl použít. Asi "zedník" nebo "lopata".

Hyper-inteligentní redakční antispam made in Žižkov pub se řeší pastebinem a vložením odkazu. (Mezi nejnovějšími přírůstky na blacklistu vytvářeném zjevným dementem jsem minulý týden objevil např. slovo "b u y")

Tak tedy druhý pokus...

To bylo ve "zlatých devadesátých". Netware byl značně rozšířený a vynikal svojí spolehlivostí a stabilitou. Mezi adminy se tehdy soutěžilo o co nejdelší uptime. Já jsem dosáhl něco přes 400 dnů, ale vím i o podstatně delších.
Server se dal obsluhovat buďto přímo z lokální konzoly, ale podobně jako dnes máme SSH v Unixu nebo RemoteDesktop ve Windows, i v Netware byl obdobný nástroj, který se jmenuje RConsole. Pokud nebylo potřeba dělat nějaký zásah na hardware, mohl admin pracovat v zásadě odkudkoliv. Sítě tehdy sice nepoužívaly IP, jako dnes, ale IPX/SPX, nicméně u toho protokolu je k dispozici podobný aparát jako u IP - routování, VPN, tunelování přes IP.

Ta historka mnohokrát kolovala, takže ji asi znám v poněkud zkomolené podobě. V té verzi, kterou znám já, to nebylo na Strahově, ale v nějaké blíže nespecifikované firmě, v blíže nespecifikovaném městě.

Šlo o to, že když po několika letech bezchybného provozu nastal nějaký problém, začala po serveru sháňka. Byl to pravděpodobně nějaký hardwarový problém. Zavolali tedy do integrační firmy, ze které posléze přikvačil příslušný specialista. Ptal se "Kde máte server?" a náhle vyšlo najevo, že nikdo neví. Takže pátral kam vede kabel - tehdy ještě koaxiální RG-58, 10-Base2, tzv. "levnějšísíť" - to slovo má být přirozeně anglicky, ale zdejšímu antispamu potom nevoní. Snadno se ho ale dozvíte na Wikipedii. Kabel takto šel od jednoho PC ke druhému. Je potřeba si uvědomit, že se to stalo v 90. letech, kdy twisted pair strukturovaná kabeláž, kterou používáme dnes, byla žhavá novinka. Pokud ne na Západě, tak v Československu určitě. V opravdu bohatých institucích měli instalaci s EAD zásuvkami a koaxiálními "patchcordy". Většinou ale byl ten kabel pohozený v rohu, za kancelářskými stoly, obíhal všechny kanceláře a jedním koncem šel do serverovny. Na jednom z těch konců tedy našel terminátor, ale server tam žádný nebyl. Na konci opačném zjistil, že kabel, v jakémsi koutu, končí ve zdi. Prostě mizí v omítce. Hledali tedy z opačné strany té zdi, ale tam už žádný kabel nebyl. Situace vypadala bezvýchodně. Náhle si ale kdosi vzpomněl, že "tady přece před pár lety byl takovej kamrlík". "Jenže, když se pak posouvaly dveře, nechal ho šéf zazdít". Byl tedy povolán zedník s palicí, aby se do kamrlíku proboural. Kromě harampádí a stavební sutě tam potom našli i ten hledaný server.

Apropo k tomu uptime... nerikam, ze to je nejakej rekord, ale mam nekolik serveru s uptime pres 1400 dnu. Ale neni to na Novellu :-)

Ony faxy jsou jako forma komunikace bezpečnější, protože implementují jednu nepěknou věc. A sice označování zpráv a log provedených úkonů. Takže když někomu nafaxuji objednávku, tak mi jeho fax vydá potvrzení o doručení. A já mám pak, alespoň z hlediska legislativy, důkaz, že jsem objednávku poslal a dodavatel že ji přijal.

Funguje i naopak - pokud dodavatel mává objednávkou, kterou jsem prý poslal, pak by neměl mít problém vytáhnout ze svého faxu záznam o tom kdy a od koho ji přijal. V tom logu je identifikace odesílajícího faxu, takže je velice snadné ověřit, zda to můj fax byl nebo ne.

Ve své době (30+ let zpátky) byl fax v tomhle hodně revoluční a dlouho neměl konkurenci. Fax měl skoro stejnou důvěru jako vlastnoruční podpis - protože bylo snadné určit konkrétní kus, který zprávu odeslal nebo přijal. Což společně s tím, že potvrzoval příjem i odeslání, bylo tím hlavním důvodem, proč ho začaly firmy i banky uznávat.

Někdy se jako konkurence faxu uvádní email. Jenže on konkurencí není a nikdy nebyl. Nemáte jistotu kdo ho odeslal, nemáte jistotu komu došel a ani nemáte jistotu zda vůbec někomu došel. Aby to mohlo konkurovat faxu tak potřebujete zavést věci jako PGP nebo si to celé udělat jinak, viz datové schránky.

V dnešní době je fax přežitek. Ne proto, že bychom za něj měli nějakou náhradu. Nemáme. Přežitek je to proto, že dnes jsme se naučili věcem buď nevěřit, nebo jim naopak slepě věřit. Kde dříve stačil fax, tam dnes chceme notářsky ověřený podpis. A kde jsme dříve chtěli fax, tam dnes stačí anonymní formulář na internetu.

No a fax připojený do sítě je už dvojnásobný nesmysl. Fax byl bezpečný právě proto, že k němu byl omezený fyzický přístup. Nejzajímavější podvody éry faxů byly právě o tom, jak se kdo dostal k faxu, ke kterému neměl mít přístup, a odeslal něco, co mu vydělalo peníze. Po síti je to možná pohodlnější, ale bezpečnost je fuč. Stejně tak je nesmysl udržovat fax ve chvíli, kdy nekontroluji, kdo je na druhé straně. Takže třebas zmíněná žádost o změnu čísla účtu, kam chodí výplata - proboha proč? Copak na personálním evidují ID faxu jednotlivých zaměstnanců a pak ověřují, zda žádost přišla z jejich faxu? Protože pokud ne, tak proč fax?

ano, v duveryhodnosti dokumentu byly faxy neprekonatelne, az do momenty, kdy se zacaly do pocitacu montovat faxove karty.

faxy totiz mohla instalovat jenm autorizovana entita, ktera MUSEL zapsat cislo faxu do registru a MUSELA zakazat zmenit toto cislo uzivatelem.
faxove karty (resp. fax/modemove) tuto vlastnost uz nemely, takze uzivatel si tam mohl dat cokoliv.
navic pak i nektere servisni organizace prestaly zakazovat zmenu cisla uzivatelem, a skoncilo to tim, ze si faxy uzivatel uz napojil sam
tedy uz nebyl vubec zadny proces instalace, ktery obsahoval krome jineho treba i volani do zkuseby telekomu a ve spolupraci se nastavila uroven signalu.
pak nektere faxy mnely chaby a slaby signal, ktery se dal cist s velkymy chybami, nebo naopak se silnym signalem, ktery byl natolik skresleny, ze zas se tezko dekodoval.

Nebo ze by se tehdy se jednalo o zbytecny prezitek doby davno minule? I po navratu ze zahranici jsem byl zaostalosti ceskych telekomunikaci fascinovan:-)

Jeste jste si mohli vzit bile plaste pri zadavani cisla do faxu. Zmena faxovych cisel byla zdrojem mych prijmu na financovani vzdelavacich aktivit. Tenkrat to nikdo neresil.
Moderni faxy uz umely uroven signalu nastavit samy pokud nebyla skutecne spatna linka od monopolistu nebo mezitim nejaka silena pobocka pres alphatel.
Nejdebilnejsi byly na faxy asi ustredny mezi prechodem siti analog - digital. P51 tam byl rad clovek za 4800. Obcas i jeden ze ctyr pokusu prosel. Na PK 201/202 uz byla pekne tarifikace impulzy takze kdyz clovek posilal mezimesto (uz tehdy zacla era pragocentrizace takze posilal dost) tak se mu ty pokusy prodrazily. Nehlede na to ze kliosi meli vetsinou levne faxy, paralelky a na zapade cech byla jeste oblast se ctyrcislenym cislem :-P.

BTW: Kdyz uz cas pokrocil, jakou uroven signalu se nastavovala u ISDN faxu:-P Sorry nemuzu si pomoci a musim trolit. Jestli na neco nevzpominam rad tak na tu dobu.

> Funguje i naopak - pokud dodavatel mává objednávkou, kterou jsem prý poslal, pak by neměl mít problém vytáhnout ze svého faxu záznam o tom kdy a od koho ji přijal. V tom logu je identifikace odesílajícího faxu, takže je velice snadné ověřit, zda to můj fax byl nebo ne.

Jak je technicky realizováno, že si do toho logu nemůžu zapsat cokoli co si vymyslím? Klidně připojením celého faxu k vlastní ústředně (Asterisk + telefonní karta za $10 z ebaye) a posláním libovolných dat.

> Nejzajímavější podvody éry faxů byly právě o tom, jak se kdo dostal k faxu, ke kterému neměl mít přístup, a odeslal něco, co mu vydělalo peníze.

Je potřeba se dostat k faxu? Podle mě se stačí dostat k telefonnímu kabelu úplně kdekoli cestou.

"Jak je technicky realizováno, že si do toho logu nemůžu zapsat cokoli co si vymyslím?"
do logu klasickeho faxu neyapises nic ... je to primy log transkacich prijmu a vysilani. krome uzivatelskeho logu existuji i servisni a ty jsou uz uplne mimo dosah bezneho uzivatele. klasicky fax muzes pripojit k k jakekoliv ustredni ... s logem to nema nic spolecneho. (nebavime se o fax/modem karte - vid muj predesly prispevek)

" Podle mě se stačí dostat k telefonnímu kabelu úplně kdekoli cestou."
nesmysl ... k HW faxu se nejde dostat takto.

druha vec je pouziti ruznych 'emulatoru' (uz spomenuta fax/modem karta), ktera je ale zas o necem uplne jinem

kazdopadne: tato dira se netyka faxoveho provozu jako takoveho, ale jenom jedne uzke skupiny zarizeni jednoho vyrobce.

> do logu klasickeho faxu neyapises nic

To neodpovídá na otázku jak je to technicky realizováno. Nejspíš to bude nějaká paměť, ke které vedou nějaké dráty, a já si s ní budu moct povídat a třeba do ní také něco zapisovat.

> klasicky fax muzes pripojit k k jakekoliv ustredni ... s logem to nema nic spolecneho

Má, ústředna může faxu nafejkovat komunikaci z libovolného čísla a v logu pak bude toto číslo. Neřekl bych, že telefonní síť kryptograficky chrání.

> nesmysl ... k HW faxu se nejde dostat takto

Vždyť píšu že nejde o dostání se k HW faxu, ale o to, že si na ten drát připojím vlastní fax a odešlu si co budu chtít.

> kazdopadne: tato dira se netyka faxoveho provozu jako takoveho, ale jenom jedne uzke skupiny zarizeni jednoho vyrobce

Toto vlákno se nezabývá dírou prezentovanou v článku.

Technicky je to realizováno podobně jako registrační pokladny. Takže ochrana je v tom, že se zjistí, že s tím logem někdo manipuloval. A v tu chvíli je na vaše zařízení nahlíženo jako na kompromitované. Proto k faxu/pokladně pouštíte jen autorizovaný servis, který ověřuje stav a vydává potvrzení. Vy si tam samozřejmě můžete přes servisní rozhraní s návodem nafalšovat co chcete, ale servis při první kontrole zjistí, že jste tam byl.

Hodně zjednodušeně se dá říci, že to funguje pomocí kontrolních součtů a čísla sekvence. Když víte počáteční číslo sekvence a projdete si log, kdy z každé zprávy a aktuálního čísla sekvence spočítáte nové šíslo sekvence, pak musíte dojít ke stejnému číslu jako máte právě teď. A samozřejmě čísla uvedená u zpráv v logu musí také sedět.

Použít se dalo prakticky cokoliv, včetně CRC. Protože vložit mezi zprávu 15 a 16 nějakou falešnou, která na vstup 16 dodá stejné ID sekvence jako původně vracela zpráva 15, znemaná najít zprávu, která nezmění kontrolní součet. Což je na druhou stranu pak v logu strašně podezřelé, že zpráva 15 vygenerovala nějaký hash, zpráva 16 vygenerovala přesně ten samý a zpráva 17 ho pak měla na vstupu. Vypuštění zprávy je pak problém prakticky neřešitelný - nemůžete mít v logu zprávu která skončí s kontrolním součtem X a následující zprávu začínající s kontrolním součtem jiným než X. Zkrátka vložit tam něco, co tam nebylo, nebo něco naopak smazat, je díky ukládání průběžného kontrolního součtu složité.

Případně můžete zfalšovat celý log, jenže tam stačí aby si soud vyžádal log z nějakého faxu, se kterým jste komunikovali, a podle ID sekvence se hned vidí, že vy jste ten log změnil.

Dnes je to bezpředmětné. Tam byl vrchol na konci 70. let minulého století. Tehdy to byla jediná reálná alternativa k možnosti dostavit se osobně. Dnes většinu z těch věcí vyřídíte po telefonu (a bez ověření) a na zbytek jsou tu datové zprávy a různé jiné zabezpečené cesty, jak kupříkladu poslat platební příkaz do banky.

pokud to dobře chápu tak každá zpráva je chráněna na základě vstupu následující ale ta poslední už tímto způsobem chráněna být nemůže takže pokud někdo smaže z logu zprávu bezprostředně po jejím přijetí / připíše zprávu na konec logu při přijetí další zpravy se i na druhou stranu pošle kompromitované ID sekvence a rázem je kompromitován i log na druhé straně ( a postupně i všechny logy všech kteří komunikovali s někým kdo měl timto zpusobem kompromitovaný log)

a pokud jde o problém z kryptografií: zpráva 15 kočí hashem X a zpráva 17 má na vstupu Y ale potom stačí najít jakoukoliv (falešnou) zprávu která má na vstupu X a končí Y a zprávu 16 pak jednoduše vyměnit (podobně by šlo na místo jedné zprávy vložit několik nebo jich několik (po sobě jdoucích ) smazat)

tedy důvěryhodnost celého logu je plně závislá na ůstředně (předpokládám na základě předchozích přispěvků) na které je ten log uložen a všech kdo měli přistup ke kabelu po kterém ta komunikace probíhala (tedy že se neměnily data na drátě)

"Dotčeným institucím tedy spolu s Michalem Špačkem, Olafem Kolkmanem i dalšími doporučujeme obnovu certifikátů automatizovat, aby k podobným incidentům do budoucna nedocházelo."
Kdo z Vás to má? Řekněme pro EV certifikáty, které budete u vládních webů očekávat.

Fantastickou výhodou klasických faxů bylo jejich uživatelské rozhraní. Stačilo vědět, kam a kterou stranou se zakládá odesílaný papír, a umět vyťukat číslo.

Kdyz se tady populisticky hovori o vyhozeni faxu. Zkousel nekdo komunikovat oficialni cestou s velkymi japonskymi firmami?
V takove mega firme sedi pan Akio Fukusima a tresouci rukou je schopen podepsat faxovou zpravu kterou schvaluje urcity ukon. Napriklad - nakupujeme 20 linek na vyrobu kabelaze, 5 cisticek vody, a k tomu 100 sudu na radioaktivni vodu k tomu jako bonus. Pod tim rukou napsano odsouhlasil Akio Fukusima.

Vyrizovat ubytko na sluzebku? Jde to ale vezte ze v rakutenu si ho naklikate, ale tem babickam a dedeckum na druhe strane to vyleze faxem a mozna nemaji ani pocitac. Stejne se chovaji i bezne business hotely. Tohle je v te kulture ktera nechutne zkostnatele. V mnoha pripadech si proste s emailem nepochodite.

Vypada to ze 5 dolnopalcaku v zivote bylo v japonsku jen tak na vystave robotu ci vymennem studentskem pobytu a vubec nema sajna o mistnim zivote...

https://www.noted.co.nz/money/business/japan-has-a-bizarre-fascination-with-the-fax-machine/
https://kotaku.com/its-2016-and-im-buying-a-new-japanese-fax-machine-1785288793
https://www.bbc.com/news/business-34667380

A hlavne... nezapomenout na razitko:-) Doufam se mi zde nekdo nenakeca jak v japonsku miluji platebni karty proti penezum nebo vkladnim knizkam. Tak kdo mi da palec dolu?

Upřímně řečeno mě Japonci příliš nezajímají. Jejich boj. Zcela mi postačí, když se s jejich pomateností potkávám prostřednictvím rozbitých aktualizací softwaru, které se snaží aplikovat další japonskou demenci v podobně potřeštěného letopočtu.

Kdyby jenom Japonci... Jeden můj známý obchoduje s jistou US firmou z oboru zbrojní výroby. Jediný způsob, jak s nimi komunikovat, je telefonicky nebo faxem. Ta firma nemá ani web a jediný způsob, jak získat inforormace o jejich sortimentu, jsou tištěné katalogy nebo osobní jednání na veletrhu. A vystavují zásadně pouze na americké Shoot Show.

Zaujala mě ta zpráva o podvrženém emailu od Tomia a že k tomu sestavili komisi :-)

Je příšerné, že naši poslanci si posílají věci přes freemaily a věřím, že i úložiště typu ulozto jsou plné zajíavých věcí.

Mě napadá vtípek:
Potkají se dva ajťáci. "Tak jak se vede? A co vlastně děláš?" Druhý odpoví: "Ale, nebudeš mi věřit, spravuju teď servery poslanecké sněmovny". "Ty jsi změnil práci? A kolik ti platí?" "No ... zatím nic, ještě o tom neví"

Nechápu, co tam můžou mít za "zastaralý systém", že by nějaký pohuněk za éry ministra IT (dnes již neexistujícího ministerstva) spatlal něco ve stylu Postfif/Squirrel Mail a teď už to někde hnije a nikdo to nespravuje?
Asi je nejvyšší čas utratit další peníze a koupit MS Cloudovaný mail, aby jsme za pár let (až vyřešíme Huawei) mohli řešit možné riziko cloudů MS (třeba bude Trumpa zajímat Babišova pošta :-))

No nevím ... a tohle si platíme ze svých daní :-(