Vlákno názorů k článku Úniku dat 148 milionů lidí bylo možné zabránit, kdyby fungovalo IT oddělení od petr - No z me zkusenosti, je to tak bohuzel...
-
petr (neregistrovaný)
No z me zkusenosti, je to tak bohuzel vsude. Papir snese vsechno. TUV to podepise a vsichni jsou spokojeni. Je nejaka oblast kde se skutecne testuje, dokumentace odpovida realite, resi se bezpecnost? Mam zatim zkusenosti s enteprise podnikovymi systemy, automotive, drazni technologie, medicinske pristroje, automatizace ve fabrice. A vsude hruza a naprosty slendrian. Je kde si spravit chut? Jak je to v bankach, leteckem prumyslu nebo obrane a kosmonautice?
-
LDASCZ (neregistrovaný)
Jestli nejseš IT, tak je ti to k ničemu. Protože bankovnictví se bere jako celek a to, že do bankomatu jiný vstup skrz kartu či teď novou bezkontaktní metodu není (krom fyzické). Jinak jestli si myslíte, že bankomat je připojenej na normální internet tak jste hovado. A jestli chcete vykráct bankomat jako hackerská legenda, která si dokázala vybírat peníze bez karty na účet banky tak to chce rozhodně jiný lvl myšlení a talentu než jak je to vaše.
-
Přezdívka: * (neregistrovaný)
Samozrejme ze nebudou mit verenou statickou IP volne hozenou do prostoru ale verte mi ze uz jsem videl par bankomatu do ktere ho sel obycenej UTP kabel(pravdou je ze uz je to asi 6 let). To jestli to ma vnitrni protokoly a uzavrenou sit nic neznamena, stejne to nakonec u neceho pripojeneho k internetu konci. Podivejte se na posledni pripad online vykradeni banky ... Socialni Inzenyrstvi, slaba hesla a nekolika mesicni sledovani pohybu zamestnancu a to vcetne kamer. Nakonec se utocnici dostali i do uzavrenych podsystemu. Je samozrejme pravda ze vsechno je banka od banky a kazda si muze dovolit neco jineho. Nicmene interni systemy vetsich ceskych bank by ste fakt realne nechtel videt. Rozdhodne jsem tu nechtel rozjet debatu o tom jak jsou nebo nejsou bankomaty pripojeny a ani si to netroufam tipovat do tohohle jsem nikdy pristup nemel.
-
Petr K. (neregistrovaný)
Bankomaty jsou zcela normálně připojeny do internetu (nebo přes přilehlou pobočku), akorát samozřejmě nemají otevřené porty do světa a přes IPSEC komunikují se serverem banky. Administrátorský přístup je potom samzořejmě také jen z bankovní DMZ no ale i v tomhle světě se najdou vyjímky, kdy třeba vnitřní síť v bance je přístupná z wifi se zcela trivielním heslem a podobně. Bohužel jsem už viděl ledacos a z vlastní zkušenosti bych řekl že čím víc certifikací a interních postupů tím větší reálný bordel. Většinou na papíře je to krásně popsané, ale v reálu se soulad s dokumentací řeší jen před auditem a jinak je to každému fuk. Striktní hlídání bezpečnosti jsem viděl akorát v jedné menší firmě, tam byl jeden kritický projekt a na něm SLA, co by v případě úniku dat firmu položilo. Takže to majitel držel v lati.
-
petr (neregistrovaný)
No ja prave s tratovym zabezpecenim mel neco spolecneho konkretne Italske SCMT, ale take svycarske komponenty co papirove splnovaly SIL4. Papirove. Stejne to nefungovalo podle jasne specifikace, byla ta defaulti a trivialni hesla. Bastlili to vyvojari prede mnou doslova na koleni (laptop na kline). Nejak se mi nechce verit, ze letecky prumysl je lepsi.
-
Trident (neregistrovaný)
V nemecku byvala jeste rada bankomatu dokonce na frame-relay. U nas tech ISDN bankomatu moc neni (asi nejspis jen velka mesta nebo prazaci), nebot jednak historicky natahnout linku k bankomatu byl problem na dlouhe lokte (jakkoukoliv) a jednak historicky i levna komunikace pres D kanal byla v CR tak nechutne draha ze se na to banky vykaslaly. To byl koneckoncu duvod proc se velmi brzo zaclo u nas resit pripojeni bankomatu pres GPRS.
-
none (neregistrovaný)
Tipuju to druhe. Je mnoho mist, kde je bankomat v interieru pripojen dost ledabyle - napr. privezou bankomat, prirazi ke zdi u zasuvek, ale tam to nepripoji, protoze bankomaty tam uz jsou dva dalsi, takze tam nacpou klasickou prodluzku, kterou rovnou nechaji valet tak, aby to kazdy mohl rozpojit. Ethernet ze zdi to same, ale tam jsou 2 dvojzasuvky dost od sebe, takze k tomu tretimu pak vede metr vzduchem volne 3metrovej UTP kabel, klubko volne lezici ladem. Jelikoz je to treba i exponovane misto, tak nahodile vypadky asi nejsou nic neobvykleho. Tohle muzete videt snad v kazdem vetsim obchodaku. Pokud je to na GPRS/LTE, tak zas dost casto rovnou na horni hrane klasicka magneticka antenka a kablik pak vede nejakou "vhodne navrtanou" dirou.
-
Cabrón (neregistrovaný)
Velmi pravděpodobně popisujete moje dílo :-) mám bankomatů na svědomí několik set, převážně v Praze a v obchodních centrech po ČR. Je to jak popisujete, nesere se s tím ani jedna z dodavatelských firem. Využije se, co se dá.
Je-li tam bezdrát (většinou je, omezuje to náklady na logistiku a přípravu místa), používá se GPRS, 3G nebo dnes LTE router (Digi nebo Huawei), ven se dává magnetická anténa, v případě České Spořitelny (která má těla z nemagnetického nerezu) je anténa magnetem přilepena k plechu :-D
Vzduchem to jde přes privátní APN do datacentra poskytovatele, odkud to zpravidla jde veřejným internetem přes IPSec do několika datacenter operátora ATM. Samotný provoz je ještě navíc end-to-end šifrován, takže ani "my" nevidíme dovnitř.
V případě lokální konektivity (LAN nebo Wifi pronajímatele prostor) to jde IPSecem přes internet k nám a pak zase dalším tunelem do banky.
-
KateStříbrný podporovatel>Mam zatim zkusenosti s enteprise podnikovymi systemy, automotive
Tam mám zkušenosti taky a většinou byla kvalita IT automotive klientů dost závislá na tom, jestli už přišli o miliony, nebo ještě ne. V té první kategorii to často nebylo tak zlé, ta druhá kategorie byl často člověk typu synovec majitele co umí splácat z komponent PC a nainstalovat Windows… Na stranu druhou, je sympatické když je firma tak otevřená, že všechny své výkresy volně vystavuje ke stažení na internetu :)
-
KateStříbrný podporovatel
V jednom případě byly po firmě dokonce i wifi AP s heslem stejným jako SSID a všechny výkresy se volně válely na přes sambu sdíleném disku. Upozorňovat nemělo cenu, „vždyť to nikdo neví“ stačilo. Vědět to zákazníci té firmy, zhrozí se.
Ještě vlastně měli skvělý bonus pro případné zloděje, všechny bezpečnostní kamery byly z té sítě přístupné stejně jako výkresy :) Fajn pro sledování hlídače na mobilu.
-
Přezdívka: * (neregistrovaný)
To s temi kamerami je super :D
V jedne firme to tak taky meli. Sice meli super DVR system pro nahravani apod. Ale kamery byly standardni IPcka bez hesla na livestream skrze rtsp. Nikdo k nim nemel mit pristup(dle vedeni) jenom zamestnanci prisli na spravne IP adresy a pouzivali to pres VLC jako Interphone ke vchodovym dverim aby videli kdo prisel ... -
JT (neregistrovaný)
sefova smirovala kolik lidi stoji u skladu, kolik jich kouri a kolik myje auta na jeji prikaz....tak jsme tyhle situace nahravali, dokonce i za ruznyho pocasi a pak je pousteli jako stream. Nic slozityho, navic to bylo 1FPS nebo nejaka takova mizerna rejta, takze to bylo fakt easy podstrcit.
-
Noname (neregistrovaný)
Pokud vim, tak banky na to sice ser*u, ale o neco mene, nez jine firmy. Preci jen jde o prachy a to prachy hodne klientu. Vetsinou se tam testuje a delaji se i penetracni testy a to i nezavislou externi firmou. Ale jinak i v bankach plati, ze kdyz jim reknete "tadyhle mate chybu/diru" tak se dozvite akorat "vy tomu nerozumite" - vcelku chapu lidi, kteri se pak nastvou a fakt na banku pres onu slabinu zautoci.
-
Trident (neregistrovaný)
Banky ale byly vzdycky tahouny IT. Tedy banky. Nikoliv "banky". Pri tom mnozstvi dat to dava smysl.
To pokrivene chapani bank kde je trezor s hromadou penez a na prepazkach hromada uredniku dela nejdulezitejsi zpracovani dat je relikt nasi cesko-slovenske minulosti kdy IT a telekomunikace byly neskutecne zastarale a vetsina cinnosti jela jen pres davkova automaticka zpracovani (dodnes tak jede clearing) a uredniky. Tehdy to skutecne fungovalo jako vylepsena technologie 18teho stoleti. Jeste na zacatku 90tek pouzivala ceska sporitelna microfiche:-)))
-
AR (neregistrovaný)
Záleží na společnosti. Technologická firma s vlastním vývojem unikátních řešení a bolestivou zkušeností s cílenou průmyslovou špionáží (málem to firmu položilo, min. 200 - 250 000 000Kč za vývoj vyletělo oknem, nehledě na ušlý zisk a patenty), bude pravděpodobně mnohem zabezpečenější, než většina bankovních institucí. IT spolyká ohromné finanční prostředky, minimálně 2x ročně se podrobuje bezpečnostním auditům a všude se nasazují DLP řešení. S bezpečnostními provinilci se nikdo nepáře, důsledně se dbá na každý detail. Od telefonů, tiskáren, kopírek, ... až po datová pole.
Prostě neexistuje, že by firma přešla třeba na cloudové řešení. Majitel a zakladatel prohlásil "vlka také sliboval" a tím to hasne. Už je to 17 let, ale stále více se přitvrzuje v požadavcích na bezpečnost. Situace se nesmí opakovat a potom se nemůžete divit, že investované prostředky atakují astronomické sumy a dodavatelů (drsné podmínky a odpovědnosti) je jako šafránu. Tři, čtyři roky zpátky, byl problém se zabezpečením FortiGate (nasazený pro PLM systém Dassault) a bezpečnostní oprava nebyla dodána do stanoveného termínu (což bylo asi 10 dnů s dodatečnou záložní kontrolou). Skončil jak FortiGate, tak i dodavatel a platil smluvní pokutu. Smůla, ale paranoidní přístup (zaplacený) má něco do sebe.
Sice se nezabýváme bankovním sektorem, vlastně ani zbrojními systémy, ale vyrábíme špičkové technologické materiály pro letecký průmysl.
-
AR (neregistrovaný)
Zálohovat se člověk naučí až v okamžiku ztráty dat.
Z nepříjemné zkušenosti se stal neúnavný strašák, který neustále běhá pro prostorách a děsí všechny okolo. Zjistilo se, že zákazníci na kvalitu a bezpečnostní politiku společnosti slyší. Chráněné technologie neuniknou a kvalita se nesnížíla. Voda na mlýn nejprestižnějších zákazníků a projektů.
