Odpověď na názor
Odpovídáte na názor k článku CZ.NIC představil router Turris Omnia NG, má 10GbE porty a třípásmovou Wi-Fi. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelSmysl aktualizací chápu, to je triviální, ale nebylo to poprvé, kdy automatické aktualizace rozsypaly důležité systémy a způsobily škody za milióny. Podobně jako nezáplatované systémy někdo naboural a způsobil velkou škodu.
Je mnohem víc případů s mnohem většími dopady, kdy je problém v chybějící aktualizaci, než těch, kdy aktualizace způsobí problém.Měl jsem na mysli případy, kdy router není potřeba aktualizovat tak často, třeba router na interní síti, který nemá přímý přistup na internet.
Pojem interní síť se používá špatně. Většina lidí pořád chápe pojem „interní síť“ v tom významu, který to mělo před třiceti lety, kdy byl „zlý nebezpečný Internet“ (tenkrát nás ani ve snu nenapadlo, že to může být tisíckrát horší); pak byla DMZ, kde byla obousměrná komunikace s internetem a byla snaha, aby tam bylo bezpečno, ale stejně to bylo radši oddělené; a pak byla interní síť, ze které se komunikovalo jenom ven a ta byla bezpečná.No a interní síť je od té doby stále považována za bezpečnou – ale v drtivé většině SOHO sítí máte mobily návštěv, které jsou druhým koncem připojené k operátorovi; máte tam různé IoT, tiskárny, kde kdo tam má nějaké Windows 7 či 8.1… Takovou síť rozhodně není možné považovat za bezpečnou. Je to jen o malinko menší džungle, než internet tam venku.
Takže router v interní síti možná nebude napadnutelný v první vlně, kde se útočí přímo na veřejné adresy. A to ještě pokud na něj není nasměrován třeba portforwarding. Ale jakmile začnou napadená zařízení v síti hledat další síle útoku, je na ráně také.
A to může být případ právě tohoto Turrise, kdy uživatelé pod tlakem nákladné koupě si vytvoří představu že to zařízení musí být aktuální protože si to zaslouží (jak zařízení, tak uživatel).
To není pod tlakem nákladné koupě. To je prostě fakt, který platí pro všechna zařízení připojená v SOHO sítích – ta zařízení potřebují automatické aktualizace. To je to nejjednodušší, co se dá pro bezpečnost té sítě udělat.A pak pak se jim to rozsype s aktualizací, kterou nebylo potřeba dělat, protože changelog nikdo nečte.
To je ale v pořádku, že ho nikdo nečte. V SOHO sítích k těm aktualizacím má docházet automaticky, není důvod ani znalosti posuzovat podle changelogu, zda je to potřeba. Stále platí, že je mnohem pravděpodobnější, že se to rozsype kvůli absenci aktualizací než kvůli tomu, že jsou zapnuté. Navíc podle changelogu stejně nepoznáte, jaké všechny to má bezpečnostní důsledky.
