Hlavní navigace

Názor ke zprávičce Internetový uzel NIX.CZ se stal kritickou infrastrukturou státu od Adam Kalisz - Nevím, jak levné nebo drahé to je. Nepsal...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 9. 1. 2021 22:12

    Adam Kalisz

    Nevím, jak levné nebo drahé to je. Nepsal jsem, že bych analyzoval, co tam nejvíce běhá, ale že bych analyzoval různá chování a dokonce jsem psal hodně konkrétně, jaké technické řešení je z mého pohledu schůdné. To je docela rozdíl.

    Jak jsem psal. Současné čipy prakticky celou funkcionalitu, kterou můžu dohlédnout, již mají a v případě NIXu se jí hodně nevyužívá, protože jde podle všeho o L2 switching. Pokud jsou ty switche skutečně programovatelné, tak by možná šlo tuto funkcionalitu přidat i "uživatelsky". Jinak je samozřejmě otázka, jestli by pro něco takového nešel vytvořit (nebo adaptovat) nějaký framework.

    Jak jsem psal. Lze toho dělat víc, než si můžeme představit a lze (automaticky) upozorňovat na výrazné anomálie. V podstatě je to podobný (značně oslabený) přístup, jako podle kusých informací používá NSA, tak to asi tak špatné z hlediska obsažené informace nebude ať už si o takovém počínání myslíte cokoliv. Ta metadata tam prostě jsou. Dokonce i nárůst komunikace např. s Torem apod. je takto zjistitelný. Je zjistitelné, že nějaká firma nasadila pravidelný backup do cloudu nebo to je třeba exfiltrace dat. Kdo ví, ale je to určitá informace navíc a po zkušenostech, co jsem nabral, bych ani na takové drobnosti neplival. Bezpečnost je o tom, mít různé slupky a mít jich dostatečné množství. Pravděpodobnost, že některá poskytne klíčovou informaci je potom docela slušná. Já podobným způsobem třeba zjišťoval, že je něco v provozu, co jsem myslel, že v provozu není a už vůbec, že komunikuje např. s jinou pobočkou. Udělat něco takového nad histogramem, nebo vygenerovat z dat graf, kde různé anomálie jsou často vidět na první pohled i v milionech nodů, není opravdu na dlouho.

    Není ani na Vás, ani na mě hodnotit, jestli by to skutečně šlo. Udělat třeba projekt na nějaký prototyp a zhodnotit, jestli se to bude vyvíjet dál a na jaké bázi si musí rozhodnout NIX a členové. Třeba by se rozhodli vystavovat souhrny jako open data apod. Umím si představit, že by vznikl třeba portál na způsob Shodan, který by registrovaným ISP a dalším členům řekl, které z jejich IP se chovají divně a proč. Pro připojené nemocnice, které jistě mají známý rozsah IP, by třeba už jen nečekaný nárůst toku dat v hodinu, kdy to není běžné mohl varovat, že něco není ok. Byl by to další dílek do bezpečnostní skládanky, kde se většina lidí i právě v institucích jako jsou nemocnice chytá stébla.

    9. 1. 2021, 22:15 editováno autorem komentáře