Vlákno názorů k článku
NÚKIB varuje před TikTokem
od Petr Derryk - NÚKIB? To je ten samý úřad, který varoval...
-
NÚKIB? To je ten samý úřad, který varoval před používáním produktů Huawei, jen proto, že někdo někde bez jakýchkoliv důkazů označil Huawei za špionážní? Zřejmě jen z politických a obchodních důvodů? A ani zpětně nepodložil důkazy, které by oprávněnost tohoto varování opodstatnily?
Škoda. Význam vyhlášení tohoto úřadu je tímto devalvován a budou brány na lehkou váhu bohužel i v případě oprávněného varování.
-
Naopak, nejsem tak naivní, abych věřil nějakému tvrzení bez jakéhokoliv doložení. Netřeba zveřejňovat informace od tajných služeb. Od začátku anabáze Huawei roku 2018 se nezveřejnilo doložení deliktu z kterého bylo Huawei nařčeno. To ať mi nikdo neříká, že by se něco v milionech prodaných zařízeních nenašlo, pokud by na tom opravdu bylo zrnko pravdy. Varování NÚKIB vypadají jako bezhlavě a slepě kopírující zahraniční, které však jsou více než z bezpečnostních založeny na politických a obchodních důvodech.
-
Nepodceňuji bezpečnostní rizika. Naopak jsem z bezpečnostní situace zhrozen. Proč není podobným způsobem varováno před použitím Windows se zapnoutou a zcela nevypnutelnou telemetrií? Jak může být takový produkt tolerován ve státní správě? Nebo se ve státní správě používají jen LTSB/LTSC verze s bez telemetrie? Proč nebylo vydáno varování před sběrem dat AVAST!em? Nebo sběr dat a útok na soukromí není bezpečnostním rizikem?
Myslíte, že bych dostal jinou odpověď než:
„K vydání varování jsem přistoupil na základě komplexní analýzy informací o aplikaci TikTok, které jsme získali jak z veřejných zdrojů, tak od našich spojenců. Množství sbíraných dat a nakládání s nimi, v kombinaci s právním prostředím v Číně a rostoucím počtem uživatelů v České republice, nám nedává jinou možnost, než označit TikTok za bezpečnostní hrozbu,“ ?Nemohla by mi být dána konkrétnější odpověď, protože NÚKIB, žádné šetření sám neprováděl. Jen analýzu dat dodanou třetími stranami.
-
až na to, že telemetrie se ze serverů v kritické infrastruktuře třeba vůbec neposílá, lze jí vypnout (MS dodává i extra patch), lze jí zablokovat na sítí (MS má dokumentované servery, na které se to posílá). Pořád se jedná o telemetrii, MS k tomu má dokumentaci, co které struktury obsahují, můžeš se na to sám podívat, data nejsou šifrovaná (kromě https) a jsou čitelná.
Opět, Avast sbíral údaje, které sám dokumentoval, netajiil se s nimi, jen je poté využíval k jiným účelům (Jumpshot) než všichni čekali. To, že kontroluje každou navštívenou adresu je přece základ fungování antiviru.
To jsou dost nesrovnatelné hrušky, co tady prezentuješ. Očividně nerozumíš o čem je počítačová bezpečnost a prevence. Bezpečnostním incidentům se má předcházet, pokud nějaká aplikace či technologie není dostatečně otevřená, komunikativní, sankcionalizuje kohokoliv, kdo se snaží dělat bezpečnostní výzkum, schovává odhalené zranitelnosti (vč. těch již opravených) pod státní aparát jako tajné dokumenty, má za sebou již několik podezření ze špionáže, jde velice těžko takové aplikaci věřit a nechat jí bez problémů fungovat v kritických systémech. Vůbec nemusí jít o to, že má teď nějakou zranitelnost, ale že ta možnost tady je a je velice pravděpodobná. Jaké jiné šetření bys od NÚKIBu očekával?
Co třeba u Tiktoku považuje za šílenost je skenování ostatních zařízení na stejném segmentu sítě a posílání těhle informací ven. Vůbec nejde o metriky, ta aplikace vysává různorodá data z telefonu, maskuje je při posílání.
-
patch se nedá normálně stáhnout. Každopádně existují návody, jak minimalizovat zasílání dat. Poté existuje seznam adres, které můžeš zakázat na firewallu/routeru (např. sqm.microsoft.com).
Je to posílání nepříjemnost, ale zase se k tomu MS staví otevřeně, uvádí co sbírá a proč, každá ze služeb, která něco posílá používá vlastní cílovou doménu, takže to lze snadněji filtrovat.
-
bez důkazů, co Addis Abeba? Asi naprostou shodou náhod zrovna náš cz generální Radoslaw Kedzia tam v té době působil.
Hlavní problém Huawei je jeho neprůhlednost, Čínské tajné služby mají do něj přímý přístup, už několikrát toho zneužily.
Mimochodem, Huawei má zatím největší počet bezpečnostních děr pokud jde o routery a switche v enterprise, žebříček jednoznačně vede, i tohle je do nebe volající, nikdy nevíš, jestli to je úmysl nebo opravdu chyba, s Čínskou vládou se kolem toho nedá komunikovat a chyby mezinárodní dohody, které by rámce odpovědnost definovaly.
-
ty klíčová slova tam máš. Jak chceš posuzovat relevantnost bezpečnostních upozornění, když se v oboru nepohybuješ a ani nevíš jak a kde hledat evidované incidenty?
Ten obor je velice obtížný, těžko se rozlišuje úmysl od pochybení, někdy záleží opravdu jen na maličkostech.
Ono už jen to, že databáze aktivně zneužívaných backdoorů u Huawei zeje roky prázdnotou, bezpečnostních slabin se hlásí pořád hodně, ale on Huawei sám nezaznamenává žádné zneužívání?
-
Krádež dat z Centrály Africké unie v Addis Abebě
https://cs.wikipedia.org/wiki/Huawei#Kr%C3%A1de%C5%BE_dat_z_Centr%C3%A1ly_Africk%C3%A9_unie_v_Addis_Abeb%C4%9B -
k tomu bych ještě dodal, že NÚKIB se primárně stará o bezpečnost státu a důležitých služeb/firem, jeho varování míří přesně tímhle směrem. Těžko ti někdo bude zveřejňovat důkazy, proč které firmy vyloučil z kritické infrastruktury, často ty důkazy jsou měkké a stačí pouhé podezření, shopnost něco udělat či dlouhodobá nedůvěryhodnost, riziko je totiž velice vysoké a malé zaváhání může být fatální.
Nikdy ale stát a ani NÚKIB u nás nezakazoval, co si za router můžeš pořídit domů na internet. Tak tvrdé a závažné ty důkazy zatím nejsou a společenské riziko je v tomhle případě daleko nižší.
Huawei na to vše reaguje, že je otevřený jednání, nebrání se ukázat zdrojové kódy a návrhy, chyby chce řešit transparentně atd. Zatím se ale nic takového neděje, komunikace s nimi je složitá, technické dokumenty jsou asi strojovým překladem z čínštiny, což nám technikům moc nepomůže, když u popisu routeru mluví o květech a stromech, že.
