Názory k článku
Útočníci využívající DDoS se přesouvají z IoT na napadené VPS

Jenže ta zařízení jsou v drtivé většině v rukách laiků, kteří vůbec netuší, proč by měli hlídat zranitelnosti, potenciální zranitelnosti, neustále o zařízení pečovat... - nejsou to experti, odborníci. Předpokládají, že se zařízení samo aktualizuje a funguje.
Autem taky jezdí spousta lidí, kteří umí akorát kroutit volantem, a vědí, kudy se do toho leje benzín či nafta - a platí povinné ručení, jezdí na servisní prohlídky a dvakrát do roka na přezutí pneumatik.
Pokud jim někdo ukradne auto a nabourá s ním do výlohy zlatnictví, které se chystá vykrást, taky po nich nechce policie zaplatit škodu za ukradené šperky, zničenou výlohu a pokutu za jízdu po chodníku a špatné parkování. Majitel je odpovědný, ale má to své hranice.
Takže máte-li router (VPS, webkameru...) správně nastavenou, nastavené automatické aktualizace, a alespoň nějaký firewall, máte-li to provozované podle návodu, pak jste jednoznačně oběť - hnát vás k odpovědnosti je neefektivní.

a? Neznalosť neospravedlňuje.

Aj auta sú v rukách laikov a preto sa chodí na technickú kontrolu.

To by musela být neznalost už na úrovni neznalost návodu k použití.

Ta technická kontrola je ostatně taky předepsaná - a musí na ni i auto zkušeného automechanika (ať je to sebeznalejší odborník).

Aj auta sú v rukách laikov a preto sa chodí na technickú kontrolu.

Krom toho že to není pravidlem (v jiných státech), tak u nás se chodí až po nějaké době (4 roky). Takže 4 roky můžete provozovat nebezpečné auto. Navíc auto můžete opravit a připravit na technickou kontrolu, close source software výrobce routeru opravíte těžko.

Krom toho, nebavíme se tu jen o jednom zařízení, bavíme se tu o všech zařízeních připojených na internet. To je jako kdybyste vyžadoval technickou po kolách, kočárkách, a dokonce technickou chodců. Navíc chodce starší jak 50 let byste vůbec na chodník/silnici pustit nemohl, protože můžou svým jednáním (třeba se jim zamotá hlava) způsobit vážnou dopravní nehodu.

Není v možnostech normálního uživatele uhlídat všechny zařízení, navíc v době kdy už i pračka je připojená na internet. Mnohdy to není ani v možnostech člověka který se tím zabývá (protože prostě neexistuje dokumentace o tom kam se taková pračka má správně připojovat, proč se tam připojuje a co posílá za data...)

13. 4. 2023, 15:28 editováno autorem komentáře

Pan Jirsák žije v hodně zvláštní realitě. Když si představím, že bych třeba po svojí mámě chtěl znalosti ohledně routeru, tak mám záchvat smíchu. Navíc v reálu je to ještě složitější - sám jsem měl problém s návodem k jednomu routeru, který byl špatný a daný postup vůbec nešel aplikovat.

Pánové, ja by som videl na to povinné zmluvné poistenie, ako u auta. Každé zariadenie, ktoré má potenciál byť napadnuté, by v cene obsahovalo štátom / úniou určenú poistku.

Neviem ako chcete dohľadávať vlastníka konkrétneho zariadenia ... ale v prípade poistky by to možno aj bolo jedno. Stačilo by sa dopátrať k poistnému číslu. Právne by to bolo určite zložité, ale to aj vyvodzovanie zodpovednosti voči súkromnej osobe.

A poisťovne by potom vytvárali ten tlak na bezpečnosť ... ak by museli platiť veľké odškodné, lebo nimi poistené zariadenia spôsobujú škody, tlačili by na štát / úniu aby prijala opatrenia.

Otázka znie, či by sa nám, slobodne mysliacim používateľom internetu, tie opatrenia páčili.

Máte na mysli <qm>pojištění odpovědnosti za škody?
To už přeci máme, s tím pojišťovny otravují rok co rok...

Zicho: Povinné smluvní pojištění nestačí. Tohle je perfektní příklad toho, kdy je mnohem levnější udělat opatření u zdroje problémů než pak řešit následky. Já nechci povinně platit tisíce korun ročně za pojištění, ze kterého se budou platit škody způsobené DDoSem a ransomware, jenom proto, že někdo chce ušetřit stovku na nákupu routeru jednou za pět let.

Povinné pojištění u aut také řeší nehody, ale ne to, že byste vědomě provozoval auto s vážným bezpečnostním problémem.

Pojišťovny by žádný tlak a bezpečnost nevytvářely – neměly by na to žádné páky ani žádný důvod. K tlaku na stát/EU by neměly důvod – protože kdyby se přijala nějaká opatření, zmenší se škody, zmenší se pojištění, a pojišťovna z toho ve výsledku nebude mít nic.

Nemůžete 4 roky provozovat nebezpečné auto, protože auto, které vyjede z továrny, samozřejmě také musí splňovat podmínky technické kontroly.

To, že closed source software výrobce routeru neopravíte (a neopraví to ani výrobce routeru) je právě špatně. Výrobce od toho dává ruce pryč a říká „zákazníci to nechtějí“. Zákazník od toho dává ruce pryč a říká „výrobce to takhle dodal“. Někdo za to musí být zodpovědný – buď výrobce, který bude muset mít nějakou certifikaci a výrobky bez této certifikace bude zakázané prodávat. Nebo za to bude zodpovědný vlastník – a třeba bude dávat přednost výrobkům s nějakým certifikátem, který si výrobce dobrovolně nechá udělat, aby výrobek snáz prodal. Ale vlastníkovi to nebude bránit koupit něco necertifikovaného, pokud to zvládne provozovat bezpečně. Já jsem pro druhou variantu, dává větší svobodu vlastníkům, ale řešitelné je to samozřejmě i prvním postupem.

To, že za to bude odpovědný uživatel, neznamená, že si to musí sám hlídat. Stejně jako si lidé sami nehlídají, jestli jejich auto splňuje technické normy, nehlídají, zda jejich elektrická zařízení splňují příslušné normy, nehlídají, jestli zařízení s radiovou částí splňují normy na elektromagnetické vyzařování. Místo toho to dělají tak, že nakupují výrobky, které tohle splňují. V případě zařízení připojených k internetu po nich ale nikdo takovou obezřetnost nechce – což je chyba.

Kola, kočárky ani chodci nemůžou způsobit tak velkou škodu, jako auto. Libovolné zařízení připojené do internetu takovou škodu způsobit může.

On mr jirsak vubec netusi, jak takovy ddos vypada, a proto zde oblazuje svymi moudry.

Pokud budu pachat na nekoho ddos ja, tak to bude nekolik malo req/s per IP = zcela neviny a regulerni provoz, jen tech ipcek budou miliony.

Koho bych pak jako pripadny provozovatel mel tedy od te sluzby odstrelit?

bez prezdivky ...: To, že neumíte číst, není můj problém.

Tyhle moudra… zacnem trestat obeti znasilneni ze meli minisukni nebo pouzili make up?

To je nesmysl. Když si někdo koupí zařízení, jehož bezpečnost ho vůbec nezajímá, je to jeho chyba. Kdyby někdo uložil zbraň do trezoru, který by měl nefunkční zámek, byl stále otevřený a majitel to věděl, bude zneužití té zbraně také chyba jejího majitele. Nikoho nebudou zajímat jeho výmluvy, že je také oběť a že chudák jenom koupil nejlevnější trezor. Prostě platí, že každý je zodpovědný za svůj majetek, a to zejména tehdy, když je ten majetek velmi nebezpečný.

Jenže tady se nebavíme o škodách způsobených provozem zařízení (aut, routerů...), ale o škodách způsobených zneužitím toho zařízení třetí stranou.
Tedy nikoliv to, zda auta či routery musí vyhovovat nějaké normě, podléhat technické kontrole (zda se nerozsypou za jízdy či nezpůsobí požár po explozi kondenzátorů), ale to, jak mají být zabezpečené.
Když zůstanu u těch aut: máte zámek a tím to končí - pokud je v autě imobilizér, tím lépe. Většina automobilistů si dokoupí nějakou další ochranu, ale obecně platí: Nemusíte mít dokonale zabezpečené auto, úplně stačí, když je zabezpečenější, než pár nejbližších aut na parkovišti.
To platí i (například) pro ty routery: nastavit silné heslo, nahrát bezpečnostní záplaty, pokud pravidelně upgradujete firmware, tím lépe. Ale v obyčejném paneláku je velmi pravděpodobné, že někteří sousedé koupili router, nastavili podle návodu - a admin:admin někde ve firmwaru ani nenajdou.
Přístup ale já to mám dobře, oni jsou na tom hůř je k ničemu, protože k tomu útoku může dojít tak jako tak.

Je potřeba najít a zavřít toho lumpa, kterej krade auta nebo útočí skrze zranitelné routery. Majitel ukradeného vozu nebo hacknutého routeru je jenom oběť. (A jako nevymáháte škody po majiteli ukradeného vozu, nebudete je vymáhat od majitelů hacknutých routerů - ani jedno totiž k nápravě nevede.)

13. 4. 2023, 17:01 editováno autorem komentáře

RRŠ: Ono je to úplně jedno. U nebezpečných věcí je prostě vlastník zodpovědný za jejich zneužití, ať je zneužije sám nebo to udělá někdo jiný. Třeba u toho auta nejde jen o zámek. Musíte mít auto pojištěné; nesmíte umožnit řízení nikomu, kdo není způsobilý; když se nedohledá viník přestupku, pokutu platí provozovatel. U toho routeru jde právě o to, že zodpovědnost vlastníka nemůže spočívat jenom v tom, že nastaví silné heslo. Jeho odpovědnost musí být i v tom, že nekoupí a nebude provozovat něco, co je už od výroby děravé.

Ani u toho auta to není úplně tak, že když se nedohledá viník přestupku, pokutu platí provozovatel - přesně případ, kdy vám je auto ukradeno, je jedna z variant. Takže když neznámý pachatel překoná zámek, jezdí po městě na červenou, prchá před policií nedovolenou rychlostí a nakonec odstaví auto na stání pro invalidy, tyhle přestupky na provozovateli vozu (úspěšně) vymáhány nebudou. (Byť toho lumpa nechytili.) Provozovatel zodpovídá jen za přestupky spáchané někým, komu umožnil vozidlo používat.
Což by u onoho hypotetického routeru odpovídalo například situaci, kdy někomu dáte přístupové heslo na wifinu (a nikoliv do sítě pro hosty.)

Kvalitu zabezpečení routerů v průměrném paneláku IMHO charakterizuje historka, kdy žák prvního stupně ZŠ v nočních hodinách brouzdá po Internetu, byť rodič veškeré sítě vypnul - prostě se připojí k některému ze sousedů s mizerně zabezpečenou wifinou.
Já jednoduchým scanem naladím 26 sítí, z toho je 6 zcela bez hesla (!) a 4 používají dobře známé heslo.

Ano, ale pořád u toho auta platí, že se musíte docela snažit, a když i to někdo překoná, jste vyviněn. Rozhodně to není tak, že koupíte ten nejlevnější šmejd, který nesplňuje vůbec nic, nebo necháte síť bez hesla nebo s výchozím heslem, a jste z obliga.

To auto stačí zamknout klíčem/zámkem z výroby - i u nejlevnějšího šmejdu na čtyřech kolech. Alarmy, imobilizéry a další zabezpečení jsou nadstandard.
Ale to nic nemění na skutečnosti, že ukrást auto je zločin - dokonce i když bude nezamčené, s klíčkem v zapalování. (A když se to stane během nakládání nákupu do vozidla, nikdo nebude tvrdit, že je to vaše chyba.)
Pokud by i ten nejlevnější router nastavili podle návodu, nebude bez hesla. Ale ani skrz nezabezpečený router nesmím spouštět nějaký útok nebo přesvědčovat cizí babičky, aby mi poslaly peníze.

13. 4. 2023, 18:53 editováno autorem komentáře

Ne, nestačí to auto zamknout klíčem. To auto navíc musí být homologované, projít technickou kontrolou, být pojištěné. Reálně tedy lidé mají mnohem kvalitnější auta, než kdyby si kupovali jen to nejlevnější, bez jakýchkoli dalších požadavků. To, jestli je zakázáno prodávat auta bez nějaké certifikace, nebo jestli je na vlastnících aut rozhodnutí, zda si pořídí auto bez certifikace a ponese za to zodpovědnost.

O tom, že iniciátor útoku má být za útok vždy trestně odpovědný, není sporu. Ale problém je v tom, že je technicky prakticky neproveditelné tyto osoby dohledat. Proto je potřeba to řešit i na straně těch zařízení, která fungují jako nástroj útoku. Protože ta zařízení holt jsou potenciálně velmi nebezpečná (podobně jako auta nebo střelné zbraně) a bez nějakého zabezpečení jsou snadno zneužitelná.

I to, že ten router musíte nastavovat podle návodu, je špatně. Do auta sednete a se znalostmi, které máte, ho můžete bezpečně ovládat (pokud neuděláte chybu). Stejně to má být s routerem – ten má mít bezpečné individuální heslo rovnou z výroby.

Ale pravdaže stačí (zamknout dvířka a odejít) - i ten nejlevnějšího šmejd na čtyřech kolech je homologovaný, po technické kontrole a pojištěný. (Mimochodem: ta homologace stačí - když vám ukradnou auto bez technické a nepojištěné, tak si jen přitíží - ale pokud takové auto jen parkuje na dvorku, tak opravdu stačí, že je zamčené.)

Když bude mít router bezpečné heslo přímo z výroby, tak potřebujete návod, abyste zjistil, jak se připojit - a dočtete se, že (a jak) si je máte změnit. ;o)

Není sporu, že ta zařízení by měla být nastavena na nějaké bezpečné úrovni, ale opravdu nelze přehazovat odpovědnost na uživatele, aby to udržovali stále bezpečné. Ostatně: i to auto projde technickou a nikdo netrvá na tom, aby si motorista šteloval karburátor na co nejlepší výkon, co nejnižší spotřebu, minimální emise...

Máte pravdu, že dohledat prvotní pachatele je náročné až k nemožnosti, ale to nesmí být důvodem trestat a šikanovat oběti přípravného útoku. Už proto, že tam rozhoduje spíš náhoda, než úsilí vynaložené na zabezpečení. I odborník může mít zařízení, u nějš se objeví závažná a neopravitelná zranitelnost - a nemusí se o ní dozvědět dříve, než je zneužita.
To se totiž dostáváme na úroveň slavné větu ze závěru filmu Casablanca: Zatkněte obvyklé podezřelé!
Už tenkrát bylo zcela zřejmé, že tím se problém nevyřeší. Trestáním a šikanováním obětí prvotního útoku se jen tříští síly, které by bylo lze použít k hledání skutečného pachatele.
Kromě toho: pokud odstavíte (zavřete do vězení?) třebas všechny majitele routerů se zneužitou zranitelností CVE-AAA, máte jistotu, že příští útok bude skrz CVE-BBB nebo CVE-CCC, prostě cokoliv jiného. Ale i jistotu, že příští útok bude.

i ten nejlevnějšího šmejd na čtyřech kolech je homologovaný, po technické kontrole a pojištěný.
Ano, to se vám celou dobu snažím vysvětlit. Že není možné, aby zákazník nevědomky vlastnil auto, které je víc nebezpečné, než je společensky uznáváno. V případě aut je odpovědnost zákonem rozdělená mezi výrobce a vlastníky. Já bych u internetových zařízení dával přednost tomu, že zodpovědnost bude čistě na vlastníkovi, který bude mít podporu nějakých certifikací. Ale dá se to udělat i tak, jako je to u aut, že všechna zařízení připojitelná k internetu budou muset mít nějakou homologaci a procházet pravidelnou kontrolou – ale tím byste pravděpodobně odstřihl třeba všechny nesupportované linuxové distribuce.

Když bude mít router bezpečné heslo přímo z výroby, tak potřebujete návod, abyste zjistil, jak se připojit - a dočtete se, že (a jak) si je máte změnit. ;o)
Ano, ale to je bezpečné řešení – nestane se, že nějaké zařízení jenom připojíte do sítě a ono už je v nebezpečném stavu.

Není sporu, že ta zařízení by měla být nastavena na nějaké bezpečné úrovni, ale opravdu nelze přehazovat odpovědnost na uživatele, aby to udržovali stále bezpečné.
Proč by to nebylo možné? Je to možné, a uživatel se sám rozhodne, jestli si to zvládne zařídit sám, nebo jestli si na to někoho najme, nebo jestli si koupí rovnou zařízení od výrobce s podporou.

Ostatně: i to auto projde technickou a nikdo netrvá na tom, aby si motorista šteloval karburátor na co nejlepší výkon, co nejnižší spotřebu, minimální emise...
Protože se počítá s tím, že když auto prošlo technickou kontrolou, je to nastavené dostatečně dobře. Taky nikdo nechce, aby uživatel šteloval u routeru ideální pokrytí WiFi. Chce se jenom to, aby ten router neútočil na jiná zařízení na internetu.

Máte pravdu, že dohledat prvotní pachatele je náročné až k nemožnosti, ale to nesmí být důvodem trestat a šikanovat oběti přípravného útoku.
Jak jsem psal, vlastník toho nezabezpečeného zařízení není jen oběť, je zároveň viník. Protože prostě vlastní zařízení, které je z principu nebezpečné a on se nepostaral o jeho přiměřené zabezpečení. Když vlastníte střelnou zbraň, také ji nemůžete nechat doma jen tak ležet na stole a pak tvrdit „já nic, já jsem oběť, vždyť mne okradli“.

Už proto, že tam rozhoduje spíš náhoda, než úsilí vynaložené na zabezpečení.
To není pravda. Zařízení, která jsou většinově zneužívána, jsou zařízení s dávno známými a opravenými zranitelnostmi.

I odborník může mít zařízení, u nějš se objeví závažná a neopravitelná zranitelnost - a nemusí se o ní dozvědět dříve, než je zneužita.
Nepotřebujeme řešit případy, kdy se někde objeví 0-day zranitelnost a hned to někdo zneužije. Potřebujeme řešit případy, kdy je zranitelnost známa měsíce a nikdo to neřeší.

Trestáním a šikanováním obětí prvotního útoku se jen tříští síly
Nejde o oběti, jde o viníky – ne toho prvotního útoku, ale toho, že nezabezpečili svůj majetek, aby neškodil.

které by bylo lze použít k hledání skutečného pachatele
To je nesmysl. I kdybyste původního pachatele našel, co s ním budete dělat, když bude v nějaké banánové republice?

Kromě toho: pokud odstavíte (zavřete do vězení?) třebas všechny majitele routerů se zneužitou zranitelností CVE-AAA, máte jistotu, že příští útok bude skrz CVE-BBB nebo CVE-CCC, prostě cokoliv jiného. Ale i jistotu, že příští útok bude.
Nikdo netvrdí, že to povede k zastavení všech útoků. Jde o to zastavit většinu útoků, kde je to zastavení snadné. Když někdo zneužívá zranitelnost, o které se ví měsíce, není to nic, co se nedá poměrně jednoduše řešit.

"To je nesmysl. Když si někdo koupí zařízení, jehož bezpečnost ho vůbec nezajímá, je to jeho chyba."

Jenže 99.9 % populace na to nemá mozek a z toho zbývajícího 0.1 % na to 80 % nemá čas. BFU ani nikdo jiný nemůže mít zodpovědnost za svoje zařízení, které někdo jiný zneužije k DDoS útoku.

Jenže 99.9 % populace na to nemá mozek
No a právě proto na to mohou existovat certifikace. Když kupujete lednici, také přece neřešíte sám její elektrickou bezpečnost.

"No a právě proto na to mohou existovat certifikace. Když kupujete lednici, také přece neřešíte sám její elektrickou bezpečnost."

A o kolik ta časově omezená certifikace zvýší cenu výrobku? Já si uvědomuji ten bordel v SW a SW podpoře výrobků, jenže je dost těžké představit si nařízení : všechny výrobky připojitelné k internetu budou muset mít bezpečný SW pod dobu XYZ a pokud ne, tak přijde pokuta. Bezpečnost SW je IMHO nedosažitelný bod a certifikace je tudíž o ničem.

Dělat prověrku/certi­fikace každého SW ve výrobku připojitelného k internetu - hodně štěstí při desítky let trvající náborové kampani a snu každého eurobyrokrata. Počet státních zaměstnanců se zdvojnásobí.

Jenže ony ty výrobky (lednice, auta, routery) nějaké certifikace musí mít i dnes.
A i když pominu, že drtivá většina routerů je nakoupena podle ceny, při nastavení podle návodu (který musí být v češtině!) by tedy měly být slušně zabezpečené.
Jenže: časem se nějaké zranitelnosti mohou objevit - a když to výrobce odmítne updatovat...

Jenže: časem se nějaké zranitelnosti mohou objevit - a když to výrobce odmítne updatovat...
A to je právě to, co může být také certifikované.

Tohle asi nebude reálné - i Cisco klidně odepíše staré routery, protože se jim nechce updatovat firmware (bylo by to drahé a postižených zařízení je málo.
Reálně by asi bylo možné zkusit běžnou reklamaci: pokud má router nějakou zranitelnost do dvou let od zakoupení, není pochyb, že tam byla od počátku - a nelze-li ji opravit (záplatou firmware), jde o vadu výrobku a důvod k reklamaci. (Můžu to zkusit - mám tu z Alzy jeden TP-Link... Ale nejspíš by mi to "omlátili o hlavu".)
Jenže: kolik zákazníků je reálně schopno se o takové vadě vůbec dozvědět?

Cisco klidně odepíše staré routery, protože se jim nechce updatovat firmware
Ale to je právě ono – „nechce“ se jim, protože jim to nikdo nezaplatí. Ale to je věc, kterou právě ta certifikace a odpovědnost vlastníka může řešit. Aby získal certifikaci, zaváže se, že bude poskytovat podporu třeba 5 let. Nebo jako je to běžně u softwaru – koupíte si to a v ceně máte podporu třeba na 3 roky, a když chcete další podporu na další roky, zaplatíte si ji.

Jenže: kolik zákazníků je reálně schopno se o takové vadě vůbec dozvědět?
Ale zákazník se o té vazbě nemusí dozvědět. Prostě se to zařízení automaticky zaktualizuje. Pokud jde o zařízení pro profesionální sektor, nemusí se aktualizovat úplně automaticky, ale musí tam být nějaký proces, jak se provozovatel o nutné aktualizaci dozví (opět – u softwaru už to dávno funguje). Ale opět tam musí být i ta odpovědnost provozovatele – protože když výrobce bude prodávat výrobek s pětiletou podporou za odpovídající cenu, a vlastník se rozhodne provozovat ho sedm let, nemůže za to nést odpovědnost výrobce.

Jak píšete: výrobce bude prodávat výrobek s pětiletou podporou za odpovídající cenu, a vlastník se rozhodne provozovat ho sedm let.
Drtivá většina těch zařízení má podporu maximálně dva-tři roky. Ale taky cenu, kterou je málo kdo ochoten každé dva-tři roky platit, a výkon, který postačuje pět-šest let.
Když se porozhlédnu po routerech, které mám pod dozorem, tak nejmladšímu jsou tři roky a nejstaršímu zhruba deset (rok výroby 2013). Všechny spolehlivě fungují, k plné spokojenosti uživatelů - a ti rozhodně nemají potřebu kupovat nové zařízení.
Tím spíš, že pokud jsou náhodou dotlačeni vyměnit starý spolehlivý router za nový (dodaný ISP, se spoustou úžasných novinek), obvykle ta změna znamená zhoršení služby. (Je tu nové IPTV, běhá na tom Android, umí to multimédia, ale nastavit si vnitřní síť tak, aby to fungovalo, jako dosud, to už nelze, IPv6 to neumí a tunel nepodporujeme, firewall si nenastavíte, ale lze zapnout rodičovskou kontrolu... - a hlavně nemůžete použít svůj router, protože to připojení je vázané na náš hardware, a když si dáte svůj router za to, polovina věcí stejně nebude fungovat, protože je blokujeme. To je stručná parafráze asi hodinového rozhovoru s technikem uživatelské podpory. )
V takovém případě je navíc ten router mimo kontrolu uživatele, protože administraci si na dálku dělá ISP. A představa, že by svou chybu nehodil na koncového uživatele je v našem specifickém prostředí směšná až k pláči.
Reálně to jediné, co drtivá většina uživatelů je schopna a ochotna řešit u svých zařízení (kromě ceny), je rychlost připojení a heslo na wifinu - a pak ať to dobře samo funguje, a ať všechno spraví restart. (Ukažte mi volant a kde se do toho leje beznín.)

Drtivá většina těch zařízení má podporu maximálně dva-tři roky. Ale taky cenu, kterou je málo kdo ochoten každé dva-tři roky platit, a výkon, který postačuje pět-šest let.
Ale to je právě ten problém, že někdo ušetří pá stovek za několik let, ale to zařízení pak způsobuje jiným škody v řádu tisíců nebo víc. A jde o to, jak tyhle externality převést zpět tam, kde vznikají.

Reálně to jediné, co drtivá většina uživatelů je schopna a ochotna řešit u svých zařízení (kromě ceny), je rychlost připojení a heslo na wifinu - a pak ať to dobře samo funguje, a ať všechno spraví restart. (Ukažte mi volant a kde se do toho leje beznín.)
Ano, a to je právě ten problém – že uživatele dnes nemusí zajímat, že jeho zařízení škodí ostatním. A to je potřeba změnit.

Jenže tak krátká podpora není (jen) u routerů za pár stovek, ale i u těch za pár tisícovek. Z běžných typů znám jen dva, kde si (z vlastní zkušenosti) troufnu říct, že jsou spolehlivě podporované léta: Synology a Turris.
U těch ostatních je situace horší. Navíc mají uživatelé obvykle pocit ten novej router funguje perfektně,/q> - a už jim ani nedojde, že je novej čtyři roky.
reálná životnost těch zařízení je prostě mnohem delší, než podpora.

A nejde jen o routery. Už jsem zažil situace, kdy se například banka dožadovala instalace bankovního klíče na mobil, ale model 2016 byl pro ni příliš starý, byť Android tam byl vcelku zánovní.A kupovat si co dva roky nový chytrý mobil (rotože podpora Androidu posledních 3 versí</>), abych mohl používat bankovnictví na počítači - to mi připadá taky jako hloupost.
Nová pračka se sušičkou má taky připojení k Wi-Fi a cloudu - a pochybuji, že tam někdo nějakou zranitelnost opraví. I tu bude potřeba za tři roky koupit novou?

Přenášet zodpovědnost na koncáky je hloupost.
Krást, loupit, útočit... se prostě nemá a nesmí!

RRŠ: Ale ta krátká podpora je přece v dnešní situaci logická. Uživatelé o to nemají zájem, protože jim to nic nepřináší, tak za to nechtějí platit. Takže to mají jenom některé prémiové produkty – ty, které vsadily zrovna na to, že budou poskytovat dlouhodobou podporu. Když to chcete změnit, musíte nějak motivovat uživatele, aby tu podporu chtěli. Ale dnes je to uživatelům jedno – protože ten napadený router neškodí jim, ale někomu jinému. No a když může uživatel beztrestně škodit někomu jinému, proč by to uživatel řešil? Když se budete moci beztrestně zbavovat odpadu tak, že ho přehodíte přes plot k sousedovi, nebudete přece platit za jeho svoz. Když můžete z auta výfukové plyny a pevné částice beztrestně rozprašovat do ovzduší, nebudete si přeci připlácet za to, aby to vaše auto nedělalo.

Nová pračka se sušičkou má taky připojení k Wi-Fi a cloudu - a pochybuji, že tam někdo nějakou zranitelnost opraví. I tu bude potřeba za tři roky koupit novou?
No ve vašem modelu to samozřejmě nikdo neopraví, není k tomu důvod. V mém modelu nabídne výrobce levnější pračku bez certifikace, a kupující bude vědět, že za tři roky tu pračku bude muset vyhodit kvůli „blbé WiFině“. Nebo si připlatí za model, který bude mít prodlouženou záruku na opravu bezpečnostních chyb.

Přenášet zodpovědnost na koncáky je hloupost.
Je to model, který ve spoustě případů funguje. A je to jedno ze dvou možných řešení. Druhé řešení je, že k internetu připojíte jenom zařízení, která budou mít nějakou homologaci. Hodně štěstí s připojováním počítače, kam jste si nainstaloval třeba Debian. Proto je za mne nesrovnatelně lepší, když bude ta odpovědnost na koncovém uživateli. Ten, který tomu nebude rozumět, si koupí zařízení s certifikací. A ten, který ví, co dělá, si dál bude moci nainstalovat Debian a připojit ten počítač k internetu.

Krást, loupit, útočit... se prostě nemá a nesmí!
Jenomže takhle svět nefunguje. Kdyby to takhle fungovalo, nepotřebujeme policii ani soudy.

Krást, loupit, útočit... se prostě nemá a nesmí!
Jenomže takhle svět nefunguje. Kdyby to takhle fungovalo, nepotřebujeme policii ani soudy.

Nevěřím, že svět takhle nefunguje! Drtivá většina lidí nekrade, neloupí, nehackuje...! Lumpů je jen velmi malá menšina! A proto máme policii a podobné instituce - aby bojovali s tou minoritou lumpů!
Představa, že lepší bude přenést povinnosti na majoritu poctivců, je nejen hloupá, ale především nebezpečná.
Nebezpečná hned ze dvou důvodů:
* Mezi lumpy se zařadí i jinak poctiví lidé, kteří nejsou schopni ani ochotni plnit všechny nové povinnosti - protože jsou v rozporu s jejich zdravým rozumem. (Jezdit co dva roky na technickou - budiž. Kupovat co dva roky nový router? Platit kominíka za kontrolu komína, který nikdo nevyužívá? Odebírat a uschovávat účtenky od údržbáře či zmrzlináře? Mít na psí exkrementy dva sáčky - jeden na použití a druhý pro kontrolu, že mám sáček, když jsem první použil? Mít dvě lékárničky v autě: jednu pro kontroly a druhou, ze které beru obvazy? Hledat na přechodu pro chodce, kde je tlačítko pro chodce, aby naskočila zelená? Atd., atp...) Čím více takových pravidel budou muset lidé dodržovat, tím méně budou ochotni tak činit. a tím méně budou ochotni respektovat i ostatní pravidla.
* Zároveň rozšířením skupiny lumpů přibude práce policii - a ono je mnohem jednodušší chytat drobné přestupce zákona, než ty skutečné lumpy. A obávám se, že všechny policie na světě mají tendenci nikoliv chytat, ale nachytat. (V dobách EET se na finančním úřadě školili, jak vyloženě dotlačit prodavače k tomu, aby udělal chybu a mohl být pokutován!)

Jenže ta menšina je tak malá jedině díky tomu, že se proti ní aktivně postupuje. Proti majitelům nebezpečných zařízení připojených k internetu se nijak aktivně nepostupuje, takže jich je většina. Žádná majorita poctivců tu v tomto ohledu není. Používat nebezpečné zařízení s tím, že není nebezpečné mně, ale ostatním, není nic poctivého. Je to jako když necháte venku volně pobíhat svého psa, protože vás přece zná a vás nekousne – a jestli pokouše ostatní, to je vám jedno.

Těch pár lidí, kteří se dnes o svá zařízení připojená k internetu poctivě starají, se k lumpům fakt nezařadí. A kupovat co dva roky nový router je jenom vaše demagogie – kdyby existovala poptávka, výrobci na ni jistě zareagují a začnou nabízet routery s prodlouženou zárukou na bezpečnost softwaru.

Vy se stále tváříte, že provozovat zařízení, které je nebezpečné pro ostatní, je v pohodě a není to žádná lumpárna. Jenže ona to lumpárna je.

Promiňte, ale dovolím si nesouhlasit.
Ty routery byly (by měly být) bezpečné v době vzniku, odpovídaly aktuálním normám. Pozdější chyby (následně odhalené) by tedy neměly být důvodem k vyřazení z provozu.
Obdobně, jako auta s EURO1 projdou technickou, dokud této normě vyhovují - byť aktuální je EURO6 - a nikdo nepožaduje, aby se průběžně ta auta upravovala podle aktuální normy. A asi opravdu jen málo kdo pochybuje, že jsou auta s EURO1 nebezpečnější (k životnímu prostředí), než ta nová.
Správně píšete, že o svá zařízení připojená k internetu se dnes stará pár lidí. Drtivá většina uživatelů to totiž nedělá, neumí a ani nechápe, proč by to měli dělat. Nemají na to mozkovou kapacitu, schopnosti, znalosti.
Jenže je nesmysl trvat na opatření typu takové na internet vůbec nepouštět (netvrdím, že to tvrdíte!) a z druhé strany na ně valit povinnosti na internetu závislé, jako datovky, klíče k bankovní identitě a povinný e-mail i pro založení účtu v bance.

14. 4. 2023, 13:20 editováno autorem komentáře

Pozdější chyby (následně odhalené) by tedy neměly být důvodem k vyřazení z provozu.
Ne, to je úplně špatně. Routery samozřejmě musí odolávat aktuálním hrozbám – když se dnes objeví nová zranitelnost, musí během pár dnů nebo týdnů dojít k aktualizaci softwaru v routeru. Nebo si myslíte, že útočníci jsou gentlemani, kteří prohlásí „pardon, tohle je starý router, na ten útočit nebudeme“? Když máte sto let starý barák, také ho nezavíráte jenom na petlici s odůvodněním, že to před sto lety přece stačilo.

netvrdím, že to tvrdíte!
K čemu je dobré v diskusi polemizovat s něčím, co nikdo netvrdil?

Ale tady nejde (jen) o routery, ale všechna ta k internetu připojená zařízení, co jich kdo v domácnosti má - počínaje mobilními telefony a tablety, přes webkamery, dětské chůvičky, chytré televize, internetová rádia, pračky, ledničky, myčky, termostaty, meteostanice...
Tohle všechno dneska mají lidé doma. Tohle všechno je z výroby nějak zabezpečené - a drtivá většina nedostane ani jeden update. Tohle všechno se obvykle nachází za domácím routerem, jehož jediným firewallem je NAT, který navíc u IPv6 zařízení ani reálně nemusí fungovat.
U všech těch zařízení je jediným oprávněním k provozování to, že si přečtete návod a nastavíte nějaké zabezpečení. Žádný řidičák, žádný zbroják, žádné povinné školení.
A v takovém případě těžko můžete mít uživatelům za zlé, že ta zařízení používají (jak zvládnou).

Trváte na tom, že by měli odpovídat za škody, které skrz jejich zařízení někdo napáchá. To by ale opravdu implikovalo to moje nebo ať je nepoužívají - byť jste to takto netvrdil a jde o nadsázku či extrapolaci. (A proto jsem na to upozornil.)
Já jsem přesvědčen, že by mělo stačit, aby každý měl nastavená zařízení jak nejlépe dovede.
To je obdobné, jako u bytových dveří: většina lidí tam má běžnou bezpečnostní FABku, kterou zkušený zloděj překoná rychleji, než zkušený hacker heslo k blbě zabezpečené wifině - a bez poškození, bez ohledu, zda bylo zamčeno na dva západy, na jeden, nebo jen zabouchnuto. Ale pokud nemáte pojistku na velké částky, tak i tomu pojišťovákovi bude stačit, že tam ten zámek je. A pokud by zloději zametali stopy založením požáru, který poškodí byty nad vámi ohněm a byty pod vámi vodou z hydrantu, nikdo vás nepožene k zodpovědnosti kvůli mizernému zabezpečení a nebude po vás vymáhat škody.

RRŠ: Ano, všechna tahle zařízení mohou páchat škody. Ty škody jsou daleko větší, než kolik by stálo zabezpečení těch zařízení. Takže je logické, že společnost začne dříve či později (teda logické by bylo dříve, protože jinak pořád jen vyhazujeme spoustu peněz oknem) požadovat výrazné omezení těch škod. No a je logické, že když něčí věc páchá škody, poženu k odpovědnosti vlastníka té věci – ať je to router, pračka, auto nebo pes. Když praskne hadice u pračky u souseda nad vámi a vytopí vás, také budete chtít náhradu škody po sousedovi, protože on vlastní tu pračku. A nebude tvrdit, že i soused je jenom oběť, a může za to zlá vodárna, která pořád do vodovodního řadu pumpovala další a další vodu.

To by ale opravdu implikovalo to moje nebo ať je nepoužívají
Ne, neimplikovalo. Psal jsem tu mnohokrát, že se to dá řešit třeba certifikací nebo zárukou od výrobce. Vážně jste to pokaždé přehlédl?

Já jsem přesvědčen, že by mělo stačit, aby každý měl nastavená zařízení jak nejlépe dovede.
No to evidentně nestačí. Např. teď diskutujeme o zprávičce o tom, že útočníci používají pro DDoS útoky napadené VPS servery. Dříve k tomu používaly IoT zařízení. Takže evidentně ten váš přístup nestačí k tomu, aby se ta zařízení masivně nezneužívala k DDoS a jiným útokům.

To je obdobné, jako u bytových dveří:
Jenže bytové dveře chrání váš majetek, ne majetek ostatních. Nestává se často, že by se někdo vloupal do bytu a odsud terorizoval celý svět.

Když praskne u sousedů hadice u pračky, tak za to odpovídá on. Samozřejmě, že nikdo nebude vinit vodárnu.
Jenže zneužitá zařízení odpovídají situaci, kdy u toho souseda řádili Mokří bandité (Sám doma), kteří tu hadici poškodili, aby vyplavili byt. A v takovém případě - opět! - za to soused odpovědný nebude (dokonce ani když vloupání nezabránil, ba napomohl, protože nechal klíče ve dveřích)!

Veškerá certifikace u aktuálně prodávaných zařízení stvrzuje, že vyhovují předpisům, platným k okamžiku výroby/prodeje. Pokud není někde stanoveno, že zařízení musí dostávat (po nějakou dobu) aktualizace, tak prostě nemusí. A pokud není stanoveno, že po uplynutí té doby se zařízení nesmí používat, pak je prostě možné je používat dál.
Čili: uživatelé nemají žádnou reálnou povinnost ta zařízení opečovávat, výrobci mají jen omezenou povinnost se o ně starat.
A když ta povinnost není, těžko můžete někomu vyčítat, že ji neplnil.

Jestliže u IoT je situace složitá, protože zabezpečení je v drtivé většině případů poplatné době výroby, u VPS je to jen o málo lepší. Když pominu VPS ve správě firem (kde by měl být nějaký odborník na správu), tak mnoho levných VPS bylo vytvořeno jako pokusné servery na hraní si s technologiemi, případně pro děti - jako herní servery pro společné pařby např. Minecraftu. Konfigurovali je diletanti a veškerá údržba je na úrovni žádná, aby se to nerozbilo.
To sice je bezpečnostní riziko, ale opět: když není stanovena povinnost se o to starat, těžko ji vymáhat.
Útěchou nám může být snad skutečnost, že takové zneužití může být důvodem k výpovědi smlouvy a vypnutí zlého VPS.

Když vás soused vytopí, opravdu nebudete řešit, jak k tomu došlo. Ani nemáte šanci to zjistit – myslíte si, že vás soused pustí k sobě domů, abyste tam pátral po příčinách vytopení? Ne, prostě jeho majetek, jeho odpovědnost.

Podmínkou certifikace samozřejmě může být, že se výrobce zaváže dodávat aktualizace 5 let po dodání posledního kusu výrobku na trh. Nebo se zaváže poskytovat aktualizace v rámci předplatného v roční ceně nepřesahující 10 % prodejní ceny výrobku po dobu 7 let od uvedení na trh. Nebo vrácení kupní ceny zboží v případě, pokud do 5 let po uvedení na trh bude mít zařízení neopravené CVE stupně 8 a víc déle než týden nebo 5 a víc déle než měsíc. Fantazii se meze nekladou.

A když ta povinnost není, těžko můžete někomu vyčítat, že ji neplnil.
Kdyby ta povinnost byla, vůbec by neexistovala zprávička, pod kterou diskutujeme. Jde právě o to, že je potřeba, aby ta povinnost byla. A aby ji pokud možno zařídily státy dřív, než si to samy pro sebe a své zákazníky zařídí Google, Amazon a Microsoft.

Ty routery byly (by měly být) bezpečné v době vzniku, odpovídaly aktuálním normám. Pozdější chyby (následně odhalené) by tedy neměly být důvodem k vyřazení z provozu.

Když se přijde na to, že vaše nové auto má konstrukční vadu (třeba náhodně nebrzdí), tak je potřeba to taky dát do pořádku. Když to neuděláte a způsobíte škodu, taky vám moc nepomůže, že to auto přece prošlo technickou. To samé, když do toho auta někdo nabourá.

Apropo, kde se bere ten neustálý odpor k zodpovědnosti za vlastní věci?

Drtivá většina uživatelů to totiž nedělá, neumí a ani nechápe, proč by to měli dělat. Nemají na to mozkovou kapacitu, schopnosti, znalosti.

A kdo říká, že to musí dělat sami? Kolik lidí si dneska spravuje svoje auta, elektrické spotřebiče, nebo střechu na domě? Když na to nemaj schopnosti ani znalosti, tak si to nechají spravit od odborníka.

Funguje to tak u přípojky elektřiny, přípojky plynu, přípojky vody... tak proč by nemohlo u přípojky k internetu?

Pokud to auto má konstrukční vadu, tak vás buď odvolají do servisu, aby to opravili, případně neprojdete technickou (a poputujete do opravny...). Ale když třeba ta náhodná chyba brzd (konstrukční vada) zapříčiní nehodu v době, kdy jste o ní nevěděl (než nastala ta technická prohlídka či svolávačka na opravu), pravděpodobně z toho vyváznete jako poškozený, nikoliv viník.
To samé v podstatě platí u všech ostatních věcí, které člověk provozuje (a nepotřebuje na to další školení či průkaz...).
U té elektřiny, vody, plynu, telefonu, pračky, ledničky, atd., to funguje stejně a v podstatě přesně tak, jak píšete: kdo na to nemá schopnosti, nechá si to spravit od odborníka.
Důležité je ovšem už to, že to nechá spravit - tedy nejprve musí vůbec vědět, že to je rozbité!
Mnou zmíněná drtivá většina uživatelů prostě nepozná, že to zařízení je rozbité: dokud to dělá, co to dělat má, tak to přeci funguje - a nemohou tušit, že to navíc dělá, co dělat nemá...

Oscar_Romero: Ta certifikace nemusí zaručovat, že výrobek je v danou chvíli bez jediné bezpečnostní chyby. Může zaručovat třeba to, že výrobce bude výrobek podporovat minimálně pět let od prodeje výrobku a součástí podpory bude automatická aktualizace bezpečnostní opravy v přiměřené době od odhalení problému.

Že budou bezpečnější výrobky dražší, to je jasné. Ale neexistuje žádný důvod, proč by náklady na bezpečnost měl nést někdo úplně jiný jenom proto, že vy jste si koupil o deset korun levnější router.

Naprostý nesmysl. Kdybyste koupil zbraň ve stavu, v jakem se prodávají HW a SW dnes, tak se skládá z plastové trubičky, do které kapete nitroglycerín aby vystřelila náboj v podobě kamínku.
Jenže v oboru zbraní/aut/kdekoli kromě IT pořád naštěstí funguje zákon na ochranu spotřebitele, takže by podobný výrobce hodně rychle skončil po několika hromadných žalobách.

A házet odpovědnost na laického uživatele může snad jen naprostá lama - to je asi stejně "moudré", jako kdyby vedla elektrika holými dráty metr nad zemí a házet vinu na kolemjdoucí, když se o to někdo náhodou opře, že je to jeho chyba.

A házet odpovědnost na laického uživatele může snad jen naprostá lama

Omyl - samozřejmě, že uživatel zodpovídá za svoje zařízení, které ovlivňuje nejen jeho. "Nikdo za nic nemůže" je ten problém, který stojí na počátku všech tady diskutovaných obtíží: lidi na to kašlou, protože ví, že se jim nic nestane, přestože si počínají nedbale (neznale).

Jakmile by se někdo pokusil tohle prostředí zregulovat tím, že bude např. zákonem vyžadovat určitý standard bezpečnosti provozu, tak tu desítky lidí začnou vřískat o omezení svobody a špatném státu/EU, který vymýšlí nesmyslná pravidla, díky kterým teď budou všechna zařízení dražší. A proč by jako oni znalí problematiky měli doplácet na někoho neznalého?

Někomu ten bordel a džungle Internetu vyhovuje, protože se v ní umí pohybovat lépe než ostatní a tak by ztratil výhodu.

Nejde o to, že nikdo za nic nemůže, ale o snahu trestat oběť.
Asi jako kdyby někomu vykradli byt - a on ještě dostal pokutu za to, že neměl bezpečnostní zámky a alarm. Jenže to by nevedlo k tomu, že by nedošlo k vloupání - jen by to vloupáni bylo u sousedů s nižším zabezpečením.

Jenže ono to bez spolupráce a námahy oněch aktuálních obětí tak nějak nepůjde - tam to všechno začíná, tam musí dojít ke změně.

A že když někdo nevykrade jeden byt, tak vykrade jiný... když ta krádež bude složitá (třeba jen tím, že bude snazší pachatele chytit či vyplašit), tak jich alespoň nebude tolik. Krádeže, ani násilné trestné činy taky nelze úplně vymýtit, ale lze je zredukovat na únosnou mez.

Když je snadné dělat bordel (třeba krást) a bude se to pachatelům vyplácet, tak se do toho pustí mnohem víc lidí (stačí se v ČR podívat kolem sebe - příkladů je tu víc než dost).

Nejde o to, že nikdo za nic nemůže, ale o snahu trestat oběť.
Ta oběť není trestána za to, že je oběť, ale za to, že nezabezpečila svůj majetek, který je nebezpečný a který byl použit ke spáchání trestné činnosti.

Asi jako kdyby někomu vykradli byt - a on ještě dostal pokutu za to, že neměl bezpečnostní zámky a alarm.
Pokud by vykradené byty byly notoricky zneužívané k páchání vážné trestné činnosti, pak by taková pokuta byla naprosto v pořádku. Prostě vlastníte něco nebezpečného, tak se musíte starat o to, aby to neškodilo ostatním.

jen by to vloupáni bylo u sousedů s nižším zabezpečením
Ale to je cílem. Civilizovaný svět si zařídí bezpečnost svých zařízení, a se zbytkem prostě nebude komunikovat. Dneska se stejně při probíhajícím útoku často blokuje komunikace z celých sítí, samozřejmě to ale není moc spolehlivé řešení, spoustu útočníků neodstaví a naopak postihne i spoustu nevinných. Jde jenom o to tohle výrazně zpřesnit a odstřihnout ty, kteří nejsou ochotni proti útokům zasáhnout.

"lidi na to kašlou, protože ví, že se jim nic nestane, přestože si počínají nedbale (neznale)"

Další co je odtržený od reality a myslí si, že je každý IT exprt a bezpečný kód něco běžného a levného. Jeho babička nedělá nic jiného, než že každý den kontroluje aktualizace svého routeru a hledá chyby v jádru linuxu.

"určitý standard bezpečnosti provozu"
Definuj ho.

Další co je odtržený od reality a myslí si, že je každý IT exprt

To si po těch dvou dekádách v oboru nemyslím a ani si nemyslím, že by každý měl být expert (stejně jako ne každý řidič musí být automechanik, nebo závodník).

Moje babička nemá ani Internet, ani smartphone, ale to je vedlejší :)

Co jsem chtěl říct je, že v tuhle chvíli neexistuje žádná motivace stávající stav změnit: oběti netrestáme, protože za to nemůžou; útočníky taky ne, protože na ně nejsou páky a vlastně si za to oběti můžou samy... tak co by vlastně kdo dělal jinak, když to pořád "tak nějak jakože funguje"?

Se svobodou vždycky přichází ruku v ruce zodpovědnost. Babička nemusí umět spravovat router ale měla by vědět, co ta krabička zhruba dělá a jak se o ní starat, čeho se vyvarovat a kdy zavolat odborníka. Zvládá to s televizí, s routerem by mohla taky - postup není v principu složitej. Když neví, zavolá někomu o kom ví, že by mohl vědět.

"určitý standard bezpečnosti provozu"
Definuj ho.

Jednoduše: nevytvářet provoz, který škodí ostatním "účastníkům provozu" na síti. To pro námi diskutovaný případ stačí. Jistě tu můžeme rozebírat okrajové případy a mezní situace - babička určitě nebude mezi těma, kteří budou hledat hranice legality a etiky provozu na síti :)

14. 4. 2023, 00:17 editováno autorem komentáře

Někomu ten bordel a džungle Internetu vyhovuje, protože se v ní umí pohybovat lépe než ostatní a tak by ztratil výhodu.
Vtipné (a smutné zároveň) je to, že většina těch, kteří tu džungli obhajují, jsou tím ve skutečnosti také postiženi.

Vidím, že to, že nejste paranoidní ještě neznamená, že po vás nejdou. A jinak když nechám odemčené dveře od domu, někdo do toho domu bez mého svolení vejde, způsobí požár a shoří domy vedle, také za to opravdu nejsem odpovědný já jako majitel domu protože ten dotyčný neměl v cizím domě co dělat (porušování domovní svobody, § 178) ani přes to, že bylo odemčeno.

A se síťovými prvky je to stejné -- tedy i kdyby nebyly zabezpečné vůbec.

V případě nezabezpečení auta proti neoprávněnému užití (třeba necháte otevřená okénka a vzdálíte se) dostanete pokutu (když se na to přijde) dokonce aniž by ho někdo neoprávněně užil (zákon o provozu na pozemních komunikacích, paragraf 26).

Takže když nezabezpečíte svůj domácí router proti neoprávněnému užití... proč by ne?

"Kdyby někdo uložil zbraň do trezoru, který by měl nefunkční zámek, byl stále otevřený a majitel to věděl, bude zneužití té zbraně také chyba jejího majitele. "

Tak tento argument se ti vůbec nevydařil(vypadá to že nejsi ve formě). To že mě někdo ukradne zbraň i když jsem ji měl špatně zabezpečenou a on s ní spáchá zločin vraždy tak nebudu obžalován z toho zločinu. Je pravda, že mi hrozí že mi bude odebrán zbrojní průkaz ale nebudu obžalován z vraždy.

viz. https://forum.gunshop.cz/ztrata-zbrane-jaky-je-postih-t11815.html

viz. https://www.mvcr.cz/clanek/nejcastejsi-dotazy-k-zakonu-c-119-2002-sb-o-zbranich-ve-zneni-pozdejsich-predpisu.aspx

To je fakt blbý příměr. Zbraň je nástroj přímo určený pro zranění / usmrcení. Tam je nárok na jeho zabezpečení dost jasný. Druhý příměr který používáte - auto - je tady trochu trefnější.

A teď otázka. Když se mi někdo vláme do auta zneužitím známé zranotelnosti zámku, ujede a cíleně to napálí do davu lidí, půjdu sedět za "nedostatečné zabezpečení auta"?

Když se mi někdo vláme do auta zneužitím známé zranotelnosti zámku, ujede a cíleně to napálí do davu lidí, půjdu sedět za "nedostatečné zabezpečení auta"?

Dokud je taková situace výjimečná (neděje se to často), tak patrně ne - společenská smlouva v naší zemi říká, že lidi tohle běžně nedělají.

Když se ta situace bude opakovat, velmi pravděpodobně bude část odpovědnosti přenesena na majitele vozu - protože půjde nejen o "známou zranitelnost zámku", ale také "známý způsob zneužití auta k nekalým účelům" (najetí do davu lidí).

No a když se z DoS útoků stane denní chleba, nevidím důvod, proč proti tomu takhle nezakročit. Nechat to na uživatelích a všemocné "volné ruce trhu" už jsme zkusili a zcela evidentně to nefunguje. Respektive trh zareagoval tak, že si DoS můžete snadno objednat, protože je to beztrestné.

Jak by to asi vypadalo, když by šlo objednat najetí autem do davu lidí? S rozmachem samořiditelných aut ani nebude potřeba řidiče. V ten moment patrně vzrostou nároky na zabezpečení aut schopných podniknout takovýto útok, pokud se takové začnou dít.

> S rozmachem samořiditelných aut ani nebude potřeba řidiče. V ten moment patrně vzrostou nároky na zabezpečení aut schopných podniknout takovýto útok, pokud se takové začnou dít.

Super, ale i v takovou chvíli padá zodpovědnost na výrobce. Pokud nevydává aktualizace a neopravuje známé zranitelnosti, fakt to nejde hodit na zákazníka, který si koupil v dobré víře auto, ale nemá znalosti na to, aby hlídal a patchoval bezpečnostní díry. Maximálně bych čekala povinnost zákazníka pravidelně aktualizovat.

15. 4. 2023, 08:58 editováno autorem komentáře

Super, ale i v takovou chvíli padá zodpovědnost na výrobce. Pokud nevydává aktualizace a neopravuje známé zranitelnosti, fakt to nejde hodit na zákazníka, který si koupil v dobré víře auto, ale nemá znalosti na to, aby hlídal a patchoval bezpečnostní díry. Maximálně bych čekala povinnost zákazníka pravidelně aktualizovat.
Ta zodpovědnost musí být na zákazníkovi. Pokud si zákazník vybere výrobce, který nevydává aktualizace a neopravuje známé zranitelnosti, nebo aktualizace vypne, nikdo to nemůže zachránit. Nikdo přece nechce, aby to zákazník hlídal sám – ale je potřeba, aby si vybral takový výrobek, u nějž to bude řešit výrobce. A když to někdo zvládne řešit sám, může si nainstalovat třeba Debian a řešit to sám.

Kdybyste tu povinnost nechala jenom na výrobcích, tak si ten Debian nenainstalujete. Musel by vám ho dodat nějaký výrobce, který bude ručit za to, že to nepůjde nakonfigurovat nebezpečně – takže byste tam určitě nemohla mít roota.

No nevím, pokud mé PC bude předmětem trestné činnosti, tak já musím dokazovat, že s tím nemám nic společného? A pokud se tím stane mé auto, můj deštník, má sekyrka v kůlně... Nebo kde je ta hranice, kdy platí presumpce neviny a opačně? Uvádím předměty, kde není povinná zodpovědnost (např. evidovaná zbraň).

Pokud bude mít policie jen podezření, tak to PC zabaví a provedou analýzu. (Trvá to pár měsíců.) A pokud prokáže, že bylo použito k páchání trestné činnosti, budete se muset obhájit u soudu - kde máte šanci, protože tam opravdu platí presumpce neviny.
Nicméně to PC vám v takovém případě asi nikdo nevrátí - to zůstane uschované jako důkaz pro případ, že by chytili pachatele.

Presumpce neviny s tím nemá nic společného. Presumpce neviny říká, že pokud někdo nebyl v trestní věci pravomocně odsouzen, je nutné na něj pohlížet jako na trestněprávně nevinného.