Neviditelný pes
První český ryze internetový deník. Založeno 23. dubna 1996Diskuse k článku
BEZPEČNOST: Hacking - co bych s tím dělal
Upozornění
Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.
M. Stanovský 29.11.2019 14:16Taky jsem soukromník - IT-specialista. Někdy si mě erár půjčí a zaplatí (protože jako zaměstnance mě zaplatit nedokáže), ale pak mi musí stanovit tak šílené podmínky k práci (to víte soukromník-externista je největší nepřítel státu), že i nejblbější sekretářka nebo uklízečka toho podniku je na tom s přístupem do informačních systémů lépe. Pikantní je, že po mě chtějí nějakou údržbu IT, ale nechtějí mi dát ani uživatelský přístup do sítě, o nějakých přístupech do informačních systémů ani nemluvě. Tak mě ředitel najme na desetinový úvazek, aksolvuji požární školení a smím všechno, dokonce jsem i pojištěnej proti blbosti. |
M. Ejem 29.11.2019 10:54Ono by to zase nemuselo být tak drahé kdyby stát spojil ty kyberslužby a neřešil fake news, ale skutečné problémy. |
J. Jurax 29.11.2019 12:30Možná. Ale muselo by se chtít a hlavně nesměl by do toho kecat vůbec žádný politik. Dovedete si představit úroveň kyberbezpečnostního státního ouřadu, jehož šéfové i specialisté by byli vybíráni podle politického klíče? |
I. Schlägel 29.11.2019 9:13Pokud je stav IT ve státní správě na podobné kvalitativní úrovni jako samotná státní správa, ochraňuj nás pánbůh. |
K. Křivan 29.11.2019 8:56Co ? Zabíjel hackery. |
J. Houška 29.11.2019 7:58Sny o zabezpečení hezké, ale pro tento konkrétní případ zcela mimo mísu. Tento "hack" spočíval v tom, že se robot dokázal někam zaregistrovat pomocí legálního rozhraní rychleji než člověk. Teoreticky, kdyby si ti "hackeři" místo toho najali dostatečné množství dostatečně rychlých "klikačů", kteří by o půlnoci (nebo kdy to otvírali) čekali na otevření toho formuláře s cílem se co nejrychleji zaregistrovat, dosáhli by podobného výsledku. Akorát že robot je samozřejmě mnohem rychlejší a nesrovnatelně levnější, a když je ochrana proti robotům (CAPTCHA) slabá, proč robota nepoužít. Jinak řečeno, zesílení té CAPTCHA ochrany by problém nevyřešilo, jen by to "hackeři" museli dělat ručně, bylo by to dražší a možná by to nemělo 100% úspěšnost. Problém je totiž už v principu - ty víza se udělují jen omezenému počtu zájemců, a ti zájemci se rozlišují podle toho, kdo "dřív přijde" - což v elektronické formě znamená, kdo rychleji zvládne vyplnit registrační formulář. Opravdu je toto to správné kritérium? Což takhle přijmout všechny žádosti a rozhodovat podle jiných kritérií nebo třeba losovat? I takto by samozřejmě byl prostor pro korupci, ale alespoň už by to nešlo zmanipulovat bez spolupráce někoho zevnitř. |
Z. Lapil 29.11.2019 8:11Dneska vám kdejaký prodejní robot ukáže podivné obrázky a nechá vás opsat, co znamenají. Jestli tomu dobře rozumím, tak přesně tohle by vízařům zkomplikovalo život. Je-li kritérium jenom čas, pak by přidání nějakého kritéria vízařům rovněž zkomplikovalo život. A pokud by je donutili přejít na živou sílu? Každý člověk je bezpečnostní riziko a přinejmenším by ten "útok" nemusel trvat 6 let. Myslím, že zapomínáte, že 100% bezpečnost není dost dobře možná. |
J. Houška 29.11.2019 8:56Ne, nezapomínám, o 100% bezpečnost vůbec nejde. Jde o to, že celý nápad s udělováním víz podle toho, kdo se přihlásí první, je blbost. I kdyby v tom zkraje žádní hackeři nefigurovali, tak vízum by dostal ten, kdo rychleji dokáže opsat captcha (a taky komu líp chodí internet), což je jako kritérium dost pochybné. A vede k tomu, že si někteří zájemci raději zaplatí někoho rychlejšího s rychlým internetem, aby jim to vyplnil. A dále k tomu, že někteří to vyplnění začnou poskytovat jako službu (když je poptávka ...). A ještě dále k tomu, že jedni z těch poskytovatelů si na to napíšou robota, čímž tento trh ovládnou, protože robotovi v rychlosti nikdo konkurovat nedokáže. A jsme tam, kde jsme byli těch 6 let. Jde to dělat i jinak, viz např. https://dvlottery.state.gov . Všimněte si, že registrační dobu tam mají dlouhou cca 1 měsíc a pak všechny v té době přišlé žádosti vyhodnocují podle něčeho jiného než podle pořadí vyplnění (zde losují). Tedy - lepší než se snažit posílit captcha, aby ho robot nezvládl, je změnit systém tak, aby ochrana typu captcha vůbec nebyla potřeba. |
Z. Lapil 29.11.2019 11:22Nelze nesouhlasit :-). |
J. Roškota 29.11.2019 7:58podle posledních příspěvků pana Kechlibara to vypadá, jakoby bezpečnost informačních systémů nešla zaručit. Nicméně máme tu skvěle fungující a komunikující bankovní , obchodní burzovní, armádní systémy. Tam je vidět, že to jde. |
Z. Lapil 29.11.2019 8:13Nejde. Zrovna včera jsem u své banky viděl ceduli "nereagujte na mailové výzvy k upgradu účtu". |
J. Jurax 29.11.2019 12:26No, jde. Ale stojí to nezanedbatelné prachy. Banka je ráda investuje, protože jí jde o kšeft. Burza taky. Armáda ... snad taky. Státní ouřad ... ehm ... v článku je zmíněn Damoklův meč nejnižší ceny a taky bych dodal, že posuzovatel patřičné níže ceny v případě obvinění, že je moc vysoká, problematice bezpečnosti IT prakticky zaručeně nerozumí. A když to nejde, tak se to stejně nedozvíme; provalí se jen opravdu velké průsery. |
P. Staronový 29.11.2019 15:09Jde, ovšem s tím, že občas někdo pronikne kam nemá. Jak často, to ty banky i burzy pro jistotu tají a postižené obvykle vyplatí. Stoprocentní bezpečnost fakt zaručit nelze. |
R. Dubravský 29.11.2019 7:41To, po čem pan autor volá, již několik let máme. Jmenuje se to Zákon o kybernetické bezpečnosti, Národní úřad pro kybernetickou a informační bezpečnost a Vládní CERT. Implementováno ovšem českým způsobem, s maximální buzerací a minimální účinností. Úřady musí vytvářet stohy dokumentace, ale na účinný firewall, SIEM nebo dokonce kvalifikovaného administrátora už peníze nemají. |
J. Strakoš 29.11.2019 5:52Dnes vyjímečně s články pana Kechlibara dost nesouhlasím - předpokládám, že o spoustě existujících mechanizmů nemá informace. Řešilo se to, mimo jiné, v rámci prokletého GDPR, kde pod tlustým nánosem úředního bahna a newspeaku je právě myšlenka na ochranu systémů a vyšetřování situace po úniku. A dodavatelské firmy by již dnes měly dodržovat GDPR směrnice. Ohledně jedné specializované skupiny - takové již dneska existují, minimálně minule tu zmiňoval, že BIS průniky identifikovala. A nakonec - kde nebude vůle samotného úřadu, nebude speciální jednotka nic platná - pokud provozujete věčně obsazenou linku na víza a je vám to šumafuk, pak vám bude jedno i to, že váš systém je desektrát napaden. |
A. Stárek 29.11.2019 7:59GDPR? Ale v českém pojetí, když GDPR poruší stát, tak to bude bez pokuty. Takže zase bude výsledek jen buzerace firem a živnostníků a úřady na to budou zvysoka... kašlat. |
R. Langer 29.11.2019 12:00Přesně! Zase to bude platit jenom pro někoho, to známe. |
J. Strakoš 29.11.2019 15:53To je ten problém s prosazováním dobrých nápadů - GDPR je toho pěkným úkazem - na jednu stranu je potřeba opravdu rozumě ochránit osobní údaje, na druhou stranu vznikne paskvil, který je těžké pochopit, natož pak dodržovat. A důsledkem je větší buzerace a stejné cílené hovory z prodejních linek. Proto to dávam jako příklad, jak by dopadlo autorem představené zavádění opatření. |
P. Staronový 29.11.2019 15:11GDPR pouze zmnožuje buzeraci, ne bezpečnost. |
M. Krčmář 29.11.2019 2:48Míra toho neumětelstí je brutální. Jednou to snad dočtu. |
F. Sojka 29.11.2019 8:27Trochu z toho vašeho vyjádření čouhá ničím nepodložené velikášství. Sedlácký rozum málogdy vítězí fčas, resp. aš když je pozdě. To proto, že velikášem je každej druhej. Hehehi |
M. Krčmář 29.11.2019 17:52To nezapírám,bez toho,moci si představit cokoli by nebyl žádný pokrok, včetně války, kterážto otočí kolesy vždy. |
M. Krčmář 29.11.2019 2:41Pustil jsem si "Bajkonur".a budu o tom přemýšlet,tedy až si to přečtu. |
J. Prikner 29.11.2019 2:17Zlatá slova, ale při bordelu a nekoordinaci ve státních systémech zatím těžko realizovatelnã. Vím jak to vypadá přihonbě za minimální cenou. Někdy ty systémy padají vlastní neschopností . |
J. Brunner 29.11.2019 0:20
|
M. Krátký 29.11.2019 3:50za mě taky |