Automatické odpojenie zariadení od internetu, ktorým skončila podpora výrobcu operačného systému


#1

Legislatívci by mali zaviesť povinnosť výrobcom operačných zariadení aby po skončení podpory odinštalovali drivery k sieťovým kartám a zakázali možnosť ich opätovnej inštalácie.

Rovnako ISP provideri by mali povinnosť automaticky odpojiť zariadenie od siete, ktoré sa prihlási s operačným systémom, ktorému skončila podpora.

Užívatelia budú teda upgradovat na novšie operačné systémy.


#2

Medicinske zariadenia maju jedno specifikum. Ich proces certifikacie prebieha casto roky. Mam s kusenost, ze nove zariadenie bezi na 486 procesoroch a starych systemoch, lebo sa takto certifikovalo a nove zariadenia sa robia v tychto setupoch. Dokonca os tychto zariadeni sa neda updatova a patchovat koli certifikacii. Takze opatrne s centralistickymi skratkami. Za bezpecnost informacnych systemov zodpoveda bezpecak toho ktoreho zdravotneho zariadenia. Ak sa na zariadenie sietovo dostane kadekto a moze do neho vkladat usb rozhrania bez scanovania, antiviru atd… je niekde problem. Tato skratka sa mi javi ako dost nebezpecna.
Je normalne pracovat s rizikom, ze zariadenie je zranitelne. Napriklad skoro kazde auto je mozne naburat ked sa dostanes na zbernicu…


#3

Moje auto raz naburali remote, ani sa nemuseli dostat na zbernicu. Normalne druhym autom neubrzdili a naburali do mna. Zozadu.

Ono s tym (ne)pripajanim nezabezpecenych zariadeni na internet je to komplikovanejsie. Problem byva aj vselikde inde ako v nepodporovanych os. Zakazeme pripajat na internet pc bez antiviru ? Problem byva aj v uzivateloch. Budeme vyzadovat nieco ako vodicsky preukaz pre pracu s internetom ? Alebo osvedcenie o zlozeni nejakej skusky ? Raz k tomu mozno dospejeme.


#4

Ahoj,

aj dnes aj v minulosti dokazali spolahlivo a bezpecne fungovat uzavrete
ekosystemy technologii ktore komunikuju po sieti medzi sebou aj po
skonceni podpory vyrobcu. Aj kriticka infrastruktura (dialkove odpocty
elektromerov, plynomerov), alebo auta a lietadla (OBD/CANbus alebo
SAFEBus su siete a implicitne neznamenaju existenciu pripojenia do
internetu alebo niekam kde ich moze ohrozit tretia strana).

Problem nie je ani tak v zariadeniach, ako v ludoch ktory by mali
vynucovat rozumnu bezpecnostnu politiku aby taketo outdated systemy
neboli pripojene do internetu, resp. do inych sieti. Networking nemusi
znamenat interworking (pardon ale po slovensky to neviem). To ci
existuju nejake updaty neznamena ze vyriesia napriklad ludsku hlupost
ked si z USB kluca od kamarata nainstalujes s pravami administratora ten
isty ransomware ako vies chytit po sieti z internetu.

Iny rozmer su napriklad viac ako 2 roky stare smartfony. Updaty od
vyrobcu nie su. Maju prestat fungovat? Ja myslim ze staci lifecycle
management vyrobcov, nepotrebujeme na to este legislativcov.

r.


#5

S uzatvoreným systémom, ktorý nie je kritickou infraštruktúrou nie je žiadny problém. Problémom je, pokiaľ sú do siete pripojené nezabezpečené počítače. V reálnom živote máme pre ľudí izolačky v prípade infekčných ochorení. Isp by nemal do siete pustiť rizikový počítač. Rovnako keď ukončí podporu tvorca operačného systému, mal by zabezpečiť nepripojitelnosť takéhoto zariadenia k sieti. Do siete by sa mali pripájať zariadenia iba s podporou výrobcu, ktorý vie zabezpečiť okamžitú aktualizáciu.

Svojpomoc, ktorou realizoval mladík registráciou domény, je chvályhodná ale podstatná je prevencia práve v tom, že do siete by sa nemali pripájať zraniteľné zariadenia.


#6


#7

Chapem analogiu s izolackou. Len chciet toto po ISP je nieco ako chciet po majitelovi pozemku na ktorom si chytil osypky aby ta do tej izolacky zavrel. Alebo rovnako dobry napad sa ti potom moze zdat nutit vyrobcu alkoholu chytat ludi ktori opity soferuju, alebo slovensku spravu ciest nahanat ludi ktori porusuju dopravne predpisy. V skratke, chces robit poskytovatela infrastruktury zodpovedneho za ochranu ludi ktori ju pouzivaju.


#8
  • Ked sa prihlasim operacnym systemom, ktoremu sa podpora neskoncila, ale jednoducho nepatchujem, tak co?
  • Ked sa prihlasim operacnym systemom, ktory ziadnu oficialnu podporu nikdy nemal (nejaky vlastny alebo komunitny projekt), tak co?
  • Ked sa prihlasim operacnym systemom, ktoremu sa podpora skoncila, ale implementujem ine opatrenia aby som zamedzil znamym bezpecnostnym zranitelnostiam, tak co?
  • Ked sa prihlasim a ISP ani len netusi, aky mam system, tak co?
  • Ked mam nejake jednoucelove zariadenie, co lezie na net a je to pre mna cierna skrinka a nepatchujem lebo som bezny Frata uzivatel, tak co?
  • Ked je to nepodporovane a nema ziadnu znamu bezpecnostnu zranitelnost, tak co?
  • Ked mam opatchovany system ale pouzivam derave appky, tak co?

#9

Dizlove motorové vozidlo ti nepustia do centra Paríža ani Londýna, jednoducho ak operačný systém stratil podporu, tak by nemal byt pripojený k sieti. Stare vozidlo s vysokými emisiami sa do centra nedostane.

Ked máš chrípku, tak sú všetci nasrdení ak prídeš do spoločnosti a nakazíš ich.

Prečo by sa nemali odpájať počítače, ktoré sú rizikom. Neznamená, že sa nemôžeš pripojiť k sieti, len sa pripojíš so zariadením, ktoré je bezpečne.


#10

Súhlasím s otázkami ktoré položil Duro.
Osobne si neviem ani len predstavit udržatelnosť takejto implementácie, dokonca si myslím ze zavedením takéhoto systému by sme zraniteľnosti spôsobili. Získaš nad niečim takým kontrolu a navždy vypnes uplne vsetko? Elektrárne, nemocnice, banky, fabriky, dopravu…vsetko.
Takýto nápad v dobe IoT?
Povinná výbava ceruzka a papier…

Ja by som tvoj príklad prirovnal k: Ked ochories, rovno ta zastrelia.Mas smolu nepatchujes a skončila ti podpora…


#11

Ake zariadenie je bezpecne? Postacuje ked ma os ktory je podporovany vyrobcom ?


#12

Povinná výbava ceruzka a papier sa realizovala v nemocnici v Nitre, kde pacientov vybavovali práve týmto spôsobom cez výmenné lístky.

Windows XP, 95, už nepodporované operačné systémy budú mať zákaz pripájania do siete internet.
Tento zákaz by sa dal zahojiť len v prípade, že by Microsoft alebo iný výrobca aj naďalej podporoval operačný systém. Je to niečo podobne, ako keď vozidlo neprešlo technickou kontrolou, na cesty nemôže.

A rovnako treba postupovať v prípade sieťových prvkov, ak zariadenie stratí podporu výrobcu, pokial niekto iný neprevezme podporu za pôvodného výrobcu bude musieť byt vyradené zo siete.

Sieť bude bezpečnejšia.

Rovnako autonómne vozidla, ak stratí podporu výrobcu bude vyradené z cestnej premávky. Treba na to myslieť už dnes, aby legislatívci nastavili pravidla ešte pred spustením výroby.


#13

Zariadenie, ktoré má podporu komunity alebo výrobcu.


#14

Ale tisice zariadeni co boli teraz napadnute maju os s podporou vyrobcu. Ale naadnute boli rovnako ako tie bez podpory, lebo boli neopatchovane. Co s nimi ? Su alebo nie su bezpecne ? Povolit neopatchovanym zariadeniam pripajat sa na internet ?


#15

Uložiť povinnosť výrobcovi operačného systému /komunite automaticky inštalovať kritické aktualizácie.

Bez kontroly kritických aktualizácii nemožnosť pripojenia na internet.

Takze zariadenie najprv zisti či je úplne aktualizované, ak je, umožní ostatnym aplikáciam pristupovať na internet.


#16

A co tak rovno ulozit vyrobcom povinnost vyrabat bezpecne operacne systemy ktore nebudu mat potrebu instalacie bezpecnostnych patchov ? A co s uzivatelmi ? Na phishingovy link si moze kliknut aj ked ma superanacasopatchovany system. Aj vozidlo co prejde cez tech kontrolu moze byt v rukach neskuseneho/hazardneho vodica nebezpecne.


#17

Operačný systém ku ktorému výrobca už neposkytuje podporu nemá čo byť pripojený k sieti. Výrobca tento operačný systém odpísal.


#18

Rozmyslam preco prave OS a nie aplikacny server, komunikator, p2p klient atd.

Co sa tyka korporatneho prostredia, nie je vobec samozrejme, aby mal security team “povinnost automaticky instalovat kriticke aktualizacie” a z rovnakych dovodov nie je vhodne, aby bola tato povinnost hadcodovana v OS. Je to tak preto, ze kazda zmena moze mat vedlajsie dopady a security team nezije sam pre seba, ale zabezpecuje podporu pre biznis procesy. Je normalne, ze aktualizacia ide do produkcie az v ramci nejakeho servisneho okna, ked je potvrdene, ze nema vedlajsie efekty. Co, ci, kedy a ako sa ma nasadit vie lepsie security officer, ktory pozna rizika a vie ich vyhodnotit. Jemu sa aj tak stava pravidelne, ze je nejaka zranitelnost, na ktoru patch este nie je a musi (bez vyrobcu OS) implementovat ine mechanizmy aby hrozbe zabranil, alebo dostal riziko na akceptovatelnu uroven.

Co sa tyka beznych pouzivatelov, je mi na milu Jarmilu, ze mam aktualizovany Windows 10, ked zajtra vygooglim nejaku famoznu porno stranku, ktora mi na stiahnutie ponukne ,exac s kodekmi’’, ktory si velice ochotne nainstalujem ako admin, stiahnem si cez torrent velice kvalitnu gamesku, atd. Z tohoto pohladu je moj dedko na XP-ckach podstatne mensie riziko.

P.S.: Uz vidim, ako nejaky celosvetovy vyrobca OS zufalo implementuje features aby zachranil svoju poziciu na slovenskom pidi trhu.


#19

Ahoj,

ano ale:

  1. aj v pripade Pariza a Londyna nekontroluje a nevynucuje vstup vozidla
    poskytovatel infrastruktury - mesto. Robi to statny alebo mestsky policajt.

  2. takymto vozidlom mozes ist do Toulouse alebo Sheffieldu

Ak naznacujes ze by stat mal ulozit povinnost aj ludom nechodit s
chripkou do roboty alebo do spolocnosti vseobecne a nahodou vymenujes
vsetky prenosne ochorenia tak to bude velka zabava :).

r.


#20

Preboha :fearful:
Len to nie.
Sietova karta predsa neznamena ze zariadenie pristupuje do internetu.
Na policii, v NCZI, v obrane … mas siete, ktore su uzavrete a nie su pristupne zvonku. Ale pocitace s XP, a Win7 na nich stale spolahlivo bezia aj budu bezat …