…a na to vsetko bude dozerat specialne zriadena internetova policia, anglicky “internet police”. Aby bolo jasne, nejde o internetove police (police na ktorych su komponenty pre pristup na internet), tym sa hovori rek, anglicky “rack”.
Na uspesne ziskanie opravnenia pre pouzivanie internetu bude potrebne nielen uspesne zlozit skusku ale aj vydokladovat odbornu prax v instalovani a vyuzivani bzpecnostnych mechanizmov a nastrojov. Kam by sme dosli keby sa po internetoch pohybovali ludia co nevedia aky je rozdiel medzi autentifikaciou a autorizaciou.
Racky su bohemizmus, po anglicky je to seagulls.
Na nazore nic. Na navrhovanom rieseni…
Ako by sa ti pacilo nasledovne opatrenie?
“Zakon, ktory sa da obist, sa automaticky vyskrtne zo zbierky ako neplatny.”
Dalsia nevykonatelna perla … .
Dakujem za korekciu. Veru, aj mne by sa zislo zopakovat zakladnu teoriu a terminologiu.
Dalej este navrhujem, aby preukaz pouzivatela internetu obsahoval zaznam o tzv. ciernych bodoch internetu v zmysle nasledovnej stupnice:
- zistenie, ze pc uzivatela je sucastou botnetu 3 body
- zistenie ze uzivatel ma doma slabo zabezpecenu wifi siet 2 body
- zistenie, ze pouzivatel si nevie nastavit automaticke patchovanie 1 bod
- zistenie, ze uzivatel vedome vypol patchovanie 4 body
atd
na toto vsetko bude dohliadat internet police. Ak nejaky pouzivatel dosiahne 8 bodov, docasne (do opatovneho preskusania) sa mu obmedzi pristup iba na sluzbu www a explicitne iba na stranky www.novycas.sk, www.slovensko.sk a www.preventista.sk
1 Like
Ahoj,
Minimálne to treba vyskúšať, dokonca ISP provideri by mohli ponúkať
zabezpečenie ako službu, ponúkli by šifrované spojenie cez VPN,
aktualizáciu routerov ako službu na diaľku, výmenu sieťových prvkov,
ktoré nemajú podporu atď. Išlo by o časť siete, ktorú provider aktívne
kontroluje pred bezpečnostnými rizikami a užívateľov aktívne upozorňuje
na hrozby. Podobne ako operátori, ktorí upozornili začiatkom mája na
nevyžiadané hovory, pričom nevyžiadané čísla aktívne blokovali.
Ak sa bavime o stadiu “podme vyskusat” tak som za, ale zacat treba v
organoch verejnej moci kedze na tie ma stat priamy dosah. Idealne aby
taketo nieco zacal stat vyzadovat pre svoje sluzby pripojenia po svojom
oblubenom ISP. V biznisovom svete staci dodatok do zmluvy medzi statom a
dodavatelom a netreba zakon. Verim ze uvidime nakolko ekonomicky
zaujimavy tento biznis je a nastavi to paradny trhovy benchmark :).
Managed services existuju (bezpecnost ako sluzba, VPN, sprava siete a
stanic, endpoint security). O to ci sa predavaju alebo nie sa zatial
nestara zakon, ale trh, a kupuju si ich viacmenej firmy, nie jednotlivci
a je to celkom zlozity formalny aj technologicky proces.
Operatori robia pre svojich zakaznikov technickymi prostriedkami to co
vedia, rovnako ako ISP. Nerobia to co nevedia. Napriklad v pripade
Wannacry by ISP vedeli blokovat povedzme port 445 z Internetu co je
jeden z vektorov ktorym sa cerv siri a podla technologickych moznosti a
povedzme vykonovej rezervy ak nejaku maju to vela krat aj urobia. Na co
ale dosah nemaju su ine vektory ktorym sa nieco taketo siri - vo vnutri
LAN sieti, vo VPN ktore neposkytuju, usb klucmi a tak.
A ti čo majú neaktualizovany nezabezpečený počítač nech sú v inej časti
siete bez podpory.
Tak to funguje aj dnes, bezpecne sluzby stavias v nebezpecnom Internete,
rovnako ako prevazas po svete peniaze v pancierovom aute lebo si casom
zistil ze bezpecny svet je utopia. Nikto nie je ochotny robit sluzbu
managovanej bezpecnosti zadarmo. A samozrejme platit za nu nikto tiez
nechce. Takze ti co su ochotni platit maju NIEKEDY zabezpecene siete a
opatchovane pocitace, a ti ostatni su v tej vacsej casti siete -
Internete. Kopiruje to len skutocny svet.
r.
1 Like
Napadlo ma, ze pre iste pripady pozaduje stat komunikaciu vyhradne elektronicky. Takze ako by poriesil situaciu, ked by ten, od ktoreho pozaduje data zaslane elektronicky z pocitaca cez internet ma zakaz pristupu na internet? Rovno takeho uzivtela potrestame aj pokutou?
Ako vyriesit pristup na Slovensko.sk ked bude mat uzivatel zakaz pristupu na internet?
Riesenie je, stat zabezpeci kazdemu pocitac s nainstalovanymi najnovsimi systemami a bude sa mu o to starat nejake oddelenie spravy obcianskych pocitacov. K tomuto oddeleniu zriadime oddelenie kontoly spravy obciacnkych pocitacov. Potom specializovany sud na riesenie sporov medzi uzivatelom obcianckych pocitacov a spravou obcianckych pocitacov.
To nam bude sveta zit ked budu vsetci zamestnani v statnej sprave a plateni z dani. Budeme mat prve ekonomicke perpetum mobille.
1 Like
bude musiet chodit na IOM a tam sa bude moct len bezmocne prizerat ako to niekto riesi zanho. Alebo si vybavi sluzbu akreditovaneho odborneho dohladu (nieco ako opatrovatelska starostlivost pre dochodcov), pod dohladom ktorej bude docasne pracovat s internetami.
1 Like
Zákon /norma, ktorý sa obchádza je v legislatíve označený ako obsolentný - hoci je účinný, ľudia ho nedodržujú
WannaCry bol taký útok, že podnikatelia a dokonca veľké podniky na niekoľko týždňov blokujú e-maily.
Riešením je práve budovanie bezpečnej siete cez ISP a uloženie povinnosti výrobcom operačných systémov prednostne aktualizovať bezpečnostné záplaty.
Dokonca sa nebránim, aby ISp vyžadoval na pripojenie Počítača do siete aj prítomnosť nejakej antivírusovej ochrany.
A samozrejme prevádzkovateľ e-mailov by mal odstraňovať nebezpečné správy ešte pred doručením.
Tak jo. Snaha bola. Uz sa nedivim, preco to u nas vyzera ako vyzera.
PS:
Ako je to vyznacene v zbierke?
Ved to je v poriadku. Ak si to nevedia inak zabezpecit, ich problem.
Mozno. Ale urcite nie za sucasneho stavu. Nie je pre to podporana na ziadnej urovni (protokol, hardver, standardy, ludia z praxe…)
Najblizsie k tomuto ma VPN. Ale neviem, ze by nieco taketo niektora sluzba poskytovala - vid napr. http://top5-vpn.com. Zameriavaju sa na ine parametre (po ktorych je dopyt).
Nevymozitelne. Nema to ako skontrolovat.
Toto sa dnes bezne deje na sluzbach, ktore za nieco stoja.
1 Like
WannaCry sa nesiri emailom, ale cez chybu v SMB (protokol na zdielanie suborov/priecinkov/tlaciarni v lokalnej sieti). Ak niekto kvoli WannaCry zablokuje email, je vo veciach bezpecnosti absolutne nekompetentny. Takato ochrana ma podobny vyznam, ako riesit ochranu pred nachladnutim cez zakaz pitia kavy.
Vyssie ti uz pisali viaceri vratane mna, ze internet zo svojej povahy nie je bezpecna siet a ziadny ISP to nema moznost jednostranne zmenit. Ak chces bezpecnu siet, musis si ju vybudovat sam ako svoje male chranene a bezpecne prostredie, a nespajat ju s internetom (a ak, tak len s prisne kontrolovanym pristupom medzi sietami). Paralela s beznym svetom pre netechnicke typy ludi: Bezny svet obsahuje vela sposobov ako moze clovek ochoriet, bakterie a virusy su takmer vsade. Ak je dolezite neochoriet, je mozne zavriet chranenu osobu na izolacku, filtrovat jej vzduch a kontrolovat stravu, a je realtivne velka sanca, ze to bude fungovat. Nebude to vsak fungovat vo velkom - ze spravime izolacku pre polovicu Slovenska, ktora nechce ochoriet, zavrieme tam vsetkych tychto ludi spolu (ekvivalent napadu - oddelit zabezpecene skupiny do samostatnej siete ISP) pretoze v takomto velkom rozsahu sa uz neda efektivne zabezpecit kontrola, ani nenakazenie ludi v tejto skupine navzajom od seba. A obzvlast to nebude fungovat, ak v tejto izolacke pre pol Slovenska umoznime neobmedzene a nekontrolovane navstevy cudzich statnych prislusnikov (ekvivallent spojenia izolovanej zabezpecenej siete s nechranenym internetom).
V sucasnosti neexistuje ziadny technicky sposob, ako by si ISP mohol zistit a kontrolovat, ci pocitac ma nainstalovany aktualny antivirus, alebo aktualizacie systemu. Ak by aj hypoteticky doslo k zavedeniu takychto mechanizmov, otvorili spolu s nimi by sa otvorili dalsie cesty, ktorymi je mozne preniknut do pocitaca. Utocnici by boli mohli touto cestou ziskat informacie o urovni ochrany pocitacov, a lepsie cielit utoky tak, aby vyuzili zname slabiny. Zaver - takyto mechanizmus neexistuje, a vzhladom na rizika ktore prinasa, pochybujem ze niekedy bude existovat.
Okrem toho dalsia komplikacia spocuva v tom, ze k jednej internetovej pripojke sa bezne pripaja viac pocitacov a zariadeni (kam radime aj smartfony, IP kamery a kamerove systemy, IP telefony, routre, atd). Mal by ISP odstrihnut celu pripojku v momente ked zisti ze je pripojene co len jedno nechanene zariadenie - tj. pripojim novy smartfon a ISP ma odsekne, a nenainstalujem uz ani aktualizaciu? Alebo ma ISP nechat pripojenie aktivne a ohrozit tak cele zabezpecene prostredie? Odpoved za mna - ani jedno riesenie nebude vseobecne akceptovatelne…
To sa pomerne bezne robi. Problemom je, ze nie je vzdy mozne jednoznacne urcit, ci je sprava skutocne skodliva, a moze dojst k zahodeniu legitimnej spravy, alebo tiez k doruceniu skodlivej spravy.
3 Likes
V IBM kde nasadili macOS problémy neboli 
možno by nebolo odveci prehodnotiť úzkostlivú závislosť na operačnom systéme od MS?
Z tohoto vyplyva, ze treba odpojit nezabezpecene velke firmy a aj banky od internetu. Ved az 81% z nich priznalo, ze utoky boli uspesne.
1 Like
Nie, len ich treba pripojiť cez providera, ktorý garantuje bezpečne pripojenie a služby s tým spojené.
Podobne, ako sa budujú IoT siete.
Aj ja sa chcem pripojit cez bezpecneho providera. Ktory je taky ? Ze mi zaruci, ze ma nikto nehakne ani ziadny malware ku mne neprenikne a tak. Koho mam oslovit, ktory provider je bezpecny?
3 Likes
mal by sa urobiť robustný štátny radius server aj s SCOM a na ten by sa pripojili všetky PC/ servre na Slovensku ktoré sú pripojené na internet. a toto by kontroloval veľký NBU, aby celý štát mohol spokojne spájať. ISP by ho boli povinné integrovať a využívať - najlepšie to dať do eGOV zákona ako spoločný modul
Keby sa niečo posralo, tak by admin nbusr123 proste komp odpojil a hotove 
a celé ostatné Slovenské mravenisko by si žilo svojim spokojným životom.
Skôr cesta množín sieti a podsietí v ktorých funguje sukromnopravna svojpomoc a len sporadicky verejnoprávna nutná obrana alebo krajná núdza.