Názory k článku Lukáš Kintr (NÚKIB): Kdybychom na Huawei něco neměli, nemohli bychom vydat varování. Bianco šek na kompenzace nebude

Teda čekal jsem to hodně špatné, ale totální nulovou sebereflexi fakt ne.

To nebyl tajný dodatek z Orwella ? A tohle si platíme..

Legracni je predevsim to, ze na ne nemaji vubec nic, zatimco napriklad Cisco zadni vratka do svych produktu prokazatelne vkladalo opakovane.

Takze pro mne je radove duveryhodnejsi Huawei, u ktereho se dosud nic takoveho nenaslo.

Huawei, to je pro tyhle nafoukance prostě dar z nebe.

8. 4. 2024, 18:01 editováno autorem komentáře

"To nebyl tajný dodatek z Orwella ? A tohle si platíme.."

Tajné služby jsou z podstaty tajné, kdyby všechno zvěřejňovaly, byly by to veřejné služby.

Z podnětu občanské společnosti existuje zákon o "Občanské komisi pro kontrolu tajných služeb", ale ta ani po sedmi letech své právní existence nebyla personálně naplněna. Tlačme na politiky kvůli jejímu naplnění, a budeme mít tajné služby více kontrolované.

https://cs.wikipedia.org/wiki/Org%C3%A1n_nez%C3%A1visl%C3%A9_kontroly_zpravodajsk%C3%BDch_slu%C5%BEeb_%C4%8Cesk%C3%A9_republiky

Já nevím Huawei vadí a Xiaomi, Lenovo, BYD, TP-Link a další nevadí? A co SW platformy co si lidi stáhnou sami do zařízení Tencent, ByteDance to je cajk? Jen se ptám ..pro kamaráda :-D

8. 4. 2024, 22:46 editováno autorem komentáře

Danny ale nenapsal, že je určitě Číňan, pouze, že to tak vypadá.

Nevíme to, můžeme to odhadovat. Za mě to Číňan spíše není, ne vždy pracoval v UTC+8, čas commitů neodpovídá pracovní době v Číně (spíše to odpovídá UTC+1-4) a stejně tak nedodržoval tamní svátky, ikdyž jinak to vypadá, že pracoval vyloženě v pracovní době a ne ve volném čase. Naopak naše západní či východní (evropská část Ruska, Izreal a okolní země např.) dodržoval.

V jeho commitech jsem nebyl schopný najít žádné známky nativního jazyka či fragmentů, které by jasně ukázalo. Nenašel jsem v jeho commitech ani jeden soubor s 16-bit kódováním (např. UCS-2), což bývá časté u číňanů.

Podle mě to chtěl pouze někdo na Činu hodit a hledejme jinde. Až vylezou nějaké další metadata, emailové komunikace a další fragmenty, tak je možné, že se identita ukáže spolehlivěji.

Co mě překvapuje, nenacházím indície, že za tím bylo více lidí, vše vypadá homogenně, jak kdyby to opravdu byl jeden člověk, což u státních tajných hackerských skupin je zajímavé, tam si to střídají podle směny, tady to odpovídá jedinému člověku. Je tedy možné, že nebyl ani organizovaně řízen, mohl dostat zakázku, dělat to pro svůj osobní pokus či se mohlo jednat o nějakého white/gray hat hackera, který prostě zkoušel možnosti.

Ale pokud se ma neco na urovni statu zakazovat, nemuze byt oduvodnenim "protoze je to tajny". Minimalne regulovany (soukromy) subjekt musi ty detaily vedet. Vsak organizace, co se na KII podili musi mit i pracovniky s nejakou urovni proverek. Tajna (duverna) informace neimplikuje, ze informaci ma jen jeden urad, ktery na zaklade ni jen plive zakazy. Takto si to ale soudruzi v Brne postavili. Kdyby tomu bylo jinak, dotceny sektor by zajiste neprskal...

A ne, tohlenejaka "komise" taky plne nevyresi. To jestejne naivni predstava, jako ze vsecko vyresi ministr se svymi namestky, co se na uradech toci jak apostolove. To by ta komise muela fungovat na micro-management principech...

Treba u Lenova vlastni cinska vlada jen cca 27% podil. A jde o verejne obchodovanou spolecnost i na americke burze, tzn. tam nejaka kontrola zvenci take je. Zatimco akcie Huawei muzou vlastnit jen zamestnanci s cinskym obcanstvim... aneb nejake rozdily se tam najdou. Cinan nem moznost svuj podil vyhodne strelit na Wall Street ;-)

Ze se na nic verejne neprislo neimplikuje, ze tam nic neni. A pro priklad netreba chodit daleko - backdoor v XZ, skrze ktery v dusledku slo ziskat primy SSH root pristup... Jia Tan pracujici prevazne v cinske timezone (UTC+8) byl urcite asi american, ze? ;-) A dostat se tohle dal (schovane to nebylo spatne), mohl to byt za par mesicu pekny prusvih. A chystalo se to trpelive a dlouho.

Tech indicii je vic a nepracuji s touhle teorii rozhodne jen ja. Ale chapu, ze se dane teze budete snazit zpochybnovat... vas hodny cinsky bratr by se zajiste takove skaredosti nedopustil :-)

Sice nemame odborniky a kvalifikovane lidi obecne, ale zato vime lip, nez operatori, co je pro ne dobre, protoze oni se sami ochranit neumi :-)
Proste klasicky statni urad.

Ze se verejne na nic neprislo zcela jednoznacne implikuje, ze je to duveryhodnejsi dodavatel nez ti, u kterych se na to, a to i opakovane, prislo.

A dovolim si zaspekulovat, ze amikum se nedari jejich HW nabouravat a celosvetove odposlouchavat a smirovat, a tudiz zvolili metotu pokusit se jej celosvetove vyradit prave podobnymi blaboly o jeho nebezpecnosti. Ostatne, delaji to neustale ze? Uz se nasly ty zbrane hromadneho niceni v Iraku?

nejen opakovaně přišlo, ale opakovaně to i přiznali a jsou v tom otevřenější.

Důvěryhodnější? Třeba zranitelnost HWPSIRT-2022-82634 nebo HWPSIRT-2023-35490 (bohužel info dostupné pouze pro zákazníky) vypadá skoro jako záměr.

Není to ještě dávno, kdy se našlo, že u jejich routerů (sice trošku jiný segment než o kterém chce NÚKIB rozhodovat) mají natvrdo heslo *6P0N4dm1nP4SS* pro admin účet a změna hesla z administrace se neprojeví.

Vzhledem k tomu, jak poměrně dobře zatajují a schovávají informace o zranitelnostech (z updates notes není patrné co vlastně opravují, do security advisors portálu mám přístup pouze na produkty, u kterých je aktivní placená podpora a těch informací tam ještě není mnoho), bych jim moc nevěřil. Bezpečnostní služby opakovaně ubezpečili, že důkazy mají.

Vy podle timezone poznáte, že je to číňan a funguje z Číny? Ani kdyby fungoval z čínské IP adresy, tak to stále nic o jeho totožnosti neříká.

Žádné teze kromě timezone jste neuvedl, žádného čínského bratra nemám, jenom nesnáším vynášení soudů na základě chabých indícií, jaké předvádíte. Timezone +8 je mimochodem i Rusko.

Jisteze, UTC+8 je i Rusko.... konkretne treba jihovychodni Sibir. Tam by chtel zit kazdy :-)

A nebo je to jen lepe schovane a na vhodnou prilezitost se stale ceka. I ten XZ backdoor nebyl nahodny vykrik, ale roky chystana akce - co se odhalila jen diky nejakemu stouralovi, co se hnal za kazdou milisekundou. Predstava, ze jde nutne o odposlech je detinska - cinanovi muze stacit vam ty zarizeni vypnout v situaci, kdy se rozhodne vam vyhlasit valku. Protoze bez spojeni neni veleni. Amici u nas takovou motivaci nemaji, ze? Mimoto odposlechy a vubec selekce toho, co si prectete frci prave v te Cine. O velkem cinskem firewallu jste neslysel, co? :-) A zkuste tam nekde do diskuze napsat podobny blabol, co pisete sem... skoncite v tmave kobce :) Nebo pak je tu jeste moznost, ze jste placeny agent, co plodit tyhle cinu glorifikujici blaboly ma v popisu prace :)

btw, Huawei je jeden z hlavních dodavatelů pro Great Firewall.

Není to ani tak dávno, co se zjistilo, že zapomenuté heslo v Cisco routerech funguje kupodivu i na Huawei, pak z toho byla aféra, kdy Cisco se soudilo s Huawei kolem krádeže zdrojových kódů.

Ta společnost není důvěryhodná, Čína se nebojí používat tyhle společnosti k nátlaku a to je riziko. Mezinárodních smluv s Čínou máme pomálu, s USA poměrně dost, vztahy jsou o dost lepší.

Nerozumím tomu, proč bychom se měli spoléhat na někoho, s kým si moc nerozumíme (právně i lidsky).

Tak každý rozhodně nemusí, ale ten kdo chce vkládat podezřelý kód do linuxových distribucí klidně :D