Názory k článku NBÚ v reakci na útoky vytvoří komisi pro kybernetickou bezpečnost
-
x (neregistrovaný)
To je uplne jednoduchy: "Hele, pepa rikal, ze ten jeho kluk dela do pocitacu ... tak ho tam dame" ... navic komise prece potrebuje reditele, ten aspon 5 namestku a ti prece nicemu rozumet nemusej. Pak potrebujou aspon 10 sluzebnich aut a samozrejme jelikoz jde o IT, tak aspon za 100M techniku (jako trebas GTX 690 a podobne - to si nedelam prdel, to si kupuje IT na nejmenovanem okresnim urade).
-
m (neregistrovaný)
můžete prosím uvést umístění tiskové zprávy?
na tétu url je poslední zpráva jeden a půl roku stará: http://www.nbu.cz/cs/informacni-centrum/media-a-verejnost/prohlaseni-a-tiskove-zpravy/ -
Honza (neregistrovaný)
Myslím že nyní je všem jasné, kdo si ten "útok" objednal. Jsem zvědav jak bude vypadat ten zákon o kybernetické bezpečnosti. Proběhlé DDoS útoky nelze považovat za žádné ohrožení z hlediska bezpečnosti. Jen to otevřelo otázku, co dělali administrátoři jejich serverů posledních 5 let?! Snad se mezi těmi pozvanými odborníky najde dostatek silných hlasů, kteří pánům z NBÚ vysvětlí, že to že si zpravodajské deníky hostují servery u různých banánů, wedosů, a podobných českých amatérských (ve srovnání rozsahu a kvality služeb se zahraniční konkurencí) hostingů, není důvod dělat nějaký povyk. Obávám se ale, že nás ale čeká utahování šroubů. Přitom v zahraničí je ochrana proti DDoS útokům už na síťové vrstvě standardní služba i levných hostingů.
-
Honza (neregistrovaný)
Tady asi ne, ale v zahraničí o to řeší již několik let a řešení dávno existují. Ať už se jedná o primitivní řešení typu "máme v záloze obrovský výkon serverů", tak i pokročilé metody filtrace na úrovni síťové vrstvy. A obvykle se jedná o kombinace obojího. Mimochodem to co my nás považujeme za DDoS útok, co sestřelí český web, se ani neblíží běžné návštěvnosti větších zahraničních webů.
-
ZP (neregistrovaný)
Mate skutecne potrebu tady prokazovat platnost porekadla o prazdnem sudu, ktery nejvice duni?
BGP peering probiha nejen pres point-point propoje, kde to skutecne potreba neni, ale take pres sdilene medium, coz je treba priklad uzlu NIX.CZ, ale i vsech dalsich obdobnych. Tam se muze vyskytnout situace, ze mi z jedne mac adresy dany prefix muze prijit zcela legitimne, ale kdyz mi prijde z mac adresy jine, je pravdepodobne, ze se jedna o traffic z podvrzenych zdrojovych adres. Ja samozrejme nemam zajem odfiltrovat legitimni traffic, ale v takovem pripade rozeznam traffic legitimni od nelegitimniho prave jen a pouze komparaci mac adresy a zdrojove IP adresy prislusneho ramce/packetu.
-
ZP (neregistrovaný)
Nad BGP tady mame cosi jako kulturu fungovani peeringoveho ekosystemu. Do ni patri i to, ze do site nebude zadny peeringovy partner fyzicky posilat packety se zdrojovymi adresami prefixu, ktere on sam pomoci BGP neoznamuje (v nekterych IXech to pravidla vyslovene zakazuji, jinde se to povazuje pouze za nepsane pravidlo slusneho chovani). Takove packety totiz budou s nejvetsi pravdepodobnosti nejakym skodlivym provozem (nebo konfiguracni chybou) a je zcela legitimni (a v nektertych pripadech i vyslovene zadouci) je filtrovat.
-
Problém bude v tomto:
> ktere on sam pomoci BGP neoznamujecož je patrně situace, která nenastává, protože předpokládám, že provider zapojený do peeringového centra oznamuje včechny prefixy, které z peeringového centra od svého peeringového souseda dostane.
A i kdyby náhodou platila pravidla, že peeringový bod neposkytuje tranzit třetím stranám (což mně přijde jako blbost), tak máte pořád vyřešené pouze různé NIXy, nikoliv už přímé peeringy. Mimochodem, NIX.cz pravidlo o zakázání tranzitu třetích stran nemá, vizte TECHNICKÉ PROVOZNÍ PODMÍNKY PRO VEŘEJNÝ PEEERINGOVÝ SEGMENT http://www.nix.cz/cz/operating_rules
-
ZP (neregistrovaný)
Prefixy providera pripojeneho ke GTS a GiTy bude GTS i GiTy Seznamu pres NIX oznamovat (a tedy ten prefix Seznam uvidi v "show ip bgp neigh A.B.C.D received-routes") a bude tedy moci overit, ze packety z prefixu onoho providera jsou legitimni.
Naopak pokud Seznamu prefixy onoho vami zmineho providera zacnou chodit pres NIX.CZ treba z mac adresy site BlablaNet, aniz by jej BlablaNet propagoval ze svych NIXovych peeru, da se predpokladat, ze to jsou spoofovane packety (byt to sice neni uplne jiste, ale ta pravdepodobnost je dost vysoka na to, aby to oduvodnovalo jejich pripadne filtrovani; pokud to je legitimni provoz, pak je na miste, aby BlablaNet kontaktoval Seznam a zacal to s nim resit). A prave k zabraneni takovym situacim je vhodny kombinovany L2+L3 ACL. Tim tema povazuji za vycerpane, pokud se v tom chcete patlat dal, tak beze mne.
-
ZP (neregistrovaný)
Neznalost ano, ale ne moje. BlablaNet tyto prefixy Seznamu oznamovat nebude, protoze Seznam od nej nekupuje transit. Pokud by to zkusil, tak mu dokonce spadne BGP relace, protoze Seznam na ni pravdepodobne ma zapnutou max-prefix kontrolu rekneme na trojnasobek ci petinasobek prefixu, ktere BlablaNet bezne posila.
BGP jste se na kursu nebo z dokumentace teoreticky naucil docela hezky, to ano, ale ta praxe...
-
Hm, nejaky jiny argument, nez "ani jedno z tech tri opatreni neni ucinne", nemate? V opacnem pripade se holt budeme muset rozloucit s tim, ze mame na vec rozdilne nazory.
Blackholing zahranici si predstavuju treba tak, ze zahodim vsechno, co mi posle upstream :-) V lepsim pripade o toto pravidlo pozadam sveho upstream poskytovatele. Predpokladam, ze tomu budete rozumet.
Vim, ze jste odbornik, takze jmena tech chytrych bezpecnostnich boxiku si jiste zajistite sam.
Pripadam si jako v deja-vu. Pred nekolika lety za mnou jeden muj zakaznik (kteremu jsem postavil CDNku) poslal sveho spolupracovnika, ktery mi predlozil clanek v impaktovanem casopise, kde bylo matematicky dokazano, ze CDN neni realizovatelna. Priznam se, ze jsem neztracel cas matematickym vyvracenim dukazu ani nejakou slozitou diskusi. Ta CDNka (v nove podobe) uz vic nez rok funguje bez jakekoliv interakce se mnou, takze se da rict, ze jsem mel pravdu.
S dovolenim bych diskusi na toto tema neprodluzoval. Pokud se nejaky klient najde, rad mu pomuzu takove reseni postavit a uvidime vysledek. Pokud se nenajde, tak holt nase tvrzeni nebudou moci byt konfrontovana s realitou. Ja to preziju a doufam, ze ani Vam to nezpusobi zadne mentalni nebo fyzicke problemy.
-
> ze zahodim vsechno, co mi posle upstream
dobrý, takže třeba si nepošlu žádnou poštu, protože mi nebudou fungovat DNS servery. Nebylo by jednodušší se odpojit úplně?
Vím, že jsem odborník, ale zatím jsem na žádnou takovou krabičku nenarazil. Kdybych na ni narazil, tak bych se neptal. Takže víte nebo nevíte?
-
JB (neregistrovaný)
Zajímalo by mne, kdo bude sedět v tom "...poradním orgánu Komise ředitele NBÚ pro kybernetickou bezpečnost". JAK může státní instituce konkurovat nějakým soukromým firmám, když nejsou schopni zaplatit pořádné odborníky?
Jen pro zasmání, dnes jako specialista na bezpečnost sítí vydělávám +200 tis. měsíčně a to nemám povinnou VŠ, kterou vyžadují všechny státní instituce při zaměstnávání nějakých IT "odborníků", kterým nabízejí tabulkové platy srovnatelné s uklízečkou ve světové firmě.
Takže, hodně štěstí Česká republiko a státní správo zvlášť :-)
-
JB (neregistrovaný)
Já se nehoním za penězi. Dělám práci, co mne baví a navíc (bonus) jsem za to dobře placen. Chtěl jsem jen poznamenat, že státní instituce si nemůžou dovolit zaplatit opravdové specialisty, neboť nikdy neposkytnou to, co soukromé firmy - od platu, techniky, školení, volna. No a z něčeho se život, rodina, koníčky, příp. charita, musí zaplatit :-)
-
Seti (neregistrovaný)
Nenašel jsem žádnou nabídku za $ 70+ za hodinu, co jsem zjistil, pohybují se nabídky od několika dolarů do cca 50 u zkušených vývojářů. Bohužel naznám žádného PHP vývojáře, který by dělal pro Google nebo FB. Každopádně pořád považuju za vtip, že 200k bere každý druhý, možná tak velmi zkušený s širokým záběrem vědomostí okolo webu a takových moc není.
ČLÁNKY DO MAILU