Názory k článku Pro menší poskytovatele internetu to může znamenat konec, varuje sektor před možným zákazem dodavatelů z Číny
-
Tohle by si měli přečíst v Číně. Myslím, že by umírali smíchy, jak si stát ve středu poloostrova na západním konci kontinentu s počtem obyvatel menšího čínského města dělá starosti s tím, aby ani sklo ve vláknech optiky nebylo od komunistů. Zničíme se sami. Oni zatím budou stavět sítě v nezajímavé Saudské Arábii, Brazilii ....
-
30 let se tu rozvíjíme. Prvních 10 let jsme bourali telekomunikační monopol a zvrácenou legislativu monopolizující tento sektor. Potom přišlo 10 let svobody na telekomunikačním trhu a to, co teď opět choré mozky ve vládě a i v NÚKIBu dělají je, že opět začínáme uměle podporovat monopoly a likvidujeme skonomickou soutěž. Je to jak sedět na větvi, řezat pod sebou větev a nadávat na strom, ze kterého roste. Z venku to působí opravdu komicky. My ale vnímáme pouze detail a nevidíme důsledky globálního obrazu.
I v plánovaném hospodářství jsme se vyhýbali imperialistické technice, byli jsme pyšní na svůj průmysl výpočetní techniky a domácí elektroniky obecně. Kam to dovedlo, nemusíme zkoumat, protože výsledek známe.
Dnešní politruci, stejně jako z dob normalizace chtějí určovat, co je ještě dostatečně demokratické a co je už imperiálně iritující.
Jedno máme ale společné, technologický vlak nám ujíždí a kvalita sítí elektronických komunikací se připravuje zcela vědomě na slepou kolej, protože existuje nikoliv objektivní, ale čistě politické podezření, že produkce mimo NATO není košer.
No problém je zcela očividný. Prakticky nejsme schopni asijské vývojové dílně a výrobě schopni konkurovat. Situace je již natolik komická, že se jednotlivé vývojářské týmy a mozky přesunují na východní trhy, kde jim vůbec nechybí hlídací psi demokracie v podobě regulací a nesmyslných konkurenčních překážek.
Zavíráte se sami do pozlacené klece, ze které postupně ona zlatá opadává až zbydou jenom rezavé mříže od kterých jsme ven zahodili klíče.. Zůstaneme smutným skanzenem na který se budou jezdit dívat vyspělé technologické civilizace jako na zvířátka do ZOO. -
Ano - tak nedulezita, ze Cinu irituji treba i navstevy nasich senatoru na Tchajwanu :-) Nevypada to, ze by ten mopsik byl buldokovi ukradeny :D
-
Troufam si rict, ze i z pohledu bezpecnostniho auditu jsou u tech ISP schopnejsi a kvalifikovanejsi lide, nez to co zamestnava NUKIB :-) Jednoduse proto, ze soukromy sektor ma na to ty lidi zaplatit - za tabulkove platy tohle pujde delat maximalne nadsenec, co nemusi zivit rodinu. Ono je vcelku obvykle, ze technologie se pred nasazenim zvlaste v pripade vetsi infrastruktury testuje na kdeco a nespoleha se jen na to, co kde kdo napsal na nejaky papir. Samozrejme, ze tam kde ty lidi nemaji (ano, predevsim statni sprava) se na ten papir spolehnout musi, protoze nic lepsiho nedostanou.
Prusvih nastava v situaci, kdy lidi casto s viditelne mensi kvalifikaci a profesni zkusenosti chteji diktovat to, jak se ma XYZ udelat. A o tom je cele to jadro sporu. A u toho vymysleni lokalnich - specificky ceskych - pravidel dokonce ignoruji mezinarodni standardy, a to i ty zapadni. Zkuste si vzit smernice od NISTu a zkorelovat je s vyhlaskami, co vyprodukovaly nase slavne urady :-) Text tech vyhlasek je sto let za opicema...
-
Jasně, Huawei (např. to české zastoupení) je čisté? Podnákladové ceny ve výběrka, tlak na manažery, falešná osvědčení o bezpečnostních auditech od dceřiných společností. Ruku do ohně bych za ně nedal a patří mezi ty hodně agresivní dodavatele.
To samozřejmě ještě nedokazuje, že jsou bezpečnostním rizikem, to musí vědět jiní, ale bojovat za jejich čitotu? Kdopak jsi?
-
No a jakpak je to jinde? Mate naopak dost nad-streleny cenik a pak se jen perete o slevicky z nej, a se dost odviji od toho, z jakeho konkretniho sektoru jste. Pricemz do statni spravy se to prodava jednoznacne nejdraz... :-) Ona i ta definice fakticke podnakladovosti muze byt dosti osemetna.
V obecne rovine vendori, kdyz se snazi uchytit na novem trhu jdou s cenovkou dolu. To rozhodne nedela specificky jen cinan, to tady delaji treba i americke firmy. A samozrejme, kdyz uz je znacka dostatecne znama, tak si muze dovolit ten luxus ceny podrzet vyse.
A co se bezpecnosti tyce... podivejte se jen na bezpecnostni oznameni. Veci jako treba i "zapomenute" natvrdo zakodovane administratorske pristupy najdete obcas i u zapadnich vyrobcu. To take reknete, ze ty bezpecnostni audity byly cinknuty, kdyz to jima proslo? :-) Nebo na to najdete nejakou jinou lepsi vymluvu?
A pozor, ja tim Huawei nijak neobhajuju, ale melo by se merit vsem stejnym metrem, pokud chceme argumentovat timto zpusobem.
-
já si právě myslím, že to testování u operátorů není dostatečné. Jeden z nich se chlubí laboratoří. Nové zařízení tam na pár týdny dají, testují, že funguje správně (avšak nehledají a nezkoumají chyby, jen potvrzují správné chování) a pak jde do produkce, tohle kolečko se ale už neopakuje, pokud nejsou problémy a během životnosti dostává desítky aktualizací. Do produkce jít znamená, že přímo dodavatel jim ty zařízení přiveze, zapojí a nainstaluje (kdo ale zaručuje, že doručil shodnou verzi jako byla ta na testech?). Mě nikdo nikdy nekontroloval, co tam instaluji, pouze papírově.
Problém pak nemusí být pouze s Huawei, ale i se vším ostatním.
Že by tady probíhala nějaká hlubší analýza zdrojových kódu, chování zařízení v nestandarních situacích, měli dlouhodobě zařízení na nějakém hot seat, o tom jsem neslyšel, přitom úzsce s dvě z našich operátorů roky pracuji právě na sítích.
Rozhodně jsou na tom dál než stát, rozhodně to neignorují, ale dokázal bych si představit daleko vyšší míru obezřetnosti než jaká je teď.
Pokud mi HPE dodá Cisco switch, vyskytne se tam zranitelnost, mám během pár hodin/dní od nich patch, který mohu aplikovat, workaround ve znalostní databázi je skoro okamžitě (např. čerstvý CVE-2023-20252 takhle přesně proběhl). Když se objeví zranitelnost u Huawei, nejprve nikdo z CZ pobočky nereaguje, pak zapírají, pak řeknou, že to je v souhrnném opravném balíčku, ale v patch notes není ani čárka. To se jen letos stalo dvakrát. Není ani kam napsat a kam se obrátit, oficiálně. Ten přístup je výrazně rozdílný a nedivím se, když Huawei ztrácí důvěru.
-
jak už to tak bývá, v počátku si prostě nedávali pozor a nakupovali z centrály za vyšší ceny než kolik šlo do nabídek. Některé ty faktury se dostali omylem ven a byla z toho docela mela. Prodávat něco podnákladově má i u nás jistá pravidla, nadupaný 2U server za 120 tis je prostě něco, co jen tak nevidíš.
Tak záleží, co audit audituje, že. Někdy to jsou procesy, někdy kontroluje vznitřní mechanismy nebo třeba reakce na zranitelnosti, někdy kontroluje že jsou dodrženy při vývoji všechny best practice atd. Problém ale je se prokazovat nezávislým auditem a přitom společnost, která audit dělá patří Čínské dceře tvého vlastníka, prostě bratranec.
Huawei před necelými dvěma lety přestal zveřejňovat security advisory na své síťové prvky (třeba řada Campus) i zákazníkům, seznam opravených zranitelností neposkytuje ani u patchů, takže nevíš. Spolupracuje úzce s Činou a ta už několikrát hrozila, že někomu vypne internet, když bude ohrožovat "jejich zájmy". Tady jde asi spíše o důvěru. Jestli mají tajné služby nějaké další konkrétní informace, těžko říct. Huawei je jeden z hlavních dodavatelů velkého čínského firewallu, i to ukazuje na užší spolupráci než sám přiznává.
-
Tady jde vidět zase útočný článek Jana Sedláka proti firmě huawei , která provádí servis pro vodafone a tmobile , která provádí jakékoliv servisní požadavky a podílí se i na výměně koncových i páteřních prvků i v core siti , ale o tom nenapíše , Jane podívej se napiš do české pobočky huawei a pojď se do ni podívat a napiš normální článek jak to tu funguje.
-
A vy znáte skutečné náklady? Nebo se snažíte spojit ekonomický model s bezpečnostním rizikem pomocí spiningové techniky?
Pochybuju.
Jak obhájíte postup Microsoftu na školách, kam dodává licence v podstatě za hubičku? Nebo Esetu? Nebo to je jenom chytrý marketingový krok, který zajistí budoucí uživatele? Z vlastní zkušenosti vím, že po škole jsem utíkal z Microsoftu 10 let.
Ikdyž po tom jednotlivé politické organizace vrkají už pomalu 10 let žádná reálná prokazatelná rizika na tento HW nikdo nepopsal. Že Vám tedy nevadí totální bezpečnostní faily v podobě exploitů Cisco, zavirování Mikrotik, UBNT a jiných? -
Jasne, zatimco na urade nam testuji vsechno... tak jiste :-) Tak jim schvalne napiste do jejich ticketaku, schvalne jestli uz to svy RTcko ve verzi 4.0.20 (ktery jeste minimalne v lete v tyhle verzi provozovali) z roku 2014 uz stihli aspon zaktualizovat... ono tam par der taky je, jak se sam muzete presvedcit :D A clovek by cekal, ze zrovna u kyberpezpecaku bude pouzivany software vykladni skrin... a ne muzeum ;-)
Jasne, kdyz je pruser, Cisco tu zaplatu vyda. Ale obcas tomu predchazi tisice zarizeni, do kterych se nekdo proste vlame, protoze na vrchu mate sice pekne omalovanky, ale uvnitr je to nekdy poradne zbastleny slepenec. A samozrejme zalezi i na tom, zda bug jejich PSIRT jako bezpecnostni problem vyhodnoti. Pokud ne, mate to ve stavu "bezneho bugu" a na opravu muzete cekat klidne nekolik let. Nektere veci, na ktere jsem i ja prisel zadne CVE nikdy nedostaly - a bavime se treba i o tom, ze tam byl natvrdo zadratovany root v podkladovem Linuxu, kdy si po vnitrnim managementu takto povidali karty mezi sebou... jako bonus po Telnetu. Vyresili to nakonec tak, ze tu vec proste prestali prodavat :-)
Ten problem realne mate skorem se vsim. A muzete zacit u hojne pouzivanych Windows - i kdyz vam nekdo zdrojaky da, tak nez se prokousete od zacatku na konec, tak v mezicase vyjde nekolik dalsich major verzi. A ten problem mate i u Linuxu - i kdyz mate zdrojaky volne, tak nekdy tam ta dira je (oficialne) neodhalena klidne cele roky. A samozrejme se bavime o problemech, na ktery prijde nekdo z te "spravne" strany barikady, ne vsechny chyby totiz se hned publikuji a opravi, ze? :-) Z druhe strany kdyz se i v tom Ciscu kouknete, jake verze linuxoveho kernelu ci treba ssl knihoven tam behaji... tak byste zvracel, protoze rozhodne nejde o verze, ktere by byly zrovna aktualni a i build date dava tusit, ze s tim cherry-pick out-of-tree patchovanim se to taky moc neprehani...
-
To slyším poprvé, že by čína vyhrožovala, že někomu vypne internet s vyjímkou svého území a například nezletilých.
To že se prodává za nižší než nákupní ceny je naprosto běžný a používá to každý druhý retail pro zachycení zákazníků. Je to naprosto běžná praktika například v USA, kde se Cashback používá i v retailu - tedy že ti výrobce nebo import doplatí rozdíl ceny nebo vrátí část peněz za nákup. Obvykle to funguje tak, že jsou to marketingové náklady.
A podpora třeba konkrétně Campusu od Hua? No je většinou v KB. -
Troufam si rict, ze i z pohledu bezpecnostniho auditu jsou u tech ISP schopnejsi a kvalifikovanejsi lide, nez to co zamestnava NUKIB :-)
S tímto lze souhlasit, ale podstata auditu je nejen v tom, jaké ti lidé mají schopnosti, ale i o tom, co je jejich zadáním a také se při audtu zpravidla oceňuje nezávislost.
Operátor nejspíš bude řešit bezpečnost zařízení z jiného hlediska (obecně je trápí každodenní bezpečnost zařízení), než NÚKIB (kterého trápí bezpečnost v dlouhodomém horizontu nebo v případě kybernetické války) - zadání auditu tak budou různá.
O nezávislosti interních pracovníků auditu u oparátorů se dá silně pochybovat, obecně nepůjdu jako auditor proti svému chlebodárci tzn. i pokud bych tam našel něco podezřelého, tak to reportuji interně svému zaměstnavateli a je na něm jak s identifiovaným nálezem naloží, včetně toho, že může říct ať to raději ani do zprávy neuvádím. Pozor toto platí i v případě, že si najmou externí firmu, která jim audit dělá.
Tož tak, k argumentaci významně kvalitnějším auditem u operátorů.
Co se týká výrobců z Číny už jsem to tu několikrát vysvětloval, že to je obecně i o důvěře v tyto dodavatele. Prostě musím věřit, že nemají ve firmware žádná zadní vrátka nebo easter-egg. A pozor to, že to tam není teď (nechám to dnes důkladně za miliony prověřit experty), neznamená, že to tam nemůže být v příštím (nebo přes-přes-přes... příštím) update firmware. Ta zařízení mohou mít zabudované i HW easter-egg a to ještě jen některá z nich.
Pokud dodavatel aktivně spolupracuje s jakukoliv vládou, na její pokyn může něco takového třeba už zítra vykonat a na tohle žádná bezpečnostní prohlášení, audity, stavění se na hlavu apod. bohužel nepomohou. Jakmile hrozí konflikt (NATO) s danou jinou vládou, nejde od ní zkrátka prvky do kritické infrastruktury zabudovávat (vyjma pasivních).
-
I pokud budu chtit skutecne nezavisly audit, na trhu se nachazi dost subjektu, co disponuji kvalifikovanejsim personalem. A ze je NUKIB nekompetentni organizaci doklada uz jen to, ze stale lpi na periodicky vynucovanych zmenach hesel, i kdyz organizace typu NIST uz roky rikaji, ze to je blbost a ze takhle by se to delat nemelo. A troufam si rict, ze spousta hardware, o kterem se vyjadruji na NUKIBu ve skutecnosti ani nevideli. Predstava, ze vam z uradu otestuji zarizeni od vsech vendoru je usmevna sama o sobe - ono dost se utopi uz v tom, ze co vyrobce, to jiny software vevnitr a jiny model fungovani. A hlavne, kdyz uz urad chce neco teda nekomu "zakazat", tak by mel dodat dukaz ke svym tvrzenim a ne jen nas obstastnovat nicim nepodlozenymi dojmy.
A kdyz se pozorne zactete do komentaru k transpozici NIS2, tak jako nitka se tam line fakt, ze to hlavne chteji mit na NUKIBu jednoduche u sebe na urade - cimz treba ospravedlnuji to, ze cela firma i kvuli jednomu aktivu spadne jako celek do rezimu vyssich povinnosti a ty povinnosti. Protoze jim by se prece pri kontrolach blbe rozlisovalo, ktery system je skutecne kriticky a ktery ne.
Duveru si musi vyresit kazda organizace sama za sebe s prihlednutim ke vsem rizikum v dane organizaci exitujicim - ktere od stolu na statnim centralnim urade fakt nikdo nezhodnoti. Navic opet - nejde rict, ze treba cely O2 je kriticky jen proto, ze tamhle dela WDMku pro vnitro. Je to potreba rozlisovat na urovni sluzeb - sluzby pro retail logicky musi byt v jinem rezimu. A ne ze si to na urade usnadni tak, ze celou firmu hodi do nejake skatulky. A ty zadni vratka nejsou nic specifickeho pro vyrobce z libovolne strany barikady - obvykle se tedy to tedy jen navlikne "na chybu", kdyz se to provali :-) Kolikrat se uz resili nejake hardcoded credentials treba u Cisca, hmmm? :D A ano, dovedu si predstavit a zazil jsem sam situace, kdy zarizeni projde "zmrseny" paket a to se proste zakousne... jenze to jsou veci, ktere nejsou specificke jen pro cinana (kteremu se ja treba vyhybam). Muzete pak spekulovat, nakolik jde o defacto omylem odhaleny backdoor a nakolik opravdu jen o chybu v kodu.
A rozhodne by skutecne kriticke veci stat nemel outsourcovat. Ono to je zase jen alibismus a pohodlnost predevsim ze strany statnich uredniku, kdy pak pripadne problemy hlavne muzou proste hodit na dodavatele a sami se tvarit tak, ze za nic nemuzou. Je to pohodlnejsi pro ne, maji s tim min prace... a maximalne se nauci par buzzwordu, kteryma se ohani, i kdyz jim nerozumi. A zacina to uz u lidi - stat proste musi umet si kvalifikovanou silu nutnou pro provoz sve kriticke infrastruktury zaplatit a udrzet, ne ze se knowhow vyvadi do soukromeho sektoru - a problemy tim zpusobene se "obchazi" naslednou regulaci.
ČLÁNKY DO MAILU