Jak na bezpečnější internet?

[Oliver GGG]

Dobry den,

pred casom som zalozil temu ohladom bezpecnejsieho internetu, ale siel som na to moc komplikovane a detailne.

Podmne na to este raz a zosiroka:


PROBLEM:
Internet je nebezpecne miesto, nie je regulovany, moze tam ist hocikto, hocikedy a od hocikadial hocijaku lokalitu napadnut. Neriadi sa pravidlami a je plny rozdnych nastrah.

MOZNOSTI:
Dajme tomu ze financne neobmedzene. Povedzme ze ste STAT, ktory sa rozhodol spravovat internetove pripojenia ludi nejakymi STANDARDAMI - ako napriklad elektricke zastrcky. Ak chcete doma internet musite sa riadit pravidlami.

AKO:
Ake pravidla by to mali byt? Co vas napada? Ako by ste to riesili?

CIEL:
Chceme internet, siet, alebo VPN - proste hocico, s hocijakymi pravidlami - kde budu ale len "dobre pakety", virus free a ak nie tak sa vyvodi zodpovednost.

PODMIENKY:
- musi to vediet fungovat paralelne s "dnesnym" internetom, nove kable sa tahat nebudu


Proste si predstavte ze to chcete mat pod kontrolou....

Povedzme preco to robim:
Moj profesor tvrdi, ze podla jeho nazoru dnesny internet nemoze fungovat tak ako doteraz, minimalne nie rovnakej, neriadenej forme - prirovnal to k cestnemu poriadku - ze tam su tiez obmedzenia na rychlost, semafory, pravidla, a kazde auto je overene, a pripustene na cesty s tym ze ma aj znacku - a tak vieme kto je vodic...

Mojou ulohou je diskutovat a najst moznost podobneho modelu v inteternete - pozmote mi prosim a napiste mi co vas napada...


P.S.: Moje predstavy som zhrnul v dlhom poste: http://forum.root.cz/index.php?action=post;topic=4004.0;last_msg=33637 - ktory je neaktivny a dam ho lockut adminom, sprvaim to radsej malou brainstorming diskusiou

DAKUJEM

Oliver

[Reklama]

[Petr Krčmář]

Ona je potíž v tom, že ta pravidla už platí. Existují zákony, které je možné na internetové přestupky aplikovat. Otázka zní, jak je vymáhat a jak to celé hlídat. Internet je decentralizovaná síť vlastněná obrovským množstvím lidí a firem a jako taková se hlídá velmi špatně. Jediná šance je „velký firewall“, který hlídá provoz.

Ale tady je už velmi tenká hranice od hlídání ke zneužití. Proto to uživatelé nechtějí. Vzniká tím nový extrém: naprostá kontrola veškeré komunikace, jako třeba v Číně. Navíc to útokům uvnitř stejně nezabrání vůbec a šifrovaná spojení se hlídat nedají. Navíc je tu právní problém: někdo útočí z IP adresy X, ale je třeba dokázat, která osoba je za to zodpovědná, tedy kdo měl ruce na klávesnici. Říct: je to tvoje adresa a od tebe odcházejí viry, takže půjdeš sedět, je nesmysl. Postihlo by to běžné uživatele.

Jednoduché řešení neexistuje.

[Mirek Prýmek]

Ja vidim hlavni problem v tomhle:

kde budu ale len "dobre pakety", virus free a ak nie tak sa vyvodi zodpovednost.

Podle me neexistuje nic jako (objektivne) legitimni provoz ("dobre pakety") - paket je dobry nebo zly vzdy podle kontextu a podle subjektivne nastavenych pravidel jednotlivych systemu.

Vem si treba, ze bude existovat zranitelnost v Apachi takova, ze kdyz si nechas zobrazit stranku <cokoliv>/bad_page.html tak Apache spadne. Je pozadavek na takovou stranku legitimni nebo ne? Je to "dobry paket"?

[jnkjn]

Dakujem ze sa zapajate to ako hned na zaciatok

ako druhe hned reakcia na:

Jednoduché řešení neexistuje.

A to ani nechcem. to co by so mrad spracoval ma niekoholko planovanych stanic, od abstraktu, idei, az po apsolutny detail, spisanie projektu a fiktivne poziadanie o grant. Takze to neberiem len ako diskusiu na roote lebo sa nudim ale nieco co by som rad rozobral. Teraz zacinam len so zakladnou myslienkou.

Proto to uživatelé nechtějí.

Ano toto bola moja prva myslienka, ale dajme tomu ze - by to chceli, popripade mali zakonom dane. Viem si predstavit ze ja by som to doma nechcel, lebo sa tesim napriklad torrentom a nelegalnemu SW a s tym mozno aj nejaky ten malware... ale dajme tomu ze by som musel - bol v cine. Alebo chcel - bol firma a chcel sa dodatocne zabezpecit proti utokom zvonka.

Jediná šance je „velký firewall“, který hlídá provoz.

Ako? Musi sa user autentifikovat a jeho masina musi byt autorizovana? kolko a kde by boli brany firewallu? Nechcem ochranu len pred svetom vonku ale aj ochranu "vnutri" aby nemohli, na seba (alebo nemali to take lahke) utocit ani clenovia.. HW? SW? Opensource? Blackbox? :-)

Navíc to útokům uvnitř stejně nezabrání vůbec a šifrovaná spojení se hlídat nedají.

Ako moznost vam ponukam ich aj zakazat. Alebo povolit s tym ze autorita by kluc poznala a mohla kontrolovat.

naprostá kontrola veškeré komunikace, jako třeba v Číně

Ak je to podla vas na dosiahnutie nasho cielu nutne, tak kludne. Ja sa snazim najst riesenie ktore splni poziadvky a samozrejme bude najmenej agresivne/utocne/nakladne. Ale ak by to podla vas inak neslo tak kludne.


Ak sa Vam chce (mne by to dost pomohlo ) tak si predstavte ze mozete cokolvek, ze ste BIG BROTHER a chcete BEZPECIE. So sukromim uzivatelov si hlavu nelamte, oni to sami chcu, a jediny kto to vidi ste vy, a oni vam veria. A to ze ich data vidite vy je im milsie ako keby ich mal vidiet nejaky hacker.

Dajte fantazii sancu putite to na plne obratky a povedzte mi ako by ste to riesili aj ked krok po kroku postupne sa dopracujeme k napadu ci to vyznam ma, ci to mozne je a ked tak ako..

Este raz dakujem

[jnkjn]

Este raz davam na zretel: financne nie ste extra limotovany kazdemu domov asi nepostavime nejaky mainframe, ale ak by bolo riesenie ze by sa kazdy uzivatel musel overit heslom, biometrikou a podkoznym RFID tak pohode ... Ale opat, snazime sa dosiahnut nasho cielu - minimalisticky - ak to nie je nutne tak nie, ale zakladny ciel musi byt dodrzany

[Reklama]

[Oliver GGG]

jnkjn - som ja pardon za zly nick

<cokoliv>/bad_page.html

Tak keby bol internet plny len tohoto tak myslim ze nemame az tolko starosti takze nie .. hentaky request by nebol povazovany za utok, alebo nesplnenie podmienok

[Pindal]

„Já bych všechny ty internety a počítače zakázala“

To myslím  vyřeší všechny tvoje problémy dokonale.

[Oliver GGG]

„Já bych všechny ty internety a počítače zakázala“

Ale o to tu vobec nejde. Je viacero dovodov preco by dany projekt mohol mat hlavu a patu.

Napisem ti dva:

- podla mna nie je momentalne uplne normalne ze 10% internetovych userov su roboti ktori behaju pod nete a scanuju servery na defaultne hesla. V nasej "sieti" (ak budeme vediet ako moze vyzerat) by takyto uzivatel bol odhaleny do par sekund, odpojeny od siete, kedze pri vstupe by sa musel autorizovat - tak by sme vedeli kto to je a mohla by sa vyvodit zodpovednost.

(to znie dost dost "diktatorsky" ze? ale predstav si aj dnes na CZ a SK su ucivatelia ktori by zaujem mali)

- firmy: Firmy internet potrebuju, maju citlive data a systemy. Stredne a male firmy tvoria minimalne 50% prijmu statu a napriek tomu nemaju infrastrukturu ako sa realne branit cielenym utokom z vonka, ci uz hackerov alebo konkurencie. Tito uzivatelia by podla mna siet, kde sa nmusia nicoho bat, a komunikovat medzi sebou ako doteraz, uvitali....

[Mirek Prýmek]

Tak keby bol internet plny len tohoto tak myslim ze nemame az tolko starosti takze nie .. hentaky request by nebol povazovany za utok, alebo nesplnenie podmienok

Jde o to, ze v Apachi by byla chyba takove, ze po takovem requstu by Apache spadl. Cili pomoci takoveho requestu by bylo mozne utocit na Apache a polozit ho. To by byl "legalni paket"?!

[Pindal]

Tak ti co to chtějí (i ty co to nechtějí ;-)) mají datové schránky :-)

Jinak na to tvoje řešení (pro ty co to chtějí a to je velmi důležité) stačí blackbox PC s VPN připojením. Nic magického.

[Oliver GGG]

@Miro: mne tak nejde ani o persekuovani utocnika. Mne jde o bezpecnost site - v nasi siti, jak by byl identifikovan, byl by odpojen - pro bezpeci ostatnich. O exekutivu ted nejde ale minimlane bychom vedeli odkud to jde a jak ho odpojit.

@pindal: Ano blackbox s VPN - dobra myslenka, mala krabicka uz kazdeho PC. V poradku. Ale: kto by ji spravoval? Dava ti takova mala krabicka jistotu ze tvuj vlastni PC neni infikovan? to potreubjeme taky. NEchceme jenom sterilitu site ale taky stanic co na dane siti sou. A co kontakt s vencim? Jak by si to resil? Ta firma ma aj webserver - jake pravidla by sli tam? Jenom webservisy? Vyhrazene porty? :-)

[Pindal]

Tím blackboxem myslím kompletní PC s uživatelsky nemodifikovatelným softwarem. Spravovala by to ta samá firma co VPN.

[Oliver GGG]

@Pindal: Blizis se me predstave. Ok - takze male a stredni firmy by meli moznost dostat od spravce (treba do prenajmu) BLACKBOX DESKTOP PC, se Softwarem o ktery zazadaji. Treba reknou (Lenovo desktop, s Office a Skype)?

Otazky:
- a co se stanicemi ktere uzivatel uz ma? - museli by se nahodit nanovo? Nebo staci nejaky software co skontroluje co tam je a co neni? A pak by byli vzany do VPN a autorizovany?

- jakou technologii by si tlacil? UNIX? Microsoft? proc?

[Waseihou]

Internet není třeba cenzurovat nebo jakkoliv omezovat, protože nad ním lze postavit bezpečnou síť která je prakticky nenapadnutelá, pokud se jedná o virtuální internet. Vynucování pravidel by přineslo nutnost kompletní změny infrastruktury internetu, zákaz šifrování jiného než skrze "důvěryhodnou" třetí stranu (=stát) a tvrdé postihy za nedodržení. Asymetrická kryptografie pro výměnu symetrických klíčů by musela být zločin, a to by bylo rozporu s listinou základních práv a svobod. Nutnost blokovat nejenom politické stránky, ale jakékoliv odkud jde získat software a nebo zdrojáky. Povolit uživatelům pouze pustit ověřené programy. Přineslo by to tolik problémů, že to snad nikdo nezavede.

Jak to udělat? Vytvořit státní operační systém založený na open source a ten provozovat ve virtuálech nad VPN a dovnitř pustit pouze povolené weby, tedy whitelist systém. Při každém spojení by se nad tím šifrovaný ustavilo ještě jedno dočasné skrze výměnu symetrických klíčů pomocí asymetrické kryptografie pro větší bezpečnost, pro hlavní kanál by se použilo šifrování pomocí podpisu vypáleného do TPM (trusted platform module) nebo pomocí klíčů vydaných státem uznávanou certifikační autoritou. Dnešní procesory mají často i podporu šifrování, takže zpomalení je zanedbatelné. Jakmile existuje zabezpečená síť i virtuální prostředí, hned tak něco s tím nikdo neudělá. Co se virů týče, problémem je že většina lidí má Windows a pracuje s administrátorskými právy.

Náklady na virtualizaci jsou podstatně nižší než na překopání celé infrastruktury.

[Oliver GGG]

@Waseihou:

Tak tomu rikam odpoved pekne si to lustroval. Velice pekne, takze jednoduse: Po prihlaseni po VPN je kontrolovan provoz a vime kto to je a vidime co komunikuje a muzeme ho v pripade potreby odpojit. Ok!

otazky:

- a co koncove stanice, co s keyloggery, trojany a malwarem? Museli by v tvem scenariu mit lidi unifikovane pracovne stanice? Nebo by mohli mit vlastni s nejakym SW resenim? Protoze pro ucastniky by treba bylo dulezite nejenom aby neboli napadnuti z venku pres kabel ale taky aby jim treba v PC nesedel nejaky skodlivy kod... Jak by se resili to?

- a co komunikace z vencim? jak by mohl nekdo uplne z venku "vstoupit" dnu a treba si objednat neco na webstrance? Nebo neco zapsat do DB - mohl by to? Jak by to mohl? Mohl by vstoupit do VPN aj bez autorizovane a overene (treba zavirene stanice)? Ne nemohl? to by byl problem

- kolik by bylo VPN, firewall kontrolnich bodu? reknime ze muj system je otevreny celosvetove - jak by so to ohranicili? mesta? obce? staty? krajiny? kontinenty? nejaka specialni pravidla pri vstupu ze zony do zony?