suk
Nejsem ISP. Jsem bezpečák. Chodím po klientech a spravuju díry. Dívám se na to tedy z pohledu bezpečáka. Tady na fóru jsem řekněme proto abych navnímal jak ISP přemýšlejí - pomáhá mi to chápat některé jejich excesy.
Subjektivně: Z praktické zkušenosti kdekoli vidím u klienta whalebone (nebo varianty typu "nejmenovanýoperátor security"), vím že prostředí bude tentokrát nadstandardní průser. Úplně stejně jako kdekoli vidím u kohokoli doma rotoped, vím že tam bydlí alespoň jeden tlusťoch. Whalebone se ke klientovi kupuje když chci "řešit bezpečnost", rotoped když "chci zhubnout". Ani jedno nefunguje - neznám nikoho kdo by zhubl protože si koupil rotoped, stejně jako neznám nikoho kdo vyřešil bezpečnost protože si "koupil" nejmenovanýoperátorsecurity nebo jiný klon whalebone. Když chci zhubnout, koupím si trenéra a s ním to musím tvrdě odedřít. Analogicky bezpečnost. Nikdo příčetný si nemůže myslet že produkt za 82 hal (nebo 39Kč) jakkoli vyřeší bezpečnost. A jediný problém který s produktem mám je že tady se lidé tváří jakože ano a tyhle hry já nerad. Z prstu vycucám pět firem za poslední tři měsíce, které byly sežrány ransomwarem ačkoli si platily "nejmenovanýoperátorsecurity" a majitelé se strašně divili jaktože je to neochránilo. Marketing je uvedl v omyl, holt jejich chyba že jako laici nedohlédli že reklamština snese cokoli. Další důvod nemít to rád.
Objektivně:
Ten produkt je nesystémový, snaží se zoufalou oklikou řešit problémy které je třeba řešit zcela jinak a ve své bohorovnosti snižuje jak bezpečnost (viz ten úlet s ČEZ - to mi někdo udělat ve firmě tak ho za to vyhodím), tak spolehlivost (zbytečně si do sítě tahám zbytečný produkt třetí strany a vyrábím tak ohavný SPOF). DNS je stavěn hierarchicky a nic nebrání tomu abych si DNS resolvoval hezky sám a hezky od root serverů dále - tak jak to předpokládají příslušná RFC. Internet byl stavěn aby přežil jadernou válku, ne abych si do něj tahal SPOFy.
Technicky je to tedy mimo. Je zcela mimo diskusi že bych se s tím produktem chtěl seznamovat či za něj platit - ten produkt je inherentně špatně, tak jako je inherentně špatně komunismus - nebudu jezdit do KLDR abych se s komunismem seznámil, ani kdyby mi někdo nabídl zájezd za korunu s plnou penzí a hezkou severokorejku jako doprovod.
Mí klienti běží v zero trust modelu, pokud mají čínskou IoT krabičku, mají ji hezky ošetřenou zcela jinak než blokací DNS. U mých klientů by musely selhat nejméně dvě vrstvy ochrany, aby whalebone vůbec dostalo šanci něco zachránit nebo detekovat.
Ale:
Kdybych byl velký ISP a štvalo by mne že XX% provozu v mé síti jsou botnety od zaplevelených klientů a já za tuhle jalovinu musím platit dodavatelům tranzitu, a kdybych sledoval sobecky jen mé zájmy, dokázal bych si představit že bych jim nabídl "hele já si myslím že máte v síti pěkný chlív a vytěžujete mi tím mou síť, stojí mne to prachy. Měli byste si to dát do pořádku zeména aby vás to bezpečnostně nehrožovalo. Pokud jste ale flegmouši a nehodláte se tím zabývat, nabízím vám 1% měsíčně slevu když mi dovolíte nasadit filtr na vaši komunikaci a za to že vám nadále nebudu dodávat plnohodnotný internet. Vy na 99% nic nepoznáte (fejzbůček bude stále stejný), chlív tam budete mít furt stejný, ale já s vaším chlívem nebudu mít takové náklady".
1% dám zákazníkovi, 0.82Kč provozovateli filtru a když to vyjde, ušetřím na tranzitu a budu v plusu. Tohle smysl dává.
Ale nikdy bych nelhal že to řeší bezpečnost, natož abych to prodával - to ani omylem, řeší to marginální zlomek bezpečnosti, prvoplánově to šetří velkým ISP konektivitu.
Do toho krásně zapadá i ten exces s ČEZ - ten lze pochopit jedině tak že tam nešlo o bezpečnost klientů, ale o to aby nebyla infolinka operátora zahlcena telefonáty že neběží ČEZ. Proto ta rada aby se holt validace DNSSEC vypnula - prostě "Na to že vystavím klienty riziku se*e pes, hlavně když mne nebudou otravovat reklamacema.".
Tohle je jediný smysl whalebonu který vidím. A "leží mi v žaludku" pokud má někdo tu drzost marketovat to jako "...to provide millions of everyday internet users unyielding protection..." nebo jako "nejmenovanýoperátorsecurity" - to je jen reklamština.ss
Vnímám vstřícný tón posledního příspěvku, ale jsme každý z jiného vesmíru - v tom mém vesmíru, když bude mít ČEZ rozbitý DNSSEC tak má prostě rozbitý DNSSEC a mí klienti si prostě web ČEZu neotevřou - protože tak to má v danou chvíli za daného stavu při respektu k normám být. Kdybyste byl automechanik, radil byste klientům aby si čeveně svítící kontrolku brzdové kapaliny přelepili černou izolepou a s autem vesele jezdili dále? Kde by začala trestně právní odpovědnost za takové rady?
