Kto będzie monitorował polski internet, czyli nowa strategia
W sieci opublikowany został ciekawy dokument opisujący założenia polskiej strategii cyberbezpieczeństwa. Znaleźć w nim można bardzo interesujące fragmenty dotyczące monitorowania całego polskiego internetu.
Dzisiaj rano na stronach Ministerstwa Cyfryzacji pojawił się dokument o nazwie ZAŁOŻENIA STRATEGII CYBERBEZPIECZEŃSTWA DLA RZECZYPOSPOLITEJ POLSKIEJ. Lektura całości jest ciekawa, ale naszą uwagę najbardziej przyciągnął fragment o monitorowaniu ruchu internetowego.
Wykrywanie i ostrzeganie
Punkt 3.2 dokumentu pod tytułem „System wczesnego ostrzegania i reagowania” opisuje założenia rozwiązań, które mają służyć wykrywaniu zagrożeń sieciowych. Co do zasady opis niezbędnych kroków obsługi incydentów zgodny jest ze światowymi standardami. Autorzy dokumentu słusznie zauważają, że monitorowanie sieci powinno odbywać się na wszystkich warstwach modelu OSI, ze szczególnym naciskiem na warstwy wyższe.
Jednym z opisanych w dokumencie komponentów systemu ostrzegania ma być monitorowanie węzłów wymiany ruchu internetowego. Węzły te to punkty sieci, przez które przechodzi ruch internetowy przekazywany pomiędzy operatorami. Punkty te obsługują zarówno wymianę ruchu krajowego (np. pomiędzy Orange a T-Mobile) jak i wymianę ruchu międzynarodowego. Autorzy dokumentu postulują, by wymieniany ruch był objęty monitoringiem pod kątem anomalii. Monitoring ten ma polegać na zainstalowaniu w węzłach wymiany ruchu sond sieciowych, analizujących przesyłane przez nie dane.
Czy to się w ogóle da zrobić?
Autorzy zauważają pewne problemy związane z tym ambitnym projektem. Oprócz względów oczywistych jakimi jest chociażby określenie, co jest anomalią, a co nią nie jest, wskazują na kwestię identyfikacji wszystkich punktów wymiany ruchu. Istotnie, praktycznie niemożliwa jest pełna ich identyfikacja, ponieważ ktoś może zestawić taki punkt wymiany ruchu np. za pomocą łączy satelitarnych. Pomysł monitoringu zakłada jednak kompletność rozwiązań monitorujących, co jest sporym wyzwaniem.
Innym, znacznie poważniejszym problemem jest wolumen ruchu podlegającego analizie. Przez największy polski węzeł wymiany ruchu PLIX przechodzi nawet do 500 Gb/s. Oczami wyobraźni widzimy już uśmiechy na twarzach producentów sprzętu do analizy pakietów. Co prawda autorzy zakładają, że oprócz umieszczenia sond będzie można także korzystać z „narzędzi operatora”, ale nie znamy operatorów, którzy utrzymują w gotowości narzędzia umożliwiające pełną analizę ruchu przez niech obsługiwanego.
Problemem którego nie doszukaliśmy się w dokumencie, a który wydaje się być w tym kontekście istotny, jest także szyfrowanie ruchu. Szczególnie w wyższych warstwach modelu OSI udział ruchu szyfrowanego będzie regularnie rósł, ograniczając istotnie możliwość jego analizy – chyba, że twórcy dokumentu zaproponują w przyszłości rozwiązania pozwalające na monitorowanie ruchu szyfrowanego.
W punkcie 4.2 dokumentu autorzy dodają, że istotą systemu monitorowania ma być jego centralizacja, by przedstawić kompletny obraz sytuacji i umożliwić korelację wydarzeń. Kierunek tej wydaje się być oczywisty, chociaż trzeba pamiętać, że istotnie zwiększa poziom złożoności systemu.
Kto to wszystko będzie monitorował
Na to pytanie najlepiej odpowie schemat z dokumentu.
CERT Narodowy
Tę zaszczytną funkcję ma pełnić zespół określony w dokumencie jako CERT Narodowy, a nazwa ta oznacza, zgodnie z wykładnią dokumentu, zespół CERT Polska.
Na koniec chcemy przypomnieć, że dokument to jedynie założenia strategii, zatem jest to materiał określający kierunki, a szczegóły ich realizacji powinny pojawić się w kolejnych odsłonach programu. Oprócz omawianych fragmentów dokument zawiera wiele pożytecznych i sensownych założeń. Cieszymy się, że trwają prace nad bezpieczeństwem polskiego internetu. Obawiamy się jednak, że cele, jakie stawia sobie i krajowi Ministerstwo Cyfryzacji, mogą być technicznie bardzo trudne do zrealizowania.
ahahahaha. pic na wode fotomontaz sluzacy kolejnej inwigilacji przecietnego obywatela. w calej tej inicjatywie cieszy ze byc moze w polskiej przestrzeni pojawi sie troche wiecej szyfrowanych polaczen z ktorymi zgraja bandytow w krawatach sobie poradzic nie bedzie mogla przez nastepne 10 lat (standardy zachodnie) lub 50 lat (standardy polskie). czy ktos kiedys slyszal o zamachu terrorystycznym w Polsce (nie licze wiezien CIA zmontowanych przez obroncow demokracji z USA)? nawet naszych elektrowni nie oplaca sie przejmowac bo zwyczajnie ich nie ma :D Ktos znowu naladuje kieszenie hajsem i kogos znow trzeba bedzie za to opodatkowac. Efekt marny wiec zacznie sie sciaganie haraczu za pobieranie plikow dokladnie jak ma to juz miejsce w USA, milionowe kary za piosenke, wiezienie za obraze prezydenta. Zatem pamietajcie, jak kupami we wladze rzucacie to tylko zza VPNow i to nie w EU!
Kolego, z tak głębokimi mądrościami polecam powrócić na onet i tam komentować.
a co, zabolało?
Pomijając luzacki styl, to oczywiście masz rację. Na pohybel inwigilatorom!!!
@z3s
Znalazłem ciekawy bug(chyba, że to nie bug tylko „ficzer”).
Wystarczy na linuxie wpisać w konsoli:
cat bug.bin
Czasami wchodzi za drugim/trzecim razem
Plik bug.bin:
http://www.filedropper.com/bug
Ciekawe na czym dokładnie polega bug.
Jak myślisz/myślicie – da się to nadużyć?
Wrzucasz wirusa i zachęcasz do otwarcia?
@Marcin
Jak się boisz, to kto ci broni odpalić na wirtualnej maszynie/live cd itp. ???
https://pl.wikipedia.org/wiki/Wirus_alba%C5%84ski
Klikam uruchom (nawet jako administrator) i nic się nie dzieje. Może używam złego windowsa?
@maslan
To nie jest plik wykonalny, a tym bardziej nie .exe.
a nie lepiej zwrócić się do NSA oni już tam są poco wymyślać koło od nowa
Te założenia nigdy nie zostaną w całości zaimplementowane. Wyjdzie tak, że sondy bedą wychwytywać dajmy na to torrenty i bedą je blokować. Podobnie może być z Torem. Teraz operatorzy maja z tym problem, a nowe rozwiązanie idealnie nadaje się do cenzurowania treści. Może być też jak to było w chińskiej prowincji zamieszkałej przez Ujgurów. Odcięli całkiem część kraju od Sieci i ponownie włączyli po roku czasu. Takie centralne sterowanie jest niebezpieczne dla wolności komunikacji. Nie rozumiem huraoptymizmu z3s..
Sondy raczej nie będą blokować, bo pewnie będą na portach odsłuchowych.
Ale skoro już będą, to raczej będą cyzelowane by coraz lepsze dane zdobywać, wiesz, z powodu „think about the kids”, albo z powodu innego słowa które wyłacza loficzne myślenie (np. „terroryzm”).
Gdybym miał dostęp do takiej infry, i posiadał zapędy na sukces w adm. centralnej, to na pewno zrobiłbym parę projektów które by były na granicy dopuszczalności a które dałyby mi awans i poważanie wśród decydentów: filtrowanie po słowach kluczowych, monitorowanie wybranych e-maili, a może nawet nawet jakieś bardzo w grey-area projekty typu: wyłapywanie informacji o niepokojach społeczynych, jednostkach buntowniczych, zapowiedziach zgromadzeń – które to prostą drogą prowadzą do inwigilacji społeczeństw.
No sonar namierzy, a zablokuje system za to odpowiedzialny. Wiadomo, że to będzie tylko składowa większej całości. A to o czym Ty piszesz, można już dzisiaj zrobić. Ja widzę zagrożenie w arbitralnym blokowaniu dostępu do niewygodnych treści. Kiedyś był pomysł blokowania stron pedo i hazardowych tzw. Lista Stron Niedozwolonych (czy jakoś tak). To o czym traktuje wpis jest niczym innym, ale właśnie przedłużeniem tego chorego pomysłu. Korpy zażyczą sobie aby zablokować Zatokę Piratów? Proszę bardzo, sonda namierzyła szkodliwy plik i zablokowała dostęp do strony. Oczywiście trosce o bezpieczeństwo sieci rządowych i większości użytkownikow Sieci. I nie muszą blokować domen, DNSów co jest trudne. Wystarczy banować odpowiednie treści, np. te zaszyfrowane, używane tylko przez terrorystów.
Kilka dni temy zastanawialem sie nad tym w jaki sposob beda monitorowac. Nie wyobrazam sobie tego. Kazdy kto monitoruje nawet mala siec wie, ze pliki zrzutu ruchu sieciowego waza nawet kilkadzisiat GB dzienie w malym biurze. Gdzie to przechowywwac w przypadku calego kraju? Potrzebne sa miliony twardych dyskow, serwerownie zajmujace hektary i tysiace analitykow.
> pliki zrzutu ruchu sieciowego waza nawet
> kilkadzisiat GB dzienie w malym biurze.
To nie ma przechowywać tylko monitorować na bieżąco, i dawać znać „jakby coś”. Ale technicznie da się wszystko, w końcu ta sonda arakis to jakiś pewnie typowy pecet z linuksem czy czymś podobnym. Więc trzeba ufać nask-owi, że jego pracownicy nie będą sobie tcpdump-ować haseł do pop3/imap albo na stronki nie-https, ani zgrywać maili.
Tak jak ze snowden-em, na pewno powiedzą, że mają super-system audytujący logowanie i zmiany na sondach… tylko, że ktoś ten super-system też musi utrzymywać, i pewni są to ci sami ludzie :) No i istnieją jeszcze ustawy o pomocy służbom, które pewnie się nie powstrzymają przed okazjonalnym wykorzystaniem bratniej pomocy nasku (bo terroryzm czy coś).
Nie chcę wyjść na męskiego szowinistę ale tak to jest jak się baba zabierze za IT. Teraz tak na poważnie, przyłączam się do radości z faktu, że ktoś w ogóle myśli o bezpieczeństwie internetu w Polsce. Z drugiej jednak strony poraża oderwanie tego myślenia od rzeczywistości. Owszem miejsce podsłuchu wspaniałe – punkty wymiany ruchu – jednak pojawia się problem, w obecnej chwili nie do przejścia, dla Polskich służb – ilość ruchu/danych jaki należałoby przeanalizować. Szczerze mówiąc, bez superkomputera i wielkiej, dedykowanej serwerowni projekt jest mało realny. Nie wspominam już o kosztach takiego przedsięwzięcia. Operatorzy raczej nie będą chcieli sponsorować chorej polityki inwigilacyjnej państwa chyba, że zobaczą w tym jakiś zysk.
.
Lepszym rozwiązaniem w chwili obecnej wydaje się postawienie na szkolenia i „dozbrajanie” urzędników, tak aby krytyczne państwowe systemy nie stały się ofiarą ataków wrogich organizacji/państw.
> Szczerze mówiąc, bez superkomputera i
> wielkiej, dedykowanej serwerowni
Wiesz.. to się akurat dobrze składa. Min. Morawiecki zbuduje superkomputer i serwerownię, slajd 24. – https://www.mr.gov.pl/media/14840/Plan_na_rzecz_Odpowiedzialnego_Rozwoju_prezentacja.pdf
== Przykładowy program rozwojowy „Cyberpark Enigma” ==
• Dostępna infrastruktura – superkomputer, data center
Tja szkolenia urzędników to jest dopiero worek bez dna i myślenie oderwane od rzeczywistości .
Nie wiem jak się mają do tego ostatnie zmiany w prawie bo szczerze mówią prawo chyba mało mnie obchodzi ale nie sądzę aby ktoś sięgał do warstw aplikacyjnych bo to faktycznie byłoby ciężkie do zrealizowania a po zatym chyba nie dokońca legalne (jakiś globalny IPS,BDS w trybie pasywnym czyli de facto callback-i ?) Natomiast bezpieczeństwo można całkiem skutecznie monitorować z wykorzystaniem wyłącznie warstwy 3 i 4 jak się ma dość rozgarniętych ludzi i oczywiście możliwości techniczne co przy takich ilościach ruchu i tak wydaje się być dość dużym wyzwaniem
i to „sponsorowanie” przez operatorów przecież oni (ci owi operatorzy, ich klakierzy i cała ta lamowata sitwa) mają taki ból dupy mn. dlatego że jeżeli ktoś będzie coś sponsorować to budżet państwa. Nie sądzisz chyba że chodzi o poczucie misji
no i weź pod uwagę że większość z nich z Polską ma tyle wspólnego że mają tu biurowce
Kobiecince ktoś nawciskał że może wszystko.
Pani AS znana jest z tego, że za inwestycje w cyberbezpieczenstwo zaplacą operatorzy (podobnie z rynkem telko zrobila w UKE (MNP/MTRy/testy jakosci).
A nalozenie obowiazku na operatorów – to przełożenie na klientów.
Czyli za nasze pieniądze, Pani AS obiecała……
A gdzie info o tym jak i co jest cenzurowane ?. jakoś google nie pokazuje wiele.
Przecież to nie tajemnica. Cenzurowane będzie wszystko to co jest niewygodne dla władzy (tej czy innej). Jak już ktoś napisał, przyjdzie moda na pedofilię czy terroryzm to zaczną cenzurować to co się pod to łapie, pod hasłem walki o Polskę lepszą i bezpieczniejszą. Może też się okazać, że korporacje będą zawierać ciche układy z cenzorem w celu np. eliminacji piractwa. Oczywiście podatnicy będą za to płacić a korpo dostanie usługę za darmo. Oczywiście argument będzie taki, że pirackie oprogramowanie jest niebezpieczne i trzeba ja zwalczać (przypomina się artykuł sprzed paru miesięcy o kampanii pewnej firmy dot. kupowania softu na aukcjach).
Trzeba będzie poprzestawiać routery, aby puszczały ruch przez VPN. Mało to wygodne, szczególnie w przypadku darmowych usług, ale przynajmniej w ten sposób mogę okazać swój sprzeciw. Nawet jeśli nie robię nic zdrożnego, nie chcę aby rząd zaglądał mi przez ramię w ekran monitora.
Ciekawe gdzie są teraz ci, którzy jeszcze niedawno zrywali kostkę brukową w imię walki z ACTA, gdy za drzwiami czeka projekt większego kalibru. Ach, no tak, teraz siedzą cicho, bo mówi się o intronizacji Chrystusa i walce z „islamizacją i laicyzacją”. Obrzydlistwo. Wystarczyło że zmienił się stosunek do religii, a narodowcy nagle zaczęli brać wszystko jak leci, mimo że zagrywki niczym nie różnią się od tego, co uprawiało PO.
Taka historia:
– No dobra, zestawiliśmy ten peering testowy z Netią, zobacyzmy jak to działa
– No, super, to idziemy na górę do NOC-u
– Nie tak szybko Wojtuś, weźno podłącz tę skrzyneczkę z nasku na tap-porcie
– Na 3 dni?
– Ordnung muss sein!
Taka historia (bardziej horror):
– Aby korzystać z Internetem umieść EDO (Elektroniczny Dowód Osobisty) w czytniku.
– Autoryzacja potwierdzona. Dziękujemy za skorzystanie z Bezpiecznego Dostępu do Internetu.
lub
Brak autoryzacji, połączenie nie może zostać ustanowione.
i po co superkomputery, zaawansowane sondy… prosta baza danych z kim się „Kowalski” łączył a próby wielokrotnego nieautoryzowanego połączenia skutkują „odwiedzinami”… zresztą EDO może być chipem…
to jakże to by było? :
– Aby korzystać z Internetem umieść prawą rękę (lub czoło) nad czytnikiem…..
Ale wtedy politycy nie bedą mieli możliwości wciskania kitu, jak bardzo jesteśmy wolni i mamy wolne od kontroli media. Do stawiania nas w kontrze do innych krajów, potrzeba stwarzać pewne pozory :P
Lament co niektórych, jakbym czytał komentarze na interii czy onecie – serio. Prawie jak płacz nad błędnie nazywaną ustawą „inwigilacyjną”, która w gruncie rzeczy niewiele zmieniła.
Ten dokument to jest strategia. Do realizacji systemu inwigilacji jak tu niektórzy piszą potrzebne były by miliardy złotych – których rządzący nie wyczarują tak sobie i masa nowych aktów prawnych. W obecnej sytuacji awykonalne w Polsce.
Cenzura ? Owszem jest od dawna na google jak i na fbtak samo jak w chińskim internecie (w wydaniu EU to polityczna poprawność). Lepiej nie będzie – będzie tylko gorzej.
Strategia powoli widzę, porządkuje pewne kwestie, wyznacza kierunki. I dobrze czas najwyższy.
Politycy zawsze mają niesamowite wizje – ale w zderzeniu z rzeczywistością i kosztami – większość z nich upada.
„Cenzura ? Owszem jest od dawna na google jak i na fbtak samo jak w chińskim internecie (w wydaniu EU to polityczna poprawność). Lepiej nie będzie – będzie tylko gorzej.”
Pomylił Ci sie skutek z przyczyną. Dlatego jest cenzura (skutek), że właśnie takie przyczyny jak we wpisie do tego prowadzą. Dlatego nie powinniśmy się na to godzić.
Może w Twoim świecie już wszystko stracone, jednak wielu widzi alternatywę. Gdyby jej nie było, dawno byśmy już dali sobie ze wszystkim spokój.
> Ten dokument to jest strategia.
> Do realizacji systemu inwigilacji
> jak tu niektórzy piszą potrzebne były by miliardy złotych
Miliony, i to nieduże. Daj mi kilkadziesiąt pecetów (50 będzie git) z kilkoma kartami 10Gbps każdy (plus natywne SDK od Intela do raw-packet-processingu), i pozwól wstawić to na tap-port peer linków pomiędzy większymi ISP i łaczami z zagranicą (telia, deutsche telek., peeringi do DEC-IXa itp.) i można robić ciekawą poort-man’s-inwigilację za pomocą szybkich filtrów BPF czy na czymś podobnym. Pewnie ogarnie 50% ruchu między-ISP i za granicę. Ta chęć monitorowania 100% peer-linków w „strategii” to może zadziałać w Iranie, nie u nas, gdzie pan Henio z NOCu A dogaduje się z panem Antkiem z NOCu B na bieżąco, żeby zrobić jakiś peering dodatkowy bo się przepustowość kończy w takim czy innym IXie.
Drugi krok to jakieś własne FPGA, podpinanie się do ciemnych włókien i rozumienie DWDM, ale pierwszy krok to na pewno za parę milionów można zrobić coś ciekawego.
Nie podpowiadaj IM ;)
„Autorzy dokumentu słusznie zauważają, że monitorowanie sieci powinno odbywać się na wszystkich warstwach modelu OSI, ze szczególnym naciskiem na warstwy wyższe.”
Że co? Słusznie? „Monitorowanie” wyższych warstw już się zaczęła dzięki ustawie inwigilacyjnej…
Zachęcam Adamie do rozwinięcia tego szerokiego tematu. Po lekturze komentarzy jest oczywiste, że świadomość użytkowników jest na bardzo niskim poziomie w tym zakresie.
W pierwszej kolejności zaktualizowałbym tekst o informację, że MC zachęca wszystkich zainteresowanych do konsultacji nad założeniami strategii (https://mc.gov.pl/aktualnosci/zaproszenie-do-konsultacji-zalozen-strategii-cyberbezpieczenstwa-dla-rp).
Następnie poruszyłbym takie kwestie jak:
– dyrektywa NIS
– mnogość zespołów CSIRT/CERT działających w Polsce
– wnioski z ćwiczeń CyberEXE
– wnioski zawarte w raporcie NIK po kontroli bezp. w CB
– itd.
W końcu widać jakiś progres w dobrym kierunku, który jest efektem wieloletnich wysiłków podejmowanych przez rzeszę ludzi, a dyletanci wietrzą wszędzie spiski na miarę NSA/GCHQ, ferując wyroki oraz snując niczym niepodparte teorie. Zamiast lamentować, można zrobić coś pożytecznego i dorzucić swoje dwa grosze.
Pozdrawiam
To ja zachęcam ekspertów do podesłania swoich opinii – jestem pewien, że jest w PL co najmniej kilkanaście osób, które powiedzą o tym dokumencie coś znacznie ciekawszego i mądrzejszego niż ja (niestety kilka, które się znają i zapytałem, nie chciało komentować pod nazwiskami).
„W końcu widać jakiś progres w dobrym kierunku, który jest efektem wieloletnich wysiłków podejmowanych przez rzeszę ludzi, a dyletanci wietrzą wszędzie spiski na miarę NSA/GCHQ, ferując wyroki oraz snując niczym niepodparte teorie”
Nie zapominaj, że każde rozwiązanie najpierw powstaje do kontroli, dopiero aby ułatwić ludziom życie. Zwłaszcza systemy tworzone przez państwo. Już kiedyś podobny przykład podałem: informatyzacja aptek nie powstała tylko dlatego, żeby nie było pomyłek przy wydawaniu lekow. Powstała przede wszystkim po to, żeby zlikwidować przekrety na lekach, np. wywożeniu ich zagranice lub kupowaniu ich przez osoby nieodpowiednie.
> wietrzą wszędzie spiski na miarę NSA/GCHQ,
> ferując wyroki oraz snując niczym niepodparte
> teorie
Jasne – podpięcie na większośc polskich linków (między ISP i za grabicę) jakiegoś black-boxa od nasku na porcie tap-ethernet w ogóle nie przywodzi mi na myśl mozliwości wykorzystania tego do niecnych celów. Zapewnienie min. streżyńskiej i dyrektora NASKu o niewinności rozwiązania jest dla mnie osobiście jak przysięga podpisana krwią, której z zasady złamać sie nie da.
Co do zmian organizacyjnych – dokument zostal napisany przez NASK albo baaardzo mocno pod dyktando NASKu. (wykorzystanie ARAKISa – który jest dsniffem na sterydach z wykresami i innych nishy-srishy które służa do wymiany XMLi o incydentach z których tworzy sie nikomu niepotrzebne statystyki: wiadomość dnia: jejku-jejku, w roku 2015 było o 715.5% więcej ataków pshishingowych niż w 2014, i co my teraz zrobimy, koniec świata)
NASK zostanie panem i nadzorca black-boxów, dostanie więcej kasy, i zadanie które go przerasta. Zostaniemy z kilkudziesięcioma pecetami podpiętymi do różnych dużych linków peerowych. Pecety te oparte są nota bene o komponenty 100% chińsko-tajwańsko-usa-malezyjskie, więc jeżeli w firmwarze karty ethernetowej jest back-door, to nam się panowie chińczycy pojawią na takim serwie, i będą sobie mogli tcpdumpować 50% polskiego ruchu IP (bo, że to pokryje 100% to szans nie ma).
Sądzisz że cyberExe to jakaś miarodajna symulacja ? No to fajnie ;]
W ogóle to można powiedzieć że naj bardziej kontorwersyjne rzeczy robi się zawsze rękami państwa i tak przewrotnie stwierdzić że na prawdę nikomu nie zależy aby być liderem tej koncepcji. Bo to odgrzewany temat powtórka z rozrywki z przed jakiegoś roku, tylko że wtedy nikt się o prywatność i inwigilowanie użytkowników nie „troszczył”, no może troszkę ale szybko zaczęto wyłączać możliwość komentowania.
To był krok pierwszy, teraz rękami państwa zrobi się resztę a kiedy mówiłem że „ACTA” zostanie wprowadzona pod pozorem walki o bezpieczeństwo to mówili że mam nierówno pod sufitem.
Sądzę że tak będzie nie tylko w Polsce ale wszędzie bezwzględu na to czy wam się to podoba czy nie.
Zazwyczaj jest tak że wszystkie niewygodne rzeczy wprowadza się za pomocą państwa, chociaż największy interes w tym ma zupełnie kto inny.
Co do cyberExe posmarujesz wygrywasz, wiarygodność tych ludzi jest mniej więcej taka sama jak promocji w Tesco
Pokaż mi te mnogie certy które coś robią i ma to jakąś wartość. Czekam z niecierpliwością będę miał pewnie powód do niezłej beki.
Adam, niestety także się nie zaliczę do eksperta, bo wtedy pracowałbym w MC ;)
@FP: Być może zachęcają do konsultacji, ale „no prośba”, 2 tygodnie?
START: 23.02.2016
KONIEC: 08.03.2016
PODSUMOWANIE: Koło przyjaciół Polskiego Trolowiska wykminiło dokument, który miałby zamaskować wieloletnią bezczynność. Teraz proponuje się utworzenie szeregu kolejnych instytucji albo nadania absurdalnych obowiązków różnym organizacjom. Istnieją światowe rozwiązania, które są bardzo skuteczne i działają od wielu lat. W Polsce jak zawsze chodzi o to, żeby ktoś miał zajęcie (czyt: zarobił) bez rozliczenia efektów.
Osobiście nie mam nic przeciwko Panu Krzysztofowi (autorowi PDFa), ale treść dokumentu jest zlepkiem wielu różnych tekstów. Posługiwanie się statystykami z 2014 roku jest kompletnie irracjonalne – info dla niewtajemniczonych: zmieniło się BARDZO DUŻO w odniesieniu do 2015. Lakoniczne stwierdzenie odnośnie autora propozycji „Zespół zadaniowy MC” jest poprostu śmieszne i wygląda na bagatelizowanie ludzi, którzy mogliby zaproponować wartościowe i konkretne rozwiązania. Proponuję zamianę z Zespół zadaniowy na „Wysoce wykwalifikowany zespół ekspertów MC”. Marketingowo wygląda znacznie lepiej.
Sugerowanie, że CERT Polska, NASK czy inny komercyjny podmiot (bez względu na to czy jest rozwojowy,badawczy czy uniwersytecki) JUŻ JEST brany pod uwagę jako rozwiązanie oznacza, że NIE MA ŻADNEJ KONCEPCJI. Czyli… zróbmy ^C+^V, zmieńmy tytuł i gotowe.
KOMENTARZ1: Jeżeli coś ma działać dobrze i na długie lata to przede wszystkim musi to mieć korzenie we właściwym miejscu. IMHO, mamy taki urząd, który od czasu do czasu zbiera żniwo finansowe i ma w swoich kompetencjach sporo z zakresu stróża sieci – Urząd Komunikacji Elektronicznej. Nie twórzmy kolejnych molochów, które będą tylko między sobą kopiować dane i spychać odpowiedzialność.
KOMENTARZ2: Cały IT security zmierza do agregacji i data exchange w celu szybkiej analizy zagrożeń, a cały dokument mówi wręcz odwrotnie. Podzielmy wszystko na kolejne i kolejne zespóły, sektory, bajty… uzyskamy wtedy przepych w postaci osobowym, który kompletnie niczego nie zagwarantuje.
KOMENTARZ3: Cytat „Z doświadczeń budowy podobnych
systemów (projekty FISHA/NISHA
czy platforma n6 ) wynika bowiem, że charakter
wymienianych informacji (w tym ich ilość oraz możliwe zastosowanie) jest tak różnorodny, że
jest mało prawdopodobne, aby mogło powstać
jedno efektywne rozwiązanie do ich wymiany.”,
Dowód na to, że wszystko jest robione żeby przepchać jakieś rozwiązanie. Pytanie do Szacownego Zespółu Ekspertów w MC oraz autorów projektów czy mieli kontakt ze współczesnymi standardami STIX, MAEC, TAXII (https://stixproject.github.io/).
Proszę, „Ekspeci” korzystajcie z Google oraz doświadczeń innych mądrzejszych.
KOMENTARZ4: Naprawdę ktoś chce załatać potężną dziurę plastrem z napisem CERT Polska/NASK. Przytoczone projekty Fisha oraz Nisha w części dowodzą tej tezy:
http://nisha-network.eu/the-consortium
http://fisha-project.eu/the-consortium/nask-cert-polska
Czy ktoś z czytelników skorzystał lub zna przykłady wykorzystania jakichkolwiek deliverables z tych projektów?
KOMENTARZ5: Cytat: „Powierzenie CERT Polska/NASK roli
Narodowego CSIRT powinno się odbyć z wykorzystaniem procedury opisanej w art. 37 ustawy z dnia 30 kwietnia 2010 roku o instytutach badawczych. Na podstawie powołanego przepisu
Minister Cyfryzacji może nałożyć na NASK (…)”. Potwierdzenie tezy z KOMENTARZ4 – załatać, przepchnąć i przyklepać. NASK, czyli komercyjny moloch, będzie otrzymywał od Puppet Master-a zlecenia zapewnienia bezpieczeństwa, które będą zaspokajać ogólne spełnienie misji.
Ostatecznie, proszę innych entuzjastów krytyki niedorzecznych pomysłów instytucji tego Państwa do wyrażenia publicznie swoich przemyśleń.
Adam, jeżeli możesz, daj glue na główną stronę, ale bez żadnych reklam. Przed upływem terminu zgłaszania uwag będzie można zrobić copy&paste i przesłać do grona ekspertów w MC.
Pozdro i ożywczo pinguję towarzystwo :)
z szyfrowaniem nie ma problemu – wystarczy prawnie zakazać ;)
w końcu rządzi PRAWO i sprawiedliwość
ad. PODSUMOWANIE) Z pewnością wiele wniosłoby do dyskusji wymienienie jakie konkretne światowe rozwiązania masz na myśli. W kontekście znalezienia zajęcia, trzaskaniu kasy etc. mam te same obawy. Aby tak się nie stało należy chociaż próbować się przebijać ze swoim głosem, zaznaczyć że ludzie patrzą na ręce, wspierać osoby i inicjatywy które mają szansę poprawić stan rzeczy itd.
Statystyki na wstępie rażą niemiłosiernie, fakt. Czemu akurat symantec? Czemu z 2014? Można by wymieniać dalej. Ten jak i parę innych fragmentów zaliczyłbym na karb pośpiechu przy tworzeniu dokumentu ale bądźmy realistami. Dokument będą też czytały zapewne osoby nietechniczne, na których takie intro może (i powinno) zrobić wrażenie i już na wstępie powinno zmotywować do działania. Ważne, że jest punkt wyjścia i z czym pracować. Znam przypadki z autopsji, gdzie tworzenie pojedynczych dokumentów przeciągało się miesiącami z błahych powodów. Osobiście uważam, że czasem lepiej poświęcić formę by móc zająć się faktycznie tym co ważne. Inna sprawa czy na tym szczeblu takie podejście powinno być akceptowalne. Na pewnym poziomie dbałość o jakość i szczegóły jest już nawykiem.
Wybór CERT.pl na narodowy specjalnie mnie nie dziwi. Obecnie jest chyba najlepiej przystosowany do spełnienia tej roli (wg mojej wiedzy w dużej mierze już realizuje cele stawiane przed takim CERTem). Jeśli ktoś zna inny istniejący zespół w Polsce, który pod tym kątem byłby lepszym kandydatem, to może zechce się podzielić tą wiedzą? Szczegółów pracy w CERT.pl nie znam, poza zasłyszanymi dziwnymi historiami kadrowymi i zawirowaniami na “górze”, więc się nie będę wymądrzał. Tworzenie czegoś od zera w tym wypadku wydaje mi się być jałowe i wpisywałoby się w “tworzenie kolejnych instytucji”.
ad. KOMENTARZ1) Czy UKE może się pochwalić czymkolwiek w zakresie obsługi incydentów, monitorowania bezp. w sieci, analizy malware/ataków itd.? Czy poza kompentencjami “stróża sieci” można wymienić inne zalety nad typowymi już istniejącymi CERTami?
ad. KOMENTARZ2) Odniosłem ciut inne wrażenie po przeczytaniu tekstu. Agregacja i wymiana informacji, tak. Z kolei próba wyraźnego podziału na jednostki wg kompetencji, realizowanych zadań, tego co już obecnie funkcjonuje etc. Krótko mówiąc – próba ogarnięcia i uporządkowania.
ad. KOMENTARZ3) Nie zgadzam się z autorami dokumentu, że różnorodność w tym przypadku stanowi problemem lub by używać tego jako argumentu do forsowania jakiegoś jedynie słusznego rozwiązania. Rozsądnie byłoby pochylić się nad dostępnymi rozwiązaniami, przeprowadzić analizy/konsultacje/testy, wyciągnąć wnioski i na tej podstawie podjąć decyzje. Czy ktoś coś takiego zrobił? czy może jakiś Pan X z CERT.pl stwierdził jedynie – “mamy to, więc użyjemy tego, basta”. Jeśli dane “do” i “z” takiego n6/arakis(AQL) mogły by być sklejone ze STIX (http://stixproject.github.io/supporters/) i jemu podobnymi, to czemu nie?
W 2014 wiemy, że ARAKIS został przeorany (http://www.cert.pl/PDF/Raport_CP_2014.pdf; swoją drogą raport za 2015 pewnie dopiero za jakieś 2/3 msce). Po raportach widać, że coś jednak wykrywa. Skoro ktoś w CERT.pl podjął decyzję, że warto cały system poprawić przez przepisanie, to znaczy że widział w tym z pewnością perspektywę zysków finansowych ale mam też nadzieję, że poprawienie jego jakości. Wnioskuję po tym, że ktoś musi wykupywać te usługi oparte o ARAKIS (http://www.arakis.pl/pl/arakis-enterprise/modele-sprzedazy/). Chętnie bym usłyszał niezależne opinie osób o ARAKIS, które miały, bądź mają kontakt z tym systemem właśnie z perspektywy klienta. Czy pomógł wykryć jakieś incydenty? Czy były takie, których by się nie wykryło innymi “standardowymi” metodami?
-—-
FPKOMENTARZ1) 2 tygodnie? Z pewnością przydałoby się więcej. Czytając 5.2. “Harmonogram opracowania Strategii Cyberbezpieczeństwa RP” podejrzewam, że raczej nikłe szanse ale zaznaczyć, iż więcej czasu na konsultacje by się przydało nie zaszkodzi. 4 tygodnie brzmią znacznie rozsądniej.
FPKOMENTARZ2) Poraża mnogość różnego rodzaju instytucji – MC, NCC, UKE, NCBR, NCK, NCB, CBC, RCB, BBN, certy itd. Może to dlatego, że również nie jestem ekspertem w tej materii. Pomocna w zrozumieniu całego systemu naczyń powiązanych byłaby infografika obrazująca zależność i kompetencje poszczególnych instytucji/jednostek. Odnoszę wrażenie, że 4.1. “Proponowany podział kompetencji i struktury” i Rysunek nr 4 “System wczesnego ostrzegania” nie oddają pełnego obrazu.
FPKOMENTARZ3) W pkt 4.4. “Projekt kompetencji organizatora systemu ppkt. d – brzmi jak kolejna doskonała okazja do obsadzania stanowisk swoimi ludźmi. Marzenie ściętej głowy ale osoby decyzyjne powinny w takim narodowym CERTcie (swoją drogą nie tylko tam) powinny być wybierane gremialnie na podstawie wiedzy i doświadczenia przez autorytety z różnych środowisk (np. administracja, biznes, nauka). Z tym obsadzaniem stanowisk jak było i jak jest wszyscy wiemy. Czy na prawdę tak trudno wybrać kilku kandydatów i żeby kilka mądrych głów miało możliwość wybrania najlepszego? Bez sprawnej głowy reszta ciała daleko nie pociągnie.
FPKOMENTARZ4) Sądzę, że strategia jest dobrym miejscem by zamieścić informacje o planowanych zaworach bezpieczeństwa całego tworzonego systemu/rozwiązania. Nie doszukałem się ani jednej wzmianki o tym, gdzie byłaby mowa o tym, że przewiduje się rozwiązania, które by miały zapobiegać nadużyciom systemu. Sam system może być też atrakcyjnym celem ataku. Czy to w celu pozyskania informacji w nim przetwarzanych, czy to próby jego zdestabilizowania, czy to wykorzystanie go do wszczęcia fałszywych alarmów i wywołania paniki itp. Jak głęboko monitorowanie w IXP miałoby sięgać? Wiemy, że na wszystkich warstwach ale co i jak mniej więcej? Kto miałby możliwość niezależnego wglądu i weryfikowania, czy nie dzieję się źle (NIK, GIODO, RPO, panoptykon, szary kowalski)? Quis custodiet ipsos custodes?
FPKOMENTARZ5) “Dodatkowo w NASK, jako instytucie badawczym mogłoby powstać akredytowane laboratorium dokonujące oceny lub certyfikacji produktów informatycznych” – brzmi źle. Maszynka do robienia pieniędzy. W tym wypadku należałoby dopuścić możliwie różne podmioty do takiej weryfikacji (firmy prywatne, państwowe, uczelnie, niezależni eksperci). Co z tego, że jakiś produkt otrzyma certyfikat zgodności jak przy pierwszej aktualizacji zostanie wprowadzony kod, który będzie robił coś czego nie powinien. Wchodzimy na kolejny obszerny temat, weryfikacji oprogramowania (https://wiki.debian.org/ReproducibleBuilds), security by obscurity (https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle), ZTI (http://www.secure.edu.pl/pdf/2015/D1_1730_B_Dawidek.pdf), backdoorów etc.
Wracając do głównego wątku. Jeśli dorzucimy do kociołka takie konsorcjum BMS czy cyberpark ENIGMA (nie mylić z http://www.enigma.com.pl), to mam ambiwalentne uczucia. Z jednej strony dobry sygnał, że będziemy stawiać na rodzime rozwiązania. Z drugiej strony obawiam się, że powstaje towarzystwo wzajemnej adoracji. Chcieliśmy dobrze, a wyszło jak zwykle. Jest szansa, by zrobić coś dobrze od samego początku. Jeśli rozsądnie zaplanować i sformalizować sposób wytwarzania i weryfikowania produktów informatycznych (łącznie z etapem projektowania, a nie już gotowych rozwiązań), to nie będzie to szansa zmarnowana.
Kolejna dygresja. Swego czasu kontaktowałem się firmą Enigma z zapytaniem, czy ich produkty są weryfikowane w jakikolwiek sposób przez strony trzecie, jednak jak się można było spodziewać bez odzewu (swoją drogą może Adamie miałbyś większą siłę przebicia).
FPKOMENTARZ6) „„Złota Setka”; celem programu będzie zapewnienie stosownych dodatków motywacyjnych dla specjalistów spełniających najwyższe kryteria fachowości potwierdzone stosownymi certyfikatami”. Jest to tak zły pomysł, że nie wiem od czego zacząć.Przy optymistycznych obliczeniach, kwota która pada w dokumencie daje około 6000000/12/100 = 5000 (3500 netto) PLN per msc dla szczęśliwca ze złotej setki. Czy dużo, czy mało to kwestia subiektywna. Problemem jest jednak co innego niż sama wysokość dodatku. Dlaczego tylko setka? Dla specjalistów z których obszarów ten dodatek miałby być przeznaczony? Jak sprawiedliwie wyglądać miałoby wpadanie i wypadanie do puli szczęśliwców? Kwestię certyfikatów w ogóle pominę ponurym milczeniem.
Papier jest cierpliwy, widać oprogramowanie do obrabiania dokumentów tekstowych także. Wśród środowisk urzędniczych pokutuje pewien mit, że jak coś napiszą to na pewno zbawi to świat albo przynajmniej nasz malutki kraj. Z bezpieczeństwem informatycznym jest podobnie jak z bezpieczeństwem ruchu drogowego (ale i z każdym innym rodzajem bezpieczeństwa). Nie wystarczy zadekretować, że stworzymy jedną czy dwie grupy zadaniowe, napiszemy ustawę, rozporządzenie i parę innych strategii i nagle poprawi się nam bezpieczeństwo. Do póki każdy obywatel nie będzie od przedszkola uświadamiany w temacie bezpieczeństwa to jesteśmy na przegranej pozycji. Co z tego, że zapiszemy w dokumentach ładnie brzmiące frazesy o „incydentach”, „naruszeniach bezpieczeństwa” czy nakażemy organizacjom wytwarzanie kolejnych raportów skoro i tak większość ataków wiąże się z przełamaniem człowieka, który z głupoty czy z lenistwa potrafi olać wszelkie zapisane normy. Zatem w pierwszej kolejności należy zwiększyć świadomość społeczną odnośnie bezpieczeństwa informatycznego wdrażając odpowiednie programy edukacyjne a w drugiej kolejności lub równolegle topić fundusze w narzędziach o potencjalnie niebezpiecznym zastosowaniu czy powoływaniu kolejnych etatów. Oczywiście etaty dla specjalistów od bezpieczeństwa IT są ale co z tego skoro ziarno aby wykiełkować musi trafić na żyzną glebę a taką stanowi wyedukowane społeczeństwo.
Sądzę że przede wszystkim należy zniszczyć nask i cert.pl później oddajmy się pod opiekę china telecom, w końcu Chińczycy są najlepsi i tak załatwimy dwie sprawy za jednym razem tzn najlepsi nie będą nas atakować bo będą nas bronić i bronić będą nas najlepsi, następnie należy pomyśleć na wybudowaniem jakiś obozów re-edukacyjnych
które będą spełniały zadania edukacyjne społeczeństwa gdy np urzędnik Kowalski kliknie w obcy link to na 2 tygodnie do takiego obozu i rekreacja z kilofem w dłoniach .
Pozostaje kwestia Polskich współpracowników tych arcy hakerów/ekspertów z Chin którzy będą przekazywać do pospólstwa ich wytyczne i uwagi i tu nie mam wątpliwości że powinni być to ci najbardziej zasłużeni w dziedzinie bezp. w Polsce czyli mn. ci co publikują informacje o aktualizacjach w Google Chrome, oraz ci organizują gry, zabawy typu każdy szczęściu dopomoże, każdy dzisiaj wygrać może nie należy oczywiście pomijać ludzi mających MBA bowiem nierzadko tylko oni są wstanie trafić do pospolitych ludzi i tych z CEH .
Od zagrożeń w sieci są antywirusy i robią to bardzo dobrze.
A do monitorowania ruchu w sieci powodu nie ma.
A z szyfrowaniem jak z bronią – kiedy ją masz ani bandyta ani rząd Cię nie napadnie. Kiedy jej nie masz mogą obydwaj.
Kwestia szyfrowania, jeśli będzie zakazane lub będzie nakaz udostępnienia dojśćia dla rządu to z definicji nie jest szyfrowaniem.
I jeśli z definicji ludzie nie mają prawa do szyfrowania to rząd nie powinien mieć prawa do jakichkolwiek tajnych ustaleń. Wynika to z zasady, że żaden człowiek nie jest godny zaufania, aby zachować anonimowość.
dokument z linka już zniknął …