Slo-Tech - V preteklosti smo videli nemalo primerov, ko so zlikovci ali virusi dostop do računalniških sistemov pridobili z izkoriščanjem privzetih gesel, ki so bila prelahka. Neredko proizvajalci kot privzeto geslo nastavijo 1234, 12456, admin, password ali kaj podobnega. Takšne naprave praktično niso zaščitene, ker je gesla možno enostavno uganiti. Velika Britanija je z novim zakonom PSTI (Product Security and Telecommunications Infrastructure) prva država, ki je tovrstna gesla kratko malo prepovedala.
Proizvajalci pametnih telefonov, televizorjev, pametnih hladilnikov, digitalnih varušk in podobnih naprav bodo morali vsaj za spoznanje bolje zaščiti naprave. Novi zakon je začel veljati ta teden, prinaša pa še nekaj drugih novosti. Proizvajalci bodo morali javno objaviti kontaktne podatke, kamor bo možno prijavljati odkrite ranljivosti. Prav tako bodo morali jasno predstaviti politiko in časovnico izdajanja varnostnih popravkov za naprave. Izdelki, ki ne bodo spoštovali novega zakona, bodo odpoklicali, proizvajalec pa bo moral plačati globo v višini do 10 milijonov funtov ali štiri odstotke globalnega prometa, če je slednje več.
Podobno zakonodajo pripravlja tudi EU. Pričakovati je, da bo Cyber Resilience Act sprejet v mandatu naslednje Komisije, veljati pa bi lahko začel leta 2027. V ZDA podobnih zahtev niso uzakonili.
A bo kaj veliko boljše, če bo v navodilu za router pisalo, da je privzeto geslo DicklessBlueDork namesto admin?
Zares ne bo pisalo da je DicklessBlueDork pac pa da je geslo napisano na nalepki na napravi. In to je brez tezav za vsako napravo unikatno, tako kot je unikaten mac in se nekaj drugih stvari. In ja bo resilo precej problemov.
A bo kaj veliko boljše, če bo v navodilu za router pisalo, da je privzeto geslo DicklessBlueDork namesto admin?
Zares ne bo pisalo da je DicklessBlueDork pac pa da je geslo napisano na nalepki na napravi. In to je brez tezav za vsako napravo unikatno, tako kot je unikaten mac in se nekaj drugih stvari. In ja bo resilo precej problemov.
Se strinjam, generatorjev gesel je brezplačnih na tone. Rabiš študenta, ki sporogramira obliko in generiranje gesel, ter vtičnik, ki bo obenem dodal firmwaru geslo, katerega bo obenem na isti mašini naprintal.
In te nalepke so tako drobne, da jih ne zmorem več prebrati in rabim vsako slikat s telefonom in povečati sliko. Kar je super fajn v temnih rackih in podobnih mračnih razmerah ... Želim si, da se tu najde en boljši način, vsaj human readable nalepke za začetek. Vem, vse te nalepke imajo črtne kode za strojno branje, a nimamo vsi tako velike infrastrukture, da bi imeli čitalec črtnih kod zvezan direkt v AD in deployment infra ...
U, u, dejmo tekmovat... Jaz bi prepovedal uporabo default ringtonov. Vsak, ki kupi napravo, ki ima notifikacije, mora najprej spremeniti ringtone na nekaj drugega. Bi šlo? Aja, pa vibriranje ni "silent". /s
(Na bolj resno temo: T2 modem pa ne pusti spreminjati "tovarniškega" gesla in SSID za wifi. Sicer ne uporabljam, pa vseeno velja omeniti.)
U, u, dejmo tekmovat... Jaz bi prepovedal uporabo default ringtonov. Vsak, ki kupi napravo, ki ima notifikacije, mora najprej spremeniti ringtone na nekaj drugega. Bi šlo? Aja, pa vibriranje ni "silent". /s
(Na bolj resno temo: T2 modem pa ne pusti spreminjati "tovarniškega" gesla in SSID za wifi. Sicer ne uporabljam, pa vseeno velja omeniti.)
Zanimivo, jaz sem ravno vceraj preminjal geslo in SSID za wifi na T2 modemu. Sem moral vklopiti zaradi diagnostike da sem preveril povezljivost.
Drugace pa, dober nacin je, da zahtevas pri prvi uporabi nastavitev vseh gesel.
Kyocera printerji so včasih imeli Admin/Admin za dostop do oddaljene nadazorne plošče. Sedaj na novih modelih je že neka serijska ki se prepiše izpod prednjega pokrova.
"Izdelki, ki ne bodo spoštovali novega zakona, bodo odpoklicali, proizvajalec pa bo moral plačati globo v višini do 10 milijonov funtov ali štiri odstotke globalnega prometa, če je slednje več." To bi bila dobra ideja tud za razne produkte katere funkcionalnost je tesno povezana z oblačnimi storitvami. Če se v parih letih oblačna storitev ukine se izdelke lepo odpokliče in kupcem vrne sorazmerni del nakupa. Če prej ko v 3 letih pa celoten znesek nakupa. Seveda bi bil problem pri manjših podjetjih ki bi izginila da bi se temu izognila ampak sej tud veliki igralci kot je Amazon kdaj pri svojih izdelkih ukinejo oblak funkcionalnosti za nekatere izdelke po parih letih. Torej bi lahko kupci vsaj tam mal pravice nazaj dobil.
A bo kaj veliko boljše, če bo v navodilu za router pisalo, da je privzeto geslo DicklessBlueDork namesto admin?
Zares ne bo pisalo da je DicklessBlueDork pac pa da je geslo napisano na nalepki na napravi. In to je brez tezav za vsako napravo unikatno, tako kot je unikaten mac in se nekaj drugih stvari. In ja bo resilo precej problemov.
Se strinjam, generatorjev gesel je brezplačnih na tone. Rabiš študenta, ki sporogramira obliko in generiranje gesel, ter vtičnik, ki bo obenem dodal firmwaru geslo, katerega bo obenem na isti mašini naprintal.
To bi bilo idealno, ja. Ampak se zna zakomplicirat izvedba. Ko narediš reset routerja, se mora tudi geslo resetirat na tovarniško. In to geslo mora biti zapečeno v nek ROM. Ta ROM se flasha lahko zelo zgodaj, še preden pride v fabriko. Mac naslov lahko potem kadarkoli preverijo kasneje in natisnejo nalepko. Tegale gesla pa ne bodo mogli.
A bo kaj veliko boljše, če bo v navodilu za router pisalo, da je privzeto geslo DicklessBlueDork namesto admin?
Zares ne bo pisalo da je DicklessBlueDork pac pa da je geslo napisano na nalepki na napravi. In to je brez tezav za vsako napravo unikatno, tako kot je unikaten mac in se nekaj drugih stvari. In ja bo resilo precej problemov.
Se strinjam, generatorjev gesel je brezplačnih na tone. Rabiš študenta, ki sporogramira obliko in generiranje gesel, ter vtičnik, ki bo obenem dodal firmwaru geslo, katerega bo obenem na isti mašini naprintal.
Zares to pri marsikaterem proizvajalcu ze leta obstaja. Precej naprav ima gesla vezana na serijske stevilke, mac naslove itd. in najdes jih tocno tam kjer sem napisal... na nalepki z osnovnimi podatki na napravi. Samo eni, predvsem tisti, ki so stari 20 ali 30 let in zivijo v svetem prepricanju da je IoT varen in da se njim tako ali tako nic ne more zgoditi, se vedno furajo admin/admin root/root, admin/1234 kombinacije. Problem je, ker je precej taksnih tudi v firmah, ki te stvari delajo in potem je stvar taksna kot je.
Jaz trenutno delam v enem večjem Telcu podjetju v Nemčiji, pa glupe kure (in petelini) v managementu sploh ne vedo kake luknje imajo...
Jaz trenutno menjujem server in vem kakšne luknje imam. Ko pride IT-jevec na posvet, mi eno uro razlaga kolikim so maile in denar spizdili zaradi takih lukenj. Kao. Resnica je seveda drugačna, karkoli so jim spizdili, so jim zato, ker so ljudje sami požegnali, da jim ukradejo. Ampak za strašenje ljudi in metanje neskončnih količin denarja za kibernetsko varnost, vse prav pride. Čeprav, ne glede na količine vloženega denarja, varnosti sploh ni. Je zgolj iluzija, da varnost je.
Po eni strani bom preprosta gesla pogrešal... ker se velikokrat zgodi, da prideš k stranki, seveda za tiskalnik, router, AP redkokateri ve password. Tko pa ziher tedensko googlam Default password za ____
Če je geslo serijska številka ali napopano geslo na nalepki se mi zdi to čisto dovolj. Fizičen dostop bo imel redkokateri heker. In če je fizično tam, lahko naredi veliko več škode kot samo da vdre v tiskalnik.
Po večjih firmah je to drugače kar urejeno. Manjše (4-5 zaposlenih) so bolj problem in doma.
(Na bolj resno temo: T2 modem pa ne pusti spreminjati "tovarniškega" gesla in SSID za wifi. Sicer ne uporabljam, pa vseeno velja omeniti.)
Imaš te nastavitve na Horizontu (mi pa res ni jasno, zakaj T-2 ne pusti dostopat do modema direkt, ker imajo ti modemi precej več nastavitev, kot jih pa lahko spreminjaš preko Horizonta).
To bi bilo idealno, ja. Ampak se zna zakomplicirat izvedba. Ko narediš reset routerja, se mora tudi geslo resetirat na tovarniško. In to geslo mora biti zapečeno v nek ROM. Ta ROM se flasha lahko zelo zgodaj, še preden pride v fabriko. Mac naslov lahko potem kadarkoli preverijo kasneje in natisnejo nalepko. Tegale gesla pa ne bodo mogli.
Ni problem, generator gesel daš v firmware, in generiraš geslo iz MAC. Se mi zdi, da Fritz!BOXi in novi SuperMicro strežniki (IPMI) delajo točno to.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
(Na bolj resno temo: T2 modem pa ne pusti spreminjati "tovarniškega" gesla in SSID za wifi. Sicer ne uporabljam, pa vseeno velja omeniti.)
Imaš te nastavitve na Horizontu (mi pa res ni jasno, zakaj T-2 ne pusti dostopat do modema direkt, ker imajo ti modemi precej več nastavitev, kot jih pa lahko spreminjaš preko Horizonta).
To bi bilo idealno, ja. Ampak se zna zakomplicirat izvedba. Ko narediš reset routerja, se mora tudi geslo resetirat na tovarniško. In to geslo mora biti zapečeno v nek ROM. Ta ROM se flasha lahko zelo zgodaj, še preden pride v fabriko. Mac naslov lahko potem kadarkoli preverijo kasneje in natisnejo nalepko. Tegale gesla pa ne bodo mogli.
Ni problem, generator gesel daš v firmware, in generiraš geslo iz MAC. Se mi zdi, da Fritz!BOXi in novi SuperMicro strežniki (IPMI) delajo točno to.
Mater, a ni bolj enostavno gesla sploh ne imeti? Ob prvem zagonu (ali po resetu) zahtevati vnos zadosti kompliciranega gesla. Ne rabiš črtnih kod, študentov, generatorjev gesel, kodiranega firmwara...
(Na bolj resno temo: T2 modem pa ne pusti spreminjati "tovarniškega" gesla in SSID za wifi. Sicer ne uporabljam, pa vseeno velja omeniti.)
Imaš te nastavitve na Horizontu (mi pa res ni jasno, zakaj T-2 ne pusti dostopat do modema direkt, ker imajo ti modemi precej več nastavitev, kot jih pa lahko spreminjaš preko Horizonta).
Vem, pa ne prime. Sem probal tako na Horizontu kot na novem Moj T2 portalu... shraniš, napiše, da bo lahko trajalo nekaj minut. Pogledaš čez malo več kot nekaj minut, pa so privzete nastavitve. Direktno bi bilo najlažje, ja. Slišim, da drugi providerji to pustijo.
Mater, a ni bolj enostavno gesla sploh ne imeti? Ob prvem zagonu (ali po resetu) zahtevati vnos zadosti kompliciranega gesla. Ne rabiš črtnih kod, študentov, generatorjev gesel, kodiranega firmwara...
Hej, kdo ti je dovolil brati moje misli?
To ima sicer problem prvega dostopa.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vem, pa ne prime. Sem probal tako na Horizontu kot na novem Moj T2 portalu... shraniš, napiše, da bo lahko trajalo nekaj minut. Pogledaš čez malo več kot nekaj minut, pa so privzete nastavitve. Direktno bi bilo najlažje, ja. Slišim, da drugi providerji to pustijo.
Čudno – pokliči jih, pa povej, da ne moreš nastavljat.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
