k47.cz  — každý den dokud se vám to nezačne líbit
výběr foto Praha povídky kultura
TECH ▞▞ kolo | twitter RSS
««« »»»

Útok na vlastnictví, routery, zdravý rozum a všechno, na čem stojí naše civilizace

6. 7. 2012 (před 7 lety) — k47 (CC by-nc-sa) (♪)
CC by-nc (via)

Ne­dávno jsem napsal mini-po­vídku Life as a Sevice o toas­teru, který ne­patří vlast­ní­kovi, ale vý­robci. „Vlast­ník“ si jenom pro­na­jal li­cenci na toas­ter a bylo na li­bo­vůle vý­robce, jestli mu dovolí něco opékat.

Nikdy bych ne­če­kal, že se po­vídka dočká re­a­li­zace tak brzy. Jenom nejde o toas­tery, ale o něco mnohem dů­le­ži­těj­šího: domácí rou­tery Cisco.

Cisco se ve své ne­ko­nečné moud­rosti (čti ne­na­sytné cham­ti­vosti) roz­hodlo, že lidem au­to­ma­ticky ak­tu­a­li­zuje fir­m­ware rou­terů na novou verzi, která ob­sa­huje pár no­vi­nek. Nově se ma­ji­tel rou­teru musel re­gis­tro­vat na nějaké clou­dové službě, aby mohl svůj router spra­vo­vat, přitom musel od­sou­hla­sit, že Cisco může sle­do­vat, co uži­va­tel s rou­te­rem dělá a zjiš­tění ode­sí­lat pryč a mo­ne­ti­zo­vat + když Cisco zjistí, že uži­va­tel údajně po­u­žívá svůj router na něco ne­ka­lého: „ob­sce­nity“, porno nebo údajně po­ru­šuje něčí in­te­lek­tu­ální vlast­nic­tví, může de­ak­ti­vo­vat jeho účet a tím mu zne­mož­nit po­u­ží­vat vlastní router.


Kde jenom mám začít?

Jednak jde o další do očí bijící útok na vlast­nic­tví. Router vám ne­patří, nemáte nad ním kon­t­rolu, ta je vy­hra­zená pouze vý­robci; je to jenom služba, za­ba­lená do plas­tové kra­bičky, která leží pod vaším stolem.

Dále jde o útok na „ge­ne­ral pur­pose com­pu­ting“ o kterém už mno­ho­krát psalpřed­ná­šel Cory Doc­to­row. Router ne­pra­cuje pro vás, ale proti vám, ob­sa­huje ofi­ci­ální spy­ware, který nás sle­duje a šmí­ruje a data pře­dává někomu jinému.

Jde o zásah do sou­kromí. Pokud je vás router jenom služba, která je shodou náhod fy­zicky umís­těná u vás doma, není tak těžké si před­sta­vit, že by si někdo stě­žo­val dost nahlas a vy­žá­dal si data, která tečkou vaší domácí sítí, nebo že by nějaká státní in­sti­tuce/zá­jmová sku­pina po­ža­do­vala sle­do­vání a za­blo­ko­vání všech ne­žá­dou­cích packetů tamtéž.

A na­ko­nec je to hlavně ne­smysl: proč po­tře­buji spra­vo­vat router, který mám pod stolem přes ně­ja­kou clou­do­vou službu? Proč vý­robce po­tře­buje vědět jaká osoba pro­vo­zuje jaký router? Od­po­věď je jed­no­du­chá: kor­po­rátní ne­na­žra­nost a touha po kon­t­role. Roz­hodně to ne­dě­lají pro nás.


Na­ko­nec Cisco ne­pa­trně couvlo, ale přesto je tenhle pokus tak ne­u­vě­ři­telně zvrá­cený, až se mi z toho dělá zle.

Je to tak šílené, jako kdy­byste měli mo­ni­tor, který by vám mohl vý­robce trvale de­ak­ti­vo­vat, když se díváte na něco, co nemáte.

píše k47 & hosté, ascii@k47.cz