DNSSEC v .gov

Kancelář pro plánování a rozpočet Bílého domu vydala nařízení, podle kterého musí správce domény .gov do ledna roku 2009 nasadit technologii DNSSEC a dále připravit plány na nasazení DNSSECu pro všechny systémy, kterých se týká doménový prostor pod TLD doménou .gov. Originální článek vyšel například zde.

Na tomto faktu by nebylo v zásadě nic tak zajímavého, kdyby:

a) se nejednalo o vládní doménu – administrativa Spojených Států se zajímá o ochranu DNS prostoru

b) nebylo nasazení povinné – zatímco všechny ostatní TLD domény, k nimž se brzy připojí i naše česká doména .cz, fungují na principu dobrovolnosti; všechny poddomény v doméně .gov budou muset implementovat DNSSEC povinně.

V každém případě bude zajímavé sledovat, jak se jim nasazení zdaří, za jak dlouho budou schopni začít podepisovat všechny poddomény a kdy budou mít nasazeny rekurzivní DNS, které si rozumí s DNSSECem.

Ondřej Surý

Co nového ve světě ENUM?

Odpověď na tuto otázku se dozvíte, když přijdete ve středu 17. září do Rock Café na Národní třídě v Praze. Tady se bude od 10 hodin konat druhý ročník konference věnované technologii ENUM, tedy možnostem a výhodám telefonování po internetu na běžná telefonní čísla.

Program letošního ročníku konference ENUM Day 2 nabízí především přednášky a prezentace o využití této technologie v praxi; představí se zde zástupci firem, kteří tuto technologii úspěšně zavedli a využívají ji. Ve druhém bloku přednášek potom vystoupí hosté ze zahraničí. Z jejich příspěvků se dozvíme, jaké mají oni sami, ale také uživatelé v Anglii a Nizozemí zkušenosti s ENUM. Třetí blok přednášek bude pestrý; u prezentačního notebooku se vystřídají zástupce vysoké školy, výzkumné agentury nebo třeba specialista a konzultant v oblasti telekomunikací.

Loňský ročník ENUM Day byl návštěvnicky poměrně úspěšný. V Galerii Louvre se jich minulý rok v září sešlo více než 120. Po více než dvanácti měsících je tu tak další várka především praktických informací. Věříme, že si své zájemce najde.

Program konference včetně jmen přednášejících a registračního formuláře najdete na adrese http://enum.nic.cz/enumday2/.

Vilém Sládek

DNS útok podle Kaminského

Útoky typu DNS Cache Poisoning fungují na principu podvržení odpovědi DNS serveru. DNS server, který se ptá na určité doménové jméno, pak dostane falešné informace např. o IP adrese webového serveru. Způsob, jak podvrhnout DNS odpověď, spoléhá na několik vlastností DNS protokolu:

1. DNS dotazy a odpovědi v sobě mají uloženo 2-bytové Transaction ID, tedy počet kombinací je přibližně 65 tisíc.

2. Nezáplatované DNS servery používají pro všechny dotazy stejný zdrojový port.

3. Většina DNS dotazů a odpovědí používá UDP. UDP je bezstavové a v současných sítích je relativně jednoduché podvrhnout zdrojovou IP adresu.

Útočník musí uhodnout správné Transaction ID (nebo vygenerovat všechny možné kombinace) a poslat je ve velmi rychlém sledu za sebou s podvrženou zdrojovou adresou na adresu DNS serveru, na který útočí. Odpověď od útočníka musí přijít v časovém okně na jedné straně vymezeným DNS dotazem a na druhé straně DNS odpovědí od legitimního autoritativního DNS serveru.

Typický útok tohoto typu musel „čekat na chvíli, kdy dotazující server nemá záznam uložený ve vyrovnávací paměti server a musí se zeptat autoritativního serveru.  Takový záznam je pak uložen po dobu uvedenou v TTL záznamu ve vyrovnávací paměti serveru a útočník musí čekat než tato doba vyprší.  Časové okno, kdy lze zaútočit na DNS serveru, tohoto útoku je tak díky TTL velmi malé a se vzrůstajícím TTL se pravděpodobnost takového útoku snižuje. Šance podvrhnout správné Transaction ID je 1 ku 65 tisícům a i v případě, že se útočník vygeneruje DNS odpovědi se všemi Transaction ID, tak je vzhledem k faktu, že lze útočit pouze ve chvíli, kdy záznam není ve vyrovnávací paměti server, šance na úspěch takového útoku malá.

Podvržená odpověď bude vypadat nějak takto (Transaction ID je vyznačeno tučně):

; <<>> DiG 9.4.2-P1 <<>> www.dnssec.cz
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47457
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 2

;; QUESTION SECTION:
;www.dnssec.cz.            IN    A

;; ANSWER SECTION:
www.dnssec.cz.        86400    IN    A    192.168.1.1

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Aug  8 14:17:41 2008
;; MSG SIZE  rcvd: 139

Dan Kaminsky odhalil způsob jak obejít data uložena ve vyrovnávací paměti a falešnou IP adresu podvrhnout v libovolnou chvíli bez ohledu na TTL. Útočník se při útoku neptá přímo na IP adresu webového serveru, ale na libovolný náhodně zvolený neexistující záznam a IP adresu webového serveru podvrhne pomocí sekce AUTHORITATIVE a ADDITIONAL pomocí mechanismu tzv. GLUE záznamu.

Příklad:
Útočník se zeptá DNS serveru, na který útočí, na 007.dnssec.cz
a podvrhne odpověď: Odpověď 007.dnssec.cz neznám, ale zná ho
server www.dnssec.cz s IP adresou 192.168.1.1.

; <<>> DiG 9.4.2-P1 <<>> 007.dnssec.cz
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55309
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 11

;; QUESTION SECTION:
;007.dnssec.cz.            IN    A

;; AUTHORITY SECTION:
dnssec.cz.        86400    IN    NS    www.dnssec.cz.

;; ADDITIONAL SECTION:
www.dnssec.cz.        86400    IN    A    192.168.1.1

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Aug  8 14:20:58 2008
;; MSG SIZE  rcvd: 139

V tu chvíli dojde k přepsání A záznamu pro www.dnssec.cz ve vyrovnávací paměti serveru a další dotazy na www.dnssec.cz, na které bude odpovídat tento DNS serveru, budou obsahovat podvrženou IP adresu.

Šance na uhodnutí správného Transaction ID zůstává stále stejná, ale útočník může volbou dotazů na různé neexistující domény zkoušet podvrhnout IP adresu stokrát až tisíckrát za sekundu. Navíc je schopen lépe řídit čas dotazu (vždy se ptá útočník) a tím pádem lépe načasovat i generování podvržených odpovědí.

Výrobci a autoři DNS serverů vydali aktualizace, které do dotazu vkládají další prvek náhody – náhodný zdrojový port.  Před aktualizací byl zdrojový port dotazu zvolen náhodně při startu serveru a po celou dobu běhu serveru byl používaný stejný port.  Po aktualizaci se pro každý dotaz používá nové
náhodně zvolené číslo zdrojového portu (pokud budeme počítat, že se využije celý rozsah, což většinou nebývá pravdou) a šance na uhodnutí kombinace Transaction ID a čísla zdrojového portu je 1 ku 4 milardám.  Útočník se může pokoušet vygenerovat i takovýto počet podvržených DNS odpovědí, ale šance, že se mu povede trefit se se správnou odpovědí je výrazně menší a provoz, který tímto  vygeneruje jen těžko zůstane bez povšimnutí.

Útok, který předvedl Dan Kaminsky, na vyrovnávací pamět DNS serveru je po instalaci opravných aktualizací nepravděpodobný, ale stále možný. Podle kalkulací, které proběhly poštovní konferencí namedroppers, je pravděpodobnost takového útoku po 24 hodinách cca 64%. Takový útok by si ovšem vyžádal generování obrovského množství podvržených DNS odpovědí a u méně výkonných instalací by spíše způsobil zahlcení a přerušení provozu. Tak než jsem stihl napsat tento příspěvek do blogu, tak se objevil první úspěšný útok v laboratorních podmínkách na DNS server s náhodnými zdrojovými porty, který byl schopný vložit do DNS falešnou adresu během 10 hodin.

Jediné řešení, které DNS servery ochrání před tímto stylem DNS útoků je v současné době technologie DNSSEC.

Prezentaci Dana Kaminského z konference BlackHat USA 2008 naleznete na jeho stránkách DoxPara.

Válečníci sítě aneb internet z druhé strany

Nejen pro začínající uživatele internetu vydalo sdružení CZ.NIC v českém překladu film s názvem Válečníci sítě. Z něho se mohou diváci dozvědět, jak vypadají jednotlivé části internetu, jaký je internet „zevnitř“. Pokud jste tedy někdy přemýšleli o tom, jak internet vlastně funguje, jaký je router nebo jakou barvu má IP packet, podívejte se na tento zajímavý film. Určitě se dozvíte mnohem více než jen to.

Informace o zajímavém projektu je možné najít také na oficiálních stránkách Warriors of the Net, kde je tento snímek i v jiných jazykových verzích. Film s podtitulkem „IP za mír“ může fungovat také jako nástroj pro představení internetu těm, kteří na síti teprve začínají nebo o ni vědí méně, než by chtěli.

Válečníci sítě nejsou v tomto roce posledním projektem, který sdružení připravuje pro uživatele internetu v České republice. V blízkých měsících budou spuštěny další projekty, jejichž cílem je především rozšířit informace o této celosvětové síti mezi neodbornou veřejnost. O všem, co CZ.NIC chystá v oblasti internetové osvěty, vás budeme informovat nejen na stránkách .blogu, ale i v Novinkách na domovské stránce sdružení.

Animovaný film Válečníci sítě je volně ke stažení. Stejně jako jeho ostatní jazykové verze je určený pouze k nekomerčním účelům.

Vilém Sládek

Rozhodčí řízení jako způsob řešení sporů o doménová jména registrovaná v ccTLD .cz

Na Lupě před nedávnem vyšel článek věnovaný rozhodčímu řízení o doménová jména registrovaná pod národní doménou .cz. Jedná se o problematiku velmi zajímavou a v právnických kruzích poměrně dost diskutovanou, proto jen několik připomínek takříkajíc „z druhé strany“.

Veřejná rozhodčí nabídka držitele domény vůči třetím osobám je součástí Pravidel registrace doménových jmen v ccTLD .cz (dále jen „Pravidla“) už od srpna 2004, tehdy již existovala určitá zkušenost s průběhem soudních sporů o doménová jména; nejedná se tedy o tak nový instrument, jak by se mohlo zdát. Autorka v článku mj. uvádí, že Pravidla neobsahují sankci pro případ, kdy držitel na rozhodčí řízení nepřistoupí. S tímto tvrzením nelze souhlasit, neboť pokud držitel nevyjádří souhlas s Pravidly, pak registrace domény není možná. Jestliže vyjádřený souhlas u již zaregistrované domény zpochybní, např. v okamžiku, kdy je podána žaloba k Rozhodčímu soudu, pak je vyzván k jeho udělení – neučiní-li tak, opět je postižen zrušením registrace domény. 

Diskuse nad platností rozhodčí smlouvy se vedou především v rovině, zda byla tato smlouva platně uzavřena. Touto otázkou se dvakrát zabývalo i předsednictvo Rozhodčího soudu a zájemcům jsou jeho stanoviska k dispozici na stránkách soudu. Pokud je stručně shrnu, pak určitá osoba (v tomto případě držitel) směřuje veřejnou rozhodčí nabídku (čili veřejný návrh na uzavření smlouvy) vůči neurčitému počtu osob – potencionálních žalobců. Podáním žaloby se na druhé straně objeví určitá osoba, která tímto návrh smlouvy akceptovala; obě strany rozhodčí smlouvy jsou tedy určeny a rozhodčí smlouva platně uzavřena. V odstavci Rozhodčí smlouva a rozhodčí veřejná nabídka autorka správně poznamenává, že smlouva mezi registrátorem a držitelem (sic!) nemůže stanovovat povinnosti třetím osobám. To je správně a veřejná rozhodčí nabídka uvedená v Pravidlech takové ambice ani nemá. Jedná se o smlouvu ve prospěch třetího – blíže neurčený subjekt (možný žalobce) má možnost (nikoliv povinnost!) zahájit spor u rozhodčího soudu; rozhodčí smlouva jej k tomu nenutí a nutit nemůže.

Ke složitosti řešení doménových sporů: každý spor je více či méně složitý, už ze samotné podstaty významu slova „spor“. Problémy při sporech o doménová jména nepůsobí ani tak absence speciální právní úpravy, jako spíše nejistota žalobců při aplikaci již existujících právních institutů, protože při nárokování zaregistrovaného doménového jména není povětšinou argumentováno „dobrými mravy, zneužíváním práva či apely na elementární podstatu spravedlnosti“ jak ve svém článku uvádí autorka, ale zcela konkrétními a právem předvídanými skutkovými podstatami – nejčastěji porušováním práv k ochranné známce, obchodnímu jménu, jménu fyzické osoby či některou ze skutkových podstat nekalé soutěže. Obtíže mohou nastávat při obstarávání důkazních prostředků, ať již na straně žalobce, tak na straně žalovaného a jejich posuzování soudem.

Ani soudy však už zdaleka nejsou fenoménem doménových jmen tak nedotčeny – svědčí o tom jak statistika počtu sporů, tak i příspěvky soudců na některých odborných seminářích.

Cílem vtělení veřejné rozhodčí nabídky do Pravidel je od samého začátku především na jedné straně usnadnit subjektům, které se cítí být poškozovány v souvislosti s registrací domény, domoci se svých práv rychle a bez zbytečných průtahů a nákladů, na druhé straně pak držitelům, kteří jsou takto v důsledku registrace doménového jména žalováni, umožnit získání finálního rozhodnutí ve věci relativně rychle, a tím i zbavit je nejistoty ohledně výsledku dlouhodobého sporu. Rozhodčí řízení, jako jednoinstanční proces, s transparentním systémem určování poplatků, rozhodováním rozhodci, kteří jsou většinou vysokoškolskými pedagogy, advokáty či odborníky ve svém oboru, přičemž ve valné většině případů mají zkušenosti týkající se doménových jmen, toto nabízí. Na rozdíl od doménového ADR (které je používáno například pro spory o domény .eu), je vydaný rozhodčí nález také exekučním titulem pro výkon rozhodnutí pomocí veřejnoprávních prostředků.

Zuzana Durajová