Diakritické varianty doménových jmen

V komtenářích k tématice IDN se často objevují názory, že správným řešením je buďto automatická nebo naopak zpoplatněná registrace všech nebo jen některých diakritických variant původního doménového jména jeho vlastníkovi. Vedle toho se také přílišný počet těchto variant často zmiňuje jako zásadní problém v případech, kdyby registrace byla otevřená a původní majitel by si chtěl jejich registrací ochránit svojí značku.

Zajímalo nás, jak to vlastně s tím počtem různých variant je, a proto jsme na stránku http://háčkyčárky.cz přidali jednoduchou kalkulačku, která po zadání doménového jměna spočítá počet jeho diakritických variant. Její algoritmus je jednoduchý. Bere v úvahu všechny možnosti vzniklé nahrazením písmen, u kterých to dává smysl, jejich variantou s háčkem, čárkou nebo kroužkem. Vedle toho tento nástroj, k jehož ovládání není třeba používat českou klávesnici, umožňuje zjistit si IDN tvar takovéto libovolné varianty.

Přestože je samozřejmě třeba vzít v úvahu, že některé varianty nedávají smysl, jsou výsledky zajímavé. Například i tak zdánlivě jednoduché slovo jako je „brontosaurus“ má 4608 variant. Doména ze zóny cz, která má nejvíce variant, je jvs-zahradni-traktory-sekacky-bazeny-elektrocentraly-honda.cz. Těch variant je 16 698 832 846 848. Pokud bychom vzali všech 441 307 domén, které byly v okamžiku měření v zóně, dojdeme v součtu k úctyhodnému číslu 46 294 515 822 056, tedy 46 biliónů variant.

Jaromír Talíř

„O 24 hodin později“ aneb obrázek o rychlosti reakcí na bezpečností oznámení

Před třemi dny vydal US-CERT zprávu o bezpečnostním riziku DNS protokolu a opravě spousty implementací DNS, která zmenšuje riziko útoku na DNS, tzv. „cache poisoning„. Jedná se o útok, který dokáže podvrhnout falešnou odpověď na DNS dotaz. Ta se uloží do vyrovnávací paměti a dojde k tomu, že se podvržená informace dostane ke všem uživatelům příslušného caching name serveru. Zároveň se objevila stránka s testem vašeho DNS serveru, kde si můžete ověřit zda je zranitelný nebo ne.

Provedl jsem tedy cca 24 hodin po uveřejnění oznámení malý test, který měl zjistit, jak na tom budou jednotliví ISP v České republice. Obeslal jsem prosbou o otestování DNS výše uvedeným testem všechny v tu chvíli online kontakty ve svém ICQ a zde jsou ne moc potěšující výsledky:

20 lidí bylo obesláno
18 z nich odpovědělo s výsledkem testu
14 různých DNS serverů bylo otestováno (někteří z oslovených měli stejného providera a tudíž stejný DNS server)
10 serverů bylo zranitelných
4 servery byly bezpečné

A to dodejme, že zranitelný server měli všichni lidé se stejným providerem DNS. Ve výsledku jsou tedy 3/4 uživatelů potenciálními oběťmi napadení. Mezi zranitelnými byly navíc DNS servery velkých českých ISP, kteří by měli bezpečnostní incidenty a oznámení rozhodně sledovat a řídit se jimi. O to víc je asi nutné ocenit ty čtyři, kteří své servery zabezpečili: UPC, Jihočeskou univerzitu, Dial Telecom a T-Mobile. Klobouk dolů!

Opravy navíc pouze snižují riziko; jediné řešení, které problém odstraní na 100 %, je DNSSEC. Zavádění DNSSEC už je zase jiná kapitola se svými problémy… Dodejme ještě, že pro domény .cz je testovací provoz plánován už na srpen tohoto roku a plný provoz na září.

PT

To nejzajímavější z ICANN

Tvář internetu se radikálně promění, vznikne nepřeberné množství nových generických domén nejvyšší úrovně. Takovým způsobem mohl působit závěr posledního zasedání organizace ICANN, které se konalo minulý týden v Paříži. Velmi pravděpodobně ale uplyne ještě hodně vody, než se nové domény začnou objevovat. Představenstvo ICANN se zatím totiž pouze jednomyslně shodlo na tom, že umožní vznik nových domén nejvyšší úrovně a to jak v anglické znakové sadě, tak i v ostatních jazycích. Jedním dechem ale poukázalo i na nutnost s liberalizací internetového prostoru zavést a dodržovat striktní a jasně dané podmínky a pravidla pro tyto nové domény.  A o těch se teprve začíná diskutovat. Podle předpokladů samotného ICANN by návrh pravidel neměl být hotový dříve než na začátku roku 2009 a teprve pak bude možné začít přijímat první žádosti o speciální domény. Kolik času zabere jejich vyhodnocení není snadné odhadnout; předpokládám ale, že se bude muset projít souborem nejen technických, ale i finančních a administrativních podmínek, což nějakou chvíli zabere. Reálný vznik prvních nových domén tak odhaduji zhruba na přelom let 2009 a 2010, přičemž tempo jejich přibývání nebude nijak závratné.

Výsledky tohoto usnesení jsou jistě povzbudivou zprávou pro všechny žadatele o generické domény nejvyšší úrovně. Mezi nejhlasitější patří zástupci některých velkých měst jako třeba Berlínu, Paříže či New Yorku, kteří lobbují za domény .berlin, .paris a .nyc. Stejně tak toto usnesení nahrává uživatelům jiných písem než anglické abecedy, protože je otevřen prostor po nové generické domény v jazycích a písmech jako čínština, arabština, ruština a podobně. Toto usnesení se zatím netýká speciální skupiny domén nejvyšší úrovně, které vyjadřují názvy států (tzv. ccTLD — country code Top Level Domain) jako třeba .cz, .uk, .eu a podobně. Vznik těchto domén se řídí speciálním seznamem ISO-3166. Na tvorbě mechanismu pro vznik ccTLD neanglických znakových sadách se právě v rámci organizace ICANN intenzivně pracuje.

Ondřej Filip

Poznej svého nepřítele

Tak jako mnoho dalších i my používáme pro prevenci/detekci průniků do sítí, které spravujeme, utilitu SNORT. Experimentálně jsme ji pustili na jeden týden s plným nastavením, tak aby zachytávala všechny události. Z tohoto experimentu vznikla následující mini statistika, která ukazuje, jaké útoky (ve smyslu těch, jež vedou ke kompromitaci systému či omezení dostupnosti služby) jsou směřovány na infrastrukturu zajišťující provoz domény .cz. Ta může vypovídat obecně o tom, které  typy útoků budou v danou dobu relevatní pro celý internet. Pojďme se tedy podívat na Top 5 nedávné minulosti. Čísla udávají průměrný počet útoků denně.

MS-SQL version overflow attempt 87712
ntpdx overflow attempt 16496
WEB-MISC cross site scripting attempt 2589
WEB-MISC Chunked-Encoding transfer attempt 1004
WEB-PHP IGeneric Free Shopping Cart page.php access 103

Všechny ostatní se pak už pohybovaly na úrovni maximálně několika desítek, ale spíše jednotek denně. Společně s těmi nejnebezpečnějšími napadeními se samozřejmě vyskytovala i řada portscanů a útoků, které mají za cíl získat informace. Co se týká zdrojů útoků nebude žádné překvapení, že pocházejí nejčastěji z Číny.

Pavel Tůma (PT)