Projekt NetIDE zahájen

Jedním z pojmů, které dnes hýbou telekomunikačním světem, jsou softwarově definované sítě (SDN). Tomuto tématu jsem už před časem věnoval příspěvek, takže jen krátce připomenu, že koncept SDN vychází z modelu sítě složené z „hloupých“ přepínačů a centrálního řídícího systému zvaného kontrolér.

Co nám říká aféra kolem Yahoo?

Ti z Vás, kteří čtou naše aktuality z bezpečnosti, možná před časem zaznamenali informaci týkající se nebezpečné reklamy, která byla součástí stránek yahoo.com. Klienti, kteří navštívili yahoo.com, obdrželi jako součást stránek také reklamy ze serveru ds.yahoo.com.

Některé z těchto reklam však byly nebezpečné. Tyto reklamy byly vložené jako rámce, které odkazovaly na další domény, z nich pak vedlo přesměrování na další adresu obsahující exploit kit zaměřený na chyby v Javě. V případě úspěšné exploitace byl pak na počítač návštěvníka stránek yahoo.com nainstalován některý z následujících malwarů:

– ZeuS
– Andromeda
– Dorkbot/Ngrbot
– Advertisement clicking malware
– Tinba/Zusy
– Necurs

Podle odhadů postavených na návštěvnosti stránek yahoo.com a obvyklé percentilové úspěšnosti v případě těchto útoků (okolo devíti procent) se odhaduje, že každou hodinu, po níž byly tyto reklamy na yahoo.com poskytovány, bylo některým z uvedených virů nakaženo 27 000 návštěvníků.

Proč o tom píši? Protože jsme tentokrát měli štěstí. Zdá se, že čeští uživatelé nebyli cílovou skupinou tohoto útoku (reklama byla primárně zaměřena na Rumunsko, Velkou Británii a Francii). Navíc yahoo.com nepatří v ČR mezi nejpoužívanější služby. Jenže nikde není řečeno, že příště se podobný útok nebude šířit ze stránek, které jsou v České republice populární.

Každá společnost, která prodává reklamu, může být podobným způsobem zneužita. Proto je potřeba, aby konečně koncoví uživatelé vzali na sebe zodpovědnost za správu a údržbu svých počítačů.

Devítiprocentní úspěšnost těchto útoků je prostě příliš vysoké číslo a je jasné, že se útočníkům podobné akce stále vyplatí. Přitom by stačilo, kdyby uživatelé udržovali své programové vybavení aktualizované, protože v případě použití různých exploit kitů se v drtivé většině případů jedná o již známé a záplatované zranitelnosti.

Bohužel nejde jen o soukromí a finance těchto nezodpovědných uživatelů. Jejich nezájem může mít v propojeném světě Internetu dopad na další uživatele. Otázkou je, jak přimět uživatele, aby se sami starali o stav svých počítačů.

Pavel Bašta

Už více než 100 nových domén nejvyšší úrovně

Ačkoliv není v poslední době o projektu rozšiřování nových domén nejvyšší úrovně příliš slyšet, stále postupuje a nové domény přicházejí na svět. ICANN mohl dokonce nedávno hrdě ohlásit, že nových koncovek je již více než 100 a stále přibývají. Nebude to tedy dlouho trvat a generických domén bude více než národních. Připomínám, že počet žádostí se blížil téměr dvěma tisícovkám a bylo požádáno o přibližně 1300 různých koncovek.

Pokud se omezím pouze na latinkové domény, tak nejkratší domény mohou být trojpísmenné. V kořenové zóně je v současnosti 19 takových. V rámci této nové vlny přibyly .cab, .ceo, .kim, .onl, .red, .uno a .wed. Naopak nejdelší doména je .international a o jeden znak kratší je .construction. Své vlastní domény již získala dvě města, shodou okolností hlavní města našich německy mluvících sousedů – .berlin a .wien.

Některé z nových domén už je možné registrovat či předregistrovat, ale zatím se nikdo nepochlubil žádnými závratnými čísly. Nicméně to není překvapivé, na hodnocení je ještě příliš brzy. Osobně jsem poměrně skeptický o užitečnosti celé řady nových domén. Z první várky mě zaujala například .solar, ta by vlastně měla být v naší zemi celkem populární. Rozhodně budu zvědavý na čísla domén jako .ninja či .plumbing. Zajímavé bude pozorovat souboj domén .pics, .photo, .photos a .photography. Ale to vše se dozvíme až za pár měsíců.

Ondřej Filip

Postfix dostal podporu pro DANE protokol

Podporu pro protokol DANE již nějakou dobu můžete v prohlížeči používat pomocí rozšíření DNSSEC Validator dostupné pro prohlížeče Firefox, Chrome/Chromium a Internet Explorer. A hned na začátku tohoto roku bych rád přivítal prvního zástupce serverové aplikace s podporou protokolu DANE, jelikož 15. ledna vyšla nová stabilní verze poštovního démona Postfix, která mimo jiné přináší podporu pro protokol DANE. Autoři Postfixu se rozhodli, že pro poštovní servery, které ve valné většině používají self-signed certifikáty, nemá moc smysl podporovat duální kontrolu CA + DANE a tudíž implementace v Postfixu podporuje pouze Certifikate Usage 2 – „Vlastní kořen důvěry (CA)“ a 3 – „Vlastní self-signed certifikát“. Certificate Usage 0 – „Omezení na konkrétní CA“ a 1 „Omezení na konkrétní certifikát od CA“ se mapují na typy 2 a 3.

Pojďme si nyní rychle ukázat, jak takovou podporu na Vašem serveru zapnout.

Na straně přijímající je potřeba mít vygenerovaný certifikát a zapnuté TLS. A jelikož toto není nic nového a dokonce možná toto za Vás udělal rovnou instalační balíček Vaší distribuce, odkázal bych Vás jen na dokumentaci.

Ta zajímavější část přichází ve chvíli, kdy do DNS chceme umístit TLSA záznam, kterým dáme světu vědět, že s námi může komunikovat zabezpečeně, a náš certifikát má odpovídat tomu, který jsme vygenerovali na serveru. Na generování mohu s klidným srdcem doporučit utilitu swede, případně utilitu hash-slinger.

TLSA záznam pomocí utility swede vygenerujeme následujícím způsobem:

swede create --port 25 --protocol tcp --output rfc --usage 3 --selector 1 --mtype 1 --certificate název.serveru

Vygenerovaný záznam, který bude vypadat například takto:

_25._tcp.mail.rfc1925.org. IN TLSA 3 1 1 5afe6a99c7d658a5cee951da6ebe7a21e0d7604f831248177f4283ecf639fad6

vložíte do příslušného zónového souboru a DNS server reloadnete. Pokud Váš DNS server nepodporuje TLSA záznamy, máte dvě možnosti: buď server vyměníte za nějaký modernější (např. Knot DNS) nebo místo volby --output rfc použijete volbu --output generic, která vygeneruje TLSA záznam v obecném formátu, který by měly podporovat i DNS servery bez přímé podpory pro TLSA záznamy.

Tímto jsme zapnuli podporu pro DANE protokol na straně serveru, který poštu přijímá. Jak tedy nastavit ověřování TLSA záznamů na straně odesílajícího serveru?

Předně musíte mít nainstalovaný postfix 2.11.0 a vyšší. Balíčky pro Ubuntu jsou k dispozici například v tomto PPA. Konfigurace je pak velmi jednoduchá, do konfiguračního souboru přidáte tři řádky:

postconf -e "smtp_dns_support_level = dnssec"
postconf -e "smtp_tls_security_level = dane"
postconf -e "smtp_tls_loglevel = 1"

a restartujete Postfix.

Následně se stačí podívat do mail.logu, kde by se měl objevovat pro servery s podporou DANE protokolu následující záznam:

Aug 2 10:35:49 jedi postfix/smtp[24161]: ***Verified*** TLS connection established to mail.nic.cz[217.31.204.67]:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)

a pro servery bez podpory:

Aug 2 10:46:54 jedi postfix/smtp[24300]: ***Untrusted*** TLS connection established to aspmx.l.google.com[2a00:1450:4001:c02::1b]:25: TLSv1.2 with cipher ECDHE-RSA-RC4-SHA (128/128 bits)

Na závěr bych chtěl poděkovat Viktoru Dukhovnimu, za jeho práci na implementaci protokolu DANE v Postfixu a Vám popřát šťastné a veselé šifrování v novém roce :).

Ondřej Surý

Pomůže usnesení vlády k většímu rozšíření IPv6 a DNSSEC?

Na konci loňského roku přijala vláda Usnesení č. 982, které zavádí povinnost zabezpečení domén držených státní správou prostřednictvím technologie DNSSEC. Usnesení vlády se zaměřuje rovněž na podporu IPv6, kdy ve srovnání s usnesením z roku 2009 rozšiřuje okruh subjektů, které musí u svých elektronických služeb podporovat IPv6. Ve svém dnešním příspěvku bych se rád na nové usnesení vlády podíval trošku podrobněji a zároveň přidal pár statistických dat jako příspěvek do diskuze na téma, zda má cenu mít usnesení vlády, které nemá žádné sankce a zda takovýto dokument není jen „prázdným plácnutím do vody“.

IPv6: současný stav

Povinnost podporovat na svých serverech IPv6 byla vládou schválena již v červnu 2009 s tím, že jednotlivé orgány státní správy (tj. ministerstva a další centrální úřady jako např. Český statistický úřad či Energetický regulační úřad) měly za povinnost do 31. prosince 2010 zabezpečit přístup ke svým stránkám jak prostřednictvím protokolu IPv4, tak protokolu IPv6. Stejná povinnost pak byla doporučena pro kraje včetně hl. města Prahy.

Pokud se podíváme na aktuální výsledky podpory IPv6 u jednotlivých orgánů veřejné správy (viz graf), zjistíme, že podpora nové verze internetového protokolu je u státní správy mnohem vyšší, než ve zbytku domény .cz, přičemž vidíme znatelný rozdíl mezi státní správou, která je přímo dotčena usnesením vlády č. 727 z roku 2009, a samosprávou. U měst a obcí pak stojí za povšimnutí téměř čtyřnásobný růst podpory IPv6 na straně webových serverů, který je částečně způsoben rovněž zahrnutím podpory této technologie jako jednoho z kritérií soutěže Zlatý erb, kterou jsme se rozhodli jako technologický partner podpořit rovněž v letošním roce.

Graf_IPv6

IPv6: co přináší nové usnesení vlády

V rámci nového usnesení vlády přijatého na sklonku loňského roku považuji osobně za nejdůležitější nový bod 1. d), tj. „zahrnout požadavek na podporu IPv6 do všech relevantních výběrových řízení, a to jak na dodávky služeb, tak zboží (hardware), i jako nedílnou součást požadavků na všechny nově podpořené projekty a jejich součásti financované ze strukturálních fondů v tomto i nadcházejícím finančním období. Oproti původnímu usnesení vlády se povinnost podpory IPv6 rozšiřuje rovněž o příjemce prostředků ze strukturálních fondů. Zde je nutné si uvědomit, že v rámci tzv. publicity patří webové prezentace mezi nejoblíbenější nástroje, přičemž často se nejedná o samostatný web, ale jen o začlenění jedné (či několika málo stránek) do stávajícího firemního webu. V této souvislosti stojí za připomenutí, že z TOP100 firem podporuje na webových serverech IPv6 pouze 5 % největších podniků.

V případě zájmu se mocným nástrojem na prosazení IPv6 může pak stát požadavek jejího povinného zahrnutí do všech relevantních výběrových řízení. Je ale nutné si uvědomit, že pod pojmem „relevantní výběrová řízení“ se již nemusí skrývat jen tendery související se zajištěním webové prezentace, ale rovněž s nákupem datových služeb (včetně mobilních), což podporuje rovněž Český telekomunikační úřad, který 20. prosince 2013 zveřejnil Obecná pravidla řízení datového provozu. Podle těchto pravidel se pak službou přístupu k síti internet rozumí:

veřejně dostupná služba elektronických komunikací, která umožňuje využívání obsahu, aplikací a služeb sítě internet, a tím propojení prakticky všech koncových bodů připojených k síti internet (a to protokolem IPv4 a IPv6), bez ohledu na použitou technologii sítě.

Zde bude zajímavé sledovat, zde se povinnost zajištění konektivity jak přes IPv4 či IPv6 nestane další součástí boje v rámci elektronické aukce komunikační infrastruktury veřejné správy, tzv. KIVS.

DNSSEC

Pokud se podíváme na aktuální statistiky, zjistíme, že průměr počtu zabezpečených domén .cz dosahuje 37,1%, zatímco u státní správy se to o 10 procentních bodů méně – konkrétně jen čtyři ministerstva ze čtrnácti a tři ze třinácti ústředních orgánů státní správy.

Situace je tak zde zcela opačná, než u IPv6 a z tohoto pohledu je usnesení vlády vítaným nástrojem, který – dle zkušeností s IPv6 – sice zřejmě nikdy nezaručí 100% přijetí této technologie, ale může výrazně urychlit její zavedení. V rámci podpory rozšíření obou technologií se pak Akademie CZ.NIC rozhodla všem účastníkům z veřejné správy nabídnout speciální akci: dva kurzy (IPv6 a DNSSEC) za cenu jednoho.

Hřejivé na srdci je pak i to, že u DNSSEC se Česká republika stala první zemí min. v Evropě, která nařídila veřejné správě zabezpečení svých domén, což byl možná i jeden z důvodů, proč nedávné Usnesení vlády označil renomovaný publicista Jiří Peterka jako jednu z 10 nejvýznamnějších událostí českého eGovernmentu za rok 2013.

Jiří Průša

MojeID mění tvář a inovuje

Nedlouho po svých třetích narozeninách přichází mojeID s novou podobou webu, která kromě faceliftu přináší také řadu nových funkcí.

Nový layout upouští od dosavadního těžkého žlutočerného vizuálu striktně vycházejícího z barev mojeID a je nahrazen moderním lehkým a vzdušným designem. Změna vizuálního stylu se dotkla nejen informační části webových stránek, ale také přihlašovací webové aplikace a prostředí uživatelského profilu.

Homepage

Nejvíce změn z hlediska funkcionality zaznamenala homepage. Té vévodí přehlednější menu spolu s fullwidth carouselem, který upozorňuje na klíčové přínosy mojeID pro uživatele.

Největší inovací homepage jsou zjednodušené statistiky mojeID, zobrazující aktuální počet mojeID účtů a růst nových registrací za určité období. Plná verze statistik, z nichž tato čísla vychází, je k dispozici v souhrnu statistických dat publikovaných sdružením CZ.NIC. Nově je také do úvodní stránky integrován mojeID kanál na Twitteru.

Obsah homepage pak uzavírají reference v podobě log zapojených významných služeb a testimoniálů vybraných poskytovatelů mojeID.

Katalog služeb

Zcela novou součástí webu je katalog služeb podporujících přihlašování pomocí mojeID. K jeho vzniku vedla potřeba převést stávající seznam webů s mojeID do uživatelsky přívětivější podoby.

Služby zařazené do katalogu lze třídit dle kategorií a podkategorií (např. e-shopy, portály, komunitní weby, apod.); každý záznam obsahuje název, logo, URL a popisek služby.

Katalog je určen především službám s tzv. plným přístupem – tedy těm, jejichž poskytovatelé mají se sdružením CZ.NIC uzavřenu smlouvu o užití mojeID. Uvítáme zde ale i zajímavé služby s tzv. omezeným přístupem. Zájemci se v takových případech mohou obracet na obchodní oddělení sdružení.

Služby s plným a omezeným přístupem lze v katalogu rozeznat podle speciální ikony, která se zobrazuje napravo. Služby s plným přístupem jsou navíc ve výpisech kategorií a podkategorií zobrazovány přednostně.

Tyto změny představují pouze první krok v sérii inovací služby mojeID. Její uživatelé se mohou těšit na další chystané novinky jako např. veřejný profil uživatele, zrychlenou registraci pomocí tlačítek sociálních sítí nebo rozšíření sady údajů v profilu.

Ondřej Písek

Slučování duplicitních kontaktů

V průběhu let se nám v registru nashromáždila celá řada kontaktů, které měly naprosto shodné údaje a dokonce byly spravovány stejným registrátorem. Tyto záznamy, které byly fakticky stejné, byly uvedeny u různých domén a žily si svým vlastním životem, což mohlo způsobit komplikace zákazníkům, kteří si potřebovali změnit údaje. Taková změna se totiž musí udělat postupně u každého z takto vytvořených kontaktů, což může tak trochu otravovat; můžete se snadno dopustit chyby (třeba některý z kontaktů vynechat a nechat ho s neplatnými údaji) a navíc ne každý z nás si pamatuje všechna „dvojčata“, která si takhle postupem času vytvořil, případně mu byla vytvořena.

Pravidlech registrace je už nějaký čas paragraf, který nám umožňuje tyto kontakty slučovat a v průběhu loňského roku jsme ho (po provedení změn v komunikaci s registrátory) začali využívat.

Náš slučovací program nyní v pravidelných intervalech vyhledává dvojice (trojice, někdy i mnohem větší množiny) stejných kontaktů, vybírá z nich jeden a na něj převádí všechny domény a další objekty registru. Ostatní kontakty poté ruší. O celé akci je informován majitel kontaktu souhrnným mailem a přes příslušný protokol samozřejmě také registrátor.

A jaké jsou výsledky celé akce za minulý rok? Možná vás to překvapí, ale těch smazaných kontaktů nakonec bylo více než 110 000, což není vůbec malé číslo. Provedených změn u domén a sad jmenných serverů bylo nakonec také přes 100 000.

Co mne příjemně překvapilo, byly reakce uživatelů. Musím se přiznat, že jsem se celé akce trochu bál a tak trochu jsem čekal, že nás zasypou telefonáty a emaily jednotlivých držitelů, zejména v době, kdy jsme slučovali velké objemy starých dat. Nic takového se ale nestalo, za celou dobu trvání jsme dostali jen o něco málo víc než 100 mailů, z nichž část nás chválila, část chtěla sloučit kontakty i napříč registrátory a zbytek se ptal na celý postup. Vyloženě zápornou reakci jsme nezaznamenali, a pokud je mi známo, tak ani nikdo z registrátorů. Doufejme, že se nám takhle budou dařit všechny naše akce ;-) .

Mimochodem, slučovací akce nebyla jediná aktivní záležitost, kterou jsme v loňském roce realizovali a která měla za cíl zkvalitnit data o držitelích domén. V prosinci navíc probíhala akce na ověřování údajů držitelů domén pomocí SMS, emailů a dopisů, které se mohli dobrovolně zúčastnit všichni držitelé domén (a dostat od nás malý dárek, případně vyhrát iPad). V této aktivitě budeme letos pokračovat.

Přeji hezký rok 2014 :) .

Martin Peterka