Od loňského května, kdy jsme oznámili spuštění experimentálního provozu DNS over HTTPS (zkráceně DoH) na našich Otevřených DNSSEC Validujících Resolverech (ODVR) byly na těchto našich resolverech odbaveny miliardy DNS dotazů. Za tu dobu ale jen neplynul čas a DNS, ale ODVR jsme kompletně přesunuli na novou anycast infrastrukturu, oddělenou od infrastruktury pro .CZ doménu. Navíc jsme průběžně optimalizovali provoz jak celého ODVR, tak již zmíněného DoH. Jeho implementace v Knot Resolveru, který naše ODVR pohání, nebyla, hlavně z počátku, úplně stabilní a jsme moc rádi, že nám naši uživatelé pomáhali s jejím laděním. Podíl DoH na celkovém provozu ODVR jen výjimečně přesahuje dvě procenta.
ODVR – vypnutí ochrany Rebinding a úpravy DoH
DNS rebinding
Naše otevřené DNSSEC validující resolvery měly od začátku provozu (tedy i v době, kdy ještě běžely na DNS resolveru Unbound) nastavenu ochranu proti DNS Rebindingu. Toto nastavení jsme zachovali i při spuštění nového ODVR anycastu postaveného již na našem Knot Resolveru.
Staré ODVR definitivně vypínáme 23. března 2020
Aktualizace 19. 6. 2020: z důvodu zavedení nouzového stavu odloženo na 25. června 2020 9:00.
Na konci ledna jsme ukončili provoz anycast části starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR, a zvýšili tak bezpečnost provozu DNS anycastu pro českou národní doménu .CZ, se kterým byla tato část technologicky svázána. O plánovaném vypnutí jsme mnohokrát psali a dále komunikovali, ale nakonec jsme se rozhodli ukončit provoz pouze té části, která měla méně uživatelů, tedy anycast části. Zbývá vypnout unicast část a tento krok provedeme 23. března 2020 v 9:00.
20. ledna vypínáme staré ODVR. Nebo ne?
Přicházím s posledním připomenutím nutnosti změny nastavení svých počítačů či síťových zařízení. V pondělí 20. ledna v 9:00 by Vám mohl přestat fungovat Internet, protože vypneme první část platformy starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR. Samozřejmě jen v případě, pokud tuto odstavovanou službu ještě využíváte.
Termín vypnutí starého ODVR
Jak jsme již informovali v dřívějších blogpostech, zprovoznili jsme novou instanci našich Otevřených DNSSEC Validujících Resolverů a snažíme se na ni převést provoz. Jen opakuji, že ODVR, jak název této služby zkracujeme, je nejznámější českou alternativou k resolverům, které jsou provozovány například společnostmi Google (tzv. „čtyři osmičky“) nebo Cloudflare (tzv. „čtyři jedničky“).
Nové ODVR již odbavuje více než 20 procent provozu
Dnešní krátký článek bych rád pojal jako velké poděkování! Komu? Všem těm, kteří nejen že pomohli s otestováním nových Otevřených DNSSEC Validujících Resolverů po jejich spuštění v květnu tohoto roku, ale dále zkouší nově zavedenou podporu DNS-over-TLS a DNS-over-HTTPS a v neposlední řadě systematicky přecházejí na systémech ve své správě právě na nové ODVR.
Na ODVR podporujeme také DNS-over-HTTPS
V mém nedávném blogpostu jsem informoval o spuštění nového ODVR, tedy našich DNS resolverů pro veřejnost. Nové ODVR provozujeme na k tomu určeném DNS anycastu s námi vyvíjeným resolverem, kterým je KNOT Resolver. Současně se spuštěním nového ODVR jsme zprovoznili i podporu šifrované komunikace DNS-over-TLS (DoT).
Spouštíme nové ODVR
Již více než 10 let mají uživatelé Internetu, nejen v České republice, možnost volně využít tzv. Otevřené DNSSEC Validující Resolvery CZ.NIC, zkráceně ODVR, namísto DNS resolverů od poskytovatelů internetového připojení. Jedná se o českou alternativu k veřejným DNS resolverům od společností Google (tzv. „čtyři osmičky“) nebo Cloudflare (tedy „čtyři jedničky“). Mimochodem i v případě Cloudflare resolverů jde tak trochu o „českou“ alternativu, protože využívá námi vyvíjený KNOT Resolver (viz blogpost kolegy Petra Špačka.
Odvrácená strana internetu
Úvodem článku musím říci, že jsem nějaký čas přemýšlel, zda k sepsání tohoto blogpostu přistoupit. Nakonec jsem se rozhodl, že to udělám, protože ten, kdo bude chtít tyto věci zneužít, ten si tyto informace stejně dokáže opatřit a naopak si myslím, že znalost toho, jakým způsobem a kde jsou obchodována ukradená data, může přispět k větší opatrnosti i u běžných uživatelů. Navíc lze očekávat, že s nedávným úspěšným zátahem FBI na prodejce kradených údajů o platebních kartách bude většina těchto obchodů již nadále probíhat pouze v níže popsaném prostředí. FBI totiž při zatýkání uspěla díky spuštění vlastního on-line webu na doméně carderprofit.cc, který měl výměnu a prodej informací o platebních kartách umožňovat.
Screenshot původního webu carderprofit.cc, před tím, než jej FBI letos v květnu vypnula
Jako důkazy pak použila i informace o IP adresách, ze kterých bylo k tomuto webu přistupováno. To by se jí v prostředí, o kterém dnes bude řeč, nejspíš tak snadno nepodařilo získat.
Pro cestu na odvrácenou stranu internetu jsou potřeba dva open source programy: Tor a Bitcoin. Ten druhý pouze v případě, že bychom chtěli skutečně něco kupovat. V našem případě je uveden proto, aby bylo patrné, jakým způsobem probíhá anonymní obchod. Bitcoin je digitální měna, která funguje od roku 2009. Měna je stejně jako běžná hotovost při dodržení určitých pravidel těžko vystopovatelná, tedy se hodí právě k nakupování na černém trhu. Nejprve je třeba nějaký ten bitcoin získat, bitcoin lze bez problémů směnit v příslušné směnárně například za Eura. Jakmile máme bitcoiny, můžeme se vydat nakupovat.
Bitcoinová peněženka
K tomu budeme potřebovat stáhnout Tor Browser ze stránek projektu Tor. Ten má hned dvě zásadní funkce. Jeho použitím zajistíte svou anonymitu a zároveň získáte přístup ke skrytým serverům v doméně .onion, ke kterým se z „běžného“ internetu nedostanete. Skryté servery jsou běžně používány k provozování široké plejády nelegálních aktivit, od šíření návodů na výrobu různých nelegálních chemických látek až po šíření dětské pornografie. Vzhledem k povaze této sítě je totiž velmi obtížné někoho chytit a obvinit. Je však zároveň potřeba říci, že tato její vlastnost je také důležitá a užitečná. Umožňuje uživatelům z nedemokratických režimů anonymně hledat, či naopak publikovat informace, jejichž hledání či publikování by pro ně jinak mohlo znamenat problémy.
Po spuštění tohoto prohlížeče tedy zkusíme přes Google vyhledat slovní spojení Tor Directories. Tím si najdeme v „běžném internetu“ seznamy adres existujících v doméně .onion. Na načtení stránek si ovšem chvíli počkáme, síť je obvykle dost pomalá. Asi nejznámější adresářová služba pro Tor je Nobody@Zerodays.
Nobody@Zerodays
Jeden ze zde nabízených odkazů je například na Hidden Wiki, kde se můžete dovědět spoustu informací, které obvykle lidé znát nepotřebují, od návodů na výrobu drog, až po to, jak si zařídit svůj vlastní server s ilegálním obsahem, tak abyste zůstali nepostižitelní.
Hidden Wiki
Najdete zde také rozcestníky na další nelegální weby, či obchody, kde si můžete koupit cokoliv, od zbraní, přes drogy až třeba po DDOS útok.
Na jedné z .onion adres pak najdete skutečně originální e-shop s názvem Black Market Reloaded. Pro možnost obchodování je potřeba se zaregistrovat, e-mailová adresa pro registraci může být smyšlená.
BlackMarket
Tento obchod nabízí snad úplně vše, co v běžných e-shopech nenajdete. Nástroje na výrobu vlastních platebních karet, odcizená čísla platebních karet, ukradené identity uživatelů, zbraně, drogy, či dokonce trhavinu na bázi C4. Dokonce nabízí i možnosti známé především z běžných bazarových a aukčních obchodů. Kupující tedy může například po realizaci obchodu ohodnotit prodávajícího.
Je libo trhavinu i s rozbuškou?
V doméně .onion by se dala jistě najít spousta dalších „zajímavých“ věcí, se kterými se na internetu běžně nesetkáte, ale pro představení tohoto svébytného prostoru byly myslím předchozí řádky více než dostatečné. Doufám, že tato malá exkurze na odvrácenou stranu internetu pro vás byla zajímavá. A pokud se po přečtení článku také zamyslíte, zda svá data před podobnými obchodníky dobře chráníte, pak článek splnil svůj účel.
Pavel Bašta
Novinky v Knot Resolver 6.x
V tomto příspěvku bych rád představil nadcházející hlavní verzi projektu Knot Resolver, která je v tuto chvíli ve fázi testování a ladění a proto velmi oceníme, když si ji vyzkoušíte a poskytnete nám k ní jakoukoliv zpětnou vazbu.