Nedávno jsem v článku na Lupě popisoval problémy systému, který slouží pro příjem žádostí o nové domény. Systém byl odstaven a ICANN tehdy naznačoval, že jej opět uvede do provozu do 20. dubna. No a máme květen a systém pořad ještě neběží. Doba odstávky je už hodně dlouhá a zřejmě i ICANN přestalo bavit posílat téměř každý den v podstatě identické oznámení o tom, že na odstranění závady se intenzivně pracuje. Proto ve včerejší zprávičce přidal alespoň nějakou novinku. V systému TAS je registrováno 1268 uživatelů, což je značný nárůst od předchozího známého čísla z 25. března, kdy oznámil 839. Je vidět, že na poslední chvíli ještě hodně uživatelů přibylo. Toto číslo je již konečné, protože už není možné registrovat nové uživatele. Každý uživatel má (tedy měl a po odstávce ještě bude mít) právo požádat o 0-50 domén. Je třeba podotknout, že uživatel měl dopředu zaplatit 5000 USD za každou žádost, kterou měl v plánu podat. ICANN bohužel nezveřejnil, kolik takových „slotů“ bylo zaplaceno.
Dále se ICANN ve své zprávičce věnuje hlavnímu důvodu, proč byl systém odstaven. Někteří uživatelé mohli částečně vidět data jiných uživatelů. Konkrétně u cca 100 z nich mohl někdo cizí vidět uživatelská jména a jména souborů. Ve zprávičce bohužel chybí to hlavní, a to datum znovuspuštění TASu. Tak doufejme, že to již bude brzy a celý proces vzniku nových domén se opět rozběhne.
Každopádně jako předseda pracovní skupiny pro přípravu ccNSO meetingu v ICANNu jsem požádal zaměstnance ICANNu o prezentaci k tomuto tématu. Takže pokud budete mít zájem zúčastnit se pražského ICANN meetingu, můžete se o tomto problému dozvědět více.
Ondřej Filip
333333 podepsaných domén a velká sázka o malé pivo
Nedávno překročil počet podepsaných domén v .cz magickou hranici 333 333, což je rozhodně důvod ke spokojenosti. Naše národní doména si v penetraci tohoto zabezpečení drží stále první příčku na světě. Skvělé je, že k těmto počtům nepřispívají pouze doménoví registrátoři, kteří automaticky podepisují všechny domény s jejich nameservery, ale že se připojují i firemní koncoví držitelé. Podívejme se třeba na média – iHNed.cz, Lidovky.cz, všechny servery Internet Info. Důležitý je i přístup státní správy a v tomto mi například naposledy udělal radost Český telekomunikační úřad, který nedávno podepsal obě své domény. A rozhodně je důležité, že začali validovat i velcí telekomunikační operátoři.
Nicméně naše prvenství už není tak suverénní jako dříve. Velmi silně se probudila země, která jako první DNSSEC implementovala, tedy Švédsko. Tamní registr velmi tlačí na své registrátory a ti už dokázali podepsat zhruba 180 tisíc domén. V poslední době to maličko spadlo, protože jeden registrátor migruje na novou technickou platformu, ale i tak mají téměř 150 tisíc.
Povzbuzen tímto úspěchem se mi nedávno ozval ředitel .SE, Dany Aerts (mimochodem ač spravuje švédskou doménu, je to původem Nizozemec) a navrhl mi, že se vsadíme o to, kdo bude mít do konce roku vyšší procento podepsaných domén. Kdo prohraje platí tomu druhému národní pivo. Pravda, nejsem velkým fanouškem švédských piv, ale na druhou stranu jsem soutěživý človek, takže jsem sázku přijal :-). Čili sázka je na světě, a tak se na vás správce, registrátory a všechny, co mohou něco udělat, obracím s prosbou: pojďte zavést DNSSEC a pomozte mi toto holandského Švéda pokořit!!! Kdo mi pomůže nejvíce, toho zvu na české pivo na oplátku zase já.
Ondřej Filip
Co byste chtěli slyšet o IPv6? Na 6. 6. připravujeme „IPv6 only“ akci
V minulém roce jsme už touto dobou měli plné ruce práce s přípravou konference Internet a Technologie 11. Letos tomu je trochu jinak. Místo tradičního červnového setkání totiž plánujeme jednodenní akci výhradně zaměřenou na IPv6 a zcela logicky ji uspořádáme na světový start IPv6, tedy na 6. června 2012. Nebudeme v tom pořadatelství sami, chystáme ji společně s EURidem a NIXem.
Akce bude mít víceméně stejný formát, na který jste od nás zvyklí. Opět ji máme v plánu doplnit o nějaké workshopy, opět ji budeme streamovat (i když možná jen po šestce :-)), opět bychom rádi představili někoho ze světové komunity. Jisté je už i místo konání, kterým bude Ballingův sál Národní technické knihovny na šestce (čti v Praze Dejvicích). V plánu máme samozřejmě i nějaké novinky spojené s hlavním i doprovodným programem. Jejich odhalení má ale ještě svůj čas. Na co ale určitě není brzy, to je uložení této akce do vašich kalendářů!
Co je v tuto chvíli aktuální je program akce. Vytipovali jsme přednášející, na které se pomalu začínáme obracet. Říkali jsme si ale, že by bylo dobré znát názor internetové komunity na to, koho na akci pozvat a co nového se dozvědět; jaká přednáška a čí by vás zajímala, co byste na konferenci o šestce rádi viděli a slyšeli, případně třeba i vyzkoušeli. Budeme proto moc rádi, když se s námi v komentářích pod textem podělíte o své nápady a myšlenky. Předem za ně děkujeme.
A na závěr ještě něco málo k našim letošním akcím. Kdo jste už dopředu počítal s tradiční konferencí Internet a Technologie, určitě s ní počítejte dál. Máme ji v plánu na druhou půlku roku. Důvodem je doslova natřískaný červen, do něhož spadá nejen mezinárodní šestkový den, ale hlavně nedlouho poté nás čeká velice významná mezinárodní akce a to 44. ICANN meeting. Přijít se podívat na vybrané akce tohoto setkání můžete samozřejmě také.
Ondřej Filip
10 % webů je dostupných přes IPv6!
Jak jistě víte, pravidelně měříme rozšíření protokolu IPv6 v doméně .cz. V únoru jsme zaznamenali překročení důležité hranice – každý desátý webový server (tedy přesně každý web běžící na adrese ve tvaru www.<doména>.cz) má AAAA záznam a je tedy dostupný po IPv6. Při detailnějším pohledu by někomu mohlo přijít divné, že po nedávném ohlášení 900 000 domén v zóně .CZ stačí 89 561 domén na oněch 10 procent. Pro vysvětlení, my počítáme poměr u domén generovaných do zóny. Ten rozdíl tedy tvoří domény v ochranné lhůtě nebo ty, které nemají správný NSSET a pod.
K 10 procentům se blíží také počet mailových serverů s IPv6, což je další velice pozitivní zpráva. A vůbec nejlepší je situace v oblasti jmenných serverů; zde patrně velký kus práce odvedli naši registrátoři. Totiž přes 48 procent domén má alespoň jeden takový server dostupný po „šestce“ (pevně věřím, že už na konci března dojde k pokoření hranici 50 procent). Dopomoci k tomu můžete i vy. Stačí jen nasadit IPv6 ve vaší síti nebo na vašich serverech.
Kdo sleduje náš blog, ten ví, že téma IPv6 je v našem hledáčku dlouhodobě. Osvěty v této oblasti zatím rozhodně není moc. Krom našich školení, knihy a podobně připravujeme další akce. Ale o tom až příště….
Každopádně, IPv6 stoupá a to je vzhledem k docházení IPv4 adres moc dobře. Velmi by mohl pomoci plánovaný druhý světový den IPv6, který bude 6. června 2012. V tento den zapnou (tentokrát už nastálo) IPv6 největší světoví hráči jako Google, Facebook, Akamai, Microsoft Bing, Yahoo a mnozí další. Pevně věřím, že ani česká komunita nezůstane pozadu a aktivně se přidá. Rádi uslyšíme, třeba v komentáři pod článkem, jestli se také chystáte k tomuto dni připojit.
Ondřej Filip
Máme se bát operace Global blackout?
Na pastebin.com se nedávno objevila zpráva, která slibuje, že 31. 3. 2012 proběhne masivní DDoS útok na DNS root servery v rámci tak zvané operace Global Blackout. Čtenářům našeho blogu je asi zbytečné připomínat, že znefunkčnění všech root serverů by znamenalo výpadek DNS a tím i de facto vypnutí Internetu. Tak jako u všech zpráv tohoto druhu je pochopitelně těžké určit, jak moc vážně se tím mají bezpečnostní týmy zabývat. O neuchopitelnosti Anonymous již bylo napsáno mnoho. Každopádně se tomuto možnému útoku věnovala některá poměrně čtená média a zdá se, že i DNS operátoři berou hrozbu částečně vážně; problém byl poměrně důkladně diskutován v uzavřených operátorských bezpečnostních listech. K tomuto oznámení se sluší odpovědět následující otázky:
- Jak těmto útokům čelit?
- Jakou mají vůbec šanci?
- Proběhne vůbec nějaký útok, je tato zpráva hodnověrná?
Jak útoku čelit
Především stojí za to ve stručnosti zmínit, jak vlastně tento útok funguje. Jde o takzvaný DNS amplification attack. Principem tohoto útoku je, že útočník posílá podvržené dotazy na DNS resolvery. Jako zdrojovou adresu dotazu podvrhne IP adresu cíle, na který chce útočit. Díky jednoduché vlastnosti DNS, že odpověď je vždy větší než dotaz, dosáhne zesílení svého útoku. Vhodně zvolenými typy dotazu lze i z domácího připojení vygenerovat poměrně slušný tok dat. Takto vygenerovaný datový tok od více útočníků, pak může zahltit DNS server(y) či přístupové linky k nim. Z principu útoku je zřejmé, že útočník potřebuje ke své činnosti otevřené DNS resolvery, ale je bohužel smutnou skutečností, že těch je v současném Internetu více než dost, ačkoliv na toto téma byla vydána celá řada varování.
Metod, jak útoku čelit, je celá řada. Především by velice pomohlo, kdyby koncoví ISP dodržovali doporučení z BCP-38 nebo-li kdyby filtrovali odchozí packety, které nemají ve zdrojové adrese IP z jejich rozsahu. Tím by zabránili svým uživatelům podvrhovat IP adresy.
Druhou, mnohem problematičtější možností, je filtrovat všechny DNS dotazy z root serverů. Tyto servery nemají důvod se nijak ptát. Problémem tohoto řešení je, že je šité na míru pouze tomuto jednotlivému útoku a změna cíle útoku by znamenala další konfigurace. Navíc i IP adresy root serverů se čas od času změní a je šance, že aplikace této obrany napáchá více škody než užitku.
No a samozřejmě nejpřirozenější je neinstalovat zbytečně otevřené DNS resolvery. Většina existuje bohužel jen jaksi „omylem“, někteří správci bohužel nejsou příliš pečliví a s konfigurací DNS resolverů si tolik hlavu nelámou.
Šance takového útoku
Ačkoliv se pořád hovoří o 13 root serverech, již to dávno není tak, že 13 počítačů drží kořenovou zónu. Naopak velká většina těchto serverů má zrcadla všude po světě. Rekordmanem v počtu kopií je písmeno J, jež spravovuje Verisign, a které je na 70 místech. Samozřejmě i v každém z těch míst není jeden počítač, ale farma serverů. Abychom i my, sdružení CZ.NIC, přispěli k bezpečnosti, financujeme provoz dvou zrcadel v Praze, a to serverů F a L. Jak už to bývá, technologicky pozadu jsou, alespoň v tomto směru, servery spravované státními institucemi. Anycasting nevyužívají servery spravované ISI, NASA a University of Maryland. Pouze dvě kopie má i server spravovaný americkou armádou. Je možné, že skutečně masivní útok by mohl vyřadit z provozu právě tyto servery s malým počtem zrcadel, ale je velice obtížné shodit službu, jež má desítky dobře spravovaných kopií. Nemyslím si tedy, že by Anonymous měli v tomto příliš velkou šanci. Shodit DNS systém je mnohem větší oříšek než útočit na webové servery. Mimochodem, v minulosti již několik masivních útoků na root servery proběhlo a zatím se nikomu nepodařilo shodit všech 13.
Bude útok?
Především s ohledem na předchozí informace si myslím, že 31. března se může stát hodně věcí, ale rozhodně to nebude útok na DNS. Celé toto prohlášení vnímám spíše jako hoax, může jít klidně o odpoutání pozornosti. Ani Anonymous se jistě nebudou pouštět do akcí, u kterých je v podstatě mizivá šance na úspěch. Navíc tento útok by byl poněkud v rozporu s jejich dosavadní snahou o „svobodný Internet“.
Každopádně pozitivní na tomto „hoaxu“ je, že trochu přitáhl pozornost směrem k nastavení filteringu podvržených zdrojových adres a k nastavení DNS resolverů. Správná konfigurace obou těchto věcí může obecně pomoci při zvýšení bezpečnosti Internetu. Schválně se zkuste zamyslet, jestli v tomto nemůžete něco vylepšit ve vlastní síti.
Ondřej Filip
Kolik bude nových TLD?
Už je to více než měsíc od chvíle, kdy ICANN nastartoval proces vzniku nových generických domén. Sám ICANN svůj proces designoval na 500 nových domén. Pokud bude žádostí více, plánuje ICANN, že jejich posuzování rozloží do více bloků – první o velikosti 500 a další po 400. Aby bylo možné žádost o doménu podat, je nutné nejdříve zaregistrovat žadatele. Ten pak má možnost požádat o přidělení slotů pro maximálně 50 domén. Za vytvoření každého slotu pak musí žadatel složit minimálně 5 000 USD.
ICANN nedávno oznámil, že počet registrovaných uživatelů překročil 100. Jsme teprve na začátku druhé třetiny časové periody, takže těžko odhadovat, jak se situace vyvine, ale zatím to není nijak omračující číslo. Nedá se předpokládat, že všichni registrovaní uživatelé nakonec požádají o domény, ani že ti aktivní zažádají vzhledem k ceně o nějaké velké počty domén. Nicméně do 29. března je ještě čas pro registrace uživatelů. Do 12. dubna poté budou muset podat všechny své žádosti. Zcela jasno tedy bude až pár dnů po tomto datu.
Kolik odhadujete, že jich nakonec bude? A bude nakonec nějaká doména z Česka?
Ondřej Filip
Na co se v pondělí těším
Pravděpodobně se k vám už nějak dostalo, že v pondělí bude Česko i Slovensko slavit výročí. 13. února tomu bude přesně 20 let od prvního připojení tehdejší federace k síti Internet. Oslavu k této události pořádá sdružení CESNET a pro mě je velikou ctí, že budu moci vystoupit se svým příspěvkem vedle tak skvělých lidí, kteří vykonali tolik nejen pro český Internet. Snad se ale tito vážení pánové neurazí, když dám dnes přednost jednomu z nich a detailněji představím pouze jeho. Jde o člověka, který jako jediný z fyzicky přítomných mluvčích nepochází ze států bývalé federace.
Pozornější již tuší, že mluvím o Stevu Crockerovi. Někdy mě trochu mrzí, že zatímco Vint Cerf je velmi známý a je často (a jistě právem) nazýván otcem Internetu, Steve je tak trochu v pozadí. I když jeho vztah k tomuto projektu nejlépe ilustruje jeho autorství RFC dokumentu s číslem 1, a tak trochu symbolicky i tato fotka na které je společně s Vintem a Jonem Postelem.
Ačkoliv jde o skutečnou Internetovou celebritu, mé první setkání s ním bylo velice spontánní. Prostě nám poslal do CZ.NICu e-mail, že by s námi rád zašel na večeři. Bylo to v době prvního pražského zasedání IETF, a tak jsme, Tomáš Maršálek, Ondra Surý a já, prostě šli. Tuto událost se nám podařilo zachytit na této fotografii, kterou rád používám v prezentacích při představení úplného počátku projektu DNSSEC v České republice. (Poslední na fotce je Rick Lamb z ICANNu.)
Steve, kromě toho, že je v současnosti předsedou představenstva ICANNu, se totiž od samého začátku velice zasazuje o zavádění této technologie a k nám přišel prvotní impuls právě od něj. Od té doby jsem se s nim několikrát sešel a vždycky mě překvapoval svou obrovskou skromností a velkým zájmem o rozvoj DNSSECu i v tak malé zemi, jakou Česká republika je. Proto mě už vlastně ani nepřekvapilo, že na mou prosbu, jestli by na tuto oslavu nemohl přiletět, jen skromně odepsal, že je „polichocen a poctěn“. Co dodat?
V pondělí tedy budeme mít možnost na živo vidět v Praze velkého muže, i díky kterému si čtete tento blog po síti sítí. Jaká čest!
Ondřej Filip
Druhá doména v cyrilici v provozu
Doména .рф už není jedinou funkční doménou nejvyšší úrovně v cyrilici. Od 27. ledna je možné registrovat i v doméně .СРБ. Jde to druhou doménu Srbska, první je latinková doména .rs. Obě domény jsou operovány stejným správcem, jímž je RNIDS. Zatím nejsou registrace úplně volné, prvních šest měsíců běží sunrise fáze, ve které mohou registrovat pouze držitelé stávajících domén v .rs. Doména .rs má v současné době něco málo přes 70 tisíc registrací. Některé domény jsou již v provozu, takže pokud se zajímáte například o kroky srbského prezidenta, můžete je sledovat na http://председник.срб.
Srbové mají s převody mezi latinkou a cyrilicí poměrně bohaté zkušenosti z jejich soužití s Chorvaty, takže hledání převodních pravidel nebylo nijak komplikované. Naopak bylo složité najít správnou doménu, jež by je reprezentovala. Díky tomu, že cyrilice je příliš podobná latince, bylo nutné nezůstat pouze u písmenek ‚R‘ a ‚S‘ nebo-li v cyrilici ‚Р‘ a ‚С‘ a bylo nutné koncovku rozšířit o další znak.
Přejme tedy nové doméně hodně štěstí a budeme sledovat, jak si povede vedle své latinkové starší sestry.
Ondřej Filip
Dvě skvělé zprávy o zavádění DNSSECu
Tento týden byly oznámeny dvě novinky, které se týkají zavádění technologie DNSSEC. První byla od společnosti ACTIVE 24, která se pochlubila, že počet podepsaných českých domén pod její správou překročil magickou hranici 100.000. Velice rádi se připojujeme ke gratulantům. ACTIVE 24 si tak drží pozici světového lídra mezi registrátory v podpoře této technologie.
A dnes kontroval mobilní operátor Vodafone, který ohlásil nejen podpis své domény vodafone.cz, ale zavedení validace pro své klienty. Ti od této chvíle uvidí na stránce www.dnssec.cz už jen zelený klíč. Chtěl bych zde velice poděkovat technickému týmu Vodafone za skvělou práci.
A nám všem ostatním bych chtěl jen popřát, aby i další společnosti následovaly. Já osobně mám takový pocit, že si nějakou příjemnou zprávu z této oblasti do konce roku ještě vyslechneme…. :-)
Ondřej Filip
A nejlepším gratulantem je…
Je to přibližně rok, co jsme spustili službu mojeID. Nebojte se, neplánuji zde na blogu udělat nějaký sáhodlouhý rozbor toho, co se nám za tu dobu povedlo či nepovedlo. Konečně to jsem v podstatě provedl nad otázkami pana Vyleťala nedávno na Lupě.
Pro úspěch této služby je pochopitelně klíčový přístup poskytovatelů služeb, například e-shopů či internetových vydavatelství. No a právě v případě druhé jmenované skupiny se nám podařilo za ten rok „získat“ dva významné zástupce. Prvním je Internet Info, které adaptovalo většinu svých webů. Druhým je mediální skupina Economia, jež zahájila spolupráci se svým portálem Volny.cz.
Po našem upozornění na první narozeniny nám napsalo pár gratulantů, za což jsme pochopitelně vděční. Asi nejlepším způsobem nám ale poblahopřál právě další mediální dům a to opět zvučného jména. Mladá Fronta a.s. se rozhodla využít výhody této služby a implementovala podporu mojeID na osmnácti svých webech jako jsou například Živě.cz, Mobilmania či E15.cz.
Děkujeme tedy tomuto milému gratulantovi! Ať vám mojeID slouží!
Ondřej Filip