Další klíčky změnily svá zabarvení

Důležitá oznámení o zavedení DNSSEC jsme naposledy zaznamenali na konci loňského roku a týkaly se Vodafone a Telefónicy. Od té doby se žádná společnost nepochlubila, až do dnešního dne.

Centrum Holdings dnes vydalo tiskovou zprávu, ve které oznamuje zavedení DNSSEC pro řadu svých webů, mezi které patří například Centrum.cz, Aktuálně.cz nebo katalog firem Najisto.cz. Rádi se přiznáme k tomu, že tuto implementaci vítáme hned dvakrát. Typicky přesně tyto služby si totiž DNSSEC zaslouží.

Druhým přírůstkem do rodiny je potom portál Bezpečnostní informační služby – www.bis.cz. Podepsána je tedy internetová stránka dalšího významného státního úřadu a co víc, první z bezpečnostních sborů v naší zemi.

A pár čísel na závěr, pro připomenutí. DNSSEC je tu s námi od podzimu 2008, kdy se Česká republika stala teprve pátou zemí na světě, která tuto bezpečnostní technologii do své národní domény zavedla. V současnosti chrání DNSSEC 343 478 domén .cz, což je více než třetina z celkového počtu zaregistrovaných domén s českou národní koncovkou. Tato čísla nás udržují nad ostatními registry domén využívající DNSSEC.

Vilém Sládek

333333 podepsaných domén a velká sázka o malé pivo

Nedávno překročil počet podepsaných domén v .cz magickou hranici 333 333, což je rozhodně důvod ke spokojenosti. Naše národní doména si v penetraci tohoto zabezpečení drží stále první příčku na světě. Skvělé je, že k těmto počtům nepřispívají pouze doménoví registrátoři, kteří automaticky podepisují všechny domény s jejich nameservery, ale že se připojují i firemní koncoví držitelé. Podívejme se třeba na média – iHNed.cz, Lidovky.cz, všechny servery Internet Info. Důležitý je i přístup státní správy a v tomto mi například naposledy udělal radost Český telekomunikační úřad, který nedávno podepsal obě své domény. A rozhodně je důležité, že začali validovat i velcí telekomunikační operátoři.

Nicméně naše prvenství už není tak suverénní jako dříve. Velmi silně se probudila země, která jako první DNSSEC implementovala, tedy Švédsko. Tamní registr velmi tlačí na své registrátory a ti už dokázali podepsat zhruba 180 tisíc domén. V poslední době to maličko spadlo, protože jeden registrátor migruje na novou technickou platformu, ale i tak mají téměř 150 tisíc.

Povzbuzen tímto úspěchem se mi nedávno ozval ředitel .SE, Dany Aerts (mimochodem ač spravuje švédskou doménu, je to původem Nizozemec) a navrhl mi, že se vsadíme o to, kdo bude mít do konce roku vyšší procento podepsaných domén. Kdo prohraje platí tomu druhému národní pivo. Pravda, nejsem velkým fanouškem švédských piv, ale na druhou stranu jsem soutěživý človek, takže jsem sázku přijal :-). Čili sázka je na světě, a tak se na vás správce, registrátory a všechny, co mohou něco udělat, obracím s prosbou: pojďte zavést DNSSEC a pomozte mi toto holandského Švéda pokořit!!! Kdo mi pomůže nejvíce, toho zvu na české pivo na oplátku zase já.

Ondřej Filip

Liberální nebo striktní? A co na to All Blacks?

Když John Postel v roce 1980 definoval pravidlo robustnosti (známé také jako Postelův zákon), tak se zdálo být rozumné jej definovat jako: „Buď liberální v tom, co přijímáš, ale buď striktní v tom, co vysíláš.“ O pár let později bylo toto pravidlo rozšířeno v RFC 1122 o požadavek nejen přežít divoké prostředí špatně naformátovaných paketů, ale také nadále spolupracovat a komunikovat s implementacemi, které se takto neslušně chovají. Internet byl ve svých počátcích a bylo těžké odhadovat, jaká všechna zařízení budou do sítě připojena a jak dobře nebo špatně budou naprogramována.

Nicméně zpátky k návrhu internetových protokolů. Již o deset let později v roce 2001 popisuje Marshall Rose v RFC 3117 problémy, které přináší aplikace principu robustnosti do interoperability aplikací. Představte si, že máme dvě implementace:

  • implementaci Locke, kterou psal hodně šikovný programátor a docela si s ní vyhrál, takže je velmi liberální a dokáže přijmout a zpracovat libovolně naformátovaný paket a…
  • implementaci Demosthenes, kterou psal programátor hodně ve spěchu a posílá takové pakety, ze kterých se dělá trochu špatně i směrovačům po cestě.

Locke si s Démosthenem v klidu dokáží povídat. Locke se sice občas diví, co to Démosthenés říká, ale vcelku dobře si rozumějí a komunikace volně plyne. To se ovšem radikálně mění ve chvíli, kdy na scénu přichází implementace Rochester, kde byl programátor velmi striktní a naprogramoval Rochestera tak, že přesně odpovídá specifikaci protokolu a odmítá jakékoli odchylky od standardu, zatímco si Locke s Rochesterem může bez problému popovídat (ostatně jsou oba dva angličané). Dokonce pro Lockeho je komunikace s Rochesterem jednodušší, protože oba dva při komunikaci dodržují správný komunikační protokol. Naopak Démosthenés má se svou antickou řečtinou najednou problém. Démosthenés se může snažit mluvit s Rochesterem jak chce, ale ten mu prostě nemůže rozumět, protože nemluví společným jazykem.

A co by na to řekli All Blacks? Kdyby se o Postelově zákonu dozvěděli v půlce prosince minulého roku, tak by asi zareagovali takto:

Proč? Správci novozélandské domény .NZ v půlce prosince dokončili proces implementace DNSSEC, vypublikovali správný klíč a poslali jej do kořenové zóny. Následně byli upozorněni, že jejich klíč má nezvyklou sekvenci znaků v místě, kde je uveden RSA exponent. Pro srovnání si tento rozdíl pojďme ukázat konkrétně.

Klíč pro doménu .CZ vypadá takto:


cz.	     IN DNSKEY 257 3 10 (
		AwEAAaVU8EMQrZ6Tix2zBaAmizMQ7W0m94qSJUXV4eVW
		S9ZpXh9t1uj8U/B5Nnqge4G0Te0/NJIqflihZKXs8Hyh
		JqjF852RKnvNWPu2wMujYjHP0T4lIhu4rTym9+sPNsfi
		oqvMyyDeqyhVPx21nvLW5oaKjaLd3XJxijRbDTddRU97
		mJVVS50PKdDmh5n/4KdRKV7ifR2Ap8L1bvUiCOxl4GAq
		LoXft+L896bkVj6mefdCSyYaCbgsDc2+10ZBOSF1t89N
		J6O1yO+y5/7vS3dYKEqj+p4ygaCY0spvrhZxncUeASix
		g224bNYZM5TLk2/YoKgAEjaIoCwu7SAXB5iUvLU=
		) ; key id = 14568

Pokud rozkódujeme prvních pár znaků, dostaneme následující výstup:

$ dig dnskey cz +short | grep '^257' | awk '{print $4}' | base64 -d | xxd -l 12 -b
0000000: 00000011 00000001 00000000 00000001 10100101 01010100  .....T
0000006: 11110000 01000011 00010000 10101101 10011110 10010011  .C....

Délka exponentu je uvedena na prvním místě (00000011), tj. exponent je dlouhý tři bajty. Exponent je v tomto případě 65537 (00000001 00000000 00000001).

DNSSEC klíč pro novozélandskou doménu vypadal takto:

nz.          IN DNSKEY 257 3 8 (
                BAABAAGwfTiEoh71o6S55+Mdy1qqVRnpKY1VHznrv+wx
                rPfvRGB5VivFFPFN+33fsaTxJQTceOtOna7IKxTffj6p
                bBG4a9vtk2FqF551IwXomKWJnzRVKqYzuAx+Os/5gLIN
                BH7+qRWAkJwCdQXIaJGyGmshkO5Ci5Ex5Cm3EZCeVrie
                0fLI03Ufjuhi6IJ7gLzjEWw84faLIxWHEj8w0UVcXfaI
                2VL0oUC/R+9RaO7BJKv93ZqoZhTOSg9nH51qfubbK6FM
                svOWEyVcUNE6NESYEbuCiUByKfxanvzzYUUCzmm+JwV7
                7Ebj3XZSBnWnA2ylLXQ4+HD84rnqb1SgGXu9HZYn
                ) ; key id = 2517

Opět rozkódujeme prvních pár bajtů:

dig dnskey nz +short | grep '^257' | awk '{print $4}' | base64 -d | xxd
-l 12 -b
0000000: 00000100 00000000 00000001 00000000 00000001 10110000  ......
0000006: 01111101 00111000 10000100 10100010 00011110 11110101  }8....

Již na první pohled je vidět, že exponent je v tomto případě delší (00000100), tj. 4 bajty. Nicméně hodnota exponentu (00000000 00000001 00000000 00000001) zůstává stejná, tedy rovna 65537.

V čem je tedy zádrhel? Dle standardu RFC 3110, který definuje kódování RSA klíčů pro použití v DNS, jsou počáteční nuly v exponentu zakázány. A nyní se dostáváme zpátky k počátečnímu sporu Postel vs Rose.

Správci novozélandské domény samozřejmě nasazení DNSSEC klíče pečlivě otestovali a vše správně fungovalo. Jinými slovy Démosthenés si při testování povídal s Lockem. Nakonec se bohužel ukázalo, že na scéně se skrýval Rochester v podobě implementace rekurzivního resolveru od firmy Nominum, která je při dekódování exponentu velmi striktní a po přijetí klíče novozélandské domény selhala při DNSSEC validaci. Toto nakonec vedlo k tomu, že bylo zapotřebí klíč novozélandské domény opravit a do kořenové zóny poslat klíč ve správném kódování.

Jaké z toho nakonec plyne poučení? Druhá část pravidla robustnosti stále platí, je zapotřebí být velmi striktní při implementaci protokolu, aby byla zajištěna dobrá interoperabilita. Nicméně je jistě ke zvážení, jestli nebýt striktní také při implementaci přijímací části, aby bylo možné odhalit chyby včas již při testování.

A co si myslíte vy? Je lepší být v implementaci striktní nebo liberální?

Ondřej Surý

P.S. Tento článek, respektive odkaz na něj, zahajuje naši komunikaci na Google Plus. Pokud tedy tuto sociální síť využíváte a chcete být informováni o našich projektech a aktivitách, přidejte si nás do svých kruhů.

Statistika DNSSEC resolverů

Jako správce české domény máme poměrně dobrý přehled o tom, kolik existuje zabezpečených domén s koncovkou .CZ. Jak to ale vypadá na druhé straně?

Samotné měření toho, kolik je validujících resolverů, není bohužel jednoduchá záležitost. Žádný resolver nehlásí autoritativnímu serveru „já jsem validující“, takže pro detekci lze použít nepřímé techniky, které využívají znalost toho, jakým způsobem validující resolver žádá o DNS záznamy. Asi nejkomplexnější metodu měření navrhl Olafur Gudmundsson a Steve Crocker na konferenci SATIN 2011; popsanou ji najdete v článku Guðmundsson, Crocker: Observing DNSSEC validation in the wild. Tuto metodiku jsme použili pro naše měření. Kromě toho, že nemá smysl znovu vynalézat kolo, je jednotná metodika také důležitá pro srovnání s ostatními registry. V případě, že by každý registr vynalézal znovu a znovu metodiku měření validujících resolverů, bylo by následné porovnávání výsledků příslovečným porovnáváním jablek s hruškami.

Stručné shrnutí metodiky:

Pro zjednodušení bereme jednu IP adresu za jeden resolver, i když ve skutečnosti se za jednou IP adresou může v případě NATu skrývat více resolverů.

Pro detekci validujících resolverů se metodika snaží hledat odlišnosti mezi chováním „zastaralých“, tedy nevalidujících resolverů, a těch validujících. Ty se liší především dotazy na DS a DNSKEY záznamy:

  1. dotaz na DS záznam – resolver označíme jako určitě validující
  2. opakovaný dotaz na DNSKEY záznam v časových intervalech odpovídající době platnosti (TTL) tohoto záznamu – resolver také označíme jako určitě validující
  3. samostatný dotaz na DNSKEY záznam – resolver označíme jako pravděpodobně validující

Z charakteru protokolu DNS vyplývá, že není možné, aby byla tato metodika absolutně spolehlivá. K jistému zjednodušení dochází proto, protože na straně autoritativního serveru není možné poznat, zda-li položený dotaz na DS nebo DNSKEY záznam vznikl na základě požadavku na validaci nebo jej vznesl nějaký testovací nebo monitorovací skript. Ke zkreslení výsledků přispívají i lidé, kteří prostými dotazy pomocí různých DNS nástrojů mohou způsobit zařazení IP adresy do jedné z výše uvedených kategorií. Podrobnější diskuzi nad použitou metodikou lze nalézt ve výše zmíněném článku.

Nejprve uvedeme výsledky měření z dubna 2011 a pak pro porovnání z prosince 2011. Měření se provádělo vždy tři pracovní dny na stejných autoritativních serverech.

Data z dubna 2011

Dle popsané metodiky jsme v našich DNS datech našli 6767 určitě a 727 pravděpodobně validujících resolverů. Vzhledem k tomu, že většina provozovatelů DNS serverů nemá ve svých sítích pouze jeden server, tak jsme získané IP adresy následně museli ručně agregovat na základě vlastníka IP adresy serveru. Toto seskupení představuje další zjednodušení, které ovšem v případě resolverů s největším provozem můžeme zanedbat.

V následující tabulce naleznete top 10 českých společností jejichž sítě provozují validující resolvery (podle počtu DNSKEY dotazů zaslaných z validujících resolverů).

#DNSKEY   ISP
  5320    Casablanca
  4224    České Radiokomunikace
  3024    Telefónica O2
  2089    GTS NOVERA
  1624    UPL Telecom
  1338    NFX
   710    OMEGA tech
   537    Dial Telecom
   513    Ignum
   441    VUT Brno

Data z prosince 2011

Počet validujících resolverů se zvýšil: evidujeme 11403 určitě a 1201 pravděpodobně validujících resolverů.

Pořadí top 10 českých společností počtu DNSKEY dotazů z validujících resolverů se mírně promíchalo:

#DNSKEY   ISP
  7894    Telefónica O2
  6309    Vodafone
  4342    ACTIVE 24
  3441    UPC
  3285    GTS NOVERA
  3075    RIOMEDIA
  2712    2 connect
  2029    T-Mobile
  1946    Casablanca
  1737    CESNET

Pokud by vás zajímalo, zda váš ISP validuje, podívejte se na www.dnssec.cz, kde najdete jednoduchý a průkazný test. V komentářích nám potom můžete napsat, jak jste uspěli či neuspěli, kdo má nebo nemá zájem na větším bezpečí svých zákazníků.

Ondřej Mikle

Dvě skvělé zprávy o zavádění DNSSECu

Tento týden byly oznámeny dvě novinky, které se týkají zavádění technologie DNSSEC. První byla od společnosti ACTIVE 24, která se pochlubila, že počet podepsaných českých domén pod její správou překročil magickou hranici 100.000. Velice rádi se připojujeme ke gratulantům. ACTIVE 24 si tak drží pozici světového lídra mezi registrátory v podpoře této technologie.

A dnes kontroval mobilní operátor Vodafone, který ohlásil nejen podpis své domény vodafone.cz, ale zavedení validace pro své klienty. Ti od této chvíle uvidí na stránce www.dnssec.cz už jen zelený klíč. Chtěl bych zde velice poděkovat technickému týmu Vodafone za skvělou práci.

A nám všem ostatním bych chtěl jen popřát, aby i další společnosti následovaly. Já osobně mám takový pocit, že si nějakou příjemnou zprávu z této oblasti do konce roku ještě vyslechneme…. :-)

Ondřej Filip

Úspěšný projekt končí: třetina DNS serverů byla po upozornění opravena

Jak jsme vás již dříve informovali, koncem srpna zahájil CSIRT.CZ jednorázovou akci rozesílání informačních dopisů správcům DNS serverů, které nepoužívaly náhodné zdrojové porty u odchozích dotazů. Tím jsou tyto servery vystaveny vysokému riziku napadení útokem na vyrovnávací paměť serveru.

Dle reakcí, které nám dorazily, byla akce z velké části přijata kladně a dotčené společnosti byly rády, že se k nim informace o nevhodné konfiguraci DNS serverů dostala. A nyní již konkrétní čísla. Celkem jsme při této akci detekovali 2397 originálních IP adres, z nichž byly odesílány dotazy ze statických či sekvenčních portů. Při kontrole, která proběhla minulý týden, se ukázalo, že 12 % z těchto serverů již používá random porty a 19 % z těchto DNS serverů se již neozývá. Předpokládáme, že se mohlo jednat o různé polozapomenuté či testovací servery, které již nikdo nespravoval, několik uživatelů je ale stále používalo. Bohužel, 66 % DNS serverů stále používá statické či sekvenční porty, u 3 % pak máme nedostatečná data, tzn. přišlo z nich ve sledovaném období příliš málo dotazů a nelze tedy s jistotou říci, zda skutečně došlo k rekonfiguraci DNS serveru.

Naším cílem bylo přispět ke snížení počtu DNS serverů, které vzhledem k existujícím záplatám zcela zbytečně vystavují uživatele tomuto zákeřnému způsobu útoku. V tomto smyslu považuji akci za úspěšnou a doufám, že se časem procento dosud neopravených DNS serverů ještě sníží.

Pavel Bašta, CSIRT.CZ a CZ.NIC-CSIRT

Další příspěvek do debaty o účinnosti a smyslu technologie DNSSEC

Minulý týden vydala společnost F5 Networks zprávu shrnující výsledky průzkumu, při kterém bylo telefonicky dotazováno tisíc velkých společností v 10 různých zemích, a to na zkušenosti s bezpečností IT a s bezpečnostními hrozbami. Pracovní náplň všech respondentů tohoto průzkumu se minimálně z 25 procent týkala oblasti bezpečnosti. Z průzkumu mimo jiné vyplynulo, že 36 procent respondentů zaznamenalo útok, který díky vysokému provozu na aplikační vrstvě vedl k nedostupnosti jejich firewallu. Průměrné náklady související s útoky a zotavením po útocích tyto velké společnosti vyčíslili na 682,000 $ za posledních 12 měsíců.

Pro nás je nejzajímavější, že kombinováním výsledků výzkumu ve smyslu četnosti útoků, obtížnosti obrany proti nim a dopadu na organizaci setavila F5 Networks žebříček nazvaný „Cyber Attack Index“. V jeho čele jsou útoky na systém DNS, které zahrnují DoS, spoofing a cache poisoning. Škoda, že studie neuvádí kolik procent z útoků na DNS připadá právě na DNS cache poisoning, před kterým účinně chrání technologie DNSSEC. Takovéto průzkumy by mohli být dalším argumentem pro větší využití této pro doménu .CZ dostupné, avšak bohužel stále málo využívané technologie.

Pokud by vás výsledky průzkumu zajímaly, je možné si ji po vyplnění registračního formuláře stáhnout na adrese http://resources.f5.com/.

Pavel Bašta, CSIRT.CZ a CZ.NIC-CSIRT

Bezpečnost SSL certifikátů

Pro zabezpečení komunikace webových stránek se běžně používají SSL certifikáty. Říkají nám, na jaké stránce jsme, kdo stránku provozuje a jaká certifikační autorita toto ověřila a zaručuje se za to. Je to ale opravdu tak? Poskytují nám opravdu bezpečnost, kterou slibují? Jak říká Electronic Frontier Foundation (EFF), systém certifikátů a certifikačních autorit má řadu systémových problémů.

Tak třeba pro ilustraci… prohlížeče a operační systémy v sobě mají uložené certifikační autority, jejichž certifikátům pak automaticky důvěřují. Kolik si myslíte, že je těchto uložených certifikačních autorit? Deset, padesát, sto? Dle průzkumu EFF jsou jich stovky až tisíce! Navíc to jsou většinou neznámé organizace a firmy z různých zemí, o nichž jste pravděpodobně nikdy neslyšeli. Přesto jim a jejich certifikátům máte důvěřovat. Jak EFF uvádí, jen od června 2011 byly čtyři z těchto certifikačních autorit prokazatelně napadeny a byla kompromitována jejich bezpečnost, včetně případů vydání falešných certifikátů. Přidejme k tomu ještě několik popsaných možností útoků na certifikáty, např. kradením nešifrovaných cookies či využíváním nedostatčné implementace řetězu důvěry.

Je pak s podivem, že poskytovatelé služeb odmítají, vymlouvají se či se dokonce brání používání dalších bezpečnostních metod, které jsou k dispozici. I když se jedná o metody, které jsou na světě dlouho a nejsou nijak složité na zavedení. Ano, řeč je o zabezpečení domén pomocí DNSSEC; stále je zabezpečeno pouze necelých 20 % domén .cz a mezi nejpoužívanějšími a nejdůležitějšími službami na českém internetu byste ty se zabezpečenou doménou spočítali na prstech jedné ruky. Jistě, žádná z konkrétních metod není samospasitelná a nevyřeší problém bezpečnosti sama a jednou pro vždy. V kombinaci s ostatními dohromady se ale bezpečnost zvyšuje a nenechávají se otevřená nějaká zadní vrátka. Ostatně v tomto smyslu chápe DNSSEC třeba právě i dříve zmiňovaná EFF, viz následující video.

PT

Registrátorské „prázdniny“ pokračují

Když jsme na konci července připravovali článek o letní aktivitě registrátorů domén, naznačil kolega v jeho závěru, že to možná není vše, co nás z jejich strany v blízké době potká. A nespletl se. V ZONERu a Active24 probíhalo toto léto asi trochu jinak než u většiny z nás.

Vezmu to chronologicky. Hned na začátku srpna oznámil registrátor ZONER automatické zavedení DNSSECu pro všechny u něj nově zaregistrované domény .CZ. DNSSEC samozřejmě není povinností. Zákazník si může podepsání DNS záznamů u domény kdykoliv zrušit. Ukažte mi ale zodpovědného držitele domény, který by to dobrovolně udělal :). Možnost nechat si zdarma zavést DNSSEC ale neplatí jen pro nové domény. Tuto funkci si mohou zapnout i ti stávající.

Druhý letní projekt spatřil světlo světa právě dnes. Active24 totiž právě oznámil spuštění aplikace sloužící registraci a obsluze domén .CZ. Jednu takovou jsem tu už před časem recenzoval, jednalo se o aplikaci určenou pro majitele zařízení iPhone. Tentokrát se jedná o aplikaci pro majitele mobilů s operačním systémem Android. Kromě registrace domén umožňuje tento program také nastavovat nameservery a u domén .CZ potom i ID držitele, administrativní kontakt a KEYSET.

Martin Peterka

DNSSEC v další doménové stáji

Je to už nějaký ten pátek, co jsme na domácí DNSSECové scéně zaznamenali nějaký razantnější pohyb. Dobu relativního klidu přerušila včera tisková zpráva společnosti ONEsolution, jejíž pravdivost potvrdily informace z našich statistik. Registrátor ONEsolution podepsal k dnešnímu dni více než 6 tisíc „svých“ domén (s NSSETem u této společnosti). DNSSEC samozřejmě dostanou všechny další domény, které si zde nově zákazníci zaregistrují. Jak se tento krok dotýká situace v České republice? V tuto chvíli je DNSSECem chráněno více než 133 tisíc domén .CZ, což představuje více než 16 procent z celkového počtu. Následující seznam ukazuje, jak se krok ONEsolution projevil mezi registrátory podporující tuto bezpečnostní technologii (první pětka):

1. Active24 (více než 96 tisíc)
2. Web4U (více než 20 tisíc)
3. ONEsolution (více než 6 tisíc)
4. TELE3 (více než 4 tisíce)
5. GRANSY (více než 1 900)

Podle neověřených zpráv můžeme v relativně blízké době očekávat zavedení DNSSEC v další doménové stáji. Která to bude (nebo u koho byste si to přáli) můžete zatím tipovat v komentářích.

Vilém Sládek