Na loňské konferenci Internet a Technologie 11 jste se měli možnost poprvé setkat s aplikací, která pomáhá zjišťovat škodlivý obsah umístěný na doménách .cz. Tehdy jsem představil pouze její prototyp s tím, že plnou verzi plánují kolegové z našich Laboratoří dokončit na začátku příštího, tedy tohoto roku. Představení této plné verze se uskutečnilo právě tento týden, v úterý, a to na mezinárodní konferenci bezpečnostních týmů FIRST/TF-CSIRT Technical Colloquium v Římě. Vzhledem k tomu, že se jedná o open source aplikaci, byla tato verze současně uvolněna pro potřeby komunity. Pojďme si ji tedy představit trochu podrobněji.
Naše začátky s touto aplikací, kterou jsme pojmenovali Malicious Domain Manager (zkráceně MDM), nebyly zrovna jednoduché, a to z několika důvodů. Především chyběla procesní řešení, často se vyskytovaly problémy s kódováním obsahu, téměř každý den se objevovaly nové a nové otázky spojené s funkčností tohoto programu. Protože se ale do projektu zapojilo několik týmů – Laboratoře CZ.NIC, bezpečnostní týmy CZ.NIC-CSIRT a CSIRT.CZ, jejichž členové věděli, co chtějí a jak toho dosáhnout, podařilo se celkem rychle vyladit tento nástroj pro potřeby reálného použití ve světě internetu.
Aplikace sbírá z veřejně dostupných databází informace, které se týkají výlučně domén obsahující ať už náhodně nebo cíleně umístěný škodlivý obsah. Tím může být například phishing, malware nebo virus. Člověku, který tento nástroj obsluhuje, potom umožňuje jednoduchým způsobem kontaktovat držitele dané domény s upozorněním na vzniklou situaci. V případě zpětné vazby je potom možné prostřednictví této aplikace daného držitele nebo správce domény dále informovat o možném řešení situace nebo mu doporučit případné kroky vedoucí k odstranění škodlivého obsahu na doméně.
Náš nástroj je určený především regionálním registrům a správcům TLD. Stejně tak ale samozřejmě může být užitečná bezpečnostním týmům jako jsou ty naše (CZ.NIC-CSIRT a CSIRT.CZ). Aplikace je zde zkrátka pro všechny, kteří chtějí přehledně spravovat hrozby spojené se systémem DNS ve svém poli působnosti a reagovat na ně. Všem těmto bych chtěl alespoň touto formou zprostředkovat několik svých zkušeností sesbíraných za cca půlrok, který jsem s ní strávil. Aplikace má jednoduché ovládání, pro které není potřeba speciální proškolování jejích uživatelů. Dobrou zprávou pro všechny, kteří nebudou ovládat češtinu, je jednoduchá implementace jazykových mutací. Za velké plus považuji integraci dat z databáze WHOIS, což umožňuje získat k dané doméně z prostředí aplikace aktuální kontakty.
A na závěr jedno číslo za všechny; v druhé polovině loňského roku jsme i s její pomocí dokázali vyřešit 5 247 incidentů na doméně .cz. Takže, ať všem jejím uživatelům slouží tak dobře jako nám.
Michal Prokop
Domény za 4 000 korun, koupili byste?
Je to již přes dva roky, kdy jsme se poprvé setkali s upozorněním některých držitelů doménových jmen, kteří byli osloveni společností Česká doménová centrála s nabídkou zaregistrovat si doménu (obvykle s koncovkou .com, .net, .org – prostě jinou, než českou) za „výhodnou“ cenu okolo 4.000 Kč. Nyní se objevila další společnost, která za podobně báječných podmínek nabízí služby na podobném principu – Registrace internetových domén s. r. o.
Podstatou těchto jedinečných nabídek je to, že nabízená doména bývá totožná s tou, kterou již držitel má registrovanou v .CZ, nyní o ni ale projevil zájem prý také někdo jiný, takže aby nedošlo ke vzniku škody, primárně se obracejí právě na tohoto držitele, aby si doménu mohl zaregistrovat dříve, než tento jiný zájemce (jehož identitu samozřejmě neprozradí) – a pochopitelně je třeba se rozhodnout rychle. V obou případech se společnosti obracejí s nabídkou výhradně na právnické osoby (kde je ze zákona nižší míra ochrany) a smlouva je sjednávána telefonicky, přičemž z rozhovoru je pořizován záznam.
Registrace doménových jmen pod nejpoužívanějšími TLD je zpravidla velmi jednoduchá a takovou doménu lze registrovat i přes některého z akreditovaných registrátorů českých domén. Na webových stránkách registrátora se zájemce může předem seznámit s cenami, podmínkami, sám si zjistit, zda jím požadovaná doména je volná či nikoliv. Cenově se pak pohybuje v řádu stokorun za doménu. Nejste-li si jisti, obraťte se s dotazem na subjekt, přes kterého už jste si vaši stávající doménu registrovali, jistě vám bude umět pomoci.
Necháváme samozřejmě na zvážení každého, zda popisovanou službu využije, ale stále platí obecné pravidlo používat zdravý rozum, nepodlehnout nátlaku (operátorky jsou dle informací, které máme k dispozici, velmi přesvědčivé) a uzavírat smlouvy až poté, co se seznámíte s tím, co si vlastně kupujete a za jakých podmínek. V neposlední řadě také poté, co si rozmyslíte, zda nabízený produkt/službu vlastně vůbec potřebujete.
Aktualizace, 1. dubna 2015: Česká televize odvysílala v rámci pořadu Černé ovce reportáž věnující se nabídce registrací domén za přemrštěné ceny. Doporučujeme její zhlédnutí.
Zuzana Durajová
Je potřeba zveřejňovat údaje držitelů domén v databázi whois?
Čas od času se na nás obracejí držitelé domén s dotazem, proč se jejich údaje zobrazují v prohledávání údajů na webových stránkách sdružení. Právě této otázce se bude věnovat tento příspěvek.
Ustanovení o zpřístupnění údajů držitele domény ve veřejné části registříku domén (whois) je součástí pravidel registrace již více než 12 let a za tu dobu prošlo několika proměnami. Poslední, a to poměrně výrazná změna, se datuje na podzim r. 2007, kdy se upravovala pravidla registrace v souvislosti s přechodem sdružení CZ.NIC z outsourcovaného systému správy domény na systém vlastní.
Na začátek opět něco málo teorie – na nakládání s osobními údaji pamatuje český právní řád, a to především v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který nabyl účinnosti již před více než 10 lety (a jak je u nás dobrý zvykem, byl za tu dobu již mnohokrát novelizován…). Tento zákon zahrnuje mezinárodní principy ochrany osobních údajů a jeho účelem je zajištění ochrany osobních údajů, způsob jejich zpracovávání (a to včetně předávání do zahraničí) a upravit vztahy, které v této souvislosti vznikají. Na zákonnou úpravu pochopitelně pamatovala a pamatují pravidla registrace doménových jmen, která s ní nemohou být v rozporu. CZ.NIC, jako správce osobních údajů, musí splňovat zákonné podmínky, na druhou stranu má vůči subjektům osobních údajů určitá práva – např. vyžadovat, aby údaje uvedené v centrálním registru byly správné, protože s odkazem na ustanovení § 5 odst. 1 zákona je povinen zpracovat pouze přesné osobní údaje.
Pokud se vrátíme k pravidlům registrace, která vstoupila v platnost v říjnu 2007, pak z hlediska ochrany údajů tato pravidla poprvé přinesla nejen držitelům domén, ale vůbec všem kontaktům, které se v databázi domény objevují v různých rolích, možnost označit určité údaje jako skryté – takto označené údaje se pak nezobrazují ve veřejné části prohledávání (namísto nich je uveden text „neveřejný údaj“) a jsou k dispozici pouze pro interní potřeby sdružení a registrátorů jako jeho smluvních partnerů. V kontaktu mohou být skryty e-mailová adresa, e-mail pro oznámení, telefonní a faxové číslo, DIČ nebo jiná číselná identifikace (např. datum narození, číslo pasu, OP, IČ…). Přístup do veřejné části whois je navíc chráněn proti automatickým dotazům použitím technologie captcha, kdy uživatel musí rozeznat a zadat bezpečnostní kombinaci znaků.
Mezi údaje, které v kontaktu naopak skrýt nelze, patří jméno a poštovní adresa. Tato skutečnost má své opodstatnění – nejen užíváním domény, ale i její pouhou registrací může dojít i zásahu do práv třetích osob. Takový zásah může mít podobu nejen v tuto chvíli např. všeobecně známé registrace domény s názvem, který má chráněn někdo jiný jako ochrannou známku, ale čím dál častější je i šíření nevyžádané pošty či škodlivého obsahu (malware), publikace obsahu, který je v rozporu se zákonem (propagace a prodej neschválených léčiv, šíření dětské pornografie a podobně). V takových případech toto nezbytné minimum údajů umožňuje poškozeným subjektům, případně příslušným státním orgánům, obrátit se přímo na držitele domény či jiný kontakt v doméně uvedený nebo rovnou zahájit potřebné právní kroky.
Podobně tyto údaje umožňují držitelům domén okamžitě zkontrolovat, že na ně určitá doména skutečně je registrována – to má význam například při odkupu domény a vazbě úhrady kupní ceny na realizaci převodu.
Je tedy zřejmé, že uvádění jména a poštovní adresy držitele domény (nebo také administrativního nebo technického kontaktu) má své opodstatnění. Podobně k uvádění některých údajů ve veřejné části prohledávání přistupují i jiné evropské registry; zmíním například Německo (i zde je možné, stejně jako u nás, skrýt telefonní a faxové číslo nebo e-mailovou adresu), Slovensko nebo Belgii (zde registr skrývá osobní údaje držitelů – fyzických osob a vydává je pouze na „oprávněnou“, resp. „opodstatněnou“ žádost – na tomto místě vyvstává otázka, která žádost je a která není dostatečně opodstatněná, neboť kritéria nejsou v pravidlech belgického registru stanovena).
Zuzana Durajová
Registrátorské „prázdniny“ pokračují
Když jsme na konci července připravovali článek o letní aktivitě registrátorů domén, naznačil kolega v jeho závěru, že to možná není vše, co nás z jejich strany v blízké době potká. A nespletl se. V ZONERu a Active24 probíhalo toto léto asi trochu jinak než u většiny z nás.
Vezmu to chronologicky. Hned na začátku srpna oznámil registrátor ZONER automatické zavedení DNSSECu pro všechny u něj nově zaregistrované domény .CZ. DNSSEC samozřejmě není povinností. Zákazník si může podepsání DNS záznamů u domény kdykoliv zrušit. Ukažte mi ale zodpovědného držitele domény, který by to dobrovolně udělal :). Možnost nechat si zdarma zavést DNSSEC ale neplatí jen pro nové domény. Tuto funkci si mohou zapnout i ti stávající.
Druhý letní projekt spatřil světlo světa právě dnes. Active24 totiž právě oznámil spuštění aplikace sloužící registraci a obsluze domén .CZ. Jednu takovou jsem tu už před časem recenzoval, jednalo se o aplikaci určenou pro majitele zařízení iPhone. Tentokrát se jedná o aplikaci pro majitele mobilů s operačním systémem Android. Kromě registrace domén umožňuje tento program také nastavovat nameservery a u domén .CZ potom i ID držitele, administrativní kontakt a KEYSET.
Martin Peterka
Bitsquatting
Najskôr sa už každému podarilo spraviť preklep v názve domény pri ručnom písaní do browseru a dostať sa na doménu zaregistrovanú „typosquatterom“, aby využil preklep k nejakému zisku (typicky reklamy). Artem Dinaburg prezentoval na konferencii Defcon 19 zaujímavú variantu nazvanú bitsquatting.
Bitsquatting je založený na predpoklade, že v počítačoch pripojených k internetu dochádza občas vplyvom tepla, elektromagnetického žiarenia apod. k chybe, ktorá prehodí v pamäti niektorý bit. Takáto bitová chyba nastáva veľmi zriedkavo, preto na „zmysluplné“ využitie sa musí jednať o mimoriadne často dotazovanú doménu.
Dinaburg si zaregistroval niekoľko variant populárnych domén s jedným prehodeným bitom, ktorý je na klávesnici ďaleko od originálneho znaku (napr. mic2osoft.com s prehodeným 7. bitom v znaku ‚r‘, aby sa to jednoduchšie odlíšilo od typosquattingu) a sledoval 7 mesiacov príchodzie dotazy. Za toto obdobie prišlo 52 317 dotazov z 12 949 unikátnych IP adries, čo je dosť malý počet oproti chybám z preklepov. Relatívne nízky počet je očakávateľný kvôli nízkej pravdepodobnosti výskytu bitovej chyby. Nasledujúci graf ilustruje rozloženie počtu spojení od unikátnych IP počas meraného obdobia:
Okrem troch anomálií (označených v grafe A, B, C) je počet IP za deň celkom rovnomerný. Prvé dva extrémy (A, B) podľa autora vznikli chybou cache priamo v infraštruktúre spoločnosti Zynga (tvorca hry Farmville), za posledný (označený C) je zodpovedná proxy alebo DNS resolver spoločný pre menšiu sieť.
Koncept vzbudil miernu nedôveru, pretože je celkom ťažké dokázať, že sa jedná o bitovú chybu a nie o zvláštny preklep alebo aktivitu skriptu, ktorý enumeruje domény. Asi najlepší argument podporujúci Dinaburgove tvrdenie sú rozdiely medzi dotazovanou doménou a HTTP Host hlavičkou: 3 % HTTP spojení na bitsquat domény obsahujú Host hlavičku odpovedajúcu pôvodnej („nebitsquatovej“) doméne, čomu pri typosquattingu nedochádza. Naviac v jeho príkladoch obsahujú bežne HTTP spojenia aj Referer.
Niektoré komentáre namietali, že pri podobných „náhodných“ chybách by neboli schopné počítače pracovať. V skutočnosti si človek takú chybu skôr vôbec nevšimne. Zhodou okolností som asi pred 15 rokmi robil experiment, ako sa PC vysporiada s chybami v RAM. Na starších PC bolo možné preprogramovať cez časovač frekvenciu obnovy pamäte (DRAM refresh). DRAM refresh zaručuje, že pamäť „nevybledne“ (nestratí sa z kondenzátorov náboj). Po znížení frekvencie refreshu trvalo rádovo minúty, než boli chyby človekom viditeľné (refresh je rádovo mikrosekundy až milisekundy). Prvé viditeľné chyby boli zmeny zobrazovaných znakov, logické chyby v aplikáciách a nakoniec pád systému. Podobne Dinaburg zachytil prípady havarujúcich Windows strojov, ktoré odosielali chybové hlásenia na bitsquat domény.
Ďalšie informácie k bitsquattingu sa dajú nájsť v Dinaburgovej prezentácii a článku.
Ondřej Mikle, Laboratoře CZ.NIC
Další zlepšení komunikace registru domén
Od 1.srpna jsme v registru domén začali zasílat novou zprávu s informacemi o datech jednotlivých zákazníků. Jde o e-mail, který se posílá na adresy kontaktů a obsahuje žádost o kontrolu údajů. Generuje se automaticky, jedenkrát za rok, a to pro ty kontakty, které mají dva měsíce do „výročního data“ jejich vzniku. Pokud jste tedy svůj kontakt v registru vytvořili 1. října kteréhokoliv roku, už jste tento e-mail dostali.
Tímto krokem chceme přispět k ještě lepší kvalitě dat v registru. Dva měsíce před výročním datem nebylo zvoleno náhodně – vycházíme z toho, že většina zákazníků si zároveň s kontaktem registrovala i doménu, která tedy bude v daný den expirovat. A pokud si zákazník dva měsíce před tímto datem údaje u kontaktu opraví, prodloužení domény proběhne bez problémů.
Také chceme, aby zákazník byl lépe informován o tom, jaké domény (a nejenom ty) vlastně v našem registru má. Proto mu v tomto e-mailu přikládáme také seznam domén (sad jmenných serverů a sad klíčů), ke kterým je tento kontakt přiřazen. Každý tak má možnost zároveň s kontrolou svých údajů zjistit i to, kde všude je vlastně tento kontakt uveden (případně kde není ;-).
Oprava údajů se provádí prostřednictvím registrátorů – proto v tomto e-mailu (na rozdíl od všech ostatních e-mailů, které zasíláme) dáváme určenému registrátorovi kontaktu možnost do komunikace vstoupit. E-mail může doplnit svými informacemi (jak ho může zákazník kontaktovat apod.); e-mail může být také odeslán s reply-to adresou registrátora. Pokud na něj tedy v takovémto případě odpovíte, dostane se rovnou do správných rukou.
Zákazníka ale nechceme zbytečně opravovat. Pokud tedy v uplynulých dvou měsících (před plánovaným odesláním tohoto e-mailu) provedl u kontaktu nějakou změnu, tuto naši žádost už nedostane. Na řadu přijde znovu za rok.
Dosavadní zkušenosti po týdnu odesílání jsou víceméně pozitivní. Za zákaznickou podporu CZ.NIC mohu konstatovat, že jsme až na jednu nebo dvě výjimky nezaznamenali prakticky žádnou vyloženě negativní reakci. Naopak nám adresáti těchto e-mailů často odpoví i v případě, že jejich údaje jsou v pořádku a není tedy potřeba nijak reagovat. Ani od registrátorů, kteří se zapojili se svými texty a adresami, v tuto chvíli nemám žádnou negativní reakci. Doufejme tedy, že takhle nám to vydrží i nadále.
Na závěr jedno číslo, které vás možná překvapí a možná ne – průměrně každý den odešleme 1730 těchto e-mailů.
Martin Peterka
DNSSEC v další doménové stáji
Je to už nějaký ten pátek, co jsme na domácí DNSSECové scéně zaznamenali nějaký razantnější pohyb. Dobu relativního klidu přerušila včera tisková zpráva společnosti ONEsolution, jejíž pravdivost potvrdily informace z našich statistik. Registrátor ONEsolution podepsal k dnešnímu dni více než 6 tisíc „svých“ domén (s NSSETem u této společnosti). DNSSEC samozřejmě dostanou všechny další domény, které si zde nově zákazníci zaregistrují. Jak se tento krok dotýká situace v České republice? V tuto chvíli je DNSSECem chráněno více než 133 tisíc domén .CZ, což představuje více než 16 procent z celkového počtu. Následující seznam ukazuje, jak se krok ONEsolution projevil mezi registrátory podporující tuto bezpečnostní technologii (první pětka):
1. Active24 (více než 96 tisíc)
2. Web4U (více než 20 tisíc)
3. ONEsolution (více než 6 tisíc)
4. TELE3 (více než 4 tisíce)
5. GRANSY (více než 1 900)
Podle neověřených zpráv můžeme v relativně blízké době očekávat zavedení DNSSEC v další doménové stáji. Která to bude (nebo u koho byste si to přáli) můžete zatím tipovat v komentářích.
Vilém Sládek
Nové generické domény na spadnutí
Největší rozšíření prostoru domén nejvyšší úrovně se pravděpodobně blíží. Dá se očekávat, že ICANN na svém nejbližším zasedání schválí pravidla pro vznik nových generickým domén nejvyšší úrovně.
Úvahy, že by se doménový prostor měl rozšířit, zaznívají od samotného počátku co ICANN existuje. A ICANN na taková přání obvykle slyšel a umožnil vznik mnoha z nich. Ale i tak byl proces vzniku nových domén poměrně netransparentní. Představenstvo mělo potíže některá svá rozhodnutí srozumitelně vysvětlit. Poměrně vypovídajícím příkladem je příběh domén .xxx. A proto začal ICANN pracovat na transparentních pravidlech pro vznik nových generickým domén nejvyšší úrovně (gTLD). Celý proces vzniku těchto pravidel je hodně zdlouhavý a již jsme o něm na stránkách našeho blogu několikrát referovali. [1] [2] [3]. Když už vše vypadalo, že pravidla jsou dobře projednaná všemi zainteresovanými stranami, ozval se vlivný vládní výbor GAC a celý princip nezvykle ostře kritizoval. Představenstvo ICANNu vzalo kritiku GACu velice seriózně a několikrát se s tímto výborem sešlo. Z počátku to vypadalo, že bude obtížné najít společnou řeč, ale nakonec se zdá, že k dohodě přeci jenom projde. Výsledkem těchto konzultací je další verze pravidel, kterou na konci května ICANN zveřejnil na svých stránkách.
Je velice pravděpodobné, že tato verze už „projde“ a ICANN ještě v červnu pravidla finálně schválí a celý proces spustí. O problematice nových gTLD budeme mluvit i na konferenci IT11. Pokud Vás problematika zajímá, rozhodně přijďte.
Co si myslíte o nových gTLD vy? Přinesou nové možnosti nebo naopak? Chcete .music, .green, .canon?
Váš http://ondrej.filip
DNSSEC v poslední nezabezpečené poddoméně .ARPA
Před necelým rokem na konferenci RIPE 60 v Praze prezentoval Dave Knight z ICANN časový plán pro zabezpečení všech poddomén v doméně ARPA. Doména nejvyšší úrovně ARPA (Address and Routing Parameter Area) slouží k uchovávání informací pro fungování infrastruktury internetu. Nejznámější poddomény jsou IN-ADDR.ARPA, IP6.ARPA (pro mapování internetových adres na doménová jména – reverzní DNS) a E164.ARPA (pro technologii ENUM). Seznam všech poddomén v ARPA, spolu s odkazem na dokumenty ospravedlňující jejich existenci je k dispozici na stránkách organizace IANA.
K zabezpečení většiny poddomén došlo podle zmíněného harmonogramu již na podzim minulého roku. Nejdéle vzdorovala asi nejpoužívanější doména IN-ADDR.ARPA, pravděpodobně také proto, že na přelomu roku došlo k převodu správy této domény z amerického regionálního registru ARIN přímo na centrální organizaci ICANN. Tento převod byl dokončen letos v únoru a posledním krokem bylo publikování DS záznamů IN-ADDR.ARPA v nadřazené doméně ARPA, které proběhlo v polovině března. Dokončení tohoto procesu spolu s již komentovaným zavedením DNSSEC v doméně .com jsou jistě největší události na poli DNSSEC za poslední měsíc a jen ukazují vzrůstající zájem o tuto technologii i v okolním světě.
Jaromír Talíř
Máte iPhone a chcete .cz doménu?
Minulý týden na mne ze seznamu aplikací pro iPhone na iTunes Store „vykoukla“ novinka od Active24. Je zdarma, jmenuje se Active24 a slouží k registraci domén. To jsem si samozřejmě nemohl nechat ujít – ne, že bych dopodrobna sledoval všechny možnosti registrací domén našich registrátorů, takže možná něco podobného již existuje, ale na aplikaci, která mi umožní zaregistrovat doménu .cz přes mobilní telefon jsem zatím nenarazil.
Takže staženo a pojďme se na to podívat. Začátek výborný – předdefinována koncovka .cz, ověření existence, přehledný ceník. Objednáno, doména v košíku. Aplikace mi umožní vytvořit si nového uživatele nebo se jednoduše přihlásit pod tím, kterého už mám (pokud ho mám) vytvořeného, objednávka pak pokračuje klasickou cestou. Odeslání mailu s výzvou k platbě, atd. Za to atd. už jsem se nepustil (doménu jsem nezaplatil) takže úplně netuším, jak si systém Active24 poradí například s tím, že jeho aplikace nekontroluje, zda jsem vyplnil ID držitele. Předpokládám ale, že v takovém případě za držitele prohlásí prostě toho, kdo doménu objednal a pokud nemá přiřazený handle, tak mu ho vytvoří. Mě osobně se to úplně nelíbí (mohlo mě to na nevyplněné ID aspoň upozornit) ale pro jiné uživatele je to možná plusem – nikdo je neotravuje zbytečnostmi, které za ně může udělat někdo jiný ;-). Co mi přece jen vadilo trochu víc je další objednávka – pokud se totiž pustím do objednávání další domény po odeslání té předchozí, aplikace mi nabízí okna ve stavu, ve kterém jsem je opustil – nemohu tedy v sekci „Hledat“ rovnou zadat další doménu, ale musím se přes tlačítko zpět dostat k výběru, podobně je tomu i v ostatních sekcích. Tady by měli vývojáři A24 ještě přiložit ruku k dílu.
Celkově ale – alespoň pro mne – příjemná záležitost, kterou bych celkem v klidu v „nouzových situacích“ použil. Vždyť kdo z nás ještě neměl alespoň jednou, někdy třeba v sobotu večer v restauraci s přáteli pocit, že si nutně musí zaregistrovat tu báječnou doménu, která ho právě napadla :-D. Kdybych měl hodnotit obligátními hvězdičkami, jak je u těchto aplikací zvykem, řekl bych – až půjde přihlásit se přes mojeID a vychytáte pár drobností, ode mne
za 5* :-).
Martin Peterka