Ve čtvrtek jsem z oznámeného počtu žadatelů spekuloval, kolik by mohlo být vlastně žádostí o nové domény. A netrvalo to dlouho a ICANN tuto otázku zodpověděl. V pátek totiž oznámil, že je jich 2091 a k tomu je ještě 214 žádostí, u kterých nebyl zaplacen poplatek za slot, což je 5 000 USD. Vzhledem k tomu, jak čas pokročil, už ovšem není příliš pravděpodobné, že by z těch 214 bylo mnoho oživeno. ICANN dále oznámil, že má díky tomuto procesu na kontě zhruba 350 milionů dolarů, což je rozhodně velmi zajímavá částka už s ohledem na to, že roční rozpočet této organizace je mírně přes 60 milionů USD. Vzhledem k tomu, že za jednu žádost by měl žadatel uhradit 185 000 USD, vypadá to, že drtivá většina žádostí (zhruba 90 % nebo 1 900) již byla dokončena a uhrazena.
Takto vysoký počet žádostí znamená, že posuzování bude rozděleno do nejméně čtyřech dávek. Jak jsem již vysvětloval v článku na Lupě, ICANN totiž již dříve avizoval, že dokáže posuzovat nejvíce 500 žádostí v jednom okamžiku. Délka úvodní části posuzování žádosti byla odhadnuta na přibližně pět měsíců. Tedy jenom úvodní fáze posuzování nebude pro některé domény hotova dříve než v půlce roku 2014.
V této souvislosti si stále kladu otázku, proč bylo tak nutné zastavit proces pouhých 12 hodin před ukončením řádné lhůty. ICANN ohlásil, že důvodem byl únik informací. Ale s ohledem na to, že se všechny žádosti mají stejně brzy zveřejnit, v tom až tak velký problém nevidím. Ano, někdo mohl v systému zjistit, jakou doménu chystá jeho konkurence, ale zjistit to 12 hodin před uzavřením podávání žádostí by mu už nijak nepomohlo – žádost by už stejně nestihl podat. Velice podezřele působí i fakt, že systém je odstaven již téměř měsíc. Teď naopak lidé, kteří nějaké informace nelegálně získali, mají čas s nimi pracovat. Takže mi to připadá velmi podezřelé. No těším se, až budu moci na meetingu v Praze položit zástupcům ICANNu několik otázek.
Ondřej Filip
Žadatelů o nové domény je téměř 1300 (a musí čekat)
Nedávno jsem v článku na Lupě popisoval problémy systému, který slouží pro příjem žádostí o nové domény. Systém byl odstaven a ICANN tehdy naznačoval, že jej opět uvede do provozu do 20. dubna. No a máme květen a systém pořad ještě neběží. Doba odstávky je už hodně dlouhá a zřejmě i ICANN přestalo bavit posílat téměř každý den v podstatě identické oznámení o tom, že na odstranění závady se intenzivně pracuje. Proto ve včerejší zprávičce přidal alespoň nějakou novinku. V systému TAS je registrováno 1268 uživatelů, což je značný nárůst od předchozího známého čísla z 25. března, kdy oznámil 839. Je vidět, že na poslední chvíli ještě hodně uživatelů přibylo. Toto číslo je již konečné, protože už není možné registrovat nové uživatele. Každý uživatel má (tedy měl a po odstávce ještě bude mít) právo požádat o 0-50 domén. Je třeba podotknout, že uživatel měl dopředu zaplatit 5000 USD za každou žádost, kterou měl v plánu podat. ICANN bohužel nezveřejnil, kolik takových „slotů“ bylo zaplaceno.
Dále se ICANN ve své zprávičce věnuje hlavnímu důvodu, proč byl systém odstaven. Někteří uživatelé mohli částečně vidět data jiných uživatelů. Konkrétně u cca 100 z nich mohl někdo cizí vidět uživatelská jména a jména souborů. Ve zprávičce bohužel chybí to hlavní, a to datum znovuspuštění TASu. Tak doufejme, že to již bude brzy a celý proces vzniku nových domén se opět rozběhne.
Každopádně jako předseda pracovní skupiny pro přípravu ccNSO meetingu v ICANNu jsem požádal zaměstnance ICANNu o prezentaci k tomuto tématu. Takže pokud budete mít zájem zúčastnit se pražského ICANN meetingu, můžete se o tomto problému dozvědět více.
Ondřej Filip
Kolik bude nových TLD?
Už je to více než měsíc od chvíle, kdy ICANN nastartoval proces vzniku nových generických domén. Sám ICANN svůj proces designoval na 500 nových domén. Pokud bude žádostí více, plánuje ICANN, že jejich posuzování rozloží do více bloků – první o velikosti 500 a další po 400. Aby bylo možné žádost o doménu podat, je nutné nejdříve zaregistrovat žadatele. Ten pak má možnost požádat o přidělení slotů pro maximálně 50 domén. Za vytvoření každého slotu pak musí žadatel složit minimálně 5 000 USD.
ICANN nedávno oznámil, že počet registrovaných uživatelů překročil 100. Jsme teprve na začátku druhé třetiny časové periody, takže těžko odhadovat, jak se situace vyvine, ale zatím to není nijak omračující číslo. Nedá se předpokládat, že všichni registrovaní uživatelé nakonec požádají o domény, ani že ti aktivní zažádají vzhledem k ceně o nějaké velké počty domén. Nicméně do 29. března je ještě čas pro registrace uživatelů. Do 12. dubna poté budou muset podat všechny své žádosti. Zcela jasno tedy bude až pár dnů po tomto datu.
Kolik odhadujete, že jich nakonec bude? A bude nakonec nějaká doména z Česka?
Ondřej Filip
Náš open source projekt pro „bezpečáky“ míří do světa
Na loňské konferenci Internet a Technologie 11 jste se měli možnost poprvé setkat s aplikací, která pomáhá zjišťovat škodlivý obsah umístěný na doménách .cz. Tehdy jsem představil pouze její prototyp s tím, že plnou verzi plánují kolegové z našich Laboratoří dokončit na začátku příštího, tedy tohoto roku. Představení této plné verze se uskutečnilo právě tento týden, v úterý, a to na mezinárodní konferenci bezpečnostních týmů FIRST/TF-CSIRT Technical Colloquium v Římě. Vzhledem k tomu, že se jedná o open source aplikaci, byla tato verze současně uvolněna pro potřeby komunity. Pojďme si ji tedy představit trochu podrobněji.
Naše začátky s touto aplikací, kterou jsme pojmenovali Malicious Domain Manager (zkráceně MDM), nebyly zrovna jednoduché, a to z několika důvodů. Především chyběla procesní řešení, často se vyskytovaly problémy s kódováním obsahu, téměř každý den se objevovaly nové a nové otázky spojené s funkčností tohoto programu. Protože se ale do projektu zapojilo několik týmů – Laboratoře CZ.NIC, bezpečnostní týmy CZ.NIC-CSIRT a CSIRT.CZ, jejichž členové věděli, co chtějí a jak toho dosáhnout, podařilo se celkem rychle vyladit tento nástroj pro potřeby reálného použití ve světě internetu.
Aplikace sbírá z veřejně dostupných databází informace, které se týkají výlučně domén obsahující ať už náhodně nebo cíleně umístěný škodlivý obsah. Tím může být například phishing, malware nebo virus. Člověku, který tento nástroj obsluhuje, potom umožňuje jednoduchým způsobem kontaktovat držitele dané domény s upozorněním na vzniklou situaci. V případě zpětné vazby je potom možné prostřednictví této aplikace daného držitele nebo správce domény dále informovat o možném řešení situace nebo mu doporučit případné kroky vedoucí k odstranění škodlivého obsahu na doméně.
Náš nástroj je určený především regionálním registrům a správcům TLD. Stejně tak ale samozřejmě může být užitečná bezpečnostním týmům jako jsou ty naše (CZ.NIC-CSIRT a CSIRT.CZ). Aplikace je zde zkrátka pro všechny, kteří chtějí přehledně spravovat hrozby spojené se systémem DNS ve svém poli působnosti a reagovat na ně. Všem těmto bych chtěl alespoň touto formou zprostředkovat několik svých zkušeností sesbíraných za cca půlrok, který jsem s ní strávil. Aplikace má jednoduché ovládání, pro které není potřeba speciální proškolování jejích uživatelů. Dobrou zprávou pro všechny, kteří nebudou ovládat češtinu, je jednoduchá implementace jazykových mutací. Za velké plus považuji integraci dat z databáze WHOIS, což umožňuje získat k dané doméně z prostředí aplikace aktuální kontakty.
A na závěr jedno číslo za všechny; v druhé polovině loňského roku jsme i s její pomocí dokázali vyřešit 5 247 incidentů na doméně .cz. Takže, ať všem jejím uživatelům slouží tak dobře jako nám.
Michal Prokop
Domény za 4 000 korun, koupili byste?
Je to již přes dva roky, kdy jsme se poprvé setkali s upozorněním některých držitelů doménových jmen, kteří byli osloveni společností Česká doménová centrála s nabídkou zaregistrovat si doménu (obvykle s koncovkou .com, .net, .org – prostě jinou, než českou) za „výhodnou“ cenu okolo 4.000 Kč. Nyní se objevila další společnost, která za podobně báječných podmínek nabízí služby na podobném principu – Registrace internetových domén s. r. o.
Podstatou těchto jedinečných nabídek je to, že nabízená doména bývá totožná s tou, kterou již držitel má registrovanou v .CZ, nyní o ni ale projevil zájem prý také někdo jiný, takže aby nedošlo ke vzniku škody, primárně se obracejí právě na tohoto držitele, aby si doménu mohl zaregistrovat dříve, než tento jiný zájemce (jehož identitu samozřejmě neprozradí) – a pochopitelně je třeba se rozhodnout rychle. V obou případech se společnosti obracejí s nabídkou výhradně na právnické osoby (kde je ze zákona nižší míra ochrany) a smlouva je sjednávána telefonicky, přičemž z rozhovoru je pořizován záznam.
Registrace doménových jmen pod nejpoužívanějšími TLD je zpravidla velmi jednoduchá a takovou doménu lze registrovat i přes některého z akreditovaných registrátorů českých domén. Na webových stránkách registrátora se zájemce může předem seznámit s cenami, podmínkami, sám si zjistit, zda jím požadovaná doména je volná či nikoliv. Cenově se pak pohybuje v řádu stokorun za doménu. Nejste-li si jisti, obraťte se s dotazem na subjekt, přes kterého už jste si vaši stávající doménu registrovali, jistě vám bude umět pomoci.
Necháváme samozřejmě na zvážení každého, zda popisovanou službu využije, ale stále platí obecné pravidlo používat zdravý rozum, nepodlehnout nátlaku (operátorky jsou dle informací, které máme k dispozici, velmi přesvědčivé) a uzavírat smlouvy až poté, co se seznámíte s tím, co si vlastně kupujete a za jakých podmínek. V neposlední řadě také poté, co si rozmyslíte, zda nabízený produkt/službu vlastně vůbec potřebujete.
Aktualizace, 1. dubna 2015: Česká televize odvysílala v rámci pořadu Černé ovce reportáž věnující se nabídce registrací domén za přemrštěné ceny. Doporučujeme její zhlédnutí.
Zuzana Durajová
Je potřeba zveřejňovat údaje držitelů domén v databázi whois?
Čas od času se na nás obracejí držitelé domén s dotazem, proč se jejich údaje zobrazují v prohledávání údajů na webových stránkách sdružení. Právě této otázce se bude věnovat tento příspěvek.
Ustanovení o zpřístupnění údajů držitele domény ve veřejné části registříku domén (whois) je součástí pravidel registrace již více než 12 let a za tu dobu prošlo několika proměnami. Poslední, a to poměrně výrazná změna, se datuje na podzim r. 2007, kdy se upravovala pravidla registrace v souvislosti s přechodem sdružení CZ.NIC z outsourcovaného systému správy domény na systém vlastní.
Na začátek opět něco málo teorie – na nakládání s osobními údaji pamatuje český právní řád, a to především v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který nabyl účinnosti již před více než 10 lety (a jak je u nás dobrý zvykem, byl za tu dobu již mnohokrát novelizován…). Tento zákon zahrnuje mezinárodní principy ochrany osobních údajů a jeho účelem je zajištění ochrany osobních údajů, způsob jejich zpracovávání (a to včetně předávání do zahraničí) a upravit vztahy, které v této souvislosti vznikají. Na zákonnou úpravu pochopitelně pamatovala a pamatují pravidla registrace doménových jmen, která s ní nemohou být v rozporu. CZ.NIC, jako správce osobních údajů, musí splňovat zákonné podmínky, na druhou stranu má vůči subjektům osobních údajů určitá práva – např. vyžadovat, aby údaje uvedené v centrálním registru byly správné, protože s odkazem na ustanovení § 5 odst. 1 zákona je povinen zpracovat pouze přesné osobní údaje.
Pokud se vrátíme k pravidlům registrace, která vstoupila v platnost v říjnu 2007, pak z hlediska ochrany údajů tato pravidla poprvé přinesla nejen držitelům domén, ale vůbec všem kontaktům, které se v databázi domény objevují v různých rolích, možnost označit určité údaje jako skryté – takto označené údaje se pak nezobrazují ve veřejné části prohledávání (namísto nich je uveden text „neveřejný údaj“) a jsou k dispozici pouze pro interní potřeby sdružení a registrátorů jako jeho smluvních partnerů. V kontaktu mohou být skryty e-mailová adresa, e-mail pro oznámení, telefonní a faxové číslo, DIČ nebo jiná číselná identifikace (např. datum narození, číslo pasu, OP, IČ…). Přístup do veřejné části whois je navíc chráněn proti automatickým dotazům použitím technologie captcha, kdy uživatel musí rozeznat a zadat bezpečnostní kombinaci znaků.
Mezi údaje, které v kontaktu naopak skrýt nelze, patří jméno a poštovní adresa. Tato skutečnost má své opodstatnění – nejen užíváním domény, ale i její pouhou registrací může dojít i zásahu do práv třetích osob. Takový zásah může mít podobu nejen v tuto chvíli např. všeobecně známé registrace domény s názvem, který má chráněn někdo jiný jako ochrannou známku, ale čím dál častější je i šíření nevyžádané pošty či škodlivého obsahu (malware), publikace obsahu, který je v rozporu se zákonem (propagace a prodej neschválených léčiv, šíření dětské pornografie a podobně). V takových případech toto nezbytné minimum údajů umožňuje poškozeným subjektům, případně příslušným státním orgánům, obrátit se přímo na držitele domény či jiný kontakt v doméně uvedený nebo rovnou zahájit potřebné právní kroky.
Podobně tyto údaje umožňují držitelům domén okamžitě zkontrolovat, že na ně určitá doména skutečně je registrována – to má význam například při odkupu domény a vazbě úhrady kupní ceny na realizaci převodu.
Je tedy zřejmé, že uvádění jména a poštovní adresy držitele domény (nebo také administrativního nebo technického kontaktu) má své opodstatnění. Podobně k uvádění některých údajů ve veřejné části prohledávání přistupují i jiné evropské registry; zmíním například Německo (i zde je možné, stejně jako u nás, skrýt telefonní a faxové číslo nebo e-mailovou adresu), Slovensko nebo Belgii (zde registr skrývá osobní údaje držitelů – fyzických osob a vydává je pouze na „oprávněnou“, resp. „opodstatněnou“ žádost – na tomto místě vyvstává otázka, která žádost je a která není dostatečně opodstatněná, neboť kritéria nejsou v pravidlech belgického registru stanovena).
Zuzana Durajová
Registrátorské „prázdniny“ pokračují
Když jsme na konci července připravovali článek o letní aktivitě registrátorů domén, naznačil kolega v jeho závěru, že to možná není vše, co nás z jejich strany v blízké době potká. A nespletl se. V ZONERu a Active24 probíhalo toto léto asi trochu jinak než u většiny z nás.
Vezmu to chronologicky. Hned na začátku srpna oznámil registrátor ZONER automatické zavedení DNSSECu pro všechny u něj nově zaregistrované domény .CZ. DNSSEC samozřejmě není povinností. Zákazník si může podepsání DNS záznamů u domény kdykoliv zrušit. Ukažte mi ale zodpovědného držitele domény, který by to dobrovolně udělal :). Možnost nechat si zdarma zavést DNSSEC ale neplatí jen pro nové domény. Tuto funkci si mohou zapnout i ti stávající.
Druhý letní projekt spatřil světlo světa právě dnes. Active24 totiž právě oznámil spuštění aplikace sloužící registraci a obsluze domén .CZ. Jednu takovou jsem tu už před časem recenzoval, jednalo se o aplikaci určenou pro majitele zařízení iPhone. Tentokrát se jedná o aplikaci pro majitele mobilů s operačním systémem Android. Kromě registrace domén umožňuje tento program také nastavovat nameservery a u domén .CZ potom i ID držitele, administrativní kontakt a KEYSET.
Martin Peterka
Bitsquatting
Najskôr sa už každému podarilo spraviť preklep v názve domény pri ručnom písaní do browseru a dostať sa na doménu zaregistrovanú „typosquatterom“, aby využil preklep k nejakému zisku (typicky reklamy). Artem Dinaburg prezentoval na konferencii Defcon 19 zaujímavú variantu nazvanú bitsquatting.
Bitsquatting je založený na predpoklade, že v počítačoch pripojených k internetu dochádza občas vplyvom tepla, elektromagnetického žiarenia apod. k chybe, ktorá prehodí v pamäti niektorý bit. Takáto bitová chyba nastáva veľmi zriedkavo, preto na „zmysluplné“ využitie sa musí jednať o mimoriadne často dotazovanú doménu.
Dinaburg si zaregistroval niekoľko variant populárnych domén s jedným prehodeným bitom, ktorý je na klávesnici ďaleko od originálneho znaku (napr. mic2osoft.com s prehodeným 7. bitom v znaku ‚r‘, aby sa to jednoduchšie odlíšilo od typosquattingu) a sledoval 7 mesiacov príchodzie dotazy. Za toto obdobie prišlo 52 317 dotazov z 12 949 unikátnych IP adries, čo je dosť malý počet oproti chybám z preklepov. Relatívne nízky počet je očakávateľný kvôli nízkej pravdepodobnosti výskytu bitovej chyby. Nasledujúci graf ilustruje rozloženie počtu spojení od unikátnych IP počas meraného obdobia:
Okrem troch anomálií (označených v grafe A, B, C) je počet IP za deň celkom rovnomerný. Prvé dva extrémy (A, B) podľa autora vznikli chybou cache priamo v infraštruktúre spoločnosti Zynga (tvorca hry Farmville), za posledný (označený C) je zodpovedná proxy alebo DNS resolver spoločný pre menšiu sieť.
Koncept vzbudil miernu nedôveru, pretože je celkom ťažké dokázať, že sa jedná o bitovú chybu a nie o zvláštny preklep alebo aktivitu skriptu, ktorý enumeruje domény. Asi najlepší argument podporujúci Dinaburgove tvrdenie sú rozdiely medzi dotazovanou doménou a HTTP Host hlavičkou: 3 % HTTP spojení na bitsquat domény obsahujú Host hlavičku odpovedajúcu pôvodnej („nebitsquatovej“) doméne, čomu pri typosquattingu nedochádza. Naviac v jeho príkladoch obsahujú bežne HTTP spojenia aj Referer.
Niektoré komentáre namietali, že pri podobných „náhodných“ chybách by neboli schopné počítače pracovať. V skutočnosti si človek takú chybu skôr vôbec nevšimne. Zhodou okolností som asi pred 15 rokmi robil experiment, ako sa PC vysporiada s chybami v RAM. Na starších PC bolo možné preprogramovať cez časovač frekvenciu obnovy pamäte (DRAM refresh). DRAM refresh zaručuje, že pamäť „nevybledne“ (nestratí sa z kondenzátorov náboj). Po znížení frekvencie refreshu trvalo rádovo minúty, než boli chyby človekom viditeľné (refresh je rádovo mikrosekundy až milisekundy). Prvé viditeľné chyby boli zmeny zobrazovaných znakov, logické chyby v aplikáciách a nakoniec pád systému. Podobne Dinaburg zachytil prípady havarujúcich Windows strojov, ktoré odosielali chybové hlásenia na bitsquat domény.
Ďalšie informácie k bitsquattingu sa dajú nájsť v Dinaburgovej prezentácii a článku.
Ondřej Mikle, Laboratoře CZ.NIC
Další zlepšení komunikace registru domén
Od 1.srpna jsme v registru domén začali zasílat novou zprávu s informacemi o datech jednotlivých zákazníků. Jde o e-mail, který se posílá na adresy kontaktů a obsahuje žádost o kontrolu údajů. Generuje se automaticky, jedenkrát za rok, a to pro ty kontakty, které mají dva měsíce do „výročního data“ jejich vzniku. Pokud jste tedy svůj kontakt v registru vytvořili 1. října kteréhokoliv roku, už jste tento e-mail dostali.
Tímto krokem chceme přispět k ještě lepší kvalitě dat v registru. Dva měsíce před výročním datem nebylo zvoleno náhodně – vycházíme z toho, že většina zákazníků si zároveň s kontaktem registrovala i doménu, která tedy bude v daný den expirovat. A pokud si zákazník dva měsíce před tímto datem údaje u kontaktu opraví, prodloužení domény proběhne bez problémů.
Také chceme, aby zákazník byl lépe informován o tom, jaké domény (a nejenom ty) vlastně v našem registru má. Proto mu v tomto e-mailu přikládáme také seznam domén (sad jmenných serverů a sad klíčů), ke kterým je tento kontakt přiřazen. Každý tak má možnost zároveň s kontrolou svých údajů zjistit i to, kde všude je vlastně tento kontakt uveden (případně kde není ;-).
Oprava údajů se provádí prostřednictvím registrátorů – proto v tomto e-mailu (na rozdíl od všech ostatních e-mailů, které zasíláme) dáváme určenému registrátorovi kontaktu možnost do komunikace vstoupit. E-mail může doplnit svými informacemi (jak ho může zákazník kontaktovat apod.); e-mail může být také odeslán s reply-to adresou registrátora. Pokud na něj tedy v takovémto případě odpovíte, dostane se rovnou do správných rukou.
Zákazníka ale nechceme zbytečně opravovat. Pokud tedy v uplynulých dvou měsících (před plánovaným odesláním tohoto e-mailu) provedl u kontaktu nějakou změnu, tuto naši žádost už nedostane. Na řadu přijde znovu za rok.
Dosavadní zkušenosti po týdnu odesílání jsou víceméně pozitivní. Za zákaznickou podporu CZ.NIC mohu konstatovat, že jsme až na jednu nebo dvě výjimky nezaznamenali prakticky žádnou vyloženě negativní reakci. Naopak nám adresáti těchto e-mailů často odpoví i v případě, že jejich údaje jsou v pořádku a není tedy potřeba nijak reagovat. Ani od registrátorů, kteří se zapojili se svými texty a adresami, v tuto chvíli nemám žádnou negativní reakci. Doufejme tedy, že takhle nám to vydrží i nadále.
Na závěr jedno číslo, které vás možná překvapí a možná ne – průměrně každý den odešleme 1730 těchto e-mailů.
Martin Peterka
DNSSEC v další doménové stáji
Je to už nějaký ten pátek, co jsme na domácí DNSSECové scéně zaznamenali nějaký razantnější pohyb. Dobu relativního klidu přerušila včera tisková zpráva společnosti ONEsolution, jejíž pravdivost potvrdily informace z našich statistik. Registrátor ONEsolution podepsal k dnešnímu dni více než 6 tisíc „svých“ domén (s NSSETem u této společnosti). DNSSEC samozřejmě dostanou všechny další domény, které si zde nově zákazníci zaregistrují. Jak se tento krok dotýká situace v České republice? V tuto chvíli je DNSSECem chráněno více než 133 tisíc domén .CZ, což představuje více než 16 procent z celkového počtu. Následující seznam ukazuje, jak se krok ONEsolution projevil mezi registrátory podporující tuto bezpečnostní technologii (první pětka):
1. Active24 (více než 96 tisíc)
2. Web4U (více než 20 tisíc)
3. ONEsolution (více než 6 tisíc)
4. TELE3 (více než 4 tisíce)
5. GRANSY (více než 1 900)
Podle neověřených zpráv můžeme v relativně blízké době očekávat zavedení DNSSEC v další doménové stáji. Která to bude (nebo u koho byste si to přáli) můžete zatím tipovat v komentářích.
Vilém Sládek