Najskôr sa už každému podarilo spraviť preklep v názve domény pri ručnom písaní do browseru a dostať sa na doménu zaregistrovanú „typosquatterom“, aby využil preklep k nejakému zisku (typicky reklamy). Artem Dinaburg prezentoval na konferencii Defcon 19 zaujímavú variantu nazvanú bitsquatting.
Bitsquatting je založený na predpoklade, že v počítačoch pripojených k internetu dochádza občas vplyvom tepla, elektromagnetického žiarenia apod. k chybe, ktorá prehodí v pamäti niektorý bit. Takáto bitová chyba nastáva veľmi zriedkavo, preto na „zmysluplné“ využitie sa musí jednať o mimoriadne často dotazovanú doménu.
Dinaburg si zaregistroval niekoľko variant populárnych domén s jedným prehodeným bitom, ktorý je na klávesnici ďaleko od originálneho znaku (napr. mic2osoft.com s prehodeným 7. bitom v znaku ‚r‘, aby sa to jednoduchšie odlíšilo od typosquattingu) a sledoval 7 mesiacov príchodzie dotazy. Za toto obdobie prišlo 52 317 dotazov z 12 949 unikátnych IP adries, čo je dosť malý počet oproti chybám z preklepov. Relatívne nízky počet je očakávateľný kvôli nízkej pravdepodobnosti výskytu bitovej chyby. Nasledujúci graf ilustruje rozloženie počtu spojení od unikátnych IP počas meraného obdobia:
Okrem troch anomálií (označených v grafe A, B, C) je počet IP za deň celkom rovnomerný. Prvé dva extrémy (A, B) podľa autora vznikli chybou cache priamo v infraštruktúre spoločnosti Zynga (tvorca hry Farmville), za posledný (označený C) je zodpovedná proxy alebo DNS resolver spoločný pre menšiu sieť.
Koncept vzbudil miernu nedôveru, pretože je celkom ťažké dokázať, že sa jedná o bitovú chybu a nie o zvláštny preklep alebo aktivitu skriptu, ktorý enumeruje domény. Asi najlepší argument podporujúci Dinaburgove tvrdenie sú rozdiely medzi dotazovanou doménou a HTTP Host hlavičkou: 3 % HTTP spojení na bitsquat domény obsahujú Host hlavičku odpovedajúcu pôvodnej („nebitsquatovej“) doméne, čomu pri typosquattingu nedochádza. Naviac v jeho príkladoch obsahujú bežne HTTP spojenia aj Referer.
Niektoré komentáre namietali, že pri podobných „náhodných“ chybách by neboli schopné počítače pracovať. V skutočnosti si človek takú chybu skôr vôbec nevšimne. Zhodou okolností som asi pred 15 rokmi robil experiment, ako sa PC vysporiada s chybami v RAM. Na starších PC bolo možné preprogramovať cez časovač frekvenciu obnovy pamäte (DRAM refresh). DRAM refresh zaručuje, že pamäť „nevybledne“ (nestratí sa z kondenzátorov náboj). Po znížení frekvencie refreshu trvalo rádovo minúty, než boli chyby človekom viditeľné (refresh je rádovo mikrosekundy až milisekundy). Prvé viditeľné chyby boli zmeny zobrazovaných znakov, logické chyby v aplikáciách a nakoniec pád systému. Podobne Dinaburg zachytil prípady havarujúcich Windows strojov, ktoré odosielali chybové hlásenia na bitsquat domény.
Ďalšie informácie k bitsquattingu sa dajú nájsť v Dinaburgovej prezentácii a článku.
Ondřej Mikle, Laboratoře CZ.NIC
Další zlepšení komunikace registru domén
Od 1.srpna jsme v registru domén začali zasílat novou zprávu s informacemi o datech jednotlivých zákazníků. Jde o e-mail, který se posílá na adresy kontaktů a obsahuje žádost o kontrolu údajů. Generuje se automaticky, jedenkrát za rok, a to pro ty kontakty, které mají dva měsíce do „výročního data“ jejich vzniku. Pokud jste tedy svůj kontakt v registru vytvořili 1. října kteréhokoliv roku, už jste tento e-mail dostali.
Tímto krokem chceme přispět k ještě lepší kvalitě dat v registru. Dva měsíce před výročním datem nebylo zvoleno náhodně – vycházíme z toho, že většina zákazníků si zároveň s kontaktem registrovala i doménu, která tedy bude v daný den expirovat. A pokud si zákazník dva měsíce před tímto datem údaje u kontaktu opraví, prodloužení domény proběhne bez problémů.
Také chceme, aby zákazník byl lépe informován o tom, jaké domény (a nejenom ty) vlastně v našem registru má. Proto mu v tomto e-mailu přikládáme také seznam domén (sad jmenných serverů a sad klíčů), ke kterým je tento kontakt přiřazen. Každý tak má možnost zároveň s kontrolou svých údajů zjistit i to, kde všude je vlastně tento kontakt uveden (případně kde není ;-).
Oprava údajů se provádí prostřednictvím registrátorů – proto v tomto e-mailu (na rozdíl od všech ostatních e-mailů, které zasíláme) dáváme určenému registrátorovi kontaktu možnost do komunikace vstoupit. E-mail může doplnit svými informacemi (jak ho může zákazník kontaktovat apod.); e-mail může být také odeslán s reply-to adresou registrátora. Pokud na něj tedy v takovémto případě odpovíte, dostane se rovnou do správných rukou.
Zákazníka ale nechceme zbytečně opravovat. Pokud tedy v uplynulých dvou měsících (před plánovaným odesláním tohoto e-mailu) provedl u kontaktu nějakou změnu, tuto naši žádost už nedostane. Na řadu přijde znovu za rok.
Dosavadní zkušenosti po týdnu odesílání jsou víceméně pozitivní. Za zákaznickou podporu CZ.NIC mohu konstatovat, že jsme až na jednu nebo dvě výjimky nezaznamenali prakticky žádnou vyloženě negativní reakci. Naopak nám adresáti těchto e-mailů často odpoví i v případě, že jejich údaje jsou v pořádku a není tedy potřeba nijak reagovat. Ani od registrátorů, kteří se zapojili se svými texty a adresami, v tuto chvíli nemám žádnou negativní reakci. Doufejme tedy, že takhle nám to vydrží i nadále.
Na závěr jedno číslo, které vás možná překvapí a možná ne – průměrně každý den odešleme 1730 těchto e-mailů.
Martin Peterka
DNSSEC v další doménové stáji
Je to už nějaký ten pátek, co jsme na domácí DNSSECové scéně zaznamenali nějaký razantnější pohyb. Dobu relativního klidu přerušila včera tisková zpráva společnosti ONEsolution, jejíž pravdivost potvrdily informace z našich statistik. Registrátor ONEsolution podepsal k dnešnímu dni více než 6 tisíc „svých“ domén (s NSSETem u této společnosti). DNSSEC samozřejmě dostanou všechny další domény, které si zde nově zákazníci zaregistrují. Jak se tento krok dotýká situace v České republice? V tuto chvíli je DNSSECem chráněno více než 133 tisíc domén .CZ, což představuje více než 16 procent z celkového počtu. Následující seznam ukazuje, jak se krok ONEsolution projevil mezi registrátory podporující tuto bezpečnostní technologii (první pětka):
1. Active24 (více než 96 tisíc)
2. Web4U (více než 20 tisíc)
3. ONEsolution (více než 6 tisíc)
4. TELE3 (více než 4 tisíce)
5. GRANSY (více než 1 900)
Podle neověřených zpráv můžeme v relativně blízké době očekávat zavedení DNSSEC v další doménové stáji. Která to bude (nebo u koho byste si to přáli) můžete zatím tipovat v komentářích.
Vilém Sládek
Nové generické domény na spadnutí
Největší rozšíření prostoru domén nejvyšší úrovně se pravděpodobně blíží. Dá se očekávat, že ICANN na svém nejbližším zasedání schválí pravidla pro vznik nových generickým domén nejvyšší úrovně.
Úvahy, že by se doménový prostor měl rozšířit, zaznívají od samotného počátku co ICANN existuje. A ICANN na taková přání obvykle slyšel a umožnil vznik mnoha z nich. Ale i tak byl proces vzniku nových domén poměrně netransparentní. Představenstvo mělo potíže některá svá rozhodnutí srozumitelně vysvětlit. Poměrně vypovídajícím příkladem je příběh domén .xxx. A proto začal ICANN pracovat na transparentních pravidlech pro vznik nových generickým domén nejvyšší úrovně (gTLD). Celý proces vzniku těchto pravidel je hodně zdlouhavý a již jsme o něm na stránkách našeho blogu několikrát referovali. [1] [2] [3]. Když už vše vypadalo, že pravidla jsou dobře projednaná všemi zainteresovanými stranami, ozval se vlivný vládní výbor GAC a celý princip nezvykle ostře kritizoval. Představenstvo ICANNu vzalo kritiku GACu velice seriózně a několikrát se s tímto výborem sešlo. Z počátku to vypadalo, že bude obtížné najít společnou řeč, ale nakonec se zdá, že k dohodě přeci jenom projde. Výsledkem těchto konzultací je další verze pravidel, kterou na konci května ICANN zveřejnil na svých stránkách.
Je velice pravděpodobné, že tato verze už „projde“ a ICANN ještě v červnu pravidla finálně schválí a celý proces spustí. O problematice nových gTLD budeme mluvit i na konferenci IT11. Pokud Vás problematika zajímá, rozhodně přijďte.
Co si myslíte o nových gTLD vy? Přinesou nové možnosti nebo naopak? Chcete .music, .green, .canon?
Váš http://ondrej.filip
DNSSEC v poslední nezabezpečené poddoméně .ARPA
Před necelým rokem na konferenci RIPE 60 v Praze prezentoval Dave Knight z ICANN časový plán pro zabezpečení všech poddomén v doméně ARPA. Doména nejvyšší úrovně ARPA (Address and Routing Parameter Area) slouží k uchovávání informací pro fungování infrastruktury internetu. Nejznámější poddomény jsou IN-ADDR.ARPA, IP6.ARPA (pro mapování internetových adres na doménová jména – reverzní DNS) a E164.ARPA (pro technologii ENUM). Seznam všech poddomén v ARPA, spolu s odkazem na dokumenty ospravedlňující jejich existenci je k dispozici na stránkách organizace IANA.
K zabezpečení většiny poddomén došlo podle zmíněného harmonogramu již na podzim minulého roku. Nejdéle vzdorovala asi nejpoužívanější doména IN-ADDR.ARPA, pravděpodobně také proto, že na přelomu roku došlo k převodu správy této domény z amerického regionálního registru ARIN přímo na centrální organizaci ICANN. Tento převod byl dokončen letos v únoru a posledním krokem bylo publikování DS záznamů IN-ADDR.ARPA v nadřazené doméně ARPA, které proběhlo v polovině března. Dokončení tohoto procesu spolu s již komentovaným zavedením DNSSEC v doméně .com jsou jistě největší události na poli DNSSEC za poslední měsíc a jen ukazují vzrůstající zájem o tuto technologii i v okolním světě.
Jaromír Talíř
Máte iPhone a chcete .cz doménu?
Minulý týden na mne ze seznamu aplikací pro iPhone na iTunes Store „vykoukla“ novinka od Active24. Je zdarma, jmenuje se Active24 a slouží k registraci domén. To jsem si samozřejmě nemohl nechat ujít – ne, že bych dopodrobna sledoval všechny možnosti registrací domén našich registrátorů, takže možná něco podobného již existuje, ale na aplikaci, která mi umožní zaregistrovat doménu .cz přes mobilní telefon jsem zatím nenarazil.
Takže staženo a pojďme se na to podívat. Začátek výborný – předdefinována koncovka .cz, ověření existence, přehledný ceník. Objednáno, doména v košíku. Aplikace mi umožní vytvořit si nového uživatele nebo se jednoduše přihlásit pod tím, kterého už mám (pokud ho mám) vytvořeného, objednávka pak pokračuje klasickou cestou. Odeslání mailu s výzvou k platbě, atd. Za to atd. už jsem se nepustil (doménu jsem nezaplatil) takže úplně netuším, jak si systém Active24 poradí například s tím, že jeho aplikace nekontroluje, zda jsem vyplnil ID držitele. Předpokládám ale, že v takovém případě za držitele prohlásí prostě toho, kdo doménu objednal a pokud nemá přiřazený handle, tak mu ho vytvoří. Mě osobně se to úplně nelíbí (mohlo mě to na nevyplněné ID aspoň upozornit) ale pro jiné uživatele je to možná plusem – nikdo je neotravuje zbytečnostmi, které za ně může udělat někdo jiný ;-). Co mi přece jen vadilo trochu víc je další objednávka – pokud se totiž pustím do objednávání další domény po odeslání té předchozí, aplikace mi nabízí okna ve stavu, ve kterém jsem je opustil – nemohu tedy v sekci „Hledat“ rovnou zadat další doménu, ale musím se přes tlačítko zpět dostat k výběru, podobně je tomu i v ostatních sekcích. Tady by měli vývojáři A24 ještě přiložit ruku k dílu.
Celkově ale – alespoň pro mne – příjemná záležitost, kterou bych celkem v klidu v „nouzových situacích“ použil. Vždyť kdo z nás ještě neměl alespoň jednou, někdy třeba v sobotu večer v restauraci s přáteli pocit, že si nutně musí zaregistrovat tu báječnou doménu, která ho právě napadla :-D. Kdybych měl hodnotit obligátními hvězdičkami, jak je u těchto aplikací zvykem, řekl bych – až půjde přihlásit se přes mojeID a vychytáte pár drobností, ode mne
za 5* :-).
Martin Peterka
Jak registrátoři domén podporují aktuální technologie
V souvislosti s plánovanou odstávkou registračního systému (proběhla v noci z 22. na 23. března) došlo mimo jiné k jedné změně na našem domovském webu www.nic.cz. V sekci Registrátoři teď najdete rozšířený seznam, který nově obsahuje ikony symbolizující podporou aktuálních internetových technologií u jednotlivých registrátorů domén .CZ. Konkrétně se jedná o ikony spojené s podporou DNSSEC, mojeID a IPv6. Všechny tyto moderní technologie považujeme za důležité jak z pohledu zákazníků, tak z pohledu CZ.NIC, a proto jsme se rozhodli dát veřejně najevo, jak si kdo v které oblasti stojí. Abychom mohli jednotlivé registrátory s danými technologiemi spojit, museli jsme vytvořit pravidla, podle nichž bychom je mohli „klasifikovat“.
Registrátor s ikonou DNSSEC musí splňovat tyto podmínky:
- hlavní stránka tohoto registrátora musí být zabezpečena DNSSEC
- registrátor musí na svých stránkách DNSSEC nabízet
- registrátor má minimálně 50 domén, u kterých je určeným registrátorem, zabezpečených technologií DNSSEC
Na ikonu mojeID má nárok ten registrátor, který:
- umožňuje použití služby mojeID svým zákazníkům, a to pro: registrace nových zákazníků, přihlašování zákazníků do systému registrátora, autorizaci změn pro validované kontakty (tato funkcionalita je pro zařazení ikony do konce roku 2011 nepovinná)
Ikona IPv6 patří registrátorovi:
- jehož hlavní stránka, na kterou vede odkaz ze seznamu registrátorů, je dostupná přes síť IPv6 only včetně DNS resolvingu
- jenž umožňuje zákazníkům přiřadit IPv6 adresu do GLUE záznamu a má alespoň dva takové záznamy v registru
Kteří registrátoři podmínky splnili, můžete zjistit na našich stránkách. Je potřeba ale říci, že prázdná místa v tabulce ještě nutně nemusí znamenat, že registrátor podmínky nesplnil nebo že danou technologii nepodporuje. Možnost zviditelnit používání moderních technologií prostřednictvím seznamu na www.nic.cz je dobrovolná. Registrátoři zároveň nemají striktní termín, do kdy se mohou nebo musí k danému projektu připojit. Kromě ikon mají také registrátoři stále možnost mít v této tabulce konkrétní návod, jak u kterého subjektu registrovat doménu .CZ.
Martin Peterka
Smlouva s .xxx schválena
Už to vypadá skutečně jako hotové. Představenstvo ICANNu na svém pátečním veřejném jednání v rámci ICANN konference schválilo smlouvu se společností ICM Registry a pověřilo zaměstnance podpisem smlouvy. Dá se tedy předpokládat, že kontroverzní doména .xxx se brzy objeví v kořenové zóně. Od podání žádosti to zatím trvá již zhruba sedm let. Už od samého začátku vzbuzovala silné emoce a bylo nesmírně zajímavé tuto bitvu sledovat.
Dovolte mi jen stručně představit historii této kauzy. Po podání žádosti v březnu 2004, byla tato žádost poprvé schválena v červnu 2005. Již od samého počátku měl k žádosti silné připomínky poměrně vlivný vládní výbor – GAC (Government Advisory Comittee). První návrh smlouvy k veřejným komentářům byl zveřejněn v dubnu 2006 a v květnu nebyl schválen představenstvem. Po té byly publikovány další dva návrhy smluv v lednu a únoru roku 2007. A kompletní žádost pak byla zamítnuta v březnu 2007. Celá záležitost působila poměrně zvláštně a očekávala se žaloba ICM Registry na ICANN, tato společnost ale místo toho využila interní mechanismus ICANNu a požádala o tzv. nezávislé zhodnocení (Independent Review) v červnu 2008. Výsledky tohoto zhodnocení byly známy v únoru roku 2010 a daly za pravdu spíše argumentům ICM. A proto v červnu 2010 představenstvo pověřilo zaměstnance ICANN provést „due dilligence“ a v srpnu 2010 publikovalo materiály a návrh smlouvy ke komentování, což se ještě téhož měsíce stalo. Přišlo zhruba 700 komentářů a ICANN se rozhodl smlouvu již neměnit. Smlouvu nakonec schválil tímto pátečním usnesením. Hlasování trvalo dlouho, hodně členů chtělo vysvětlit svá stanoviska a jestli jsem dobře počítal (bohužel úplný přepis ještě nebyl publikován), tak proti hlasovali jen tři a zhruba obdobný počet se zdržel. Teď už tedy vzniku domény nic nebrání a další kroky budou spíše technického rázu.
Osobně na vlastní kauzu nemám žádný vyhraněný názor. Rozhodně jsou tu ale lidé, kterým tato doména vyloženě vadí a dokonce kvůli tomu ve čtvrtek před konferenčním hotelem demonstrovali, což je zachyceno na tomto videu:
Je mi poměrně jedno, jestli tato doména vznikne. Dle mne Internetu neublíží, ani ho nijak nevylepší. Co je ale mnohem zajímavější je fakt, že představenstvo ICANNu ve svém rozhodnutí explicitně uvedlo, že se neřídí radou GACu. V GACu zasedají zástupci velkého množství vlád celého světa (včetně ČR) a doposud byly rady GACu téměř bezvýhradně respektovány. Nepřijde mi to příliš moudré, spíše bych doporučoval představenstvu ICANNu více naslouchat závěrům jednotlivých organizací a hlavních výborů, obzvláště v době, kdy na základě smlouvy (Affirmation of Commitment) s americkým ministerstvem obchodu běží vnitřní zhodnocení činnosti ICANNu, ve kterém má právě předsedkyně GACu důležité slovo a toto zhodnocení může mít zásadní dopad na budoucí podobu ICANNu.
Mimochodem GAC má výhrady i ke vzniku nových generických domén, jejichž vznik se v pátek také zásadně přiblížil. Ale o tom již v nějakém dalším příspěvku.
Ondřej Filip
Zabezpečení domény scitani.cz
Český statistický úřad na stránkách scitani.cz včera upozornil na falešné sčítací komisaře. Nejen komisaři ale mohou být falešní (a prázdní? ;)). Letos poprvé – od půlnoci z 25. na 26. března – se na stránkách scitani.cz půjde přihlásit a vyplňovat formulář on-line.
Elektronickému sčítání by jistě šlo vytknout více nedostatků, já však upozorním jen na jeden: doména scitani.cz není zabezpečena technologií DNSSEC. Oblíbenost elektronické komunikace stoupá, přímo úměrný je ale počet uživatelů, jejichž povědomí o bezpečné komunikaci přes internet není, řekněme, příliš vysoké. Dá se tedy očekávat, že možnost on-line vyplnění využije značný počet osob. A rozhodně se najde pár lidí, kterým by se údaje z formulářů celkem hodily jako cenný zdroj informací, ať už je zamýšlejí (zne)užít jakkoliv. Vyplněné formuláře budou obsahovat množství citlivých osobních údajů a je s podivem, že ČSÚ doménu, na které budou on-line formuláře umístěny, nezabezpečilo prostřednictvím DNSSEC, který zajišťuje, že po zadání adresy www.scitani.cz do internetového prohlížeče jste se skutečně dostali na web, který je ovládán statistickým úřadem. Řešení je přitom jednoduché a levné a dá se stihnout ještě do spuštění sčítání – začít můžete třeba na www.dnssec.cz. Za stávajícího stavu se ale dostává vyplnění formuláře na webu scitani.cz na roveň vložení do obálky a zaslání poštou v předtištěné obálce. Schránka, do které zásilku vhodíte, bude v tomto případě nejspíš pravá, ale dostane se, neporušená, svému adresátovi?
Zuzana Durajová
DNSSEC.NET
Ačkoliv se v polední době o DNSSECu tolik nemluvilo, rozhodne nelze říct, že by se v této oblasti nic nového nedělo. Postupně dochází k podepisování rozličných domén nejvyšší úrovně (TLD). Z těch největších národních TLD jde například o .fr, .nl, .uk, .eu či .in. Velkým impulsem byly i podpisy generických .org a .info. Nicméně včera byla poprvé podepsána TLD, která má více než 10 miliónů domén. Jde o mezi infrastrukturními institucemi velice populární .net. Počet domén v .net je k dnešnímu dni zhruba 14 miliónů a je tedy logické, ze implementace DNSSECu trvala nějaký čas.
Tato zpráva je pro příznivce DNSSECu radostná i z jiného důvodu než jen z toho, že je podepsána zase další a o něco větší TLD a že doménové prostředí bude moci být zase o trochu více bezpečné. V podpisu .net se totiž skrývá i další příslib. Tuto doménu spravuje společnost Verisign, která mimochodem spravuje i ZSK klíče ke kořenové zóně a tedy fyzicky vykonává podpis kořenové zóny, a která je registrem i pro doménu .com. Je tedy jasné, že po úspěšné implementaci DNSSECu v .net bude jistě celkem rychle následovat i podpis vůbec největší TLD světa, tedy .com. Jen pro srovnání, .com má v současnosti téměř 92 miliónů domén.
Ondřej Filip