Není třeba dlouze diskutovat o tom, že masivní nástup informačních technologií na přelomu tisíciletí se pochopitelně netýkal jen pozitivních oblastí lidské činnosti, ale velmi výrazně ovlivnil i, slovy klasika, činnost „kriminální a kriminalistickou“ (1). V trestněprávní oblasti tak došlo jednak ke vzniku nových protiprávních jednání (těžko dříve někdo mohl spáchat phishing), a dále se rozšířily možnosti, jak páchat tradiční protiprávní skutky (např. krádež, podvod).
Nový trestní zákoník (TZ), tzn. zákon č. 40/2009 Sb., účinný od 1. 1. 2010, který nahradil předchozí normu z počátku 60. let minulého století, už s Internetem, pro který mj. užívá pojem „veřejně přístupná počítačová síť“, počítá. V tomto příspěvku se nebudu věnovat zcela konkrétním novým skutkovým podstatám, které souvisejí s významem sítě Internet a počítačových systémů a byla jim tak přiznána trestněprávní ochrana (např. §§ 230 – 232), ale ani skutkovým podstatám v tomto smyslu upraveným (např. § 182 a 183), ale otázce veřejnosti spáchání trestného činu a spáchání veřejně přístupnou počítačovou sítí.
TZ uvádí v § 117, že trestný čin je spáchán veřejně, pokud je spáchán obsahem tiskoviny, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobným způsobem a nebo před nejméně třemi současně přítomnými osobami. V zákoně je navíc u jednotlivých trestných činů uvedena tzv. kvalifikovaná skutková podstata, kdy základní skutek je za stanovených podmínek přísněji trestný, a to s ohledem na vyšší nebezpečnost jednání. Jednou z takových okolností je právě spáchání činu prostřednictvím veřejně přístupné počítačové sítě, tedy Internetu.
Ve svém rozhodnutí sp. zn. I. ÚS 1428/13 se Ústavní soud věnoval otázce naplnění skutkové podstaty zločinu výroby a jiného nakládání s dětskou pornografií dle ustanovení § 192 odst. 2 (trestné mj. Pokud je pornografické dílo pachatelem učiněno veřejně přístupným) a § 192 odst. 3 (vyšší trest pak dostane pachatel v případě, pokud skutek spáchá…. veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem).
K tomu, aby bylo pornografické dílo učiněno veřejně přístupným, je dle dřívější judikatury Nejvyššího soudu (2) vyžadováno, aby byla blíže neurčenému okruhu jiných osob poskytnuta možnost seznámit se s takovým dílem. Pachatel v tomto případě zaslal videozáznam z jejich setkání na profilu poškozené na sociální síti. Již dříve (3) NS judikoval, že nepostačuje zasílání pornografických děl prostřednictvím elektronické pošty do soukromých e-mailových schránek jiných osob a pokud tedy veřejně přístupná počítačová síť slouží pouze jako prostředek pro přenos zprávy (podobně jako dopis), pak znak spáchání veřejně přístupnou počítačovou sítí splněn nebyl. Jiná situace by ovšem nastala, pokud by uživatel k takové e-mailové schránce, kde je předmětné dílo uloženo, zveřejnil přístupové údaje a nebo jej přímo rozesílal více uživatelům.
V případě zasílání zpráv prostřednictvím sociální sítě je třeba rozlišovat, zda se jednalo o zprávu, která byla poslána výhradně uživateli (tzv. soukromá zpráva) nebo zda jde o příspěvek, který se „vyvěšuje“ na profil uživatele. Ve druhém případě je nutné zkoumat ve světle možností ostatních uživatelů si daný obsah zobrazit pokud jde o přístupová práva a také z hlediska toho, že se o něm vůbec dozví. Pouhé užití sociální sítě ke komunikaci nic neznamená právě z toho důvodu, že umožňují zasílání individuálních soukromých zpráv mezi svými členy. Musí být zkoumáno, jaké funkcionality má ta konkrétní platforma sociální sítě, jaké jsou možnosti zobrazování dat od jiných uživatelů a další postupy, v závislosti na nastavení ze strany provozovatele služby a jednotlivých uživatelů. A pochopitelně jaké konkrétní nastavení v daný okamžik na příslušném účtu bylo.
Aby totiž došlo k naplnění znaku „činění veřejně přístupným“ v případě umístění na Internet, pak musí jít o obdobu umístění ve výkladní skříni či ve veřejných místnostech. Tedy musí jít o široký okruh osob bez úzkého individuálního vymezení. Činnost navíc musí být tak škodlivá, jako kdyby byl užit tisk, film, rozhlas nebo televize.
Lze se tedy domnívat, že pouhým odesláním jako soukromé zprávy takové dílo veřejně přístupné není. Pokud by ale bylo takové dílo umístěno na uživatelský profil, pak by vyhodnocení dle mého názoru vypadalo jinak. Na uživatelský profil má přístup obvykle více než 3 osoby, přičemž řada uživatelů nijak neomezuje možnost zobrazení svého profilu uživateli „zvenčí“, tj. osobami, které nejsou registrovanými uživateli dané sociální sítě.
Závěrem ještě zdůrazňuji, že pochopitelně od začátku se (v případě dětské pornografie) jedná o činnost trestnou, to, že dojde ke zpřístupnění veřejně přístupnou počítačovou sítí je jen důvodem pro přísnější trest.
Zuzana Průchová
Poznámky:
1 – Cimrman, Jára: Vražda v salonním coupé.
2 – Nejvyšší soud, sp. zn. 5 Tdo 641/2012 a také 8 Tdo 1467/2010, dostupné na www.nsoud.cz.
3 – Nejvyšší soud, sp. zn. 6 Tdo 1561/2011 (zde je zajímavé, že soud vzal v potaz i to, že přístup k obsahu komunikace mohl mít poskytovatel (freemailové služby) a že k šíření obsahu zasílané zprávy může dojít i bez vědomí uživatele, a to tehdy, pokud má např. zavirovaný počítač. Poskytovatelé jsou však vázáni k zajištění důvěrnosti obsahu zákonem 127/2005 Sb., o elektronických komunikacích.
Doménový prohlížeč – vaše okno do registru domén
Minulý týden jsme představili novou službu nazvanou Doménový prohlížeč. Formát tiskové zprávy, kterou jsme k tomu vydali, pochopitelně neumožňuje příliš se rozpovídat o vlastnostech této služby. Proto bychom rádi tiskovou zprávu doplnili tímto blogpostem, ve kterém Doménový prohlížeč popíši trochu podrobněji. Funkce této služby bych rozdělil na tři části. První část tvoří osobní WHOIS, druhou částí je editor údajů kontaktu souvisejících s registrem a třetí částí jsou bezpečnostní zámky na objektech v registru.
Doménový prohlížeč jako osobní WHOIS
Služba WHOIS je standardní součástí snad všech doménových registrů a v našem podání umožňuje veřejnosti nahlédnout do údajů o doménách, kontaktech, sadách jmenných serverů a sadách DNSSEC klíčů, které v registru evidujeme. Chce-li nějaký držitel zobrazit seznam všech svých domén, musí se obvykle přihlásit do systému svého registrátora a tam své domény uvidí. Situace se ale komplikuje, pokud z nějakého důvodu jsou domény zaregistrovány přes více registrátorů. A tady právě může pomoci Doménový prohlížeč.
K vyřešení problému je ale nutné jednoznačně identifikovat a autentizovat příslušný kontakt držitele v doménovém registru. Tuto možnost jsme v registru dlouho neměli. Nyní ale máme mojeID, jehož podstatnou vlastností je jeho propojení s doménovým registrem. MojeID tak vlastně kontaktům v registru přiřazuje autentizační údaje. Bez mojeID by tedy Doménový prohlížeč nemohl fungovat. Díky tomuto propojení můžeme uživateli zobrazit nejen všechny domény, kde je držitelem, ale také domény, kde je administrativním kontaktem, nebo sady jmenných serverů a sady klíčů, kde je technickým kontaktem. Další důležitou vlastností Doménového prohlížeče je, že u těchto sad jmenných serverů a sad klíčů si jejich správce může zobrazit všechny domény, které na ně jsou navázány a například pomocí toho ověřit, zda má správně nakonfigurované své jmenné servery. V seznamu domén hraje klíčovou roli sloupeček „Následující stav“, podle kterého jsou domény standardně setříděny a který ukazuje, co se v nejbližší době stane s doménami. Díky tomu je možné na první pohled vidět, které domény vyžadují držitelovu pozornost, protože mohou být deaktivovány nebo dokonce zrušeny.
Z uživatelského pohledu aplikace obsahuje standardní sadu ovládacích prvků. Seznamy objektů je možné libovolně třídit, stránkovat s volitelným počtem objektů na stránku a filtrovat přes zvolený podřetězec v názvu objektu. Pokud uživatel požaduje zobrazení velkého množství objektů, standardně se jich zobrazí jenom prvních několik tisíc. Pokud chce držitel získat všechny objekty, musí použít funkci exportu do CSV formátu, což je textový tabulkový formát. V rámci implementace uživatelského prostředí jsme se snažili o dodržení techniky „responsive design“, a tak by neměl být problém používat Doménový prohlížeč na tabletech a chytrých telefonech.
Doménový prohlížeč jako editor kontaktu
Spuštěním služby mojeID jsme se stali de-facto registrátorem některých kontaktů v doménovém registru a proto jsme v editoru profilu mojeID museli nabídnout plnou funkcionalitu, kterou každý registrátor u kontaktu umožňuje. Kromě přirozené správy osobních údajů to je také možnost změnit si heslo pro převod kontaktu k jinému registrátorovi (tzv. auth info) a možnost nastavit si příznaky zveřejňování údajů kontaktu ve službě WHOIS. Vzhledem k tomu, že mojeID po startu získalo mnohem větší popularitu mezi uživateli, kteří nejsou zároveň držitelé domén, setkávali jsme se často se složitým vysvětlováním, k čemu jsou tyto údaje dobré a proč je mají nastavovat. Rozhodli jsme se nakonec tuto situaci řešit odebráním těchto údajů z editoru profilu mojeID a vložili jsme je právě do doménového prohlížeče. Ten je primárně určen pro uživatele, kteří mají vztah k doménovému registru a význam těchto údajů znají. V záložce „Můj kontakt“ tedy uživatelé najdou kromě zobrazení údajů kontaktu také možnost zobrazit nebo změnit tyto dvě skupiny údajů. Změna hesla pro převod kontaktu má přirozeně smysl pouze pokud by uživatel již nechtěl mojeID používat a rozhodl se přejít znovu k jinému registrátorovi. Je zde jedno podstatné omezení, které ale platilo i v editoru profilu mojeID. Tyto údaje může měnit pouze uživatel, který je plně ověřen zasláním dopisu na jeho adresu. Pokud uživatel požaduje změnu i ostatních údajů, dostane se jednoduše přes tlačítko „Upravit osobní údaje“ do editoru profilu mojeID a tam může změnu provést.
Doménový prohlížeč jako rozhraní k blokacím a ke zjištění hesla pro převod objektů
Přestože primárním místem pro řešení problémů s doménami jsou registrátoři, vždy existovali požadavky, se kterými bylo nutné se obrátit přímo na nás jako správce doménového registru. Prvním problémem, který s námi držitelé domén řeší, je převod domény k jinému registrátorovi. K jeho provedení je nutné znát heslo, které by mělo být možné zjistit z rozhraní stávajícího registrátora. Je ale možné, že stávající registrátor se bude chtít odchodu zákazníka bránit a toto heslo držiteli neprozradí. V takovém případě se pak vždy mohl držitel obrátit na nás a my jsme mu heslo poskytli. Druhým typem žádosti, a zároveň jednou z prvních změn, které jsme v roce 2007 při spuštění domového registru implementovali na žádost uživatelů, je zablokování domén proti změnám. Přestože registrátoři mají v podmínkách uvedeno, že změny u domén mohou dělat pouze se souhlasem držitele nebo administrativního kontaktu, může dojít k porušení tohoto pravidla. Nemusí se jednat vyloženě o zlý úmysl registrátora, například může být jeho systém napaden. Proto jsme v doménového registru umožnili držitelům domén požádat buď o zablokování převodu k jinému registrátorovi nebo o zablokování všech změn nad doménou. Tato žádost je opět zasílána přímo k nám do registru a nikoliv prostřednictvím registrátora.
Pro řešení těchto problémů máme na našich webových stránkách formulář, kde je možné žádost vyplnit a zaslat. Pro její zpracování je ale nutné přirozeně odesílatele žádosti nějak autentizovat. K tomu jsme vždy používali dvě možnosti a to buď opatření žádosti notářsky ověřeným podpisem a její zaslání v papírové podobě, nebo zaslání žádosti emailem podepsaným digitálním podpisem. A zde opět přichází na scénu výhoda propojení mojeID a doménového registru. Kromě autentizačních údajů, pomocí kterých se může držitel vůči nám identifikovat a o kterých jsem psal výše, obsahuje služba mojeID také kontrolu údajů na srovnatelné úrovni jakou poskytne notář nebo certifikační autorita. Pokud tedy držitel splňuje podmínku nejvyššího stupně ověření, není důvod nutit ho k složitému ověřování znovu při každé žádosti přes webový formulář. Proto jsme do Doménového prohlížeče vložili takto ověřeným uživatelům i možnost provádět tyto žádosti online. Blokováni a odblokání domén je dokonce možné provádět hromadně nad více objekty.
Budoucnost
Doménový prohlížeč vnímáme jako rozhraní držitelů domén k doménovému registru a tato skutečnost nabízí velký potenciál pro jeho rozšiřování do budoucna. Rád bych zmínil některé myšlenky, které nás při těchto úvahách napadají:
- Zobrazování historie objektů – Pravidla registrace již nějaký čas umožňují oprávněným žadatelům zobrazit historii nějaké domény. Doménový prohlížeč by se tedy mohl rozšířit o historická data.
- Zobrazování komunikace s uživatelem – V průběhu života domény zasíláme držiteli spoustu informací, např. pokud si vyplní email pro notifikaci je zasílána informace o každé změně, nebo kontaktujeme držitele v případě významné změny stavu (expirace domény, deaktivace domény, atd..). Někdy posíláme email, někdy dokonce dopis. Občas naše klientské centrum řeší dotazy, zda byl email nebo dopis odeslán a kdy. Zde by každý uživatel mohl mít přehledně seznam komunikace zobrazen.
- Slučování kontaktů – Může nastat situace kdy uživatel má několik kontaktů u různých registrátorů a tak není možné je jednoduše sloučit automaticky. V doménovém prohlížeči by mohl být přehled kontaktů v registru se stejnými údaji a možnost přepojení všech domén navázaných na tyto duplicitní kontakty na kontakt, pod kterým je uživatel přihlášen. To by vyřešilo i palčivý problém některých držitelů domén, kteří nemohou svůj kontakt převést do mojeID z důvodu formátu identifikátoru kontaktu. Takto by si založili kontakt nový se stejnými údaji a poté si na něj jednoduše převedli.
Toto je jen malý výtah z toho co by se dalo dělat. Rádi bychom do diskuze o požadovaných vlastnostech zapojili i komunitu a proto nám prosím, dejte vědět, pokud máte nějaké vlastní nápady případně který z navrhovaných bodů se vám nejvíce líbí a měli bychom ho zvažovat přednostně. Budeme rádi za jakékoliv podněty, které se v komentářích objeví.
Jaromír Talíř
Mailová kampaň zneužívající Českou poštu sloužila k šíření nového a velmi nebezpečného malwaru
Nový a velmi efektivní bankovní trojský kůň míří na uživatele v České republice, Portugalsku, Turecku a ve Velké Británii. Pokud jste zaznamenali e-mailovou kampaň, před kterou jsme před časem varovali na našich stránkách Aktuálně z bezpečnosti, pak Vám určitě neuniklo, že tento e-mail, který předstíral, že byl odeslán jménem České pošty, ve skutečnosti vedl ke stažení neznámého malwaru. Nyní se ukazuje, že se jedná o rozsáhlou akci, při které jsou ve čtyřech evropských zemích zneužívány etablované společnosti, jejichž jménem je šířen nový a podle bezpečnostních analytiků velmi sofistikovaný trojský kůň.
Ukazuje se, že Win32/Spy.Hesperbot je velmi silný bankovní trojský kůň s mnoha „užitečnými“ funkcemi, jako je logování zmáčknutých kláves, vytváření screenshotů a nahrávání videa. Dokáže také spustit vzdálenou proxy, vytvořit skrytý VNC server umožňující vzdáleně ovládat infikovaný počítač a další „vychytávky“. Samozřejmě, jak je u bankovních trojanů obvyklé, dokáže sledovat síťový provoz a za běhu injektovat HTML.
Cílem útočníků je získat přihlašovací údaje do bankovních účtů obětí a zároveň donutit oběti k instalaci dalšího malwaru na jejich Android, Symbian, či Blackberry telefony.
Kampaň šířící tento malware začala v České republice 8. srpna. Rozesílaná zpráva se tvářila jako služba sledování balíku poskytovaná Českou poštou. Útočníci si za tímto účelem pořídili doménu ceskaposta.net, na kterou vedl skutečný odkaz z e-mailu, ve kterém bylo samozřejmě napsáno www.ceskaposta.cz, avšak odkaz směřoval právě na doménu www.ceskaposta.net. Podle informací z blogu společnosti Eset jdou v České republice počty obětí tohoto nového trojského koně v řádu desítek. Došlo však prý k významným finančním ztrátám v souvislosti s infikováním tímto novým malwarem.
Nakonec ještě připojím tabulku se seznamem českých bank, jejichž klienti jsou zatím terčem útoku tohoto nového viru. Tento seznam byl pořízen na základě analýzy konfiguračních souborů používaných injektovacími a odposlouchávacími moduly nového malwaru.
Uživatelům, kteří na odkaz z uvedené e-mailové zprávy reagovali, doporučujeme provést důkladnou antivirovou kontrolu a další kroky vedoucí k zabezpečení jejich bankovního konta (změny hesla, PINu) konzultovat s jejich bankovním ústavem.
Pavel Bašta
Vše, co jste kdy chtěli vědět o zabezpečení podpisu zóny .cz (ale báli jste se zeptat)
Možná jste někdy přemýšleli, jakým způsobem je zajištěna bezpečnost při podepisování naší národní domény .cz a zda podepsání vaší vlastní domény nemůže ohrozit špatné zabezpečení domény nadřazené, tedy té .cz. O ceremonii kolem generování klíče KSK pro kořenovou zónu a o jeho zabezpečení jste se mohli dočíst například v tomto článku. Náš kolega Ondřej Surý je totiž jedním ze sedmi lidí na světě, kteří vlastní SMK kartu nezbytnou pro obnovení KSK klíče kořenové zóny. Jeho rady a zkušenosti nám také pomohly při vytváření našich vlastních procesů a pravidel nutných pro co nejbezpečnější provozování DNSSECu v zóně .cz.
Aby byla zvýšena bezpečnost při nakládání s KSK klíčem, je jeho správa oddělena od správy ZSK klíčů. Ty jsou používány při podepisování zóny pomocí DNSSEC a slouží k podpisu všech záznamů v zóně, zatímco KSK klíč slouží pouze k podepisování všech DNSKEY záznamů.
Členové KSK týmu při KSK ceremonii
Samotné vybavení nezbytné pro realizaci KSK ceremonie, včetně notebooku, zařízení s uloženým KSK klíčem i bootovacího CD s Linuxem je uloženo v trezoru v sídle našeho sdružení. Vlastně to není tak docela přesné, protože v trezoru je ještě jedna schránka s vlastním zámkem, ve které jsou tyto nezbytnosti uloženy. Každý z členů KSK týmu má klíč pouze od trezoru, nebo od vnitřní schránky. Není tedy možné, aby někdo z KSK týmu sám vyjmul z trezoru jakoukoliv součást vybavení pro KSK ceremonii. Další kopie KSK klíčů a bootovacího CD jsou pro případ katastrofy uloženy také v trezoru banky.
Notebook má fyzicky odpojené bezdrátové sítě a je z něj vyjmutý harddisk, aby nebylo možné se na něj jakýmkoliv způsobem bezdrátově připojit a abychom se vyhnuli riziku nějakých zbytkových dat v cache, uložených mimo naši kontrolu. K bootování se používá CD s Ubuntu 12.0.4 LTS, upraveným pro potřeby ceremonie.
Pokud jde o generování nového KSK klíče, je při generování klíčů vždy přítomen jeden zástupce managementu. Po vygenerování nového klíče je získán hash tohoto klíče, který je zaprotokolován. Podepsané kopie dokumentu jsou následně rozdány všem držitelům klíčů od trezoru (členům KSK týmu), aby si kdykoliv v průběhu ceremonie mohli zkontrolovat, že se používá správný KSK klíč.
V případě potřeby podepsat novou sadu ZSK klíčů je tato nová sada podepsána GPG klíčem ZSK týmu a předána zástupcům KSK týmu. Ti musí být vždy minimálně dva a po celou dobu ceremonie se pohybují společně. Skript, který se stará o samotné podepsání, je zkontrolován ještě před podepsáním nové sady a to proto, aby byla žádost podepsána správným GPG klíčem ZSK týmu. Po podepsání je výsledná podepsaná sada ZSK klíčů opět podepsána pomocí GPG klíče KSK týmu tak, aby si následně členové ZSK týmu mohli být jisti, že manipulují se správnou sadou klíčů.
Celá ceremonie pro podepisování zóny .cz může působit jako poměrně složitá. Naším cílem však bylo poskytnout držitelům domén v zóně .cz jistotu, že ke kompromitaci KSK klíče a tím ohrožení bezpečnosti jejich domény nemůže dojít.
Pavel Bašta
Uvedení nových gTLD do života se opět přiblížilo
Po dlouhých diskuzích se zdá, že schválení nových doménových jmen (tzv. new gTLD) se opět přiblížilo k okamžiku, kdy současných cca. 300 domén nejvyšší úrovně se může rychle rozrůst o dalších až několik set nových „sourozenců“. Díky staženým žádostem je však již nyní jasné, že nových domén nebude více než 1 359.
Krokem, který přiblížil uvedení nových domén do praxe, je jednak schválení „Dohody o nových generických jménech“ (New gTLD agreement) a jednak pokračující schvalování jednotlivých žádostí, které 3. července 2013 dosáhlo magického čísla 1 000 a rychle se blíží ke konci. Schválení žádosti (resp. status IE Complete) však automaticky neznamená, že daný subjekt doménu získá, neboť v rámci schválených žádostí stále existují případy, kdy se o danou doménu, např. .app, .book uchází několik zájemců.
V rámci „New gTLD agreement“ je věnována pozornost především ochraně práv z průmyslového vlastnictví, kdy se předpokládá zejm. zřízení tzv. „clearing-house“ pomocí kterého budou moci vlastníci ochranných známek uplatnit svá práva a vytvořit jakýsi si „black-list“ doménových jmen zapovězených pro další registraci. Vedle ochranných známek se dokument věnuje i bezpečnosti, kdy mezi podmínky pro nové provozovatele by mělo patřit povinné např. povinné zavedení DNSSEC.
Kdo uspěl?
Mezi první schválené domény patřilo 107 gTLD v národních znacích, tzv. IDN, uspěly i mnohé firmy. Z 1 012 schválených žádostí jsem vybral 120 dle mého názoru nejzajímavějších, ať již proto, že patří známé firmě nebo proto, že se mají dle mého názoru šanci uchytit.
Vedle tohoto seznamu stojí zmínit rovněž města jako Berlín, Budapešť, Helsinky, Melbourne, Moskva, New York či Paříž, kteří se budou moci pochlubit svoji vlastní doménou nejvyšší úrovně, např. .NYC.
V souvislosti s tisícovkou schválených žádostí si stojí za to připomenout, že v loňském roce se do boje o nová doménová jména přihlásilo 1 155 žadatelů, kteří podali celkem 1 930 žádostí ucházejících se o 1 409 gTLD. Mezi největší firemní žadatele pak logicky patřily firmy, které na Internetu vyrostly – Google žádal o 101 domén, Amazon o 76 domén, zatímco např. L’Oréal „pouze“ o 14 domén. Zde stojí za pozornost, že produktovou doménu .LANCOME si tato kosmetická firma spolu např. s .HAIR ponechala a žádost zde na rozdíl od .GARNIER či .MAYBELLINE nestáhla.
Kdo stáhl žádosti o své domény?
V rámci hodnocení procesu zavádění nových gTLD se rovněž zajímavé se podívat na to, že některé subjekty postupně své žádosti z nejrůznějších důvodů stáhly. Celkem bylo staženo 93 žádostí. Zajímavé je, že více než polovina žádostí se týkala domén, o které se ucházel pouze jeden zájemce – např. šesti domén L’Oréal či tří domén General Motors, který se vedle .GMC zajímal o .CHEVROLET a .CADILLAC. Za celkem 50 staženými žádostmi lze hledat spíše vystřízlivění z doménového opojení. U zbylých 43 stažených žádostí lze hledat taktiku a snahu vyhnout se případným zdlouhavým sporům, kdy ve 14 případech stažení žádosti pomohlo k tomu, že o doménu se uchází pouze jeden zájemce (viz. Kdo s koho). V souvislosti s konflikty si stojí za to připomenout, že potencionální konflikt byl zaznamenán u 751 žádostí (tj. 39 %). Zajímavé je rovněž podívat se na to, jak největší žadatelé stahovali své žádosti (viz graf níže).
Pokud Vás zajímá osud jediné české domény .UNICORN, budeme si muset počkat na konec celého procesu, kdy pro Vás na našem blogu rádi přineseme informace o celém hodnocení včetně info-grafiky.
Jiří Průša
Všechno nejlepší!
Už to na tomto blogu několikrát zaznělo, sdružení CZ.NIC sfouklo na dortu patnáctou svíčku, což je u člověka věk, při kterém mu stát dá tolik důvěry, že může požádat o povolení řídit pomalé jednostopé motorové vozidlo. O své vzpomínky na toto období dospívání se již s Vám podělili dva služebně nejstarší zaměstnanci sdružení, Zuzana a Martin. A protože třetí v pořadí jsem již já, dovolte i mně přispět svou vzpomínkou.
Do sdružení jsem vstoupil na konci roku 2003, když jsem se se skupinou podobně smýšlejících lidí snažil otočit kormidlo těžkopádně plující lodě. CZ.NIC v té době rozhodně neměl dobré jméno. Cena domény byla poměrně vysoká, pravidla a nastavení registračního systému příliš nepřipomínala 21. století a mnoho lidí mělo v živé paměti rozporuplně přijímanou migraci na decentralizovaný systém. Sdružení mělo jen minimum zaměstnanců a drtivá většina všech jeho činností, včetně těch klíčových, byla outsourcována. Komentáře tehdejších diskutujících pod články o české doméně by bylo možné v televizi předčítat jedině až po dvaadvacáté hodině. Tedy nic moc okamžik jít s kůží na trh a nabídnout jen další změny a následně ještě jednu migraci. Ani onen pokus o změnu nevypadal ze začátku kdo ví jak. Celkem dlouho trvalo, než došlo k obměně většiny členů představenstva a padlo finální rozhodnutí vyvinout vlastní registrační systém.
Nicméně povedlo se a v roce 2005 již mělo sdružení úplně nové vedení, stanovy, dokonce i v přípravě nové logo, nové podmínky vstupu a začalo nabírat zaměstnance, kteří měli za úkol na zelené louce vyvinout úplně nový a pružnější systém a zcela změnit tvář sdružení. Na svém seznamu neodkladných úkolů jsem měl vyřešit vztah mezi sdružením a státem a po odškrtnutí tohoto políčka byl nejvýše nový registrační systém. Pojmenovali jsme jej FRED a on rostl velmi rychle. Poprvé se v plné kráse a síle mohl ukázat v září 2006, kdy jsme jej nasadili na správu ENUMové domény 0.2.4.e164.arpa. To byl poměrně klíčový milník celého procesu, protože v té chvíli přestal být FRED jen projektem programátorů, ale od této chvíle bylo všechno „doopravdy“. Veškeré změny se musely pečlivě testovat, provádět pouze v odstávkových časech, získávali jsme cenné zkušenosti s provozem.
Ty jsme nejvíce zúročili o rok později, přesně v období 28. až 30. září 2007. V tomto období byl zastaven provoz starého registračního systému a veškerá data byla migrována do FREDa. Bylo to pro mne tehdy úžasné období. Na jednu stranu jsme byli pochopitelně všichni neuvěřitelně nervózní, jestli jsme v našem migračním scénáři, který měl stovky položek někde přeci jenom neudělali chybu, ale na druhou stranu to bylo završení téměř čtyřletého úsilí mnoha lidí. Nervozita byla celkem pochopitelná, neměli jsme v podstatě záložní variantu, sice existovala možnost požádat tehdejšího provozovatele o prodloužení běhu outsourcovaného systému, ale je jasné, že takový krok by měl zcela devastující účinek na pověst sdružení a nás, kteří jsme migraci prováděli. Samotná migrace proběhla až nečekaně hladce s dvaatřiceti hodinovou rezervou a tak jsme těch 32 hodin nervózně čekali na start nového systému, který byl naplánován na 1. říjen, na 10:00. Okamžik nastal, FRED najel a tři vteřiny po startu se začaly registrovat první domény. Skvělá zpráva, ale přesto jsme objevili jednu malou chybičku. Nový systém chránil WHOIS výpisy pomocí Captcha. Takže každý, kdo si chtěl vypsat na webu nějaké informace o doménách, musel přepsat do znaků obrázek. Ačkoliv byl celý systém mnohokrát testován jedné drobné věci jsme si nevšimli. Ano tušíte správně. Zátěžové testy obvykle provádějí automaty. Ty nedokáží přepisovat Captcha obrázky a proto byla tato částečka systému při testech deaktivována. A právě v ní byla chyba, která se za celou dobu neprojevila u ENUMu, protože ten nikdy nebyl vystaven zátěži uživatelů lačných po informacích. Špatné ukládání dočasných dat způsobilo, že při současných přístupech více uživatelů přestal WHOIS fungovat. V ten okamžik nastalo v místnosti, odkud jsme spouštění řídili, hrobové ticho. Nebylo hned zřejmé, že chybička je pouze u WHOIS a že systém jinak bez problémů funguje. Všichni jsme měli velký strach, že jde o něco vážného. Já sám jsem si z toho okamžiku odnesl pár šedivých vlasů, což je při hustotě mé kštice poměrně vidět. Nejvíce duchapřítomnosti ukázal kolega Surý, který hned popadl klávesnici a zhruba do tří minut provedl tu spásnou změnu kódu, která vše vyřešila. Od té doby si dobře pamatuji, že čas je relativní, málo kdy později mi pak přišly tři minuty tak strašně dlouhé. Nicméně to už bylo vše. Systém naběhl, o žádnou doménu jsme nepřišli a tak trochu se začala psát nová epocha sdružení. Cena domény dramaticky poklesla, pravidla registrace a související podmínky se značně zjednodušily, vstoupilo mnoho nových členů, sdružení se přestalo zabývat především samo sebou a nasměrovalo velké množství energie do projektů pro lokální internetovou komunitu. Jen soupis těchto všech projektů by zabral na tomto blogu mnoho místa a pokud se podíváte na některé starší příspěvky, jistě si obrázek uděláte. Velmi dobrým průvodcem může být i strategie sdružení na nejbližší čtyři roky. Změnu vnímaní sdružení nejvíce vystihují již zmíněné příspěvky pod články, které se nás týkají. Netvrdím, že jsou to ze 100 % výkřiky nadšení, ale poměr kritických poznámek se dramaticky zmenšil a pokud už se objeví nějaká kritika, je poměrně vstřícná.
Co dodat na závěr? CZ.NIC pomalu opouští své dětské období, už má poměrně jasno o své budoucnosti a ukázalo, že internetová samospráva může fungovat, a to kvalitně a stabilně. Připojuji se k zástupu gratulantů a přeji vše nejlepší, a hlavně zdraví! Zdraví české doméně! A svobodnému Internetu!
Ondřej Filip
Patnáct let historie sdružení CZ.NIC
V letošním roce jsme v prostředí českého internetu svědky řady jubileí. Své dvacáté výročí slaví česká národní doména .CZ a patnáctiletým působením na trhu se může pochlubit také řada komerčních subjektů založených v přelomovém roce 1998, v období boomu českého internetu. Tento rok byl významný také proto, že dal vzniknout sdružení CZ.NIC, dnešnímu správci české národní domény. V tomto článku se pokusím shrnout jeho historii a načrtnout aktuální stav.
Domény se v Česku registrují již od roku 1991. Tehdy to byly dnes již neexistující domény .CS pro tehdejší Československo. Registraci mělo na starosti výpočetní centrum při Vysoké škole chemicko-technologické v Praze. 13. února 1992 byla ČSFR oficiálně připojena k internetu a po rozdělení federace vznikla 13. ledna 1993 doména .CZ.
Doménu .CZ spravovalo nejprve VC VŠCHT a poté soukromá společnost, která byla jedním z poskytovatelů připojení. Na podzim roku 1997 došlo ke značné liberalizaci dosavadních restriktivních podmínek pro registraci českých domén a začalo být zřejmé, že bude nutné správu domény .CZ předat nezávislému subjektu. Zamýšlené jméno této instituce bylo CZ-NIC a předpokládalo se, že si pro správu národní domény najme servisní organizaci.
V květnu (21. 5.) 1998 byl založen CZ.NIC (nově s tečkou) jako sdružení 16 právnických osob – poskytovatelů internetu působících v České republice. V srpnu 1999 došlo na základě výběrového řízení k podpisu smlouvy se společností EUnet Czechia o správě národní domény a od 1. 9. převzal CZ.NIC oficiálně zodpovědnost za správu domény .CZ.
Zatímco v prvních letech svého působení byl CZ.NIC zároveň správcem registru domén i registrátorem, sdružení se postupně začalo snažit o decentralizaci těchto pravomocí. V roce 2002 bylo vypsáno výběrové řízení na provozovatele decentralizovaného systému registrací a vítěz tendru, společnost T-Systems Pragonet, spustila nový systém v září 2003. Držitelé domén tím získali možnost převést své domény k libovolnému registrátorovi. V této době také došlo ke změně cen registrací – předchozí fixní zřizovací poplatek 800 Kč a roční poplatek ve stejné výši byly nahrazeny velkoobchodními cenami, díky čemuž si registrátoři začali navzájem konkurovat cenami pro koncové zákazníky.
V roce 2005 začaly práce na vývoji vlastního registračního systému. Tyto práce intenzivně probíhaly od září roku 2006, kdy byl tento nový systém (oficiálně se jmenuje FRED – Free Registry of ENUM and Domains) nasazen na správu registrací ENUM domén. Tento registr nám pomohl k definitivnímu otestování systému, který jsme potom v říjnu 2007 nasadili do ostrého provozu v doméně .CZ. FRED byl v té době zpřístupněn jako open source a k dnešnímu dni ho nasadilo několik domén nejvyšší úrovně, mezi nimiž jsou například Estonsko, Kostarika, Tanzánie či Angola.
Zavedení nového systému registrací, provozovaného přímo sdružením, s sebou přinesl výrazný pokles velkoobchodních cen domén, který v dalších letech pokračoval. Ze 400 Kč v roce 2007 klesla cena registrace postupně až na dnešních 125 Kč.
Získané prostředky z registrací domén vrací CZ.NIC české internetové komunitě v podobě řady projektů, které mají za cíl podporu internetu v ČR. Mezi tyto aktivity patří například výukové centrum Akademie CZ.NIC, které kromě Prahy najdete teď už i v Brně, knižní Edice CZ.NIC, provoz národního bezpečnostnícho týmu CSIRT.CZ, pořádání konferencí typu Internet a Technologie a další. Mimo to dnes CZ.NIC provozuje zrcadla kořenových serverů nebo vlastní NTP server.
Pro projekty podporující internetovou infrastrukturu máme dokonce vlastní oddělení, Laboratoře CZ.NIC. Mezi jejich hlavní projekty patří autoritativní DNS server Knot DNS, vyvíjený s důrazem na rychlost zpracovávání dotazů, protokol DANE sloužící k distribuci SSL certifikátů prostřednictvím DNS nebo globálně úspěšný směrovací démon BIRD. Běžným uživatelům internetu je určen například aplikace Datovka, usnadňující přístup k datovým schránkám z platforem Apple OS, iOS a Linux.
Značnému mezinárodnímu ohlasu se dostalo nasazení technologie DNSSEC v .CZ, kterému jsme věnovali poměrně značné úsilí. K dnešnímu chrání tato technologie téměř 400 000 domén, což je vzhledem k celkovému počtu registrací nejvyšší podíl mezi všemi světovými registry. Dalším významným projektem sdružení je systém mojeID. Tu již využívá řada významných zpravodajských webů, e-shopů a dalších služeb.
Za těch 15 let se CZ.NIC změnil z firmy s kompletně outsourcovaným provozem prakticky bez zaměstnanců na sdružení s vlastním řešením a vývojovým programem. Z centralizovaného registru je systém se 46 registrátory, cena za registraci klesla více než desetinásobně. Z cca 40 tisíc domén v roce 1999 jsme dnes na více než milionu. Z takřka nulové aktivity „mimo“ registr domén je dnes celá řada životaschopných, užitečných a komunitou přijímaných projektů, na kterých aktuálně pracuje cca 70 zaměstnanců. Z původních 16 zakládajících členů je jich dnes 109 a měsíc za měsícem přibývají další.
Přeji CZ.NICu co nejvíc úspěchů i do budoucnosti a osobně doufám, že až někdo bude za dalších 15 let psát podobný souhrn, bude jeho výčet ještě mnohem impozantnější. A kdo ví, možná to budu zase já :-).
Martin Peterka
CZ.NIC očima jeho prvního zaměstnance
Sdružení CZ.NIC má za sebou 15 let „života“, ale z virtuální existence do reality se přeneslo až v roce 2000, kdy se usídlilo v Lužné ulici ve Vokovicích a na této adrese zůstalo až do roku 2006, kdy se přestěhovalo do stávajících prostor na pražských Vinohradech.
Můj příspěvek k letošnímu výročí založení sdružení měl zadání „milá vzpomínka“, ale ono to moc mile nejde, protože úplné začátky, kterým se ve svém příspěvku budu věnovat především, rozhodně jednoduché a příjemné nebyly. Ať už držitelé domén nebo ti, kteří o doménu měli zájem, totiž ze sdružení moc radost neměli, troufám si říct, že právě naopak. Není se čemu divit – do září 1999 byly domény zadarmo a pak přišel „nějaký CZ.NIC“, o kterém do té doby nikdo neslyšel a chtěl 840 Kč za prodloužení registrace, jinak že prý doménu zruší. Opravdu tak učinil a na začátku února 2000 se o uvolněné domény strhla mela, která do české internetové historie vstoupila pod pojmem „doménová řež“ – domény, které byly zrušeny, neboť je jejich držitelé nezaplatili, byly uvolněny k registraci. Tahle událost se doposud projevuje, byť už jen mírně, ve statistikách. Sdružení si z toho ale vzalo ponaučení, a tak když bylo rozhodnuto (2001) o tom, že budou k registraci uvolněny domény dosud pro registraci zakázané (generické, country code), stalo se tak na základě veřejné dražby (2002), přičemž výtěžek ve výši cca 0,5 mil. Kč byl darován Centru Paraple.
Po žebříčku oblíbenosti CZ.NIC nezačalo stoupat ani potom (dnes bychom řekli, že měl dost negativní PR). Působilo jako správce registru a jediný registrátor zároveň a navíc samo o sobě žádnou faktickou činnost nevykonávalo; technicky vše zajišťovala společnost EUnet. S nevolí se tedy setkávala dnes už těžko představitelná cena (1600 korun za novou registraci a 800 korun za prodloužení na rok, žádné slevy nebyly), byť přirozeně, tak přece jen monopolní postavení a nebo způsob komunikace. Údaje v registru byly velmi často nesprávné a situace se nelepšila, proto od roku 2004 funguje upozorňování držitelů domén na e-maily na doméně obvykle zřizované, uvedené na webových stránkách a nakonec také telefonicky – díky tomu se počet domén, které byly zrušeny z důvodu nezaplacení, aniž by se o tom jejich majitel dozvěděl, dramaticky snížil až na hodnotu blížící se limitně nule. Dnešní kolegové ze zákaznické podpory (snad můžu prozradit, že sami si říkají „helldesk“ nebo také „zákaznická potvora“, ale určitě víte, že to jsou milí a kompetentní lidé) tak už nemusejí řešit telefonáty diplomaticky řečeno velmi naštvaných bývalých držitelů, kteří nezaplatili za doménu a ta jim byla zrušena, aniž by se o tom dozvěděli.
Nepříjemné byly také aktivity tzv. doménových spekulantů – pamatujete si na Pavla Šimona a Vladanu Petržílkovou? Bylo jich více, ale tito byli nejznámější a na rozdíl od různých Mickey Mousů nebo seychelských společností, pod něž se schovávají Spekulanti 2.0 či dokonce 3.0, se jednalo o skutečné lidi, dokonce s pravdivými údaji v registru. Domény totiž bylo možné registrovat, ale poplatek se hradil až po zaregistrování; čili pokud jste nezaplatili vůbec, mohli jste doménu blokovat zdarma po dobu 45 dnů a po zrušení zaregistrovat znovu a znovu a znovu….což výše jmenovaní pochopitelně zhusta činili. Situaci v tomto směru vylepšily nejprve tzv. speciální žádosti, které byly zavedeny v březnu 2002, jejichž podstatou bylo, že zájemce mohl požádat o doménu, která byla již registrovaná, ale byla „po expiraci“ čili ve splatnosti poplatku. Pokud držitel za doménu nezaplatil, získal ji takový „speciální žadatel“, který podal žádost nejdříve a zaplatil zálohu za registrační poplatek. Bylo-li takových žadatelů více, tak neúspěšným se zaplacené zálohy vracely, totéž platilo tehdy, pokud za doménu zaplatil její držitel. Systém registrací se pak změnil v roce 2003, kdy do hry vstoupili registrátoři a domény už nebylo možné registrovat bez toho, že by za ně bylo uhrazeno. Sdružení však stále fungovalo jako registrátor, byť „poslední záchrany“ – Last Resort Registry (LRR), byť jeho činnost v tomto směru byla postupně omezována (ať již nemožností doménu registrovat na delší dobu než 1 rok – u registrátora to bylo možné až na 10 let, jako je tomu doposud , posléze nebylo možné doménu v LRR prodloužit, čímž se CZ.NIC definitivně zbavilo domén, u nichž bylo vedeno jako registrátor, a rovněž cenou, která zůstala stejná, tedy stejně vysoká) a v říjnu 2007 s převzetím registračního systému do vlastní správy LRR skončil úplně.
Tímto počinem, tedy zajištěním správy domény vlastními silami, nikoliv formou outsourcingu, se, alespoň v mých očích, začala psát novodobá historie sdružení, která s sebou přinesla dramatický obrat ve vnímání sdružení navenek. Pochopitelně, nejcitelněji k tomu přispělo snížení ceny za doménu, protože prostě platí, že peníze jsou až na prvním místě. Ale nejsou samozřejmě všechno: sdružení se snaží a myslím, že se mu to i daří, být transparentní, otevřené, systém registrací je průhledný a jednoduchý a prostředky, které sdružení za domény získá, se snaží internetové komunitě vracet ve formě svých dalších činností, kterým se věnuje, zpět. Ohlédnu-li se zpět, jsem přesvědčena, že cesta, která byla vybrána v roce 2005, a po které se sdružení, budu-li se držet turistické terminologie, s občasným ujištěním se pohledem do mapy, stále ubírá, byla správná.
Zuzana Průchová (Durajová)
20 let domény .CZ je jenom jednou,…
tak proč si toto výročí nepřipomenout i jinak než třeba tiskovou zprávou nebo tématickým dnem na nějaké konferenci. Rok 2013 je pro nás prostě také rokem domény .CZ.
Vilém Sládek
Nová podoba statistik CZ.NIC
Již loni na podzim jsme v rámci konference IT 12 oznámili vytvoření nového portálu pro sjednocené statistiky sdružení CZ.NIC. V minulém týdnu se stránky dočkaly nového kabátu v podobě nového způsobu vykreslování grafů. O to se nyní stará nová javascriptová knihovna OGRA, která vznikla v Laboratořích CZ.NIC a byla zveřejněna k volnému použití v rámci open source licence.
Knihovna umožňuje snadné vkládání dynamických grafů do stránky za použití grafických knihoven třetích stran. Její hlavní výhodou je jednotný formát dat, který umí knihovna přeložit pro potřeby každé podporované knihovny a umožňuje tak přepínání grafických knihoven bez nutnosti změny formátu vstupních dat. Více informací a praktické ukázky naleznete na stránkách projektu.
Pro novou podobu webu statistik jsme zvolili knihovnu Highcharts, kterou jsme již dříve pro některé statistiky používali. Díky této knihovně je nyní možné např. vypínat kliknutím na legendu jednotlivé série hodnot nebo si nechat vygenerovat obrázek či PDF právě zobrazeného grafu.
Věříme, že nový vzhled statistik se vám bude líbit a pomůže vám v lepší orientaci v publikovaných datech. Zároveň uvítáme připomínky k naší nové knihovně OGRA.
Jan Danihelka