Minulý týden došlo k velmi závažnému bezpečnostnímu incidentu v doméně .ie, což je doména Irské republiky. Podle dostupných informací se útočníkovi pravděpodobně podařilo získat přihlašovací údaje jednoho registrátora, díky nimž pak mohl v centrálním registru domény .ie změnit DNS servery domén google.ie a yahoo.ie. To mu poté umožnilo nasměrovat domény na vlastní servery, kde mohl vystavit svůj vlastní obsah či přijímat poštu pro tyto domény. Některé služby registru .ie domény jsou ještě v době psaní tohoto článku nedostupné a vyšetřování stále pokračuje. Nás samozřejmě nejvíc zajímá, zda by k podobné situaci mohlo dojít i u nás. Pojďme si tedy připomenout možnosti, kterými mohou držitelé své domény chránit před případnými neautorizovanými změnami provedenými registrátorem a možná i připomeňme, jakým způsobem je chráněn samotný centrální registr před neautorizovaným přístupem.
Nejprve tedy zkusme vysvětlit, jakým způsobem je chráněn samotný přístup do registru domény .cz. Přístup k registru je možný pouze na základě platných přihlašovacích údajů, s platným certifikátem a z předem dohodnutých IP adres. Samotná znalost přihlašovacích údajů není tedy pro přístup dostatečná. Útočník by musel proniknout na server registrátora, který má do registru povolený přístup z konkrétní IP adresy, má k dipozici platný certifikát a přihlašovací údaje. Z tohoto serveru by pak bylo možné změnu záznamů uskutečnit. V současné chvíli nemáme k dispozici informace o způsobu zabezpečení irského registru. Není tedy možné vyloučit, že irský registr má stejné zabezpečení jako ten český a že se skutečně podařilo útočníkovi proniknout na server registrátora a z něj změny uskutečnit.
I pro tento případ nabízí centrální registr domén .cz držitelům domén další stupeň zabezpečení. Na našich stránkách je možné pomocí jednoduchého formuláře požádat o zablokování transferu domény nebo dokonce zablokování provedení jakékoliv změny na objektech v doméně. V případě, kdy držitel na doméně zablokuje veškeré změny, nemůže k takovému problému, jaký nastal v doméně .ie, vůbec dojít. Na rozdíl od žádosti o heslo nelze odblokování a zablokování domény uskutečnit s pomocí registrátora. Pokud chce držitel zablokovat nebo odblokovat svou doménu, musí se obrátit přímo na naše sdružení.
Jak je vidět z příkladu incidentu v registru .ie, bylo zavedení této nadstandardní možnosti pro naši národní doménu velmi užitečným krokem. Jeho využití lze proto držitelům důležitých domén rozhodně doporučit.
Pavel Bašta
Již pátý právnický seminář přinesl i zkušenosti z Francie a Slovenska
Naše sdružení se vedle své hlavní činnosti, kterou je správa registru českých domén, věnuje také vzdělávacím a osvětovým projektům. Mezi tyto aktivity lze také zařadit semináře pořádané pro odbornou právnickou veřejnost, o kterých si troufám tvrdit, že jsou již tradiční.
Letos se uskutečnil v pořadí již pátý ročník semináře, na který jsou zváni především soudci, firemní právníci a advokáti, tedy všichni profesionálové v oblasti práva, kteří se při své práci setkávají nejen s problematikou doménových jmen, ale i šířeji se specifiky, které přináší virtuální svět a aktivity v něm. Pro účastníky, kterých se sešlo bezmála padesát, byla připravena vystoupení šesti přednášejících, z nichž dva byli ze zahraničí.
Dr. Polčák z Právnické fakulty Masarykovy univerzity v Brně se ve svém příspěvku věnoval možnosti analogického užití nařízení EU, která upravují doménu .eu, ve sporech o české domény, Mgr. Bartošková z Rozhodčího soudu při Hospodářské komoře České republiky a Agrární komoře České republiky, který rozhoduje nejen spory o české domény, ale též o domény .eu a spory o domény podle pravidel UDRP, představila mimo jiné online platformu, jejímž prostřednictvím spor online formou probíhá.
Loni byl velmi kladně přijat zahraniční host, proto jsme i letos přemýšleli, jaká země by místní právníky mohla z hlediska domén a internetového práva zajímat. Volba padla na Francii a Slovensko. M. Georgelin z AFNICu účastníky seznámila se SYRELI, což je francouzský systém pro řešení sporů o doménová jména. Mgr. Abelovský ve své prezentaci kriticky zhodnotil podmínky registrace doménových jmen na Slovensku a Mgr. Lukáč, právní zástupce slovenského registru SK-NIC, se věnoval nejen představení správce národní domény .sk, ale především sporům o slovenská doménová jména a možnostem jejich řešení. Zmínil rovněž připravované změny v pravidlech poskytování jmenného prostoru (obdoba čtenářům známých českých Pravidel registrace).
První ročník tohoto semináře byl půldenní, letos program zabral bezmála celý den. Velmi nás těší rostoucí zájem o tuto akci a kladné reakce účastníků. Tato setkání jsou oboustranně velmi užitečná, tvoří prostor pro vzájemnou výměnu zkušeností a umožňují nám lépe reagovat na požadavky z praxe.
Zuzana Průchová Durajová
Digitální lukostřelba pohřbena v Praze!
V několika článcích na lupě [1] [2] jsem popisoval problémy, které provází proces vzniku nových domén. Věc, která mi na celém procesu přišla mimořádně podivná, byla tak zvaná digitální lukostřelba, tedy způsob, který měl rozřadit posuzování žádostí o nové domény do jednotlivých dávek po 500. Princip měl být takový, že žadatel si v systému určil nějaký čas v budoucnosti a pak se snažil přesně v tento zvolený okamžik stisknout tlačítko. Rozdíl mezi zvoleným časem a skutečným časem „kliknutí“ se měl změřit a žádosti žadatelů s menším rozdílem mezi těmito časy měly být posuzovány v dřívějších dávkách. Vzhledem k tomu, že časový rozdíl mezi první a čtvrtou dávkou bude nejméně 15 měsíců a ohledem na objem financí, o který se v nových doménách bojuje, je samozřejmě důležité, aby byl proces zcela transparentní a spravedlivý. Stále více lidí mělo ke zvolenému řešení, tedy digitální lukostřelbě, výhrady. Hlavním problémem bylo podivné technické řešení, které tak jak tak nahrávalo bitvě automatů a dalším problémem byl fakt, že nikdo, krom správců systému nebyl schopen ověřit, jestli je změřený výsledek správný. Navíc se bohužel celý systém choval velice podivně a nespolehlivě. Tyto a další problémy zvoleného řešení vedly k tomu, že se představenstvo ICANNu na zasedání v Praze rozhodlo celý proces zrušit. S tímto také bylo rozhodnuto, že se všechny žádosti začnou posuzovat ve stejný okamžik a dávkování bylo úplně zrušeno. To je poněkud překvapivé, když ICANN tvrdil, že má kapacitu pouze na 500 žádostí. Není úplně jasné, zda-li to platí pouze pro úvodní posuzovací fázi nebo i pro veškeré posuzování a jestli to znamená, že všechny žádosti budou finálně schváleny až ve stejný okamžik. Představenstvo každopádně hodlá o problému ještě dále přemýšlet a diskutovat s komunitou. To ovšem znamená, že posuzování žádostí určitě nabere nějaký skluz a všichni žadatelé budou čekat zase o něco déle než počítali, což je jistě bude stát nemalé zdroje. Bohužel tedy problémy startu nových generických domén pokračují nadále, což je velmi mrzuté u procesu, který byl nazván největší revolucí Internetu od jeho vzniku.
Ondřej Filip
ICANN si do čela vybral pana neznámého
Dnešní představení nového ředitele organizace ICANN bylo pro většinu zúčastněných obrovským překvapením. Fadi Chehadé je totiž člověk, který se v komunitě kolem ICANN nikdy nepohyboval a téměř nikdo jej nezná. Bohužel to tedy znamená, že by potřeboval nějaký čas, aby se s tímto velice specifickým prostředím seznámil. Času ale příliš mít nebude, protože vstupuje do ICANNu v období, kdy je v plném běhu jeho historicky největší projekt, tedy vznik nových domén nejvyšší úrovně. I když za jiných okolností bych kritizoval, že ICANN opět zvolil ředitele z anglicky mluvící země, v tomto případě to neudělám, protože Fadi rozhodně není typickým Američanem. Narodil se v Libanonu egyptským rodičům působil v severní Africe i na Středním východu, má tři občanství a plynně hovoří Anglicky, Francouzsky, Arabsky a Italsky. S jeho životopisem by mohl být velmi přijatelný právě pro arabské představitele.
Tedy přeji novému řediteli vše nejlepší. Ať pod ním již proces vzniku nových domén běží bez problémů, ať se rychle seznámí s celým zvláštním ekosystémem toho odvětví.
Ondřej Filip
„Autonomní“ Internet alá Čína
O tom, že Internet jako otevřená platforma, která překračuje prostor i čas, se úplně nepotkává s oficiální politikou autoritativních režimů (a nejen jich), netřeba dlouze diskutovat. O velkém čínském firewallu, blokování Twitteru v čase íránské zelené revoluce, vypnutí Internetu v Egyptě po protestech po volbách v roce 2011 a dalších toho bylo napsáno dost mimo náš blog, ale vždy se jedná či jednalo o jednotlivosti, které z technického pohledu narušují normální chování sítě.
Internetový draft DNS Extension for Autonomous Internet(AIP), který jako individuální podání poslali do IETF pánové Diao, Diao a Liao, ovšem tento systém „výpadků“ chce změnit. Nový návrh by počítal s tím, že by vedle stávajícího DNS stromu „zasadili“ další „autonomní“ DNS strom (či stromy), který by dle zvážení jeho správce obsahoval pouze některé top-level domény. Takových nezávislých stromů by mohlo být v Internetu více a přístup mezi nimi by byl zajištěn pomocí translačních bodů, které by odpovídaly dotazy ležící v uměle vytvořeném podstromu. Na stránky CZ.NIC by se z takové země pak dalo přistupovat jen pouze dotazem například na „www.nic.cz.资本主义的怪物“. Takový dotaz by byl předán příslušnému (pravděpodobně vládnímu) DNS serveru obsluhující doménu .资本主义的怪物, který by z dotazu odstranil příponu, předal jej například do DNS stromu, který je spravovaný ICANNem, a zpátky přeposlal odpověď (nebo také ne).
Osobně vnímám takovou iniciativu za velmi škodlivou otevřenému Internetu a domnívám se, že by IETF v žádném případě nemělo legitimizovat cenzuru tohoto druhu a zasadíme se o to, aby tento návrh v IETF neprošel.
Ondřej Surý
Změny v Pravidlech registrace přinášejí i možnost skrýt další údaje
Dokument s názvem Pravidla registrace čítá celých devět stránek hustého textu, a tak si dovolím ve stručnosti představit novinky, které k 1. červnu vstupují v platnost.
Jednou z drobných změn je úprava přílohy č. 1, podle které může nově být v kontaktu poštovní adresa označena jako neveřejný údaj bez ohledu na to, jakou daný subjekt zastává v centrálním registru pozici (držitel, administrativní kontakt, technický kontakt atp.). Adresa tedy nebude zobrazována ve veřejné části vyhledávání v databázi whois. Jediným údajem, který v centrálním registru nadále zůstane vždy viditelný, je jméno a příjmení. CZ.NIC touto změnou vychází vstříc zákonným požadavkům na ochranu osobních údajů.
Zákon na ochranu osobních údajů se však týká pouze fyzických osob – údaje o právnických osobách lze nalézt v řadě veřejně dostupných registrů. Také v případě centrálního registru budou možností skrýt poštovní adresu disponovat pouze fyzické osoby. Aby nedocházelo k nežádoucímu „zosobňování“ právnických osob účelovým označováním za fyzické osoby, vyplňováním názvu a obchodních firem do položky jméno a příjmení nebo vynecháním některých údajů, bude moci údaje skrýt pouze subjekt, který prošel tzv. validací – jednoduchým a bezplatným ověřením údajů prostřednictvím služby mojeID. U takto ověřených subjektů bude CZ.NIC bezpečně vědět, že kontakt patří fyzické osobě, která bude mít možnost skrýt svou poštovní adresu a navíc získá možnost využívat výhod validovaného kontaktu služby mojeID na řadě serverů, kam se lze s využitím mojeID přihlásit.
K ochraně osobních údajů zbývá dodat, že ačkoliv subjekt díky validaci službou mojeID získá větší míru kontroly nad tím, komu a v jakém rozsahu své údaje sděluje, CZ.NIC je může v souladu se zákonem na základě požadavku předat orgánům činným v trestném řízení. O kontaktní údaje může požádat i veřejnost, ovšem pouze pokud řádně vyplní zvláštní žádost, ve které doloží účel, kvůli kterému o informace žádá. Pro každý kontakt bude nutné podat samostatnou žádost, a to výhradně písemně s ověřeným podpisem žadatele. Tento relativně složitý administrativní postup má zabránit zneužívání tohoto institutu. CZ.NIC si rovněž vyhrazuje právo poskytnutí údajů odmítnout, pokud dojde k závěru, že požadavek je neoprávněný a žadatel pro svou žádost neprokázal legitimní důvod.
Další změna ve správě údajů v registru se týká zahraničních držitelů. Od června budou subjekty, jejichž bydliště, sídlo či kontaktní adresa se nacházejí mimo území EU/EHP, povinny na výzvu sdružení CZ.NIC nebo příslušného státního orgánu (soudu, správního orgánu, ale také rozhodce či rozhodčího soudu) poskytnout doručovací adresu na území EU/EHP nebo označit svého zástupce s doručovací adresou na tomto území. Problémy s doručováním do exotických lokalit jsou dlouhodobou záležitostí a přispívají ke značnému ztížení možnosti domáhat se svých práv u soudu. Pro větší účinnost komunikace a usnadnění doručování písemností na poštovní adresu uvedenou v registru byla zrovnoprávněna komunikace prostřednictvím elektronické pošty, tedy na e-mail uvedený v registru. Výzva ke sdělení bude odeslána elektronicky a pokud CZ.NIC neobdrží požadované informace ve lhůtě 15 dnů od jejího odeslání, bude mít právo danou doménu zrušit. Je důležité dodat, že tento postup bude uplatněn zejména v případě, kdy se CZ.NIC buď dozví důvěryhodné informace o nesprávnosti údajů v registrům nebo bude o sdělení údajů požádán příslušným orgánem.
Zuzana Průchová Durajová
Jak si vede Česká republika v boji proti phishingu?
Minulý měsíc se objevila zpráva pracovní skupiny APWG (Anti-Phishing Working Group), která se zaobírá problematikou phishingu snad ze všech možných úhlů, tedy i monitorováním phishingových stránek. Její zpráva obsahuje mimo jiné také různé zajímavé statistiky za druhé pololetí uplynulého rok vztahující se k jednotlivým národním a generickým doménám. Porovnáme-li tyto zprávy za poslední tři pololetí, tedy 2/2010, 1/2011 a 2/2011, zjistíme, že podle těchto statistik počet phishingových útoků na stránkách v doméně .cz postupně klesá, z 222 případů v 2/2010 až k 171 případům v druhém pololetí roku 2011. Průměrný uptime (tedy průměrná doba, po kterou jsou phishingové stránky dostupné) byl v druhém pololetí roku 2010 64 hodin a 33 minut. Toto číslo pak v dalším půlroce kleslo a v druhém pololetí uplynulého roku jsme se dostali na 41 hodin a 10 minut. Stále se ale bohužel jedná o poměrně vysoké číslo, neboť phishingové útoky mají obvykle nejvyšší výtěžnost do 24 hodin od jejich spuštění. Doufejme tedy, že se i díky naší práci podaří průměrný uptime snížit tak, aby se provozování phishingu v doméně .cz pokud možno ekonomicky nevyplácelo. Na druhou stranu je potřeba říci, že medián uptimu byl za loňský rok pouhých 14 hodin a 46 minut, což je velmi pěkné číslo. I další ukazatele, jako například Score (počet domén zneužitých k phishingu na 10 tisíc registrovaných domén) nevychází pro naši doménu nijak špatně: pro doménu .cz je to 1.2. I když to není vůbec špatné číslo, stále je co zlepšovat, a tak doufám, že příští rok již bude toto číslo pro doménu .cz menší než 1. Určitě to není nemožné, neboť například doména .se má scóre rovnající se právě tomuto číslu.
Zajímalo mě také, jak jsou na tom z hlediska phishingu IP adresy delegované do České republiky. I pro toto lze nalézt zajímavé statistiky, pro změnu na stránkách databáze Phistank, která sbírá data o phishingových stránkách a je mimo jiné využívána prohlížeči při posuzování obsahu stránek. Snažíme se aktivně pomocí naší aplikace MDM (viz článek na našem blogu) oslovovat držitele domén .cz, jimiž držené domény se nejen v této databázi objevily. I proto jsem byl velmi zvědavý, zda se to v jejich statistikách nějak projevilo. Tuto aplikaci jsme spustili v pilotním provozu v červnu 2011, proto jsem v následujícím grafu zaznamenal data od tohoto měsíce. Jedná se o percentuální podíl IP adres v dané zemi na celkovém množství phishingových stránek v daném měsíci.
Bohužel jsou však v těchto statistikách zobrazovány pouze státy, ve kterých je množství phishingových stránek větší než dvě procenta. A teď to přijde (tramtadadá :)) – poslední dostupné statistiky za měsíc leden 2012 již nezobrazují pro ČR žádné údaje. Podíl množství phishingových stránek provozovaných v naší zemi na celkovém objemu phishingu tedy klesl pod 2 procenta.
Z obou výše rozebraných statistik vyplývá, že se v České republice dlouhodobě daří bojovat proti nelegálním internetovým aktivitám, k čemuž jak pevně věříme přispívají i aktivity našeho týmu CSIRT.CZ.
Pavel Bašta
Tak nakonec přes 2 000
Ve čtvrtek jsem z oznámeného počtu žadatelů spekuloval, kolik by mohlo být vlastně žádostí o nové domény. A netrvalo to dlouho a ICANN tuto otázku zodpověděl. V pátek totiž oznámil, že je jich 2091 a k tomu je ještě 214 žádostí, u kterých nebyl zaplacen poplatek za slot, což je 5 000 USD. Vzhledem k tomu, jak čas pokročil, už ovšem není příliš pravděpodobné, že by z těch 214 bylo mnoho oživeno. ICANN dále oznámil, že má díky tomuto procesu na kontě zhruba 350 milionů dolarů, což je rozhodně velmi zajímavá částka už s ohledem na to, že roční rozpočet této organizace je mírně přes 60 milionů USD. Vzhledem k tomu, že za jednu žádost by měl žadatel uhradit 185 000 USD, vypadá to, že drtivá většina žádostí (zhruba 90 % nebo 1 900) již byla dokončena a uhrazena.
Takto vysoký počet žádostí znamená, že posuzování bude rozděleno do nejméně čtyřech dávek. Jak jsem již vysvětloval v článku na Lupě, ICANN totiž již dříve avizoval, že dokáže posuzovat nejvíce 500 žádostí v jednom okamžiku. Délka úvodní části posuzování žádosti byla odhadnuta na přibližně pět měsíců. Tedy jenom úvodní fáze posuzování nebude pro některé domény hotova dříve než v půlce roku 2014.
V této souvislosti si stále kladu otázku, proč bylo tak nutné zastavit proces pouhých 12 hodin před ukončením řádné lhůty. ICANN ohlásil, že důvodem byl únik informací. Ale s ohledem na to, že se všechny žádosti mají stejně brzy zveřejnit, v tom až tak velký problém nevidím. Ano, někdo mohl v systému zjistit, jakou doménu chystá jeho konkurence, ale zjistit to 12 hodin před uzavřením podávání žádostí by mu už nijak nepomohlo – žádost by už stejně nestihl podat. Velice podezřele působí i fakt, že systém je odstaven již téměř měsíc. Teď naopak lidé, kteří nějaké informace nelegálně získali, mají čas s nimi pracovat. Takže mi to připadá velmi podezřelé. No těším se, až budu moci na meetingu v Praze položit zástupcům ICANNu několik otázek.
Ondřej Filip
Žadatelů o nové domény je téměř 1300 (a musí čekat)
Nedávno jsem v článku na Lupě popisoval problémy systému, který slouží pro příjem žádostí o nové domény. Systém byl odstaven a ICANN tehdy naznačoval, že jej opět uvede do provozu do 20. dubna. No a máme květen a systém pořad ještě neběží. Doba odstávky je už hodně dlouhá a zřejmě i ICANN přestalo bavit posílat téměř každý den v podstatě identické oznámení o tom, že na odstranění závady se intenzivně pracuje. Proto ve včerejší zprávičce přidal alespoň nějakou novinku. V systému TAS je registrováno 1268 uživatelů, což je značný nárůst od předchozího známého čísla z 25. března, kdy oznámil 839. Je vidět, že na poslední chvíli ještě hodně uživatelů přibylo. Toto číslo je již konečné, protože už není možné registrovat nové uživatele. Každý uživatel má (tedy měl a po odstávce ještě bude mít) právo požádat o 0-50 domén. Je třeba podotknout, že uživatel měl dopředu zaplatit 5000 USD za každou žádost, kterou měl v plánu podat. ICANN bohužel nezveřejnil, kolik takových „slotů“ bylo zaplaceno.
Dále se ICANN ve své zprávičce věnuje hlavnímu důvodu, proč byl systém odstaven. Někteří uživatelé mohli částečně vidět data jiných uživatelů. Konkrétně u cca 100 z nich mohl někdo cizí vidět uživatelská jména a jména souborů. Ve zprávičce bohužel chybí to hlavní, a to datum znovuspuštění TASu. Tak doufejme, že to již bude brzy a celý proces vzniku nových domén se opět rozběhne.
Každopádně jako předseda pracovní skupiny pro přípravu ccNSO meetingu v ICANNu jsem požádal zaměstnance ICANNu o prezentaci k tomuto tématu. Takže pokud budete mít zájem zúčastnit se pražského ICANN meetingu, můžete se o tomto problému dozvědět více.
Ondřej Filip
Kolik bude nových TLD?
Už je to více než měsíc od chvíle, kdy ICANN nastartoval proces vzniku nových generických domén. Sám ICANN svůj proces designoval na 500 nových domén. Pokud bude žádostí více, plánuje ICANN, že jejich posuzování rozloží do více bloků – první o velikosti 500 a další po 400. Aby bylo možné žádost o doménu podat, je nutné nejdříve zaregistrovat žadatele. Ten pak má možnost požádat o přidělení slotů pro maximálně 50 domén. Za vytvoření každého slotu pak musí žadatel složit minimálně 5 000 USD.
ICANN nedávno oznámil, že počet registrovaných uživatelů překročil 100. Jsme teprve na začátku druhé třetiny časové periody, takže těžko odhadovat, jak se situace vyvine, ale zatím to není nijak omračující číslo. Nedá se předpokládat, že všichni registrovaní uživatelé nakonec požádají o domény, ani že ti aktivní zažádají vzhledem k ceně o nějaké velké počty domén. Nicméně do 29. března je ještě čas pro registrace uživatelů. Do 12. dubna poté budou muset podat všechny své žádosti. Zcela jasno tedy bude až pár dnů po tomto datu.
Kolik odhadujete, že jich nakonec bude? A bude nakonec nějaká doména z Česka?
Ondřej Filip