Okřídlené »obraz vydá za tisíc slov« platí v tomto případě 100%. Řadě z vás jistě není třeba cokoliv přibližovat.

Prostě už brzy tu bude pokračování úspěšného seriálu Jak na Internet.

Vydržte ještě pár dní; fotky níže slouží pouze jako ochutnávka. Zůstaňte s námi a dozvíte se víc (tento slogan trochu klame :)). Těšte se s námi na 1. říjen!

Klapka POPRVÉ!

Klapka PODRUHÉ!

Klapka POTŘETÍ!

Tomasz Hatlapa

V pátek ICANN oznámil tradiční schválení dalších žádostí o nové gTLD. Mezi zpracovanými žádostmi se objevila i jediná doména od českého zájemce: .UNICORN. V procesu počátečního hodnocení (Initial Evaluations) pak zbývá posledních dvacet devět žádostí.

Podle výsledků zveřejněných na stránkách ICANNu prošlo počátečním hodnocením celkem 1760 žádostí, 121 zájemců svoji žádost stáhlo a dvě žádosti (.AFRICA a .GCC) nebyly schváleny. Za povšimnutí stojí, že téměř čtvrtina stažených žádostí se uskutečnila v průběhu července a srpna, tedy na téměř samém konci procesu.

Ani žádosti, které prošly procesem hodnocení, však nemají zatím vyhráno. Více než třetina žádostí totiž obsahuje konflikt s dalšími žadateli – nejvíce zájemců je o doménu .APP, .ART a .HOME (viz. tabulka).

Nejžádanější nové gTLD

* Do počtu konfliktů jsou zahrnuty i domény, které jsou stále v hodnocení.

Jediná česká doména .UNICORN se dostala do poměrně malé skupiny žádostí, u které si ICANN vyžádal dodatečné informace, které budou následně postoupeny do tzv. rozšířeného hodnocení (Extended Evaluation). Podle hodnocení zbývá UNICORNu v žádosti upřesnit zejména technické a provozní informace jako je podpora IPv6 či ochrana práv z průmyslového vlastnictví, zejm. majitelů registrovaných ochranných známek.

Při příležitosti (téměř) ukončeného počátečního hodnocení (IE) ICANN zároveň informoval o podpisu dalších 12 smluv se zástupci registrů nových gTLD. Ty se tak zařadí k již stávajícím registrům nových gTLD v IDN: شبكة (arabský výraz pro síť či Internet), онлайн (ruský ekvivalent pro slovo online), сайт (v azbuce webová stránka) a čínský výraz pro hru.

Jiří Průša

Náš svět je plný zkratek. A o světě IT to platí dvojnásob. Abyste se v tom „doménovo-technologicko-internetovém“ prostředí vyznali, připravili jsme pro vás knižní záložky, na nichž najdete ty nejčastější zkratky s vysvětlením.

Jen pro ilustraci vybírám například DNS, PKI, VoIP nebo IPv6 (celkem je jich 32). Po pravdě, nevybral jsem tyto zkratky náhodou. Všechny mají něco společného s Akademií CZ.NIC a s nabízenými kurzy. Právě při návštěvě některého z nich můžete tuto záložku získat a s ní i některou knihu Edice CZ.NIC.

P.S.: Čtenáři elektronických knih mají bohužel smůlu. Elektronické záložky se zatím nekonají.

Igor Kytka

Polský bezpečnostní tým CERT Polska uveřejnil 31. července na svých stránkách http://www.cert.pl zprávu, ve které jeho členové popisují, proč NASK (správce registru národní domény .pl) ukončil spolupráci s jedním z registrátorů domén .pl, společností Domain Silver, Inc.

Tento registrátor, jehož oficiálním sídlem byly Seychelské ostrovy, zahájil svou činnost v květnu roku 2012. Od té doby začal CERT Polska pozorovat velký nárůst škodlivých domén .pl. Většina těchto domén byla zaregistrována právě u tohoto registrátora.

Ze všech registrovaných domén (641, stav k 9. červenci tohoto roku) byla pouze jedna doména neškodná. Tou byla přímo doména tohoto registrátora – domainsilver.pl.

Z celkového počtu 404 domén, které obsahovaly škodlivý kód, bylo 179 domén pod správou C&C serverů. Domény, které byly pod správou některého z botnetů, také tyto botnety nebo škodlivý kód distribuovaly. Jednalo se například o malware nebo botnet Citadel, Dorkbot, ZeuS Ice IX, Andromeda, RunForestRun nebo ransomware. Bližší informace jsou k dispozici na stránkách polského CERT týmu.

V doméně .CZ jsme sice zatím nenarazili na případ, kdy by se na podobné záležitosti přímo specializoval registrátor (a doufejme, že i díky podmínkám pro přijímání registrátorů ani nenarazíme), ale i u nás se sem tam objeví podobné případy nakažených domén, resp. stránek. Není jich ale zdaleka tolik jako jinde. Možná je za tím náš nástroj MDM (Malicious Domain Manager), který používáme pro čištění zóny .CZ. Od spuštění pilotní verze této aplikace uběhly více než dva roky a počet opravených nebo chcete-li vyčištěných domén za tu dobu překročil počet 5000.

Michal Prokop

Dosud nejdéle používaný layout webu sdružení CZ.NIC se téměř po šesti letech dočkal faceliftu. Ten dosavadní byl nasazen u příležitosti migrace na nový systém správy domény .CZ v říjnu roku 2007 a s drobnými úpravami plnil svou funkci až do července 2013.

Spuštění redesignovaného webu je zároveň posledním krokem v procesu změny vizuálního stylu sdružení, která byla zahájena loni na podzim spolu s televizní premiérou první série osvětového seriálu „Jak na Internet“.

Kromě hlavního webu www.nic.cz se změna projeví také na všech ostatních webech používajících jednotný vizuální styl sdružení, jako např. labs.nic.cz, edice.nic.cz, www.dnssec.cz, nebo háčkyčárky.cz. Do konce roku 2013 se nového designu dočká také Blog a stránky Akademie CZ.NIC.

Malá exkurze do minulosti

O prvním webdesignu lze v souvislosti s webem www.nic.cz hovořit od poloviny roku 2001.

Roky 2001 – 2004

Tehdy spuštěný web nahradil webové prezentace do té doby kladoucí důraz především na obsahovou stránku (1998, 1999, 2000).

Faceliftu se dočkal o tři roky později v roce 2004.

Roky 2004 – 2006

K významnému redesignu došlo v polovině roku 2006, kdy stěhování sídla sdružení z Prahy 6 na Vinohrady doprovázela také změna vizuálního stylu a s ní i spuštění zbrusu nového webu.

Roky 2006 – 2007

Zatím předposlední a dosud nejdéle používaný layout byl za téměř šest let svého „života“ svědkem celé řady významných momentů v životě sdružení, počínaje úspěšnou migrací na vlastní systém pro správu domén, přes podepsání zóny .cz DNSSEC, spuštění autentizační služby mojeID, až po registraci milionté domény .cz a dvě letošní významná výročí.

Roky 2007 – 2013

Ondřej Písek

V nedávném článku jsme na tomto blogu představili projekt distribuované kybernetické bezpečnosti, na kterém od začátku tohoto roku pracujeme. Hlavní komponentou v navrhovaném systému distribuovaného adaptivního firewallu je speciální domácí router, který monitoruje síťový provoz a je schopen reagovat na potenciální bezpečnostní hrozby, a který vyvíjíme pod kódovým označením „CZ.NIC router“.

V tomto příspěvku si blíže představíme hardware a software navrhovaného zařízení, které by mělo plnit nejen úlohu bezpečnostní, ale mělo by být také plnohodnotným routerem s pokročilými funkcemi.

Operační systém

Pro vývoj operačního systému pro embedded zařízení je dnes možností první volby Linux. Má velmi dobrou podporu existujícího hardware, výbornou síťovou vrstvu, je v této oblasti široce rozšířený a v neposlední řadě je svobodný. Často navíc není třeba implementovat ani zbytek systému na zelené louce, ale je možné najít existující svobodný projekt, který je blízký zamýšlenému využití. To je výhoda svobodného softwaru.

V našem případě bylo hned několik projektů, které byly svým zaměřením blízké našemu záměru. Z nich jsme nakonec vybrali jako základ pro další práci systém OpenWrt. Pro ty z vás, kteří se s ním dosud nesetkali, stručně zmíním, že se jedná o specializovanou Linuxovou distribuci určenou právě pro domácí routery a vyladěnou pro jejich specifické potřeby. Systém tedy obsahuje výbornou podporu pro síťové technologie a je optimalizovaný pro malé paměťové kapacity běžných domácích routerů.

Jako základ vývoje operačního systému pro „CZ.NIC router“ jsme tedy použili OpenWrt, které upravujeme a rozšiřujeme o potřebnou funkcionalitu. V případech, kdy to bude dávat smysl, počítáme s poskytnutím úprav zpět do OpenWrt, aby z nich mohla profitovat jeho poměrně rozsáhlá uživatelská komunita.

Software

Jednou z výhod Linuxu jako jádra pro embedded operační systém je dostupnost velkého množství kompatibilního softwaru. OpenWrt navíc obsahuje balíčkovací systém, který umožňuje velice pohodlně do systému doinstalovat aplikace podle vlastní potřeby. Zároveň je možné si pomocí tohoto systému sestavit základ operačního systému na míru.

V našem případě se jedná např. o použití validujícího DNS resoveru Unbound namísto výchozího DNSMasq nebo výměna minimalistického SSH serveru Dropbear za OpenSSH.

Uživatel si pak může sám doinstalovat např. server pro sdílení souborů v domácí síti nebo třeba bittorrent klienta.

Hardware

Jednou ze zajímavých částí projektu „CZ.NIC router“ je vývoj vlastního hardwaru. K tomuto kroku jsme se odhodlali poté, co jsme prozkoumali na trhu dostupná zařízení a zjistili, že žádné plně nevyhovuje našemu záměru. Pro analýzu síťového provozu v reálném čase je přece jen třeba výkonnější hardware a větší množství paměti, než jen pro běžné routování. Do budoucna navíc počítáme s dalším vývojem softwaru pro bezpečnostní sondu a potřebujeme tedy dostatečnou výkonnostní rezervu.

Zde je krátký výčet důležitých komponent a vlastností navrhovaného systému:

* procesor Freescale P2020 se dvěma jádry architektury PPC taktovaný až na 1.2 GHz
* dedikovaný WAN port (s nezávislým připojením do procesoru)
* 4 LAN porty připojené přes výkonný switch chip
* SO-DIMM slot pro DDR3 paměť (osazený pravděpodobně 2 GB paměti)
* 2 miniPCIe sloty, z nichž jeden bude obsazen výkonnou Wifi kartou kompatibilní s 802.11a/b/g/n
* externí Wifi antény
* flash paměť minimálně 128 MB
* slot na micro SD kartu
* 2x USB 2.0 port

Při návrhu hardwaru jsme se snažili myslet také na jeho možnou rozšiřitelnost. Samozřejmostí tak budou dva USB 2.0 porty pro připojení disků nebo tiskárny. K dispozici bude ale také např. sériový UART výstup přístupný jednoduše přes USB rozhraní a na desce zařízení budou vyvedeny také další sběrnice (GPIO, I2C a SPI) do tzv. pinheaderu, který umožní případné připojení dalších zařízení, podobně jako třeba u platformy Arduino.

Celkově se tedy bude jednat o poměrně slušně vybavené zařízení, které by mělo svým výkonem výrazně předčit cokoli, co je dnes na trhu domácích routerů k dispozici a poskytnout tak dostatek výkonu ke všem potřebným bezpečnostním analýzám.

Co je na něm ale asi nejzajímavější z mého pohledu – bude to plně otevřené řešení, jehož návrh bude zveřejněn pod open source licencí, a které bude moci nést nálepku „Made in Czech Republic“. A takového hardwaru dnes moc nenajdete…

Bedřich Košata

Možná by se mohlo zdát, že svět kolem DNS je suchý a plný pouze jedniček a nul. Naštěstí i DNS komunita má svůj specifický humor a cílem tohoto krátkého příspěvku je upozornit na dva zdroje vtipů spojených s DNS.

První studnice humoru je účet @DNS_BORAT na Twitteru; za velký úspěch považujeme to, že se Knot DNS dostal i do hledáčku DNS_Borata:

Was been wonderful day compare djbdns source code with Knot core dumps; very little differences

— DNS Borat (@DNS_BORAT) July 10, 2013

Mimochodem *_Borat účtů je více: @DEVOPS_BORAT, @Sysadm_Borat nebo @X509_Borat.

Další výborný (obrázkový) blog je DNS Reactions, kde (také neznámý) autor z DNS komunity komentuje DNS pomocí animovaných gifů.

I zde jsme se zjevně stali již součástí popkultury – resp. ten fakt, že ve sdružení pracuje příliš mnoho Ondřejů a velmi často se stává, že si nás cizinci pletou (někdy dostávám pozvánky na schůzky za pět minut, které jsou na druhé straně zeměkoule).

Autor blogu to okomentoval v příspěvku Asking for „Ondrej“ in CZ.NIC, který doplnil tímto obrázkem:

Nakonec bych opět upozornil na sesterský blog DevOps reactions ze života adminů a programátorů.

Ondřej Surý

Dnes bychom se s vámi rádi podělili o dvě novinky, které se dotýkají tématu, jenž nás velmi zajímá a ve kterém se snažíme co nejvíce angažovat. Jak už možná tušíte, jedná se o bezpečnost uživatelů na Internetu a o hrozby, které na ně číhají. Tentokrát se budeme věnovat novým statistikám týkajícím se bezpečnosti. Začněme nejdříve tou obecnější.

Koncem června spustila společnost Google novou sekci v rámci svého transparency reportu nazvanou Bezpečné prohlížení. Tato stránka umožňuje nahlédnout do statistik získávaných díky jejich službě Google Safe Browsing, která aktivně vyhledává nebezpečné stránky a získaná data nabízí prohlížečům. Ty pak mohou varovat uživatele před návštěvou takovýchto stránek. Možná jste se již také ve vašem prohlížeči setkali s následujícím varováním.

Varování prohlížeče před nebezpečným obsahem

Google Safe Browsing sleduje jak výskyty stránek zneužitých k phishingovým aktivitám, tak stránky sloužící k šíření malware. Statistiky si lze nechat zobrazit podle autonomního systému, nechybí ani rozdělení na stránky záměrně útočné a stránky, které byly pouze zneužity.

K dispozici je také souhrnná mapa, která ukazuje procentuální množství napadených stránek vzhledem k celkovému počtu stránek, které Google v dané zemi kontroloval. Nás může těšit, že z testovaných webů v ČR obsahovala škodlivý malware jen čtyři procenta, což v porovnání s okolními státy není špatné.

Mapa po najetí kurzoru nad konkrétní stát ukazuje
procento nebezpečných stránek nalezených službou Google Safe Browsing.

Je zde také možnost podívat se na autonomní systémy dle regionu. Poskytovatelé služeb v konkrétní zemi se tak mohou podívat, jak si jejich síť stojí v porovnání s ostatními a případně se zaměřit na zlepšení boje s nebezpečným obsahem.

Další příjemnou zprávu nám zanechala společnost Architelos na našem Twitteru. Pogratulovala doméně .cz k dobrému umístění (v sekci Excellent) v jejich reportu týkajícím se bezpečnosti webových stránek provozovaných na jednotlivých doménách prvního řádu. Jejich služba NameSentry, na jejímž základě byl report sestaven, pracuje s daty ze služeb jako jsou Internet Identity, SURBL, Spamhaus, MalwareURL, ZeusTracker, SpyeyeTracker, či Malware Domain List. Toto umístění nás velmi těší, je vidět, že i přes skutečnost, že si .cz doménu mohou registrovat i zájemci ze zahraničí, což vždy zvyšuje riziko nákupu doménových jmen za účelem jejich zneužití, doména .cz počítačové zločince nepřitahuje. Jistě na to mají vliv i pravidla pro nakládání s takovýmito doménami, která jsou jasně zakotvena v pravidlech registrace .cz domény, a také preventivní činnost našeho bezpečnostního týmu, který upozorňuje majitele doménových jmen v případě, kdy dojde ke zneužití jejich doménového jména.

Hledejte nás v tom zeleném sloupečku :-)

Pavel Bašta

Na třetí ročník kurzu Internetové technologie pro pedagogické pracovníky, jak už název napovídá, přijeli učitelé z nejrůznějších míst České republiky, kteří se na svých školách věnují výuce informatických předmětů. Cílem programu bylo představit technologie, pomocí kterých Internet funguje a s nimiž učitelé na většině středních škol studenty detailněji neseznamují – IPv6, DNS a DNSSEC, či to, co najdete na webu http://www.háčkyčárky.cz, tedy používání znaků národních abeced v doménách, tzv. IDN.

Ačkoliv se termíny musely přesouvat kvůli povodňové situaci, která by komplikovala dopravu účastníků na kurz, byly nakonec oba dva obsazeny více než z poloviny. Nebylo snadné vyvážit obsah tak, aby si na své přišli jak učitelé na gymnáziích, tak i učitelé na středních odborných školách, kde se předpokládá hlubší znalost technických témat. Přesto z hodnocení vyplývá, že ač nebyla témata pro všechny stejně zajímavá, splnila akce svůj cíl – představit vybrané internetové technologie těm pedagogům, kteří o nich doposud příliš nevěděli, nebo se chtěli dozvědět více. V závěru dne pak došlo na přiblížení projektů pro školy, jimž se věnují kolegové v našich laboratořích.

Dva kurzy máme již letos za sebou. Ještě jeden plánujeme na 26. září. Pokud víte o někom, komu byste tento kurz doporučili, určitě neváhejte; několik volných míst ještě zbývá. Rezervace je možná na e-mailové adrese akademie@nic.cz. Více informací o projektech pro školy se dozvíte na webu http://www.nic.cz/skoly.

Igor Kytka