Na základě řady ohlasů, především od čtenářů našeho bezpečnostního informačního servisu, jsme do webových stránek www.nic.cz a www.csirt.cz nově implementovali možnost použití RSS kanálů pro příjem aktuálních novinek. Na adrese http://www.nic.cz/rss/news/ najdete nyní RSS kanál pro odběr novinek ze stránek www.nic.cz. Pro obecné novinky z webu www.csirt.cz najdete příslušný RSS kanál pod pod odkazem http://www.csirt.cz/rss/news/. Pokud potom máte zájem odebírat novinky přímo a pouze z oblasti bezpečnosti, tak speciálně pro vás je připraven tento link http://www.csirt.cz/rss/news/security/.

Potřebu RSS kanálu jsme si naplno uvědomili už na začátku, kdy se nám ozvalo několik zájemců o tento zdroj. Druhým faktem, který nás ujistil o smysluplnosti tohoto kroku, je to, že novinky na Aktuálně z bezpečnosti přibývají opravdu každý den a někdy je jich i několik najednou. Pokud jste si tedy zvykli na upozornění přes náš Twitter, jistě vás tato změna potěší.

Pavel Bašta

V září minulého roku jsme představili výsledky prvních devíti registrátorů, kteří absolvovali náš dobrovolný certifikační program (podrobnosti a podmínky naleznete zde).

Tehdy nás jeho účastníci potěšili – jak svým počtem, tak dosaženými výsledky. Již v tomto prvním kole jsme ocenili hned tři z nich nejvyšším počtem 5 hvězdiček a jeden z účastníků (registrátor Web4U) dokonce dosáhl maximálního 100% hodnocení.

Na přelomu roku potom k prvním devíti statečným přibyli ještě dva další účastníci programu a v těchto dnech jsme uzavřeli i certifikaci dalšího nováčka, společnosti banan.

Jelikož certifikace samotná je platná po dobu 12 měsíců, proběhla v uplynulých dvou měsících recertifikace všech prvních devíti účastníků, a mohu konstatovat, že k naší plné spokojenosti. Výsledky jsou opět výborné u všech účastníků, takže bych vyzdvihl pouze pár bodů:

– po roce se do programu opětovně přihlásili všichni jeho účastníci, což svědčí o tom, že certifikace má pro registrátory svůj smysl

– nikdo z registrátorů nedopadl hůře než v předchozím roce

– s výjimkou Web4U (ti dosáhli maxima už v loňském roce) a dvou dalších účastníků, kteří zůstali takzvaně „na svém“, se všichni ostatní zlepšili, a to ať už co do počtu hvězdiček (přibyli nám například dva pětihvězdičkoví) nebo co do celkového procentuálního hodnocení.

Konečně posuďte sami. V následující tabulce můžete porovnat výsledky jednotlivých účastníků a jejich posun.

Přesvědčit se samozřejmě můžete i přímo v seznamu registrátorů, kde jsou zveřejněny jak výsledky hodnocení, tak podrobné certifikační protokoly.

Martin Peterka

Možná se někteří z vás v duchu ptají, jestli vůbec letos bude konference Internet a Technologie. Odpověď zní ano, IT 12 bude, už na ni začínáme pilně pracovat. Protože jsme ale v červnu již jednu konferenci udělali – IPv6 Day, rozhodli jsme se trochu vybočit ze zajetých kolejí a tradiční setkání nad internetovými tématy lehce pozměnit, třeba jen pro tentokrát.

První, o čem přemýšlíme, je to, zda udělat akci v týdnu nebo o víkendu. Pořadatelé brněnských setkání mají s akcemi na konci týdne dobré zkušenosti, takže jsme celkem nakloněni tomu, uspořádat naše setkání v některé z listopadových sobot (na konci měsíce). S termínem akce souvisí i další skutečnosti. Chceme akci více „otevřít“ především studentům vysokých škol (samozřejmě ale nejen jim). I proto ji také tentokrát plánujeme do některé z poslucháren. Na závěr ještě doplním, že s ohledem na „cílovou skupinu“ uvažujeme o skutečně symbolickém registračním poplatku.

Další informace si zatím necháme v záloze. Přeci jen, konference bude až v listopadu a na odhalení všech karet je tedy ještě čas. Smyslem tohoto blogpostu je zjistit od vás, kteří nás sledujete, chodíte na naše akce, zajímáte se o naše projekty a aktivity, jestli jsou i pro vás nastíněné změny natolik zajímavé, že byste na víkendovou, jednodenní akci přišli. Jsou to celkem velké změny, a tak by nás zajímalo, co jim řeknete. Předem děkujeme za vaše názory a připomínky v komentářích.

Vilém Sládek

Blíží se spuštění našeho dalšího osvětového projektu, který volně navazuje na úspěšnou kampaň věnovanou pouze doménám – „Dobrá doména“. Aktuální projekt je tu s námi prakticky od začátku tohoto roku a musím přiznat, že mu po celou tu dobu věnujeme velkou pozornost a péči. Seznámit se s ním budete moci poprvé již za 14 dní, ale pro ty, které jsme už stihli těmito pár řádky navnadit, přinášíme již nyní několik málo indícií.

V pondělí 1. října bude na nejmenovaném televizním kanálu, ihned po hlavní zpravodajské relaci, odvysílán první díl našeho nového, nijak krátkého osvětového seriálu. Připravili jsme ho společně s tvůrci pořadů o vodě nebo památkách UNESCO. Další podrobnosti si zatím necháme pro sebe s tím, že první říjnové pondělí vyložíme karty na stůl a projekt představíme v celé jeho kráse. Doufáme, že se už těšíte. My hrozně :)!

Tomasz Hatlapa

Novou zkratkou, kterou bylo často slyšet v kuloárech vancouverského meetingu IETF, je IRS. Cílem této iniciativy je, jak už název napovídá, standardizované rozhraní pro přístup do „střev“ IP směrovačů. Toto rozhraní má zprostředkovat externím softwarovým aplikacím poměrně detailní náhled do stavu směrovacího subsystému, ale také umožnit přímé zásahy do směrování a modifikace směrovacích tabulek (RIB) a dalších datových struktur, například LFIB (pro MPLS) a multicast RIB.

Více informací o IRS lze prozatím získat ze dvou Internet draftů:

• draft-atlas-its-problem-statement-00 identifikuje obecné problémy, které má IRS v budoucnu řešit, a též zdůvodňuje, proč jsou stávající řešení nedostatečná;
• draft-ward-irs-framework-00 obsahuje rámcový popis architektury IRS a jeho funkcí.

Oba dokumenty lze těžko obvinit z přílišné skromnosti, pokud jde o šíři očekávaných aplikací. Autoři předpokládají nasazení IRS jak pro monitoring a diagnostiku směrování, tak i pro implementaci nejrůznějších administrativních politik v oblastech jako QoS, bezpečnost, diferencované nakládání se zákazníky apod., prostě všude tam, kde standardní konfigurace a směrovací protokoly (údajně) nestačí.

Prezentace IRS při jednání pracovní skupiny Routing Area vyvolala velmi bohatou diskusi. Reakce byly většinou pozitivní a podpůrné, kritické komentáře upozorňovaly hlavně na nebezpečí přílišné šíře záběru – jak se pěkně anglicky říká: „boiling the ocean“.

IRS se má od existujících metod interakce se směrovacím systémem (CLI, SNMP, IPFIX, NETCONF) lišit možností rychlého přístupu k detailním informacím o stavu systému a možností operativních softwarově řízených zásahů. První z uvedených dokumentů však při analýze vhodnosti protokolu NETCONF coby mechanismu pro realizaci IRS vycházel v řadě ohledů ze zastaralých anebo přímo nesprávných informací – NETCONF byl pak na jejich základě zavržen. Tyto nedostatky byly v diskusi také zmíněny a aktivisté IRS přislíbili, že se k výchozí analýze ještě vrátí a použití NETCONFu a jeho datových modelů znovu zváží.

Moje osobní dojmy jsou zatím smíšené. Samotná idea IRS jako mechanismu pro přístup ke směrovacím datům je v pořádku, trochu mne ale dráždí jeho avizované použití. Vychází totiž z předpokladu, že směrování v Internetu lze optimalizovat aktivním řízením routerů z nějakého „inteligentního“ centra. Dosavadní zkušenosti mne přesvědčují, že se v takových případech výkon sítě často spíše zhorší.

Otázky IRS jsou intenzivně diskutovány v konferenci  irs-discuss. Pokud půjde vše podle předpokladů, bude se na příštím meetingu IETF 85 v Atlantě konat zasedání typu BoF (Birds of a Feather) a z něj by následně mohla vzejít nová pracovní skupina IRS při IETF.

Ladislav Lhotka

Můj druhý postřeh z meetingu IETF 84 se také týká protokolů a nástrojů pro síťový management. Zatímco minulý příspěvek byl věnován konfiguračním datům, dnes bych se rád zmínil o jedné diskusi týkající se stavových dat, která jsou pro efektivní správu síťových zařízení také velmi důležitá. Čím se liší od těch konfiguračních? Rozdíl můžeme ukázat na jednoduchém příkladu IP adresy. Ta může být pro dané rozhraní buď statická, a pak je zapsána někde v konfiguračních datech, anebo se získává pomocí DHCP a její aktuální hodnotu může správce zjistit ze stavových dat. Za stavová data se obvykle považují i různé statistické čítače, kupříkladu počty bajtů přijatých a odeslaných přes dané rozhraní.

Pro práci s oběma typy dat jsou k dispozici dva konkurenční protokoly: SNMP a jeho mladší bratranec NETCONF. Pokud jde o konfigurační data, hovoří vše celkem jasně pro NETCONF, SNMP se v této oblasti neosvědčil a dnes se prakticky nepoužívá. U stavových dat je ale situace do velké míry opačná a SNMP tu zatím jednoznačně vládne. Síťovým operátorům už se ovšem dosti zajídá spravovat sítě pomocí dvou různých protokolů – a začínají se hlasitě ozývat.

Diskuse na toto téma propukla na IETF 84 poněkud nečekaně během jednání pracovní skupiny OPSAWG, když byl na programu Internet draft draft-schoenw-opsawg-vm-mib-01, který definuje část databáze SNMP MIB se stavovými daty pro virtuální počítače s hypervizorem. Rozbuškou však nebyl tento celkem nevinný dokument, ale osoba přednášejícího: byl jím Jürgen Schönwälder, který je jednou z vůdčích figur stojících za návrhem protokolu NETCONF. Dotaz z pléna zněl zhruba takto: „Jestli to s NETCONFem myslíte vážně, proč nás pořád zásobujete novými daty pro SNMP a neimplementujete raději stejná data v NETCONFu?“ Většina diskutujících se pak skutečně přiklonila k názoru, že by bylo velmi prospěšné toto schizma postupně odstranit a mít všechna stavová data k dispozici prostřednictvím NETCONFu.

To se snadno řekne, ale hůře udělá. Převod všech definic objektů z databáze MIB (zapsaných v jazyku SMIv2) na datový model pro NETCONF (v jazyku YANG) je sice možný, vzhledem k vysokému počtu MIB objektů je to ale práce pro vraha, a tak se do ní nikomu nechce. Druhou alternativou, která se již také testovala, je proto automatický převod. Pro tento účel dokonce existuje specifikace v RFC 6643, jehož autorem je shodou okolností rovněž Jürgen Schönwälder.

Jenže, jak víme i z jiných případů, výsledky strojového překladu nebývají zrovna ideální. V daném případě se naráží jednak na některé nekompatibility mezi jazyky SMIv2 a YANG (příkladem je rozdílný způsob indexace objektů v databázi), ale také na problém převodu důležitých informací zapsaných v MIB modulech volným textem – doplňujících popisů a implementačních instrukcí.

Momentálně tedy převládá názor, že automatický převod lze použít ad hoc v případě akutní potřeby přístupu k MIB datům pomocí protokolu NETCONF. Z dlouhodobého hlediska bude ale asi nezbytné podstoupit martyrium spojené s ruční konverzí. Vypadá to tedy, že internetová komunita má v této oblasti o práci postaráno na řadu příštích let.

Ladislav Lhotka

Už tuto sobotu začnou v pražském hotelu Hilton první setkání v rámci 44. mítinku organizace ICANN. Již o den dříve ale oznámí předseda představenstva Steve Crocker společně s provozním ředitelem Akramem Atallahem, kdo bude novým výkonným ředitelem celosvětového správce sítě Internet. Současnému výkonnému řediteli Rodu Beckstromovi totiž končí jeho funkční období a rozhodl se už dále ve svém působení v rámci ICANNu nepokračovat. Pražské setkání pro něj tedy bude posledním v jeho současné roli. U příležitosti představení nového výkonného ředitele chystá ICANN v Praze tiskovou konferenci, na níž zve jak zástupce českých médií, tak další členy české internetové komunity. Toto setkání začíná v hotelu Hilton ve čtyři hodiny odpoledne našeho času. Pro zahraniční novináře, ale i pro všechny ostatní, kteří se nemohou zúčastnit a chtěli by znát jméno nové hlavní tváře ICANNu mezi prvními bude připraven online přenos.

Vilém Sládek

Jak jsme již informovali v této novince, v pátek 1.června se v sídle sdružení CZ.NIC uskutečnilo setkání v jehož rámci došlo k předání zkušenosti s provozováním národního CSIRT týmu zástupcům týmu CERT-RO (ten je stejně jako my akreditován u úřadu Trusted Introducer). Organizátorem akce byla Evropská agentura pro síťovou a informační bezpečnost (ENISA), jejímž primárním cílem je dosažení vysokého stupně informační a síťové bezpečnosti mezi členskými státy EU.

Na začátku setkání zazněly informace o historii budování CSIRT.CZ a jeho cestě do pozice Národního CSIRT České republiky, o organizační struktuře týmu, ale také sdružení CZ.NIC samotného, o práci Laboratoří CZ.NIC, které se ve svých projektech bezpečností také intenzivně zabývají, Akademii CZ.NIC a jejích vzdělávacích projektech atd. Kolegové z CERT-RO také ocenili informace o pracovní skupině CSIRT.CZ,  jejímiž členy jsou zástupci významných provozovatelů sítí, poskytovatelů obsahu, rizikových služeb, bezpečnostních složek České republiky, Českého telekomunikačního úřadu, sdružení CZ.NIC i NIX.CZ a akademického sektoru. Tato pracovní skupina umožňuje setkávání bezpečnostních expertů z uvedených organizací a také vzájemné předávání informací a zkušeností souvisejících s počítačovou bezpečností.

Během setkání jsme zástupce týmu CERT-RO informovali také o nástrojích, které používáme při řešení incidentů, ať už ticketovacího systému OTRS, různých linuxových utilit, rozšíření pro Firefox, či různých nástrojů dostupných on-line. Nejvíce však členy národního CSIRT týmu Rumunska zaujala aplikace, kterou vyvinuly naše laboratoře  a jako open source nabídli k používání i dalším registrům. Je to aplikace MDM, o níž jsme již psali zde  a jejíž nasazení pomohlo také k lepšímu postavení České republiky v různých statistikách phishingových stránek.

Kolegy z CERT-RO také zaujala prezentace životního cyklu incidentu od jeho vzniku až po jeho vyřešení. Během této přednášky jsme poreferovali o některých zajímavých, či zásadních incidentech, které jsme za poslední rok řešili. Hojně diskutovanou se stala také otázka proaktivního přístupu a úzké spolupráce na úrovni národních CSIRT týmů.

Setkání se zúčastnil také zástupce týmu CESNET-CERTS, který provozuje sdružení CESNET pro dohled nad sítí národního výzkumu a vzdělávání. Oba české bezpečnostní týmy spojuje dlouhodobá a velice úzká spolupráce na poli internetové bezpečnosti v této zemi. Zástupce CESNET-CERTS na tomto setkání prezentoval systém pro efektivní sdílení informací o bezpečnostních událostech. Jeho nasazení je ve spolupráci s CSIRT.CZ plánováno i na národní úrovni.

Dlužno říci, že i náš tým získal zajímavé nové informace. V Rumunsku je existence Národního týmu  zakotvena v zákoně a na jeho provozu se podílejí například i kmenoví zaměstnanci bezpečnostních sil. Rumunský národní CERT tým se také momentálně ve spolupráci s vládním sektorem pokouší o spuštění vlastního rozsáhlého IDS systému. Také je zajímavé, že registr rumunské národní domény .RO nezobrazuje a ani nepředává žádné údaje o držitelích domén, pokud jsou tito fyzickými osobami. Z pohledu práce CSIRT týmů je toto jasná nevýhoda při řešení incidentů. A zajímavost na závěr – pokud by někdo z vás toužil pracovat v Národním CSIRT týmu Rumunska, pak vězte, že minimálním požadavkem pro práci v tomto týmu je úspěšné složení certifikace Certified Ethical Hacker (CEH).

Pavel Bašta