Také jste byli naštvaní, když vám některá webová služba odmítla přístup s tím, že nejste ze „správného“ geografického regionu? Takovýto pohled nepotěší asi nikoho…

Zkoušeli jste různé proxy či VPN a zjistili, že reálně se nedají používat, protože jsou pomalé? Nedávno se objevila nová služba UnoDNS, která o sobě tvrdí, že problémy s proxy či VPN vyřešila a že Hulu, Netflix a další streamované služby či kanály vám poběží bez problémů. Dokonce i recenze služby to potvrzují.

Je tu ale jeden háček. Musíte si změnit nastavení DNS a začít používat servery UnoDNS. Ty filtrují dotazy do DNS pro domény podporovaných služeb a mění odpovědi. Běžná odpověď pro www.netflix.com:


www.netflix.com is an alias for wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com.
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.185.102
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.186.229
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.187.142
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.188.229
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.184.243
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.185.50


A stejná odpověď při použití UnoDNS:


www.netflix.com is an alias for wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com.
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 107.21.96.127
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 50.19.99.64
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 107.20.232.200
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 50.19.103.125
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 107.20.137.117
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 50.19.119.154


A právě tady je jádro možného problému. Co když nebudou filtrovány jen záznamy služeb pro streaming videa, ale i něco jiného? Ani bychom to nezjistili, protože kdo z nás si po několika týdnech vzpomene, že jsme změnili nastavení DNS kvůli poslední epizodě seriálu, kterou jsme chtěli vidět. Nejsme zde dokonce svědky konce doposud běžné praxe používání DNS našich ISP a začátku fragmentace na používání různých DNS poskytovaných někým jiným? Pokud ano, zřejmě nás čeká situace, kdy každý z nás uvidí „jiný Internet“ právě podle toho, jaké DNS servery používáme. Případně si budeme mezi těmito „různými Internety“ přepínat podle uvážení. Žádná lákavá představa ani v jednom případě …

PT

Jedním z témat proběhnuvšího zasedání organizace ICANN byly problémy související se službou WHOIS. Jedná se o službu, kterou nabízejí prakticky všechny doménové registry a která slouží ke zjišťování informací o zaregistrovaných doménách a jejich držitelích. Z pohledu veřejnosti je to prakticky jediná možnost jak tyto informace, často nutné pro řešení sporů nebo bezpečnostních incidentů, získat. V zásadě se téma WHOISu na zasedání probíralo ve dvou rovinách. První rovinnou byla validita dat v registru a druhou problémy vlastního přístupového protokolu definovaného podle RFC 3912.

ICANN v rámci svých pravomocí definuje pravidla pro fungování generických domén nejvyšší úrovně (gTLD) jako jsou .com, .org nebo .net a to včetně pravidel pro získávaní a zveřejňování údajů o držitelích v nich registrovaných poddomén. Kvalita těchto údajů je v registrech jednotlivých domén různá a obdobně se liší přístup k zacházení s těmito daty. ICANN proto na konci roku 2010 ustanovil skupinu nazvanou WHOIS review team, která měla situaci zanalyzovat. Výsledkem jejich práce je zpráva, která mimo jiné ICANN vyzývá, aby situaci řešil a zpřesnil validitu údajů o 50 % během 12 měsíců. Registry národních domén si pravidla co, kdy a jak zveřejňovat stanovují sami, což ale neznamená, že je nízká validita dat také netrápí. K vidění bylo několik prezentací, které nabízely různé cesty jak zajistit, aby data o držitelích domén byla validní. O cestě, kterou zvolilo Estonsko a která vychází z předávání bankovní informace o vlastníkovi účtu, z něhož se zaplatila doména, jsme již psali v souvislosti s naším registračním systémem FRED, který v Estonsku používají. Vlastní cestu prezentovalo také Turecko. U nás se snažíme jít cestou, že ověřeným kontaktům nabízíme něco navíc a to možnost vlastní správy údajů a sdíleného přihlašování v rámci služby mojeID.

Veřejnost má k těmto údajům přístup kromě obvyklých webových vyhledávacích stránek také pomocí stadardního protokolu podle RFC 3912. O tom, že tento protokol překročil hranice svých možností, se diskutuje již dlouho. Během podzimu loňského roku ale tato situace akcelerovala zejména díky aktivitě adresních registrů. Uvnitř ICANN na problematiku poukázala také zpráva č.51 výboru SSAC (Security and Stability Advisory Committee). Pěkný souhrn poskytla i prezentace z aktuálního setkání. V čem je největší problém? Prakticky všichni se shodují na následujících třech bodech:

• stávající WHOIS protokol umožňuje přesun balíku dat ze serveru na klienta. Neexistuje žádný standardizovaný model pro přenášená data a každá implementace si to tedy dělá po svém.
• neexistuje žádná standardizovaná podpora pro různé jazyky. Protokol neumožňuje vyspecifikovat kódování předaných údajů
• neexistuje žádná možnost autentizace klientů s tím, že by se různým skupinám nabízela různá data

Vyřešení tohoto problému si na svá bedra naložilo IETF. Na první informativní schůzce (BOF) při posledním zasedání se ale strhla bouřlivá diskuze. Problém je, že doménový svět se již o změnu jednou pokusil. Pracovní skupina CRISP zhruba mezi roky 2003 a 2007 vygenerovala jako náhradu WHOISu protokol IRIS, který se ale vůbec neprosadil. Zástupci adresních registrů poměrně silně ventilovali svoje obavy, že kvůli doménám opět skončí tento pokus neúspěšně. Jestli se tyto dvě skupiny dohodnou na ustanovení společné pracovní skupiny se ukáže příští týden na IETF 83. Podle diskuze v mailové konferenci to spíš směřuje ke kompromisu. Jak by finální výsledek mohl vypadat napovídají existující prototypy adresních registrů (ARIN, RIPE,…). Bude se jednat zřejmě od REST službu postavenou na HTTP protokolu s definovaným adresním schématem (např. whoisserver/contact/id) a v odpovědi se bude vracet XML nebo JSON struktura s výsledkem. Ale jsme teprve na startu, takže nebudu předbíhat…

Jaromír Talíř

Na právě probíhajícím setkání ICANN ve středoamerické Kostarice propagujeme další mítink, který se bude v červnu konat u nás v Praze. Součástí prezentace je obrázek notoricky známého panoramatu s Hradčany, na nějž mohou účastníci mítingu lepit pohlednice s atributy typickými pro Českou republiku. Mezi tyto „taháky“ patří třeba pivo, historické památky nebo krásné ženy. A právě ty se staly předmětem nedorozumění.

Poté, co si jeden účastník setkání stěžoval na údajný sexistický charakter těchto pohlednic, byly ze stánku na žádost ombudsmana organizace ICANN staženy. V pravidlech ICANN se píše, že všichni členové této komunity jsou si rovni a to nejen v otázkách pohlaví, ale i víry nebo rasy, s čímž naprosto souhlasíme.

Za CZ.NIC bych rád dodal, že diskriminace je v přímém rozporu s našimi hlavními firemními hodnotami. V žádném případě jsme neměli v úmyslu kohokoliv diskriminovat nebo urazit. Plně respektujeme pravidla organizace ICANN, a proto jsme ihned po předání stížnosti nálepky s motivem dívky z našeho stánku odstranili. Nicméně, dle našeho stále trvajícího přesvědčení není dívka na problematickém obrázku znázorněna ani náznakem v sexuálním kontextu. Ale jak je vidět, hranice politické korektnosti leží pro každého jinde, což se projevilo například i tím, že problém nastal až třetí den, a to poté, co tyto pohlednice řada účastníků vylepila na našem stánku. Do té doby se nikdo ani náznakem nezmínil, že by mu to nějak vadilo. Zajímavé také je, že po stažení těchto nálepek se na tabuli se vzkazy začalo objevovat i slovo HOLKY.

Vilém Sládek

Akoby nestačilo napadnutie certifikačných autorít v roku 2011 a nedávne priznanie Trustwave, že vydávala certifikáty na korporátne man-in-the-middle útoky, našla sa ďalšia trhlina spôsobená nesprávnou implementáciou generátora náhodných čísel (kauza s debianími slabými kľúčami bola podobne spôsobená chybou v náhodnom generátore).

Tým výskumníkov vedený A. Lenstrom z EPFL našiel v databáze certifikátov z SSL Observatory a iných zdrojoch ďalšie páry kľúčov, ktoré zdieľajú v RSA module prvočíslo. To znamená, že použitím obyčajného vyše 2000 rokov starého Euklidovho algoritmu je možné niektoré RSA moduly faktorizovať. Z ich výsledkov vyplýva, že zhruba 2 z 1000 kľúčov idú týmto spôsobom faktorizovať. Testovali celkovo 11.7 milióna RSA, ElGamal, DSA a ECDSA kľúčov, z toho šlo uvedenou metódou prelomiť cca 27000 RSA kľúčov.

DSA a ElGamal kľúče nevykazovali žiadne podobné štatistické anomálie, ECDSA kľúč bol len jeden. Z uvedeného sa dá usudzovať, že PGP a GnuPG slabým generátorom netrpia (pretože väčšina testovaných ne-RSA kľúčov bola vygenerovaná jedným z týchto softwarov). Zatiaľ sa nevie, ktoré implementácie vygenerovali zmienené slabé RSA kľúče.

V diskrétnom grafe použitom na modelovanie zdieľaných prvočísiel a modulov je prvočíslo reprezentované vrcholom, hrana spája dve prvočísla patriace k modulu (moduly s viacerými prvočíslami neboli nájdené). V ideálnom prípade by vrcholov malo byť dvakrát toľko čo hrán, tj. žiadny pár RSA modulov nezdieľa prvočíslo. V Lenstrových výsledkoch sa ale nachádza 1995 nesúvislých komponent s tromi a viac vrcholmi.

Preložené do „nematematičtiny“: existuje 1995 skupín po niekoľkých RSA kľúčoch, kde keď poznáte prvočísla aspoň jedného z vrcholov, môžete faktorizovať ostatné. Rovnako znalosť dvoch modulov z rovnakej skupiny umožňuje použiť Euklidov algoritmus na zistenie jedného z prvočísiel a teda faktorizovanie oboch modulov.

Lenstra tiež zmieňuje dlhšie známy fakt o zdieľaní RSA modulov v X.509 SSL/TLS certifikátoch. Podľa jeho údajov 4 % kľúčov sú zdieľané, často medzi nesúvisejúcimi organizáciami alebo jedincami. Časť „s nesúvisejúcimi organizáciami“ ale treba brať trocha s rezervou.

O zdieľaní kľúčov v certifikátoch som mal pár debát s rôznymi výskumníkmi, napríklad s Ralphom Holzom, ktorého práca SSL Landscape je spomínaná v Lenstrovom príspevku. Obaja sme našli rôzne kľúče zdieľané medzi zdanlivo nesúvisejúcimi stranami, ale keď sa človek do toho začal vŕtať viac, tak zistil, že nejak prepojené sú (ale to treba robiť ručne prehliadaním obchodných registrov, atp.). Napriek tomu existujú kľúče ktoré sú zdieľané medzi organizáciami bez toho, aby to bolo úmyselné (napríklad niekto nezmení na VPS hostingu SSH/SSL kľúče, ktoré sa nakopírujú z inštalačného obrazu).

Podľa iného článku sa problém týka hlavne embedded zariadení, ktoré majú pri generovaní kľúčov malý zdroj entropie, takže netreba až tak moc panikáriť. Linkovaný článok obsahuje veľa technických podrobností, hlavná pointa je, že najskôr sa to netýka internetového bankovníctva a iných vysoko citlivých aplikácií.

Záujemcov o podrobnosti odkážem na pôvodný príspevok od Lenstra, et al publikovaný na eCrypt archíve (pdf).

Ondrej Mikle

Toto úterý uspořádala Lupa.cz v pražském kině Atlas panelovou diskusi s názvem ACTA – mýty a fakta. Velice živou debatu odstartovala tradičně perfektní prezentace Jiřího Peterky, na kterou (pod dirigentskou taktovkou Patricka Zandla coby moderátora setkání) navázaly výstupy jednotlivých aktérů, mezi nimiž byl i náš Ondřej Filip. CZ.NIC také zařídil živý přenos, který bylo možné sledovat právě na Lupa.cz.

O setkání byl opravdu zájem. Panelovou diskusi navštívilo na Lupě přibližně 2 100 unikátních diváků, kteří se připojili nejen z Čech, ale i ze Slovenska, Spojených států, Velké Británie, Německa, Ruska, Finska, Holandska nebo Španělska. Je třeba dodat, že živý přenos zajišťovaly i jiné týmy, a to pro Technet.cz a TN.cz. Celkový počet virtuálních návštěvníků tak tedy bude ještě vyšší. Jen tak na okraj, tato skutečnost s sebou přinesla i nepříjemné situace, jimiž byly výpadky zvuku způsobené dělením se o jeden patřičný kabel.

Těší nás, že jsme mohli přispět k rozšíření debaty na téma ACTA za hranice sálu jednoho pražského kina. A chceme v tom pokračovat dál – zde můžete celý záznam diskuse shlédnout znovu.

ACTA – mýty a fakta, 7. 2. 2012, Kino Atlas, Praha

Vilém Sládek

Pravděpodobně se k vám už nějak dostalo, že v pondělí bude Česko i Slovensko slavit výročí. 13. února tomu bude přesně 20 let od prvního připojení tehdejší federace k síti Internet. Oslavu k této události pořádá sdružení CESNET a pro mě je velikou ctí, že budu moci vystoupit se svým příspěvkem vedle tak skvělých lidí, kteří vykonali tolik nejen pro český Internet. Snad se ale tito vážení pánové neurazí, když dám dnes přednost jednomu z nich a detailněji představím pouze jeho. Jde o člověka, který jako jediný z fyzicky přítomných mluvčích nepochází ze států bývalé federace.

Pozornější již tuší, že mluvím o Stevu Crockerovi. Někdy mě trochu mrzí, že zatímco Vint Cerf je velmi známý a je často (a jistě právem) nazýván otcem Internetu, Steve je tak trochu v pozadí. I když jeho vztah k tomuto projektu nejlépe ilustruje jeho autorství RFC dokumentu s číslem 1, a tak trochu symbolicky i tato fotka na které je společně s Vintem a Jonem Postelem.

Ačkoliv jde o skutečnou Internetovou celebritu, mé první setkání s ním bylo velice spontánní. Prostě nám poslal do CZ.NICu e-mail, že by s námi rád zašel na večeři. Bylo to v době prvního pražského zasedání IETF, a tak jsme, Tomáš Maršálek, Ondra Surý a já, prostě šli. Tuto událost se nám podařilo zachytit na této fotografii, kterou rád používám v prezentacích při představení úplného počátku projektu DNSSEC v České republice. (Poslední na fotce je Rick Lamb z ICANNu.)

Steve, kromě toho, že je v současnosti předsedou představenstva ICANNu, se totiž od samého začátku velice zasazuje o zavádění této technologie a k nám přišel prvotní impuls právě od něj. Od té doby jsem se s nim několikrát sešel a vždycky mě překvapoval svou obrovskou skromností a velkým zájmem o rozvoj DNSSECu i v tak malé zemi, jakou Česká republika je. Proto mě už vlastně ani nepřekvapilo, že na mou prosbu, jestli by na tuto oslavu nemohl přiletět, jen skromně odepsal, že je „polichocen a poctěn“. Co dodat?

V pondělí tedy budeme mít možnost na živo vidět v Praze velkého muže, i díky kterému si čtete tento blog po síti sítí. Jaká čest!

Ondřej Filip

Doména .рф už není jedinou funkční doménou nejvyšší úrovně v cyrilici. Od 27. ledna je možné registrovat i v doméně .СРБ. Jde to druhou doménu Srbska, první je latinková doména .rs. Obě domény jsou operovány stejným správcem, jímž je RNIDS. Zatím nejsou registrace úplně volné, prvních šest měsíců běží sunrise fáze, ve které mohou registrovat pouze držitelé stávajících domén v .rs. Doména .rs má v současné době něco málo přes 70 tisíc registrací. Některé domény jsou již v provozu, takže pokud se zajímáte například o kroky srbského prezidenta, můžete je sledovat na http://председник.срб.

Srbové mají s převody mezi latinkou a cyrilicí poměrně bohaté zkušenosti z jejich soužití s Chorvaty, takže hledání převodních pravidel nebylo nijak komplikované. Naopak bylo složité najít správnou doménu, jež by je reprezentovala. Díky tomu, že cyrilice je příliš podobná latince, bylo nutné nezůstat pouze u písmenek ‚R‘ a ‚S‘ nebo-li v cyrilici ‚Р‘ a ‚С‘ a bylo nutné koncovku rozšířit o další znak.

Přejme tedy nové doméně hodně štěstí a budeme sledovat, jak si povede vedle své latinkové starší sestry.

Ondřej Filip

V tomto příspěvku bych chtěl zmínit některé incidenty, které řešil v minulém roce bezpečnostní tým CSIRT.CZ, a o kterých nebylo z nejrůznějších důvodů vhodné se zmiňovat ihned po jejich vyřešení.

Zneužitý hosting
V srpnu jsme přijali hlášení o incidentu, jehož původce neváhal investovat do nákupu legálního hostingu. Nejprve si u jednoho velkého operátora pronajal celou síť, v níž provozoval různé aktivity, které na první pohled nevzbuzují podezření. Jednalo se například o provozování on-line kasin, e-shopů s podezřele levným software a se značkovými hodinkami Rolex :). Operátor se bohužel pravděpodobně nechtěl dostat do konfliktu se zákazníkem a tak raději zvolil taktiku mrtvého brouka. Na situaci si stěžovalo čím dál více subjektů ze zahraničí, což vedlo až k problémům s blokováním některých jeho služeb. Smlouvu tomuto zákazníkovi vypověděl v říjnu, kdy už pro něj situace byla neúnosná. Provozovatel webů se však pouze přesunul k jinému velkému ISP. Zde se situace opakovala. Až ve chvíli, kdy důsledky chování tohoto zákazníka dopadly na další zákazníky, došlo na výpověď smlouvy. Poté proběhlo stěhování k menšímu rovozovateli webhostingových služeb. Ten sice také nechtěl zákazníka odpojit, ale byl ochotný o celé věci diskutovat. Když jsme mu vysvětlili, že provozovat kasina lze v České republice pouze po nahlášení u Ministerstva financí ČR a poukázali na předchozí události spojené s provozováním těchto webů, rozhodl se sám aktivně smlouvu vypovědět. Zatím to tedy vypadá, že tato poslední zkušenost konečně odradila provozovatele těchto webů od jejich dalšího provozování v naší zemi, neboť národní csirt od té doby již žádnou další stížnost neobdržel. Byl to běh na dlouhou trať, ale pro pověst České republiky je dobré, že se nakonec podařilo tyto weby vytlačit mimo „internetový rozsah ČR“. Pokud by se takováto síť u nás dlouhodobě udržela, mohly by se k nám začít stěhovat také weby s daleko nebezpečnějším obsahem. To by potom mohlo znamenat větší rizika i pro uživatele internetu u nás.

Varování ICS-CERT
V listopadu náš tým obdržel od týmu ICS-CERT seznam přibližně osmdesáti potenciálně ohrožených ICS (Industrial control system) systémů v Česku. ICS systémy zahrnují systémy SCADA, DCS a PLC. Tyto systémy nebyly přímo napadeny, ale jejich provozovatelé je měli dostupné z internetu a mnohdy pouze s minimálním zabezpečením, či dokonce s defaultním jménem a heslem. Informace jsme zpracovali a individuálně předali všem provozovatelům těchto systémů. Záměrem této preventivní akce bylo tedy upozornit provozovatele těchto zařízení, že mají takovýto systém dostupný z internetu, a předejít tak zneužití či poškození těchto systémů v budoucnosti. Více informací lze nalézt například na této adrese.

Spolupráce s FBI
V říjnu náš tým ve spolupráci s MVČR pomáhal FBI s předběžným zajištěním důkazů. Jednalo se o server, který sloužil několik let jako hlava botnetu. Protože existovala reálná možnost, že by po sobě vlastník tohoto serveru mohl zamést stopy, byli jsme požádáni o vyjednání předběžných záloh dat důležitých pro další vyšetřování. Protože neznáme podrobnosti o průběhu dalšího vyšetřování, nemohu bohužel zacházet do přílišných podrobností. V každém případě, to oč jsme byli požádáni se nám podařilo s provozovatelem služeb domluvit.

Pavel Bašta

Ústavní soud na návrh Obvodního soudu pro Prahu 6 vyhověl návrhu na zrušení ustanovení § 88a trestního řádu. Nález ještě není k dispozici, ale jak vyplynulo z vyjádření JUDr. Rychetského pro Českou televizi, lze očekávat obdobnou argumentaci, jako v případě tzv. data retention, tedy uchovávání provozních a lokalizačních údajů.

Toto ustanovení trestního řádu totiž umožňuje policii požádat telekomunikačního operátora o poskytnutí údajů o uskutečněném telekomunikačním provozu, které jsou předmětem telekomunikačního tajemství nebo se na ně vztahuje ochrana osobních a zprostředkovacích dat – řeč je nejen o telefonních číslech, ale třeba také o IP adresách, e-mailu a podobně. Údaje o uskutečněném telekomunikačním provozu jsou podle názoru Ústavního soudu, stejně, jako samotný obsah komunikace, údaji způsobilými zasáhnout do soukromí dotčených subjektů (k tomu se ÚS vyslovil již dříve v rozhodnutí sp. zn. II. ÚS 789/06), podléhají ochraně dle čl. 13 Listiny základních práv a svobod (IV. ÚS 78/01).

Trestní řád v tuto chvíli nestanoví limity, které je nutno dodržet, aby byl možný zásah do soukromí tohoto charakteru, jako je tomu v případě mediálně známých odposlechů. Není řečeno, pro jaké kategorie trestných činů může vůbec policie tyto údaje po operátorech vyžadovat, jak s těmito údaji má dále nakládat, informovat průběžně o jejich užití soud, alespoň po skončení trestního řízení informovat subjekty, jichž se data týkala a podobně. Jediné, co policie potřebuje, je souhlas soudu, aby si mohla takové údaje vyžádat. Úprava tak umožňuje poměrně široké využití těchto údajů v rámci trestního řízení, a to i v případech, kdy není odůvodněné závažností trestného činu, a může tak dojít k nepřiměřenému zásahu do práva na soukromí jednotlivce.

Stávající právní úprava zůstává v platnosti do konce září a může být orgány činnými v trestním řízení nadále aplikována (údaje, které policie získá postupem dle zákona, lze použít v trestním řízení jako důkazní prostředek), avšak naši zákonodárci mají devět měsíců na to, aby přijali novelu trestního řádu, která bude nález ÚS reflektovat.

Zuzana Průchová Durajová

Děkujeme za vaši pozornost a doufáme, že budete mít důvod vracet se na tyto stránky i v roce 2012, že vás budou informace od nás zajímat i nadále.