Spuštění DNSSECu mělo obrovský mezinárodní ohlas. Dostali jsme gratulace z mnoha stran. Sesypalo se na nás veliké množství dotazů a byli jsme požádáni o prezentaci téměř na všech fórech, která se DNS týkají. Česká Republika je v současné době skutečně vidět. Nicméně jedna pochvala překonala všechny. A to především tím, že přišla od člověka, který pro Internet tolik udělal. Jde o e-mail, který nám poslal Steve Crocker. Jestli si přesně nevybavujete, co je to za člověka, bude nejlepší, když se podíváte, kdo byl autorem prvního ze základních dokumentů Internetu, tedy RFC 1.
Je to velká pochvala pro CZ.NIC, ale určitě i pro registrátory, ISP i držitele domén, kteří se na DNSSECu podílí. Vlastní dopis myslím nepotřebuje další komentář.
Steve Crocker napsal:
Folks, I was in Stockholm October 20-21 for the DNSSEC and IPv6 Workshop and Internet Dagarna (Internet Days) Symposium. One of the highlights was Ondřej Surý's talk and the strong entry of The Czech Republic into the DNSSEC arena. Ondřej gave a very good talk and asked me to pass along my impressions and thanks. It's evident you have a very strong team and are a leader in the field. I encourage you to help spread DNSSEC not only throughout The Czech Republic but also the rest of Central and Eastern Europe. Steve Crocker Co-Chair, DNSSEC Deployment Working Group Chair, ICANN's Security and Stability Advisory Committee
Zapojte se do nových projektů sdružení CZ.NIC
Dva nové projekty spustilo sdružení CZ.NIC v září tohoto roku. Na časové ose je tím prvním soutěž VIP – Vyvíjej, Inovuj, Programuj, druhým potom „otevřená“ kniha Pavla Satrapy o IPv6.
Do soutěže VIP – Vyvíjej, Inovuj, Programuj mohou mladí a talentovaní programátoři přihlásit projekty, které se věnují vývoji nového open-source softwaru nebo inovaci softwaru již používaného v oblasti internetových technologií, služeb nebo infrastruktury. Odměnou pro každého, kdo se bude chtít soutěže zúčastnit, může být až 50 000 korun; jeho projekt má zároveň šanci, že bude nasazen do reálného prostředí a používán v praxi. Uzávěrka prvního kola, ve kterém je možné projekty přihlásit, je 17. října.
Podrobný harmonogram soutěže včetně dalších informací je na stránkách http://www.nic.cz/vip/.
Druhým projektem tohoto měsíce je „otevřená“ kniha Pavla Satrapy z Technické univerzity v Liberci. Jeho odborná publikace o internetovém protokolu IPv6 vyšla poprvé v roce 2002. Letos se k ní autor vrátil a rozhodl se spolupracovat na jejím dalším vydání se sdružením CZ.NIC.
Knihu najdete od 26. září na internetové adrese http://knihy.nic.cz/ipv6/ a to rozdělenou na jednotlivé kapitoly. K nim mohou všichni zájemci do 31. října tohoto roku připisovat své komentáře a ovlivnit tak podobu knihy o IPv6. V listopadu potom bude moci Pavel Satrapa jednotlivé komentáře do své knihy zapracovat. Konečnou podobu publikace najdou čtenáři na internetových stránkách projektu. Zde bude možné si knihu zdarma stáhnout nebo si ji objednat. Další informace najdou zájemci přímo na stránkách tohoto projektu.
Vilém Sládek
Válečníci sítě aneb internet z druhé strany
Nejen pro začínající uživatele internetu vydalo sdružení CZ.NIC v českém překladu film s názvem Válečníci sítě. Z něho se mohou diváci dozvědět, jak vypadají jednotlivé části internetu, jaký je internet „zevnitř“. Pokud jste tedy někdy přemýšleli o tom, jak internet vlastně funguje, jaký je router nebo jakou barvu má IP packet, podívejte se na tento zajímavý film. Určitě se dozvíte mnohem více než jen to.
Informace o zajímavém projektu je možné najít také na oficiálních stránkách Warriors of the Net, kde je tento snímek i v jiných jazykových verzích. Film s podtitulkem „IP za mír“ může fungovat také jako nástroj pro představení internetu těm, kteří na síti teprve začínají nebo o ni vědí méně, než by chtěli.
Válečníci sítě nejsou v tomto roce posledním projektem, který sdružení připravuje pro uživatele internetu v České republice. V blízkých měsících budou spuštěny další projekty, jejichž cílem je především rozšířit informace o této celosvětové síti mezi neodbornou veřejnost. O všem, co CZ.NIC chystá v oblasti internetové osvěty, vás budeme informovat nejen na stránkách .blogu, ale i v Novinkách na domovské stránce sdružení.
Animovaný film Válečníci sítě je volně ke stažení. Stejně jako jeho ostatní jazykové verze je určený pouze k nekomerčním účelům.
Vilém Sládek
„O 24 hodin později“ aneb obrázek o rychlosti reakcí na bezpečností oznámení
Před třemi dny vydal US-CERT zprávu o bezpečnostním riziku DNS protokolu a opravě spousty implementací DNS, která zmenšuje riziko útoku na DNS, tzv. „cache poisoning„. Jedná se o útok, který dokáže podvrhnout falešnou odpověď na DNS dotaz. Ta se uloží do vyrovnávací paměti a dojde k tomu, že se podvržená informace dostane ke všem uživatelům příslušného caching name serveru. Zároveň se objevila stránka s testem vašeho DNS serveru, kde si můžete ověřit zda je zranitelný nebo ne.
Provedl jsem tedy cca 24 hodin po uveřejnění oznámení malý test, který měl zjistit, jak na tom budou jednotliví ISP v České republice. Obeslal jsem prosbou o otestování DNS výše uvedeným testem všechny v tu chvíli online kontakty ve svém ICQ a zde jsou ne moc potěšující výsledky:
20 lidí bylo obesláno
18 z nich odpovědělo s výsledkem testu
14 různých DNS serverů bylo otestováno (někteří z oslovených měli stejného providera a tudíž stejný DNS server)
10 serverů bylo zranitelných
4 servery byly bezpečné
A to dodejme, že zranitelný server měli všichni lidé se stejným providerem DNS. Ve výsledku jsou tedy 3/4 uživatelů potenciálními oběťmi napadení. Mezi zranitelnými byly navíc DNS servery velkých českých ISP, kteří by měli bezpečnostní incidenty a oznámení rozhodně sledovat a řídit se jimi. O to víc je asi nutné ocenit ty čtyři, kteří své servery zabezpečili: UPC, Jihočeskou univerzitu, Dial Telecom a T-Mobile. Klobouk dolů!
Opravy navíc pouze snižují riziko; jediné řešení, které problém odstraní na 100 %, je DNSSEC. Zavádění DNSSEC už je zase jiná kapitola se svými problémy… Dodejme ještě, že pro domény .cz je testovací provoz plánován už na srpen tohoto roku a plný provoz na září.
PT
Poznej svého nepřítele
Tak jako mnoho dalších i my používáme pro prevenci/detekci průniků do sítí, které spravujeme, utilitu SNORT. Experimentálně jsme ji pustili na jeden týden s plným nastavením, tak aby zachytávala všechny události. Z tohoto experimentu vznikla následující mini statistika, která ukazuje, jaké útoky (ve smyslu těch, jež vedou ke kompromitaci systému či omezení dostupnosti služby) jsou směřovány na infrastrukturu zajišťující provoz domény .cz. Ta může vypovídat obecně o tom, které typy útoků budou v danou dobu relevatní pro celý internet. Pojďme se tedy podívat na Top 5 nedávné minulosti. Čísla udávají průměrný počet útoků denně.
MS-SQL version overflow attempt 87712
ntpdx overflow attempt 16496
WEB-MISC cross site scripting attempt 2589
WEB-MISC Chunked-Encoding transfer attempt 1004
WEB-PHP IGeneric Free Shopping Cart page.php access 103
Všechny ostatní se pak už pohybovaly na úrovni maximálně několika desítek, ale spíše jednotek denně. Společně s těmi nejnebezpečnějšími napadeními se samozřejmě vyskytovala i řada portscanů a útoků, které mají za cíl získat informace. Co se týká zdrojů útoků nebude žádné překvapení, že pocházejí nejčastěji z Číny.
Pavel Tůma (PT)
Konference Internet a technologie 08 – panelová diskuse na téma IPv6
První dvě přednášky druhého bloku konference Internet a technologie 08 byly o „novém“ internetovém protokolu IPv6. Po Pavlu Satrapovi z Technické univerzity v Liberci, který IPv6 představil, přišel na řadu Lubomír Pinkava z Casablanca INT. Ten se IPv6 věnoval z pohledu poskytovatele internetového připojení.
Na otázku, co by nejvíce pomohlo rozšíření IPv6, odpovídal Pavel Satrapa. „Rychlému rozšíření nastupujícího protokolu by určitě prospělo, kdyby se zde objevila služba nebo obsah, který by byl na jedné straně velice atraktivní a na druhé dostupný pouze přes IPv6; něco, jako byl kdysi World Wide Web.“
Rozšířenost IPv6 brání podle Ondřeje Filipa, výkonného ředitele CZ.NIC, také nedostatečné technické vybavení, které by tuto technologii podporovalo, a operátoři. „Čeští operátoři, především ti větší, zatím protokol IPv6 neimplementovali ve svých sítích. Na druhou stranu si ale myslím, že většina z nich má IPv6 adresy přiděleny a tento protokol testuje. Celá situace není jednoduchá. Uvědomme si, že pokud budeme chtít, aby protokol IPv6 fungoval podle našich představ, je potřeba vyměnit nebo upgradovat ideálně všechny prvky sítě; rozhodně ty přístupové, které ovládají tisíce uživatelů. Tato změna bude určitě drahá a asi i poměrně složitá,“ řekl Ondřej Filip.
Na závěr diskuse předpověděl Lubomír Pinkava to, co se o několik týdnů později stalo. „Světýlkem v tunelu jsou aktivity Evropské unie, která může připojení přes IPv6 úřadům a firmám v Unii v uvozovkách přikázat, “ dodal technický ředitel Casablanca INT.
Vilém Sládek
Konference Internet a technologie 08 – panelová diskuse na téma IDN
Konference Internet a technologie 08 byla nejen o přednáškách, které jsou volně k dispozici na stránkách www.nic.cz/it08, ale také o panelových diskusích, otázkách návštěvníků, o odpovědích a názorech jednotlivých vystupujících. Ty na internetové stránce konference nenajdete a proto se je pokusím postupně zprostředkovat zde na .blogu.
První z panelových diskusí byla věnována úvodnímu bloku konference, tedy především IDN. Zde jsou názory jednotlivých panelistů k tomuto tématu.
Martin Peterka, provozní ředitel sdružení CZ.NIC, který na konferenci představil IDN z pohledu České republiky a ohlásil spuštění projektu „háčkyčárky.cz„: „IDN je primárně určené pro země, které latinku nepoužívají. Osobně si myslím, že v budoucnu budeme držet jak domény s tak bez IDN tvarů. Na svých vizitkách budeme uvádět oba dva záznamy s tím, že si náš partner vybere tu informaci, které rozumí, kterou dokáže přečíst a napsat do svého browseru.“
Baher Esmat, zástupce ICANN, se ve své přednášce podrobně věnoval zavádění a situaci IDN ve světě. „V současnosti je na světe 1,3 miliardy uživatelů internetu a my si musíme klást otázku, jak toto číslo ještě zvětšit. Jazyk je jednou z bariér přístupu k internetu a IDN je jedním zprostředků, jak ji překonat. Zavedení národních znaků s sebou jistě přinese problémy, ale také i výzvy vyrovnat se s nimi. Snažíme se umožnit přístup k internetu globálně, tedy lidem po celém světě. Zároveň bychom ale neměli ovlivnit jeho stabilitu a funkčnost. Souhlasím s tím, co tu bylo řečeno, že na vizitce budou jedny informace pro lidi, jenž mluví stejným jazykem jako já, a druhé pro ty, kteří mému jazyku nerozumí. Já například mám vizitku v arabštině a současně i v angličtině. Je tedy jasné, že jsou na světě lidé, kteří mají s přístupem k stávajícímu internetu problémy. Toto je věc, kterou bychom měli mít při úvahách o IDN na paměti,“ řekl Baher Esmat.
Do diskuse se zapojil i výkonný ředitel sdružení CZ.NIC, Ondřej Filip: „My dnes nutíme spoustu národů, aby používaly latinku. Nedokážu odhadnout, jak velké množství třeba Číňanů ji ovládá, ale myslím si, že to bude menšina. Někdo si může myslet, že dojde zavedením IDN k porcování internetu a vytváření ostrůvků. To je mýlka, ostrůvky tu už dávno jsou, již nějakou dobu existují. My čínsky nerozumíme a Číňané nerozumí češtině. Internet je v tuto chvíli z velké části pro ty, kteří latinku ovládají. IDN tedy není nic, co rozděluje. IDN je věc, která dokáže k internetu přilákat nové lidi. Ty, kteří neumí latinku, nemají klávesnice, s jejichž pomocí by mohli slova s latinkou napsat.“
Vilém Sládek
Právnický seminář i letos úspěšný
Ve čtvrtek 15. května se uskutečnil seminář „Aktuální právní otázky doménových jmen“, který připravilo sdružení CZ.NIC ve spolupráci s Českou advokátní komorou.
Semináře určeného pro odbornou právnickou veřejnost se zúčastnilo přes 80 zájemců z řad soudců, advokátů i firemních právníků. S velkým zájmem se setkala prezentace Martina Peterky, provozního ředitele sdružení, která byla zaměřena na změny související s přechodem na nový registrační systém, účastníci dostali odpovědi zejména na otázky týkající se držitelů domén a provádění změn, a JUDr. Jána Matejky PhD. z Ústavu státu a práva AV ČR. Tato přednáška byla věnována klasifikaci právní povahy doménových jmen a konfliktům, jenž v souvislosti s jejich užíváním či držením vznikají nebo mohou vzniknout. Neméně zajímavý byl příspěvek JUDr. Jiřího Macka, předsedy Vrchního soudu v Praze, o rozhodovací praxi soudů při rozhodování sporů o doménová jména.
Další části semináře byly věnovány alternativnímu řešení sporů o doménová jména a rozhodování Rozhodčího soudu při Hospodářské komoře České republiky a Agrární komoře České republiky, problematice IDN. Účastníkům byl rovněž blíže představen projekt ENUM.
O seminář byl, stejně jako v roce 2006, kdy byl uspořádán poprvé, velký zájem a tak už nyní můžeme říci, že se jistě nekonal naposledy.
Zuzana Durajová
Černé díry internetu
O teleskopu Hubble, který hledá černé díry ve vesmíru, jste už asi slyšeli. Existuje ale ještě jeden Hubble, který také hledá černé díry. Je to projekt University of Washington a hledá černé díry na internetu. Zkoumá v reálném čase prefixy IP sítí a to, zda jsou tyto sítě dosažitelné pomocí cesty, která je o nich propagována v BGP. Pokud je cesta k prefixu propagována, ale nelze se po ní dostat do cíle, končí pakety v jakési virtuální černé díře. Dobrá zpráva je, že v naší místní „hvězdné soustavě“ zvané Česká republika se žádná taková černá díra nenachází. Zda se situace nezměnila můžete ověřit na stránkách projektu Hubble.
Ondřej Surý
Phishing palcovými titulky
V posledních pár dnech se na titulní stránky médií dostaly zprávy o silné vlně podvodných e-mailů, ve kterých se jejich odesilatelé pokoušeli o phishing na internetovém bankovnictví České Spořitelny. Některé takové emaily byly poměrně obskurní jako třeba tento:
Jiné vypadaly celkem sofistikovaně. Zajímavý je ale průběh této vlny. Možná je to jenom můj dojem z toho, jak mi podobné zprávy přicházely do schránky a později do složky s karanténou. Nejdříve chodily jednou za čas a jen jedna zpráva, pak ale intenzita stoupala, až přišlo za jeden den zhruba pět různých e-mailů s různým obsahem. Že by existovala nějaká „informační služba“ mezi zloduchy, ve které se informují o tom, na koho se právě útočí? Díky tomu se pak každý z nich přidal se svojí vlastní verzí falešné zprávy, aby zkusil urvat svůj díl uživatelských jmen a hesel? Z počtu různých verzí to tak vypadá.
Tak jako tak, pokud zapátrám v paměti, nevybavuji si, že by byla stejným způsobem napadena jiná banka. Je to díky „prokletí“ toho největšího co do počtu klientů a nebo to trochu vypovídá i o úrovni zabezpečení konkrétního systému? Ačkoliv možnosti, jak zvýšit zabezpečení na straně banky, existují nebo se připravují (elektronický podpis, DNSSEC, GSM banking, jednorázová hesla apod.), vždy vyžadují nejen nasazení na straně banky ale také znalosti či akce na straně uživatele. A s tím už bude mnohem těžší něco udělat.
Pavel Tůma (PT)