Před třemi dny vydal US-CERT zprávu o bezpečnostním riziku DNS protokolu a opravě spousty implementací DNS, která zmenšuje riziko útoku na DNS, tzv. „cache poisoning„. Jedná se o útok, který dokáže podvrhnout falešnou odpověď na DNS dotaz. Ta se uloží do vyrovnávací paměti a dojde k tomu, že se podvržená informace dostane ke všem uživatelům příslušného caching name serveru. Zároveň se objevila stránka s testem vašeho DNS serveru, kde si můžete ověřit zda je zranitelný nebo ne.
Provedl jsem tedy cca 24 hodin po uveřejnění oznámení malý test, který měl zjistit, jak na tom budou jednotliví ISP v České republice. Obeslal jsem prosbou o otestování DNS výše uvedeným testem všechny v tu chvíli online kontakty ve svém ICQ a zde jsou ne moc potěšující výsledky:
20 lidí bylo obesláno
18 z nich odpovědělo s výsledkem testu
14 různých DNS serverů bylo otestováno (někteří z oslovených měli stejného providera a tudíž stejný DNS server)
10 serverů bylo zranitelných
4 servery byly bezpečné
A to dodejme, že zranitelný server měli všichni lidé se stejným providerem DNS. Ve výsledku jsou tedy 3/4 uživatelů potenciálními oběťmi napadení. Mezi zranitelnými byly navíc DNS servery velkých českých ISP, kteří by měli bezpečnostní incidenty a oznámení rozhodně sledovat a řídit se jimi. O to víc je asi nutné ocenit ty čtyři, kteří své servery zabezpečili: UPC, Jihočeskou univerzitu, Dial Telecom a T-Mobile. Klobouk dolů!
Opravy navíc pouze snižují riziko; jediné řešení, které problém odstraní na 100 %, je DNSSEC. Zavádění DNSSEC už je zase jiná kapitola se svými problémy… Dodejme ještě, že pro domény .cz je testovací provoz plánován už na srpen tohoto roku a plný provoz na září.
PT
Poznej svého nepřítele
Tak jako mnoho dalších i my používáme pro prevenci/detekci průniků do sítí, které spravujeme, utilitu SNORT. Experimentálně jsme ji pustili na jeden týden s plným nastavením, tak aby zachytávala všechny události. Z tohoto experimentu vznikla následující mini statistika, která ukazuje, jaké útoky (ve smyslu těch, jež vedou ke kompromitaci systému či omezení dostupnosti služby) jsou směřovány na infrastrukturu zajišťující provoz domény .cz. Ta může vypovídat obecně o tom, které typy útoků budou v danou dobu relevatní pro celý internet. Pojďme se tedy podívat na Top 5 nedávné minulosti. Čísla udávají průměrný počet útoků denně.
MS-SQL version overflow attempt 87712
ntpdx overflow attempt 16496
WEB-MISC cross site scripting attempt 2589
WEB-MISC Chunked-Encoding transfer attempt 1004
WEB-PHP IGeneric Free Shopping Cart page.php access 103
Všechny ostatní se pak už pohybovaly na úrovni maximálně několika desítek, ale spíše jednotek denně. Společně s těmi nejnebezpečnějšími napadeními se samozřejmě vyskytovala i řada portscanů a útoků, které mají za cíl získat informace. Co se týká zdrojů útoků nebude žádné překvapení, že pocházejí nejčastěji z Číny.
Pavel Tůma (PT)
Konference Internet a technologie 08 – panelová diskuse na téma IPv6
První dvě přednášky druhého bloku konference Internet a technologie 08 byly o „novém“ internetovém protokolu IPv6. Po Pavlu Satrapovi z Technické univerzity v Liberci, který IPv6 představil, přišel na řadu Lubomír Pinkava z Casablanca INT. Ten se IPv6 věnoval z pohledu poskytovatele internetového připojení.
Na otázku, co by nejvíce pomohlo rozšíření IPv6, odpovídal Pavel Satrapa. „Rychlému rozšíření nastupujícího protokolu by určitě prospělo, kdyby se zde objevila služba nebo obsah, který by byl na jedné straně velice atraktivní a na druhé dostupný pouze přes IPv6; něco, jako byl kdysi World Wide Web.“
Rozšířenost IPv6 brání podle Ondřeje Filipa, výkonného ředitele CZ.NIC, také nedostatečné technické vybavení, které by tuto technologii podporovalo, a operátoři. „Čeští operátoři, především ti větší, zatím protokol IPv6 neimplementovali ve svých sítích. Na druhou stranu si ale myslím, že většina z nich má IPv6 adresy přiděleny a tento protokol testuje. Celá situace není jednoduchá. Uvědomme si, že pokud budeme chtít, aby protokol IPv6 fungoval podle našich představ, je potřeba vyměnit nebo upgradovat ideálně všechny prvky sítě; rozhodně ty přístupové, které ovládají tisíce uživatelů. Tato změna bude určitě drahá a asi i poměrně složitá,“ řekl Ondřej Filip.
Na závěr diskuse předpověděl Lubomír Pinkava to, co se o několik týdnů později stalo. „Světýlkem v tunelu jsou aktivity Evropské unie, která může připojení přes IPv6 úřadům a firmám v Unii v uvozovkách přikázat, “ dodal technický ředitel Casablanca INT.
Vilém Sládek
Konference Internet a technologie 08 – panelová diskuse na téma IDN
Konference Internet a technologie 08 byla nejen o přednáškách, které jsou volně k dispozici na stránkách www.nic.cz/it08, ale také o panelových diskusích, otázkách návštěvníků, o odpovědích a názorech jednotlivých vystupujících. Ty na internetové stránce konference nenajdete a proto se je pokusím postupně zprostředkovat zde na .blogu.
První z panelových diskusí byla věnována úvodnímu bloku konference, tedy především IDN. Zde jsou názory jednotlivých panelistů k tomuto tématu.
Martin Peterka, provozní ředitel sdružení CZ.NIC, který na konferenci představil IDN z pohledu České republiky a ohlásil spuštění projektu „háčkyčárky.cz„: „IDN je primárně určené pro země, které latinku nepoužívají. Osobně si myslím, že v budoucnu budeme držet jak domény s tak bez IDN tvarů. Na svých vizitkách budeme uvádět oba dva záznamy s tím, že si náš partner vybere tu informaci, které rozumí, kterou dokáže přečíst a napsat do svého browseru.“
Baher Esmat, zástupce ICANN, se ve své přednášce podrobně věnoval zavádění a situaci IDN ve světě. „V současnosti je na světe 1,3 miliardy uživatelů internetu a my si musíme klást otázku, jak toto číslo ještě zvětšit. Jazyk je jednou z bariér přístupu k internetu a IDN je jedním zprostředků, jak ji překonat. Zavedení národních znaků s sebou jistě přinese problémy, ale také i výzvy vyrovnat se s nimi. Snažíme se umožnit přístup k internetu globálně, tedy lidem po celém světě. Zároveň bychom ale neměli ovlivnit jeho stabilitu a funkčnost. Souhlasím s tím, co tu bylo řečeno, že na vizitce budou jedny informace pro lidi, jenž mluví stejným jazykem jako já, a druhé pro ty, kteří mému jazyku nerozumí. Já například mám vizitku v arabštině a současně i v angličtině. Je tedy jasné, že jsou na světě lidé, kteří mají s přístupem k stávajícímu internetu problémy. Toto je věc, kterou bychom měli mít při úvahách o IDN na paměti,“ řekl Baher Esmat.
Do diskuse se zapojil i výkonný ředitel sdružení CZ.NIC, Ondřej Filip: „My dnes nutíme spoustu národů, aby používaly latinku. Nedokážu odhadnout, jak velké množství třeba Číňanů ji ovládá, ale myslím si, že to bude menšina. Někdo si může myslet, že dojde zavedením IDN k porcování internetu a vytváření ostrůvků. To je mýlka, ostrůvky tu už dávno jsou, již nějakou dobu existují. My čínsky nerozumíme a Číňané nerozumí češtině. Internet je v tuto chvíli z velké části pro ty, kteří latinku ovládají. IDN tedy není nic, co rozděluje. IDN je věc, která dokáže k internetu přilákat nové lidi. Ty, kteří neumí latinku, nemají klávesnice, s jejichž pomocí by mohli slova s latinkou napsat.“
Vilém Sládek
Právnický seminář i letos úspěšný
Ve čtvrtek 15. května se uskutečnil seminář „Aktuální právní otázky doménových jmen“, který připravilo sdružení CZ.NIC ve spolupráci s Českou advokátní komorou.
Semináře určeného pro odbornou právnickou veřejnost se zúčastnilo přes 80 zájemců z řad soudců, advokátů i firemních právníků. S velkým zájmem se setkala prezentace Martina Peterky, provozního ředitele sdružení, která byla zaměřena na změny související s přechodem na nový registrační systém, účastníci dostali odpovědi zejména na otázky týkající se držitelů domén a provádění změn, a JUDr. Jána Matejky PhD. z Ústavu státu a práva AV ČR. Tato přednáška byla věnována klasifikaci právní povahy doménových jmen a konfliktům, jenž v souvislosti s jejich užíváním či držením vznikají nebo mohou vzniknout. Neméně zajímavý byl příspěvek JUDr. Jiřího Macka, předsedy Vrchního soudu v Praze, o rozhodovací praxi soudů při rozhodování sporů o doménová jména.
Další části semináře byly věnovány alternativnímu řešení sporů o doménová jména a rozhodování Rozhodčího soudu při Hospodářské komoře České republiky a Agrární komoře České republiky, problematice IDN. Účastníkům byl rovněž blíže představen projekt ENUM.
O seminář byl, stejně jako v roce 2006, kdy byl uspořádán poprvé, velký zájem a tak už nyní můžeme říci, že se jistě nekonal naposledy.
Zuzana Durajová
Černé díry internetu
O teleskopu Hubble, který hledá černé díry ve vesmíru, jste už asi slyšeli. Existuje ale ještě jeden Hubble, který také hledá černé díry. Je to projekt University of Washington a hledá černé díry na internetu. Zkoumá v reálném čase prefixy IP sítí a to, zda jsou tyto sítě dosažitelné pomocí cesty, která je o nich propagována v BGP. Pokud je cesta k prefixu propagována, ale nelze se po ní dostat do cíle, končí pakety v jakési virtuální černé díře. Dobrá zpráva je, že v naší místní „hvězdné soustavě“ zvané Česká republika se žádná taková černá díra nenachází. Zda se situace nezměnila můžete ověřit na stránkách projektu Hubble.
Ondřej Surý
Phishing palcovými titulky
V posledních pár dnech se na titulní stránky médií dostaly zprávy o silné vlně podvodných e-mailů, ve kterých se jejich odesilatelé pokoušeli o phishing na internetovém bankovnictví České Spořitelny. Některé takové emaily byly poměrně obskurní jako třeba tento:
Jiné vypadaly celkem sofistikovaně. Zajímavý je ale průběh této vlny. Možná je to jenom můj dojem z toho, jak mi podobné zprávy přicházely do schránky a později do složky s karanténou. Nejdříve chodily jednou za čas a jen jedna zpráva, pak ale intenzita stoupala, až přišlo za jeden den zhruba pět různých e-mailů s různým obsahem. Že by existovala nějaká „informační služba“ mezi zloduchy, ve které se informují o tom, na koho se právě útočí? Díky tomu se pak každý z nich přidal se svojí vlastní verzí falešné zprávy, aby zkusil urvat svůj díl uživatelských jmen a hesel? Z počtu různých verzí to tak vypadá.
Tak jako tak, pokud zapátrám v paměti, nevybavuji si, že by byla stejným způsobem napadena jiná banka. Je to díky „prokletí“ toho největšího co do počtu klientů a nebo to trochu vypovídá i o úrovni zabezpečení konkrétního systému? Ačkoliv možnosti, jak zvýšit zabezpečení na straně banky, existují nebo se připravují (elektronický podpis, DNSSEC, GSM banking, jednorázová hesla apod.), vždy vyžadují nejen nasazení na straně banky ale také znalosti či akce na straně uživatele. A s tím už bude mnohem těžší něco udělat.
Pavel Tůma (PT)
Jak jsou na tom jiné evropské registry s EPP
Před koncem února proběhlo pravidelné setkání zástupců národních registrů, sdružených v organizaci CENTR (Council of European National Top Level Domain Registries), jejíž členem je i CZ.NIC.
Součástí semináře byla i prezentace výsledků zajímavého průzkumu, realizovaného mezi členy CENTR na téma zavedení (resp. zavádění) EPP protokolu do registračních systémů. Výzkum se uskutečnil na začátku roku 2008 a odpovědi poskytlo 20 registrů.
Výsledky byly poměrně zajímavé – v současnosti používá EPP jako komunikační protokol pouze 45 % z těchto registrů. Z tohoto pohledu to vypadá, že EPP se zatím moc „nechytá“, ale plány hovoří jasnou řečí: v průběhu roku 2009 by se toto číslo mělo zvýšit na 55 % a do konce roku 2010 by potom EPP protokol mělo používat již 80 % registrů.
Vzhledem k tomu, že doména .cz již EPP protokol používá, jde o dobrou zprávu, a to jak pro CZ.NIC tak pro registrátory. Z pohledu našeho to znamená potvrzení, že námi zvolená cesta se stále jasněji stává běžným standardem. Registrátorům potom dává rozšiřování EPP možnost zvětšovat portfolio nabízených registrací o další doménová jména s využitím stávajících zkušeností a bez nutnosti výrazných změn v jejich aplikacích.
A to je koneckonců dobrá zpráva i pro všechny (budoucí) držitele domén …
Martin Peterka
Pořád je co zlepšovat!
Když jsme s kolegy pracovali na plánech na letošní rok, říkali jsme si, že tento pro nás bude celkem obtížný. Nebude jednoduché překonat výsledky z loňska, přeci jenom úspěšná migrace a start nového systému nám vynesly hodně pochval a ocenění. Shodli jsme se ale na tom, že je pořád co zlepšovat. Především v komunikaci s médii a internetovou veřejností. I když jsme i zde udělali v poslední době hodně práce, chceme jít ještě dále. Právě proto otvíráme nový komunikační kanál – BLOG.
Na tomto webu chceme představovat především novinky, které se příliš nehodí pro formálně učesané tiskové zprávy. Rádi bychom zde zjišťovali názory komunity na některé naše nápady, proto bude možné přidat ke každému článku komentáře. Velmi nás potěší, když jich bude hodně.
Věřím, že se vám, internetové komunitě, bude .blog líbit a že se rychle dostane do vašich bookmarků.
Váš bloger Ondřej Filip