Tento měsíc došlo k významné události na poli bezpečnostních týmů v ČR. Společnost ACTIVE 24 ustavila svůj vlastní CSIRT tým, který je navíc nově registrován u úřadu Trusted Introducer působícím v rámci evropské organizace Terena. Tento úřad sdružuje bezpečnostní týmy ze všech oblastí, tedy jak národní a vládní, tak i například CSIRT týmy provozovatelů internetového připojení, poskytovatelů služeb, výrobců hardware, bank nebo týmy působící v akademickém prostředí.
Aby CSIRT tým mohl získat staus listed, musí nejdříve splnit určité požadavky, jako například definovat oblasti, ve kterých je způsobilý konat, a jasně a veřejně zpřístupnit kontaktní informace o týmu, jeho složení a další nezbytné údaje. Dále pak musí jeho žádost o zařazení do statusu listed podpořit dva již akreditované týmy. Toto vše zaručuje, že ACTIVE24-CSIRT splňuje všechna základní kritéria nezbytná pro správné fungování týmu typu CSIRT.
Za nás, tedy za členy bezpečnostních týmů CZ.NIC-CSIRT a CSIRT.CZ, mohu říci, že tuto iniciativu společnosti ACTIVE 24 velice vítáme. Funkční a dobře vytvořená infrastruktura CSIRT týmů totiž pomáhá při rychlejší reakci na bezpečnostní incidenty a snižuje tak zároveň závažnost jejich dopadu. Navíc se v tomto případě jedná o první vlaštovku mezi společnostmi z komerční sféry v ČR. Více podrobností najdete v oficiální tiskové zprávě.
Bezpečnostnímu týmu ACTIVE24-CSIRT bych rád popřál, ať se mu daří naplňovat jeho poslání, a nám všem, aby se našlo více společností, které budou jejich příkladu následovat.
Pavel Bašta
Digitální identity a nové dítko na poli standardů – OpenID Connect
Přestože je téma digitální identity (a souvisejících distribuovaných „single sign-on“ přihlašovacích mechanismů) staré možná jako internet sám, troufám si tvrdit, že jeho největší okamžiky teprve přijdou. Po úspěších centrální správy identit, které v současnosti ukazují veřejné služby jako Facebook, nebo Google+, přirozeně pokukují propagátoři různých forem e-governmentu. V něm mohou některé mechanismy fungovat na podobných principech, přičemž přidaná hodnota je určitě validita údajů identit, které veřejné služby mohou jen těžko dosáhnout. Nesmělé náznaky v podobě elektronických občanek u nás, připravované rozhraní k datovým schránkám, ale i aktivity vlád v celém světě (německý projekt de-ident, americká strategie pro důvěryhodné identity v kyberprostoru NSTIC, nebo projekt evropské identity STORK) naznačují, že tato oblast v blízké době zažije velké změny. Bylo by jistě užitečné, kdyby jednotlivé implementace místo proprietárních řešení vycházely z konsensuálních standardů, které i v této oblasti existují a není jich málo.
Jednou z platforem, na které kooperují autoři těchto standardů, je například Internet Identity Workshop. V rámci pravidelných konferencí této platformy, které se konají dvakrát ročně si zástupci nejrůznějších standardizačních organizací vyměňují informace o novinkách ve svých produktech. Na následujících řádcích bych rád shrnul nejvýznamnější standardy na tomto poli a upozornil na nejnovější aktivitu, která se objevila v průběhu minulého roku.
Asi nejstarším zástupcem protokolů této kategorie je SAML. Jeho první verze pochází z roku 2002 a zatím poslední verze z roku 2005. Za tento, na jazyku XML založený, protokol nese odpovědnost standardizační organizace OASIS, známá svými dalšími „XML aktivitami“ jako Docbook nebo DITA. SAML se poměrně pevně usadil v akademickém světě. Například u nás je to protokol, na kterém funguje Česká akademická federace identit známá pod zkratkou EduID, provozovaná sdružením CESNET. Takže pokud máte účet v systému své vysoké školy, s velkou pravděpodobností můžete používat SAML pro přihlašování u systémů poskytovatelů služeb, které jej podporují. Těch bohužel není mnoho a zejména jsou to opět akademické instituce. Jedním z těchto poskytovatelů služeb by, alespoň podle dokumentace, měly být i GoogleApps.
V roce 2005 se na poli standardů objevil protokol OpenID. Jeho jádro prošlo vývojem a ustálilo se na verzi 2.0 z konce roku 2007. V průběhu dalších zhruba tří let si získal velkou popularitu a podporovali ho i velcí hráči jako Google nebo Microsoft. Za účelem rozvoje tohoto standardu vznikla organizace OpenID Foundation, která sdružuje jak zástupce poskytovatelů identit, tak poskytovatelů služeb. U nás byl dlouho jediným větším průkopníkem této technologie Seznam.cz. Předloni jsme si OpenID jako komunikační protokol zvolili i my s naší službou ověřených identit mojeID. Důležitou vlastností tohoto protokolu je možnost standardizované výměny atributů identity.
Při práci na implementaci OpenID do služby Twitter vznikla další významná technologie pojmenovaná OAuth. Na rozdíl od OpenID má tato technologie jako cíl umožnit poskytovatelům služeb zabezpečený přístup k nějaké obecně libovolné sadě funkcí, kterou jiná služba nabízí. První draft byl publikován v roce 2007 a jeho vývoj se v průběhu roku 2010 přesunul na půdu asi nejvýznamnější internetové standardizační organizace IETF. V této době probíhá práce na dokončení verze 2.0 standardu, jehož finální vydání ve formě RFC je „snad“ otázkou příštích několika týdnů. Po Twitteru přijal tuto technologii za vlastní také Facebook a nakonec ji do repertoáru svých autentizačních mechanismů přidal i Google.
Co se týká srovnáni OAuth a OpenID tak OAuth sice nabízí asi jen polovinu vlastností které má OpenID, ale na druhou stranu to dělá mnohem lépe. Vzhledem k tomu vzniklo v průběhu posledních dvou let několik pokusů, jak zkombinovat to nejlepší z nich do ideálního výsledku. Těchto několik pokusů se nakonec spojilo dohromady a v polovině roku 2011 byl prezentován výsledek v podobě specifikace nazvané OpenID Connect. Toto řešení ve své „spodní“ části využívá OAuth 2.0 a obaluje ho vlastnostmi specifickými pro OpenID. Zajímavou změnou je i následování trendu a nahrazení jazyka XML na příslučných místech jazykem JSON. Od prosince je návrh standardu v připomínkovém řízení a pokud vše půjde hladce, mohli bychom se už letos dočkat jeho finální verze. Za touto specifikací stojí všichni velcí hráči jako Facebook, Google i Microsoft což jí dává poměrně dobré vyhlídky na její budoucí rozšíření.
Jak je vidět, ve světě digitálních identit je hodně živo a my věříme, že minimálně u nás nechá služba mojeID v této diskuzi viditelný otisk. Rodina použitelných specifikací je široká a rozhodně neumírá. Nové generace těží ze zkušeností svých předchůdců a většinou přidávají nové pohledy a nové myšlenky. Z pohledu mojeID samozřejmě nepřestáváme sledovat aktuální vývoj. Charakter této služby nijak nebrání tomu použít několik přístupových technologií paralelně a tím nabídnout poskytovatelům služeb větší výběr možností implementace. Pokud zjistíme vzrůstající poptávku po některém ze zmiňovaných protokolů, pokusíme se této poptávce vyhovět.
Jaromír Talíř
Statistika DNSSEC resolverů
Jako správce české domény máme poměrně dobrý přehled o tom, kolik existuje zabezpečených domén s koncovkou .CZ. Jak to ale vypadá na druhé straně?
Samotné měření toho, kolik je validujících resolverů, není bohužel jednoduchá záležitost. Žádný resolver nehlásí autoritativnímu serveru „já jsem validující“, takže pro detekci lze použít nepřímé techniky, které využívají znalost toho, jakým způsobem validující resolver žádá o DNS záznamy. Asi nejkomplexnější metodu měření navrhl Olafur Gudmundsson a Steve Crocker na konferenci SATIN 2011; popsanou ji najdete v článku Guðmundsson, Crocker: Observing DNSSEC validation in the wild. Tuto metodiku jsme použili pro naše měření. Kromě toho, že nemá smysl znovu vynalézat kolo, je jednotná metodika také důležitá pro srovnání s ostatními registry. V případě, že by každý registr vynalézal znovu a znovu metodiku měření validujících resolverů, bylo by následné porovnávání výsledků příslovečným porovnáváním jablek s hruškami.
Stručné shrnutí metodiky:
Pro zjednodušení bereme jednu IP adresu za jeden resolver, i když ve skutečnosti se za jednou IP adresou může v případě NATu skrývat více resolverů.
Pro detekci validujících resolverů se metodika snaží hledat odlišnosti mezi chováním „zastaralých“, tedy nevalidujících resolverů, a těch validujících. Ty se liší především dotazy na DS a DNSKEY záznamy:
- dotaz na DS záznam – resolver označíme jako určitě validující
- opakovaný dotaz na DNSKEY záznam v časových intervalech odpovídající době platnosti (TTL) tohoto záznamu – resolver také označíme jako určitě validující
- samostatný dotaz na DNSKEY záznam – resolver označíme jako pravděpodobně validující
Z charakteru protokolu DNS vyplývá, že není možné, aby byla tato metodika absolutně spolehlivá. K jistému zjednodušení dochází proto, protože na straně autoritativního serveru není možné poznat, zda-li položený dotaz na DS nebo DNSKEY záznam vznikl na základě požadavku na validaci nebo jej vznesl nějaký testovací nebo monitorovací skript. Ke zkreslení výsledků přispívají i lidé, kteří prostými dotazy pomocí různých DNS nástrojů mohou způsobit zařazení IP adresy do jedné z výše uvedených kategorií. Podrobnější diskuzi nad použitou metodikou lze nalézt ve výše zmíněném článku.
Nejprve uvedeme výsledky měření z dubna 2011 a pak pro porovnání z prosince 2011. Měření se provádělo vždy tři pracovní dny na stejných autoritativních serverech.
Data z dubna 2011
Dle popsané metodiky jsme v našich DNS datech našli 6767 určitě a 727 pravděpodobně validujících resolverů. Vzhledem k tomu, že většina provozovatelů DNS serverů nemá ve svých sítích pouze jeden server, tak jsme získané IP adresy následně museli ručně agregovat na základě vlastníka IP adresy serveru. Toto seskupení představuje další zjednodušení, které ovšem v případě resolverů s největším provozem můžeme zanedbat.
V následující tabulce naleznete top 10 českých společností jejichž sítě provozují validující resolvery (podle počtu DNSKEY dotazů zaslaných z validujících resolverů).
#DNSKEY ISP 5320 Casablanca 4224 České Radiokomunikace 3024 Telefónica O2 2089 GTS NOVERA 1624 UPL Telecom 1338 NFX 710 OMEGA tech 537 Dial Telecom 513 Ignum 441 VUT Brno
Data z prosince 2011
Počet validujících resolverů se zvýšil: evidujeme 11403 určitě a 1201 pravděpodobně validujících resolverů.
Pořadí top 10 českých společností počtu DNSKEY dotazů z validujících resolverů se mírně promíchalo:
#DNSKEY ISP 7894 Telefónica O2 6309 Vodafone 4342 ACTIVE 24 3441 UPC 3285 GTS NOVERA 3075 RIOMEDIA 2712 2 connect 2029 T-Mobile 1946 Casablanca 1737 CESNET
Pokud by vás zajímalo, zda váš ISP validuje, podívejte se na www.dnssec.cz, kde najdete jednoduchý a průkazný test. V komentářích nám potom můžete napsat, jak jste uspěli či neuspěli, kdo má nebo nemá zájem na větším bezpečí svých zákazníků.
Ondřej Mikle
Dnes promítáme: ACTA – mýty a fakta
Toto úterý uspořádala Lupa.cz v pražském kině Atlas panelovou diskusi s názvem ACTA – mýty a fakta. Velice živou debatu odstartovala tradičně perfektní prezentace Jiřího Peterky, na kterou (pod dirigentskou taktovkou Patricka Zandla coby moderátora setkání) navázaly výstupy jednotlivých aktérů, mezi nimiž byl i náš Ondřej Filip. CZ.NIC také zařídil živý přenos, který bylo možné sledovat právě na Lupa.cz.
O setkání byl opravdu zájem. Panelovou diskusi navštívilo na Lupě přibližně 2 100 unikátních diváků, kteří se připojili nejen z Čech, ale i ze Slovenska, Spojených států, Velké Británie, Německa, Ruska, Finska, Holandska nebo Španělska. Je třeba dodat, že živý přenos zajišťovaly i jiné týmy, a to pro Technet.cz a TN.cz. Celkový počet virtuálních návštěvníků tak tedy bude ještě vyšší. Jen tak na okraj, tato skutečnost s sebou přinesla i nepříjemné situace, jimiž byly výpadky zvuku způsobené dělením se o jeden patřičný kabel.
Těší nás, že jsme mohli přispět k rozšíření debaty na téma ACTA za hranice sálu jednoho pražského kina. A chceme v tom pokračovat dál – zde můžete celý záznam diskuse shlédnout znovu.
ACTA – mýty a fakta, 7. 2. 2012, Kino Atlas, Praha
Vilém Sládek
Na co se v pondělí těším
Pravděpodobně se k vám už nějak dostalo, že v pondělí bude Česko i Slovensko slavit výročí. 13. února tomu bude přesně 20 let od prvního připojení tehdejší federace k síti Internet. Oslavu k této události pořádá sdružení CESNET a pro mě je velikou ctí, že budu moci vystoupit se svým příspěvkem vedle tak skvělých lidí, kteří vykonali tolik nejen pro český Internet. Snad se ale tito vážení pánové neurazí, když dám dnes přednost jednomu z nich a detailněji představím pouze jeho. Jde o člověka, který jako jediný z fyzicky přítomných mluvčích nepochází ze států bývalé federace.
Pozornější již tuší, že mluvím o Stevu Crockerovi. Někdy mě trochu mrzí, že zatímco Vint Cerf je velmi známý a je často (a jistě právem) nazýván otcem Internetu, Steve je tak trochu v pozadí. I když jeho vztah k tomuto projektu nejlépe ilustruje jeho autorství RFC dokumentu s číslem 1, a tak trochu symbolicky i tato fotka na které je společně s Vintem a Jonem Postelem.
Ačkoliv jde o skutečnou Internetovou celebritu, mé první setkání s ním bylo velice spontánní. Prostě nám poslal do CZ.NICu e-mail, že by s námi rád zašel na večeři. Bylo to v době prvního pražského zasedání IETF, a tak jsme, Tomáš Maršálek, Ondra Surý a já, prostě šli. Tuto událost se nám podařilo zachytit na této fotografii, kterou rád používám v prezentacích při představení úplného počátku projektu DNSSEC v České republice. (Poslední na fotce je Rick Lamb z ICANNu.)
Steve, kromě toho, že je v současnosti předsedou představenstva ICANNu, se totiž od samého začátku velice zasazuje o zavádění této technologie a k nám přišel prvotní impuls právě od něj. Od té doby jsem se s nim několikrát sešel a vždycky mě překvapoval svou obrovskou skromností a velkým zájmem o rozvoj DNSSECu i v tak malé zemi, jakou Česká republika je. Proto mě už vlastně ani nepřekvapilo, že na mou prosbu, jestli by na tuto oslavu nemohl přiletět, jen skromně odepsal, že je „polichocen a poctěn“. Co dodat?
V pondělí tedy budeme mít možnost na živo vidět v Praze velkého muže, i díky kterému si čtete tento blog po síti sítí. Jaká čest!
Ondřej Filip
Druhá doména v cyrilici v provozu
Doména .рф už není jedinou funkční doménou nejvyšší úrovně v cyrilici. Od 27. ledna je možné registrovat i v doméně .СРБ. Jde to druhou doménu Srbska, první je latinková doména .rs. Obě domény jsou operovány stejným správcem, jímž je RNIDS. Zatím nejsou registrace úplně volné, prvních šest měsíců běží sunrise fáze, ve které mohou registrovat pouze držitelé stávajících domén v .rs. Doména .rs má v současné době něco málo přes 70 tisíc registrací. Některé domény jsou již v provozu, takže pokud se zajímáte například o kroky srbského prezidenta, můžete je sledovat na http://председник.срб.
Srbové mají s převody mezi latinkou a cyrilicí poměrně bohaté zkušenosti z jejich soužití s Chorvaty, takže hledání převodních pravidel nebylo nijak komplikované. Naopak bylo složité najít správnou doménu, jež by je reprezentovala. Díky tomu, že cyrilice je příliš podobná latince, bylo nutné nezůstat pouze u písmenek ‚R‘ a ‚S‘ nebo-li v cyrilici ‚Р‘ a ‚С‘ a bylo nutné koncovku rozšířit o další znak.
Přejme tedy nové doméně hodně štěstí a budeme sledovat, jak si povede vedle své latinkové starší sestry.
Ondřej Filip
Náš open source projekt pro „bezpečáky“ míří do světa
Na loňské konferenci Internet a Technologie 11 jste se měli možnost poprvé setkat s aplikací, která pomáhá zjišťovat škodlivý obsah umístěný na doménách .cz. Tehdy jsem představil pouze její prototyp s tím, že plnou verzi plánují kolegové z našich Laboratoří dokončit na začátku příštího, tedy tohoto roku. Představení této plné verze se uskutečnilo právě tento týden, v úterý, a to na mezinárodní konferenci bezpečnostních týmů FIRST/TF-CSIRT Technical Colloquium v Římě. Vzhledem k tomu, že se jedná o open source aplikaci, byla tato verze současně uvolněna pro potřeby komunity. Pojďme si ji tedy představit trochu podrobněji.
Naše začátky s touto aplikací, kterou jsme pojmenovali Malicious Domain Manager (zkráceně MDM), nebyly zrovna jednoduché, a to z několika důvodů. Především chyběla procesní řešení, často se vyskytovaly problémy s kódováním obsahu, téměř každý den se objevovaly nové a nové otázky spojené s funkčností tohoto programu. Protože se ale do projektu zapojilo několik týmů – Laboratoře CZ.NIC, bezpečnostní týmy CZ.NIC-CSIRT a CSIRT.CZ, jejichž členové věděli, co chtějí a jak toho dosáhnout, podařilo se celkem rychle vyladit tento nástroj pro potřeby reálného použití ve světě internetu.
Aplikace sbírá z veřejně dostupných databází informace, které se týkají výlučně domén obsahující ať už náhodně nebo cíleně umístěný škodlivý obsah. Tím může být například phishing, malware nebo virus. Člověku, který tento nástroj obsluhuje, potom umožňuje jednoduchým způsobem kontaktovat držitele dané domény s upozorněním na vzniklou situaci. V případě zpětné vazby je potom možné prostřednictví této aplikace daného držitele nebo správce domény dále informovat o možném řešení situace nebo mu doporučit případné kroky vedoucí k odstranění škodlivého obsahu na doméně.
Náš nástroj je určený především regionálním registrům a správcům TLD. Stejně tak ale samozřejmě může být užitečná bezpečnostním týmům jako jsou ty naše (CZ.NIC-CSIRT a CSIRT.CZ). Aplikace je zde zkrátka pro všechny, kteří chtějí přehledně spravovat hrozby spojené se systémem DNS ve svém poli působnosti a reagovat na ně. Všem těmto bych chtěl alespoň touto formou zprostředkovat několik svých zkušeností sesbíraných za cca půlrok, který jsem s ní strávil. Aplikace má jednoduché ovládání, pro které není potřeba speciální proškolování jejích uživatelů. Dobrou zprávou pro všechny, kteří nebudou ovládat češtinu, je jednoduchá implementace jazykových mutací. Za velké plus považuji integraci dat z databáze WHOIS, což umožňuje získat k dané doméně z prostředí aplikace aktuální kontakty.
A na závěr jedno číslo za všechny; v druhé polovině loňského roku jsme i s její pomocí dokázali vyřešit 5 247 incidentů na doméně .cz. Takže, ať všem jejím uživatelům slouží tak dobře jako nám.
Michal Prokop
Víme to první: premiérová aplikace podporující přihlášení přes mojeID je venku
Všechno, co je první, si zpravidla zaslouží více pozornosti. Ne jinak tomu bude ani v případě první mobilní aplikace, která podporuje mojeID. Protože nás zajímaly podrobnosti, obrátili jsme se s několika všetečnými otázkami na Tomáše Pětivokého, pachatele tohoto nástroje.
S jakou webovou službou je první mobilní aplikace s přihlašováním přes mojeID spojená?
Jedná se o web KalorickéTabulky.cz. Důvodů, proč jsme se do vývoje aplikace pustili, je více. Hlavním je určitě zvyšující se popularita a rychlý růst návštěvnosti stránek KalorickéTabulky.cz. Dalšími jsou potom možnost využití dalších funkcí, například snímání čárového kódu na potravinách při jejich vkládání do jídelníčku, nebo praktičtější použití služby, kdy si díky mobilní aplikaci může uživatel své údaje o snědených potravinách zadávat průběžně. Možnost přihlásit se přes mojeID jsme do aplikace zapracovali, protože této službě věříme a předpokládáme, že bude mezi jejími uživateli čím dál více těch, kteří své mojeID mají, a bude tedy pro ně přihlašování do aplikace pohodlnější.
Co aplikace umí, umožňuje?
Aplikace nabízí uživatelům možnost vyhodnocovat veškerá snědená jídla, pitný režim a aktivity spalující kalorie, a tím zábavnou formou pomáhá ve snaze o zdravý životní styl. Velkou výhodou aplikace je přístup k unikátní databázi nutričních hodnot více než 10 000 potravin dostupných na českém trhu. Aplikace je k dispozici zdarma.
V jakých systémech nyní tato aplikace podporující mojeID funguje?
Naplno funguje na zařízeních s operačním systémem Android, takže si ji mohou stáhnout všichni, kteří mají přístup do Android marketu. V plánu máme i její novou verzi pro iPhone i iPad.
Co si od aplikace slibujete a jaké na ní zatím máte ohlasy?
Slibujeme si spokojené uživatele. Dosavadní ohlasy jsou velmi pozitivní. Prakticky každý den nám posílají uživatelé prostřednictvím formuláře pro zpětnou vazbu slova chvály a uznání, protože jim aplikace pomohla pozitivně změnit životní styl. Ohlasy najdete také na stránkách Android marketu. Jsou i od držitelů mojeID identit, kterých bude, jak doufáme, stále přibývat.
Možná právě vy nepatříte mezi cílovou skupinu návštěvníků stránek KalorickéTabulky.cz. I z tohoto důvodu by nás zajímalo, kde byste přihlášení přes mojeID využili nejlépe. Podělte se s námi ve komentářích.
VS
Ohlédnutí za zajímavými událostmi roku 2011
V tomto příspěvku bych chtěl zmínit některé incidenty, které řešil v minulém roce bezpečnostní tým CSIRT.CZ, a o kterých nebylo z nejrůznějších důvodů vhodné se zmiňovat ihned po jejich vyřešení.
Zneužitý hosting
V srpnu jsme přijali hlášení o incidentu, jehož původce neváhal investovat do nákupu legálního hostingu. Nejprve si u jednoho velkého operátora pronajal celou síť, v níž provozoval různé aktivity, které na první pohled nevzbuzují podezření. Jednalo se například o provozování on-line kasin, e-shopů s podezřele levným software a se značkovými hodinkami Rolex :). Operátor se bohužel pravděpodobně nechtěl dostat do konfliktu se zákazníkem a tak raději zvolil taktiku mrtvého brouka. Na situaci si stěžovalo čím dál více subjektů ze zahraničí, což vedlo až k problémům s blokováním některých jeho služeb. Smlouvu tomuto zákazníkovi vypověděl v říjnu, kdy už pro něj situace byla neúnosná. Provozovatel webů se však pouze přesunul k jinému velkému ISP. Zde se situace opakovala. Až ve chvíli, kdy důsledky chování tohoto zákazníka dopadly na další zákazníky, došlo na výpověď smlouvy. Poté proběhlo stěhování k menšímu rovozovateli webhostingových služeb. Ten sice také nechtěl zákazníka odpojit, ale byl ochotný o celé věci diskutovat. Když jsme mu vysvětlili, že provozovat kasina lze v České republice pouze po nahlášení u Ministerstva financí ČR a poukázali na předchozí události spojené s provozováním těchto webů, rozhodl se sám aktivně smlouvu vypovědět. Zatím to tedy vypadá, že tato poslední zkušenost konečně odradila provozovatele těchto webů od jejich dalšího provozování v naší zemi, neboť národní csirt od té doby již žádnou další stížnost neobdržel. Byl to běh na dlouhou trať, ale pro pověst České republiky je dobré, že se nakonec podařilo tyto weby vytlačit mimo „internetový rozsah ČR“. Pokud by se takováto síť u nás dlouhodobě udržela, mohly by se k nám začít stěhovat také weby s daleko nebezpečnějším obsahem. To by potom mohlo znamenat větší rizika i pro uživatele internetu u nás.
Varování ICS-CERT
V listopadu náš tým obdržel od týmu ICS-CERT seznam přibližně osmdesáti potenciálně ohrožených ICS (Industrial control system) systémů v Česku. ICS systémy zahrnují systémy SCADA, DCS a PLC. Tyto systémy nebyly přímo napadeny, ale jejich provozovatelé je měli dostupné z internetu a mnohdy pouze s minimálním zabezpečením, či dokonce s defaultním jménem a heslem. Informace jsme zpracovali a individuálně předali všem provozovatelům těchto systémů. Záměrem této preventivní akce bylo tedy upozornit provozovatele těchto zařízení, že mají takovýto systém dostupný z internetu, a předejít tak zneužití či poškození těchto systémů v budoucnosti. Více informací lze nalézt například na této adrese.
Spolupráce s FBI
V říjnu náš tým ve spolupráci s MVČR pomáhal FBI s předběžným zajištěním důkazů. Jednalo se o server, který sloužil několik let jako hlava botnetu. Protože existovala reálná možnost, že by po sobě vlastník tohoto serveru mohl zamést stopy, byli jsme požádáni o vyjednání předběžných záloh dat důležitých pro další vyšetřování. Protože neznáme podrobnosti o průběhu dalšího vyšetřování, nemohu bohužel zacházet do přílišných podrobností. V každém případě, to oč jsme byli požádáni se nám podařilo s provozovatelem služeb domluvit.
Pavel Bašta
Aktualizujte si údaje při založení mojeID
Možná jste si už chtěli založit mojeID s pomocí údajů, které máte u své domény v registru, a nemohli jste. Na vině byla neaktuální data, díky nimž nebylo možné absolvovat základní kroky k vytvoření vaši identity, a to předání PIN 1 a PIN 2; číslo mobilního telefonu a e-mail nebyly v registru uvedeny správně. To ale od ledna díky novému nástroji v mojeID neplatí. Při zakládání identity si totiž můžete vybrat možnost, při níž uvedené kontaktní údaje v registru nejdříve opravíte a na základě těchto změn zažádáte o vytvoření mojeID (pokud tuto změnu nechcete udělat přes svého registrátora). Nejedná se přitom o žádný náročný proces. Vše jde zvládnout rychle a pohodlně. Jestli vás zajímá jak, pojďme si tento nový nástroj představit z blízka.
Je to jednoduché. Stačí si díky službě WHOIS zobrazit svůj kontakt a po najetí na tlačítko Založit mojeID kliknout na odkaz Založit MojeID se změnou údajů. Během chvíle budete přesměrováni na Žádost o převod kontaktu do registru identit služby mojeID a provedení změn tohoto kontaktu. Zde můžete aktualizovat téměř veškeré údaje vedené u vašeho kontaktu, kromě identifikátoru kontaktu (uživatelské jméno) a jména a příjmení, které se vám zobrazí na šedém pozadí.
Žádost je samozřejmě nutné autorizovat, a to pouze pomocí úředně ověřeného podpisu oprávněné osoby. Teprve poté budou změny provedeny v Centrálním registru.
Tuto užitečnou novinku bohužel nebudou moci využít všichni. Kontakt, jehož identifikátor neobsahuje jen povolené znaky, nelze totiž k mojeID převést. Povolenými znaky jsou písmena, číslice a pomlčka uprostřed jména.
Seznam důvodů proč mít své mojeID je tedy zase o jeden bohatší. Nečekejte, až budete muset aktualizovat údaje v registru, a založte si účet už dnes.
Vilém Sládek (s pomocí Zuzany Pochopové ze zákaznické podpory CZ.NIC)