Ve svém příspěvku o slučování kontaktů jsem se víceméně okrajově zmínil o akci, kterou jsme ke konci roku rozjeli a která měla za cíl zkvalitnit data o držitelích domén. Teď nastal čas, abych se k celé akci vrátil. O co tedy šlo?
Jak ochránit svou doménu před chybou registrátora a neskončit jako avg.com?
Možná jste zaznamenali útok na doménu známého výrobce antivirového softwaru. Pokud ne, zde je krátké shrnutí.
Před několika dny byl palestinskou hackerskou skupinou KDSM v dopoledních hodinách změněn obsah stránky avg.com a dalších. Na stránce se objevilo politické prohlášení této skupiny, které se vztahovalo k problematice Palestiny a Izraele. Nutno dodat, že poškozených doménových jmen bylo údajně více, dalším z potvrzených je doména jiného antivirového produktu avira.com.
Prohlášení na stránce avg.com
Pro nás bezpečáky i pro držitele doménových jmen je však asi nejdůležitější vědět, co se stalo na pozadí a jak se proti takové situaci co nejlépe chránit. Podle dostupných informací se opakovala podobná situace, k jaké došlo v říjnu minulého roku u domény google.ie.
Útočníkům se tedy opět podařilo přes registrátora změnit informace o DNS serverech, na kterých je doména spravována. Na DNS serveru ovládaném útočníky pak již útočníci nasměrovali záznam na své webové stránky, tedy na stránku s již zmiňovaným prohlášením.
Podle prohlášení společnosti Avira se zdá, že v tomto případě buď zafungovalo sociální inženýrství nebo nějak selhala logika aplikace, která je u registrátora Network Solutions používaná při resetování hesel. Doufejme, že se společnost Network Solution k celé věci později vyjádří, abychom si mohli o útoku udělat co nejpřesnější obrázek.
A jak se tedy podobné chybě na straně registrátora bránit? Již v odkazovaném blogpostu o únosu domény google.ie jsem upozorňoval, že pomocí formuláře na našich stránkách je možné požádat o zablokování veškerých změn na konkrétní doméně v registru .cz domén. V té době však bylo možné blokaci i odblokování provést pouze pomocí žádosti s úředně ověřeným podpisem, či pomocí e-mailu podepsaného kvalifikovaným certifikátem. Díky nové službě doménový prohlížeč se však situace velice zjednodušila a samotnou blokaci či odblokování lze provést on-line a to dokonce nad více objekty najednou. Výhodou je, že stačí jednou validovat váš účet služby mojeID a získáte možnost kdykoliv zapnout či vypnout rozšířenou ochranu vaší domény v centrálním registru. Při původní metodě bylo potřeba se pro každou změnu autorizovat zvlášť.
Možnost zablokovat provádění změn na doméně se ve světle množících se útoků na registrátory domén ukazuje jako čím dál důležitější. Nově zavedená možnost provádět tyto změny on-line pomocí služby doménový prohlížeč usnadňuje používání této služby a přímo vybízí k jejímu většímu využívání. Pokud je pro vás vaše doména a její správné fungování důležité, měli byste využití této nově nabízené možnosti co nejdříve zvážit.
Pavel Bašta
Výstupy veřejného testu aukcí domén
V neděli skončil veřejný test aukcí domén, který jsme před týdnem spustili. Splnil většinu našich očekávání a já si zde dovolím shrnout hlavní výstupy. V prvé řadě musím poděkovat za účast všem aktivním dražitelům, kteří se spolu s námi veřejného testu účastnili. Celkem jich bylo více než šedesát a podařilo se tak docílit simulace reálného provozu. Náměty na vylepšení, které nám byly zaslány jsme si zařadili na seznam věcí k řešení, tedy moc děkujeme i za tuto konstruktivní zpětnou vazbu. Během testování hlavní funkce systému obstála, v průběhu testu jsme nenarazili na nic fatálního, co by samotný průběh aukcí narušilo. Většina hlášených nedostatků má svoje řešení v optimalizaci nebo opravách frontendu.
Otestujte s námi aukce domén
Na konci minulého roku jsem v závěru svého článku o novinkách ve FREDovi slíbil, že se příště rozepíšu více o připravovaných aukcích domén. To „příště“ nastalo právě teď, protože systém pro tuto revoluční novinku se připravuje ke spuštění, aktuálně dobíhají jeho poslední testy a ladění. A protože je jeden z testů nyní i veřejně přístupný, je skutečně nejvyšší čas podělit se o více detailů. Věřím, že se pak do veřejného testu aukcí domén zapojíte a osobně si vyzkoušíte, jak budou aukce domén od května tohoto roku fungovat. Fakt, že svou aktivní účastí ve veřejném testu aukcí domén můžete vydražit nějaký z nabízených reklamních předmětů (jsou mezi nimi dokonce 2 routery Turris!) a že výtěžek aukce budeme směřovat na charitu dle výběru vítězných dražitelů, určitě k testovací aukci přiláká i další váhající zájemce.
Zvýšení bezpečnosti transferu .CZ domén
Dnes v noci jsme nasadili do provozu novou verzi systému FRED, jehož vlastnosti jsou určující pro životní cyklus všech .CZ domén. Zatímco několik předchozích verzí přinášelo novinky spíše na úrovni vnitřní infrastruktury, dnes zprovozněná verze přináší navenek rozpoznatelnou změnu. Dotkne se všech, kteří budou provádět transfer domén (obecně objektů) od jednoho registrátora k dalšímu. A nebyli bychom to my, kdyby změna neznamenala zvýšení bezpečnosti tohoto významného procesu, který měsíčně podstoupí jednotky tisíc držitelů domén.
Služba mojeID vstoupila do Evropy
V březnovém blogpostu jsem popisoval, jak probíhal proces notifikace (oznámení) systému elektronické identifikace mojeID v rámci nařízení eIDAS. Zmiňoval jsem tam také, že k plnému produkčnímu spuštění chybí dokončit ještě několik kroků. Jsem rád, že všechny zbývající kroky máme za sebou a mojeID se tak stalo prvním českým nestátním autentizačním prostředkem použitelným díky nařízení eIDAS v celé Evropě. S využitím mojeID je tedy nově možné se přihlašovat např. na daňové portály Slovenska, Belgie nebo Švédska, portál pro sociální zabezpečení Nizozemí, množství portálů evropských institucí nebo portálů pro správu domény Estonska nebo Dánska.
Testování verzí CMS aneb Co se povedlo a na co si dát příště pozor
Testování verzí CMS (Content Management System), ke kterému jsme přistoupili začátkem léta, vzbudilo poměrně značný ohlas v odborné komunitě. Zaznamenali jsme jak hlasy, které naši iniciativu vítaly, tak také ty, kterým z nějakého důvodu vadila. V tomto blogpostu bych chtěl na některé výtky reagovat bližším vysvětlením naší motivace i kroků v pozadí. Byla to naše první zkušenost s podobnou plošnou akcí a je třeba přiznat, že jsme se také dopustili některých přehmatů. I o těch se chci zmínit a omluvit se komunitě za případné negativní dopady, které to mohlo způsobit. Z ohlasů také víme, že některé z vás by zajímalo, jaké byly výsledky této akce. I na ty se tedy podíváme a zkusím také nastínit další věc, která by měla navazovat. Pojďme ale pěkně popořádku.
Reportáž: zajímavá konference Security Case Study
Polská konference Security Case Study patří už třetím rokem mezi akce reagující na měnící se bezpečnostní klima a hrozbu kyberkriminality. Letos jsme zde sdíleli zkušenosti nejenom z crowdfundingu routerů Turris, ale zejména se sběrem a vyhodnocováním dat o bezpečnostních incidentech.
Blokace a odblokování v registru whois
Dnes si povíme, k čemu můžete využít blokaci v registru a jak na to, abyste zablokovali a odblokovali jednoduše.
U své domény, kontaktu, sady klíčů nebo jmenných serverů můžete blokovat buď převod k jinému registrátorovi nebo provedení jakýchkoli změn. Blokaci provádí vždy jen osoba, která je k takovému kroku oprávněná, to znamená, že zablokovat doménu může pouze její držitel či administrativní kontakt, zablokovat sadu klíčů nebo jmenných serverů může zase jen technický kontakt. Je také dobré vědět, že blokace se nijak netýkají provozu objektu, jen zabrání změnám údajů.
RDAP – nástupce WHOIS protokolu
Jsou to už čtyři roky, co jsem zde na blogu poprvé zmiňoval iniciativu na vytvoření alternativního protokolu pro službu WHOIS. Tento „vousatý“ protokol z roku 1982 přežil několik pokusů o jeho nahrazení (1995 – Whois++, 1997 – RWhois, 2005 – IRIS) a bude zajímavé sledovat, zda-li mu stávající iniciativa zasadí pověstný poslední hřebíček do rakve.