V poslední době se objevily zprávy o útocích na malé domácí routery. Jedním z rozebíraných útoků bylo napadení routeru TP-LINK TD-W8901GB, které objevil pan Jakub Bouček. Tento napadený router byl poskytnut k analýze týmu CSIRT.CZ. Router měl několik známých bezpečnostních chyb a zjistili jsme, že jejich zneužití je poměrně jednoduché a umožňuje kompletní ovládnutí routeru a následné ovlivňování provozu, který přes něj prochází. Alarmující je především fakt, že podle našich předběžných měření je jen v českém internetu na 5000 podobných routerů s identickou chybou. CSIRT.CZ se proto rozhodl vydat následující návod na zabezpečení routeru.
Router TP-LINK TD-W8901GB
Tak teď už jen Afrika
Dnešním dnem se i region Latinské Ameriky připojí ke trojici Regionálních internetových registrů (RIR), které deklarovaly fázi vyčerpání IPv4 adres. Jen pro připomenutí, silné regiony Asie-Pacifik, Evropa a Severní Amerika, vyhlásily tento stav ve chvíli, kdy jejich zásoba adres poklesla pod /8, tedy 16 miliónů adres. Latinská Amerika si stanovila tuto hranici na /9, tedy polovinu tohoto množství. I kvůli tomu má tento tento slabší region nejméně adres ze všech. Opět platí, že téměř každý region přistoupil k tomuto stavu různě. LACNIC bude přidělovat i větší porce dat, pouze zpřísní kontrolu nad jednotlivými žádostmi, takže lze očekávat i mírné zpomalení čerpání. K další změně v alokační politice dojde v případě, až zůstane pouze /10, tedy polovina současného množství. Pak již bude možné provádět pouze alokace velikosti /24 až /22, tedy obdobně jako u nás v Evropě. A poslední rezerva /11 zůstane vyhrazena pouze novým členům.
Validace DNSSEC pomocí Dnsmasq
Dnsmasq je jednoduchá implementace základních síťových služeb — vše v jednom: DNS, DHCP, router advertisement a bootování ze sítě. Pro svou velikost (maličkost) a nenáročnost na systémové prostředky si našel místo na mnoha domácích routerech. Dnsmasq také spravuje virtuální sítě v sadě nástrojů libvirtd. A v neposlední řadě je k nalezení i na některých smartphonech (včetně Androidu), kde se používá pro tethering.
9. dubna 2014 vyšel Dnsmasq verze 2.69, který do vínku dostal podporu validace DNSSEC. To určitě stojí za vyzkoušení.
Chyba v OAuth a OpenID? Ale kdepak…
O víkendu rozvlnila mediální rybník zpráva o zranitelnosti protokolů OAuth 2.0 a OpenID. Alespoň takto většina médií interpretovala nález studenta Singapurské univerzity Wang Jinga. Bohužel se tato interpretace objevila i v článku na domácím serveru Lupa.cz a tak by stálo za to uvést ji na pravou míru. Faktu, že v protokolech samotných problém není, se obšírněji věnuje například John Bradley, jeden z architektů těchto protokolů. Ve svém blogu Bradley trochu ironicky komentuje touhu médií získat stejnou pozornost, jako v případě nedávno objevené skutečné bezpečnostní hrozby Heartbleed, o které jsme psali i na našem blogu.
Bezpečnostné týmy testovali svoje schopnosti
Podobne ako vojaci, ktorí v čase mieru cvičia a pripravujú sa na možné reálne situácie, cvičili aj bezpečnostné týmy po celej Európe. Viac ako 200 týmov sa zapojilo do prvej, technickej fázy cvičenia Cyber Europe 2014, ktoré pripravila Európska agentúra pre sieťovú a informačnú bezpečnosť (ENISA). Príprava na cvičení trvala viac ako rok, čo odpovedá aj jeho komplexnosti. Práve prvá, technická fáza cvičenia odštartovala celé trojfázové cvičenie Cyber Europe 2014. V druhej polovici roka na vyriešené úlohy z týchto dvoch dní nadviaže operačná a strategická fáza, ktorá už bude vyžadovať aj priame angažovanie nielen technikov, ale aj bezpečnostných manažérov.
Nové přírůstky v Katalogu routerů
V nejnovějším kole našeho testování routerů, jehož výsledky už můžete najít v Katalogu routerů, jsme sice prověřili jen pár zařízení, přesto jsme narazili na několik zajímavostí. Nejvíce nás překvapilo kouzlení s údaji o rychlosti bezdrátové sítě. Routery inzerují rychlosti Wi-Fi až 300 Mbps (v jednom případě dokonce až 750 Mbps) a v propagačních materiálech vyzdvihují bleskové stahování fotek a přehrávání filmů. Už ovšem nezmiňují, že ethernetové porty, na kterých se většinou datové zdroje nacházejí (jako např. domácí NAS nebo modem), mají rychlost jen 100Mbps.
Klapka! Heartbleed po stopadesáté!
Pravděpodobně neexistuje nikdo z IT oboru, kdo by nezaznamenal chybu v knihovně OpenSSL nazvanou Heartbleed. Mnoho z nás si s ní užilo své, ať již při patchování serverů, vydávání nových certifikátů či při pomoci uživatelům se změnami jejich hesel.
V CSIRT.CZ jsme se navíc zaměřili také na prevenci, protože i když byla tato chyba skutečně značně medializovaná, stále mohou existovat služby, které jsou vůči ní zranitelné. Proto jsme se ve spolupráci s Laboratořemi CZ.NIC pustili do skenování českých webů právě na tuto zranitelnost. Po dokončení skenování bychom rádi kontaktovali příslušné správce a informovali je o riziku, které by mohla tato zranitelnost pro jimi provozované služby a jejich uživatele představovat.
K povinnosti některých obchodních korporací zřídit internetové stránky
Máte společnost, ale nemáte svoji prezentaci na internetu? Tak zbystřete, protože v některých případech už je ze zákona povinná. Zákon o obchodních korporacích, který převzal úpravu obchodních společností ze zrušeného obchodního zákoníku, totiž přináší zajímavou novinku – pro některé obchodní korporace (těmi se souhrnně myslí obchodní společnosti a družstva) povinnost zřídit si internetové stránky a na nich průběžně uveřejňovat údaje, které je povinna uvádět na obchodních listinách a další údaje, které stanoví zákon.
Co jsou obchodní listiny už ani občanský zákoník ani zákon o obchodních korporacích nedefinuje. Podle starého „obchodu“ to byly všechny objednávky, obchodní dopisy, faktury, smlouvy a také internetové stránky, zkráceně tedy všechny listiny a informace, které vznikají v souvislosti s obchodní (podnikatelskou činností). Co je nutné na takových listinách uvádět ovšem není (jen) v zákoně o obchodních korporacích, ale také v občanském zákoníku (§ 435).
Severní Amerika na suchu!
Zhruba před pěti týdny jsem referoval o tom, že zásoba IPv4 adres v regionu Latinské Ameriky klesla pod jeden blok /8, tedy cca 16 miliónů adres. Tento krok ještě neznamenal zavedení speciálního režimu alokací, protože kolegové z Latinské Ameriky usoudili, že jako alokačně pomalejší region si tuto hranici stanoví níže, konkrétně na /9 neboli cca 8 miliónů adres. Toto lze očekávat v několika nejbližších týdnech. Včera byla dosažena kritická meta v regionu Severní Ameriky. ARIN ohlásil, že už má méně než /8 a také spustil speciální režim alokací.
Dlužno podotknout, že oba americké regiony zvolily pro tuto fázi odlišnou filosofii než my Evropané či kolegové z Asie-Pacifiku. V Americe se v této fázi přidělují dál poměrně velké kusy adresního prostoru, akorát se zpřísnily podmínky pro přidělování a každou vetší alokaci musí schválit více lidí než tomu bylo dříve. To fakticky znamená, že v těchto regionech může dojít k úplnému vyčerpání adresního prostoru, čemuž evropská a asijská pravidla v podstatě zabraňují.
mojeID pomáhá s komunikací v městech a obcích
Je to již téměř rok od chvíle, kdy bylo mojeID nasazeno na prvních internetových stránkách měst a obcí. Prvními vlaštovkami byly Hořice v Podkrkonoší a Rožmitál pod Třemšínem. Dnes mojeID využívá téměř sedm desítek měst a obcí, mezi nimi nově například Horšovský Týn, Mariánské Lázně nebo město Luže.
Na portálech samospráv je mojeID využíváno pro přihlášení a následně pro některé služby, jako jsou diskusní fórum, ověřená anketa, „referendum“ nebo kontaktní formulář. Již brzy bude možné zde tuto službu využít také pro zadávání inzerce.