Odborná i všeobecná média chrlí v současné době velké množství článků na téma kybernetických útoků z minulého týdne. Téměř všechny články označují útok jako DDoS, mluví se o pronájmu botnetů a podobně. Minulý týden jsem já a především moji kolegové strávili analýzou celého problému a z dosud známých dat bych si dovolil jít proti tomuto mediálnímu proudu a představit jinou teorii opřenou o důkaz proveditelnosti. Dopředu podotýkám, že jde spíše o technickou nuanci, která nám patrně nijak zásadně nepomůže v pátrání po skutečnému útočníkovi.
Především musím uvést, že útok měl vlastně dvě různé fáze. V té první v začátku týdne šlo o klasický SYN Flood útok s podvrženou zdrojovou adresou. Tedy, že útočník či útočnici emitovali velmi rychle úvodní packety TCP komunikace (SYN), které směřovaly přímo na cíl. V druhé fázi emitovali útočníci SYN packety se zdrojovou adresou cíle, které směřovaly na některé české servery s kvalitním připojením. Tyto servery odpovídaly druhým packetem úvodní TCP sekvence neboli SYNACK a tím zahlcovaly cíl, působily tedy jako jakýsi reflektor.
Nicméně co zajímavé je, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí a to silou o řádu set tisíců až miliónů packetů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané. Při klasickém DDoS útoku, který používá botnet, přicházejí packety z různých směrů a obvykle nejde žádný dominantní směr určit. Pokud by útočník využil takovýto botnet, jistě by měl největší zájem o zapojení uzlů právě z našeho území, které mají k cíli nejlepší spojení. Ale k tomu pravděpodobně (krom toho odrazu z druhé fáze) nedošlo. Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť (nebo alespoň její dominantní část) poměrně geograficky omezená. Spíše mě to tedy vede k myšlence, že jde spíše o DoS než DDoS. Opět je pochopitelně možné, že si onu infrastrukturu někdo pronajal na stejném principu jako botnet.
A pokud se někdo zamýšlíte nad tím, zdali je možné takový útok uskutečnit pouze z jednoho centra, tak vězte, že to není nic moc komplikovaného. V rámci našeho bezpečnostního týmu jsme postavili řešení, které je schopno vygenerovat tok o síle cca deseti miliónů packetu za vteřinu. Tedy více, než kolik bylo emitováno v proběhlých útocích. Packety generuje menší farma v podstatě běžných PC, takže náklady na pořízení takového generátoru jsou velmi nízké. Trochu náročnější je mít kvalitní přípojku do Internetu a dostatečně silný router. Tok takového útoku je totiž cca 5Gbps a to již přeci jenom každý doma nemá. V současné době toto řešení používáme pro testování vlastní infrastruktury a již se nám přihlásili první zájemci, kteří by si rádi otestovali jejich vlastní systémy.
Tedy útoky, kterých jsme byli v nedávné minulosti svědky, nemusely nutně pocházet ze zavirovaných počítačů nic netušících lidí, mohly klidně vycházet z jednoho centra, sami jsme si takové centrum během pár hodin dokázali postavit. Nicméně pochopitelně netvrdím, že to nemohla být nějaká geograficky omezená část botnetu. Každopádně bych se přimlouval, aby toto první písmenko bylo v té zkratce dDoS co nejmenší. :-)
Váš ONdŘEJ FILIP
Co byste rádi na konferenci Internet a Technologie 13?
Na květen opět připravujeme naši tradiční konferenci Internet a Technologie (08, 09, 10, 11. 12). V případě té letošní se vracíme k modelu, který jsme loni opustili, tedy tato akce se bude opět konat v půlce roku, bude v průběhu pracovního týdne, bude dvoudenní a chtěli bychom, aby byla v Národní technické knihovně v pražských Dejvicích, s níž máme bohaté a velice dobré zkušenosti. Možná se ptáte, proč další změna. Důvodem je naše druhá letošní konference, kterou po dobrých zkušenostech s IT 12 připravíme na listopad. O tom ale až v dalším blogpostu.
V těchto dnech dáváme dohromady témata a začínáme se ohlížet po přednáškách a hlavně přednášejících. Je více než pravděpodobné, že se budeme věnovat nejen aktuálním doménovým tématům, ale i IPv4 a IPv6, internetové/kybernetické bezpečnosti, novým internetovým technologiím, o nichž se v poslední době mluví, nebo internetovému hardwaru.
Protože předpokládáme, že řada čtenářů .blogu jsou také potenciální návštěvníci našich akcí, zajímalo by nás, co byste od letošní konferenci Internet a Technologie očekávali. Rádi bychom vás požádali o tipy na přednášky a třeba i na workshopy (na IT 13 nás mile překvapil zájem o speciální setkání věnované BIRDovi, třeba o něj bude zájem a my připravíme jeho pokračování).
Jestli tedy víte, co zajímavého byste chtěli na IT 13 vidět a slyšet, koho byste tam chtěli potkat atd., podělte se s námi v komentářích. Nebráníme se samozřejmě ani tipům na vystupující ze zahraničí. Čím dříve nám dáte vědět, tím lépe.
Předem vám děkujeme za spolupráci.
Vilém Sládek
20 let domény .CZ je jenom jednou,…
tak proč si toto výročí nepřipomenout i jinak než třeba tiskovou zprávou nebo tématickým dnem na nějaké konferenci. Rok 2013 je pro nás prostě také rokem domény .CZ.
Vilém Sládek
Honeynet: útoky na přelomu roku
Poslední statistky z našeho honeynetu jsme zveřejnili počátkem listopadu, takže je opět vhodný čas se podívat, co se v uplynulých měsících dělo.
Nejvýrazněji se na statistikách podepsal autonomní systém AS3462 z Tchaj-wanu s počtem 372 unikátních IP adres. Opakuje se tak situace z minulého období. Počítače z tohoto rozsahu šířily 100 různých variant malware, z toho dvě se dostaly do TOP 10 za poslední sledované období (viz první a druhý malware na VirusTotal); jedna z těchto dvou byla šířena z jediné IP adresy. Tento AS sám o sobě zajistil Tchaj-wanu první příčku ve srovnání s ostatními státy světa.
Nejčastější útočníci (listopad 2012 – leden 2013)
Při pohledu na mapu světa jsou opět nejvýrazněji vidět Rusko a Brazílie. Oba státy vynesly na vysoké příčky stejné AS, jako v minulém období – ruský AS8402 a brazilský AS27699. Překonává je jen zmiňovaný Tchaj-wan a tentokrát i Arménie, která šířila tuto variantu viru Conficker. Menší množství útoků na nás směřovalo také z Německa a Srbska.
Zdroje útoků (listopad 2012 – leden 2013)
Nejčastěji se útočníci připojovali na port 445 (SMB protokol), řádově méně pokusů bylo dále na porty 80 (HTTP), 5060 (SIP), 3306 (databáze MySQL) a 1433 (Microsoft SQL Server).
Cílové porty (listopad 2012 – leden 2013), horizontální osa má logaritmickou škálu
Nejčastěji nahrávaný malware tvořily různé varianty Confickeru. Většinou platí, že jeden typ šíří téměř výhradně jeden autonomní systém.
Zachycený malware (listopad 2012 – leden 2013)
Na konec ještě přehled nejčastějších kombinací přihlašovacích údajů na službu SSH. Proti minulému období se nově v TOP 10 objevila kombinace test-test a root-redhat.
Přihlašování na SSH (listopad 2012 – leden 2013)
Jiří Machálek
Prodej alkoholu přes Internet jede, usměrnit ho může i mojeID
Společnost dTest dnes vydala tiskovou zprávu k průzkumu, který zjišťoval, jak snadné je nakoupit alkohol v internetových obchodech. Z textu vyplývá, že drtivá většina e-shopů nabízejících alkoholické nápoje porušuje zákon, protože nezabraňuje dostatečně tomu, aby se alkohol dostal do rukou dětem či mladistvým. Bližší podrobnosti najdete ve zprávě dTestu.
Pro nás je potěšující, že jsme se na této tiskové informaci mohli podílet. Zástupci společnosti dTest nás oslovili s tím, zda bychom nemohli připomenout řešení tohoto problému. Ty spočívají v tom, že buď budou provozovatelé e-shopů s alkoholem kontrolovat věk zákazníka přímo při předávání zboží nebo v lepším případě ještě před samotným odesláním objednávky. Druhé uvedené řešení lze spolehlivě realizovat prostřednictvím služby mojeID, která umožňuje ověřit identitu uživatele, tedy i jeho věk.
Děkujeme za spolupráci.
Vilém Sládek
Nová podoba statistik CZ.NIC
Již loni na podzim jsme v rámci konference IT 12 oznámili vytvoření nového portálu pro sjednocené statistiky sdružení CZ.NIC. V minulém týdnu se stránky dočkaly nového kabátu v podobě nového způsobu vykreslování grafů. O to se nyní stará nová javascriptová knihovna OGRA, která vznikla v Laboratořích CZ.NIC a byla zveřejněna k volnému použití v rámci open source licence.
Knihovna umožňuje snadné vkládání dynamických grafů do stránky za použití grafických knihoven třetích stran. Její hlavní výhodou je jednotný formát dat, který umí knihovna přeložit pro potřeby každé podporované knihovny a umožňuje tak přepínání grafických knihoven bez nutnosti změny formátu vstupních dat. Více informací a praktické ukázky naleznete na stránkách projektu.
Pro novou podobu webu statistik jsme zvolili knihovnu Highcharts, kterou jsme již dříve pro některé statistiky používali. Díky této knihovně je nyní možné např. vypínat kliknutím na legendu jednotlivé série hodnot nebo si nechat vygenerovat obrázek či PDF právě zobrazeného grafu.
Věříme, že nový vzhled statistik se vám bude líbit a pomůže vám v lepší orientaci v publikovaných datech. Zároveň uvítáme připomínky k naší nové knihovně OGRA.
Jan Danihelka
Datovka a verze Androidu
Jsou tomu již téměř dva měsíce co Datovku pro desktop a iDatovku doplnila Datovka pro Android. Jak si stojí, jak je to s podporou verzí Androidu a co jako vývojář očekávat po publikování aktualizace aplikace na Google Play? Na to se podíváme v tomto blogpostu.
Verze Androidu na trhu
Android je tu s námi přibližně 4,5 roku a během této doby bylo vydáno poměrně velké množství jeho verzí. Ty nejsou z pohledu vývojáře ani tak podstatné jako verze API, se kterou byla daná verze Androidu sestavena. Jednotlivé verze API se mezi sebou liší zejména podporou nových funkcí systému a bohužel občas i jinými chybami, které vývojář musí ošetřit. V praxi to znamená, že se vývojář musí na počátku rozhodnout, pro jaké rozpětí verzí API bude svou aplikaci psát. Zahrnout dnes do podpory například API verze 4 (což odpovídá Androidu 1.6 Donut) by sice mohlo přinést několik uživatelů navíc, ale komplikace, které bychom si tímto krokem do kódu a vývoje celé aplikace zanesli, za to ve většině případů nestojí. Dobrým pomocníkem v tomto rozhodování jsou grafy obsazení trhu, které Google poskytuje.
Obsazení trhu
Obsazení trhu, vývoj
Z prvního grafu je patrné, že majoritní podíl, téměř 50 procent, obsazuje API verze 10, které odpovídá Androidu 2.3 Gingerbread. Přestože je tato verze již téměř 2 roky stará, její ústup z trhu je, jak vidno z druhého grafu, pozvolný a proto bude určitě vhodné s touto verzí při vývoji nové aplikace ještě nějaký čas počítat.
Verze Androidu u uživatelů Datovky
Výše zmíněným rozložením jsme se řídili i při vývoji Datovky pro Android a rozhodli se podporovat pouze API verze 8 (Android 2.2 Froyo) a novější. Při pohledu na další graf, který již ukazuje zastoupení verzí Androidu pro naši aplikaci, je evidentní, že naše rozhodnutí bylo více než velkorysé. Datovka na Androidu 2.2 je na pouhých 22 zařízeních (což je něco málo přes 2 %) a dokonce ani Android 2.3 nemá na počtu instalací příliš velký podíl. Sečteme-li počty instalací na Androidu verze 4.x, zjistíme, že tato skupina zaujímá téměř 80 % procent všech instalací, což rozhodně nekoresponduje s předchozími grafy obsazení trhu ani s obecným zastoupením verzí v dané skupině aplikací. Navíc si lze všimnout, že se zvětšujícím se počtem instalací roste zejména podíl právě Androidu 4.x.
Vývoj verze Datovky pro Android
Domníváme se, že toto netypické rozložení verzí Androidu je dáno především specifickým obecenstvem aplikace, protože mezi uživatele datových schránek patří především manažeři, podnikatelé a další uživatelé z vyšších příjmových skupin. To je koneckonců zřejmé i z nejpoužívanějších zařízení, kde vede high-end telefon Samsung Galaxy S III.
Šíření aktualizací v Google Play
V ideálním světě by se aktualizace šířily lusknutím prstu a v té samé vteřině by byly všechny staré verze a tím i chyby nás vývojářů zapomenuty. Bohužel takto to minimálně v případě Androidu nechodí. Jak vidno z posledního grafu, Datovka byla uveřejněna na Google Play 30. listopadu 2012, tisková zpráva vyšla až o dva dny později, ale přesto si ji v tomto mezičase nainstalovalo 7 uživatelů. Následoval raketový start a další den již Developer Console hlásila 111 uživatelů. S nimi přišly první nahlášené chyby a první opravené vydání. To mělo následující den nainstalováno 208 uživatelů, 48 stále čekalo na doručení aktualizace. Podíl verze 1 se další dny dále snižoval, ale přesto i po 2 měsících a 3 vydaných aktualizacích Developer Console stále eviduje 4 uživatele s verzí 1.
Dále jde z grafu odvodit, že s rostoucím počtem instalací a uveřejněných verzí klesá rychlost šíření nové verze. Druhé verzi Datovky trvalo 2 dny, než se rozšířila na více než 90 % všech zařízení, v případě verze 3 to bylo 6 dní a poslední uveřejněné verzi číslo 4 zabralo dosažení stejného cíle již 15 dní.
Vývoj Datovky
V každém případě počty stažení i hodnocení aplikace uživateli ukazují, že si Datovka pro Android své příznivce v české internetové komunitě našla. Na vylepšování této aplikace samozřejmě budeme dále pracovat a o nových verzích vás budeme informovat na stránkách Laboratoří CZ.NIC. Stejně tak budeme rádi, pokud se vy ozvete nám a dáte nám vědět o případných problémech s aplikací nebo vašich nápadech na její vylepšení.
Martin Strbačka
Laboratoře CZ.NIC včera, dnes a zítra
Konec roku bývá často využíván k bilancování a začátek nového roku je zase dobrou příležitostí k prognózám, předsevzetím a plánování věcí příštích. Protože jsme si nechali ohlédnutí na konci roku v návalu práce utéct, dovolím si v tomto příspěvku spojit oba pohledy dohromady a krátce popsat historii, současnost a blízkou budoucnost Laboratoří CZ.NIC.
Zárodek Laboratoří CZ.NIC vznikl v průběhu roku 2008 oddělením od produkční části CZ.NIC. Cílem nových laboratoří byla práce na projektech bez přímé vazby na registr domén a s ním spojený vývoj a infrastrukturu.
Během roku 2009 a 2010 se počet členů laboratoří pomalu zvyšoval, což vyvrcholilo vytvořením nové pobočky v Brně. Zároveň s růstem počtu zaměstnanců se zvyšovalo i množství realizovaných projektů – např. v roce 2009 převzaly laboratoře vývoj routovacího démona BIRD a vznikly projekty DNSSEC hardware tester, DNSSEC validátor pro Firefox, dsgui alias Datovka; v roce 2010 přibyly ZFO Editor, iDatovka a první interní verze Knot DNS.
V letech 2011 a 2012 pak již počet zaměstnanců laboratoří stagnoval a docházelo spíše k přirozené obměně osazenstva. I přesto se ale růst počtu projektů nezastavil, spíše naopak – v roce 2011 přibyla první ostrá verze Knot DNS, IPv6 widget, DNSSEC validátor pro Chrome a spolupráce na BIND 10; v roce 2012 pak např. KATR, DNSSEC Validátor pro IE, Malicious Domain Manager, nové statistiky CZ.NIC a Datovka pro Android.
V roce 2013 nechceme za dosavadním vývojem zaostat a kromě rozvoje a údržby stávajících projektů startujeme hned dva nové velké projekty v oblasti internetové bezpečnosti a interaktivního vzdělávání. S tím je samozřejmě spojená i další nutná expanze laboratoří, a to jak v našich současných pobočkách v Praze a Brně, tak v nejbližších měsících také v nové pobočce v Plzni.
Pokud byste tedy měli zájem podílet se na vývoji inovativních projektů v renomované společnosti, jejichž výstupem je v naprosté většině případů otevřený software, dejte nám vědět. Seznam otevřených pozic a kontakt na nás najdete na našich stránkách v sekci kariéra.
Věřím, že i v případě, že mezi zájemce o práci na našich projektech nepatříte, zaujmou vás alespoň jejich výsledky. Určitě je na co se těšit.
Bedřich Košata
Přístup k systému Request Tracker z Pythonu
Závěrem loňského roku Laboratoře CZ.NIC vydaly první verzi modulu python-rt. Ten umožňuje přistupovat z Pythonu k API systému pro správu požadavků Request Tracker. Původně byl tento modul vyvinut v rámci projektu MDM, nakonec je ovšem použitelný i samostatně. Podrobnosti o modulu naleznete na stránce projektu a v jeho dokumentaci.
Co vlastně je Request Tracker a kde se podobné systémy uplatní? Jedná se o webové aplikace, které přehledně evidují požadavky (typicky nahlášené e-mailem) a umožňují skupině lidí spolupracovat na jejich řešení. Běžně takové tyto systémy používají například oddělení zákaznické podpory. Veřejně dostupné demo systému Request Tracker si můžete vyzkoušet zde. A právě na něm si ukážeme, jak se modul používá.
- Na testování si vytvoříme nové virtuální prostředí v adresáři env-rt, přesuneme se do něj a aktivujeme jej:
$ virtualenv env-rt $ cd env-rt $ source bin/activate
- Nainstalujeme modul rt:
(env-rt)$ pip install rt
- Spustíme Python v interaktivním režimu:
(env-rt)$ python
- Importujeme modul rt a vytvoříme instanci jeho třídy rt (tři parametry: adresa REST API systému Request Tracker., uživatelské jméno, heslo):
>>> import rt >>> tracker = rt.Rt('http://rt.easter-eggs.org/demos/stable/REST/1.0', ... 'mike.bar', 'mike.bar') - Přihlásíme se do systému a vyhledáme všechny vlastníky požadavků ve frontě Helpdesk:
>>> tracker.login() True >>> set(map(lambda x: x['Owner'], tracker.search(Queue="Helpdesk"))) set([u'admin', u'john.foo', u'Nobody', u'mike.bar'])
- Dále například můžeme vytvořit nový požadavek:
>>> tracker.create_ticket(Queue='Helpdesk', ... Subject='Coffee (important)', Text='Help I ran out of coffee!') 113
- Vrácené číslo je ID požadavku, které můžeme využít pokud chceme například požadavek editovat:
>>> tracker.edit_ticket(113, Requestors='addicted@example.com') True
- Důležitá je také možnost na požadavky reagovat:
>>> tracker.reply(113, text='Do you know Starbucks?') True
- Na konci se odhlásíme:
>>> tracker.logout() True
Pokud se rozhodnete modul používat, budeme rádi za vaši zpětnou vazbu.
Jiří Machálek
Trochu starší (ale o to zajímavější) novinky v mojeID
Před koncem roku jsme ještě stihli nasadit novou verzi mojeID. Protože jsme nechtěli, aby informace k tomuto releasu zapadly, vracíme se k nim až teď, po svátcích. Nová verze přináší uživatelům dvě zajímavé možnosti. První vylepšení souvisí se skrýváním adresy ve vyhledávací službě Whois. Druhou změnu představuje další přihlašovací metoda, kterou je použití jednorázového hesla (OTP – One-Time Password).
Skrývání adresy držitelů domén ve službě Whois není úplnou novinkou, ovšem dosud bylo spojeno pouze s fyzicky ověřenými (validovanými) mojeID účty. Podle plánu jsme již před časem začali pracovat na tom, aby tuto výhodu mohli co nejdříve využít i ti, kteří mají své údaje ověřené na úrovni potvrzené poštovní adresy. Současně s tím jsme přidali možnost ověření údajů a skrývání adresy jako vlastnost registru domén; toto řešení je určené pro držitele domén, kteří preferují možnost spravovat si své kontaktní údaje přes registrátora. Musí ale samozřejmě absolvovat tradiční ověřovací kolečko, stejně jako při založení mojeID účtu.
mojeID pro nás nepředstavuje pouze zjednodušené přihlašování, ale také vyšší míru zabezpečení. Proto již od začátku nabízíme dvě varianty přihlašovacích metod (heslo, osobní certifikát). K nim nyní přibyla další metoda, kterou je přihlašování přes jednorázové heslo (One-Time Password – OTP). Pro využití OTP je třeba, aby měl uživatel chytrý telefon s nainstalovanou aplikací (například Google Authenticator). Po nastavení telefonu (postup je uveden v nastavení mojeID) musí uživatel zvolit přihlašovací metodu „Jednorázové heslo“. Poté už jen do přihlašovacího formuláře zadá existující heslo a jednorázový kód, který vygeneruje aplikace v jeho chytrém telefonu.
Víme, že se nejedná o převratné změny, ale věříme, že si nové možnosti služby mojeID své příznivce najdou.
Na závěr bych rád upozornil na to, že přes mojeID se můžete dostat do klientských sekcí řady registrátorů domén .CZ (Active24, IGNUM, ZONER Software, INTERNET CZ, Web4U, AERO Trip PRO, ASPone, GENERAL REGISTRY, Gransy, ONE.CZ, NEW MEDIA GROUP, KRAXNET, Stable.cz, TELE3 a 1X). Od prosince potom tuto službu najdete také například na portálech Hafíci.cz, SpěcháTo.cz, Kniha.cz, Capsa.cz nebo 1188.cz. K těmto a dalším službám se může aktuálně přihlásit více než 160 tisíc držitelů mojeID účtů.
Vilém Sládek