V Torontu včera začal 45. ICANN meeting, který hned na úvod přinesl jednu pro nás velice příjemnou zprávu. Tou je podepsání dohody o spolupráci s kolegy z kostarického doménového registru. Oboustranně schválené memorandum se vztahuje na spolupráci a výměnu zkušeností při správě domén nejvyšší úrovně.
Naše branže je poměrně specifická a dá se říci, že každý správce registru si ten svůj “byznys” řeší po svém bez ohledu na to, jak to dělají ti druzí. K výměnám zkušeností dochází především prostřednictvím mailových konferencí nebo v rámci setkávání jako jsou právě ICANN meetingy; hlavně tyto dvě cesty nabízejí jedinečnou možnost, jak sdílet informace. Uzavřít s někým užší spolupráci není běžné, naopak, je to vzácnost, která přináší nejen nové zkušenosti, ale může přispět i k řešení velice specifických problémů a situací.
Spolupráce mezi námi a Kostarikou nevznikla jen tak sama od sebe. Se správci registru této země jsme ve spojení už delší dobu. Naše první kontakty začaly u FREDa. Kostaričané jsou totiž jedněmi z těch, kteří tento náš registrační systém zavedli a naplno ho využívají. Na březnovém ICANNu 43 v kostarickém San José také došlo k prvnímu vzájemnému setkání s kolegy z NIC Internet Costa Rica, na němž jsme mimo jiné probírali i vzájemné zkušenosti s implementací DNSSECu. Tato jednání měla pokračování v Praze, kde se konalo hned následující setkání tohoto celosvětového správce sítě Internet. Zde jsme se setkali v rámci workshopu věnovanému opět FREDovi.
Podepsané memorandum je tedy logickým pokračováním naší spolupráce, která by v budoucnu mohla obohatit obě strany.
Jaromír Talíř
Těžko na cvičišti, lehko na bojišti
Minulý týden jsme na serveru Root.cz publikovali dva články (1, 2) o celoevropském cvičení bezpečnostních týmů CSIRT/CERT. Články vzbudily poměrně živou diskuzi, která se věnovala především smysluplnosti konání takovýchto akcí.
Přesně týden po tomto cvičení došlo k phishingovému útoku na uživatele jedné z našich největších bank – ČSOB. Její zástupci nás okamžitě po vypuknutí incidentu kontaktovali s žádostí o pomoc při řešení jejich problému, a to především kvůli skutečnosti, že phisingové e-mailové zprávy byly rozeslány z nejrůznějších IP adres z celého světa. V každé zprávě byl navíc odkaz na podvodnou stránku sbírající data od uživatelů. Ani v tomto případě se nejednalo o jednu doménu či IP adresu, ale šlo o desítky zneužitých počítačů v podstatě po celém světě. Útok byl zjevně pečlivě připraven a promyšlen, některé z phishingových zpráv měly i podvržené hlavičky.
I podle tohoto faktu se jednalo o poměrně propracovaný útok, s kterým se nesetkáváme každý den. Také z tohoto pohledu jeden ocení, když se na takovéto situace může připravit. Ale kde a jak? Shodou okolností jsme se týden před spuštěním uvedeného útoku zúčastnili cvičení evropských CSIRT týmů, které testovalo vzájemnou komunikaci a spolupráci mezi bezpečnostními specialisty. Že nám tato příprava bude rychle k užitku, to tenkrát netušil nikdo z nás.
Po vyhodnocení celé situace jsme se rozhodli kontaktovat jak držitele IP adres, na kterých byly umístěny phishingové stránky, tak také držitele IP adres zneužitých k rozesílání phishingových e-mailů. Během této akce se nám velmi osvědčilo využít spolupráci s CSIRT týmy (pochopitelně tam, kde nějaké existují). Velmi nám také pomohlo, že jsme podobnou situaci, vyžadující mezinárodní spolupráci měli možnost nedávno absolvovat nanečisto. Díky tomu se velké množství nebezpečných phishingových stránek podařilo odstranit během několika hodin po oznámení útoku. Mimochodem, asi nejvzdálenější tým, který jsme během této akce požádali o spolupráci byl Panamský národní CSIRT tým.
Z této akce plyne několik zajímavých závěrů, které jsou zároveň odpovědí na kritické příspěvky pod našimi články:
1) podobná cvičení jako bylo to z předminulého týdne smysl mají, stejně jako má smysl, aby svou schopnost koordinace cvičili například jednotlivé složky záchranných sborů
2) není pravdou, že by CSIRT týmy byly něčím, co je záležitostí čistě evropskou, jak se někteří snažili pod články naznačovat, naopak, tento druh bezpečnostních týmů se začíná objevovat po celém světě a umožňuje rychlou mezinárodní reakci na vzniklé incidenty
3) určitě se nejedná o nepotřebnou záležitost, ostatně věřím, že v době, kdy se začaly objevovat první hasičské záchranné sbory, se také našli jednotlivci, kteří argumentovali tím, že doteď se přece podávaly kýble s vodou a nějak to fungovalo, tak proč to tak nedělat i nadále.
Pavel Bašta
Nejen .blog, ale i další naše zdroje můžete teď sledovat přes RSS
Na základě řady ohlasů, především od čtenářů našeho bezpečnostního informačního servisu, jsme do webových stránek www.nic.cz a www.csirt.cz nově implementovali možnost použití RSS kanálů pro příjem aktuálních novinek. Na adrese http://www.nic.cz/rss/news/ najdete nyní RSS kanál pro odběr novinek ze stránek www.nic.cz. Pro obecné novinky z webu www.csirt.cz najdete příslušný RSS kanál pod pod odkazem http://www.csirt.cz/rss/news/. Pokud potom máte zájem odebírat novinky přímo a pouze z oblasti bezpečnosti, tak speciálně pro vás je připraven tento link http://www.csirt.cz/rss/news/security/.
Potřebu RSS kanálu jsme si naplno uvědomili už na začátku, kdy se nám ozvalo několik zájemců o tento zdroj. Druhým faktem, který nás ujistil o smysluplnosti tohoto kroku, je to, že novinky na Aktuálně z bezpečnosti přibývají opravdu každý den a někdy je jich i několik najednou. Pokud jste si tedy zvykli na upozornění přes náš Twitter, jistě vás tato změna potěší.
Pavel Bašta
První firmy na suchu
A už je to tady. Včera v noci mi do schránky přistál první mail od české firmy, která hledá IPv4 adresy. Podle všeho tento mail dostalo více kontaktních osob českých LIRů. Mail se vysloveně odkazuje na nedávné změny v RIPE a autor poptává /21 (2048) adres. Ještě nedávno by to nebylo tak moc, ale dnes je to poměrně vzácné zboží. Mimochodem, tato firma má dle RIPE databáze přiděleno /19 (8192) PI (provider independent) adres a už ji to zjevně nestačí. Trochu smutné, že příděl IPv6 adres jsem u nich neobjevil…
Doufejme, že nástup IPv6 začne trochu akcelerovat a těchto mailů nebude příliš přibývat.
Ondřej Filip
Do roka a do dne – certifikace registrátorů
V září minulého roku jsme představili výsledky prvních devíti registrátorů, kteří absolvovali náš dobrovolný certifikační program (podrobnosti a podmínky naleznete zde).
Tehdy nás jeho účastníci potěšili – jak svým počtem, tak dosaženými výsledky. Již v tomto prvním kole jsme ocenili hned tři z nich nejvyšším počtem 5 hvězdiček a jeden z účastníků (registrátor Web4U) dokonce dosáhl maximálního 100% hodnocení.
Na přelomu roku potom k prvním devíti statečným přibyli ještě dva další účastníci programu a v těchto dnech jsme uzavřeli i certifikaci dalšího nováčka, společnosti banan.
Jelikož certifikace samotná je platná po dobu 12 měsíců, proběhla v uplynulých dvou měsících recertifikace všech prvních devíti účastníků, a mohu konstatovat, že k naší plné spokojenosti. Výsledky jsou opět výborné u všech účastníků, takže bych vyzdvihl pouze pár bodů:
– po roce se do programu opětovně přihlásili všichni jeho účastníci, což svědčí o tom, že certifikace má pro registrátory svůj smysl
– nikdo z registrátorů nedopadl hůře než v předchozím roce
– s výjimkou Web4U (ti dosáhli maxima už v loňském roce) a dvou dalších účastníků, kteří zůstali takzvaně „na svém“, se všichni ostatní zlepšili, a to ať už co do počtu hvězdiček (přibyli nám například dva pětihvězdičkoví) nebo co do celkového procentuálního hodnocení.
Konečně posuďte sami. V následující tabulce můžete porovnat výsledky jednotlivých účastníků a jejich posun.
Přesvědčit se samozřejmě můžete i přímo v seznamu registrátorů, kde jsou zveřejněny jak výsledky hodnocení, tak podrobné certifikační protokoly.
Martin Peterka
5 let s FREDem
V toku nových událostí je dobré čas od času najít chvilku na to se zastavit a podívat se zpátky do minulosti. Jako ideální příležitost se jeví různá výročí a jedno takové právě oslavil náš registrační systém FRED.
Dnes je tomu přesně 5 let, co jsme nasadili FREDa do správy české domény .CZ. 28. září 2007 došlo k zastavení tehdejšího systému a odstartování migračního procesu. Dojeli jsme do sídla tehdejšího správce, firmy T-Systems Pragonet, a převzali CD obsahující kompletní data systému. Po návratu zpět jsme tato data nahráli no připraveného prostředí a spustili transformační skripty pro nový systém. Výsledek transformace jsme následně kontrolovali jednak automaticky dvěma nezávisle napsanými testovacími skripty a pak samozřejmě manuálním testováním. Prvním kritickým momentem byla publikace vygenerovaného zónového souboru pro CZ doménu do internetu. K tomu se váže úsměvná historka. V momentu, kdy kolega Ondřej Surý odstartoval tento proces, ozvala se mu na telefon sestra, že jí doma nejde internet a jestli neví co s tím má dělat. Zatímco jsme ho křísili, zjistili jsme, že se samozřejmě jedná o problém čistě lokálního charakteru. Prodloužený víkend jsme strávili konfigurací systému a testováním všech funkcí. V pondělí 1. 10. v 10 hodin jsme pak otevřeli systém pro nové registrace.
Stávající systém se od toho z před pěti let již značně liší. Některá původní rozhodnutí týkající se návrhu FREDa jsme museli přehodnotit a změnit, museli jsme reagovat na provozní statistiky a také jsme realizovali některé nové nápady. FRED ale nezůstal jen před hranicemi naší země. V průběhu pěti let ho do své správy domény zaintegrovali v Angole, Tanzanii, Kostarice, Faerských ostrovech a v Estonsku. To nás těší a zavazuje zároveň. Snad až uplyne dalších pět let, budeme moci hodnotit uplynulé období stejně pozitivně :).
Jaromír Talíř
IT 12 o víkendu, přišli byste?
Možná se někteří z vás v duchu ptají, jestli vůbec letos bude konference Internet a Technologie. Odpověď zní ano, IT 12 bude, už na ni začínáme pilně pracovat. Protože jsme ale v červnu již jednu konferenci udělali – IPv6 Day, rozhodli jsme se trochu vybočit ze zajetých kolejí a tradiční setkání nad internetovými tématy lehce pozměnit, třeba jen pro tentokrát.
První, o čem přemýšlíme, je to, zda udělat akci v týdnu nebo o víkendu. Pořadatelé brněnských setkání mají s akcemi na konci týdne dobré zkušenosti, takže jsme celkem nakloněni tomu, uspořádat naše setkání v některé z listopadových sobot (na konci měsíce). S termínem akce souvisí i další skutečnosti. Chceme akci více „otevřít“ především studentům vysokých škol (samozřejmě ale nejen jim). I proto ji také tentokrát plánujeme do některé z poslucháren. Na závěr ještě doplním, že s ohledem na „cílovou skupinu“ uvažujeme o skutečně symbolickém registračním poplatku.
Další informace si zatím necháme v záloze. Přeci jen, konference bude až v listopadu a na odhalení všech karet je tedy ještě čas. Smyslem tohoto blogpostu je zjistit od vás, kteří nás sledujete, chodíte na naše akce, zajímáte se o naše projekty a aktivity, jestli jsou i pro vás nastíněné změny natolik zajímavé, že byste na víkendovou, jednodenní akci přišli. Jsou to celkem velké změny, a tak by nás zajímalo, co jim řeknete. Předem děkujeme za vaše názory a připomínky v komentářích.
Vilém Sládek
Problémy eshopů a jejich řešení. Netýká se to i vás?
Stojíte rádi ve frontě u pokladny? A stalo se vám někdy, že jste se při pohledu k pokladnám rozhodli nakoupit raději v trafice nebo na benzince? Možná, že podobně přemýšlí také návštěvníci vašeho eshopu. Třeba si i oni na pokladně – při pohledu na nekonečný formulář pro jednorázovou objednávku – řeknou, že bude snazší si ten kávovar koupit zítra cestou pro rohlíky…
V létě 2010, tedy v době, kdy jsme připravovali spuštění služby mojeID, jsme měli na zřeteli celou řadu potenciálních výhod a přínosů pro provozovatele internetových služeb. Do okamžiku, než jsme tyto naše vize konfrontovali se skutečnými potřebami reálných provozovatelů webů a eshopů, však nešlo o nic jiného, než o pouhé domněnky a dohady.
Šli jsme se jich proto zeptat, s jakými problémy se v každodenním provozu potýkají, kde vidí jejich řešení a zda by jim při tom mohla námi chystaná služba pomoci. K našemu překvapení jsme mimo jiné zjistili, že polovinu z toho, co jsme při vývoji mojeID považovali za důležité, nejen že neřeší, ale dokonce ani netuší, že by se tím vůbec mohli zabývat. To bylo pro nás důležité, protože nám to umožnilo se přednostně zaměřit na řešení aktuálních problémů a spoléhat, že to ostatní provozovatelé docení, až po hlubším seznámení se službou.
Dozvěděli jsme se, že majitele eshopů trápí především nízká konverze a že již vlastně rezignovali na ideu validních kontaktních údajů, efektivních věrnostních programů a vracejících se zákazníků, kteří by se opakovaně logovali do svých uživatelských účtů. Vlastním průzkumem jsme si potvrdili, že míra opouštěných nákupních košíků, která přesahuje 60 %, je číslo, které si ve skutečnosti provozovatelé eshopů nedokáží nikterak interpretovat. Domnívají se, že část těchto košíků je „přinesena“ k pokladně proto, aby si zákazník spočítal konečnou cenu včetně přepravy, balného a případných dalších poplatků. Ale co ten zbytek?
Nejsou to také vaši zákazníci, kteří utíkají z pokladny eshopu proto, že jim prostě za to ta „námaha“ s vyplňováním formulářů nestojí? Ptáte se, co s tím?
Protože jako provozovatel služby mojeID chceme podporovat e-commerce segment, rozhodli jsme se letos v říjnu uspořádat ve spolupráci s několika partnery zvučných jmen E Business Akademii, která se zaměří především na řešení problémů provozovatelů malých a středních eshopů.
Přijďte si poslechnout příspěvek mých kolegů o tom, jak může mojeID pomoci při řešení problémů eshopů.
Ondřej Písek
Knihovníci doporučují mojeID
Na konferenci Knihovny budoucnosti 2012, která proběhla v minulém týdnu v Pardubicích a kde se sešlo více jak 250 zástupců knihoven, byl představen připravovaný Centrální portál českých knihoven (CPK). Ten umožní získat požadované dokumenty v tradiční tištěné nebo digitální formě a pohotové a komplexní informace kdykoli, odkudkoli a kdekoli.
Jedním ze stavebních prvků projektu CPK je ověřená sdílená identita čtenáře. V přednášce „Sdílení uživatelských identit“ představil Petr Žabička z Moravské zemské knihovny v Brně knihovníkům možnost využití služby mojeID pro zavedení ověřené identity. Čtenář, který se bude registrovat v libovolné knihovně s účtem mojeID, bude uznáván i v ostatních knihovnách a v rámci všech služeb dostupných pod CPK. „Po dlouhém testování a hledání vhodné služby padla volba právě na mojeID,“ uvedl mimo jiné Petr Žabička.
Přednášku následně doplnil Martin Lhoták, ředitel Knihovny Akademie věd ČR a hlavní koordinátor projektu CPK. Znovu zopakoval, že mojeID je jedinou funkční a hodnověrnou službou pro zajištění ověřené identity v rámci projektu a doporučil knihovníkům neváhat s jeho implementací do knihovních systémů. Harmonogram projektu očekává, že během roku 2013 podpoří mojeID většina knihoven.
Radim Ponert
Něco málo o projektu, který byste od nás asi nečekali
Blíží se spuštění našeho dalšího osvětového projektu, který volně navazuje na úspěšnou kampaň věnovanou pouze doménám – „Dobrá doména“. Aktuální projekt je tu s námi prakticky od začátku tohoto roku a musím přiznat, že mu po celou tu dobu věnujeme velkou pozornost a péči. Seznámit se s ním budete moci poprvé již za 14 dní, ale pro ty, které jsme už stihli těmito pár řádky navnadit, přinášíme již nyní několik málo indícií.
V pondělí 1. října bude na nejmenovaném televizním kanálu, ihned po hlavní zpravodajské relaci, odvysílán první díl našeho nového, nijak krátkého osvětového seriálu. Připravili jsme ho společně s tvůrci pořadů o vodě nebo památkách UNESCO. Další podrobnosti si zatím necháme pro sebe s tím, že první říjnové pondělí vyložíme karty na stůl a projekt představíme v celé jeho kráse. Doufáme, že se už těšíte. My hrozně :)!
Tomasz Hatlapa