Americký federální úřad pro vyšetřování (FBI) vypnul v pondělí 9. července DNS servery, které neoprávněně a protizákonně využívaly skupiny hackerů, především ze Spojených států. Tato akce nebyla nečekaná, americký bezpečnostní úřad na toto vypnutí DNS serverů několikrát v minulosti upozornil.
Zpravodajský server BBC uvedl, že byly virem DNSChanger napadeny přibližně čtyři milióny strojů. V pondělí 9. července bylo takto zasažených „pouze“ 300 tisíc těchto zařízení, přičemž 70 tisíc pocházelo ve Spojených států (další desítky tisíc byly z Itálie, Velké Británie a Německa). Tento problém se bohužel nevyhnul ani České republice. Na našem území bylo identifikováno přes 2 000 nakažených počítačů a routerů.
Virem DNSChanger se zabýváme již delší dobu, a to nejen na našem blogu. Díky tomu, a také díky patřičné medializaci celé záležitosti, jsme zaznamenali vzrůstající zájem o naši stránku http://www.dns-ok.cz, díky níž je možné snadno a rychle zjistit, zda je nebo není váš počítač tímto virem napaden.
První vlnu zájmu uživatelů jsme zaznamenali v dubnu tohoto roku, a to v souvislosti s naší snahou na celou záležitost včas upozornit. Tehdy jsme zjistili, že naši testovací internetovou stránku „navštívilo“ přibližně 20 IP adres, které byly tímto virem infikované. V průběhu tohoto pondělí a úterý bylo potom otestováno více než 1 400 unikátních IP adres, z nichž nakažených bylo pouze 10.
Jsme rádi, že stránku www.dns-ok.cz využili i jinde. Z našich logů vyplývá, že zájem projevil i ne zrovna malý počet uživatelů ze Slovenska.
Michal Prokop
IPv6 v České republice měsíc po „dni D“
Je tomu již něco málo přes měsíc, co se firmy z celého světa připojily k akci World IPv6 Launch a CZ.NIC spolu se svými partnery v Praze uspořádal k tomuto tématu konferenci, kde zejména ze stran poskytovatelů připojení zazněly sliby o brzké podpoře IPv6. Pojďme se nyní společně podívat na to, zda všichni ti, kteří se rozhodli šestku zapnout, ji po „velkém dni“ zase rychle nevypnuli a jak Telefónica dodržela svůj slib.
Operátoři – Telefónica dodržela svůj slib
Ti z vás, kteří jste se zúčastnili naší červnové konference, si pravděpodobně vzpomenete na to, jak se Ondřej Filip snažil z operátorů „dostat“ konkrétní termín spuštění šestky a Jakub Votava pak přede všemi prohlásil: „Pro domácí zákazníky bude dual stack k dispozici přibližně za měsíc.“ Ani ne měsíc po tomto prohlášení Telefónica podporu IPv6 skutečně spouští a od 1. července 2012 získávají všichni její noví zákazníci vedle IPv4 rovněž IPv6 adresu a některý ze dvou typů modemů (Comtrend VR-3026e, Huawei EchoLife HG622u) z nabídky. Pro stávající zákazníky nabízí Telefónica možnost objednat si fixní IPv6 adresu na zákaznické lince či v některé z prodejen.
Podíl webů neustále stoupá
Pozitivní dopad měl IPv6 den a všechna mediální pozornost, která ho provázala, rovněž na podporu IPv6 na straně webových, e-mailových a DNS serverů. Podle statistik našich laboratoří má AAAA záznam 13,49 % domén v .cz zóně, což oproti květnu představuje téměř 3% nárůst. Ještě větší skok lze najít v IPv6 Observatory zaměřující se na „velké hráče“ představující 500 nejnavštěvovanějších webů. Česká republika si v tomto žebříčku s přehledem stále drží první místo, přičemž nárůst mezi 1. červnem a 7. červencem činí více než 50 %.
Vzhledem k tomu, že na rozdíl od našich laboratoří se statistika IPv6 zaměřuje jen na 500 nejnavštěvovanějších stránek z dané země (tj. nejen stránky v národní doméně, ale rovněž stránky jako je Facebook.com či Google.com i jiné), můžeme v číslech dobře vidět, jak se podpora šestky v České republice promítla rovněž do statistik ze Slovenska, kde za více než 100% nárůstem stojí především stránky jako je Seznam.cz či Centrum.cz. O tom, že podpora IPv6 na Slovensku není zdaleka tak silná pak svědčí i to, že třeba Zoznam.sk či Centrum.sk zatím podporu nové verze IP protokolu nezprovoznili. Velcí hráči typu Google či Facebook pak stojí za skokovým nárůstem například u Kypru.
Vedle vlastních webů se pak podařilo udržet rovněž podporu IPv6 u DNS serverů, kde se blížíme k „magické“ 50% hranici. Zatímco 7. července, tedy den po „dni D“ naše laboratoře hlásí 49.82 % o měsíc dříve to bylo 49,58 %, to jest o cca. 2 300 domén více.
Jiří Průša
Již pátý právnický seminář přinesl i zkušenosti z Francie a Slovenska
Naše sdružení se vedle své hlavní činnosti, kterou je správa registru českých domén, věnuje také vzdělávacím a osvětovým projektům. Mezi tyto aktivity lze také zařadit semináře pořádané pro odbornou právnickou veřejnost, o kterých si troufám tvrdit, že jsou již tradiční.
Letos se uskutečnil v pořadí již pátý ročník semináře, na který jsou zváni především soudci, firemní právníci a advokáti, tedy všichni profesionálové v oblasti práva, kteří se při své práci setkávají nejen s problematikou doménových jmen, ale i šířeji se specifiky, které přináší virtuální svět a aktivity v něm. Pro účastníky, kterých se sešlo bezmála padesát, byla připravena vystoupení šesti přednášejících, z nichž dva byli ze zahraničí.
Dr. Polčák z Právnické fakulty Masarykovy univerzity v Brně se ve svém příspěvku věnoval možnosti analogického užití nařízení EU, která upravují doménu .eu, ve sporech o české domény, Mgr. Bartošková z Rozhodčího soudu při Hospodářské komoře České republiky a Agrární komoře České republiky, který rozhoduje nejen spory o české domény, ale též o domény .eu a spory o domény podle pravidel UDRP, představila mimo jiné online platformu, jejímž prostřednictvím spor online formou probíhá.
Loni byl velmi kladně přijat zahraniční host, proto jsme i letos přemýšleli, jaká země by místní právníky mohla z hlediska domén a internetového práva zajímat. Volba padla na Francii a Slovensko. M. Georgelin z AFNICu účastníky seznámila se SYRELI, což je francouzský systém pro řešení sporů o doménová jména. Mgr. Abelovský ve své prezentaci kriticky zhodnotil podmínky registrace doménových jmen na Slovensku a Mgr. Lukáč, právní zástupce slovenského registru SK-NIC, se věnoval nejen představení správce národní domény .sk, ale především sporům o slovenská doménová jména a možnostem jejich řešení. Zmínil rovněž připravované změny v pravidlech poskytování jmenného prostoru (obdoba čtenářům známých českých Pravidel registrace).
První ročník tohoto semináře byl půldenní, letos program zabral bezmála celý den. Velmi nás těší rostoucí zájem o tuto akci a kladné reakce účastníků. Tato setkání jsou oboustranně velmi užitečná, tvoří prostor pro vzájemnou výměnu zkušeností a umožňují nám lépe reagovat na požadavky z praxe.
Zuzana Průchová Durajová
Digitální lukostřelba pohřbena v Praze!
V několika článcích na lupě [1] [2] jsem popisoval problémy, které provází proces vzniku nových domén. Věc, která mi na celém procesu přišla mimořádně podivná, byla tak zvaná digitální lukostřelba, tedy způsob, který měl rozřadit posuzování žádostí o nové domény do jednotlivých dávek po 500. Princip měl být takový, že žadatel si v systému určil nějaký čas v budoucnosti a pak se snažil přesně v tento zvolený okamžik stisknout tlačítko. Rozdíl mezi zvoleným časem a skutečným časem „kliknutí“ se měl změřit a žádosti žadatelů s menším rozdílem mezi těmito časy měly být posuzovány v dřívějších dávkách. Vzhledem k tomu, že časový rozdíl mezi první a čtvrtou dávkou bude nejméně 15 měsíců a ohledem na objem financí, o který se v nových doménách bojuje, je samozřejmě důležité, aby byl proces zcela transparentní a spravedlivý. Stále více lidí mělo ke zvolenému řešení, tedy digitální lukostřelbě, výhrady. Hlavním problémem bylo podivné technické řešení, které tak jak tak nahrávalo bitvě automatů a dalším problémem byl fakt, že nikdo, krom správců systému nebyl schopen ověřit, jestli je změřený výsledek správný. Navíc se bohužel celý systém choval velice podivně a nespolehlivě. Tyto a další problémy zvoleného řešení vedly k tomu, že se představenstvo ICANNu na zasedání v Praze rozhodlo celý proces zrušit. S tímto také bylo rozhodnuto, že se všechny žádosti začnou posuzovat ve stejný okamžik a dávkování bylo úplně zrušeno. To je poněkud překvapivé, když ICANN tvrdil, že má kapacitu pouze na 500 žádostí. Není úplně jasné, zda-li to platí pouze pro úvodní posuzovací fázi nebo i pro veškeré posuzování a jestli to znamená, že všechny žádosti budou finálně schváleny až ve stejný okamžik. Představenstvo každopádně hodlá o problému ještě dále přemýšlet a diskutovat s komunitou. To ovšem znamená, že posuzování žádostí určitě nabere nějaký skluz a všichni žadatelé budou čekat zase o něco déle než počítali, což je jistě bude stát nemalé zdroje. Bohužel tedy problémy startu nových generických domén pokračují nadále, což je velmi mrzuté u procesu, který byl nazván největší revolucí Internetu od jeho vzniku.
Ondřej Filip
ICANN si do čela vybral pana neznámého
Dnešní představení nového ředitele organizace ICANN bylo pro většinu zúčastněných obrovským překvapením. Fadi Chehadé je totiž člověk, který se v komunitě kolem ICANN nikdy nepohyboval a téměř nikdo jej nezná. Bohužel to tedy znamená, že by potřeboval nějaký čas, aby se s tímto velice specifickým prostředím seznámil. Času ale příliš mít nebude, protože vstupuje do ICANNu v období, kdy je v plném běhu jeho historicky největší projekt, tedy vznik nových domén nejvyšší úrovně. I když za jiných okolností bych kritizoval, že ICANN opět zvolil ředitele z anglicky mluvící země, v tomto případě to neudělám, protože Fadi rozhodně není typickým Američanem. Narodil se v Libanonu egyptským rodičům působil v severní Africe i na Středním východu, má tři občanství a plynně hovoří Anglicky, Francouzsky, Arabsky a Italsky. S jeho životopisem by mohl být velmi přijatelný právě pro arabské představitele.
Tedy přeji novému řediteli vše nejlepší. Ať pod ním již proces vzniku nových domén běží bez problémů, ať se rychle seznámí s celým zvláštním ekosystémem toho odvětví.
Ondřej Filip
Test dnes: jak si vedl Knot DNS
Při příležitosti nedávné prezentace Knot DNS na Tech26 (CENTR Jamboree) jsme aktualizovali metodiku měření a chtěli bychom se podělit o nové výsledky.
Testování nyní proběhlo na syntetické zóně se zastoupením podporovaných RR typů na testovaných serverech (Knot DNS, BIND 9, NSD 3 a YADIFA[*]). Zóna obsahuje 1 324 899 záznamů, velikost zónového souboru je 76MB. Zároveň byly aktualizované testovací sady dotazů, které se nyní skládají z dotazů jak na existující, tak neexistující jména v poměru 1:1. Důvodem bylo prověřit výkon datových struktur serveru i při vyhledávání neexistujících jmen. Existující jména byla vybrána náhodným způsobem z tohoto zónového souboru. Konfigurace, zónový soubor, testovací sada pro program dnsperf (1 000 000 dotazů, 18MB) i syntetický provoz ve formátu pcap (50 000 dotazů, 4,2MB) jsou včetně dalších nástrojů volně ke stažení v Git repozitáři.
Prvním testem je škálovatelnost, kdy se měří závislost výkonu serveru na počtu spuštěných vláken/procesů. Výkon serveru je měřen programem dnsperf od společnosti Nominum. Tento test je specificky navržen pro měření výkonnosti autoritativních DNS serverů a mezi jeho přednosti patří regulace rychlosti dotazování, čímž poměrně věrně simuluje reálný síťový provoz. Jak je z grafu pro Linux patrné, podařilo se nám oproti verzi 1.0.3 vyřešit problém s plánováním vláken a nyní téměř dosahujeme naměřené propustnosti sítě. Ta byla změřena utilitou trafgen s malými UDP pakety (payload 60B) a zanesena do grafu. V případě tohoto testu nebylo možné určit u serveru Yadifa zadaný počet vláken, proto běží stále ve výchozím nastavení.
K testu škálovatelnosti nám přibyl nový test, který měří závislost podílu zodpovězených dotazů na rychlosti odesílaných odpovědí. Tento test byl dříve použit např. pro měření výkonnosti serveru NSD nebo nově Yadifa. V tomto testu figurují všechny tři stroje, kdy na prvním běží testovaný server, druhý pouze generuje provoz zadanou rychlostí a třetí zachytává odpovědi ze serveru. Pro testování byly využity standardní nástroje tcpreplay a tcpdump. Ze získaných dat se vypočte procento zodpovězených dotazů pro danou rychlost. Každý test je třikrát opakován a jako výsledek se počítá průměrná hodnota. Z grafu je patrné, že Knot DNS 1.0.6rc1 i na Linuxu zodpověděl téměř všechny všechny dotazy zaslané maximální dosažitelnou rychlostí.
Samotné testování probíhalo na třech shodných strojích osazených procesorem Intel Xeon X3430 a 2GB RAM, propojených 1Gb ethernet linkou se síťovými kartami Broadcom BCM5723. První stroj slouží k běhu serveru, druhý ke generování dotazů a třetí k zachytávání odpovědí. Testy byly prováděny na 64bit OS Linux 3.0.0 a FreeBSD-8.2. V současné době je výkon omezen dosaženou propustností sítě, nicméně chystáme testování s rychlejší síťovou kartou a věříme, že je ještě prostor pro další zlepšení.
Marek Vavruša
* – Yadifa bohužel podporuje jen omezenou sadu RR typů, nicméně pro tento druh testování to nevadí
ICANN představí v Praze svého nového šéfa
Už tuto sobotu začnou v pražském hotelu Hilton první setkání v rámci 44. mítinku organizace ICANN. Již o den dříve ale oznámí předseda představenstva Steve Crocker společně s provozním ředitelem Akramem Atallahem, kdo bude novým výkonným ředitelem celosvětového správce sítě Internet. Současnému výkonnému řediteli Rodu Beckstromovi totiž končí jeho funkční období a rozhodl se už dále ve svém působení v rámci ICANNu nepokračovat. Pražské setkání pro něj tedy bude posledním v jeho současné roli. U příležitosti představení nového výkonného ředitele chystá ICANN v Praze tiskovou konferenci, na níž zve jak zástupce českých médií, tak další členy české internetové komunity. Toto setkání začíná v hotelu Hilton ve čtyři hodiny odpoledne našeho času. Pro zahraniční novináře, ale i pro všechny ostatní, kteří se nemohou zúčastnit a chtěli by znát jméno nové hlavní tváře ICANNu mezi prvními bude připraven online přenos.
Vilém Sládek
„Autonomní“ Internet alá Čína
O tom, že Internet jako otevřená platforma, která překračuje prostor i čas, se úplně nepotkává s oficiální politikou autoritativních režimů (a nejen jich), netřeba dlouze diskutovat. O velkém čínském firewallu, blokování Twitteru v čase íránské zelené revoluce, vypnutí Internetu v Egyptě po protestech po volbách v roce 2011 a dalších toho bylo napsáno dost mimo náš blog, ale vždy se jedná či jednalo o jednotlivosti, které z technického pohledu narušují normální chování sítě.
Internetový draft DNS Extension for Autonomous Internet(AIP), který jako individuální podání poslali do IETF pánové Diao, Diao a Liao, ovšem tento systém „výpadků“ chce změnit. Nový návrh by počítal s tím, že by vedle stávajícího DNS stromu „zasadili“ další „autonomní“ DNS strom (či stromy), který by dle zvážení jeho správce obsahoval pouze některé top-level domény. Takových nezávislých stromů by mohlo být v Internetu více a přístup mezi nimi by byl zajištěn pomocí translačních bodů, které by odpovídaly dotazy ležící v uměle vytvořeném podstromu. Na stránky CZ.NIC by se z takové země pak dalo přistupovat jen pouze dotazem například na „www.nic.cz.资本主义的怪物“. Takový dotaz by byl předán příslušnému (pravděpodobně vládnímu) DNS serveru obsluhující doménu .资本主义的怪物, který by z dotazu odstranil příponu, předal jej například do DNS stromu, který je spravovaný ICANNem, a zpátky přeposlal odpověď (nebo také ne).
Osobně vnímám takovou iniciativu za velmi škodlivou otevřenému Internetu a domnívám se, že by IETF v žádném případě nemělo legitimizovat cenzuru tohoto druhu a zasadíme se o to, aby tento návrh v IETF neprošel.
Ondřej Surý
Co nového v mojeID
Nedávno jsme vydali další verzi naší služby mojeID s níž spatřilo světlo světa také pár zajímavých a užitečných novinek.
První z nich se týká především těch uživatelů, kteří se rozhodnou založit si své mojeID až teď. Při vybírání identifikátoru teď budou mít díky kontrole “as you type check” možnost zjistit, jestli je jimi vybraný identifikátor ještě volný nebo ho už získal někdo před nimi. Jedná se o poměrně drobné vylepšení, které ale, jak pevně věříme, povede ke zvýšení komfortu pro nově registrující se :).
Druhá novinka je mnohem výraznější a týká se těch, kteří už mojeID účet mají a jsou zároveň držiteli domén .CZ. Pro tyto uživatele je tu teď možnost požádat si o skrytí jejich údajů v registru domén. Tato změna souvisí s úpravami v Pravidlech registrace, o nichž na tomto blogu psala před nedávnem kolegyně Zuzana. Důležité je podotknout, že uživatelé, kteří projeví o tuto možnost zájem, musí mít své mojeID validované.
Jak jsem uvedl na začátku, jedná se skutečně o pár změn. Kdybyste ale měli zájem vidět, jak vypadají v praxi, ještě než se sami pustíte do jejich využívání, doporučuju vám podívat se na náš další release log. Kolega Jaromír Talíř v něm mimo jiné mluví i o hlavním směru, kterým se bude naše služba v budoucnu ubírat.
Vilém Sládek
Ubuntu 12.04 a náhodné adresy v IPv6
I přes problémy s aktualizací popsané v minulém zápisku se nakonec vše zdařilo, a byla možnost zjišťovat, co funguje a hlavně co fungovat přestalo. Při přihlašování na servery pomocí SSH jsem si všiml, že adresa posledního přihlášení se nejen mění, ale má i jiný tvar, než typická adresa získaná autokonfigurací. Přesněji v ní chyběl řetězec FF:FE, kterým se MAC adresa rozšiřuje na potřebných 64 bitů. Prefix sítě byl správný, jen druhá polovina adresy „neseděla“. Pro jistotu jsem se podíval ještě na svou IPv6 adresu a odpověď se ukázala sama (adresy mají pozměněný prefix)
ip -6 a show dev eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 2001:db8:1234:abcd:758d:6a1e:9854:be4/64 scope global temporary dynamic
valid_lft 591274sec preferred_lft 72274sec
inet6 2001:db8:1234:abcd:1aa9:5ff:fef6:7230/64 scope global dynamic
valid_lft 2591970sec preferred_lft 604770sec
inet6 fe80::1aa9:5ff:fef6:7230/64 scope link
valid_lft forever preferred_lft forever
Důležitá je právě položka temporary u první adresy, označující dočasnou náhodnou adresu.
Ve jménu ochrany soukromí
Dočasné náhodné adresy jsou mechanizmem pro ochranu soukromí a přesněji jsou popsány v RFC4941. Důvodem pro zavedení je rozdíl mezi IPv4 a IPv6 adresou. IPv4 adresa je vždy unikátní a celá se získá od poskytovatele. V případě IPv6, při použití autokonfigurace, tvoří adresu sám koncový počítač. K získanému prefixu připojí svůj identifikátor, typicky ve formě modifikovaného EUI-64, který obsahuje MAC adresu použitého síťového rozhraní. Při přecházení mezi jednotlivými sítěmi tak dochází pouze ke změně prefixu sítě, ale druhá polovina adresy zůstává stejná. Vzniká tak možnost sledování uživatele ze strany poskytovatelů služeb jen na základě IPv6 adresy. Ze své podstaty se toto nebezpečí nevztahuje jen na webové služby, ale veškerý síťový provoz. Dočasné adresy možnost sledování konkrétního zařízení znemožňují a v nové síti generují nové identifikátory rozhraní nezávislé na MAC adrese. Adresy se krom přechodů mezi sítěmi přegenerovávájí v pravidelných intervalech i pokud se nacházíte stále v jedné síti.
Náhodně generované adresy se používají ve výchozím nastavení například ve Windows 7, nově však je generování a používání adres nastaveno jako výchozí i v Ubuntu a to právě od verze 12.04. Nastavení najdete v Ubuntu v souboru
/etc/sysctl.d/10-ipv6-privacy.conf
a jedná se o volby
net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2
Dvojka signalizuje generování a preferování náhodných adres, pro vypnutí postačí změnit hodnotu na nulu. Pokud naopak chcete například v starším systému ochranu soukromí zapnout, stačí nastavit tyto hodnoty právě na dvojku.
Momentálně se pracuje na vylepšené verzi, která by nabízela různé identifikátory v jednotlivých sítích, ale v rámci jedné sítě by zůstával identifikátor stejný. Tento přístup by mohl nastavit rovnováhu mezi ochranou soukromí uživatelů a kontrolou nad sítí z pohledu administrátorů.
Petr Černohouz