Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 3 dny 19 hodiny zpět

O nenávisti se nám mlčet nechce

St, 04/11/2018 - 12:53

Jistě všichni víte, že už je to nějaký čas, kdy jsme měli tu čest a přivítali jsme v našem sdružení Patricka Zandla. Patrick má na starosti rozvoj Turrisu. To, že se podílí na tak skvělém projektu mu ale možná nestačí; cítí, podobně jako většina zaměstnanců našeho sdružení, že kromě rozvoje technologií je potřeba pracovat i na rozvoji společenské odpovědnosti.

Není tedy příliš velkým překvapením, že se Patrick rozhodl vystoupit z řady přihlížející většiny ve chvíli, kdy se dozvěděl o neuvěřitelně bezohledném a slušně řečeno hrozném chování, mnoha lidí v české společnosti. Nebo už mu spíš nic jiného nezbylo, protože nikdo jiný nic neudělal.

V listopadu na sociální síti Facebook došlo k veřejnému napadání a urážení dětí, které gradovalo do opravdu neuvěřitelných rozměrů. Patrick o tom napsal článek, ve kterém současně vyzval čtenáře k finanční podpoře školy, které se veřejné urážky a napadání týkaly. Článku předcházela sbírka, kterou Patrick uspořádal z toho důvodu, aby škola skutečně viděla, že na tolik nenávisti opravdu nejsou sami. Ve sbírce se Patrickovi podařilo vybrat více než půl milionu korun a to hlavně a především od jeho známých a přátel.

Ve svém článku, který byl zároveň výzvou k veřejné sbírce Patrick napsal: „Je čas si to říct na rovinu. Když vidíme zlo a mlčíme, jsme sami součást zla. Udělat jen to málo jako říct „je hnus navážet se do dětí, natož jim přát plyn“ snad nevyžaduje velkou osobní oběť. Stále snad jsme země, kde se smí ohrožování dětí odsoudit. Proč jsme to teda neudělali? Já původně pod dojmem své nevýznamnosti. Co koho zajímá můj pohled. Ale včera mi došlo, že čekám marně na to, až se dětí zastane někdo významnější. A tak jsem do té školy napsal s pár slovy podpory a otázkou, zda pro ně mohu něco udělat. Na něčem jsme se dohodli nebo dohodneme, to zařídím. Vás potřebuju na to, abych věděl, že nejsem sám. A ty děti a učitelé vás potřebují.“

Jak Patrick řekl, tak učinil. Vybrané děti jsme díky aktivitě a ochotě zaměstnanců školy, pozvali k nám na exkursi, kde se mohly dozvědět o tom, jak si lépe ochránit své zařízení před škodlivými kódy, jak bezpečně a zodpovědně zacházet se svými osobními údaji, jak se vyhnout podvodům na Internetu nebo proč je důležité mít zabezpečený router.

S ohledem na rozšíření naší základny, měly děti možnost navštívit naše nové prostory v Hotelu Olšanka, kde se konala právě zmíněná přednáška. Po obědě jsme se přesunuli do našeho hlavního sídla kousek od náměstí Jiřího z Poděbrad. Tady měly děti možnost vidět práci odborníků v praxi. Díky krásné náhodě, tiskl zrovna Lukáš, jeden z našich kolegů, náhradní díly na 3D tiskárnu, návštěva dětí ho vůbec nepřekvapila a naopak přidal ke své práci poutavé povídání, ze kterého se děti dozvěděly nejen o tom, jak 3D tiskárny fungují, co všechno se s nimi dá dělat, ale i kolik stojí, když si koupí tiskárnu již hotovou a jak moc ušetří, když si jí budou umět poskládat sami :-).

Další oddělení, které děti navštívily, byl vývoj hardware našeho Turrisu. Tady byly seznámeny s tím, jak probíhá proces výroby routeru – Zbyněk s Tomášem jim stručně popsali proces vývoje od samého výběru součástek, návrhu schématu desky plošných spojů, přes výrobu až po osazení a ověření funkčnosti. Krásným zakončením dne byla informace od jednoho z žáků o jeho rozhodnutí jít studovat některý z technických oborů.

Díky Patrickovi a aktivnímu přístupu zaměstnanců školy jsme měli možnost ukázat dětem nejen pražskou základnu našeho sdružení, ale hlavně a především i to, že veřejné napadání, urážení, výsměch a nenávist jsou výsadou pouze omezené skupiny obyvatel, nikoli normou.

Kategorie:

Děti v akci aneb Jak se hraje kybernetické pexeso v DDM Praha 9

Út, 04/10/2018 - 15:25

Již delší dobu mě zajímalo, jak vnímají samy děti hru kybernetické pexeso, které vydalo sdružení CZ.NIC v rámci projektu Safer Internet na podzim loňského roku. Proto jsem se vydala druhý jarní den do Domu dětí a mládeže na Praze 9, na pobočku Černý Most, abych mohla sledovat, jak se děti ke hře kyberpexesa staví a jak je baví.

Pexeso je zaměřeno na hráče přibližně ve věku 9 – 14 let. Navštívila jsem tedy dva kroužky angličtiny (pro 4. – 5. třídu, pro 6. – 7. třídu). Nejprve jsem děti vyzpovídala, co na mobilu, tabletu či počítači nejraději dělají. Nepřekvapilo mě, že nejčastěji hrají hry, sledují sociální sítě nebo „chatují“ s kamarády. Poté se malí studenti angličtiny pustili do hry.

V průběhu hry se děti seznamovaly s novými pojmy z oblasti kybernetické bezpečnosti. Některé z nich je velice zaujaly jako např. anonymní okno, honeypot či zombie. Dále jsme diskutovali nad termíny, které byly některým dětem více známy jako např. virus, spam nebo řetězový dopis. Velmi mě však překvapila poměrně dobrá informovanost mladších žáků o pojmech, jenž jsou i mnoha dospělým dosud neznámé, a to grooming a sexting. Vzhledem k tomu, že děti velmi rády „chatují“, ať už v rámci řešení strategické hry nebo např. v diskuzi ohledně péče o domácí mazlíčky, je zde skutečně velké riziko, že v tomto virtuálním světě potkají „spřízněnou duši“, která pro ně ve finále znamená velké nebezpečí.

Líbilo se mi, že děti tématika kybernetické bezpečnosti zaujala a samy chtěly o jednotlivých rizicích diskutovat. I přestože si některými z nich nebyly jistí, pokusily se alespoň odhadnout jejich význam. Samy dokonce aktivně zmiňovaly konkrétní případy ze svého okolí, kdy někdo z kamarádů či rodičů čelil kybernetickému útoku. Na závěr jsme se dostali k tématu závislosti na mobilu – nomofobii (též jedna z kartiček pexesa). Starší žáci potvrdili, že na svém chytrém telefonu skutečně tráví poměrně hodně času a připustili jistou míru závislosti.

Na závěr bych ráda uvedla, že osvěty v oblasti kyberbezpečnosti není nikdy dost, zvlášť pokud se jedná o malé děti, které jsou ještě dosti zranitelné a s řešením problému si často nevědí rady. Kolegové Pavel Bašta, Věrka Mikušová, Jirka Průša a Katka Vokrouhlíková pořádají na toto téma pravidelná školení a přednášky, kdy žákům formou praktických příkladů představují hrozby na Internetu a radí jim, jak se jich vyvarovat, případně jak je co nejlépe řešit.

S Domem dětí a mládeže na Praze 9 již spolupracujeme druhým rokem, a to primárně na organizaci letního kybertábora.

Kategorie:

Knot Resolver & soukromí

Po, 04/09/2018 - 13:06

Na apríla firma Cloudflare zcela vážně oznámila světu novinku, že vstupuje na trh rekurzivních DNS serverů a začíná tak konkurovat Google Public DNS. Velmi náš těší, že Cloudflare se rozhodl nasadit právě náš Knot Resolver, který v CZ.NIC vyvíjíme od roku 2014. Text veřejného oznámení velmi stručně vyjmenovává funkce Knot Resolveru, které Cloudflare nabízí veřejnosti.

Co jednotlivé funkce prakticky znamenají? A proč je pro uživatele dobře, že Cloudflare vybral právě náš Knot Resolver? Implementuje totiž tři funkce, které zlepšují soukromí uživatelů. Jmenovitě jde o:

  • DNS-over-TLS (Transport Layer Security) RFC 7858,
  • Query Minimization RFC 7816,
  • Aggressive Use of DNSSEC-Validated Cache RFC 8198.

Podívejme se, jak jednotlivé funkce zlepšují soukromí uživatelů, a jak je můžete použít i vy na vašem resolveru.

DNS-over-TLS (RFC 7858)

DNS protokol tak, jak byl před 30 lety navržen, posílá dotazy otevřeně pomocí UDP a TCP protokolů na portu 53, takže kdokoliv, kdo má schopnost sledovat provoz na síti, také vidí všechny DNS dotazy od klienta (tj. vás) k resolveru. Z DNS dotazů se tak např. dozví i jména všech webů, které klient navštěvuje, a to i v případě, že weby samotné jsou zabezpečeny pomocí HTTPS.

Funkce DNS-over-TLS (standard RFC 7858) zabezpečuje DNS provoz pomocí Transport Layer Security protokolu známého zkráceně jako TLS. Díky tomu je provoz mezi klientem a resolverem šifrovaný, díky čemuž „pozorovatel“ na síti nevidí dovnitř DNS dotazů, které klient posílá.

Díky použití DNS-over-TLS je dotaz „viditelný“ na síti jen od resolveru dál. V praxi to znamená, že na dostatečně velkém resolveru se prokládají dotazy od různých klientů, což ztěžuje zpětné přiřazování klient-dotaz.

Pokud chcete, můžete svůj Knot Resolver nakonfigurovat tak, aby posílal všechny DNS dotazy na resolver provozovaný Cloudflarem. Taková konfigurace vás ochrání před útočníky, kteří sledují provoz vycházející z vaší sítě. Samozřejmě to vyžaduje, abyste věřili firmě Cloudflare. Doporučujeme vám přečíst si Cloudflare resolver privacy notice.

Stačí do konfigurace vložit následující řádky:

policy.add(policy.all(policy.TLS_FORWARD({{ '1.1.1.1' hostname='cloudflare-dns.com', ca_file='/etc/pki/tls/certs/ca-bundle.crt' }})))

Nezapomeňte upravit cestu /etc/pki/tls/certs/ca-bundle.crt tak, aby ukazovala na váš systémový soubor s důvěryhodnými certifikáty.

Tímto nastavením jsme skryli provoz mezi klientem (vámi) a resolverem.

Query Minimization (RFC 7816)

Účelem této funkce je omezit „únik“ informací o jménech, na které se resolveru klient ptá, a tím pádem i zvýšit soukromí uživatelů daného resolveru. Jinými slovy omezuje informace, které „unikají z resolveru“ během jeho normální funkce.

Podle prapůvodního standardu DNS RFC 1034 se resolver vždy ptal na celé jméno tak, jak jej dostal v požadavku od klienta, např. www.example.com. To prakticky znamenalo, že informace o tom, které weby uživatel navštěvuje, se v podobě DNS dotazů dostala ke všem serverům, které resolver při řešení požadavku kontaktoval. Můžeme si to představit takto:

  • dotaz www.example.com. → root autoritativní server (zóna.)
  • dotaz www.example.com. → TLD autoritativní server (zóna com.)
  • dotaz www.example.com. → autoritativní server provozovatele (zóna example.com.)

V našem příkladu se tedy informace o tom, že uživatel s konkrétní IP adresou chce navštívit web www.example.com. dostala nejen k root serverům (odpovědným za kořenovou zónu .), ale i TLD serverům (odpovědným např. za zónu cz.). Samozřejmě, že na čím víc míst je dotaz odeslán, tím větší je šance, že bude někde zaznamenán a použit.

Název funkce Query Minimization (experimentální standard RFC 7816) by se do češtiny dal volně přeložit jako „zmenšení dotazů“. Spočítá v tom, že resolver posílá autoritativním serverům nejmenší možné množství informací, např. takto:

  • dotaz com. → root autoritativní server (zóna .)
  • dotaz example.com. → TLD autoritativní server (zóna com.)
  • dotaz www.example.com. → autoritativní server provozovatele (zóna example.com.)

Tím se zmenšuje počet míst, kam je dotaz odeslán, a tím i počet míst, kde může být zaznamenán. Knot Resolver provádí „zmenšení dotazů“ automaticky, takže je i vaše soukromí automaticky chráněno.

Aggressive Use of DNSSEC-Validated Cache (RFC 8198)

Poslední zmíněnou funkci můžeme česky nazvat „agresivní použití DNSSEC keše/mezipaměti“. Detailně se jí budeme zabývat v samostatném článku, takže ji zde popíšeme jen velmi obecně. Musíme však začít základní teorií:

Důkazy v DNSSEC

Základní vlastností technologie zabezpečení DNSSEC je, že klient, který se zeptal na neexistující informaci, dostane zpět tzv. „důkaz neexistence“. Tím se zabezpečuje, že zpráva o neexistenci informace nemůže být podvržena. Takový důkaz vypadá (zjednodušeně!) takto:

ananas.example. NSEC pomelo.example. RRSIG NSEC (kryptografický podpis)

Tím je vyjádřeno, že existují jména ananas.example. a pomelo.example., a že mezi těmito jmény neexistuje žádné jiné.

Například si představme, že klient se ptá na jablko.example. a dostane zpět uvedený důkaz neexistence. Pro ověření, že jméno opravdu neexistuje klient napřed ověří podpis důkazu (RRSIG záznam), a potom se podívá, zda jméno, na které se ptá, leží uvnitř intervalu uvedeném v důkazu. Když seřadíme jména z důkazu a dotazu abecedně, tak dostaneme následující pořadí:

ananas.example. jablko.example. pomelo.example.

Jméno „jablko“ tedy leží mezi jmény ananas a pomelo, takže důkaz opravdu říká, že jablko neexistuje. Tolik k základní teorii důkazů neexistence v DNSSEC. Co tedy znamená „agresivní použití“?

Agresivní použití důkazů

Dříve se resolver pro každý dotaz, pro který neměl ve své cache odpověď, musel znovu zeptat autoritativního serveru. Pokud se tedy klient zeptá na jména jablko.example., banan.example. a mandarinka.example., resolver třikrát pošle dotaz na autoritativní server.

Implementace RFC 8198 nám dovoluje použít DNSSEC důkazy v cache resolveru pro omezení dotazů směrem k autoritativním serverům. V našem ovocném příkladu by se resolver zeptal autoritativního serveru pouze na jablko.example. a následující dotazy banan.example., mandarinka.example. už resolver odpoví přímo ze své cache, tj. informace z dotazu se nedostane k autoritativnímu serveru. To zlepšuje rychlost odezvy a snižuje zátěž jak resolveru, tak autoritativního serveru a zvyšuje odolnost proti některým typům útoků na DNS. Teď se ale zaměřme na vliv na soukromí.

V praxi je velké procento dotazů nesmyslných, způsobených chybnou konfigurací klientů. Například velmi často lokální síť s výchozí konfigurací DHCP konfiguruje klientské systémy tak, že za jméno počítače přidávají neexistující domény jako lan., home. apod. Klienti v důsledku pak generují dotazy jako pepuv-laptop.lan., josef1975.lan nebo ještě hůře unikátní jméno vygenerované při instalaci počítače jako desktop-A8F2C938FA1F.. Unikátní jména pak lze použít ke stopování uživatelů. S pomocí agresivní cache však jednou resolver získá informaci o tom, že neexistuje doména lan. a pak se už znovu neptá, a tím se únik informací zastaven.

Dobrá zpráva je, že Knot Resolver od verze 2.0 automaticky používá agresivní cache a tím zamezuje úniku informací. Doporučujeme tedy aktualizovat na poslední verzi resolveru!

Kategorie:

Pět statečných z CZ.NIC na InstallFestu 2018

St, 03/14/2018 - 06:00

Do hlavního programu letošního ročníku InstallFestu se podařilo probojovat pěti mým kolegům. Bohužel jsem si je nemohla jít osobně poslechnout, protože jsem onemocněla. Nicméně jsem využila možnosti tak učinit alespoň ze záznamu. Pro ty, kteří na tom byli podobně jako já nebo to jen nestihli, přináším malé shrnutí.

Karel Kočí ve své přednášce s názvem Domácí WiFi síť s OpenWRT spojil teorii s praxí. Kdo by nechtěl mít všude doma kvalitní WiFi? Asi většina z nás. Karel všem poradil, jak toho dosáhnout a jak si doma nastavit WiFi síť pomocí OpenWRT. Zapojil několik routerů do jedné sítě, ve které plní jeden z nich roli routeru a ostatní roli přístupových bodů.

Vývoj na Linuxu „the hard way“ se jmenovala prezentace Mirka France, a že byla opravdu hard, svědčí i čas; trvala něco přes 50 minut. Není se čemu divit, když Mirek během ní popsal, jak programovat a hlavně ladit na Linuxu. Vedle toho představil nejdůležitější nástroje, které by každý programátor měl znát, aby mu pomohly odhalit a řešit různé typy chyb.

Lehčí téma zvolil vedoucí projektu Turris, Patrick Zandl. Ve svém bilančním příspěvku Open source router Turris v roce 2017 a výhledy na rok 2018 totiž shrnul nejdůležitější body činnosti jeho týmu, a že toho nebylo málo. Když to zkrátím, kolegové od Turrisu se snažili dohnat slíbené, opravit pokažené a vyvinout něco nového. Zároveň už nyní mají plný plán úkolů na rok 2018. Prý se je na co těšit, a to hlavně v dubnu.

Na přednášce kolegyně Zuzky Leny Ansorgové se podle mých zpráv těžko hledalo volné místo. Zuzka se u nás věnuje technické dokumentaci, proto nikoho nepřekvapí, že svou prezentaci nazvala Jak začít dokumentovat. Kdo pozorně poslouchal, ten se dozvěděl odpovědi na otázky, proč psát takovou dokumentaci a pro koho, jaké jsou současné přístupy k tvorbě, správě a dodávání obsahu. Na závěr Zuzka doporučila i nějaké ty užitečné open source nástroje.

Poslední, kdo na InstallFestu z mých kolegů vystoupil, byl Martin Vicián. Ten se ve své přednášce Linux na desktopu pro Běžně Frustrované Uživatele podělil o to, jak došlo k tomu, že na 90 % osobních počítačů máme v CZ.NIC GNU/Linux, jaký byl přechod na tento operační systém z pohledu uživatelů i administrátorů, a jak si lze zautomatizovat proces instalace a používání pomocí FAI a Ansiblu.

Tolik k jednotlivým vystoupením a jestli jste toho autentična neměli dost, přečtěte si ještě příspěvek kolegyně Nory Kořánové. Najdete ho na stránkách Turrisu. Toť vše a pokračovat můžeme třeba zase po letošních Linux Days.

Kategorie:

Společně za zlepšení stability, rychlosti a další rozšiřitelnosti DNS ekosystému

Út, 03/13/2018 - 19:01

V minulosti se výrobci DNS softwaru pokoušeli řešit problémy s interoperabilitou DNS protokolu a jeho rozšíření zvaného EDNS (standard RFC 6891) tak, že do svého software dočasně přidávali schopnost přijmout různé nestandardní chování. Bohužel se ukázalo, že tento přístup, tedy přidáváním dočasných „náplastí na problémy“ není dlouhodobě udržitelný, a to především proto, že implementace, které plně nerespektují standardy, zdánlivě fungují a není tedy důvod pouštět se do jejich plnohodnotných oprav. Výsledkem těchto polovičatých řešení je jejich hromadění a ukládání v DNS softwaru, což vede k situaci, kdy je jich už tolik, že samy o sobě začaly způsobovat problémy. Tím nejviditelnějším problémem je pomalejší odpovídání na DNS dotazy a nemožnost nasadit novou funkcionalitu DNS protokolu zvanou DNS Cookies, která by pomohla omezit DDoS útoky založené na zneužití DNS protokolu.

Pozor, změna

Abychom předešli dalšímu zhoršování stavu DNS služeb pro uživatele i operátory, rozhodli jsme se společně se skupinou výrobců DNS softwaru koordinovaně ukončovat podporu některých druhů nestandardních řešení, tedy podporu implementací, které nerespektují standard RFC 6891. Všechna nová vydání DNS softwaru od společností CZ.NIC, ISC, NLnet Labs a PowerDNS nebudou po 1. únoru 2019 obsahovat kód pro obcházení nekompatibilit se standardem RFC 6891.

Náš software Knot Resolver se od svého vzniku drží standardů a ve své výchozí konfiguraci se nepokouší obcházet nekompatiblity způsobené nedodržením těchto standardů. Přesto doporučujeme zkontrolovat vaše servery, a to proto, aby byla zaručena kompatibilita se softwarem všech ostatních výrobců dodržujících platné standardy.

Otestujte své domény a servery

Své domény a autoritativní DNS servery můžete nyní otestovat díky webové aplikace na adrese https://ednscomp.isc.org/ednscomp/. Pokud je výsledkem vašeho testu zelená zpráva „All Ok“, tak jste již připraveni a nemusíte podnikat žádné další kroky. V případě, že je výsledkem cokoliv jiného než „All Ok“, aktualizujte svůj DNS software. Pokud používáte poslední verzi softwaru, obraťte se na jeho výrobce a požadujte po něm opravu. V tomto případě doporučujeme přiložit ke zprávě odkaz na výsledek testu, který obsahuje technické detaily.

Poznámka pro výrobce DNS software

Nic se nemění na tom, že ani nadále nemusí DNS software plně podporovat celý EDNS standard RFC 6891. Všichni výše uvedení výrobci samozřejmě zachovávají podporu pro servery, které se rozhodnou nepodporovat EDNS v souladu se standardem. Hlavní změna v implementaci protokolu tedy je, že nestandardní chování
přestane být tolerováno.

V případě, že se rozhodnete nepodporovat EDNS, je nutné korektně odpovídat na dotazy obsahující EDNS rozšíření v souhladu s RFC 6891 sekce 7, tj. zejména odpovídat korektní DNS zprávou s RCODE=FORMERR. Při implementaci prosím postupujte podle uvedeného RFC. Děkujeme.

Nejdůležitější na závěr

Domény na serverech, které podle výše uvedených testů nejsou v souladu se standardem, nebudou po 1. únoru 2019 fungovat spolehlivě a mohou se stát nedostupnými.

Uvědomujeme si důležitost tohoto jednání a proto o něm chceme informovat co nejvíce lidí, kterých se může dotknout. Na tuto změnu, která začne platit již za méně než jeden rok, budeme soustavně upozorňovat. Pokud máte možnost šířit tyto informace k lidem, kteří mají na starosti sítě a DNS servery, budeme rádi, když pošlete odkaz na tento blogpost dál. Naším cílem je spolehlivě a správně fungující DNS, které se nedá tak snadno zneužívat k útokům.

Aktualizace, 26. března 2018:

Motivace pro tento krok detailně vysvětluje příspěvek na blogu PowerDNS (v angličtině).

Kategorie:

Bylo schváleno nařízení definující významné incidenty pro poskytovatele digitálních služeb

Po, 03/05/2018 - 16:35

Schválením NIS směrnice (Network and Information Security Directive) započaly práce na její implementaci. Část povinnosti byla na straně jednotlivých členských států: tvorba strategie kybernetické povinnosti, implementace směrnice do národní legislativy nebo určení poskytovatelů základních služeb. Jeden z úkolů však zůstal na Evropské komisi (dále EK). Konkrétně šlo o nařízení, které mělo upřesnit požadavky na poskytovatele digitálních služeb.

Zatímco požadavky na zabezpečení či hlášení kybernetických bezpečnostních incidentů u poskytovatelů základních služeb spadají do kompetencí jednotlivých států, pro oblast poskytovatelů digitálních služeb (on-line tržiště, internetový vyhledávač a služba cloud computingu) bylo vydáno Prováděcí nařízení, které upřesňuje, jak by měli poskytovatelé digitálních služeb přistoupit k řízení bezpečnostních rizik, a jak by měli posuzovat, zda je incident významný a zda-li ho mají povinnost příslušnému CSIRT týmu hlásit. Kontaktním CSIRTem pro tyto povinné osoby je právě Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC. Společnosti si musí samy definovat, zda-li do této skupiny spadají, a to na základě definic obsažených v Zákoně o kybernetické bezpečnosti. Kromě povinností, které obsahuje prováděcí nařízení EK, mají čeští poskytovatelé digitálních služeb také povinnost hlásit kontaktní údaje. Ta je na rozdíl od povinnosti v prováděcím nařízení již v platnosti.

Prováděcí opatření v zásadě požaduje, aby jednotlivé povinné osoby přistupovaly systematicky k řízení bezpečnosti sítí a informačních systémů a využívaly přístup založený na posouzení rizik. Nařízení se dále věnuje fyzické a environmentální bezpečnosti, bezpečnosti dodávek či kontrole přístupu k sítím a informačním systémům. Co se týká řešení incidentů, přijatá opatření by měla zahrnovat udržování a testování postupů a procesů pro jejich detekci, politiky týkající se ohlašování incidentů nebo posouzení jejich závažnosti. Tyto a další politiky a opatření musí však mít potřebnou dokumentaci, aby příslušný orgán (NÚKIB) mohl ověřit jejich dodržování. Na rozdíl od poskytovatelů základních služeb bude však kontrola u poskytovatelů digitálních služeb vykonávaná úřadem v případě, že je důvodné podezření, že daný subjekt neplní povinnosti.

Co je na tomto nařízení důležité, je posouzení významnosti incidentu. Vypracovat definici významnosti nebylo určitě jednoduché. EK zvolila přístup, při kterém zohlednila například počet dotčených osob či uživatelů, a pak také počet uživatelských hodin, kdy služba nebyla dostupná. Což může být u služeb jako je například internetový vyhledávač docela náročné stanovit. Naštěstí pro menší společnosti byly hranice určující významnost incidentů nastaveny docela vysoko. Konkrétně se za incident, který má významný dopad, považuje takový, u něhož nastala alespoň jedna z těchto situací:

a) služba nabízena poskytovatelem digitálních služeb byla nedostupná v rozsahu větším než 5 000 000 uživatelských hodin, přičemž pojem uživatelská hodina se vztahuje k počtu uživatelů v Unii, kteří byli dotčeni po dobu šedesáti minut;

b) incident vedl ke ztrátě integrity, autenticity nebo důvěrnosti uchovávaných, předávaných nebo zpracovávaných dat nebo souvisejících služeb, které nabízejí sítě nebo informační systémy poskytovatele digitálních služeb nebo jsou jejich prostřednictvím přístupné, navíc ovlivněno bylo více než 100 000 uživatelů v Unii;

c) incident vytvořil riziko pro veřejnou bezpečnost a ochranu nebo ztrátu života;

d) incident způsobil materiální škodu alespoň jednomu uživateli v Unii, přičemž škoda způsobená uvedenému uživateli překročila 1 000 000 EUR.

Poskytovatelé digitálních služeb jsou povinni, dle Zákona o kybernetické bezpečnosti, hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jejich služeb, pokud mají přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu. Tedy jen incidenty, které splňují alespoň jednu z výše uvedených podmínek. Tyto incidenty by se pak měly hlásit Národnímu bezpečnostnímu týmu CSIRT.CZ. Toto nařízení je platné v celém svém rozsahu a bude účinné od 10. května 2018.

Kategorie:

Křest knihy Hradla, volty, jednočipy a jeden rozhovor k tomu

Po, 03/05/2018 - 10:35

Na konci loňského roku nás informovali kolegové, že se chystá vydání nové knihy Hradla, volty, jednočipy. Nikdo však netušil, že se právě tento titul stane tím nejrychleji prodaným prvním nákladem za celou historii Edice CZ.NIC. První kusy byly rozebrané za tři dny a v současnosti se expeduje první dotisk.

Po přečtení několika diskuzí a komentářů k této knize jsem pochopila proč. Nejlépe to vystihují úvodní slova Petra Koubského, mentora knihy: „Po dlouhé době někdo sepsal původní českou knihu o elektronice a číslicové technice, knihu dokonale uzpůsobenou současným podmínkám a možnostem, knihu informačně bohatou a přitom vtipnou a laskavou.“ Kniha Hradla, volty, jednočipy je totiž psaná pro zájemce o elektroniku, číslicovou techniku a nadšence do bastlení. Nemá udělat ze čtenáře odborníka složitých elektronických konstrukcí, ale má mu poskytnout základní informace o tom, jak to vlastně funguje a co vše lze sestavit v domácím prostředí. Nevyhýbá se ani tématům spojeným s bezdrátovou komunikací a Internetem věcí. Jejím autorem je Martin Malý, který se na svém webu představuje jako tvůrce věcí elektronických, programátorských a písemných a je známý také pod přezdívkou Arthur Dent nebo Adent.

Přiznám se, že jsem pana Malého znala jen letmo z kurzu Arduino pro učitele, který přednáší společně se Štěpánem Bechyňským v Akademii CZ.NIC. Brzy jsem zjistila, že se jedná o osobnost, která svými názory a prací oslovuje nemálo lidí. Není tedy divu, že se příznivci bastlení z Matematicko-fyzikální fakulty Univerzity Karlovy a Robodoupěte rozhodli na svém plánovaném setkání uspořádat 10. února křest jeho první knihy.

Zahájil ho krátkým představením David Obdržálek, asistent na Katedře teoretické informatiky a matematické logiky. Zakrátko předal slovo autorovi Martinu Malému, který vylíčil celý „životní“ příběh knihy a svou řeč ukončil slovy: „Nebojte se, zkoušejte, nemáte se čeho bát. Maximálně přijdete o nějaké součástky, ale užijete si u toho nebetyčnou legraci.“ Kmotrem knížky nemohl být nikdo jiný než dlouholetý kamarád a spolupracovník Štěpán Bechyňský, který pracuje ve společnosti Microsoft jako odborný konzultant pro IoT řešení v regionu CEE a s Martinem Malým školí učitele, kteří vyučují elektroniku, elektrotechniku nebo programování na úrovni základní nebo střední školy. Jak se sám o knize vyjádřil: „Jsem hrozně rád, že taková kniha vznikla, protože to dává velké možnosti lidem, kteří neměli šanci dostat řádné technické vzdělání díky našemu školnímu systému.“ Kniha byla pokřtěna isopropylalkoholem, následovala autogramiáda a v závěru odpoledne jsem měla možnost panu Malému položit pár otázek a příjemně si popovídat.

Jste velmi aktivní, živíte se psaným i mluveným slovem. Z dnešního křtu jsem pochopila, že napsat knihu byla pro Vás už jistá nezbytnost. Je to tak? A co Vás přivedlo k rozhodnutí svěřit její vydání právě sdružení CZ.NIC?

Ano, je to tak. Muselo to ven. Úplně prvotní impuls vzešel přibližně před osmi lety z mého okolí, kdy všichni začali vydávat knížky. Ptal jsem se sám sebe, o čem bych asi psal já. Tehdy jsem napsal knížku o webových technologiích, ale nakonec z toho nic nebylo. Zvažoval jsem co dál a odpověď se nabídla sama. Při kurzech Arduina účastníci kladli stále se opakující otázky, protože neměli vědomostní základ. Sice ho znali ze školy, ale zůstali nepopsaným listem. Ukázalo se tedy, že to musím napsat.

Přemýšlel jsem o komunitním financování, ale kniha by pak vyšla draze. Myšlenka však stále klíčila a shodou okolností jsme se v tu dobu začali bavit s CZ.NICem a Vilémem Sládkem o tom, že by se nějaká knížka mohla vydat. Pořád na to nebyl ten správný čas, až do loňského roku, kdy jsem začal mít určité zdravotní problémy a musel jsem zůstat doma. Nechtěl jsem úplně zahálet a rozhodl jsem se, že tu knížku napíšu. Naštěstí jsem měl dost materiálu, protože jsem poměrně plodný autor. Začal jsem vše kompletovat, psát surový text a nakonec z toho vyšlo 600 000 znaků. Ani jsem netušil, že z toho bude takhle tlustá knížka.

Proces vzniku takové knihy musí být někdy dost náročný. Dával jste dohromady podklady, psal jste a zároveň jste měnil strukturu. Neměl už jste toho někdy plné zuby?

Jak jsem říkal, jsem plodný autor a díky mým pracovním zkušenostem jsem zvyklý na psací dril. Měl jsem toho někdy dost spíš ze zdravotních důvodů. Výhodou je, že když píšete doma, můžete toho nechat, odpočinout si a pustit se do toho za nějaký čas. Takže mě to psaní ani neštvalo, štvát mě to začalo až ve chvíli, kdy to bylo dopsané. Je totiž potřeba, aby to někdo přečetl a opravil. Dostal jsem připomínky, zapracoval je a tak pořád dokola. Když už jste to měli v ruce vy, tak jsem si říkal, že to snad bude lepší ani nevydávat. To bylo ryzí autorské zoufalství. Když to bylo venku a já věděl, že to je dobré, tak mě chytly roupy a psal bych další.

Z pochvalných slov Petra Koubského vyznělo i jisté politování, že v České republice nevychází více podobných publikací od českých autorů. Souhlasíte s jeho tvrzením?

Jeho slov si velmi vážím. S těmi knížkami je to taková zvláštní věc. Já si pamatuji, že po revoluci začala vycházet spousta časopisů o počítačích a o programování, kde byly recenze programovacích jazyků a výpisy kódů. Nebyl ještě ve velkém přístupný Internet a tyto informace se šířily především v časopisech. Potom se některé tyto tituly přeformovaly do časopisů o spotřební elektronice. Zůstalo jen pár webů, které se věnují této problematice. Postupem času jsem zjistil, že existují jedno až dvě nakladatelství, které se věnují konkrétně elektronice. Jedno z toho bylo nakladatelství BEN technická literatura, které ovšem v posledních letech asi utlumilo svou činnost. Vydávají pár knížek ročně a už se ani nevěnují tolik samotné elektronice. Další věc je, že nejsou autoři a když nejsou autoři, nejsou vydavatelé. Navíc to asi nepřipadá nikomu natolik zajímavé, aby to vydával. Trochu odbočím a vrátím se do 80. let, kdy vycházel časopis Mikrobáze. Vedl ho Ladislav Zajíček, který byl fanatik do práce a psaní. Pamatuji si, že ve svém úvodníku psal o tristní úrovni československé publicistiky v oblasti elektroniky a narážel na to, že články trpí příšerným slohem, který odpovídá slohu inženýra, co své stylistické vzory získal čtením skript.

Já s ním souhlasím. Opravdu, spousta dnešních knih mi připadá jako vysokoškolská skripta, které někdo přebudoval do podoby knížky. Když už něco vyjde, nedá se to učíst a je to hrozně suchý. Elektronika si zaslouží, aby se o ní psalo poutavě. Doufám, že se mi to aspoň trochu povedlo, že kniha není úplná suchařina a že čtenáře k tomu přivede. Třeba mi za to ortodoxní technici budou nadávat, že je to terminologicky nejednoznačné, ale to už je život.

Už jste naznačil, že se chystá pokračování, které bude věnované struktuře procesorů a osmibitových počítačů a zaměří se na stavbu konstrukcí a emulaci. Zdá se, že materiálu máte dostatek. Kdy si myslíte, že se čtenáři pokračování dočkají? Chtěl byste se držet i svého slohového stylu, který sklidil takovou chválu? Nebo je nevyhnutelné přijmout ten učebnicový?

Ne, rád bych dodržel stejný styl. Je v podstatě několik vzorů, na kterých jsem si svůj sloh brousil. Jeden z nich je právě zmiňovaný Ladislav Zajíček, který napsal knížku Bity do bytu. Byla to učebnice o Assembleru Z80, která byla psaná hravým stylem, s hezkými obrázky a schématy. Byla psaná přirozeným jazykem. Další inspirací byly materiály od bratrů Smutných a lidí okolo nich, kteří měli schopnost psát čtivě, sice to byl inženýrský materiál, ale dalo se to číst. Pravidelně píšu od roku 2002, vybudoval jsem si už nějaký styl a měnit ho nebudu. Nechci, aby to bylo odborné pojednání. Je a bude to knížka pro lidi, kteří jsou nadšeni a chtějí si připomenout ducha konce 80. let. Bude to fanouškovská knížka.

A kdy bude? To nevím, ale tentokrát bude muset vzniknout při práci. Posouvá se to dopředu, ale v tuhle chvíli nejsem schopný říct přesný termín. Nicméně to nebude řádka let, ale měsíců a doufám, že by ten druhý díl mohl do konce roku být nebo alespoň začátkem příštího, ale kdo ví…

Ve své knize děkujete svým nejbližším, spolupracovníkům a podporovatelům. Věnoval jste ji však svému hrdinovi z mládí Eduardu Smutnému. Byla to pro Vás jasná volba? A čím Vás fascinuje jeho práce dodnes, že i po těch letech jste na něj pamatoval?

Eduard Smutný je úžasná postava české počítačové historie. On a jeho dvojče Tomáš vytvořili už za socialismu vývojářský tým, jak ho známe dneska. Jeden se zaměřoval víc na software a druhý měl na starosti hardware. Myslím, že ten jejich tým byl čtyř nebo pětičlenný. Opravdu dokázali tvořit efektivní tým i v tehdejší době, která byla neskutečně zkostnatělá, ztuhlá a rigidní, a to i přes všechny problémy s dostupností součástek, technologií a informací. Sestavili hned několik počítačů. Úspěšný JPR-12, pak přišla JPR-1, kterého navrhl Eduard Smutný a Tomáš Smutný ho naprogramoval. Návrh popsali a vydali v Amatérském rádiu, byl to vlastně svým způsobem československý počítačový open-source. Zveřejnili výkresy desek, schémata zapojení, princip fungování, rozpisy součástek a na poslední stránce vyšla maska klávesnice. Což mě jako devítiletého kluka hrozně fascinovalo. Navíc tam ještě napsali, jak se programuje v MIKRO BASICu, což bylo moje první setkání s programovacím jazykem. Bylo to Amatérského radio, č. 2, ročník 1983, modrá řada, kdyby měl někdo zájem. Pro mě to tehdy bylo zjevení a vlastně začátek celého mého zájmu o počítače, elektroniku, číslicovou techniku a programování. Postupem času pak Eduard Smutný udělal několik počítačů, jeho poslední byl počítač Ondra, což byl svého času takový drobný technický zázrak. Když kniha vznikala, bylo jasné komu ji dedikovat, protože Eduard Smutný stál na začátku všeho, on byl ten autor, který mě de facto přivedl k mojí další kariéře.

Uvádíte, že nejlepší způsob jak se něco naučit, je zkusit si to. Pokud bychom se drželi pouze elektroniky a číslicové techniky, co bylo tou Vaší první zkouškou a co si kladete za tu budoucí?

U nás v rodině se traduje, že u babičky na zahrádce jsem si vzal lopatičku na písek, odšrouboval víko z rozvodné skříně a strčil jsem tam kabel. Dostal jsem hroznou ránu, potom jsem to zopakoval s navlékací šňůrkou do zásuvky a dostal jsem ránu ještě třikrát nebo čtyřikrát. A nejspíš mě to nasměrovalo, protože když jsem šel do nemocnice na trhání nosních mandlí, dostal jsem od rodičů knížku, která se jmenovala Od krystalky k modelům s tranzistory. Knížku jsem si přečetl, zjistil jsem, co je tranzistor a chtěl jsem se podívat, jak vypadá. Vzal jsem dědečkovo rádio a podíval jsem se, co je uvnitř, a protože na tranzistoru nebylo vidět, co je to za typ, vytáhl jsem ho a odstřihl. Já jsem si to přečetl, ale dědečkovo rádio přestalo fungovat. Potom někdy ve třetí třídě jsem si půjčil časopis Věda a technika mládeži. Zrovna tam bylo popsané, jak si postavím digitální hodiny, samozřejmě pro mě to bylo v té době nedosažitelné, ale to jsem nevěděl. Věřil jsem, že si dojdu do obchodu pro součástky a doma si hodiny postavím. Shodou okolností si toho všiml kluk ze staršího ročníku a řekl mi o kroužku elektroniky. Začal jsem tam docházet a naučil se základy. Potom se kroužek přeměnil na programovací, plynule jsem pokračoval a začal programovat a hrát hry.

A co teď? Teď už je to jenom vysloveně nostalgické hraní si se součástkami. Všechno už mám doma připravené a odladěné. Takže už jen zbývá začít stavět ekvivalent počítačů, jako ZX81 nebo Commodore C64, a napsat pro ně ovládací program.

Kategorie:

Těžba kryptoměn v péči CSIRT.CZ

Pá, 02/23/2018 - 14:42

Minulý týden jsme byli upozorněni, že zadáme-li do vyhledávače kouzelná slůvka `intitle:“var miner = new CoinHive“ site:cz`, dostaneme stovky stránek, na nichž se těží kryptoměna. Skutečně, zdálo se, že se nám pod rukama rozdmýchává epidemie zlaté horečky.

Stáli jsme před otázkou, zda jsou majitelé domén oběťmi malwaru, či zda provozovatelé webů těžební kód umístili do svých stránek záměrně. Neřešme nyní, zda umístit bez vědomí návštěvníků do stránek těžební kód jako alternativu reklamy, jak se o tom poslední dobou v každém elektroničtějším kuloáru rokuje, je etické čili nic; CSIRT.CZ nemá rozhodovací pravomoc.

Máme začít majitele stránek informovat? Není naším záměrem plnit někomu e-mailovou schránku zbytečně. Pohled do seznamu stránek však stačil. Dobrovolný sbor hasičů, stavební společnost a prodejce podlah, poradna životního stylu… to nejsou provozovatelé, kteří vypadají na to, že by se vezli na špici módní těžební vlny a na své stránky kód umístili vědomě. Letmá kontrola a hraní si s vyhledávacími operátory navíc brzy ukázalo, že vytížené procesory plní peněženku téhož šťastlivce darebáka.

Další šetření pak přineslo docela jiné překvapení: přestože Google ze začátku uváděl 972 napadených stránek, když jsme se pokusili přejít na čtvrtou stránku výsledku (počítejme na stránku 10 výsledků), zjistili jsme, že stránek je k dispozici pouze 39. Přičemž se ale nabízelo klepnout na nápis „zopakovat vyhledávání a zobrazit i vynechané výsledky“. Po zobrazení vynechaných výsledků Google uváděl 963 jako celkové číslo, ale když jsme došli k šestistému výsledku, oznámil, že čtyři výsledky byly vynechané z důvodu jistého zákona a seznam skončil, jako když utne. … nepátral jsem na blozích společnosti Alphabet o důvodech nekonzistence, naopak jsem vděčně přijal fakt, že stránek je jenom několik. Tedy žádná revoluční epidemie! Mohl jsem tak seznam domén z vyhledávače vytáhnout jednorázově přímo přes DOM ve webovém prohlížeči.

Následně jsme na pravděpodobnou kompromitaci stránek upozornili provozovatele 35 domén a zaznamenali jednu kladnou a čtyřiatřicet žádných reakcí.

Během následujících dnů však těžební kód ze stránek mizel a byl dostupný pouze z archivu vyhledávače; situaci jsme monitorovali.

Pokud by stránky raketově přibývaly, bylo by nasnadě začít je vyhledávat proaktivně a automaticky nebo najít spolehlivý zdroj seznamu domén používajících kryptotěžbu. Brát je z ručního vyhledávání Google je časově náročné, Custom Search API je velmi omezeno a pro tento případ se spíše nehodí (nelze příjemně filtrovat nové výsledky anebo žádat jediný výsledek per doména). Raketový start se však nekonal. Stránky se postupně rozrůstaly o několik stovek, nyní se jejich počet sešplhal na 1200. Pro představu: při použití filtru na Slovenskou republiku dostáváme počet 13200 stránek; bez filtru pak celosvětově 17500. Jak velí přílivové vlny v hloubi indexu Googlu, počet stránek se mění, počet domén ale víceméně zůstává; přibyla jen jedna nová. Navíc se ukázalo, že se nejedná o novou nákazu, ale o projekt běžící možná už celý rok.

Byť jsme dostali zprávu, že některé antiviry označují stránky jako nebezpečné, podobně jako v případě útoku typu defacement, kdy útočník pouze změní vzhled stránky, ale nezanechá žádný malware, ani těžební kód není sám o sobě malwarem – pouze ukazuje na vysokou pravděpodobnost toho, že stránka byla kompromitována.

Měli jsme hypotézu, že všechny stránky využívají WordPress a můžeme možná vypátrat a opravit zranitelný plugin; měli jsme hypotézu, že všechny stránky pocházejí od jednoho slovenského webhostera. Ani jedno se ale nepodařilo prokázat. Způsob útoku a obsah nákazy bývají dvě nezávislé věci a v tomto případě tomu dle mne nebylo jinak.

Postupujme jako v případě jakékoli jiné nákazy; zlikvidovat veškerý cizí kód, vyměnit hesla, zkusit zjistit, odkud nákaza přišla – a nejlépe podělit se s komunitou.

Kategorie:

Novinky v projektu PROKI

St, 02/21/2018 - 05:20

Pro Národní bezpečnostní tým CSIRT.CZ je projekt PROKI jedním z největších projektů, na kterém jsme dosud pracovali. V roce 2018 vstupujeme do třetího roku tohoto projektu a je třeba říci, že i když jsme v minulém roce mnoho věcí zlepšili, určitě budeme mít na čem pracovat také v letošním roce.

Projekt jsme představili již před několika lety i zde na blogu. Co se nezměnilo je architektura projektu. Systém PROKI je navržen jako soubor mikroslužeb běžících samostatně v kontejnerech Docker. Systém je tak mnohem jednodušší vyvíjet, udržovat, je odolnější proti chybám a navíc je velice jednoduše přenositelný. Každá služba je pak v rámci PROKI provozována právě jako jeden kontejner. Jednou z nejdůležitějších, ale zároveň také asi i nejsložitějších částí projektu je IntelMQ. Jde o řešení pro shromažďování a zpracování různých datových zdrojů. Toto řešení bylo vyvinuto (a je stále rozvíjeno) rakouským národním týmem a ve značné míře je využíváno také jinými týmy. Potom, co jsme začali rozesílat výstupy z projektu do koncových sítí, jsme právě na základě zpětné vazby některé datové zdroje odebrali a některé naopak přidali. Pro ty, které jsme přidali, jsme pak museli také vyvinou vlastní komponentu.

Největší viditelná změna v projektu nastala v minulém roce na podzim, kdy jsme po první ověřovací fázi s několika subjekty začali zasílat výstupy do koncových sítí. Výstupy jsou zasílané jednou týdně (ve středu) subjektům, který mají v rámci RIPE NCC přidělený IP rozsah. Report je do koncové sítě automaticky zaslán v případě, kdy se aspoň jedna IP adresa z daného rozsahu objeví v jednom ze sbíraných datových zdrojů. Každý týden tak rozešleme do koncových sítí kolem 500 e-mailů, přičemž v jednom reportu se nachází od jednoho do desítky záznamů. Může jít o adresy připojené k některému ze známých botnetů, adresy, ze kterých se šířil malware, o otevřené resolvery a podobně. Na základě zpětné vazby jsme také například upravili formát zasílaného výstupu tak, aby se správně zobrazoval v obou hlavních tabulkových procesorech LibreOffice i Microsoft Excel. Příjemci, kteří preferují používání právě tabulkových procesorů a manuální zpracování událostí před strojovým, přečtou informaci hned, aniž je musí dekódovat z base64, jako tomu bylo v minulosti. Co se týče rozesílaní zpráv, kontejner e-mailového systému starající se o odeslání reportů byl překonfigurován a nově postaven na e-mailovém systému Postfix. V tomto případě jsme nasadili DKIM, což je nástroj umožňující elektronicky podepsat hlavičky odcházejících e-mailů. DKIM tedy umožňuje, aby příjemce mohl zjistit, zda e-mail skutečně pochází ze zdroje, který je uveden jako adresa odesílatele. Kromě DKIM byla provedena také implementace SPF na místních DNS serverech. SPF neboli Sender Policy Framework je e-mailový validační systém sloužící jako obrana proti spamu. Ke zvýšení důvěryhodnosti zasílaných e-mailových reportů jsme letos přidali ještě podepisování e-mailů PGP klíčem.

Další významnou změnou je možnost selektivního odhlášení subjektů. To je prozatím v poloautomatickém procesu – ručním zařazení do filtru na základě požadavků příjemců zprav. V rámci již dříve vyvinuté komponenty Custom Filter je možné vyřadit daný subjekt na základě více kritérií: vyřadit ho na základě abuse kontaktu, vyřadit pouze specifické IP adresy (například adresy patřící do honeypotů), či zrušit odebíraní specifických zdrojů.

Téměř všechny z uvedených změn byly dělány na základě zpětné vazby od příjemců reportů. Za zpětnou vazbu jim tímto chceme poděkovat. Na projektu je však stále mnoho práce, takže vás o tom, jak postupujeme, budeme i nadále informovat.

Kategorie:

Upgrade .cz DNS aneb Zákulisí příprav a realizace – část druhá

Út, 02/20/2018 - 10:51

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. Hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje stále více. Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“.

ISP stacky a jejich nasazení

V minulém díle seriálu o posilování DNS infrastruktury jsem se zmínil o různých konfiguracích DNS stacků a jejich plánovaných použití. Speciální variantou je ISP DNS stack, uvažovaný jako doplněk k velkým uzlům v České republice, a představuje tak další možnosti rozšiřování DNS infrastruktury. Toto řešení již provozuje např. SIDN.NL, správce nizozemské domény .NL.

Jak se liší ISP DNS stack od ostatních variant? ISP DNS stack je umístěn přímo v interní síti poskytovatele internetového připojení (dále jen „ISP“) v České republice a do této sítě propaguje DNS anycast prefix/y. Vyhrazujeme si právo definovat, který anycast prefix bude využit a současně jej v průběhu času změnit za jiný. ISP však nemá povoleno tento prefix propagovat dále do svých upstreamů nebo svým peerům. ISP DNS stack je primárně určen těm subjektům, kteří poskytují internetové služby (nebo jsou správci obsahu) většímu množství zákazníků a jsou tedy z našeho pohledu významnými konzumenty DNS provozu.

Výhodou umístění tohoto DNS stacku v síti ISP je plná dostupnost .CZ zóny a to i v případě DDoS útoků proti veřejným autoritativním DNS serverům. Vzhledem k principu DNS anycastu umístění ISP DNS stacku v interní síti ISP zvyšuje propustnost dotazů a zrychluje jejich odezvy.

Navrhli jsme 2 varianty ISP DNS stacků

Schema zapojení obou variant

Pro některé ISP je dostatečným řešením varianta ISP mini, tedy jeden server, který je schopen obsloužit přibližně 100 milionů DNS požadavků za den. Pokud ISP provozuje svoji síť ve více datacentrech, doporučujeme umístit tuto DNS instanci do každého z nich. V případě vyššího objemu DNS požadavků pak nabízíme variantu s pěti servery, které dokáží odbavit právě trojnásobek DNS provozu. Tato varianta je v podstatě Malý DNS stack, pouze s jedním 10G portem.

Jak to funguje v praxi? O správu ISP DNS stacku se staráme výhradně my a to ve smyslu provozu operačního systému a všech na něm běžících služeb, včetně monitoringu. ISP zajišťuje nákup, provoz a umístění HW ve vlastní síti, konektivity do Internetu včetně potřebných IP rozsahů a nastavení BGP sessions. Společně s požadavky na provoz DNS uzlu doporučujeme konkrétní řadu serveru/ů a také kompletní HW konfiguraci. Je samozřejmostí, že šifrujeme pevné disky, aby nedošlo fyzickým přístupem a nebo v rámci výměny disku k úniku dat.

SLA domlouváme v rozsahu NBD a to ve smyslu řešení problémů s provozem operačního systému a poskytování DNS služeb. Tuto službu chápeme pro daného ISP jako doplňkovou a tedy výpadek uzlu neznamená v žádném případě nefunkčnost DNS služeb. DNS požadavky budou automaticky směrovány na naše DNS anycast servery. Z tohoto pohledu uvažujeme tento model podpory jako dostatečný.

První společnosti, které hostují ISP DNS Stack, jsou Seznam.cz a Vodafone. Objem DNS požadavků za sekundu v uplynulém měsíci ukazuje přiložený graf.

V následujících dílech se můžete těšit na praktické zkušenosti s realizací prvního Velkého DNS stacku v České republice.

3. díl: První Velký stack – výběrové řízení, nákupy hardware a logistika
4. díl: První Velký stack – příprava zázemí
5. díl: První Velký stack – instalace, testování a nasazení do provozu
6. díl: První Velký stack – závěr a zkušenosti z provozu

Kategorie:

Přivítejte HaaS

Po, 02/19/2018 - 11:35

Přesněji, přivítat jste ho mohli v říjnu loňského roku, kdy jsme spustili jeho beta verzi. Z počátku jsme nechávali volnou registraci a ladili první nedostatky, zátěžovou zkouškou pak bylo přesunutí všech uživatelů routerů Turris. Veškeré problémy a připomínky jsme vyřešili a nic nebránilo tomu spustit ostrý provoz služby HaaS nebo-li Honeypot as a Service.

Co to vlastně HaaS je a k čemu slouží? Honeypot je speciální aplikace, která simuluje operační systém a dovoluje potenciálnímu útočníkovi se přihlásit přes SSH do koncového zařízení a provést libovolné příkazy nebo třeba stáhnout malware. Nainstalovat si takovou aplikaci není jednoduché a pokud se v ní objeví chyby, může být i nebezpečná. Proto jsme se rozhodli vzít bezpečnostní riziko na sebe a zpřístupnit honeypot jako veřejnou službu, na kterou mohou uživatelé Internetu přesměrovat útoky vedené na jejich routery.

Moc rádi bychom řekli, že stačí na vašem routeru či serveru povolit port 22 a přesměrovat na naše servery, ale není tomu tak. Snažili jsme se však o co nejjednodušší řešení, co se instalace a vývoje týče. Věřte, že jsme minimálně měsíc strávili pouze výběrem proxy, která musí u uživatelů běžet. K čemu proxy je? Pouze k jednomu malému, ale velmi důležitému detailu. Abychom znali IP adresu útočníka, která slouží k následné analýze chování útočníků s cílem odhalení nových, dosud neznámých útoků.

Dobrá zpráva je, že i přes krátkou dobu provozu a porodní bolesti máme hodně dat. S přírůstkem deset tisíc SSH sessions za hodinu, v takto malém počtu uživatelů (aktuálně 1 600 aktivních uživatelů), budeme brzy řešit zajímavé úlohy, jak všechna data stihnout analyzovat. Uděláme pro to maximum, protože botnety volající rm -rf jako první příkaz nás děsí a je třeba s nimi zatočit.

Nasbíraná data využívá Národní bezpečnostní tým CSIRT.CZ pro zkoumání útoků z českých IP adres, o čemž jsou pak majitelé informování a hlavně vyzváni k nápravě. Největší počet útoků pochází z Číny, proto již spolupracujeme s Taiwanem, aby i u nich mohli zasáhnout. Na spolupráci s dalšími bezpečnostními týmy se pracuje.

Pokud se chcete do projektu zapojit, můžete tak učinit na stránkách haas.nic.cz, kde se zaregistrujete a dle pokynů nainstalujete HaaS proxy (dostupné jako deb a rpm balíček, na PyPI nebo jen tar). V případě zájmu o analýzu dat jsou anonymizovaná data dostupná na stránce s globálními statistiky. Chybí v nich úmyslně použitá hesla, protože jsme zaznamenali nejeden případ, při kterém se uživatel omylem dostal do svého vlastního honeypotu.

Kategorie:

Naše projekty zněly Evropským parlamentem

Po, 02/19/2018 - 11:25

Na začátku února, kdy se Evropský parlament přesunul na své každoměsíční týdenní zasedání z Bruselu do Štrasburku, jsme dostali šanci představit vybraným europoslancům naše sdružení i některé z projektů, a to hned na dvou setkáních.

Snídaně ke kybernetické bezpečnosti

První příležitostí byla pracovní snídaně pořádaná Evženem Tošenovským, který se jako bývalý informatik, rozhodl především české poslance seznámit s aktuálními otázkami kybernetické bezpečnosti, hlavně s tzv. kyber-bezpečnostním balíčkem, který se právě dostává na pořad dne v Evropském parlamentu.

Na začátku představilo vedení NÚKIB činnost svého úřadu i zákon o kybernetické bezpečnosti. Ten položil základy koncepce kybernetické bezpečnosti, jež se teprve následně odrazily např. v evropské Směrnici NIS schválené až dva roky po přijetí českého zákona. Díky tomu, že spolupráce mezi národním CSIRT provozovaným CZ.NIC a vládním CERT začala takto brzy, nemusí nyní Česká republika následovat smutný osud některých zemí střední a východní Evropy, např. Polska, Slovenska či Maďarska, ve kterých došlo i k rozpadu zavedených týmů a komplikovanému nastavování pravomocí mezi státním a soukromým sektorem.

S europoslancem Evženem Tošenovským, Dušanem Navrátilem – ředitelem NÚKIB a jeho náměstek v průběhu snídaně

Po prezentaci zástupců vládního CERT jsem stručně představil jak CZ.NIC, tak naše bezpečnostní projekty. Zde bylo mnoho europoslanců příjemně překvapeno např. informací o celosvětovém podílu routovacího démona BIRD, který je nasazen již ve více než dvou třetinách peeringových uzlů (IXP) nebo o úspěchu již zmíněného routeru Turris na crowdsourcingovém portálu Indiegogo, kde se podařilo vybrat celkem více než 1 mil. USD. Do třetice pak české europoslance zaujal projekt FENIX, díky kterému má nyní Česká republika nejvíce týmů uznávaných mezinárodní organizací TF-CSIRT.

Během diskuze se europoslanci zajímali především o názor k legislativnímu návrhu certifikace IT produktů, ke kterému obecně zaznívá mnoho kritiky. Za mě tento návrh, diplomaticky řečeno, nepřináší téměř žádnou přidanou hodnotu a celkem zbytečně se snaží regulovat oblast, která je min. v soukromém sektoru založena na důvěře k danému produktu a jeho tvůrci. Současný systém certifikace zároveň dává potvrzení vždy jen na konkrétní typ či kus výrobku a v případě např. softwarových aktualizací je časově, ale i finančně, nemožné nechat ověřovat každou verzi. Na to, že ani certifikace pak nezaručí bezpečnost konkrétního výrobku, ostatně ukázala i celkem nedávná zranitelnost ROCA, která mj. postihla estonské a slovenské elektronické občanky.

Den bezpečnějšího Internetu

Zatímco kolegové oslavovali mezinárodní Den bezpečnějšího Internetu připadající na 6. února v Praze a diskutovali vliv GDPR na používání služeb ze strany dětí (více v blogpostu kolegyně Věry Mikušové), účastnil jsem se ve Štrasburku oslav a spuštění kampaně Saferinternet4EU, kde jsem měl po prezentaci pro české poslance možnost na širším plénu spolu se zástupci z Belgie, Lucemburska, Německa či Rakouska představit naše osvětové aktivity zaměřené na děti.

Svých „pět minut slávy“ jsem věnoval především seriálu a komiksu Jak na Internet a bezpečnostnímu pexesu, které sklidilo ve Štrasburku velký úspěch a zalíbilo se i eurokomisařce Mariya Gabriel, která si hned jednu krabičku odnesla.

Mariya Gabriel s naším bezpečnostním pexesem

Její kolegyně, česká eurokomisařka Věra Jourová, v souvislosti s výzvami spojenými s používáním nových technologií, vyslovila obdiv všem dětem, které se zapojují do boje za bezpečnější Internet a na závěr celkem dojemně uvedla, že by nechtěla být dnes dítětem, které musí čelit nejrůznějším nástrahám spojeným s používáním moderních technologií.

Společná fotka z eurokomisařkou Věrou Jourovou, Mariya Gabriel a europoslanci

Kategorie:

Tak jim ty Internety zakážeme!

Po, 02/19/2018 - 11:20

České děti, kterým je méně než 13 let a používají Facebook nebo Instagram, dělí od doby, než začnou tímto jednáním porušovat zákon, necelé čtyři měsíce. Situace je o to kurióznější, že pokud do května tohoto roku nedojde ke schválení návrhu zákona, který stanoví hranici pro využívání služeb informační společnosti na 13 let, bude od tohoto měsíce nezákonně jednat každá osoba od 13 do 16 let, které nedají rodiče souhlas k využívání nejen zmíněných sociálních sítí. Této problematice se na našem blogu již věnoval kolega Jiří Průša. Ale pojďme dále.

Část odborné veřejnosti, někdy i samotné děti, toto omezení schvalují: „Děti si zaslouží zvláštní ochranu, protože jsou si v menší míře vědomy rizik a důsledků v souvislosti se zpracováním osobních údajů.“ Pro mě osobně tato argumentace však znamená spíše toto: „Neumíme naše děti naučit bezpečnému pohybu na Internetu a přemýšlet o něm, ony jsou kvůli tomu snadno zmanipulovatelné a proto je lepší jim využívání některých služeb úplně zakázat.“ Namísto toho, aby se tak naše děti již od mala učily jednat s rozmyslem, učí se, že pokud se někde mohou setkat s problémy, je lepší se tomu vyhnout. To je z mého pohledu velmi zjednodušené řešení, které ještě navíc postaví slušné děti, které jinak ctí a respektují pravidla, do situace, kdy mohou začít přemýšlet o nějaké cestě, jak obejít samotný zákon, a to jen kvůli tomu, aby si mohly zachovat svůj oblíbený a několik let udržovaný účet na sociální síti.

V rámci Dne bezpečnějšího Internetu proběhla v Evropském domě diskuse na toto téma nejen mezi odborníky, ale i mezi samotnými dětmi z České republiky, Nizozemska, Chorvatska, Kypru a Slovenska. Děti, které využívají sociální sítě pro usnadnění komunikace, vzdělávání a uváženou sebeprezentaci, si myslí, že věk 13 let je naprosto dostačující. Zvýšená míra zákazů ze strany rodičů některým dětem přijde demotivující a cítí, že ztrácejí vlastní prostor, ve kterém se mohou samostatně rozvíjet a realizovat. Tento pocit může některé děti brzdit v touze osamostatnit se a určit si svou vlastní životní cestu. Na základě diskuzí s dětmi vyzývají zástupci projektu Safer Internet vládu, aby urychlila přijetí zákona, který stanoví věkový limit na 13 let, a nedošlo tak k paradoxní situaci, kdy se děti od května nebudou muset ptát rodičů, zda mohou mít pohlavní styk, ale budou muset přijít s prosíkem, když si budou chtít založit účet na Facebooku.

Co se týká argumentace o rozumové, mravní a citové vyspělosti třináctiletých dětí, řešením zde by podle mého názoru měla být osvěta a vzdělávání namísto omezování a zákazů.

Bohužel je pravda, že by si možná naše školství muselo pospíšit s implementací nového obsahu výuky informatiky a informatického myšlení do základních a středních škol, ale hlavně a především také učinit radikální změny ve vzdělávání samotných pedagogů, aby sociální sítě mohly přestat zdobit podobné perličky:

Kromě diskuse v Evropském domě ve stejný den proběhla ještě konference Krajů pro bezpečný Internet, kde ve svém příspěvku Děti v kyberprostoru, velmi fundovaně hovořila magistra Michaela Štáfková z centra adiktologie. V rámci příspěvku, který byl zaměřený na praktické zkušenosti s klienty závislými na některých službách spojených s Internetem, několikrát zmínila, že problémem nejsou samotné technologie, ale neschopnost dospělých mluvit s dětmi o tomto zcela novém životním stylu, který nikdo z nás ještě v průběhu dětství nezažil.

Během setkání byla otevřena i problematika sledování pornografie dětmi. I přesto, že je zpřístupnění pornografie dětem trestným činem, do centra dorostové ambulance ve Zlíně dochází několik klientů, kteří jsou na pornografii zcela prokazatelně závislí. Tito klienti jsou ve věku od 11 do 16 let. Vedoucí dorostové ambulance vyzvala prostřednictvím svého příspěvku dospělé, aby byli stateční a nebáli se s dětmi o pornografii mluvit. Za projekt Safer Internet se k této výzvě také přidáváme a zároveň žádáme rodiče a dospělé, aby méně zakazovali a věnovali se více osvětě a vzdělávání v této oblasti. Protože právě daný zákaz může být tím největším rizikem, o čemž ví své zakladatelka nadace The Breck Foundation Lorin LaFave, jež i kvůli přísnému zákazu a neochotě pedagogických pracovníků řešit problematiku podezřelého jednání na Internetu, přišla o svého syna. Lorin by dle svého tvrzení podobný zákaz již nikdy neopakovala. Pokud se i díky komunikaci s dětmi rodiče dozví o nějakých nebezpečných aktivitách na Internetu, mohou využít naši linku STOPonline.cz.

Abych článek zakončila optimisticky, přikládám fotografii z ocenění vítězů celostátní soutěže Kvíz plus, ve kterém některé děti prokázaly úžasné porozumění problematice Internetu věcí a vlastní snahu a motivaci se učit a zdokonalovat v oblasti informačních technologií. Do soutěže se zapojilo 31 000 dětí z celé České republiky a nejúspěšnější z nich byly oceněni právě u příležitosti Dne bezpečnějšího Internetu přímo v prostorách Krajského úřadu Středočeského kraje.

Kategorie:

Upgrade .cz DNS aneb Zákulisí příprav a realizace – část první

St, 01/31/2018 - 09:55
Koncept DNS stacků a motivace celého projektu

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. DNS provoz v .cz doméně roste každoročně cca o 10%, ale hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje daleko více. Nová DNS infrastruktura by měla být schopna čelit těmto útokům takovým způsobem, aby nezablokovala regulérní provoz a poskytla dostatek času a možností zdroje útoků najít a eliminovat.

Teoretické maximum provozu, které měla DNS infrastruktura před upgradem bylo cca 20 mil. dotazů za sekundu (QPS) a cca 60 Gbps provozu. Po dokončení upgrade chceme docílit maxima provozu vyššího než 100 mil. dotazů za sekundu a 200 Gbps provozu.

Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“. Koncept DNS stacků vychází z konceptu kořenových DNS serverů. Při návrhu jsme využili také například zkušenosti a znalosti z provozu instance L-ROOT serveru (ve skutečnosti třiceti serverů v racku) hostovaného v naší síti.

Navrhli jsme 4 varianty DNS stacků

Schema zapojení nejčastějších variant

Velké DNS stacky nyní uvažujeme provozovat dva, oba v České republice a umístěné v datacentrech v Praze. Samozřejmostí je mít oba DNS stacky zapojené do peeringového uzlu NIX.CZ rychlostí 1x 100 Gbps. Pro takto robustní řešení budeme používat HW typ routeru, pro každý stack od jiného výrobce.

Střední variantu jsme původně zamýšleli umístit do zahraničí v rámci kontinentů – 1 do Severní Ameriky, 1 do západní Evropy a 1 do Asie. Vzhledem k finanční náročnosti a logistice zařízení do cílových datacenter tuto variantu zatím nebudeme realizovat. Evropské lokality, kde v současné době provozujeme uzly DNS anycastu, a které jsou významné z pohledu velikosti DNS provozu (UK, Německo, Rakousko), však budeme postupně vybavovat Malými DNS Stacky. Navíc uvažujeme o přidání dalších uzlů v Evropě, Severní Americe a Asii.

Varianta ISP DNS stacku (resp. minimalistická varianta ISP mini) je určena výhradně významným poskytovatelům internetového připojení v České republice. Cílem je přiblížit autoritativní DNS servery ke zdrojům provozu a také zvýšit diverzitu umístění. DDoS útoky vedené proti našim primárním DNS serverům neovlivní tuto instanci. V opačném případě bude útok se zdrojem v síti daného poskytovatele zakončen právě na této instanci. ISP DNS stack jsme navrhli ve dvou variantách. Varianta ISP mini je určena pro menší poskytovatele internetového připojení. Největším poskytovatelům pak nabídneme variantu Malého DNS stacku s absencí připojení do tranzitu. Variantě ISP DNS stacku bude věnována některé z příštích pokračování.

Jak je u nás zvykem, striktně dodržujeme diverzitu HW a SW, aby v případě chyby byla ohrožena pouze část infrastruktury. Proto budou jednotlivé DNS stacky realizovány na různých dodavatelích serverů a síťových prvků, stejně tak na různém SW vybavení.

Počty DNS serverů pro jednotlivé varianty stacku vycházely z následujících zjištění a předpokladů:

  • Z analýzy našeho DNS provozu a testováním máme ověřeno, že je jeden server schopen odbavit minimálně 1 milion odpovědí za sekundu (viz https://www.knot-dns.cz/benchmark/).

  • Běžná velikost DNS odpovědí je 512 B / 4 096 bps. Při této velikosti odpovědi využije jeden DNS server kapacitu cca 4 Gbps.

  • Z výše uvedeného tedy vyplývá, že pro 100 Gbps konektivitu postačuje 30 serverů a pro 10 Gbps konektivitu postačují 3 servery.

  • Největší pakety dosahují velikosti 1 538 B / 12 304 bps. Při této velikosti odpovědi využije jeden DNS server kapacitu cca 12 Gbps. Předpokládáme tedy připojení DNS serverů pomocí 10 Gbps uplinku do routeru.

Z teorie by to bylo vše. V následujících dílech se můžete těšit na praktické zkušenosti s realizací prvního Velkého DNS stacku v ČR a několika ISP stacků.

2. díl: ISP stacky a jejich nasazení
3. díl: První Velký stack – výběrové řízení, nákupy hardware a logistika
4. díl: První Velký stack – příprava zázemí
5. díl: První Velký stack – instalace, testování a nasazení do provozu
6. díl: První Velký stack – závěr a zkušenosti z provozu

Kategorie:

Za rok 2017 ubylo téměř 4 mil. z nových gTLD

Út, 01/30/2018 - 12:00

Loňský rok nebyl pro nové generické domény (new gTLD) vůbec příznivý. Zájemcům se sice začala nabízet k registraci celá řada domén, v celkovém souhrnu však nové domény zaznamenaly poprvé ve své historii propad. Zatímco na začátku roku bylo registrováno 27 710 468 domén, na konci roku to bylo již jen 23 823 948. Češi měli registrováno celkem 23 245 new gTLD, tj. méně než 0,1 %.

Největší podíl na poklesu nových generických domén má doména .xyz (propad o více než 60 %), u které se naplno projevil efekt rozdávání domén zdarma či téměř zdarma (za 0,15 $). Většina držitelů využila tuto akci jen k tomu, aby měla další doménu v řadě, kterou však nijak aktivně nevyužívá. To ostatně potvrzuje i další statistika, podle které téměř 56 % newgTLD nemá nastavený žádný DNS záznam.

Vedle .xyz se poměrně výrazně propadla i většina dalších, dosud nejoblíbenějších domén, konkrétně .top (- 2 486 830 domén), .wang (-357 136), .win (-224 173) a .bid (-138 558).

Oproti tomu rostly domény jako .loan (+ 1 431 834), .shop (+402 797), .club (+298 238), .online (+205 001). Na začátku ledna pak díky pokračujícímu růstu vystřídala doména .loan na první příčce dosud dominující .xyz.

Zajímavé je porovnání nejoblíbenějších nových generických domén z pohledu Čechů. Zatímco ve světě patří mezi nejžádanější .xyz, .loan či .top, mezi našinci se (zatím) těší největší oblibě .cloud, .online a .shop.

Srovnání nejpopulárnějších domén

Letošní rok může být pro mnoho nových new gTLD zlomový. Světlo internetového světa dosud spatřilo 1 224 nových koncovek, z nichž však jen cca 15 % zatím dokázalo získat do svého portfolia více než 10 000 domén. S náklady, kteří jednotliví správci na registraci a zprovoznění domén měli, je tak jen otázkou, zda všichni budou mít dostatek financí na fungování v dalších letech.

Konkurenci pro newgTLD vidím i v některých národních doménách (ccTLD), které místo spojení s danou zemí vsadili na co nejvyšší profil. Schválně – kdo z Vás (bez googlování :o) ví, komu patří stále více populární doména .io?

Kategorie:

Je mobilní telefon pro naše děti (ne)bezpečný?

Po, 01/29/2018 - 03:50

Ve spolupráci s projektem Kraje pro bezpečný internet pořádá naše sdružení na základních a středních školách semináře s názvem (Ne)bezpečný mobil, které jsou zaměřené na úskalí při používání mobilních telefonů. Jak už sám název napovídá, děti se během dvou vyučovacích hodin dozvědí, jak co nejbezpečněji využívat své „chytré“ telefony, ať už z hlediska samotného zabezpečení aparátu, zaznamenávání geolokace či hrozeb falešných aplikací a mnoha dalších.

Ačkoli jsou dnešní žáci velice znalí moderních technologií, stále se nabízí mnoho témat, nad kterými jsou ochotni diskutovat a z nichž si odnášejí něco nového. Díky zpětné vazbě od studentů a jejich učitelů např. víme, že jsou stále fascinováni tím, co vše se dá přečíst z „obyčejného“ QR kódu a že často díky nevinné fotografii s letenkou, kterou vloží na své facebookové stránky, odkrývají ostatním lidem nejen svou tvář, ale daleko více informací než měli původně v plánu.

Žáky dále zaujalo, jak je nebezpečné zaznamenávání polohy, a to nejen z pohledu zlodějů, kterým můžeme dát impuls k vykradení bytu, ale i z hlediska možného útoku na opuštěném místě. Velkým překvapením byla pro děti informace ohledně obsahu licenčních podmínek oblíbené aplikace Snapchat, jejíž princip spočívá v tom, že odeslané zprávy či fotografie se po určité době samy smažou, aby nemohly být zneužity. Málokdo však ví, že už stažením samotné aplikace dáváme souhlas s licenčními podmínkami, kde se např. uvádí, že souhlasíme s tím, že informace o naší poloze, samotné zprávy a fotografie poskytujeme tvůrcům aplikace k libovolnému zpracování a šíření.

Témat, která si děti přejí na setkáních probírat, je celá řada jako např. kyberšikana, zdravotní aspekty, zabezpečení mobilního telefonu a další. Náš kolega Jiří Průša se snaží žákům během 90 minut vštípit základní pravidla bezpečnosti užívání mobilního telefonu, aby se nemuseli v budoucnu potýkat s tak nepříjemnými zážitky jako je zveřejnění soukromých fotek, sledování či vydírání.

Dnešní děti dostávají svůj první mobilní telefon čím dál tím dříve. Běžná věková hranice je 8 let, ale stále se posouvá níže a brzy bude normální, že s nástupem do školy dostane žáček kromě aktovky a penálu i svůj mobil. Proto bychom již od samého začátku měli mít pod kontrolou, co naše děti na mobilu dělají, k čemu jej používají, zda mají dostatečné zabezpečení a jestli s ním netráví více času než s klasickými hračkami, což by byla jistě škoda. Mobilní telefon je nepochybně dobrý pomocník, ale je velice snadné si na něm vypěstovat závislost a nechat se pohltit virtuální realitou.

V druhé polovině roku 2018 je plánováno vydání knihy (Ne)bezpečný mobil, jež bude určena nejen dětem, ale i dospělým, kteří se tak dobře neorientují ve světě moderních technologií. Jednotlivé kapitoly v podstatě rozvedou témata samotné přednášky. Budou obsahovat příklady z praxe a ukázky konkrétního nastavení mobilního telefonu. Věříme, že tato publikace přispěje k další osvětě a pomůže tak lépe čelit nástrahám moderního světa.

Kategorie:

Kritické myšlení jako nezbytná součást bezpečného Internetu

Po, 01/22/2018 - 06:05

S cílem upozornit veřejnost na nebezpečí virtuálního prostředí a zvýšit povědomí o otázkách kybernetické bezpečnosti provedlo Lotyšské centrum bezpečnějšího Internetu v roce 2017 tři sociální experimenty.

Nezisková organizace Drossinternets.lv se pokusila zjistit znalosti společnosti týkající se počítačové kriminality a schopnost uživatelů Internetu kriticky myslet. Výsledky experimentů nezní příliš povzbudivě.

První experiment obsahoval falešnou reklamu na Facebooku, která inzerovala cestování za podezřele nízkou cenu. Za pouhé čtyři dny reklamu cestovní kanceláře otevřelo tisíc uživatelů sociální sítě Facebook, přesně 617 osob odeslalo podvodné agentuře své osobní údaje a bylo připraveno zadat i své bankovní údaje. Jméno cestovní kanceláře přitom vůbec neexistovalo, stejně jako hotel. Kontaktní údaje agentury nebyly k dispozici a odkazy na sociální síti zobrazovaly neexistující ženu, jejíž fotografie byla stažena z veřejné databáze fotografií.

Druhý experiment cílil na uživatele Instagramu, především z řad mládeže. Falešný instagramový účet obsahoval nabídku na stažení aplikace obsahující nové filtry a další zajímavé nástroje na úpravu fotografií. Tyto nástroje měl jinak údajně obsahovat pouze nový iPhone X. Během čtyř dnů se pokusilo o stažení aplikace více než 227 uživatelů. Stahováním aplikací z nedůvěryhodných a neověřených zdrojů se přitom uživatelé vystavují riziku napadení svých zařízení malwarem.

Třetí pokus se odehrál živě v kavárně, kde žádal důchodce návštěvníky kavárny, aby mu pomohli napsat inzerát na seznamku tak, aby vypadal, že jej píše třináctiletá holčička. Ze sedmi kontaktovaných osob odmítly s inzerátem pomoci pouze dvě.

Maija Katkovska, šéfka Lotyšské centrum bezpečnějšího Internetu, ohodnotila výsledky experimentů takto: „Neustále jsme ze strany veřejných orgánů ujišťováni, že teoretické znalosti týkající se bezpečnosti na Internetu jsou poměrně vysoké. Z výsledků experimentu však vyplývá, že kritické myšlení, které by mělo člověku v prostředí Internetu pomáhat být v bezpečí a správně se rozhodovat, je stále na docela nízké úrovni.“

Nakolik jsou výsledky lotyšského experimentu využitelné i u nás, lze jen těžko odhadnout. Pokud však na Internetu narazíte na nějaké lákavé případně podezřelé nabídky, zkuste si je ověřit z co nejvíce různých zdrojů a v případě, že bude patrné, že se jedná o podvod nebo jiné nezákonné jednání, neváhejte se obrátit na Policii ČR. V případě, že na Internetu narazíte na obsah, který by mohl vést k sexuálnímu zneužívání dětí nebo kybergroomingu, můžete využít i možnost nahlásit své podezření anonymně na stránkách provozovaných přímo naším sdružením zde.

Kategorie: