Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 5 min 11 sek zpět

Nová verze FREDa aneb Hlavní je testování

St, 11/15/2017 - 11:23

Dnes v noci naši systémoví správci úspěšně nasadili do produkce, v rámci nahlášené odstávky, novou verzi FREDa, tedy systému, který je základem doménového registru .cz. (kromě toho, že je využíván pro národní domény v dalších více než deseti zemích světa). Co to ale vlastně znamená?

Tak předně, pokud se vše podařilo dobře, žádný další článek o této akci nevyjde. Prostě proto, že výsledkem je opět plně fungující .cz registr, žádné fronty lidí u přepážek nebo přetížené či kolabující systémy. Prostě nic pro prime time večerních zpráv nebo první strany našich novin. Co by ale mohlo být v technické příloze?

Verze FREDa 2.33, na které nyní .cz registr běží, přinesla výčtem jen několik málo změn, ale jejich implementace vyžadovala poměrně značné úsilí našich vývojářů a testerů. Pokračovali jsme totiž v přepisování (modernizaci a zvyšování bezpečnosti) části EPP, která slouží pro komunikaci registru s registrátory. Tentokrát se inovace kódu dotkly zejména metod pro poll zprávy a práci s kreditem a byly provedeny tak, aby nezměnily stávající rozhraní. Došlo pouze ke změnách u textací elementu „reason“ v EPP odpovědích, k drobným úpravám „result code“. Nová verze FREDa také přináší možnost správy korespondenční adresy přes EPP, kterou ale zapneme až po otestování registrátory začátkem roku 2018. Dále jsme nasadili novou verzi slučování kontaktů, které eliminuje duplicity v registru. Spouštění podle této nové verze provedeme v následujících týdnech. V nové verzi jsou obsaženy další, drobnější změny, zejména pro optimalizaci interní práce s daty z registru našimi operátory zákaznické podpory.

Mohlo by se zdát, že je tímto popis přínosů verze 2.33 u konce. Opak je ale pravdou. Zdaleka největším přínosem totiž bylo, že jsme výrazným způsobem vylepšili nástroje pro testování nových verzí FREDa. Do nového testovacího frameworku jsme investovali více jak dva měsíce práce a to nejen testerů, ale také backendových vývojářů, kterým tímto děkuji za dočasné opuštění jejich úkolů a za výraznou pomoc při zvýšení efektivity práce testerů. Díky kombinaci testerských a vývojářských zkušeností se nám podařilo vybudovat testovací framework backendové části centrálního registru, který umožňuje jednoduše implementovat testovací případy, takže se implementátor testu může více soustředit na to důležitější, tj. CO potřebuje otestovat a ne JAK. Navíc implementátor testů není vůbec zatěžován generickými kontrolami, které vnitřně provádí testovací framework. Pro představu dva příklady – časová značka EPP odpovědi generovaná serverem musí být platný čas v rozsahu mezi odesláním požadavku na server a přijetím odpovědi. Druhý příklad – v negativním scénáři, který nemá skončit úspěchem, se nesmí změnit data objektu v registru. Vývoji předcházela definice testovacích případů, což jsme využili nejen pro implementaci testů, ale i v analýze a návrhu frameworku. Pomocí nového testovacího frameworku máme již implementováno téměř 2000 prioritních testů a dalších několik set testů střední priority máme naplánováno dokončit později. Předpokládáme, že nadstandardní investice do testovacího frameworku se vyplatí nejen u této verze FREda, ale u všech dalších, protože odstraní obrovský balík ruční testerské práce, kterou by bylo nutné vykonávat při každém větším zásahu do EPP.

Práce to bylo tolik, že jsme pro zlepšení vizualizace stavu zpracování využili naši chytrou zeď. A ani se nedivím, že při jednom pátečním večeru se na zdi objevily i Pac-man se Space Intruders…

Kategorie:

Vyslyšené přání

Po, 11/13/2017 - 12:00

Po delší odmlce přinášíme novou verzi Tablexie s několika menšími úpravami, které reflektují hlavně výsledky předchozího testování a analýzu získaných herních dat.

S očekávaným příchodem dvou nových her jsme se rozhodli, že nahlédneme do sesbíraných dat z dosud odehraných her a zkontrolujeme, zda mají všechny hry odpovídající obtížnost. Výsledkem bylo zjištění, že Lupiči jsou oproti ostatním hrám výrazně těžší, proto jsme upravili pořadí pravidel tak, aby na začátku každé obtížnosti byly jen ty nejjednodušší. U hry Střelnice  se naopak ukázalo, že je o hodně lehčí než ostatní hry, takže jsme zvýšili hranice pro zisk jednotlivých počtů pohárů. U hry Pronásledování jsme porovnávali obtížnosti jednotlivých map a vytvořili jejich nové pořadí, které je řadí od nejjednodušší až k nejtěžší. Také jsme vytvořili úplně novou mapu, která by měla být jednodušší, než všechny předchozí. Ta je nyní nově zařazená na začátek hry. Vyzkoušeli jsme ji s dětmi při posledním testování nových her a vypadá to, že jim opravdu dělá menší potíže. Přesnější výsledky však přijdou společně s nasbíranými daty až za nějaký čas jejího provozu.

Všechny tyto úpravy jsou součástí nové verze, která také přináší novou grafiku ke hře Hlídka, dále povoluje úpravu věku pro jednotlivé uživatele (pokud hrají delší dobu, aby tam stále neměli věk, který zadávali při tvorbě profilu, ale aktuální) a umožňuje vyfotit si vlastní profilový obrázek, aby si hráči již nemuseli vybírat jen z profilových obrázků znázorňujících autory aplikace.

Další novinky budou brzy následovat. Budeme o nich mluvit například na konferenci Internet a Technologie 17.2, která se koná příští pátek v Národní technické knihovně v pražských Dejvicích. Přijďte si poslechnout, co nového pro vás chystáme.

Kategorie:

tcworld aneb Inovace ve světě technické komunikace

St, 11/01/2017 - 15:13

Konference tcworld je hlavní celosvětovou událostí ve světě technické komunikace. Letos se pořádala od 24. do 26. října ve Stuttgartu v Německu a umožnila nahlédnout do vývoje inovativních řešení, které v současnosti zahrnují pojmy jako inteligentní informace a dodávka obsahu (content delivery). Pojďte se se mnou podívat na současné inovativní trendy z blízka.

O technické komunikaci a konferenci tcworld

Ačkoliv u nás technická komunikace není zatím příliš známou oblastí, zahrnuje mnoho profesí, se kterými se ve světě IT začínáme setkávat – patří sem mimo jiné technická dokumentaristika, kterou rozvíjím u nás v CZ.NIC. Obecně lze říci, že úlohou technického komunikátora je buď vytvořit nebo sdělit obsah technického charakteru. Je velice pravděpodobné, že o technické komunikaci budeme slýchat čím dál častěji, neboť poptávka po těchto profesích roste s rozvojem průmyslu i služeb a to nejen v oblasti IT. Jinými slovy – technická komunikace se má čile k světu!

Konference tcworld 2017 Stuttgart

Největší organizací, která profese technické komunikace sdružuje, je právě tekom Europe založená v Německu. Asociace tekom Europe každoročně pořádá mezinárodní konferenci tcworld s přidruženým veletrhem tekom FAIR, na kterém jednak vystavují své produkty výrobci nástrojů a jednak prezentují svoje služby komunikátorské firmy samotné. Pokud se touto oblastí zabýváte, natož pokud chcete mít přehled o nejnovějších přístupech, trendech a nástrojích, nesmíte tam chybět. Konference pokrývá jak klasická témata technické dokumentace, lokalizace a technického překladatelství, tak i inovativní trendy v oboru jako jsou inteligentní informace, vizualizace, nebo využití umělé inteligence, strojového učení a rozšířené reality.

Veletrh tekom FAIR 2017 Stuttgart

Z tradiční technické dokumentaristiky jsem navštívila několik přednášek orientovaných na management dokumentování, např. Základy plánování a řízení financí pro dokumentaristy, Zapojení průmyslových profesionálů do výuky technické komunikace na univerzitách v Číně, Ochrana duševního vlastnictví společnosti, a také pár praktičtějších přednášek jako Optimalizace pro vyhledávače (SEO) a Opensourcové publikování s DITA Open Toolkit. Druhá polovina přednášek, které jsem navštívila, měla společné nosné téma, které se točilo kolem inovací, zejména kolem pojmů inteligentní informace, dodávka obsahu a také nového souvisejícího standardu. A právě tyto inovace nyní prozkoumáme trochu podrobněji.

Proč inteligentní informace

S pokračující digitalizací nám klepou na dveře koncepty jako Internet věcí, kyber-fyzické systémy (Průmysl 4.0), „chytré továrny“ a další „chytré systémy“. Ruku v ruce s těmito inovacemi by však měla jít také chytřejší dodávka obsahu technické dokumentace.

Doposud se dokumentaristické inovace soustředily na tvorbu obsahu, aby byl strukturovaný, založený na komponentách a řízený, a díky tomu nyní umíme vytvářet obsah velmi efektivně. V důsledku toho jsou informace také produkovány ve velkém množství. Avšak způsoby, kterými obsah dodáváme, byly zanedbávány. Uživatelé jsou stále nuceni hledat informaci manuálně ve velkých komplikovaných strukturách, než najdou to, co právě potřebují. Pro věk, v němž je hojnost informací, už dodávky ve formě knih nejsou zcela vhodné. Uživatelé však začínají požadovat konkrétní a kompaktní informaci, která je relevantní pro jejich aktuální situaci. Proto se nyní pozornost, a tedy i hodnota dokumentaristických inovací, obrací z tvorby obsahu na dodávku obsahu. Dodávka inteligentní informace je dynamická, řízená kontextem, složená a linkovaná z mnoha zdrojů a tok informace je limitovaný. Kontext má zajistit, že je ta správná informace dodána té správné osobě, ve správný čas, na správném místě a na nejvhodnějším zařízení.

Jak bude vypadat inteligentní informace

Pracovní skupina Information 4.0, která vznikla na půdě tekomu, na konferenci představila návrh standardu iiRDS, na kterém začala pracovat v loňském roce. Intelligent Information Request And Delivery Standard má v brzké budoucnosti umožnit výměnu inteligentních informací (nejen) mezi výrobci napříč průmyslovými odvětvími. Poslední pracovní verze standardu iiRDS 0.9 je nyní k dispozici na webu iiRDS a pracovní skupina žádá o komentáře, které jsou přijímány do konce letošního roku.

Základem pro dynamickou výměnu má být strukturovaný obsah a metadata, která tento obsah popisují. Standard stanovuje slovník pro popis obsahu ve formě ontologie, která je reprezentována ve formátu RDFS, což přináší mnoho výhod. Ontologie umí zachytit nejen základní údaje o obsahu (např. kdo je autor nebo kdy byl obsah vytvořen), ale také vzájemné vztahy mezi různými zdroji a okolním světem (např. jakou kvalifikaci má mít příjemce nebo že se týká některé konkrétní fáze životního cyklu produktu), a proto je vhodná pro stanovení kontextu. Požadavek na dodávku je pak řízený právě kontextem, na jehož základě se vygeneruje balík s odpovídajícím obsahem.

Formát balíku definuje opět standard iiRDS. Jedná se v podstatě o komprimovaný soubor (zip), který obsahuje vlastní typ MIME, soubor s metadaty ve formátu RDFS, která popisují přiložený obsah, a obsah samotný. Díky tomu, že jsou metadata uložena odděleně od obsahu, obsah může být v libovolném formátu (texty, obrázky, videa, ale také např. patche) a libovolné granularity (od celých manuálů až po drobné fragmenty).

Ukázky

Problém s takto komplexními metadaty však je, že jejich vytváření stojí poměrně dost práce, a tak byla předvedena ukázka toho, jak využít strojové učení pro automatizovanou klasifikaci dokumentů a predikci metadat, konkrétně nástroj fastclass.

Další ukázka se týkala konkrétního příkladu, jak může být chytrá dodávka obsahu využita v chytré továrně. Představme si údržbáře u robotické linky, která sama diagnostikuje poruchu. Údržbáři na jeho tabletu indikuje poruchu a současně mu nabídne, jak tuto situaci řešit. Nejenže zobrazí popis chyby a jejího zotavení, ale údržbář například bude moci přímo z manuálu restartovat stroj, pokud je k takové činnosti kvalifikovaný. Povšimněme si, že tato ukázka také demonstruje trend, kdy se uživatelské rozhraní čím dál víc integruje s dokumentací.

Poslední ukázka naznačila, že pionýrem v implementaci standardu iiRDS (přinejmenším prototypové) nejspíš bude opensourcový publikační systém DITA Open Toolkit, který je jedním z nejvyužívanějších nástrojů v dokumentaristickém průmyslu současnosti.

Závěr

Nemohla jsem se ubránit myšlence, že by tento koncept mohl být využit i pro podporu firemních procesů, zejména dokumentování samotného, byť toto použití tvůrci standardu možná nezamýšleli. Ale představme si například systém, který na základě změn ve zdrojovém kódu softwaru upozorní dokumentaristu, že je potřeba aktualizovat obsah dokumentace a navrhne mu, v kterých místech v dokumentaci by to mohlo být. Nebyla by naše práce zase o něco snazší?

Jistě, naskýtá se také otázka, jestli inovace nevezme práci i nám dokumentaristům. Ale sami tvůrci standardu tvrdí, že jako každá nová technologie, i tato současně přinese nové profese. Jak mně by se líbilo třeba spravovat takovou ontologii!

Ať už se jedná o inovativní témata nebo tipy a rady k současné praxi, konference mi přinesla spoustu inspirace pro moji práci, možnost porovnat vlastní praxi s ostatními v širším kontextu a podněty ke zdokonalování dokumentaristiky v dlouhodobém horizontu.

Kategorie:

Měsíc kybernetické bezpečnosti v Českých Budějovicích

Po, 10/30/2017 - 17:39

Ve spolupráci s Jihočeskou univerzitou v Českých Budějovicích jsme v rámci měsíce kybernetické bezpečnosti připravili pro studenty celodenní blok přednášek. Přestože se akce konala po prázdninách, přišlo si nás poslechnout poměrně dost posluchačů, kteří byli nejen pozorní, ale radost jsme měli i z toho, že se hodně ptali, což určitě pomohlo k dobré atmosféře po celou dobu akce.

Program jsme se snažili postavit tak, abychom pokryli nejen témata bezpečnosti, ale také témata spojená s registrem či škodlivým obsahem na Internetu. První prezentace od kolegy Pavla Bašty byla věnována trendům, které jsme zaznamenali v uplynulých letech na poli phishingu, malwaru nebo ransomwaru. Za těch několik let se totiž jak phishing, tak například způsob a síla DDoS útoků docela zásadně změnily. Jednotlivé typy útoků byly pak pro lepší představu doplněné konkrétními příklady.

Další prezentace se týkala zranitelností redakčních systémů. Kolegové představili motivaci a průběh testování zóny .CZ na zranitelné verze redakčních systému WordPress a Joomla. O tomto testování jsme zde již psali.

V tomto bodě programu začala diskuze s publikem směrovat k doménám, uvádění pravdivých informací při registraci či podmínkám registrace domén. Na toto téma ideálně navázala prezentace technického ředitele CZ.NIC Zdeňka Brůny o registru domén .CZ a systému FRED. Kolega je výsostný technik, ale o registru domény dokáže mluvit tak, aby jeho slova dobře pochopil i ten, kdo se s tímto výjimečným tématem setkal poprvé. Diskuze dále pokračovala ve znamení registrace domén a cen domén.

Od technických aspektů útoků, redakčních systémů a registru domén jsme se přesunuli k závadnému obsahu na Internetu, a to ve formě fotek a videí nevhodně zobrazujících děti, které na Internet často nahrávají jejich neopatrní rodiče. Tohoto tématu se chopila naše kolegyně, která na tyto fotky a videa aktivně upozorňuje webové servery, na nichž se daný materiál objevuje. I přes vytrvalou a systematickou práci musíme bohužel konstatovat, že nových snímků stále přibývá. I proto jsme se rozhodli zapojit se do projektu Safer Internet a nedávno spustili web na hlášení dětské pornografie.

Další dvě prezentace byly o našich honeypotech a výsledcích, které z nich dokážeme vyčíst. Právě tyto výsledky nám v minulém roce umožnily najít chybu v domácím SoHo (SoHopeless) routeru a nově objevené zranitelnosti přiřadit CVE. Na tomto projektu se podíleli naši kolegové z Českých Budějovic, kteří jsou současně studenty na místní univerzitě.

Závěr semináře pak patřil představení projektů z vývojového oddělení Laboratoře CZ.NIC.

Během celého dne probíhala paralelně tzv. hacking challenge. Mezi úkoly, které si naši kolegové pro studenty připravili, byla chyba v kalkulačce na síti, XSS nebo obrázek, který po zobrazení v hexeditoru měl na konci zprávu, jejíž část byla navíc kódovaná v base64. První soutěžící student nám zaslal výsledek již za 12 minut, z čehož si odnášíme, že další nejbližší hacking challenge uděláme určitě složitější :-).

Velice nás potěšila aktivita studentů, jejich dotazy a vůbec zapojení se do celého programu. Zda to bylo začátkem akademického roku nebo dobrým složením publika, to nevíme. Každopádně se budeme těšit na další setkání na půdě nejen jihočeské vysoké školy.

Kategorie:

Online validace mojeID pomocí datové schránky fyzické osoby

Út, 10/17/2017 - 13:33

Validace mojeID účtu znamená fyzické ověření totožnosti uživatele, které provádíme buď přímo u nás v CZ.NIC nebo zprostředkovaně na validačních místech a na místech, kde probíhá notářské ověření. V průběhu loňského roku jsme začali také akceptovat žádost o validaci doručenou datovou schránkou se zapnutou identifikací odesílatele. Tento způsob se ukázal ve srovnání s ostatními metodami velice populární a tak jsme se rozhodli jít ještě dál a umožnit držitelům datových schránek plnou online validaci tak, aby se pro její dokončení stačilo přihlásit do systému datových schránek a potvrdit předání údajů.

Z pohledu uživatele je celý proces přímočarý. Na záložce „Nastavení“ přibylo nové tlačítko „Validovat přes datovou schránku“, které uživateli zobrazí přehled údajů určených k validaci.

V dalším kroku je uživatel přesměrován na přihlašovací obrazovku systému datových schránek. Po zadání přihlašovacích údajů musí uživatel ještě odsouhlasit odeslání zprávy potvrzující vlastnictví příslušné datové schránky.

Následující obrazovka již obsahuje pouze souhrn údajů načtených ze systému datových schránek a odsouhlasení jejich aktualizace v mojeID.

Vzhledem k pravidlům, která máme pro validaci právnických osob, je možné tento online způsob provádět pouze pro fyzické osoby. Z toho důvodu je tedy možné použít pouze datovou schránku fyzické osoby, u které je uživatel mojeID v pozici oprávněné osoby. Těchto datových schránek je aktuálně aktivních něco přes 94 000 a to již je skupina, které má smysl vyjít vstříc. Související novinkou je možnost uložit si v průběhu tohoto procesu do profilu mojeID také identifikátor datové schránky a se souhlasem uživatele ho následně předávat dalším poskytovatelům služeb, kteří by ho chtěli využít.

Technicky je celý proces řešen s využitím veřejného rozhraní datových schránek nazývaného Odesílací brána. Ta umožňuje, aby provozovatel nějakého systému vyzval svého uživatele k zaslání předpřipravené zprávy do datové schránky tohoto provozovatele. Využíváme také toho, že datová schránka typu OVM umožňuje získat ze systému datových schránek podrobné informace o vlastníkovi datové schránky. Kombinací těchto dvou vlastností jsme schopni důvěryhodně ověřit totožnost uživatele a porovnat údaje z mojeID a ze systému datových schránek.

Z počátečního období provozu jsme zaznamenali zajímavou vlastnost systému datových schránek, která znemožňuje některé datové schránky pro validaci použít. Jedná se o některé případy, kdy uživatel bydlí na adrese neobsahující klasickou ulici, ale pouze část obce. Systém datových schránek, který předává informace o adrese ve strukturované podobě, ve většině případů předá informaci o části obce v údaji ulice. Bohužel to ale neplatí univerzálně. Pro některá data je údaj ulice prázdný a nedojde tak k předání kompletní adresy. V takovém případě pouze zobrazíme uživateli informaci, že datovou schránku není možné pro validaci použít. Provozovatelé systému datových schránek o problému ví a snaží se vymyslet nějaké řešení. Drobný detail, na který by uživatelé také mohli narazit, se týká situace, kdy je součástí aktualizovaných údajů i jméno nebo příjmení. V případě, že uživatel již dokončil ověření korespondenční adresy, zachováme se stejně, jako když uživatel změní tento údaj přímo v profilu, tzn. zrušíme stav ověření adresy a zašleme mu znovu ověřující dopis s novým kódem PIN3.

Vzhledem k rozšiřující se nabídce validačních metod jsme se rozhodli revidovat i některé starší, méně používané metody. V tuto chvíli se jedná o zrušení možnosti validace certifikátem pro elektronický podpis. Popularita této metody klesá i v souvislosti s tím, že stát v reakci na nové evropské nařízení eIDAS, zrušil možnost využití kvalifikovaného certifikátu u některých svých služeb. V souvislosti s touto změnou a s upřesněním metod validace využívající datové schránky jsme připravili nová pravidla služby mojeID, která vejdou v platnost 16.11.2017.

Za poslední tři měsíce si tento nový online způsob úspěšně vyzkoušelo přibližně 500 uživatelů, což je ve srovnání s celkovým počtem validovaných uživatelů určitě nezanedbatelné množství. V budoucnu bychom rádi využili i další možnosti, které stát v této oblasti nabízí. Aktuálně například analyzujeme možnost využití služby poskytnutí údajů z registru obyvatel třetí osobě. Ministerstvo vnitra zároveň intenzivně pracuje na nové e-občance. Její vlastnictví se tedy logicky nabízí jako další možnost, jak elektronicky prokázat svojí totožnost. No a je třeba nezapomínat na to, že v našem doménovém registru máme spoustu zahraničních držitelů domén. Realizace propojení identitních systémů evropských zemí, tak jak jej definuje nařízení eIDAS, by nám umožnila ověřovat identitu i pro tuto doposud opomíjenou skupinu.

Kategorie:

Evropský měsíc kybernetické bezpečnosti jsme zahájili diskusí u kulatého stolu

St, 10/11/2017 - 10:01

Říjen je Evropským měsícem kybernetické bezpečnosti a po celé Evropě tak probíhají akce, které mají podpořit bezpečnost Internetu. V České republice jsme tento měsíc zahájili v Evropském domě diskusí s odborníky z veřejné správy a průmyslu.

Diskuse byla organizována Národním centrem bezpečnějšího Internetu a to v rámci projektu Safer Internet, jehož jsme partnerem.

Účastníky diskuse uvítal senátor Miroslav Antl. Poté měl úvodní slovo Radek Holý z Národního úřadu pro kybernetickou a informační bezpečnost, který se společně s Pavlem Baštou (Národní bezpečnostní tým CSIRT.CZ), Jonášem Jančaříkem (Evropská komise), Karlem Mackem (Ministerstvo průmyslu a obchodu ČR), Michalem Barboříkem (Ministerstvo vnitra ČR) a dalšími více než 20 odborníky zapojili do diskuse nad aktuálními bezpečnostně kybernetickými tématy.

Všichni účastníci diskuse se jednoznačně shodli na nutnosti aktivního zapojení Ministerstva školství do procesu vzdělávání dětí v oblasti kybernetické bezpečnosti a na tom, že toto zapojení zatím skutečně chybí. Jako velice důležité se proto jeví vzdělávání mimoškolní, které nabízí jak naše akademie, tak televizní seriály Jak na Internet, Nauč tetu na netu, Nebojte se Internetu a další výukové materiály. Jako vhodný zdroj pro vzdělávání veřejnosti v této oblasti byla účastníkům diskuse představena aplikace Hackersgame, která velmi zábavnou formou, zapojení se do kybernetické války, vzdělává hráče v oblasti kybernetické bezpečnosti.

Na závěr této akce se uskutečnila autogramiáda Jana Koloucha autora knihy CyberCrime.

Další akce, které v rámci Evropského měsíce kybernetické bezpečnosti plánujeme realizovat, začínají již tento týden a to seminářem v Českých Budějovicích, v rámci kterého proběhne osm přednášek zaměstnanců sdružení CZ.NIC, především z řad Národního bezpečnostního týmu CSIRT.CZ. Projekt Safer Internet se chystáme představit na poradě ředitelů středních škol, základních speciálních škol, dětských domovů nebo pedagogicko-psychologických poraden, kde zároveň budeme mluvit o evropské reformě ochrany osobních údajů. Krátce na to navážeme přednáškou v kraji Vysočina, která bude na téma řešení nezákonného obsahu na Internetu. V průběhu měsíce dále navštívíme několik základních a středních škol, kde s dětmi budeme hovořit o bezpečném pohybu na Internetu a na to samé téma uspořádáme besedu pro rodiče. Aktivity v rámci kybernetické bezpečnosti zakončíme přednáškou na konferenci Security Fest, organizovanou sdružením CESNET. Do 10. října také probíhá celorepubliková středoškolská soutěž v kybernetické bezpečnosti, do které se mohou zapojit všichni studenti od 15 do 18 let. Více informací na stránkách kybersoutez.cz. I na této akci se podílíme jako partneři.

Přejeme vám bezpečný a klidný měsíc kybernetické bezpečnosti.

Kategorie:

Pexeso: kybernetické vzdělávání hrou a bez počítače

Po, 10/09/2017 - 12:00

Dnešní děti umí přehrát video na tabletu často dříve, než vysloví svoji první větu a herní aplikace jsou u našich nejmenších mnohdy oblíbenější než dřevěné kostky. Při zjištění, že koupě líbivého kloboučku na virtuální panenku odečetla z účtu sumu, která může převyšovat cenu reálného módního doplňku, se pak rodiče začnou zajímat o bezpečnostní nastavení, a co vlastně jejich děti na počítači dělají.

Se zvyšujícím se věkem našich potomků celkem logicky narůstá i množství jejich on-line aktivit. Spolu s registracemi do prvních on-line her přichází vhodný čas na doporučení tvorby bezpečného hesla, s prvním tabletem či počítačem zase dobře míněná rada ohledně nutnosti instalace antiviru a pravidelných aktualizací.

S pozdějším věkem se objevuje otázka, jak děti od mobilů a počítačů odtrhnout a co nejvíce jim zprostředkovat „off-line“ radosti včetně her, které jsme hráli v našem dětství.

Jako alespoň malý příspěvek a inspiraci pro ty, kteří chtějí skloubit vzdělávání v oblasti kybernetické bezpečnosti se zábavou bez počítače, jsme v rámci projektu Safer Internet připravili bezpečnostní pexeso. To obsahuje 32 unikátních obrázků z ruky naší grafičky Anety Biskupové, která kreslí hru Tablexia či komiks „Jak na Internet“. Nejen dětem pak určitě poslouží praktický slovníček, v němž Věra Mikušová jednotlivé pojmy vysvětluje nanejvýš srozumitelně a jazykem, který děti dobře přijímají.

Ostatně, posuďte sami. Jak byste např. svému dítěti vysvětlili, co je to „digitální stopa“. Stačí otevřít slovníček a najít „Pokaždé, když něco napíšeme nebo dáme na Internet, je to jako bychom to nekonečně krát okopírovali a okopírované papíry rozdali lidem na letišti. Lidem, kteří nastoupí do různých letadel a odletí na různá místa. Už se nikdy nedozvíme, kde to, co jsme jim dali je a jak s tím kdo naložil. Když na ty papíry napíšeme naši adresu, může nám zaklepat na dveře úplně cizí člověk a dožadovat se naší pozornosti, protože si bude myslet, že nás zná. Když cokoliv píšeme nebo přidáváme prostřednictvím tabletu, mobilu nebo počítače, měli bychom vždy myslet na to, že už to nikdy z Internetu nevygumujeme. Informace tam zůstanou navždycky a nepomůže ani ten nejsilnější prostředek, kterým tatínek uklízí ty nejzaschlejší skvrny.“

Nebo „phishing“. „Phishing vychází z překladu slova rybaření. Útočník je rybář a uživatelé Internetu jsou rybky. Když náhodou zatoužíme po nějaké potravě, se kterou ještě nemáme žádné zkušenosti, tak bychom vždy měli pečlivě prozkoumat, jestli v ní není náhodou nějaký skrytý háček. Když si nevíme rady, měli bychom se zeptat někoho zkušenějšího. Je potřeba vždy stahovat přílohy jen od lidí a ze stránek, které skutečně známe a kterým důvěřujeme. Také nikdy nesmíme zadávat naše hesla na stránky, které na nás náhodou někde vyskočí. Vždy, když zadáváme své heslo, měli bychom zkontrolovat, zda název stránky nahoře v té bílé řádce, které se říká webová adresa, odpovídá například názvu hračkářství, kde chceme na maminky platební kartu nakupovat dárky pro kamarády.“

Pokud si chcete se svými dětmi v duchu Komenského „školy hrou“ osvěžit pojmy a zásady kybernetické bezpečnosti, můžete si naše pexeso včetně slovníčku stáhnout v PDFku, vytisknout, rozstřihat a začít hrát bez rizika, že někde zanecháte digitální stopu o tom, že máte nízké povědomí o phishingu.

Pro školy či organizace pracující s dětmi pak máme připraveno papírové provedení pexesa na kvalitním kartonu a v krásné krabičce. Pokud o něj máte zájem, napište mi, jak byste pexeso využili při práci s dětmi. Autorům 20 nejlepších návrhů pexeso zašleme.

Kategorie:

Druhá fáze automatizované správy DNSSEC klíčů

Út, 09/26/2017 - 16:11

Na červnové konferenci IT 17 jsme informovali o spuštění nového způsobu správy DNSSEC klíčů v registru domény CZ. Jak je výstižně popsáno v blogpostu Ondřeje Filipa, naším cílem je co nejvíce minimalizovat administrativu spojenou se zavedením DNSSEC pro držitele CZ domén. S využitím nového způsobu správy DNSSEC klíčů stačí, aby správce DNS při použití správného nástroje pouze zapnul DNSSEC, nastavil jeho parametry a o nic víc se nemusí starat. Při startu projektu jsme rozdělili domény do tří skupin – na domény bez DNSSEC, na domény, které jsme novým způsobem převedli do automatizované správy, a na domény, které již DNSSEC nastaven měly.  Na konferenci jsme oznámili spuštění podpory automatizované správy DNSSEC klíčů pro první dvě skupiny domén s tím, že třetí skupinu zapojíme do projektu později. Dnes tedy plníme tento slib a spouštíme druhou fázi se zapojením také zmíněné třetí skupiny domén.

Nový způsob správy DNSSEC klíčů spočívá v aktivním skenování doménového prostoru a vyhledávání CDNSKEY záznamů u domén. Podle standardů RFC 7344 a RFC 8078 je tento záznam signálem, že si držitel domény přeje provést změnu v nastavení DNSSEC. Pokud takový záznam najdeme a jedná se o již zabezpečenou doménu, je autenticita tohoto záznamu ověřena přímo technologií DNSSEC a my provedeme náhradu existujícího klíče za nový. Pokud ještě doména zabezpečená není, informujeme příslušný kontakt, že registrujeme zájem o nastavení DNSSEC a provádíme opakované skenování tohoto záznamu na všech autoritativních DNS serverech TCP protokolem po dobu sedmi dní. Pokud doména úspěšně projde tímto cyklem, zapneme jí DNSSEC vložením požadovaného klíče do registru. Jsme přesvědčeni, že kombinace těchto tří bezpečnostních prvků (informování příslušného kontaktu, skenování po TCP protokolu a nutnost stejného výsledku po dobu sedmi dní) dostatečně potvrzuje autenticitu záznamu i pro nezabezpečené domény.

Hned při startu první fáze jsme do nového způsobu správy převedli 160 domén. Od té doby se nám v systému objevuje zhruba pět nových domén týdně. Celkem bylo před spuštěním druhé fáze zapojeno do automatizované správy 211 domén. V průběhu tohoto období jsme u těchto domén provedli 35 rotací DNSSEC klíčů. Je nám jasné, že ve většině případů se jednalo o experimenty uživatelů, kteří se o tuto technologii zajímají.

Spuštěním druhé fáze jsme rozšířili skenování na všechny delegované domény, tedy včetně těch, které již mají DNSSEC nastaven. V tomto rozšířeném hledání jsme při prvním běhu nalezli CDNSKEY záznam u dalších 346 domén a i u těchto domén jsme provedli odpovídající změnu keysetu. Skenování kompletního doménového prostoru nyní trvá zhruba tři hodiny.

Nedá se asi předpokládat, že se během krátké doby objeví nějaké masivní nasazení tohoto nového způsobu správy DNSSEC klíčů, ale i tak budeme pokračovat ve vysvětlování jeho výhod. Věříme, že se v brzké době objeví také více nástrojů, které budou tuto technologii podporovat. Zatím vede nejjednodušší cesta přes instalaci našeho DNS serveru Knot DNS. Pro držitele domén hostovaných u společnosti Cloudflare pak stačí zapnout DNSSEC v jejich administračním rozhraní.

Vzrůstá také zájem o nasazení této technologie u ostatních doménových registrů. Jelikož jsme první registr, který se na toto pole pustil, odpovídáme stále častěji na dotazy týkající se zvolených postupů a použitých nástrojů. Pokud nebudeme jediný takto fungující registr, začne se, doufejme, podpora nového způsobu správy DNSSEC klíčů šířit mnohem rychleji.

Kategorie:

Testování verzí CMS aneb Co se povedlo a na co si dát příště pozor

Út, 09/26/2017 - 09:35

Testování verzí CMS (Content Management System), ke kterému jsme přistoupili začátkem léta, vzbudilo poměrně značný ohlas v odborné komunitě. Zaznamenali jsme jak hlasy, které naši iniciativu vítaly, tak také ty, kterým z nějakého důvodu vadila. V tomto blogpostu bych chtěl na některé výtky reagovat bližším vysvětlením naší motivace i kroků v pozadí. Byla to naše první zkušenost s podobnou plošnou akcí a je třeba přiznat, že jsme se také dopustili některých přehmatů. I o těch se chci zmínit a omluvit se komunitě za případné negativní dopady, které to mohlo způsobit. Z ohlasů také víme, že některé z vás by zajímalo, jaké byly výsledky této akce. I na ty se tedy podíváme a zkusím také nastínit další věc, která by měla navazovat. Pojďme ale pěkně popořádku.

Od roku 2011 provozujeme naši open-source aplikaci MDM (Malicious Domain Manager). Jejím smyslem je získávat z veřejně dostupných zdrojů informace o napadených webových prezentacích v doméně .CZ. Jedná se o incidenty od umístěné phishingové stránky, až po exploit kit šířící malware.

Jen co se týká malwaru a exploit kitů, jedná se v každém roce o napadené webové prezentace zhruba na dvou tisících doménách a v rámci každého roku to znamená několik desítek tisíc URL, na kterých se můžou uživatelé infikovat škodlivým kódem všeho druhu. Na grafu níže můžete vidět množství stránek podílejících se na šíření malware v jednotlivých letech (propad v roce 2015 je způsoben problémy se systémem a následnou delší výlukou, kdy jsme se rozhodli využít výpadku k provedení změn v systému samotném).

V tomto případě pomíjím phishingové stránky, které na děravých systémech také bývají často spuštěny, a které jsou pro nás samozřejmě také důležité. Nicméně tímto blogpostem bych chtěl reagovat na jednu z častých připomínek, která se týkala především naší motivace řešit jaký, byť děravý systém má na své doméně provozovatel umístěný a pro tento účel je problematika malwaru vhodnější. Ano, to že je věcí provozovatele nějakého systému, zda má všechno bezpečně nastavené, by mohl být argument v případě, kdy chyba systému ohrožuje pouze samotného provozovatele. V prostředí Internetu tomu však tak často není, stačí připomenout relativně nedávné problémy, které vyvolal botnet Mirai postavený na špatně zabezpečených SoHo routerech a IP kamerách. Napadená doména pak může být skvělou adresou třeba pro phishingovou stránku nebo rovnou hostit malware, který ve finále skončí na počítačích uživatelů, kteří navštívili některou z napadených URL a nechali se přesvědčit ke stažení škodlivého kódu nebo prostě neměli všechno záplatované tak, jak by se patřilo a nějaký ten exploit kit toho využil. Takový malware totiž může uživatelův počítač zapojit do botnetu a DDoS spuštěný útočníkem může v konečném důsledku způsobit problémy správci webu, který má na rozdíl od „prvotního hříšníka“ vše v pořádku.

Další zkušenost, která nás k této akci vedla, byla spolupráce s FBI. Ta probíhala několik let a točila se, jak jinak, kolem webových stránek, do kterých po kompromitaci útočník přidal vlastní kód. Ten mu umožňoval z těchto serverů opět pouštět DDoS útoky na jiné weby, obvykle umístěné v USA.

To, že naším prvním cílem byly CMS, je důsledkem jak našich zkušeností, tak také tvrdých čísel, které publikovala společnost Sucuri, z jejíhož výzkumu vyšlo, že ze vzorku 11 000 webových stránek kompromitovaných v roce 2016 bylo 75 procent provozováno na nějaké verzi CMS. Z těchto 75 procent pak 50 procent na verzi neaktuální.

Jako perličku z provozu MDM ještě dodám, že se problémy na řadě domén často opakují. Od spuštění MDM se konkrétně na 1 373 doménách problém opakoval dvakrát, na 417 doménách třikrát a máme i rekordmana, který nám byl nahlášen dvaatřicetkrát.

Již dříve jsme také na tyto problémy reagovali spuštěním služby Skener webu, která je poskytována zdarma, a která má rovněž pomoci zlepšit prostředí webových aplikací v doméně .CZ. V rámci této služby je držitelům domén umožněno zažádat si o test svého webu na nejznámější zranitelnosti. Problematice se tedy věnujeme dlouhodobě a v rámci naší činnosti má svůj postupný vývoj.

Ačkoliv jsme již v minulosti mnohokrát upozorňovali na zranitelnosti, chybné konfigurace, uniklé přihlašovací údaje i neaktuální verze, vždy se jednalo o práci s daty, která nám poskytla třetí strana (Laboratoře CZ.NIC), nebo o data, která jsme našli někde v zákoutích sítě. Namátkou se jednalo např. o upozornění na Industrial Control Systems (ICS), které byly buď neaktuální nebo špatně nakonfigurované, na uniklá hesla k e-mailům uživatelů z ČR (soukromé i firemní), která jsme nalezli na síti, nebo chybně nakonfigurované SoHo routery. V případě CMS jsme se rozhodli jít cestou vlastního skenování a následné distribuce informací.

Příprava celé akce se protáhla, především kvůli počátečnímu zhodnocování některých právních aspektů a následné přípravě právní analýzy, abychom si byli jisti, že vše provedeme v souladu se zákonem. Bohužel výsledkem mnoha různých okolností došlo k tomu, že jsme skenování a následné rozesílání informací o zranitelnostech provedli až v době prázdnin. Nyní už víme, že to nebylo nejšťastnější, neboť to znamenalo velkou zátěž s odpovídáním na vlnu dotazů, kterou jsme tím vyvolali ve chvíli, kdy náš tým nebyl zdaleka kompletní. Nicméně jsme všem uživatelům zvládli odpovědět ve standardním čase a zároveň jsme si trochu zahráli na technickou podporu a kromě obecných dotazů k webovým zranitelnostem a CMS jsme také pomáhali uživatelům konkrétními radami a návody, jak aktualizovat na nové verze. Uvědomujeme si ovšem, že jsme do podobné situace mohli dostat i jiné týmy, kterým se mohli začít ozývat jejich uživatelé s dotazy a že né každý byl na takové množství dotazů v tomto období připravený.

Za naši největší chybu považujeme, že jsme poslali informaci o zastaralém CMS i vlastníkům, jejichž verze byla díky specifickému verzovacímu modelu WordPressu vlastně aktuální. Způsob záplatování jaký WordPress zvolil je poměrně složitý (nezavazují se záplatovat, uvádí, že starší verze mohou ale nemusí záplaty obdržet) a neplatí zde jako v případě CMS Joomla, že bezpečnostní záplaty a aktualizace jsou doručovány vždy pouze nejnovější tzv. major verzi. Pro příště se budeme této oblasti v rámci analýzy věnovat více.

Pokud jde o samotné výsledky, celkem jsme nalezli (po očištění o chybu z předchozího odstavce) 50 761 .CZ domén se zastaralou verzí některého z CMS. Konkrétně to bylo 25 606 starých verzí CMS Joomla a 25 155 zastaralých verzí WordPressu. Změnu k lepšímu jsme při druhé vlně skenování, kdy jsme již skenovali pouze dříve identifikované weby, zaznamenali u 10 514 domén. To je zlepšení u 20,71 %. Část stránek, konkrétně 2 686, také mezitím přestala být dostupná nebo již neposkytuje informace o verzi. Pokud jde o nedostupné weby, domníváme se, že stejně jako jsme to již zaznamenali při podobných akcích dříve, část držitelů doménových jmen měla někde polozapomenutý web a po našem upozornění ho raději vypnula, další mohou být expirace domén, náhodný výpadek serveru, apod. Pro ty, kteří mají rádi grafy, tu máme hned dva; ukazují změny podle jednotlivých verzí – u Joomla vývoj instancí nižších než 3.7 a u WordPressu vývoj instancí nižších než 4.7.5.

Poslední sloupce v obou grafech jsou verze CMS, které jsme zaznamenali při druhém kontrolním testu, kdy došlo k updatu zastaralých CMS na poslední verze a které neexistovaly v době prvního skenu.

S ohledem na uvedené výše, považujeme celou akci za úspěšnou. Dostali jsme mnoho pozitivních ohlasů od oslovených držitelů domén. Samozřejmě nás ale mrzí zmíněné chyby, kterých jsme se při její realizaci dopustili. V každém případě to pro nás bylo velkým ponaučením do případných budoucích preventivních akcí, které bychom jako národní CSIRT prováděli.

Závěrem bych chtěl říci, že se problematice webů chceme věnovat i nadále. Díky našim analýzám informací z MDM, které nám ukazují, kde jsou v případě stránek šířících malware umístěny zdrojové exploit kity a také díky naší spolupráci s projektem Turris, jsme objevili znepokojující problém, na který bychom se chtěli zaměřit. Ukázalo se, že u sledovaných IP adres, na kterých byl s jistotou nasazen exploit kit, dochází u klientů projektu Turris k pokusům o komunikaci. Vzhledem k tomu, že data v MDM pocházejí z veřejných zdrojů, které jsou využívány i prohlížeči k zobrazení varovných hlášení, měli by být uživatelé včas varováni před .CZ stránkami šířícími malware a k pokusu o komunikaci se serverem hostujícím exploit kit by vůbec nemělo dojít. To, že k těmto pokusům dochází, může znamenat dvě věci. Buď uživatelé Turrisu ignorují varovné hlášky a nutí prohlížeč pokračovat na nebezpečnou adresu, nebo existuje určitá část domén, které šíří malware a veřejné databáze o nich nevědí.

Právě na to bychom se chtěli zaměřit při dalším testování, kdy bychom chtěli načíst výchozí stránku na dané doméně a zkusit ji prohledat na patterny, o kterých víme, že mohou být indikátorem kompromitace daných stránek a šíření škodlivého kódu. Budeme rádi, pokud nám v diskuzi řeknete svůj názor, případně zanecháte zpětnou vazbu na akci skenování CMS.

Kategorie:

Reportáž: zajímavá konference Security Case Study

St, 09/20/2017 - 11:38

Polská konference Security Case Study patří už třetím rokem mezi akce reagující na měnící se bezpečnostní klima a hrozbu kyberkriminality. Letos jsme zde sdíleli zkušenosti nejenom z crowdfundingu routerů Turris, ale zejména se sběrem a vyhodnocováním dat o bezpečnostních incidentech. 

Konference je dvoujazyčná (polština, angličtina) a celá řada zajímavých příspěvků byla pouze v polštině, takže bylo možné si pocvičit příbuzný jazyk. Úvodní keynote Richarda Lamba z ICANNu se zastavila zejména u přínosu DNSSEC pro bezpečnost před doménovými útoky a únosy. Tohle je pro našince už skoro stará vesta, česká doména je službou DNSSEC dobře pokrytá a ostatně Česko bylo dáváno za jeden z příkladů, kdy péčí správce domény se DNSSEC rychle rozšířil. Richard Lamb ale připomněl, že službu DNSSEC vnímá jako celkovou příležitost, jak bezpečnost na Internetu zvýšit, protože tato služba může být základem bezpečné komunikace i u dalších služeb, třeba VoIP.

Velká část přednášek se týkala analýzy dat, zejména forenzního šetření důkazů. S velkým zájmem se setkal například Mariusz Litwin z EY se svojí presentací věnovanou forenzní analýze toků bitcoinu. Praní špinavých peněz přes bitcoin se považuje za anonymní, Litwin ale připomněl, že jde jen o pseudonymitu a transakce lze většinou vystopovat. Na zpravidla volně dostupných nástrojích ukazoval klastrování, seskupování plateb a vysledování zdrojových i cílových účtů na případě několika incidentů a upozornil na to, že ani nástroje na „zamíchání“ bitcoinů jako je tumbling a mixing, nejsou úplně bezpečné a jsou otázkou spíše úsilí, které na to chce pátrající osoba vynaložit. 

David Janson z PhisMe se v presentaci The 2017 Phishing Threat Landscape zamýšlel nad budoucností phishingu a ransomware. Poukazoval na zvyšující se „uživatelskou přítulnost“, jíž se snaží jednotlivé ransomware zjednodušit zaplacení požadované částky. Některé koncepty zacházejí až tak daleko, že nabízejí chat jako uživatelskou podporu. „Z ransomware se stává produkt se vším všudy,“ postuluje Janson – oběť má za své peníze dostat zážitek. Zároveň se zvyšuje tlak: útočníci vyhrožují (a naštěstí zatím neplní), že proberou vaše osobní fotky a ty nahé/kompromitující rozešlou všem vašim přátelům a na pornoweby – a další podobné hrozby. Výrazná hrozba a impulsivní možnost zaplacení výpalného spolu s jednoduše kontrolovatelným procesem obnovy zašifrovaných dat je podle Jansona směrem, kam se ransomware v honbě za vyšší výtěžností výpalného posouvá. A připomíná relativní neúspěch ransomware WannaCry, které výrazně uspělo v oblasti rozšíření, ale díky zabudovanému „vypínači“ se mu nepodařilo vylákat z lidí větší částku výkupného. 

Johaness Kaspar Clos z německého CERT-Bundu ukazoval na příkladu botnetové sítě Avalanche, jak vypadá globální řešení rozsáhlého incidentu. Hon na autory Avalanche trval čtyři roky. Avalanche byla několik let frameworkem pro nelegální aktivity včetně ilegálního hostingu, na němž si zájemci mohli pronajímat prostor a výpočetní kapacitu sítě zombie počítačů, nic netušících nakažených počítačů. Vrcholem akce zahrnující mnoho set soudních příkazů, bylo zatýkání třiatřicetiletého Gennady Kapkanova na Ukrajině, které se neobešlo bez téměř filmových scén i střelby. Úspěšnou akci nakonec zhatil soud v ukrajinském městě Poltava, který nařídil kvůli údajně chybně vyplněným dokumentům Kapkanova propustit – a ten již nadále nebyl ve svém bydlišti k zastižení.

Přednáška Roberta Michalskiho ze Symantecu se zaměřovala na technologii Remote browser isolation, technologii Vzdálené izolace browseru. Ke koncovému uživateli se HTML stránka nedostává jako stránka, ale jako obrázek či neaktivní vrstva. Nemůže si tak nevědomky stáhnout do svého počítače škodlivý kód obsažený v různých souborech či přímo ve stránkách. Technologie dnes již tolik pokročila, že lze přehrávat bez potíží i videa na Youtube a používat prakticky všechny weby. Michalski upozorňoval, že přes 80 % útoků dnes přichází právě přes webové stránky, imitací nejrůznějších formulářů od bankovních rozhraní až po webové kancelářské balíky. Zejména pro firemní použití má Vzdálená izolace prohlížeče budoucnost podle Michalskeho před sebou, zatím jde ale její adopce i ve firmní sféře pomaleji, než se čekalo. A ještě jeden zajímavý odkaz k tomuto tématu.

Za projekt Turris jsme posluchače seznamovali nejenom s Turris kampaní na Indiegogo, ale především se způsobem sběru dat a jejich vyhodnocováním. Právě na příkladu Petya i starším bootnetu Mirai jsme mohli ukázat, jak data z jednotlivých routerů Turris na dohledovém centru generují včasné varování několik dní předem, než situace přeroste v globální bezpečnostní incident. Díky spolupráci s týmy CSIRT.CZ a GovCERT.CZ může Česko využívat „systému včasné výstrahy“ a rychleji se zorientovat v útocích. Útočníci ale přicházejí stále s novými metodami, proto jsou některé doposud integrované služby v Turrisu osamostatňovány, aby se mohl rozšířit jejich záběr. To je příklad vytěžování dat o útočnících prostřednictvím honeypotů. Kdysi součást řešení Turrisu se dnes osamostatňuje do podoby Honeypot as a Service (HaaS) a je k dispozici i dalším partnerům. Velikou roli hraje spolupráce, v případě Turrisu pak spolupráce s týmy ČVUT na projektech honeypotů a hackerských pastí pomáhat zachytávat útoky a rychleji odhalovat jejich podstatu.

Podobná setkávání mají pro bezpečnostní komunitu velký smysl. Škála kyberkriminality je stále širší a i sami její pachatelé hledají, jak získat s co nejméně námahy a rizikem největší zisk. Zajímavý postřeh přinesl jeden z kriminalistů v panelové debatě, kde se lidé běžně pozastavovali nad tím, proč počítačový expert raději páchá kyberkriminalitu, než aby se za podobné peníze a s výrazně větším klidem nechal zaměstnat v oboru. Připomněl, že stále ještě existují státy, ze kterých nemůžete vycestovat, kde se nemůžete nechat zaměstnat u západní firmy, aniž byste nebyli terčem útoků, a kde je kyberkriminalita tou méně rizikovou aktivitou, s níž lze s dobrým příjmem zůstat mimo dohled úřadů.

Kategorie:

Nové přírůstky do rodiny uživatelů registračního systému FRED

Čt, 08/17/2017 - 11:01

Náš open source registrační systém FRED se v loňském roce uchytil v Togu, Argentině a Malawi. Zejména Argentina jakožto osmá největší země světa nás hodně potěšila. Argentina je tedy nyní největší doménový registr, který systém FRED kromě nás používá. Jelikož máme informace ze zemí, které náš systém již delší čas testují, bylo pro nás celkem překvapení, když se na začátku letošního roku ozvali z Macaa, že bez problémů zvládli instalaci, migraci a již brzy plánují produkční provoz. Registr domény .MO je tedy první asijská destinace našeho produktu. Krátce poté jsme se dozvěděli o dalším registru v Africe, který zvládl přechod na FRED. Je jím malá země Lesotho používající doménu .LS. Podívejme se na tyto nové přírůstky do komunity uživatelů systému FRED podrobněji.

Malá africká země na pobřeží Guinejského zálivu, Togo, je pro nás trochu záhadou. Ozvali se nám na začátku roku 2016 s informací, že již delší čas používají FRED pro správu domény .TG a že by potřebovali pomoci s vytvořením databázových dotazů, kterými by zjistili nějaké informace z dat uložených v registru. Pár měsíců komunikace fungovala, ale posléze ustala. Z informací od některých dalších afrických partnerů vyplývá, že se v Togu řeší, kdo vlastně bude národní doménu spravovat. Je tak podle nich možné, že lidé, se kterými jsme komunikovali, budou odsunuti na vedlejší kolej. Uvidíme, jak se situace bude vyvíjet, a pokud se to potvrdí, tak Togo z naší mapy nasazení odstraníme.

V dubnu 2016, krátce po IETF v Buenos Aires, nám napsali z argentinského doménového registru NIC Argentina, že se rozhodli použít FRED pro .AR, resp. pro jejich osm domén druhé úrovně (COM.AR, ORG.AR, NET.AR, INT.AR, GOB.AR, MIL.AR, TUR.AR a MUSICA.AR). Příprava systému a migrace jim zabrala zhruba dva měsíce. Argentinská doména byla dlouhou dobu zajímavá tím, že byla úplně zdarma. Před zavedením zpoplatnění v roce 2014 měl registr zhruba dva milióny domén. Zpoplatnění vedlo přirozeně k rychlému úbytku. V době migrace na FRED měl registr přibližně 550 tisíc domén. NIC Argentina aktuálně funguje jako registr, ale zároveň také jako registrátor, přičemž domény je nutné objednat přímo přes jejich webové stránky. Krátce po migraci také kolegové v Argentině zprovoznili protokol RDAP a stali se tak po České republice druhou zemí na světě, která zaregistrovala RDAP server v registru IANA.

Se správcem doménového registru v Malawi jsme naopak byli v kontaktu několik let a přestože jej FRED velice zaujal, finální produkční provoz rozjeli v registru domény .MW až v druhé polovině loňského roku. Oproti Argentině začali v Malawi ihned po spuštění akreditační proces pro registrátory a aktuálně již nabízí své služby prostřednictvím přibližně 15 registrátorů. V registru domény MW je v tuto chvíli něco kolem 10 tisíc domén. Podobně jako v Argentíně mají v Malawi systém několika domén druhé úrovně (AC.MW, CO.MW, COM.MW, COOP.MW, EDU.MW, GOV.MW, INT.MW, NET.MW a ORG.MW). Oproti Argentíně je ale možné registrovat i přímo v doméně .MW.

V malé asijské zemi Macau spravuje národní doménu .MO společnost MONIC. Na zprovoznění systému FRED spolupracovali s jejich partnery z registru .ASIA,  ale i tak je chvályhodné, že se jim povedla migrace bez naší větší podpory. Doména .MO zatím funguje podobně jako Argentina, tedy bez registrátorů. MONIC aktuálně v registru spravuje kolem tří tisíc domén. Zajímavostí bezesporu je, že MONIC používá FRED i pro IDN domény a to v čínštině a portugalštině. Domény je možné registrovat jak přímo v .MO tak v specializovaných doménách druhé úrovně (COM.MO, EDU.MO, NET.MO, ORG.MO, 公司.MO, 教育.MO, 網絡.MO a 組織.MO).

Zatím posledním přírůstkem je registr domény .LS, spravující národní doménu jihoafrického Lesotha. Lesotho je příkladem toho, že komunita kolem registračního systému FRED již funguje téměř bez nás. V rámci partnerství mezi africkými registry pro doménu .LS a .TZ (kde již běží FRED mnoho let) došlo k intenzivní výměně zkušeností a s tanzánskou pomocí se podařilo zprovoznit registrační systém domény .LS bez toho, abychom se my jakkoliv zapojili. V Lesothu je nyní možné registrovat domény pouze na třetí úrovni pod (CO.LS, ORG.LS, GOV.LS a AC.LS) a dohromady mají kolem 1,3 tisíce domén. Aktuálně teprve startuje proces akreditace registrátorů a až se celý proces rozjede, plánují i otevření registrací přímo v doméně .LS.

Kategorie:

Letos jsme uspořádali náš první Kybertábor

St, 08/02/2017 - 10:30

Letní období se, jak už to tak bývá, nese ve znamení dovolených, dobrodružných prázdnin u babiček a dědečků, nejrůznějších výletů a také ve znamení táborů. My jsme se rozhodli nezůstat v této oblasti pozadu a jelikož babiček a dědečků u nás zatím moc není a moře taky nemáme, rozhodli jsme se využít volnějších prostor naší akademie a v rámci projektu Safer Internet uspořádat příměstský Kybertábor.

Ve spolupráci s Domovem dětí a mládeže na Praze 9 jsme už od zimy pilně pracovali na přípravách této oddychové letní akce. Kapacita tábora se naplnila krátce po jeho vyhlášení a my jsme se tak mohli těšit na 21 dětí ve věku od 9 do 15 let.

Jak se následně ukázalo, přihlásila se nám skutečně skvělá parta. Snem většiny našich kybertáborníků byly především pracovní pozice na místě programátorů a vývojářů her. Pokud se alespoň jednomu z nich jejich sen splní, bude možná, i díky nám, za pár let o pár děravých her na trhu méně. Celé dva dny z pěti jsme totiž věnovali kybernetické bezpečnosti.

To už ale přeskakuji pestrý program, který začal v pondělí představením „Internetu věcí“. V úterý jsme naše kybertáborníky seznámili s tím, jak vlastně funguje Internet, jak lépe zabezpečit své zařízení a nechali jsme je vyzkoušet si, jak se nabourat do WiFi sítě.

Ve středu jsme začali odpojením myší od počítačů a děti tak měly díky kolegovi Edvardovi Rejthartovi možnost zjistit, že není zase až tak nepostradatelná, jako si myslely. Program pokračoval tvorbou vlastních gamebooků, tedy knih, jejichž příběh směruje sám čtenář, a která se vytváří v jednoduchém javascriptovém prostředí. Následně jsme si jeden příběh zahráli přímo v prostorách budovy „offline“.

Ve čtvrtek měly děti šanci dozvědět se další velké množství informací o bezpečnosti: síťové bezpečnosti, bezpečnosti bezdrátových sítí, webových aplikací a forenzní bezpečnosti. Ve druhé části dne si pomocí připraveného balíčku aplikací jednotlivé úkoly vyzkoušely sami.

Na páteční program se náš instruktor připravoval více než 12 hodin, a to díky tisku armády robůtků. Děti si potom na připravených 3D tiskárnách tiskly základní geometrické tvary a když získaly trochu těch dovedností, vytiskly si vlastní chobotničku. Mimo to si mohly vyzkoušet, jak funguje 3D Scanner, a než se nám rozbilo 3D pero, stihlo pár účastníků vidět i to :-).

Vše popsané jsou pouze dopolední programy, protože sedět pořád jenom u počítače je nuda, takže během každého odpoledne jsme měli pro děti připravený i venkovní program. Hledali jsme kešky, navštívili jsme „naše“ datacentrum, podívali jsme se na Prahu ze všech stran Žižkovské věže, navštívili jsme Apple muzeum, ve Stromovce jsme hráli QR orienťák a na závěr si vyrobili něco malého na památku.

Kategorie:

Novela Zákona o kybernetické bezpečnosti vstupuje v účinnost

Út, 08/01/2017 - 05:50

Od 1. srpna nabývá účinnost novela zákona č. 181/2014 Sb., zákon o kybernetické bezpečnosti a o změně souvisejících zákonů známá spíš pod názvem Zákon o kybernetické bezpečnosti. Novela v první řadě implementuje směrnici NIS (Směrnice Evropského Parlamentu a Rady EU o opatřeních k zajištění vysoké společn úrovně bezpečnosti sítí a informačních systémů v Unii). O změnách, které tato směrnice přinese, jsme na našem blogu již psali, novela zákona však řeší také nedostatky, které se objevily postupně během uplynulých let, a to v souvislosti s implementací zákona o kybernetické bezpečnosti. Jaké změny nás tedy čekají?

1. Zavádí se nové povinné orgány a osoby
Směrnice NIS stanovuje dva rámce, na které by se měly vztahovat určité povinnosti v oblasti kybernetické bezpečnosti. Jsou to základní služby a digitální služby. Povinné osoby se tedy rozšiřuji o správce a provozovatele informačního systému základní služby (§ 3 písm. f), provozovatele základní služby (§ 3 písm. g) a poskytovatele digitálních služeb (§ 3 písm. h). Provozovatelé základní služby a informační systémy základní služby budou určeny úřadem do 9. listopadu 2018. Co se týče poskytovatelů digitálních služeb tedy on-line tržiště, internetových vyhledávačů a cloud computingu, ty se budou muset určit sami na základě definic daných v zákone.. Pokud však mají poskytovatelé digitálních služeb sídlo v jiném členském státu Evropské unie, daný zákon se na ně nevztahuje. Když ale digitální služby v České republice poskytuje a nemá v Evropské unii sídlo ani zástupce, je povinen ustanovit si v České republice svého zástupce.

Dobrá zpráva pro poskytovatele digitálních služeb, kteří se řadí mezi mikro nebo malé podniky, je, že na ně se daný zákon nevztahuje.

2. Rozšiřují se pravomoci Národního bezpečnostního týmu CSIRT.CZ
Národní bezpečnostní tým CSIRT.CZ bude nově od 1. srpna přijímat hlášení kontaktních údajů také od poskytovatelů digitálních služeb. Neplnění této povinnosti však nebude sankcionovatelné dřív než za rok. Tým CSIRT.CZ bude pro tyto povinné osoby sloužit také jako kontaktní místo a bude jim poskytovat případnou metodickou pomoc.

3. Vzájemná informační povinnost
Zavádí se informační povinnost mezi povinnými osobami, která je popsaná v § 4a. Nově například orgány a osoby, které se staly správci informačních nebo komunikačních systémů kritické informační infrastruktury nebo správci významných informačních systémů, a nejsou provozovateli tohoto systému, jsou povinni neprodleně a prokazatelně informovat provozovatele systému o této skutečnosti a o tom, že se tento provozovatel stal orgánem nebo osobou podle § 3 písm. c), d) nebo e). Zjednodušeně lze říci, že se zavádí informační povinnosti mezi správci a provozovateli vybraných informačních systémů. Často se totiž stává, že správce a provozovatel (ten, kdo zajišťuje funkčnost systému) jsou různé osoby a provozovatel nemusí vědět, že provozuje systém, který byl označen jako kritický.

4. Mění se smluvní vztahy s poskytovateli cloud computingu
Tato poměrně zásadní změna se týká smluv mezi poskytovateli cloud computingu a orgány veřejné moci, které jsou povinnými osobami. V § 4 odstavci 5 – 7 se nově popisuje, co všechno by dané smlouvy měly obsahovat. Pokud smluvní vztahy neodpovídají novému předpisu, povinné osoby mají rok na to, aby dané smlouvy upravili.

5. Vzniká nový úřad
Nový úřad bude mít sídlo v Brně a stane se kontaktním místem pro oblast kybernetické bezpečnosti také pro zahraničí. Název úřadu bude Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Od 1. srpna budou všechny změny přehledně k dispozici v rámci metodického manuálu, který najdete zde. Na závěr ještě doplním, že této „velké“ novele zákona předcházela „malá“ novela, která vstoupila v účinnost 1. července tohoto roku. Změny „malé“ novely najdete zde.

Kategorie:

Česká republika dosáhla významného zlepšení v mezinárodním srovnání připravenosti na kybernetické útoky

Po, 07/31/2017 - 10:30

Česká republika dosáhla v nedávné době dvou významných úspěchů v mezinárodních srovnáních v oblasti kybernetické bezpečnosti. Podle National Cyber Security Index se umístila na 1. místě. V hodnocení OSN (ITU) jsme se pak zlepšili o min. 6 příček. Zatímco v roce 2015 jsme v tzv. Global Cybersecurity Index obsadili sdílenou 41. až 43. příčku, letos jsme se posunuli na 35. místo.

Mezinárodní srovnání (tzv. benchmarking) připravenosti a vyspělosti jednotlivých zemí v oblasti kybernetické bezpečnosti je založeno především na hodnocení oblastí jako je legislativa, organizační kapacity či mezinárodní spolupráce.

Jak srovnání OSN, na jehož vyplnění jsem se za ČR podílel, tak estonský projekt National Cyber Security Index (NCSI), hodnotí např. existenci národní strategie pro oblast kybernetické bezpečnosti a její implementaci, právní postižitelnost jednání kybernetické trestné činnosti včetně ratifikace mezinárodní Úmluvy o kybernetické kriminalitě. Mezi další kritéria společná pro oba zmíněné benchmarky patří existence vzdělávacích programů (curricula) na jednotlivých stupních škol či realizace osvětových aktivit. Samozřejmostí je pak funkční národní a vládní pracoviště CERT.

Umístění České republiky v NCSI

Ke zlepšení hodnocení České republiky v oblasti kybernetické bezpečnosti významně přispělo i sdružení CZ.NIC. Vedle fungování vlastního Národního bezpečnostního týmu CSIRT.CZ byly výslovně oceněny např. novinky Aktuálně z bezpečnosti (AZB). Estonský projekt samozřejmě oceňuje i aktivity Národního bezpečnostního úřadu a vládního pracoviště CERT.

V hodnocení OSN realizovaném Mezinárodní telekomunikační unií (ITU) si oproti roku 2015 Česká republika zlepšila skóre z 0,500 bodu na 0,609, což znamenalo posun o min. šest příček na 35. místo. V rámci tohoto hodnocení jsme získali cenné body např. i za projekt bezpečnostního routeru Turris, aktivní podporu zakládání CSIRT týmů nebo kurzů pořádaných Akademií CZ.NIC.

Rozdílné umístění v obou žebříčcích bylo způsobeno především nižším počtem států zahrnutých do estonského projektu (pouze 26 zemí). Dle ITU nejlepší Singapur, druhé USA či třetí Malajsie v estonském projektu nefigurovaly.

Svoji roli ve výsledcích představovala i metodologie a mnohem širší a podrobnější otázky řešené ITU. Obě srovnání však potvrzují pozitivní trend připravenosti na kybernetické útoky, který potvrdilo i cvičení Locked Shields, v rámci kterého byl nejlepší český tým. Jeho součástí byli i dva zástupci Národního bezpečnostního týmu CSIRT.CZ.

Kategorie:

IETF 99 v číslech

St, 07/26/2017 - 21:45

Minulý týden se díky konferenci IETF (Internet Engineering Task Force) stala Praha centrem internetové komunity. Pocty hostit toto významné setkání, na kterém vznikají internetové standardy, tzv. RFC (RFC – Request for Comments) se České republice dostalo již po čtvrté – v březnu 2007 (68th IETF), 2011 (80th IETF) a červenci 2015 (93th IETF), přičemž na organizaci posledních třech setkání se podílelo naše sdružení.

Praha je pro IETF nejoblíbenější evropskou destinací. Další lokality (Berlín, Londýn, Paříž a Stockholm) zatím hostily pouze po dvou setkáních. V Praze se přitom na další konferenci této organizace můžeme těšit na jaře 2019.

Autor: Glenn Deen, Comcast NBC Universal

Stejně jako před dvěma lety jsem se i tentokrát rozhodl ukázat, jaké bylo 99th IETF v číslech a grafech. Na setkání letos fyzicky dorazilo celkem 1 230 účastníků, z nichž někteří vzali do Prahy své drahé polovičky či potomky. Dalších 506 účastníků pak bylo na setkání přítomno virtuálně (remote participants).

Celkem se na pražské IETF sjeli lidé z 59 zemí, nejvíce z USA (453), Německa (116) a Číny (95). Z celkem 16 zemí, např. Bangladéše, afrického Lesotha či Venezuely k nám dorazil po jednom účastníkovi. Za nejvíce exotické území, ze kterého do Prahy přijel také jeden účastník, považuji Menší odlehlé ostrovy Spojených států amerických (UM).

Poslední graf znázorňuje, jaký den se návštěvníci na IETF registrovali. Celkem logicky se rekordmanem stala neděle 16. července. Kdyby měli všichni návštěvníci přiletět do Prahy jedním letadlem, největší dopravní letadlo A380 by jim nestačilo.

Kategorie: