Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 34 min 12 sek zpět

Těžba kryptoměn v péči CSIRT.CZ

Pá, 02/23/2018 - 14:42

Minulý týden jsme byli upozorněni, že zadáme-li do vyhledávače kouzelná slůvka `intitle:“var miner = new CoinHive“ site:cz`, dostaneme stovky stránek, na nichž se těží kryptoměna. Skutečně, zdálo se, že se nám pod rukama rozdmýchává epidemie zlaté horečky.

Stáli jsme před otázkou, zda jsou majitelé domén oběťmi malwaru, či zda provozovatelé webů těžební kód umístili do svých stránek záměrně. Neřešme nyní, zda umístit bez vědomí návštěvníků do stránek těžební kód jako alternativu reklamy, jak se o tom poslední dobou v každém elektroničtějším kuloáru rokuje, je etické čili nic; CSIRT.CZ nemá rozhodovací pravomoc.

Máme začít majitele stránek informovat? Není naším záměrem plnit někomu e-mailovou schránku zbytečně. Pohled do seznamu stránek však stačil. Dobrovolný sbor hasičů, stavební společnost a prodejce podlah, poradna životního stylu… to nejsou provozovatelé, kteří vypadají na to, že by se vezli na špici módní těžební vlny a na své stránky kód umístili vědomě. Letmá kontrola a hraní si s vyhledávacími operátory navíc brzy ukázalo, že vytížené procesory plní peněženku téhož šťastlivce darebáka.

Další šetření pak přineslo docela jiné překvapení: přestože Google ze začátku uváděl 972 napadených stránek, když jsme se pokusili přejít na čtvrtou stránku výsledku (počítejme na stránku 10 výsledků), zjistili jsme, že stránek je k dispozici pouze 39. Přičemž se ale nabízelo klepnout na nápis „zopakovat vyhledávání a zobrazit i vynechané výsledky“. Po zobrazení vynechaných výsledků Google uváděl 963 jako celkové číslo, ale když jsme došli k šestistému výsledku, oznámil, že čtyři výsledky byly vynechané z důvodu jistého zákona a seznam skončil, jako když utne. … nepátral jsem na blozích společnosti Alphabet o důvodech nekonzistence, naopak jsem vděčně přijal fakt, že stránek je jenom několik. Tedy žádná revoluční epidemie! Mohl jsem tak seznam domén z vyhledávače vytáhnout jednorázově přímo přes DOM ve webovém prohlížeči.

Následně jsme na pravděpodobnou kompromitaci stránek upozornili provozovatele 35 domén a zaznamenali jednu kladnou a čtyřiatřicet žádných reakcí.

Během následujících dnů však těžební kód ze stránek mizel a byl dostupný pouze z archivu vyhledávače; situaci jsme monitorovali.

Pokud by stránky raketově přibývaly, bylo by nasnadě začít je vyhledávat proaktivně a automaticky nebo najít spolehlivý zdroj seznamu domén používajících kryptotěžbu. Brát je z ručního vyhledávání Google je časově náročné, Custom Search API je velmi omezeno a pro tento případ se spíše nehodí (nelze příjemně filtrovat nové výsledky anebo žádat jediný výsledek per doména). Raketový start se však nekonal. Stránky se postupně rozrůstaly o několik stovek, nyní se jejich počet sešplhal na 1200. Pro představu: při použití filtru na Slovenskou republiku dostáváme počet 13200 stránek; bez filtru pak celosvětově 17500. Jak velí přílivové vlny v hloubi indexu Googlu, počet stránek se mění, počet domén ale víceméně zůstává; přibyla jen jedna nová. Navíc se ukázalo, že se nejedná o novou nákazu, ale o projekt běžící možná už celý rok.

Byť jsme dostali zprávu, že některé antiviry označují stránky jako nebezpečné, podobně jako v případě útoku typu defacement, kdy útočník pouze změní vzhled stránky, ale nezanechá žádný malware, ani těžební kód není sám o sobě malwarem – pouze ukazuje na vysokou pravděpodobnost toho, že stránka byla kompromitována.

Měli jsme hypotézu, že všechny stránky využívají WordPress a můžeme možná vypátrat a opravit zranitelný plugin; měli jsme hypotézu, že všechny stránky pocházejí od jednoho slovenského webhostera. Ani jedno se ale nepodařilo prokázat. Způsob útoku a obsah nákazy bývají dvě nezávislé věci a v tomto případě tomu dle mne nebylo jinak.

Postupujme jako v případě jakékoli jiné nákazy; zlikvidovat veškerý cizí kód, vyměnit hesla, zkusit zjistit, odkud nákaza přišla – a nejlépe podělit se s komunitou.

Kategorie:

Novinky v projektu PROKI

St, 02/21/2018 - 05:20

Pro Národní bezpečnostní tým CSIRT.CZ je projekt PROKI jedním z největších projektů, na kterém jsme dosud pracovali. V roce 2018 vstupujeme do třetího roku tohoto projektu a je třeba říci, že i když jsme v minulém roce mnoho věcí zlepšili, určitě budeme mít na čem pracovat také v letošním roce.

Projekt jsme představili již před několika lety i zde na blogu. Co se nezměnilo je architektura projektu. Systém PROKI je navržen jako soubor mikroslužeb běžících samostatně v kontejnerech Docker. Systém je tak mnohem jednodušší vyvíjet, udržovat, je odolnější proti chybám a navíc je velice jednoduše přenositelný. Každá služba je pak v rámci PROKI provozována právě jako jeden kontejner. Jednou z nejdůležitějších, ale zároveň také asi i nejsložitějších částí projektu je IntelMQ. Jde o řešení pro shromažďování a zpracování různých datových zdrojů. Toto řešení bylo vyvinuto (a je stále rozvíjeno) rakouským národním týmem a ve značné míře je využíváno také jinými týmy. Potom, co jsme začali rozesílat výstupy z projektu do koncových sítí, jsme právě na základě zpětné vazby některé datové zdroje odebrali a některé naopak přidali. Pro ty, které jsme přidali, jsme pak museli také vyvinou vlastní komponentu.

Největší viditelná změna v projektu nastala v minulém roce na podzim, kdy jsme po první ověřovací fázi s několika subjekty začali zasílat výstupy do koncových sítí. Výstupy jsou zasílané jednou týdně (ve středu) subjektům, který mají v rámci RIPE NCC přidělený IP rozsah. Report je do koncové sítě automaticky zaslán v případě, kdy se aspoň jedna IP adresa z daného rozsahu objeví v jednom ze sbíraných datových zdrojů. Každý týden tak rozešleme do koncových sítí kolem 500 e-mailů, přičemž v jednom reportu se nachází od jednoho do desítky záznamů. Může jít o adresy připojené k některému ze známých botnetů, adresy, ze kterých se šířil malware, o otevřené resolvery a podobně. Na základě zpětné vazby jsme také například upravili formát zasílaného výstupu tak, aby se správně zobrazoval v obou hlavních tabulkových procesorech LibreOffice i Microsoft Excel. Příjemci, kteří preferují používání právě tabulkových procesorů a manuální zpracování událostí před strojovým, přečtou informaci hned, aniž je musí dekódovat z base64, jako tomu bylo v minulosti. Co se týče rozesílaní zpráv, kontejner e-mailového systému starající se o odeslání reportů byl překonfigurován a nově postaven na e-mailovém systému Postfix. V tomto případě jsme nasadili DKIM, což je nástroj umožňující elektronicky podepsat hlavičky odcházejících e-mailů. DKIM tedy umožňuje, aby příjemce mohl zjistit, zda e-mail skutečně pochází ze zdroje, který je uveden jako adresa odesílatele. Kromě DKIM byla provedena také implementace SPF na místních DNS serverech. SPF neboli Sender Policy Framework je e-mailový validační systém sloužící jako obrana proti spamu. Ke zvýšení důvěryhodnosti zasílaných e-mailových reportů jsme letos přidali ještě podepisování e-mailů PGP klíčem.

Další významnou změnou je možnost selektivního odhlášení subjektů. To je prozatím v poloautomatickém procesu – ručním zařazení do filtru na základě požadavků příjemců zprav. V rámci již dříve vyvinuté komponenty Custom Filter je možné vyřadit daný subjekt na základě více kritérií: vyřadit ho na základě abuse kontaktu, vyřadit pouze specifické IP adresy (například adresy patřící do honeypotů), či zrušit odebíraní specifických zdrojů.

Téměř všechny z uvedených změn byly dělány na základě zpětné vazby od příjemců reportů. Za zpětnou vazbu jim tímto chceme poděkovat. Na projektu je však stále mnoho práce, takže vás o tom, jak postupujeme, budeme i nadále informovat.

Kategorie:

Upgrade .cz DNS aneb Zákulisí příprav a realizace – část druhá

Út, 02/20/2018 - 10:51

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. Hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje stále více. Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“.

ISP stacky a jejich nasazení

V minulém díle seriálu o posilování DNS infrastruktury jsem se zmínil o různých konfiguracích DNS stacků a jejich plánovaných použití. Speciální variantou je ISP DNS stack, uvažovaný jako doplněk k velkým uzlům v České republice, a představuje tak další možnosti rozšiřování DNS infrastruktury. Toto řešení již provozuje např. SIDN.NL, správce nizozemské domény .NL.

Jak se liší ISP DNS stack od ostatních variant? ISP DNS stack je umístěn přímo v interní síti poskytovatele internetového připojení (dále jen „ISP“) v České republice a do této sítě propaguje DNS anycast prefix/y. Vyhrazujeme si právo definovat, který anycast prefix bude využit a současně jej v průběhu času změnit za jiný. ISP však nemá povoleno tento prefix propagovat dále do svých upstreamů nebo svým peerům. ISP DNS stack je primárně určen těm subjektům, kteří poskytují internetové služby (nebo jsou správci obsahu) většímu množství zákazníků a jsou tedy z našeho pohledu významnými konzumenty DNS provozu.

Výhodou umístění tohoto DNS stacku v síti ISP je plná dostupnost .CZ zóny a to i v případě DDoS útoků proti veřejným autoritativním DNS serverům. Vzhledem k principu DNS anycastu umístění ISP DNS stacku v interní síti ISP zvyšuje propustnost dotazů a zrychluje jejich odezvy.

Navrhli jsme 2 varianty ISP DNS stacků

Schema zapojení obou variant

Pro některé ISP je dostatečným řešením varianta ISP mini, tedy jeden server, který je schopen obsloužit přibližně 100 milionů DNS požadavků za den. Pokud ISP provozuje svoji síť ve více datacentrech, doporučujeme umístit tuto DNS instanci do každého z nich. V případě vyššího objemu DNS požadavků pak nabízíme variantu s pěti servery, které dokáží odbavit právě trojnásobek DNS provozu. Tato varianta je v podstatě Malý DNS stack, pouze s jedním 10G portem.

Jak to funguje v praxi? O správu ISP DNS stacku se staráme výhradně my a to ve smyslu provozu operačního systému a všech na něm běžících služeb, včetně monitoringu. ISP zajišťuje nákup, provoz a umístění HW ve vlastní síti, konektivity do Internetu včetně potřebných IP rozsahů a nastavení BGP sessions. Společně s požadavky na provoz DNS uzlu doporučujeme konkrétní řadu serveru/ů a také kompletní HW konfiguraci. Je samozřejmostí, že šifrujeme pevné disky, aby nedošlo fyzickým přístupem a nebo v rámci výměny disku k úniku dat.

SLA domlouváme v rozsahu NBD a to ve smyslu řešení problémů s provozem operačního systému a poskytování DNS služeb. Tuto službu chápeme pro daného ISP jako doplňkovou a tedy výpadek uzlu neznamená v žádném případě nefunkčnost DNS služeb. DNS požadavky budou automaticky směrovány na naše DNS anycast servery. Z tohoto pohledu uvažujeme tento model podpory jako dostatečný.

První společnosti, které hostují ISP DNS Stack, jsou Seznam.cz a Vodafone. Objem DNS požadavků za sekundu v uplynulém měsíci ukazuje přiložený graf.

V následujících dílech se můžete těšit na praktické zkušenosti s realizací prvního Velkého DNS stacku v České republice.

3. díl: První Velký stack – výběrové řízení, nákupy hardware a logistika
4. díl: První Velký stack – příprava zázemí
5. díl: První Velký stack – instalace, testování a nasazení do provozu
6. díl: První Velký stack – závěr a zkušenosti z provozu

Kategorie:

Přivítejte HaaS

Po, 02/19/2018 - 11:35

Přesněji, přivítat jste ho mohli v říjnu loňského roku, kdy jsme spustili jeho beta verzi. Z počátku jsme nechávali volnou registraci a ladili první nedostatky, zátěžovou zkouškou pak bylo přesunutí všech uživatelů routerů Turris. Veškeré problémy a připomínky jsme vyřešili a nic nebránilo tomu spustit ostrý provoz služby HaaS nebo-li Honeypot as a Service.

Co to vlastně HaaS je a k čemu slouží? Honeypot je speciální aplikace, která simuluje operační systém a dovoluje potenciálnímu útočníkovi se přihlásit přes SSH do koncového zařízení a provést libovolné příkazy nebo třeba stáhnout malware. Nainstalovat si takovou aplikaci není jednoduché a pokud se v ní objeví chyby, může být i nebezpečná. Proto jsme se rozhodli vzít bezpečnostní riziko na sebe a zpřístupnit honeypot jako veřejnou službu, na kterou mohou uživatelé Internetu přesměrovat útoky vedené na jejich routery.

Moc rádi bychom řekli, že stačí na vašem routeru či serveru povolit port 22 a přesměrovat na naše servery, ale není tomu tak. Snažili jsme se však o co nejjednodušší řešení, co se instalace a vývoje týče. Věřte, že jsme minimálně měsíc strávili pouze výběrem proxy, která musí u uživatelů běžet. K čemu proxy je? Pouze k jednomu malému, ale velmi důležitému detailu. Abychom znali IP adresu útočníka, která slouží k následné analýze chování útočníků s cílem odhalení nových, dosud neznámých útoků.

Dobrá zpráva je, že i přes krátkou dobu provozu a porodní bolesti máme hodně dat. S přírůstkem deset tisíc SSH sessions za hodinu, v takto malém počtu uživatelů (aktuálně 1 600 aktivních uživatelů), budeme brzy řešit zajímavé úlohy, jak všechna data stihnout analyzovat. Uděláme pro to maximum, protože botnety volající rm -rf jako první příkaz nás děsí a je třeba s nimi zatočit.

Nasbíraná data využívá Národní bezpečnostní tým CSIRT.CZ pro zkoumání útoků z českých IP adres, o čemž jsou pak majitelé informování a hlavně vyzváni k nápravě. Největší počet útoků pochází z Číny, proto již spolupracujeme s Taiwanem, aby i u nich mohli zasáhnout. Na spolupráci s dalšími bezpečnostními týmy se pracuje.

Pokud se chcete do projektu zapojit, můžete tak učinit na stránkách haas.nic.cz, kde se zaregistrujete a dle pokynů nainstalujete HaaS proxy (dostupné jako deb a rpm balíček, na PyPI nebo jen tar). V případě zájmu o analýzu dat jsou anonymizovaná data dostupná na stránce s globálními statistiky. Chybí v nich úmyslně použitá hesla, protože jsme zaznamenali nejeden případ, při kterém se uživatel omylem dostal do svého vlastního honeypotu.

Kategorie:

Naše projekty zněly Evropským parlamentem

Po, 02/19/2018 - 11:25

Na začátku února, kdy se Evropský parlament přesunul na své každoměsíční týdenní zasedání z Bruselu do Štrasburku, jsme dostali šanci představit vybraným europoslancům naše sdružení i některé z projektů, a to hned na dvou setkáních.

Snídaně ke kybernetické bezpečnosti

První příležitostí byla pracovní snídaně pořádaná Evženem Tošenovským, který se jako bývalý informatik, rozhodl především české poslance seznámit s aktuálními otázkami kybernetické bezpečnosti, hlavně s tzv. kyber-bezpečnostním balíčkem, který se právě dostává na pořad dne v Evropském parlamentu.

Na začátku představilo vedení NÚKIB činnost svého úřadu i zákon o kybernetické bezpečnosti. Ten položil základy koncepce kybernetické bezpečnosti, jež se teprve následně odrazily např. v evropské Směrnici NIS schválené až dva roky po přijetí českého zákona. Díky tomu, že spolupráce mezi národním CSIRT provozovaným CZ.NIC a vládním CERT začala takto brzy, nemusí nyní Česká republika následovat smutný osud některých zemí střední a východní Evropy, např. Polska, Slovenska či Maďarska, ve kterých došlo i k rozpadu zavedených týmů a komplikovanému nastavování pravomocí mezi státním a soukromým sektorem.

S europoslancem Evženem Tošenovským, Dušanem Navrátilem – ředitelem NÚKIB a jeho náměstek v průběhu snídaně

Po prezentaci zástupců vládního CERT jsem stručně představil jak CZ.NIC, tak naše bezpečnostní projekty. Zde bylo mnoho europoslanců příjemně překvapeno např. informací o celosvětovém podílu routovacího démona BIRD, který je nasazen již ve více než dvou třetinách peeringových uzlů (IXP) nebo o úspěchu již zmíněného routeru Turris na crowdsourcingovém portálu Indiegogo, kde se podařilo vybrat celkem více než 1 mil. USD. Do třetice pak české europoslance zaujal projekt FENIX, díky kterému má nyní Česká republika nejvíce týmů uznávaných mezinárodní organizací TF-CSIRT.

Během diskuze se europoslanci zajímali především o názor k legislativnímu návrhu certifikace IT produktů, ke kterému obecně zaznívá mnoho kritiky. Za mě tento návrh, diplomaticky řečeno, nepřináší téměř žádnou přidanou hodnotu a celkem zbytečně se snaží regulovat oblast, která je min. v soukromém sektoru založena na důvěře k danému produktu a jeho tvůrci. Současný systém certifikace zároveň dává potvrzení vždy jen na konkrétní typ či kus výrobku a v případě např. softwarových aktualizací je časově, ale i finančně, nemožné nechat ověřovat každou verzi. Na to, že ani certifikace pak nezaručí bezpečnost konkrétního výrobku, ostatně ukázala i celkem nedávná zranitelnost ROCA, která mj. postihla estonské a slovenské elektronické občanky.

Den bezpečnějšího Internetu

Zatímco kolegové oslavovali mezinárodní Den bezpečnějšího Internetu připadající na 6. února v Praze a diskutovali vliv GDPR na používání služeb ze strany dětí (více v blogpostu kolegyně Věry Mikušové), účastnil jsem se ve Štrasburku oslav a spuštění kampaně Saferinternet4EU, kde jsem měl po prezentaci pro české poslance možnost na širším plénu spolu se zástupci z Belgie, Lucemburska, Německa či Rakouska představit naše osvětové aktivity zaměřené na děti.

Svých „pět minut slávy“ jsem věnoval především seriálu a komiksu Jak na Internet a bezpečnostnímu pexesu, které sklidilo ve Štrasburku velký úspěch a zalíbilo se i eurokomisařce Mariya Gabriel, která si hned jednu krabičku odnesla.

Mariya Gabriel s naším bezpečnostním pexesem

Její kolegyně, česká eurokomisařka Věra Jourová, v souvislosti s výzvami spojenými s používáním nových technologií, vyslovila obdiv všem dětem, které se zapojují do boje za bezpečnější Internet a na závěr celkem dojemně uvedla, že by nechtěla být dnes dítětem, které musí čelit nejrůznějším nástrahám spojeným s používáním moderních technologií.

Společná fotka z eurokomisařkou Věrou Jourovou, Mariya Gabriel a europoslanci

Kategorie:

Tak jim ty Internety zakážeme!

Po, 02/19/2018 - 11:20

České děti, kterým je méně než 13 let a používají Facebook nebo Instagram, dělí od doby, než začnou tímto jednáním porušovat zákon, necelé čtyři měsíce. Situace je o to kurióznější, že pokud do května tohoto roku nedojde ke schválení návrhu zákona, který stanoví hranici pro využívání služeb informační společnosti na 13 let, bude od tohoto měsíce nezákonně jednat každá osoba od 13 do 16 let, které nedají rodiče souhlas k využívání nejen zmíněných sociálních sítí. Této problematice se na našem blogu již věnoval kolega Jiří Průša. Ale pojďme dále.

Část odborné veřejnosti, někdy i samotné děti, toto omezení schvalují: „Děti si zaslouží zvláštní ochranu, protože jsou si v menší míře vědomy rizik a důsledků v souvislosti se zpracováním osobních údajů.“ Pro mě osobně tato argumentace však znamená spíše toto: „Neumíme naše děti naučit bezpečnému pohybu na Internetu a přemýšlet o něm, ony jsou kvůli tomu snadno zmanipulovatelné a proto je lepší jim využívání některých služeb úplně zakázat.“ Namísto toho, aby se tak naše děti již od mala učily jednat s rozmyslem, učí se, že pokud se někde mohou setkat s problémy, je lepší se tomu vyhnout. To je z mého pohledu velmi zjednodušené řešení, které ještě navíc postaví slušné děti, které jinak ctí a respektují pravidla, do situace, kdy mohou začít přemýšlet o nějaké cestě, jak obejít samotný zákon, a to jen kvůli tomu, aby si mohly zachovat svůj oblíbený a několik let udržovaný účet na sociální síti.

V rámci Dne bezpečnějšího Internetu proběhla v Evropském domě diskuse na toto téma nejen mezi odborníky, ale i mezi samotnými dětmi z České republiky, Nizozemska, Chorvatska, Kypru a Slovenska. Děti, které využívají sociální sítě pro usnadnění komunikace, vzdělávání a uváženou sebeprezentaci, si myslí, že věk 13 let je naprosto dostačující. Zvýšená míra zákazů ze strany rodičů některým dětem přijde demotivující a cítí, že ztrácejí vlastní prostor, ve kterém se mohou samostatně rozvíjet a realizovat. Tento pocit může některé děti brzdit v touze osamostatnit se a určit si svou vlastní životní cestu. Na základě diskuzí s dětmi vyzývají zástupci projektu Safer Internet vládu, aby urychlila přijetí zákona, který stanoví věkový limit na 13 let, a nedošlo tak k paradoxní situaci, kdy se děti od května nebudou muset ptát rodičů, zda mohou mít pohlavní styk, ale budou muset přijít s prosíkem, když si budou chtít založit účet na Facebooku.

Co se týká argumentace o rozumové, mravní a citové vyspělosti třináctiletých dětí, řešením zde by podle mého názoru měla být osvěta a vzdělávání namísto omezování a zákazů.

Bohužel je pravda, že by si možná naše školství muselo pospíšit s implementací nového obsahu výuky informatiky a informatického myšlení do základních a středních škol, ale hlavně a především také učinit radikální změny ve vzdělávání samotných pedagogů, aby sociální sítě mohly přestat zdobit podobné perličky:

Kromě diskuse v Evropském domě ve stejný den proběhla ještě konference Krajů pro bezpečný Internet, kde ve svém příspěvku Děti v kyberprostoru, velmi fundovaně hovořila magistra Michaela Štáfková z centra adiktologie. V rámci příspěvku, který byl zaměřený na praktické zkušenosti s klienty závislými na některých službách spojených s Internetem, několikrát zmínila, že problémem nejsou samotné technologie, ale neschopnost dospělých mluvit s dětmi o tomto zcela novém životním stylu, který nikdo z nás ještě v průběhu dětství nezažil.

Během setkání byla otevřena i problematika sledování pornografie dětmi. I přesto, že je zpřístupnění pornografie dětem trestným činem, do centra dorostové ambulance ve Zlíně dochází několik klientů, kteří jsou na pornografii zcela prokazatelně závislí. Tito klienti jsou ve věku od 11 do 16 let. Vedoucí dorostové ambulance vyzvala prostřednictvím svého příspěvku dospělé, aby byli stateční a nebáli se s dětmi o pornografii mluvit. Za projekt Safer Internet se k této výzvě také přidáváme a zároveň žádáme rodiče a dospělé, aby méně zakazovali a věnovali se více osvětě a vzdělávání v této oblasti. Protože právě daný zákaz může být tím největším rizikem, o čemž ví své zakladatelka nadace The Breck Foundation Lorin LaFave, jež i kvůli přísnému zákazu a neochotě pedagogických pracovníků řešit problematiku podezřelého jednání na Internetu, přišla o svého syna. Lorin by dle svého tvrzení podobný zákaz již nikdy neopakovala. Pokud se i díky komunikaci s dětmi rodiče dozví o nějakých nebezpečných aktivitách na Internetu, mohou využít naši linku STOPonline.cz.

Abych článek zakončila optimisticky, přikládám fotografii z ocenění vítězů celostátní soutěže Kvíz plus, ve kterém některé děti prokázaly úžasné porozumění problematice Internetu věcí a vlastní snahu a motivaci se učit a zdokonalovat v oblasti informačních technologií. Do soutěže se zapojilo 31 000 dětí z celé České republiky a nejúspěšnější z nich byly oceněni právě u příležitosti Dne bezpečnějšího Internetu přímo v prostorách Krajského úřadu Středočeského kraje.

Kategorie:

Upgrade .cz DNS aneb Zákulisí příprav a realizace – část první

St, 01/31/2018 - 09:55
Koncept DNS stacků a motivace celého projektu

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. DNS provoz v .cz doméně roste každoročně cca o 10%, ale hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje daleko více. Nová DNS infrastruktura by měla být schopna čelit těmto útokům takovým způsobem, aby nezablokovala regulérní provoz a poskytla dostatek času a možností zdroje útoků najít a eliminovat.

Teoretické maximum provozu, které měla DNS infrastruktura před upgradem bylo cca 20 mil. dotazů za sekundu (QPS) a cca 60 Gbps provozu. Po dokončení upgrade chceme docílit maxima provozu vyššího než 100 mil. dotazů za sekundu a 200 Gbps provozu.

Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“. Koncept DNS stacků vychází z konceptu kořenových DNS serverů. Při návrhu jsme využili také například zkušenosti a znalosti z provozu instance L-ROOT serveru (ve skutečnosti třiceti serverů v racku) hostovaného v naší síti.

Navrhli jsme 4 varianty DNS stacků

Schema zapojení nejčastějších variant

Velké DNS stacky nyní uvažujeme provozovat dva, oba v České republice a umístěné v datacentrech v Praze. Samozřejmostí je mít oba DNS stacky zapojené do peeringového uzlu NIX.CZ rychlostí 1x 100 Gbps. Pro takto robustní řešení budeme používat HW typ routeru, pro každý stack od jiného výrobce.

Střední variantu jsme původně zamýšleli umístit do zahraničí v rámci kontinentů – 1 do Severní Ameriky, 1 do západní Evropy a 1 do Asie. Vzhledem k finanční náročnosti a logistice zařízení do cílových datacenter tuto variantu zatím nebudeme realizovat. Evropské lokality, kde v současné době provozujeme uzly DNS anycastu, a které jsou významné z pohledu velikosti DNS provozu (UK, Německo, Rakousko), však budeme postupně vybavovat Malými DNS Stacky. Navíc uvažujeme o přidání dalších uzlů v Evropě, Severní Americe a Asii.

Varianta ISP DNS stacku (resp. minimalistická varianta ISP mini) je určena výhradně významným poskytovatelům internetového připojení v České republice. Cílem je přiblížit autoritativní DNS servery ke zdrojům provozu a také zvýšit diverzitu umístění. DDoS útoky vedené proti našim primárním DNS serverům neovlivní tuto instanci. V opačném případě bude útok se zdrojem v síti daného poskytovatele zakončen právě na této instanci. ISP DNS stack jsme navrhli ve dvou variantách. Varianta ISP mini je určena pro menší poskytovatele internetového připojení. Největším poskytovatelům pak nabídneme variantu Malého DNS stacku s absencí připojení do tranzitu. Variantě ISP DNS stacku bude věnována některé z příštích pokračování.

Jak je u nás zvykem, striktně dodržujeme diverzitu HW a SW, aby v případě chyby byla ohrožena pouze část infrastruktury. Proto budou jednotlivé DNS stacky realizovány na různých dodavatelích serverů a síťových prvků, stejně tak na různém SW vybavení.

Počty DNS serverů pro jednotlivé varianty stacku vycházely z následujících zjištění a předpokladů:

  • Z analýzy našeho DNS provozu a testováním máme ověřeno, že je jeden server schopen odbavit minimálně 1 milion odpovědí za sekundu (viz https://www.knot-dns.cz/benchmark/).

  • Běžná velikost DNS odpovědí je 512 B / 4 096 bps. Při této velikosti odpovědi využije jeden DNS server kapacitu cca 4 Gbps.

  • Z výše uvedeného tedy vyplývá, že pro 100 Gbps konektivitu postačuje 30 serverů a pro 10 Gbps konektivitu postačují 3 servery.

  • Největší pakety dosahují velikosti 1 538 B / 12 304 bps. Při této velikosti odpovědi využije jeden DNS server kapacitu cca 12 Gbps. Předpokládáme tedy připojení DNS serverů pomocí 10 Gbps uplinku do routeru.

Z teorie by to bylo vše. V následujících dílech se můžete těšit na praktické zkušenosti s realizací prvního Velkého DNS stacku v ČR a několika ISP stacků.

2. díl: ISP stacky a jejich nasazení
3. díl: První Velký stack – výběrové řízení, nákupy hardware a logistika
4. díl: První Velký stack – příprava zázemí
5. díl: První Velký stack – instalace, testování a nasazení do provozu
6. díl: První Velký stack – závěr a zkušenosti z provozu

Kategorie:

Za rok 2017 ubylo téměř 4 mil. z nových gTLD

Út, 01/30/2018 - 12:00

Loňský rok nebyl pro nové generické domény (new gTLD) vůbec příznivý. Zájemcům se sice začala nabízet k registraci celá řada domén, v celkovém souhrnu však nové domény zaznamenaly poprvé ve své historii propad. Zatímco na začátku roku bylo registrováno 27 710 468 domén, na konci roku to bylo již jen 23 823 948. Češi měli registrováno celkem 23 245 new gTLD, tj. méně než 0,1 %.

Největší podíl na poklesu nových generických domén má doména .xyz (propad o více než 60 %), u které se naplno projevil efekt rozdávání domén zdarma či téměř zdarma (za 0,15 $). Většina držitelů využila tuto akci jen k tomu, aby měla další doménu v řadě, kterou však nijak aktivně nevyužívá. To ostatně potvrzuje i další statistika, podle které téměř 56 % newgTLD nemá nastavený žádný DNS záznam.

Vedle .xyz se poměrně výrazně propadla i většina dalších, dosud nejoblíbenějších domén, konkrétně .top (- 2 486 830 domén), .wang (-357 136), .win (-224 173) a .bid (-138 558).

Oproti tomu rostly domény jako .loan (+ 1 431 834), .shop (+402 797), .club (+298 238), .online (+205 001). Na začátku ledna pak díky pokračujícímu růstu vystřídala doména .loan na první příčce dosud dominující .xyz.

Zajímavé je porovnání nejoblíbenějších nových generických domén z pohledu Čechů. Zatímco ve světě patří mezi nejžádanější .xyz, .loan či .top, mezi našinci se (zatím) těší největší oblibě .cloud, .online a .shop.

Srovnání nejpopulárnějších domén

Letošní rok může být pro mnoho nových new gTLD zlomový. Světlo internetového světa dosud spatřilo 1 224 nových koncovek, z nichž však jen cca 15 % zatím dokázalo získat do svého portfolia více než 10 000 domén. S náklady, kteří jednotliví správci na registraci a zprovoznění domén měli, je tak jen otázkou, zda všichni budou mít dostatek financí na fungování v dalších letech.

Konkurenci pro newgTLD vidím i v některých národních doménách (ccTLD), které místo spojení s danou zemí vsadili na co nejvyšší profil. Schválně – kdo z Vás (bez googlování :o) ví, komu patří stále více populární doména .io?

Kategorie:

Je mobilní telefon pro naše děti (ne)bezpečný?

Po, 01/29/2018 - 03:50

Ve spolupráci s projektem Kraje pro bezpečný internet pořádá naše sdružení na základních a středních školách semináře s názvem (Ne)bezpečný mobil, které jsou zaměřené na úskalí při používání mobilních telefonů. Jak už sám název napovídá, děti se během dvou vyučovacích hodin dozvědí, jak co nejbezpečněji využívat své „chytré“ telefony, ať už z hlediska samotného zabezpečení aparátu, zaznamenávání geolokace či hrozeb falešných aplikací a mnoha dalších.

Ačkoli jsou dnešní žáci velice znalí moderních technologií, stále se nabízí mnoho témat, nad kterými jsou ochotni diskutovat a z nichž si odnášejí něco nového. Díky zpětné vazbě od studentů a jejich učitelů např. víme, že jsou stále fascinováni tím, co vše se dá přečíst z „obyčejného“ QR kódu a že často díky nevinné fotografii s letenkou, kterou vloží na své facebookové stránky, odkrývají ostatním lidem nejen svou tvář, ale daleko více informací než měli původně v plánu.

Žáky dále zaujalo, jak je nebezpečné zaznamenávání polohy, a to nejen z pohledu zlodějů, kterým můžeme dát impuls k vykradení bytu, ale i z hlediska možného útoku na opuštěném místě. Velkým překvapením byla pro děti informace ohledně obsahu licenčních podmínek oblíbené aplikace Snapchat, jejíž princip spočívá v tom, že odeslané zprávy či fotografie se po určité době samy smažou, aby nemohly být zneužity. Málokdo však ví, že už stažením samotné aplikace dáváme souhlas s licenčními podmínkami, kde se např. uvádí, že souhlasíme s tím, že informace o naší poloze, samotné zprávy a fotografie poskytujeme tvůrcům aplikace k libovolnému zpracování a šíření.

Témat, která si děti přejí na setkáních probírat, je celá řada jako např. kyberšikana, zdravotní aspekty, zabezpečení mobilního telefonu a další. Náš kolega Jiří Průša se snaží žákům během 90 minut vštípit základní pravidla bezpečnosti užívání mobilního telefonu, aby se nemuseli v budoucnu potýkat s tak nepříjemnými zážitky jako je zveřejnění soukromých fotek, sledování či vydírání.

Dnešní děti dostávají svůj první mobilní telefon čím dál tím dříve. Běžná věková hranice je 8 let, ale stále se posouvá níže a brzy bude normální, že s nástupem do školy dostane žáček kromě aktovky a penálu i svůj mobil. Proto bychom již od samého začátku měli mít pod kontrolou, co naše děti na mobilu dělají, k čemu jej používají, zda mají dostatečné zabezpečení a jestli s ním netráví více času než s klasickými hračkami, což by byla jistě škoda. Mobilní telefon je nepochybně dobrý pomocník, ale je velice snadné si na něm vypěstovat závislost a nechat se pohltit virtuální realitou.

V druhé polovině roku 2018 je plánováno vydání knihy (Ne)bezpečný mobil, jež bude určena nejen dětem, ale i dospělým, kteří se tak dobře neorientují ve světě moderních technologií. Jednotlivé kapitoly v podstatě rozvedou témata samotné přednášky. Budou obsahovat příklady z praxe a ukázky konkrétního nastavení mobilního telefonu. Věříme, že tato publikace přispěje k další osvětě a pomůže tak lépe čelit nástrahám moderního světa.

Kategorie:

Kritické myšlení jako nezbytná součást bezpečného Internetu

Po, 01/22/2018 - 06:05

S cílem upozornit veřejnost na nebezpečí virtuálního prostředí a zvýšit povědomí o otázkách kybernetické bezpečnosti provedlo Lotyšské centrum bezpečnějšího Internetu v roce 2017 tři sociální experimenty.

Nezisková organizace Drossinternets.lv se pokusila zjistit znalosti společnosti týkající se počítačové kriminality a schopnost uživatelů Internetu kriticky myslet. Výsledky experimentů nezní příliš povzbudivě.

První experiment obsahoval falešnou reklamu na Facebooku, která inzerovala cestování za podezřele nízkou cenu. Za pouhé čtyři dny reklamu cestovní kanceláře otevřelo tisíc uživatelů sociální sítě Facebook, přesně 617 osob odeslalo podvodné agentuře své osobní údaje a bylo připraveno zadat i své bankovní údaje. Jméno cestovní kanceláře přitom vůbec neexistovalo, stejně jako hotel. Kontaktní údaje agentury nebyly k dispozici a odkazy na sociální síti zobrazovaly neexistující ženu, jejíž fotografie byla stažena z veřejné databáze fotografií.

Druhý experiment cílil na uživatele Instagramu, především z řad mládeže. Falešný instagramový účet obsahoval nabídku na stažení aplikace obsahující nové filtry a další zajímavé nástroje na úpravu fotografií. Tyto nástroje měl jinak údajně obsahovat pouze nový iPhone X. Během čtyř dnů se pokusilo o stažení aplikace více než 227 uživatelů. Stahováním aplikací z nedůvěryhodných a neověřených zdrojů se přitom uživatelé vystavují riziku napadení svých zařízení malwarem.

Třetí pokus se odehrál živě v kavárně, kde žádal důchodce návštěvníky kavárny, aby mu pomohli napsat inzerát na seznamku tak, aby vypadal, že jej píše třináctiletá holčička. Ze sedmi kontaktovaných osob odmítly s inzerátem pomoci pouze dvě.

Maija Katkovska, šéfka Lotyšské centrum bezpečnějšího Internetu, ohodnotila výsledky experimentů takto: „Neustále jsme ze strany veřejných orgánů ujišťováni, že teoretické znalosti týkající se bezpečnosti na Internetu jsou poměrně vysoké. Z výsledků experimentu však vyplývá, že kritické myšlení, které by mělo člověku v prostředí Internetu pomáhat být v bezpečí a správně se rozhodovat, je stále na docela nízké úrovni.“

Nakolik jsou výsledky lotyšského experimentu využitelné i u nás, lze jen těžko odhadnout. Pokud však na Internetu narazíte na nějaké lákavé případně podezřelé nabídky, zkuste si je ověřit z co nejvíce různých zdrojů a v případě, že bude patrné, že se jedná o podvod nebo jiné nezákonné jednání, neváhejte se obrátit na Policii ČR. V případě, že na Internetu narazíte na obsah, který by mohl vést k sexuálnímu zneužívání dětí nebo kybergroomingu, můžete využít i možnost nahlásit své podezření anonymně na stránkách provozovaných přímo naším sdružením zde.

Kategorie:

Aby naše děti mohly dál používat Internet

Čt, 12/21/2017 - 13:10

Čas, kdy vstoupí v účinnost GDPR se nemilosrdně krátí. Nebojte, v tomto příspěvku nebudu strašit, co vše může hrozit firmám, ani vyjmenovávat, na co byste neměli s touto právní úpravou zapomenout, ale zaměřím se „pouze“ na zpracování osobních údajů u dětí, konkrétně čl. 8, upravující podmínky udělení souhlasu se zpracováním osobních údajů dítěte v souvislosti se službami informační společnosti.

„Pokud se použije čl. 6 odst. 1 písm. a) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. Je-li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti. Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.“

Jak se ukazuje, např. ze zkušeností v rámci mezinárodní sítě INSAFE či prosincového workshopu uspořádaného Spolkem pro ochranu osobních údajů, implementace tohoto článku v praxi přináší řadu problémů.

Tím nejdůležitějším je především otázka, jak „s vynaložením přiměřeného úsilí“ ověřit, že daná osoba je skutečně rodičem (resp. zákonným zástupcem). Další problémy přinese nastavení věkové hranice, u které bych se nyní rád zastavil a poukázal na problém, který v České republice hrozí.

V rámci typického evropského kompromisního řešení uspokojujícího všechny členské státy bylo dohodnuto, že „základní“ hranice je 16 let, státy si ji ale mohou ve svém právním předpisu snížit až na 13 let. Na následující infografice je názorně vidět, jakým směrem se jednotlivé země ubírají. Aktualizováno 12. 2. 2018 o nové informace z Lotyšska.

V rámci návrhu českého zákona o zpracování osobních údajů se počítá s možností snížení věkové hranice na 13 let, byť zaznívají hlasy (v rámci připomínkového řízení požaduje změnu věkové hranice např. Nejvyšší soud, Ministerstvo pro místní rozvoj, Ministerstvo zemědělství, Nejvyšší kontrolní úřad a tři kraje – Ústecký, Vysočina a Zlínský), zda by to nemělo být 15 let, tj. věk, se kterým je spojeno nabytí řady práv či (částečné) trestní odpovědnosti či 16 let.

Zde je třeba si uvědomit, že i děti mladší 15 let mohou dnes dělat prostřednictvím Internetu celou řadu právních jednání, např. uzavřít nákupem v e-shopu kupní smlouvu, o používání sociálních sítí nemluvě. A při řadě těchto jednání není nyní až na pár výjimek, jako je např. nákup alkoholických nápojů či tabákových výrobků, údaj o věku vyžadován. V podstatě bez problémů si tak nezletilí mohou online koupit MP3 přehrávač, vstupenky na festival a podobně.

V České republice se však velmi snadno může stát, že po jistou dobu hranice pro svobodné užívání Internetu (resp. služeb informační společnosti) nakonec nebude 13 let, ani 15 let, ale nejvyšší možná a to 16 let. Stačí k tomu jediné! Aby naši zákonodárci nestihli včas projednat již zmíněný zákon o ochraně osobních údajů. Až do jeho vydání ve Sbírce zákonů totiž bude od 28. května 2018 pro Českou republiku (i další státy bez vlastní právní úpravy) platit „základní“ hranice 16 let.

Dostaneme se tím tak do paradoxu, kdy děti od svých 15. narozenin budou vedle nakupování v e-shopu moci řídit malou motorku, mít sex či být odpovědní za jízdu na černo, ale nebudou si moci založit účet na Facebooku či na Instagramu.

Pokud nechceme do tohoto stavu dojít, je třeba, aby Ministerstvo vnitra co nejdříve „vyslalo“ zákon do dalšího legislativního procesu a následně došlo k co nejrychlejšímu projednávání v Senátu tak, aby byl publikován ve Sbírce zákonů ještě před 25. květnem 2018. Dle zkušeností s projednáváním jiných zákonů víme, že času už moc nezbývá.

Kategorie:

Písařčina akademická kratochvíle

Čt, 12/21/2017 - 11:41

Dne 12. prosince jsem se zúčastnila přednášky o softwarové dokumentaristice na FF UK, tentokrát však jako její přednášející. Pozvala mě ji přednést paní doktorka Adéla Jarolímková, která na FF UK garantuje několik předmětů oboru Informační studia a knihovnictví. Byla to první příležitost, kdy jsem mohla přispět k akademickému vzdělávání technické komunikace v ČR.

Zatímco v západní Evropě a Spojených státech je běžné, že technická komunikace představuje samostatný obor na vysokých školách, u nás a v dalších státech na východ od někdejší železné opony se jí dotkne jen okrajově tu a tam nějaký předmět. Přitom není neobvyklé, že se tento obor učí nejen na technických fakultách, ale i na humanitních. Je to i tím, že technický komunikátor – dokumentarista, potřebuje pro svou práci znalosti z obou těchto směrů.

„Obor Informační studia a knihovnictví se sice studuje na Filozofické fakultě, ale často si ho volí lidé, kteří chtějí obor na pomezí společenských věd a techniky. Ve své praxi se pak někteří absolventi setkávají s tvorbou dokumentace, ať už se jedná o nápovědy k různým elektronickým informačním zdrojům pro uživatele knihoven nebo o dokumentaci ke stále populárnějším open source knihovním systémům. Samotnému procesu tvorby dokumentace se však obvykle nevěnuje patřičná pozornost, pohlíží se na něj jako na něco vedlejšího, přitom by dodržování zásad dokumentaristiky ušetřilo práci i čas. Proto považuji za nesmírně užitečné, že jsme měli možnost nahlédnout do zákulisí technické dokumentaristiky. Studenti měli možnost se dozvědět něco o pravidlech tvorby dokumentace a základních zásadách, také teď vědí, že existují zdroje, kde se lze inspirovat,“ komentovala naši spolupráci paní doktorka Jarolímková.

Před naším rozloučením mi zároveň navrhla, zda bych byla ochotna vést v příštím roce několikahodinový praktický kurz technické dokumentaristiky, kde by si studenti mohli nástroje a metody sami vyzkoušet. Této výzvy si velmi cením a určitě zvážím, zda bych jí byla schopna čelit.

Kategorie:

Právo k datům z internetu věcí

Út, 12/19/2017 - 05:13

Před sedmi lety publikovali zakladatel služby Pachube (dnes Xively) Usman Haque a evangelizátor služby Ed Borden Soupis práv v Internetu věcí. Pachube začalo jako první nabízet v roce 2010 rozhraní pro sběr dat z IoT zařízení formou API – tedy poskytovala službu datového skladu pro IoT svět. A jeho zakladatelé si uvědomovali, že rozhodující je hned z kraje definovat, čí ta data jsou. To vůbec nebyla samozřejmost. Většina služeb to neřeší dodnes, případně vágně definuje, že data jsou uživatele a lze je ze služby dostat ve formátu, jaký služba momentálně nabízí, tedy zpravidla notně agregovaná a často bezcenná nebo obtížně přenositelná.

Jaká mají být uživatelská práva k datům?

1. Lidé vlastní údaje, které oni (nebo jejich „věci“) vytvářejí.
2. Lidé vlastní data, která o nich někdo vytváří.
3. Lidé mají právo na přístup k údajům shromážděným z veřejného prostoru.
4. Lidé mají právo na přístup k datům v plném rozlišení v reálném čase.
5. Lidé mají právo na přístup k datům ve standardním formátu.
6. Lidé mají právo vymazat nebo zálohovat data, která vlastní.
7. Lidé mají právo používat a sdílet svá data, jakkoli chtějí.
8. Lidé mají právo uchovávat své údaje soukromé.

Některé body jsou pochopitelné, jiné jsou dodnes kontroverzní.

V Česku právě začíná příbuzná debata věnovaná GDPR, zákonu a regulaci, který na jednom místě shrnuje a upřesňuje již existující pravidla s nakládání s daty, začasté ignorovaná.

Dnes je zcela běžné, že se o uživateli sbírají baterie dat, aniž by se uživatel dozvěděl něco o tom, k čemu taková data slouží. Naposledy něco takového prasklo na čínskou firmu OnePlus, která ze své upravené verze Androidu v mobilních telefonech sbírala velmi širokou plejádu informací včetně těch, které vedou k identifikaci uživatele. Uživatelé firmě „dávali k něčemu takovému práva“, protože odsouhlasili firemní Zásady ochrany osobních údajů, pravděpodobně ale bez toho, aby je četli a ve spleti odstavců odhalili značně nekonkrétní inkriminované odstavce. Firma se schovala za obvyklou výmluvu: v rámci snahy o debugování sbírala raději více, než méně. A suď ji za to Bůh nebo v jejím případě spíše Strana.

Data mají být pohonem umělé inteligence

Stále neodbytněji se ukazuje, že data jsou cenným pohonem pro umělou inteligenci. Aby se umělá tedy strojová inteligence mohla stát skutečnou inteligencí, potřebuje zdroje, z nichž se naučí, jak být inteligentní, a prožene stotisíc let lidského vývoje za pár let strojového času. Jenže k tomu potřebuje právě naše data – vzory lidského jednání a rozhodování, z nichž může vyjít, a z nichž samozřejmě zrychleným či dokonce chybným vývojem může dojít k něčemu úplně jinému. Ale to už je jiná kapitola.

Ve světě se zvětšuje tenze mezi těmi, kdo data považují za soukromé vlastnictví, o němž si v duchu Haque-Bordenova Soupisu rozhoduje uživatel, a mezi těmi, kdo považují jejich volný pohyb a zejména možnost komerčního využití za základ budoucího rozvoje lidské civilizace.

Právě tato data se přetavují v umělointeligenční algoritmy budoucích strojových supermozků a za tato data není náhrada. Což je také důvod, proč velké firmy tlačící rozvoj umělé inteligence zároveň s tím tlačí „datovou svobodu“. Asi nejviditelnějším příkladem je Facebook, jemuž se podařilo z lidských niterných prožitků a osobních pocitů udělat fenomén sdílení, přičemž jeho uživatelé si neuvědomují, k čemu vlastně tato data slouží.

Rozhodnutí by mělo být na uživateli

Netroufáme si v týmu Turrisu rozsuzovat, který z přístupů je platný. Zda je budoucností lidstva zachování soukromí a vláda nad vlastními daty nebo naopak jejich sdílení. To si musí každý uživatel zvážit a rozhodnout sám. Routery Turris se snaží dávat nástroje pro obě varianty rozhodnutí.

Novinkou v routerech Turris je širší podpora nástroje Suricata, který umožňuje sledovat, co uživatelé sítě dělají a zda například neporušují nějaká firemní pravidla o sdílení údajů. Nebo – a to je také časté – zda ve vnitřní síti nešmíruje nějaký program, který se údaje snaží zcizit. Nástroj PaKon (ze slov Parental Control) je zatím v testovacím provozu v nově vyšlé verzi Turris OS 3.9 (umožňuje sledovat internetový provoz v příkazovém řádku). Na jaře roku 2018 bude PaKon doplněn o webové rozhraní, aby si tuto kontrolu mohl provádět i méně zkušený uživatel.

Kategorie:

Předvánoční příběh se šťastným koncem

Po, 12/18/2017 - 10:51

Pokud stále ještě tápete při odpovědi na otázku, „proč bych se měl zajímat o bezpečnost mých on-line účtů“, hledáte tipy, co udělat pro lepší bezpečnost vašich on-line účtů, nebo jste právě zjistili, že se někdo vašich on-line účtů zmocnil, pak je následující text určený právě vám.

Zdroj: memegenrator.net

Nepropadejte panice

Druhý krok při řešení krádeže vašich on-line účtů souzní s doporučením ze známého Stopařova průvodce po Galaxii. V mém konkrétním případě se na mne obrátili moji známí, jejichž dospělému synovi někdo ukradl e-mail a herní účty na čtyřech různých službách. Důvodů k panice měli hned několik, her na účtech bylo za více než dvě stě tisíc, syn je navíc dlouhodobě vážně nemocný a hry jsou pro něj místem, kam utíká ve chvílích, kdy mu jeho nemoc způsobuje velké bolesti.

Velmi záhy se ukázalo, že to nebude tak horké, jak to na začátku vypadalo. První věcí, kterou jsme zjistili, bylo to, že útočník byl buď amatér nebo značně pohodlný a proto v dotčeném mailboxu nezměnil heslo. To bylo velké štěstí, protože majitel účtů podcenil důležitost opatření z kroku číslo jedna a pravděpodobně by se tak ke svému e-mailu už nikdy nedostal. Rychle jsme tedy změnili heslo k tomuto mailboxu a to z jiného počítače, než z toho, který uživatel běžně používal. Tím jsme útočníkovi zabránili v dalším přístupu k mailboxu a použitím jiného počítače jsme se zároveň ochránili pro případ, že by k úniku hesla došlo přes napadení uživatelova počítače škodlivým kódem. Co se útočníkovi naopak bohužel podařilo byla změna hesla a kontaktního e-mailu u všech herních služeb.

Postupujte systematicky

V třetím kroku jsme začali mapovat škody. A opět jsme měli štěstí. Útočník udělal další chybu. Sice smazal všechny e-mailové zprávy, ale už je nesmazal ze složky koš. Díky tomu jsme celkem snadno získali přístup k dvěma ze čtyř napadených účtů.

Jak je vidět z obrázku výše, Rockstar games s možností útoku na účet vyloženě počítá. Pokud by ale útočník změnil heslo k mailboxu, moc by to původnímu majiteli účtu Rockstar Games nepomohlo. Takto jsme ale byli rádi, že stačilo potvrdit, že e-mail byl změněn bez našeho vědomí a účet se přenastavil na původní e-mail a zároveň nám přišla do původního mailboxu zpráva, kde bylo třeba kliknutím potvrdit, že máme do schránky přístup. To nás zároveň přeneslo na stránku, kde bylo možné provést i reset hesla u daného účtu.

Podobný způsob obnovy využívá i služba EA Games, která také nabízí možnost vrátit zpátky e-mailovou adresu, která byla na účtu naposledy nastavena pouze kliknutím na odkaz ve zprávě, zaslané na původní adresu.

U EA ale bohužel útočník nastavil vlastní bezpečnostní otázku, takže účet je aktuálně ve stavu, kdy k němu může původní uživatel přistupovat, kontaktní e-mail směřuje do původního mailboxu, ale nemůže měnit některá důležitá bezpečnostní opatření, jako je 2FA autorizace. Zatím se nám bohužel nepodařilo toto nastavení zvrátit, ale snad se to uživateli nakonec podaří.

Buďte trpělivý

Čtvrtý krok je daný tím, že firmy, které tyto platformy provozují, musí nejspíš denně řešit celou řadu takovýchto útoků (v roce 2015 bylo každý měsíc ukradeno v platformě kolem 77 000 účtů) a proto se nelze divit, že jsou jejich podpory přetížené a zároveň velmi opatrné.

V našem případě se to projevilo v případě Ubisoftu, kde jsme si museli na prvotní odpověď tři dny počkat. Pak už stačilo poslat vyfocený produktový kód z obalu jedné z her a během dalšího dne byl účet vrácen původnímu majiteli. V tomto případě mi vadilo pouze to, že se nám nepodařilo najít možnost kontaktovat technickou podporu bez předchozího zaregistrování nového účtu, který jsem si tedy založil jen za účelem této jednorázové komunikace.

A to nejlepší nakonec. Komunikace s podporou Steam se trochu vlekla. Nejprve jsme opět v uživatelově koši našli patřičnou zprávu.

Na odkazované stránce jsme pak provedli blokaci účtu, přičemž nám byl vygenerován kód, který jsme měli později použít k opětovnému odblokování účtu. Na to nicméně nedošlo, neboť další krok byl zahájení komunikace s technickou podporou kvůli navrácení účtu do rukou původního uživatele.

Popsal jsem tedy problém, přiložil fotku aktivačního klíče z jedné z her a vše poslal. Zároveň jsem rovnou upozornil, že si nejsem jistý, zda posílám klíč ke hře, která je v platformě Steam skutečně registrována a že prosím o info, pokud tomu tak není, abych mohl případně poslat jinou. Také jsem rovnou přiznal, že celou věc řeším za jiného uživatele, který skoro vůbec neumí anglicky. Odpověď přišla poměrně rychle, avšak moc nám nepomohla.

Zeptal jsem se tedy, zda podpora skutečně pečlivě četla můj e-mail, upozornil, že jsem aktivační klíč již poslal a že případně prosím o informaci, zda jej kontrolovali a mám případně zajistit jiný. Zatímco první řešitel měl tendenci přehodit problém zpět na uživatele, další se rozhodl se jej zbavit definitivně.

Upozornil jsem tedy opět technickou podporu Steamu, že uživatel neumí anglicky, ale že svou žádost o pomoc může formulovat česky, pokud s tím nemají problém. V případě, že by to problém byl, jsem je požádal, aby celou situaci zkusili konzultovat se svým nadřízeným, zda by nám neporadil jiný postup. Zároveň jsem od uživatele získal klíč ke hře, o které si byl zcela jistý, že ji v systému Steam registroval. Kromě fotografie klíče jsem přiložil i fotografii účtenky, kterou si uživatel naštěstí při nákupu hry uschoval. Po této poslední zprávě jsme již dostali pozitivní reakci.

Účet byl podporou odblokován a na e-mailovou adresu uživatele dorazili poslední zbývající instrukce.Myslete na bezpečnost při všem, co děláte.

Nejspíš jste si všimli, že v celém řetězci chyběl krok číslo jedna. Ano, v našem případě přišel krok číslo jedna až jako krok poslední, protože uživatel žil až do těchto událostí v přesvědčení, že jemu se nic stát nemůže a nic kromě her, o které nikdo nestojí, nemá. Jeho nově nabytá zkušenost ho málem stála více než dvě stě tisíc, vy ale máte tu výhodu, že jste četli tento příběh a proto se pro vás následující stane krokem číslo jedna.

Není úplně jasné, jakým způsobem se útočníci k uživatelovu heslu dostali, ale situaci jim jistě usnadnila jeho „slovníkovitost“, tedy to že vypadalo nějak jako „autobus666“, ale také to, že bylo na všech účtech použito to stejné. Pak stačil únik z jedné jediné služby, nebo jeho zadání na phishingové stránce či napadení uživatelova počítače nějakým malware a bylo hotovo.

Naopak je jasné, že pokud by býval útočník byl chytřejší a změnil heslo k původní e-mailové schránce, uživatel by se ke svým původním herním účtům již nedostal (nebo možná ano, díky účtenkám a aktivačním kódům, ale s většími problémy), neboť neměl nastavenou žádnou možnost, jak se ke své schránce dostat, pokud dojde k jejímu odcizení.

Jako preventivní opatření jsem tedy doporučil uživateli zjistit na jeho e-mailové schránce možnosti jejího většího zabezpečení. E-mailová schránka je velmi důležitá, neboť obvykle umožňuje právě resetování hesel do ostatních služeb, které s vámi přes ni komunikují. Seznam sice nenabízí dvoufaktorovou autentizaci, ale je možné propojit používanou adresu s konkrétním telefonním číslem. Pokud pak dojde k únosu účtu, můžete si pomocí tohoto telefonního čísla nechat zaslat nové heslo.

Kromě toho je potřeba vyvarovat se používání stejných hesel na všech službách. Nekontroloval jsem to na všech platformách, ale minimálně služby EA i Steam umožňují využít dvoufaktorovou autentizaci.
Kromě výše zmíněného je třeba dbát i na stále omílané věci, jako neklikat na podezřelé odkazy, nezadávat přihlašovací údaje na jiných stránkách, než patřících originální službě, pravidelně aktualizovat používaný software nebo nestahovat podezřelé soubory. V tomto specifickém případě se pak ukázalo, že pokud uživatel zcela rezignuje na bezpečnost, může ho ještě zachránit, pokud má k dispozici aspoň originální klíče k hrám a doklady o jejich zakoupení.

Osobně doufám, že pro většinu čtenářů tohoto blogu jsou všechna tato doporučení denním chlebem, pokud ale máte ve svém okolí někoho, kdo stále ještě nezná odpověď na základní otázku života vesmíru a vůbec „proč bych se měl zajímat o bezpečnost mých on-line účtů“, zkuste mu poslat odkaz na tento blogpost. Jen ho připravte na to, že odpověď není tak triviální jako 42.

Kategorie:

Statická registrace pro poskytovatele služeb využívající OpenID Connect

Pá, 12/15/2017 - 14:25

Autentizační protokol OpenID Connect, který mohou již dva roky používat poskytovatelé služeb implementující přihlášení přes mojeID, přináší nejen celkové zjednodušení implementace, ale také vyšší úroveň zabezpečení. Starší protokol OpenID 2.0 využíval pro ověření návratové adresy tzv. XRDS dokument, který poskytovatel na svých stránkách zveřejňuje a návratovou adresu do něj vyplní. Poskytovatel identity (např. mojeID) si pak před přesměrováním uživatele na návratovou adresu tento dokument stáhne a ověří její správnost. Vlastní protokol ale toto ověření nevynucuje. Nevynucuje ani HTTPS spojení při stahování zmíněného dokumentu ani zabezpečení DNSSEC, a tedy nechává bezpečnost na libovůli poskytovatele služby. OpenID Connect na to jde úplně obráceně. Programátoři, kteří implementují do systémů poskytovatelů služeb přihlášení přes mojeID pomocí tohoto nového protokolu, se v tomto blogpostu dozví, jakou změnu jsme pro ně připravili.

Každý poskytovatel služby implementující protokol OpenID Connect musí nejprve svoji návratovou adresu zaregistrovat u poskytovatele identit. Při této registraci obdrží údaje client_id a client_secret, které posléze používá pro svoji identifikaci směrem k poskytovateli identit. V průběhu autentizačního procesu poskytovatel identit ověří totožnost poskytovatele služby včetně informace, zda-li je požadovaná návratová adresa zaregistrována. Jak taková registrace probíhá? Kdo někdy implementoval přihlášení přes Google nebo Facebook ví, že tyto služby mají obvykle nějakou vývojářskou konzoli, kam je možné se přihlásit svým účtem a novou registraci si jednoduše vyklikat. Na konci procesu pak vývojář zkopíruje vygenerované client_id a client_secret do své aplikace. Tomuto procesu se říká statická registrace poskytovatele služby.

Standard OpenID Connect definuje ještě jednu možnost a tou je dynamická registrace služby. Pokud poskytovatel identit tento proces umožňuje, zveřejní adresu HTTP rozhraní, na které je možně zaslat POST požadavek obsahující základní údaje a potřebné údaje jako client_id a client_secret jsou vráceny ve formátu JSON v odpovědi na tento požadavek. Pro univerzálně psané nástroje, které chtějí používat obecně libovolného poskytovatele identit je toto jediná cesta, jak se na předem neznámého poskytovatele identit připojit. Implementace OpenID Connect s využitím knihoven, které tuto dynamickou registraci umožňují, je pak velice přímočará. Jednu takovou knihovnu pro snadné napojení na mojeID napsanou v JavaScriptu jsme zveřejnili i my. Dynamická registrace tedy byla pro mojeID logicky první volbou.

Problém trochu nastává pokud vývojář implementující přihlášení přes mojeID použije knihovnu, která tuto dynamickou registraci nepodporuje. V takovém případě je nutné aby tento vývojář např. v příkazové řádce za použití nástrojů jako curl nebo wget vygeneroval příslušný HTTP POST požadavek a vytáhl potřebné údaje z odpovědi. Toto není příliš komfortní. Druhý problém dynamické registrace je, že některé knihovny implementované například jako JavaScript v prohlížeči, provádějí tuto registraci s každým načtením stránky. V databázi registrací tak vznikají tisíce záznamů, které mají ale smysluplnou dobu existence pouze pár minut. Abychom tyto záznamy mohli odmazat, bylo by dobré je rozeznat od těch, které vznikly za účelem dlouhotrvající registrace.

Výše popsané problémy nás přiměly implementovat také statickou registraci přes webové rozhraní. Dynamická registrace bude mít na rozdíl od statické jasnou dobu expirace a po jejím uplynutí budeme záznamy o registraci promazávat. V první fázi se jedná o jednoduchý editor uložených záznamů navázaných na přihlášeného uživatele mojeID. Tento editor je dostupný na adrese, která je zveřejněná v dokumentaci implementace mojeID do systémů poskytovatelů služeb. Drobným nedostatkem je, že editor je přímo přístupný pouze tímto odkazem a uživatel musí být přihlášený. Editor umožňuje služby přidat, odebrat nebo změnit parametry zaregistrované služby, jak je vidět na následujícím obrázku.

Vložené záznamy jsou navázané na jednoho konkrétního uživatele mojeID. Aktuálně analyzujeme možnost rozšířit tento mechanismus tak, aby každá služba mohla mít více takových „správců“ a nebylo při potřebě rychlé změny nutné čekat na jednoho konkrétního člověka. V budoucnosti bychom rádi obdobným způsobem přidali možnost správy nastavení parametrů pro služby využívající SAML protokol. Tyto služby jsou aktuálně odkázané na e-mailovou komunikaci s naší technickou podporou, což jistě není ideální.

Kategorie:

Stažení ověřených výpisů z registru domén

Út, 12/12/2017 - 10:30

Nová verze našich systémů přinesla uživatelům možnost stáhnout si výpisy s údaji z doménového registru ve formátu PDF, který je podepsán kvalifikovaným certifikátem PostSignum sdružení CZ.NIC. Tento text čtenáře seznámí s oběma způsoby, pomocí kterých uživatelé mohou získat ověřené výpisy pro případ potřeby doložení vlastnictví příslušného doménového objektu.

Stažení ověřeného výpisu z webového whoisu

Do vyhledávacího pole webového whoisu zadejte jméno domény v doménovém registru a stiskněte tlačítko „Hledat“. Pokud doména existuje, pak se na následující obrazovce zobrazí tabulka s jejími detaily spolu s údaji záznamů, které jsou na ni navázány. Odkaz pro stažení ověřeného výpisu s ikonkou dokumentu ve formátu PDF se nachází přímo pod tabulkou s údaji o doméně.

Podobným způsobem mohou uživatelé stáhnout ověřené výpisy i k dalším typům objektů v doménovém registru: kontaktům, nssetům a keysetům. Výpis z registru doménových jmen ve formátu PDF ve všech případech obsahuje údaje z webového whoisu v české a anglické jazykové verzi a je navíc opatřen elektronickým podpisem a informací o datu, k němuž jsou uvedené údaje platné.

Stažení ověřeného výpisu z Doménového prohlížeče

Ti uživatelé mojeID, kteří mají na svůj účet navázánu alespoň jednu doménu, mají nově možnost stáhnout si ověřený výpis z Doménového prohlížeče.

Po úspěšném přihlášení do Doménového prohlížeče se uživateli zobrazí seznam domén, kterých je držitelem, s možností zobrazení detailů. Odkaz pro vygenerování ověřeného výpisu z doménového registru se opět nachází dole pod tabulkou s údaji z registru.

V detailech držitele domény jsou zobrazeny všechny údaje, které uživatel zadal při zakládání účtu včetně těch, které byly označeny za neveřejné a které se z tohoto důvodu nezobrazují ve webovém whoisu. Kompletní sada údajů je přítomná i na ověřených výpisech z Doménového prohlížeče.

Doménový prohlížeč umožňuje uživatelům zakrýt údaje pro webový whois. Stačí v záložce „Můj kontakt“ odškrtnout položky, které mají být skryty.

Údaje, které uživatel označí v Doménovém prohlížeči za neveřejné, budou jakožto neveřejné označeny jak ve webovém whoisu, tak na ověřených výpisech stažených z webového whoisu.

Kategorie:

Přísnější hesla v mojeID

Út, 12/12/2017 - 10:25

Od začátku provozu služby mojeID zobrazujeme sílu hesla, které uživatel zadává při zakládání účtu (nebo při změně hesla). Dosud jsme umožňovali uložit i slabé heslo, pokud to tak uživatel chtěl. To se teď ale mění a slabá hesla již nepůjde u účtu mojeID zadat. Bezpečnost našich služeb je pro nás klíčová a tak jsme se, po konzultaci s našimi bezpečnostními experty, rozhodli od 12. prosince zpřísnit politiku hesel pro službu mojeID. Služba, která má již bezmála 600 000 registrovaných účtů a denně se pomocí ní přihlásí běžně i více než 5 000 uživatelů k desítkám internetových aplikací tak bude ještě bezpečnější.

Nově musí hesla do mojeID splňovat tato kritéria:
– musí být dlouhé alespoň 8 znaků
– musí obsahovat alespoň jeden znak minimálně ze 3 z následujících skupin: malé písmena, velké písmena, číslice, ostatní znaky
– nesmí obsahovat uživatelské jméno, ani jeho podstatnou část
– nesmí být ve slovníku známých hesel

Tato politika je nyní platná pro všechny nově zakládané účty a pro účty, kterým bude nyní měněno heslo. Do budoucna plánujeme, že budeme k nastavení silnějších hesel motivovat také majitele účtů založených před touto změnou, včetně těch, kteří jsou ve využívání mojeID méně aktivní.

 

Kategorie:

„Táto, kde’s vlastně byl?“ (Konference Meeting C++ 2017)

Po, 12/11/2017 - 13:49

K: „Tatíííí… Adamééé, táta už je doma! … Ahoj! … a kde’s to vlastně byl?“
J: „No přece na té konferenci, vždyť jsem ti to vysvětloval, než jsem odjížděl.“
K: „Hmm to už si nepamatuju… a co tam jako bylo?“

Na konferenci Meeting C++, jak už název napovídá, se vše točí kolem programovacího jazyka C++ a samozřejmě i jeho uživatelů – vývojářů. Vzhledem k tomu, že se koná v Německu (poslední čtyři ročníky v Berlíně), schází se zde v roli posluchačů převážně programátoři z Evropy. Mezi přednášejícími se každoročně objevují v C++ komunitě celosvětově známá jména, mezi jinými například členové standardizační komise pro C++, vývojáři či autoři knižních C++ bestsellerů nebo i studenti technických univerzit. Pro nás je to největší a geograficky nejbližší C++ konference, tudíž ideální příležitost pro tým vývojářů registračního systému FRED, aby si na pár dnů odpočinul od pracovního shonu a něco nového se přiučit.

Letošní ročník se konal od 9. do 11. listopadu v berlínském hotelu Andel’s. Sešlo se tam na 600 účastníků, kteří si mohli vybírat z celkového počtu 41 přednášek rozdělených do čtyř paralelních bloků, což je o jeden více než loni.

K: „Pfff, hele táto a co jsi mi přivez‘?“
J: „Broučku, ale já tam nebyl nakupovat, snažil jsem se … něco se naučit, víš?“

Podle aktuálně nastaveného vývoje jazyka (od řekněme přelomového C++11) je snaha každé tři roky vydat nový standard. Tomu odpovídala i náplň přednášek, které jsem navštívil. První taková skupina se zabývala aktuálním standardem C++17. Přednášky shrnuly, co nového poslední standard přinesl či změnil v teoretické rovině, v dalších se pak dostalo na praktické zkušenosti, čísla a samozřejmě grafy. Tady bych chtěl vyzdvihnout přednášky Practical C++17 a Practical constexpr Jasona Turnera, který nové vlastnosti a dopady nového standardu demonstroval na zkušenostech při jejich aplikaci v jeho projektu skriptovacího jazyku ChaiScript. Dále bych ještě zmínil přednášku Stringviews, stringviews everywhere (Marc Mutz) o novém typu ve standardní knihovně – std::string_view, jakožto nevlastnícího (non-owning) kontejneru či „pohledu“ nad již existujícím řetězcem nebo jeho částí (v podstatě ukazatel na začátek řetězce a délka řetězce), nových idiomech a samozřejmě možných problémech, které přináší.

K: „… no já jsem zase byla v divadle … byla tam Minnie, Krteček a Rákosníček mi podal ruku ..“
J: „…“
K: „Co seš tak vykulenej, ne jako doopravdy, to byli převlečený lidi přece!“
J: „…“

Další skupina přednášek představovala lákadla, na která se můžeme těšit v následujícím standardu C++20, případně později v C++23. Tady mě potěšil Anton Bikineev se svým povídáním o stavu návrhů na řešení tzv. statické reflexe (static reflection; schopnost programu v době kompilace zjišťovat meta informace o typech) v některém budoucím standardu C++ (přednáška Reflection in C++Next). Tato vlastnost jazyka by výrazně zjednodušila části kódu, které se aktuálně neobejdou bez použití maker preprocesoru, jako je např. serializace datových struktur či určité konverze výčtových typů (enum to string). Poměrně hutné slajdy si připravil Kris Jusiak pro přednášku Concept driven design, kde probral, co je připravováno z dlouho očekávaných Concepts v C++20. Jejich hlavní přínos by měl spočívat v možnosti lépe definovat (a zároveň v kódu dokumentovat!) syntaktické a sémantické omezení pro rozhraní, které se pak odrazí v rozumnější prezentaci chybových zpráv od překladače (kdo někdy procházel „obrazovkami“ chybových hlášení s několika úrovněmi šablon datových typů a snažil se pochopit, co se mu překladač snaží říci, určitě výhody chápe). Na ukázkách předvedl, jak by se daná omezení měla specifikovat pro parametry šablon a funkcí s pomocí nového klíčového slova requires a jejich spojovaní pro definici „pojmenovaných vlastností“ s využitím klíčového slova concept. Představil také budoucnost virtuálních konceptů (virtual concepts) umožňující dynamický polymorfismus bez nutnosti vytvářet hierarchie tříd (a využívat tak dědičnost) a dalších možností využití (dependency injection, mocking).

Poslední skupina přednášek, které jsem navštívil, se zabývala obecnějšími tématy, jako je návrh datových typů a rozhraní, nástroji pro vývoj a debugování a interními a externími software závislostmi. Nesmím zapomenout zmínit tu s názvem Strong types for strong interfaces, kde Jonathana Boccara ukázal, jak je užitečné používat konkrétní (pojmenované) datové typy při definici rozhraní (např. Km(42.0) namísto prostého 42.0). Jednak konkrétnější jméno lépe popisuje sémantiku pro uživatele daného rozhraní, ale také do jisté míry zamezí špatnému použití daného rozhraní. Rizikem zůstávají případné nevhodné implicitní konverze. Díky příkladům v této přednášce jsem si opět vzpomněl na novou vlastnost C++11 uživatelsky definovaných literálů (operator""(...)) umožňující v kódu zápis např. 42.0_km(Km operator"" _km(long double)), která na jednu stranu vypadá užitečně, ale stále na mě působí jaksi rozpačitě. Dále jsem navštívil povídání od Petera Bindelse o tom, jak v TomTomu řeší problémy se závislostmi v kódu Dealing with software dependencies. V minulém ročníku měl přednášku How to understand million-line C++ projects, kde představil nástroj cpp-dependencies pro analýzu závislostí ze zdrojových kódů. Letos měl na pomoc Kiki de Rooij (stážistku u nich v TomTomu), která představila její nástroj spindel pro vizualizaci závislostí za použití výstupu z cpp-dependencies a opensource nástroje pro kreslení schémat dia. Krátce se též zmínili o stavu návrhů k připravované podpoře modulů do C++ standardu, což je další z aktuálně velkých a živých témat. Poslední přednášku, kterou bych doporučil, je Free your functions Klause Iglbergera, který v ní poměrně zábavnou formou všem dokázal (doufejme :)), proč je dobré preferovat volné funkce před členskými funkcemi tříd a struktur, a to hlavně v případě, kdy taková metoda přidává nějakou jinak volitelnou závislost. Zajímavým doplňkem pro preferenci volných funkcí by pak byl návrh unified call syntax), který podal Bjarne Stroustrup a Herb Sutter.

K: „… hele táto, mě už to nebaví, nechceš si radši zahrát Magický labyrint?“
J: „Jojo…“

Určitě byste případné odkazy dokázali vyhledat, ale nějak to zakončit musím. Web konference se dá najít na http://meetingcpp.com/, případní zájemci o stažení slajdů z letošní konference najdou snadno odkazy v rozvrhu přednášek. Pokud se zadaří, videa ze všech přednášek by měla být k dispozici po nějaké době na YouTube kanálu.

K: „No tááák, táto!
J: „Už jdu.“

Kategorie:

Ohlédnutí za finálem Kybersoutěže

Pá, 12/08/2017 - 11:29

Výborná příležitost – banka, kterou chceme vykrást, se dnes stěhuje do nových prostor. Navíc k našemu štěstí zkoušejí alarmy, a to až do 16 hodin, takže nebude nápadné, když ho omylem spustíme. Je pootevřené okno v patře, které chrání jediné čidlo. Naše krysa uvnitř z řad zaměstnanců položila IP kameru do komory s čidly, takže vidíme, jestli čidlo, které se snažíme nabourat, je ve stavu OK nebo řve alarmem. IP kamera streamuje záběr na YouTube, žel se zpožděním. Problém je, že čidlo komunikuje pomocí radiových vln: každých 15 až 30 vteřin pípne dioda a přístroj vyšle signál. Odposloucháváme, snažíme se napodobit a až si budeme jisti, čidlo vypneme a místo něj pustíme naši napodobeninu, kterou jsme postavili. Ještě vymodelovat trochu staniolu mezi anténky, tak… poplašňák čidla houká! Zacpat si uši a za půl minuty znovu.

Český soutěžní stůl

… Takhle nějak vypadal děj první hardwarové úlohy, kterou řešili delegáti českých zemí, poprvé zavítavše na celoevropské finále European Cyber Security Challenge. Finále, která se pořádají od roku 2014, letos hostila španělská Malaga. Český tým sestával ze sedmi kluků starších 18 let, dvou 17letých a patnáctiletého, který byl z nás všech největší. Tvořilo jej deset vítězů prvního ročníku středoškolské Kybersoutěže, k jejímž významným sponzorům patří sdružení CZ.NIC a jíž se zúčastnilo na 1 100 studentů ze 162 různých škol. Ti poměřovali své schopnosti s dalšími 14 národy od Norska po Kypr v prostředí přímořského slunečného městečka v několika disciplínách – první z nich byla zmíněná hardwarové úloha, kterou jsme si opravdu vychutnali (nebo si ona vychutnala nás?). Jeden příběh za všechny. Konfigurace naší antény zapřičinila rušení signálu všech ostatních týmů… za několik okamžiků vyšel technik a zručnou triangulací zaměřil, že zdroj pochází od našeho stolu. V tu chvíli naštěstí hráči anténu vypnuli a technikovi sami nahlásili, že došlo k potížím.

Dostupné úlohy ale byly napínavé a nápadité. Například k šifrovací úloze dostali hráči jenom jediný soubor plný slova Pikachu. Přemýšleli, co je to za šifru, zkoušeli získat heslo z metadat souboru… až nakonec přišli na to, že se jedná o zdrojový kód v esoterickém programovacím jazyku Pikalang; z něj pak získali zdrojový kód v jazyku Brainfuck z roku 1993, který možná jako zástupce žertovného programování znáte spíš. Po provedení Brainfucku získali řádek podobný zápisu v /etc/shadow … a pro heslo stačilo už jen lousknout sha512.

Utkání v plném proudu

Jiná úloha procvičila hráče ve zneužívání SQL injection – s jednou třešničkou. Login formulář obsahoval totiž proprietární Captchu, kterou nebylo snadné obelstít. V HTML kódu stránky však našli poznámku a stačilo pak jenom uhodnout, na jakém URL běží mobilní verze, která Captchu nepodporovala.

Organizátorům můžeme poděkovat i za to, jak se o nás starali v době odpočinku. Ubytováním a úrovní stravování nám vskutku dali pocítit, že finále je za odměnu – soutěžící byli ubytování v blízkosti katedrály v hotelu, z jehož střechy se jevilo město jako na dlani, a každý večer nás zavezli na večeři, při níž jsme si mohli „do sytosti“ popovídat s kolegy z ostatních týmů.

Všichni si domů odvezli klávesnici Dell, výherci pak 3D tiskárny, drony nebo Arduina. Jisté potíže vyvstaly během přepravy – při přebalování zavazadel nám totiž došlo, že jen máloco může být na letišti méně podezřelé než hardware s klubkem drátů, připevněných na sejfovou klávesnici a bzučák. Umístit tuto podezřelost do palubního zavazadla, nebo dolů? Paní u skeneru se však jenom smála. Až později nám došlo, že zřejmě týž přístroj transportovala ten den před námi desítka týmů jiných národností, takže si personál letiště zřejmě zvykl.

Arduino s klávesnicí

Blogpost skoro uzavřu upřímnou výpovědí jednoho účastníka, kterou jsem vyposlechl v autobuse: „Na to, že jsem s Arduinem dělal poprvé v životě, si ho chci pořídit a dělat s ním doma. Zjistil jsem, že céčko není taková prasárna, ve které se píšou jenom herní enginy, jak jsem si vždycky myslel.“

Jinak druhý ročník Kybersoutěže již odstartoval, přihlásilo se dokonce 3 061 studentů – mezi nimi postoupili i někteří z letošních finalistů. Jestli zvítězí a pojedou reprezentovat Českou republiku i podruhé (což by se týmu hodilo – kluci budou moci přispět zkušenostmi), budeme vědět na jaře. Držím palce také všem dívkám, které se druhého ročníku účastní – něžné pohlaví mezi hackery zastupovala doposud jen Dánka, Britka a Rumunka; při představování byly poctěny náležitým potleskem. Tak je to správně, tak to má být!

Na úplný závěr ještě nesmím zapomenout, že za tenhle zážitek vděčím také projektu Safer Internet, který je spolufinancovaný Evropskou komisí.

Kategorie: