Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 27 min 51 sek zpět

Reportáž: zajímavá konference Security Case Study

St, 09/20/2017 - 11:38

Polská konference Security Case Study patří už třetím rokem mezi akce reagující na měnící se bezpečnostní klima a hrozbu kyberkriminality. Letos jsme zde sdíleli zkušenosti nejenom z crowdfundingu routerů Turris, ale zejména se sběrem a vyhodnocováním dat o bezpečnostních incidentech. 

Konference je dvoujazyčná (polština, angličtina) a celá řada zajímavých příspěvků byla pouze v polštině, takže bylo možné si pocvičit příbuzný jazyk. Úvodní keynote Richarda Lamba z ICANNu se zastavila zejména u přínosu DNSSEC pro bezpečnost před doménovými útoky a únosy. Tohle je pro našince už skoro stará vesta, česká doména je službou DNSSEC dobře pokrytá a ostatně Česko bylo dáváno za jeden z příkladů, kdy péčí správce domény se DNSSEC rychle rozšířil. Richard Lamb ale připomněl, že službu DNSSEC vnímá jako celkovou příležitost, jak bezpečnost na Internetu zvýšit, protože tato služba může být základem bezpečné komunikace i u dalších služeb, třeba VoIP.

Velká část přednášek se týkala analýzy dat, zejména forenzního šetření důkazů. S velkým zájmem se setkal například Mariusz Litwin z EY se svojí presentací věnovanou forenzní analýze toků bitcoinu. Praní špinavých peněz přes bitcoin se považuje za anonymní, Litwin ale připomněl, že jde jen o pseudonymitu a transakce lze většinou vystopovat. Na zpravidla volně dostupných nástrojích ukazoval klastrování, seskupování plateb a vysledování zdrojových i cílových účtů na případě několika incidentů a upozornil na to, že ani nástroje na „zamíchání“ bitcoinů jako je tumbling a mixing, nejsou úplně bezpečné a jsou otázkou spíše úsilí, které na to chce pátrající osoba vynaložit. 

David Janson z PhisMe se v presentaci The 2017 Phishing Threat Landscape zamýšlel nad budoucností phishingu a ransomware. Poukazoval na zvyšující se „uživatelskou přítulnost“, jíž se snaží jednotlivé ransomware zjednodušit zaplacení požadované částky. Některé koncepty zacházejí až tak daleko, že nabízejí chat jako uživatelskou podporu. „Z ransomware se stává produkt se vším všudy,“ postuluje Janson – oběť má za své peníze dostat zážitek. Zároveň se zvyšuje tlak: útočníci vyhrožují (a naštěstí zatím neplní), že proberou vaše osobní fotky a ty nahé/kompromitující rozešlou všem vašim přátelům a na pornoweby – a další podobné hrozby. Výrazná hrozba a impulsivní možnost zaplacení výpalného spolu s jednoduše kontrolovatelným procesem obnovy zašifrovaných dat je podle Jansona směrem, kam se ransomware v honbě za vyšší výtěžností výpalného posouvá. A připomíná relativní neúspěch ransomware WannaCry, které výrazně uspělo v oblasti rozšíření, ale díky zabudovanému „vypínači“ se mu nepodařilo vylákat z lidí větší částku výkupného. 

Johaness Kaspar Clos z německého CERT-Bundu ukazoval na příkladu botnetové sítě Avalanche, jak vypadá globální řešení rozsáhlého incidentu. Hon na autory Avalanche trval čtyři roky. Avalanche byla několik let frameworkem pro nelegální aktivity včetně ilegálního hostingu, na němž si zájemci mohli pronajímat prostor a výpočetní kapacitu sítě zombie počítačů, nic netušících nakažených počítačů. Vrcholem akce zahrnující mnoho set soudních příkazů, bylo zatýkání třiatřicetiletého Gennady Kapkanova na Ukrajině, které se neobešlo bez téměř filmových scén i střelby. Úspěšnou akci nakonec zhatil soud v ukrajinském městě Poltava, který nařídil kvůli údajně chybně vyplněným dokumentům Kapkanova propustit – a ten již nadále nebyl ve svém bydlišti k zastižení.

Přednáška Roberta Michalskiho ze Symantecu se zaměřovala na technologii Remote browser isolation, technologii Vzdálené izolace browseru. Ke koncovému uživateli se HTML stránka nedostává jako stránka, ale jako obrázek či neaktivní vrstva. Nemůže si tak nevědomky stáhnout do svého počítače škodlivý kód obsažený v různých souborech či přímo ve stránkách. Technologie dnes již tolik pokročila, že lze přehrávat bez potíží i videa na Youtube a používat prakticky všechny weby. Michalski upozorňoval, že přes 80 % útoků dnes přichází právě přes webové stránky, imitací nejrůznějších formulářů od bankovních rozhraní až po webové kancelářské balíky. Zejména pro firemní použití má Vzdálená izolace prohlížeče budoucnost podle Michalskeho před sebou, zatím jde ale její adopce i ve firmní sféře pomaleji, než se čekalo. A ještě jeden zajímavý odkaz k tomuto tématu.

Za projekt Turris jsme posluchače seznamovali nejenom s Turris kampaní na Indiegogo, ale především se způsobem sběru dat a jejich vyhodnocováním. Právě na příkladu Petya i starším bootnetu Mirai jsme mohli ukázat, jak data z jednotlivých routerů Turris na dohledovém centru generují včasné varování několik dní předem, než situace přeroste v globální bezpečnostní incident. Díky spolupráci s týmy CSIRT.CZ a GovCERT.CZ může Česko využívat „systému včasné výstrahy“ a rychleji se zorientovat v útocích. Útočníci ale přicházejí stále s novými metodami, proto jsou některé doposud integrované služby v Turrisu osamostatňovány, aby se mohl rozšířit jejich záběr. To je příklad vytěžování dat o útočnících prostřednictvím honeypotů. Kdysi součást řešení Turrisu se dnes osamostatňuje do podoby Honeypot as a Service (HaaS) a je k dispozici i dalším partnerům. Velikou roli hraje spolupráce, v případě Turrisu pak spolupráce s týmy ČVUT na projektech honeypotů a hackerských pastí pomáhat zachytávat útoky a rychleji odhalovat jejich podstatu.

Podobná setkávání mají pro bezpečnostní komunitu velký smysl. Škála kyberkriminality je stále širší a i sami její pachatelé hledají, jak získat s co nejméně námahy a rizikem největší zisk. Zajímavý postřeh přinesl jeden z kriminalistů v panelové debatě, kde se lidé běžně pozastavovali nad tím, proč počítačový expert raději páchá kyberkriminalitu, než aby se za podobné peníze a s výrazně větším klidem nechal zaměstnat v oboru. Připomněl, že stále ještě existují státy, ze kterých nemůžete vycestovat, kde se nemůžete nechat zaměstnat u západní firmy, aniž byste nebyli terčem útoků, a kde je kyberkriminalita tou méně rizikovou aktivitou, s níž lze s dobrým příjmem zůstat mimo dohled úřadů.

Kategorie:

Nové přírůstky do rodiny uživatelů registračního systému FRED

Čt, 08/17/2017 - 11:01

Náš open source registrační systém FRED se v loňském roce uchytil v Togu, Argentině a Malawi. Zejména Argentina jakožto osmá největší země světa nás hodně potěšila. Argentina je tedy nyní největší doménový registr, který systém FRED kromě nás používá. Jelikož máme informace ze zemí, které náš systém již delší čas testují, bylo pro nás celkem překvapení, když se na začátku letošního roku ozvali z Macaa, že bez problémů zvládli instalaci, migraci a již brzy plánují produkční provoz. Registr domény .MO je tedy první asijská destinace našeho produktu. Krátce poté jsme se dozvěděli o dalším registru v Africe, který zvládl přechod na FRED. Je jím malá země Lesotho používající doménu .LS. Podívejme se na tyto nové přírůstky do komunity uživatelů systému FRED podrobněji.

Malá africká země na pobřeží Guinejského zálivu, Togo, je pro nás trochu záhadou. Ozvali se nám na začátku roku 2016 s informací, že již delší čas používají FRED pro správu domény .TG a že by potřebovali pomoci s vytvořením databázových dotazů, kterými by zjistili nějaké informace z dat uložených v registru. Pár měsíců komunikace fungovala, ale posléze ustala. Z informací od některých dalších afrických partnerů vyplývá, že se v Togu řeší, kdo vlastně bude národní doménu spravovat. Je tak podle nich možné, že lidé, se kterými jsme komunikovali, budou odsunuti na vedlejší kolej. Uvidíme, jak se situace bude vyvíjet, a pokud se to potvrdí, tak Togo z naší mapy nasazení odstraníme.

V dubnu 2016, krátce po IETF v Buenos Aires, nám napsali z argentinského doménového registru NIC Argentina, že se rozhodli použít FRED pro .AR, resp. pro jejich osm domén druhé úrovně (COM.AR, ORG.AR, NET.AR, INT.AR, GOB.AR, MIL.AR, TUR.AR a MUSICA.AR). Příprava systému a migrace jim zabrala zhruba dva měsíce. Argentinská doména byla dlouhou dobu zajímavá tím, že byla úplně zdarma. Před zavedením zpoplatnění v roce 2014 měl registr zhruba dva milióny domén. Zpoplatnění vedlo přirozeně k rychlému úbytku. V době migrace na FRED měl registr přibližně 550 tisíc domén. NIC Argentina aktuálně funguje jako registr, ale zároveň také jako registrátor, přičemž domény je nutné objednat přímo přes jejich webové stránky. Krátce po migraci také kolegové v Argentině zprovoznili protokol RDAP a stali se tak po České republice druhou zemí na světě, která zaregistrovala RDAP server v registru IANA.

Se správcem doménového registru v Malawi jsme naopak byli v kontaktu několik let a přestože jej FRED velice zaujal, finální produkční provoz rozjeli v registru domény .MW až v druhé polovině loňského roku. Oproti Argentíně začali v Malawi ihned po spuštění akreditační proces pro registrátory a aktuálně již nabízí své služby prostřednictvím přibližně 15 registrátorů. V registru domény MW je v tuto chvíli něco kolem 10 tisíc domén. Podobně jako v Argentíně mají v Malawi systém několika domén druhé úrovně (AC.MW, CO.MW, COM.MW, COOP.MW, EDU.MW, GOV.MW, INT.MW, NET.MW a ORG.MW). Oproti Argentíně je ale možné registrovat i přímo v doméně .MW.

V malé asijské zemi Macau spravuje národní doménu .MO společnost MONIC. Na zprovoznění systému FRED spolupracovali s jejich partnery z registru .ASIA,  ale i tak je chvályhodné, že se jim povedla migrace bez naší větší podpory. Doména .MO zatím funguje podobně jako Argentina, tedy bez registrátorů. MONIC aktuálně v registru spravuje kolem tří tisíc domén. Zajímavostí bezesporu je, že MONIC používá FRED i pro IDN domény a to v čínštině a portugalštině. Domény je možné registrovat jak přímo v .MO tak v specializovaných doménách druhé úrovně (COM.MO, EDU.MO, NET.MO, ORG.MO, 公司.MO, 教育.MO, 網絡.MO a 組織.MO).

Zatím posledním přírůstkem je registr domény .LS, spravující národní doménu jihoafrického Lesotha. Lesotho je příkladem toho, že komunita kolem registračního systému FRED již funguje téměř bez nás. V rámci partnerství mezi africkými registry pro doménu .LS a .TZ (kde již běží FRED mnoho let) došlo k intenzivní výměně zkušeností a s tanzánskou pomocí se podařilo zprovoznit registrační systém domény .LS bez toho, abychom se my jakkoliv zapojili. V Lesothu je nyní možné registrovat domény pouze na třetí úrovni pod (CO.LS, ORG.LS, GOV.LS a AC.LS) a dohromady mají kolem 1,3 tisíce domén. Aktuálně teprve startuje proces akreditace registrátorů a až se celý proces rozjede, plánují i otevření registrací přímo v doméně .LS.

Kategorie:

Letos jsme uspořádali náš první Kybertábor

St, 08/02/2017 - 10:30

Letní období se, jak už to tak bývá, nese ve znamení dovolených, dobrodružných prázdnin u babiček a dědečků, nejrůznějších výletů a také ve znamení táborů. My jsme se rozhodli nezůstat v této oblasti pozadu a jelikož babiček a dědečků u nás zatím moc není a moře taky nemáme, rozhodli jsme se využít volnějších prostor naší akademie a v rámci projektu Safer Internet uspořádat příměstský Kybertábor.

Ve spolupráci s Domovem dětí a mládeže na Praze 9 jsme už od zimy pilně pracovali na přípravách této oddychové letní akce. Kapacita tábora se naplnila krátce po jeho vyhlášení a my jsme se tak mohli těšit na 21 dětí ve věku od 9 do 15 let.

Jak se následně ukázalo, přihlásila se nám skutečně skvělá parta. Snem většiny našich kybertáborníků byly především pracovní pozice na místě programátorů a vývojářů her. Pokud se alespoň jednomu z nich jejich sen splní, bude možná, i díky nám, za pár let o pár děravých her na trhu méně. Celé dva dny z pěti jsme totiž věnovali kybernetické bezpečnosti.

To už ale přeskakuji pestrý program, který začal v pondělí představením „Internetu věcí“. V úterý jsme naše kybertáborníky seznámili s tím, jak vlastně funguje Internet, jak lépe zabezpečit své zařízení a nechali jsme je vyzkoušet si, jak se nabourat do WiFi sítě.

Ve středu jsme začali odpojením myší od počítačů a děti tak měly díky kolegovi Edvardovi Rejthartovi možnost zjistit, že není zase až tak nepostradatelná, jako si myslely. Program pokračoval tvorbou vlastních gamebooků, tedy knih, jejichž příběh směruje sám čtenář, a která se vytváří v jednoduchém javascriptovém prostředí. Následně jsme si jeden příběh zahráli přímo v prostorách budovy „offline“.

Ve čtvrtek měly děti šanci dozvědět se další velké množství informací o bezpečnosti: síťové bezpečnosti, bezpečnosti bezdrátových sítí, webových aplikací a forenzní bezpečnosti. Ve druhé části dne si pomocí připraveného balíčku aplikací jednotlivé úkoly vyzkoušely sami.

Na páteční program se náš instruktor připravoval více než 12 hodin, a to díky tisku armády robůtků. Děti si potom na připravených 3D tiskárnách tiskly základní geometrické tvary a když získaly trochu těch dovedností, vytiskly si vlastní chobotničku. Mimo to si mohly vyzkoušet, jak funguje 3D Scanner, a než se nám rozbilo 3D pero, stihlo pár účastníků vidět i to :-).

Vše popsané jsou pouze dopolední programy, protože sedět pořád jenom u počítače je nuda, takže během každého odpoledne jsme měli pro děti připravený i venkovní program. Hledali jsme kešky, navštívili jsme „naše“ datacentrum, podívali jsme se na Prahu ze všech stran Žižkovské věže, navštívili jsme Apple muzeum, ve Stromovce jsme hráli QR orienťák a na závěr si vyrobili něco malého na památku.

Kategorie:

Novela Zákona o kybernetické bezpečnosti vstupuje v účinnost

Út, 08/01/2017 - 05:50

Od 1. srpna nabývá účinnost novela zákona č. 181/2014 Sb., zákon o kybernetické bezpečnosti a o změně souvisejících zákonů známá spíš pod názvem Zákon o kybernetické bezpečnosti. Novela v první řadě implementuje směrnici NIS (Směrnice Evropského Parlamentu a Rady EU o opatřeních k zajištění vysoké společn úrovně bezpečnosti sítí a informačních systémů v Unii). O změnách, které tato směrnice přinese, jsme na našem blogu již psali, novela zákona však řeší také nedostatky, které se objevily postupně během uplynulých let, a to v souvislosti s implementací zákona o kybernetické bezpečnosti. Jaké změny nás tedy čekají?

1. Zavádí se nové povinné orgány a osoby
Směrnice NIS stanovuje dva rámce, na které by se měly vztahovat určité povinnosti v oblasti kybernetické bezpečnosti. Jsou to základní služby a digitální služby. Povinné osoby se tedy rozšiřuji o správce a provozovatele informačního systému základní služby (§ 3 písm. f), provozovatele základní služby (§ 3 písm. g) a poskytovatele digitálních služeb (§ 3 písm. h). Provozovatelé základní služby a informační systémy základní služby budou určeny úřadem do 9. listopadu 2018. Co se týče poskytovatelů digitálních služeb tedy on-line tržiště, internetových vyhledávačů a cloud computingu, ty se budou muset určit sami na základě definic daných v zákone.. Pokud však mají poskytovatelé digitálních služeb sídlo v jiném členském státu Evropské unie, daný zákon se na ně nevztahuje. Když ale digitální služby v České republice poskytuje a nemá v Evropské unii sídlo ani zástupce, je povinen ustanovit si v České republice svého zástupce.

Dobrá zpráva pro poskytovatele digitálních služeb, kteří se řadí mezi mikro nebo malé podniky, je, že na ně se daný zákon nevztahuje.

2. Rozšiřují se pravomoci Národního bezpečnostního týmu CSIRT.CZ
Národní bezpečnostní tým CSIRT.CZ bude nově od 1. srpna přijímat hlášení kontaktních údajů také od poskytovatelů digitálních služeb. Neplnění této povinnosti však nebude sankcionovatelné dřív než za rok. Tým CSIRT.CZ bude pro tyto povinné osoby sloužit také jako kontaktní místo a bude jim poskytovat případnou metodickou pomoc.

3. Vzájemná informační povinnost
Zavádí se informační povinnost mezi povinnými osobami, která je popsaná v § 4a. Nově například orgány a osoby, které se staly správci informačních nebo komunikačních systémů kritické informační infrastruktury nebo správci významných informačních systémů, a nejsou provozovateli tohoto systému, jsou povinni neprodleně a prokazatelně informovat provozovatele systému o této skutečnosti a o tom, že se tento provozovatel stal orgánem nebo osobou podle § 3 písm. c), d) nebo e). Zjednodušeně lze říci, že se zavádí informační povinnosti mezi správci a provozovateli vybraných informačních systémů. Často se totiž stává, že správce a provozovatel (ten, kdo zajišťuje funkčnost systému) jsou různé osoby a provozovatel nemusí vědět, že provozuje systém, který byl označen jako kritický.

4. Mění se smluvní vztahy s poskytovateli cloud computingu
Tato poměrně zásadní změna se týká smluv mezi poskytovateli cloud computingu a orgány veřejné moci, které jsou povinnými osobami. V § 4 odstavci 5 – 7 se nově popisuje, co všechno by dané smlouvy měly obsahovat. Pokud smluvní vztahy neodpovídají novému předpisu, povinné osoby mají rok na to, aby dané smlouvy upravili.

5. Vzniká nový úřad
Nový úřad bude mít sídlo v Brně a stane se kontaktním místem pro oblast kybernetické bezpečnosti také pro zahraničí. Název úřadu bude Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Od 1. srpna budou všechny změny přehledně k dispozici v rámci metodického manuálu, který najdete zde. Na závěr ještě doplním, že této „velké“ novele zákona předcházela „malá“ novela, která vstoupila v účinnost 1. července tohoto roku. Změny „malé“ novely najdete zde.

Kategorie:

Česká republika dosáhla významného zlepšení v mezinárodním srovnání připravenosti na kybernetické útoky

Po, 07/31/2017 - 10:30

Česká republika dosáhla v nedávné době dvou významných úspěchů v mezinárodních srovnáních v oblasti kybernetické bezpečnosti. Podle National Cyber Security Index se umístila na 1. místě. V hodnocení OSN (ITU) jsme se pak zlepšili o min. 6 příček. Zatímco v roce 2015 jsme v tzv. Global Cybersecurity Index obsadili sdílenou 41. až 43. příčku, letos jsme se posunuli na 35. místo.

Mezinárodní srovnání (tzv. benchmarking) připravenosti a vyspělosti jednotlivých zemí v oblasti kybernetické bezpečnosti je založeno především na hodnocení oblastí jako je legislativa, organizační kapacity či mezinárodní spolupráce.

Jak srovnání OSN, na jehož vyplnění jsem se za ČR podílel, tak estonský projekt National Cyber Security Index (NCSI), hodnotí např. existenci národní strategie pro oblast kybernetické bezpečnosti a její implementaci, právní postižitelnost jednání kybernetické trestné činnosti včetně ratifikace mezinárodní Úmluvy o kybernetické kriminalitě. Mezi další kritéria společná pro oba zmíněné benchmarky patří existence vzdělávacích programů (curricula) na jednotlivých stupních škol či realizace osvětových aktivit. Samozřejmostí je pak funkční národní a vládní pracoviště CERT.

Umístění České republiky v NCSI

Ke zlepšení hodnocení České republiky v oblasti kybernetické bezpečnosti významně přispělo i sdružení CZ.NIC. Vedle fungování vlastního Národního bezpečnostního týmu CSIRT.CZ byly výslovně oceněny např. novinky Aktuálně z bezpečnosti (AZB). Estonský projekt samozřejmě oceňuje i aktivity Národního bezpečnostního úřadu a vládního pracoviště CERT.

V hodnocení OSN realizovaném Mezinárodní telekomunikační unií (ITU) si oproti roku 2015 Česká republika zlepšila skóre z 0,500 bodu na 0,609, což znamenalo posun o min. šest příček na 35. místo. V rámci tohoto hodnocení jsme získali cenné body např. i za projekt bezpečnostního routeru Turris, aktivní podporu zakládání CSIRT týmů nebo kurzů pořádaných Akademií CZ.NIC.

Rozdílné umístění v obou žebříčcích bylo způsobeno především nižším počtem států zahrnutých do estonského projektu (pouze 26 zemí). Dle ITU nejlepší Singapur, druhé USA či třetí Malajsie v estonském projektu nefigurovaly.

Svoji roli ve výsledcích představovala i metodologie a mnohem širší a podrobnější otázky řešené ITU. Obě srovnání však potvrzují pozitivní trend připravenosti na kybernetické útoky, který potvrdilo i cvičení Locked Shields, v rámci kterého byl nejlepší český tým. Jeho součástí byli i dva zástupci Národního bezpečnostního týmu CSIRT.CZ.

Kategorie:

IETF 99 v číslech

St, 07/26/2017 - 21:45

Minulý týden se díky konferenci IETF (Internet Engineering Task Force) stala Praha centrem internetové komunity. Pocty hostit toto významné setkání, na kterém vznikají internetové standardy, tzv. RFC (RFC – Request for Comments) se České republice dostalo již po čtvrté – v březnu 2007 (68th IETF), 2011 (80th IETF) a červenci 2015 (93th IETF), přičemž na organizaci posledních třech setkání se podílelo naše sdružení.

Praha je pro IETF nejoblíbenější evropskou destinací. Další lokality (Berlín, Londýn, Paříž a Stockholm) zatím hostily pouze po dvou setkáních. V Praze se přitom na další konferenci této organizace můžeme těšit na jaře 2019.

Autor: Glenn Deen, Comcast NBC Universal

Stejně jako před dvěma lety jsem se i tentokrát rozhodl ukázat, jaké bylo 99th IETF v číslech a grafech. Na setkání letos fyzicky dorazilo celkem 1 230 účastníků, z nichž někteří vzali do Prahy své drahé polovičky či potomky. Dalších 506 účastníků pak bylo na setkání přítomno virtuálně (remote participants).

Celkem se na pražské IETF sjeli lidé z 59 zemí, nejvíce z USA (453), Německa (116) a Číny (95). Z celkem 16 zemí, např. Bangladéše, afrického Lesotha či Venezuely k nám dorazil po jednom účastníkovi. Za nejvíce exotické území, ze kterého do Prahy přijel také jeden účastník, považuji Menší odlehlé ostrovy Spojených států amerických (UM).

Poslední graf znázorňuje, jaký den se návštěvníci na IETF registrovali. Celkem logicky se rekordmanem stala neděle 16. července. Kdyby měli všichni návštěvníci přiletět do Prahy jedním letadlem, největší dopravní letadlo A380 by jim nestačilo.

Kategorie:

Jaký byl #TurrisHack17 ?

Út, 07/18/2017 - 07:50

Od počátku projektu Turris jsme velmi rádi, že můžeme úzce spolupracovat s komunitou. Bez ní bychom s projektem ani zdaleka nebyli tam, kde jsme. Byl to z nemalé části i zájem potenciálních uživatelů, který nás postrčil ke kampani na Indiegogo a byla to opět z velké části komunita, která umožnila kampani stát se úspěšnou. Tento úspěch nám také pomohl komunitu uživatelů výrazně zvětšit a rozšířit z České republiky do světa.

V jednom z rychlých sprintů kampaně jsem přišel do Turris týmu a od té doby se snažím celý produkt a jeho vývoj komunitě přiblížit. Ideální to zatím jistě není, ale dětské krůčky nás pomalu opět sbližují. Čistíme a vylepšujeme fórum, pilujme a doplňujeme dokumentaci, otevíráme nové komunikační kanály; jezdíme po konferencích a open source setkáních, kde potkáváme mnoho nových Turris nadšenců a navazujeme zajímavá a významná partnerství. O tom všem ale až příště. Dneska bych Vám rád pověděl o prvním Turrisím hackathonu, který jsme pořádali. Střípky z něj můžete najít na Twitteru pod #TurrisHack17.

Prvotní myšlenky hackathonu byly dvě. Sblížení se s komunitou a navázání kontaktu s její vývojářskou částí. Open source je přece i o společné práci na kódu. Chtěli jsme dát komukoliv šanci přidat si do routeru to své a sdílet to s dalšími uživateli.

Vzhledem k tomu, že jsme hackathon jako Turris tým nikdy předtím nepořádali, využili jsme zkušeností posbíraných účastmi na podobných akcí a obrovského know-how týmu naší Akademie CZ.NIC z pořádání konferencí, školení i méně formálních akcí. Přesto jsme se rozhodli první setkání koncipovat spíše jako menší, „rodinné“ a na domácí půdě, naopak s veškerým servisem.

Sešli jsme se tedy 16. června v 15:30 a po krátkém úvodním seznámení se členové Turris týmu vývojářům z komunity pokusili přiblížit dvě důležité části vývoje pro routery Turris – jak pro Turris balíčkovat a jak vytvářet pluginy pro jeho webové rozhraní Foris. Obě přednášky kolegů Michala Hrušeckého a Štěpána Henka budete již brzy mít k dispozici na YouTube, v češtině s anglickými titulky.

Následovala pauza na kávu, diskuze o projektech a rozdělení do týmů. To proběhlo následnovně:

Tým Bigclown s jasným záměrem zlepšení podpory HW a integrace dat BigClown do Forisu. K HW vývojářům Karlovi, Pavlovi a Danovi přímo z firmy BigClown se přidal Jirka, který jim výrazně pomohl s front-endem.

UPS tým s cílem vyvinout unikátní záložní zdroj pro Omnii plně komunikující s routerem reprezentovaný odhodlaným bastlířem a učitelem informatiky Jardou a Turris vývojářem Karlem

– Dlouholetý fanoušek Turrisu, zkušený Pythonista a Linuxák Jethro se rozhodl částečně spolupracovat s UPS týmem, ale především zprovoznit na Omnii low-cost bezdráty NRF24L01

– Tým jednoho z dlouhodobě nejaktivnějších členů komunity a Linux admina Ondry s vrchním balíčkářem Turris OS Michalem se odhodlal k portaci Btrfs a nástroje schnapps pro Turris 1.x

– Martin se zkušenostmi s Pythonem, Djangem i Javascriptem připravoval obsluhu připojování disků ve Forisu

 

Stylově v 18:18 jsme odstartovali 24 hodin vývoje, během nichž jsem se snažil hodně reportovat na Twitteru. Nápadů na řešení bylo v každém týmu nemálo, přesto všichni začali s psaním kódu velmi rychle. Jarda překvapil, když se své malé brašny krom součástek a olověných baterií začal tahat také pájku a nemálo dalšího nářadí. Bylo velmi hezké sledovat, jak na Turrisím hackathonu krásně rezonuje jedno z našich hesel: „Miluji hardware“. To ostatně můžete vidět i ve fotogalerii.

Jak postupovaly hodiny, byla chvílemi znát i mírná únava. Někdo si na chvíli schrupnul, jiní se šli proběhnout noční Prahou kolem Olšanských hřbitovů. Dle referencí skutečný zombie run. Hlavní tažnou silou byly nápoje Club Maté a především Carcara Fizz. Netradiční a přírodní „energiťák“ fungoval dle ohlasů mnohem lépe, než RedBully a podobné. Asi nezvyk.

Nad ránem už se nám začaly reálně vykreslovat obrysy vývojářské práce a s postupem dne stále vládla dobrá nálada, atmosféru jsme se snažili doplňovat i vhodnou a tématickou hudbou. Znáte třeba SUSE písně? Samozřejmostí byl neustálý přísun jídla a pití, protože výkonný vývojář toho prostě spořádá hodně.

Pár hodin před koncem jsem očekával mírnou paniku, že se projekty nestihnou dotáhnout, ale nic takového nenastalo. Nakonec všichni dokončili s přehledem půl hodiny před limitem. A to se nekladli zrovna malé cíle!

Klauni udělali obrovský kus práce a propojení jejich HW s Omnií bude brzy o poznání jednodušší. Až téměř nemožný úkol v podobě portace Btrfs a snappsu na zasloužilé Turrisy se velmi povedl, díky přesunu filesystemu na microSD kartu chytli naše původní routery další dech. A rozhodně ne poslední! Za velmi zajímavé částky si budete moci postavit speciální UPS, která umí notifikovat ve Forisu i mailem o změnách napájení či potřebě nabití, a domácí automatizaci na standardu NRF24L01. Jednoduché ovládání připojování úložišť pak bude příjemným usnadněním každodenního použití routerů Turris.

Po prezentaci povedených děl jsme se odebrali na večeři a krátké uvolněné povídání o výsledcích do nedaleké restaurace. Jednoho by až překvapilo, jak krásně kreativní dokáží všichni být po úspěšném dokončení úkolu přesto, že za sebou mají více než 24 hodin práce.

Co jsem si tedy nejen já odnesl z prvního Turris hackathonu?

Že rozhodně nebyl posledním a brzy uděláme další, tentokrát větší a ideálně mezinárodní. S největší pravděpodobností opět nesoutěžní, protože atmosféra se nám povedla vytvořit velmi dobrá a rádi bychom ji zopakovali. Zpřesníme odhady pití i pochutin a nezapomeneme si připravit i na příště něco speciálního a netradičního. Připravíme více místa pro power-napy. Více zapracujeme na propagaci celé akce a lépe se rozhlédneme v kalendáři, abychom našli termín nekolidující s jinou open source akcí. Tentokrát jsme trefili OSS víkend v Bratislavě a už se nedalo nic moc změnit. Především pak urychlíme a zjednodušíme předávání výsledků práce a jejich poskytnutí všem uživatelům. Na většinu ze zmíněných se můžete těšit v následujících týdnech v Turris OS 3.8. Návody budou také postupně vyskakovat ve wiki.

Ještě jednou bych rád poděkoval všem účastníkům, byli jste úžasní! Obrovský dík přidávám znovu i vývojářům z Turris týmu, kteří si významně protáhli pracovní den, aby byli účastníkům nápomocní, a také týmu Akademie CZ.NIC. Bez jejich pomoci bychom to nezvládli.

Routeru zdar a věřím, že se uvidíme na příštím hackathonu!
#WeBelieveInOpenSource

 

Kategorie:

Co má společného Postel, IETF a dnešní Internet

St, 07/12/2017 - 09:55

Ve dnech 16. – 21. července 2017 se v Praze bude konat konference IETF 99. O tom, co IETF je a jak funguje, už dřív česky psal můj kolega Ondřej Surý ve svých článcích Cesta do hlubin IETFOdkud pochází Internetové standardy (aneb bylo jednou jedno RFC) nebo Vrána k vráně sedá aneb koťátka, dogy a nápoje v IETF. Ladislav Lhotka zase trefně popsal její neobvyklou geekovskou atmosféru. Proto stačí uvést, že IETF je organizace vydávající internetové standardy. Jejím cílem je vytvářet kvalitní technickou dokumentaci, která ovlivňuje vývoj Internetu a aplikací přes něj provozovaných.

Mezi výsledky práce IETF patří např. standardizace SMTP protokolu pro přenos e-mailu i protokolu HTTPS, přes který nejspíš čtete tento článek. Myšlenkově ale IETF ovlivnilo svět počítačových sítí mnohem více. Uživatel nevědomky ocení, například když jeho webový prohlížeč správně zobrazí i takové HTML stránky, u nichž autor zapomněl uzavřít párový tag jako je např. „<body>“ pomocí uzavíracího „</body>“. Stejně tak poštovní servery běžně doručují e-maily, přestože DNS informace o doručovacím serveru je v rozporu se standardem. Toto je například možné díky široké aplikaci tzv. Postelova principu, jednoho ze základních principů, pomocí kterého se interpretují internetové standardy.

Princip je pojmenován po Jonu Postelovi (1943–1998) a objevil se v roce 1981 ve standardu pro Internet Protocol (to je „ten“ protokol, co dnes všichni bezmyšlenkovitě zkracujeme jako IP). Postelův princip říká: „Implementace musí být konzervativní při odesílání a liberální při příjmu.“ (v originálu: „an implementation must be conservative in its sending behavior, and liberal in its receiving behavior.“).

V roce 1981, když byl Internet ještě v plenkách, bylo cílem Postelova principu usnadnit propojování systémů různých výrobců stanovením odlišných kritérií pro odesílání a příjem paketů. Při odesílání by měl systém produkovat pakety formátované konzervativně, tj. podle standardu. Naopak při příjmu by implementace měla „přimhouřit oko“ a akceptovat i takové pakety, které sice nejsou technicky na 100 % správně, ale je z nich stále zřejmé, co paket znamená.

Tento princip byl ze standardu IP přejat a široce aplikován i na implementace ostatních protokolů, se kterými se každodenně setkáváme. Příkladem jeho aplikace je už zmíněné zobrazení HTML stránky navzdory chybějícímu tagu „</body>“ (důkaz: zde).

Vypadá to jako jasná výhra pro uživatele i Internet jakožto síť sítí: Vše funguje, všichni jsou spokojení. Nebo snad nejsou?

Postelův princip má i odvrácenou stranu, se kterou se setkávají hlavně vývojáři, kteří se snaží držet přikázání a být liberální při příjmu. Potíže pramení z toho, že princip samotný odkazuje na to, „co paket znamená“, bez ohledu na jeho formální správnost. To staví vývojáře před nelehký úkol najít nějaký význam v paketu, jehož formát není popsaný.

Ilustrujme si to na DNS protokolu: jeho standardizovaná verze umožňuje DNS serveru odeslat v odpovědi více informací najednou:

Dotaz klienta může vypadat třeba takhle:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20394
;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 6
;; QUESTION SECTION:
nic.cz.                  MX

Standardní paket s odpovědí serveru vypadá následovně:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 111
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 6
;; QUESTION SECTION:
nic.cz.                  MX

;; ANSWER SECTION:
nic.cz.        1800      MX     10 mail.nic.cz.
nic.cz.        1800      MX     20 mx.nic.cz.
nic.cz.        1800      MX     30 bh.nic.cz.

;; ADDITIONAL SECTION:
bh.nic.cz.     1800      A      217.31.204.252
mail.nic.cz.   1800      A      217.31.204.67
mail.nic.cz.   1800      AAAA   2001:1488:800:400::400
mx.nic.cz.     1800      A      217.31.58.56
mx.nic.cz.     1800      AAAA   2001:1ab0:7e1e:c574:7a2b:cbff:fe33:7019

Toť standard: jeden dotaz a jedna odpověď s více položkami.

A teď si představme, že program přijme paket s polem „dotaz“ obsahujícím (v rozporu se standardem) dvě položky:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2222
;; flags: rd ad; QUERY: 2, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
www.nic.cz.               A
www.nic.cz.               AAAA

Co tím odesilatel myslí? Tady začínají problémy, protože dva různí vývojáři si mohou pravidlo „být liberální při příjmu“ snadno vyložit jinak. První vývojář se rozhodne, že program odpoví jen na první ze dvojice dotazů, protože standard neříká, jak se odpovídá na dva dotazy najednou. Druhý si naopak řekne, že standard sice nepředepisuje formát odpovědi na dvě otázky, ale odesilatel dotazu asi chce v poli „odpověď“ mít informace ze všech dotazů, takže naskládá odpovědi za sebe do jednoho paketu. Třetí vývojář problém vyřeší rozdělením odpovědi na každou jednotlivou otázku do samostatného paketu, takže na jeden paket s dotazem pošle dva pakety s odpovědí.

Kdo z nich má pravdu? Vlastně nikdo, protože toto chování standard nedefinuje. Výsledkem je samozřejmě zmatek, protože se různé implementace chovají nekompatibilně.

Problém se vystupňuje, když se příslušná pracovní skupina pokusí rozšířit původní standard o podporu pro „více dotazů najednou“, kterou ale mezitím vývojáři naimplementovali každý jinak. Žádná z implementací se nechce vzdát svého chování, typicky s odkazem na to, že „naši uživatelé jsou závislí na chování naší implementace, a proto ho nemůžeme změnit“. Takže úplně na konec buď vznikne standard, který ale téměř nikdo nedodržuje (protože se všichni drží vlastního vynálezu), nebo nový standard nevznikne vůbec, protože není možné dosáhnout ani hrubého konsenzu o jeho podobě.

Tímto způsobem „liberální” část Postelova principu vede k vytváření vzájemně nekompatibilních rozšíření, která znesnadňují další vývoj protokolu a v důsledku tak způsobují „zkostnatění“ prostředí na Internetu.

Rychlý vývoj Internetu a aplikací přes něj provozovaných zároveň vede k potřebě přizpůsobovat existující standardy a vytvářet nové. Aplikace Postelova principu na konkrétní problém je proto otázkou, které se žádná pracovní skupina v rámci IETF nemůže vyhnout. Vždy je nutné zvážit pro a proti: Má být konkrétní vlastnost protokolu pevně daná a striktně vyžadovaná, což může zpomalit či znemožnit jeho další vývoj? Nebo má určitá část protokolu záměrně zůstat volnější, otevřít dveře aplikaci Postelova principu a umožnit překotný vývoj za cenu rizika nekompatibilních rozšíření?

IETF má v současnosti 126 pracovních skupin a pole jejich působnosti je opravdu široké. Seznam a agendu všech pracovních skupin je možné najít zde, kde je také možné se zaregistrovat do e-mailové konference libovolné pracovní skupiny a přečíst si nejen, co se bude probírat na letošním, pražském IETF, ale také jak bude práce pokračovat dál. Tímto způsobem jsou pracovní skupiny otevřené komukoliv, kdo se v dané problematice vyzná a je ochoten jí věnovat čas.

Kategorie:

Turris spolehlivě a bezpečně připojil finále Národní soutěže kybernetické bezpečnosti

Čt, 07/06/2017 - 09:25

Finále Středoškolské soutěže České republiky v kybernetické bezpečnosti proběhlo 1. června 2017. Z celkového počtu 283 soutěžících z druhého kola soutěže se do finále probojovalo 29 soutěžících.

V prostorách mezinárodního veletrhu obranných a bezpečnostních technologií IDET řešili finalisté celkem pět reálných bezpečnostních scénářů. Jednalo se například o analýzu síťové komunikace, zranitelnost webové aplikace nebo prolomení složité šifry. Studenti byli pro řešení úkolů rozlosováni do šesti týmů, čímž byli nuceni i k blízké týmové spolupráci.

Průběh soutěže prověřil jejich schopnost týmové spolupráce, práci pod tlakem, zpracování nových informací a jejich aplikaci při řešení praktických úloh od kryptografie až po zapojování MESH sítě.

Hodnocení soutěžících prováděl soutěžní výbor a po vyhlášení výsledků druhého kola soutěže, měli účastníci dokonce ještě sedm dní na to, aby výsledky připomínkovali. Organizační tým obdržel celkem jedenáct připomínek, sedm z nich bylo relevantních a nejen na tomto aspektu ukázali organizátoři soutěže svou otevřenost a schopnost přiznat a bezproblémově napravovat své chyby.

Vítězem prvního ročníku soutěže v kybernetické bezpečnosti se stal Jakub Smejkal ze Střední školy informatiky, poštovnictví a finančnictví v Brně. Tato škola se také stala celkově nejúspěšnější školou celorepublikového finále, a to nejen proto, že i na třetím místě se umístil její student, ale především díky tomu, že ve finále měla celkem pět zástupců, z nichž se hned čtyři umístili v první patnáctce finalistů. Další informace o umístění studentů naleznete zde. Střední škola informatiky, poštovnictví a finančnictví v Brně byla vyhodnocena jako bezkonkurenčně nejúspěšnější a díky fantastické práci se studenty získala pro potřeby výuky jako odměnu od CZ.NIC router Turris Omnia.

Ten bude podle informací od jeho nových uživatelů sloužit v praktickém vyučování žáků, zejména při výuce nového školního vzdělávacího programu Kybernetická bezpečnost, jehož pilotáž potvrdilo škole MŠMT (jako jedné ze dvou škol v ČR).

Router Turris Omnia také po celou dobu finále zajišťoval bezproblémové připojení k Internetu v jinak velmi zatížené hale. Hlavní organizátor soutěže Petr Jirásek jej ocenil především díky snadnému nastavení a možnosti přepínání jednotlivých frekvencí. Tato funkcionalita zajistila stabilní připojení pro všechny účastníky. Jedinou nevýhodou tak bylo, že studenti se na frekvenci 5 GHz z některých svých vlastních starších notebooků, které toto pásmo nepodporují, nemohli připojit. Pro účely soutěže byly však od Ministerstva práce a sociálních věcí zajištěny notebooky, které tento náročnější technický požadavek splňovaly.

Úspěšným a přínosným národním finálovým kolem však soutěž zdaleka nekončí. První tři finalisté postoupili automaticky do evropského kola soutěže v kybernetické bezpečnosti, které proběhne 30. října až 3. listopadu 2017 ve španělské Malaze.

Do evropské soutěže bude za Českou republiku nominován desetičlenný tým sestavený ještě navíc ze čtyř dalších finalistů, kteří budou vybráni na základě svého snažení a dosažených výsledků v rámci letní školy. Do desítky budou poté nominováni ještě tři další vysokoškolští studenti; toto umožňují pravidla pro soutěžní týmy z jednotlivých zemí. Sdružení CZ.NIC se díky projektu Safer Internet z velké části podílí na financování nákladů spojených s účastí českého týmu v této mezinárodní soutěži.

Závěrem ještě stojí za zmínku nevšední nakládání s osobními údaji – v rámci celé soutěže organizátoři velice dbají na soukromí soutěžících. Údaje studentů, s nimiž dále nekomunikují, nikde neshromažďují a jejich data dále nevyužívají. Účastníci prvního kola soutěže tak neobdrží ani e-mailovou notifikaci o plánovaném druhém ročníku soutěže a musejí si tak termíny druhého kola v případě zájmu hlídat sami. Souhlasy udělované k fotodokumentaci splňují podmínky velmi diskutovaného nařízení GDPR (ještě před jeho vstupem v platnost). Dá se tedy říci, že Národní soutěž v kybernetické bezpečnosti chápe oblast kybernetické bezpečnosti velice komplexně. Nejen, že je díky ní možné identifikovat mladé talenty, zvyšuje povědomí široké veřejnosti o hrozbách a rizicích kybernetické bezpečnosti, ale ještě navíc sami organizátoři jsou svým jednáním příkladem v oblasti ochrany dat a informací.

Kategorie:

Datovka – rozhraní pro spisové služby

Út, 07/04/2017 - 09:35

Datovka je multiplatformí desktopová aplikace pro přístup k datovým schránkám, která je vyvíjena sdružením CZ.NIC, a která umožňuje pohodlnou práci s datovými zprávami. Celkový počet datových schránek, ke kterým můžete současně z aplikace přistupovat, není omezen. Aplikace zároveň uchovává lokální kopie stažených zpráv i po uplynutí 90 dnů od doručení.

Postupem času se z Datovky stala aplikace, kterou kromě běžných „civilních“ uživatelů začali pro komunikaci s úřady nebo svými klienty používat také v malých kancelářích. Využívají ji kupříkladu OSVČ, účetní nebo také právníci. Všem uživatelům Datovky se postupně snažíme vycházet vstříc a podle jejich námětů nebo požadavků aplikaci upravujeme nebo do ní přidáváme funkce, které pokládáme za přínosné.

Začátkem letošního roku jsme byli kontaktováni společností SingleCase, která řešila problém, jak svým klientům zjednodušit ukládání datových zpráv do jimi provozované spisové služby. Zástupci SingleCase nás požádali, zda bychom Datovku nerozšířili o možnost zasílat datové zprávy do jejich úložiště.

Protože vyvíjíme Datovku jako open source aplikaci, která je všem uživatelům poskytována zdarma, nechtěli jsme vytvářet řešení, které by vyhovovalo pouze jednomu konkrétnímu subjektu. Se SingleCase jsme se proto dohodli, že vytvoříme relativně jednoduché avšak dostatečně obecné rozhraní, které následně implementujeme a dokumentaci k tomuto rozhraní poté zveřejníme.

Komunikace mezi Datovkou a spisovou službou probíhá HTTPS kanálem. Uživatel se přihlašuje pomocí autentizačního tokenu, který si může vygenerovat ve webovém rozhraní spisové služby, nebo jej může obdržet jinak. Přenášená data jsou strukturována do JSON.

Navržené API poskytuje základní funkcionalitu pro získání názvu samotné spisové služby spolu s identifikátorem tokenu, který může sloužit k jeho pohodlnější identifikaci, a logem spisové služby. Logo spisové služby je kupříkladu v současnosti používáno k indikování stavu, že datová zpráva se ve spisové službě nachází.

Dotazem na hierarchii dokumentů je možné získat odpověď se seznamem možných umístění ve spisové službě, kam se můžou datové zprávy nahrávat. Další funkcí je možné do zvoleného místa v obdržené hierarchii nahrát soubor datové zprávy. Poslední funkcí je dotaz na existenci konkrétních datových zpráv ve spisové službě, která se hodí v případě, že chcete synchronizovat lokální informace o umístění datových zpráv ve spisové službě.

Provozovatelé spisových služeb, či jiných úložišť dokumentů, mohou uvedené API implementovat a získat tak možnost používat Datovku k nahrávání datových zpráv. V průběhu vývoje jsme vytvořili malou testovací aplikaci v Qt (bez dalších závislostí), která je součástí stromu zdrojových souborů a která slouží pouze k ověřování komunikace se spisovou službou. Více informací k API nebo k novým funkcím naleznete na domovské stránce a wiki stránkách projektu.

Jako vždy také děkujeme všem uživatelům Datovky za hlášení chyb a nápady, které zasíláte na adresu datove-schranky@labs.nic.cz.

Kategorie:

Cenu veřejnosti za nejlepší školní web vyhrála Základní škola Pardubice-Polabiny

Po, 06/26/2017 - 20:20

Letošní ročník soutěže sCOOL web, organizované společností EDUin, přinesl mnohá překvapení. Některé školy na základě informací získaných v minulých ročnících soutěže radikálně přepracovaly své webové stránky a umístily se na předních příčkách soutěže. Organizátory to utvrdilo v názoru, že tato soutěž má smysl. Nejvíce oceňované webové stránky vznikly za spolupráce rodičů, učitelů a dětí z dané školy. Jen tak dále!

Pozornost porotců byla zaměřena na informační systémy. Mnoho škol již využívá Internet jako jednu z podstatných forem výměny informací s rodiči. Na stránkách pod zabezpečeným přístupem (heslem) si může každý rodič i žák hledat klasifikaci, elektronickou třídní knihu, absenci nebo získávat od školy rychle a operativně důležitá sdělení. Hodnotitelé nakonec zveřejnili statistiky s užíváním školních informačních systémů.  Nejvíce zastoupené byly Bakaláři, Škola OnLine a iŠkola.

Vzhledem k publikaci dokumentů právní povahy na webu (např. Školní řád) je pro školy velmi aktuální nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. S přednáškou na toto téma vystoupil na konferenci Jiří Průša z CZ.NIC. Nařízení vedle oblasti elektronického podpisu eIDAS rozšiřuje regulaci i na nové oblasti, zejména přeshraniční uznávání elektronické identifikace či webové certifikáty. V České republice se s eIDASem pojí dva klíčové zákony – č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce upravující tzv. důvěryhodné služby a připravovaný zákon o elektronické identifikaci. Celou přednášku si můžete přečíst zde.

Soutěž sCOOL web probíhá celkem ve třech kategoriích odborné poroty – bližší popis, jak přesně probíhá, najdete zde.

Organizátoři a hodnotitelé, stojící za soutěží sCOOL web, se snaží být pro všechny tvůrce školních webů důležitým zdrojem informací. Na závěrečné konferenci mohli účastníci slyšet třeba Jana Řezáče, který u každé stránky položil otázku: Kdo jsme, co děláme a proč by mě to mělo zajímat… a hledal na ně odpovědi. Ben Olšanský zopakoval návod, jak napsat efektivní text. Jsou to často drobné změny, co může mít dopad na atraktivitu vašeho školního webu. Doufám, že pomocí těchto drobných krůčků budou školní weby lepší každým rokem. Jsem ráda, že i letos byl partnerem akce CZ.NIC. Myslím, že nejen ohledně eIDASu u nás školy najdou rady, kterých se jim často nedostává. Zajímavé by bylo také udělat analýzu bezpečnosti školních webových stránek, kterou CZ.NIC nabízí bezplatně školám prostřednictvím služby Skener webu.

Výsledné pořadí:

Kategorie A – ZŠ neúplně organizované
1. místo: ZŠ Duhovka
2. místo: ZŠ Smart
3. místo: ZŠ a MŠ Stehelčeves

Kategorie B – ZŠ plně organizované
1. místo: ZŠ a MŠ Deblín
2. místo: ZŠ a MŠ Mirovice
3. místo: ZŠ a MŠ Na Beránku

Kategorie C – střední školy
1. místo: VOŠ a SŠ stavební Vysoké Mýto
2. místo: SŠ a Podorlické vzdělávací centrum, Dobruška
3. místo: Gymnázium Jana Keplera, Praha 6

Kategorie:

Jak by eIDAS mohl pomoci českým firmám na Slovensku?

Pá, 06/23/2017 - 09:36

Již za pár dní budou všem podnikatelům na Slovensku aktivovány elektronické schránky, představující obdobu našich datových schránek. Byť inspirace českým systémem se nezapře, minimálně jeden podstatný rozdíl zde je.

Zatímco k českým „datovkám“ se lze přihlásit jménem a heslem, na Slovensku je povinné přihlášení přes jejich elektronické občanky. V tuto chvíli tak pro přibližně 10 000 (dle některých odhadů až 12 000) českých podnikatelů nastává problém, jak se ke slovenské schránce dostat.

Pokud si odmyslíme získání slovenského občanství, další (a slovenskou vládou silně doporučovaná) možnost je prostřednictvím zmocněnce – slovenského občana, který místní e-občanku má. Poslední (a ne vždy zmiňovanou) možností je získání alternativního autentifikátoru umístěného na čipové kartě s omezenými možnostmi.

V tuto chvíli některé napadne, zda by nemohlo nějak pomoci Nařízení eIDAS. Celkem logicky by se nabízela možnost jednoduše propojit české a slovenské datovky. Oba systémy jsou dost podobné a počet českých firem na Slovensku i opačně celkem vysoký. eIDAS však v tomto případě bohužel mnoho nepomůže.

Ve čl. 43 a 44 sice existuje úprava elektronického doporučeného doručování (tzv. e-Delivery), na rozdíl od elektronického podpisu či elektronické identifikace však eIDAS u e-Delivery nevyžaduje povinné propojování či přeshraniční uznávání zpráv.

Co by však českým podnikatelům bezesporu pomoci mohlo, je vzájemné uznávání eID definované ve čl. 6:

„…Pokud se podle vnitrostátního práva nebo správní praxe pro přístup ke službě poskytované on-line subjektem veřejného sektoru v určitém členském státě vyžaduje elektronická identifikace s použitím prostředku pro elektronickou identifikaci a autentizace, je pro účely přeshraniční autentizace pro danou on-line službu uznán v tomto členském státě prostředek pro elektronickou identifikaci vydaný v jiném členském státě…“

Z dalších ustanovení eIDAS však vyplývá, že povinnost (přeshraničního) uznávání eID nastane nejdříve od 29. září 2018. I toto uznávání má však jeden zásadní háček. Vztahuje se pouze na tzv. ohlášené eID systémy a zatím jediný stát, který toto oznámení učinil, bylo na začátku letošního roku Německo.

V České republice byla sice před pár dny prezidentem podepsána novela zákona o občanských průkazech, který zavádí bezplatné občanské průkazy s čipem, avšak díky odložené účinnosti zákona si na tyto občanky ještě rok počkáme.

Naději na u snadnění přístupu českých podnikatelů ke slovenským elektronickým schránkám by mohl přinést zákon o elektronické identifikaci, který zřizuje tzv. Národní bod pro identifikaci a autentizaci (NIA). Tento systém by měl umožnit přihlašování nejen přes elektronické občanky, ale i přes další nástroje, např. mojeID.

Na použití pro přihlašování ke slovenským datovkám si však čeští podnikatelé přesto ještě počkají. Stejně jako novela zákona o občanských zákonech má i tento předpis odloženou účinnost, tentokrát pevně na 1. července 2018 a pak je zde min. 18 měsíční lhůta, která musí uplynout od prvního ohlášení systému (tzv. pre-notifikace) po zajištění uznávání v jiné zemi.

Pokud by se Ministerstvu vnitra podařilo podat pre-notifikaci do konce letošního roku, od druhé poloviny 2019 by se již čeští statutáři měli mít možnost přihlašovat ke slovenským elektronickým schránkám svých firem českou e-občankou nebo doufejme i přes mojeID. Němečtí podnikatelé však budou mít díky aktivitě své vlády a podané notifikaci tuto možnost již od září příštího roku.

Kategorie:

Učiňme DNS opět velkým!

Út, 06/20/2017 - 10:38

Snad mi bývalý prezident USA Ronald Reagan odpustí, když si půjčím a trochu předělám slogan z jeho prezidentské kampaně. Ostatně tuším, že to tak dnes dělá poměrně mnoho lidí.

Není to tak dávno, co spravovat jednoduchou statickou doménu druhého řádu nebylo nijak náročné. Tehdy jste si na DNS serverech připravili zónový soubor a dopsali jste do něj jednotlivé záznamy. Pak jste pouze před svého registrátora poslali do nadřazené zóny informaci, na kterých DNS serverech že se ten zónový soubor skrývá. A pak už nebylo nutné dělat vůbec nic, tedy alespoň dokud nenastala nějaká změna. To bylo ještě před startem technologie DNSSEC. Tato nová technologie přinesla do ne příliš dobře zabezpečeného protokolu silné bezpečnostní mechanismy. Ale jak už to bývá, bylo to „něco za něco“. Bohužel u DNSSECu už není možné nechat vše jen tak běžet, je nutné občas přepodepsat DNS záznamy, občas změnit podepisovací klíče zóny (ZSK) a občas dokonce i klíče pro podpis klíčů (KSK). Bohužel ta poslední operace běžně vyžaduje ještě komunikaci s nadřazenou entitou (správcem nadřazené zóny, v našem příkladu správce domény nejvyšší úrovně, například CZ.NIC). Nové klíče je nutné předat bezpečnou cestou a to mimo protokol DNS. Každý správce zóny je tedy nucen čas od času něco udělat a to je pochopitelně zdrojem častých problémů. Asi největší komplikací bývá, když komunikace s registrem probíhá přes majitele domény, jenž ještě navíc není zrovna technicky zdatný. V takovém případě je to spíše problém neřešitelný.

Proto hledala DNS komunita cesty, jak tento problém vyřešit. Řešení je popsáno v dokumentech RFC 7344 a RFC 8078, které zavádějí nový mechanismus, jak přenášet informaci o použitých klíčích mezi správcem zóny a nadřazenou entitou bez nutnosti používat jakéhokoliv prostředníka. Velmi laicky řečeno, správce zóny vypublikuje speciální záznamy (CDS a CDNSKEY), které signalizují, jakými klíči je/bude zóna podepsána. Správce nadřazené domény si tyto záznamy stáhne a zajistí, že celý DNS strom bude dále fungovat včetně podepisování pomocí DNSSEC. Použitím tohoto mechanismu se celý problém výrazně zjednodušuje, především v případě, kdy se o doménu stará někdo úplně jiný než příslušný registrátor. Tento mechanismus v doméně .cz startuje právě dnes, více technických informací se brzy dozvíte na tomto blogu nebo ze záznamu vystoupení Jaromíra Talíře na konferenci IT 17. Nicméně pokud již ve své zóně máte CDNSKEY, měla by se Vám bezpečná delegace DNSSEC brzy sama zprovoznit.

Ani s tímto by ale nebylo DNS stejné jako dříve. Stejně by bylo nutné alespoň částečně starat o onu rotaci klíčů, což opravdu není zrovna jednoduchá záležitost a je velice snadné v tom udělat chybu, jak se již mnozí přesvědčili.

A proto jsme přišli i s další novinkou a tou je implementace automatické správy klíčů do našeho autoritativního DNS démona – Knot DNS, konkrétně do verze 2.5.0. Opět se více technických informací dozvíte v některém z dalších článků. Díky této novince už jen označíte u zóny, že se má podepisovat a rotovat klíče a o nic jiného se nestaráte. Složitost správy DNS se tedy vrátila na onu nízkou úroveň, již jsem popisoval na začátku tohoto textu. A tedy z tohoto pohledu se DNS stává opět velkým jako dříve!

Kategorie:

Zveme vás na Turris Hackathon

Čt, 06/01/2017 - 12:37

Výhodou routerů Turris je jejich otevřenost. Můžete si na ně doinstalovat vlastní balíčky, do kontejnerů i jiné systémy, doprogramovat si vlastní software. Nápadů mají naši uživatelé nepřeberně, ale jak začít? Skvělou příležitostí bude červnový hackathon, kdy se sejdou nadšenci do programování i tým Turrisu, aby v koderské čtyřiadvacetihodinovce do routeru doplnili to, na čem jim záleží.

Hackathon proběhne od pátečního odpoledne 16. června 2017 do soboty. Na jeho začátku proběhne zaškolení účastníků, jak sestavovat balíčky, programovat pluginy a vůbec detailně operovat ve vnitřnostech routerů Turris. K dispozici budou nejenom lidé z týmu Turris, ale také nápoje, občerstvení, internet, elektřina, relaxační zóna a další důležité propriety včetně kávovarů i možnosti nočního výběhu do Prahy. Nic tak nebude bránit realizaci některého z nápadů, které budou účastníky trápit a které si přinesou v zásobárně s sebou, nebo se nechají inspirovat na místě.

K účasti na hackathonu je potřeba vlastně málo: dorazit do Prahy na Jiřího z Poděbrad, vyznat se v Linuxu a pokud možno i Pythonu či některém z dalších jazyků používaných v routerech Turris. A mít chuť do trochy té práce.

Detailní informace o Turris Hackathonu včetně možnosti registrace (ta je zdarma) najdete zde.

Těšíme se na vás!

Kategorie: