Hosting

Přihlášení

NASA ruší projekt roveru, který měl hledat vodu na Měsíci

Svět techniky - 3 hodiny 32 min zpět
Už minulý rok měla na Měsíc vyrazit pojízdná laboratoř Viper, jejímž cílem mělo být hledání vody a ledu na naší přirozené oběžnici. Neustálé zdržování a růst nákladů vedly nakonec k tomu, že se celý projekt zrušil.

Mistr vedlejších rolí Krška hrál geniálně alkoholiky a muže zlomených osudů

Svět techniky - 21 hodiny 28 min zpět
Herec Vladimír Krška, který se narodil před 100 lety, byl téměř čtyři desítky let členem souboru pražského Divadla na Vinohradech. Na jeho scéně vytvořil na osmdesát rolí.

Barbone. To jsou extrémně výkonné počítače pro gamery i revoluční PC s nano nástřikem

Svět techniky - 21 hodiny 32 min zpět
Stolní počítače si na trhu udržely své místo i přes masivní nástup levných notebooků. Mezi přední značky stolních počítačů na českém trhu patří značka Barbone od společnosti T.S.BOHEMIA, která letos oslaví 30 let na trhu.

Sloužil bez ní 41 let. Poznámkový blok ve Windows se dočkal významné funkce

Svět techniky - 21 hodiny 33 min zpět
Je léta spojený s operačním systémem Windows. A možná jste si toho zatím nevšimli, ale Poznámkový blok nyní dostal další velkou aktualizaci včetně funkce, kterou dosud nedisponoval. Pojďme se na textový editor, jeho historii, současnost a budoucnost podívat blíž a prozkoumat, jakých vylepšení se během krátké doby dočkal.

CIA dostala varování, že Sověti misi překazí. Zákulisí prvního letu na Měsíc

Svět techniky - Ne, 07/21/2024 - 00:00
Ve dnech 55. výročí prvního přistání člověka na Měsíci listujeme vzpomínkami a texty publicisty Karla Pacnera, které v minulosti o misi Apollo 11 pro Technet psal. Ve druhé části se zaměříme na okolnosti, které v záři obrovského úspěchu tohoto projektu zůstávají trochu ve stínu, nicméně z dnešního pohledu jsou cennými střípky celého příběhu.

Pigboaty ve velké válce bojovaly nejen s nepřítelem, ale i s přízrakem

Svět techniky - Ne, 07/21/2024 - 00:00
Válečné loďstvo Spojených států se námořních bojů první světové války zúčastnilo jen okrajově a jen v posledních měsících konfliktu. Přesto se o amerických námořních důstojnících nedá říci, že by vysloveně lenošili, a totéž platí o posádkách amerických ponorek, takzvaných pigboatů, jak se říkalo člunům s autorským rukopisem Johna Hollanda nebo Simona Lakea.

Jak dlouho budou naše stopy na Měsíci ještě patrné? 55 let od Apolla 11

Svět techniky - So, 07/20/2024 - 00:00
O tom, jak důležitý okamžik nastal v oblasti vesmírného výzkumu před 55 lety, když člověk poprvé přistál na Měsíci, máme možnost se opakovaně přesvědčovat i v současnosti, kdy se ukazuje, že i s dnešními technologiemi rozhodně nejde o žádnou rutinu. Připomeňme si známé i méně známé okolnosti projektu Apollo 11.

Za celosvětový kolaps IT systémů může nečekaně absurdní chyba

Svět techniky - Pá, 07/19/2024 - 18:52
Nepovedená aktualizace bezpečnostního softwaru společnosti Crowdstrike způsobila pád počítačů a serverů s operačním systémem Windows do „modré obrazovky smrti“. Ani po restartu se nespustí. Některé společnosti tak dočasně přišly o většinu počítačů.

GLOSA: Nikdo nevěděl, jestli IT výpadek není jen začátek kolapsu více systémů

Svět techniky - Pá, 07/19/2024 - 14:49
Páteční celosvětový výpadek IT systémů poléval horkem profesionály zejména v letectví. Z toho, co se nám podařilo zjistit od lidí z oboru, kteří si ovšem nepřáli být jmenováni, se v žádném případě nejednalo o jakékoli ohrožení bezpečnosti řízení letového provozu. Je ale potřeba dodat, že to zpočátku nikdo nevěděl jistě.

Vyzkoušeli jsme 3D tiskárnu pro děti. Je to hračka, která tiskne hračky

Svět techniky - Pá, 07/19/2024 - 00:02
Pod značkou Kidoodle míří na trh 3D tiskárna určená přímo pro děti. Spoustu hotových modelů připravených k tisku k ní výrobce přibalil, tisknout však můžete i vlastní výtvory. Má své mouchy, ale vlastně se nám celkem líbí.

Krátké vlny: Bílá kniha a připomínky z Česka

Svět internetu - Čt, 07/18/2024 - 06:30

Dne 30. června 2024 skončila veřejná konzultace vyhlášená Evropskou komisí k Bílé knize „Jak zvládnout potřeby evropské digitální infrastruktury“. Bílá kniha v EU žargonu je obecně dokument, který obsahuje návrhy opatření, která by měla EU přijmout v konkrétní oblasti. Na rozdíl od tzv. Zelené knihy, kterou chce „na zelené louce“ Evropská komise nastartovat diskuzi k určitým tématům bez konkrétnějších opatření.

Veřejná konzultace přilákala 356 příspěvků, z České republiky jich přišlo 14. Pojďme se na ně podívat. Za Česko najdeme v systému Evropské komise tyto přispěvatelé: Česká republika svou oficiální pozicí a dále v abecedním pořadí anonymní konzultant, anonymní občan, Asociace provozovatelů kabelových a telekomunikačních sítí, Asociace provozovatelů mobilních sítí, CETA – Centrum ekonomických a tržních analýz, Česká fintech asociace, České spotřebitelské fórum, Český telekomunikační klastr (ČTK), NAKIT, NIX.CZ, PPF Telecom Group, Středočeský kraj, Komise pro IT a digitalizaci a Výbor nezávislého ICT průmyslu (VNICPT).

Překvapivě se většina příspěvků „strefuje“ do stejných nebo podobných návrhů Evropské komise a do kvality předkládaných tvrzení. Nejradikálněji vystupuje Český telekomunikační klastr, který přímo požaduje po komisi, aby Bílou knihu přepracovala. Ale ani jiní přispěvatelé nešetří kritikou. Následující text přináší nejčastější komentáře (samozřejmě bez nároku na úplnost).

Většina přispěvatelů se shoduje, že Evropská komise v Bílé knize vyvozuje nesprávné závěry z nesprávně uchopených dat.

„Komise popisuje Evropu jako kontinent, který těžce zaostává za USA, Japonskem a Jižní Koreou. Uvádí, že 5G pokrytí obyvatel je 81 % a optika 56 %. USA má přitom tato čísla nižší (62 % a 48 %). Japonsko a Jižní Korea vyšší, ale tam je to dané tím, že začali optiku stavět asi deset let a 5G pět let před EU. Čína má čísla významně vyšší než EU, ale důvěřovat číslům z autoritářských režimů je těžké a navíc z definice mají menší problémy ve výstavbě, protože se nemusí ohlížet na práva třetích osob.“ VNICPT

„Komise tak už na začátku nezvládá ani samotnou definicí problému – čelíme skutečně problému spočívajícímu v nedostatku adekvátně rychlého připojení nebo nedostatečnému rozšíření optických sítí? Závěr Komise o potřebnosti připojení o rychlosti 1 Gbps zpochybňujeme, kdy ze zkušeností našich členů víme, že i tam, kde je tato služba dostupná, není zákazníky prakticky nikdy objednávána. Komise v tomto směru neanalyzuje vztah mezi existující poptávkou a dostupnou nabídkou.“ ČTK

Přispěvatelům až na výjimky také vadí, že Evropská komise negativně popisuje stav EU trhu, což podle nich neodpovídá realitě.

„Regulační rámec EU pro elektronické komunikace lze celkově hodnotit pozitivně: Evropa dosáhla pozoruhodných úspěchů v oblasti konektivity, pokud jde o pokrytí a přijetí ze strany spotřebitelů a profesionálních uživatelů, cenovou dostupnost a začlenění. Ačkoli je třeba mezinárodní srovnání pečlivě posuzovat, je pozoruhodné, že míra zavádění FTTH v Evropě je vyšší než ve Spojených státech, přičemž některé evropské země jsou uznávanými mezinárodními lídry v oblasti zavádění optických vláken. Podle údajů z poloviny roku 2022, které zveřejnila OECD, patří mezi nejvyspělejší země světa, pokud jde o zavádění optických vláken, řada členských států EU (například Španělsko, Švédsko, Litva, Lotyšsko, Portugalsko, Finsko, Lucembursko, Francie, Slovinsko, Dánsko, Estonsko, Slovenská republika, Polsko, Maďarsko) a země EHP, které uplatňují rámec EU (Island, Norsko).“ NIX.CZ

„Bílá kniha opakuje v kapitole 2.3.2 stížnosti velkých telekomunikačních společností, že v EU je nízká míra ziskovosti na jednoho zákazníka, s čímž souvisí i neschopnost těchto podniků dosahovat adekvátní návratnosti kapitálu. Nízká hodnota ARPU ale souvisí primárně s nízkými maloobchodními cenami služeb elektronických komunikací v Evropě. Tento jev není slabinou ale naopak silou Evropské unie, a to takovou, která musí být dále podpořena. Komise si stanovila jako jeden z cílů dávno v minulosti podporovat cenově dostupné připojení a EU v tom je fenomenálně úspěšná. Ceny pevného vysokorychlostního připojení v USA jsou 2 až 3krát vyšší než v Evropě, což znamená, že pro velkou část obyvatelstva je takové připojení z ekonomických důvodů obtížně dostupné. Je to především proto, že v USA je často v dané lokalitě monopol vysokorychlostních sítí a neexistuje konkurence na úrovni infrastruktury. To je tržním selháním, které Evropa nesmí na svém území podporovat. Bohužel Bílá kniha ve svém současném znění k takovému scénáři navádí.“ ČTK

Další častou výtkou je, že se Evropská komise vůbec nezajímá o dopady na malé a střední poskytovatele elektronických komunikací.

„Problémem malých a středních poskytovatelů je především nadměrná regulace. Regulační rámec přesouvá dříve asymetrický přístup k regulaci telekomunikací postavený na regulaci podniku s významnou tržní silou a regulaci přístupu k jeho infrastruktuře či službám k symetrickému přístupu k regulaci, kdy jsou povinnostmi fakticky zatíženy všechny firmy bez ohledu na velikost. To má samozřejmě na podnikání menších a středních firem destruktivní vliv, protože ty nemají prostředky a kapacitu na zvládání administrativní zátěže takové, jako velcí nadnárodní operátoři.“ ČTK

„Česko se domnívá, že velikost provozovatele není sama o sobě atributem, který zaručuje vysokou kvalitu služby a výhody pro koncové uživatele. I malí, místní operátoři mohou rozšiřovat pokrytí a poskytovat vysoce kvalitní služby. Neexistují žádné důkazy o tom, že by velmi velcí nebo celoevropští operátoři využívali svůj investiční potenciál ke zlepšení pokrytí a kvality služeb v odlehlých nebo řídce osídlených oblastech. Právě zde hrají v mnoha členských státech důležitou roli menší místní hráči.“ Česká republika

„Větší neznamená vždy lepší a vyzýváme Komisi, aby dobře zvážila hodnotu, kterou přinášejí středně velké skupiny operátorů z hlediska konkurenčních a inovačních tlaků. Určité tendence ke sjednocování pravidel nebo celoevropských postupů (namísto postupů na národní úrovni) mohou být pro jednotlivé operátory nebo menší a střední telekomunikační skupiny velmi náročné.“ PPF Telecom Group

Do některých příspěvků se propsala česká bitva o podobu nového zákona o kybernetické bezpečnosti. APMS, Český telekomunikační klastr, Česká fintech asociace, Středočeská kraj a VNICPT zpochybňují naznačený přístup Evropské komise k důvěryhodným, resp. nedůvěryhodným dodavatelům. V národních úpravách bezpečnostních požadavků na služby a sítě elektronických komunikací vidí vysoké riziko fragmentace jednotného trhu elektronických komunikací, který následně podvazuje další rozvoj EU trhu.

„Označení některých dodavatelů za “důvěryhodné” a “nedůvěryhodné” dle země jejich původu je prvním krokem k protekcionistickým opatřením, které mají potenciál Evropu oslabit. V EU mají sídlo dva ze tří velkých dodavatelů telekomunikačních technologií pro velké a střední operátory (Ericsson a Nokia) a řada dodavatelů technologií pro menší operátory (např. Mikrotik v Lotyšsku, Siae Microelettronica v Itálii a mnoho dalších, včetně stabilně se rozvíjejících dodavatelů přímo zde v České republice).“ VNICPT

„Pokud existují nějaké bezpečnostní problémy nebo související hrozby, je nutné je jasně a na základě prokazatelných skutečností ze strany státu / EU sdělit, aby telekomunikační společnosti a MNO věděly, jak tato rizika a hrozby zmírnit a eliminovat. Vyšší bezpečnost a odolnost sítí vůči kybernetickým útokům nezajistí geopolitická (netechnická) kritéria, ale technická, která budou jasně vycházet z přístupu založeného na rizicích. Regulační požadavky by měly být založeny na riziku a měly by být přiměřené. Podporujeme spravedlivou a vyváženou regulaci uplatňovanou spravedlivě v celém odvětví. Nepředvídatelnost brání investicím, což má negativní dopad na bezpečnost, dovednosti a inovace.“ APMS

„S myšlenkou harmonizace právních rámců v členských státech souhlasíme. V současné době ale dochází k tomu, že právní rámce naopak divergují s tím, jak se do nich dostává stále více důrazu na národní bezpečnost, která není v gesci EU a členské státy tak ingerují vlastními národně-bezpečnostními pravidly do regulačního rámce, který byl zamýšlený jako harmonizovaný. Typicky jde o různé posuzování rizikovosti dodavatelského řetězce či požadavky na lokalizaci (obojí je přítomné v návrhu nového Zákona o kybernetické bezpečnosti České republiky).“ ČTK

„Je legitimní se ptát, zda označení některých dodavatelů za “důvěryhodné” a “nedůvěryhodné” dle země jejich původu by měla řešit v rámci evropských politik Evropská komise. Pokud ano, pak není možné to činit na základě bezpečnostních kritérií, protože národní bezpečnost je v gesci členských států. Je třeba dohoda na úrovni členských států, že tuto specifickou část telekomunikační problematiky svěří Komisi. Pak ale nepovažujeme za správné, aby docházelo k řešení “důvěryhodnosti” a “nedůvěryhodnosti” dodavatelů z hlediska národněbezpečnostních kritérií na úrovni členských států, protože to znamená významný zásah do harmonizace pravidel na úrovni EU.“ Středočeský kraj

Dalším bodem shody všech přispěvatelů je snížení byrokratické zátěže.

„Přílišné spoléhání na státní financování a dotace může narušit konkurenční prostředí a vést k závislosti na veřejných zdrojích. Nefinanční podpora soukromého sektoru (např. snížením byrokratické zátěže) a prostor pro tržní síly mohou být rovněž účinnějším způsobem, jak dosáhnout technologického pokroku a konkurenceschopnosti.“ Česká republika

„APKT se domnívá, že bílou knihu je třeba zcela přepracovat a zaměřit se na skutečné potřeby digitální infrastruktury:…Extrémní zjednodušení případných povolovacích procesů na úrovni státní správy a samosprávy, zamezení možnosti veřejné a státní správy prodražovat a znemožňovat výstavbu sítí VVN (na úrovni obce, kraje, státu, jimi vlastněných organizací, podřízených organizací obcí apod.);“ APKT

Téměř jednohlasně vyzývá Česká republika Evropskou komisi k dodržování platných zásad, konkrétně zásady technologické neutrality a upuštění od preference konkrétních technologií (xG a optiky) v situacích, kdy stejnou službu může zákazníkům přinést i jiná technologie.

„Konečně, pokud jde o II. pilíř, Česko by chtělo zdůraznit, že klíčové zásady regulace jsou následující by měly být v EU i nadále zachovány – tj. zásada proporcionality regulace (zasahovat pouze tam, kde je prokázáno selhání trhu), nediskriminace (regulace by neměla být zvýhodňovat jeden subjekt na úkor jiných) a technologické neutrality.“ Česká republika

„EK by obecně neměla porušovat technologickou neutralitu a nevyčleňovat některé technologie jako hodnotnější a některé jako méně hodnotné. Kromě CATV sítí i řada bezdrátových sítí plně dostačuje k tomu, aby poskytovaly rychlosti dosahující stovek megabitů za sekundu, což “zaostávání” staví do naprosto jiného světla.“ VNICPT

„Dle našeho názoru je technologická neutralita hlavním hybatelem technologického rozvoje spolu s podporou fungující hospodářské soutěže. Direktivní určování technologických „šampionů“ dle našeho názoru může vést k neefektivnímu využití unijních prostředků a případnému znevýhodnění oproti zbytku světa.“ ČTK

„Technologická neutralita je důležitá, protože neomezuje vývoj technologií a inovace. Například družice LEO nyní nabízejí několik výhod pro širokopásmový internet, především díky své blízkosti k Zemi, která se pohybuje od 500 do 2 000 kilometrů. Tato malá vzdálenost má za následek výrazně nižší latenci ve srovnání s tradičními geostacionárními družicemi, což umožňuje efektivnější a spolehlivější aplikace v reálném čase, jako jsou videokonference a online hry.“ CETA

Nápad Evropské komise rozšířit regulaci na cloudové služby také našel v Česku dostatek kritiků.

„NIX.CZ v této souvislosti s plným respektem poznamenává, že virtualizace sítě znamená pouze to, že funkce řízení a kontroly sítě jsou centralizovány a softwarizovány, což provozovateli sítě poskytuje větší flexibilitu a inovační schopnosti, zatímco cloudifikace v podstatě znamená, že funkce kontroly a řízení hlavní telekomunikační sítě spolu s příslušnou databází jsou přesunuty ze serverů telekomunikačního operátora na platformu poskytovatele cloudu. NIX.CZ se domnívá, že tyto technologické trendy by neměly být považovány za „game changers“ pro telekomunikační odvětví, pokud se neprokáže, že znamenají podstatnou změnu souvisejících podmínek hospodářské soutěže a trhu. Za základní kritérium pro provedení této analýzy je třeba považovat zásadu technologické neutrality, která zastřešuje Evropský kodex pro elektronické komunikace.“ NIX.CZ

„Komise by před dalšími regulačními zásahy měla hlavně vyhodnotit, zda skutečně dochází k jakémukoli selhání trhu a zda neexistují již stávající regulace, které by bylo možné použít. Stávající předpisy, jako je GDPR, směrnice NIS2, Akt o digitálních trzích a akt o digitálních službách na řadu cloudových služeb dopadají v různé míře a různým způsobem, Komise by tak před tím, než začne uvažovat o jakékoli regulaci měla vyhodnotit, kde reálně dochází k tržnímu selhání a zda není možné využít některý z již platných aktů k jeho případnému řešení.“ VNICPT

„Podle nás konvergence mezi cloudem a telekomunikacemi neexistuje. Není důvod, proč by využívání cloudu telekomunikačními operátory mělo znamenat regulační integraci cloudu do telekomunikačních služeb a to, aby cloudové služby podléhaly EECC, potažmo ZEK. Je to podobné, jako kdyby cloudové služby využívané výrobci léků podléhaly zákonu o léčivech. Cloudové služby se dostávají do různých odvětvích dle využití. Služby virtualizace, o kterých Bílá kniha rovněž hovoří, nejsou nic specifického pro telekomunikační odvětví, ale stojí na nich řada dalších služeb (např. právě cloud).“ Česká fintech asociace

NIX.CZ se dále specificky zaměřuje na popis situace hospodářské soutěže na trhu IP propojování a odmítá regulační zásah, APMS navrhuje udělování spektrálních přídělů na 30 – 40 let, PPF Telecom Group pléduje za revizi pravidel státní pomoci po roce 2026 a NAKIT se ve svém příspěvku zaměřuje na problematiku posilování kvalitního pokrytí v příhraničních oblastech, harmonizace rádiového spektra pro PPDR služby a povinnou implementaci krizového roamingu s funkcemi QPP (Quality, Priority and Pre-emption) do sítí operátorů.

„Podpora QPP zvyšuje operační mobilitu a umožňuje pracovníkům první pomoci efektivně komunikovat napříč různými regiony a hranicemi sítí. Provozovatelé komerčních mobilních sítí musí integrovat QPP, aby podpořili vertikální 5G pro veřejnou bezpečnost, a využívat modely sdílení sítě k poskytování robustních a spolehlivých služeb.“ NAKIT

Kompletní příspěvky (a to nejen z Česka) lze nalézt na webu Evropské komise. Pokud by komise přistoupila k vypořádání připomínek a podnětů poctivě, musela by Bílou knihu roztrhat, vyhodit a zpracovat novou, ve které by reagovala o opravdové potřeby telekomunikačního sektoru a členských států. Toho se ale obávám nedočkáme, neboť bruselské mlýny se už roztočily. Ale uvidíme v září, kdy má komise předložit vyhodnocení a závěry této veřejné konzultace.

Kategorie:

Online pomocníci na cestách pomohou s PDF, QR i editací textu či zvuku

Svět techniky - Čt, 07/18/2024 - 00:00
Jsou na internetu dostupné zdarma, navíc mohou v řadě případů vytrhnout trn z paty. Tedy pokud jste někdy potřebovali vytvořit nebo upravit textový dokument, tabulku či prezentaci, změnit něco v PDF, komprimovat obrázky, rozbalit soubory, vygenerovat QR kód, převést jednotky, přidat do obrázku vodoznak, extrahovat text či oříznout zvuk... A neměli po ruce vhodný nástroj.

Budeme je jednou nosit všichni? Svět chytrých brýlí je opravdu rozmanitý

Svět techniky - Čt, 07/18/2024 - 00:00
Chytré brýle jsou poměrně široký pojem, který v tuto chvíli nemá úplně jasnou formu. Každý si totiž vykládá takovou věc po svém a podle toho i láká konkrétní zákazníky. Víte, jaké typy jsou aktuálně na trhu a co od nich čekat?

Z torpédometu se ozývalo volání o pomoc. Nehody prvních amerických ponorek

Svět techniky - St, 07/17/2024 - 00:00
V minulé části seriálu o prvních amerických ponorkách jsme se věnovali technickým potížím, které první stroje tohoto druhu sužovaly. S nehodami tzv. prasečích člunů však souvisely i „přehmaty“ posádek. Některým vskutku kuriózním je věnován tento díl našeho letního seriálu.

OBRAZEM: Náš poslední meziválečný rychlý motorák doplatil na německou okupaci

Svět techniky - Út, 07/16/2024 - 00:00
Nový rychlý motorový vůz pro ČSD, jehož prototypový exemplář byl oficiálně představen 14. března 1939, dostal přezdívku Stříbrný šíp. Doba mu však nepřála, následujícího dne vpadla do okleštěné republiky německá vojska a vznikl Protektorát Čechy a Morava. To mělo neblahý dopad i na tento technický skvost, jeho další zamýšlené exempláře tak už vyrobeny nebyly.

Padouši dostali další balík ukradených hesel. Není tam náhodou i to vaše?

Svět techniky - Po, 07/15/2024 - 17:00
Aktualizovaná databáze deseti miliard ukradených hesel koluje po internetu a je k dispozici kyberpadouchům. Ověřte, zda tam není i vaše heslo. V textu vás naučíme používat jedinečná a silná hesla, která si budete pamatovat, případně je zamkněte do trezoru, kde budou v bezpečí.

Novinky v Knot Resolver 6: ochrana před DoS útoky – přehled pro operátory

Svět internetu - Po, 07/15/2024 - 12:20

V týmu vyvíjejícím škálovatelný kešující DNS resolver, Knot Resolver, v současné době pracujeme na komplexním řešení pro ochranu DNS serverů a ostatních uživatelů internetu před útoky typu denial-of-service (DoS). Tento vývoj je součástí projektu DNS4EU, kofinancovaného Evropskou unií1, jehož jsme hrdou součástí.

K dosažení tohoto cíle do Knot Resolveru přidáváme dva nové mechanismy:

Zaprvé implementujeme omezování četnosti (rate-limiting) dotazů, které přicházejí od stejného hostitele či sítě, pomocí efektivního mechanismu pro počítání dotazů. Tím zamezujeme i potenciálně částečně distribuovaným útokům.

Zadruhé pracujeme na prioritizaci dotazů na základě měření využití procesorového času stráveného na zpracování požadavků, kde vyšší spotřeba procesoru do budoucna snižuje prioritu dotazů od konkrétních klientů tak, aby klienti, kteří server vytěžují, neomezovali klienty méně vytěžující.

Většina kódu, která v rámci tohoto projektu vznikla, je rovněž sdílena s autoritativním DNS serverem Knot DNS. Díky tomu mohou z této ochrany proti DoS útokům těžit uživatelé obou projektů. Jak je již s projekty od CZ.NIC zažitou tradicí, veškerý nový kód je svobodný a dostupný pod GPL licencí. Může do něj tedy kdokoliv nahlížet a adaptovat jej pro své vlastní použití.

V tomto příspěvku, který je volným pokračováním článku Novinky v Knot Resolver 6.x o novém Manageru a jeho fungování, si nejprve popíšeme základy rate-limitingu pro jednotlivé hostitele. Poté jej rozšíříme na celé sítě a přidáme další metody omezení. Nakonec se přesuneme k prioritizaci.

V tomto prvním díle se budeme soustředit na koncepční popis mechanismu z pohledu uživatele či operátora. Dopustíme se tak záměrně několika (viditelně popsaných) nepřesností za účelem zjednodušení tohoto vysokoúrovňového náhledu. Tyto nepřesnosti uvedeme na pravou míru v dalším článku, ve kterém se ponoříme do nízkoúrovňových detailů technického řešení rate-limitingu.

Popisované funkcionality plánujeme přidat letos do nadcházejícího vydání Knot Resolveru 6.

Omezování jednotlivých hostitelů, exponenciální pokles, okamžitý a dlouhodobý limit

Představme si, že pro každou adresu v adresních prostorech IPv6 a IPv4 máme čítač dotazů2. Pro každý požadavek přičteme jedničku čítači patřícímu jeho zdrojové adrese, dokud nepřesáhne svůj limit. Pokud limit přesáhneme, dotaz nebude řešen a buď na něj vůbec neodpovíme, nebo pošleme tzv. zkrácenou odpověď. Koncept zkrácených odpovědí si popíšeme v pozdější sekci, nejprve se zaměřme na funkci samotných čítačů.

Každou milisekundu se všechny čítače sníží o konstantní zlomek své hodnoty. Tomu říkáme exponenciální pokles3. Ten připomíná rozpad radioaktivních atomů, který je popisován svým poločasem rozpadu – v našem případě se jedná o čas, za který čítače klesnou na polovinu své původní hodnoty.

Chování čítačů popisujeme (a konfigurujeme) pomocí dvou parametrů, tzv. okamžitého a dlouhodobého limitu:

  • Okamžitý limit (angl. instant limit, jak jej naleznete v kódu a v dokumentaci) nám říká, kolik dotazů se vejde do čítače za jednotku času (v našem případě za dobu jedné milisekundy), pokud měl čítač původně hodnotu nula; např. pro nového hostitele.
  • Dlouhodobý limit (angl. rate limit, jak jej naleznete v kódu a v dokumentaci) je pak použit k odvození poločasu rozpadu čítače. Jedná se o maximální hodnotu frekvence dotazů (queries per second / QPS), které jsou posílány za delší časový úsek. Jinými slovy, pokud je průměrná frekvence dotazů vyšší než hodnota dlouhodobého limitu, je jisté, že čítač v nějakou chvíli narazí na okamžitý limit a dotazy budou blokovány.

Na následujícím grafu vidíme okamžitý limit LI, dlouhodobý limit LR a poločas rozpadu (half-life). Černá schodovitá čára reprezentuje snižující se hodnotu čítače (jeho zatíženíload) v čase poté, co byl naplněn (a uživatel byl omezen) a žádné další pro něj relevantní dotazy po naplnění nechodily. Všimněte si, že dlouhodobý limit LR se udává v dotazech za sekundu, ale v grafech je vždy dělen 1000, aby v nich byla vidět jeho hodnota za milisekundu, neboť taková je granularita měření v programu. Zároveň je nutno podotknout, že ve skutečnosti by hodnota LR byla o několik řádů menší (ale takový graf by byl nečitelný, takže používáme vyšší hodnoty, abychom mohli lépe ilustrovat chování čítače).

Řekněme, že na náš server zaútočí jeden nový hostitel. Zprvu odpovídáme na jeho dotazy až do okamžitého limitu; čítač se naplní. Poté blokujeme odpovědi, dokud se čítač dostatečně nesníží natolik, aby se do něj vešel další dotaz (nebo více dotazů). Odpovíme na to, co se vešlo, a poté blokujeme dále. V této druhé fázi se průměrný počet dotazů za sekundu řídí právě dlouhodobým limitem. V závislosti na tomto dlouhodobém limitu se tak může stát, že za jednu milisekundu odpovíme na několik dotazů, nebo naopak odpovíme pouze na jeden dotaz za několik milisekund.

Toto chování je ilustrováno dalším grafem, který ukazuje, jak se hodnota čítače vyvíjí pod útokem s konstantním počtem dotazů za sekundu QR v případě, že byla jeho hodnota původně nulová. Dotazy poslané v červených oblastech jsou blokovány. Abychom lépe ilustrovali chování za různých podmínek, měníme v animaci počet dotazů za sekundu QR, zatímco okamžitý limit LI i dlouhodobý limit LR zůstávají stejné.

Okamžitý limit má být konfigurován tak, aby nový klient dostal v krátkém čase odpovědi na takový počet dotazů, kolik je očekávané při jeho běžném chování. Dlouhodobý limit pak může být nastaven na nižší hodnotu, která říká, že přijímáme toto běžné chování jednou za několik sekund, nebo vyšší, pokud je náš server schopen jej obsluhovat rychleji. Tedy nastavujeme okamžitý limit podle očekávaného chování klientů a dlouhodobý limit podle výkonu našeho serveru.

Důležitou poznámkou je, že dlouhodobého limitu čítače dosáhnou pouze tehdy, jsou-li dotazy posílány pravidelně. To je způsobeno snižováním jejich hodnoty po zlomcích jejich aktuální hodnoty, tedy jejich pokles je vždy nejrychlejší, pokud byla hodnota těsně pod limitem. Počká-li klient nějakou chvíli po dosažení limitu, jeho čítač bude stále klesat, zároveň se ale klesání bude stále zpomalovat. Strategie posílání většího množství dotazů jednou za několik sekund tedy bude z dlouhodobého hlediska omezována striktněji než posílání dotazů po jednom v pravidelných časových intervalech.

Omezování sítí

Sledování dotazů (pouze) z jednotlivých IP adres by nefungovalo příliš dobře, obzvláště v IPv6, kde samostatný útočník může velmi snadno získat obrovské množství adres. Toto se obvykle řeší tak, že se vybere nějaká délka prefixů adres a omezuje se s takto pevně danou granularitou. To však umožňuje jednomu stroji vyplýtvat limit pro celý prefix (tedy potenciálně pro větší síť, jako je ISP). Jinými slovy, jediný potížista by mohl vyřadit službu celé síti i v případě, že by útočil jen z jedné adresy. Proto jsme zvolili komplexnější hierarchický přístup.

Namísto jedné pevné délky zvolíme délek prefixů více. Pro každou z takto vybraných délek pak zvolíme konstantu, kterou násobíme již nakonfigurované dlouhodobé a okamžité limity, které na prefixy dané délky aplikujeme. Pro každý požadavek pak zvedáme čítač všech (čtyř, nebo pěti – podle verze IP) prefixů adresy, ze které požadavek přišel, včetně celé adresy. Pokud by některý z čítačů měl přesáhnout svůj limit, nebude inkrementován žádný a dotaz je zablokován. Kratší prefixy tedy mají vyšší limity, jelikož reprezentují součet požadavků z větších sítí. Násobením jak okamžitého, tak dlouhodobého limitu stejnou konstantou ponecháváme poločas rozpadu na stejné hodnotě, což je žádoucí.

V současné době zvažujeme následující prefixy a násobitele:

IPv4 prefix /32 /24 /20 /18 Násobitel 1 32 256 768 IPv6 prefix /128 /64 /56 /48 /32 Násobitel 1 2 3 4 64

Naši volbu prefixů a jejich násobitelů ovlivňuje mj. následující: – jednotlivé adresy – nezávisle na tom, zda jsou IPv6, nebo IPv4 – mají stejnou váhu, aby konfigurace byla co nejméně matoucí, – koncová síť v IPv6 má v praxi typicky délku prefixu mezi /64 a /48 (vizte politiku RIPE ohledně přiřazování prefixů koncovým uživatelům (v angličtině)). V případě IPv4 má koncová síť maximálně jednu adresu (délka /32), či dokonce se může za jednou adresou schovávat vícero sítí pomocí CGNAT. – Úroveň ISP/LIR: v IPv4 je nejmenší směrovatelný prefix /24 a kvůli nedostatku adres je adresní prostor velmi hustý a fragmentovaný. V IPv6 je situace velmi odlišná – každý LIR v RIPE dostane prefix o délce /32, nebo i kratší, pokud je třeba (vizte politiku RIPE o alokaci a přiřazování IPv6 adres (v angličtině)).

Na tomto místě bychom rádi poděkovali naší kolegyni Marii Matějce z týmu vyvíjejícího routovacího daemona BIRD za konzultaci těchto skutečností, zejména v oblasti IPv6.

Metody blokování dotazů, víceúrovňové omezování

Jak bylo již dříve zmíněno, máme dvě možnosti blokování dotazů. Můžeme je buď zcela zahodit, nebo na ně můžeme poslat jen minimální oříznutou odpověď, pomocí které jsme schopni ověřit klientovu autenticitu.

Nejprve se pojďme podívat na UDP dotazy a oříznuté odpovědi, které jsou existujícím mechanismem v DNS. DNS komunikace ve své výchozí podobě běžně probíhá přes rychlý, ale nespolehlivý protokol UDP. V případě, že by celá odpověď na dotaz byla příliš dlouhá pro přenos v UDP datagramu, je oříznuta a takzvaný TC bit je v ní nastaven na 1, čímž je klient požádán, aby dotaz položil znovu, ale tentokrát přes spolehlivý, ale zároveň výpočetně náročnější protokol TCP.

Důvod pro posílání takto oříznutých odpovědí při omezování provozu je následující: jednou z nevýhod DNS na protokolu UDP je jeho náchylnost na tzv. amplifikační útoky. Zjednodušeně řečeno, UDP klient snadno zfalšuje svou IP adresu, jelikož v UDP nedochází k žádnému handshake či jinému ověřujícímu procesu. To znamená, že útočníci mohou zneužít DNS servery k zahlcení strojů svých obětí relativně velkým objemem nevyžádaných UDP datagramů4.

Útočník tedy může zfalšovat svou IP adresu a přinutit náš server, aby tzv. amplifikoval útok směrem k dalšímu hostiteli. Pod takovým útokem se může stát, že bude přicházet velké množství falešných UDP požadavků a jen malé množství autentických. Zahazování všech by sice vyřešilo amplifikační útok, ale zároveň by narušilo službu pro autentické uživatele.

Alternativou je tedy posílání pouze krátkých UDP odpovědí označených TC bitem. Jelikož TCP vyžaduje handshake k navázání spojení, zdrojová adresa se tím ověří a efekt amplifikace se tím zníží, jelikož UDP pakety s odpověďmi od DNS serveru budou relativně malé. Lze také očekávat, že útočníci nebudou své požadavky přeposílat přes TCP, jelikož na něm amplifikační útok nefunguje.

To nás přivádí k důležitému zjištění: mohli jste si všimnout, že tímto dochází k určitému posunu ve významu rate-limitingu. Místo, aby DNS server využívající tento mechanismus chránil sám sebe, chrání ve skutečnosti ostatní účastníky na internetu před zahlcením jeho DNS odpověďmi.

Obě metody omezení (posílání zkrácených odpovědí a zahazování dotazů) můžeme kombinovat. Zkrácené odpovědi můžeme posílat pouze pevně určenému zlomku dotazů a zbytek můžeme zahazovat. Tento přístup je zvažován pro autoritativní Knot DNS.

Dalším přístupem je zavedení nižšího měkkého limitu (angl. soft limit) pro krátké odpovědi a ostrého limitu (angl. hard limit) pro zahazování. Měkký limit může být definován jako procento z okamžitého a dlouhodobého limitu, které jsou zavedeny jako limity ostré. Toto je přístup, který zvažujeme pro použití v Knot Resolveru.

Mezi měkkým a ostrým limitem je ještě jeden důležitý rozdíl. Aby bylo možné ostrého limitu dosáhnout, musíme hodnotu čítačů stále zvyšovat i v případě, že se dostanou přes měkký limit. To znamená, že pokud útočník posílá dostatek dotazů, aby dosáhl měkkého limitu, ale ne dost, aby dosáhl ostrého, všechny jeho dotazy budou zodpovězeny s nastaveným TC bitem. Na druhou stranu, jakmile jsou požadavky omezeny ostrým limitem, systém je již nepočítá, dokud čítač neklesne5, a tedy čas od času může přijít dotaz, který bude omezen opět jen měkkým limitem. Jinými slovy: ostrý limit – trochu paradoxně – pouze zpomaluje frekvenci odpovědí a čas od času některé dotazy propustí; zatímco měkký limit omezuje vše, dokud klient dostatečně nezpomalí své dotazování.

Tento rozdíl můžeme vidět v následujícím grafu. Je velmi podobný tomu předchozímu, ale kromě ostrých limitů LI a LR obsahuje také měkké limity L’I a L’R a oranžové oblasti značící čas, kdy byly dotazy omezeny měkkým limitem.

Pro dotazy přijaté přes TCP (vč. šifrovaných protokolů DNS-over-TLS a DNS-over-HTTPS) je dostačující použití pouze ostrého limitu, neboť zdrojová adresa je vždy autentická.6 Zvažujeme také, že Knot Resolver nebude tuto formu rate-limitingu na TCP aplikovat vůbec a namísto toho se u spojovaných protokolů spolehne na mechanismus prioritizace popsaný v následující sekci.

Různé ceny pro různé dotazy a prioritizace

Dosud jsme pracovali pouze s počty dotazů. Mezi jednotlivými druhy dotazů jsou však nezanedbatelné rozdíly ve využití CPU. Kupříkladu: vyřešení kešovaných dotazů přes UDP bude mnohem levnější, než vyřešení dotazů zatím nekešovaných a navíc třeba přes TLS.

Abychom tuto skutečnost mohli vzít v potaz, ponecháváme jednoduchý počítací mechanismus popisovaný výše a přidáváme prioritizaci dotazů, která započítává procesorový čas. Abychom mohli spotřebu zdrojů odhadovat s nějakou přesností, definujeme nové čítače pro hostitele a sítě velmi podobně jako v případě rate-limitingu, ale měříme procesorový čas strávený na jednotlivých dotazech a k čítačům přičítáme ten (namísto pouhé inkrementace o jedničku, jako je tomu u rate-limitingu). Čekání na odpovědi od autoritativních serverů přitom nezapočítáváme, jelikož Knot Resolver využívá asynchronního I/O a během čekání se může zabývat dalšími úlohami.

V tomto mechanismu nepoužíváme limity pro blokování. Namísto toho seskupujeme dotazy do několika úrovní priorit na základě hodnot čítačů jejich původců. Přiřazujeme tak nižší prioritu těm hostitelům/sítím, jejichž vytížení bylo v minulosti vysoké. Požadavky s nejvyšší prioritou jsou zpracovány okamžitě, zatímco jiné jsou zařazeny do několika front na základě úrovně a odloženy k pozdějšímu zpracování.

Konkrétní způsob práce s různými prefixy a určení, kdy se již požadavky nezabývat a zahodit je, protože jsou již příliš staré, je v současné době předmětem interních diskuzí. Zvažujeme také zahazování dotazů s nejnižší prioritou, když je server přetížený.

Závěr

Zde zakončujeme první část Ochrany před DoS v Knot Resolveru 6.

Popsali jsme si koncept počítání a omezování dotazů, nejprve pro jednotlivé adresy, poté pro celé sítě. Pak jsme přimíchali vícero metod omezení, kdy jsme zjistili, že mechanismus rate-limitingu slouží k ochraně před DNS amplifikačními útoky.

V poslední sekci jsme se přesunuli k prioritizaci dotazů využívající modifikace mechanismu vyvinutého pro rate-limiting.

V příštím článku se zaměříme na nízkoúrovňovou implementaci celého mechanismu a objasníme si některé nepřesnosti, které jsme zde zanechali za účelem zjednodušení tohoto vysokoúrovňového pohledu.

  1. Project number: 101095329 21-EU-DIG-EU-DNS
    Project name: DNS4EU and European DNS Shield.
    This project is co-funded by the European Union.
  2. Velké zjednodušení! Takové množství čítačů je ve skutečnosti nemožné, protože bychom potenciálně potřebovali 232 čítačů pro IPv4 adresy a 2128 čítačů pro IPv6 adresy. I kdyby čítače byly jednobajtové (což nejsou), potřebovali bychom více paměti než je byť jen teoretické maximum 64bitových počítačů. Skutečně implementované technické řešení tohoto problému bude popsáno v dalším článku.
  3. V ideálním světě by exponenciálně ubývající čítače nikdy nedosáhly nuly, pouze by k ní v čase donekonečna konvergovaly. V počítačích toto samozřejmě není pravda. Čítače mají technicky vynucenou přesnost, takže v nějakou chvíli opravdu nabydou hodnoty nula, pakliže nějakou dobu nedorazí žádný dotaz, nicméně o tomto případu nemá valný smysl uvažovat. Pro většinu úvah je užitečnější předpokládat, že čítače jsou vždy nenulové, pokud nebyly právě inicializovány.
  4. Detailnější popis amplifikačního útoku v DNS od CloudFlare (v angličtině): https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/
  5. To je dáno i technickými omezeními, která budou blíže popsána v dalším článku.
  6. TC=1 navíc může být pouze v čistém UDP. Pro čisté UDP by tuto vlasnost přinesly také DNS Cookies (RFC 7873), ale v době psaní tohoto článku je podporuje pouze autoritativní Knot DNS a míra jejich použití ve světě DNS celkově je velmi nízká.

Autoři: Lukáš Ondráček, Vladimír Čunát
Editor: Oto Šťáva

Kategorie:

Letecké neštěstí v Čelákovicích si před 100 lety vyžádalo tři mrtvé

Svět techniky - Po, 07/15/2024 - 00:05
Středočeské Čelákovice se staly 13. července 1924 místem leteckého neštěstí, které nakonec nepřežili tři lidé.

KOMENTÁŘ: Požárů fotovoltaik může přibývat. Rizikoví jsou patlal a kutil

Svět techniky - Po, 07/15/2024 - 00:02
Požár nebo výbuch je asi to poslední, co by si majitel rodinného domu přál. V příštích letech jich může přibývat v souvislosti s tím, jak budou stárnout některé nepovedené fotovoltaické instalace ze solárního boomu předchozích let. Dobrou zprávou je, že se jim dá v mnoha případech předejít.

Ilustrátora Wintera věznili nacisté. Kreslil erotické i historické vtipy

Svět techniky - Ne, 07/14/2024 - 00:05
Malíř, karikaturista, ilustrátor a humorista Jiří Winter-Neprakta, který se narodil před 100 lety, byl rekordmanem v počtu kreslených vtipů, zajímal se však například i o antropologii a tajemno všeho druhu.