Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 30 min 24 sek zpět

Letmé připomenutí ochrany osobních údajů, tentokrát s důrazem na e-shopy

1 hodina 45 min zpět

Před dvěma roky vrcholilo šílenství v souvislosti s nadcházející účinností předpisu Všakvyvítejakého. Takže u příležitosti 28. ledna, tedy Mezinárodního dne ochrany osobních údajů bylo jasné, o čem psát.

Léta plynou, nařízení Všakvyvítejaké je tady stále s námi, likvidační firemní a lidské tragédie se neodehrávají (a nebo ano, ale diskrétně) a můj názor na něj je kupodivu shodný s názorem ÚOOÚ, a to ten, že nešlo o žádnou revoluci a většina povinností už tady s námi byla dříve. Jisté pochybnosti mám o smysluplnosti pověřenců, což je ale na delší diskusi, stejně tak mne mrzí množství popsaného papíru, resp. vytížení datových úložišť a přenosových kapacit díky dokumentům typu „Privacy Policy“, jejichž četbě se věnuje málokdo, tedy pokud to nemá za povinnost.

Tím se volně dostávám k tomu, že i letos máme jedno nové nařízení, mezinárodně známé jako „CPC Regulation“ (Consumer Protection Cooperation Regulation), které už tedy účinnosti nabylo, a to 17. ledna. A taky k tomu, že se, rovněž mezinárodně, rozmohl takový nešvar, a to falešné e-shopy. To jsou na rychlo spíchnuté e-shopy s nabídkou nejčastěji oblečení a obuvi světoznámých značek, případně elektroniky, které jsou pověšeny na nově znovuzaregistrované domény (ano, znovuzaregistrované, protože jsou využívány domény, které dříve již registrovány byly) s nesprávnými či často dokonce fiktivními údaji držitele. Jako držitelé jsou ale uváděny fyzické osoby, na adresách, které někdy i existují, každopádně není možné jejich „falešnost“ jednoduše s minimálním zásahem lidské síly poznat.

A proč vlastně o tomhle píšu v souvislosti s ochranou osobních údajů?

Těch důvodů je několik:

  • Provozovatelé e-shopů, tedy ti opravdoví obchodníci, kteří jsou pro dozorové orgány dosažitelní, mají vůči spotřebitelům řadu povinností, včetně těch informačních. Napsat obchodní podmínky e-shopu tak, aby byly správně, a aby v nich bylo všechno, co má podle zákona být a vůbec v tomto smyslu nastavit funkčnost e-shopu, není úplně jednoduché. A v obchodních podmínkách je často opsán zákon. Nedostatky jsou sankcionovány. A co myslíte, že dělají spotřebitelé s takto pracně sestavenými obchodními podmínkami a dalšími dokumenty? Ano, správně… nečtou je. Spoléhají ve smyslu obecného právního povědomí na to, že můžou v určité lhůtě odstoupit od smlouvy a dostanou zpátky peníze. Jak by to mohlo být prosté, i bez těch stránek psaných drobným písmem (ne proto, že by neměly být čitelné, ale aby se vešly na rozumné množství stránek).
  • Titíž spotřebitelé zcela bez bázně a hany nakupují v zahraničních e-shopech. Hodně zahraničních, tedy neevropských, přesněji neevropskounijních. A platí tam kartou – nebo PayPalem. Třeba takový Aliexpress/Alibaba. A ono to funguje. Že by četli T&C AliExpresu/Alibaby… nemuselo by to být tak strašné, každopádně nějaké tam jsou, systém řešení sporů mezi prodávajícími a kupujícími je nastaven a z vlastní zkušenosti vím, že to funguje. I když tam není to, co vyžadují dozorové orgány po našich e-shopech. Privacy Policy, srozumitelnou, samozřejmě mají též. Spotřebitelé se s nimi můžou seznámit… jestli tak činí… úvahu nechám na vás.
  • Spotřebitelé vyhledávají zboží, které si přejí, prostřednictvím Internetu. Okamžitě získají přehled o nabídkách a cenách… a protože je známo, že peníze jsou vždy na prvním místě, jdou za nejlevnějším. A neváhají nakoupit oblečení třeba tady:

nebo boty třeba zde:

Další si můžete najít třeba na seznamu rizikových e-shopů, který vydává Česká obchodní inspekce. O něco horší, protože tam už bez legrace může jít o zdraví nebo život, je nelegální prodej léků (pozor, tady se ale nemusí vždycky jednat o falešné e-shopy, jen prodávající nemá příslušné oprávnění k prodeji daného přípravku, nabízí padělky, nejde o lék registrovaný v ČR a podobně) – seznamy zveřejňuje Státní ústav pro kontrolu léčiv.

Ceny jsou více než lákavé, takže je úplně jedno, že:

  • název domény nemá žádnou souvislost s nabízeným zbožím (že by si budoucí podvedený nakupující všiml, že prezentace není na stránce používající zabezpečený protokol https, o zeleném zámečku ani nemluvě, tedy vůbec nelze čekat… důležitá je cena a ta vidět je),
  • na žádném z e-shopů nejsou konkrétní údaje o provozovateli, že by se někdo podíval do registru domén na držitele je naprosté sci-fi, a to mám poměrně bujnou představivost,
  • obchodní podmínky, které tady v ČR musí všichni e-shopaři mít (viz výše), buď nejsou vůbec nebo je to elaborát ve stylu generátoru náhodných jmen s podivnou verzí češtiny (o tom, že by tam bylo vše, co má být, ani nemluvím), v horším případě jde o převzetí obchodních podmínek jiného subjektu, včetně jeho kontaktních údajů (a dotčený subjekt je pak skutečně velmi negativně dotčený, protože o tomto užití svých OP pochopitelně neví),
  • podobná situace, jako u obchodních podmínek, je s tzv. Privacy Policy – roztomilé, že?

A tak přesto, že tady máme nařízení Všakvyyvítejaké, spotřebitel nic nečte (a to ani název domény, na kterém se e-shop nachází), kliká, uvádí své osobní údaje Aninevíkomu, platí kartou Aninevíkomu (pseudoopatrnost v podobě dobírky jde stranou, je to láce) a pak se diví a já vlastně taky a taky dozorové orgány a OČTŘ.

Ano, osobní údaje, včetně údajů o platební kartě (a taky přihlašovacích údajů, které může používat i jinde) jsou v moci Kdovíkoho, který je použije kdovíjak, vybrané zboží nedostane, při troše štěstí dostane místo Adidasek žabky, když bude mít méně štěstí, nedostane nic, a když ho nebude mít vůbec, tak mu ještě někdo jiný začne užívat platební kartu.

K nařízení Všakvyyvítejakému nám tedy v lednu přibylo nové, které má zajistit ještě vyšší ochranu spotřebitele, ze kterého se nám možná trochu stává díky vší té regulaci a ochraně neopatrný jouda (i když náš občanský zákoník říká, že má rozum průměrného člověka… ehm). Implementace do českých právních předpisů zatím neproběhla, se stavem legislativního procesu se můžete seznámit zde.

Co by Vám v této souvislosti nemělo uniknout, je pravomoc, kterou příslušné orgány státní správy (v návrhu vymezeny § 24d, odst. 2), a to v § 24g (informační povinnost, a to i vůči bankám, která je přísnější) a v § 24i, zejména odst. 2):

a znění článku 9 odst. 4, písm. g) bod ii) a iii) nařízení, které je tímto…prováděno:

…a o tom si napíšeme příště.

Kategorie:

Jak se zapojit do Dne bezpečnějšího internetu?

Po, 01/27/2020 - 11:40

Již téměř tradičně si každé druhé únorové úterý připomínáme Den bezpečnějšího internetu. Ten letošní připadá na 11. února a v rámci projektu Bezpečně na netu bychom jej rádi využili především k osvětě a prevenci.

Zároveň bychom byli rádi, kdyby se každý zamyslel nad tím, jak může k tomuto dni přispět. Nebojte se, nežádáme vás o žádné finanční příspěvky, ale naopak. Nabízíme inspiraci, jak si vystačit i s málem a našimi bezplatnými materiály. Zde jsou naše tipy:

Pro rodiče
  • Máte menší děti a pouštíte jim večer televizi či videa z YouTube? Zkuste 11. února udělat změnu a pustit jim naši audioknihu ON-LINE ZOO. Když už knihu budete mít staženou, můžete ji využít i později při cestování autem.
  • Pro děti ve věku 9 – 12 let si stáhněte a vytiskněte naše bezpečnostní pexeso. Spolu s dětmi si jej pak vystříhejte a zahrajte. Pro oživení si zaveďte pravidlo, že ten, kdo daný výraz nejlépe vysvětlí, získá nejen bod za nalezení páru, ale i další za správné vysvětlení pojmu.
  • Vyzkoušejte digitální večerku. Po sedmé večerní zkuste celá rodina vypnout mobilní telefony, nesedat si k počítači ani k tabletu a místo toho si povídat. Zeptejte se třeba dětí na to, jak odhalují na sociálních sítích falešné účty nebo kolik mají účtů na Instagramu a proč.
Pro učitele
  • Zkuste uspořádat „hodinu na ruby“. Požádejte své žáky, aby pro vás, nebo ještě lépe další učitele a vedení školy, na 11. února připravili přednášku o bezpečnosti. Nechte na dětech, jaké konkrétní téma si zvolí. Pokud jim chcete trochu pomoci, napovězte jim – zda se setkali se šikanou ve hrách a jak se jí bránit, jak poznat reklamní posty na sociálních sítích a jak je vnímají nebo jaká rizika podle nich přináší TikTok.
  • Pusťte si s osmáky či deváťáky jeden nebo dva díly našeho seriálu #martyisdead o kyberšikaně (namátkou doporučujeme druhý a třetí díl). Poté se pobavte o tom, jak je snadné se v on-line světě vydávat za někoho jiného, zda se jim stalo, že po nich chtěl někdo intimní fotku či jim přišel vyděračský e-mail požadující zaplacení peněz nebo splnění nějakého úkolu.
  • Oživte hodinu výpočetní techniky novou aktivitou. Pokud jste ještě nebrali bezpečnost hesel, můžete zkusit hru zaměřenou na gesta pro odemykání telefonu. Nebo na (ideálně tvrdý) papír vytiskněte loutky lva a antilop z naší knihy ON-LINE ZOO a zahrajte si s dětmi divadlo o tom, jak je snadné se vydávat za někoho jiného (tzv. grooming).
Registrujte se, informujte a vyhrajte!

Pokud se chcete připojit k mezinárodnímu Dni bezpečnějšího internetu, zaregistrujte se na stránkách Safer Internet Day. V případě, že se rozhodnete uspořádat nějakou aktivitu, budeme rádi, když o ní budete informovat, ať již na Instagramu, Facebooku nebo Twitteru. Abychom se o vás dozvěděli, přidejte, prosím, hashtag #bezpecnenanetu nebo nás označte na Facebooku. Pokud na Twitteru přidáte i #SID2020 nebo #SaferInternetDay, aktivuje se speciální emotikon :o).

Jako národní koordinátor Dne bezpečnějšího internetu bychom vaši aktivitu rádi ocenili. Nezáleží přitom, zda se necháte inspirovat našimi tipy nebo přijdete s vlastním nápadem. Ze všech registrovaných škol, o jejichž aktivitě se díky sociálním sítím dozvíme, vybereme deset, které obdrží prezentér a dvě vybrané knihy z naší edice. Pět rodičů pak odměníme buď bezdrátovým reproduktorem nebo knihou ON-LINE ZOO v krásné pevné vazbě!

Kategorie:

Výměna kyberbezpečnostních expertů

St, 01/15/2020 - 10:30

Na konci předminulého roku se tým CSIRT.CZ zapojil do projektu CyberExchange. Jak už název napovídá, cíl projektu je motivovat pracovníky jednotlivých evropských kyberbezpečnostních týmů, aby podnikli výměnnou cestu k partnerům. Nejprve proběhla seznamovací fáze – každý tým vyslal zástupce, který prezentoval vyvíjené nástroje. Přestože se jako CSIRT.CZ s řadou ostatních týmů pravidelně setkáváme u jiných příležitostí, zde byl prostor představit všechny aktivity týmu naráz. Následovalo období zvažování a domlouvání, kterého experta kam pozvat. Každý subjekt by měl vyslat přibližně dva stážisty a dva další přijmout, přičemž výměny jsou myšleny jednostranně – málokdy se stane, že by tým stejnou zemi přijal i navštívil. Bylo třeba vyladit detaily, naplánovat rámcový rozvrh stáže, každá instituce zaslala partnerům svá očekávání, zřizovaly se vzdálené přístupy, aby při příjezdu pracovníka systémy běžely a neztrácel se čas čekáním na pracovní stanici nebo podpis certifikátu pro přístup do bezdrátové sítě. Pak už přichází na řadu samotná stáž – odlet, ubytování, nástup do cizí kanceláře. Za první rok se napříč Evropou realizovalo celkem 14 výměn, dvě z toho se týkaly CSIRT.CZ: CSIRTMalta a CERT.pl.

Během výměny panuje zvláštní atmosféra. Jednak se do hry dostávají subtilní rozdíly v denním fungování; zatímco CSIRT.CZ je provozován neziskovým českým NICem, CSIRTMalta spadá pod ministerstvo vnitra a bezpečnosti a CERT.pl pod výzkumný institut NASK ministerstva informatiky. A jednak je ve vzduchu zvláštní očekávání; stážista pořádně neví, kdy bude plnit roli učitele a kdy bude žákem. První den uběhne rychle – test pracovní stanice, seznámení s kolegy, představení firmy. Pak dojde na vzájemnou prezentaci znalostí a výměnu zkušeností z incident handlingu.

Je něco zcela jiného vidět cizí nástroje nejen z rychlíku (z prezentace), ale při jejich každodenním užívání. Mnohem snáze se pak rozhoduje, který nástroj či technika může být nasazena doma. Naopak svěží pohled externisty pomůže určit, zda ve workflow partnera není aspekt, na který se lze podívat ze zcela jiného úhlu, a díky tomu, že je člověk vytržen ze své denní agendy, může se zaměřit na konkrétní výzvy.

S maltskými kolegy jsme se zaměřili na vývoj IntelMQ; přáli si jej začít používat. Vzhledem k několikaletým znalostem získaným v projektu PROKI jsme mohli poskytnout bohaté zkušenosti. Nejprve jsme spolu prošli proces instalace software na čistý stroj. Což bylo překvapivě vysoce inspirativní, neboť zkušeného vývojáře netrknou do očí problémy, do nichž prvouživatel snadno zabředne. Dělali jsme poznámky o každém zaškobrtnutí a posléze do softwaru implementovali nový mechanismus zpracování chyb. Ten se snaží každou chybu kategorizovat a popsat s mnohem relevantnějšími informacemi než dříve. Pokud vyhodnotí, že se jedná o dobře známou past, přehledně vypíše tip, co se má udělat, a přímý odkaz na místo do dokumentace. Vždycky navíc vyprodukuje příkaz, s jehož využitím lze chybu přesně replikovat, aby si ji administrátor mohl snadno odladit a nemátlo ho např. nastavení uživatelů na vzdáleném serveru. Administrátor již nemusí marně koukat do zdrojového kódu programu a slepě zjišťovat, jak chybu nasimulovat, aby ji mohl vyřešit.Dále jsme poupravili proces nakládáním se zdroji ShadowServeru a navrhli čisté řešení pro přístup do relačních databází, abychom osvobodili IntelMQ od závislosti na PostgreSQL. Všechny změny jsme poskytli zpátky komunitě, takže jich využije každý uživatel software; včetně našich domácích kolegů.

Hlavní přínos stáže v CSIRTMalta je však dost možná knihovna Envelope, která začala jako malý skript umožňující jednosměrné GPG šifrování souborů, které by šly bezpečně zasílat partnerům. Řešení, které doposud CSIRTMalta používalo, bylo manuální; pátrali po automatizaci. Proč ale jenom šifrovat, když skript může přílohy rovnou rozeslat? Přestože na oficiálním repozitáři Pythonu PyPi existuje na 200 tisíc knihoven, žádná se nehodila na sto procent; některé byly nedotažené, některé byly skvělé, dělaly však jen část práce. A tak vznikla knihovna Envelope; jako vrstva nad několika specializovanými knihovnami týkajícími se e-mailu, podepisování a šifrování, s propracovaným programovacím rozhraním a dokumentací. Její cíl je sejmout z programátora tíži vědomostí, které chtě nechtě musí nasát, když chce udělat úkon, o němž by laik vůbec nepředpokládal, že je složitý. Například zašifrovat přílohu.

Polský kolega u nás objezdil hned tři různá oddělení. Kromě pražské centrály zajel na tři dny do pobočky v Českých Budějovicích a nakonec na vlastní žádost pracoval ještě s kolegy v týmu Turris. Dozvěděl se o interní infrastruktuře projektů jako HaaS a RPKISentry a podělil se s námi o přístup k některým polským interním systémům. Coby hmatatelná stopa po výměně zůstala aplikace Zone monitor, kterou jsme napsali a nasadili a s jejíž pomocí můžeme ohlídat, které domény se nově dožádaly HTTPS certifikátu a podle jména a screenshotu odhadnout, zda majitel domény hodlá provozovat phishing.

Výměny ještě nekončí, v tomto roce se za námi chystá řecký FORTH a náš zástupce pojede do chorvatského ISSB. Z anonymního jména spolupracovníka se stává další kolega a z e-mailové adresy konkrétní kancelář tisíc kilometrů daleko.

Kategorie:

20. ledna vypínáme staré ODVR. Nebo ne?

Po, 01/13/2020 - 14:00

Přicházím s posledním připomenutím nutnosti změny nastavení svých počítačů či síťových zařízení. V pondělí 20. ledna v 9:00 by Vám mohl přestat fungovat Internet, protože vypneme první část platformy starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR. Samozřejmě jen v případě, pokud tuto odstavovanou službu ještě využíváte.

Opakuji, že k tomuto kroku jsme se rozhodli přistoupit proto, abychom zvýšili bezpečnost provozu DNS anycastu pro českou národní doménu. Část staré instance ODVR totiž sdílí s DNS anycastem pro .CZ nejen fyzickou infrastrukturu, ale používá i IP adresu z rozsahu určeného primárně DNS anycastu pro .CZ. O nové instanci ODVR a konkrétních důvodech vypnutí původního ODVR informujeme poměrně intenzívně již tři čtvrtě roku, termín vypnutí staré jsme oznámili před více jak měsícem. Jak jsme na tom dnes s překlopením provozu na nové řešení, je vidět z následujícího grafu. Většina provozu, která směřuje na naše resolvery, je již odbavována z nového řešení a jsme tedy velmi rádi, že naši uživatelé vyslyšeli naše výzvy ke změně. Děkujeme!

Vhledem k faktu, že provoz na původním unicastu je ale stále poměrně silný, rozhodli jsme se v uvedený termín 20. ledna vypnout pouze starou anycast část. Analýzou provozu jsme totiž zjistili, že drtivá většina IP adres, ze kterých přicházejí požadavky na starou instanci ODVR, využívá jak anycast, tak unicast instancí. Tedy vypnutí anycastu by na těchto zařízeních nemělo způsobit problém. Pouze několik málo stovek IP adres (v pracovní dny cca 200 až 300) využívá ze původních ODVR pouze anycast instanci a jejich provoz nedosahuje ani tři procenta z celku. Ano, uživatelé za těmito IP adresami na problém po 20. lednu narazí, pokud ještě neprovedou změnu, viz níže, ale kvůli tak malému počtu uživatelů odkládat vypnutí nechceme (navíc, pokud mají doporučené nastavení svých DNS, mají v konfiguraci ještě alespoň jeden další server). Odložíme však vypnutí staré unicast části do doby, až její provoz dále výrazněji poklesne. Postup vypnutí anycastu provedeme, zjednodušeně řečeno, tak, že na anycast nodech zastavíme `unbound` a aby nedocházelo ke zbytečným timeoutům u uživatelů, přidáme do iptables `REJECT` na adresy 193.29.206.206 / 2001:678:1::206. Pár dní necháme takto odstavené, teprve pak přistoupíme k dalším krokům.

Apel na správce sítě a uživatele, i přes pokračující provoz staré unicast části, zůstává. Prosíme zkontrolujte si, zda nevyužíváte stále ještě onu vypínanou část ODVR. Pokud neumíte zjistit, jaký používáte na svém počítači resolver, využijte našeho pomocného nástroje, který vám odpoví, zda máte změnu nastavení provádět nebo ne. Pokud Vám test vrátí zelené „fajfky“ u starých instancí, nemusí se zmíněného 20. ledna obávat. Pokud se mu ale ve výsledcích testu objeví červené „křížky“, měl by zbystřit a zajistit si okamžitou změnu nastavení u sebe nebo svého poskytovatele připojení.

Pro ty zkušenější, ještě znovu opakuji výzvu pro změnu zcela konkrétně. Zapomeňte prosím na: 217.31.204.130, 2001:1488:800:400::130 a 193.29.206.206, 2001:678:1::206, přejděte včas na: 193.17.47.1, 2001:148f:ffff::1 a 185.43.135.1, 2001:148f:fffe::1.

Kategorie:

Naše nejúspěšnější články roku 2019

Po, 01/06/2020 - 11:37

Dnes jsme si pro vás připravili přehled nejčtenějších příspěvků našeho blogu za uplynulý rok. Celkem v našem internetovém zápisníku vyšlo 49 článků na různá témata, přičemž mezi nejvyhledávanější patřila osvěta v oblasti internetové bezpečnosti, systém DNS a technologie DNSSEC, nové datové centrum nebo projekt Turris. Nyní se pojďme podívat, co vás konkrétně zaujalo nejvíce.

1. Spouštíme nové ODVR

O tom, že se někdy musí vyměnit staré za nové, psal ve svém blogpostu vedoucí systémových administrátorů CZ.NIC Václav Steiner:

…V čem je nové ODVR jiné? Za prvé, všechny servery běží na novém DNS anycastu, který však není součástí .CZ anycastu. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za KNOT Resolver (v době vydání tohoto blogpostu ve verzi 4.0), a to se zapnutou podporou DNS over TLS. …“

2. Upozornění před filmem „Kto je další“

Jiří Průša, náš projektový koordinátor, upozornil na to, že i mistr filmař se někdy utne a měli bychom vědět, na co se s dětmi podíváme:

„…Jako národní centrum zaměřené na bezpečnější internet nejen pro děti proto českým školám doporučujeme velmi pečlivě zvážit případnou hromadnou návštěvu promítání tohoto filmu či jeho využití např. ve výuce. …“

3. Nový seriál #martyisdead ukazuje drsnou tvář Internetu

Internet může být dobrý pomocník, ale zlý pán. Po letech praxe v oblasti online bezpečnosti dětí na Internetu o tom ví své Martin Kožíšek, koordinátor projektu Bezpečně na netu.

„… Čísla, která nás motivovala přenést toto téma na obrazovky, jsou děsivá. Až osm procent dětí má zkušenost s vydíráním. Odhadem přes deset dětí ročně spáchá v České republice kvůli problémům na Internetu sebevraždu. …“

4. Pohled do zákulisí návrhu a výroby krabiček Turris MOX

Pod pokličku výroby modulárních routerů Turris MOX nás nechal nahlédnout Petr Bílek, manažer hardwarového vývoje:

Už od počátku vývoje routeru Turris MOX jsme stáli před nelehkým úkolem – jak celý modulární systém poskládat do sebe, tak, aby se při manipulaci nerozpadl a zároveň, aby byl pro uživatele co nejvíce přívětivý, když jej budou chtít opakovaně skládat a rozebírat. …“

5. Vylepšení pro bezpečnější přihlašování do mojeID a další novinky

Bezpečnosti není nikdy dost a musí se na ní neustále pracovat. Zdeněk Brůna, technický ředitel sdružení, ve svém příspěvku představil bezpečnostní novinky služby mojeID:

„… Jedná se o metodu, v níž se využívá FIDO2, což je otevřený standard pro autentizaci, která umožňuje dvoufaktorové ověření pomocí specializovaných USB / NFC / Bluetooth zařízení (jsou pak bezpečnostním/autentizačním tokenem) v kombinaci s podporou webových prohlížečů. …

6. Téměř všechny .CZ domény jsou připraveny na únorovou údržbu DNS

Nejen skauti, ale i kolega Petr Špaček ví, že je dobré být připraven… na DNS Flagday 2019. Jak nakonec obstála .CZ doména, se dočtete v jeho textu:

„… K tomuto účelu Laboratoře CZ.NIC vyvinuly vlastní nástroj pro skenování a vyhodnocování domén, který z dílčích výsledků technických testů počítá celkový stav domény. Proces sběru a vyhodnocení dat detailně popisuje metodika (v angličtině). My se ale pojďme podívat na výsledky! Z měření provedených mezi 11. a 14. lednem vyplývá, že pouze 0,12 % všech domén v .CZ registru není připraveno. …“

7. Teplo je třeba uchladit

Aby se našemu privátnímu sálu takzvaně nezapalovala lýtka, je zapotřebí kvalitní chladící technologie. Jak jsme to vyřešili, informoval opět Zdeněk Brůna:

„… Distribuce chladného vzduchu z CoolTop jednotky je velice plynulá, protože máme přístup vzduchu rovnoměrný před všechny racky ve studené uličce. CoolTop má jednu obrovskou výhodu, tj. velký průtok vzduchu. Jen pro zajímavost, pokud bude v chodu jeden CoolTop na 100 %, tak se vzduch ve studené uličce vymění za šest sekund, což je výkonově více než dostatečné. …“

8. Kolik je 52U aneb Jaké budeme používat racky

Každý milimetr se počítá. S tím jsme počítali i my, když jsme do našeho privátního sálu instalovali nové racky. Více o tom napsal kolega Václav Steiner:

„ … A právě těch 10U navíc u všech devíti nově instalovaných racků nám dává požadovaný upgrade o více jak 50 % kapacity privátního sálu oproti výchozímu stavu se sedmi racky po 42U. …“

9. Chyba v implementaci DNSSEC v BIG-IP load-balancerech od F5

Některé chyby mohou být závažnější než jiné. Jednu z těch opravdu závažných se podařilo odhalit týmu Knot Resolver. O co přesně šlo, přiblížil vývojář Petr Špaček:

„… Celý příběh by se dal zkrátit do věty „příčinou chyby je nedodržení technického standardu RFC5155 sekce 3.1.8„, nejspíš jako důsledek snahy o zjednodušení si práce při implementaci. …“

10. Knot Resolver slaví páté narozeniny

Všechno nejlepší Knot Resolveru popřál ve svém blogpostu vedoucí Laboratoří CZ.NIC Ladislav Lhotka a nezapomněl ani na důležité milníky:

„… Na rozdíl od supernov se softwarové projekty obvykle rodí skromně, bez velkých spektakulárních efektů. Faktickou existenci Knot Resolveru zahájil tento commit v GitLabu …“

Na závěr dnešního příspěvku bychom vám rádi poděkovali za přízeň a pozvali vás k odběru našich blogpostů i v roce 2020. A jestli chcete být informováni o našich novinkách jako první, sledujte nás na sociálních sítích – Facebook, Twitter nebo LinkedIN.

Kategorie:

Vážení čtenáři našeho blogu, děkujeme v

St, 12/18/2019 - 10:30

Vážení čtenáři našeho blogu, děkujeme vám za pozornost i zájem a přejeme vám hezké a klidné svátky a vše nejlepší v roce 2020.

Tým zaměstnanců sdružení CZ.NIC

Kategorie:

Jak vidí mladí Internet?

Út, 12/10/2019 - 13:05

Když jsem byla vybrána jako doprovod pro českého zástupce studentů na prestižní akci BIK Youth Panel, velmi mne to potěšilo, i když to zároveň znamenalo velkou zodpovědnost spočívající jak v samotné funkci doprovodu, tak také v důstojné reprezentaci projektu Bezpečně na netu, v jehož rámci byl zástupce České republiky vybrán. Během tří dnů (19. až 21. listopadu) jsem měla zajímavou příležitost seznámit se s pohledem dnešních mladých lidí na problémy, které s sebou moderní technologie přinášejí. Protože se domnívám, že bychom měli názorům mladých lidí naslouchat a brát je v potaz, dohodla jsem se s Matějem, kterého jsem na akci doprovázela, na krátkém rozhovoru. Pokud Vás zajímá, jak dnešní mladí lidé vnímají moderní technologie, pak určitě čtěte dále.

Můžeš se prosím krátce představit?

Ahoj, já jsem Matěj. Je mi 15 let a chodím na gymnázium v Ústí nad Orlicí.

Jak ses dostal ke spolupráci s CZ.NIC?

Zapojil jsem se do soutěže Kraj pro bezpečný internet, kde jsem byl 2. v celostátním kole, a pak jsem byl pozván do Zlína na konferenci Bezpečně na netu, kde probíhal i mládežnický panel.

Kdo/co Tě ovlivnil/o a posunul/o směrem k IT?

Určitě táta, protože od mala jsem se učil používat počítač. V jednu dobu jsem měl YouTube kanál, kam jsem nahrával různá herní videa a kde jsem se učil videa stříhat.

Takže se videím a YouTube už nevěnuješ?

Videa jsem smazal. To byl takový trend, v tu dobu natáčelo hodně lidí videa z Minecraftu. Teď se místo toho učím programovat.

Byl jsi vybrán do Bruselu na Better Internet for Kids meeting, jak se Ti tam líbilo?

Určitě to byla skvělá zkušenost. A určitě to bylo něco jedinečného, co jsem ještě nikdy předtím nezažil. Poznal jsem spoustu mladých zajímavých lidí z celé Evropy, kteří se věnují podobným věcem jako já.

Můžeš nám popsat, o co vlastně šlo?

BIK Youth Panel je akce, kterou Evropská Unie pořádá pro mladé lidi, aby jim umožnila sdílet své názory týkající se bezpečnosti na Internetu a dala jim možnost přispět ke změně v této oblasti. Celá akce trvala tři dny. První dva dny jsme se seznamovali a připravovali program na Safer Internet Forum, které proběhlo poslední den (21. listopadu). Fórum navštěvují různí lidé zabývající se bezpečnosti na Internetu, například politici, zástupci sociálních sítí, učitelé, policisté, zástupci krizových linek apod.

V čem myslíš, že skutečně spočívá význam podobných akcí?

Je potřeba lidem ukázat, že kriminalita na Internetu je stejně vážná jako kriminalita venku na ulici. Je důležité, aby lidé, kteří se zaměřují na prevenci kyberkriminality, znali názory mladých lidí, protože ve výsledku se stejně často zaměřují na ně. Měli by vědět, jak co nejefektivněji mladé lidi oslovit a něco jim předat. Zároveň si tam odborníci z různých profesí mohou vyměňovat své zkušenosti a znalosti, aby se navzájem podporovali a vzdělávali.

Je něco, co Tě zklamává v souvislosti s mladými a technologiemi?

Je mi trochu líto, že někteří z mých vrstevníků používají Internet každý den a přesto nevědí o možných hrozbách a nemají tušení, že jsou na Internetu i lidé, kteří jim chtějí uškodit. A právě proto jsme tu my, abychom pomohli mezi sebou šířit informace o těchto hrozbách. Také mne mrzí, že někteří z nás jsou schopni přes Internet ostatní šikanovat, aniž by si uvědomovali možné dopady.

Myslíš, že agresoři na Internetu by se projevovali stejně v reálném světě bez „masky“ anonymity?

Záleží na případu. Zatímco někteří využívají anonymity, kterou Internet poskytuje, v jiných případech je kyberšikana spojená i s šikanou fyzickou.

Setkal ses se šikanou na škole?

Slyšel jsem o případech lidí, kteří byli šikanováni.

Trochu jsme odbočili, nyní se ještě vraťme. Sklidil jsi obrovský úspěch v programu, organizátoři Tě dokonce označili za „superhero“. Je něco, co si myslíš, že se musí změnit?

Je skvělé, že jsme dosáhli spolupráce Evropy, ale myslím, že dalším krokem bude užší spolupráce v rámci celého světa. Pokud se něco má změnit, mělo by to začít vyučováním na školách. V této době ještě stále není ve školách dostatek prostoru pro rozvoj kritického myšlení a ačkoli učitelé by mnohdy chtěli, nenajdou při vyučování na toto téma prostor. Tímto bych chtěl povzbudit lidi z oboru, lidi, kteří mají pravomoc a možnost něco změnit, aby se tomuto tématu začali více věnovat a nebáli se s námi mladými lidmi diskutovat a spolupracovat.

Kdybys Ty sám měl možnost něco změnit, na co by ses zaměřil?

Zasadil bych se o bližší spolupráci velkých firem jako je třeba Facebook, Google atd. se státem a celou Evropskou unií, aby společně hledali cesty, aby bylo jednodušší vystopovat internetové útočníky, čímž by se podle mě částečně podařilo snížit počet případů násilí na Internetu. Asi bych do tohoto tématu více zapojil i rodiče, kteří by mnohdy chtěli se svými dětmi o tomto mluvit, ale jelikož nevyrůstali v době informačních technologií, tak třeba neví, jak na to.

Takže bys viděl cestu i ve vzdělávání rodičů? Máš konktrétní představu?

Myslím si, že zatímco pro mladé existuje spousta webových zdrojů a kampaní, které je v tomto směru vzdělávají, pro rodiče toho je, především v češtině, opravdu málo. Proto bych chtěl na jedno místo shromáždit výukové materiály, které by rodiče navedly k tomu, jak s lidmi v mém věku o těchto problémech mluvit. A zároveň by jim ukázaly, co skutečně hrozí na Internetu, před čím by měli své děti varovat, a také si uvědomili, že se hrozby netýkají pouze jejich dětí, ale i jich samotných.

Co myslíš, že je skutečná slabina technologií?

Technologie dávají lidem přehnaný pocit anonymity a mnohdy jim dávají sílu k tomu, aby udělali něco, co by v reálném životě nikdy neprovedli. Například stalking, často lze jednoduše lidi přes Internet sledovat a shromažďovat o nich informace, což nám v reálném životě přijde velice zvláštní, ale spousta lidí to přes obrazovku svého počítače vykonává každý den. A zároveň kvůli technologiím zapomínáme na to, že osobní kontakt je více než zprávy na messengeru. Ovšem věřím, že počítače, mobilní telefony a další jsou velmi užitečné nástroje, pokud je lidé umí správně používat. Dá se tedy říct, že slabinami technologií jsme ve skutečnosti my lidé.

Na závěr bych Matějovi ráda poděkovala za rozhovor.

Kategorie:

Termín vypnutí starého ODVR

Čt, 12/05/2019 - 14:42

Jak jsme již informovali v dřívějších blogpostech, zprovoznili jsme novou instanci našich Otevřených DNSSEC Validujících Resolverů a snažíme se na ni převést provoz. Jen opakuji, že ODVR, jak název této služby zkracujeme, je nejznámější českou alternativou k resolverům, které jsou provozovány například společnostmi Google (tzv. „čtyři osmičky“) nebo Cloudflare (tzv. „čtyři jedničky“).

Provoz se nám postupně daří na novou instanci převádět, samozřejmě díky ochotě uživatelů a poskytovatelů připojení měnit nastavení svých zařízení. Na novém anycastu už odbavujeme přes 40 procent provozu! Tempo přechodu se ale začalo v posledních týdnech snižovat. Obojí je vidět z následujícího grafu.

Kromě komunikace na našem blogu jsme o této změně několikrát informovali komunitu peeringového uzlu NIX.CZ, na sociálních sítích a v poslední době i přímo správce sítí, ze kterých přichází na staré ODVR největší provoz. I na základě komunikace s nimi a podle jiných vzorů (například přechod na DVB-T2) jsme stanovili termín, kdy staré ODVR vypneme. Tím termínem je 20. leden 2020. Ihned po jeho oznámení se opět obnovila aktivita uživatelů a správců sítí a upouštění od využívání starého ODVR zesílilo. Termín 20. ledna si prosím zapamatujte. Pokud vám tento den přestane „fungovat Internet“, může za tím stát právě vypnutí starého ODVR. A vězte, že přechod na využívání nového neznamená nákup nového zařízení, ale jde o velmi jednoduchou změnu konfigurace, kterou lze provést za pár vteřin, viz návody na stránkách projektu ODVR.

Zejména pro koncové uživatele jsme navíc připravili pomocný nástroj, který jim napoví, zda nepoužívají tyto vypínané instance (starý unicast a starý anycast) a nebo zda mají správně nastaveno používání té nové (nový anycast). Úplně jednoduché vysvětlení pro běžné uživatele je, že pokud test vrátí zelené „fajfky“ u starých instancí, nemusí se zmíněného 20. ledna obávat. Pokud se mu ale ve výsledcích testu objeví červené „křížky“, měl by zbystřit a zajistit si včasnou změnu nastavení u sebe nebo svého poskytovatele připojení. Věříme, že i tento nástroj pomůže tomu, že 20. ledna 2020 bude klidný zimní den bez velkého množství uživatelů postrádajících funkční překlad internetových domén na IP adresy.

Kategorie:

Upozornění před filmem „Kto je další“

St, 12/04/2019 - 16:35

V uplynulém týdnu jsme jako národní koordinátor pro oblast bezpečnějšího Internetu a člen mezinárodní sítě INSAFE obdrželi několik varování souvisejících se slovenským filmem „Kto je další“.

Film se prostřednictvím tří příběhů snaží upozornit na aktuální témata spojená s dospíváním mladých lidí – šikanu, sexuální vydírání a rizikové koníčky, konkrétně tzv. rooftopping (šplhání na vysoké budovy či vysílače) s cílem pořízení selfies v nebezpečných situacích (tzv. killfies).

Přes atraktivní zpracování však film obsahuje rovněž např. detailní záběry sebepoškozování, kdy na konci prvního příběhu se i přes podporu spolužáků šikanovaný chlapec nakonec rozhodne pro sebevraždu. Tento způsob konce života se zobrazuje i ve třetím příběhu, ve kterém farář zneužívá jednoho z chlapců. Jeho otec si pak za oběť vydírání volí farářovu dceru. Ta tento tlak neunese a rozhodne se skončit se životem. Právě tyto scény mohou podle stanoviska Slovenské psychiatrické společnosti (SPS) spustit např. tzv. Wertherův efekt, kdy zhlédnutí těchto scén může být spouštěcím faktorem a inspirací pro vlastní sebevraždu.

Na základě stanoviska odborné veřejnosti, především Výzkumného ústavu dětské psychologie a patopsychologie podpořeného Slovenskou komorou učitelů nebo Kliniky dětské psychiatrie NÚDCH, je promítání filmu pro děti nevhodné. K tomuto postoji se nejnověji připojilo i slovenské Ministerstvo školství, vědy, výzkumu a sportu, jehož logo bylo podle prohlášení ve filmu zneužito.

U našich východních sousedů film „Kto je další“ zhlédlo až 65 000 dětí a nyní by měla být připravována jeho premiéra v dalších zemích, především České republice a Slovinsku.

Jako národní centrum zaměřené na bezpečnější internet nejen pro děti proto českým školám doporučujeme velmi pečlivě zvážit případnou hromadnou návštěvu promítání tohoto filmu či jeho využití např. ve výuce.

Kategorie:

Turris ochrání i vaše servery

Po, 12/02/2019 - 10:15
Trochu historie

Co je projekt Turris, to asi není třeba v Čechách představovat. Ale pojďme si jen pro úplnost zrekapitulovat, jak celý projekt vznikl a jak se v průběhu doby vyvinul.

Vše začalo zkoumáním, jak probíhají útoky na běžné domácnosti. Náš CSIRT tým měl data z různých honeypotů, ale zajímalo je, v jaké míře se útoky zaznamenané na serverech dotýkají i běžných lidí. Navíc s rozvojem IoT začínaly být čím dál tím více zranitelné i běžné domácnosti. Ale jak zjistit, co se v nich děje? Kdyby tak existovala nějaká sonda, která by sbírala data o pokusech o útoky…

I jal se CZ.NIC takovou sondu vyrobiti. Nazvali jsme ji Turris a kromě sběru dat o útocích uměla i pár drobností navíc. Jako třeba routovat, dělat Wi-Fi AP, validovat DNSSEC, nahrávat pořady z televize a takové běžné drobnosti. Rozdali jsme je po republice, data začala chodit a výsledky byly velmi zajímavé. Naši kolegové je zkoumali a pomocí nich se jim podařilo odhalit nemálo bezpečnostních hrozeb. Zároveň jsme tato data automaticky zpracovávali, vytvářeli greylist a distribuovali ho na routery, kde jsme automaticky blokovali odhalené útočníky.

Projekt šel dál a ukázalo se, že naše sonda je vlastně skvělý router. I rozhodli jsme se zkusit, jestli by si ji někdo nekoupil na routrování. Zkusili jsme to s Turris Omnia na Indiegogo a později znovu s Turris MOX a oboje slavilo velký úspěch, a tak začal CZ.NIC vyrábět vlastní hardware.

HaaS vstupuje na scénu

Kromě zjištění, že co děláme na poli routerů, je zajimavé pro široké masy, jsme dostávali zpětnou vazbu o tom, že i náš sběr dat je zajímavý. Lidé nemají rádi útočníky a rádi by jim házeli klacky pod nohy. Pro mnoho z nich to ale není úplně snadné, ale náš systém jim to snadno umožňuje.

I toto jsme se pokusili ověřit v praxi. Spustili jsme projekt HaaS – Honeypot as a Service. Pomocí něj se můžou uživatelé snadno přidat a se svými servery nám pomoci chytat útočníky na ssh. O projekt projevila komunita velký zájem a nyní chytají útočníky nejen naše routery, ale i servery různých dobrovolníků.

Sentinel následuje

Vzhledem k zastarávající a omezující architektuře sběru dat jsme začali narážet na různé problémy. Hlavně se škálováním – nové routery se stále prodávají, staré neumírají a ani zas až tolik nezastarávají a ke sběru dat se nám dobrovolně hlásilo víc a víc lidí. Zároveň nás architektura trochu svazovala v rozmachu. Rozhodli jsme se proto celý systém přepsat. A jelikož jsme již věděli, že o podobná řešení je zájem, rozhodli jsme se celý systém rovnou navrhovat tak, abychom mohli zapojit časem i další účastníky, nejen uživatele našich routerů.

Začali jsme celý systém přepisovat a děláme velké pokroky. Nový systém už je nasazen a běží v testovacím režimu. Zatím do něj nejsou zmigrovány stávající routery a ani se zatím nesbírají všechna data, které se sbírají ve starém systému. Ale na tom stále pracujeme a v plánu je nakonec sbírat i více informací. Co nám už ale funguje, je dynamický firewall generovaný aktuálně malou testovací množinou routerů. Ten je ale zároveň i první službou, kterou lze nasadit i jinde než na našich routerech. Kdokoliv si tak nyní může tuto službu nainstalovat a získat ochranu před útočníky.

Nasazení

Jak si tedy dynamický firewall nasadit? Vyzkoušel jsem si to na svých serverech a při té příležitosti jsem nachystal i balíček pro rpm based distribuce. Testoval jsem to na openSUSE, takže netuším, jak moc bude funkční na jiných distribucích. I proto chci popsat, co, jak a proč jsem udělal.

Pro dynamický firewall máme jednoduchý program (opravdu krátký kousek Pythonu), který se připojí na náš server, stáhne si aktuální seznam padouchů a následně čeká na jeho změny. A podle toho udržuje lokální ipset. Pro připojení k serveru je potřeba stáhnout certifikát, který se následně používá k ověření serveru. Tuto funkcionalitu jsem si integroval do předpisu pro startování samotné služby.

Další věc, kterou bylo třeba udělat, je zaintegrovat službu do firewallu. V dnešních distribucí se používá pro konfiguraci firewallu firewalld. Napsal jsem tedy jako součást balíčku dva konfigurační soubory pro firewalld. Jeden zavádí ipset daného jména a druhý specifikuje speciální zónu, kam spadne každý z blacklistu. Lidem z této zóny se zásadně neodpovídá.

Drobná poznámka na závěr. Jedná se zatím spíše o PoC, celý postup budeme ještě uhlazovat, dodělávat web, návody, podmínky služby a podobně. Zároveň budeme výrazně rozšiřovat zdroje dat, které tam proudí, takže seznam poroste. Ale už teď jsme ve stavu, kdy si s tím zkušenější uživatelé můžou začít hrát. Máme i code snippet, který se dá použít obecně pro integraci i do jiných služeb a rádi uslyšíme, pokud vás napadne, kam a jak náš greylist integrovat.

Kategorie:

Stěhování prvního 100GE DNS stacku

Pá, 11/22/2019 - 11:00

V minulém blogpostu jsem slíbil, že do konce listopadu dokončíme první etapu stěhování serverů do privátního sálu. K naplnění zbývalo přestěhovat náš historicky první 100GE DNS stack, router a hlavní propoje do internetu.

První 100GE DNS stack jsme zprovoznili na konci roku 2017. Koncept a popis zapojení DNS stacků je uveden v mém dřívějším blogpostu. DNS stack tedy obsahoval 30 DNS serverů, MGMT server, dva switche pro připojení k MGMT serveru a pro IPMI konektivitu a HW router s ODF, přes které byly připojeny všechny 10GBit uplinky DNS serverů. Původní podobu DNS stacku zachycují níže uvedené obrázky. Byl to (teď opravdu v psáno v minulém čase) náš nejkrásnější rack za poslední dva roky a jen myšlenka na jeho rozbití (při stěhování) nás doslova fyzicky bolela.

Ukázka zapojení serverů DNS stacku v původním umístění

Ukázka zapojení routeru a switchů DNS stacku v původním umístění

Nové umístění a změna konfigurace

Stěhování, nejen datového centra, poskytuje možnost novou lokalitu vylepšovat. Stejně tomu tak bylo u stěhování našeho datacentra do privátního sálu. Provedli jsme při něm celou řadu změn a vylepšení, nejčastěji na síťové infrastruktuře. A zásadnějších úprav se při stěhování dočkal také DNS stack. Využili jsme dvouletých zkušeností s provozem této naší chlouby DNS anycastu a odstranili některá jeho „slabší místa“.

Přidali jsme jeden dedikovaný switch výhradně pro IPMI konektivitu. Je to vlastně takový náš standard zapojení každého racku, kdy využijeme starší „obyčejné“ switche s 1Gbit porty, které jsme nahradili za novější, čímž šetříme tak „drahé“ porty na access switchích.

Díky tomuto IPMI switchi jsme uvolnili 15+15 portů v obou MGMT switchích. Mohli jsme tak každý server připojit dvěma metalickými patchordy jako ether-channel. Jen pro upřesnění, nejedná se o uplinky k routeru, které odbavují DNS provoz. Tato síťová konektivita se používá pro správu jednotlivých DNS serverů, k aktualizaci DNS zóny, monitoringu apod. Doplnění druhého metalického patchcordu nám umožní snáze provádět upgrady firmwaru obou MGMT switchů bez toho, abychom museli část DNS stacku předtím odstavit.

Do stacku jsme přidali další server, který jsme pojmenovali NET. Na tento server přesuneme provádění síťových analýz a v budoucnu i další služby spojené se síťovou infrastrukturou. S tím souvisí i další vylepšení původního návrhu. V případě, že bylo potřeba provést údržbu MGMT serveru (plní mimojiné roli DNS hidden-master) nebo řešit výměnu HW se supportem, museli jsme odstavit celý DNS stack, neboť by jednotlivé DNS servery neměly aktuální DNS zónu. Nově bude NET server sloužit také jako záložní DNS hidden-master a údržba MGMT serveru tak nebude znamenat odstávku celého DNS stacku.

HW router jsme fyzicky oddělili od serverů v DNS stacku a umístili do vedlejšího racku. Lépe jsme tím rozložili napájení mezi racky a zajistili efektivnější chlazení. Router má totiž oproti serverům boční sání vzduchu a při umístění ve stejném racku je nutné použit tzv. STS řešení. V rámci odstávky jsme provedli také upgrade routeru na poslední doporučovanou verzi SW. Dále jsme změnili zapojení 10G uplinků k serverům. V původním návrhu byly totiž jednotlivé servery zapojené tzv. break-out kabely MTP-4xLC(D) přímo do routeru. To bylo možné, protože jsme na linekartách měli dostatek portů. Využili jsme totiž osm 100GE portů, kterými jsme rozpletem z 40GE připojili všechny servery (vždy 4x 10Gbit/transceiver). Nově jsme DNS servery zapojili sice stejným způsobem, ale přímo do dvou nových 100GE switchů, které jsou s routerem propojeny 4x 100Gbit. Ve výsledku jsme propustnost nezhoršili, naopak zlepšili. Momentálně je totiž použito méně portů a současně stále nenarážíme na limit propustnosti, který je výrobcem stanoven na 480Gbps/slot.

Aktuální zapojení DNS stacku ukazuje následující schema:

Aktuální schema zapojení 100GE DNS stacku

Jak probíhalo stěhování DNS stacku a routeru? Nejvíce vypovídající jsou následující fotografie:

Stěhování DNS stacku – rozpojené ODF a switche

Stěhování DNS stacku – rack bez zařízení

Stěhování DNS stacku – router v privátním sále

Stěhování DNS stacku – servery v privátním sále

Stěhování DNS stacku – kabeláž

A jak vypadá DNS stack v privátním sále?

Stěhování DNS stacku – servery v privátním sále, pohled zepředu

Stěhování DNS stacku – servery v privátním sále, pohled zezadu

Stěhování DNS stacku – ODF a switche v privátním sále

Stěhování DNS stacku – router v privátním sále

Všímavější čtenáři si jistě všimli, že některé servery nejsou zapojeny bílými metalickými patchordy. Je to proto, že jsme se snažili využít kabely z původního umístění, ale protože máme vyšší rack a jinak uspořádané switche, ne všude bylo využití původních kabelů možné. Sedm bílých patchordů o délce 2,5 metru musíme tedy doobjednat. Ale na funkci rostlináře (pardon serverů) to nemá vliv, protože jsou všechny servery připojeny do ether-channelu. A ano, ještě musíme hezky dovyvázat všechny kabely…

Hlavní router, propoje do peeringového uzlu NIX.CZ a do tranzitu a náš historicky první DNS stack jsou tedy opět v provozu.

Tím jsme úspěšně stihli přestěhovat servery v první etapě ve stanoveném termínu a plynule přecházíme do té druhé. Tam nás bude čekat testovací prostředí FRED a mojeID, testovací prostředí pro system a network administrátory a několik interních serverů. A také věci trochu nepopulární, jako je odkabelování a úklid. Ale to bude vhodná činnost na období po Silvestru a novoročním rozjezdu.

Na závěr ještě ukázka grafů, jak postupně klesala zátěž napájení po odebírání serverů.

Grafy napájení v původním umístění

Kategorie:

V kolik Ti to jede do „privátního“?

Pá, 11/08/2019 - 10:15

V minulém blogpostu jsem popisoval testování páteřních switchů a poslední přípravy před oživením privátního sálu. Dnešní díl bude o tom, jak jsme začali konečně opravdu fyzicky stěhovat servery a jak se nám to dařilo.

Průběh stěhování

Stěhování serverů jsme, ještě před zprovozněním veškeré síťové infrastruktury, rozdělili na dvě etapy. V první etapě, do konce listopadu 2019, jsme si dali za cíl přestěhovat produkční prostředí FRED a mojeID, všechny servery Laboratoří CZ.NIC, servery kolegů z CSIRT a Turris týmů, servery ve veřejné VLAN, náš historicky první 100GE DNS stack a s ním hlavní router. V té druhé, kterou plánujeme dokončit nejpozději do konce ledna 2020, jsme si pak naplánovali přesunout testovací prostředí FRED a mojeID, testovací prostředí pro system a network administrátory s testovacím routerem a zbytek interních systémů. Jedním z hlavních důvodů upřednostnění stěhování nejdříve „produkce“ a pak až „testů“ bylo, že „produkce“ je zapojena ve switchích vhodných i pro budoucí produkční prostředí (zaplacená podpora, dostatečný výkon, počty a kapacity portů). Tyto switche potřebujeme nejdříve uvolnit a poté zapojit v privátním sále. Nacházejí se ve dvou rackách, kterými bylo potřeba začít právě co nejdříve.

Při stěhování se ukázalo, že jednotlivé servery dokážeme poměrně rychle „přenést“. Průměrně jsme jeden server stihli zprovoznit do desetiminut, výpadek byl tedy poměrně krátký, což bylo zásadní kritérium pro ty servery, které neměly repliku či jejich další instance neběžely v jiném našem datacentru. Typicky se jednalo o servery ve veřejné VLAN, např. servery kolegů z Brazílie, Chille nebo takové servery, které jsou určené spíše pro veřejnost – IPv6 tunnel, časový server, síťové sondy apod. Pro dodržení takového krátkého výpadku bylo samozřejmě nutné si předem připravit konfiguraci switchů, optickou a metalickou kabeláž do vyvazovacích panelů a napájecí kabely (bílý a černý pro rozlišení napájecích větví). Celkový čas pro migraci jednoho serveru se započítáním těchto příprav byl tedy logicky delší. Kolegové měli tedy předem pro každý server připravený takový „jízdní řád“, kde měli uvedeno, do kterého U v racku má být umístěn s ohledem na rovnoměrné rozložení zátěže napájecí soustavy a do jakých portů na switchích zapojen.

V podstatě nejsložitější z celého dosavadního stěhování bylo domluvit výpadky a přestěhování těch serverů, které nebyly ve správě našich administrátorů. Naštěstí se vše povedlo domluvit hladce, v rozumných termínech a tímto všem zúčastněným děkuji.

Aktuálně máme kompletně přestěhován rack s produkcí FRED a mojeID, rack Laboratoří CZ.NIC a z 98 % rack s veřejnou VLAN. Dále ještě také všechny servery CSIRT týmu, které jsme mimo jiné v rámci plánovaného budoucího růstu rozložení napájení a efektivnější zaplnění umístili do vlastního racku.

Ukázka zaplnění prvních tří racků – veřejná VLAN, Laboratoře CZ.NIC a CSIRT

Ukázka zapojení switchů v racku Laboratoří CZ.NIC

Ukázka zapojení serverů v racku Laboratoří CZ.NIC

Procentuálním vyjádřením máme přestěhováno přibližně 60 % serverů.

Co ještě stihneme do konce roku?

Během listopadu bychom tedy rádi přestěhovali náš historicky první 100GE DNS stack, hlavní router a propoje do peeringového uzlu NIX.CZ a do tranzitu. V prosinci pak testovací prostředí FRED a mojeID a zbylé propoje, tj. okruhy mezi našimi ostatními datacentry. Ale o tom zase příště.

Kategorie:

Oblíbená kniha ON-LINE ZOO už je i k poslechu

Čt, 11/07/2019 - 09:40

V rámci projektu Bezpečně na netu vznikla první audiokniha Edice CZ.NIC. Předlohou se stala populární dětská knížka ON-LINE ZOO.

S touto knihou, která má za sebou již druhé vydání, jezdíme téměř rok po základních školách a městských knihovnách v České republice a povídáme si s dětmi na téma Internet a kyberbezpečnost. Úryvky z knihy si z našich úst vyposlechlo bezmála 800 dětí ve věku 5 až 9 let. Mladší žáci se od nás dozvídají, jaké jsou přínosy on-line světa, ale též, na co si zde mají dát pozor. Snažíme se je zbytečně nestrašit, spíše jim pomáháme se v nástrahách virtuálního prostředí zorientovat. Beseda je interaktivní. Dáváme dětem prostor se vyjádřit, ptáme se jich, jak by se v určitých případech zachovaly ony samy, a nabízíme jim návod, jak se některých situací vyvarovat.

Hlas naší první audioknize propůjčila divadelní a filmová herečka Bára Milotová, s níž jsme se prvně setkali v rámci letošní kampaně Týden rodiny offline a navázali spolupráci. Bára rozjela v roce 2018 projekt Audio dětem a letos založila neziskovou organizaci Prožij si to, kde se věnuje prožitkovému vzdělávání dětí formou divadelního zpracování témat dětské šikany, kyberšikany, poruch příjmu potravy v souvislosti s užíváním sociálních sítí, mediální gramotnosti a on-line závislostí.

Její snaha vrátit děti do světa poslouchání pohádek a tříbení vlastní fantazie bez použití mobilů a tabletů se nám velmi líbí a shoduje se s naším cílem oslovit nejen učitele, ale především rodiče. Těm chceme nabídnout zajímavou alternativu právě ke zmiňovaným digitálním technologiím, na kterých děti často bezmyšlenkovitě sledují pohádky a hrají hry. Pro některé rodiče jsou totiž tou nejspolehlivější „chůvou“.

Hudbu k audioknize ON-LINE ZOO složil Zdeněk Král, jehož možná malí posluchači znají z pořadu Hýbánky vysílaného na Déčku České televize. Zdeněk získal řadu ocenění a v roce 2018 dokonce cenu OSA jako nejúspěšnější skladatel vážné hudby.

Audioknihu si lze bezplatně stáhnout ve formátu MP3 na stránkách naší edice v celkové délce 22 minut.

Přejeme příjemný poslech.

Kategorie:

Vylepšení pro bezpečnější přihlašování do mojeID a další novinky

Čt, 10/31/2019 - 11:50

Dnes v noci jsme v rámci odstávky mojeID a několika dalších systémů nasadili několik novinek a oprav. Zajímavé jsou především pro uživatele a implementátory služby mojeID.

Nejdůležitější novinkou je zcela určitě zavedení další možnosti pro bezpečnější přihlašování pomocí mojeID. Fakt, že přihlašování pouhým heslem není dostatečně bezpečné, je obecně znám. Proto ve službě mojeID dlouhodobě aktivně podporujeme možnost zabezpečení přihlašování pomocí tzv. druhého faktoru, tj. podporujeme dvoufaktorové přihlašování. Kromě zadání hesla uživatel prokazuje, že se skutečně jedná o něho, a to schopností ovládat nějaký další prostředek ověření. V našem případě šlo dosud o možnost zasíláním jednorázových hesel na mobilní telefon (tzv. OTP, z anglického One Time Password) a potvrzování přihlášení ve speciální aplikaci telefonu, kterou jsme vyvinuli (MojeID Autentikátor).

Dnes v noci jsme, prozatím v pilotním režimu, přidali další možnost, ke které již mobilní telefon nepotřebujete. Jedná se o metodu, v níž se využívá FIDO2, což je otevřený standard pro autentizaci, která umožňuje dvoufaktorové ověření pomocí specializovaných USB / NFC / Bluetooth zařízení (jsou pak bezpečnostním/autentizačním tokenem) v kombinaci s podporou webových prohlížečů. Při implementaci jsme zavedli podporu pro nejnovější FIDO2 protokol, u kterého lze využívat druhého faktoru bez dalšího hesla a který je zpětně kompatibilní se starším FIDO Universal 2nd Factor (U2F).

Kdo se tuto moderní a bezpečnou metodu přihlašování rozhodne využívat společně s mojeID, nechť si ke svému účtu připojí zařízení, které lze jednoduše najít pomocí hledání klíčových slov „fido2 usb“ nebo „fido2 nfc“. Jsou běžně dostupná i na českém trhu za cenu dvou obědů (USB varianta). Další informace naleznete přímo ve svém profilu mojeID nebo v nápovědě.

Další novinkou, která souvisí s druhým přihlašovacím faktorem, je možnost jeho odstranění. To jde samozřejmě poměrně jednoduše přímo v účtu mojeID, pokud prostředek druhého faktoru máte v ruce. Když však přístup k němu ztratíte, bylo jeho odstranění do dneška poměrně komplikované.

O odstranění druhého faktoru jste dosud mohli požádat pomocí datové schránky, úředně ověřené žádosti nebo při osobní návštěvě, ale tento postup celé řadě uživatelů příliš nevyhovoval. Proto jsme dnes přidali další možnost, kterou je odebrání ověřováno zadáním ověřovacích kódů zaslaných e-mailem a SMS a heslem k účtu.

V profilu mojeID jsme také udělali několik změn, které by měly zjednodušit jeho správu. Editaci osobních údajů jsme rozdělili do dvou záložek a optimalizujeme způsob vytváření žádosti o validaci z profilu mojeID. Pro generování PDF žádostí (o validaci nebo o převod kontaktu z registru do mojeID se změnou údajů) nyní používáme výhradně nový nástroj (weasyprint). Takže budou nyní všechny žádosti ve standardizovaném PDF, opouštíme jejich HTML verze, u kterých bylo velmi složité zajistit jejich stejné zobrazení v různých webových prohlížečích.

Dále optimalizujeme zobrazení doménového prohlížeče v mobilních zařízeních a doplňujeme nápovědu pro skrývání adresy v doménovém prohlížeči. Také odstraňujeme chybu, díky níž viděl uživatel při přihlašování k některým službám varování: „Tento požadavek na přihlášení přes mojeID o sobě tvrdí, že přichází z jiné stránky, než tomu ve skutečnosti je. Zvažte, zda vůbec chcete pokračovat s předáváním údajů ze svého mojeID.“

Opravujeme také předávání offline údajů v OpenID Connect (řešíme specifický případu, kdy dojde při použití autentizační metody client_secret_basic bez client_id v POST k selhání logování v hlavičkách) a správu klíčů v OpenID (klíče předávané přímo při registraci klienta přes parametr jwks).

Zkrátka připravili jsme několik změn, které stojí za to vyzkoušet. Jsme velmi zvědaví na vaše zkušenosti, zejména s novou možností využití druhého faktoru pro přihlášení.

Kategorie:

Nový seriál #martyisdead ukazuje drsnou tvář Internetu

Út, 10/22/2019 - 09:10

Co vedlo dosud bezproblémového patnáctiletého Martina přezdívaného Marty k tomu, aby vzal do ruky mobil a natáčel se v situacích, ze kterých mrazí? A musel zemřít, aby jeho rodiče zjistili, jak úzkostné pocity a hrůzné chvíle před svou smrtí zažíval? Byl skutečně patologickou zrůdou nebo obětí systematického vydírání?

I na tyto otázky najdete odpovědi v novém seriálu #martyisdead, jehož první díl odvysílala internetová televize MALL.TV v neděli 20. října. Právě ve spolupráci s touto stanicí, sdružením CZ.NIC (projekt Bezpečně na netu) a společností Bionaut tento projekt vznikl.

Pro hraný seriál jsme se rozhodli proto, že po audiovizuálním formátu je ze škol největší poptávka a pro mladé uživatele je tato forma srozumitelnější. Novinka #martyisdead (trailer) se začala připravovat před více než rokem a předlohou jí byly skutečné případy. Seriál je unikátní i tím, že se tým scénáristů spojil s odborníky na rizikové chování na Internetu, psychology nebo policií, se kterými konzultoval jednotlivé scény. Thriller tak věrně zobrazuje postupy útočníků, které z dětí lákají intimní materiály nebo je vydírají. V návaznosti na seriál pak budou vznikat další doprovodná videa nebo metodiky, z nichž se rodiče, děti nebo učitelé dozvědí více informací k dané problematice. Například to, jak postupovat, pokud se s něčím podobným na Internetu setkáme.

Čísla, která nás motivovala přenést toto téma na obrazovky, jsou děsivá. Až osm procent dětí má zkušenost s vydíráním. Odhadem přes deset dětí ročně spáchá v České republice kvůli problémům na Internetu sebevraždu. I když o možných rizicích a predátorech děti vědí, jen dvě procenta z nich by se svěřilo svým rodičům. Tuto situaci se v rámci projektu Bezpečně na netu chystáme změnit a se seriálem se od ledna příštího roku chceme vypravit do několika desítek škol, kterým nabídneme projekci seriálu s následnou diskuzí s odborníky.

I když seriál odstartoval „až“ minulou neděli, podařilo se nám s ním na festivalu Serial Killer vyhrát cenu za nejlepší webseriál střední a východní Evropy. Věřím, že filmové zpracování tohoto těžkého tématu diváky zaujme a pomůže nám udělat Internet zase o něco bezpečnější.

O #martyisdead

Osmidílný thriller
Režie: Pavel Soukup
Scénář: Jaroslav T. Miška, Jan Stehlík
Kamera: Miloslav Holman
Hrají: Jakub Nemčok (Marty), Petra Bučková (Alena Biedermanová), Jan Grundman (Petr Biederman), Sára Korbelová (Kristýna), Matěj Havelka (Kryštof)

Kategorie:

Testování páteřních switchů pro privátní sál

Po, 10/14/2019 - 13:30

Po delší odmlce opět přicházím s pokračováním povídání o budování privátního sálu. Příprava na ostrý provoz nás docela zaměstnala, sál jsme úspěšně „rozsvítili“ a stěhování serverů začalo. Ale hezky popořadě.

Páteřní switche

Všechny páteřní metalické a optické kabely máme zavedené ve žlabech nad racky a tak přišly na řadu nové páteřní switche, jejich testování a oživování vůči jednotlivým access switchům.

Jako páteřní switche zde používáme dva Juniper QFX5200 obsahující 32x 10/25/40/50/100GbE QSFP+ portů, které jsou zapojené ve virtual chassis pomocí 100G DAC kabelů (dále VC porty). Jednotlivé access switche (v každém racku jsou samozřejmě dva) jsou s páteřními switchi propojeny dvěma MTP-MTP, MM, OM4 optickými patchordy, pomocí 100G QSFP28 SR transceiverů. Do páteřních switchů bude současně přímo připojeno produkční prostředí registru FRED, služby mojeID a DNS infrastruktury. To zajistíme pomocí tzv. break-out kabelů a ODF, kdy z každého portu na switchi osazeného 40G QSFP+ transceiverem „rozpleteme“ 4x 10Gbit uplinky k jednotlivým serverů.

Jak probíhalo testování páteřních switchů?

Obě QFXka jsme propojili port-channelem s LACP (dále ae interface), 2x10G s využitím 2x40G QSFP+ PLR, 2x LR rozplet 40G na 4x10G a 2x SFP+ LR se switchem Juniper EX3300. Na switchi jsme nastavili dvě testovací VLANy a dva access porty, jeden do každé z VLAN pro testování dostupnosti zařízení v případě upgrade SW, přepínání master/backup a změn v STP.

Pomocí dvou notebooků, dvou VLAN se dvěma různými subnety, zmíněného switche EX3300 s 2x 10G interfacy do QFX switchů a IRB interface na QFX jsme provedli níže uvedené testy a upgrade na poslední doporučenou verzi JUNOS. Na switchích bylo nastavené MSTP a porty k notebookům byly nastaveny jako EDGE. Při testech jsme posílali ping mezi oběma notebooky a zároveň na bránu (IRB interface v dané VLAN na QFX).

Ukázka z testování páteřních switchů

Upgrade SW jsme provedli nejdříve na backup instanci QFX, poté na master a to bez NSSU. Switch se během upgrade dvakrát restartoval, následně nastartoval do master stavu ve virtual chassis. V tu chvíli byly aktivní dva master switche a nefungoval mezi nimi VC porty. Switch EX3300 měl interface ae ve stavu UP, ale backup QFX switch viděl na své straně porty ve stavu DOWN, dokud nebyl proveden restart master instance. Reálně byl tedy dopad minimální, neboť měl switch EX3300 stále funkční uplink. Při restartu původního QFX master převzal ae interface původní QFX backup a vygenerovala se spanningtree TC. Edge porty to neovlivnilo, takže se vždy ztratily asi tři pingy v intervalu jedna sekunda.

Přepnutí master QFX instance tedy neznamenalo žádný ztracený ping, vypnutí celého master i backup switche také ne. Dále jsme zkoušeli postupné fyzické vytažení kabelů k virtual chassis portům, vždy bez výpadku. Samozřejmě jsme otestovali i kompletní rozpojení všech VC portů, což byl z pohledu dopadu na připojená zařízení nejhorší scénář. V tomto případě switch EX3300 udržel ae interface proti oběma switchům, reálně však ale fungoval jen ping v rámci daného subnetu. Oba QFX switche se tvářily jako master instance. A po opětovném zapojení jednoho z virtual chassis portů dokonce došlo k výpadku jednoho z ae portu na původním QFX backupu.

Vypnutí a současné zapnutí obou QFX switchů (odpojením napájení) znamenalo vyčkat, než nastartují do stavu, kdy si mezi sebou vybrali virtual chassis mastera. Ping následně fungoval v rámci VLAN i mezi nimi, ale QFX backup měl ještě po chvíli vypnuté porty. Dle očekávání odpojení jednoho z portů vedoucím do EX3300 neznamenalo žádný výpadek.

Dále jsme ještě testovali konfiguraci QFX a switchů Nexus řady 9300 s 48x 1/10/25G SFP+ a 6x 40/100G QSFP28 uplink porty. Jednolivé testování již jen v bodech:

  • interface s trunkem a nativní VLAN

  • interface s trunkem a MSTP

  • interface s Q-in-Q

  • L3 interface

  • mirroring port

  • dva různé STP regiony a Q-in-Q

Oživení privátního sálu

Páteřní switche a hlavní switch pro management (zatím jeden) jsme oproti původnímu umístění v racku posunuli těsně nad sebe a 2U vyvazovací panely umístili nad a pod switche. A to z prostého důvodu, že se lépe manipuluje s transceivery a patchordy. Z kabelovny máme do páteřní ODF přivedené čtyři 12vláknové kabely, ze kterých jsme zatím použili 2x dvě vlákna pro propoj mezi současnou lokalitou. Ty jsme propatchovali do obou páteřních switchů na 10Gbitu a po rozsvícení LINKu na obou portech jsme mohli začít stěhovat servery. Ale o tom až zase příště.

Ukázka vybavení páteřního racku

Kategorie:

Představujeme vám naši aplikaci První Psychická Pomoc

Po, 10/14/2019 - 11:33

V rámci Laboratoří CZ.NIC jsme byli osloveni pracovníky skupiny Sekce psychologie krizí, katastrof a traumatu při ČMPS (Českomoravská psychologická společnost) s žádostí o vytvoření mobilní aplikace První psychická pomoc (ve zkratce PPP), která by byla pomůckou nejen pro příslušníky bezpečnostních sborů, ale i pro lidi v neziskových organizacích. V aplikaci, která je již k dispozici na Google Play a App storu, najdou zájemci strukturovaný přístup pomoci ke stabilizaci člověka, který se dostal do náročné životní situace. První psychickou pomoc můžeme přirovnat k té zdravotní, jež slouží k zajištění základních životních funkcí člověka, než je předán do další odborné péče. V první psychické pomoci se snažíme člověka, který v danou chvíli není schopen uplatnit své mechanismy zvládání stresu, podpořit a redukovat jeho distres tak, aby situaci zvládl sám, případně věděl, na koho se může obrátit pro pomoc. Obsahem aplikace je kromě rad a postupů i seznam vhodných odkazů a kontaktů.

Psychologie krizí je obor, který se celosvětově rozvíjí, a to především v posledních dekádách. Tento obor vychází zejména z poznatků sociální, forenzní a klinické psychologie, psychologie zdraví, psychologie práce a organizace, interkulturní a vývojové psychologie apod. Jako i v celé řadě dalších případů i zde je podstatná mezioborová spolupráce s odborníky z mnoha dalších oblastí (urgentní medicína, bezpečnost, ICT technologie atd). Mezi zakládající členy Sekce psychologie krizí, katastrof a traumatu při ČMPS, která vznikla v roce 2010 v reakci na podnět stálého výboru pro psychologii krizí a katastrof EFPA, patří psychologové z oblastí bezpečnostních sborů, jednotek IZS, klinické praxe a akademické sféry. Cíle a poslání této sekce jsou především rozvoj oboru, spolupráce a propojení českých a zahraničních trendů, přenos informací odborníkům a osvěta laické veřejnosti (více informací zde).

Zástupci této Sekce psychologie krizí, katastrof a traumatu při ČMPS nám dodali veškeré odborné podklady potřebné pro vytvoření aplikace PPP. Naším úkolem potom bylo jejich zapracování a vytvoření grafické podoby aplikace. Návrh a výsledek můžete porovnat sami na obrázcích. Samotnou aplikaci potom najdete na Google Play nebo App storu.

Jsme moc rádi, že jsme se mohli podílet na tomto projektu a pomoci tak dobré věci. Ať je aplikace prospěšná a dobře slouží!

Kategorie:

Když méně (technologií) znamená více

Čt, 10/10/2019 - 14:20

Minulý měsíc jsem se na pozvání kolegů z polského Safer Internet Centra zúčastnila konference „Keeping Children and Young People Safe Online“. Jedno z hlavních témat této akce bylo, jak digitální svět spolu s IoT (Internet of Things) zasahuje do našeho života. Vyslechla jsem mnoho zajímavých příspěvků a diskuzí, což mě přimělo se nad tématem znovu zamyslet, shrnout získané poznatky a doplnit své osobní postřehy a doporučení.

Většina domácností se již běžně skládá z chytrých telefonů a televizí. Někteří lidé držící krok s vývojem moderních technologií používají i chytrou ledničku, topení či osvětlení. Mnozí rodiče malých dětí jdou však ještě dále a zřejmě díky fascinaci technologiemi pořizují on-line „chůvičky“, monitory dechu či dokonce chytré plínky.

Vedle četných bezpečnostních aspektů je však namístě se zamyslet i nad tím, kde se nachází ta správná hranice pro množství „smart“ přístrojů v naší domácnosti a do jaké míry nám ještě pomáhají a kdy už nám začínají spíše škodit. Ať už se jedná o zdravotní rizika, nebo stoupající míru závislosti na moderních technologiích někdy přecházející až v absenci používání „zdravého selského rozumu“.

Podle Elizabeth Milovidov, právničky a koučky v oblasti digitálního rodičovství, působí on-line hry na děti stejně návykově jako alkohol na dospělé. Dětem se hraním her mění chování a u některých se dokonce zvyšuje míra agrese a snižuje pozornost. Měli bychom si tedy každý zvážit, zda prostředí, ve kterém žijeme, není už náhodou přespříliš digitalizované a zda bychom si svůj vnitřní svět neměli chránit tím, že se budeme více věnovat off-line aktivitám.

Mnohem lépe než příkazy a zákazy můžeme své děti ovlivnit tím, že jim půjdeme příkladem a budeme si počínat tak, jak si přejeme, aby se chovaly ony.

K tomu nám pomůže nastavení rodinných pravidel, která mohou znít například takto:

  • nepoužíváme mobilní telefon u jídelního stolu,
  • v průběhu rozhovoru nenahlížíme do displeje mobilního telefonu,
  • v autě nepoužíváme mobilní telefon, pouze v případě nutnosti,
  • telefon nabíjíme pouze v předsíni, kam jej pokládáme i před spaním (případně určíme jinou místnost),
  • v noci mobilní telefon nepoužíváme, i když nemůžeme spát,
  • v sobotu či v neděli odpoledne máme digitální detox (samozřejmě dle aktuálních možností).

Na závěr bych chtěla zmínit už jen osobní postřeh. Po návratu z konference jsem ve svém pokoji zahlédla zárámovaný nápis „Home is where the wifi is“. Musím říci, že mi z toho bylo úzko, jak moc jsme nechali on-line svět vstoupit do toho reálného. Je však na každém z nás, jak se k tomu postavíme. Pokud zavedeme nové domácí zvyklosti, čímž omezíme používání digitálních technologií, prospějeme tak nejen svému zdraví, ale i duševní pohodě, která je v naší uspěchané společnosti obzvláště důležitá. Brzy jistě přijdeme na to, že nám mobilní telefon tolik nechybí a je nám někdy bez něj lépe.

Kategorie:

Další 10GE posílení .CZ anycastu

St, 10/09/2019 - 14:00

Dovolte mi další krátký díl našeho „nekonečného“ seriálu o zvyšování bezpečnosti provozu DNS pro .CZ doménu. Zřejmě proto, že jeho poslední zveřejněný díl znamenal upgrade v řádu 100 GE, a také proto, že naši administrátoři mají plné ruce práce se stěhováním do privátního sálu, tento vychází poněkud zpožděný a navíc z mé klávesnice.

Faktem ale je, že na naší mapě nodů DNS anycastu pro .CZ doménu přibyl 4. července další, tentokrát italský – umístěný konkrétně v milánském peeringovém centru – MIX. MIX patří mezi dvacítku nejvýznamnějších peeringových uzlů Evropy, navíc se nám zde podařilo domluvit dobré ekonomické podmínky hostování a připojení našich technologií. Po zkušenostech z předchozích vzdálenějších (hůře dostupných automobilem) instalací jsme volili postup, kdy jsme předkonfigurované servery poslali v předstihu přepravní službou a na jejich zapojení a zprovoznění jsme poté vyslali administrátora letecky. Předchozí varianta, kdy jsme tu druhou část domlouvali s pracovníky v peeringovém centru, se vší úctou ke snaze na obou stranách, selhávala a nevedla k rychlému dosažení cíle. Umístění serverů do připraveného racku a zapojení všech portů podle naší dokumentace je práce pro našeho technika na jedno odpoledne a výsledek si pak můžeme i zadokumentovat.

V MIXu jsme zprovoznili malý DNS stack sestávající z pětice serverů: jeden v roli management serveru, jeden v roli síťové brány a zbývající tři slouží k odbavování DNS provozu, přesně, jak je zobrazeno na tomto schématu.

Management server v pravidelných intervalech stahuje z master DNS serverů .CZ zónu a pak ji dále servíruje na jednotlivé DNS servery. Dále tu běží monitoring serverů a jejich služeb. Do tohoto serveru jsou zapojené out of band management porty zbývajících částí stacku. Na DNS servery jsme v rámci snahy o co největší diverzitu DNS anycastu zvolili NSD do role DNS daemona. Síťovou branou je samostatný server, který má oproti zbytku stacku síťová rozhraní navíc a běží na něm BGP daemon, který do zbytku světa oznamuje naše anycastové adresy. Jako routovacího daemona jsme použili FRRouring, což je živější fork známějšího projektu Quagga. Osvědčený BIRD tentokrát ustoupil požadavku na různorodost prostředí. Z pohledu operačního systému jsme zvolili osvědčenou klasiku – distribuci Debian Stretch s backportovaným jádrem a se zkompilovanými nejnovějšími ovladači pro síťové karty. Nejnovější ovladače používáme proto, že občas bývají problémy s kompatibilitou mezi verzemi firmware síťových karet a jejich podporou v distribučních ovladačích.

Po navázání peeringu s route servery v MIXu se nám s nimi zpočátku v pravidelných intervalech spojení rozpadala a přestávala fungovat IPv6 konektivita, což se nám poměrně rychle podařilo vyřešit pomocí zvětšení route cache. Samotné zprovoznění peeringu vyžaduje často změny v konfiguraci na některé z peeringových stran nebo nutnost kontaktování peeringových partnerů z důvodu jejich absence na peeringových uzlech, případně proto, že tam neoznamují všechny prefixy. Nebylo tomu jinak ani tentokrát a tato část tedy zabrala nějaký ten den navíc.

Po několika nezbytných testech jsme mohli začít oznamovat naše anycastové adresy do MIXu, přepnout celý stack do ostrého provozu a přidat tak další opěrný bod pro DNS provoz .CZ domény ve světě.

Kategorie:

MojeID a Účtenkovka

Út, 10/08/2019 - 14:20

V říjnu tomu budou dva roky, co ministerstvo financí spustilo hru Účtenkovka, v níž se každý měsíc losuje ze zaregistrovaných účtenek o více než 20 tisíc cen v hodnotě od 100 do 1 milionu korun. Nedílnou součástí této loterie je i naše služba mojeID, která přichází na řadu v momentě, kdy je soutěžící vylosován jako výherce peněžní odměny v hodnotě 100 tisíc, 200 tisíc, 300 tisíc a 1 milion korun.

Takto vysoké částky mohou být vyplaceny jen bezhotovostně. Proto je pro jejich předání nutné ověřit totožnosti výherce a to jednoduše prostřednictvím naší služby mojeID.

Abyste měli plně ověřený účet mojeID, musíte projít takzvanou validací. Tu provedete díky žádosti, kterou si generujete v sekci Nastavení ve správě účtu mojeID.

Validaci účtu je možné provést několika způsoby:

Přes datovou schránku. Žádost o validaci zašlete do datové schránky sdružení CZ.NIC, kterou naleznete pod ID h4axdn8.

Druhou možností je CzechPoint. V tomto případě je nutné žádost vytisknout a zajít s ní na nejbližší pobočku. Není třeba se obávat vyplňování, na každé žádosti je podrobný popis toho, co po každém pracovníkovi pobočky chtít. Validaci přes CzechPoint také podrobně popsal kolega Petr Peterka ve svém blogu; do něj přidal i názorné ukázky s podrobným návodem.

Díky spolupráci se sítí městských knihoven lze podat žádost o validaci i na některé z poboček. V tomto případě je třeba mít vytisknutý formulář a občanský průkaz. Žádost s údaji je pak zaslána na naše pracoviště.

Validovat účet mojeID lze i na pobočkách České pošty. Vytištěnou žádost si necháte úředně ověřit a originál žádosti zašlete na naši adresu CZ.NIC z.s.p.o., Milešovská 5, Praha 3, 130 00.

Poslední možností je přímo naše sdružení. Pokud máte cestu kolem, stavte se a my vám zde vytiskneme žádost a rovnou vás také ověříme (zvalidujeme). Potřebujete jen občanský průkaz.

Validaci účtu, tedy ověření vaší osoby jakožto „hráče“, je nutné provést a výhru si vyzvednout ve lhůtě 60 dnů od okamžiku, kdy se dozvíte, že jste něco vyhráli.

Veškeré informace o mojeID jsou k nalezení také na webu služby. Zde je uveden podrobný návod a zároveň odpovědi na nejčastější dotazy.

Pro úplnost uvedu, že pokud je výhra nižší než 20 tisíc korun (100 korun nebo 1 000 korun), je zasílána na účet, nebo si ji můžete vyzvednout osobně v sídle společnosti SAZKA (K Žižkovu 851, Praha 9). V tomto případě tedy není třeba provádět validaci účtu mojeID.

Věřím, že vám tento stručný návod pomohl zorientovat se v tom, v jakém vztahu je mojeID a portál uctenkovka.cz a také, jak se zachovat v případně výhry. Nyní už jen zbývá popřát hodně štěstí!

Kategorie: