sales.cz

Trumpova administrativa rozkolísala transatlantické partnerství a posílila ochranářské a protekcionistické tendence v EU. Reakce na vyvolanou nestabilitu na sebe nenechala dlouho čekat.

Na konci února zveřejnil Výbor pro průmysl, výzkum a energetiku Evropského parlamentu nelegislativní návrh zprávy (vyprodukované z vlastní iniciativy) Evropská technologická suverenita a digitální infrastruktura. Návrh zprávy poukazuje na závislost EU na zahraničních technologiích a konstatuje, že tato závislost na infrastruktuře vyráběné a kontrolované zahraničními mocnostmi oslabuje konkurenceschopnost EU. Závislost na amerických poskytovatelích cloudových služeb navíc otevírá otázku dopadu zahraničních právních řádů na subjekty EU.

Zpráva rovněž uvádí problémy, jako jsou nízké investice a regulační zátěž, nedostatek evropských firem vyrábějících vyspělé polovodiče, zaostávání v rozvoji vysokorychlostní komunikační infrastruktury a vysoké ceny energií. K nápravě této situace předkládá materiál šest doporučení, kterými jsou:

1) lepší rozdělování veřejných dotací a podpora strategických fúzí a akvizic;

2) vyhrazení podílu veřejných zakázek pro evropské společnosti, které splňují kritéria suverenity v rámci postupů zadávání veřejných zakázek;

3) sladění evropského systému certifikace kybernetické bezpečnosti pro cloudové služby (EUCS) s požadavky francouzské certifikace SecNumCloud;

4) reforma pravidel obezřetného podnikání s cílem mobilizovat soukromý kapitál;

5) zjednodušení legislativního prostředí EU a

6) reforma evropského trhu s elektřinou, která by umožnila poskytovat jadernou energii za konkurenceschopné ceny.

Naproti tomu členské státy v Radě dokončují doporučení týkající se zabezpečení digitální infrastruktury, která jsou uvedena v nejnovějších závěrech Rady vypracovaných polským předsednictvím. Text se zabývá podmořskými kabely, 6G a satelitní bezpečností v rámci širšího cíle zajistit „spolehlivé a odolné připojení“. Text zdůrazňuje geopolitická rizika spojená s hrozbami pro konektivitu, zejména podmořské kabely, které se potýkají se zvýšeným počtem incidentů, včetně podezření na ruské sabotáže. Návrh vyzývá ke strategickým investicím na ochranu klíčové podmořské infrastruktury v Atlantiku, Baltském, Černém, Středozemním a Severním moři. Navazuje tak na nedávný akční plán Komise na posílení ochrany prostřednictvím financování a dohledu. Text závěrů Rady byl opět projednáván 18. března na pracovní skupině a uvidíme, kam se nakonec posune.

Paralelně výkonná místopředsedkyně Henna Virkkunenová představila společné sdělení Komise a Vysokého reprezentanta EU pro zahraniční věci a bezpečnostní politiku k posílení bezpečnosti a odolnosti podmořských kabelů. Akční plán EU pro bezpečnost kabelů má vést k posílení odolnosti podmořských kabelů. Akčním plánem se EU snaží reagovat na nedávné případy sabotáží, zejména v Baltském moři. Plán se řídí čtyřmi pilíři: prevence, odhalování, reakce a opravy a odstrašení. Regulační rámec tvořený NIS2 a CER má být doplněn financemi, konkrétně částkou 540 milionů eur v rámci dodatečných investic (2025-2027) pro zvýšení bezpečnosti infrastruktury. EU má také vytvořit regionální dohledová centra, (první v Baltském moři), která budou dohlížet pomocí integrovaných nástrojů typu drony, satelity a detekce hrozeb na základě AI. Vyhrazená flotila má zlepšit reaktivnost a kapacity EU na opravy kabelů. Koordinace s NATO a indicko-pacifickými spojenci má posílit globální bezpečnost. Držme si palce.

Evropská komise také zveřejnila návrh doporučení Rady o plánu EU pro krizové řízení v oblasti kybernetické bezpečnosti (Cyber Blueprint). Dokument vychází z výzvy členských států obsažené v závěrech Rady o budoucnosti kybernetické bezpečnosti. Návrh je nezávazným nástrojem, který podporuje bezpečnou komunikaci a strategické úsilí v boji proti dezinformacím a zároveň vychází ze stávajících regulačních rámců.

Cílem návrhu kybernetického plánu je posílit krizové řízení kybernetické bezpečnosti v rámci EU zlepšením koordinace mezi členskými státy, evropskými institucemi a mezinárodními partnery, včetně NATO. Návrh má být v souladu se stávajícími regulacemi (jako jsou směrnice NIS2 a CSA). Plán pokrývá celý cyklus krizového řízení: přípravu (cvičení, sdílení informací, diverzifikace DNS), odhalování (posílení zpravodajství a technické analýzy), reakci (aktivace krizových mechanismů, nasazení zdrojů kybernetické bezpečnosti, boj proti dezinformacím) a obnovu (vyhodnocení incidentu a zlepšení infrastruktury). Podporuje také civilně-vojenskou spolupráci a mezinárodní zapojení s cílem posílit kybernetickou bezpečnost. Plán není závazný.

Opět si můžeme s kastelánem Pupencem z Bílé paní říct věčně pravdivé „věř, ale komu věříš, měř“. Při hledání tohoto filmového pokladu na YouTube na mě hned 3x vyskočil „Petr Pavel“ s šokujícími sděleními. Škoda, že nám současné technologie neumožňují odhalovat tyto zjevné podvody parazitující na prezidentovi státu EU a technologický rozvoj se zastavil na cenzuře bradavek na Facebooku. Věř, ale komu věříš, měř.

V rámci filmových projekcí Jednoho světa, v rámci festivalu věnovanému lidským právům a v rámci vzdělávacích aktivit Jednoho světa na školách, jsme se za Safer Internet Centrum a STOPonline zúčastnili debaty s mladými lidmi o závažném tématu sextortionu.

Účastníky projekce zajímalo, zda-li je film podle skutečné události a jestli se takové věci dějí i u nás. Dále se ptali třeba i na to, jak pomoci někomu, o kom víme, že se mu taková věc děje nebo už stala.

Můj sextortion deník je zahraničním, španělským filmem poukazujícím na nebezpečí, která se mohou stát, když vám někdo odcizí notebook, tablet nebo mobil a Vy v něm uchováváte digitální stopu a intimní materiál, který může útočník nějak zneužít proti vám.

Určitě je to film, který by měli vidět nejen studenti, mladiství, ale
i dospělí a rodiče, aby na takovéto situace i životní výzvy mohli být celkově lépe připraveni. Protože takové věci se prostě bohužel skutečně dějí.

Součástí digitálního světa, kde jsou mladiství denně vystavováni novým technologiím a také více či méně závažným tématům na sociálních sítích, je nyní velice aktuální film, který otevírá oči všem a upozorňuje na možnost podcenění rizika online komunikace. Realistický snímek sleduje příběh dospívající dívky, která se stane obětí sextortionu a vydírání jejími intimními materiály.

Co je sextortion?

Sextortion je forma manipulace nebo vydírání, kdy pachatel získal citlivé intimní nebo jinak kompromitující obsah – fotografie, snímky, videa, a hrozí oběti jejich zveřejněním. Reaguje tak v případě, když oběť nechce splnit jeho požadavky, ať už jde o zaplacení „výkupného“ – tedy zaslání finančního obnosu či kryptoměny, zaslání dalšího explicitního obsahu nebo další požadované služby, kterou agresor po oběti požaduje. Cílem těchto kyberútočníků a agresorů jsou často mladí lidé, kteří si mnohdy neuvědomují následky sdílení svých soukromých materiálů.

Proč je film tak důležitý?

Snímek autenticky ukazuje, jak snadno se může kdokoli z nás stát obětí online manipulace a vydírání. Díky příběhu hlavní protagonistky si diváci uvědomí, jak důležitá je prevence, komunikace s rodiči, autoritami i institucemi a hledání pomoci v případě ohrožení. A také to, proč je tak důležité zůstat odvážný a nepodléhat tlaku okolí nebo i třeba zahlceným státním institucím, když například nemohou hned aktivně nalézt pachatele nebo poskytnout akutní a adekvátní pomoc.

Jak chránit sebe a své děti?

Nesdílejte bez rozmyslu citlivé materiály

Přestože máte důvěru i k vybraným jedincům ve svém okolí, neznamená to, že s nimi musíte sdílet také to, co by mělo zůstat vaším soukromím. Nejen v dospívání se mohou vztahy proměňovat a to, co bylo dřív vaše společné tajemství nebo intimní zájem, se rázem může stát prostředkem, který může chtít někdo zneužít proti vám. Buďte proto obezřetní, s kým sdílíte své soukromí i intimitu.

Nastavte si bezpečnost svého zařízení i na sociálních sítích

Omezíte tímto přístup k vašemu soukromému obsahu a snížíte tím značně riziko zneužití.

Buďte obezřetní při komunikaci online

Útočníci se často mohou vydávat i za vrstevníky nebo využívat falešnou identitu a digitální stopu.

Otevřeně komunikujte s dětmi a mladými lidmi

Nabídněte jim pomoc i podporu. Netlačte na ně, v případě, že se s vámi stydí komunikovat nebo se bojí. Povzbuďte je, aby se na vás naopak nebáli obrátit
v případě problémů.

Zachovejte důkazy a vyhledejte pomoc

Když se stanete obětí sextortionu, nebo víte o někom, kdo se takovouto obětí stal nebo může stát, nemažte komunikaci s agresorem. Naopak si vše bezpečně zazálohujte. Následně, po poradě s někým, komu můžete důvěřovat, vyhledejte pomoc rodičů, školy, orgánu sociálně-právní ochrany nebo policie.

Kde najít pomoc?

Linka bezpečí (116 111) – bezplatná anonymní pomoc pro děti a mladistvé

STOPOnline – v případě podezření na nezákonný obsah na internetu (šíření dětské pornografie, zneužívání dětí, nepatřičnou dětskou nahotu nebo kybergrooming)

Policie České Republiky – pokud dojde k vydírání, nebojte se obrátit na policii

E-Bezpečí – projekt poskytující poradenství v oblasti kybernetické bezpečnosti

Ve dnech 7. a 8. března proběhl v sídle Nejvyššího kontrolního úřadu (NKÚ) šestý ročník hackathonu veřejné správy. Postupem času se z této bohulibé akce stalo celostátní kolo vítězů krajských studentských hackathonů.

A protože ne všichni třeba dočtou do konce tohoto článku, na úvod musím poděkovat. Poděkování mentorům za prezentaci datových sad a pomoc týmům na místě, poděkování účastníkům za obrovské nasazení, poděkování pedagogickému dozoru, který nejen dohlížel, ale i motivoval studenty a v neposlední řadě poděkování týmu NKÚ v čele s Jaroslavem Brožou, že tato akce proběhla v důstojném prostředí, nikdo nehladověl, nežíznil a nebyl okraden. Díky za ty dary.

Samotný hackathon je rozdělen do dvou kategorií a účastníci si na začátku vyberou, které kategorie se zúčastní. V první mají účastníci možnost dopracovat a zdokonalit soutěžní projekt z krajského kola. Druhá kategorie byla pro ty, kteří chtěli začít projekt úplně nový. Tady bylo nutné využít alespoň jednu z nabízených datových sad z Národního katalogu otevřených dat, případně datové sady ministerstev a úřadů, které byly představené na hackathonu.

Podle pravidel má být výsledkem hackathonu aplikace nebo vizualizace, jejíž zdrojový kód, licence a základní dokumentace popisující software musejí být dostupné na veřejné webové stránce nebo na veřejně dostupném softwarovém repozitáři jako je například softwarová platforma GitHub.

A jak vypadal letošní ročník? Hackathonu se nakonec zúčastnilo 14 soutěžních týmů, ve kterých bylo celkem 54 studentů základních, středních i vysokých škol ve věku od 12 do 30 let.

Vítězem v kategorii projektů vzniklých na místě se stal dvoučlenný tým středoškoláků z Liberce „Meui“ s aplikací „PodnikGo“, která je jakousi základní pomůckou pro budoucí podnikatele. Pomůže s identifikací příležitostí, nabízí hloubkovou analýzu odvětví v ČR, díky které se zájemce dozví, zda se v daném oboru a lokalitě vyplatí podnikat. Projekt využívá velké množství datových sad a bude zajímavé sledovat jeho udržitelnost.

První místo v kategorii rozvíjení projektu z krajského kola získal tým vysokoškoláků z Olomouckého kraje „NTL-CUP“ s mobilní aplikací „Parksense“, která má pomoci Pražanům najít volné parkovací místo. Aplikace přináší reálná data o obsazenosti parkovišť, která jsou aktualizována po 15 minutách.

Druhé místo v kategorii projektů vzniklých na místě obsadil tým gymnazistů z Klatov „Datashort“ s aplikací „Cesta k bydlení“. Díky ní si může zájemce o bydlení najít srovnání výše nájmu v poměru k čisté mzdě v jednotlivých krajích a zjistí, kolik procent svého čistého příjmu za nájem zaplatí. Dozví se také, jaká je v daném místě nabídka práce podle pozic i mezd a najde tam např. i vzor nájemní smlouvy okomentovaný za pomoci umělé inteligence. Kromě využití AI porota ocenila zejména řešení tématu, který odpovídá aktuální potřebě.

Druhé místo v kategorii rozvíjení původního projektu získal tým středoškoláků z Pardubic „Meet.map“ se stejnojmennou aplikací. Aplikace pomáhá plánovat schůzky s kamarády, nabídne nejrůznější akce a místa, kde se tyto akce odehrávají. Ukáže dokonce i kvalitu ovzduší v dané lokalitě.

Třetí místo v kategorii nových projektů získal tým Micinky s aplikací Hradecký dobrodruh, což je osobní průvodce pro plánování perfektního víkendu, odpoledne nebo i celé dovolené v Hradci a okolí. Aplikace využívá chatbot, který navrhuje uživateli ideální program třeba i v závislosti na jeho preferencích a rozpočtu a může mu dávat úkoly, čímž podporuje prvky gamefikace. Aplikaci zatím nenaleznete na webu (využívá Amazon bedrock API).

Třetí místo v kategorii původních projektů získal tým Hroznovka ze základní školy z Brna s projektem Smart office – chytrých kanceláří v parku. Studenti zrealizovali svůj původní nápad, který vznikl v krajském kole.

Dalšími aplikacemi prezentovanými na hackathonu byly:

Nemo – komplexní analýza regionů v ČR (srovnání kvalita života v krajích), Portál seniora (web pro seniory, na němž najdou novinky, tipy na výlety, aktivity na míru), Depa mohu? (aplikace pro veřejnosti přístupné toalety v Plzni), Výletníček (vyhledávač výletních tras), Mapa škol (pomocník při hledání vysněné školy), Poznej Hodonín (průvodce Hodonínem), Moje technická (podle VIN vozidla aplikace zjistí stav STK a upozorní uživatele emailem 30 dní před jeho expirací), Kdetopodniknem (souhrnný nástroj pro srovnávání podmínek živnostenské činnosti v české republice).

Letošními partnery akce bylo sdružení CZ.NIC, Univerzita Hradec Králové (Fakulta informatiky a managementu), Univerzita Karlova, sdružení NIX.CZ, firma JOTIO a SmartEdu a mediálním partnerem server Lupa.cz. Vítězové si odnesli od partnerů různé ceny, ať už se jednalo o router Turris od CZ.NIC, poukázky do eshopů nebo veřejný slib zástupce hradecké univerzity Josefa Horálka středoškolským účastníkům hackathonu, že pokud se budou k nim na univerzitu hlásit, budou přijati bez přijímacích zkoušek.

Na hackathonu bylo snědeno 66 pizz.

Zdroj NKÚ, další fotografie jsou v galerii

Izraelská obdoba Národního úřadu pro kybernetickou a informační bezpečnost INCD (Israel National Cyber Directorate) vydal v únoru zprávu s názvem 2024 Cybercrime Activity Report (Trends, Insights & Predictions), která se zaměřuje na globální i lokální přehled kybernetické kriminality, popisuje trendy minulého roku a snaží se o predikci na tento rok.

Z globálního pohledu zpráva na základě dat z ransomware.live konstatuje 15% nárůst ransomwarových útoků, kterými bylo dotčeno 6 133 organizací. Nejvíce byly dotčeny zdravotnické organizace a nemocnice, státní správa a samospráva, průmyslové podniky a technologické firmy. Zatímco u zdravotnických organizací je hlavním důvodem útoku kritická povaha lékařských dat, u státních organizací je to častější zranitelnost používaných technologií, u technologických firem se zase může jednat o snahy oslabit firmy v konkurenčním boji, případně je připravit o produkty duševního vlastnictví.

Zajímavým trendem byl nárůst nových ransomwarových skupin – v roce 2024 se objevilo 48 nových skupin. Celkový počet aktivních skupin tak přesáhl 130. Zajímavé také je, že 24 z těchto skupin bylo zodpovědných za více než 60 % nahlášených útoků, což ukazuje určitou dominanci klíčových hráčů v prostředí ransomwaru.

Obr.:Aktivity ransomwarových skupin vs. rozdělení podle aktivit, zdroj: INCD

V roce 2024 dosáhl celosvětový počet infekcí infostealerem 39 119 905 případů. Tyto infekce hrály klíčovou roli v kampaních ransomwaru, přičemž jak uvádí zpráva, logy z napadených systémů se prodávaly na darkwebových trzích za ceny od 1 do 10 dolarů za systém. Nízké náklady a vysoká užitečnost těchto logů činí z infostealerů důležitou součást ekosystému kybernetické kriminality.

Izrael evidoval v minulém roce 300 ransomwarových útoků, způsobené zejména následujícími druhy:

• STOP/DJVU, cílící primárně na malé podniky a jednotlivce, šifruje soubory a požaduje výkupné. Malware se šíří hlavně prostřednictvím pochybných souborů stažených ze stránek s nelegálním obsahem. Tuto aktivitu lze identifikovat především podle použití zdánlivě náhodné čtyřpísmenné přípony souboru. Požadované výkupné se pohybuje v nižších částkách.
• LockBit-Builder – ve variantě b.c.a.b.3 používání v operacích RaaS (Ransomware-as-a-Service).
• Phobos – cílí na celou řadu sektorů a je znám svou zvýšenou adaptací. Různé varianty (Elbie, Devos, Faust, Nitra) jsou známé podle jimi používaných přípon souborů. Ve většině případů byl prvotní přístup realizován prostřednictvím připojení RDP.

Kromě ransomwaru bylo zaznamenáno 52 913 případů infostealerových malwarových infekcí.

Nejčastějšími variantami v roce 2024 byly:

1. RedLine: Široce používaný infostealer, který se zaměřuje na přihlašovací údaje a data browseru.
2. Generic Stealer: V tomto případě se jedná o levné, přizpůsobitelné infostealery, které jsou k dispozici na nelegálních tržištích.
3. Lumma: Známá pro své rychlé šíření a schopnost vyhýbat se odhalení.
4. Raccoon: Velmi oblíbený mezi kyberzločinci díky snadnému použití a efektivnímu sběru dat.
5. StealC: Relativně nový infostealer s pokročilými schopnostmi, například keyloggingu a zachytávání obrazovky.

Mezi napadenými sektory v Izraeli se vyskytují trošku (v porovnání s globálním měřítkem) netypicky například právní firmy (cílem jsou citlivá data o klientech), zubní kliniky (kyberbezpečnost není zrovna jejich priorita), malé a střední logistické společnosti (závislost na dodavatelském řetězci).

Mezi trendy minulého roku INCD například řadí:

1. „Think Green“ – recyklace uniklých dat z předchozích útoků je „rychlá“ a levná metoda, jak útočníci získají příznivce, vytvoří si značku a vykreslí falešný příběh. Za málo peněz může být hodně muziky.
2. Info Stealery jako nedílná součást ransomware řetězce. Nízké náklady na logy (od 1 do 10 dolarů za přihlašovací údaje a soubory cookie infikovaného počítače) činí kybernetické útoky z dlouhodobého hlediska rentabilními.
   Kombinace citlivých přihlašovacích údajů do firemního prostředí s přihlašovacími údaji k bankovním účtům zjednodušuje úkol protivníka a umožňuje mu dosáhnout více cílů jediným útokem.
3. Předávání přístupu z „ruky do ruky“ – mnoho kyberzločineckých skupin dnes spolupracuje tak, že si předávají, resp. přeprodávají přístup k organizaci mezi sebou.
4. Zneužívání smart kontraktů – tento typ aktivit byl dosud připisován především rusky mluvícím aktérům. Rychlé zavádění technologií Web3 však ukazuje potenciál těchto technologií hrát v budoucích kybernetických útocích nedílnou roli. S tím, jak stále více organizací přijímá řešení založená na blockchainu, se zvyšuje riziko zneužití ze strany protivníků.
5. Státem sponzorovaný zločin – ekosystém finančně motivované kriminality zůstává přístupný aktérům s různou motivací, včetně těch, kteří jsou sponzorováni národními státy nebo jsou s nimi spojeni.
6. Útoky na cloud – útoky ransomwaru v cloudu neustále pokračují, především kvůli chybné konfiguraci. Špatně nakonfigurovaná cloudová prostředí vytvářejí zranitelnosti, které útočníci snadno zneužívají.

A co nás podle INCD čeká? Například vylepšené postupy v kybernetické kriminalitě powered by AI, šíření levných kybernetických útoků s velkým dopadem (využívání levných a široce dostupných nástrojů zvyšuje rozsah a snižuje cenu), zvyšující se zneužívání cloudů v důsledku chybné konfigurace, zneužívání decentralizovaných technologií, zvýšený důraz na zneužívání zero-day zranitelností, nárůst používání technik sociálního inženýrství řízeného AI a další libůstky.

Systém FRED (Free Registry for ENUM and Domains), tedy systém registru domén slouží provozu TLD .cz již od roku 2007 a kromě toho jej používá dalších jedenáct provozovatelů registrů domén ve světě. Naše odpovědnost za doplňování funkcionalit podle provozních a legislativních požadavků, za bezpečnost, stabilitu a technologický rozvoj systému FRED tak nabývá mezinárodního významu.

V závěru roku 2024 jsme vydali další veřejnou verzi FREDa, zavedli jsme novinky v publikování verzí a máme plány jak chceme pokračovat v rozvoji. Tak se na to pojďme podívat podrobněji.

Veřejný release FRED v2024.1

V prosinci 2024 jsme vydali novou verzi pod označením FRED v2024.1, čímž jsme nahradili doposud používaný způsob verzování ve formátu FRED 2.*. Již nějaký čas jsme plánovali významnější změny v procesu přípravy veřejného vydání, a přechod na nové verzování je součástí těchto změn. Čemu říkáme „veřejné vydání“? Do produkce .cz registru nasazujeme každé dílčí novinky v projektu FRED, abychom splnili provozní požadavky, i za cenu že to s sebou nese nezanedbatelnou režii. Pro ostatní registry se snažíme redukovat četnost upgradů na přijatelný kompromis pracnost vs. aktuálnost. Navíc některé u nás nasazované novinky implementují funkcionalitu specifickou pro Českou republiku resp. pro .cz zónu, takže nedává smysl kvůli nim vydávat verzi pro zahraniční registry. Z toho důvodu vydání určené pro zahraniční registry nazýváme „veřejné“.

Dosavadní označení vydání bylo již spíše zavádějící, protože sice historicky vycházelo z verzování jedné z klíčových komponent systému, ale později již neříkalo nic o verzi systému jako celku. Z toho důvodu jsme přešli na verzování celého vydání nezávisle na verzi jakýchkoli komponent. Syntaxe je FRED vYYYY.X, kde YYYY je rok vydání a X pořadové číslo vydání v rámci daného roku. Naše poslední vydání nese označení podle této nové syntaxe, tedy FRED v2024.1. K vydání verze publikujeme seznam balíků a jejich verzí (viz APT preferences file) tak, jak jsou dostupné v stable repozitáři. Ke každému vydání aktualizujeme popis významných změn.

Proč jsme na roky 2023-24 naplánovali nižší četnost vydávání verzí popsal Zdeněk Brůna v závěru roku 2023, takže důvod jen krátce připomenu. Pustili jsme se do hlubších změn v jádru celého systému a nasazovat dílčí změny znamenalo pro správce nezanedbatelnou pracnost a pochopení hlubších souvislostí, čímž jsme nechtěli zbytečně zatěžovat zahraniční kolegy. Například služby logger (audit všech operací v registru) nebo messaging (definice šablon zpráv, jejich plnění daty a proces odeslání včetně ověření stavu doručení) jsou využívány mnoha komponentami systému, a proto jsme po určitou dobu provozovali paralelně dvě verze těchto služeb nebo jejich rozhraní než jsme postupně přepsali i všechny klientské aplikace.

V rámci verze FRED v2024.1 jsme u nejdůležitějších služeb dokončili přechod z technologie CORBA na gRPC, pokračovali jsme v dockerizaci dalších komponent a dokončili jsme povýšení všech podporovaných python aplikací na stabilní verze python3. Přechod na gRPC jsme spojili s revizí aplikačních rozhraní tak, aby splňovaly nové požadavky na jednotlivé služby jádra. Komponentové schéma celého systému FRED ve veřejné dokumentaci ukazuje aktuální stav po těchto změnách.

Kromě těchto „technologických“ změn jsou ve vydání funkcionální novinky, z nichž uvádím ty nejvýznamnější. Administrační webové rozhraní Daphne již není součástí vydání a je nahrazeno aplikací FERDA, která je postavená na Vue.js. Zcela nová verze systému automatizované správy DNSSEC, tzv. AKM (podrobněji viz článek na blogu CZ.NIC Nová verze AKM v registru domén .CZ), má nově univerzální funkcionalitu správy klíčů vyčleněnou do samostatného subsystému s definovaným API. Nahradili jsme interaktivního terminálového EPP klienta fred-client zcela novou aplikací eppic, která je postavená nad samostatnou python knihovnou epplib, což nabízí lepší možnosti automatizovaného využití a integrace do dalších systémů. Přepracovali jsme systém technických kontrol NSSETů, který je nově postavený na projektu Zonemaster, a jeho webové rozhraní je dostupné na zonemaster.nic.cz.

Pro .cz registr jsme implementovali a na jaře 2024 spustili systém aukcí domén, který ale je v současné době ještě svázaný se specifickými procesy CZ.NIC, proto tento subsystém ještě není připraven na zpřístupnění jiným registrům. Respektive řešíme zobecnění a zpřístupnění celého Doménového prohlížeče, jehož součástí je webové rozhraní pro dražitele aukcí domén.

Technická podpora FRED

V rámci poskytování technické podpory se věnujeme nejen novým zájemcům, ale i stávajícím zahraničním registrům s FREDem, protože doporučujeme držet krok se všemi námi vydávanými verzemi. Pokud totiž některé upgrady vynechají, naše podpora je stejně navede na nutnost projít postupně všechny dílčí verze.

V rámci technické podpory průběžně aktualizujeme instalační postup ve veřejné dokumentaci, spolu s veřejným vydáním publikujeme zdrojové kódy všech open-source částí systému na našem veřejném GitLab serveru, provozujeme veřejné testovací prostředí a komunitní mailovou konferenci. Kromě toho nabízíme službu placené podpory, která nabízí pomoc při návrhu a zprovoznění systému nebo při upgrade již běžící instalace FREDa. V případě upgrade velice staré verze systému doporučujeme provést čistou instalaci nejnovějšího systému a pak bývá největším technickým oříškem správná migrace dat. V rámci placené podpory nabízíme i rozšiřující moduly, které nejsou dostupné v open-source verzi, a momentálně se jedná o podporu blokovací služby pro doménová jména – GlobalBlock (GlobalBlock Domain Name Blocking Service provozované Brand Safety Alliance) a máme v plánu připravit podobně i subsystém aukcí domén. Pro některý registr se systémem FRED může být výhodou placené podpory možnost zapojit se do prioritizace vývojových prací.

Od loňského roku nově nabízíme ke stažení připravené demo systému FRED v podobě jednoserverové instalace a publikujeme jej formou KVM image. Takto virtualizovaný server FRED sami používáme pro ověření instalace a pro otestování funkčnosti před vydáním nové verze. Variantu KVM virtualizace jsme zvolili jako nejvhodnější, neboť nám umožňuje větší míru automatizace při přípravě.

Plány

Systém FRED je živým projektem, který nejen udržujeme, ale i rozvíjíme, a máme vize, kam systém chceme posouvat kupředu. Jednou ze zásadních systémových změn, kterou momentálně řešíme, je volba serverového OS pro ty části FREDa, které ještě nejsou dockerizované. Blíží se konec podpory stávajícího preferovaného systému Ubuntu 20.04 LTS a proto zvažujeme a ověřujeme, jestli povýšit Ubuntu LTS na 24.04 nebo přejít z Ubuntu na Debian 12.

Určitě chceme pokračovat v procesu dockerizace, dalšího rozšiřování API jádra do gRPC služeb a rozšiřování funkcionality administračního rozhraní FERDA. Plánujeme zobecnit systém aukcí a přidat jej do nabídky placených rozšíření ostatním doménovým registrům. Také provádíme analýzu kompatibility FRED s požadavky ICANN na systémy pro správu přidělovaných TLD, což jistě vyústí v nezbytné SW úpravy, abychom postupně dosáhli shody s těmito požadavky.

V procesu přípravy a publikace veřejných vydání FRED chceme pokračovat v automatizaci. Plánujeme ve veřejném GitLab repozitáři projektu FRED zprovoznit co nejvíce automatizovanou tvorbu podkladů pro každou novou verzi. Kromě pin listu pro APT balíky přidáme kompletní changelog za daný release, což odstraní nutnost procházet historii dílčích změn v dokumentaci, jako je tomu nyní.

Závěrem

Systém FRED je živý open-source projekt, za kterým stojí nejen skupina srdcařů, kteří se starají o rozvoj a provoz .cz domény v CZ.NIC, ale i kolegové v zahraničních registrech, kde FRED používají pro svou agendu. Jako každý open-source projekt vítáme nejen zpětnou vazbu a nové podněty, ale i zájemce, kteří by chtěli přiložit ruku k dílu. Pokud se chcete podílet na rozvoji projektu FRED, neváhejte se ozvat se zájmem o pracovní pozici v CZ.NIC.

Již déle než půl roku provozuje CSIRT.CZ svou druhou komerční službu. Zatímco služba penetrační testování je tu již s námi několik let, službu Deny listy jsme uvedli v červnu 2024.

Jedním z důvodů, proč jsme se rozhodli tuto službu spustit, byla potřeba nějak omezit dopad incidentů, u kterých není možné dosáhnout rychlého řešení a přitom představují výraznou hrozbu pro uživatele v ČR. Typickým příkladem jsou různé falešné investiční weby nebo phishing na jiných doménách než je .CZ. Dalším důvodem byla naše historická zkušenost s podobnými již existujícími produkty, kterou jsme tu popsali dřívě.

Zdroje dat pro Deny listy jsou v současné době tři. Prvním z nich je náš projekt PROKI, který jsme pro účely služby Deny listy upravili tak, aby fungoval jako svého druhu SIEM. Zde zpracováváme data z různých našich projektů, jako honeypoty, Turris a dále z externích zdrojů a jejich vzájemným porovnáváním a dalším zpracováním vytváříme seznam nebezpečných domén. Tento seznam pak obsahuje domény, které jsou potenciálně škodlivé pro české uživatele, ale povětšinou směřují na obecně používané weby a služby, jako Facebook, Gmail nebo Steam. Za poslední týden se jednalo například o domény amazon.440784.com, coinbase-pro-login45.godaddysites.com
, hokgie.s3-website.us-east-2.amazonaws.com, yahoo-mailupdate.mmm.page, steam-invlte.team-pww.com, staemcomnunnity.com, steamcommunuiuity.com, secure—suite—-trozor.webflow.io, accountsgoogle.info, www-dpd.order8324.live a řadu dalších.

Druhým zdrojem jsou pak incidenty nahlášené národnímu CSIRT týmu a třetím zdrojem pak škodlivé domény, které detekujeme naší vlastní analytickou činností. Tyto zdroje dělají naše Deny listy unikátním zdrojem informací o útocích přímo cílících na české uživatele. V posledním týdnu se jednalo například o domény balikovna-cz.0rd3r-events1.com, balikovna-cz.1ord3rdeliver1.biz czpeoplework.works, ceskaposta.rieutaewonline.top, portalgovcz-formulare-id-vypis-zbodoveho-kontaidridice-cz.top nebo bankodmena.eu.

Zároveň dlouhodobě budujeme seznam významných domén, aby je nebylo možné zablokovat ani nedopatřením.
Hlavním měřítkem naší služby je poskytovat co nejvíce relevantní a spolehlivá data. Proto místo kvantity a co nejširšího záběru i na webové stránky, se kterými pravděpodobně český uživatel nikdy nepřijde do styku (a kde by bylo náročné identifikvoat false positive), preferujeme zaměření na hrozby, které české uživatele skutečně trápí. Zároveň však omezujeme co nejvíce riziko, že bychom našim uživatelům zablokovali weby, které běžně používají a potřebují.

Důkazem, že se nám naše práce daří, je, že ačkoliv díky našim existujícím zákazníkům chráníme významnou část uživatelů v ČR; za více než půl roku provozu jsme měli hlášeny dva případy false positive. V obou případech se ale jednalo o reálný útok, při němž byla zneužita legitimní služba. V jednom případě se jednalo o zkracovač URL populární v Estonsku a v druhém o legitimní web brokerské společnosti, který však byl skutečně napaden.

Kromě výše uvedeného umožňuje naše služba zákazníkům také přidávat vlastní domény a to jak na stranu těch, které nemají být nikdy blokovány, tak i těch škodlivých. Předání dat je pak obvykle realizováno pomocí RPZ zóny pro jejich současné DNS – pro zákazníky se tak jedná o jednoduché a rychle nasaditelné řešení.

My v CSIRT.CZ jsme pak rádi, že i u incidentů, které není možné zjednat nápravu okamžitě, dochází k minimalizaci dopadu na české uživatele do doby, než se se zahraničními partnery podaří incident definitivně dořešit.

Tento týden Český telekomunikační úřad (ČTÚ) rozeslal do meziresortního připomínkového řízení návrh Strategie správy rádiového spektra. Tento krok navazuje na předchozí veřejnou konzultaci, kterou úřad uspořádal na konci minulého roku.

Současný návrh strategie navazuje na dokument z roku 2015, kterou vláda schválila svým usnesením 3. června 2015, a snaží se reflektovat aktuální technologický vývoj, změny v regulatorním rámci a nové požadavky na správu rádiového spektra. Vláda tedy po 10 letech dostane na stůl updatovány strategický dokument, který se týká využívání vzácného přírodního zdroje.

Dokument je postaven na čtyřech pilířích:

a) zpřístupňování kmitočtů pro rozvoj služeb a aplikací,

b) vytváření legislativních předpokladů a podmínek pro efektivní správu spektra,

c) implementace procesů, přístupů a nástrojů pro účelné využívání kmitočtů,

d) rozvoj odbornosti a povědomí v oblasti správy a využití rádiové spektra.

Jedním z citlivých bodů dokumentu je téma dalšího využití pásma UHF. Z hlediska budoucího využití pásma UHF (které zahrnuje i pásmo 600 MHz) dokument i nadále potvrzuje udržitelnost zemského digitálního TV vysílání (DTT) i pro období po roce 2030. Záměr ČTÚ je také průběžně monitorovat stav využití i alternativních distribučních platforem TV vysílání a přípravu návrhů či doporučení pro právní akty EU k DTT „při zohlednění souvisejících sociálních, kulturních, ekonomických a environmentálních aspektů, technologického vývoje, změny chování spotřebitelů a požadavků na připojení občanů ke službám elektronických komunikací v zájmu posílení růstu a inovací.“

Dílčím citlivým podtématem je využití vysílací sítě č. 25 a 26. V rámci přípravy procesu přechodu na DVB-T2 standard byly ve Strategii rozvoje zemského digitálního televizního vysílání navrženy dvě celoplošné sítě s označením síť č. 25 a síť č. 26, zamýšlené jako kompenzační. Síť č. 25 byla v této souvislosti zvažována jako případná rozvojová síť reflektující ztráty kmitočtů v DVB-T sítích č. 2 a 3 (České Radiokomunikace a.s. a Czech Digital Group a.s.) a síť č. 26 měla umožnit rozšíření regionálního vysílání České televize. Tento postup byl ale podmíněn souladem s pravidly hospodářské soutěže na národní i evropské úrovni a přijetím vhodného legislativního řešení. V případě sítě č. 26 televizní strategie uvádí, že pro případ oddalování legislativního řešení budou kmitočty využívány na základě individuálních oprávnění bez potřeby výběrového řízení. Legislativní opatření doposud přijato nebylo.

Strategie tedy nově na přechodné období (do roku 2030) navrhuje možnost časově omezeného zpřístupnění mezinárodně zkoordinovaných kmitočtů vysílacích sítí č. 25 a 26 pro ověřování provozu alternativních technologií v broadcastingu, případně pro dokrývání zájmových lokalit signálem DTT.

Tradičně už je součástí dokumentu i úkol připravit návrh na úpravu výše poplatků za využívání rádiového spektra (a principů jejich stanovení) i pro takové kategorie radiokomunikačních služeb, „kde je to žádoucí zejména s ohledem na očekávané celospolečenské přínosy pro ČR“. ČTÚ tak chce podpořit účelné využívání rádiového spektra a odstraňovat bariéry bránící jeho využívání, nasazování nových technologických řešení a rozvoj nabídky a poskytování moderních a doprovodných služeb elektronických komunikací.

Dalším dílčím věcným tématem, které strategie rozpracovává, je budoucí využití pásma 6 GHz, kdy se ČTÚ snaží najít životaschopný kompromis „spolužití“ IMT sítí a RLAN.

Meziresortní připomínkové řízení trvá do 3. března, následně po vypořádání připomínek bude materiál odeslán vládě. Strategie možná není tak sexy jako energetické koncepce a dostavba Dukovan, ale transparentní a předvídatelná správa rádiového spektra má potenciál přispět k rozvoji hospodářské soutěže a rozvoj dalších sektorů napojených na využívání rádiových kmitočtů.

Každoročně se po celém světě slaví Den bezpečnějšího internetu, který upozorňuje na důležitost online bezpečnosti. Letos připadl na 11. února a v České republice se k této příležitosti uskutečnil dne 10. února celodenní program ve spolupráci CZ.NIC a Ministerstva vnitra ČR i dalších institucí a organizací.

Klíčová témata a doporučení

Dopolední část akce zahrnovala tiskovou konferenci, kde odborníci představili aktuální výzvy a úspěchy v oblasti bezpečnosti na internetu, kybernetické bezpečnosti i prevence před kybernetickou kriminalitou. Diskutovalo se nejen o současných trendech i online hrozbách, ale také o významu efektivní prevence a vzdělávání.

Jedním z hlavních témat byla digitální stopa – tedy stopy, otisky, informace a data, které po sobě uživatelé zanechávají na internetu. Panelisté se zabývali otázkami jako: Jak se pohybovat online bezpečně? Jak minimalizovat rizika spojená s digitální stopou? A především, jak chránit digitální stopu našich dětí?

Co by měli vědět rodiče?

Jedním z důležitých bodů bylo téma sharentingu – sdílení fotografií a informací o dětech na sociálních sítích. Rodiče často zveřejňují obrázky svých dětí od jejich narození, aniž by si uvědomili možná rizika.

Od odborníků zazněla doporučení:

1. Přemýšlejme, zda–li je opravdu nutné zveřejňovat každou fotku dítěte.

2. Zajistěme i ověřme nastavení svého soukromí i sdílení na sociálních sítích.

3. Mluvme s dětmi o tom, co je vhodné sdílet a co ne – pojďme jim být tím nejlepším vzorem.

4. Udržme „balanc“ se svou digitální stopou. Držme si svou digitální stopu v bezpečí.

Jak technologie mění bezpečnost?

Dalším velkým tématem byl vliv umělé inteligence na proměnu digitální stopy i bezpečnosti na internetu. AI se stále častěji využívá k analýze digitálních stop, ale zároveň přináší i nové hrozby – například deepfake technologie nebo sofistikovanější kybernetické útoky.

Spolupráce je klíčem

Den bezpečnějšího internetu ukázal, že kybernetická bezpečnost je téma, které se týká nás všech – rodičů, dětí, škol, firem i státních institucí. Spolupráce mezi CZ.NIC (garant Safer Internet Centra (ČR) a státní i veřejnou správou, institucemi jako je Ministerstvo vnitra nebo Policie ČR, přispívá k lepší osvětě i efektivnější prevenci.

Každý z nás tak může přispět k bezpečnějšímu internetu – ať už tím, že bude zodpovědně sdílet obsah, chránit své soukromí nebo vzdělávat sebe i své děti.

Internet je výborný prostor i nástroj, když se zde pohybujeme bezpečně.

Viacero používateľov CZ.NIC aukcií si už od ich spustenia mohlo všímať neprehľadnosť ponúkaných domén. Domény bývali zoradené buď abecedne alebo na základe dĺžky. Nepomáhal ani fakt, že pri abecednom radení sú čísla zaradené na začiatku. Nových návštevníkov mohlo nepríjemne prekvapiť, ak po otvorení zoznamu aukcií videli namiesto zaujímavých doménových mien len nezmyselné postupnosti znakov. Neprekvapilo by ma, ak by časť návštevníkov po tejto skúsenosti web aukcií dlhší čas nenavštívila. Preto sme sa situácii začali venovať a krátko na to sme spustili znevýhodnenie domén obsahujúcich vysoký pomer čísel a spojovníkov. V októbri sme sa začali venovať problému viac do hĺbky a v rámci svojej diplomovej práce som začal skúmať, na základe akých kritérií je možné doménu ohodnotiť.

Už na začiatku sme sa zhodli, že aukcie domén majú slúžiť predovšetkým ľuďom, ktorí chcú vydraženú doménu používať a nie obchodníkom s doménami, dražiacich domény len za účelom zisku. Preto sme zamietli zaužívané postupy rôznych ohodnocovacích stránok, ktoré sledujú primárne históriu domény spoločne s na nej sídliacim webom. Rozhodli sme sa nesledovať počet spätných odkazov na doménu na internete, dobu od jej prvej registrácie, počet registrácií či dokonca návštevnosť alebo objem DNS prevádzky. Predpokladáme, že nášho cieľového používateľa tieto hodnoty nemusia zaujímať a dokonca môže byť predchádzajúca popularita domény niekedy na škodu. Z tohto dôvodu sme sa minimálne zo začiatku sústredili čisto na doménové meno. Hlavným cieľom prvého vylepšenia bolo uprednostniť prémiovejšie domény, teda domény ideálne zložené z jedného, prípadne dvoch dostatočne všeobecných a známych slov. Tie najhodnotnejšie popisujú celú kategóriu, ako napríklad „knihy.cz“ či „obuv.cz“.

Extrakcia a hodnotenie slov

Prvým krokom tohto riešenia bolo z názvu domény extrahovať slová. To sa na prvý pohľad zdalo ako jednoduchá úloha, no keďže doména je relatívne krátky text bez diakritiky, ktorý často obsahuje aj nespisovné slová a skratky, nie je jednoduché určiť, čo pôvodný držiteľ myslel. Nepomáha ani fakt, že je občas možné názov rozkľúčovať viacerými spôsobmi. Tento krok si zatiaľ vyžiadal najviac času a experimentovania s rôznymi prístupmi. Nateraz som sa rozhodol využiť vyhľadávanie slov v slovníkoch použitím Aho-Corasick algoritmu. Vybraný algoritmus je pomocou slovníkov schopný nájsť všetky slová nachádzajúce sa v doméne. Keďže je zo všetkých nájdených slov potrebné vybrať ideálne správnu kombináciu, pripravil som algoritmus, ktorý má za úlohu vybrať čo najvhodnejšiu kombináciu slov. Systém je nateraz pripravený na vyhľadávanie slov v českom, anglickom a slovenskom jazyku, pričom umožňuje jednoduché pridanie ďalších jazykov.

Popularita slov

Popri riešení extrakcie slov som prešiel k úlohe, ako jednotlivé slová ohodnotiť. Keďže využitie nástrojov hodnotiacich vyhľadávanosť kľúčových slov nebolo reálne pre tisícky slov súčasne, zvolil som meranie početnosti výskytu slova v jazyku. Úlohou bolo spočítať výskyty jednotlivých slov v datasete textov zozbieraných z internetu. Vybraný dataset mOSCAR obsahoval pre jeden jazyk desiatky gigabajtov textu z 3-4 miliónov vzoriek webov. Tieto texty som prečistil a pripravil pre potreby ohodnocovania. Prečistenie zahŕňalo odstránenie diakritiky, interpunkcie a špeciálnych znakov. Ďalšia príprava bola zložená zo spojenia samostatných viet a odstavcov každého webu do súvislého textu a následného rozdelenia textu na slová. Po tejto úprave datasetu som prešiel k počítaniu výskytov slov v jednotlivých vzorkách. Výsledkom bol celkový počet výskytov slov pre celý jazyk. Na tieto výsledky som aplikoval funkciu logaritmu, aby som zmiernil exponenciálne rozloženie výskytov slov. Následne som na tieto hodnoty aplikoval min-max normalizáciu, aby bol počet výskytov jedného slova reprezentovaný hodnotou v rozsahu 0-1. Zoznamy používanosti slov sú vytvorené pre každý zahrnutý jazyk samostatne. Každému zoznamu je možné prideliť váhu, ktorá určuje, aké jazyky má systém uprednostňovať. Momentálne systém na základe dát mierne zvýhodňuje češtinu.

Voľba kombinácie extrahovaných slov

Keďže pri extrakcii slov existuje viacero možností, ktoré môžu byť považované za správne, sú pre každú doménu vytvorené viaceré kombinácie slov dvomi metódami. Pred začiatkom zostavovania kombinácií je každému nájdenému slovu priradená popularita.

V prvej metóde je vybraných n najpopulárnejších slov, z ktorých sú následne rekurzívne zostavované možné kombinácie slov tak, aby sa slová navzájom neprekrývali a neopakovali. Pri tomto prístupe som sa však potreboval vysporiadať s tým, že jednoznakové alebo dvojznakové slová ako spojky a predložky sú v každom jazyku používané najčastejšie. To by spôsobovalo, že napríklad slovo „krabica“ by mohlo byť nesprávne rozdelené na dve slová „krabic“ „a“ pre vysokú popularitu spojky „a“. Preto bola pre výber najvhodnejšej kombinácie slov v doméne popularita týchto veľmi krátkych slov mierne znížená. Druhou metódou je postupný výber čo najdlhších slov, rovnako s podmienkou, aby sa slová neprekrývali a neopakovali. V tejto metóde je vykonaných n iterácií, pričom je v každej iterácii vytvorená jedna kombinácia. Po každej iterácii je zo zoznamu testovaných slov odobrané najdlhšie slovo, čo umožňuje vznik nových kombinácií s kratšími slovami. Po aplikovaní oboch metód sú vytvorené kombinácie ohodnotené a následne je ako výsledok vybraná kombinácia s najlepším ohodnotením.

Ohodnotenie extrahovaných slov

Po extrakcii slov je možné začať určovať parametre domény. Pre zvolený cieľ uprednostňovania prémiovejších domén je možné určiť, koľko slov doména obsahuje a či sa v doméne nachádzajú aj ďalšie znaky naviac, ktoré žiadne slovo netvoria. Napríklad „ab“ v doméne „abdodavky.cz“ je možné označiť pomerom 7⁄9. Ako tretí parameter je možné použiť priemernú popularitu slov v doméne.

Aby bolo finálne ohodnotenie jednoduchšie je každý parameter domény prevedený na rozsah 0-1. Pre počet slov v doméne je doméne obsahujúcej jedno slovo priradená hodnota 1 a pre vyšší počet slov hodnota postupne klesá. Ohodnotenie počtu znakov nachádzajúcich sa mimo slov je vypočítané z upraveného pomeru znakov v slovách a oproti celkovej dĺžke domény. Hodnota 1 znamená, že sa v doméne okrem slov nenachádza žiadny znak naviac. Nakoniec je podľa popularity jednotlivých slov vypočítaná priemerná popularita slov v doméne. Z týchto troch hodnôt je geometrickým priemerom vypočítané výsledné ohodnotenie jednotlivých kombinácií pri extrakcii slov.

Ohodnotenie parametrov domény

Okrem popísaného hodnotenia extrahovaných slov sú hodnotené aj všeobecné parametre domény. Konkrétne jej dĺžka, počet čísel a počet spojovníkov. Tieto parametre sú taktiež prevedené na rozsah 0-1.

Prístup k hodnoteniu parametrov

V tejto verzii bol pre ohodnotenie domén zvolený prístup, kde je pre každý z parametrov definovaná nelineárna funkcia zabezpečujúca prevod jeho hodnoty na rozsah 0-1. Voľbou jej tvaru je už samotným parametrom udeľované určité ohodnotenie. Napríklad pre počet slov v rozsahu 1 až 3 je výstup funkcie podstatne bližšie k 1 ako pre vyššie počty slov. Tvary funkcií sú vyberané na základe teoretických poznatkov o hodnote domén. Tento prístup bol zvolený hlavne pre otestovanie konceptu a tiež z dôvodu momentálneho nedostatku dát pre použitie neurónovej siete, ktorá by mohla tento krok eliminovať. Každému z parametrov je pridelená taktiež manuálne zvolená váha, ktorá je následne zohľadnená vo finálnom ohodnotení domény. Finálne ohodnotenie je váženým geometrickým priemerom všetkých parametrov, tiež v rozsahu 0-1. Podľa tohto ohodnotenia môžu byť nakoniec domény v aukciách zoradené.

Detail hodnotenia

V priloženej tabuľke sa nachádzajú spomínané parametre finálneho ohodnotenia. Prvé dva stĺpce obsahujú extrahované slová a ohodnotenie pomeru znakov v slovách oproti celkovej dĺžke. Ďalšie tri stĺpce obsahujú postupne ohodnotenie počtu slov, spojovníkov a čísel. V druhej časti tabuľky sa nachádza priemerná popularita domény, popularita jednotlivých slov, ohodnotenie celkovej dĺžky a nakoniec celkové ohodnotenie domény.

Obrázek 1: Ohodnotenie všetkých parametrov pre výber z domén pripravených na aukciu.

Napojenie na aplikáciu aukcií

Systém pre ohodnocovanie beží ako samostatná aplikácia vo frameworku FastAPI. Jej endpoint pre ohodnotenie je pravidelne volaný z aplikácie aukcií, kde sú týmto spôsobom ohodnocované nové exspirované domény. V požiadavke na ohodnotenie je zaslaný zoznam domén a ich identifikátorov. V odpovedi sú vrátené identifikátory a udelené celkové ohodnotenia domén. Podľa príslušného identifikátoru sú následne ohodnotenia uložené k doménam v databáze aukcií. Pri načítavaní zoznamu v klientskej aplikácii aukcií používateľom, sú do nej zasielané už zoradené domény podľa uloženého ohodnotenia.

Testovanie riešenia

Pre zhodnotenie funkcionality zvoleného postupu boli po implementácií riešenia porovnané jeho výstupy s cenami zatiaľ vydražených domén. Tých bolo v čase testovania približne 3600 s rozsahom cien približne 100 až 150 000 Kč. Ceny domén boli pred porovnávaním normalizované. Po spárovaní každej domény s jej cenou a ohodnotením boli v prvom porovnaní dáta spriemerované podľa výslednej cenovej kategórie (Obr. 3). V druhom porovnaní boli spriemerované podľa výsledného poradia domén v jednotlivých aukciách v určitý deň (výsledné poradie bolo určené finálnou cenou) (Obr. 2). Na výsledkoch je vidieť, že ohodnotenie relatívne dobre odpovedá výsledným cenám priemerovaným podľa poradia, no pre cenové kategórie všetkých vydražených domén nie je až tak výrazné. Do budúcna je cieľom spôsob ohodnotenia ďalej vylepšovať a neskôr zvážiť aj využitie vydražených domén na natrénovanie neurónovej siete.

Obrázek 2: Ceny domén a ich ohodnotenia sú spriemerované podľa výsledného poradia v aukcii. Je vidieť, že domény, ktoré končili na vysokých priečkach v aukcii majú priemerne aj vyššie ohodnotenie.

Obrázek 3: Ceny domén a ich ohodnotenia sú spriemerované podľa cenovej kategórie. Je vidieť, že domény s vyššou cenou majú aj mierne vyššie priemerné ohodnotenie, no rozdiel nie je až tak výrazný ako pri rozdelení po jednotlivých priečkach.

Popisované riešenie bolo spustené 10. 2. 2025.

V dnešních Krátkých vlnách se podíváme na přelomové rozhodnutí švýcarského regulátora po 11 letech sporu a na lednová rozhodnutí českého Nejvyššího správního soudu, který řešil kasační stížnosti na rozhodnutí Českého telekomunikačního úřadu.

Švýcarský telekomunikační regulátor ComCom vydal 19. prosince 2024 rozhodnutí, které ukládá dominantnímu operátorovi Swisscom povinnost poskytovat bezplatný peering bez omezení rychlosti internetovému poskytovateli Init7. Toto rozhodnutí ukončuje spor trvající od roku 2013 a plně vyhovuje požadavku Init7 na bezplatný peering. ComCom založil své rozhodnutí na článku 11 švýcarského telekomunikačního zákona, který zavazuje dominantní operátory poskytovat propojení jiným operátorům na vyžádání.

Klíčovým faktorem v rozhodnutí o dominantním postavení Swisscomu byl jeho neobvyklý smluvní vztah s Deutsche Telekom (DT). Ačkoli Swisscom je operátorem druhé úrovně (tier-2), má s DT, operátorem první úrovně (tier-1), zvláštní dohodu o sdílení nákladů a výnosů z provozu do sítě Swisscomu. Tato dohoda byla považována za neobvyklou na trhu a hrála významnou roli při posuzování dominance Swisscomu.

Krátce odbočím k vysvětlení, co je rozdělení operátorů do tzv. tierů (vrstev, úrovní, chcete-li). Rozdělení operátorů do tzv. tierů je způsob, jak kategorizovat poskytovatele internetových služeb podle jejich postavení a propojení v rámci globální internetové sítě. Toto rozdělení není oficiální hierarchií, ale běžně používaným přístupem k popisu struktury internetu. A právě pro operátory v tier-1 je typické, že jsou tak velké autonomní systémy (AS), které mohou dosáhnout celého internetu pouze předáváním provozu svým peeringovým partnerům a nepotřebují si nakupovat tranzitní služby od jiných operátorů (na rozdíl od operátorů v tier-2 a nižších).

ComCom dospěl k závěru, že Swisscom je dominantní na trhu peeringu, zejména ve vztahu k poskytovatelům obsahu a aplikací, kteří nemají peering s DT.

Švýcarský regulátor souhlasil s předloženou argumentací společnosti Init7, tedy že náklady na peering se skládají z nákladů na připojení k propojovacímu bodu, kolokaci a na porty na směrovačích. Tyto náklady se obvykle pohybují ve stejném rozmezí pro oba partnery. Náklady na provoz nejsou relevantní, protože provoz iniciují koncoví uživatelé a platí za něj ze své platby za přístup k internetu. Náklady se neliší podle toho, zda je provoz symetrický nebo asymetrický.

ComCom také zdůraznil, že v konkurenčním prostředí by Swisscom měl přirozený zájem o peering, který by snížil jeho tranzitní náklady a zvýšil kvalitu služeb.

Rozhodnutí ukládá Swisscomu poskytovat Init7 peering se dvěma propojovacími linkami o kapacitě 10 Gbps v Ženevě a Curychu bez omezení rychlosti. Pokud provoz překročí 50 % nominální kapacity, Swisscom bude muset spolupracovat s Init7 na zvýšení kapacity, přičemž náklady na dodatečné linky budou hradit střídavě. Toto rozhodnutí může mít významný dopad na švýcarský telekomunikační trh a může sloužit jako precedens pro podobné případy v budoucnu zejména ve vazbě na případné debaty o fair share příplatcích.

Český telekomunikační regulátor, Český telekomunikační úřad, se letos dočkal už dvou rozhodnutí Nejvyššího správního soudu, u kterého si protistrany stěžovaly na regulátorovo rozhodnutí. Obě kasační stížnosti Nejvyšší správní soud zamítl a ČTÚ tak uhájil svůj právní názor.

V první kauze 10 As 235/2024-48 si žalobce firma VIDEON Networking s.r.o. stěžoval v podstatě na to, že Městský soud, u kterého napadl rozhodnutí ČTÚ, odmítl provést znalecký posudek a přejímal závěry žalovaného, aniž by bylo zřejmé, na základě čeho si vytvořil vlastní závěry o správnosti měření. Žalobce totiž utrpěl pokutu od ČTÚ za rušení základnové stanice Vodafonu operující v pásmu 800 MHz. Tohoto rušení se měl dopustit provozem venkovní jednotky zařízení RLAN v pásmu 5 GHz (Ubiquiti NanoStaton M5 5GHz airMax). Druhý přestupek se týkal jeho „neochoty“ předat ČTÚ informace o přesné typologii a popisu RLAN sítí provozovaných v pásmech 2,4 GHz až 66 GHz. Souhrnná pokutu uložená prvním stupněm ve výši 80 000 Kč byla předsedou Rady ČTÚ snížena ve druhém stupni na částku 60 000 Kč.

Nejvyšší správní soud v reakci na stěžovatele uvedl, že městský soud sice je povinen vypořádat se s každým žalobním bodem, nicméně způsob tohoto vypořádání může být různý: někdy například postačuje poukázat na kogentní znění zákonné úpravy, jindy je třeba použít sofistikované interpretační metody a doktrinální závěry, v dalších případech lze pro stručnost využít odkaz na blíže označenou prejudikaturu s konstatováním, že není důvod se od ní jakkoliv odchylovat, a někdy se soud může v podstatných momentech ztotožnit s argumentací některého z účastníků řízení a nedává proto rozumný smysl ji podrobně opakovat.

„Pokud proto stěžovatel s informacemi v něm obsaženými nesouhlasil, mohl je zpochybnit a důkazně vyvrátit. Jak se však podává z obsahu správního spisu, stěžovatel proti kontrolnímu zjištění nepodal námitky a ani nevyužil například možnosti předložit vlastní znalecký posudek nebo jiný důkazní prostředek. Pokud proto za této situace městský soud konstatoval, že se správní orgány vypořádaly se všemi následnými námitkami stěžovatele, a tento svůj závěr řádně a přesvědčivě odůvodnil, nelze napadený rozsudek považovat za nepřezkoumatelný.“

Ve druhé kauze 1 As 243/2004-32 si žalobce firma Vlašimnet stěžovala na zamítavý rozsudek Městského soudu proti rozhodnutí ČTÚ, který sankcionoval Vlašimnet za využívání rádiových kmitočtů 58.320 MHz, 60.480 MHz a 64.800 MHz v rozporu s příslušným všeobecným oprávněním, neboť prostřednictvím registračního portálu neoznámila příslušné MAC Wireless adresy stanic a namísto nich oznámila „jen“ jejich sériová čísla. Takový postup ČTÚ ohodnotil pokutou ve výši 5 000 Kč.

Městský soud odmítl argumenty žalobce, že čl. 2 odst. 2 písm. b) všeobecného oprávnění je nejednoznačný, když podle něj stačí použít prostý gramatický (jazykový) výklad. Soud označil za podstatné, že stanice provozované žalobkyní prokazatelně MAC Wireless adresu výrobcem přidělenu měly a tudíž neměl žalobce důvod alternativně oznamovat výrobní číslo.

V reakci na kasační stížnost Nejvyšší správní soud nejprve zdůraznil, že jeho úlohou není nahrazovat činnost správních orgánů a krajských soudů a stále dokola opakovat závěry již mnohokrát vyřčené. Podle něj argumentace obsažená v kasační stížnosti do značné míry kopíruje námitky uplatněné jak v řízení o rozkladu, tak v řízení před městským soudem. Všeobecné oprávnění podle něj výslovně a naprosto jednoznačně stanoví povinnost oznamovat MAC Wireless adresu. Následně pouze doplňuje náhradní způsob splnění povinnosti (oznámením výrobního čísla stanic), avšak to pouze a jen tehdy, nebyla-li MAC Wireless adresa přidělena. Nejvyšší správní soud je také vázán dotčenou právní úpravou a nemůže spekulovat o tom, která varianta, MAC adresa vs sériové číslo, je vhodnější nebo lepší pro požadovaný účel.

V závěru se soud věnoval absenci materiální stránky přestupku. K tomu Nejvyšší správní soud připomněl, že žalovaný (ČTÚ) svůj požadavek na oznámení MAC Wireless adresy náležitě odůvodnil. Konkrétně uvedl, že sériová čísla nelze ověřit pouhým dálkovým načtením vysílaných údajů, ale je nutné jejich fyzické ověření přímo na stanici nebo písemným dotazem u provozovatelů stanic v dotčené lokalitě. Nižší míru společenské škodlivosti podle něj pak je odražena ve výši uložené pokuty, kterou považuje za bagatelní.

 

V předchozím článku této série jsme si z vysokoúrovňového pohledu nastínili, jak Knot Resolver 6 a Knot DNS 3.4 chrání samy sebe i ostatní účastníky na internetu proti útokům typu denial-of-service. Pojďme se nyní zblízka podívat na implementaci takovéto ochrany a popsat si, jak vypadá její skutečné technické řešení.

V tomto článku si představíme speciálně navrženou datovou strukturu, jíž používáme k hlídání chování potenciálních útočníků.

Tato práce je součástí projektu DNS4EU kofinancovaného Evropskou unií1. Veškerý zde popsaný kód je svobodný a otevřený pod licencí GPL.

KRU: správce čítačů

Začněme tím, že si zkorigujeme tu největší nepřesnost, které jsme se záměrně dopustili v předchozím článku. Je vcelku zřejmé, že není možné efektivně udržovat přesné počty dotazů či procesorových časů pro každou jednotlivou IP adresu v adresním prostoru IPv4, natož pak v IPv6. To však ve skutečnosti ani není potřeba. Jelikož stejně pracujeme s několika úrovněmi přesnosti – měříme více délek prefixů najednou, abychom byli schopni ochrany před útoky ze sítí různých velikostí – celkem si vystačíme s pouhým odhadem. Vyměníme tak úroveň přesnosti za vysoký výkon a udržitelné využití paměti.

KRU2 je specializovaná datová struktura, díky které jsme schopni data čítačů vměstnat do paměti skutečného fyzického počítače. Je kombinací několika známých technik, které jsme adaptovali a optimalizovali pro specifické požadavky ochrany před DoS útoky v Knot Resolveru.

Svrchní pohled na strukturu

Pojďme si nyní popsat návrh KRU iterativně tak, že si budeme v každém kroku přidávat informace navrch k těm, které již máme.

Space-saving algoritmus

Základem KRU je velmi jednoduchý “space-saving”, neboli “místo-šetřící” algoritmus3, který vykazuje překvapivě dobré vlastnosti na skutečných vstupech4. Algoritmus udržuje pevně daný počet párů klíčů a čítačů, kde klíč je zdrojová IP adresa, ze které přišel dotaz, příp. její prefix.

Jednou ze zajímavých situací je vkládání, když je tabulka plná. V tu chvíli najdeme nejnižší čítač ve struktuře a přepíšeme jeho klíč, ale hodnotu čítače ponecháme a běžným způsobem ji inkrementujeme (prozatím předpokládejme shodný okamžitý limit u všech čítačů).

Ponechání hodnoty čítače namísto jejího zahození a například vynulování je důležité – zlepšuje se tak totiž chování v okrajovém případě, kdy se dva či více klíčů vzájemně “vyhazují” ze struktury. Tímto “trikem” v podstatě zajistíme, že klíče tento čítač sdílí, místo aby vyhozené čítače opakovaně degradovaly na nulovou hodnotu.

Hešování

Použití space-saving algoritmu nad velkým počtem klíčů by nebylo příliš efektivní. Co tedy namísto toho vytvořit pole indexované heši, jehož jednotlivé položky budou skupiny párů, nad kterými budeme provádět space-saving algoritmus?

Můžeme tak nejdříve se složitostí O(1) provést vyhledání položky v poli pomocí heše vypočteného z klíče, a poté najít ten správný pár klíče a čítače v mnohem menší skupině.

Vyrovnávání zaplněnosti skupin

Hešování takovýmto způsobem má jednu nevýhodu – výsledná (pseudo-)náhodná distribuce položek sice vede ke slušnému využití většiny jednotlivých skupin, ale malé procento z nich má tendenci být značně přetíženo. Abychom se tomuto přetížení vyhnuli, používáme paradigma hešování se dvěma volbami, které vytížení vyrovnává se vcelku malými přidanými nároky.

Každý klíč nás tak navede na dvě skupiny, z nichž každá je v oddělené tabulce. Pak hledáme páry klíčů a čítačů v obou skupinách najednou. Pokud se při vkládání klíč v jedné z nich nachází, danou položku použijeme a zvýšíme její čítač. Pokud ne, vybereme nejnižší čítač z množiny všech čítačů obou skupin, odstraníme předchozí klíč a nahradíme jej vkládaným klíčem. Dá se tak říci, že vždy vybíráme “tu méně zaplněnou” skupinu z těch dvou nalezených.

Je důležité na tomto místě podotknout, že každý klíč nám spáruje skupiny jinak, jelikož k indexaci tabulek používáme různé heše (o tom více později). Mezi žádnou dvojicí skupin z různých tabulek tak není přímý vztah. To je to, co nám zajišťuje silný vyrovnávací efekt.

Šetření pamětí, šetření časem

Vytvořili jsme celkem slušný funkční základ naší datové struktury, ale ještě toho máme spoustu na práci. Abychom udrželi na uzdě paměťové nároky a co nejvíce zvýšili výkon, provedeme ještě několik optimalizací.

“Líný” pokles

V předchozím článku jsme si popsali, že na čítače aplikujeme tzv. exponenciální pokles.

Kdybychom tak pravidelně činili pro celou strukturu, velmi bychom si zavařili, co se týče výpočetních nákladů, zejména kvůli rozsáhlým přístupům do paměti.

Jinou možností by bylo u každého čítače poznamenávat časovou značku posledního přístupu, a pak jen při každém dalším přístupu pokles aplikovat (a aktualizovat značku), přičemž pokles škálujeme na základě rozdílu mezi časem aktuálním a poznamenanou značkou. Nicméně to by zabralo velké množství paměti.

Kompromis, který jsme zvolili, vypadá tak, že si poznamenáváme časovou značku sdílenou pro každou skupinu čítačů. Pokaždé, když ke skupině přistoupíme, nejprve aplikujeme pokles na všechny čítače podle časového rozdílu, aktualizujeme časovou značku a poté provedeme zbytek v danou chvíli požadovaných operací nad čítači.

Toto se pro každou skupinu děje maximálně jednou za milisekundu, což je granularita, kterou jsme si zvolili pro náš konkrétní případ užití.

Žádné klíče, samé heše

Ukládání celých klíčů, tj. IP adres, by bylo vcelku drahé na paměť vzhledem k tomu, že každá IPv6 adresa má velikost 16 bajtů. My je ale ukládat nepotřebujeme. Místo toho si ukládáme jen 16bitové heše – a prostě necháme jednotlivé položky mezi sebou kolidovat. Může se zdát, že 16 bitů není mnoho, ale uvědomme si, že kolize značně redukuje již rozdělení space-saving algoritmu na menší celky, a tudíž každá skupina už tak “vidí” pouze malý zlomek všech klíčů.

Mohlo by vás zajímat, jak vlastně počítáme všechny ty heše, které potřebujeme. Pro každý klíč si ve skutečnosti spočítáme pouze jeden 64bitový heš, a pak jej po bitech “rozsekáme” na tři části. Jeden 16bitový kousek je použitý jako klíč space-saving algoritmu a další dva kousky se použijí jako indexy do výše popsaných dvou hešovacích tabulek. Počet bitů těchto dvou částí závisí na kapacitě tabulky, která je uživatelsky konfigurovatelným parametrem.

Přesnost čítačů

Pro ještě větší úsporu paměti jsou čítače pouze 16bitové, čímž navíc dostáváme příležitost ke zrychlení pomocí vektorizace (o té více později).

Abychom minimalizovali negativní vliv takto malých čítačů na přesnost celého mechanismu, používáme malý trik. Všechny výpočty jsou totiž prováděny v 32bitové aritmetice, přičemž naše operandy jsou v podstatě reálná binární čísla s pevnou čárkou. Ta se nachází přesně uprostřed čísla, se 16 bity na každé straně. Po provedení výpočtu, než výsledek uložíme do paměti, provádíme pravděpodobnostní zaokrouhlení. To probíhá tak, že desetinnou část čísla (tedy 16 nejméně významných bitů) použijeme jako pravděpodobnost, že celkovou hodnotu zaokrouhlíme nahoru. Tímto způsobem, i když čítač zvětšujeme o hodnoty menší než “jedna”, se jeho celková hodnota bude “nasčítávat” velmi přesně. Jelikož nás pro účely omezování provozu zajímá pouze to, jestli nasčítané hodnoty dosáhly limitu, a nikoliv mezivýsledky, můžeme tímto způsobem uspořit paměť s jen malými dopady na celkovou přesnost.

Pro omezování četnosti dotazů navíc škálujeme hodnotu “nacenění” DNS operací v závislosti na nakonfigurovaném okamžitém limitu LI. Jeden dotaz ve skutečnosti nezvyšuje čítač o jednotkový krok. Namísto toho jsou přírůstky a s nimi související limity škálovány poměrem 216/LI, aby rozsah čítače odpovídal rozsahu povolených hodnot dle zkonfigurovaných limitů. Díky tomu efektivněji využijeme těchto pouhých 16 bitů a i hodnoty čítačů s různými limity budou vzájemně porovnatelné. V závislosti na nastaveném limitu tak můžeme měřítko hodnot zvětšit či zmenšit. Při větším měřítku získáváme vyšší přesnost čítačů, zatímco díky menšímu měřítku jsme schopni používat vyšší limit na úkor přesnosti (přičemž ale stále využíváme dříve zmiňované pravděpodobnostní zaokrouhlování, kterým si určitou část této ztráty vynahradíme).

Mimochodem, v předchozím článku jsme zmínili, že čítače nikdy nepřekračují ostrý okamžitý limit. Toto je důvod, proč tomu tak je. Jelikož jsou limity a přírůstky čítačů naškálovány na celých 16 bitů čítačů, jsou limity těsně nad maximálními hodnotami, které jsou čítače technicky schopny reprezentovat.

Práce s CPU keší

Pro zvýšení efektivity práce s pamětí, obzvlášť při souběžném přístupu mnoha procesorovými jádry, je dobré omezit počet řádků procesorové keše, ke kterým přistupujeme při zpracovávání jednotlivých částí dat. Z toho důvodu jsme rozhodli, že skupiny čítačů se přesně mapují na řádky keše x86 procesorů o velikosti 64 bajtů.

Když to dáme všechno dohromady, potřebujeme pouze 16+16 bitů na pár heš-čítač a jednu (32bitovou) časovou značku na skupinu. Do každé skupiny (resp. řádku keše) se nám tak vejde po 15 položkách.

Shrnující obrázek
Nízkoúrovňové optimalizace Paralelismus

Strukturu KRU je potřeba sdílet mezi několika vlákny (v případě Knot DNS) či procesy (v případě Knot Resolveru). To je důležité například kvůli randomizaci zdrojového portu, která typicky vede k tomu, že dotazy přes UDP od jediného klienta obsluhují různá vlákna/procesy na stejném stroji. Naproti tomu spojení (TCP, TLS, DoH) se váže pouze na jedno vlákno/proces.

Přístupy ke KRU jsou bezzámkové. Zvolený způsob hešování již sám o sobě snižuje pravděpodobnost kolize při paralelním přístupu, a navíc používáme atomické instrukce, abychom co nejvíce zamezili nepřesnostem, které mohou vzniknout kvůli souběhům.

Optimalizace přístupů k řádkům keše

Při zpracování dotazu musíme pracovat s daty ze dvou KRU skupin pro každý z prefixů jeho zdrojové adresy. Abychom přístupy k těmto datům urychlili, využíváme schopnost procesorů typu x86_64 pro načtení specifických řádků keše dříve, než s daty skutečně začneme pracovat.

Poté vyhodnocujeme exponenciální pokles nad načtenými skupinami a kontrolujeme, zda má kterýkoliv z vyhodnocovaných čítačů překročit limit. Pokud ano, žádný z čítačů nezvyšujeme; pokud ne, zvýšíme je všechny.

Tímto způsobem pro dotazy, které omezíme, často potřebujeme pouze čtení (mimo zmiňovaný pokles probíhající jednou za milisekundu), což práci s pamětí dále urychluje. Kromě toho, že tím jednoduše snižujeme počet potřebných operací, zároveň dochází ke zrychlení také díky tomu, že čtecí operace nevyžadují vyhození řádků z dedikovaných keší ostatních jader5, čímž si opět ušetříme nějaké cykly při intenzivních útocích.

SIMD instrukce

Většina procesorů typu x86_64 posledních let podporuje v rámci rozšířených instrukčních sad SSE*, AVX2 a AES tzv. SIMD6 instrukce. Ty v podstatě dokážou provést stejnou operaci nad několika hodnotami najednou. Pokud jsou tyto instrukce k dispozici, používáme v kódu jejich intrinsiky7 pro další zvýšení výkonu.

Většina těchto ručních optimalizací se nachází v kódu, kterým prohledáváme pole 16bitových čísel pomocí SSE* a AVX2. Toto je ta vektorizace, kterou jsme zmiňovali výše. Dále využíváme AES akceleraci k urychlení hešování s “dostatečně dobrými” vlastnostmi (nedostatečné pro kryptografii, ale zcela v pořádku pro účely přístupů k hešovací tabulce).

Závěr

Zde zakončujeme druhou část Ochrany proti DoS útokům v Knot Resolveru 6.

Představili jsme si naši novou datovou strukturu KRU, kterou používáme k uchovávání čítačů ke zdrojovým IP adresám. Popsali jsme si strukturu z vysokoúrovňového pohledu, počínaje space-saving algoritmem, který je jejím základem. Poté jsme se přesunuli k hešování a load-balancingu rozdělením dat do dvou nezávisle hešovaných tabulek.

Abychom ušetřili paměť a využití procesoru, bylo potřeba již na počátku návrhu zapracovat fakta o moderních procesorech. Popsali jsme si, jak aplikujeme exponenciální pokles “líně”, abychom každou milisekundu nemuseli přistupovat k celé tabulce; jak všechny klíče vždy vyhledáváme rychle pouze pomocí jejich heše, aniž bychom je přesně porovnávali; jak snižujeme přesnost čítačů z důvodu šetření pamětí (ale její část si zachováváme díky pravděpodobnostnímu zaokrouhlování); a jak se strukturou pracujeme s přihlédnutím k procesorovým keším, abychom ušetřili čas při načítání dat z paměti.

V poslední sekci jsme si popsali některé pokročilé optimalizace, jako je bezzámkový paralelismus; optimalizace přístupu k řádkům keše; a použití SIMD instrukcí.

1. Project number: 101095329 21-EU-DIG-EU-DNS
   Project name: DNS4EU and European DNS Shield.
   This project is co-funded by the European Union.︎

2. Zkratka (k)not recently used.︎

3. Metwally, D. Agrawal, and A. E. Abbadi. Efficient computation of frequent and top-k elements in data streams. In International Conference on Database Theory, 2005.︎

4. Cormode, G., & Hadjieleftheriou, M. (2010). Methods for finding frequent items in data streams. The VLDB Journal—The International Journal on Very Large Data Bases, 19(1), 3–20.︎

5. Vizte protokol MESI a jemu podobné.︎

6. Single instruction, multiple data; neboli jedna instrukce, vícero dat.︎

7. Konstrukty v překladačích jazyka C, které vypadají jako funkce, ale při generování strojového kódu jsou nahrazeny přímo instrukcemi procesoru, které představují.︎

Autoři: Vladimír Čunát, Lukáš Ondráček, Oto Šťáva

Den bezpečnějšího internetu je skvělou příležitostí, jak se zamyslet nad vlastní bezpečností na internetu a přispět tak k osvětě. Každý z nás může podniknout několik kroků, které pomohou nejen jemu samotnému, ale i jeho blízkým.

Učení matka moudrosti aneb Zvyšte své znalosti o kybernetické bezpečnosti

Digitální svět se neustále vyvíjí, takže i my bychom neměli usnout na vavřínech. Využijte tento den k tomu, abyste si prošli nejnovější doporučení odborníků na bezpečné chování v online světě. Užitečné zábavnou formou vytvářené materiály najdete například na portále Safer Internet Centra. Pokud patříte mezi nadšené čtenáře, pak doporučuji knihu mého kolegy Martina Kožíška – Strážci na internetu. A jestliže kolem sebe čím dál tím častěji slýcháte „Hej, kámo…“, pak by vás nebo vaše nejbližší mohl zaujmout instagramový kanál No Net Drama.

Ukliďte si před vlastním prahem

Den bezpečnějšího internetu je skvělá příležitost k tomu, abyste si udělali digitální úklid a ujistili se, že vaše online účty jsou dobře zabezpečené. Projděte si bezpečnostní nastavení svých účtů:

• Aktualizujte hesla – pokud používáte stejná hesla na více místech, změňte je na unikátní a silná.
• Zapněte si dvoufaktorové ověřování (2FA) – to výrazně zvyšuje bezpečnost účtů, zejména u e-mailu, bankovnictví a sociálních sítí.
• Projděte si oprávnění aplikací a zařízení – některé aplikace mohou mít přístup k vašim datům, i když je už nepoužíváte. Zkontrolujte je a nepotřebné odstraňte.
• Zkontrolujte si nastavení soukromí na sociálních sítích – omezte, kdo může vidět vaše příspěvky a informace o vás.
• Zkuste si naplánovat pravidelné digitální detoxy.

Přemýšlejte nad svou digitální stopou – co sdílíte, komu a proč?

Digitální stopa zahrnuje vše, co na internetu zveřejníme – příspěvky, fotky, videa, recenze i komentáře. Nejde však jen o vědomě sdílený obsah, ale také o data, která o nás sbírají weby a aplikace, jako jsou naše vyhledávání, nákupní zvyklosti, poloha nebo online chování. Často si ani neuvědomujeme, že o sobě poskytujeme informace prostřednictvím cookies nebo metadat uložených v souborech a fotografiích. Pamatujte, internet nikdy nezapomíná.

Naučte se nahlašovat škodlivý obsah nebo podvodné aktivity

Pokud narazíte na podezřelé e-maily, falešné webové stránky, nenávistný obsah nebo kyberšikanu, pomozte chránit internetové prostředí tím, že to nahlásíte. Mnoho platforem umožňuje označit škodlivý obsah. Buď k tomu můžete využít prostředky, které nabízí přímo dané služby, ať už e-mailový klienti nebo sociální sítě. Pokud se to stane na vašem pracovním počítači či e-mailu, pak můžete využít svého správce sítě. V neposlední řadě v případě dětské pornografie, dětských erotických či jinak nepatřičných obrázků a kybergroomingu se s důvěrou obraťte na naše kolegy z hotlinky STOPonline.cz.

Zdarma – na internetu to nemusí být výhra

Naučte se jednoduchou pomůcku. Nikdo vám na internetu nedá nic zadarmo a pokud ano, je to nejspíš podvod. S touhle radou se můžete vyhnout spoustě dnešních podvodů, ať už to jsou podvodné e-shopy, kde je veškerý sortiment se slevou například 80 %. Nebo například extrémně výhodná investice zaručující až 300% návratnost během krátké doby. Phishingové stránky napodobující banky či státní orgány, či přepravní společnosti informující o nevyzvednuté zásilce. Vždy se zamyslete jestli je to opravdu reálné, a pokud si nejste jistí, tak se radši poraďte s rodinou či kamarády.

Co dalšího?

Jakákoliv aktivita, kterou byste se mohli zapojit do Dne bezpečnějšího internetu je vítaná, fantazii se meze nekladou.

Bezpečný internet začíná u každého z nás. Ať už se rozhodnete rozšířit své znalosti, zabezpečit své účty, nahlásit škodlivý obsah nebo se zapojit do diskuze, každý krok se počítá. Budeme rádi, když s námi budete vaši aktivitu sdílet na sociálních sítích, nezapomeňte přidat hashtagy #SID2025 #SaferInternetDay #SaferInternetDay2025.

Za odbornou korekturu děkuji Pavlovi Baštovi a Petru Špringerovi.

Den bezpečnějšího internetu není jen záležitostí jednotlivců, ale i firem. Každá podnikající osoba nese odpovědnost nejen za ochranu vlastních dat, ale také za bezpečnost zaměstnanců a zákazníků. Využijte tuto příležitost k posílení kybernetické bezpečnosti a k šíření osvěty. Zapojte se do Dne bezpečnějšího internetu.

Podpořte zaměstnance – školení o bezpečnosti na internetu, ochraně dat a digitální wellbeing

Každý zaměstnanec pracující s firemními systémy a daty by měl mít základní povědomí o kybernetické bezpečnosti. Hackerské útoky, phishingové e-maily nebo úniky dat mohou mít pro firmu fatální důsledky, stejně tak i digitálně přetížený zaměstnanec.

• Zorganizujte školení o kybernetické bezpečnosti – Pozvěte odborníka, který zaměstnancům ukáže reálné scénáře kybernetických hrozeb a naučí je, jak jim předcházet.
• Proveďte interní audit bezpečnostních návyků – Jak zaměstnanci spravují hesla? Mají dostatečné povědomí o phishingu?
• Vytvořte interní bezpečnostní manuál – Stručný průvodce se základními pravidly bezpečného chování v online prostředí může být cenným zdrojem pro všechny zaměstnance.
• Simulujte phishingové útoky – Otestujte zaměstnance prostřednictvím simulovaných podvodných e-mailů a poskytněte jim zpětnou vazbu o tom, jak je rozpoznat.
• Wellbeing a digitální rovnováha – Jak dlouhodobé používání sociálních sítí ovlivňuje naši pohodu, jak si nastavit zdravé hranice a kdy je čas na „digitální detox“.

Odpovědnost správců sítí aneb Hlaste bezpečnostní incidenty

Kybernetická bezpečnost není jen o prevenci, ale i o rychlé reakci na potenciální hrozby. Pokud spravujete firemní síť, je důležité vědět, kam se obrátit v případě bezpečnostního incidentu. Národní CSIRT tým poskytuje možnost nahlásit kybernetické útoky a pomoci s jejich řešením. Včasná reakce může minimalizovat škody a zabránit dalším útokům.

Sdílejte tipy s odběrateli – osvěta o bezpečném používání internetu

Jako firma můžete využít Den bezpečnějšího internetu k tomu, abyste vzdělávali své zákazníky a klienty. Všichni ocení, když jim poskytnete užitečné informace o ochraně jejich účtů a dat.

• Jak můžete informovat zákazníky?
• Blogové články – Napište příspěvek o nejčastějších hrozbách a jak se jim vyhnout. Například: „Jak chránit svůj účet před hackery?“ nebo „5 tipů, jak nakupovat online bezpečně“.
• Newslettery – Pošlete zákazníkům e-mail s jednoduchými tipy na zabezpečení jejich online účtů nebo informací o tom, jak jste zvýšili bezpečnost.
• Sociální sítě – Sdílejte infografiky nebo krátká videa s praktickými radami, co dělat a na koho se ve firmě obrátit, pokud dojde k nějakému bezpečnostnímu incidentu. Pokud provozujete e-shop, informujte zákazníky o tom, jak poznat bezpečnou platební bránu a na co si dát pozor při online platbách.

Díky těmto krokům nejenže posílíte důvěru, ale také přispějete k celkovému zvýšení bezpečnosti v online prostředí. Pamatujte si, že investice do vzdělávání zaměstnanců, osvěta odběratelů a neustálé zlepšování bezpečnostních opatření pomáhají nejen snížit rizika, ale také se vám tisíckrát vrátí.

Ať už se vydáte jakoukoli cestou, budeme rádi, když všechny výstupy z jednotlivých částí nasdílíte třeba na webu nebo na sociálních sítích a přidáte hashtagy #SID2025 #SaferInternetDay #SaferInternetDay2025.

Za odbornou korekturu děkuji Pavlovi Baštovi a Petru Špringerovi.

Školy hrají zásadní roli v edukaci dětí a mládeže v oblasti bezpečnosti na internetu. Online svět je pro žáky a studenty přirozeným prostředím, ale často si neuvědomují rizika, která jim hrozí nejen v podobě kyberútoků/šikany, ale také dlouhodobých dopadů na jejich digitální stopu a duševní pohodu. Den bezpečnějšího internetu je skvělou příležitostí, jak zvýšit povědomí o kybernetických hrozbách a naučit žáky, učitele i rodiče, jak se chovat zodpovědně, jak si udržet zdravou rovnováhu mezi online a offline světem. K jednotlivým aktivitám můžete využít materiály z webů Safer Internet Centrum, které nabízejí videa a pracovní listy, knihy, apod. A teď od slov k činům. Co myslíte, jaký program by vaše škola mohla letos vyzkoušet? Inspirovat se můžete níže.

Pořádání workshopů, přednášek a besed

Pořádání workshopů a přednášek pro žáky, rodiče a pedagogy je už tak trochu samozřejmost, ale nikdy neškodí je připomenout. Školy mohou zorganizovat akce na témata kybernetická bezpečnost, digitální stopa nebo třeba wellbeing:

• Workshop o kybernetické bezpečnosti – Jak poznat podvodné e-maily, jak nastavit silná hesla, co je to kyberšikana a jak se proti ní bránit.

• Přednášku s odborníky – Pozvěte odborníka na internetovou bezpečnost

• Simulaci phishingových útoků – Učitelé mohou připravit ukázky podvodných zpráv, které žáci musí odhalit a vysvětlit, proč jsou nebezpečné.

• Zorganizovat školení pro pedagogy – Jak řešit případy kyberšikany, jak poznat, že je žák v online prostředí ohrožen, jak učit bezpečné digitální návyky.

• Poskytnout učitelům metodické materiály – pracovní listy, které mohou využít ve výuce.

• Zapojit kybernetickou bezpečnost do běžné výuky – Například při hodinách informatiky, občanské výchovy nebo mediální výchovy.

• Uspořádat besedu pro rodiče – Jak nastavit rodičovskou kontrolu, jak s dětmi mluvit o bezpečném chování online, jak chránit rodinné soukromí na internetu.

• Digitální stopa a soukromí – Jaké informace o sobě děti nevědomky sdílí, jak se mohou chránit a proč je důležité přemýšlet nad tím, co zveřejňují.

• Wellbeing a digitální rovnováha – Jak dlouhodobé používání sociálních sítí ovlivňuje naši pohodu, jak si nastavit zdravé hranice a kdy je čas na „digitální detox“.

Projektový den / týden na téma „Bezpečný internet“

Tematický den nebo celý týden zaměřený na bezpečné chování na internetu je skvělou příležitostí, jak žákům přiblížit důležitá pravidla kybernetické bezpečnosti hravou a interaktivní formou. Může být součástí běžné výuky nebo jej mohou organizovat vychovatelky ve školní družině jako týdenní projekt s různými aktivitami.

Jak může tematický den / týden vypadat?

1. Základy bezpečnosti na internetu
Diskuze o bezpečných heslech, dvoufázovém ověření a ochraně soukromí. Workshop o správném nastavení soukromí na sociálních sítích.

2. Kyberšikana a její prevence
Skupinové práce na téma kyberšikana – jak ji rozpoznat a jak se bránit. Promítání dokumentu o kyberšikaně a následná diskuze (dostupné na webu Safer Internet Centra).

3. Online podvody a manipulace
Simulace phishingového útoku – studenti musí odhalit podvodné e-maily a stránky. Analýza skutečných případů internetových podvodů.

4. Wellbeing v digitální době
Diskuse na téma jak rozpoznat, kdy trávíme online příliš času a o dopadu sociálních sítí na naši psychiku. Praktické tipy na „digitální detox“ – jak si nastavit pravidla pro používání technologií, aby nám sloužily a neubíraly nám energii.

5. Tvorba edukačních materiálů
Žáci mohou vytvářet plakáty, videa, školní noviny nebo komiksy na téma bezpečnosti na internetu. Když to rozebereme:

• Plakáty o kybernetické bezpečnosti – Třídy mohou vytvořit informační plakáty s tipy, jak chránit osobní údaje, jak se bránit kyberšikaně nebo jak rozpoznat falešné profily na sociálních sítích.
• Krátká edukační videa – Žáci mohou natočit vlastní scénky, které ukazují nebezpečné situace na internetu a jak je správně řešit. Mohou například zahrát, jak vypadá phishingový telefonát, a vysvětlit, proč by neměli sdělovat své osobní údaje.
• Komiksy nebo infografiky – Kreativní žáci mohou vytvořit komiksy nebo jednoduché infografiky s tipy na bezpečné chování online.
• Školní noviny nebo blog – Škola může vydat speciální edici školních novin s tematickými články o bezpečnosti na internetu, nebo vytvořit online blog s příspěvky studentů na toto téma.

5. Soutěžní den a shrnutí týdne

Velký kvíz nebo soutěž mezi třídami nebo třeba prezentace výstupů žáků a vyhlášení nejlepších projektů.

Ať už se vydáte jakoukoli cestou, budeme rádi, když všechny výstupy z jednotlivých částí pak vystavíte ve škole a na webu či sociálních sítích školy a přidáte hashtagy #SID2025 #SaferInternetDay #SaferInternetDay2025.

Za odbornou korekturu děkuji Lucii Kosové.

Poslanecká sněmovna na své lednové schůzi učinila mírné pokroky v mezích zákona při projednávání návrhů zákona dotýkajících se digitálního světa. Tentokrát měl návrh zákona o kybernetické bezpečnosti větší štěstí než návrh zákona o digitální ekonomice z dílny Ministerstva průmyslu a obchodu.

Návrh nového zákona o kybernetické bezpečnosti prošel v úterý 21. ledna druhým čtením a nyní míří zpět do garančního Výboru pro bezpečnost, který k pozměňovacím návrhům zaujme stanovisko a doporučí nebo nedoporučí je ke schválení. Během druhého čtení byly načteny také dva nové pozměňovací návrhy paní poslankyně Vladimíry Lesenské (SPD). Oba pozměňovací návrhy upravují problematiku ukládání osobních údajů občanů České republiky. Přísnější verze této úpravy zakazuje ukládání nebo přenos osobních údajů občanů České republiky mimo území České republiky. Mírnější verze umožňuje ukládání těchto dat i na území jiného státu, pokud je NÚKIB udělena výjimka, nebo se jedná o data neosobního charakteru. Ukládání osobních údajů občanů České republiky spravované státem, veřejnoprávními subjekty nebo jejich dodavateli musí být ukládány na datových úložištích fyzicky umístěnými v České republice nebo jsou ve výhradní správě subjektů podléhajících právnímu řádu České republiky (nebo právnímu řádu některého ze států Evropské unie (v mírnější variantě)).

Jedná se o poměrně revoluční a bohužel ne nejlépe napsaný pozměňovací návrh, který vyvolává spoustu otázek. Například u povinnosti stanovené v odstavci 1 (ukládání osobních údajů občanů České republiky spravované státem, veřejnoprávními subjekty nebo jejich dodavateli na datových úložištích fyzicky umístěných v České republice NEBO která jsou ve výhradní správě subjektů podléhajících právnímu řádu České republiky) není spojka nebo použita ve vylučovacím významu. Znamená to tedy, že pokud bude splněna podmínka výhradní správy subjektem podléhajícím právnímu řádu České republiky, nemusí být datová úložiště uložena v České republice? Jak to bude s daty českých občanů na českých ambasádách v zahraničí? Jedná se sice o exteritoriální území, ale toto území stále zůstává integrální částí hostující země.

Přísnější varianta v odůvodnění uvádí: „Ani na území Evropské unie nelze vyloučit riziko změny poměrů v jednotlivých členských státech, jako je válečný konflikt, změna politického režimu nebo oslabení standardů ochrany dat. Tento návrh tedy posiluje národní bezpečnost a chrání citlivá data před potenciálním zneužitím.“ Otázkou je, pokud by válečný konflikt přišel do Česka, nebylo by lepší, aby klíčová data (třeba katastr nemovitosti) státu byla zálohovaná mimo ohnisko tohoto konfliktu?

Pokud by byl tento návrh schválen, měl by NÚKIB ve spolupráci s Úřadem pro ochranu osobních údajů vydat metodické pokyny k implementaci těchto povinností do tří měsíců od nabytí účinnosti tohoto zákona a subjekty, které ukládají osobní údaje mimo území České republiky, jsou povinni do jednoho kalendářního roku od nabytí účinnosti zajistit přesun těchto dat na úložiště na území Česka (nebo požádat o výjimku (v mírnější variantě)). A co se stane, když tak neučiní? Nic, zhola nic. Návrh nepracuje se sankcemi, jen v odůvodnění říká, že „pokud bude tento pozměňovací návrh přijat, je vhodné při dalších úpravách s odbornou veřejností prodiskutovat možnost zavedení a výši sankcí v případě nedodržení těchto pravidel.“

Na právě proběhnutém CSNOGu, setkání poskytovatelů přístupu k internetu, provozovatelů telekomunikačních sítí, registrátorů domén, provozovatelů počítačových sítí a technických nadšenců, které organizují sdružení CZ.NIC, NIX.CZ a CESNET, zástupce NÚKIB prezentoval aktuální stav projednávání návrhu zákona (optimisté stále věří v účinnost od 1. července 2025) a připravovaných prováděcích předpisů. V brzké době se tak můžeme těšit (nebo děsit dle libosti každého) z meziresortního připomínkového řízení k návrhům vyhlášek.

Na plénu se také projednával návrh zákona o digitální ekonomice. Bohužel opozice začala tento návrh, který adaptuje Akt o digitálních službách (DSA), rámovat jako „pokus Bruselu omezovat naší svobodu slova.“ Po představení návrhu panem ministrem průmyslu a obchodu Lukášem Vlčkem a po zpravodajské zprávě se s přednostním právem přihlásil do obecné rozpravy právě zpravodaj pan poslanec Marek Novák, který ve svém vystoupení obvinil navrhovaný zákon, že obsahuje ustanovení, která dávají státním institucím a technologickým gigantům velmi rozsáhlé pravomoci v oblasti regulace obsahu na internetu.

„Tato opatření jednoznačně vytvářejí prostor pro cenzuru a zneužití moci. Kdo bude rozhodovat o tom, co je dezinformace? Český telekomunikační úřad, který má na toto vymezeno cirka 17 pozic? Nemyslím si.“ V závěru svého dlouhého vystoupení podal zpravodaj procedurální návrh na přerušení projednávání zákona do 21. května 2025, aby byl dostatek času zahájit jednání o revizi DSA na půdě EU. Po sérii procedurálních protinávrhů podaných s cílem zajistit většinu vládní koalice v sále bylo hlasováno o návrhu pana poslance Cogana přerušit projednávání návrhu do 28. ledna 2025 do 14:00. Pro nakonec hlasovalo 139 poslanců ze 146. Do té doby se samozřejmě nic na půdě EU projednat nestihne, ale zákonodárci budou mít čas si přečíst DSA a zjistí, že tam žádné potírání dezinformací není. Pravidla DSA obsahují mechanismus nahlášení nezákonného obsahu. Ne jakéhokoliv obsahu, ale pouze takového, který je nezákonný (např. dětská pornografie). Naopak pokud platforma, subjekt regulovaný DSA, udělá chybu, lze se proti smazání příspěvku odvolat, využít mimosoudní řešení sporů či soudu. Ke zvýšení transparentnosti v chování velmi velkých platforem (typu Facebook, X) má přispět jejich nová povinnost posuzovat rizika, která jsou s jejich službou spojena a případně následně přijmout opatření pro jejich zmírnění. Blokovat přijetí návrhu zákona o digitální ekonomice s argumentací boje proti cenzuře je střelbou na falešný cíl.

V systému Poslanecké sněmovny jsou k tomuto návrhu nahrány tři pozměňovací návrhy. Dva pozměňováky pana poslance Adamce cílí na snížení stropu sankcí za přestupky související s šířením obchodních sdělení a za porušení povinností vycházejících z nařízení o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online na částku 10 mil. Kč.

Rozhodně zajímavější je pozměňovací návrh dua poslanců Karla Haase a Martina Baxy, který se snaží do českého právního řádu uvést institut tzv. dynamických blokovacích příkazů. Cílem tohoto nástroje má být „zamezení opakovanému porušování práv na různých místech na internetu“. Slovy odůvodnění „Dynamické blokovací příkazy tak účinně řeší i případy, kdy se bezprostředně po vydání rozhodnutí zpřístupní obsahově prakticky stejná internetová stránka s jiným doménovým jménem a/nebo jinou IP adresou. Jinak řečeno, na rozdíl od „obyčejných“ blokovacích příkazů, které se vztahují pouze na taxativně vymezený výčet internetových stránek s protiprávním obsahem identifikovaných v přítomnosti a minulosti, které se přesně vymezují v návrhu na nařízení předběžného opatření či v žalobě, dynamické blokovací příkazy se vztahují i na ta stránky, IP adresy či jiná místa, které v době vydání rozhodnutí soudu nejsou, a ani nemohou být identifikována (neboť ještě nevznikla).“

Navrhovatelé předpokládají, že poskytovatel připojení bude blokovat protiprávní obsah ve spolupráci s držitelem autorských práv, který jej bude o výskytem protiprávního obsahu informovat (automatizovaným sdílením notifikací o výskytu protiprávního obsahu on-line v reálném čase). „Tuto faktickou spolupráci není třeba svazovat právní úpravou, neboť se děje v rámci soukromoprávních vztahů a obě strany jsou k ní motivovány samy od sebe“. A to je právě jen z problémů tohoto pozměňovacího návrhu. Text návrhu zákonného ustanovení rozhodně neobsahuje jasný legální popis chtěného chování, který je popisován v odůvodnění. Což je pro adresáta normy – poskytovatele přístupu k internetu – nejasné, zmatečné a zneužitelné.

Stane se vám, že chcete smazat zálohu složky, ale co čert nechtěl, nejste si jisti, zda se v ní přeci jen omylem nenachází nějaký zapomenutý originál. Synchronizér složek nelze použít, soubory se válí porůzně rozesetý – jeden skončil v složce backup, druhý ve složce archiv a kdo ví, co všechno je v šestigigové složce lze_smazat. Máte dvě možnosti. První, kterou zvolí většina lidí, je nechat zálohu navždy válet na disku. Druhá je použít program na odstranění duplikátů. Jedním z takových je deduplidog. Co umí a čím se liší od dalších deduplikačních softwarů? Pojďme se podívat, jak vypadá.

Bezpečná složka originálů

Nastavíme --original-dir jako bezpečné místo našich originálů, vůči kterým porovnáváme a s kterými se nic nesmí stát, a jako akci zvolíme --rename, přejmenování. Program proleze nejprve originály, nacachuje si je a porovnává s nimi jeden soubor za druhým v pracovní složce (té, která je podezřelá na výskyt duplikátů).

deduplidog --work-dir folder1 --original-dir folder2 --rename

Výsledek rychlé analýzy.

V každém okamžiku program vypisuje, co se děje. Zde hlásí, že se hledají soubory s totožným jménem, datem a velikostí, ale nekontrolují se vadné sektory na disku.

Co s nalezenými soubory? Máme na výběr soubory buď odstranit, nahradit symlinkem, nebo přejmenovat. Ale i pokud jednu z akcí zvolíme, ve výchozím nastavení se nestane nic. Spustí se jen běh na prázdno. Až kdybychom zde k --rename připsali přepínač --execute, duplikované soubory by se přejmenovaly – před jejich jméno by se doplnil znak fajfky, aby bylo jasné, že tyto soubory byly označeny za duplikáty.

A žádný strach, případný již dříve existující soubor s fajfkou by přepsán nebyl, smyslem přejmenovávání je, aby nedošlo ke ztrátě dat, ani datové struktury. Duplikáty pak snadno naleznete příkazem find . -name "✓*".

Ještě bezpečnější možností je --inspect, kde program pouze vypíše seznam příkazů na řešení duplikací. Ty můžete po uvážení spustit sami.

Akce --inspect nám generuje příkazy pro bash.

V GUI okně jsme informováni, podle čeho se hledá – opět se jedná o rychlé hledání bez kontrolních součtů crc32.

Přepínač –inspect nám na obrazovku či do souboru vypsal všechny akce, které si můžeme pustit sami, abychom měli změny plně pod kontrolou. Zde je dog1.jpg jediný podezřelý soubor ze šesti možných a jeho přejmenováním, to je ten řádek s příkazem mv -n ..., ušetříme 42 kB.

Vyhledávání obrázků

Silnou stránkou programu je prohledávání podobných médií – obrázků a videí. Pomůže v situaci, kdy jste obrázky zmenšili (nebo stáhli z webu) a nyní si chcete nechat pouze originály v původní kvalitě. Slouží pro to přepínač --media-magic, který způsobí, že se nehledí k velikostem ani datům souboru – vždyť zmenšený obrázek má (skoro) vždy menší velikost. A pokud se změnil jeho formát z avif na jpg, nemůžeme spoléhat ani na jméno, proto se nezohledňuje ani přípona. Program každému obrázku se spočítá hash hodnotu, přes kterou odhaduje podobnost obsahu s jinými soubory.

V následujícím případě připojíme --accepted-img-hash-diff, aby práh podobnosti byl tolerantnější. A pojďme dat ještě parametr --ignore-name, díky čemuž program odhlédne i od jmen souborů. Porovná tak každý s každým, takže odhalí stejný obrázek v souborech jiných názvů, dog2_smaller.jpg a dog2.jpg.

deduplidog --media-magic --accepted-img-hash-diff 3 --ignore-name --replace-with-symlink

Deduplidog umožňuje rozpoznat zmenšené obrázky či videa překonvertovaná do jiného formátu. Nesrovnalosti

Jak vidíte, program po spuštění nezačne zběsile promazávat váš disk, nalezené změny vám podává jednu po druhé. K tomu slouží přepínač --confirm-one-by-one, který je ve výchozím nastavení zapnutý. Máte tak čas si rozmyslet, zda před sebou máte opravdový duplikát, nebo falešný nález. Program navíc aktivně hledá nesrovnalosti, jež byste mohli ocenit. Pokud je velikost údajného duplikátu větší nebo má starší časové razítko, vyvolá se varování a místo tlačítka Yes na potvrzení změny se vám nabídne No, aby nedošlo k mylnému zásahu.

Časová tolerance

Vyvoláte-li nápovědu pomocí --help, program na vás zaňafá několika zajímavými vlastnostmi. Jednou z nich je přepínač --tolerate-hour. Při přesouvání mezi souborovými systémy a letním časem se v praxi často stane, že soubory skončí posunuty o hodinu. Díky deduplidogu stále porovnáváte soubory, které mají (např.) stejné jméno a čas, ale ten čas už se může o hodinku dvě lišit.

Různá rozhraní

Protože využívá mininterface, běží jak z příkazové řádky, tak v terminálu, tak i v grafickém rozhraní. Předvyplňování v terminálu lze nainstalovat prostým deduplidog --integrate-to-system.

Jestli ještě nemáte svůj oblíbený deduplikátor, dejte šanci našemu pejskovi.

Počátek nového roku je obdobím, kdy si stanovujeme nové vize, cíle a často plánujeme, co by v uvedeném roce šlo začít nově, jinak, co zlepšit či změnit. Mnoho lidí, již když „Vánoce, Vánoce odcházejí“, vyrazí nejen vstříc posilování těla – sportovištím a fit-centrům, ale vytváří si například i nejrůznější wish boardy toho, co by v uvedeném roce chtěli prožít či podniknout. V pracovním prostředí se také často řeší roční plány v návaznosti na bilance z předchozího roku. Celkově je to tedy prostor pro nové začátky.

Rok 2025 přináší mnoho příležitostí i výzev v oblasti internetové i kybernetické bezpečnosti, stejně tak jako v oblasti digitálního vzdělávání.

Jednou z klíčových událostí, která nás v brzké době čeká, je Den bezpečnějšího internetu, jenž připadá na 11. 2. 2025. Tento den i měsíc představuje ideální příležitost, jak zapojit všechny generace do společné kampaně i debaty o tom, jak se na internetu pohybovat co nejbezpečněji a nejzodpovědněji.

Technologie se vyvíjejí neuvěřitelně rychlým tempem a rok 2025 slibuje opět nové výzvy v oblasti kvantových počítačů, umělé inteligence, digitalizace, SMART technologií i přístupů. Tyto pokroky nabízejí řadu příležitostí, například další deep učení i rozvoj vzdělávání prostřednictvím digitálních nástrojů, které umožňují efektivnější a interaktivnější výuku. Virtuální realita či simulace mohou napomoci například s tréninkem odborných dovedností a praxe, zatímco umělá jazykové modely a AI personalizovaná prostředí i aplikace dokážou zrychlit i zefektivnit zprostředkovávání obsahů pro tyto procesy učení.

Internet navíc poskytuje platformu pro sdílení jak znalostí, tak i zkušeností mezi mladšími i staršími generacemi, čímž podporuje mezigenerační propojení. Digitalizace také usnadňuje start pokročilejších možností i efektivních projektů v nejrůznějších odvětvích – obchodu, službách, e-govermentu.

S příležitostmi přicházejí i nové a nové výzvy. Digitální svět nás nutí řešit otázky spojené s digitální identitou i stopou, prevencí před šířením pornografie a nelegálního obsahu, zneužíváním, kyberšikanou, násilím i agresí. Stejně tak ochrana i bezpečností dat je stále klíčová součást prevence před podvodnými jednáními, kterých bohužel neubývá. V oblasti prevence a osvěty proto tedy není práce téměř nikdy skončena. Pro efektivitu chodu celého ekosystému je nutno neúnavně vytvářet rovnovážný prostor pro vzdělávání a inovace reagující na nové technologie i učící se procesy.

I přes značné možnosti prevence, vzdělávání i osvěty nejsme stoprocentně rezistentní a tím pádem nemusíme být vždy schopni dokonale ochránit svůj kyber-bezpečnostní perimetr. Problém mohou představovat také generační rozdíly, kdy mladší generace mají k internetu a technologiím snazší přístup, zatímco starší lidé se mohou potýkat nejen s předsudky a nepochopením, ale i s nižší schopností využití škály, které dnes technologie nabízejí. Každá generace upřednostňuje jiný obsah a je schopna pojmout různorodou úroveň technologických inovací. Z tohoto důvodu stále existují digitální nerovnosti i propasti.

Den bezpečnějšího internetu se společným mottem více než 180 zemí světa zní: „Společně pro lepší internet.“ V České Republice můžeme tuto vizi i misi posílit i o dlouhodobě udržitelný rozměr budování digitální důvěry a odolnosti napříč generacemi. Den bezpečnějšího internetu nám prvořadě připomíná potřebnost a důležitost odpovědného chování na internetu.

Pro jednotlivce, rodiny i školy je to tedy ideální příležitost uspořádat společné aktivity, kde se rodiče i děti naučí základům bezpečného pohybu v online prostředí. Školy mohou do výuky zařadit témata kyberbezpečnosti i kyberprevence a využít interaktivní nástroje k přiblížení tematiky již
i nejmenším dětem, žákům a studentům. Pro seniory jsou vhodné vzdělávací prezentace i workshopy, které jim pomohou se lépe i prakticky orientovat v digitálním světě.

Každý z nás si může vytvořit svůj vlastní wish board „bezpečnějšího internetu a networkingu“ v této oblasti. Začátek roku 2025 je proto skutečně tím nejlepším odrazovým můstkem, abychom mohli udělat opět o krok víc směrem k odpovědnějšímu i bezpečnějšímu internetu. Ať už jsme děti, dospělí, rodiče, senioři, odborníci, širší veřejnost, každý z nás můžeme přispět pomoci budovat takové internetové prostředí, které je bezpečné a přínosné pro všechny.

Digitální a informační agentura (DIA) rozeslala do meziresortního připomínkového řízení materiál s názvem „Preferovaná varianta realizace evropské peněženky digitální identity“. Česká republika jako členský stát EU má povinnost na základě revidovaného nařízení eIDAS, které nabylo platnosti 20. května 2024, zajistit poskytování alespoň jedné evropské peněženky digitální identity (EUDIW) a to do konce roku 2026. Je proto logické, že gestor „nařízení eIDAS 2“ (DIA) začíná diskuzi o způsobu adaptace povinnosti z nařízení v českém prostředí.

EUDIW má umožnit občanům v EU snadno a bezpečně prokazovat svou identitu a další údaje online (funkce dnešní elektronické identity) i offline (v Česku funkce tzv. eDokladů). To by mělo zahrnovat přístup k vybraným digitálním službám, například při založení bankovního účtu, podepisování dokumentů nebo při cestování. Pro české uživatele přibude jedna nesporná výhoda, že se zbaví zmatečné terminologie eObčanka vs eDoklady (případně eDokladovka ve verzi prototypu).

Podle DIA bude EUDIW rozšířením konceptu dnes existujících digitálních dokladů na celoevropskou úroveň. Zatímco eDoklady slouží výhradně pro národní účely a umožňují ukládání a sdílení digitálních verzí dokladů pro prezenční prokázání totožnosti, EUDIW nabídne možnost přeshraničního využití a přístup k širokému spektru služeb v celé EU online, případně prezenčně, kde to bude možné. EUDIW bude také vybavena pokročilejšími bezpečnostními funkcemi a širšími možnostmi pro elektronickou identifikaci a autentizaci.

Předkládaný materiál edukativně shrnuje přínosy EUDIW pro občany, veřejnou správu a soukromé subjekty. Mezi tyto výhody patří snadný přístup ke službám v rámci EU, lepší ochrana osobních údajů, podpora rozvoje digitálních služeb a prevence podvodů, snížení nákladů na ověřování a s tím související evropské řešení pro prokazování totožnosti, které by umožňovalo nepoužívání služeb třetích (neevropských) stran.

O jakých variantách tedy vláda bude rozhodovat? DIA předkládá tři varianty zajištění klientské části a při pozorném čtení materiálu se zdá, že samotná agentura neměla v průběhu přípravy materiálu úplně jasno, která z variant má být tou preferovanou. DIA v materiálu porovnává výhodnost variant, kdy poskytovatelem klientské části EUDIW je

a) stát,

b) soukromý subjekt formou koncese,

c) subjekt s majetkovým podílem státu.

Varianta, kdy poskytovatelem EUDIW je přímo stát, je sice hodnocena jako cenově nejméně výhodná, nicméně tato cena je vykoupena faktem, že všechny součásti peněženky jsou provozovány státem a jsou pod jeho plnou kontrolou. Stát bude odpovědný nejen za správu identit, ale také za provoz bezpečnostních systémů a technickou infrastrukturu. Chybějící know-how v dané oblasti by stát musel řešit pomocí dodavatelů.

Druhou variantu, kterou DIA předkládá, je model koncese, kdy soukromý subjekt získá za předem stanovených podmínek v režimu zákona o zadávání veřejných zakázek koncesi a poskytuje tak EUDIW z pověření členského státu. Česko by tak pověřilo soukromou firmu vývojem a provozem digitální peněženky EUDIW výměnou za právo spravovat systém pro předem definovanou dobu. Součástí podmínek by bylo právo realizovat komerční příjmy ze souvisejících činností. Poskytovatel služby by sice nesl provozní riziko, ale inkasoval by platby od uživatelů za službu, kterou poskytuje. Podle DIA by si stát nechal kontrolu nad právními, bezpečnostními a legislativními aspekty, zatímco soukromý poskytovatel by nesl náklady na vývoj, technickou správu, inovace a každodenní provoz.

V případě, že by poskytovatelem byl subjekt s majetkovým podílem státu, tedy zvažovaná třetí varianta, by spolupráce byla postavena na IPPP modelu. Toto institucionální zakotvení by tvořil nový subjekt s majetkovou účastí státu a soukromého kapitálu. DIA výslovně uvádí, že by se nejednalo o státní podnik. Obchodní společnost, ve které by měl stát majetkovou účast a významné rozhodovací právo v podobě obdoby tzv. zlaté akcie, ve které by stát poskytl závazek provozu na 10 let, zatímco soukromý sektor by dodal počáteční investici a know-how pro EUDIW. Výhodou této varianty by bylo doplnění dlouhodobé stability, kterou by poskytl stát, výhodami technologických inivací ze soukromého sektoru. Jako nevýhodu této varianty DIA uvádí, že model IPPP není v Česku příliš prozkoumán a není jasný právní rámec pro jeho realizaci. Podle DIA je tento model cenově nejvýhodnější (byť v další části materiálu DIA uvádí, že „nákladový rozdíl mezi variantou KONCESE a SPOLEČNÝ PODNIK není dle této analýzy významný, nicméně může být ovlivněn na jedné straně soutěží v rámci koncesního řízení, na druhé straně ochotou akceptovat přísné, státem stanovené podmínky pro vstup do společného podniku.“).

Při srovnání cenových kalkulací staví proti sobě DIA koncesní model a model „stát“. Varianta společný podnik není posuzovaná zřejmě z důvodu tvrzení, že tato varianta je limitovaná kvůli časovému aspektu a stávající legislativní rámec. V kalkulaci tak model koncese vychází rozpočtově na 84 mil. v roce 2025 (150 mil. na konzultační a odborné IT služby je zajištěno) a 402 mil. v roce 2026. Státní model vychází na 430 mil. v roce 2025 a 769 mil. v roce 2026. Od roku 2027 DIA předpokládá roční provozní náklady v koncesní variantě ve výši 351 mil. Kč (z toho 328 mil. Kč má tvořit poplatek koncesionáři) vs 282 mil. Kč ve variantě, kdy je provozovatel stát. Bližší rozpad nákladů bohužel materiál nenabízí.

Obr. č. 1: Náklady varianta koncese, zdroj DIA

Obr. č. 2: Náklady varianta stát, zdroj DIA

Pro výsledné doporučení DIA porovnává náklady na dobu pěti let (TCO), ze kterých vychází jako preferovaná varianta koncesní model (1,689 miliardy Kč) oproti státní variantě (2,195 miliardy Kč). Porovnání s náklady na 10 let chybí, stejně jako bohužel chybí alespoň základní parametry koncese. Bude vydávaná na 5 let? 10 let? Jak se bude řešit případný exit držitele koncese z českého trhu? Je také škoda, že materiál vyřadil zcela z posuzování variantu společného podniku, když podle daného modelu by TCO na 5 i 10 let vycházel nejlépe. Nicméně DIA si nechává v materiálu pootevřená zadní vrátka pro variantu „stát“, když připouští automaticky využití této varianty v případě selhání koncesního řízení. Jestli je to míněno jen jako bič pro vyjednávání o podmínkách koncese, nebo je to reálná varianta, se můžeme jen dohadovat.

Zajímavá debata k tomuto materiálu se rozeběhla pod postem Kamila Zmeškala na síti X. V reakci na některé obavy zde DIA vyvrací, že by preferované řešení vedlo k monopolizaci  EUDIW a „nijak neomezuje potenciální možnosti dalších subjektů nabízet vlastní evropské peněženky digitální identity, pokud splní požadované technické, bezpečnostní a certifikační podmínky.“ Formálně je to pravda, ale asi si umíme představit, jak se bude rozhodovat běžný uživatel, babička z Orlických hor, až držitel koncese spustí kampaň, že on je ten jediný, státem pověřený, poskytovatel EUDIW.

Vánoční nákupy jsou v plném proudu a my se honíme za dárky na poslední chvíli. Blížící se konec roku tomu nepřidává – stres roste a obezřetnost občas ustupuje stranou. Když zjistíte, že dárek pro někoho blízkého má zpoždění, snadno podlehnete panice. A právě v takových chvílích mají podvodníci šanci. Umí využít naší nepozornosti a nalákat nás do pasti. Dnes se podíváme na konkrétní případ, který nám přistál ve frontě.

Ohlášení incidentu

Nahlašovatel nám poslal screenshot SMS zprávy, která informovala o zpoždění doručení zásilky kvůli nezaplacenému clu. V SMS byl uveden odkaz vedoucí na URL adresu, která zkracovačem přesměrovávala na aplikaci napodobující přihlašovací portál České pošty.

Na dané doméně jsme objevili ”Index of”, odkud se nám podařilo stáhnout zdrojový kód phishingové stránky ještě před jejím odstraněním. Díky tomu jsme dostali jedinečnou příležitost nahlédnout pod pokličku útočníků analyzovat metodiku útoku. Phishingová stránka nebyla nijak sofistikovaná – šlo o jednoduché HTML dokumenty vizuálně připomínající stránky České pošty. Přiznejme si, šikovný deváťák s ChatGPT by něco takového zvládl vytvořit za jeden večer.

Úvodní SMS nás vyzývá k zaplacení cla v hodnotě 67,28 Kč. To není mnoho, a vzhledem k tomu, že podobné podvody mají úspěšnost odhadem v řádu procent, je jasné, že výdělek z jedné takové kampaně není nijak závratný. Skutečný zisk ale leží jinde. Pojďme si rozebrat, jak tento podvod funguje.

Analýza útoku

Phishingová aplikace je postavená na několika formulářích. První z nich žádá uživatele o zadání osobních údajů, jako je adresa, datum narození a kontaktní informace. Ze zdrojového kódu víme, že tyto údaje jsou odesílány pachatelům prostřednictvím API na Telegram.

Mezi jednotlivými formuláři se zobrazuje animace, která simuluje zpracování dat. Ve skutečnosti jsou informace už dávno bezpečně odeslané na Telegram.

Další formulář vyžaduje zadání údajů o platební kartě – jméno držitele, číslo karty a její expiraci. Stránka provádí základní kontrolu těchto údajů, například ověřuje správnost čísla karty pomocí Luhnova algoritmu. Pokud by oběť udělala překlep, aplikace by jí zobrazila chybu a požádala o opravu. Podobně se kontroluje, zda expirace karty není v minulosti.

Po odeslání údajů o kartě se uživatel dostane na další stránku, která napodobuje platební bránu. Čekací doba a časový limit mají vytvořit dojem standardního postupu.

Kliknutí na potvrzení platby nám odkryje formulář s polem pro zadání ověřovacího kódu a tlačítek, z nichž jedno se nepodařilo zcela správně přeložit. Anglické slovo “close” sice v češtině znamená “blízko”, ale pro zavření formuláře se hodí více slovo “zavřít”. Toto je krásná ukázka toho, jak je možné phishing rozpoznat. Mnoho anglických slov má v češtině více významů a člověk, který nemluví česky při překládání snadno udělá chyby, které nemá šanci zaznamenat. Žádný česky mluvící vývojář by ale jistě nepoužil pro zavření formuláře slovo “blízko”.

Uživatel je následně požádán o zadání ověřovacího kódu. Proces vyžaduje zadání kódu alespoň třikrát – první dva pokusy vždy skončí „chybou“. To má zajistit, že útočníci dostanou platný kód, protože většina lidí zadá stejný kód vícekrát.

Nabízí se otázka, kde uživatel tento ověřovací kód najde? Odpověď je jednoduchá, přijde mu totiž v SMS po objednávce, kterou za něho vytvořil podvodník.

Než se pustíme dál, pojďme si zrekapitulovat, jaké údaje vlastně útočník má momentálně k dispozici. Adresa, datum narození, email a telefonní číslo. To jsme mu předali v prvním kole. Pro demonstraci, jak by mohl útočník postupovat, si můžeme otevřít libovolný e-shop nabízející platbu kartou. Zde například vidíme proces objednávky v e-shopu datart.cz se zbožím připraveném v košíku. Pachatel tedy může vyplnit formulář s našimi údaji za nás. Tím je první fáze objednávkového procesu dokončena.

Objednávku je ale samozřejmě také potřeba zaplatit. Co s tím?

Kompletní údaje o platební kartě oběť vyplnila ve druhém formuláři společně se svým jménem. Pachatel zadá tyto údaje do formuláře na vybraném e-shopu. To samotné ale pro dokončení nestačí, je potřeba ještě něco. Potvrzovací kód v platební bráně. A právě ten oběť vyplní v aplikaci.

Pachatel si v podstatě nechá poslat kód na telefonní číslo oběti, která mu jej vzápětí pošle přes phishingovou aplikaci. Ne každému může být na první pohled jasné, že kód je vygenerovaný opravdovou platební bránou Visa a bezmyšlenkovitě ho vyplní, a to hned třikrát, aby se předešlo možným překlepům. Útočník dostává na telegram zprávu s platným jednorázovým kódem, zadá jej do platební brány a transakce je dokončena. Objednávka je vyřízena, zaplacena a oběť ani netuší, že právě někoho obdarovala třeba novými hodinkami. Toto je příklad toho, co může vidět podvodník čekající na ověřovací kód.

Reakce

Po nahlášení incidentu jsme okamžitě kontaktovali správce webu s žádostí o odstranění stránky. Phishingová aplikace byla deaktivována během dvou hodin. Sotva jsme stihli získat zdrojový kód k analýze. Druhý den jsme zaznamenali dvě další hlášení na stejnou aplikaci, tentokrát hostovanou na jiné doméně a s využitím Cloudflare. I zde jsme postupovali standardně – kontaktovali Cloudflare a následně správce serveru.

Poučení

Tento případ ukazuje, jak snadno mohou podvodníci využít lidské nepozornosti a vytvořit věrohodně vypadající past. Dávejte si pozor na nevyžádané SMS zprávy nebo e-maily a vždy si pečlivě ověřujte, kam vás odkazy vedou. Gramatické chyby nebo nelogické kroky by měly okamžitě vzbudit vaši pozornost.