Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 6 min 19 sek zpět

Co přinesl poslední marketingový meeting organizace CENTR?

Út, 02/20/2024 - 11:32

Ke konci minulého roku jsme se zúčastnili již 38. workshopu marketingové skupiny CENTR. CENTR je evropská organizace sídlící v Bruselu, která sdružuje evropské registry domén nejvyšší úrovně. Jejím hlavním cílem je podpora registrů a rozvoj jejich standardů, funguje ale také jako komunikační kanál mezi registry a platforma pro sdílení mezinárodních zkušeností. Právě sdílení zkušeností bývá stěžejním bodem setkání marketingové skupiny, v níž mají zastoupení marketingoví specialisté, mezi kterými probíhá výměna poznatků a zkušeností z praxe.

Setkání vždy hostí jeden z evropských registrů. Tentokrát padla volba na švédský Internetstiftelsen, který uspořádal workshop ve svých kancelářích ve Stockholmu. Témata byla tentokrát dvě – typy kampaní a jejich měření. V diskuzích jsme se také dotkli umělé inteligence a jak ji (správně) využít v naší práci. Jako obvykle šlo o dva intenzivní dny plné pozitivní energie a inspirace.

Jednotlivá témata byla rozdělena do několika diskuzních bloků – každý byl vždy uveden praktickou prezentací některého z registrů, poté následovala řízená diskuze. Díky tomuto formátu se museli zapojit opravdu všichni zúčastnění a zároveň to umožňovalo lépe sdílet své nápady a zkušenosti. Ty nejzásadnější jsem shrnula do následujících pěti bodů:

1. Většina registrů se v kampaních zaměřuje na vzdělávání a osvětu v oblasti kyberbezpečnosti nebo digitální gramotnosti.

Podobně jako CZ.NIC se svými osvětovými aktivitami, kterými jsou například výukové seriály pro děti Nauč tetu na netu, Datová Lhota, Alenka v řiši GIFů či Nebojte se Internetu pro seniory, i ostatní registry se zaměřují na vzdělávání těch nejzranitelnějších skupin. Domácí švédský registr představil výukové materiály pro učitele věnující se tématům spojeným s internetem, japonský registr (JPRS) zase prezentoval výukový web https://withponta.jp zaměřený na bezpečnost, rozeznání fake news apod.

2. Pro mnohé z registrů je velkým tématem propagace národních domén.

České prostřední je v tomto specifické a většinu této práce dělají (a dobře) naši registrátoři formou (nejen) co-marketingového programu, který CZ.NIC spolufinancuje. CZ.NIC také již několik let realizuje projekt certifikace registrátorů, který má jednak poskytnout potenciálnímu zájemci o registraci domény .cz informaci o úrovni služeb nabízených jednotlivými registrátory a zároveň pomoci registrátorům navrhovat jejich systémy tak, aby byly pro koncové zákazníky co nejpříjemnější.

Co se týká zahraničních praxí, tak například kanadský registr (CIRA) usiluje rozsáhlými kampaněmi o větší zviditelnění národní domény .ca, oproti globálně užívané .com. Podobně jsou na tom třeba i registry v Portugalsku či Španělsku.

3. Pro správné měření kampaní je potřeba si stanovit cíl, správné metriky a správné nástroje.

V používání některých nástrojů se vzájemně shodujeme, někteří z kolegů ale představili i méně známé nástroje a software. Pro webovou analytiku, měření návštěvnosti a konverzí, k čemuž v CZ.NIC využíváme Matomo, jiní používají Google Analytics, Ahrefs nebo Hotjar. Správu mailingů, kterou u nás svěřujeme do rukou phpListu, jiní dělají v nástrojích Mailchimp, Hubspot nebo Hootsuite. Pro složitější reporting a vizualizaci dat je také stále častěji využíván nástroj Microsoft Power BI.

4. Pro lepší dosah kampaní je vhodné obsah jakkoli přiblížit cílové skupině.

Portugalský registr například spojil síly s populárním cyklistickým závodem Volta, který v Portugalsku sledují desítky tisíc lidí. U nás si můžete pamatovat kampaň Dobrá doména, kterou jsme cílili na malé firmy a živnostníky.

5. Z umělé inteligence je potřeba si udělat spojence do budoucna.

Že je potřeba s umělou inteligencí počítat, už je jasné asi každému z nás. Aby nám ale dobře sloužila, je potřeba se s ní naučit efektivně pracovat. Názory většiny kolegů se shodovaly v tom, že AI bude do roku 2035 hrát významnou roli v oblasti zákaznické podpory nebo marketingu. Někteří kolegové už umělou inteligenci ve své práci aktivně využívají, například jako pomoc při vyhledávání fake news, tvorbě tiskových zpráv a jiných textů nebo jednoduché grafiky. Často je také využívána při tvorbě datových analýz. I u nás v CZ.NIC se samozřejmě s ChatGPT trochu známe, ale grafiku i veškeré texty u nás stále obstarává stará dobrá lidská inteligence.


Rok 2035 a předpověď do budoucna byla vlastně obecně tématem naší závěrečné diskuze. Bude svět stále znát domény a registrátory? Shodli jsme se, že ano – jen domén bude pravděpodobně více, stejně jako registrátorů, kteří budou větší a budou nejspíš také přibývat nebo fúzovat. Jedno je ale jisté, marketingová skupina CENTR bude mít stále shodný cíl – dělat společně dobré jméno doménovým registrům, ať už k tomu vedou jakékoli a jakkoli odlišné cesty.

Kategorie:

Sentinel View report – listopad 2023

Pá, 02/16/2024 - 10:15

Měsíc listopad přinesl několik zajímavých faktů. Írán byl v útocích méně aktivní a na první tři místa se pro změnu dostali útočníci z Rumunska. Během tohoto měsíce se také objevila nová zajímavá IP adresa, která patří útočníkovi z Panamy. U skenování portů s nízkým číslem (porty do 1 023) byl v listopadu zaznamenán rekord pro port 53; nemohli jsme si pomoci a tak jsme se ponořili do těchto údajů hlouběji.

Rozhodli jsme se pro to z několika důvodů. Prvním z nich je skutečnost, že port slouží ke komunikaci s DNS serverem, což je klíčová služba poskytovaná sdružením CZ.NIC. Druhým důvodem je podezřelý nárůst aktivit v porovnání s měsícem říjnem. Samotné nás zajímalo, o co se jedná. DDoS útok využívající k amplifikaci DNS? Špatně nastavený DNS resolver? DNS server nově za firewallem? Ke které možnosti se přiklonit, nám prozradili data z našich sond. Více „obětí“ a jeden útočník by naznačovalo DdoS útok. Malá skupina adres ze stejného subnetu „útočící„ na jednu „oběť“ by odpovídalo teorii, že se jedná o resolver za firewallem. Pokud by se však jednalo o „útočníky“ z celého světa, kteří mají zájem jen o jednu IP, potom by takové chování odpovídalo nejspíše autoritativnímu serveru, který je nově schovaný za firewallem. Jednoduchým dotazem jsme v naší databázi zjistili, že cílem je pouze jedno zařízení. Vypadá to tedy, že se jedná o poslední případ – DNS server za firewallem a každý, kdo u něho zkouší zadat dotaz, skončí na firewallu a u nás v systému jakožto útočník. To způsobuje šum, který bychom měli ignorovat, podobně jako porty BitTorrentu.

Kategorie:

Yubikey na úrovni záruky vysoká a online kvalifikovaný certifikát od Postsignum

Čt, 02/15/2024 - 11:58

Možnost mít MojeID na úrovni záruky Vysoká je jednou ze zásadních vlastností, která tuto službu odlišuje od ostatních digitálních identit. Konkurencí jsou v tomto smyslu pouze čipová karta Starcos od I.CA a čipová karta občanského průkazu. Obě nicméně vyžadují čtečku karet a instalaci obslužného programu do vašeho počítače nebo telefonu. V MojeID máte místo čipové karty jednoduchý USB bezpečností klíč, nepotřebujete žádnou čtečku a ani nemusíte do počítače nic dalšího instalovat. Máme jasného vítěze, že? V nabídce podporovaných USB bezpečnostních klíčů byl dlouho dobu pouze klíč IdemKey od tchajwanského výrobce GoTrust. Toto se nyní mění a MojeID přidává podporu pro vybrané modely z dílny švédské společnosti Yubico. Zároveň se průběžně zvyšuje počet služeb, kde se bez úrovně záruky Vysoká neobejdete a MojeID vám tedy může pomoci. Novinkou je možnost online vystavení kvalifikovaného certifikátu od Postsignum.

Když v roce 2021 služba MojeID získala akreditaci pro úroveň záruky Vysoká, podmínky dohodnuté s Ministerstvem vnitra zahrnovaly použití bezpečnostního klíče certifikovaného FIDO Alliancí na úroveň L2 a zároveň mající dostatečně vysokou certifikaci bezpečnostního čipu použitého v klíči. V té době byl na trhu jediný klíč, který tyto podmínky splňoval a to IdemKey od GoTrust. Loni nicméně došlo k tomu, že FIDO certifikaci L2 získaly také některé klíče firmy Yubico. Jak je vidět z oficiálního seznamu FIDO Alliance, jedná se o dvě produktové řady a to Yubikey FIPS a Security Key. Tyto klíče používají čip Infineon SLE 78, který má dostatečnou certifikaci CC EAL6+. Následně bylo nutné informovat agenturu DIA o tom, že podmínky akreditace splňují nové klíče, a pak již bylo možné přidat tyto klíče do interního seznamu klíčů pro úroveň záruky Vysoká. Jakýkoliv z těchto klíčů je možné objednat přes e-shop českého distributora Three s.r.o. Yubico Security Key je také k dispozici na e-shopu Alza.cz ve variantě s USB-A nebo USB-C.

Za poslední rok se také významně posunula k lepšímu podpora bezpečnostních klíčů ve webových prohlížečích. Dlouho dobu měli smůlu uživatelé, kteří chtěli tuto nejvyšší úroveň záruky využívat na prohlížeči Firefox v operačních systémech Linux a MacOS, kde chyběla možnost zadat PIN. To již neplatí a při používání bezpečnostního klíče není nutné Firefox opouštět. Jediné co Firefox zatím neumí, je nastavení PIN na klíči, což je podmínka pro jeho aktivaci pro úroveň záruky Vysoká. K tomu je stále třeba použít buď Chrome, nebo interního správce klíčů v rámci Windows Hello. U nových klíčů od Yubico je možné (ale nikoliv nutné) používat jejich vlastní aplikaci pro správu klíčů.

K čemu je dobré mít digitální identitu na této nejvyšší úrovni záruky? Oproti klasické digitální identitě tak, jak jí dnes nabízejí například banky, garantuje tato úroveň mnohem vyšší bezpečnost. Tyto prostředky lépe chrání před útoky jako phishing, vishing a smishing, které jsou nyní hlavní zbraní internetových podvodníků. Proto jsou tyto prostředky také vyžadovány tam, kde je bezpečnost klíčová. V České republice je tato úroveň záruky například nutná, pokud si chcete otevřít účet u Ministerstva financí pro správu státních dluhopisů. Úroveň záruky Vysoká můžete využít také v online systému Notářské komory, pokud například chcete bez návštěvy notáře založit firmu. Zákon o právu na digitální službu nabízí možnost online legalizace elektronického podpisu, kdy předpovídá existenci systému státní správy, kam nahrajete např. ručně podepsaný dokument, identifikujete se právě prostředkem na nejvyšší úrovni záruky a výsledkem bude dokument, který bude ekvivalentem úředně ověřeného podpisu vyžadovaného v mnoha jednáních se státem. Tento systém bohužel zatím neexistuje. Stát nedávno spustil jeho variantu, kterou je možné provést osobně na CzechPOINTech. O této variantě se můžete dočíst v článcích Jiřího Peterky na serveru Lupa.cz. Snad se online varianty dočkáme již brzy.

Než se tak stane, je nutné ke stejnému účelu používat kvalifikované osobní certifikáty vydávané certifikačními autoritami. Pokud si takový certifikát přes portál občana uložíte ke svému záznamu v registru obyvatel, má jakýkoliv dokument podepsaný s využitím tohoto certifikátu váhu úředně ověřeného podpisu. Pionýrem v poskytování těchto certifikátů online s využitím digitální identity je certifikační autorita Postsignum, která svojí službu CertifikátOnline spustila před dvěma lety. Implementovala tak možnost danou evropským nařízením eIDAS, které ve svém článku 24 popisuje, za jakých podmínek je možné kvalifikovaný certifikát vzdáleně vydat. Při spuštění této služby splňoval podmínky pro využití digitální identity pro tyto účely pouze elektronický občanský průkaz. Po oficiální notifikaci MojeID dle nařízení eIDAS v polovině roku 2022 začalo tyto podmínky splňovat, alespoň podle nás, i MojeID. Bohužel zmiňovaný text nařízení eIDAS, a jeho interpretace, se následně stal předmětem dlouhých diskuzí mezi CZ.NIC, Ministerstvem vnitra a zejména Evropskou komisí. Podstatné je, že jsme se na jeho interpretaci nakonec shodli a  nyní je již konečně možné pro online získání kvalifikovaného certifikátu v rámci služby CertifikátOnline využít také MojeID.

Celý proces je detailně popsán na stránkách služby. V tuto chvíli je omezen pouze na osobní certifikáty a není možné jej použít pro zaměstnanecké certifikáty. Začíná ověřením totožnosti pomocí MojeID. Je třeba použít MojeID účet pro fyzickou osobu ověřený na úroveň záruky Vysoká, tedy se zaregistrovaným odpovídajícím USB bezpečnostním klíčem a ověřený buď na CzechPOINTu nebo pomocí jiného prostředku na úrovni záruky Vysoká.

Dalším krokem je odsouhlasení smlouvy o vystavování certifikátu, případně vybrání smlouvy, podle které se bude certifikát vydávat. K dispozici jsou dvě varianty podle toho, zda-li certifikát pořizujete jako fyzická osoba podnikající nebo nepodnikající. Součástí smluvního svazku je také odsouhlasení, že vám bude vygenerován identifikátor MPSV. Odsouhlasení smlouvy proběhne přes SMS kód zaslaný na telefonní číslo.

Následuje vygenerování žádosti o certifikát. K tomu je možné použít tři cesty. Webový formulář přímo vyzývá k použití aplikace iSignum, která je ale bohužel pouze pro operační systém Windows. Alternativou (nezmíněna ve formuláři) je použít aplikaci iSignum v mobilním telefonu s OS Android. Výsledný certifikát se soukromým klíčem pak je možné exportovat a nahrát zpět do počítače. Poslední možností je vytvořit si žádost o certifikát manuálně třeba pomocí OpenSSL a nahrát jí do systému pomocí speciálního webu. Ve všech třech případech je výstupem generováni číslo žádosti, které vložíte do formuláře.

Posledním krokem je zaplacení, kdy je možné využít jak platební kartu, tak online platbu, kterou nabízí většina českých bank. Po zaplacení je během chvilky vystaven požadovaný certifikát.

Jak je zmíněno výše, abyste vaše podpisy s využitím tohoto certifikátu měly váhu úředně ověřeného podpisu, nezapomeňte si certifikát nahrát na příslušném místě v portálu občana. Do portálu občana se samo sebou přihlásíte opět s MojeID.

MojeID na úroveň záruky Vysoká nemá využití jenom v českém prostoru. Díky notifikaci je možné tyto prostředky využívat i přeshraničně. Některé Evropské země jsou v tomto smyslu přísnější než my a například Rakousko pro přístup k jejich státnímu portálu vyžaduje pouze prostředky s úrovní záruky Vysoká. Již brzy nás v Evropském digitálním prostoru čeká velká revoluce v podobě Evropské peněženky digitální identity. Více o ní se můžete dozvědět například v prezentaci věnované tomuto tématu na LinuxDays. Podstatné je, že pokud budete mít k dispozici digitální identitu na úrovni záruky Vysoká jako třeba právě MojeID, nebudete pro aktivaci této peněženky muset nikam chodit a provedete ji z pohodlí domova. Finální legislativa se bude schvalovat v Evropském parlamentu teprve v příštích týdnech, ale s pravděpodobností hraničící s jistotou bude v případě aktivace pomocí prostředku s nižší úrovní záruky vyžadováno dodatečné ověření totožnosti, například někam zajít nebo provést jiný odpovídající úkon. Aktivujte si tedy MojeID na úrovni záruky Vysoká už teď, využijte jeho potenciál a buďte připraveni na budoucnost :-).

Kategorie:

Krátké vlny: Kybernetické útoky rámují diskuze o novém kybernetickém zákonu

Čt, 02/15/2024 - 07:29

Novela zákona o kybernetické bezpečnosti míří příští týden do pracovních komisí Legislativní rady vlády, zástupci podnikatelského sektoru nahlas vyjadřují své výhrady a lobbisté obíhají zájmové osoby a slibují svým klientům možné i nemožné. Mezitím se každý den v kybernetickém prostoru odehrává boj podvodníků a cizích aktérů s ajťáky, síťaři i běžnými uživateli o neautorizovaný přístup k informacím nebo finančním prostředkům (nebo k informacím o finančních prostředcích).

Prosincový kybernetický útok na ukrajinského operátora Kyivstar, který vedl k přerušení poskytování služeb pro miliony uživatelů a firem, byl podle posledních zjištění ukrajinské zpravodajské služby připravován několik měsíců, když ruští hackeři pronikli do systémů operátora už v květnu 2023. Zpravodajská služba také potvrdila, že za útokem stojí hackerská skupina Sandworm, která patří pod ruskou vojenskou rozvědku a má na svém kontě již několik útoků na telekomunikační operátory a poskytovatele internetu.

V rámci odvetného mechanismu zaútočila ukrajinská hackerská skupina BlackJack na IT infrastrukturu společnosti Rosvodokanal, která v Rusku řeší distribuci pitné vody. Během kybernetického útoku na společnost, která distribuuje pitnou vodu pro sedm milionů obyvatel, se hackerům podařilo získat přístup k velkému množství dokumentů, zašifrovat více než šesti tisíc počítačů
a smazat více než 50 terabajtů dat, včetně interního oběhu dokumentů, firemní pošty, služeb kybernetické bezpečnosti, záloh atd.

Není to jediný útok, který si nedávno skupina BlackJack připsala na své konto. Dalším jejich zářezem je úspěšný útok na ruského operátora M9 Telecom. Na TORu následně zveřejnila 10 gigabajtů dat z e-mailového serveru operátora a wiperem smazala 20 terabajtů dat.

Midnight Blizzard (APT29), ruská hackerská skupina, pronikla v listopadu 2023 do systému společnosti Microsoft a získala přístup k e-mailům společnosti, který měla až do poloviny ledna 2024. Jak uvádí společnost Microsoft, prvotním vektorem útoku byl password spaying, brute force útok, kdy útočník zkouší různá uživatelská jména v kombinaci s jedním heslem. Útok tak nebyl důsledkem zranitelnosti v produktech nebo službách společnosti Microsoft a společnost nemá důkazy o tom, že by útočník měl přístup k zákaznickému prostředí, produkčním systémům, zdrojovému kódu nebo systémům umělé inteligence.

Ruská společnost T.Hunter představila nástroj Soudruh Major, který podle slov společnosti dokáže pomocí umělé inteligence odhalit skutečné vlastníky anonymních telegramových kanálů. Tento proces zahrnuje shromažďování informací o správcích z popisu kanálu, archivovaných kopií kanálu, příspěvků a metadat zveřejněných souborů. Potřebné informace může program najít v titulcích příspěvků, vloženém chatu, balíčcích nálepek, dokumentech a videích nahraných do komunity (a dalších dat samozřejmě). Analyzovaný obsah může obsahovat informace o mobilních telefonech svázaných s profilem uživatele, adresu a další digitální stopy, které má AI bot „Comrade Major“ na požádání ukáže. Kromě toho AI analyzuje další identifikátory a také má získávat údaje z komunit na sociálních sítích, blogů a webových stránek.

Australská vláda připravila praktické tipy pro zvýšení kybernetické bezpečnosti zástupců firem. Tipy jsou zpracovány formou checklistu a zdůvodnění jednotlivých bodů, mezi které patří využívaní multifaktorové autentizace, oddělování pracovních a soukromých účtů, provádění pravidelných aktualizací a záloh, používání jen prověřených nabíjecích kabelů, obezřetné sdílení obrazovky nebo pravidelné vypínání mobilu.

UTA0178, čínský státní aktér, využil pro své útoky dvě zranitelnosti ve VPN zařízeních společnosti Ivanti. I když tato skupina kompromitovala méně než deset obětí, zranitelnosti začaly využívat i jiné hackerské skupiny a počet kompromitovaných zařízení strmě rostl. Jiný čínský aktér, Volt Typhoon, využíval ve velkém rozsahu zranitelnost routerů Cisco RV320 a RV325. Během 37 dnů kompromitoval 30 procent těchto zařízení se zřejmým cílem postavit masivní botnet. K čemu asi (řečnická otázka)?

Iránský aktér, Homeland Justice, se přihlásil k útoku na albánský parlament a telekomunikačního operátora One Albania. Ani jeden z napadených subjektů není určen jako kritická infrastruktura.

V Jižní Americe si zase užívají DDoS útoků botnetu Bigpanzi, který svou sílu staví na 172 tisících chytrých televizí a set top boxů. Součástí strategie útoku byla snaha přesměrovat některé názvy domén na konkrétní IP adresy a obejít běžný proces překladu DNS, což zhoršilo možnosti obránců sledovat a analyzovat útočníky.

Pekingský forenzní institut prolomil službu protokolu AirDrop. Nestalo se tak v laboratorních podmínkách, ale s cílem zamezit šíření „nevhodných sdělení“. Společnost Apple v listopadu 2022 omezila používání funkce bezdrátového sdílení souborů AirDrop na zařízeních na čínské pevnině poté, co ji podle médií některé protičínské síly využily k šíření nevhodných digitálních letáků. Po aktualizacích se uživatelé mohou rozhodnout přijímat soubory od nekontaktních osob pouze během desetiminutového okna, než se automaticky vypne.

V západních zemích (USA, Velká Británie a Austrálie) jsou zase reportovány případy, kdy jsou explicitní a urážlivé obrázky anonymně zasílány cizím lidem prostřednictvím iPhonů (tzv. „cyber flashing“).

Kybernetická bezpečnost je a bude problém. Samotné přijetí zákona ji rozhodně nevyřeší, ale s větší nebo menší byrokratickou zátěží nastaví standardy pro širší skupinu subjektů a odvětví. Jak ukázal zástupce Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Tomáš Pekař na konferenci CSNOG 2024 ve Zlíně, snaží se NÚKIB zkoncentrovat komunikaci povinných osob do prostředí jednotného Portálu a v rámci své gesce sjednotit komunikaci a částečně zkrotit správní řízení do podoby klikacích portálových dlaždic. Ale i sebelepší technické řešení nakonec narazí na tu podivnou hmotu mezi klávesnicí a židlí a její ochotu dodržovat pravidla a průběžně reagovat na zlepšující se útoky z kyberprostoru. Hodně štěstí.

Vygenerováno Midjourney, 2024

Kategorie:

Krátké vlny: Úkoly ČTÚ na rok 2024 a závěry z WRC-23

Čt, 02/01/2024 - 07:15

Český telekomunikační úřad (ČTÚ) vydal první letošní monitorovací zprávu, která stojí za přečtení minimálně ze dvou důvodů. Seznamuje veřejnost s Plánem činnosti ČTÚ pro rok 2024 a s výsledkem Světové radiokomunikační konference organizované Mezinárodní telekomunikační unii v roce 2023.

Úkoly ČTÚ pro rok 2024

Jak se již psalo na Lupě, jedním z úkolů, který chce ČTÚ tento rok dokončit, je zabránění spoofingu (neoprávněná manipulace s identifikací volajícího). Za tímto účelem připravil návrh novely všeobecného oprávnění č. VO-S/2/07.2005-10, kterým se stanoví podmínky k zajišťování veřejných komunikačních sítí a přiřazených prostředků.

Na základě praxe v jiných evropských státech a při respektování doporučení CEPT č. (23)03 má ČTÚ za nejefektivnější způsob obrany analýzu signalizační informace volání na mezinárodním propojení v reálném čase a filtraci těch volání, která přicházejí ze zahraničí označena národním telefonním číslem.

Úřad proto chce stanovit podmínku zavedení ochranných opatření na propojení sítí elektronických komunikací spočívající zpravidla ve filtraci provozu na úrovni mezinárodního propojení a následném blokování nebezpečného volání. Jak uvádí úřad, jsou tyto propojovací body nejvhodnější pro analýzu signalizační informace jednoznačně identifikovat podezřelá volání a provádět příslušná opatření, když kromě informace o samotném telefonním čísle označujícím volajícího účastníka disponují operátoři i informací o tom, že volání přichází ze zahraničí.

K materiálu včera uspořádal workshop a relevantní připomínky úřad promítne do verze pro veřejnou konzultaci. Ale to není jediný neduh český elektronických komunikací, kterému ČTÚ vyhlásil boj. Namátkou:

  • Společně s MPO bojuje prostřednictvím dotačních výzev proti nekvalitní internetové infrastruktuře (včetně̌ 5G sítí́ v rurálních oblastech, a zlepšení kvality pokrytí 5G na železničních koridorech) nebo procesem obnovy přídělů v pásmech 900 MHz/1800 MHz dvou mobilních operátorů. Za tímto účelem Úřad zřídil adresu pokryti@ctu.cz, na kterou mu mohou primárně zástupci samospráv zasílat informace o nekvalitní infrastruktuře sloužící k připojení k internetu. Lze očekávat, že měření na základě těchto podnětů se projeví i ve skvěle zpracovaném virtualizačním portálu.
  • Případný nekvalitní signál DVB-T2 sítí chce ČTÚ řešit v návaznosti na stížnosti obyvatel se zástupci sektoru a požadavky operátorů vysílacích sítí.
  • Na šlendrián při doručování poštovních zásilek, kdy poštovní doručoval nejenom že nezazvoní, ale ani nenechá lísteček s upozorněním ve schránce, se chce ČTÚ zaměřit ve své kontrolní činnosti.

Klasicky úřad provede hodnocení úrovně cen velkoobchodních nabídek pro virtuální operátory podle podmínek aukcí 4G a 5G, včetně zhodnocení jejich reálného dopadu na velkoobchodní trh mobilních služeb. V návaznosti na fúzi společností CETIN a NEJ.cz ČTÚ také vyslyšel volání společnosti Vodafonee a vyhodnotí v rámci svých kompetenci dopad tohoto spojení na hospodářskou soutěž na bývalém trhu 3b.

Historicky poprvé také ČTÚ plánuje své aktivity na poli připravovaného zákona o digitální ekonomice, který pověří úřad výkonem funkce tzv. Digitálního koordinátora podle DSA. Úřad chce zpracovat studii trhu relevantních poskytovatelů online zprostředkovatelských služeb, vytvořit průvodce novými povinnostmi podle DSA z pohledu poskytovatele ale i uživatele, spustit evidenci poskytovatelů služeb zprostředkování dat podle čl. 11 DGA a také rejstříku uznávaných organizací pro datový altruismus podle čl. 17 DGA.

Světová radiokomunikační konference 2023

25 dní. 163 států. Dubaj. To jsou „metadata“ poslední Světové radiokomunikační konference (WRC-23), na které se jednou za čtyři roky setkají zástupci členských států Mezinárodní telekomunikační unie a odhlasují změny v pravidlech využívání rádiového spektra. Jaké závěry přijaly členské státy ITU na setkání v Dubaji? Klíčová jednání se vedla zejména v oblasti satelitních služeb, krizové komunikace a také v rozšiřování pásem pro vysokorychlostní přístup k internetu.

Kromě jiných závěrů členské státy schválily:

  • rozšíření využití VKV pásma negeostacionárními transpondéry pro zajištění rádiového spojení s řízením letového provozu v odlehlých místech a nad oceány;
  • opatření k modernizaci námořního tísňového a bezpečnostního systému GMDSS určeného k zajištění bezpečnosti na moři, WRC-23 uznala družicové služby BeiDou (Čína), pro zasílání tísňových zpráv v systému GMDSS;
  • nová pravidla (včetně upřesnění odpovědnosti) pro pohyblivé stanice v pevném družicové službě (ESIM). Pro další perspektivní využití této služby, která řeší také komunikaci v místech, kde byla zničena místní infrastruktura, byly ustanoveny studijní otázky pro další konference WRC-27 a WRC-31;
  • využití pásma 6425 – 7125 MHz pro IMT s podmínkami pro sítě 5G a 6G současně s ochranou družicových aplikací. Jak uvádí ČTÚ, v Evropě nelze očekávat brzký rozvoj IMT v tomto pásmu, proto se zde hledá možnost hybridního využití, jak aplikacemi pro IMT, tak RLAN.

Ač velkým tématem konference byl rozvoj negeostacionárních družicových sítí na nízké oběžné dráze (tzv. LEO, Low Earth Orbit), neboť současná pravidla striktně dbají na ochranu geostacionárních sítí, nebyly schopny členské státy najít shodu na dalším postupu, tedy nejen že WRC-23 nepřijala žádnou změnu, ale ani neformulovala zadání pro studijní skupinu, která by se odrazila v programu bodu pro další zasedání WRC.

Stejně tak nebyla konference úspěšná při určování rádiových kmitočtů pro dálkové ovládání necivilních bezpilotních letadel z důvodu nesplnění podmínky použití bezpečnostních komunikací (safety of life). Určení rádiových kmitočtů pro civilní prostředky bylo úspěšnější. Kmitočty z pásma 22 GHz budou moci být využity pro bezpilotní prostředky k mapování terénu či ostraze hranic.

I přes dílčí neúspěchy v hledání kompromisu patří Světová radiokomunikační konference mezi úspěšné projekty pod hlavičkou OSN. Procesy, přípravné konference, studijní skupiny, začlenění expertů ze soukromého sektoru i akademické sféry vedou vždy k nějakému výsledku, který posouvá využívání radiokomunikačních služeb (byť si na ten výsledek musíme chvíli počkat). Na rozdíl od jiných jednání odborných organizací OSN, kdy jednání trvají i roky, resp. jsou přerušeny na celá desetiletí z politických důvodů. Pro experty na ČTÚ a MPO bývá někdy složitější vysvětlit, proč je nutné vyjet na jednání, které trvá tři týdny (obvykle v nějaké zajímavé lokaci), když je nutné šetřit. Jedním z důvodu je i fakt, že pokud svá místa uvolníme, nebudeme moci prosazovat zájmy spojené s evropským prostředím, resp. s transatlantickým okruhem. Ať už v oblasti prosazování technických standardů nebo standardů týkajících se svobodného internetu a prosazování lidských prav.

Kategorie:

Jak je důležité míti ADAMa

Út, 01/30/2024 - 15:10

Koncem minulého roku jsme řešili incident na 95 .CZ doménách, které byly kompromitovány za účelem tzv. Black Hat SEO, o kterém jsme již v minulosti informovali. Právě vzpomínka na tento pradávný incident, která se mi vynořila v hlavě při kompletování Postřehů z bezpečnosti, vedla k odhalení těchto aktuálně kompromitovaných webů. Když jsme v roce 2014 původní incident řešili, nedotáhli jsme z kapacitních důvodů nápad na dohledání dalších stejně kompromitovaných webů. Až nyní jsme tedy zkusili dohledat kompromitované weby zneužívané k provozování pochybných SEO praktik pomocí Google vyhledávání. Kompromitovaných domén jsme ale touto cestou našli pouze několik. Potom ale někoho z kolegů napadlo využít nástroj DNS Crawler, který vyvinuli kolegové z Laboratoří CZ.NIC, a který je součástí projektu ADAM (Advanced DNS Analytics and Measurements). ADAM pravidelně prochází všechny .CZ domény a mimo jiné ukládá obsah jejich titulní stránky.

Když jsme ADAMa nechali vyhledat všechny stránky obsahující slovo Viagra, bylo jich 562. Bylo však zřejmé, že většina z nálezů je legitimní. Na základě analýzy stránek, u kterých jsme problém detekovali, jsme tedy hledání po pár pokusech rozšířili ještě o kombinaci slov „erectile dysfunction“. To už nám, jak se později až na jednu výjimku ukázalo, našlo pouze kompromitované weby.

Ukázka zdrojového kódu kompromitovaného webu.

Odkazy vložené do stránek se pochopitelně návštěvníkům na webu nezobrazují a jsou pomocí různých technik schované, protože jejich cílem je zmást vyhledávací roboty. Naopak, před návštěvníky a tedy i správci webu mají tyto odkazy zůstat skryté.

Mezi kompromitovanými doménami byl například i web soukromé školky nebo menšího města a i vzhledem k tomu, že jednou kompromitované domény mohou být v budoucnu zneužity k dalším útokům, například phishingu nebo šíření malware, rozhodli jsme se všechny držitele napadených domén informovat. To jsme provedli ve dvou vlnách, v první jsme informovali držitele a u domén, u kterých nedošlo k nápravě, jsme později kontaktovali i příslušný hosting.

Z reakcí jednotlivých držitelů a hostingů pak lze odhadovat, že ve většině případů šlo o zneužití uniklého hesla, v podezření jsou také některé již nevyvíjené aplikace a v jednom případě byl za útokem pravděpodobně malware, kdy uživatel změnil po našem upozornění heslo, obnovil obsah webu a přesto za dva dny byl obsah s viagrou zpět. Podezření tedy padlo na kompromitaci PC, ze kterého dochází k editaci webu.

I přes naši snahu o informování všech zainteresovaných stran došlo k nápravě pouze u 39 domén. Bohužel se tak opět potvrdilo, že pro některé provozovatele webů končí veškerá péče o webový obsah jeho prvním vystavením na serveru. To je ovšem krátkozraký přístup, na který ve finále doplácí všichni.

Kategorie:

Zapojte se do Dne bezpečnějšího internetu 2024

Út, 01/23/2024 - 15:50

Každý rok, druhé únorové úterý, si připomínáme Den bezpečnějšího internetu. Letos tento den připadá na 6. února a slavíme ho již po jednadvacáté. Tento den si pravidelně připomínají ve více jak 190 zemích po celém světě. V České republice je koordinátorem tohoto dne národní Safer Internet Centrum Česká republika, které spravuje sdružení CZ.NIC.

Den bezpečnějšího internetu si každý rok připomínají stovky organizací, škol nebo jednotlivců. Jen v loňském roce jich u nás bylo už přes 400. Zapojit se může opravdu každý. Nejen organizace, které se věnují bezpečnosti, prevenci nebo vzdělávání, ale i státní instituce, rodiče, děti, zkrátka všichni. V loňském roce jsme vydali příručku, ve které naleznete přehledně zpracovaný výběr tipů a aktivit pro jednotlivé věkové skupiny.

V oblasti bezpečného chování na internetu vzniká v České republice řada preventivních programů nebo osvětových materiálů, včetně těch audiovizuálních. A nebylo tomu jinak ani v loňském roce. Za naše Safer Internet Centrum si připomeňme například seriál pro děti Alenka v říši GIFů 2, výukovou videohru Digistories: Alex, skvělé podcasty Utržené sluchátko, Na tenké lince nebo omalovánky pro děti. Pokud pracujete s dětmi a provozujete webové stránky či jinou síťovou službu, můžete zdarma využít nástroj pro automatické pravidelné testování zranitelností.

Výbornou možností, jak si tento den připomenout na školách, je uspořádání projektového dne. Během něj si mohou studenti vybrat z několika workshopů a diskutovat či tvořit nad vybranými tématy.

Výtvor žáků během projektového dne na Obchodní akademii a Střední odborné škole gen. F. Fajtla Louny

Na závěr jedna malá prosba. Zkusme oslavu letošního dne pojmout pozitivně. Prostředí internetu může sice občas vyvolávat dojem, že je nebezpečné a plné nástrah. Nezapomínejme ale na to, že je hlavně obrovskou příležitostí a skvělým nástrojem.

Pokud se rozhodnete zapojit do letošního Dne bezpečnějšího internetu, nezapomeňte své statusy na sociálních sítích označit hashtagy #SaferInternetDay a #SID2024. Můžete pak lépe vyhledat příspěvky ostatních. Pokud se zapojíte i jiným způsobem, napište nám.

Více informací o dni naleznete i na stránkách organizátorů.

Kategorie:

Neodolatelné investiční platformy (další případ ze života internetového uživatele)

Po, 01/22/2024 - 15:50

„Co ty kryptoměny a investice, dá se na tom vydělat?“, zeptal se mě letos v lednu kamarád. „Mně o tom psal spolužák ze střední a že na tom teď celkem vydělává“. Kamarád je vzdělaný a světem protřelý člověk, neměl jsem tedy nejmenší důvody o premisách, stanovených v úvodu naší konverzace, jakkoliv pochybovat a zamyslel se nad tím, jestli mi v poslední době neutekla nějaká informace. Nicméně nevzpomněl jsem si na nic, co se třeba jen blížilo poslednímu boomu v roce 2017. Tak jsem jen pokrčil rameny a odvětil, že investovat do kryptoměn lze a že aktuální výnosnost není nijak zastiňující vůči běžným investicím, jen jsou kryptoměny volatilnější (uznávám, že nevím jestli to poslední stále platí).

„Jemu to prý vydělá 5000 Kč měsíčně,“ nedal se kamarád odbýt tak snadno. „Ano pokud člověk vloží dostatek peněz, tak i s malým zúročením může získat zajímavý obnos,“ mírnil jsem jeho nadšení. „Proč tě do toho spolužák vlastně tlačí? Co z toho bude mít on? Ze začátku dostane 20 % mého zisku,“ odvětil. „To je ale fakt hodně! To není úplně běžné,“ vyjádřil jsem svůj údiv společně s odporem k zmíněné nabídce, ale s kamarádem (říkejme mu třeba Franta) to zdánlivě vůbec nehnulo. „Podíval by ses mi na stránky tý platformy? Já jsem si říkal, že bych tam zkusil něco poslat, abych viděl jestli to funguje,“ pokračoval Franta. „Jasně, to není problém. Jak se to jmenuje?“ zeptal jsem se, očekávajíc alespoň zdánlivě známé jméno. To však k mému překvapení nepřišlo. Zadal jsem hledaný výraz do vyhledávače a byl velmi udiven, že mimo jejich vlastního portálu nebylo mezi výsledky hledání nic, co by alespoň hodnotilo zkušenosti s danou službou. Dodal jsem, že pokud tam člověk „něco“ vloží a „ono“ to bude „růst“, nic to neznamená a problém typicky začne až v momentě, kdy chce zákazník své „úspěšně“ zhodnocené úspory vybrat. Pokračoval jsem tedy na webové stránky platformy.

V mezičase se mě Franta ještě mimoděk tázal, jestli znám Telegram. Nespojiv si tuto informaci s předchozí diskuzí jsem jenom odpověděl na otázku a svojí pozornost dál upínal na relativně vzhledné webové stránky další z mnoha investičních platforem. Vzpomněl jsem si na jeden článek, který vyšel u nás na blogu ohledně eshopů, a po prvotním prozkoumání úvodní stránky jal jsem se hledat obchodní podmínky a kontakt. Odkazy jsem sice našel, ale v obou případech vedly na 404 – stránka nenalezena.

„Jé hele koukej, to je zajímavý,“ začal jsem mít teprve první podložené podezření. Zkontroloval jsem tedy ještě adresu sídla, která na stránkách uvedená byla, a podle map jsem se dostal k malému domku v USA někde na předměstí. Jistě, o původně garážových firmách už jsem slyšel a každý rozhodně zaslouží šanci vybudovat něco velkého, nicméně v tomto případě se evidentně nejedná o novátorský nápad ani řešení. „Tak do toho bych fakt nešel,“ domněle jsem uzavřel případ.

Jenže po chvilce mi to nedalo a zahájil jsem výslech. Během toho jsem postřehl i několik vyhýbavých odpovědí, ale o to víc jsem se ujistil, že jsem něčemu na stopě. Poskládaný příběh byl tedy následující. Záměrně do závorek přidám číslo počítající varovné signály (red flags chcete-li), při kterých by měl člověk zbystřit.

Se spolužákem si nenapsali několik let a najednou se mu ozval přes sociální síť s „velmi lákavou nabídkou“ (1). Velmi brzy ho „spolužák“ přesvědčil, aby pro komunikaci přešli na jinou platformu (2) – Telegram (snad nikoho neurazím, když ho také započítám – (3). Nabídka zahrnovala investice v prakticky neznámé investiční platformě (4). Platforma neměla k dispozici podmínky služby (5). Uvedené sídlo firmy bylo v malém rodinném domečku v USA (6). Toto celé samozřejmě neměl na svědomí jeho spolužák, ale podvodník, který na nějaký čas získal přístup k jeho účtu.

Ze zkušeností nás, bezpečnostních analytiků, za předchozí roky můžeme říct, že weby podvodných investičních platforem často vypadají velmi dobře. Mnohdy i lépe než weby skutečných investičních platforem. Tím samozřejmě nechci říct, že čím horší vizuální stránka, tím je investiční platforma skutečnější. Pouze připomenout, že již neplatí jeden ze starších varovných signálů, že podvodný web poznáte podle špatné grafiky.

Musím podvodníkům přiznat, že podvodné investiční platformy jsou skvěle vymyšleným zločinem. Oběť investuje peníze v dobré víře a když vidí, jak dobře se zhodnocují, nemá ani chuť je vybírat a naopak ještě přidá. O tom, že něco nehraje se poškozený dozví třeba až v momentě, kdy stránky přestanou fungovat. Mezitím se okno k dohledání pachatele (nebo alespoň vložených peněz) uzavírá velice rychle.

V tomto případě k újmě naštěstí nedošlo, nicméně pokud se vám nebo vašim blízkým něco takového stane a přijdete řekněme o více než 10000 Kč, nebojte se a nahlaste to na policii. Je velmi pravděpodobné, že podvedených bude víc a třeba se zločince podaří dopadnout. Viz nedávné úspěchy policie v dopadení česko-ukrajinského gangu. A také mějte prosím soucit s těmi, co podobným podvodům podlehli. Příběhů těch, co tvrdí: „já bych na něco takového určitě neskočil,“ a skočili, také není málo.

Kategorie:

TOP 10 blogpostů roku 2023 aneb Co vás nejvíce zaujalo

Pá, 01/19/2024 - 12:20

Leden je tradiční dobou, kdy se ohlížíme zpět a připomínáme si nejčtenější články našeho blogu za uplynulý rok. V roce 2023 vyšlo celkem 79 textů, čímž byl o 12 článků překonán rok předchozí. Mezi nejvyhledávanější patřila témata spojená se službou MojeID, Safer Internet Centrem ČR, internetovými podvodníky a své místo na výsluní si udržel i seriál Myš je pro kočku.

Pokud vám některé z loňských příspěvků mých kolegů unikly, můžete pokračovat a připomenout si se mnou ty vůbec nejpopulárnější:

10) RFC 9432: DNS Katalogové zóny

Katalogové zóny byly velkým tématem nejen na našem blogu, ale také pro komunitu mimo něj. Kolega Libor Peltan, autor blogpostu a jeden z členů autorského týmu RFC 9432, nabídl zajímavý pohled na vznik zmíněného RFC a představil řadu souvislostí spojených s tímto tématem.

„Ve výsledku se interoperabilní implementace nových katalogových zón brzy objevily ve verzích Knot DNS 3.1 (srpen 2021), Bind 9.18.3 (květen 2022) a PowerDNS 4.7 (říjen 2022). NSD, přestože investoval mnoho úsilí do standardizace a spolupráce, stále spoléhá na spíše experimentální sadu skriptů spravujících provoz katalogových zón nad nepodporujícím serverem. Společná specifikace byla zveřejněna jako RFC 9432 (červenec 2023) jako „Proposed standard“.“

9) Myš je pro kočku: Příliš hluboké disky

Hned třetí díl seriálu Myš je pro kočku Edvarda Rejthara věnovaný hlubokým diskům byl v únoru tím nejčtenějším, a celkově devátým v našem TOP 10. Jeho autor v něm mimochodem odpověděl čtenářům na to, jak se rychle zorientovat na disku, který má v sobě další disky.

„Všechny vzdálené disky jsou seřazeny ve svých adresářích. Nastavili jsme si práva a můžeme se dostat, kam jen chceme. Proč je to však tak daleko? Uvažujme třeba typický projekt. Projekt, který běží na jistém stroji (který se jmenuje podle něj), běží pod prostředím uživatele (který se samozřejmě jmenuje podle něj) a je v Pythonu (takže má v sobě adresář stejného jména). Takže jediná správná cesta ke zdrojákům je v adresáři /mnt/projekt/home/projekt/projekt/projekt/. Někdy struktura pokouší k zbláznění.“

krusader-mount_dir 8) Jak jsem se stal vývojářem Debianu

Se svým osobním příběhem se do žebříčku nejčtenějších textů dostal i Jakub Ružička. Jakub nám odkryl svou profesní cestu, která ho v roce 2023 dovedla až k „funkci“ vývojáře Debianu.

„Vždy jsem obdivoval neopěvované hrdiny v pozadí distribucí, kteří svádí nevděčný boj se software za nás všechny. Je mi velkou ctí i radostí se stát jedním z nich a budu usilovně pracovat na dodání balíků v kvalitě a stabilitě, která se od Debianu čeká.“

7) Netmetr se mění na LibreSpeed a stává se světovým

Článek o integraci LibreSpeed do Netmetr.cz. Jaké změny a výhody LibreSpeed přinesl a proč se tak stalo? Blogpost z „pera“ Michala Hrušeckého, vedoucího našeho hardwarového týmu.

„Integrace do Netmetr.cz ale zdaleka není vše. Hlavní důvod proč LibreSpeed řešíme je jeho integrace v Turris OS. A ta je hlavní novinkou právě vydaného Turris OS 6.3.0. Nyní lze z uživatelského rozhraní reForis kdykoliv spustit jednorázový test, ale také naplánovat pravidelné testování. To se poté provádí v náhodný čas v nočních hodinách, aby výsledky nebyly zkreslené současným využíváním internetu, například při streamování videa.“

6) The Nightmare before Christmas

V čase předvánočního nákupního shonu se Pavel Bašta zaměřil na internetové podvodníky. Text na konkrétním příkladu e-shopu Amálie ukazuje nejen pochybné praktiky, ale také upozorňuje, na co si dát pozor, aby nám nezůstaly oči pro pláč.

„Když v roce 1993 vznikl film Tim Burton’s The Nightmare Before Christmas, do češtiny překládaný jako Ukradené Vánoce, nikdo nemohl tušit, jak moc budou originální název i překlad vystihovat každoroční předvánoční dění na internetu. Uživatelé v této době čelí intenzivnímu náporu útočníků a podvodníků všeho druhu. Na co si dát pozor u e-shopů bych rád rozebral v tomto blogpostu, kde se podíváme na reklamu, která se nyní často zobrazuje uživatelům Facebooku – aktuálně se jedná o e-shop Amalie Praha.“

5) Adulto.cz využívá MojeID k ověření věku v internetových obchodech

MojeID bylo přidáno k přihlašovacím metodám webové služby Adulto.cz, která slouží k ověření zletilosti. Oznámení spojení těchto služeb patřilo také mezi články s velkou návštěvností.

„Adulto.cz je aktuálně dostupné pro několik platforem – Shoptet, UpGates, eshop-rychle nebo WooCommerce. V současné době již věk touto službou ověřuje více než 100 elektronických obchodů. Proces ověření je velice jednoduchý a rychlý. V objednávce stačí kliknout na tlačítko a následně se autorizovat v rámci služby MojeID.“

4) Boj s phishingem v doméně .CZ

Na začátku roku nás Pavel Bašta z bezpečnostního týmu CZ.NIC-CSIRT nechal nahlédnout pod pokličku boje s phisingem v doméně .CZ, a to prostřednictvím svého příspěvku plného statistik a dat.

„V případě phishingových domén velmi záleží na rychlosti reakce, proto naše interní procesy stále zlepšujeme. Vždy dbáme na vyváženost mezi rychlostí reakce na phishingový útok a spolehlivostí procesu, který musí eliminovat možné lidské selhání.“

3) Vydáváme nový materiál pro děti zaměřený na sexuální zneužívání

Příspěvek kolegyně Michaly Radotínské, jež byl publikovaný symbolicky na Mezinárodní den dětí, informoval o nových vzdělávacích materiálech pro děti v mateřských školách. Na dvou stranách se pedagogové dozvědí doporučení, jak si s dětmi povídat o tématu sexuálního zneužívání nebo sextingu. Není divu, že toto téma oslovilo hodně čtenářů a vysloužilo si třetí místo mezi nejčtenějšími články v roce 2023.

„V průběhu povídaní si děti osvojí, co je to intimita, dále se s paní učitelkou (panem učitelem) můžou bavit o tom, kdy a proč se potřebujeme svlékat a v neposlední řadě, kde a proč si spodní prádlo nesundáváme. Důležitým sdělením ze strany pedagoga bude i to, že ne vše, co se doma či jinde děje, je „normální“, že každý má právo na to říct: „Nedělej to!“, pokud se mu něco nelíbí, a že tzv. „tajemství“ se v některých situacích prozradit musí, aby se dítěti ulevilo od trápení.“

2) Akce kulový blesk aneb gov.cz žije

V polovině srpna schválila vláda materiál, který stanovil jízdní řád pro přechod na doménu gov.cz. O migraci, která se uskutečnila hlavně za účelem zvýšení kybernetické bezpečnosti uživatelů e-govermentu a o jejím vývoji v čase psal Jaromír Novák. Na našich pomyslných stupních vítězů se tento článek vyšplhal na druhé místo.

„A po 22 letech od registrace gov.cz tu máme snad už poslední pokus o znovuoživení domény gov.cz. Harmonogram počítá s přechodem v období od podzimu 2023 do konce roku 2024 s výjimkou Ministerstva práce a sociálních věcí, které si vyzískalo odklad do poloviny roku 2025. Již splněno mají DIA, Rada pro rozhlasové a televizní vysílání a Úřad průmyslového vlastnictví.“

1) Internetové kšefty

Dobrodružství z Marketplace, které Pavel Bašta absolvoval na vlastní kůži, vyšlo sice až v prosinci, přesto praktiky bazarových podvodníků zaujaly natolik, že text se v blogových statistikách umístil úplně nejvýš, tedy v našem bodování obsadil první místo a stal se králem blogpostů publikovaných v 2023!

„Ani tlapková patrola ani Lego vlak však nedorazily a oba facebookové účty přestaly s uživatelkou komunikovat. Podobně jako v případě e-shopů, kterým jsme se věnovali v minulém blogpostu, je proto potřeba být velice obezřetný. Naštěstí i v tomto případě existuje databáze, která může pomoci při rozhodování. Upozornila nás na ni uživatelka z našeho příběhu a najdete ji na adrese https://www.podvodnabazaru.cz/. Zde můžete vyhledávat podle kontaktních údajů, ale třeba také podle použitého čísla bankovního účtu. A pokud se stanete obětí podvodu, můžete do této databáze také přispět. Má také smysl hlásit podvody s malými částkami i PČR. Policie si tato hlášení umí spojit a čím více lidí podvodníka nahlásí, tím spíše dosáhne celková způsobená škoda částky, při které bude věc řešena jako trestný čin.“


Závěrem bychom vám rádi poděkovali za zájem o naše témata a články. Věříme, že vám i letos přineseme celou řadu zajímavých textů podepsaných našimi kolegy. Pokud chcete patřit mezi jejich první čtenáře, sledujte nás na sociálních sítích Facebook, X a LinkedIN nebo se rovnou přihlaste k odběru zde na blogu.

Kategorie:

Odvážný krok české vlády

Čt, 01/18/2024 - 05:35

Vláda ČR včera přijala významné usnesení, které se týká infrastruktury Internetu, když projednala materiál s názvem „Restart zavádění technologie DNSSEC a protokolu IPv6 ve státní správě“. Podrobně se tomu věnuje ve svých Krátkých vlnách kolega Novák a proto se prozatím soustředím pouze na mezinárodní aspekt tohoto aktu.

V mezinárodní komunitě se již poměrně dlouho diskutuje o relativně pomalém nástupu protokolu IPv6. Původně se očekávalo, že IPv6 nastoupí mnohem rychleji s tím, jak docházejí volné IPv4 adresy a roste jejich cena na trhu. Bohužel jsme zatím poměrně daleko od situace, kdy by bylo možné nabízet internetové služby pouze po protokolu IPv6. Poskytovatelé služeb či konektivity jsou tak nuceni udržovat dva různé síťové protokoly se všemi negativy tohoto stavu a z této situace mohou mít radost snad jedině spekulanti prodávající či pronajímající IPv4 adresy. Rostoucí cena IPv4 adres bohužel přilákala do technické komunity kolem regionálních registrů zcela nové hráče, kterým leží na srdci jiné zájmy než zrovna hladké fungování internetové infrastruktury. IPv4 adresy jsou dokonce díky své ceně i kořistí ve válečných konfliktech.

Proto si dovolím tezi, že volný trh byl tentokrát od vyřešení konfliktu vzdálen a tak považuji za užitečné, že se o tento problém začaly zajímat i administrativy států. Přesto se až do včerejšího dne žádná z těchto administrativ na evropském kontinentu zatím neodhodlala k tak razantnímu kroku, jako je stanovení konce používání protokolu IPv4, který včera odsouhlasila vláda ČR. Určené datum je velmi symbolické, je stanoveno na dvacáté výročí „spuštění IPv6 protokolu“, tedy 6.6.2032.

Nejsem pochopitelně takovým optimistou, abych si myslel, že toto rozhodnutí české vlády samo o sobě otočí kormidlem a bude znamenat totální konec IPv4 na celém světě. K tomu se bude muset přidat výrazně více aktérů, ať již ze státního nebo ze soukromého sektoru. Stejně tak se pochopitelně může stát, že datum může být později revidováno. Ale jasné stanovení konkrétního data může také znamenat, že se prostě další přidají. Mimochodem tento krok již vzbudil pozornost v diskusních fórech RIPE NCC.

Tak jako vždy, každý, kdo přijde s nějakou výraznou novinkou, může strhnout lavinu nebo naopak zůstat osamocen. Nicméně Česko si stanovilo datum a v této situaci by určitě nebylo rozumné, aby kdokoliv, kdo kupuje nové síťové vybavení, startuje nějakou službu, provádí upgrade sítě, nemyslel na protokol Ipv6. To by se mu mohlo v budoucnu vymstít. Je to jasný signál pro všechny internetové hráče, aby brali IPv6 vážněji.

Důležité je, aby tento krok nezůstal osamocen a ČR pracovala na získání spojenců na evropské a případně později i mezinárodní půdě. Ostatně Evropská unie si již troufla přijmout mnohem odvážnější opatření. Dovolte mi tedy poděkovat vládě ČR a české státní správě za tento odvážný, ambiciózní, ale i racionální krok. Velmi si přeji, aby to byla ta pověstná první vločka, která tu lavinu strhne, a aby bylo datum 17. 1. 2024 jednou zapsáno v historii Internetu.

IPv6 zdar :-)!

Kategorie:

Krátké vlny: Vládní restart podpory IPv6

Čt, 01/18/2024 - 05:30

Kdysi dávno, už tomu bude 15, resp. 11 let, vláda uložila ministerstvům a vedoucím ostatních ústředních orgánů státní správy úkol vyžadovat při nákupu relevantních služeb podporu technologie DNSSEC a poskytovat své webové stránky, elektronické podatelny a další služby e-governmentu i přes internetový protokol IPv6. Poslední zpráva o zavádění technologie DNSSEC a IPv6 ve státní správě byla předložena v roce 2015. Bylo zjištěno, že jednotlivá ministerstva i ostatní orgány státní správy plní usnesení vlády uspokojivě. Od té doby při příležitosti spuštění nové služby státu proběhne většinou na sociálních sítích komentář, že daný rezort nesplňuje vládní usnesení, protože kašle na IPv6 a to je tak všechno. Naposled se tomu stalo při uvedení e-sbirky.

Usnesením č. 578 ze dne 16. srpna 2023 vláda sice schválila harmonogram migrace ústředních orgánů státní správy na jednotnou státní doménu gov.cz. a jedním z technických pravidel, které má být splněno do 31. prosince 2023, je dostupnost veřejné DNS infrastruktury i přes protokol IPv6. Nicméně tato podmínka se týká dostupnosti veřejné DNS infrastruktury domény gov.cz, což ale automaticky neznamená, že i jednotlivé subdomény dotčených resortů budou dostupné pro uživatele prostřednictvím protokolu IPv6.

To by se mělo změnit. Ministerstvo průmyslu a obchodu (MPO), které je zodpovědné za agendu správy internetu („internet governance“), předložilo včera vládě materiál „Restart zavádění technologie DNSSEC a IPv6 ve státní správě“. V tomto materiálu, který máme k dispozici, ministerstvo navrhlo vládě zařadit v podpoře rozvoje IPv6 protokolu vyšší rychlost a ve střednědobém horizontu ukončit poskytování služeb prostřednictvím protokolu IPv4 ve státní správě.

MPO jako předkladatel materiálu vychází ze základní premisy, že stát má podporovat robustní a bezpečnou internetovou infrastrukturu. Nedostatek volných IPv4 adres, růst jejich ceny a tlak spekulantů na trh má podle ministerstva negativní dopad na potenciál české digitální ekonomiky a i proto by vláda měla podporovat rozvoj IPv6 protokolu. Vyčerpání adresního prostoru IPv4 vede ke zvýšení bariéry vstupu na trh nejen v oblasti budování internetové infrastruktury. Vlastní adresní prostory jsou potřebné dnes nejen k poskytování služeb elektronických komunikací, ale také zejména (a nikoliv pouze) při poskytování služeb obsahu.

Do materiálu ministerstvo zahrnulo i mezinárodní srovnání. V červnu 2023 vydal RIPE NCC studii zaměřenou na adopci protokolu IPv6 ve středoevropském regionu (Česko, Maďarsko, Polsko a Slovensko). Studie konstatuje a dokládá na aktuálních datech, že navzdory pouze malému množství adres IPv4 a rostoucí potřebě dalších adres zůstává v tomto regionu s výjimkou Maďarska míra využití IPv6 nízká. Přesto, že Česko bylo v roce 2013 na prvním místě mezi evropskými státy v dostupnosti webových stránek ministerstev a jiných ústředních orgánů státní správy na protokolu IPv6, dnes výrazně zaostává.

Zdroj: RIPE NCC

V závěru studie konstatuje, že je důležité, aby „zejména Česko, Polsko a Slovensko zlepšily dostupnost IPv6, aby vytvořily podmínky pro dlouhodobý růst a nové a rozvíjející technologie, jako jsou 5G, internet věcí a další.“ Vlády a další aktéři ekosystému se musí podle RIPE NCC podílet na podpoře širšího zavádění IPv6.

Z pohledu posílení kybernetické bezpečnosti materiál zmiňuje skutečnost, že paralelní souběh služeb na IPv4 a IPv6 zvyšuje plochu útoku a dostupné vektory na straně útočníků. Výhodou adresního prostoru IPv6 je také fakt, že jej možní útočníci pro jeho velikost nemohou efektivně proskenovat.

Součástí materiálu jsou i výsledky testu ke dni 7. prosince 2023 (tedy před migrací dalších úřadů pod doménu gov.cz), který zahrnoval kontrolu nasazení DNS serveru na IPv6, dostupnosti DNS serveru na IPv6, dostupnosti e-mailové služby na IPv6, existenci DNSSEC, existenci SMTP DANE/MTA-STS a platnost webového certifikátu. Z výsledků testu mimo domény pod gov.cz vyplynulo, že povinnosti plní Český telekomunikační úřad, Český úřad zeměměřičský a katastrální, Ministerstvo spravedlnosti, Ministerstvo financí, Ministerstvo průmyslu a obchodu, Ministerstvo zahraničních věcí, Národní úřad pro kybernetickou a informační bezpečnost, Rada pro rozhlasové a televizní vysílání, Státní úřad pro jadernou bezpečnost, Úřad průmyslového vlastnictví a Úřad vlády. Ostatní ministerstva a ústřední orgány státní správy mají v základní digitální infrastruktuře nedostatky, které mohou vést i k bezpečnostnímu riziku. Samozřejmě je nutné dělat tyto testy i pro domény zařazené pod gov.cz. A pokud se budou dělat testy pravidelně, může to být pro správce na rezortech drobné šťouchnutí pro zlepšování jejich infrastruktury. A třeba, a teď jsem si snad moc nezapřeháněl, budou mít všechny ministerstva a ústřední orgány státní správy výsledky jako Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Gratulujeme do Brna.

Konec příběhu? Ne. Materiál má usnesení, které rozdává úkoly. Ministr průmyslu a obchodu navrhl úkol sám sobě, a to předložit vládě do konce června 2025 monitorovací zprávu a každoročně vyhodnocovat stav plnění podmínek na úplný přechod na protokol IPv6. A ministerstvům a ostatním orgánům státní správy vláda uložila dát do pořádku nedostatky (do konce tohoto roku) a do 6. června 2032 přestat poskytovat služby státní správy na protokolu IPv4. Revoluční nápad, který je vlastně logický. Pokud se stát zbavuje závislosti na ruském plynu nebo omezuje přístup rizikových dodavatelů do komunikační infrastruktury, proč by nemohl ve jménu rozvoje a podpory zavést „IPv6 only“ státní správu. Ostatně nebudeme na světě první. Není to ostatně jediná vládní snaha o podporu rozvoje IPv6. V polovině tohoto roku nabyde účinnosti vyhláška o dlouhodobém řízení informačních systémů veřejné správy, kterou připravila Digitální a informační agentura (DIA). Ta nově stanovuje povinnost, aby dálkový přístup ke službám informačních systémů byl umožněn rovnocenným použitím protokolu IPv4 a IPv6.

Konec příběhu? Ještě ne. Stát nejsou jen ministerstva a ústřední orgány státní správy. Ministerstva mají pod sebou resortní organizace a i ty mají své domény. Ústav mezinárodních vztahů, Univerzita obrany, Centrum sociálních služeb Tloskov, Správa jeskyní České republiky, Ústav územního rozvoje, Agentura pro podnikání a inovace, Centrum služeb pro silniční dopravu, Budweiser Budvar, Národní pedagogické muzeum a knihovna J. A. Komenského, Národní ústav lidové kultury, Léčebné lázně Lázně Kynžvart, Zotavovna Pracov, to jsou jen letmé příklady ze stovek subjektů, které patří „pod stát“ a které mají na různé úrovni zabezpečení svých webových stránek. Čím dříve si stát udělá inventuru i na těchto doménách, tím lépe.

Kategorie:

Sonda v síti: Legislativní plány vlády v digitální oblasti pro rok 2024

Út, 01/16/2024 - 10:00

Plán legislativních prací vlády je tradiční dokument, kterým vláda dopředu oznamuje, na jaké zákony a jejich novely se v tom daném roce zaměří. Samozřejmě to neznamená, že pokud zákon je potřeba znovelizovat a není v Plánu legislativních prací, že jej ministerstvo nemůže do vlády předložit. A naopak. Pokud ministerstvo nechce být honěno za nesplnění termínů, tak návrh zákona (i když ví, že ho bude muset připravit), do Plánu legislativních prací prostě nedá.

Pojďme se tedy telegraficky podívat, jaké nové zákony a novely dotýkající se digitální oblasti nás čekají v tomto roce.

V lednu by vládě měly být předloženy dva návrhy zákonů upravující bezpečnost. Jedním je návrh připravený Národním úřadem pro kybernetickou bezpečnost (NÚKIB) implementující směrnici o „kybernetické bezpečnosti NIS2“, tedy návrh nového zákona o kybernetické bezpečnosti a změnový zákon. Druhým je návrh zákona o odolnosti subjektů kritické infrastruktury, který připravuje Ministerstvo vnitra a implementuje do českého právního řádu evropskou směrnici o odolnosti kritických subjektů. I když jsou oba návrhy důležité, semináře a veřejná diskuze se točí jen kolem toho prvního.

V lednu má také Ministerstvo financí předložit vládě návrh zákona o digitálních financích, který implementuje předpisy Evropské unie v oblasti digitálních financí (zejména nařízení o trzích kryptoaktiv a nařízení o digitální provozní odolnosti finančního sektoru) a k němu změnový zákon.

Ministerstvo průmyslu a obchodu by v lednu mělo předložit od vlády adaptaci nařízení, kterým se zřizuje rámec opatření pro posílení evropského ekosystému polovodičů (tzv. akt o čipech).

V červnu chce Ministerstvo vnitra seznámit vládu s věcným záměrem zákona o správě dokumentů a o archivnictví, který má za cíl modernizaci právní úpravy spisových služeb, snížení administrativní zátěže při správě dokumentů, zefektivnění fungování archivní soustavy a využití plného potenciálu nástrojů eGovernmentu, ať už se pod tím myslí cokoliv.

Po letních prázdninách slíbilo Ministerstvo průmyslu a obchodu předložit vládě návrh zákona o určení zástupců vybraných subjektů za účelem shromažďování elektronických důkazů v trestním řízení. Jedná se o transpozici směrnice kterou se stanoví harmonizovaná pravidla pro určování určených provozoven a jmenování zástupců za účelem shromažďování elektronických důkazů v trestním řízení.

Jak bylo řečeno na začátku, uvedený seznam není úplný. V Plánu legislativních prací vlády není zmíněna například probíhající novela zákona o elektronických komunikacích, nebo návrhy na elektronizaci českého zdravotnictví. Je otázkou, zda to změní připravovaný projekt e-legislativa.

Kategorie:

MojeID v novém kabátě – informace o chystaných změnách

Po, 01/15/2024 - 10:20

Naše sdružení se svým zaměřením obvykle soustřeďuje spíše na infrastrukturní technologie (DNS, registr domén, routing, …) nebo na prosazování nových standardů v době, kdy na ně ještě není běžný smrtelník připraven, ale jejich příjemcem jsou spíše odborníci, inovátoři nebo IT nadšenci. Přizpůsobení těchto služeb široké veřejnosti z pohledu uživatelské přívětivosti je logicky až druhořadé, ale pokud se služba mezi širokou veřejnost dostane, je na místě se věnovat i tomu. A přesně tak tomu bylo i v případě naší elektronické identity, autentizační služby MojeID.

Když jsme v roce 2010 přišli s myšlenkou aplikace, která by umožňovala používat „jedno jméno a jedno heslo“ k internetovým službám třetích stran, nebylo přihlašování přes Google nebo Facebook ani zdaleka tak běžnou záležitostí jako dnes. Ani tvrzení, že je lepší využívat službu českého nekomerčního sdružení, jehož cílem není informace o uživatelem využívaných službách zpeněžit, nerozumělo zdaleka tolik lidí jako dnes. Pravdou je, že dalším motorem pro MojeID byla snaha vytvořit nástroj, jakým by se dala zkvalitňovat data v registru CZ domén pomocí ověřených údajů uživatele, případně umožnit uživateli, aby je předal třetím stranám. V době, kdy pro to nebyla opora v zákoně typu Zákona o elektronické identifikaci nebo pro to nebyla zákonná potřeba typu NIS2, jsme proto vymysleli „validace účtů“, pamatujete? Přesto, že jsme byli v mnoha ohledech opravdovými průkopníky, podařilo se nám s MojeID prosadit, počty uživatelů šly brzo do řádu stovek tisíc a počty služeb s podporou přihlašování pomocí MojeID pak do stovek, včetně těch největších v ČR.

I proto jsme v roce 2013 přišli s prvním redesignem služby MojeID, který nebyl revoluční, ale styl MojeID se po něm více přiblížil běžnému netechnickému uživateli. A protože počet uživatelů i podporovaných služeb rostl i nadále poměrně strmě, do profilu MojeID jsme přidávali celou řadu atributů a vlastností. Tento rozvoj byl udržitelný až do doby, kdy jsme v roce 2020, opět jako pionýři, přidali možnost ověření účtů fyzických osob v souladu s výše uvedeným Zákonem a jejich následného využití pro přístup k systémům veřejné správy. Tento krok si vyžádal významné změny profilu, které jej i přes velkou snahu znatelně znepřehlednily. Respektive s touto novou funkcí, která nalila službě MojeID další palivo do nádrže, ale byla do profilu vložena bez jeho větších změn, si opět lépe poradili zkušení uživatelé internetových služeb. A protože se, doufejme i díky našemu snažení, povědomí o elektronických identitách mezi uživateli v české kotlině významně rozšířilo, přibylo nám poměrně hodně připomínek ke složitosti, jakou laického uživatele prahnoucího po bezpečné, nekomerční a přitom nestátní elektronické identitě, zatěžujeme.

Postupně jsme provedli několik drobných optimalizací, ale dobře jsme věděli, že pro masivnější využívání MojeID jako preferované elektronické identity, bude třeba provést revoluční změnu designu a to jak profilu, tak zejména registračního procesu. Proto jsme se systematicky začali na tuto akci připravovat a to hned v několika směrech. Zanalyzovali jsme využívanost současných funkcí a atributů uživateli MojeID, připravili jsme celou řadu statistik (část jich je i veřejná), které nám průběžně pomáhají a ještě pomáhat budou v hledání špatně průchodných cest pro uživatele, začali rozšiřovat tým frontend vývojářů například i o role UX designéra, vybrali jsme externí agenturu Bell & Hurry, se kterou jsme se následně do akce pustili.

Že tentokrát nepůjde jen o pouhé „přebarvení“ aplikace, nám bylo jasné hned z úvodního workshopu s agenturou, kdy jsme museli představit naši vizi služby MojeID a nastavit si hlavní požadované výstupy redesignu. Následně agentura provedla hloubkové rozhovory s uživateli MojeID nebo analýzu konkurence. Potom jsme společně, ale opět i díky testování navrženého designu našimi uživateli MojeID, dospěli k designu novému. Tuto fázi svým popisem velmi zjednodušuji, byť byla podle doby trvání delší než fáze poslední, kterou bylo samotné kódování nového designu.

Samotnému redesignu ještě předcházelo několik významných změn. Jednou z nich bylo rozvolnění napojení systému MojeID na registr CZ domén. Kontakty jsou nově vytvářeny a aktualizovány asynchronně, nově je garantem dat MojeID a nikoliv registr, což zrychluje práci s profilem (není nutné čekat na komunikaci s registrem). Další významnější změnou, kterou jsme provedli v předstihu, byla možnost využití e-mailu jako přihlašovacího jména pro všechny nové uživatele a pro ty stávající, kteří na svých účtech mají unikátní e-maily. Jako drobnější úpravu, avšak také ve směru nového designu, lze vnímat v létě zavedené ověřování e-mailu a telefonu ve dvou krocích.

V posledních měsících přišlo na řadu konečně i šití nového kabátu – kódování podle návrhů ve Figmě. A když už děláme tak velké změny, inovovali jsme celou architekturu, kterou MojeID využívá. Přidali jsme do ní Nuxt.JS server, který zobrazuje design pro uživatele nad rozhraními, která poskytuje Django aplikační server a využívá kombinace server side a client side renderingu. Koho by zajímaly další technické detaily posledních fází projektu redesignu MojeID, nechť se podívá na přednášku kolegy Tomáše Pazderky z LinuxDays/Internet a Technologie 23.

Nyní již nezbývá než přidat sem pár screenshotů nového kabátu MojeID. I z nich by mělo být patrné, že jsme u něj kladli důraz na přístupnost a mobilní design. Že jsme se snažili napřímit cestu novému uživateli tak, aby rychle dokázal účet nejen vytvořit, ale také jej ověřit, aby se s ním mohl přihlašovat k systémům veřejné správy. A že jsme se věnovali také samotnému profilu MojeID, aby se v něm uživatelé lépe orientovali. Tady určitě několik uživatelů zbystří a někteří nebudou rádi, ale zjednodušení profilu s sebou přineslo také zrušení těch atributů a služeb, které byly jen minimálně používané. Z atributů jsme odebrali všechny záznamy o všech sociálních sítích, položky jako přezdívka nebo pohlaví, ale třeba také veřejný PGP klíč, obrázek, pracovní telefon nebo fax. Určité atributy se zobrazují jen těm, co je měli ve starém profilu vyplněny (například dodací adresy). Zrušili jsme také podporu službě vizitka, která stávajícím uživatelům ještě bude nějaký čas fungovat, ale její ovládání nebylo do nového profilu přeneseno. U vizitky nevylučujeme, že bychom v budoucnu přišli s její inovovanou verzí, nicméně její nízká využívanost a mizivá návštěvnost nás nepřesvědčily o tom, že bychom se tomuto fragmentu služby měli nyní věnovat.

Ještě jedna věc, která doznala změny, je způsob předávání údajů službám, ke kterým se hlásíte. Uživatelé (ale i provozovatelé služeb) dlouhodobě naráželi na to, že pokud uživatel neodsouhlasil předání povinných atributů službě a toto „nepředání“ se rozhodl předávat při každém přihlášení, tak už se do služby velmi často nikdy nedostal. Implementace na straně poskytovatelů služeb nebývá vždy zcela dokonalá a o nepředávané atributy si při opakovaném přihlášení často neříkají, byť mohou. Uživateli pak tím pádem často zobrazí víceméně nesrozumitelnou chybu a ten netuší, že se má přihlásit do profilu MojeID a nastavení předávaných parametrů k poskytovateli vyresetovat. Proto nově nepůjde povinné atributy z okna předávání údajů odebrat a pokud uživatel údaje předat nechce, předání zruší a ke službě se nepřihlásí. Tuto změnu dokonce nasazujeme dříve než nový design, do produkce ji plánujeme dát již v týdnu od 15. ledna, pravděpodobně ve středu.

Žádný systém není bez chyby. MojeID v novém kabátě nebude zcela jistě výjimkou. Nový kabát budeme postupně odhalovat v následujících týdnech, až si budeme jistí, že jeho stav dostatečně odladěný pro nejčastější způsoby využití. Zcela jistě bude obsahovat drobnější chyby, jejichž odstraňování bude i nadále probíhat, jen nám uživatelé pomohou s prioritizací prací. Takže všechny moc prosím, až na vás přijde řada, vyzkoušejte si náš nový kabát a dejte nám vědět, na co bychom se měli soustředit v nejbližší době. Věříme, že mimo konstruktivních připomínek přijdou i pozitivní reakce. Naše „krejčí“, co na novém kabátě vyšívali, váš zájem moc potěší! :).





Kategorie:

Máte blacklist? A mohl bych ho vidět?

Po, 01/08/2024 - 05:00

Nedávno jsem zde na blogu popisoval naše letošní zkušenosti s vyřazováním domén a upozornil jsem na rozpor mezi našimi zjištěními a zjištěními organizace DNS Abuse Institute ohledně počtu zlovolných domén v doméně .CZ.

Slíbil jsem, že se od DNS Abuse Institute pokusíme získat seznam konkrétních incidentů a s nimi spojených webů. To se nakonec podařilo a výsledky jsou velmi zajímavé.

Za období od začátku března do konce září, kdy jsme vyřadili 34 škodlivých .CZ domén, které představovaly cílené útoky na české uživatele, detekovala organizace DNS Abuse 54 škodlivých .CZ domén (56 včetně stránek šířících malware). Na první pohled by se tedy zdálo, že používání blacklistů, ze kterých DNS Abuse vychází (Phishtank, APWG a URLHaus) může být užitečné. Bohužel jejich použití ty nejlépe cílené útoky vůbec nezadrží.

Nejdříve je třeba říci, že mezi našimi daty a daty DNS Abuse Institute není žádný průnik. Nám hlášené, případně námi detekované phishingové domény spadají dle definice organizace DNS Abuse všechny do skupiny „malicious“, tedy mezi domény, které jsou již registrovány se záměrem jejich zneužití. Jako příklad lze uvést domény eportal-cssz.cz, ceskaposta-id.cz nebo akceptovat.cz. Oproti tomu DNS Abuse nám poslalo seznam 26 kompromitovaných domén a 28 domén typu malicious. Pravděpodobně však rozdělení domén dle typu provádí automat, protože ve skupině malicious jsem nalezl dvě domény, které hostují legitimní obsah a byly tak nejspíš kompromitované a několik domén, které jsou zaparkované a dle doby jejich existence nevypadají, že by byly registrovány za účelem zneužití.

Problém ovšem spatřuji v tom, že až na jedinou výjimku, doménu ibsfio.cz, nevypadají malicious domény a pod nimi se vyskytující URL jako podvodné stránky, které by cílily na uživatele z ČR. Ještě více je to patrné v části domén označených jako kompromitované. Zpětně už samozřejmě nelze ověřit, jaký obsah se na daných doménách nacházel a bohužel nepomohla ani služba archive.org. I kdyby však na některé z URL identifikovaných blacklisty používanými DNS Abuse Institute byl phishing na české uživatele, šance na jejich úspěšné okradení by použitá URL a domény dost snižovaly. Přece jen doména přímo napodobující konkrétní službu nebo instituci má větší šanci než nahodilá doména s podivnou URL. Jen několik příkladů URL od DNS Abuse Institute:

  • https://sfdrlympvwavvhbslqphrxetwbanidvuewd.smaeu.cz/ZmVsaXh2cEB3ZXN0bmV0LmNvbS5hdQ==
  • https://secure.oldschool.com-uc.cz/m=weblogin/loginform212,784,618,81161556,1
  • https://my20iareaclient.ceskyprales.cz/kheir/fvjh5645/Rn3564655.php
  • https://www.atopohelp.cz/ncsa.idrn/login.php
  • https://xzy.cz/b270
  • https://nedelevrodine.cz/wp-admin/js/Pin/billing.php

V porovnání s doménami, které jsme řešili u nás a u kterých víme, že jejich obsah skutečně cílil na naše uživatele, nemá nejspíš seznam domén poskytnutých DNS Abuse pro ochranu českých uživatelů valnou hodnotu.

Kromě útoků na české uživatele využívajících doménu .CZ nám projde pod rukama i veliké množství jiných domén, jako .COM, .ONLINE, .TOP a dalších, které ovšem hostují stejný obsah, jako například výše zmiňovaná doména eportal-cssz.cz. Obvykle pak splňují definici malicious domény a jsou tedy registrovány za účelem provedení daného útoku. Jak jsou na tom s detekcí takovýchto domén hostujících obsah útočící na české uživatele zahraniční blacklisty nedokážu říci, ale ze zjevného neúspěchu při detekci podobných stránek v doméně .CZ lze soudit, že to nebude žádná sláva.

Nemohu s jistotou tvrdit, že neexistuje blacklist, který obsáhne i útoky na uživatele na úrovni jednotlivých národních států, ale spíše se domnívám, že nejvíce relevantní data pro ochranu uživatelů v konkrétní zemi mají jejich národní a vládní bezpečnostní týmy a případné bezpečnostní týmy na úrovni jednotlivých národních registrů. Pokud někdo staví své blacklisty bez dat těchto institucí, pravděpodobně zahrne především generické útoky směřující na uživatele nadnárodních služeb typu Facebook. Pokud vám tedy někdo nabízí služby fungující na principu filtrování přístupu k podezřelým doménám, je na místě odpovědět replikou z nadpisu a zkontrolovat si, před čím že budou vaši uživatelé reálně chráněni.

Kategorie:

Krátké vlny: Předsednická Belgie a její digitální priority

Čt, 01/04/2024 - 09:40

Belgie převzala od Španělska s novým rokem předsednickou štafetu v Radě EU. Belgičané povedou své předsednictví pod heslem „Chránit. Posilovat. Připravit.“, a chtějí se zaměřit na šest tematických oblastí:

  • obranu právního státu, demokracie a jednoty,
  • posílení naší konkurenceschopnosti,
  • prosazování ekologické a spravedlivé transformace,
  • posílení naší sociální a zdravotní agendy,
  • ochrana lidí a hranic,
  • podpora globální Evropy.

V oblasti posilování konkurenceschopnosti EU zmiňuje belgické předsednictví kromě předvídatelného a zjednodušeného regulačního rámce také svou ambici „být vůdčí silou při vytváření udržitelného, inovativního a odolného digitálního ekosystému, který posiluje postavení občanů a přináší výhody podnikům“. Nejsem si jist, zda legislativní smršť, která dopadla na digitální prostor v minulém období, (kybernetický balíček, DSA, DMA, DGA atd.) a jejich implementace nejsou v přímém rozporu s deklarovaným cílem, ale praxe si snad najde cestu.

Na jaká témata v digitální oblasti se chce belgické předsednictví soustředit? Na program pracovní skupiny H-05 („krycí“ jméno pro pracovní skupinu věnující se telekomunikacím a digitální legislativě), určitě najdeme dočišťování Nařízení o AI (AI act) a přípravu pozice členských států k vyjednávání Úmluvy Rady Evropy k AI a lidským právům.

Dalším velkým tématem je dokončení vyjednání o výsledné podobě nařízení o gigabitové infrastruktuře a Aktu o kybernetické solidaritě. Akt o gigabitové infrastruktuře byl projednáván na prosincové Radě ministrů pro telekomunikace, kde byla přijata politická dohoda. Nicméně v předvečer projednávání byl zveřejněn společný postoj operátorských asociací GSMA, ECTA a ETNO, které vyčítají členským státům, že text, na kterém se mají dohodnout, je málo ambiciózní a nezaručí splnění evropských cílů do roku 2030, jak si evropské vlády předsevzaly.

Z nelegislativních materiálu plánují Belgičani projednat „Závěry Rady o budoucnosti digitální politiky“ a „Závěry Rady o budoucnosti kybernetické politiky“. Nejvíce zajímavá ale bude pokračující výměna názorů na budoucnost telekomunikací v EU (včetně aktivit k podmořským kabelům), která bude předcházet revizi regulačního rámce pro elektronické komunikace. Po loňské veřejné konzultaci, která byla ve znamení možného zavedení příplatku velkých obsahových platforem telekomunikačním operátorům (tzv. „fair“ share debata), plánuje Evropská komise zpracovat začátkem tohoto roku Bílou knihu k budoucnosti telekomunikací a doporučení k podmořským kabelům. Lze očekávat, že pokud Evropská komise nebude mít zpoždění s přípravou materiálů, mohou o nich ministři pro telekomunikace diskutovat během neformálního zasedání Rady pro telekomunikace v dubnu tohoto roku. Formální zasedání ministrů se pak bude konat 21. května 2024 v Bruselu.

V Bruselu se bude také konat předsednická konference „Od výzkumu k realitě: Digitální řešení evropských výzev, a to 5. až 6. února 2024 a High level konference o poštách a e-obchodu, 11. dubna 2024.

Stále máme někdy tendenci vnímat bruselskou agendu jako něco vzdáleného, nám vnuceného. Není tomu tak. Členské státy umí, pokud jsou aktivní, dát Evropské komisi mantinely a naznačit, na kterých legislativních návrzích a iniciativách nebude panovat shoda vůbec, případně co se se musí (výrazně) upravit. A jedno je jisté, Evropská komise nechce chodit do předem prohraných bitev.

Pocitová vzdálenost evropských jednání je důsledkem až na výjimky opožděného dopadu přijímání evropské legislativy do českého prostředí. Před rokem vyšla v Úředním věstníku finální schválená podoba směrnice NIS 2, těsně před letošními Vánoci ji NÚKIB odeslal k projednání do Legislativní rady vlády a v lednu 2024 se koná (další) seminář, na který tentokrát zvou pánové poslanci Králíček (ANO) a Marek Novák (ANO). Na programu je v podstatě NIS 2 nasvícená ze všech stran, od pohledu NÚKIB, přes dodavatelské řetězce a kritickou infrastrukturu státu. To nám ten rok pěkně začíná…

Obr.: Pozvánka na seminář v Poslanecké sněmovně k NIS 2

Kategorie:

Hezké a klidné svátky a vše dobré v novém roce

Pá, 12/22/2023 - 11:00

Vážení čtenáři našeho blogu, děkujeme vám za vaši přízeň a přejeme vám krásné Vánoce a šťastný nový rok. Těšíme se na viděnou v roce 2024.

Kategorie:

Safer Internet Forum pohledem českých zástupců

Pá, 12/22/2023 - 09:35

Na sklonku letošního roku se v Bruselu uskutečnil další ročník Safer Internet Fora (SIF), tentokrát zaměřený na digitální dovednosti mladých lidí. Do mezinárodní konference, která se konala v hybridním režimu, se aktivně zapojilo 41 mladých lidí z 22 evropských zemí. Přičemž Českou republiku zde reprezentovali hned tři zástupci. Za BIK Youth Panel spolu s ostatními členy vystoupil Viktor Adámek, student Gymnázia Ústí nad Orlicí. Mezi členy SIF Youth Advisory Board, kteří celou akci spolumoderovali, byla Selma Kaymakci, studentka francouzské univerzity Sciences Po. A v neposlední řadě zde vystoupila i Tereza Kráčmarová, zakladatelka spolku Fakeskape. Konferenci dohromady sledovalo více než 850 lidí z celého světa, což je obrovský úspěch.

Letošní Safer Internet Forum dalo nebývalý prostor právě mladým lidem, což může potvrdit i Selma, která se účastnila taktéž předešlých dvou ročníků jako členka BIK Youth Panelu a může tak nabídnout zajímavé srovnání: „Oproti minulému roku se moje role poněkud lišila. Jako členka Youth Advisory Boardu jsem měla i poradní funkci, což spočívalo v navrhování pozvaných řečníků, oficiálního názvu konference a samozřejmě moderování během celé konference SIF.  Byla jsem ráda, že se mi podařilo prosadit pozvání Terezy Kráčmarové z Facescape, která poskytla cenné zkušenosti z realizace tohoto unikátního projektu.“

Tereza ve svém vstupu mj. zmínila, že influenceři jsou důležitými vzory pro mladé lidi, proto by si měli uvědomovat svůj vliv a zajistit, aby prostřednictvím svého obsahu sdíleli spolehlivé informace. Dále zdůraznila důležitost role rodičů a vychovatelů ve vztahu k šíření nepravdivých informací, protože právě oni by měli dětem vysvětlovat, jak k těmto dezinformacím přistupovat, a zároveň je nesoudit za to, když někdy uvěří příspěvku, který není pravdivý.

Jako nejzajímavější zkušenost z letošního ročníku Selma uvedla možnost moderování jednoho z panelů a taktéž závěrečný proslov k divákům. „Vrcholem pro mě bylo moderování panelu spolu s mojí kolegyní a kamarádkou z Norska. Naše diskuse se soustředila na zákon o digitálních službách (DSA) a jeho dopady na digitální dovednosti, které se dotýkají různých zúčastněných stran. Kromě toho jsem měla tu čest vystupovat v závěrečném panelu s názvem „Next Steps“, kde jsem shrnula zásadní body z celodenních diskusí.“

Selma dále vyzdvihla zajímavost tzv. „deep dive sessions“, kde zazněly různé názory na to, zda by do vzdělávacího sektoru měla být více začleněna digitalizace. Uvedla, že se zde objevil jeden zajímavý postřeh: „Ačkoli se preference lišily v závislosti na regionech a digitální propasti, mladí lidé vyjadřovali touhu po tzv. soft skills nežli po tzv. hard skills, jako je třeba kódování. Tento názor zazněl i v hlavním projevu profesorky Amandy Third z australské univerzity v Sydney, která také zdůraznila důležitost rozvoje kritického myšlení a dalších podobných dovedností. Vzhledem k tomu, že se české školství soustředí právě na hard skills, je evidentní, že je třeba naléhavě přehodnotit a rozšířit výukové metody a obsah ve prospěch komplexnějšího přístupu ke vzdělání pro digitální éru.“

Z mnoha rozhovorů si Selma odnáší dva klíčové poznatky: „Za prvé je nutné soustředit úsilí na podporu digitálních dovedností, zejména u dětí ve věku do 14 let. Klesající věk používání digitálních technologií to jen potvrzuje, přičemž v oslovování této mladší věkové skupiny je stále znatelná mezera. Za druhé existuje nedostatečná komunikace médií směrem k široké veřejnosti ohledně proběhlých změn v aktuální legislativě zaměřené na technologické aspekty. Tato komunikační mezera pak vyvolává u veřejnosti strach a formuje negativní vnímání digitálních technologií u starší generace, což má dopad právě na vzdělávání mladých lidí.“

Těší nás, že generace Z dostává svůj prostor pro vyjádření názorů i na konferencích mezinárodního významu, protože ne nadarmo se jí říká internetová generace. Selmo, Viktore, Terezo, děkujeme za skvělou reprezentaci!

Kategorie:

Co přinesla a ještě přinese nová verze FREDa?

Čt, 12/21/2023 - 09:30

Na začátku prosince 2023 jsme uvolnili novou verzi systému FRED, tedy námi vyvíjeného systému pro správu domén, který využíváme pro provoz české národní domény .CZ. Systém FRED ale slouží ke stejnému účelu v dalších deseti zemích. Využíván je pro správu domény Argentiny (.AR), Bosny a Hercegoviny (.BA), Kostariky (.CR), Albánie (.AL), Severní Makedonie (.MK), Tanzanie (.TZ), Angoly (.IT.AO a .CO.AO), Malawi (.MW), Lesotha (.LS) a Macaa (.MO). Nová verze FREDa je poskládána z většího množství dílčích změn vyvinutých za posledních více jak 12 měsíců, které jsme, až na výjimky, průběžně nasazovali do provozu u nás. Celá řada úprav byla významně provázána, nebylo tedy možné zveřejnit dílčí verze systému, protože by se na ně zahraničním registrům obtížně přecházelo. FRED ve verzi 2.48 je naopak verzí, na kterou doporučujeme přejít.

Kompletní výčet změn od poslední verze je dostupný v naší rozsáhlé dokumentaci, respektive v sekci záznamy o změnách. Protože jsme ale část změn potřebovali dostat do provozu dříve, a dokázali jsme to díky úzké interní spolupráci mezi vývojáři, testery a administrátory efektivně zařídit, nejsou informace o změnách v následujícím odstavci pro uživatele instalace FREDa pro .CZ doménu žádnou novinkou.

O zvýšení bezpečnosti transferů domén (objektů v registru obecně) jsem psal již loni. Heslo pro transfer, tzv. Authinfo, je nově ukládáno v zahashované podobě a navíc s časově omezenou platností. V případě .CZ domény je to 14 dní, ale je to nastavitelný parametr. Letos v létě jsme začali v provozu využívat také nového systému verifikací kontaktů, který pomáhá a bude pomáhat udržovat v registru aktuální a ověřená data o držitelích domén. Aktuálně probíhá ověřování zejména takových kontaktů, u kterých máme podezření na jejich nesprávnost, ale protože jsou procesy kontrol automatizovány, budeme moct prověřovat kontaktů více.

Například s využitím dat z Registru územní identifikace, adres a nemovitostí (RÚIAN) nebo z Administrativního registru ekonomických subjektů (ARES). Interakce s držiteli domén probíhá přes Verifikační portál a všechny informace o stavu ověření kontaktů a k nim potřebné nástroje, jsou k dispozici operátorům našeho helpdesku ve webovém rozhraní pro administraci FREDa, který nazýváme FERDA (nástupce dožívajícího systému Daphné).

FERDA doznal v letošním roce celé řady změn. Kromě přibývajících funkcí, kterým vévodí již zmíněné Verifikace, správa registrátorů (včetně certifikátů) nebo správa agendy veřejných žádostí jsme také vylepšili vyhledávání objektů v registru, a to jak z pohledu využitých API, tak z pohledu operátora helpdesku. A když jsem u těch zvenku méně viditelných změn, tak jednou z těch velmi významných byl kompletní přepis starého systému na odesílání zpráv (e-mailů, SMS a dopisů) na zcela nový modul, tzv. Messenger. Právě tato novinka byla největším důvodem odkladu zveřejnění nové verze FREDa, protože jsme s ní chtěli jít ven až v okamžiku, kdy nebude FRED nikde využívat původní systém na odesílání zpráv. Poslední změnou, kterou zmíním v sekci „pro .CZ doménu je již v produkci“ v části zvenku „neviditelných“ změn, je postupný přechod od CORBA ke gRPC při vzdáleném volání procedur. Moderní gRPC využíváme u všech nově vyvíjených funkcí, ale využili jsme jej i při vývoji inovovaného modulu pro logování, tzv. Loggeru, který nově využíváme pro všechny komponenty FREDa.

FRED ve verzi 2.48 obsahuje ale i novinky, které jsme dosud do produkce nenasadili, ale připravujeme jejich zveřejnění na veřejně dostupném testovacím prostředí, které slouží zejména registrátorům. Zavedeme minimální počet znaků Authinfa na 8, budeme umět napovídat registrátorům, na jaký e-mail bylo Authinfo zasláno (e-mail nápověda ve tvaru: a*****@b*****.*) a znemožníme zakládání objektů pomocí příkazu create, pokud bude obsahovat authinfo. Dále ukončíme technickou kontrolu nameserverů a to tak, že možnost volat kontrolu přes EPP nebude již implementována (nebylo využíváno), automatické kontroly nahradíme novým nástrojem v příštím roce (aktuální systém byl nestabilní a jeho údržba příliš nákladná). Obecně se verze FREDa 2.48 nese v duchu vyčištění od nepoužívaného zastaralého kódu, ale přináší i novinky, na kterých budeme do budoucna stavět. A tou nejvýznamnější je implementace podpory pro aukce domén, která si dává za cíl zpřístupnit domény, které jsou po expiraci uvolňovány k volné registraci, širšímu okruhu zájemců. O tomto tématu se ale rozepíšu až v době, kdy dokončíme vývoj a testování rozhraní pro dražitele a podpůrných rozšíření do FERDy. Ale to bude už v roce následujícím.

V příštím roce bychom také rádi doplnili letos zveřejněný instalační skript na DEMO FREDa o návod, jak přejít ze starších verzí FREDa na nyní aktuální verzi 2.48 a pokusíme se také nabídnout podporu těm registrům, které by ji při upgradu nebo obecně při správě, potřebovali.

Kategorie:

Novinky v Knot Resolver 6.x

Pá, 12/15/2023 - 07:30

V tomto příspěvku bych rád představil nadcházející hlavní verzi projektu Knot Resolver, která je v tuto chvíli ve fázi testování a ladění a proto velmi oceníme, když si ji vyzkoušíte a poskytnete nám k ní jakoukoliv zpětnou vazbu.

Architektura

Knot Resolver se od ostatních open-source implementací DNS resolverů liší převážně svou modularitou, a to v několika aspektech. Kompletní Knot Resolver je tvořen několika komponentami: kresd (samostatný resolvující daemon), cache databáze s DNS záznamy a cache garbage collector (proces starající se o periodické čištění záznamů v cache). Resolvující daemon je navíc jednovláknový proces, což znamená, že je velmi jednoduchý a přímočarý, pokud ale chceme plně využít zdroje procesoru, musí být spuštěno více jeho samostatných instancí. Jejich počet zpravidla odpovídá počtu jader procesoru.

Jednotlivé základní i doplňující funkce resolvujícího daemona (kresd) jsou zajišťovány samostatnými moduly, které je možné připojovat a odpojovat a mít tak „štíhlý“ resolver přizpůsobený vlastním potřebám bez nadbytečných funkcí. Další neobvyklostí byla až dosud konfigurace, která se píše v plnohodnotném programovacím jazyce Lua. Společně s možností psaní vlastních modulů v C nebo Lua to přináší takřka neomezené možnosti, jak Knot Resolver a jeho funkce doplňovat nebo konfigurovat.

S tím, jakou má Knot Resolver architekturu, se váže hned několik problémů:

  • Jednovláknové procesy neumožňují tak jednoduchou škálovatelnost na vícejádrových strojích. Musí se spustit více procesů, o které je pak třeba se jednotlivě starat. K tomu je zpravidla využíváno systemd, které ale není možné nasadit v Docker kontejnerech nebo některých distribucích Linuxu (např. Turris OS a OpenWrt).
  • Jednotlivé moduly je před použitím třeba manuálně načíst, jinak jejich funkce nebudou dostupné. U některých modulů je také potřeba zajistit správné pořadí jejich načtení.
  • Konfigurace v jazyce Lua neumožňuje jakýmkoli způsobem ověřit její správnost před spuštěním v resolveru. V lepším případě se chyba projeví hned při spuštění, v horším případě může resolver běžet bez problému a chyba se projeví až při pokusu o aplikaci špatné konfigurace nebo spuštění chybného kódu.

V nové nadcházející verzi vše zmíněné zůstává, ale přibývá nová komponenta zvaná manažer (manager), která se snaží nevýhody tohoto přístupu zredukovat a usnadnit interakci uživatele s Knot Resolverem.

Manažer a řízení procesů

Manažer je nová komponenta napsána v Pythonu, která spravuje zbylé části resolveru na základě konfigurace:

  • Dává pokyn ke spuštění nebo zastavení ostatních procesů. K tomu používá supervisord, který funguje i v Docker kontejneru a Linux distribucích nepodporujících systemd. Díky manažerovi je tedy mnohem snadnější spravovat procesy resolveru na systémech s absencí systemd.
  • Používá deklarativní formu konfigurace v YAML formátu, která je výrazně přehlednější než Lua. Navíc je možné ji validovat a odchytit tak chyby v konfiguraci ještě před spuštěním resolveru. Na pozadí se pak postará o správné načtení potřebných modulů v případě použití jejich funkcí.
  • Poskytuje HTTP API, které umožňuje změnu konfigurace za běhu nebo načtení agregovaných metrik ze všech kresd procesů.

V Knot Resolveru existují dvě různé řídící struktury, viz následující diagram. Sémanticky manažer řídí všechny zbylé části resolveru. Manažer však zároveň není kořenem procesní hierarchie, tím je supervisord, který je na vrcholu procesního stromu a řídí všechny procesy.

Procesní hierarchie lehce komplikuje proceduru spuštění resolveru. Je možné si toho všimnout i při náhledu do logů hned po spuštění.

Co se děje v při studeném startu:

  1. Spustí se manažer a přečte si deklarativní konfiguraci. Pokud je konfigurace validní, tak vygeneruje konfiguraci pro supervisord.
  2. Poté se spustí supervisord a dojde k nahrazení běžícího procesu manažera novým supervisord procesem.
  3. Supervisord načte svou konfiguraci a spustí novou instanci manažera. Nově spuštěný manažer běží jako podřízený proces pod supervisord, což je žádoucí stav.
  4. Manažer si znovu načte konfigurační soubor a na základě toho vytvoří konfiguraci pro zbylé procesy resolveru.
  5. Nakonec vydá manažer pokyn pro supervisord, aby spustil vyžadovaný počet procesů, které si následně načtou pro ně vytvořenou konfiguraci.

Díky tomu, že procesy řídí supervisord, je možné vyřešit selhání jednotlivých procesů resolveru bez zásahu uživatele. Vše mimo supervisord se při selhání automaticky restartuje. Pokud se ze selhání není možné zotavit automaticky, procesy se zastaví a nezanechají za sebou žádné smetí.

Zpracování konfigurace

Následující diagram detailněji popisuje průběh načtení konfiguračního souboru při studeném startu nebo při konfiguraci resolveru za běhu pomocí HTTP API. K jednodušší komunikaci s HTTP API je možné použít CLI nástroj kresctl. Konfigurační soubor je jediný autoritativní zdroj konfigurace a na rozdíl od konfigurování prostřednictvím HTTP API je perzistentní napříč restarty resolveru nebo i celého stroje. Omezením konfigurace přes HTTP API je také to, že z ní není možné generovat konfiguraci pro supervisord, která se sestavuje pouze při studeném startu. HTTP API proto neumožňuje konfigurovat naprosto vše co umí  konfigurační soubor.

Po načtení ze souboru nebo přijetí přes HTTP API je konfigurace naparsována z YAML nebo JSON řetězce do jednotného slovníkového formátu. Následně proběhne validace dat oproti vzorovému schématu a jejich normalizace. Dojde například k přiřazení defaultních hodnot nebo přiřazení hodnot na základě kontextu v konfiguračních datech. Je to možné díky vrstvení vzorového schématu konfigurace, které mezi jednotlivými vrstvami umožňuje transformace na základě kontextu z vrstvy předchozí nebo získání nové hodnoty ze systému. Tím vzniknou nová konfigurační data, která jsou validována oproti vrstvě následující. Uživatel tedy pracuje s lehce odlišnou strukturou konfigurace než resolver interně po validaci.

Po úspěšné validaci dojde při studeném startu k vygenerování konfigurace pro supervisord, v ostatních případech mimo studený start dojde pouze k vytvoření konfigurace pro jednotlivé procesy resolveru.

Instalace

Kompletní dokumentaci k testovací verzi lze nalézt na https://knot.pages.nic.cz/knot-resolver. Jak nainstalovat testovací verzi pro vybrané linuxové distribuce je popsané v kapitole Getting Started.

Spuštění

Naše upstream balíčky pro jednotlivé linuxové distribuce jsou standardně dodávány se systemd integrací. V nové verzi již není nutné spouštět jednotlivé instance kresd (kresd@1, kresd@2, …), stačí pouze spustit manažera pomocí nové systemd služby.

$ systemctl start knot-resolver # stop, reload, restart

Počet kresd instancí, kterým má manažer zajistit spuštění, se určuje číselnou hodnotou v konfiguračním souboru pod novým názvem workers. Hodnotu je také možné nastavit na auto, kdy manažer nastaví počet workerů automaticky na základě počtu jader procesoru.

# /etc/knot-resolver/config.yaml workers: 4

Knot Resolver standardně využívá logování přes systemd, kam je možné se podívat pomocí systemd-journald služby, například při neúspěšném startu resolveru.

$ journalctl -eu knot-resolver Konfigurace

Konfigurace je nově deklarativní ve formátu YAML nebo JSON (pro HTTP API). Je možné ji před použitím validovat a zachytit tak případné chyby ještě před spuštěním Knot Resolveru.

Validace

Validace konfigurace vždy probíhá automaticky při spuštění Knot Resolveru. V případě vadné konfigurace skončí jeho spuštění chybou.

Konfiguraci je možné validovat nezávisle na spuštění resolveru pomocí CLI nástroje kresctl.

kresctl validate /etc/knot-resolver/config.yaml

Pokud validace selže, objeví se detailní chybová hláška s informacemi, kde a co je špatně. Stejný výpis se objeví v logu Knot Resolveru, pokud selže validace konfigurace při startu.

Configuration validation errors detected: [/network/listen[0]/port] value 65536 is higher than the maximum 65535 [/logging/level] degugg does not match any of the expected values (crit, ..., debug) Dynamická změna konfigurace

Změnit konfiguraci resolveru za běhu je možné dvěma způsoby.
Knot Resolver je schopný dynamicky změnit vlastní konfiguraci znovunačtením konfiguračního souboru nebo prostřednictvím HTTP API.

Po úpravě konfiguračního souboru stačí následně zavolat reload systemd služby.

$ systemctl reload knot-resolver

K zaslání nové konfigurace na HTTP API je opět možné využít CLI nástroje kresctl nebo například standardní nástroj curl.

$ kresctl config set /workers 8

Při standardním použití si kresctl sám zjistí konfiguraci HTTP API z konfiguračního souboru. Mimo operace s konfigurací je možné prostřednictvím HTTP API získat metriky resolveru nebo kompletní JSON schéma konfigurace. Vše je detailněji popsáno v management sekci dokumentace.

HTTP API je ve výchozím nastavení nakonfigurované, aby poslouchalo na unixovém socketu. API je také možné nakonfigurovat na jedno ze síťových rozhraní a port.

# /etc/knot-resolver/config.yaml management: interface: 127.0.0.1@5000 # nebo použijte místo rozhraní unix-socket # unix-socket: /my/new/socket.sock

Obdobná změna konfigurace s pomocí curl nástroje bude vypadat následovně.

$ curl -H 'Content-Type: application/json' \ -X PUT -d '8' http://127.0.0.1:5000/v1/config/workers

Rekonfigurace probíhá následujícím způsobem:

  1. Nová konfigurace získaná ze souboru nebo přes HTTP API je validována.
  2. Manažer zkontroluje, zda v nové konfiguraci nejsou nastavení, která by vyžadovala kompletní restart resolveru včetně manažera a vytvoření nové supervisord konfigurace. Pokud změny v konfiguraci nevyhovují, operace tímto končí chybovou hláškou a změnu konfigurace je potřeba provést pomocí restartu celého resolveru pomocí systemd.
  3. Manažer vytvoří novou konfiguraci pro jednotlivé procesy a s touto konfigurací spustí takzvaný “canary” proces, díky kterému se zjistí případné chyby.
  4. Pokud v “canary” procesu vše funguje jak má, následuje spuštění vyžadovaného počtu procesů s novou konfigurací.
  5. Nově spuštěné procesy v daný moment nahradí původní již běžící a tím je rekonfigurace dokončena bez výpadku služby.
Příklady konfigurace

První věc, kterou budete pravděpodobně chtít nakonfigurovat, jsou síťová rozhraní pro poslech. Následující příklad instruuje resolver, aby přijímal standardní nezašifrované DNS dotazy na localhost adresách. Zabezpečené DNS lze nastavit pomocí protokolů DNS-over-TLS nebo DNS-over-HTTPS. Nastavení nestandardního portu pro protokol je možné explicitně určit pomocí parametru port.

YAML také umožňuje vytvářet proměnné (&interfaces) a obsah následně replikovat v dalších částech konfigurace (*interfaces). Díky tomu není v příkladu třeba opakovaně vypisovat síťová rozhraní.

# /etc/knot-resolver/config.yaml network: listen: # Nezabezpečené DNS na portu 53 (default). - interface: &interfaces - 127.0.0.1  - "::1" # Pro IPv6 adresy a jiné řetězce začínající # dvojtečkou je potřeba použít uvozovky. # DNS-over-TLS na portu 853 (default). - interface: *interfaces kind: dot # DNS-over-HTTPS (port 443 je default). - interface: *interfaces kind: doh2 # Port je také možné nastavit explicitně. port: 5000

Dalším výrazným zlepšením nejen v konfiguraci, ale v chování resolveru obecně, je změna přístupu k vyhodnocování a aplikaci policy pravidel. Deklarativní přístup v konfiguraci zajišťuje, že je vždy vybráno pravidlo, které přicházejícímu dotazu odpovídá nejlépe. Starý přístup v předchozích verzích vybral první pravidlo, které odpovídalo dotazu. Bylo proto třeba dbát velké opatrnosti s pořadím pravidel, jinak se často nechtěným způsobem vzájemně „zastiňovala“.

U pravidlel pro třídění uživatelů na základě zdrojové podsítě bude mít vždy přednost menší odpovídající podsíť před větší. To je možné vidět v následujícím příkladu. Jedním pravidlem jsou uživatelé ze všech podsítí odmítnutí a dalšími pravidly s menšími podsítěmi jsou povoleny.

# /etc/knot-resolver/config.yaml views: # Podsítě, které jsou povoleny. - subnets: [ 10.0.10.0/24, 127.0.0.1, "::1" ] answer: allow # Podsíť, pro kterou jsou přiřazena další pravidla # pomocí štítků (tags). - subnets: [ 192.168.1.0/24 ] tags: [ malware, localnames ] # Vše ostatní je odmítnuto. - subnets: [ 0.0.0.0/0, "::/0" ] answer: refused

Jednotlivá pravidla je možné mezi sebou kombinovat. K tomu slouží štítky (tags), které stačí přiřadit k pravidlům, které chceme zkombinovat. Kombinace různých pravidel se chovají výrazně předvídatelněji než dříve. Je tak možné filtrovat uživatele na základě podsítě, ze které dotaz přichází, a pomocí tagu přiřadit pro tuto podsíť další pravidla zpracování dotazu. Mohou to být například úpravy v lokálních DNS záznamech, blokovací seznamy a další.

# /etc/knot-resolver/config.yaml local-data: # Místo pro statické DNS záznamy. records: | www.google.com CNAME forcesafesearch.google.com rpz: # Malware seznam pro blokování. - file: /tmp/malware.rpz # Je použito pouze pro "malware" štítek (tag). # Například v kombinaci s podsítěmi ve "views". tags: [ malware ] # /etc/knot-resolver/config.yaml local-data: # Statické páry domén a adres. addresses: a1.example.com: 2001:db8::1 a2.example.org: - 192.0.2.2 - 192.0.2.3 - 2001:db8::4 # Import souboru ve formát "/etc/hosts". addresses-files: - /etc/hosts

Deklarativní přístup dále umožnil pokrýt další části použití v oblasti přeposílání dotazů, kde je nově možné přeposlání na více míst i rámci jednoho dotazu. Cílem dotazu pak může být i autoritativní server. Přeposílání nyní nerozbije CNAME a resolver dotaz vyřeší správným způsobem.

# /etc/knot-resolver/config.yaml forward: # Veškeré DNS dotazy budou přeposlány na ODVR servery. - subtree: '.' servers: - address: - 2001:148f:fffe::1 - 193.17.47.1 # Komunikace je zabezpečena pomocí TLS. transport: tls hostname: odvr.nic.cz # /etc/knot-resolver/config.yaml forward: # Přeposlání dotazu pro interní doménu. - subtree: internal.example.com servers: [ 10.0.0.53 ] options: # Cílem je interní autoritativní DNS server. authoritative: true     dnssec: false Závěrem

Na závěr bych rád poděkoval všem, kteří si nový Knot Resolver vyzkoušeli nebo teprve vyzkouší. Více o nové verzi naleznete v dokumentaci. Případnou zpětnou vazbu nám můžete poskytnout nejlépe v GitLabu nebo zaslat na e-mailovou adresu projektu. Pokud vše půjde podle plánu, na první oficiální vydání se můžete těšit začátkem příštího roku s označením verze 6.1.0.

Kategorie:

Krátké vlny: Šťastné a (kyber)bezpečné

Čt, 12/14/2023 - 07:20

Nárůst kybernetické kriminality je alarmující. Již na jaře tohoto roku byly publikovány statistiky dokazující, že v roce 2022 tvořila kybernetická kriminalita s více než 18 500 skutky přes 10 % z celkové registrované kriminality v Česku. Důraz je nutno klást na slovo „registrované“, s nenahlášenými kybernetickými zločiny to číslo může být ještě vyšší.

Tento týden Pavel Bašta z národního CSIRT pracoviště České republiky publikoval krátký článek s příklady podvodníků, kteří cílí na uživatele prodávající nebo nakupující zboží přes bazarové servery. Bohužel už není pravdou, že tito podvodníci používají nevěrohodné kontaktní adresy a lámanou češtinu. S vývojem a zlepšováním strojových překladů a dalších nástrojů, které nám pomáhají v práci, se zlepšují i padouši v kybernetickém prostoru, protože i oni umí používat nástroje jako DeepL a bohužel i další, které jim vylepšují důvěryhodné image.

A bude hůř. Prakticky na všech velkých platformách typu YouTube nebo Facebook se denně setkávám, s nabídkou „skvělých investic“. „ČEZGroup spouští novou platformu“ informuje mě prezident této země, Petr Pavel. A následuje odkaz vedoucí na falešnou stránku, která jako by z oka vypadla webu Novinky.cz a která dál omotává podvodnými pastičkami možnou oběť.

Doména pochybného webu visí samozřejmě na Cloudflare, zaregistrovaná na soukromou osobu, která uvedla jako místo svého působení Moskvu.

Jindy na mě zas vyskočí podvodné video přestrojené za zpravodajství CNN Prima NEWS, které přináší skvělou zprávu „o zářivém objevu 50 000 barelové denní ropy v Brně a Kujově.“ Nenechám se zmást, že Kujov v Česku neexistuje (podvodný kyberšmejd myslí zřejmě Kyjov) a „běžím investovat peníze do skvělého obchodu“.

V analogovém světě se samozřejmě také stávalo, že podvodníci inzerovali v novinách pochybné nabídky a lákali naivní zájemce. Ale pokud byl následně inzerát označen jako podvodný, nemohlo se stát, aby druhý den vyšel v novinách znovu. V digitálním světě tuto jistotu nemáme. Velké platformy sice mají svá nahlašovací tlačítka proti podvodnému obsahu, avšak prudce selhávají při hodnocení těchto reportů. I když nahlásíte podvodné video, platforma se zamyslí a do 24 hodin odpoví, že…“Rozhodli jsme se, že tuto reklamu neodstraníme. Zjistili jsme, že reklama neporušuje zásady PLATFORMY, které zakazují určitý obsah a postup, jež jsou podle nás škodlivé pro uživatele a online ekosystém celkově.“. Jediné, co mohu, je skrýt podvodnou reklamu na svém profilu. Vypadala by reakce platformy jinak, pokud by podvod reportoval důvěryhodný oznamovatel (trusted flagger)? Nebo je problém už v nakupování reklamy? Každopádně by bylo fajn, kdyby si „algoritmy“ platforem uvědomily, že Česko není zas taková banánová republika, aby zde prezident lákal na investice do státního podniku ČEZGroup a že v Brně najdeme spoustu „zářivých objevů“, ale 50 000 barelové ropy denně opravdu ne. Čím dřív si to uvědomí, tím lépe pro všechny.

Europol tento týden vydal předběžné varování o využívání geolokační bluetooth trackerů organizovaným zločinem.  Malá užitečná zařízení typu AirTag, jejichž klíčovou vlastnosti je podpora vyhledávání pomocí crowdsourcingu, nám zjednodušují život, ale nepřekvapivě pomáhají i padouchům. Sledovací zařízení založené na technologii bluetooth se nejčastěji objevují v souvislosti s obchodováním s drogami. V Europolem šetřených případech byla sledovací zařízení použita k lokalizaci vozidel využívaných k trestné činnosti nebo k lokalizaci plavidel používaných při pašování migrantů. Pašeráci drog používali AirTagy a podobná zařízení ke sledování tranzitu drog po příjezdu do přístavů a při následné distribuci ve vnitrozemí.

Nezahálí ani špioni. Z investigativní reportáže holandského deníku NRC vyplynulo, že čínská hackerská skupina „Chimera“ měla více než dva roky neoprávněný přístup do počítačové sítě nizozemského výrobce čipů NXP. I přes bezpečnostní opatření výrobce čipů zůstal tento kybernetický útok dlouho skrytý a ve svém důsledku vedl ke krádeži práv duševního vlastnictví společnosti NXP.

Vyšetřováním bylo zjištěno, že hackeři použili ukradené informace o účtech z předchozích úniků dat ve službách (např. LinkedIn nebo Facebook). Díky těmto informacím se mohli vydávat za běžné zaměstnance a získat přístup do sítě společnosti NXP. Poté začali metodicky krást, komprimovat a šifrovat velké množství dat. Kradená data byla připravena ke kopírování prostřednictvím cloudových služeb typu Google Drive, Microsoft OneDrive a Dropbox.

Digitální prostor je skvělé místo k zábavě, podnikání, vzdělávání. Digitální prostor je ale také skvělé místo pro šmejdy a podvodníky. Tak bacha na ně, ať Vám v adventním čase nezbydou místo dárků pro nejbližší oči pro pláč. Hezké vánoční svátky.

Kategorie: