Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 29 min 54 sek zpět

Myš je pro kočku: Prohlížeče

St, 09/20/2023 - 10:15

Nejpoužívanějším aplikacím kraluje webový prohlížeč. Je ochotný zastat všechny funkce operačního systému a vy v něm trávíváte šedesát minut z hodiny. Jaká škoda, že na webových stránkách nám klávesnice zapadaná prachem nepomůže. Nebo ano?… Často ne. Není to však chyba klávesnice, jako liknavost vývojářů a jejich designu na úkor použitelnosti! Stížnosti však zkusím spolknout do příště. Zde nás čeká několik obecných tipů.

Přepínání tabů

Oproti situaci před dvaceti lety lidé znávají Alt+(Shift)+Tab pro skákání mezi okny. Ale úplně stejně funguje Ctrl+(Shift)+Tab pro přesun mezi taby! Úplně stejně ne… Že už tu zkratku znáte? A dovedete říci rozdíl mezi ní a Ctrl+PgDown/Up? V Chromu žel žádný rozdíl hloupě není. Ale ve Firefoxu vás Ctrl+PgDown přesune na tab vpravo, kdežto Ctrl+Tab na minule použitý tab.

Kategorie:

Krátké vlny: Pekelný začátek podzimu

Čt, 09/14/2023 - 06:25

Konec prázdnin. Návraty z dovolené. Pracovní kalendář se znovu zaplňuje nesmyslnými online i offline schůzkami. Přes prázdniny kvasilo a dozrálo spoustu aktivit nejen ve státních úřadech. ČTÚ provedl konzultaci k podmínkám výběrového řízení na rádiové kmitočty pro DAB+ (a už zahájil výběrové řízení), NÚKIB rozeslal do meziresortu návrh nového zákona o kybernetické bezpečnosti (a už vypořádal došlé připomínky) a vláda rozhodla o harmonogramu migrace na doménu gov.cz.

Toto pondělí NÚKIB rozeslal připomínkujícím návrh vypořádání připomínek, které obdržel. Wordovský dokument, který obsahuje tabulku vypořádání, má hutných 682 stran, tabulka ke souvisejícímu změnovému zákonu dalších 66. Peklo. Z rychlé analýzy vypořádání je zřejmé, že NÚKIB si dál stojí za svým, ať už v základních parametrech implementace NIS2 směrnice, tak i v mechanismu prověřování dodavatelského řetězce. V rámci vypořádání, zejména se subjekty, které mají právo podávat zásadní připomínky, je ještě prostor k úpravám, než NÚKIB pošle návrh zákona do Legislativní rady vlády a následně ho projedná vláda. Nicméně kombinace urputného NÚKIB a zoufalství některých připomínkujících subjektů protlačit své připomínky způsobí spíše větší než menší legislativní peklo v další fázi projednávání a zejména ve výborech Poslanecké sněmovny. Držím pěsti.

Další peklo se odehrává v Bruselu, kde se před konáním Rady pro spravedlnost a vnitřní věci (JHA), která je svolána na 28. září 2023, finalizuje pozice členských států ke kontroverznímu návrhu nařízení, kterým se stanoví pravidla pro předcházení pohlavnímu zneužívání dětí a boj proti němu (nařízení CSAM). Nařízení má ambici stanovit jednotná pravidla EU pro odhalování, oznamování a odstraňování materiálů týkajících se pohlavního zneužívání dětí na internetu.

Připomeňme, že dočasně (do 3. srpna 2024) platí nařízení (EU) 2021/1232 ze dne 14. července 2021 o dočasné odchylce od některých ustanovení směrnice 2002/58/ES, pokud jde o používání technologií poskytovateli interpersonálních komunikačních služeb nezávislých na číslech ke zpracování osobních a jiných údajů pro účely boje proti pohlavnímu zneužívání dětí online. To některým poskytovatelům interpersonálních komunikačních služeb nezávislých na číslech (některé IM aplikace) dává právní rámec a možnost dobrovolně využívat některé technologie k odhalování a oznamování pohlavního zneužívání dětí online.

Z dobrovolnosti ale návrh CSAM dělá povinnost a jde ještě mnohem dále. Pokud selžou samoregulační mechanismy (samohodnocení rizik), může koordinační autorita požádat soud o vydání tzv. detekčního příkazu. Tento detekční příkaz by měl pak být prováděn pomocí technologií, které poskytne EU Centre, orgán Evropské komise zřízený nařízením CSAM.

Odpůrci současné podoby nařízení CSAM (a není jich málo, v poslední době například i sdružení EuroISPA) ho odmítají, protože disproporčně a bezprecedentně ohrožuje ochranu soukromí a je velkým rizikem pro kybernetickou bezpečnost v EU. Zejména dopad nařízení CSAM na koncové šifrování je alarmující. Existující technologie, které zahrnují skenování a analýzu osobní komunikace, mohou často vytvářet falešně pozitivní výsledky, což může vést k neoprávněným zásahům do soukromí a potenciálním právním důsledkům pro nevinné uživatele. Příklad otce, který zaslal lékaři fotku svého syna a přišel tak o svůj účet a vyšetřovala jej policie je obecně známý. Pachatelé se zatím mohou více přesouvat své aktivity na darknet, případně použijí jiné platformy, aby zakryli svou identitu a nezákonné konání.

Ohrožení důvěry v digitální služby, možnost zneužití a negativní dopad na základní právo na soukromí (na což upozornila i právní služba Rady v dubnu tohoto roku), to je příliš vysoká cena za tento pochybný experiment se soukromím nás všech, byť zahalený v bohulibý cíl – ochrana dětí v kyberprostoru.

Tvůrci CSAM regulaci by si měli přečíst knihu Mindf*ck od Christophera Wylieho, nebo aspoň tuto pasáž:

„Rozvoj člověka vyžaduje přítomnost soukromí a volného prostoru, v nichž můžeme experimentovat, hrát si, kutit, mít tajnosti, překračovat tabu, porušovat své sliby a dumat o své budoucnosti bez důsledků pro náš běžný život, dokud se sami nerozhodneme změny zveřejnit. Historie nás učí, že osobní a sociální osvobození začíná v soukromí. Neodkážeme se posunout dál z našich dětských let, minulých vztahů, omylů, starých postojů, starých těl či dřívějších předsudků, pokud nejsme pány svého soukromí a osobního rozvoje. Nemáme svobodu volby, když jsou naše volby monitorovány a omezovány. Nemůžeme růst a měnit se, když jsme svázáni s naším bývalým já nebo s tou osobou, za jakou jsme se považovali, či s tou, jakou jsme předstírali, že jsme. Když existujeme v prostředí, které nás nepřetržitě pozoruje, všechno si pamatuje a škatulkuje nás podle podmínek nebo hodnot, na něž nemáme vliv a o nichž nic nevíme, pak nás naše osobní data mohou svazovat s minulostí, od níž jsme se chtěli odpoutat. Soukromí je nepostradatelnou podmínkou pro naše rozhodování, kým chceme být a jak toho dosáhnout. Soukromí není důležité proto, abychom se v něm ukrývali – soukromí je důležité pro rozvoj osobnosti a svobodu rozhodování a jednání.“

Už na konci září uvidíme, zda příznivci nové regulace zasahující do samotného srdce soukromé komunikace budou mít mezi ministry vnitra a spravedlnosti na Radě navrch, nebo zda zvítězí zdravý rozum. Snad zástupce české vlády bude mít dostatečně silnou a jasnou pozici.

Trochu optimismu na závěr. Budou LinuxDays! 8. a 9. října 2023 na Fakultě informačních technologií na ČVUT. V programu najdete i speciální track věnovaný aktivitám sdružení CZ.NIC, které tím inovuje svou tradiční konferenci Internet a Technologie. DNS anycast pro národní doménu, performance testy, novinky z Turrisu, BIRD, MojeID, boj z phishingem v doméně .CZ, to je jen část prezentací, které na LinuxDays v CZ.NIC tracku zazní, vlastně celý program konference je pekelně nabitý super přednáškami. Jiní organizátoři konferencí by to nasekali na 3 ročníky a ještě by jim zbylo, organizátoři LinuxDays to odbouchnou najednou. A pozor, bude i překvapení…

Kategorie:

Babičko, zůstaň na netu v bezpečí

St, 09/06/2023 - 09:10

Tak zní název knihy, kterou jsme přeložili z řečtiny od SaferInternet4Kids (řecké Safer Internet Centrum). Jak již samotný název napovídá, kniha pojednává o babičce, kterou učí malá Alenka, jak se bezpečně pohybovat na internetu. U současné generace dětí a mladistvých je běžné, že pomáhá svým rodičům a prarodičům s různými nástrahami internetu, protože dnešní čtyřicátníci, padesátníci, a můžeme jít i dále, s digitálními technologiemi nevyrůstali.

Děti dostávají svůj první tablet mnohdy již před zahájením školní docházky a velmi rychle se s ním skamarádí a poznávají jeho funkce. S mobilním telefonem to není jinak. Je běžné, že současní prvňáčci na svém mobilu hrají hry, posílají fotografie, volají svým příbuzným, a to vše je součástí jejich běžného života. U seniorů je to naopak, k digitálním technologiím se dostali v pozdějším věku a hůře se jim s nimi sžívá.

Jelikož kniha nenásilnou formou vzdělává jak děti, tak seniory, je ideální ke společnému čtení prarodičů se svými vnoučaty. Pro babičky a dědečky to nemusí znamenat pouze „pasivní činnost“, ale též ideální příležitost k tomu se od dětí dozvědět nové a užitečné věci ohledně používání moderních technologií. Kromě ochrany osobních údajů vypráví v knize Alenka své babičce o sociálních sítích a jak se na nich pohybovat, o falešných soutěžích a zákeřných virech. Kromě Alenky v příběhu vystupují také její dva psí kamarádi, kteří též vědí, jak si s některými nesnázemi na internetu poradit.

Čtenáři se rovněž na konci příběhu dozvědí o webových stránkách našeho Safer Internet Centra, kde je možné samotnou knihu stáhnout ve formátu pdf spolu s dalšími zajímavými edukačními materiály pro všechny věkové kategorie, například oblíbenou dětskou knihu ON-LINE ZOO, která má i svou přebásněnou verzi. Taktéž zde najdete pozvánky na různé vzdělávací akce a odkazy na audio-vizuální tvorbu.

Vzdělávacích materiálů pro nejmenší děti je stále poměrně málo, proto jsme rádi, že máme v rámci komunity všech evropských Safer Internet Center možnost svou tvorbu vzájemně přejímat. Někdy i zdánlivě jednoduché téma se ale může stát překladatelským „oříškem“, proto děkujeme Veronice Vondál Formánkové, že si s další knihou hravě poradila.

Kategorie:

Akce kulový blesk aneb gov.cz žije

St, 08/16/2023 - 18:58

Ve středu 16. srpna 2023 vláda schválila materiál s návrhem „Harmonogram migrace ústředních orgánů státní správy na jednotnou doménu .gov.cz“, který stanovuje jízdní řád pro velké úřady k přechodu na doménu gov.cz. Tato migrace má zvýšit kybernetickou bezpečnost uživatelů služeb českého e-governmentu, zvýšit uživatelskou přívětivost, důvěryhodnost a jednotnou prezentaci webových stránek státu a e-mailových domén úředníků.

Stát má zaregistrované jméno domény gov.cz již od roku 2001. A jak to tak bývá, snahy o zavedení jednotné domény a pořádku v e-governmentním doménovém prostoru připomínají pohyb po sinusoidě – jednou jsi nahoře, jednou dole. V červenci 2002 vydal Úřad pro veřejné informační systémy (ÚVIS), ano, opravdu něco takového kdysi existovalo, Standard pro tvorbu doménových jmen ve veřejné správě. Nicméně 1. ledna 2003 vzniklo Ministerstvo informatiky, ÚVIS byl zrušen a s ním i jeho standard týkající se doménových jmen. Samotná doména gov.cz, kterou mělo v té době v držení Ministerstvo informatiky, byla využívaná pro potřeby portálu veřejné správy, což v té době byla taková lepší nástěnka s výběrovými informacemi z některých věstníků, zákonů a přehledu životních situací. Ale na konci ledna 2006 („už“ tři roky po založení ministerstva a 18 měsíců před jeho zrušením) vydalo Ministerstvo informatiky „Metodický pokyn pro tvorbu a přidělování doménových jmen třetí úrovně v doméně gov.cz„. Metodický pokyn měl doporučující charakter, Ministerstvo informatiky mělo svou existenci zpečetěnou a úřadů, které „naskočily“ na doménu gov.cz, bylo pomálu.

A po 22 letech od registrace gov.cz tu máme snad už poslední pokus o znovuoživení domény gov.cz. Harmonogram počítá s přechodem v období od podzimu 2023 do konce roku 2024 s výjimkou Ministerstva práce a sociálních věcí, které si vyzískalo odklad do poloviny roku 2025. Již splněno mají DIA, Rada pro rozhlasové a televizní vysílání a Úřad průmyslového vlastnictví.

Obrázek č. 1: Harmonogram migrace webových domén

Harmonogram obsahuje i termíny migrace e-mailových domén a připravenost na vyřizování žádostí o domény třetího řádu pod doménou gov.cz.

Obrázek č. 2: Harmonogram migrace e-mailových domén

Samotný harmonogram je předkládán společně s přílohou, která upravuje procesní, sémiotická, bezpečnostní a provozní pravidla pro státní doménu .gov.cz. Ta jsou závazná vůči adresátům usnesení, kterými jsou ministerstva a ústřední orgány státní správy, nicméně, jak autoři uvádí, „silně doporučují“ i ostatním orgánům moci výkonné a soudní se pravidly řídit. Jako odstrašující případ uvádí praxi soudů a státních zastupitelství, kdy k aktuálně používaným doménovým názvům v jejich e-mailových adresách sahají některé e-mailové adresy až do čtvrtého nebo pátého řádu, což je v rozporu s právě vládou schválenými pravidly.

Stávající domény budou přesměrovány na nové domény (například Ministerstvo obrany se z army.cz a mod.gov.cz přestěhuje na mo.gov.cz) s tím, že původní domény budou udržovány při životě do roku 2030.

Migrace se nebude týkat současných „tzv. microsites“ (pro budoucí to již neplatí), zanedbaných a nefunkčních jmen domén, případně těch, které mají pouze regionální význam. Nicméně dobrovolnosti se meze klást nebudou. Z migrace jsou také vyjmuty tzv. „vnitřní domény“, které neslouží k poskytování webových služeb koncovým klientům veřejné správy.

V doprovodném usnesení vláda uložila, kromě povinnosti provést migraci podle harmonogramu a v souladu s pravidly, ministrům a dalším vedoucím ostatních ústředních orgánů státní správy, dále povinnost pro ministra vnitra a ředitele Digitální a informační agentury („DIA“) společně s místopředsedou vlády pro digitalizaci vytvořit podmínky pro migraci. Místopředseda vlády pro digitalizaci si také odnáší úkol předložit vládě zprávu o plnění harmonogramu migrace a to do 1. dubna 2025. Do téhož data má ředitel Národního úřadu pro kybernetickou a informační bezpečnost ve spolupráci s ředitelem Digitální a informační agentury a ministrem vnitra provést audit plnění bezpečnostních a provozních pravidel domény gov.cz. Věřím, že dopadne lépe než stávající fungování serverů justice.cz.

Obrázek č. 3: Občasná úvodní stránka vítající návštěvníka webu justice.cz

Migrace na doménu gov.cz nevyřeší všechny problémy českého e-governmentu ani nevyřeší kybernetickou bezpečnost české státní správy na věčné časy. Nicméně měla proběhnout už dávno. Pevně věřím, že její realizace odstraní pochyby, které některé úřady na začátku diskuze o migraci měly. A za pozitivní považuji už to, že celý proces donutí úřady udělat si pořádek v jménech domén, které používají, nebo které používaly a už na to zapomněly. Protože nepopíratelným faktem je, že stát v současné době neví, jaká jména domén vlastní a používá, resp. vlastní a nepoužívá, případně nevlastní a používá.

Kategorie:

Čtvrtý cézetnicovský příměšťák

St, 08/02/2023 - 08:15

Máme za sebou další letní příměstský tábor a i tento rok jsem překvapený, jak moc děti tvoří živou komunitu. Přestože se vidí jen jednou ročně, a to ani ne v kuse, jenom pár všedních dnů, dobře si na sebe pamatují a poznávají se. Nejenom pro dospělé platí, že některá kamarádství vydrží rok bez toho, aniž se druhové potkají, i výrazně mladší si řeknou vřelé „ahoj“, v pondělí ráno v prostorách Akademie CZ.NIC.

Letos jsme vsadili na nižší náročnost programu; jak pro nás obsahovou, tak pro děti. Omezili jsme totiž každodenní přesuny. Zatímco dřív nebylo rána, abychom se aspoň na půl dne nevydali za nějakou pamětihodností, zůstávali jsme více na Žižkově. Výhodou byl ušetřený čas, který děti nemusely trávit sešněrovány a potichu v prostředcích veřejné dopravy, o to více jsme mohli věnovat čas hře. Jelikož děti mordujeme, jak chceme, ony nejradši tráví čas na hřišti, kde si mohou blbnout.

Kromě venkovních her za námi každý den dorazil program přímo do prostor akademie. Program výtvarný i pekárenský byl reprezentován lidmi. Zvířata se ujala druhé poloviny programu, jak psi canisterapeutičí tak i morčata bez vzdělání. Také nás navštívil pán, jenž byl určitě kouzelný, neboť udržel pozornost účastníků celou hodinu a půl. Na závěr své návštěvy poodhalil něco ze svého umu, a děti nám pak ukazovaly triky s gumičkami a kartami… triky často zatím spíš v plenkách, protože jsme někdy ani nepoznali, že se má schylovat k triku, ani že k němu už došlo.

Ve středu nás vlak zavezl až do dalekých Říčan, kde muzejní paní vedla rozpravu o minulosti Země. Děti pak našly opravdické stopy po trilobitech a dalších potvůrkách, vyrýžovaly české granáty z tůně, jeden chlapec vytěžil skutečný chalcedon a Bára neuvízla v napodobenině jeskyně Lascaux. Zaťukali jsme si na netopýřiště (taková škvíra v cihlách, již si na zimu vybírají tyhle potvůrky za noclehárnu). Slízali jsme zmrzlinu. Osahali si střet kultur (plastika auta nabouraného do obelisku na náměstí). A uctili říčanské Židy, hledajíce zlaté dlaždice, kterými dobročinný spolek označuje domy, odkud je kdysi vyvedli nacisté.

Za ta léta už máme sehraný tým, docela víme, co od sebe čekat. Máme to štěstí, že je mezi námi i jedna „skoropedagožka“, která podporuje děti v rozvoji tím, že je učí uvědomit si vlastní emoce a vede je, aby spory řešily samy a aby se střídaly. Což jsou dovednosti, které lidé (dle mě) potřebujeme v této době, stejně jako číst, psát a znakovat anglicky.

Jeden dialog za všechny: Na těch nových tramvajích je dobrá jenom klimatizace. – Jinak jsou špatný? – Jsou, úplně. – Co je na nich třeba špatný? – Je tam vedro.

A mé osobní úspěchy? Po dvaceti pěti letech jsem hrál Černého Petra. Asi už nikdy ho nebudu nehrát tak dlouho. A za druhý úspěch považuji to, že malá účastnice se usnesla, že mne bude namísto jménem oslovovat vztahem „stlejdo“. A já se zasadil, aby mě na konci týdne oslovovala již jen „edukativní poradce“.

Kategorie:

RFC 9432: DNS Katalogové zóny

Út, 07/25/2023 - 10:09

DNS zónu obvykle obsluhuje více autoritativních serverů, což je dokonce doporučeno z důvodu redundance. Velcí provozovatelé autoritativního DNS dokonce kombinují různé implementace name serverů, aby se vyhnuli úplnému výpadku infrastruktury v případě nějaké softwarové chyby. Pro synchronizaci obsahu zóny mezi autoritativními servery existuje pro DNS specifický mechanismus, který se nazývá transfer zóny. Je to osvědčený mechanismus, který podporují všechny běžné implementace DNS. Umožňuje jak transfer celé zóny (AXFR), tak inkrementální update (IXFR).

Na druhé straně může jeden autoritativní name server obsluhovat více DNS zón. Existuje jasný algoritmus pro výběr správné zóny pro odpověď na každý příchozí dotaz. Množina zón nakonfigurovaných na jednom autoritativním serveru se od úsvitu DNS nazývá katalog zón. Je celkem běžné, že jmenný server obsluhuje velmi mnoho zón (stovky tisíc), např. v případě poskytovatelů hostingu nebo služeb DNS, kteří hostují nebo zrcadlí zóny pro každého zákazníka. To je náročné jak pro programátora DNS implementace, který hledá datové struktury pro zachování výkonu (což je vlastně v oblasti autoritativních DNS serverů důležité i z hlediska bezpečnosti), tak pro provozovatele, který musí server pečlivě nastavit a zavést jeho průběžné monitorování.

Největším problémem při provozu velkého množství zón je však to, že se množina zón neustále mění. Každý den se přidávají nové, některé se ruší a jiné třeba vyžadují změnu konfigurace. Programátor musí jen dbát na to, aby taková změna konfigurace nenarušila odpovídání z ostatních zón, provozovatel však musí každý ze všech provozovaných serverů překonfigurovat zvlášť, obvykle úpravou konfiguračního souboru a jeho znovunačtením. Na rozdíl od standardizovaných transferů obsahu jednotlivých zón neexistuje snadný způsob přenosu konfigurace. Různé DNS implementace navíc nepřekvapivě disponují odlišnými konfiguračními volbami.

Synchronizace množiny nakonfigurovaných zón mezi autoritativními servery je právě tím problémem, který katalogové zóny řeší. Základní myšlenka spočívá v tom, že konfigurace je serializována do běžného formátu zóny a k její úplné (AXFR) nebo inkrementální (IXFR) synchronizaci jsou použity zavedené rutiny zónového transferu. Obsah katalogové zóny by měl být neveřejný a sdílený jen mezi autoritativními servery. Zóny nakonfigurované na základě katalogové zóny se nazývají member zóny.

V roce 2016 se v Bindu 9.11.0a3 objevila první experimentální implementace katalogových zón, popsaná též v odpovídajícím IETF draftu. Kromě mnoha nedoladěných drobností a otevřených problémů ji bylo možné jen stěží učinit interoperabilní, protože přebírala mnoho konfiguračních voleb Bindu a serializovala je do komplikovaného obsahu katalogové zóny. Povídalo se, že se také implementace špatně chovala při vysokém počtu member zón, což bylo nešťastné, protože právě to je parketou katalogových zón. V DNS komunitě však přetrvávala poptávka po schůdném řešení.

Počátkem roku 2020 se ustavila neformální skupina zainteresovaných členů komunity, v níž byli i vývojáři několika open-source DNS implementací. Prvotní myšlenkou bylo, že nové katalogové zóny budou obsahovat pouze sadu member zón a nic jiného. Podrobná konfigurace každé member zóny měla být odvozena ze šablony sdílené všemi zónami, protože většinou vyžadují ekvivalentní konfiguraci. Někdy je však potřeba s některými podmnožinami member zón zacházet odlišně (např. se zónami podepsanými protokolem DNSSEC a nepodepsanými). To bylo vyřešeno definicí omezené sady tzv. vlastností každé member zóny. Vlastnost Group (Skupina) umožňuje přiřadit některým member zónám odlišnou konfigurační šablonu, zatímco vlastnost Coo (Změna vlastnictví) se stará o plynulý přechod member zóny mezi dvěma katalogovými zónami. Je důležité, že tyto vlastnosti jsou dostatečně obecné, aby je mohli implementovat různí dodavatelé softwaru.

Ve výsledku se interoperabilní implementace nových katalogových zón brzy objevily ve verzích Knot DNS 3.1 (srpen 2021), Bind 9.18.3 (květen 2022) a PowerDNS 4.7 (říjen 2022). NSD, přestože investoval mnoho úsilí do standardizace a spolupráce, stále spoléhá na spíše experimentální sadu skriptů spravujících provoz katalogových zón nad nepodporujícím serverem. Společná specifikace byla zveřejněna jako RFC 9432 (červenec 2023) jako „Proposed standard“.

Spolupráci na interoperabilní implementaci katalogových zón spolu s publikovaným RFC považuji za velký úspěch pro DNS komunitu, uživatele a také pro sebe. Věřím, že mnohostranná spolupráce významně přispěla k celkové hodnotě dokumentu. Děkuji za spolupráci a veškerou podporu všem spoluautorům i CZ.NIC.

Vypadá to, že tímto příběh končí, ale čeká nás ještě hodně práce. Na základě zpětné vazby od rostoucího počtu uživatelů této funkce jsme již provedli některá vylepšení v implementaci Knot DNS a jsem si jistý, že budeme dál pokračovat.

Kategorie:

Zprovoznění přihlašování přes MojeID v největších CMS aneb Naše dobrodružství s OpenID Connect

Po, 07/24/2023 - 08:40

Po maturitě na pražském gymnáziu jsme se s kamarádem Jirkou Antoňů začali poohlížet po různých nabídkách stáží v IT a v CZ.NIC byli natolik odvážní, že se nás bez většího přemlouvání ujali a vymysleli pro nás na léto zajímavý program, z něhož doufejme nebudeme profitovat jen my, ale i samotné sdružení.

Naším prvním úkolem bylo zprovoznit přihlašování přes MojeID do několika největších systémů pro správu obsahu (CMS) a Jirka pro implementaci vybral WordPress, Joomla!, PrestaShop, OpenCart a Drupal. Všechny pluginy jsou volně dostupné na GitLabu a dokumentaci k nim naleznete zde.

WordPress se k implementaci MojeID hodil jednak proto, že je nejrozšířenějším CMS na světě a na jeho pluginu WooCommerce běží zhruba 12 % českých e-shopů, jednak protože pro něj již existoval funkční plugin pro protokol OpenID Connect. Do WordPressu se OIDC instalovalo velice jednoduše, stačilo jen umístit soubory do složky běžící instance (či plugin jednoduše nahrát přes WordPress admin rozhraní) a v nastavení jej povolit. Konfigurace už byla náročnější – v úspěšném přihlášení nám například v jednu chvíli bránila nesprávně zvolená hodnota klíče, podle kterého WordPress z účtu MojeID získával přezdívku uživatele. Plugin jsme ale nakonec rozchodit zvládli a výsledkem je dokumentace provádějící uživatele instalací krok po kroku. Zároveň jsme se poučili o tom, že nastavení, které neexistuje, se nemůže rozbít, což se nám později hodilo při tvorbě vlastních pluginů.

Jako druhý jsme (po půlhodinové hádce s PHP composerem ohledně verze pluginu) zprovoznili rozšíření do Drupalu, se kterým se pracovalo o poznání jednodušeji – krom credentials a endpointů je třeba vyplnit už jen OpenID scope. Jirka navíc přidal MojeID jako samostatnou službu, takže uživatel musí nastavit pouze credentials a scope zadává jen v případě, že chce ten přednastavený o nějaké položky rozšířit. Kód pro tuto službu se také aktuálně snažíme dostat do upstreamu oficiálního pluginu. U Drupalu je však kromě nastavení služby také potřeba umístit tlačítko pro přihlášení. Tato nutnost se mně osobně líbí, protože tím uživatel nepřichází o kontrolu nad vzhledem stránky a může se rozhodnout, zda bude tlačítko všem na očích v postranní liště nebo zda bude schované v zápatí stránky. Způsob jeho umisťování mi rovněž plně vyhovoval – v záložce designu stránky stačilo pro rozšíření OpenID Connect přidat tlačítko, zvolit v rozbalovací liště jeho pozici a bylo hotovo.

Pokud by se někomu zdálo umisťování tlačítka v Drupalu moc složité, z OpenCartu radost mít rozhodně nebude. Instalace rozšíření i jeho konfigurace jsou podle mě na vrcholu škály uživatelské nepřívětivosti. Tlačítko totiž musíte vložit do šablony stránky, ze které následně CMS web renderuje. To obnáší kopírování zdrojového kódu z dokumentace, nahrávání grafických balíčků na server a další nepříjemnosti, které leckoho odradí. Zvláště v dokumentaci k OpenCartu jsem se proto snažil vše popsat co nejjednodušeji – závisí na ní de facto počet úspěšných instalací pluginu. K dispozici jsou dvě ukázkové implementace – tlačítko v rozbalovací liště uživatelského účtu a v patičce stránky. Jirka musel navíc celé rozšíření napsat úplně od základu, jelikož poslední publikovaná verze SSO pluginu byla šest let stará a tím pádem nepoužitelná. Od jeho publikování v roce 2017 navíc vyšel OpenCart 4, jehož pluginy už nepoužívají modifikační systém OCMOD a nelze je tak rozumně přepsat pro novou verzi systému. Také je nutno podotknout, že i z vývojářského hlediska je psaní pluginů pro OpenCart naprostou noční můrou. Nejenže neexistuje pro moduly ve verzi 4 absolutně žádná dokumentace, ale některá specifika, která si OpenCart z dlouholetého vývoje přinesl, silně ztěžují i pochopení fungování pluginů ze samotného kódu OC. Pomyslnou třešničkou na dortu je pak fakt, že jediným možným způsobem instalace (a potažmo vývoje) pluginu je nahrání velice specificky pojmenovaného a uspořádaného .zip souboru do instalačního formuláře. Samotná instalace pak podle mě sestává z více kroků, než by bylo potřeba. Stačilo by jen nahrát soubor s rozšířením, aktivovat jej a pokračovat ke konfiguraci. Namísto toho ale musíte potvrdit, že chcete nahraný plugin skutečně nainstalovat, a nádavkem ještě ve spleti rozbalovacích lišt hledat kategorii nastavení, ve které jej můžete zapnout. Konfigurace probíhá jako obvykle vyplněním credentials, OpenID scope a endpointů. Ty bychom sice mohli napevno nastavit a uživatel by pouze přepínal mezi testovacími a ostrými, ale protože pro OpenCart žádné up-to-date OIDC rozšíření neexistuje, rozhodli jsme se plugin publikovat volně konfigurovatelný. Lze jej tak použít pro přihlášení pomocí účtu kteréhokoli poskytovatele identit a není limitován pouze na MojeID.

Předposledním pluginem, který jsme zprovoznili a který rovněž vyžadoval programátorský zásah, bylo přihlášení přes MojeID do Joomla!. Ta je vývojářsky o něco příjemnější než OpenCart (byť ne o mnoho), jejím specifikem je několik rozsáhlých konfigurací všeho možného i nemožného v XML souborech. Instalace rozšíření je zde velmi jednoduchá – uživatel jej pouze nahraje přes admin panel a ono se samo aktivuje, stačí ho pak jen nakonfigurovat obdobně jako ostatní pluginy. Stejně jako u OpenCartu jsme zvolili implementaci univerzálního OpenID Connect klienta, uživatel tedy není omezený na používání MojeID, ale může si nakonfigurovat i jiné libovolné IdP. Zakomponování přihlášení do stránky vnímám těžší než tomu bylo u Drupalu, ale v porovnání s OpenCartem je stále celkem jednoduché. Vzhledem k tomu, že Joomla! nepodporuje možnost přidat na stránku tlačítko, je zapotřebí vytvořit modul stránky obsahující obrázek s odkazem na přihlášení. U něj může uživatel opět určit umístění tlačítka a jedinou vadou na kráse může být rámeček ohraničující modul.

Jako poslední jsme MojeID implementovali do PrestaShopu, což hlavně pro Jirku znamenalo postavit plugin na zelené louce. Jediné OIDC rozšíření je totiž dostupné za podle nás přemrštěnou cenu, a tak jsme uvítali možnost svůj plugin publikovat s otevřenou licencí. Jirka nicméně posléze poznamenal, že kdyby to bylo pro osobní použití, než aby ho psal, raději by si ho koupil… Vývoj byl u PrestaShopu výrazně příjemnější, než u jiných CMS, a byť se také neobešel bez svých specifik, užili jsme si ho asi nejvíc. Opět jsme se snažili o univerzální implementaci OpenID Connect bez vazby na MojeID. Instalace probíhá stejně jako u WordPressu, tedy přesunem souborů na server s běžící instancí či nahráním přes GUI a následnou aktivací. Konfigurace je minimální, zahrnuje jen credentials, scope a endpointy, odpadá zde rovněž nutnost umisťovat tlačítko pro přihlášení.

Jako nejjednodušeji instalovatelný plugin bych tedy označil ten do PrestaShopu v závěsu s WordPressovým. Do Joomla! a OpenCart jej sice lze instalovat skrze admin panel, zase ale vyžadují vytváření modulů a úpravy šablon pro umístění přihlašovacího tlačítka. Co se Drupalu týče, je pro instalaci třeba spustit PHP composer, což nemusí být vždy snadné, a proto bych ji označil za nejnáročnější z této pětice pluginů, byť jeho konfigurace je naopak dost jednoduchá.

Myslím si, že nám oběma práce na tomto projektu hodně dala, ať už to byly nové znalosti v oblasti protokolu OpenID Connect, psaní pluginů pro nejrůznější CMS nebo vhled do práce dokumentaristy. Rozhodně také prohloubila naše nadšení pro opensource, protože zdokumentovat již fungující plugin je mnohem příjemnější než jej psát celý sám.

Pokud by vás z našeho příspěvku cokoli zaujalo nebo byste chtěli implementovat podporu OpenID Connect i pro svůj web, veškerou dokumentaci, včetně odkazů na samotné pluginy, naleznete zde.

Kategorie:

Testování bezpečnosti obecních webů

St, 06/28/2023 - 08:15

Před časem nás oslovili organizátoři soutěže “Zlatý Erb”, zda bychom se nechtěli podílet na spolupráci v oblasti bezpečnosti webových aplikací soutěžících. Soutěž Zlatý Erb hodnotí webové stránky obcí s rozšířenou působností, kdy letos mezi hodnotící kritéria přibyla také výše zmiňovaná bezpečnost webových aplikací. Z pohledu organizátorů bylo logické oslovit CSIRT.CZ, který již má s testováním webů zkušenosti a to jak z provozování služby skenerwebu, tak také ze služby penetračního testování. Z pohledu našeho týmu se pak jednalo o vítanou příležitost zvýšit povědomí o potřebě zajistit bezpečnost webových aplikací, speciálně těch, které jsou pro širokou veřejnost zdrojem důležitých informací.

Celkem jsme dostali za úkol otestovat 15 webových aplikací, které se dostaly do finálového kola. Rozhodli jsme se, že pro otestování využijeme metodiku OWASP TOP 10, která nám přišla vhodná pro základní posouzení bezpečnosti hodnocených webů. V průběhu testování jsme zjistili, že celkem 13 webů bylo realizováno pomocí stejného redakčního systému. Vzhledem k tomu, že se nacházely na podobném IP rozsahu, usoudili jsme, že jejich vývoj má pod sebou jedna společnost, která se zabývá vývojem webů. V průběhu testování se nám tato teorie z větší části potvrdila, protože domény obsahovaly z větší části stejné bezpečnostní nedostatky, dlužno říci, že čistě minoritního charakteru. Zbylé dvě domény byly hostovány na jiných IP adresách a měly své vlastní bezpečnostní nedostatky. Skutečnost, že jsme měli 13 webů, které ve výsledku měly stejné nastavení nám usnadnilo celé testování, bohužel jsme z druhé strany přišli o možnost porovnat větší množství webů od různých vývojářů a nalézt tak více zajímavých zranitelností.

Pro každého účastníka jsme vytvořili bezpečnostní zprávu, kde jsme uvedli všechny nedostatky a doporučení, jak je opravit. Také jsme sepsali seznam bezpečnostních doporučení, kde jsme sepsali seznam věcí, které byly v rámci projektu nejčastěji doporučovány k nápravě. Dokument s doporučeními jsme poskytli organizátorům akce Zlatý Erb, aby ho mohli prezentovat na svých stránkách. Z celé akce tak mohou profitovat nejen finalisté, ale také další obce, kterým není bezpečnost jejich webů a tím i občanů lhostejná.

Kategorie:

Krátké vlny: Předprázdninové vlny

Čt, 06/15/2023 - 06:55

Blíží se čas prázdnin a dovolených. Červnový kalendář se plní akcemi a událostmi, které chtějí organizátoři stihnout dříve než si v rámci snahy o zachování zdravého rozumu vezmeme dovolenou a nastavíme hlášku „out of office“ do pracovního e-mailu. A tak Český telekomunikační úřad pořádá a zve na workshopy ke spoofingu a novým digitálním agendám, Ministerstvo průmyslu zve na online konferenci k jednotnému EU trhu a Národní úřad pro kybernetickou a informační bezpečnost se chystá spustit meziresortní připomínkové řízení k návrhu nového zákona o kybernetické bezpečnosti. Jen houšť.

Komisař Breton si minulý týden vyslechl na zasedání ministrů odpovědných za telekomunikace zdvořilé, ale razantní ne k myšlence neférového příplatku, který plánuje zavést ve prospěch velkých operátorů (a v neprospěch všech EU spotřebitelů). Impérium ale vrací úder a v návrhu zprávy o politice hospodářské soutěže se už objevuje výzva europoslanců „calls for the establishment of a policy framework where large traffic generators contribute fairly to the adequate funding of telecom networks;“  BEREC, sdružení evropských regulačních orgánů v elektronických komunikacích, jasně odmítl myšlenku fair share příspěvku. Ten BEREC, jehož expertních znalostí má Evropský parlament využívat. Je to neznalost? Je to zlý úmysl? Napíšete svému poslanci v Evropském parlamentu, aby hlasoval proti zařazení tohoto bodu do zprávy?

Ministerstvo vnitra v rámci své koordinační role v oblasti správního trestání připravilo Analýzu vybraných údajů získaných z přehledu přestupků (2018 – 2020), která je předkládaná pro informaci vládě a kterou máme k dispozici. Materiál obsahuje zajímavá data, nicméně čtenář se musí ubránit zbrklé interpretaci. Podle předkladatele obsahoval český právní řád v roce 2018 celkem 263 zákonů upravujících alespoň jednu skutkovou podstatu. Celkem je v českém právním řádu více než 9 000 skutkových podstat přestupků, na každý zákon upravující přestupky tak připadá v průměru 36 skutkových podstat. A z toho 25 zákonů upravuje více než 100 skutkových podstat přestupků. Mezi nimi je i zákon o elektronických komunikacích, který v roce 2020 měl 200 skutkových podstat (na čele je zákon o podnikání na kapitálovém trhu s 298 skutkovými podstatami). Je to moc? Je to málo? Určitě z toho lze vyvodit, že žijeme ve složité době, sektor elektronických komunikací je chápán jako kritický sektor a zákonodárce se kloní k závěru mít v právní normě maximálně podrobný seznam toho, co se může stát špatně a co může stát následně trestat. Byť na konci dne zůstává naprostá většina skutkových podstat nevyužita (díky Bohu).

Zdroj: Analýza vybraných údajů získaných z přehledu přestupků (2018-2020), Ministerstvo vnitra

Vláda brzy rozhodne o podobě konsolidačního balíčku, který odešle ke schválení do Poslanecké sněmovny. Po loňském plošném přidání 10 % na mzdových prostředcích všem státním zaměstnancům, je nyní na stole plošné škrtání. Nic proti škrtům. Strašně špatný přístup, který ve finále odneseme všichni, je ta plošnost. Dokud se nezmění systém odměňování státních zaměstnanců, bude stát fungovat jen na nadšení pár srdcařů a pak mladých lidí, kteří ve službě pro stát získají praxi a odejdou pracovat do soukromé sféry. A čím více politici mluví o zeštíhlování státní správy (bez snižování počtu agend), tím častěji podepisují smlouvy na dodávky plnění od externích firem. Úředník se pak stává jen součástí oběhu smluv, které posouvá po ministerstvu, ale vlastní know-how už úřad ztrácí. Možná zbytečně chmurná vize.

Naštěstí se blíží čas prázdnin a dovolených a vysílačka Krátkých vln zůstane nějakou chvíli vypnutá. Užijte si volno ve zdraví.

Kategorie:

Ohlédnutí za ISSS 2023

Út, 06/06/2023 - 06:30

V půlce května se v Hradci Králové konala Konference Internet ve státní správě a samosprávě (ISSS), výstavní bárka českého e-governmentu a snahy o něj. A sdružení CZ.NIC, dlouholetý partner veřejné správy, u toho nemohlo chybět.

Byl jsem rád, že jsem v rámci své prezentace mohl seznámit účastníky s aktuálním stavem pilotování nové peněženky Evropské digitální identity (tzv. EUDI Wallet).

Technickou specifikaci řešení EUDI Wallet připravují zástupci členských států v rámci eIDAS expertní skupiny a výstupy jsou transparentně publikovány na GitHubu. Verze 1.1.0, která byla publikována v dubnu tohoto roku už rozpracovává některé uživatelské scénáře například „eŘidičák“.

Druhým streamem aktivit na evropské úrovni je příprava referenční implementace, kterou financuje Evropská komise a která bude po svém dokončení k dispozici členským státům. Pro zpracování referenční implementace bylo vybráno konsorcium Netcompany-Intrasoft a Scytáles, které by mělo dodat první funkční verzi v červnu tohoto roku.

Sdružení CZ.NIC se stalo součástí jednoho z vítězných konsorcií, které mají připravit pilotní projekty a otestovat tak celý ekosystém referenční implementace „peněženky“ na vybraných případech užití. V  případě našeho konzorcia se jedná o testování cestovních dokladů a prokazování totožnosti právnických osob. Dalšími případy užití ostatních konsorcií jsou například platby, „eŘidičák“, „eRecept“, doklady o vzdělání nebo třeba sociální a zdravotní pojištění.

V blízké budoucnosti chceme umožnit ověřeným uživatelům MojeID propojit si svůj účet s nově vznikající peněženkou a inicializovat ji ověřenými údaji z MojeID na základě jejich dobrovolného souhlasu. I když si produkční fáze peněženky Evropské digitální identity je ještvítězně daleko a finální způsob technického řešení se ještě může lišit, věřím, že pro uživatele služby MojeID bude přínosem vyzkoušet si fungování celounijní služby na vybraných případech užití v rámcí pilotních projektů.

Služba MojeID tím vlastně pokračuje v nastolené cestě nejuniverzálnějšího a nejmodernějšího identitního prostředku, když už nyní jako jediná nabízí možnost použití v komerční sféře, veřejných službách u nás a zároveň v ostatních zemích EU. Český uživatel může prostřednictvím národních portálů ve 23 zemích EU, resp. EHS, využívat veřejné služby v těchto zemích, aniž by musel absolvovat nějaké další dodatečné ověření. Přeshraniční přihlašování je už nyní realitou a pro maximální uživatelskou spokojenost zbývá už jen digitalizovat co nejvíce služeb. A s jejich propagací jsme opět připraveni pomoci.

Kategorie:

BIRD na RIPE 86

Pá, 06/02/2023 - 07:25

V týdnu od 22. do 26. května 2023 proběhlo v Rotterdamu setkání RIPE 86, jehož jsem se zúčastnila já, kolega Ondřej Zajíček a výkonný ředitel CZ.NIC Ondřej Filip v roli předsedy představenstva RIPE NCC.

V pondělí po rozpačitém začátku (z mého pohledu nepříliš zajímavé tutoriály o IPv6 a o používání měřicích nástrojů RIPE Atlas) následovala odpoledne společná část, která (s přestávkami) pokračovala až do úterního večera.

Hned na úvod vyvolal ostrou diskusi Rudolf van den Berg se značně kontroverzním tématem evropské internetové daně, které uchopil, pokud mě paměť neklame, výrazně z pohledu big data firem. Téma bylo
později na programu v pracovní skupině Cooperation, jejíhož setkání jsem se neúčastnila. Následovalo
důležité téma ohledně vlivu internetu na životní prostředí podané Vesnou Manojlovic. Bylo dobře poznat, že řada lidí očekává spíše technické povídání, nicméně negativní externality a problém klimatické změny jsou tak důležité, že bychom se dle mého názoru tímto tématem měli zabývat příště důkladněji a do větší hloubky. Z pondělních prezentací se ještě hodí vypíchnout povídání Oleny Kushnir o udržování internetu v prostředí válečného konfliktu – ruské agrese vůči Ukrajině.

Z úterního dopoledne je třeba zejména ukázat na trvající nejistotu v evropských IT firmách ohledně připravované regulace CRA a PLD. Společná prezentace Benno Overeindera, Bastiaana Goslingse a Roberta Caroliny ukázala na řadu nedomyšlených scénářů, na které se CRA sice s jistotou vztahuje, ale není vůbec jasné, jak konkrétně. Diskuse ohledně CRA stále probíhají zejména na politické rovině a těžko tak říct, jestli Evropská komise dokáže nakonec sestavit takovou verzi regulace, kterou by šlo interpretovat a dodržovat s rozumnou jistotou ve světě open source softwaru.

Zmínit je vhodné též příspěvek Toma Strickxe z Cloudflare ohledně managementu výpadků a útoků ve velkém množství, zejména pak jeho výrok, že buď je incident zajímavý, takže o něm napíšou blogpost, aby se mohli poučit i ostatní, a nebo je incident sice trapně nudný (rutinní chyba administrátora), ale zasáhl tolik uživatelů, že je o něm potřeba napsat blogpost tak jako tak. Takže nakonec píšou blogposty v zásadě o úplně všem.

Ve středu a ve čtvrtek probíhala setkání pracovních skupin. Ve skupině Routing na svoji funkci rezignoval jeden z vedoucích, Job Snijders, jehož nahradil Ben Cartwright-Cox, známý mimo jiné tím, že kdysi hrál
lodě přes BGP. Benův příspěvek o realtime BGPtools ukazuje, že se o skutečném fungování internetu ještě stále máme co učit. A Job Snijders žádá o pomoc s provozem archivu RPKI dat, protože mu dochází místo na disku (50 TB není zas tak málo) a nerad by archiv mazal.

Pracovní skupina Address Policy byla veskrze ve znamení docházejících IPv4 adres, až do takové míry, že se objevují návrhy na přidělování /26 bloků. Stejně tak probíhala diskuse o pravidlech převádění adres mezi AS, která úzce souvisí i s později probíranými změnami plateb za přidělené IPv4 adresy na zasedání valné hromady RIPE NCC.

Ve čtvrtek dopoledne jsem nahlédla na setkání pracovní skupiny pro IPv6 a pracovní skupiny Connect, nicméně témata mě nezaujala a zabývala jsem se networkingem a hledáním možností další spolupráce. Stejně tak jsem se nezúčastnila setkání skupin Cooperation, IoT, Anti-Abuse, MAT a DNS, které se buďto překrývaly s jinými, nebo mě nezaujaly.

Po obědě pak přišla na řadu pracovní skupina Open Source. Zde prezentoval naši práci kolega Ondřej Zajíček, který se posledních několik let pečlivě stará o údržbu větve BIRD 2, zatímco já jsem konstruovala vícevláknové algoritmy pro verzi 3. Díky Ondřejově práci tak do BIRDa 2 za posledních několik let přibyla řada užitečných změn:

  • podstatné zrychlení práce s prefix sety,
  • pohodlnější používání filtrů (lokální proměnné, smyčky, precizní kontroly typů),
  • BGP role (RFC 9234)
  • BGP extended next hop umožňující provoz IPv4 přes IPv6 link-local adresy
  • dynamické spouštění BGP protokolů
  • automatický přepočet filtrů při změně ROA
  • merge všech změn v Babelu

… a to není ani zdaleka všechno, co BIRD 2.13 umí.

V Open Source pracovní skupině taktéž proběhla prezentace „konkurenčního“ OpenBGPd. V sekci krátkých prezentací jsem nadnesla téma BIRD API, které jsem ilustrovala i minimalistickým GUI napsaným v Qt. Na konci zasedání pak jeden ze zakladatelů této pracovní skupiny, Ondřej Filip, oznámil, že již nebude skupinu vést, a na podzim tak bude třeba doplnit trojici vedoucích o dalšího člena. Také jsme krátce uvažovali nad smyslem této pracovní skupiny v situaci, kdy se z ní možná částečně stala „druhá routing skupina“. Dávám si pro příští setkání za úkol připravit pro Open Source working group prezentaci, která nebude zahrnovat představování BIRDa, nýbrž se dotkne obecných problémů při vývoji open source softwaru.

Setkání RIPE Community Plenary jsem vynechala. Podle zpětné vazby to ale vypadá, že přinejmenším debata o budoucnosti mailing-listů jako primární komunitní komunikační platformy byla velice hutná. V době této debaty jsme spolu s kolegou Zajíčkem zrovna poskytovali podporu jednomu z našich zákazníků. Chcete také technickou podporu pro BIRD? Napište nám na adresu partner@nic.cz!

Poslední čtvrteční blok pak byl ve znamení diverzity v IT. Probírali jsme řadu témat; velmi rezonovalo nízké zastoupení mladých lidí na setkáních RIPE. Vybírám z nadnesených úvah například:

  • Pokud chceme diverzitu na RIPE setkání, musíme mít diverzitu ve firmách, a o
    tu se musíme starat. Jediný nerespektující kolega dokáže vyštípat desítky
    citlivějších lidí do firem, kde se šikana netoleruje.
  • Když budeme posílat na konference jen „ty nejlepší z týmu“, diverzita neporoste.
    Bez příležitosti těžko dosahovat úspěchů.
  • Diverzita není jenom o věku a genderu, nesmíme zapomínat na lidi ve věku 40+
    v rekvalifikaci, kteří jsou na tom profesně vlastně stejně jako junioři.
  • O diverzitu musíme aktivně pečovat.

Během setkání samozřejmě byl prostor na osobní komunikaci a navazování nových kontaktů. Narazila jsem tak náhodně na dvojici, která u oběda probírala právní věci, vložila se do jejich rozhovoru a důkladně jsme prodebatovali dopady CRA na open source. Otevřely se možnosti spolupráce na dvou RFC a významně jsme pohnuli s návrhovými požadavky na připravované API. Důležité v tom byly zejména konzultace s Annikou Hannig, autorkou Alice-LG.

Po pracovně hustém a náročném týdnu v Rotterdamu tak přišel další, ještě hustší týden, ve kterém postupně konsolidujeme útržkovité vzpomínky do uceleného plánu rozvoje projektu. Čeká nás ještě spousta práce, ale výsledek bude stát za to.

Kategorie:

Vydáváme nový materiál pro děti zaměřený na sexuální zneužívání

Čt, 06/01/2023 - 07:00

Dnešní datum, 1. června, má ráda většina dětí na celém světě, protože slaví svůj „den“. Mezinárodní den dětí však neslouží jen k tomu, aby děti dostávaly dárky a aby se konaly různé společenské a sportovní akce. U jeho příležitosti si připomínáme, že děti mají svá práva a potřeby. Kromě práva na životní úroveň, na vzdělání a mnoha dalších mají i právo na zdraví (nejen fyzické, ale i duševní) a také právo na ochranu před násilím.

Z tohoto důvodu jsme v rámci projektu Safer Internet Centrum (SIC CZ) vydali nový vzdělávací materiál pro děti v mateřských školách v podobě převlékací panenky a panáčka. Pedagogové pak dostanou do rukou dvoustránkovou brožurku, která je navede, jak si s dětmi povídat na téma sexuálního zneužívání a sextingu. Jedná se o velmi citlivé téma, u kterého je důležité jej dětem podat přirozenou formou. K tomu se velmi dobře hodí právě hra s panenkami, jež děti mají rády, zároveň však obsahuje edukační prvek. V průběhu povídaní si děti osvojí, co je to intimita, dále se s paní učitelkou (panem učitelem) můžou bavit o tom, kdy a proč se potřebujeme svlékat a v neposlední řadě, kde a proč si spodní prádlo nesundáváme. Důležitým sdělením ze strany pedagoga bude i to, že ne vše, co se doma či jinde děje, je „normální“, že každý má právo na to říct: „Nedělej to!“, pokud se mu něco nelíbí, a že tzv. „tajemství“ se v některých situacích prozradit musí, aby se dítěti ulevilo od trápení.

Statistiky Dětského krizového centra (DKC), které je od roku 2022 součástí projektu SIC CZ, v tomto případě mluví neúprosně. Zora Dušková, klinická psycholožka a ředitelka DKC, shrnuje svou třicetiletou praxi následovně: „Valná většina případů zůstane skryta. Sexuálním zneužíváním jsou dnes ohroženy děti už ve věku 3 až 6 let. Dle našich statistik jsou pachatelé sexuálního zneužívání osoby z rodiny (62 %) a lidé z blízkého okolí (27 %). V případech fyzického týrání se dokonce jedná o členy rodiny v 93 % případů a u psychického týrání to je 94 %. Nahlášených a řešených případů každoročně přibývá. Musíme velmi šetrně pracovat nejen s oběťmi, ale i s celým rodinným systémem, protože jakýkoli necitlivý krok může mít zdrcující vliv na celou rodinu.“

Zora Dušková ještě dodává: „Dále přibylo obrovské riziko v podobě kyberprostoru, kde sice nedochází k dotekům, ale objevují se nové formy zneužívání dětí.“

I na téma sextingu náš průvodní materiál pro pedagogy myslí. Děti by se měly naučit, jaké fotografie mohou ony i jejich rodinní příslušníci pořizovat a jaké už jsou „za hranou“. Na toto téma ostatně už před lety napsala blogpost kolegyně Kateřina Vokrouhlíková.

Edukace není nikdy dost a zvlášť těm nejmenším bychom měli podat pomocnou ruku, protože se jedná o nejohroženější skupinu. Předškolní děti jsou naprosto závislé na dospělých a nemají možnost si jakkoli pomoci.

Kategorie:

Krátké vlny: Evropští regulátoři proti fair share nesmyslu

Čt, 06/01/2023 - 06:35

Dne 19. května 2023 skončila lhůta pro zaslání příspěvků do veřejné konzultace, kterou pořádala Evropská komise na téma „Budoucnost odvětví elektronických komunikací a jeho infrastruktury“. V minulých Krátkých vlnách jsem doporučoval k přečtení příspěvek Internet Society, dnes musím vřele doporučit příspěvek, který do Evropské komise zaslal a následně i zveřejnil BEREC. I když podle interních zdrojů byla ohledně zveřejnění ostrá debata, jsem rád, že nakonec zvítězila transparentnost, kterou by regulátoři měli mít ve své DNA.

Odpověď BEREC je strukturovaná do několika částí, kromě samotné odpovědi na dotazník obsahuje přílohy. K silně problematickému konceptu fair share se vyjadřuje BEREC v příloze k části 4, ve které se soustředí na mechanismus povinných finančních příspěvků od poskytovatelů obsahu operátorům za generovaný provoz a zkoumá možné dopady tohoto regulačního ustanovení. Úvodem BEREC konstatuje, že otázka, zda by poskytovatelé obsahu měli přispívat na síťové náklady, není nová a BEREC se jí poprvé zabýval v roce 2012. Odvolává se také na své nedávné předběžné stanovisko, které BEREC zveřejnil na podzim minulého roku, když už bylo zřejmé, že evropský komisař Breton si ve fair share našel zalíbení.

Jaké jsou hlavní body stanoviska BEREC? Je to jednoduché.

  • V současné době přispívají aktéři do internetového ekosystému různými způsoby: někteří například poskytují přístupové sítě, jiní digitální infrastrukturu nebo služby přenosu IP, další obsah, aplikace a služby a další zase digitální dovednosti nebo jejich kombinaci.
  • Mezi růstem objemu dat a výší investic, které je třeba vynaložit na dosažení gigabitové společnosti a pokrytí údajně rostoucích nákladů na sítě, existuje pouze omezená souvislost, která neopravňuje zavedení tzv. fair share příplatku.
  • Soukromé investice jsou klíčové pro zavádění sítí a zajišťují hodnotu tržně orientovaných řešení. Kromě toho se v případě potřeby využívá veřejné financování na místní, vnitrostátní nebo evropské úrovni, aby se podpořily nebo doplnily soukromé investice.
  • Není jisté, zda by operátoři využili výnosu z fair share příspěvku k cílené výstavbě v oblastech s nedostatečným pokrytím.
  • Důležitými (ne-li nejdůležitějšími v mnoha členských státech) překážkami bránícími zavádění vysokokapacitních sítí jsou administrativní postupy (např. při vydávání stavebních povolení, povolování silničních staveb a poskytování dotací), dostupnost informací (např. pro obce, investory a provozovatele), nedostatečná poptávka spotřebitelů (např. v případě, že stávající infrastruktura potřebám spotřebitelů postačuje), nedostatek stavebních kapacit a potřebných nemovitostí.
  • Sdružení BEREC uznává potenciální úlohu vnitrostátních regulačních orgánů při řešení sporů mezi poskytovateli obsahu a operátory.
  • Povinná platba poskytovatelů služeb obsahu operátorům pravděpodobně povede ke konkurenčnímu znevýhodnění malých operátorů a malých poskytovatelů služeb obsahu.
  • Fair share příspěvek pravděpodobně zvýší vyjednávací sílu poskytovatelů internetových služeb vzhledem k jejich monopolnímu postavení na trhu v oblasti terminace provozu.
  • Fair share příspěvek podpoří možnost operátorů diskriminovat a upřednostňovat své vlastní služby (např. související se streamováním nebo cloudem).
  • Fair share příspěvek může vést k vyšším cenám za předplatné obsahu, když právě poskytovatelé obsahu přenesou vyšší náklady na své zákazníky. Specificky se to může dotknout také malých a středních podniků, pokud by musely platit i velké CDN a cloudové služby a přenášely by vyšší náklady na své zákazníky.
  • Zásada síťové neutrality podporuje inovace, protože každý koncový uživatel může zavádět obsah a aplikace, aniž by musel žádat operátory o povolení. Využívání monopolu na terminaci by tak mohlo vést k poklesu inovací, protože operátoři by měli v ruce výběr obsahu namísto koncových uživatelů.
  • Zavedení povinný fair share příspěvků by mohla vést k porušení pravidel síťové neutrality, konkrétně čl. 3 odst. 1 a 3 nařízení o síťové neutralitě.
  • Nerovné poplatky a ukládání poplatků pouze některým velkým poskytovatelům obsahu by rovněž mohly vést k takovému omezení rozsahu dostupných služeb a aplikací a pravděpodobně by nesplňovaly obecnou povinnost rovného zacházení s provozem bez diskriminace nebo zásahů podle čl. 3 odst. 3 prvního pododstavce nařízení o síťové neutralitě.
  • Fair share příspěvek by mohl vést k omezení přímého peeringu a mohl by způsobit přesměrování internetového provozu daleko od místních propojovacích bodů, čímž by se snížila výkonnost a odolnost ekosystému propojení vůči kybernetickým útokům.

BEREC, poměrně srozumitelně i pro politiky, vysílá varování proti koketování se zavedením fair share příspěvku. Bude to stačit? Pravděpodobně ne a zřejmě se na podzim dočkáme legislativního návrhu. Pozitivní zprávou je, že už nyní se formuje koalice like-minded států, které naslouchají hlasu rozumu a mají s fair share příspěvkem problém. A nyní je jisté, že mají podporu i nezávislého expertního sdružení evropských regulátorů BEREC.

Kategorie:

Nový útok na weby v Česku

St, 05/31/2023 - 14:00

V posledních týdnech jsme na našich honeypotech zaznamenali novou aktivitu útočníků. Mini honeypoty, které může aktivovat každý uživatel Turrisu poskytují zajímavé informace o tom, jaké útoky jsou na router vedeny. Na Turrisu lze aktivovat HTTP, FTP, TELNET, a SMTP mini honeypoty. Všechny zaznamenávají, kromě jiného, jména a hesla, která používá útočník při pokusech o přihlášení. Lze tak identifikovat IP adresy útočníků a nejčastěji používaná jména a hesla.

Pokud použitá hesla setřídíme podle četnosti výskytu, získáme například přehled o tom, která jsou nejpoužívanější. V případě nejpoužívanějších hesel je situace víceméně stabilizovaná a celkem s přehledem vedou hesla typu:

123456
admin
anonymous
123
password
1234

tedy vcelku nic neobvyklého.

Na druhém konci seznamu se ale dějí zajímavější věci. Pokud jsou hesla unikátní, může to například znamenat cílený útok na provozovatele routeru, konfigurační chybu automatu, který se někam pravidelně hlásí, omyl uživatele apod. Jedním z příkladů z „konce seznamu“ je v současnosti probíhající útok na FTP servery, které se vyskytují na stejné IP adrese, jako aktivní WEB server. Pozorujeme slovníkové útoky na FTP server, kdy jsou hesla odvozena z doménového jména WEB serveru:

66666konkretnidomena
www.konkretnidomena.cz2000
konkretnidomena.cz678
www.konkretnidomena.cz1992
www.konkretnidomena.cz777
55www.konkretnidomena.cz
konkretnidomena1983
66666konkretnidomena.cz
88konkretnidomena.cz
konkretnidomena1111
2023konkretnidomena.cz
0000www.konkretnidomena.cz
6www.konkretnidomena.cz

www.konkretnidomena.cz2008
5555konkretnidomena
2019www.konkretnidomena.cz
000konkretnidomena
konkretnidomena.cz789

Login jméno je v tomto případě „konkretnidomena“. Kompletní seznam login jmen a hesel i s IP adresou útočníka, lze nalézt v tomto souboru:
(hesla_konkretnidomena.pdf).

Proč to ale útočník dělá? K čemu mu může být účet na FTP serveru? K tomu aby získal data oběti? Nebo aby měl bezplatné úložiště pro své soubory? V našem případě je důvod útoku jiný. Útočník předešlým skenem portů IP adresy zjistil, že na ní běží jak WEB server, tak FTP server. Situace z jeho pohledu vypadá nějak takto:

Předpokládá, že FTP server slouží k aktualizaci stránek WEB serveru. Zkrátka, že pokud správce webu nahraje do struktury FTP serveru aplikační soubory webu, projeví se to okamžitě na stránkách serveru, protože adresáře FTP serveru odpovídají struktuře adresářů WEB serveru. Uhodnout jméno a heslo k FTP serveru by tedy útočníkovi umožnilo přímo modifikovat stránky WEB serveru. Proč by to dělal? Důvodů může být několik:

  • Defacement (změna obsahu stránek webu)
  • Instalace stránek, které kradou údaje (včetně hesel), zadávané do aplikace uživateli
  • Instalace zadních vrátek k dalším útokům (webshell)

V námi analyzované situaci se však s velkou pravděpodobností jedná o útok malware typu PhotoMiner (https://www.securityweek.com/photominer-worm-spreads-insecure-ftp-servers/), který modifikuje stránky tak, že instaluje JavaScripty, které jsou následně vykonány v prohlížečích uživatelů přistupujících na napadený WEB server. Tyto JavaScripty mohou být použity například k těžení kryptoměn.

V našem případě má však útočník problém. Konfigurace sítě s Turrisem vypadá totiž následovně:

Právě kombinace honeypotů pro dvě různé služby na jednom zařízení přivedla malware až k nám. FTP server je v naší konfiguraci mini honeypot, který běží na Turrisu a nijak nesouvisí s provozem WEB serveru. Umožňuje ale detekovat útoky, které se WEB serveru týkají. Přesně tak, jako v analyzovaném útoku.

Tento případ ilustruje, že provozovat více honeypotů pro různé služby na jednom stroji může být výhodou a může upozornit na aktivity útočníků, kteří by se jinak neměli důvod k single službě připojovat. Zároveň připomíná, že je důležité dbát na kvalitu a sílu hesel, protože útočníci stále zkouší nové cesty.

Kategorie: