Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 10 min 59 sek zpět

Krátké vlny: Paušální náhrady za nepřenesení čísla a přiznání oběti penetračního testování

Čt, 10/21/2021 - 08:51

Jak slíbili, tak udělali. Velká implementační novela zákona o elektronických komunikacích byla vydána toto pondělí (19. října 2021) ve Sbírce zákonů pod číslem 374/2021 Sb. a v částce 166 rozeslána do světa (za 165 korun českých). Téměř rok poté, co návrh zákona schválila vláda (9. listopadu 2020). Jak jsem již psal, většina ustanovení vstoupí v účinnost 1. ledna 2022. Mezi nimi i právo účastníka na tzv. paušální, pevně stanovenou náhradu při zpoždění nebo zneužití postupů souvisejících s přenesením čísla nebo změnou poskytovatele služby přístupu k internetu, nebo při nedodržení dohodnutých termínů opravy a instalace.

Ke stanovení výše paušální náhrady je určeno Ministerstvo spravedlnosti, které má vydat vyhlášku ve spolupráci s Ministerstvem průmyslu a obchodu. Návrh vyhlášky byl rozeslán do meziresortního připomínkového řízení v úterý 19. října 2021 a má věru jednoduchou strukturu.

Předkladatel výslovně uvádí, že tyto paušální náhrady se týkají vyjmenovaných pochybení a právo na náhradu škody podle občanského zákoníku v rozsahu převyšujícím paušální náhradu tím není dotčeno.

Návrh poněkud netradičně upravuje náhradu při nedodržení termínů opravy a instalace pro první den prodlení. Ministerstvo spravedlnosti předkládá pravidla, jejichž cílem má být vyrovnání podmínek pro obě smluvní strany. Důvodem podle ministerstva je, že podnikatelé si v obchodních podmínkách nezřídka zakládají právo na peněžité plnění (smluvní pokutu) pro případ, že dojde k nedodržení termínu opravy a instalace z důvodu na straně účastníka. V zájmu narovnání těchto vztahů ministerstvo navrhuje alespoň pro první den trvání prodlení aplikovat tutéž sazbu, kterou by podnikatel mohl požadovat po účastníku v případě, že by prodlení nastalo z příčin na jeho straně. Nicméně s ohledem na meze stanovené v zákoně o elektronických komunikacích je tato částka maximálně 1000 korun. Následující dny prodlení bude účastníku dále náležet náhrada ve výši 200, resp. 400 korun denně. Návrh vyhlášky zdá se ale neřeší právě mechanismus výpočtu náhrady v případě, že účastník neposkytuje součinnost.

Informace o právu na paušální náhradu včetně její výše musí operátor zveřejnit na svých webových stránkách jasným, srozumitelným a snadno dohledatelným způsobem. Současně musí tyto informace být zveřejněny společně s informacemi o postupu při přenosu čísla nebo změně poskytovatele služby přístupu k internetu (nebo alespoň odkaz na ně).

Ministerstvo spravedlnosti navrhuje účinnost od 1. ledna 2022. Tato lhůta však nebere v úvahu zákonné termíny na změnu smlouvy podle zákona o elektronických komunikacích.

Podle předkladatele (který v podstatě jen provádí ustanovení evropského Kodexu (až na stanovení výše náhrady)) je obecně hlavním motivem příslušné evropské úpravy posílit práva účastníků v souvislosti s přenosem čísla nebo změnou poskytovatele služby přístupu k Internetu a zajistit jim snadné a rychlé odškodnění. Jen si říkám, zda je to opravdu takový problém (když se podívám na čísla, která publikuje Český telekomunikační úřad v souvislosti se stížnostní agendou) a zda není telekomunikační trh progresivním inkubátorem pro další odvětví do budoucna. Zda za tři nebo čtyři roky nepřijde obdobná novela živnostenského zákona a já budu mít ze zákona jako spotřebitel nárok na paušální odměnu až mi plynař slíbí přijet opravit kotel, ale týden o něm nebude vidu slechu.

Lhůta na podání připomínek končí 10. listopadu 2021. Shodou okolností je to termín konference, kterou pořádá sdružení CZ.NIC „Internet a technologie 21.2„. Pokud si uděláte čas, dozvíte se nejen novinky od Jaromíra Talíře ze světa služby mojeID, ale seznámíte se s aktivitami sdružení a novinkami z různých projektů v celé šíři. Ať už se to týká projektu FRED, KNOT DNS, nebo Turris. Martin Kunc zmíní pár zajímavostí z penetračního testování a Martin Kožíšek představí aktuální aktivity Safer Internet Centra. A je to překvapení a já vlastně můžu jen naznačovat, ale pokud dorazíte na konferenci, setkáte se i mobilním CZECH Point stánkem, takže se vyhnete stresující návštěvě pošty a můžete si zde… no prostě uvidíte.

Když jsem zmínil jedno z témat konference, penetrační testování, musím se přiznat, že jsem v nedávné době při obdobném testu neprošel. A samozřejmě mám tisíc výmluv a samozřejmě jsem věděl, že něco je špatně, ale nakonec jsem zmáčknul „enter“, když jsem neměl. A že je to chyba jsem věděl sekundu poté. Což je mi samozřejmě platný stejně jako mrtvému zimník. Ale jak říká klasik, chybami se člověk učí.

Poučili se, snad, i v městečku Westmoreland v Kansasu, které bylo kdysi zastávkou na Oregonské stezce, po které v polovině 19. století putovali statisíce lidí přes americký západ. Bohužel před několika týdny se představitelé města potýkali s kyberzločinci, kteří pomoci ransomwaru ochromili jejich IT systémy a na několik týdnů znemožnili obyvatele přístup k některým službám.

Okres Pottawatomie zjistil útok 17. září a městečko útočníky nakonec vyplatilo – ale podle představitelů okresu ne v plné výši. Kyberútočníci původně požadovali jeden milion dolarů, ale po „úspěšném vyjednávání“, které poukázalo na omezené finanční prostředky okresu a na zátěž způsobenou pandemií COVID-19, se podle prohlášení okresu dohodli na 71 250 dolarech. Zástupci okresu dodávají, že poté, co hackeři prokázali, že viděli soukromá data, zaplatili výkupné, aby ochránili voliče a zabránili zveřejnění těchto dat.

Že je napadání malých obcí a jejich samosprávných agend častým jevem, ukazují čísla společnosti Record Future, která od roku 2013 sledovala téměř 400 známých útoků ransomwaru zaměřených na systémy státní správy a samosprávy v USA, z toho 70 proběhlo v letošním roce. Jak však uvádí, skutečný počet je však pravděpodobně mnohem vyšší.

Už tento týden, v pátek a v sobotu (22. a 23. října) i přes narůstající čísla pozitivních kovidových zavirovanců proběhne (doufám!) Hackathon otevřených dat Plzeňského kraje. Akce, kterou si kdysi vymyslel a táhne Karel Rejthar, zaštiťující skupinu studentů a častých účastníků pražských hackathonů, má za cíl přilákat a podpořit zájem o IT mezi středoškolskými studenty v regionu. Jen houšť.

Kategorie:

25. října zkušebně vypneme IPv6 tunelovací technologie Teredo a 6to4

Po, 10/18/2021 - 12:05

V roce 2018 jsem přinesl v článku Omezování IPv6 tunelovacích technologií informace o aktuálním vývoji a využití technologií Teredo a 6to4. Závěrem jsem pak informoval, že Teredo prefix 2001::/32 přestáváme propagovat do zahraničních upstreamů a propagujeme jej jen v rámci peeringových uzlů NIX.CZ a NIX.SK, kde však peerují také globální hráči, tudíž určitý provoz ze zahraničí i přesto odbavujeme Technologii 6to4 jsme v té době nijak neomezili. V tomto blogpostu uvedu důvody, proč chceme tyto dvě technologie vypnout.

6to4

Pro zrušení námi provozované technologie 6to4 jasně hovoří RFC 7526, které označuje provoz přes anycast adresu jako deprecated (zastaralou), a to již od roku 2015. Současně tato technologie vykazuje značnou chybovost, na kterou poukazuje i příspěvek na webu labs.ripe.net z roku 2010. Z těchto důvodů jsme již neanalyzovali tento provoz, zaměřili jsme se více na Teredo server/relay a rovnou přistoupíme k vypnutí. Nicméně datový tok přes 6to4 je v zásadě srovnatelný s tokem přes Teredo.

Teredo

Pro oživení jak funguje Teredo doporučuji prostudovat tento článek a také prohlédnout toto schema. V CZ.NIC provozujeme obě součásti, tedy jak Teredo server na adrese teredo.nic.cz, tak i Teredo relay.

Abychom si udělali konkrétní představu o fungování obou součásti, prostudovali jsme síťový provoz jednoho pracovního dne ve vzorku deseti minut. Na základě získaných IP adres a GeoIP databáze jsme určili jednotlivé státy, ze kterých provoz pochází a kde terminuje, a připravili grafy TOP 10 států světa s největším procentuálním zastoupením v celém datovém provozu dle zvolených kritérií.

Co ukazují jednotlivé grafy? Ten první (oranžový) znázorňuje, kdo nejvíce používá Teredo server. Jedná se tedy o ty klientské stanice, které ve své konfiguraci používají přímo adresu teredo.nic.cz. Druhý graf (modrý) pak reprezentuje, kdo pro komunikaci s IPv6 světem využívá náš Teredo relay. A nakonec třetí graf (zelený) ukazuje cílové destinace, kde skutečně končí provoz.

Když si dáme jednotlivé grafy do souvislostí, můžeme uvažovat následující skutečnosti:

  • Teredo server je nejvíce používán z České republiky a Ruska,
  • Teredo relay instance je vlastně z naší republiky zastoupena méně než jedním procentem. To tedy znamená, že cílové servery, kam provoz tunely proudí, pravděpodobně nejsou v České republice a blízkém okolí, protože by jinak takový provoz odbavila přímo naše Teredo relay instance,
  • naopak provoz z naší Teredo relay instance nejvíce končí v Holandsku a USA. Česká republika je zastoupena přibližně jedním procentem.

Má smysl dále provozovat Teredo tunely, abychom uživatelům v České republice zlepšili komfort a odezvy? Jsme přesvědčeni o tom, že ne, protože:

  • jedná se o službu, která je postupně různými subjekty vypínána. Zajímavým počinem byl test společnosti Microsoft, kdy v roce 2013 vyzkoušeli na pár dní Teredo vypnout,
  • Teredo je technologie, která může být často použita pro útoky na jiné subjekty,
  • sdružení CZ.NIC je součástí kritické infrastruktury státu a tak by nerado i nadále poskytovalo nástroj, který lze snadno použít pro útoky na kohokoliv,
  • Teredo má obecně velkou ztrátovost a tato technologie je značně komplikovaná, viz strana 286 až 287 knihy IPv6 čtvrté vydání,
  • zrušení tunelovacích mechanismů by mohlo přispět k dalšímu rozšiřování nativní podpory IPv6 protokolu namísto obcházení různými přechodovými mechanismy.

V původním článku Omezování IPv6 tunelovacích technologií jsem také uváděl grafy společnosti Google o tom, kolik uživatelů přistupuje na jejich služby pomocí IPv6 protokolu. V polovině roku 2018 měly tunelovací technologie 6to4/Teredo zastoupení ještě 0,05 %. Po cca třech a půl letech je to už čistá 0.

K vypnutí chceme přistoupit i ze zcela pragmatického důvodu. Hardware, na kterém služba běží, dosluhuje a investice do nového (stejně jako práce s migrací a následnou správou) nám prostě nedávají smysl.

Vypínáme na zkoušku

Na základě výše uvedeného jsme se rozhodli, že obě IPv6 tunelovací technologie na zkoušku vypneme 25. října 2021 na dobu 24 hodin.

Vypínáme!

Pokud se neobjeví žádný zásadní problém, provoz obou služeb definitivně ukončíme v pondělí 1. listopadu 2021. Uživatelé v České republice však o blízký uzel služeb Teredo a 6to4 nepřijdou, neboť je stále provozuje (jako jeden z posledních mohykánů) společnost Hurricane Electric, která také peeruje v NIX.CZ. Tuto společnost budeme samozřejmě před finálním vypnutím s předstihem informovat.

Kategorie:

Knot DNS – začínáme

St, 10/13/2021 - 16:04

Stále častěji se setkáváme s dotazy uživatelů, jak zprovoznit DNS server Knot DNS. Přestože se snažíme udržovat kvalitní dokumentaci, její obsah přímo nenabízí formu tutoriálu. Na praktických příkladech si tedy přiblížíme základy i pokročilejší možnosti tohoto software.

Na úvod ještě jedno upozornění. Budeme se věnovat autoritativnímu DNS serveru. Pokud spravujete, nebo byste rádi začali spravovat nějaké domény, je tento seriál určen právě pro vás. Funkcí rekurzivního DNS serveru se zabývá sesterský projekt Knot Resolver.

Verzování

Verze Knot DNS se označuje klasickou kombinací tří čísel oddělených tečkou (X.Z.Y), kde první dvě čísla udávají majoritní verzi a třetí číslo verzi minoritní. Majoritní verze se mohou výrazně lišit ve funkcionalitě a programovém rozhraní knihoven. Minoritní verze, v rámci stejné majoritní verze, se liší množstvím oprav a případných menších vylepšeních, která nenarušují kompatibilitu. Podporovány jsou vždy jen poslední dvě majoritní verze:

  • aktuální stabilní verze (nyní 3.1.2) – obsahuje nejnovější funkce a opravy, avšak s větším rizikem výskytu nových chyb,
  • předchozí stabilní verze (nyní 3.0.9) – časem prověřenější a stabilnější kód, kde aktualizace obsahují většinou už jen důležitější opravy.

Životnost majoritních verzí není striktně určena, ale bývá přibližně tři čtvrtě roku. S vydáním nové majoritní verze se přesune aktuální stabilní verze do role předchozí stabilní verze. A předchozí stabilní verze už není dále podporována. Je naší snahou zaručit, aby přechod mezi bezprostředně následnými verzemi byl bezproblémový. Proto je vhodné, aby uživatelé včas vyřešili případná varování v logu ohledně budoucích změn. U vzdálenějších přechodů již nemusí fungovat zpětná kompatibilita (viz migrace na následující verzi).

Instalace

Na výběr je několik způsobů instalace:

  • ze zdrojového kódu – určeno spíše pokročilejším uživatelům se speciálními potřebami. Zdrojový kód je možné stáhnout jako komprimovaný archiv nebo přímo z repozitáře git. Příslušné odkazy jsou na stránkách projektu.
  • distribuční repozitáře – pro většinu linuxových distribucí, BSD systémů nebo macOS můžete nalézt nějakou verzi Knot DNS ve formě binárního balíčku nebo portu (hezký přehled nabízí služba Repology). Nevýhodou této varianty je často neaktuálnost či dokonce nevhodnost dostupné verze. U distribucí/repozitářů s delším životním cyklem je tato varianta spíše nedoporučena.
  • Projektové repozitáře – v rámci projektu udržujeme vlastní repozitáře pro dominantní linuxové distribuce (Debian, Ubuntu, CentOS, Fedora, openSUSE). Opět na stránkách projektu naleznete odkazy a návody k instalaci. Největší výhodou je aktuálnost a možnost výběru mezi aktuální a předchozí stabilní verzí. Nevýhodou je omezenější výběr architektur (i386, amd64, armhf, arm64).
  • Docker image – na Docker Hub jsou také k dispozici obrazy pro jednotlivé verze.

Pro následující ukázky jsme si zvolili aktuální stabilní verzi Knot DNS a čistou instalaci operačního systému Ubuntu 20.04. Nastavíme si projektový repozitář, nainstalujeme server knot a pomocné utility knot-dnsutils, které poslouží k následným ukázkám:

$ sudo add-apt-repository ppa:cz.nic-labs/knot-dns-latest $ sudo apt update Hit:1 http://ppa.launchpad.net/cz.nic-labs/knot-dns-latest/ubuntu focal InRelease ... $ sudo apt install knot knot-dnsutils

Úspěšnou instalaci ověříme pomocí:

$ systemctl status knot ● knot.service - Knot DNS server Loaded: loaded (/lib/systemd/system/knot.service; disabled; vendor preset: enabled) Active: active (running) since Wed 2021-10-06 13:39:19 CEST; 13s ago Docs: man:knotd(8) man:knot.conf(5) man:knotc(8) Main PID: 60808 (knotd) Tasks: 16 (limit: 1674) Memory: 1.9M CGroup: /system.slice/knot.service └─60808 /usr/sbin/knotd -m 512 Oct 06 13:39:19 ns1.xdp.cz knotc[60796]: Configuration is valid Oct 06 13:39:19 ns1.xdp.cz knotd[60808]: info: Knot DNS 3.1.2 starting Oct 06 13:39:19 ns1.xdp.cz knotd[60808]: info: loaded configuration file '/etc/knot/knot.conf', mapsize 512 MiB Oct 06 13:39:19 ns1.xdp.cz knotd[60808]: warning: no network interface configured Oct 06 13:39:19 ns1.xdp.cz knotd[60808]: info: loading 0 zones Oct 06 13:39:19 ns1.xdp.cz knotd[60808]: warning: no zones loaded Oct 06 13:39:19 ns1.xdp.cz knotd[60808]: info: starting server Oct 06 13:39:19 ns1.xdp.cz knotd[60808]: info: server started in the foreground, PID 60808 Oct 06 13:39:19 ns1.xdp.cz knotd[60808]: info: control, binding to '/run/knot/knot.sock' Oct 06 13:39:19 ns1.xdp.cz systemd[1]: Started Knot DNS server.

Z výpisu se můžeme dočíst, že démon knotd byl úspěšně spuštěn, jeho konfigurace je uložena v textovém souboru /etc/knot/knot.conf, neposlouchá na žádné síťové adrese a nemá k dispozici žádnou zónu.

Základní nastavení

Obsah textového konfiguračního souboru je ve formátu zjednodušeného YAML. Zjednodušeného znamená, že jsou podporovány pouze základní konstrukce, ale zároveň je zde pár nekompatibilních změn, se kterými je třeba počítat v případě zpracovávání jinými nástroji. Na odlišnosti upozorníme v dalším popisu.

Struktura konfigurace se skládá z několika sekcí, kde každá sekce nastavuje odlišnou část démona. V textovém editoru otevřeme zmíněný konfigurační soubor a vyhledáme sekci server. Zde se nastavují obecné parametry démona. Odstraníme znak komentáře # z řádky u volby listen a přidáme veřejnou IPv6 adresu našeho serveru k již vyplněným dvěma lokálním adresám. Výsledek bude v našem případě vypadat:

server: rundir: "/run/knot" user: knot:knot listen: [ 2001:1488:ac15:ff30::28, 127.0.0.1@53, ::1@53 ]

Výchozí hodnotu portu 53 není třeba specifikovat. Změnu uložíme a restartujeme démona, aby si načetl novou konfiguraci:

$ sudo systemctl restart knot

Ve výpisu logů nově vidíme, že démon poslouchá na třech adresách:

$ journalctl -u knot ... Oct 06 13:42:29 ns1.xdp.cz knotd[61008]: info: binding to interface 2001:1488:ac15:ff30::28@53 Oct 06 13:42:29 ns1.xdp.cz knotd[61008]: info: binding to interface 127.0.0.1@53 Oct 06 13:42:29 ns1.xdp.cz knotd[61008]: info: binding to interface ::1@53 ...

Nyní může nástrojem kdig ověřit základní funkčnost démona, kdy se ho dotážeme po lokální adrese ::1 na jeho verzi pomocí speciálního dotazu:

$ kdig @::1 ch txt version.server ;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 42337 ;; Flags: qr rd; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 0 ;; QUESTION SECTION: ;; version.server. CH TXT ;; ANSWER SECTION: version.server. 0 CH TXT "Knot DNS 3.1.2" ;; Received 59 B ;; Time 2021-10-01 20:02:13 CEST ;; From ::1@53(UDP) in 0.0 ms

Ve výstupu je důležitý návratový kód v hlavičce status: NOERROR a obsah sekce ANSWER.

Nastavení zóny

V tomto kroku už dáme našemu démonu nějaká data. Jako příklad jsme si zvolili doménu xdp.cz. Abychom mohli doménu provozovat, je třeba popsat část DNS stromu (tzv. zónu), pro kterou bude náš server autoritativní. Obsah zóny se většinou zapisuje do textového souboru, jehož základní formát stanovuje RFC 1035.

Vytvoříme zónový soubor /var/lib/knot/xdp.cz.zone s následujícím obsahem:

$ORIGIN xdp.cz. $TTL 300 xdp.cz. SOA ns1.xdp.cz. knot-dns.nic.cz. 1 36000 600 864000 300 xdp.cz. NS ns1.xdp.cz. xdp.cz. NS ns2.xdp.cz. ns1.xdp.cz. AAAA 2001:1488:ac15:ff30::28 ns2.xdp.cz. AAAA 2001:1488:ac15:ff30::29

Formát souboru je poměrně volný a některé informace lze zjednodušit. Např. direktivou $TTL, která určuje hodnotu TTL záznamů, u kterých není uvedena. Za povšimnutí stojí nevýrazný detail, že každé doménového jméno je ukončeno tečkou. Takové doménové jméno se nazývá plně kvalifikované (tzv. FQDN). Pokud je doménové jméno zapsáno relativně (bez ukončení tečkou), je interně interpretováno, jako kdyby bylo ukončeno obsahem direktivy $ORIGIN (např. ns1 je ekvivalentní ns1.xdp.cz.).
Následují záznamy:

  • SOA – určuje název primárního serveru (ns1.xdp.cz.), e-mailovou adresu správce zóny (první tečka má význam zavináče, tedy knot-dns@nic.cz.), verzi obsahu zóny (1), časovače pro synchronizaci zóny (36000 600 864000) a TTL negativních odpovědí (300),
  • NS – určuje název serveru, ze kterého je zóna poskytována. V našem případě jsou dva (ns1.xdp.cz. a ns2.xdp.cz.),
  • AAAA – určuje IPv6 adresu serveru (ns1.xdp.cz.. má adresu 2001:1488:ac15:ff30::28),
  • (A) – by určoval IPv4 adresu (z technických důvodů nepoužito).

V konfiguračním souboru aktivujeme zónu přidáním:

zone: - domain: xdp.cz.

Načteme změněnou konfiguraci (v tomto případě už není třeba restartovat démona):

$ sudo systemctl reload knot

A v logu zkontrolujeme úspěšné načtení přidané zóny:

Oct 06 17:16:14 ns1.xdp.cz systemd[1]: Reloading Knot DNS server. Oct 06 17:16:14 ns1.xdp.cz knotd[61008]: info: reloading configuration file '/etc/knot/knot.conf' Oct 06 17:16:14 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] zone will be loaded Oct 06 17:16:14 ns1.xdp.cz knotd[61008]: info: configuration reloaded Oct 06 17:16:14 ns1.xdp.cz systemd[1]: Reloaded Knot DNS server. Oct 06 17:16:15 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] zone file parsed, serial 1 Oct 06 17:16:15 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] loaded, serial none -> 1, 203 bytes

A ověříme funkčnost dotazem přes veřejnou adresu:

$ kdig @2001:1488:ac15:ff30::28 xdp.cz soa ;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 4974 ;; Flags: qr aa rd; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 0 ;; QUESTION SECTION: ;; xdp.cz. IN SOA ;; ANSWER SECTION: xdp.cz. 300 IN SOA ns1.xdp.cz. knot-dns.nic.cz. 1 36000 600 864000 300 ;; Received 77 B ;; Time 2021-10-06 17:17:46 CEST ;; From 2001:1488:ac15:ff30::28@53(UDP) in 0.0 ms Zprovoznění sekundárního serveru

Pro provoz domény potřebujeme ještě alespoň jeden DNS server (požadavek registru domén .cz). Většinou jde o geograficky jinou lokalitu, jinou podsíť a někdy i jinou softwarovou implementaci. V naší ukázce se omezíme jen na druhou instanci Knot DNS pod jinou adresou. Bez ukázky si zprovozníme druhý (sekundární) server ns2.xdp.cz s adresou 2001:1488:ac15:ff30::29. Postup je stejný až po nastavení zóny, protože obsah zóny zde budeme automaticky synchronizovat z primárního serveru. Tato operace se nazývá zónový transfer.

Na primárním serveru rozšíříme konfiguraci o popis sekundárního serveru. Tento popis bude odkazován pod názvem secondary:

remote: - id: secondary address: 2001:1488:ac15:ff30::29

Protože zónové transfery nejsou ve výchozím nastavení povoleny, musíme ještě zavést pravidlo, které povolí operaci transfer pro sekundární server:

acl: - id: acl_secondary remote: secondary action: transfer

Nakonec v nastavení zóny přiřadíme příslušné pravidlo ACL a zapneme pro sekundární server zasílání oznámení o změně zóny:

zone: - domain: xdp.cz. notify: secondary acl: acl_secondary

Kdybychom notifikace nenastavili, synchronizoval by si sekundární server obsah zóny sám jen na základě hodnot časovačů v záznamu SOA, což není vhodné pro zóny, které se často mění nebo jsou zabezpečené pomocí DNSSEC. Změny potvrdíme příkazem sudo systemctl reload knot

Na sekundárním serveru vytvoříme „zrcadlovou“ konfiguraci. Zavedeme popis pro primární server:

remote: - id: primary address: 2001:1488:ac15:ff30::28

Vytvoříme pravidlo ACL pro přijímání notifikací od primárního serveru:

acl: - id: acl_primary remote: primary action: notify

A přidáme zónu s příslušným ACL a nastaveným primárním serverem:

zone: - domain: xdp.cz. master: primary acl: acl_primary

Změny potvrdíme příkazem sudo systemctl reload knot a v logu sekundárního serveru se přesvědčíme o úspěšném transferu:

Oct 06 20:07:00 ns2.xdp.cz systemd[1]: Reloading Knot DNS server. Oct 06 20:07:00 ns2.xdp.cz knotd[48345]: info: reloading configuration file '/etc/knot/knot.conf' Oct 06 20:07:00 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] zone will be loaded Oct 06 20:07:00 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] failed to parse zone file (not exists) Oct 06 20:07:00 ns2.xdp.cz knotd[48345]: info: configuration reloaded Oct 06 20:07:00 ns2.xdp.cz systemd[1]: Reloaded Knot DNS server. Oct 06 20:07:00 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] AXFR, incoming, remote 2001:1488:ac15:ff30::28@53, started Oct 06 20:07:00 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] AXFR, incoming, remote 2001:1488:ac15:ff30::28@53, finished, 0.00 seconds, 1 messages, 241 bytes Oct 06 20:07:00 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] refresh, remote 2001:1488:ac15:ff30::28@53, zone updated, 0.01 seconds, serial none -> 1 Oct 06 20:07:00 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] zone file updated, serial 1

V logu primárního serveru vidíme úspěšný odchozí transfer:

Oct 06 20:07:00 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] AXFR, outgoing, remote 2001:1488:ac15:ff30::29@60394, started, serial 1 Oct 06 20:07:00 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] AXFR, outgoing, remote 2001:1488:ac15:ff30::29@60394, finished, 0.00 seconds, 1 messages, 241 bytes

V tuto chvíli máme zónu na sekundárním serveru automaticky synchronizovanou. Poznamenejme, že popsané nastavení zónového transferu není nijak zabezpečeno s ohledem na zajištění integrity a soukromí. O možnostech vylepšení si povíme někdy příště.

Zapnutí DNSSEC

Co by to bylo za návod, kdybychom opominuli zabezpečit naší zónu pomocí DNSSEC. Na primárním serveru přidáme do konfigurace zóny dnssec-signing: on. Tedy:

zone: - domain: xdp.cz. notify: secondary acl: acl_secondary dnssec-signing: on

Změnu potvrdíme sudo systemctl reload knot a v logu primárního serveru vidíme:

Oct 06 20:13:48 ns1.xdp.cz systemd[1]: Reloading Knot DNS server. Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: reloading configuration file '/etc/knot/knot.conf' Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] DNSSEC, signing zone Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: configuration reloaded Oct 06 20:13:48 ns1.xdp.cz systemd[1]: Reloaded Knot DNS server. Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: notice: [xdp.cz.] DNSSEC, KSK submission, waiting for confirmation Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] DNSSEC, key, tag 32114, algorithm ECDSAP256SHA256, KSK, public, ready, active+ Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] DNSSEC, key, tag 16843, algorithm ECDSAP256SHA256, public, active Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] DNSSEC, signing started Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] DNSSEC, successfully signed Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] DNSSEC, next signing at 2021-10-13T20:13:48+0200 Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] zone file updated, serial 1 -> 2 Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] notify, outgoing, remote 2001:1488:ac15:ff30::29@53, serial 2 Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] IXFR, outgoing, remote 2001:1488:ac15:ff30::29@60396, started, serial 1 -> 2 Oct 06 20:13:48 ns1.xdp.cz knotd[61008]: info: [xdp.cz.] IXFR, outgoing, remote 2001:1488:ac15:ff30::29@60396, finished, 0.00 seconds, 1 messages, 1657 bytes

Tedy že zóna byla úspěšně podepsána dvěma ECDSA klíči KSK (keytag 32114) a ZSK (keytag 16843), nová verze zóny je 2, obsah zónového souboru byl aktualizován, sekundární server informován o změně a následně synchronizován.

V logu sekundárního serveru vidíme úspěšnou synchronizaci:

Oct 06 20:13:48 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] notify, incoming, remote 2001:1488:ac15:ff30::28@48870, serial 2 Oct 06 20:13:48 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] refresh, remote 2001:1488:ac15:ff30::28@53, remote serial 2, zone is outdated Oct 06 20:13:48 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] IXFR, incoming, remote 2001:1488:ac15:ff30::28@53, started Oct 06 20:13:48 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] IXFR, incoming, remote 2001:1488:ac15:ff30::28@53, finished, 0.00 seconds, 1 messages, 1657 bytes Oct 06 20:13:48 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] refresh, remote 2001:1488:ac15:ff30::28@53, zone updated, 0.05 seconds, serial 1 -> 2 Oct 06 20:13:48 ns2.xdp.cz knotd[48345]: info: [xdp.cz.] zone file updated, serial 1 -> 2

Hotovo!

Hurá do Internetu

V přechozích krocích jsme si připravili naše servery, ale aby začaly odbavovat reálný provoz z Internetu, je třeba je řádně „zaregistrovat“. Musíme tedy v rozhraní registrátora u naší domény nastavit tzv. NSSET. To je jen výčet autoritativních serverů pro danou doménu. Pokud spadají názvy serverů pod samotnou doménu, je nutné ještě doplnit jejich síťové adresy (tzv. glue). V našem případě:

  • ns1.xdp.cz s IPv6 adresou 2001:1488:ac15:ff30::28
  • ns2.xdp.cz s IPv6 adresou 2001:1488:ac15:ff30::29

Kdybychom nebyli netrpěliví, tak bychom mohli vyčkat několik dní než se automaticky aktivuje DNSSEC v registru CZ.NIC. To ovšem není náš případ, takže si na primárním serveru vypíšeme obsah DNSKEY záznamu pro klíč KSK:

$ sudo keymgr xdp.cz dnskey xdp.cz. DNSKEY 257 3 13 ONGSk6Yko2ZDmzlASEh6H8ZOnVv2lrjLU2CCJKH6QEaevH1vlH42sSDd+kCngJ4FKvXGpazCtAPbjHby67iBxA==

A v rozhraní registrátora nastavíme tzv. KEYSET, kam vložíme vypsaný obsah. Po uložení změn a vyčkání několika desítek minut máme naší doménu zcela nakonfigurovanou. Dotázáním veřejného resolveru ověříme:

$ kdig @1.1.1.1 xdp.cz dnskey +dnssec +nocrypto ;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 6705 ;; Flags: qr rd ra ad; QUERY: 1; ANSWER: 3; AUTHORITY: 0; ADDITIONAL: 1 ;; EDNS PSEUDOSECTION: ;; Version: 0; flags: do; UDP size: 1232 B; ext-rcode: NOERROR ;; QUESTION SECTION: ;; xdp.cz. IN DNSKEY ;; ANSWER SECTION: xdp.cz. 277 IN DNSKEY 256 3 13 [id = 16843] xdp.cz. 277 IN DNSKEY 257 3 13 [id = 32114] xdp.cz. 277 IN RRSIG DNSKEY 13 2 300 20211020181348 20211006164348 32114 xdp.cz. [omitted] ;; Received 297 B ;; Time 2021-10-07 16:11:58 CEST ;; From 1.1.1.1@53(UDP) in 16.2 ms

S využitím služby DNSViz ověříme správně nakonfigurovaný DNSSEC:


(Červený vykřičník znamená nedostupnost serverů po IPv4.)

Dnes jsme si předvedli, jak lze snadno nasadit Knot DNS na vlastní doméně. Problematika DNS je však obsáhlá a předvedené ukázky byly voleny minimalisticky. V dalších dílech se zaměříme na některá témata více do hloubky. Mezi tím se budeme těšit na případnou zpětnou vazbu.

Kategorie:

Krátké vlny: Bude v Česku broadband uložená povinnost v záchranné síti?

Čt, 10/07/2021 - 08:45

V úterý 5. října uspořádal Český telekomunikační úřad workshop pro operátory s cílem otevřít diskuzi k (slovy zákona) přezkumu dílčí služby přiměřeného přístupu k internetu v pevném místě, včetně připojení potřebného pro využívání služby.

Tento postup se opírá o čl. 84 Evropského kodexu pro elektronické komunikace a ustanovení § 38 odst. 2 písm. a) transpoziční novely zákona o elektronických komunikacích. V souladu s přechodnými ustanoveními transpoziční novely musí přezkum proběhnout do 6 měsíců ode dne nabytí účinnosti transpoziční novely. Pokud by se na základě přezkumu ČTÚ rozhodl uložit tuto dílčí službu, měl by ji uložit ve lhůtě 12 měsíců od nabytí účinnosti novely. Připomeňme si, většina ustanovení novely nabudou účinnosti 1. ledna 2022.

Co je univerzální služba? Institut univerzální služby má být „záchrannou sítí“, která má zajišťovat, aby určité, předem definované, minimální služby byly dostupné všem koncovým uživatelům a za cenu dostupnou pro spotřebitele, pokud by absence dostupnosti těchto služeb znamenala riziko sociálního vyloučení a neumožnila by občanům plné sociální a ekonomické fungování. Univerzální služba tedy nemá suplovat dotační politiku státu, ale má, pokud je uložena, stanovit minimální standard služeb elektronických komunikací, ze kterého by neměl být nikdo vyloučen.

Novou dílčí službou v univerzální službě je přístup ke službám dostupného přiměřeného širokopásmového přístupu k internetu a k hlasovým komunikačním službám v pevném místě za dostupnou cenu. Podle Kodexu pro elektronické komunikace by univerzální služba měla zajistit rovnocenný přístup pro koncové uživatele se zdravotním postižením. Neměla by existovat žádná omezení týkající se technických prostředků, které umožňují použití drátových nebo bezdrátových technologií, jimiž se spojení zajišťuje, ani žádná další omezení týkající se kategorie poskytovatelů, kteří poskytují část povinností nebo všechny povinnosti univerzální služby.

Podle předběžného posouzení ČTÚ bylo v roce 2020 pokryto alespoň jednou disponibilní přípojkou (bez rozlišení technologie a poskytovaných rychlostí) 91 % všech adresních míst. V kategorii nad 30 Mbit/s pak bylo cca 85 % pokrytých adresních míst. Současně Ministerstvo průmyslu a obchodu připravilo a připravuje dotační programy pro pokrývání bílých míst a ČTÚ v podmínkách aukce stanovil další rozvojová kritéria. Díky těmto aktivitám by mělo postupně docházet k pokrývání míst, kde není dostupné žádné nebo jen mizerné připojení.

Službou přiměřeného přístupu k internetu v pevném místě se podle zákona rozumí pro účely univerzální služby služba, která umožňuje využívat:

  1. elektronickou poštu,
  2. vyhledávače umožňující vyhledávat a nacházet všechny druhy informací,
  3. základní on-line nástroje pro odbornou přípravu a vzdělávání,
  4. on-line noviny nebo zprávy,
  5. e-shopy,
  6. hledání zaměstnání a nástroje pro hledání zaměstnání,
  7. navazování profesních kontaktů,
  8. internetové bankovnictví,
  9. využívání služeb e-governmentu,
  10. sociální média a zasílání rychlých zpráv (instant messaging),
  11. volání a videohovory (ve standardní kvalitě).

Zákonná definice je nakolik vágní, že chtě nechtě musí ČTÚ stanovit konkrétní parametry a jejich hodnoty, které budou vymezovat jednoznačně dílčí službu přiměřeného přístupu k internetu v pevném místě. Je to logické. Univerzální služba je objednávka státu a čisté náklady na její poskytování jsou hrazeny ze státního rozpočtu (pokud pro podnikatele představují nepřiměřenou zátěž). Proto musí stát stanovit jednoznačné parametry, aby při placení mohl zkontrolovat, že opravdu dostává to, co si objednal pro své občany.

Před vlastní diskuzí ČTÚ přiznává, že nároky na minimální parametry služby jsou ovlivněny zkušenostmi nabytými během pandemie koronaviru, která předpokládá v maximální možné míře využívání vzdělávání i práce z domova.

Základním parametrem, od kterého se chce ČTÚ odpíchnout, je inzerovaná rychlost, neboť se má jednat o zjistitelný a pro spotřebitele snadno dostupný a dohledatelný údaj.

Při nastavení parametru rychlosti rozhodl pro účely hodnocení stávajícího stavu a dostupnosti služby přístupu k internetu v rámci přezkumu vycházet z inzerované rychlosti, neboť se jedná o zjistitelný a i pro spotřebitele snadno dostupný a dohledatelný údaj. Z inzerované rychlosti pak lze přibližně dovodit rychlost běžně dostupnou, když právě tato rychlost je určující pro posouzení využitelnosti služby připojení k internetu pro jednotlivé výše uvedené služby.

ČTÚ uvádí, že obvyklou nejnižší inzerovanou rychlostí, kterou mají v nabídce vybraní poskytovatelé služby přístupu k internetu tvořící většinový podíl na trhu z pohledu počtu zákazníků, je 20 Mbit/s a více. Při inzerované rychlosti 20 Mbit/s by podle uvedeného všeobecného oprávnění měla být služba poskytována s běžně dostupnou rychlostí alespoň 12 Mbit/s.

ČTÚ dospěl k názoru, že za základní, pro bezproblémové poskytování služby, by měla být považovaná ve směru k uživateli běžně dostupná rychlost 10 Mbit/s. Upload pak zvažuje vymezit na hodnotě 3 Mbit/s.

Další parametr, který ČTÚ navrhuje stanovit, je hodnota zpoždění. Ta by měla být v maximální povolené hodnotě 150 ms v jednom směru měřeno od místa odběru služby (tj. koncového bodu sítě) do nezávislého peeringového uzlu NIX.CZ. Důvodem je význam tohoto parametru pro bezproblémové poskytování interaktivních služeb, a to zejména při využití on-line nástrojů pro odbornou přípravu a vzdělávání, volání a videohovorů.

V podmínkách České republiky se zatím nikdy neuvažovalo o uložení povinnosti univerzální služby pouze na části území, a to s ohledem na relativní homogennost území. Vždy se povinnost ukládala celoplošně. Byť třeba telefonní budky byly uloženy celoplošně, ale na základě parametru počtu obyvatel v obci. ČTÚ se domnívá, že v podmínkách České republiky by uložení služby pouze na části území mohlo znamenat nepřiměřenou zátěž pro lokální operátory. A to díky systému zpětných úhrad čistých nákladů a zvýšené administrativní zátěže.

Další důležitým faktem, který regulátor musí zvážit, je, zda mobilní připojení bude brát jako substitut pevného připojení (jako od roku 2006 bere mobilní telefonní službu pro telefonní službu v pevném místě). ČTÚ zatím navrhuje konzistentně zachovat tento přístup, nicméně upozorňuje, že aby mohla být mobilní služba považována za substitut, měla by být posouzena i otázka srovnatelnosti cen příslušné služby a schopnost mobilních sítí poskytnout službu s požadovanými kvalitativními parametry.

Pokud by ČTÚ v následujících 12 měsících po účinnosti zákona uložil tuto dílčí univerzální službu, bude to kromě jiného velmi náročné na koordinaci všech zúčastněných subjektů, protože se musí vyloučit duplicitní financování (univerzální služba vs. dotační programy). V ideálním světě by samozřejmě výstavbu infrastruktury efektivně zajistil, v oblastech, kde selhává trh, precizně nastavení dotační mechanismus. Tak uvidíme, jak dopadne přezkum a jaké budou další kroky státu.

Kategorie:

Krátké vlny: Smrt hloupým formulářům a co bude dál s novelou zákona o elektronických komunikacích

Čt, 09/23/2021 - 05:00

Onehdy, minulý týden to bylo, se mi stala ve firmě taková věc. Jeden úřad se rozhodl, že potřebuje vyplnit formulář. To se občas stane. Neptej se, co může stát udělat pro tebe, ale zeptej se státu, zda nepotřebuje vyplnit formulář. Začal jsem ho tedy vyplňovat a přiznám se otevřeně, že u třetí kolonky jsem propadl zoufalství. Nikoliv nad nejasným popisem jednotlivých kolonek a nelogičností, ale nad faktem, že v komunikaci se státem znovu a znovu člověk musí uvést státu známé skutečnosti.

A přitom to jde jinak. Příklad? Chcete jít volit? Nebudete v termínu voleb v místě svého bydliště? Můžete si vyřídit voličský průkaz. Na internetu najdete hodně vzorů žádosti o voličský průkaz a jeden z nich je ten na webu Hlídače státu, který posunul uživatelskou příjemnost o kousek dál a naznačil, jak by mohla vypadat každá moderní služba státu. Pomocí elektronické identity, v tomto případě služby mojeID, jsou automaticky vyplněny kolonky formuláře. Nic nevyplňuji znova. A jak píše Jaromír Talíř na blogu sdružení CZ.NIC: „Ušetří to možná jen pár minut, ale kdoví, třeba právě toto bude v rozhodování uživatele klíčové při váhání, jestli si voličský průkaz pořídit nebo ne.“

Děje se toho moc. A to je teprve začátek. Poslanci odmítli senátní verzi zákona o elektronických komunikacích a za pět minut dvanáct, resp. na poslední řádné schůzi před volbami, potvrdilo 137 poslanců sněmovní verzi tzv. implementační novely zákona. Gratulace všem, kteří se o to zasloužili a podepsali se na výsledku znění novely. Schválením zákona o elektronických komunikacích se ale roztáčí legislativní kolotoč přípravy, projednávání a schvalování prováděcích právních předpisů.

Aktuálně je v přípravném procesu jedno nařízení vlády a čtyři vyhlášky. Pro představu platný zákon má 38 zmocňovacích ustanovení, po nabytí účinnosti novely jich bude 43 (plus mínus). Aktuálně tedy Ministerstvo průmyslu a obchodu (MPO) novelizuje nařízení vlády o podmínkách poskytování zvláštních cen osobám se zvláštními sociálními potřebami (společně s nařízením vlády o posuzování shody rádiových zařízení při jejich dodávání na trh) a dále rozeslalo do meziresortu vyhlášku č. 267/2017 Sb., o lokalizaci a identifikaci volajícího při volání na čísla tísňových volání a vyhlášku č. 117/2007 Sb., o číslovacích plánech sítí a služeb elektronických komunikacích.

Český telekomunikační úřad zatím poslal do meziresortního připomínkového řízení tři návrhy, a to novelu vyhlášky č. 290/2007 Sb., o úhradě nákladů na databázi údajů pro potřeby tísňového volání, novelu vyhlášky č. 462/2013 Sb., o stanovení výše a způsobu úhrady efektivně vynaložených nákladů na odposlech a záznam zpráv, na uchovávání a poskytování provozních a lokalizačních údajů a na poskytování informací z databáze účastníků veřejně dostupné telefonní a dále novelu vyhlášky č. 135/2012 Sb., o stanovení rozsahu vyúčtování ceny podle druhu služby.

Všechny tyto novely (a další novely, které nás čekají) mají jeden společný důvod novelizace, a tím je změna terminologie zákona o elektronických komunikacích z důvodu implementace Evropského kodexu pro elektronické komunikace. Ale občas se najde ještě prostor na „neimplementační“ změny. Nařízení vlády o zvláštních cenách obsahuje ve své příloze vzor čestného prohlášení (zase formulář!) pro novou skupinu osob, která má podle novely zákona nárok na „zvláštní cenu“ = slevu ze standardního tarifu. Touto novou skupinou osob jsou osoby s nízkými příjmy.

Osoba s nízkými příjmy je nadefinována obdobně, jako je tomu v případě osvobození od koncesionářských poplatků, tedy:

  1. osoba s příjmem nižším, než je 2,15násobek životního minima jde-li o jednotlivce, nebo

  2. osoba, která žije v téže domácnosti s dalšími osobami a součet jejího příjmu a příjmů těchto osob je nižší než 2,15násobek životního minima.

Maximální výši cenového zvýhodnění ministerstvo nenavrhuje oproti současnému stavu změnit, v návrhu zůstává příspěvek ve výši 200,- Kč na jednu osobu za kalendářní měsíc. Předkladatel předpokládá dopady na státní rozpočet v souvislosti s rozšířením institutu poskytování zvláštních cen v rámci univerzální služby o osoby s nízkými příjmy o 40-120 mil. Kč nad rámec současného stavu. Bohužel v předkládací zprávě chybí podrobnější rozpis kalkulace, a proto nelze říct, zda je v této kalkulaci zahrnut i pravděpodobný nárůst žadatelů o zvláštní ceny z řad zdravotně postižených uživatelů. Ti v současné době mohou zvláštní ceny čerpat pouze na tzv. hlasové služby, nikoliv na službu přístupu k Internetu, která však pro ně může dávat větší smysl. To se naštěstí již novelou konečně změní.

Nad rámec „implementační“ novelizace předkladatel v novele zmíněné tzv. úhradové vyhlášce (vyhláška o stanovení výše a způsobu úhrady efektivně vynaložených nákladů na odposlech a záznam zpráv, na uchovávání a poskytování provozních a lokalizačních údajů a na poskytování informací z databáze účastníků veřejně dostupné telefonní služby) sloučil některé položky a aktualizoval výši úhrad. Aktualizoval ve většině případů znamená snížil cenu. Sazby úhrad nákladů v dosud platné vyhlášce byly stanoveny v roce 2013 a Český telekomunikační úřad v důvodové zprávě uvádí: „V rámci úpravy sazeb za poskytování provozních a lokalizačních údajů a informací z databáze účastníků dochází u větší části úkonů, které jsou nejčastěji žádány oprávněnými orgány, ke snížení nákladů. Proto se předpokládá, že novela vyhlášky bude mít celkový dopad na státní rozpočet a na podnikatelské prostředí v podobě snížení celkové roční částky úhrad ve výši cca 2,5 mil. Kč při zachovaném objemu a struktury požadavků jako v roce 2020.“

Vraťme se ještě k samotné novele zákona o elektronických komunikacích. Až novelu podepíše prezident (byla mu doručena 21. září 2021), bude následně publikována ve Sbírce zákonů. Tím se zákon stane platnou součástí právního řádu. Účinný bude prvním dnem třetího kalendářního měsíce následujícího po jeho vyhlášení ve Sbírce zákonů (tedy pokud ve Sbírce vyjde v září, vychází účinnost na 1. prosince 2021). Kromě tří částí, které mají účinnost jinou.

Část třetí zákona nabývá účinnosti už prvním dnem kalendářního měsíce následujícího po jeho vyhlášení. Jedná se o změnu zákona o Českém rozhlasu, která je nutná pro další rozvoj digitálního rozhlasu v České republice, když Český rozhlas ze zákona dostává možnost požádat si bez výběrového řízení rádiové kmitočty pro rozhlasový multiplex. Pokud si však o kmitočtový příděl nepožádá do šesti měsíců od jeho vyhrazení, postupuje ČTÚ standardně podle zákona o elektronických komunikacích a může uspořádat výběrové řízení.

Bod 43 z části první novely, který upravuje zřízení nového portálu ČTÚ, který má zpřístupnit informace o využívání rádiových kmitočtů v pevné, pohyblivé a rozhlasové radiokomunikační službě, nabývá účinnosti 1. července 2022.

A body 153 (systém veřejné výstrahy) a 276 (úprava § 89 odst. 3 „cookies“) z části první novely mají nabýt účinnosti 1. ledna 2022. S ohledem na zpoždění novely se toto datum může protnout s účinností ostatních částí novely.

Nicméně pro lepší orientaci je také dobré si přečíst přechodná ustanovení. I tam můžeme najít termínové posuny k aktivaci některých nových oprávnění ČTÚ, nebo naopak jejich limitaci v čase.

Povinnost operátorů uvést smlouvy do souladu se zákonem

do 6 měsíců ode dne účinnosti zákona

ČTÚ provede první zeměpisné mapování podle § 115a zákona

do 21. prosince 2023

ČTÚ vydá opatření obecné povahy podle zákona

do 6 měsíců ode dne účinnosti zákona

ČTÚ provede přezkum opatření obecné povahy vydaných podle starého zákona

do 12 měsíců ode dne účinnosti zákona

ČTÚ předá informace o oznámených operátorech sdružení BEREC

do 21. prosince 2021

Operátoři provedou nová oznámení na novém formuláři podle vzoru BEREC

do 6 měsíců ode dne účinnosti zákona

ČTÚ provede první přezkum plánu využití rádiového spektra podle § 16 odst. 11 zákona

do 12 měsíců ode dne účinnosti zákona

ČTÚ provede přezkum, zda je potřeba uložit dílčí univerzální služby

do 6 měsíců ode dne účinnosti zákona

ČTÚ uloží povinnost univerzální služby, pokud přezkum uvedený výše vyjde pozitivně

do 12 měsíců ode dne účinnosti zákona

ČTÚ může změnit již udělený příděl o možnost uložení povinnosti podle § 22 odst. 3 a § 79a zákona

do 31. prosince 2022

Povinnost poskytovatele interpersonální komunikační služby založené na číslech, který přiděluje čísla podle číslovacího plánu účastníkům informovat o změně pravidel marketingu

do 6 měsíců ode dne účinnosti zákona

Povinnost ČTÚ vydat vyhlášky podle § 34 odst. 5, 34a odst. 9 a § 82 odst. 4 zákona

do 12 měsíců ode dne účinnosti zákona

Horkým tématem při přijímaní novely byla nová pravidla marketingu. Pokud byl vydán seznam účastníků nebo osobní a identifikační údaje účastníků byly předány podle § 41, 66 nebo § 95 starého zákona, obsahuje zákon fikci, že účastník si uplynutím 6 měsíců ode dne účinnosti zákona nepřeje být kontaktován za účelem marketingu, leda by udělil výslovný souhlas podle § 95 odst. 1 nového zákona.

Včera začal oficiálně podzim. A nejen průběh předvolební kampaně, ale i regulační a pseudoregulační aktivity různých úřadů naznačují, že to bude horký podzim. Jak praví staré přísloví, kdo je překvapen, není přípraven. Nenechte se překvapit. #staytuned

Kategorie:

Jak s mojeID zvýšit účast v nadcházejících volbách?

Út, 09/14/2021 - 06:50

Volby do Poslanecké sněmovny, naplánované na 8. a 9. října, se nezadržitelně blíží, a jak už je zvykem, mnoho lidí řeší, jak to udělat, když se v tyto dny zrovna nebudou nacházet na místě svého trvalého bydliště. Někteří to bohužel vzdají a rozhodnou se na demokratickém procesu výběru svých zástupců nepodílet. Ti zodpovědnější využijí možnosti vyřídit si voličský průkaz a hlasovat tak na tom místě, kde se například zrovna nacházejí. Jenže jak to zařídit? Kde začít?

Za tímto účelem již před mnoha lety spustila nezisková organizace Hlídač státu webovou stránku, která uživatele celým procesem vytvoření žádosti o voličský průkaz provede. Výsledkem procesu je PDF dokument se žádostí, který je třeba doručit některým z možný způsobů na příslušný úřad. Pro vytvoření PDF dokumentu je třeba vyplnit několik údajů o sobě – jméno, příjmení, datum narození, adresu trvalého bydliště, telefonní číslo a adresu, kam se má průkaz doručit.

No jo, ale kdo má pořád tyto údaje vyplňovat? Neříkali náhodou propagátoři digitální identity, že pokud jí budete mít, tak skončí opakované vyplňování stejných údajů do webových formulářů? Je to přesně tak. I tento webový formulář je ideální kandidát na propojení s nějakým systémem digitální identity. Je nicméně nutné každý takový formulář o tuto možnost rozšířit. Celá webová aplikace pro žádost o voličský průkaz je k dispozici ve formě zdrojových kódů na Githubu a tak netrvalo dlouho a připravili jsme úpravu, která zajistí propojení tohoto formuláře se službou digitální identity mojeID.

Nyní je tedy možné, pokud jste držitelem účtu mojeID, na dvě kliknutí (pokud jste už v mojeID přihlášeni) celý formulář velice rychle vyplnit. Ušetří to možná jen pár minut, ale kdoví, třeba právě toto bude v rozhodování uživatele klíčové při váhání, jestli si voličský průkaz pořídit nebo ne.

A to není všechno. Pokud máte mojeID účet propojen na systémy veřejné správy, můžete si zřídit datovou schránku a poslat na úřad PDF s žádostí elektronicky bez toho, abyste se zvedli od počítače. Stačí se s mojeID přihlásit do portálu datových schránek (zvolte přesměrování na portál eIdentita.cz) a pokud datovou schránku nemáte, tak vám bude nabídnuto její zřízení. Cílovou datovou schránku příslušného úřadu najdete ve vygenerovaném PDF. Toto PDF pak vložíte jako přílohu do zprávy zaslané prostřednictvím systému datových schránek. Nemáte ještě v mojeID účtu aktivován přístup na systémy veřejné správy? Tak zde je jednoduchý návod, jak toho docílit.

Možná vás napade: co když mám digitální identitu od státu (NIA-ID, mobilní klíč, eObčanku)? Nebo kartu I.CA nebo případně bankovní identitu? Nemohlo by se do formuláře implementovat i jejich použití? Bohužel ne a má to celkem jasné důvody. Celá aplikace je totiž napsaná v Javascriptu a běží lokálně v prohlížeči každého uživatele, který jí spustí. Důvod je ten, že díky tomuto řešení nedochází k žádnému zasílání osobních údajů na vzdálený server a uživatel tak nemusí mít o svoje osobní údaje strach. Pro systém digitální identity je toto nicméně komplikace. Vyžaduje to podporu technologií, které integraci do takové klientské aplikace umožní, jako je OpenID Connect, který ale není podporován u prostředků státu. Co je ale horší, zároveň se musí jednat o otevřený systém digitální identity, který nebrání vstupu jakéhokoliv poskytovatele online služeb. Tím poskytovatelem služeb, který chce digitální identitu pro své potřeby využít, je v tomto specifickém případě totiž de fakto prohlížeč každého uživatele, který vůči systému digitální identity vystupuje anonymně. Pro ostatní systémy digitální identity je toto konečná. Né tak pro mojeID. Otevřeností a podporou moderních technologií mojeID umožňuje pouhým přidáním pár řádků do webové stránky tuto stránku rozšířit o předvyplnění údajů z mojeID. Zájemci o podobnou integraci mojeID do svých formulářů najdou více informací v dokumentaci.

Pevně doufám, že pokud jste doposud s účastí ve volbách váhali kvůli tomu, kde zrovna budete, tak že již neváháte a využijete možnosti požádat o voličský průkaz. Průkazy se začnou vydávat až 23. září, takže ještě nemusíte chvátat, ale jak se říká: co můžeš udělat dnes, neodkládej na zítřek. Pokud máte mojeID, doufáme, že vám to cestu k voličskému průkazu alespoň trochu usnadní. No a pokud mojeID nemáte, třeba vás popsaná unikátnost služby mojeID přesvědčí o tom, že stojí za to si ho pořídit, klidně s využitím ostatních digitálních identit.

Kategorie:

Krátké vlny: Průběžné vyhodnocení akčního plánu pro výstavbu sítí a povolání externí pomoci na regulaci mobilního trhu

Čt, 09/09/2021 - 07:21

Příští týden, 13. září, má vláda na programu Zprávu o naplňování Akčního plánu 2.0 k provedení nedotačních opatření pro podporu plánování a výstavby sítí elektronických komunikací. Samotný Akční plán identifikoval překážky pro výstavbu sítí elektronických komunikací a zpráva má informovat členy vlády o realizaci jednotlivých úkolů.

Část opatření se podaří splnit přijetím tzv. implementační novely zákona o elektronických komunikacích (např. využití nově zřizovaných nebo významně renovovaných liniových staveb pro výstavbu sítí elektronických komunikací nebo umisťování prvků sítí elektronických komunikací do nezpevněných ploch podél pozemních komunikací).

Plnění dalších úkolů je rozpracováno. Zpráva tak například informuje o aktivitě Českého telekomunikačního úřadu v souvislosti s požadavky na větší šířky využívaných rádiových kanálů v mobilních, pevných a ale i družicových sítích. Úřad zahájil technicko-ekonomickou analýzu využívání rádiových kmitočtů včetně benchmarku přístupu relevantních zemí EU ke zpoplatnění využívání rádiového spektra.

Po zpracování tohoto srovnání má ČTÚ (ve spolupráci s MPO) připravit návrhy úprav tzv. poplatkového nařízení vlády a upravit poplatky („zefektivnit a optimalizovat poplatky“, takže možný je pohyb nahoru i dolů (?)) za využívání kmitočtů pro pozemní pohyblivou službu a pevnou službu, což by mělo zohledňovat jednak narůstající rozsah kmitočtového spektra nutného pro další technologický rozvoj, tak i požadavky na využití širokých přenosových kanálů zejména v rámci provozování bezdrátových spojů v pásmech pod individuálním oprávněním, které připojují lokality vzdálené od páteřních sítí.

ČTÚ bude také vyhodnocovat experimentální provoz 5G (5th Generation New Radio) v úseku 26,5 – 27,5 GHz, o kterém Rada ČTÚ rozhodla v říjnu 2020. Po vyhodnocení by měly být stanoveny podmínky pro využívání tohoto důležitého pásma. Jakým směrem se posune frekvenční politika státu by nám brzy měla naznačit aktualizovaná Strategie správy rádiového spektra, na které se pracuje ve Vysočanech. Klíčový dokument, který by měl i odpovědět na otázku, co bude s televizním pásmem po roce 2030. Moje fantazie pracuje naplno.

Vládě předkládaný materiál také informuje členy vlády, že v rámci Národního plánu obnovy (komponenta 1.3 Digitální vysokokapacitní sítě, investice 1.3.4 Dokrytí 5G koridorů a podpora rozvoje 5G) se plánuje do čtvrtého čtvrtletí 2025 pokrýt alespoň 210 km železničních koridorů se zvýšenou úrovní signálu 5G (nad rámec rozvojových kritérii udělených v přídělech na kmitočty pro sítě 5G) a paralelně bude řešeno obdobné pokrytí vybraných dálničních koridorů. Současně se ve stejném termínu plánuje vybavit alespoň 350 železničních vagonů opakovači pro signál 5G. Tato aktivita se bude koordinovat v rámci pracovní skupiny 5G koridory v 5G Alianci.

Dokrývání koridorů, dálnic i bílých míst v obcích je legitimním cílem státu. Na začátku této aktivity logicky musí být sjednocení metodiky měření a její vysvětlení. To, že lokalita je pokryta signálem, nemusí nutně znamenat, že tam budu mít funkční službu. To, že mi mapa na qos.ctu.cz ukazuje „pokryto“, nemusí znamenat, že moje uživatelská zkušenost v daném místě je pozitivní. Pokud pojedu autem po dálnici 180 km/h, nebudu mít stejně kvalitní službu jako když bych stál na místě. Proto je dobře, že se ČTÚ ujme mapování bílých míst a vedení veřejné konzultace k určení intervenčních oblastí a stanovení velkoobchodního přístupu k dotovaným základnovým stanicím, které by měly být postaveny v rámci akce „dokrývání“.

V den vydání minulých Krátkých vln, kde jsem vyjádřil z různých důvodů pochybnost o tom, že ČTÚ může dotáhnout regulaci mobilního trhu, vyšel článek v Hospodářských novinách, který prezentoval možnou regulaci mobilních operátorů jako jistou věc. Uvidíme. Každopádně úřad neztrácí čas a už 31. srpna (pět dní poté) zveřejňuje v registru smluv dvě smlouvy týkající se možné regulace mobilního trhu. Smlouvu se společností IstroAnalytica Advisory s.r.o., která má zpracovat pro ČTÚ dílo – analýzu relevantního trhu č. 3. Pracovní verze analýzy měla být předána objednateli do 31. srpna tohoto roku a konečná verze analýzy by měla být odevzdána do 10. září 2021.

Druhou smlouvu uzavřel úřad s advokátem JUDr. Jakubem Chytilem, který bude úřadu poskytovat právní poradenství při zpracování testu tří kritérií pro velkoobchodní trh přístupu k mobilním službám a to do 28. února 2022.

Příští týden začne zářijová schůze Poslanecké sněmovny a na program se dostanou i vratky ze Senátu. Mezi nimi i výše zmíněna novela zákona o elektronických komunikacích. Jak jsem již psal, doufám, že si poslanci najdou čas na projednání této novely, a to nejen kvůli implementačnímu dluhu. Návrh obsahuje i dílčí usnadnění výstavby sítí elektronických komunikací a odstraňuje překážky, které byly identifikovány výše uvedeným Akčním plánem. Kruh se uzavírá.

Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) zveřejnila 29. července zprávu o hrozbách v oblasti útoků na dodavatelské řetězce, podle níž se v roce 2021 očekává čtyřnásobný nárůst útoků na dodavatelské řetězce ve srovnání s rokem 2020. Většina útoků na dodavatelský řetězec, které agentura ENISA analyzovala v letech 2020-2021, se podle zprávy zaměřovala na softwarový kód dodavatelů s cílem zasáhnout zákazníky, včetně odcizení jejich osobních údajů nebo duševního vlastnictví.

Agentura ENISA radí přijmout několik ochranných opatření jak na straně zákazníka, tak na straně dodavatele. Zákazníky agentura vyzývá, aby dále analyzovali, jak dodavatelé dodržují postupy kybernetické bezpečnosti, a aby ve smlouvách definovali bezpečnostní požadavky na pořizované produkty a služby. Na druhé straně by dodavatelé měli zavést mechanismy, které zajistí bezpečný vývoj jejich produktů a služeb v souladu s obecně uznávanými bezpečnostními postupy, jako je prohlášení o shodě s normou ISO 27001. Kromě toho by dodavatelé měli zavést osvědčené postupy pro správu zranitelností. Ten by mohl zahrnovat monitorování bezpečnostních zranitelností a analýzu rizik prostřednictvím systému hodnocení zranitelností.

Kategorie:

Migrace Hadoopu z Cloudera Express na Apache Bigtop

St, 09/08/2021 - 09:40

V CZ.NIC používáme Hadoop převážně k ukládání provozu z našich autoritativních DNS serverů pro doménu .CZ a provozu z našich veřejných resolverů ODVR. Ke sběru dat používáme náš vlastní nástroj DNS Probe, který nasbíraná data odesílá na Hadoop servery. K tomuto účelu provozujeme vlastních 7 až 8 serverů s instalací Hadoopu a několika podpůrných nástrojů (Hive, Spark, Impala,…). Proces sběru dat DNS provozu je ilustrován na obrázku níže.

Doteď jsme využívali Cloudera Express, což byla zdarma dostupná distribuce Hadoopu dodávaná firmou Cloudera. Součástí této distribuce byly balíčky pro nejpoužívanější nástroje z ekosystému Hadoopu a specializované nástroje, jako Cloudera Manager, pro snadné nasazení, konfiguraci a monitorování Hadoopu. 1. února tohoto roku společnost Cloudera přestala tuto zdarma dostupnou distribuci nabízet a dále podporuje pouze svoji placenou distribuci Cloudera Enterprise. My jsme se přibližně v tomto období připravovali vyměnit naše staré Hadoop servery za nový hardware, a tak jsme začali zkoumat alternativní možnosti nasazení Hadoopu s preferencí pro otevřená a volně dostupná řešení.

Pro nasazení a provoz Hadoopu na našich nových serverech jsme nakonec zvažovali tyto tři možnosti:

Vítězem našeho porovnání se stal Apache Bigtop, který nabízí linuxové balíčky pro všechny námi používané Hadoop komponenty kromě Apache Impala. Co Bigtop ovšem nenabízí, jsou nástroje na hromadné nasazení a monitorování Hadoopu. K tomuto účelu jsme dodatečně použili automatizační nástroj Ansible a monitorovací systém Icinga, se kterými jsme měli předchozí zkušenosti. Pro nasazení Hadoopu a jeho přidružených nástrojů jsme si napsali sadu Ansible playbooků. Tyto playbooky pro každou Hadoop komponentu nainstalují její prerekvizity, nainstalují samotnou komponentu, nakopírují na server konfigurační soubory komponenty a nakonec spustí její systemd nebo init.d službu.

Jedinou Hadoop komponentou, která nebyla zabalena v Bigtopu, byl již zmíněný nástroj Apache Impala, který umožňuje provádění rychlých SQL dotazů nad velkými datasety v HDFS — souborovém systému Hadoopu. Manuální instalace Impaly se bohužel ukázala být nad naše síly kvůli nekompatibilitě s Debianem 10 a těsnou provázaností s nástroji Cloudera. Rozhodli jsme se tedy nahradit Impalu jiným SQL nástrojem pro Hadoop. Vybírali jsme z následujících možností:

Vítězem se stal nástroj Trino, který prokázal obdobný výkon jako Impala a nejlepší provázanost s Hadoop ekosystémem z testovaných možností.

Pro monitorování serverů a na nich nainstalovaných Hadoop služeb jsme jako náhradu za Cloudera Manager zvolili dříve zmíněný nástroj Icinga. S pomocí několika pluginů z Icinga Exchange jsme schopni monitorovat jak základní metriky samotných serverů, tak stav jednotlivých Hadoop služeb. V případě problému poté ihned od Icingy obdržíme e-mailovou notifikaci.

Ve výsledku se nám úspěšně povedlo nasadit instanci Hadoopu na nové servery pomocí skupiny otevřených a volně dostupných nástrojů — Apache Bigtop, Trino, Ansible, Icinga. Tuto novou instanci Hadoopu používáme od června 2021 a zatím funguje podle našich představ. Je ovšem zřejmé, že tento způsob správy Hadoopu je náročnější než použití komerčních nástrojů a vyžaduje určitou časovou investici.

Podrobnější popis migrace naší instance Hadoopu lze nalézt v anglicky psaném reportu projektu ADAM — Migrating Hadoop from Cloudera to Apache Bigtop.

Kategorie:

Mikýřova etiketa komentování

Po, 09/06/2021 - 10:40

V rámci našeho projektu Safer Internet Centrum jsme společně s MALL.TV a Mikýřovou úžasnou poutí internetem natočili přes léto několik spotů, které se věnují problematice Hate Speech. Začněme tím, že vysvětlíme, co přesně tato dvě anglická slova znamenají.

Už od mala dětem vštěpujeme několik základních, bezpečnostních pravidel. Například, že by se měly rozhlédnout, pokud přechází cestu. Předáváme jim ale i rady pro cestu kyberprostorem? Dítě, které vstupuje do kyberprostoru, bychom měli připravit na to, že ve chvíli, kdy nebude na síti moc aktivní, může dostávat celou řadu různých nabídek. Ne každá z nich ale musí být pozitivní. Například se dost často stává, že se stane obětí náhodného útoku cizích lidí, kteří mohou nevhodně komentovat či jinak reagovat na jeho aktivity.

Jednou z nejčastějších forem útoku nejen na děti je Hate Speech. Jde o nenávistné projevy, do kterých můžeme zahrnout útoky, které šíří, podněcují, podporují nebo ospravedlňují nenávist proti určité skupině osob. Může jít o skupiny, kde jsou lidé jiné rasy, etnicity, náboženského vyznání a podobně. Terčem útoku mohou být také lidé se zdravotním handicapem, jiným politickým smýšlením nebo kvůli vzhledu. Hejty nalezneme téměř v každé diskuzi pod články, na diskuzních fórech, sociálních sítích nebo i v soukromé komunikaci.

Neomezená virtuální svoboda a anonymita má i na sociálních sítích právní rámec a hranice. Příspěvek či komentář může naplnit skutkovou podstatu hned několika paragrafů trestního zákoníku:
§ 181 – poškození cizích práv
§ 184 – pomluva
§ 345 – křivé obvinění…
§ 355 – hanobení…
§ 356 – podněcování k nenávisti…
§ 357 – šíření poplašné zprávy
§ 364 – podněcování k trestnému činu
§ 365 – schvalování trestného činu
§ 404 – projev sympatií k hnutí směřující k potlačování práv a svobod člověka

Pokud se staneme terčem vulgárních, nenávistných nebo dokonce výhrůžných zpráv, měli bychom zachovat chladnou hlavu. Tou největší chybou je, že na tyto zprávy a komentáře reagujeme.

Možná se jen snažíme podvědomě bránit, ospravedlnit nebo něco vysvětlit. Reagováním na tyto příspěvky ale situaci akorát zhoršíme, mohou do ní být zataženi i další lidé a problému se už jednoduše nezbavíme.

Pro tyto situace slouží pár základních, ale jednoduchých rad:
– na vulgární, výhrůžné nebo nenávistné zprávy nereagujte,
– vložte si jejich odesilatele do nějaké formy blokace či ignorace (každá služba nějakou formu ztišení nebo trvalou blokaci nabízí),
– tyto zprávy nemažte, situace se může zhoršit a bude potřeba mít v ruce nějaký důkaz, například záznam komunikace,
– situaci řešte okamžitě s administrátorem stránek, službou, případně s policií.

I když jsou některé formy Hate Speech vážné, neznamená to, že by za to mohl Internet. Nezapomínejme, že je to skvělý nástroj, plný zajímavých a důležitých informací, zábavy a snad i neomezených možností. Chovejme se na Internetu tak, jak bychom chtěli, aby se ostatní chovali k nám.

Pokud jste se někdy setkali s podobným typem příspěvků či zpráv, dejte nám vědět. Než si vzpomenete nebo nám napíšete, podívejte se, o čem je řeč. Spoty naleznete na našem Youtube kanálu.

Kategorie:

Krátké vlny: Hackuj stát až v době porouškové a připravovaná (ne)regulace mobilního trhu

Čt, 08/26/2021 - 08:40

S blížícím se koncem léta se zdá, že sezóna konferencí a fyzického setkávání opět nabírá na obrátkách, a přestože většina akcí je z opatrnosti hybridních, někteří organizátoři jsou optimisty. Bohužel realisty zůstávají organizátoři čtvrtého Hackathonu veřejné správy, který se měl konat 10. a 11. září. Kvůli současné situaci, kdy není možné provést akci ve vnitřním prostředí bez roušek nebo respirátorů, se organizátoři společně s partnery (sdružení CZ.NIC, NIX.CZ a mediální partner Lupa.cz) rozhodli o odložení hackathonu.

Zdroj: https://www.facebook.com/hackujstat

Jiní se toho ale nebojí (nebo jim roušky nevadí). Český telekomunikační úřad pořádá hned dva důležité workshopy, 10. září k návrhu vyhlášky o přenositelnosti čísel a změny poskytovatele služby přístupu k Internetu a 15. září k definici služby přiměřeného přístupu k internetu v rámci univerzální služby.

Optimismem, alespoň soudě podle podtitulů konferencí, hýří pořadatelé z řad e-governmentu. Tradiční akce konference e-government 20:10, v hybridním formátu, proběhne 7. a 8. září v Mikulově, opět pod heslem „žijem si jak na zámku, ať to trvá věčně“.

Ve dnech 20. a 21. září by pak měla v Hradci Králové proběhnout tradiční akce Internet ve státní správě a samosprávě (ISSS) tentokrát pod heslem „Pojďme navázat na předchozí život.“ Letošní rok je volební, tak lze očekávat hojnou účast politiků a prezentací vizí, co podniknout s českým egovernmentem.

Ve dnech 22. až 24. září se bude v Brně konat již sedmý ročník konference o kybernetické bezpečnosti CyberCon Brno. Součástí třídenní konference jsou i dva workshopy. První workshop, „Wireshark – tune you tool“ – je zaměřený na průřezové seznámení s hlavními a nejužitečnějšími funkcionalitami nástroje Wireshark. Druhým workshopem je ukázka table-top cvičení kybernetické bezpečnosti, kde se účastníci mohou vžít do role představitelů fiktivní společnosti, která čelí kybernetickým útokům.

Bezpochyby zajímavým obsahem se může pochlubit plzeňská konference Kam kráčí telekomunikační sítě, která se koná 23. září 2021. Přednášku ke kybernetické bezpečnosti bude mít Jan Kolouch, metodik kybernetické bezpečnosti CESNET, zkušenosti z kontrol VO-S 1, ale také budoucí zaměření kontrolní činnosti ČTÚ bude prezentovat ředitelka sekce rozhodování sporů a ochrany spotřebitele Pavla Zichová, o nových pravidlech pro poskytování dotací bude informovat ředitel sekce veřejné podpory Ministerstva průmyslu a obchodu Petr Filipi. Techničtěji zaměření účastníci by si rozhodně neměli nechat ujít prezentaci technického ředitele sdružení NIX.CZ Mariana Rychteckého, který představí hlavní změny v infrastruktuře největšího českého neutrálního internetového uzlu.

A konečně 13. a 14. října proběhne setkání CSNOG 2021, malý svátek pro komunitu poskytovatelů přístupů k Internetu, provozovatelů sítí, registrátorů domén a technických nadšenců. Do konce srpna je možné zasílat návrhy přednášek. Díky technickému zaměření konference je přislíbeno, že by se mohl Marian Rychtecký rozpovídat o nedávno opravené chybě, resp. nepodpoře funkce „feature port-security“ v kombinaci s VxLAN/EVPN u zařízení Cisco Nexus 9300. Pro mě, netechnika, úplná detektivka.

Centrum kybernetické bezpečnosti, které navazuje na činnost pracovní skupiny kybernetické bezpečnosti AFCEA, spustilo kampaň na serveru Donio s cílem vybrat 80 tisíc korun na knihu kyber pohádek a říkanek. Z vybraných peněz by se měla zaplatit výroba a distribuce knih do vybraných mateřských a základních škol. Kniha je určena zejména pro děti od 4 let, ale i pro rodiče a prarodiče a jejím cílem je oslovit zábavnou a tradiční formou základní informace o nástrahách ve virtuálním prostoru. Že tato aktivita má smysl ukazují například nedávno zveřejněná čísla linky pro hlášení nezákonného obsahu STOPonline.cz, která přijala v minulém roce 2689 oznámení o nezákonném obsahu. Pozitivní je, že i když se hotlinky v loňském roce potýkaly s omezeními způsobenými pandemií koronaviru, podařilo se jim odstraňovat materiál obsahující sexuální zneužívání dětí přibližně o 50 % rychleji než v předchozím roce (konkrétně 74 % tohoto nelegálního obsahu je z hostitelského webu odstraněno do 3 dnů, předchozí rok se tento materiál dařilo eliminovat do 5 dnů). Detaily je možné najít v článku Michaly Radotínské ze sdružení CZ.NIC.

V polovině srpna vyšla z Vysočan do světa zpráva, že ČTÚ chce regulovat ceny mobilních dat. Zpráva ČTK je pak doplněna informací z loňského průzkumu společnosti KPMG, podle kterého většina Čechů nechce neomezená data kvůli jejich nevyužití. Shodou okolností začátkem srpna odpovídal úřad na otázku k budoucnosti regulace mobilního trhu tazateli podle informačního zákona a ve své odpovědi se rozepsal více než uvedená zpráva ČTK, kterou převzala média.

ČTÚ na přímý dotaz uvádí, že analýza velkoobchodního trhu přístupu k mobilním službám je v současné době rozpracovaná a seznamuje tazatele s formálními aspekty a lhůtami celého procesu (zkráceně „analýza trhu je běh na dlouhou trať“). Úřad také vyhodnocuje dopady poslední aukce (konané v závěru roku 2020) na trh elektronických komunikací v České republice a uvádí, že na základě nastavení parametrů aukce může potencionálně dojít ke zvýšení počtu subjektů působících na trhu mobilních služeb, resp. ke zlepšení jejich postavení na trhu mobilních služeb. Analýzu je potřeba dle úřadu doplnit o hodnocení dalších aktuálních změn na trhu například o nové nabídky mobilních operátorů. ČTÚ chce předložit dopracovanou analýzu v průběhu druhého pololetí roku 2021.

Ve výčtu svých aktivit pro podporu hospodářské soutěže a zajištění širšího výběru služeb a adekvátních cen pro koncového uživatele ČTÚ zmiňuje:

  • zkrácení lhůty pro přenos telefonního čísla a zkrácení výpovědních lhůt v novele zákona o elektronických komunikacích,

  • nastavení podmínek 5G aukce kmitočtů, zejména uložení povinnosti poskytnout národní roaming,

  • spuštění srovnávacího nástroje cen a kvality služeb elektronických komunikacích,

  • rozhodnutí sporu mezi společností T-Mobile Czech Republic a Český bezdrát, ve kterém nařídil povinnost prvně jmenované společnosti uzavřít dodatek ke smlouvě o přístupu a snížit velkoobchodní ceny za mobilní data o 41 % (v tomto konkrétním případě).

V odpovědi ještě ČTÚ píše, že existují sice mezinárodní cenová srovnání, která nejsou pro Česko lichotivá, ale současně existují i jiná, například srovnání společnosti Rewheel za první pololetí roku 2021, která ukazují pozitivní posun a Česko je sice nad průměrem států EU, ale umístilo se před řadou dalších států EU, například Německem, Belgií, Nizozemím a Portugalskem.

Kousnu do kyselého jablka. Žádná regulace nebude. Pokud shrnu fakta z výše uvedené odpovědi, nikdy nemůže vyjít tzv. 3K test, první podmínka pro regulaci trhu, který není zahrnut v doporučení Evropské komise. Jinými slovy, 3K test, na kterém je postavena regulační snaha ČTÚ, byl zpracován v roce 2017. Od té doby proteklo Českem mnoho mobilních dat a regulátor by si měl odpovědět znovu na otázku, zda jsou splněna tři kritéria:

a) existence značných, a nikoliv dočasných strukturálních, právních nebo regulačních překážek vstupu na trh,

b) struktura trhu, který v daném časovém horizontu nesměřuje k účinné hospodářské soutěži, a to s ohledem na stav hospodářské soutěže založené na infrastruktuře a dalších faktorů, které stojí za překážkami vstupu,

c) samo právo hospodářské soutěže není schopno dostatečně reagovat na uvedené selhání trhu.

Pokud ČTÚ říká, že „na základě nastavení parametrů aukce může potencionálně dojít ke zvýšení počtu subjektů působících na trhu mobilních služeb, resp. ke zlepšení jejich postavení na trhu mobilních služeb“, pokud ceny pro koncové zákazníky i v kontextu mezinárodního srovnání klesají, pokud je ČTÚ silný v kramflecích při rozhodování individuálních sporů mezi síťovým a virtuálním operátorem (viz spor T-Mobile a Český bezdrát) a mobilní trh je v hledáčku i soutěžního regulátora (viz jeho výroční zpráva za rok 2020), jsou odpovědi, zda jsou stále splněny kritéria 3K testu jasné. Nehledě na skutečnost, že článek 67 přijatého a účinného Kodexu pro elektronické komunikace klade na regulátora nové požadavky v procesu ex ante regulace.

Krásný konec prázdnin.

Kategorie:

Hotlinky úspěšně čelí nezákonnému obsahu

Po, 08/16/2021 - 06:10

V poslední dnech plní titulky v médiích změna přístupu společnosti Apple, která se rozhodla aktivně bojovat proti dětské pornografii. Její snahy se zatím zaměřují jen na USA. To však neznamená, že v České republice a v Evropě by nám byl tento druh on-line obsahu lhostejný. Naopak. Za podpory Evropské komise funguje již 22 let mezinárodní síť linek pro hlášení nelegálního obsahu (INHOPE), do které se v roce 2018 zapojilo i naše sdružení.

Za loňský rok přijala naše linka pro hlášení nezákonného obsahu STOPonline.cz celkem 2 689 oznámení, což podle výroční zprávy INHOPE činilo 3 % všech hlášení z evropského kontinentu. O první příčku se dělí s 26 % Rakousko a Nizozemí, které však s 94 % patří mezi suverénně nejvýznamnější země, kde je tento obsah umístěn. Pro nás je určitě potěšitelné, že díky legislativě i nastavené efektivní spolupráci s policií se daří nelegální obsah odstraňovat a Česká republika si již poněkolikáté v řadě obhájila pozici země, kde je tohoto obsahu nejméně.

I přestože se hotlinky v loňském roce potýkaly s omezeními způsobenými pandemií koronaviru, podařilo se jim odstraňovat materiál obsahující sexuální zneužívání dětí přibližně o 50 % rychleji než v předchozím roce. Budeme-li konkrétnější, znamená to, že 74 % tohoto nelegálního obsahu je z hostitelského webu odstraněno do 3 dnů, zatímco předchozí rok se tento materiál dařilo eliminovat do 5 dnů, což se dá považovat za obrovský úspěch.

Oběťmi nezákonného on-line obsahu jsou především děvčata, a to z 93 %. Podíl dívek se každým rokem nepatrně zvyšuje. Co se týče věkového rozložení obětí, v loňském roce se 76 % případů zabývalo dětmi ve věku 3 – 13 let, 22 % případů pubescenty ve věku 14 – 17 let a 1 % případů připadlo na ty nejmenší děti ve věku 0 – 2 roky. Oproti předchozím letům se podíl skupiny dětí pod 13 let snížil, přesto se jedná o poměrně alarmující číslo.

Zdroj: INHOPE Annual report 2020

Z výše uvedených statistik je zřejmé, jak je důležité dbát na dostatečnou osvětu, a to nejen na prvním stupni základních škol. V rámci projektu Safer Internet Centrum alias Bezpečně na netu nabízíme zdarma celou škálu vzdělávacích materiálů, kde se mladší děti i náctiletí dozví, jak se na internetu chovat bezpečně.

Kategorie:

Krátké vlny: Jak se žilo opendatům v Česku v roce 2020, pozvánka na hackathon a kolik zaplatí Britové za znovu objevené roamingové poplatky

Čt, 08/12/2021 - 08:50

Nedávno proběhla médii informace o likvidaci poslední telefonní budky v Česku. Jsem dost starý na to, abych si pamatoval, že jsem toto specifické koncové zařízení kdysi používal, dokonce jsem měl tu čest stát před telefonní budkou frontu. Pamatuji si, že na BBSkách koloval návod, jak přemluvit telefonní budku, aby člověk na jeden impulz volal celou hodinu i postupně upadající, různými tekutinami znečištěnou budku u nás na vsi, odkud jednoho dne prostě zmizela. Některé telefonní budky se přeměnily na knihobudky, bezplatné pouliční knihovny, v zahraničí se vydali i jiným směrem. V Británii plánují proměnit více než 750 budek v 1Gbps hotspoty a nabíjecí stanice. V Austrálii se zase operátor Telstra rozhodl proměnit 15 tisíc placených telefonních budek v bezplatné telefonní stanice (kromě zahraničních hovorů, které stále budou placené). Podle operátora jsou telefonní automaty životně důležité, zejména pro bezdomovce a lidi, kteří řeší nebezpečnou životní situaci. Byl to například při požárech buše, kdy telefonní budky zažily v Austrálii renesanci. Požáry vyřadily z provozu mobilní síť a telefonní budka jednou z mála možností, jak dát rodině vědět, že je člověk v pořádku.

Fanoušci open dat brzy dostanou bilanční čtení. Ministerstvo vnitra zaslalo vládě k projednání Výroční zprávu o stavu otevřených dat v České republice za rok 2020. Co se stalo v oblasti otevřených dat v roce 2020?

Otevřená data poskytovalo v roce 2020 o 5 % více poskytovatelů (40 organizací). Zpráva bohužel konstatuje, že řada z nich neregistrovala svá data správně, a i proto Ministerstvo vnitra propagovalo a nabízelo metodickou podporu v rámci schváleného projektu Rozvoj datových politik v oblasti zlepšování kvality a interoperability dat veřejné správy (KODI) s cílem zvýšit počet publikovaných otevřených dat a také zlepšit jejich kvalitu. Ministerstvo vyškolilo 141 zaměstnanců veřejné správy z 24 organizací i z řad odborné veřejnosti.

Zdroj: Ministerstvo vnitra

Ministerstvo vnitra také informuje o svých legislativních aktivitách, mezi které patří zejména implementace směrnice EU č. 2019/1024 o otevřených datech a informacích veřejného sektoru. Hlavní novinkou po této implementaci bude zavedení principu „open data by default“, dle kterého všechny veřejně dostupné informace v registrech, vedených na základě zákona (pokud nebude existovat zákonná výjimka), budou povinně poskytovány jako otevřená data. V průběhu roku 2020 došlo také k legislativní přípravě zakotvení principu předávání dat mezi orgány veřejné správy prostřednictvím tzv. veřejného datového fondu založeného na principech otevřených dat. Tento princip je obsažen v již schváleném zákonu č. 261/2021 Sb., odborné veřejnosti známém pod krycím jménem DEPO.

Podle zprávy se největší část zveřejněných otevřených dat týkala vlády a veřejného sektoru, následovaná hospodářstvím a financemi.

Zdroj: Ministerstvo vnitra

I přes zajištění technického a legislativního rámce pro publikaci otevřených dat a kvalitní podporu ze strany nadšenců na Ministerstvu vnitra včele s Michalem Kubáněm se zatím nepodařilo nenastartovat proces publikace většího množství otevřených dat z některých resortů, které by mohly být využity pro tvorbu nových služeb, produktů a pro analytické účely. Snad i proto Česká republika klesla v každoročním žebříčku hodnocení Evropské komise „European Open Data Maturity Report 2020“ z 19. na 21. místo a zůstává ve skupině Followers.

Propagaci využívání open dat má za cíl také již tradiční Hackathon veřejné správy, který se po loňské vynucené pauze koná opět v sídle Nejvyššího kontrolního úřadu 10. a 11. září 2021. I čtvrtý ročník hackathonu se koná pod heslem „Je to i váš stát, pojďte ho zlepšit“ a neprozradím žádné tajemství, když řeknu, že partnerem hackatonu je sdružení CZ.NIC a mediálním partnerem server Lupa.cz. Pevně věřím, že tento rok si vynahradíme loňské pauzírování. Přijďte, bude sranda.

Jedním z hmatatelných benefitů členství v Evropské unii, který pocítí i běžný občan dovolenkující jednou v roce na pláži v Chorvatsku, je zrušení roamingových příplatků při využívání služeb elektronických komunikací v EU. Platnost nařízení č. 531/2012 skončí 30. června 2022 a Evropská komise představila návrh, který má tuto regulaci nahradit. Základní myšlenka „roam like a home“ ale zůstává. Projednávání se však už netýká Velké Británie, která si zvolila brexitovou cestu. Ačkoliv po uzavření obchodní dohody britští operátoři tvrdili, že neplánují roamingové příplatky znovu zavádět, opak se stává skutečností. V červnu operátor EE a v srpnu Vodafone oznámili, že plánují opět účtovat roamingové příplatky za využívání služeb elektronických komunikací v EU státech.

Podle zveřejněných informací, noví zákazníci a stávající zákazníci, kteří si zvolí nový tarif, musí od ledna počítat minimálně s 1 librou denně, který budou trávit v zemích EU. Vodafone uvedl, že „stávajících zákazníků se tyto změny nedotknou, pokud zůstanou u svého stávajícího cenového plánu, a roaming v Irské republice bude i nadále zahrnut pro všechny zákazníky zdarma (zatím???).“ Od ledna zaplatí dotčení zákazníci 2 libry denně, resp. 1 libru, pokud si koupí osmidenní nebo patnáctidenní balíček. Maximum dat, které mohou v roamingu spotřebovat, stanovil operátor na 25 GB měsíčně.

O2 se zatím vydal jinou cestou. V současné době jeho zákazníci povolen roamingový limit v zemích EU ve výši 25 GB, přičemž veškerá data využitá nad tento limit jsou zpoplatněna částkou 3,50 liber za gigabajt. Společnost Three snížila svůj fair use limit z 20 GB měsíčně na 12 GB při roamování v EU. Za každý další gigabajt si účtuje 3 libry. #GodSaveTheQueen

Když už jsem zmínil Brexit, musím doporučit knížku od whistlerblowera Christophera Wylieho s názvem Mindf*ck – Cambridge Analytica a plán na zničení světa. Hodně povedení čtení, které se věnuje vzniku a zákulisí fungování Cambridge Analytica. Když nyní vidím na sociálních sítích nějakou vášnivou debatu stoupenců a odpůrců čehokoliv, vzpomenu si na Wylieho rozbor fungování Cambridge Analytica: „Když se Cambridge Analytica uvedeným způsobem postarala o to, aby lidé cítili hněv, opírala se o mnoho experimentů, které prokázaly, že vztek se vzájemně vylučuje se snahou vyhledávat si informace. To je také důvod, proč lidé v afektu dělají „ukvapené závěry“ a později litují svého rozhodnutí.“ Něco mi říká, že si to budu v rámci horké předvolební kampaně opakovat hodně často.

Kategorie:

Služba mojeID v číslech a grafech

Út, 08/03/2021 - 09:12

Na začátku června zorganizoval CZ.NIC konferenci věnovanou digitální identitě a zejména službě mojeID. Prezentace i videa jsou k dispozici na stránkách konference. Ve svojí prezentaci jsem se věnoval mimo jiné statistikám týkající se mojeID a slíbil jsem, že některá čísla budeme zveřejňovat automaticky. Za tímto účelem spouštíme dedikovanou stránku věnovanou právě statistikám souvisejícím se službou mojeID. Odkaz na ní je také přímo na hlavní stránce služby. Rádi bychom tím podpořili obecnou snahu sdružení CZ.NIC o transparentnost. V tomto článku bych některá z čísel uvedených v těchto statistikách rád okomentoval a přidal možná ještě pár dalších zajímavých údajů.

Počet aktuálně registrovaných mojeID účtů překročil třičtvrtě milionu, což je určitě úctyhodné číslo. Samozřejmě jsme si vědomi toho, že někdo si založí účet ze zvědavosti a když zjistí, že na jeho oblíbené službě to zatím nemůže použít, tak na mojeID časem zapomene. Snažíme se uživatele čas od času informovat e-mailem o rostoucích možnostech využití mojeID proto, aby jim právě ten moment, kdy se ta správná služba objeví, neutekl.

Každopádně, jen v rámci letošního roku (a to jsme krátce za polovinou) již mojeID použilo aspoň jednou přes 140 tisíc účtů.  Kdybychom tento interval posouvali dál do desetileté minulosti, dostaneme se až k těm již zmiňovaným 750 tisícům. Přestože neexistuje nějaké obecné měřítko, jak bychom mohli definovat aktivního uživatele, troufnu si na základě těchto čísel říct, že mojeID má přes 100 tisíc aktivních uživatelů a s tímto číslem je mojeID po doménovém registru nejspíš druhou nejpoužívanější službou sdružení CZ.NIC.

Druhé číslo označené jako „NIA identity“ ukazuje počet unikátních fyzických osob, které si propojili mojeID s národním bodem (NIA) a mohou tak mojeID účet používat pro přístup ke službám veřejné správy. Pokud sledujete mojeID pravidelně, tak víte, že jsme tuto možnost spustili loni v září a mojeID se tak stalo druhým nestátním poskytovatelem identit akreditovaným ministerstvem vnitra. Podmínkou aktivace tohoto propojení je nastavení silného autentizačního prostředku, kterými jsou buď mobilní aplikace MojeID Klíč nebo bezpečnostní klíč FIDO s odpovídající certifikací a zároveň důvěryhodné ověření totožnosti buď datovou schránkou, na Czech POINTu nebo jiným obecně dostupným akreditovaným prostředkem. Každý uživatel služby mojeID, který má o toto propojení zájem, si o něj musí explicitně požádat. Jdeme v tomto smyslu opačným směrem než např. některé banky v rámci Bankovní identity, kde byl takový přístup uživatelům aktivován i když o něj explicitně nepožádali. Takováto automatická aktivace se nám vzhledem k tomu, že spousta uživatelů má u svých bankovních účtů nastaven např. jen relativně slabý autentizační prostředek v podobě SMS ověření a v tuto chvíli ani neví, že mají aktivovaný přístup ke službám veřejné správy, nejeví jako příliš bezpečná. K dnešnímu dni má dobrovolně aktivovaný tento přístup u mojeID přes 25 tisíc fyzických osob. Blížíme se tak ke hranici 30 tisíc, kterou nám ministerstvo vnitra stanovilo jako podmínku pro notifikaci mojeID v rámci evropské sítě eIDAS. Pokud máte tedy ještě nějaké známé, kteří nemají mojeID účet aktivovaný pro použití se systémy veřejné správy, přesvědčte je, ať si ho zřídí a urychlíte tak moment, kdy bude mojeID použitelné i přeshraničně a stane se tak nejvšestranější elektronickou identitou dostupnou v rámci českého identitního prostoru.

Jak se tento počet vyvíjí on-line, je možné vidět na dalším čísle, které ukazuje aktuální denní přírůstek, a které se aktualizuje každých pět minut. Pokud bychom udrželi červencový trend kolem 160 nových uživatelů denně, mohli bychom mety 30 tisíc osob dosáhnout už na konci srpna.

Poslední číslo na přehledovém panelu ukazuje celkový počet úspěšných přihlášení ke službám veřejné správy prostřednictvím NIA. S trochou nadsázky se dá říct, že mojeID svým uživatelům ušetřilo přes 200 tisíc cest na úřad.

Další graf ukazuje kompletní desetiletou historii používání mojeID v podobě denních, týdenních, měsíčních a ročních počtů autentizačních transakcí.

Přestože počet transakcí dlouhodobě klesal až někam k 10 tisícům transakcí za týden, v souvislosti s propojením na služby veřejné správy je evidentní oživení a nyní se počty pohybují mezi 30 a 40 tisící transakcemi týdně, tedy jako v dobách největšího využívání mojeID v letech 2013 a 2014. Pondělí 12. července bylo dokonce s 12 561 transakcemi třetí „nejsilnější“ den v historii mojeID. Uvidíme, jestli tento trend vydrží, ale víceméně to potvrzuje teorii, že poptávka po využití autentizační služby je primárně tažena tím, jestli existují služby, kde by se taková autentizační služba dala použít. Postupující elektronizace služeb veřejné správy je jednoznačně jedním z hlavních tahounů pro mojeID.

Z dat za několik posledních dnů vyplývá, že denně uživatelé použijí mojeID zhruba u 200 unikátních služeb. Za celý měsíc červenec se jedná o více než 1800 unikátních služeb. Řádově vede právě přihlášení ke službám veřejné správy (přes NIA), kde bohužel nemáme informace, ke které konkrétní službě se uživatel přihlašuje. Na grafu jsou tato NIA přihlášení znázorněna modrou barvou. Pokud vynecháme NIA a vlastní profil služby mojeID, na následujícím seznamu je 20 nejvíce používaných služeb v červenci:

Ve spodní části webu jsou tři grafy ukazující historický vývoj v celkových počtech některých vybraných ukazatelů. Na prvním grafu označeném „Účty“ je zobrazeno, jak se vyvíjel počet účtů podle stupně ověření.

Každý účet mojeID má ověřený minimálně e-mail a telefonní číslo (částečná identifikace). To některým poskytovatelům služeb stačí. Volitelně je možné nechat si ověřit i korespondenční adresu (plně identifikovaný kontakt) a nebo plně ověřit totožnost nějakou formou kontroly na úrovni kontroly dokladu totožnosti. Těchto tzv. validovaných účtů je přes 48 tisíc a zahrnují samozřejmě oněch 25 tisíc účtů propojených s NIA. Ty jsou navíc automaticky synchronizované se základními registry, takže změna jména nebo adresy se u nich aktualizuje automaticky. U zbylých 23 tisíc účtů bylo provedeno stejné ověření, ale jednorázově v minulosti.

Druhý graf označený „NIA identity“ zobrazuje, jak se vyvíjí počet fyzických osob majících aktivované propojení s veřejnou správou. Již jsem zmiňoval, že zde jsme v září 2020 startovali od nuly a aktuálně směřujeme k pro nás klíčové metě 30 tisíc osob.

Poslední graf označený „NIA 2FA“ ukazuje, jaké prostředky jsou v rámci propojení s veřejnou správou použity. Těchto prostředků je již přes 30 tisíc. Je jich víc než počet osob, neboť každá osoba může mít takových prostředků více. Zatím stále vede bezpečnostní klíč FIDO (20 tisíc), ale mohutně jej dotahuje i nový MojeID Klíč (10 tisíc), který byl zprovozněn před pár týdny.

Zde je třeba podotknout, že ne každý uživatel, který si připojí bezpečnostní klíč FIDO nebo Mobilní Klíč, tento prostředek zároveň použije pro připojení na NIA. Celkově máme registrováno přes 30 tisíc bezpečnostních klíčů FIDO a přes 24 tisíc instancí MojeID Klíče; dohromady se jedná o 46 tisíc uživatelů, kteří si tímto aktivovali dvoufaktorovou autentizaci některým z těchto prostředků.

Z pohledu různých typů bezpečnostních klíčů FIDO je určitě také zajímavá statistika, jaké klíče uživatelé nejčastěji používají. Na konferenci jsem slíbil, že aktuální statistku dodám zpětně, tak tímto plním další ze svých slibů.

Windows Hello 10826 GoTrust IdemKey 7981 Android 7531 Yubico 3148 Neznámé 420 Trezor 69 Feitian 40 Solo 20 Hyper FIDO 4 TrustKey GoldenKey 2 Crayonic KeyVault 2 AuthenTrend ATKey.Pro 1 IDPrime 3940 FIDO 1 Safenet eToken FIDO 1

S přehledem vede integrovaný klíč v operačních systémech Windows 10. I z mého pohledu je tento autentizační prostředek, který má většina populace přímo na dosah ruky, asi nejpohodlnější nástroj pro bezpečný přístup k on-line službám. Nepotřebujete nic víc než váš počítač. Zadáte heslo k mojeID, které máte například uložené v bezpečném správci hesel, podíváte se do kamery pro ověření obličeje, sejmete otisk prstu na integrované čtečce nebo zadáte PIN a jste přihlášeni. Je to jedna z mála věcí, kterou my linuxáci můžeme uživatelům Windows jen tiše závidět :-). Je nicméně dobré nespoléhat jen na jeden prostředek a mít ten přístup nějak zálohovaný, buď externím bezpečnostním klíčem nebo mobilní aplikací MojeID Klíč.

Tyto statistické webové stránky jsou součástí většího celku, ve kterém se kolegové z Laboratoří CZ.NIC snaží v novém frameworku podchytit maximum dat z činností, které sdružení CZ.NIC vykonává. V rámci podpory otevřených dat jsou prakticky všechna data dostupná vedle své vizuální podoby také pomocí REST API. Budeme se snažit postupně sadu údajů nejen ze služby mojeID rozšiřovat. A budeme samozřejmě rádi, pokud budete svojí aktivitou do těchto grafů přispívat i vy ;-).

Kategorie:

Letní příměstský tábor: expedice OLŠE 2021

Po, 08/02/2021 - 08:52

Letošní příměstský tábor se nesl v duchu pozůstalosti knížete Andrease Phillipuse Olšanského, který po sobě zanechal deník s tajným vzkazem o pokladu. Poslední jeho zápis zněl:

V Praze dne 23. července 1891

Další fiasko! Marná je má snaha v rozluštění té zpropadené mapy! Síly mne pomalu opouštějí, zanechávám veškerých nadějí a hledaní pokladu svěřuji do rukou dalších generací. Aby však mapa vedoucí k pokladu nepadla do rukou prvnímu všetečkovi, který by se snad mohl hrabat v mé pozůstalosti, rozhodl jsem se ji rozdělit a schovat na několika místech Prahy a jeho okolí. Přibližné umístění fragmentů jsem zakreslil do velké mapy mého milovaného města.

Však vězte: Jen ten, kdo chytrý a bystrý je, mrštnost má, odvahou a trpělivostí sluje a také dobrým srdcem oplývá, cestu k pokladu najde!

V dokonalé úctě

Andreas Phllipus Olšanský

Naštěstí jsme s kolegy věděli, že náš expediční tým tohle hravě zvládne a poklad, který hledal sám kníže, dokáže během pár dnů najít. Dovolte mi tedy vám popsat naše týdenní dobrodružství tak, jak jsem si ji zaznamenala do svého expedičního deníku.

Den první

Byla jsem ráno trochu nervózní, ale nakonec se nám podařilo expedici OLŠE 2021 zahájit přesně v devět hodin. Do naší základny – akademie – se dostavil expediční tým složený z Terezky, Sváti, Ondry, Zbyndi, Daníka, Lucky, Tondy, Ondry, Evči, Honzy, Elišky, Barči, Česti a Áduš. Dalšími členy expedice byly kuchař Dan, fyzioterapeut a sporťák Vilda, sestřičky a pečovatelky Kája a Zdeňka a v čele expedice stáli Edvard a moje maličkost.

Po slavnostním zahájení jsme dopoledne strávili seznamováním a přípravou na odpoledne, kdy jsme měli podle zvědů získat první část mapy. Po obědě jsme se tedy vydali na Parukářku, kde jsme rozluštili Tajnou zprávu, díky které jsme získali první fragement mapy a dozvěděli jsme se i první nápovědu, která zněla – STROM.

Den druhý

Kníže nás trochu napálil a my jsme se museli vydat pro další část mapy kousek za Prahu. Zjistili jsme totiž, že se nachází v obci Nelahozeves, kde stojí zámek, jež vlastní rod Lobkowiczů. Na místo jsme dojeli vlakem, cesta ubíhala jako voda ve Vltavě, která tekla podél kolejí. Napadlo nás, že by mapa mohla být ukryta přímo na zámku. Procházeli jsme jednotlivé komnaty, plnili jsme i připravené úkoly, jako byl poslech historické hudby, rozpoznávání předmětů používaných při tehdejší osobní hygieně nebo jsme měli vyplnit vlastní rodokmen. Dokonce jsme si i vytvořili portrét z těstovin v duchu Giuseppa Arcimbolda oblíbeného malíře Rudolfa II. Ovšem světe div se, mapu nám nic z toho nepomohlo získat. Nevzdali jsme se a po obědě jsme šli do zámeckého příkopu, kde jsme zabojovali a ve hře s Číselnými pyramidami vyhráli nad záškodníky a získali druhý kousek mapy. Pak už náš čekala cesta zpět do Prahy, pražce dělaly tdm tdm tdm, až z toho Edvard usnul. Na základně jsme stihli ještě vyluštit další nápovědu z mapy, která tentokrát zněla – DUB.

Den třetí

Další část mapy na nás čekala na jihovýchodě Prahy. S úsměvem na tváři jsme putovali směr Hostivař. Zde jsme dopoledne poctivě trénovali rychlost a mrštnost při různých štafetách a pak jsme si zaskočili na oběd do nedalekého pivovaru Hostivar. Po krátkém odpočinku se však ztrhla bitva dosud v Hostivaři nevídaná. Na přehradě se totiž udála pravá Lodní bitva. Z počátku panoval chaos, ale pak už vojevůdci veleli pevnou rukou. Za daný čas se nepodařilo ani jednu flotilu zcela zlikvidovat, ale za to se podařilo získat další útržek mapy. Cestou z parku jsme stihli ještě zmrzlinu, ale pak už jsme utíkali, abychom stihli dojet včas zpět na základnu. Další nápověda byla rychle vyluštěná – LES.

Den čtvrtý

Ten kníže si z nás dělá dobrý den! Tak zněla první věta, když jsme z análů vyčetli, že máme  večtvrtek prohledat Kbely. Ty leží zase úplně jinde než jsme byli včera, na severovýchodě Prahy. Abychom však neztráceli čas lamentováním, naskočili jsme na nejbližší vlak a spěchali jsme na další etapu našeho putování. Než jsme se ale dostali k hledání mapy, vyslechli jsme si v místním Ekocentru program, který nás seznámil s životem včel. Byla to paráda. O včelkách toho každý něco víme (nejen díky včelce Máje), nicméně od pana Martina jsme se dozvěděli pár perliček navíc. Do úlu se například dostanou pouze včely, které tam patří. Také to, že pomocí „tance“ slídilky napovídají ostatním, kde je nejlepší pyl v okolí. Zároveň, že každý člen úlu má svou roli a že jich je, jsou tam uklízečky, kojičky, stavitelky, skladnice, strážnice, létavky, slídilky, ubytovatelky a trochu stranou stojí trubci a královna. Mohli jsme nakouknout dokonce i do úlu, který byl z průhledného skla. Bylo toho mnohem víc, takže jestli chcete, zajeďte si na program do Kbel, stojí to za to. Kuchař Dan s pomocníkem Vildou pro nás připravili na ohni epesní špekáčkové hot dogy. A že jsme se řádně posilnili, vrhli jsme se odpoledne na další úkol, abychom dostali poslední část mapy. Tentokrát jsme svedli zápas ryze intelektuální, hráli jsme Člověče nezlob se a až na výjimky to všichni zvládli na jedničku, takže jsme z Kbel odjížděli s další mapou a nápovědou – KUNRATICE. Na základně jsme dalli všechny nápovědy dohromady a vyšlo nám STROM – DUB – LES – KUNRATICE. Zadali jsme hesla do počítače a po pár kliknutích jsme rozluštili výchozí bod – KUNRATICKÝ DUB. Zajisté jsme všichni před spaním přemýšleli, jestli zrovna tam bude poklad ukrytý.

Den pátý

To by nebyl náš kníže, aby nás tak trochu neoklamal. Ráno jsme se sešli u Kunratického dubu a místo pokladu na nás čekala tajná šifra. Ta nás poslala na další místo, běželi jsme tam v naději, že třeba tam bude ten tajemný poklad. Nebyl, ale našli jsme další indícii a pak další a další a další. Ušli jsme dobrý kus cesty, až se najednou před námi zjevila velikánská vrba a u ní, už nebyla další šifra, ale KLÍČ s rozechvěle napsaným vzkazem: Pokud jste došli až sem, vím, že mé snažení nebylo marné. Už jste blízko, stejně jako já, ale vy máte na rozdíl ode mě plno sil, abyste poklad našli. Jen ve zdravém těle, zdraví duch jest. Proto sportovati by měl každý. Oddejte se této kratochvíli na nedalekém hřišti pálkařském u Kunratického potoka, tam truhla s pokladem by měla být dle mých zjištění ukryta. Pokračovali jsme tedy na nedaleké softballové hřiště, kde už na nás čekal nejen sporťák Vilda, ale hlavně truhla s pokladem. KONEČNĚ! Naše snažení bylo odměněno a my získali poklad knížete Olšanského. Každý z něho dostal kousek. Nicméně tím naše expedice ještě neskončila, protože jsme museli dostát přání knížete a zasportovat si. Celý tým se tedy vrhl na hřiště sportu pálkařského a pod vedením Vildy jsme trénovali a hráli jako o život. Po tréninku jsme začali připravovat oslavu naší úspěšné mise, kam byli pozvaní i rodiče a mladší sourozenci. Co vám budu víc vyprávět, pak už se jen slavilo, hrálo, hrálo a slavilo.

Jako jeden z náčelníků expedice OLŠE 2021 musím říct, že byla jednoduše úspěšná a jsem moc ráda, že jsem ji mohla podniknout s tak skvělým týmem. DÍKY VŠEM!

Kategorie:

Krátké vlny: Akční plán kybernetické bezpečnosti, zablokované mojeID a soumrak a úsvit síťové neutrality

Čt, 07/29/2021 - 09:11

Před srpnovými vládními prázdninami stačila vláda ještě schválit Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025. V dokumentu najdeme „jízdní řád“ konkrétních kroků pro naplnění samotné strategie, která obsahuje „vizi vytváření odolné společnosti a infrastruktury proti kybernetickým hrozbám, sebevědomého působní státu v kyberprostoru a za pomoci spolehlivých spojenectví aktivního čelení celému spektru kybernetických hrozeb.“

Akční plán obsahuje 105 průběžných nebo termínovaných úkolů a je rozdělen do části ve stejné struktuře jako národní strategie, konkrétní úkoly jsou tedy členěny do části:

A – Sebevědomě v kyberprostoru,

B – Silná a spolehlivá spojenectví,

C – Odolná společnost 4.0.

Z plánovaných průběžně plněných úkolů, které jsou většinou o spolupráci na národní i mezinárodní úrovni, mezi soukromým i státním sektorem, vzdělávání a využívání prostředků EU v programovém období EU 2021, stojí za zmínku tyto úkoly NÚKIB:

  • Rozšiřovat a upevňovat spolupráci se soukromým sektorem; navyšovat povědomí o činnostech NÚKIB a možnostech vzájemné spolupráce.
  • Vytvořit a na národní úrovni provozovat zabezpečenou platformu pro komunikaci a sdílení informací o kybernetických hrozbách a zranitelnostech.
  • Za předem dohodnutých podmínek i nadále provádět penetrační testování s cílem odhalit chyby a zranitelnosti v informačních systémech a sítích povinných orgánů a osob podle zákona o kybernetické bezpečnosti.
  • Zapojovat národní partnery do řešení scénářů mezinárodních cvičení kybernetické bezpečnosti a tím přispívat k posilování spolupráce, nastavování a koordinaci postupů během řešení reálných kybernetických hrozeb.
  • Pokračovat v posilování systému kybernetické obrany prostřednictvím budování schopností NCKO jako součásti VZ se zaměřením na logistické, personální a finanční zabezpečení, ale i další aspekty důležité pro jeho efektivní fungování.
  • Prostřednictvím aktivní kybernetické diplomacie prosazovat stávající mezinárodní právo a nezávazné normy zodpovědného chování států v kyberprostoru.
  • Zapojit se do mezinárodní diskuse ohledně správy a řízení Internetu (tzv. „Internet governance“), vč. Internet Governance Forum a prosazovat účast soukromého i akademického sektoru.
  • Přímo se podílet na výuce oborů, programů a předmětů kybernetické bezpečnosti a příbuzných témat zejména na vysokých, ale i na vybraných vyšších odborných a středních školách.

Z termínovaných úkolů určitě stojí za zmínku dvě aktivity, které chce NÚKIB dokončit do konce tohoto roku a to:

  • Zpracovat návrh národní politiky koordinovaného zveřejňování zranitelností.
  • Vytvořit metodiku bezpečného kódu pro státní správu s cílem podpořit vývoj bezpečného software.

Do konce třetího kvartálu 2022 by měl NÚKIB vytvořit a nastavit rámec pro zajištění důvěrnosti informací v e-mailové komunikaci pomocí šifrování, a to napříč státní správou. Bohužel až do třetího kvartálu 2023 si úřad stanovil úkol vytvořit platformu zapojující dobrovolníky z řad kybernetických expertů a institucionalizovat jejich využití při zajišťování kybernetické bezpečnosti.

V druhém kvartálu by měl být vytvořen návrh posuzování rizikového profilu dodavatelů a uplatňování omezování vysoce rizikových dodavatelů na národní úrovni pro bezpečné zavádění a realizaci telekomunikačních sítí nastupujících generací. NÚKIB se chytře vyhnul „5G“ sítím použitím spojení „telekomunikačních sítí nastupujících generací“ ať už to technicky a právně znamená cokoliv.

Až na drobné výtky jsem moc rád, že dokument vznikl. A důraz na spolupráci se soukromým sektorem vidím jako jeden ze základních kamenů zajištění kyberbezpečnosti v České republice. Projekty jako FENIX, provoz národního CSIRT.CZ pracoviště nebo koncepce rozvoje Národního centra kybernetické obrany ukazují, že bez efektivní výměny informací mezi všemi dotčenými subjekty, není zajištění účinné kybernetické bezpečnosti možné. A osobně jsem rád, že si NÚKIB, ač mladý úřad, snaží udržet standard odbornosti a nevytváří PR dokument plný rádoby sexy chytlavých slovíček bez věcné náplně. Teď jen si udržet a přilákat experty, kteří dokáží úkoly dotáhnout do konce.

Transpoziční novela zákona o elektronických komunikacích zaškobrtla v Senátu. Už o tom psal David Slížek a hezky to na Twitteru shrnul i Ondřej Malý, takže jen krátká poznámka. Pokud by nebylo před volbami, nebylo by vrácení velký problém, nyní ale, pokud se novela zákona nedostane na některou z mimořádných schůzí, které si sněmovna ještě naplánovala, tak poslední šance na projednání představuje zářijová schůze. S ohledem na širokou podporu při schvalování návrhu v Poslanecké sněmovně předpokládám, že si poslanci na novelu udělají čas. O samotné diskuzi a kvalitě argumentů si můžete udělat názor sami na základě stenozáznamu. V tomto konkrétním případě bohužel Senát dal zadarmo munici svým kritikům, kteří bojují za jeho zrušení. Tak snad příště bude více naslouchat argumentům předkladatele.

Služba mojeID mi přináší veskrze pozitivní zážitky. Po nainstalování aplikace mojeID klíč už ani nemusím hledat token a elektronická identifikace mé osoby do systémů státní správy je ještě jednodušší. A díky mému bezbřehému nadšení a nezištné pomoci při zřízení služby, používá mojeID celá rodina. Problém však nastane, když člen rodiny zapomene PIN k aplikaci mojeID klíč. Taky to znáte? Členům rodiny, kteří nejsou kamarádi s technikou, pomůžete, vysvětlíte a jedinou věc, kterou po nich chcete je, aby si pamatovali heslo, PIN, uživatelské jméno. Chyba. Někdy se prostě stane, že to jde jedním uchem tam a druhým ven. Po třech pokusech („počkej, já už asi vím, to bude tento PIN“) došlo k zablokování mojeID klíče. Naštěstí není třeba panikařit. O profil uživatel nepřijde. Uživatel může projít „recovery procesem“ nebo se pojistit a mít zaregistrovaných více klíčů. Drobnou nevýhodou při recovery procesu je, že pro využívání služeb státní správy uživatel musí opět podstoupit proces ověření například na Czech POINTU. Ale říkám si, že si dotyčný člen rodiny alespoň uvědomí, že si má PIN pamatovat. „Co nemáš v hlavě, musíš mít v nohách,“ říkala babička a měla pravdu. Viď dědo.

document.createElement('video'); https://blog.nic.cz/wp-content/uploads/2021/07/Take_0073.mp4

Začátkem července soud v Soulu v prvním stupni potvrdil povinnost Netflixu platit mobilním operátorům poplatky za používání sítě. Netflix odmítl platit společnosti SK Broadband (dceřiné společnosti SK Telecom) poplatky za používání sítě a operátor se obrátil na regulátora, který povinnost stvrdil rozhodnutím. Napadené rozhodnutí nyní potvrdil soud, když mimo jiné uvedl, že „Netflix má povinnost platit poplatky společnosti SK Broadband, neboť dostává síťové služby, včetně správy kvality sítě“. Pokud by rozhodnutí potvrdil i odvolací soud, byla by to těžká rána síťové neutralitě v Jižní Koreji. A bude i zajímavé sledovat, jak se k situaci postaví konkurenti SK Broadband.

Naopak na americkém kontinentu podepsal začátkem července prezident Biden exekutivní příkaz na podporu hospodářské soutěže. Kromě jiného vyzývá regulátora FCC, aby obnovil pravidla síťové neutrality, zabránil operátorům uzavírat exkluzivní dohody s pronajímateli nemovitostí a omezil poplatky za předčasné ukončení smlouvy.

Součástí příkazu je i apel na zavedení „broadbandový nutriční štítek“, přehledného informačního popisku o poskytované službě přístupu k Internetu. Z pár reakcí na Twitteru jsem nabyl dojmu, že si dotyční díky historické zkušenosti nemyslí, že by bylo dobré, aby český regulátor k něčemu takovému přistoupil. Dokážu pochopit obavu, ale na druhou stranu, pokud by to nějaký operátor dokázal uchopit a upravit do českých podmínek, nebyla by to hezká snaha odlišit se a zpřístupnit srozumitelně informace spotřebitelům? #diskutujme

Broadband nutrition label, zdroj: Bílý dům

Kategorie:

Anymon

St, 07/21/2021 - 08:40

Dovolím si volně navázat na blogpost kolegy Zdeňka Brůny, který se před časem pokusil přiblížit problematiku generování a podepisování .CZ zóny pomocí lidsky pochopitelné metafory. I já bych rád poodkryl jednu z oblastí správy DNS, tentokrát zdokonalování monitoringu jednotlivých nodů našeho anycastu. Představme si, že provozujeme řetězec obchodů, poboček, a zajímá nás, jestli opravdu zaměstnanci pracují a pobočky mají otevřeno. Kontrolu můžeme dělat interně, tedy aby nám zaměstnanec nebo nějaký systém vždy po určitém intervalu odpovídal. To může zdatnější zaměstnanec nafixlovat, aby to vypadalo, že vše funguje, jak má. Ve skutečnosti ale zaměstnanci budou už doma s nohama na stole. Během toho budou naštvaní zákazníci zlověstně ťukat a lomcovat s dveřmi pobočky a pak psát nerudné komentáře, že je zavřeno, i když má být otevřeno. Ideální řešení by bylo, kdybychom měli někoho, kdo pravidelně půjde, vezme za kliku dveří a zkontroluje, že je otevřeno. Případně zburcuje manažera pobočky nebo nahlásí nefunkční pobočku firmě, která zmíněný řetězec provozuje.

Tento scénář lehce ilustruje naši situaci s DNS anycastem a jeho geograficky vzdálenými lokalitami. Centrálním monitoringem lze částečně kontrolovat, zda na serveru vše lokálně funguje. Částečně z toho důvodu, že kontrola probíhá lokálně. Tedy DNS dotaz na anycast provede monitorovaný DNS server a centrální monitoring se pak ptá na výsledek této kontroly. Takovýto lokální DNS dotaz však neputuje stejnou cestou jako dotaz z Internetu. Interně se tak vše může tvářit v pořádku, ale situace může být reálně docela jiná.

Jak si ale domluvíte lokálního „fachmana“, který bude pravidelně zkoušet funkčnost lokality, když jsou rozesety po celém světě? Tento problém lze vyřešit například pomocí pronájmu virtuálního serveru v blízkosti nodů anycastu. Blízkost je v tomto případě myšlena ta síťová, ne fyzická. Bude-li virtuální server ve stejném datacentru jako DNS nod, je šance, že dotaz půjde přímo do nejbližší lokality, protože je právě síťově blízko. V případě, že to bude jiné datacentrum s jiným IX uzlem a tranzitem a budou upraveny routovací metriky, dotaz pak do místního DNS nodu nemusí vůbec dorazit. Tento problém lze částečně eliminovat pomocí RIPE sond, kterých je velké množství a stačí si pak jen vybrat tu vhodnou. Se sondami už máme zkušenost, protože pomocí nich monitorujeme anycast jako celek.

Sondy z projektu RIPE atlas mimo jiné umožňují posílat pravidelně ping, HTTP nebo právě DNS dotazy na definované nameservery. Po světe jsou rozesety tisíce takových sond, které pro vás za RIPE kredity provedou potřebný dotaz. Vybrat vhodné sondy, specifikovat potřebný dotaz a vytvořit pravidelné měření je pak otázka pár kliknutí ve webovém prohlížeči. Je potřeba říct, že kredity je nejdříve potřeba získat a jedním ze způsobů pravidelného přírůstku je například hostování sondy ve vlastní síti. Možnosti měření, co se týče četnosti nebo počtu sond, jsou limitovány právě počtem dostupných kreditů.

Figure 1: Vytvoření měření pro A anycast v RIPE Atlasu

Vytvořili jsme tedy měření na všechny naše lokality ve světě, kromě tuzemska, a pro každé měření jsme kvůli redundanci využili dvě sondy. Tyto sondy se ptají s příznakem NSID, což je identifikátor jednotlivých DNS serverů, podle kterého kontrolujeme, z jaké lokality sonda dostala odpověď. Redundance sond zajistí, že v případe výpadku nebo změně routingu u jedné z nich, by stále minimálně jedna měla fungovat. Samozřejmě čím víc redundantních sond tím líp. Sondy jsou momentálně nastavené tak, aby se ptaly každých 10 minut. Výstupy měření je možné vidět na stránkách RIPE Atlasu, což ale pro strojové zpracování není úplně vhodné. I na to ale v RIPE mysleli a připravili python knihovny pro získání výstupů měření.

Pokud vás nezajímají technické detaily provedení, přeskočte tento a následující odstavec a pokračujte směle dále. Nástroj je napsán v pythonu a lze ho spustit jako konzolovou nebo webovou (flask) aplikaci. V obou případech načítá dva konfigurační soubory. První popisuje všeobecné nastavení NSID, Hidden Master serveru pro kontrolu SOA a dobu, po jakou je výsledek dotazu validní. Bez kontroly na validitu dotazu by byl brán jako validní i týden starý dotaz s korektním NSID. To se může stát, například pokud sonda přestane fungovat. Druhý je csv soubor, který obsahuje informace o měření (ID měření, název lokality, anycast a HW typ lokality). K získání výsledků těchto měření pak využíváme již zmíněné python knihovny, a to konkrétně RIPE Atlas Cousteau a RIPE Atlas Sagan.

Tyto vstupy obdrží/získá jak webová tak i konzolová aplikace. U konzolové aplikace je možné ještě specifikovat formát výstupu – jestli na výstup chceme stav pouze jedné nebo všech lokalit. Výpisu jedné lokality využíváme pro monitoring, abychom spárovali jednotlivé servery s danou lokalitou a check byl co nejvíce přehledný a jasný. Běh webové aplikace je zajištěn webovým serverem, modulem uwsgi a systemd. Systemd zajišťuje chod uwsgi aplikace, která obdržené dotazy z webového serveru překládá do formátu pro anymon aplikaci a ta následně vrací příslušný výstup v podobě vygenerované html stránky.

Figure 2: Náhled na hlavní stránku Anymonu s plánovaně odstavenou chilskou lokalitou.

Měření RIPE Atlasu a RIPE Atlas python knihovny jsme dali dohromady a vytvořili nástroj Anymon, který zpracuje výstup z měření, porovná NSID dotaz s předpokládaným NSID, zkontroluje časovou validitu a poskytne výstup pro monitoring. Ten pak přes aktivní kontroly pozoruje výstupy OK/FAIL a obstarává notifikace. Kromě toho jsme také vytvořili webové rozhraní s detailními výsledky měření, takže je možné zobrazit verzi protokolu, konfigurace lokality (stack/standalone) atd. Kromě toho jsme využili SOA dotazu, což přes web umožňuje pozorovat, jestli je zóna koherentní. Samotné SOA (případně verzi zóny) standardně kontrolujeme naším interním monitoringem, ale Anymon nám umožňuje kontrolu zvenčí. Od výpadku DNS nodu k odeslání notifikace administrátorům může uběhnout více jak 10 minut. Doba je spjatá s četností dotazování RIPE sondami. Sondy se ptají v pravidelném intervalu a pokud se dotázaly těsně po výpadku, čeká se na další dotaz. Výsledek měření sond je následně zpracován s časovou prodlevou, také je třeba připočíst dobu, než se monitoring dotáže na výstup Anymonu, a následné odeslání notifikace monitoringem.

Díky Anymonu tedy víme, zda jsou naše firemní pobočky opravdu otevřené, mají čerstvé veškeré zboží a nabízí ho zákazníkům. S kontrolou nám pomáhají nezdolní „fachmani“ v podobě RIPE sond. V případě, že na nás pobočka hraje levou, zprostředkují report, a to nejen ohledně stavu otevřeno/zavřeno, ale s veškerými detaily. Samozřejmě místa pro vylepšení tu jsou. Vidíme je rozhodně ve zvýšení četnosti pokládání DNS dotazů a ve větším počtu samostatných sond, respektive více nezávislých kontrolorů chcete-li.

Kategorie:

Krátké vlny: Ze Senátu, Evropského parlamentu i o nahrazení TCP/IP

Čt, 07/15/2021 - 09:02

I když začalo období prázdnin a dovolených, legislativní tělesa v Česku i v Bruselu stále pracují s plným nasazením.

Novela zákona o elektronických komunikacích nemá v Senátu na růžích ustláno a reálně hrozí její vrácení do Poslanecké sněmovny. Již kolují pozměňovací návrhy upravující marketingová volání (vrátit návrh do režimu opt-out) a přechodná ustanovení (odstranění bodu 12 přechodných ustanovení, které dává kompetenci ČTÚ upravit již udělené příděly). Rozhodne se na 14. schůzi Senátu, která začíná od 21. července 2021. Osobně se domnívám, že když už se novela dokodrcala do Senátu, nechť je schválena, Česká republika se zbaví hrozby placení pokuty z infrigementu a ČTÚ už stejně připravuje technickou novelu. O digitální kodexu, který si podle mě Česko zaslouží, a který by nahradil ty nesmyslné rakousko-uherské zákony udržující „Digitální Česko“ na kapačkách, si povíme někdy příště. Teď je potřeba schválit novelu zákona o elektronických komunikacích a uzavřít tři roky trvající implementační proces.

Evropský parlament přijal 10. června rezoluci ke Strategii o kybernetické bezpečnosti EU, ve které mimo jiné vyzval k „vytvoření nového robustního bezpečnostního rámce pro kritické infrastruktury EU s cílem chránit bezpečnostní zájmy EU“. Rezoluce vyzývá Evropskou komisi, aby „připravila návrh k zajištění přístupnosti, dostupnosti a integrity veřejného jádra internetu, a tedy stability kyberprostoru, zejména pokud jde o přístup EU ke globálnímu kořenovému systému DNS“. Evroposlanci v textu také vítají „návrh evropského systému doménových jmen (DNS4EU) jako nástroje pro odolnější jádro internetu“ a „žádají Komisi, aby vyhodnotila, jak by tento systém DNS4EU mohl využívat nejnovější technologie, bezpečnostní protokoly a odborné znalosti v oblasti kybernetických hrozeb, aby všem Evropanům nabídl rychlý, bezpečný a odolný systém DNS“.

Rezoluce rovněž:

  • „připomíná nutnost lepší ochrany protokolu BGP (Border Gateway Protocol);
  • (naštěstí) připomíná svou podporu modelu správy internetu, v němž je zapojeno více zúčastněných stran (multistakeholder model) a jehož jedním z hlavních témat by měla být kybernetická bezpečnost;
  • zdůrazňuje také, že EU by měla urychlit zavádění protokolu IPv6;
  • uznává model otevřeného zdrojového kódu, který se jako základ fungování internetu osvědčil jako účinný a efektivní; vybízí proto k jeho využívání“.

V Evropském parlamentu také hlavní výbory vydaly návrhy stanovisek k návrhu směrnice NIS2. Jak Výbor Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci (LIBE), Výbor Evropského parlamentu pro průmysl, výzkum a energetiku (ITRE – návrh zprávy zde a zde), tak Výbor Evropského parlamentu pro vnitřní trh a ochranu spotřebitele (IMCO) předložily mnoho pozměňovacích návrhů, které mají společné zvýšení nároků na registrátory například co se týče jejich povinnosti ověřovat registrační údaje svých zákazníků.

V dubnu 2020 zahájil Evropský institut pro telekomunikační normy (ETSI) činnost nové průmyslové specifikační skupiny (ISG) pro „Non-IP Networking“ (NIN). Má jít svým způsobem o reakci na aktivity společnosti Huawei s názvem „New IP“.

Podobně jako u návrhu Huawei „New IP“ je výchozím bodem skupiny ETSI tvrzení, že TCP/IP je starý protokol, nevhodný pro nové typy aplikací, které slibuje 5G. NIN však zaujímá jiný přístup než New IP. Namísto rozšíření hlavičky IP o další informace, například o kvalitě služeb (QoS), kterou mají vynucovat routery a switche, navrhuje NIN přístup založený na virtuálních okruzích, kdy jsou pakety klasifikovány do toků v modelu softwarově definovaných sítí (SDN), které jsou pak přepínači předávány podle identifikátorů virtuálních okruhů. Technologie prosazovaná NIN se nazývá Flexilink a byla zdokumentována předchozí skupinou ETSI ISG: „Next Generation Protocol (NGP)“. Flexilink v mnoha ohledech připomíná asynchronní přenosový režim (ATM), přístup, který se stal krátce populárním v 90. letech 20. století, ale do roku 2005 se z telekomunikačního světa do značné míry vytratil, nebo Multiprotocol label switching (MPLS), technologii, kterou dnes ve velké míře používají ISP.

Zůstává nejasné, zda by NIN mohl být plnohodnotnou náhradou IP, nebo něčím, co by se používalo pouze ve specifických lokálních aplikacích, například v domácnostech nebo v průmyslových sítích. V této fázi zůstává NIN do značné míry výzkumným, nikoliv technickým cvičením bez existence konkrétního návrhu interoperabilního řešení. K návrhu pracovní skupiny ETSI vydal 12. července 2021 stanovisko Útvar hlavního technického ředitele ICANN a rozhodně stojí za přečtení.

Dne 22. června 2021 vynesl Soudní dvůr Evropské unie (SDEU) rozsudek v konsolidovaném případu mezi držiteli práv duševního vlastnictví a společnostmi YouTube (Google) a Uploaded (Cyando). SDEU rozhodl, že online platformy, jako je YouTube nebo Uploaded, nelze považovat za platformy poskytující „sdělení směrem k veřejnosti“ (tzn. obsah), což je výlučné právo vyhrazené nositelům práv duševního vlastnictví, neboť tyto platformy fungují pouze jako zprostředkovatelé a jako takoví hrají nezastupitelnou roli, když jejich uživatelé prostřednictvím jejich služeb zpřístupňují potenciálně nezákonný obsah.

Od provozovatele platformy se však podle SDEU očekává, že zavede „vhodná technologická opatření, která lze očekávat od přiměřeně pečlivého provozovatele (…), aby věrohodně a účinně čelil porušování autorských práv na této platformě“. Platformu lze podle SDEU činit odpovědnou za porušení práv duševního vlastnictví, pokud má konkrétní vědomost o tom, že chráněný obsah je na její platformě dostupný nezákonně, a zdrží se jeho urychleného odstranění nebo zablokování přístupu k němu, nebo pokud se zdrží zavedení vhodných technologických opatření, která lze v její situaci očekávat od přiměřeně pečlivého provozovatele, nebo pokud se podílí na výběru chráněného obsahu, poskytuje na své platformě nástroje určené výslovně k nezákonnému sdílení takového obsahu nebo takové sdílení vědomě podporuje.

Kategorie: