Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 26 min 1 sek zpět

Krátké vlny: Návrh kyberzákona před branami vlády

Čt, 06/06/2024 - 06:20

Červen rozrazil dveře a státní správa nasazuje vyšší rychlost ve snaze urvat KPI za druhý kvartál. A tak Národní úřad pro kybernetickou a informační bezpečnost („NÚKIB“) poslal Legislativní radě vlády („LRV“) upravenou verzi nového zákona o kybernetické bezpečnosti a čeká na jeho posouzení. Slovutní členové „legislativky“ budou určitě potěšeni vyšší úrovní legislativního textu (běžný uživatel však zapláče nad složitostí některých paragrafů) a NÚKIB si věcně stojí za svým návrhem. K nové verzi úřad připravil přehledný souhrn změn. Jedná se zejména o:

a) doplnění definice „dat“ a informací“,

b) nová definice aktiva (nově fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováváním informací a dat v elektronické podobě),

c) proces hlášení a registrace regulované služby zůstává beze změny, NÚKIB ale upravil terminologii a pokusil se text zjednodušit; proces sebeidentifikace za regulovanou osobu zůstává, nicméně po připomínkách LRV je to NÚKIB, kdo po ohlášení poskytovatele provede registraci, resp. vydá rozhodnutí o registraci regulované služby,

d) režim poskytovatelů regulovaných služeb zůstává stejný, ale odchylky a výjimky z doporučení Komise 2003/361/ES (malé a střední podniky) byly přesunuty z prováděcího právního předpisu do zákona,

e) organizační složky státu, územní samosprávní celky a ČNB se nově nepovažují za podnik, vyhláška o regulovaných službách jim přímo určuje režim,

f) podmínky pro režim poskytovatelů regulovaných služeb NÚKIB zjemnil tím, že při počítání velikosti regulovaného podniku se za partnerský nebo propojený podnik nově nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby,

g) v části povinnosti poskytovatele regulované služby bylo zestručněno hlášení údajů a stanovení rozsahu řízení kybernetické bezpečnosti,

h) nové oprávnění NÚKIB ve vztahu k poskytovateli regulované služby je možnost uložit zákaz informovat uživatele, pokud by to nebylo vhodné například s ohledem na bezpečnostní situaci, probíhající zahraniční útočnou kampaň atd.,

ch) v rámci části protiopatření NÚKIB odstranil povinnost hlásit provedení všech opatření, nově je tato povinnost vázána pouze na reaktivní opatření; současně NÚKIB odstranil ustanovení, které říkalo, že varování zohledňuje pouze poskytovatel v režimu vyšších povinností. Protože poskytovatel v režimu nižších povinností nemá povinnost zpracovávat analýzu rizik, dotýká se ho tak pouze obecná prevenční povinnost a NÚKIB mu věnuje v rámci varování zmínku,

i) ustanovení o předávání informací a dat mezi poskytovatelem v režimu vyšších povinností a jeho dodavateli se nově týká všech dodavatelů a nikoliv jen těch významných,

j) informace o tom, že regulovaná služba je strategicky významnou službou, je součástí odůvodnění rozhodnutí o registraci regulované služby,

k) největší jablko sváru v předkládaném zákonu, mechanismus bezpečnosti dodavatelských řetězců, zůstává věcně beze změny. NÚKIB se zajímá pouze o dodavatele poskytovatelů strategicky významných služeb a prověřuje rizika týkající se možné hrozby pro bezpečnost ČR nebo vnitřní pořádek. Nově úprava definuje, co je neopominutelnou funkcí a formulačně se upravila definice bezpečnostně významné dodávky. Formulačně došlo k úpravě povinnosti součinnosti. Z porovnání verzí zákonů také vyplývá, že došlo k přeformulování části o „závazném stanovisku“. Nově NÚKIB předloží návrh opatření obecné povahy, kterým stanoví omezení nebo zákaz plnění dodavatele bezpečnostně významné dodávky, k vyjádření Ministerstvu průmyslu obchodu, Ministerstvu zahraničních věcí a Ministerstvu vnitra, jejichž stanovisky je Úřad povinen se řídit,

l) nový návrh už také nedrží terminologii Pravidel registrace doménových jmen, legislativcům se zalíbilo spojení „doménové jméno“ místo „jména domén“. No, když si právníci myslí, že internet má stránky (český právní řád zarputile používá „internetové stránky“ místo „webové stránky“), tak je jasný, že se nebudou držet zaužívané terminologie :-),

m) sankce byly přeskupeny a zpřehledněny. Nově o pozastavení výkonu řídící funkce může rozhodnout přímo NÚKIB a nikoliv soud,

n) nově o stavu kybernetického nebezpečí rozhoduje NÚKIB a nikoliv ředitel NÚKIB a i v rámci tohoto stavu by měl platit správní řád.

Nyní uvidíme, zda v upraveném znění najdou členové LRV uspokojení a návrh poputuje se stanoviskem předsedy LRV na vládu, nebo zda budou členové LRV ještě nad zněním návrhu rokovat. Co už víme jistě je, že určitě budou rokovat 20. června nad návrhem tzv. technické novely zákona o elektronických komunikacích. A pak hurá na vládu a do parlamentu. Protřelí lobbisté už mají spočítáno, že návrhy zákonů, co nebudou v poslanecké sněmovně do konce června, mají výrazně menší šanci na schválení v tomto volebním období. Ale historie už ukázala, že dostatečná politická podpora a extrémní pracovní úsilí v malostranských palácích dokáže protlačit i složitější zákony velmi rychle. Ale možná je čas vypsat sázky. Tak na koho si vsadíte?

Kategorie:

Krátké vlny: Nařízení o gigabitové infrastruktuře

Čt, 05/23/2024 - 06:30

Dne 8. května 2024 bylo v Úředním věstníku EU publikováno Nařízení o gigabitové infrastruktuře, právní předpis, který nahrazuje směrnici o opatřeních ke snížení nákladů na budování vysokorychlostních sítí elektronických komunikací. Když Evropská komise zveřejnila návrh nařízení, telekomunikační sektor ve státech, které bojují s pomalostí a byrokratizací výstavby, byl nadšený. Avšak postupným hledáním kompromisu došlo k částečnému zjemnění původního návrhu a sektor už tolik šťastný nebyl, jak dokazuje společné prohlášení asociací ETNO, ECTA, GIGA.EUROPE a GSMA. Nicméně přijatá verze nařízení je nakonec přísnější než původní směrnice o snižování nákladů na výstavbu broadbandových sítí a může pomoci se stavební byrokracií. Teď však bude záležet na českou adaptaci a hlavně na aplikaci jednotlivých oprávnění.

Cílem GIA je usnadnit a podpořit budování sítí s velmi vysokou kapacitou (tzv. „sítě VHCN“) podporou společného využívání existující fyzické infrastruktury a usnadněním efektivnějšího budování nové fyzické infrastruktury, aby bylo možné tyto sítě zavádět rychleji a s nižšími náklady. Nařízení stanoví minimální požadavky, členské státy mohou zachovat nebo zavést opatření v souladu s právními předpisy EU, která jsou přísnější nebo podrobnější než tyto minimální požadavky (kromě ustanovení v čl. 3 odst. 5 prvnímu pododstavci písm. a) až e), čl. 3 odst. 7 a 10, čl. 4 odst. 7, čl. 5 odst. 2 druhému pododstavci, čl. 5 odst. 5, čl. 6 odst. 2 a čl. 10 odst. 7 a 8 – jedná se o ustanovení o odmítnutí přístup k fyzické infrastruktuře a veřejným budovám, transparentnost fyzické infrastruktury a stavebních prací, koordinaci stavebních prací a ustanovení o fyzické infrastruktuře uvnitř budov), pokud tato opatření vedou ke stejnému cíli jako stanoví GIA.

Samozřejmě nařízení obsahuje výhradu ochrany národní bezpečnosti a jiných základních funkcí státu, takže stručně řečeno lze předpokládat, že ve vojenským újezdu budete mít s GIA smůlu.

Jedním ze stěžejních instrumentů je propracovanější přístup operátora k existující fyzické infrastruktuře, kdy provozovatelé sítě a subjekty veřejného sektoru, kteří vlastní nebo ovládají fyzickou infrastrukturu, mají vyhovět písemné žádosti operátora o přístup k této fyzické infrastruktuře za spravedlivých a přiměřených podmínek (včetně ceny). Definice pak říká, že subjektem veřejného sektoru je státní, regionální nebo i místní orgán, veřejnoprávní subjekt nebo sdružení vytvořené jedním nebo více takovými orgány nebo jedním nebo více veřejnoprávními subjekty. Veřejnoprávní subjekt je pak subjekt, který je založen za účelem uspokojování potřeb obecného zájmu, které nemají průmyslovou nebo obchodní povahu, má právní osobnost a je financován zcela nebo převážně státem, regionálními nebo místními orgány (nebo jinými veřejnoprávními subjekty), nebo podléhá řídícímu dohledu těchto subjektů (nebo je v jeho správním, řídícím nebo dozorčím orgánu více než polovina členů jmenována státem, regionálními nebo místními orgány). Tato široká definice by měla zabránit úniku z regulace povinným subjektům disponujícím vhodnou pasivní infrastrukturou, které mění průběžně svou právní formu.

Nadto by členské státy měly mít možnost rozšířit povinnosti stanovené v tomto nařízení na subjekty, které nespadají do oblasti jeho působnosti, jako jsou organizační jednotky, které nejsou ze zákona vybaveny právní subjektivitou, mají způsobilost k právům a právním úkonům a mohou se plně účastnit hospodářských transakcí, nebo podniky, které jsou držiteli koncese od veřejných subjektů.

Povinnými osobami jsou tedy bez ohledu na to, zda se jedná o veřejnoprávní nebo soukromoprávní osoby operátoři, ale i vlastníci nebo držitelé práv na užívání fyzické infrastruktury vhodné pro uložení prvků sítí elektronických komunikací (fyzické sítě pro poskytování elektřiny, plynu, vody a kanalizace a odvodňovacích systémů, vytápění a dopravních služeb).

Operátoři (a vlastníci věží) nově také nemusí vyhledávat přímo majitele nemovitosti, ale mohou vyjednávat o přístupu k pozemkům s nájemci nebo jejich správci. Ti pak musí s nimi jednat o přístupu k existující fyzické infrastruktuře v dobré víře.

Mezi prvky fyzické infrastruktury, které mohou být vhodné pro operátory a instalaci síťových prvků VHCN sítí nařízení explicitně zmiňuje (při minimalizaci vizuálního dopadu, nebo nevhodnost z důvodu architektonické, historické nebo náboženské hodnoty) budovy včetně střech a částí fasád, vstupy do budov a jakýkoli jiný objekt včetně městského mobiliáře, jako jsou sloupy veřejného osvětlení, značky a ukazatele, světelná signalizace, billboardy, mýtné rámy, zastávky autobusů a tramvají či stanice metra a vlaková nádraží a železniční tunely.

Možnými důvody pro odepření přístupu k fyzické infrastruktuře mohou být pouze

a) nedostatečná technická vhodnost infrastruktury,

b) nedostatek prostoru pro umístění prvků VHCN sítě nebo souvisejících zařízení s ohledem na budoucí potřeby poskytovatele přístupu,

c) oprávněné obavy o bezpečnost, veřejné zdraví a národní bezpečnost,

d) dopad na integritu a bezpečnost sítí,

e) rušení služeb elektronických komunikací nebo jiných služeb provozovaných prostřednictvím fyzické infrastruktury.

Podnikatel v elektronických komunikacích může ještě odmítnout přístup k fyzické infrastruktuře pokud existuje vhodná alternativa k pasivnímu fyzickému přístupu. Recitál 22 uvádí, že „Navíc v případech, kdy provozovatel sítě již poskytuje použitelný alternativní prostředek pro pasivní velkoobchodní fyzický přístup k sítím elektronických komunikací, který by splňoval potřeby žadatele o přístup, jako jsou například nenasvícená optická vlákna nebo zpřístupnění optických vláken, může mít přístup k uvedené fyzické infrastruktuře negativní hospodářský dopad na její obchodní model, u „whole-only“ operátorů, a na investiční pobídky, a vytvářet tak překážku k rychlému zavádění sítí VHCN ve venkovských a odlehlých oblastech… Zejména ve venkovských oblastech, kde by více než jedna síť VHCN nemusela být ekonomicky životaschopná, by mělo být zabráněno neefektivní duplikaci prvků sítě VHCN, která představuje riziko pro původní investice a investiční plány…“

GIA stanoví nově termíny pro udělení povolení k výstavbě a zřízení služebností. Veškeré žádosti o povolení musí být vyhodnoceny do 20 dnů a následně o nich musí být rozhodnuto do čtyř měsíců. V případě výjimečných a odůvodněných důvodů může být lhůta prodloužena o další čtyři měsíce. Žádosti o povolení mohou být stiženy pouze administrativním poplatkem, další náklady jsou zapovězeny. O zřízení služebnosti musí být rozhodnuto do čtyř měsíců nebo kratší lhůtě (20 dní je opět stanoveno na posouzení žádosti, zda je úplná).

GIA přichází s institutem tichého souhlasu, kdy v případě, že není povolení vydáno v předepsané lhůtě, vzniká domněnka, že byla žádost odsouhlasena. Členské státy se mohou tichému souhlasu „bránit“ tím, že stanoví kompenzační mechanismus v případech, kdy jsou překročeny stanovené lhůty a tím, že stanoví odvolací mechanismus. V obou případech musí členské státy zajistit smírčí řízení, v jehož rámci mohou strany projednat nevyřešené problémy.

Institut Jednoho informačního místa, které má poskytovat informace o existenci vhodné infrastruktury zůstává v podstatě beze změny, GIA samozřejmě rozšiřuje rozsah údajů a informací, které má mít Jednotné informační místo k dispozici. Členské státy se mají vyhnout duplikaci údajů, má se tedy předpokládat, že v České republice bude moci Jednotné informační místo, které vykonává Český telekomunikační úřad, využívat Digitálně technické mapy, které v současné době vznikají na krajích. V rámci koordinace stavebních prací GIA upravuje povinnost reagovat na žádost o koordinaci v případě projektů částečně nebo plně financovaných z veřejných prostředků, ale recitál uvádí možnost pro členské státy rozšířit režim koordinace i na projekty plně financované ze soukromých zdrojů.

Přijetí GIA má navíc za cíl podpořit ekologický přechod v EU, a to tím, že optické sítě budou povinné v nových a rekonstruovaných budovách, což má přispět k energetické účinnosti. Členské státy mají do 18 měsíců od nabytí účinnosti GIA přijmout standardy, kterými definují „fibre-ready“ infrastrukturu. Tyto standardy by měly začít platit do 3 měsíců od jejich přijetí (resp. do 21 měsíců od nabytí účinnosti GIA).

BEREC a Evropská komise mají doplnit GIA souborem doporučení. Jedná se o doporučení ke koordinaci stavebních prací, k přístupu fyzické infrastruktuře uvnitř budov a obecné doporučení o přístupu k fyzické infrastruktuře.

Členské státy mají lhůtu do 12. listopadu 2025 pro adaptaci nařízení.

Kategorie:

Parsování CLI v Pythonu po třech letech

St, 05/15/2024 - 14:40

K čemu že je dobré? Malou užitečnou funkcionalitu vtělíte do prográmku za patnáct minut. Pak je nutno nastavit rozhraní, kterým uživatelé budou váš program ovládat. Příjemná a v linuxu základní volba je skrz parametry v příkazové řádce.

program.py --texticek koloušek --cisilko False # zpracování CLI do proměnných v programu

Ouha, naše první volba, vestavěná knihovna argparse, vyžaduje poměrně zdlouhavé psaní. A nejen to, nabýváte s ní pocitu, že vám nespadly klacky pod nohy, ale že se derete křovím. Třeba proto, že vám IDE sotva napoví, které proměnné vystavujete, tudíž z vaší vypiplané dokumentace má profit jen uživatel, nikoli vy. Vám se programování zhoršilo.

Stáda nás kodérů se na tuhle problematiku vrhla, nadějné studentské projekty sbírají hvězdy na githubu a hltíme repozitář Pythonu více či méně domyšlenými pokusy.

Vyšel jsem z vynikající analýzy kolegy Zímy, který podrobně srovnával dlouhou řadu knihoven pro parsování CLI v Pythonu.

Tři roky uplynuly, ale při psaní programů stále zakopávám – v klání o CLI knihovnu je na místě grálu znepokojivé vakuum. Vždy si něco vyberu, ale po každém malém prográmku znovu očkem koukám, jestli se neurodil lepší projekt.

Tak co je nového na trhu CLI?

Jak vypadá trh

Dělí se do dvou proudů – jedny knihovny pracují s parametry funkcí, druhé s atributy třídy. Předhání se sliby o jednoduchosti, někdy však zůstane pouze u README.

Stabilní monolit argparse drží. Originální koncept docopt zažil renesanci. Typer, byť začíná ve svých hello-worldech zlehýnka, lapaje ptáčky, už při prvním help textu pořád pořádně přitvrzuje. Přesně jak psal Zíma, “the annotation turn rather quickly into very complex structure which completely obscures its original purpose”. Nechápu jeho monstrózní popularitu, asi mi něco uniká.

… Čím charakterizovat tuto rešerši? Širší záběr, menší detail, velké a konkrétní požadavky.

Širší záběr – Stanovil jsem si kritéria a prošel dobrých dvacet současných knihoven, v honbě za dokonalým.
Menší detail – Můžu se mýlit, někde jsem dokumentaci prolétl rychle. Nebo jsem nezvládl něco nastavit a v komentářích mne opravíte.
Požadavky – Nesplnil nikdo.

Behaviorální charakteristika jehly v kupce

Hledané řešení nemusí vykazovat nekonečnou robustnost. Stačí, když pokryje běžnou potřebu: předání textu, booleany a pár čísel.

Zjišťoval jsem, že nesmí být ukecané ani na straně programátora ani na straně uživatele – já nehodlám psát proměnnou do parametru, dekorátoru a potřetí znovu do dokumetace. A ani uživatele nebudu nutit, aby psal --flag True, když může napsat --flag.

K čemu jsem došel?

Hlavní požadavky:
  • Snadný start.

Chci doplnit chybějící dílek do skládačky, nikoli se stát závislým na regulích cizího frameworku.

  • Proměnné chci napsat právě jednou.

Některé knihovny nutí definovat proměnnou na více místech. Typicky click, nestačí, že ji mám v parametru, potřebuji ještě zvlášť napsat celý dlouhý dekorátor.

@click.option('--cisilko', help="My number.")
def main(cisilko: int):

  • Připojit k nim datový typ i komentář.

Anotace i nějakou formu docstringy podporují všechny.

  • IDE musí umět napovídat proměnné.

Docopt se báječně píše, ale protože jsou proměnné napsány v dokumentaci, IDE neumí napovědět. Práci, kterou jsem ušetřil, ve složitějším programu si vynahradím stálým nahlížením do zdrojového souboru.

  • K proměnným lze přímo přistoupit přes objekt.

Rozhodl jsem se, že chci konfigurační proměnné spravovat jako atributy třídy. Nechci je mít jako parametry funkce. Protože k takovým se dostanu pouze v dané funkci a jak program roste, vzniká balast, jak si části posílám sem a tam. Chci mít jeden konfigurační objekt, který snadno předám dál.

def main(cisilko: int) # definici pomocí parametru funkce nechci

@dataclass
class Config:
cisilko: int # definici pomocí atributu třídy chci

Vedlejší požadavky:
  • IDE musí umět napovídat proměnné včetně jejich dokumentace.

Řekl bych samozřejmé, pro většinu kandidátů však tato položka byla kamenem úrazu. Aby popis proměnné viděl jak uživatel při volání o pomoc program.py --help, tak programátor při práci, to je přeci základ! Proč má chudák programátor vidět jenom datový typ, když už k němu připsal komentář? Nebo má psát komentář dvakrát, jednou pro sebe a podruhé do dokumentace? Obtíže tkví v trochu nestandardním způsobu, jak Python očekává, že budete dokumentovat proměnné. Nikoli nad nimi, jak dělají spřátelené jazyky (JSDoc, PHPDoc, Javadoc), ani na daném řádku za znakem komentáře, ale v řádku pod.

atribut: str = "Ahoj" # toto není docstring
""" toto je docstring """

Tento spodní řádek zobrazí IDE, které udělá statickou analýzu… obtížně se k němu ale dostane za běhu program sám (aby ho vypsal přes --help). Zmíněný typer například řeší situaci použitím klíčového slova Annotated. Do něj umisťuje další funkce…

texticek: Annotated[str, typer.Option(help="Můj potřebný text.")] = ""

Uživatel nápovědu uvidí… Ale. Dlouze se to píše, špatně se to čte a IDE to stejně v současnosti vůbec nerozklíčuje, takže programátor ostrouhává. (Na téhle podmínce vypadává například jinak slibná dataclass-click.)

  • Jsou měnitelné z konfiguračního souboru.

Považuju za velmi potřebnou vlastnost, aby se při absenci CLI parametrů výchozí hodnoty čerpaly také z konfiguračního souboru. (Protože toto není obtížné doprogramovat, problém jsem zařadil mezi vedlejší požadavky.) Stále však platí hlavní podmínka, abych proměnnou mohl psát pouze jednou. Už jsem párkrát bloudil v programech, kde novou proměnnou bylo nutno přidat na pět různých míst, třeba právě do konfiguračního souboru. Jeho použití má pro uživatele zůstat nepovinné.

  • Blank → True parametry.

Chtěl bych mít parametry s elegantně implicitním True, které by se chovaly takto:

# definuji flag: str|bool = False
--flag # blank nabývá True
--flag "text" # "text"
# jinak nabývá False

Vede to i k 3stavovým booleanům. Ty se hodí uživateli, aby mohl vyjádřit kladnou i zápornou preferenci. (Například – vždycky pošli mail, nikdy neposílej mail.)

# definuji flag: bool|None = None
--flag # blank nabývá True
--flag False NEBO --no-flag # False
# jinak nabývá None

Žel vítězové tento typ zadávání nepodporují, možná mám příliš specifické choutky.

  • Bash completion.

Zrychlit CLI se dá pomocí doplňování. Některé knihovny automaticky přidávají možnost, jak do systému takové doplňování přidat či aspoň vygenerovat správný konfigurační soubor. Takový přístup zjednoduší programátorovi crcání v instalační souboru, bravo!

  • TUI/GUI.

Ještě lepší možnost jak zrychlit CLI, je ho nepoužít. Než nutit uživatele procházet manuály, rovnou poskytnout další rozhraní, kde si vybere přehledněji. Nejlépe plnokrevné okno, automaticky generované.
Ale pozor, tato výhoda se snadno pokazí tím, když se jí všechno podřídí. GUI ano, ale ne na úkor CLI. Windows by mohly vyprávět, jak skvěle se ladí pád aplikace, která nechrlí svůj výstup do terminálu. (Ve Windows žádná aplikace.) Ustrňte se na chvíli nad uživateli, kteří jsou doživotně odsouzeni k nějakému podnikovému klikátku, když už přesně ví, co chtějí, jen jen automatizovat proces nějakým pěkným parametrem z příkazové řádky… Která jauvej! chybí. Protože program CLI nemá.

Jakmile uživatel spustí můj program bez proměnných, ať se zobrazí prostředí, kde uživatel proměnné nakliká. Když nebude GUI, beru zavděk TUI – textovým rozhraním, které vypadá jako okno, ale zůstává v terminálu. Jeho výhodou je snadný provoz na vzdálených strojích bez monitoru. Podmínka je, aby uživatel mohl editovat všechny proměnné naráz, jako by byly na webové stránce. (Neuvažoval jsem projekty typu PyInquirer, které vedou uživatele sekvenčně.) V současnosti existují dechberoucí projekty jako textual či PyTermGUI… jen je spojit s procesem parsování.

V ideálním světě napíšu program a obalím jej nějakou funkcí. Nebastlím dalších deset řádků pro konfigurační soubor. A nebastlím dvacet dalších pro definici CLI. A hlavně nebastlím ani dalších dvě stě kvůli GUI, abych po dvou dnech měl pocit, že jsem datloval nějaké pitomé polofunkční okno, a vůbec ne, co jsem potřeboval. Tohle všechno mi přece zajistí ta jedna dokonalá funkce. Já si zpíchnu rešerši, projdu paklík houfně forkovaných, zralých projektů, které se budou lišit jakousi křížovou výpravou o tom, jestli mezery nebo taby, jestli podle Sphinx, Googlu nebo PEP123456, jestli lintovat Flake8 nebo Black…

Akorát žádná taková funkce pořád ještě není! Nenašel jsem dokonce ani upachtěné pokusy s opuštěnými verzemi jako 0.0.0.2. (S výjimkou nefunkčního oneFace.) Hlavně, že každý druhý nový projekt na webu je další webový framework. Jsem na světě sám?

Favorité – tyro & SimpleParsing

Konec lití horké kaše, můj favorit klání je tyro (pouhých 0.3 k٭ na Githubu).
Tato poměrně neznámá knihovna zvítězila především proto, že bravurně zvládá dokumentaci a je stručná. Ostatní berou popis proměnné buď:

  • Z parametru funkce, kterou přiřadíme: texticek: str = Field(default="", description="Můj potřebný text", cli=('-t', '--texticek'), ...)
  • Z anotace proměnné: texticek: Annotated[str, "..."] = ""

A nutí nás tím psát děsivosti buď před rovnítko, nebo za něj. Tyro ale nějakým kouzlem rozumí docstringu uvedeným pod proměnnou, díky čemuž jej IDE výborně zobrazuje. (Rozumí ale i komentáři na řádku či docstringu třídy.) Tím pádem uživatel o nic nepřijde (krásný help text) a programátor po stručné definici uvidí všechno.

Co je nutné přidat do programu? Jedinou věc: tyro.cli(Config)

Zvládá konverzi do YAMLu (s menší dopomocí programátora). Výběr YAMLu mi vyhovuje, je sice o maloučko složitější než TOML a pomalejší než JSON, ale má úžasnou vlastnost, kdy sestaví objekty přímo z konfiguračního souboru. Bash completion zvládá nativně. A šťavnatí se milou třešničkou – v konfiguraci pomocí dataclass umí udělat první parametr poziční, aby pro něj uživatel nemusel vypisovat program.py --flag run, ale rovnou psal program.py run.

Z vedlejších požadavků nesplňuje akorát mé Blank → True parametry. A GUI – jako nikdo.

Další finalisté – SimpleParsing a tap
  • SimpleParsing 0.3 k٭ – Rozkošná knihovna, velmi podobný přístup jako tyro, téže umí zpracovat docstringy. Z vedlejších parametrů pak nesplňuje především bash completion. Řešení konverze do YAMLu mi vyhovuje víc než v tyro, oproti němu však hůře zvládá například nápovědu --help: nevypočítává enum typy a je bezbarvá. Také iniciaci má delší, vychází více z argparse:
    parser = ArgumentParser()
    parser.add_arguments(Config, dest=“config”)
    # drobnost: musíme anotovat args, aby IDE napovídal proměnné
    args: Config = parser.parse_args().config
  • typed-argument-parser (tap) 0.4 k٭ – Během exportu do JSONu tap připojí několik užitečných parametrů, například řetězec, kterým je možno spustit danou konfiguraci z příkazového řádku. Třetí místo.

Následující projekty nesplňují zřejmě žádný vedlejší požadavek, ale ještě dodržely všechny hlavní. Je pozoruhodné, že mezi ně až patří marginální a neznámé projekty.

  • plumbum 3 k٭ – umí toho mnohem víc (možná je to overhead)
  • pydantic-cli 0.1 k٭ – Kromě hlavních požadavků si poradí s bash completion a konverzí do JSONu (s menší dopomocí uživatele).
  • dataclass-click ∅ – Lepidlo mezi vyzývaným panovníkem clickem a standardními dataclasses.
  • typed-args ∅ – Čtyři roky vyvíjený drobeček. Nezahltí množstvím informací, příklad použití a jede se.
  • jsonargparse 0.3 k٭ – Projekt, který se upřímně srovnává s ostatními a nevychází poraženě.
Ostatní účastníci Dominantní koráby
  • argparse – Pokud proměnné napíšete jen jednou, IDE vám nenapoví.
  • fire 27 k٭ – Nápověda jen pomocí docstringu. Rozšiřuje parametry, nikoli atributy.
  • click 15 k٭ – Nutno proměnné psát 2× jako parametry hlavní funkce i jako položky dekorátoru.
  • typer 15 k٭– Skvělá bash completion. Hezky konvertuje funkci do CLI. Dlouhý zápis. Rozšiřuje parametry, nikoli atributy.
  • docopt 8 k٭, respektive docopt-ng – nejdřív se napíše dokumentace, asi tedy žádné IDE napovídání
  • twisted.python.usage 5k ٭– proměnné jsou jen text. Součástí většího frameworku (lze asi použít samostatně).
Menší bárky s komunitou
  • cement 1 k٭– Celý velký framework, nelze jen tak začít.
  • cleo 1 k٭– Spíše framework než argument parser. Nelze přistoupit přímo k proměnným (volají se přes string jména).
  • clize 0.5 k٭ – Asi nutno psát proměnné 2×.
  • plac 0.3 k٭ – Nutno proměnné psát 2×. Hezky konvertuje funkci do CLI. Rozšiřuje parametry, nikoli atributy.
  • arguably 0.3 k٭ – Rozšiřuje parametry, nikoli atributy.
Necky
  • anyfig ∅ – Nefunguje ani dokumentace.
  • arglite ∅ – Malinký projekt, docela nadějný, ale zřejmě nefunguje ani příklad z dokumentace.
  • recline ∅ – Nutno proměnné psát 2×.
  • cli3 ∅ – Rozšiřuje parametry, nikoli atributy.
Vraky
  • Gooey 20 k٭– Velká naděje pro GUI. Nešel nainstalovat, 2 roky žádná aktivita, zřejmě skončený projekt.
  • clint 0.1 k٭– Čerstvě skončený projekt.
  • interfacy-cli ∅ – Žádná dokumentace. Byl mi doporučen zbytečně.
Kudy plout dál?

Nepustil jsem se snu o automatickém GUI. Musím si vážně napsat všechno sám? To je přeci špatně. Nicméně díky téhle rešerši mi stačilo postavit lávku mezi jedním z favoritů SimpleParsing a tkinterem, výchozím GUI v Pythonu. (Proč ten ošklivý tkinter? Proč ne Qt? Pamatoval jsem si stesky, jak je hrozná migrace z Qt2. A jak je náročná migrace z Qt4. Uplynulo pár let a nalezl jsem stesky na migraci na Qt6. Qt vypadá krásně, ale podepište svůj projekt touhle krví, ne, díky.)

Té lávce říkám mininterface, je to jen proof-of-concept, výkop naslepo. Můžete se po ní také proběhnout. Budeme společně toužit po budoucnosti programování a příjemnějších interfacech.

Či se blýská jasná perla v moři projektů, které jsem nezohlednil, jako jsou glacier, clipstick, cyto, clippy, cliche? Kde je váš grál? Ach, poučte mne.

Kategorie:

Nový HSM při podpisu kořenové zóny

Ne, 05/12/2024 - 19:20

Na konci minulého měsíce se konala poměrně zásadní ceremonie podpisu kořenové zóny DNS. To, že šlo o něco mimořádného, bylo možné vyčíst už z toho, že poprvé v historii byla naplánována na dva dny. Hlavní příčinou byl přechod na zcela novou řadu HSM (hardware security module). To dosavadní se již bohužel přestálo vyrábět a do budoucna by již nebylo možné hardware obnovovat. Nicméně s touto výměnou bylo pochopitelně spojeno mnoho dalších činností.

Den 1 – Upgrade OS, podepsání ZSK, první test klíču RKSH, obnova SMK

Ceremonie začala jako obvykle poměrně rutinně. Nejprve bylo nutné vyndat veškeré vybavení z bezpečných sejfů, tedy v tomto případě HSM 7E, notebook, na kterém se ceremonie technicky provádí, medium s operačním systémem. Držitelé klíců (CO – Crypto Officers) otevřeli své schránky a z nich vyndali kryptografické tokeny. Poté byl nastartován podepisovací notebook. Ačkoliv je tento popis poměrně stručný, už jen tato operace trvala cca hodinu, protože je vždy nutné se pečlivě ujistit, že nedošlo k manipulaci s materiálem. Kontrolovala se čísla všech zařízení, bezpečnostních sáčků (TEB – Tamper Evident Bag) apod.

Následoval krok, který obvykle není nutný – byl proveden upgrade OS, což je běžná distribuce Linuxu obohacená o pár skriptů. Obraz byl pochopitelně vystaven v předstihu na Internetu a každý si mohl distribuci zkontrolovat. Že s tímto OS nebylo manipulováno, se ověřuje pomocí kryptografického otisku (SHA-256).

Po nabootování tohoto nového OS byl proveden úplně standardní podpis ZSK klíčů, tentokrát pro období 1. 7. 2024 až 10. 10. 2024. Dobrá zpráva tedy je, že alespoň až do té doby bude Internet fungovat :-). A 17. 7. 2024 bude další ceremonie na západním pobřeží a tamní kolegové jistě tuto mez opět posunou. Tímto se již čas konání ceremonie přehoupl přes dvě hodiny a dočkali jsme se krátké přestávky.

Po ní přišel první krok, který dosud v historii nenastal. Kvůli změně HSM byli na této ceremonii přítomni i držitelé záložních klíčů (RKSH – Recovery Key Share Holders). Naposled byli všichni přítomni pouze na úplně první ceremonii v roce 2010. Proto byl proveden test, zdali by obnovovací procedura stále fungovala. Pro test bylo zvoleno HSM 5E. V tomto HSM byl smazán podepisovací klíč, který byl vygenerován při ceremonii číslo 49 a který nakonec nebude využit právě z toho důvodu, že byl vygenerován na již neperspektivním HSM. Jako první test byl vygenerován nový SMK (Storage Master Key), což je klíč, který umí rozšifrovat zálohy provedené po jeho vytvoření. To bylo i otestováno a tento klíč nerozšifroval zálohu provedenou při poslední ceremonii. Po té byla stejná procedura provedena se SMK, které přinesli RKSH a tato obnova byla úspěšná. Po 14 letech zafungovala obnovovací procedura, což je skvělá zpráva. Mimochodem, jeden z těch držitelů záložního klíče, kteří se vrátili po 14 letech, je i můj bývalý kolega Ondřej Surý, kterého jsem opět velmi rád potkal. Každopádně po tomto testu byly pro jistotu vytvořeny nové SMK klíče a doufejme, že už nikdy nebudou použity. Tyto klíče byly opět předány všem RKSH a staré byly bezpečně zničeny.

Nakonec bylo opět veškeré vybavení bezpečně uloženo a první část ceremonie byla po cca pěti hodinách ukončena.

Den 2 – nové HSM, nový klíč

Druhý den začala ceremonie výrazně dříve než je zvykem, aby bylo možné všechny kroky stihnout. Opět bylo z trezoru vyzvednuto potřebné vybavení. To se lišilo od prvního dne, protože původní staré HSM zůstala v trezoru, ale byla vyzvednuta nové HSM (Thale Luna USB HSM), a to pro ceremonie východního i západního pobřeží. Mají označení HSM 9E, HSM 10E, BHSM 1E, BHSM 2E, BHSM 1W, a BHSM 2W. Písmeno ‚E‘ se používá pro východ, ‚W‘ pochopitelně pro západ. A ‚B‘ označuje záložní HSM. Tyto HSM nemohou generovat klíče, ale mohou již vygenerované klíče zálohovat a podepisovat. A pochopitelně držitelé klíčů (CO) nešli do svých bezpečnostních schránek, protože jejich stávající klíče jsou použitelné pouze u starých HSM.

Figure 1: Starý a nový HSM

Po nabootovaní začalo inicializase HSM 9E. Toto byla poměrně dlouhá pasáž, snad mi laskavý čtenář promine, že ji nebudu popisovat do úplných podrobností. Pro budoucí ceremonie bylo inicializováno 140 security tokenů. Každý CO (7+7 osob) má v držení osm z nich, tedy celkem 112 a RKSH mají po čtyřech tokenech, tedy celkem 28. Tokeny pro RKSH byly opět předány v TEB, obdobně byly zabaleny sady tokenů pro CO na západním pobřeží. Jeden z CO ze západního pobřeží byl přítomen a na vše dohlížel. Po tomto maratónu byla přestávka na občerstvení účastníků.

Figure 2: 140 cryptotokenů

Následoval velmi významný bod a to generování nového KSK. To se povedlo a nový klíč má tag „Kmyv6jo“. Tento klíč by měl být podle plánu publikován v kořenové zóně ve čtvrtém čtvrtletí tohoto roku a aktivní pro podepisování by měl být použit zhruba dva roky poté. Mimochodem diskutovala se i možnost, že by konečně došlo ke změně podepisovacího algoritmu, ale aby nebylo těch změn najednou příliš mnoho, tak i nový klíč používá stále algoritmus číslo 8, tedy RSA/SHA-256. Totiž změna podepisovacího algoritmu je mnohem složitější operace než pouhý rollover KSK, ale o tom někdy jindy.

Figure 3: Nový KSK vygenerová

Obsah HSM 9E byl následně kopírován na další HSM. Postupně šlo o BHSM 1E, BHSM 2E, BHSM 1W, BHSM 2W a nakonec HSM 10E. Jak vidíte, budoucí generování KSK se bude i nadále provádět na východním pobřeží. Západní ceremonie jsou vybavené pouze pro podpis ZSK. Všechny HSM byly postupně uloženy do TEB a ceremonie byla naposledy přerušena kvůli životním pochodům zúčastněných.

V poslední fázi ceremonie bylo opět vše vypnuto, zabaleno. CO uložili své nově nabyté tokeny do svých bezpečnostních schránek. A konečně byla ceremonie ukončena. Tato druhá část trvala téměř osm a půl hodiny, a to se počítá pouze čas vlastní ceremonie, nikoliv vstup, výstup, kontrola v telehouse apod.

Figure 4: Závěrečné foto prvního dne

Na závěrečném debriefingu znělo hodně chvály na kolegy z IANA, kteří měli přípravu ceremonie na starosti. Oproti připravenému scénáři bylo jen minimum výjimek a považte, že nevyplněný scénář pro oba dny měl 143 stran. Vše proběhlo zcela hladce a my jsme připraveni na druhou rotaci KSK klíče (poprvé došlo ke změně typu HSM).

Kategorie:

Krátké vlny: Supervolební rok a operace Neviditelný inkoust

Čt, 05/09/2024 - 06:00

Volby do Evropského parlamentu jsou přede dveřmi a politické oddělení Evropského parlamentu pro občanská práva a ústavní záležitosti zveřejnilo začátkem dubna studii „Odolnost demokracie a evropských voleb vůči novým výzvám“. Studie identifikuje výzvy, které ohrožují odolnost demokracie a volebních procesů v EU a snaží se zmapovat politické a legislativní reakce na ně před letošními volbami.

Studie samozřejmě upozorňuje na dezinformační kampaně, financování politických stran a lobbistických skupin, kybernetické útoky a další formy probíhající hybridní války ze třetích zemí. Jako doporučení k řešení těchto identifikovaných problémů studie doporučuje plánovat a navrhovat klíčová opatření dostatečně dopředu, nejlépe na začátku volebního období, s cílem poskytnout dostatečný prostor pro diskuzi, dále přidělit zvláštní portfolio „demokracie“ jednomu z budoucích místopředsedů nové Evropské komise. Autoři studie také navrhují, aby poslanci Evropského parlamentu byli pod dohledem politických skupin a případné trestné činy nebo činy neetického charakteru byly okamžitě prošetřeny.

Připomeňme, že Evropský parlament a Rada v březnu tohoto roku schválili Nařízení o transparentnosti a cílení politické reklamy. Nařízení nabývá účinnosti 9. října 2025, kromě definic a ustanovení o zákazu diskriminace pro přeshraniční politickou reklamu (čl. 5 odst. 1), která jsou účinná od 9. dubna 2024.

Nařízení má za cíl stanovit harmonizovaná pravidla týkající se transparentnosti reklamní kampaně v online i offline prostoru, používání technik cílení a doručování reklamy v online prostředí a samozřejmě obsahuje povinnost pro členské státy stanovit orgán dohledu.

Bude to v supervolebním roce stačit? Co se odehrává na temné straně Síly? Podle Microsoftu a jeho zprávy se zahraniční škodlivé vlivy v amerických prezidentských volbách rozjíždějí pomaleji než v letech 2016 a 2020 a to zejména kvůli sporným primárkám. Ruské úsilí se zaměřuje na podkopávání americké podpory Ukrajině, zatímco Čína se snaží využít polarizace společnosti a oslabit důvěru v demokratické systémy USA. Zpráva uvádí, že se zatím nepotvrdilo podezření, že američtí voliči budou zaplaveni deepfake obsahem generovaným pomocí AI. AI nástroje jsou primárně používány pro zvyšování dosahu manipulativních příspěvků.

Neviditelný inkoust (Invisible Ink) je název ruské dezinformační kampaně před americkými prezidentskými volbami. Kampaň primárně využívá síť falešných zpravodajských webů a účtů na sociálních sítích (zejména X). Tyto účty mají uměle navyšovat dosah dezinformačních příspěvků pomocí odkazů v komentářích u nesouvisejících příspěvků.

Účty využívané v této kampani se vydávají za konzervativní voliče a opět posilují odpor proti financování vojenské pomoci Ukrajině. V minulosti se ruské informační operace zaměřovaly na obě strany politického spektra, aby podnítily existující společenské rozpory. Autoři zprávy odhadují, že tato operace se zaměřuje na konkrétnější segmenty amerických voličů před prezidentskými volbami v roce 2024 s cílem propagovat kandidáty a politiky příznivé pro ruské vojenské cíle na Ukrajině.

Úniky osobních údajů ruských občanů donutily ruský národní CERT (NKCKI) spustit Утекли ли Ваши данные? Проверьте, ruskou obdobu známé služby „Have I been Pwned“, která má uživatelům umožnit ověření, zda jejich hesla nejsou součástí nějakého známého úniku dat. Využili byste tuto službu pod hlavičkou ruského úřadu? Já radši zůstanu u Sentinel Password Checkeru, kteří implementovali experti z Turris týmu sdružení CZ.NIC.

Kategorie:

Krátké vlny: Děti online edice 2024

Čt, 04/25/2024 - 07:30

Před 10 lety si britský regulátor Ofcom zadal první studii s názvem Children’s Media Lives a od té doby nám každý rok přináší vhled do chování dětí na internetu, konzumace digitálního obsahu i popis hlavních trendů. A právě nejen popis aktuálního chování dětí na internetu, ale i jejich reakcí na změny v mediálním prostředí a kolem nich, činí z letošní zprávy velmi zajímavé čtení.

V roce 2014 zásobovala internet videa, kde se dostatečně otrlí jedinci polévali studenou vodou na podporu výzkumu ALS, hashtagy označující selfie bez makeupu na podporu výzkumu rakoviny, nebo selfie, které rozbilo Twitter. Dnes dominují zrychlená videa s extrémními výzvami, uzavřená komunikace se zacílenou skupinou, nárůst sledování ASMR videí a domácí diagnostika ADHD.

Děti a online komunikace

Zpráva konstatuje, že v současné době jsou děti opatrnější v tom, co veřejně sdílejí na internetu, sociální interakce se primárně soustředí v chatovacích aplikacích a hrách. Ve Velké Británii je dominantní aplikací pro přímou interakci s přáteli a vrstevníky Snapchat. Důvodem, proč se děti zdráhají sdílet více svůj vlastní obsah s větším okruhem lidí je zřejmě obava z negativního hodnocení.

„Lituji, že jsem to zveřejnila. Je to krkolomné…prostě divné tancování a tak. Jen mluvím na kameru a blábolím. Dokonce i věci, které jsem zveřejnila vloni… myslím, že spousta z nich je „cringey“, všechny ty lips-synchronizace. Viděla jsem některá videa, která jsem si uložila do mobilu a říkám si „proč jsem to zveřejnila?“ – Suzy, 12

„Na TikToku jsem spíše uzavřenější. Nic nezveřejňuji, protože mám pocit, že se za měsíc nebo dva ohlédnu a budu litovat, že jsem to zveřejnila.“ – Taylor, 15

To ale neznamená, že svůj vytvořený obsah nesdílí vůbec. Pokud se tak děje, využívají k tomu z jejich pohledu dočasné kanály typu „storýček“ na Instagramu, nebo selektivně vybrané skupiny přátel. Některé děti uvedly, že rádi prostřednictvím dočasných příspěvků informují své přátelé o aktuálním dění v jejich okolí, nebo zajímavých událostech v jejich životě, ale nemají potřebu to zveřejňovat jako trvalý příspěvek. Případně přesdílí cizí příspěvek s „kódovým vzkazem“ s nadějí, že objekt zájmu pochopí vyslaný kód.

„Někdy úmyslně znovu sdílím příspěvky, a vím, že to dělá spousta holek… úmyslně sdílý věci, aby je určití lidé viděli… Na svém TikToku jsem sdílela snímek obrazovky [příspěvku někoho jiného] o tom, že mám ‚standardy‘, protože kluk, se kterým teď chodím a jezdíme na rande a tak, je hodně stydlivý, nemá moc sebevědomí. Pozvala jsem ho na první rande, a dala jsem si za úkol, že ho už oficiálně znovu zvát nebudu. Chci, aby to udělal on. Takže se snažím, aby bylo co nejzřejmější, že se mi líbí. Ani nevím, jestli se na to [Taylor repost] dívá, jestli vůbec ví, jak na to koukat, ale je to tam pro případ, že by se na to podíval.“ – Taylor, 15

Méně účastníků průzkumu zveřejňuje a vytváří své příspěvky s cílem zvýšit počet svých sledujících a zaujmout případně obchodní značky pro případný sponzoring. Jeden z účastníků průzkumu uvedl, že začal psát častěji o neúspěších než úspěších poté, co si všiml, že negativní příspěvky přináší více laiků a zobrazení.

Autoři zprávy mají za potvrzené zjištění z minulých let, kdy si děti začaly více uvědomovat, jak vypadají ony a jejich aktivity na internetu a pečlivě kontrolují, kdo z jejich přátel (pokud vůbec) vidí jejich příspěvky.

Děti a média online

Od roku 2014 se mediální prostředí v širším slova smyslu velmi změnilo a autoři zprávy sledovali, jak děti na tyto změny reagují a jak se jim přizpůsobují.

Děti z průzkumu zřídka sledovaly televizi v přímém přenosu, místo toho si pouštěly obsah na vyžádání, obvykle o samotě na svých vlastních osobních zařízeních (většina dětí vlastní svůj mobil, polovina také svůj notebook). Menšina dětí, která sledovala v televizi lineární vysílání, to dělala ve společnosti ostatních členů domácnosti.

Většina dětí strávila v minulém roce na svém zařízení 3-6 hodin denně, a to hlavně v aplikacích pro sociální média (nejpopulárnější byly TikTok a Snapchat, oblibu mají také Shorty na Youtube). Pár dětí uvedlo, že mají také účet na Instagramu a Facebooku, ale v porovnání s TikTokem, Snapchatem a YouTube je využívají výrazně méně.

Průměrný čas strávený u obrazovky napříč aplikacemi a službami, Zdroj: Children’s Media Lives 2024, Ofcom 2024

Rádio poslouchá většina dětí jen s rodiči (ale vnímají to spíše jen jako ruch na pozadí), velmi málo dětí uvedlo, že poslouchá audioknihy nebo podcasty.

Děti a informace online

Děti ve studii primárně spoléhají na online zdroje informací, online hledají pomoc s domácími úkoly. Méně se zapojují do zpravodajství a aktuálního dění, většinou tak činí prostřednictvím sociálních sítí. Zpravodajský obsah většinou konzumují ve formě videoklipů sestříhaných a doplněných komentáři a reakcemi z různých online obsahů, často bez původního kontextu. Pozitivním zjištěním je, že část dětí – respondentů se snaží zjistiti, jakým informacím sociálních sítích mohou a nemohou věřit. Někteří však byly primárně ochotné projevit (minimálně) solidaritu s názory, které vyjadřovali jejich kamarádi, aniž by rozuměli dané problematice. Hmmm, to ale děláme skoro všichni (když si nedáme pozor).

Jako příklad kanálu, který komentuje aktuální dění zpráva uvádí Mohammeda Hijaba (1,7 mil. odběratelů) a Ali Dawaha (1,18 mil. odběratelů), kteří většinou komentují aktuální převážně náboženská nebo politická témata. Velkou část jejich obsahu tvoří reakční videa, ve kterých ukazují klipy jiných lidí a na ty pak reagují. Často používají provokativní výrazy, autoritativní hlas, kterým se snaží zvýšit důvěryhodnost svých názorů.

„Vítejte zpátky…v místě…kde ponižujeme, kde odhalujeme, kde grilujte, kde vysvětlujeme, kde intelektuálně dekapitujeme, intelektuálně deptáme a rozvracíme naše oponenty…“ Mohammed Hijab, Bin Shapiro Refuted by Ben Shapiro

Zpráva dále uvádí, že děti se zaměřují při sledování videa primárně na lifestylová témata – móda, make-up, mentální zdraví, diagnostika ADHD, cvičení, zdravý životní styl, motivační rady. Pro vybuzení zájmu jsou videa stále více kratší, v rychlém střihu, hlasitější (i při meziročním srovnání).

Videa kanálu „Den ze života“ (12,1 mil. odběratelů) a „Připrav se se mnou“ (1,4 mil. odběratelů) vtáhnou diváky do života a rutiny influencerů. Ve videích „Připrav se se mnou“ tvůrci obvykle popisují, jaké produkty péče o pleť a make-up používají a jaké oblečení si ten den mohou obléknout. Obsah „Den v životě“ ukazuje divákům různé události ze dne influencera. Na YouTube bývají videa delší, často kolem 20 minut, zatímco na TikToku jde obvykle o velmi krátké úryvky ukazující jeden konkrétní okamžik.

Jedno z dětí uvedlo, že na TikToku sleduje tvůrce Frankieho (238 tisíc odběratelů), zpracovatelé zprávy se na něj následně zaměřili. Zjistili, že spousta jeho videí se zaměřuje na rady ohledně zdraví a sociálních situací. Například v některých videích radí, jak vyrůst, což podle něj zahrnuje protahování, pití více vody a konzumaci doplňků podporujících růst (želé bonbóny). A světe div se, na další stránce spojené s tímto účtem Frankie prodává tyhle „želé dobroty“.

Zdroj: Children’s Media Lives 2024, Ofcom 2024

Pro zaujetí svého publika angažují tvůrci obsahu vystupující s dramatickým a přehánějícím projevem, témata se soustředí na extrémní výzvy, ve hře jsou velké finanční částky, cílem je šokovat, střih je rychlý a trhaný, tvůrce používá detailní záběry, rychlé nájezdy a všudypřítomný ruch. Náhledy k videím jsou navrženy s maximálním cílem zaujmout, postavy na nich mají často vypoulené oči, karikaturní zjev, doprovázené clickbaitovým titulkem nebo „příkazem“ „koukejte až do konce“. Jako příklady děti ve zprávě uvádí kanály MrBeast (244 mil. odběratelů), The Royalty Family (23,2 mil. odběratelů) nebo Ben Azelart (25,3 mil.odběratelů).

Stejně jako v loňském roce děti také sledovaly videa s dvojitým rozdělením obrazovky, tedy dvě různá videa a letos bylo jedno dítě v průzkumu pozorováno při sledování obrazovky rozdělené na třetiny. Od loňského roku, TikTok zavedl u videí tlačítko pro rychlé přetáčení.

Oproti trendu zrychlování se staví sledování ASMR videí. ASMR, pokud tento termín neznáte, je zkratka pro „autonomous sensory meridian response“, tedy „autonomní smyslová meridiánová reakce“, fyziologická reakce na nejrůznější podněty. Často dlouhá videa (jeden příklad za všechny třeba zde) zahrnují poklepávání prsty, šeptání, šplouchání vodou nebo také zdařilé imitace poplivání a rozmazávání slin po displeji. Na popularitě také získávají AMSR videa s role play obsahem (kontrola na letišti, lékařské vyšetření apod.). Někteří tvůrci těchto videí se stylizují do role „kamarádů“, točí POV videa, kde sledujícího jakoby hladí po vlasech, uklidňují nebo uspávají. Zpráva uvádí, že dalším výzkumem bylo zjištěno, že během několika kliků se může sledující dostat k obsahu, které je zaměřeno na více tělesná nebo sexuální témata.

Jak se děti chovají v online světě bývá často jen odrazem nebo reakcí na chování rodičů nebo spolužáků. Aktivita britského regulátora se snaží toto chování a trendy zmapovat popisným a neodsuzujícím způsobem. Vlastně podobným způsobem, jakým bychom mohli komunikovat s dětmi o jejich online aktivitách, povídat si s nimi o tom, co na mobilu dělají a nebát se rozšiřovat si vlastní obzory v nových zákoutích internetu. A v případě nezákonného obsahu nebo kybergroomingu využít aktivity sdružení CZ.NIC STOPonline pro jejich nahlášení, nebo další podpůrné materiály Safer internet centra.

Kategorie:

Výstupy veřejného testu aukcí domén

Út, 04/16/2024 - 10:04

V neděli skončil veřejný test aukcí domén, který jsme před týdnem spustili. Splnil většinu našich očekávání a já si zde dovolím shrnout hlavní výstupy. V prvé řadě musím poděkovat za účast všem aktivním dražitelům, kteří se spolu s námi veřejného testu účastnili. Celkem jich bylo více než šedesát a podařilo se tak docílit simulace reálného provozu. Náměty na vylepšení, které nám byly zaslány jsme si zařadili na seznam věcí k řešení, tedy moc děkujeme i za tuto konstruktivní zpětnou vazbu. Během testování hlavní funkce systému obstála, v průběhu testu jsme nenarazili na nic fatálního, co by samotný průběh aukcí narušilo. Většina hlášených nedostatků má svoje řešení v optimalizaci nebo opravách frontendu.

Velmi důležitým závěrem veřejného testu je fakt, že uživatelé bez problémů pochopili logiku procesu aukcí. Možná až na jednu výjimku a to jsou automatické příhozy, které umožňují šetřit dražiteli čas. Nastaví si svoje maximum (které je neveřejné) a nechá systém automaticky reagovat na příhozy jiných, až do úrovně zadaného maxima. Zde jsme objevili dva drobné nedostatky. Jednak bychom chtěli vylepšit zobrazování všech příhozů (tedy i těch automatických) v historii a za druhé musíme lépe popsat mezní situaci, kdy se další dražitelé svými příhozy dostanou k maximu průběžnému leadera aukce blíže než je minimální příhoz. V takovém případě totiž systém přihodí částku nižší než je minimální příhoz, v krajním případě i nulovou. (pokud další dražitel trefí svým příhozem přesně maximum průběžného leadera aukce). Dotazy směřovaly také ke lhůtám a časům, které jsou zasílány v notifikačních e-mailech. Část jich byla negativně ovlivněna tím, že jsme lhůty pro veřejný test zkrátili a notifikace tak úplně přesně neplnily svůj účel. Do e-mailů ale určitě doplníme přesné časy (tam, kde pouhý datum nedává smysl) a také budeme komunikovat nejzazší termín požadované akce (zaplacení, registrace) a ne počet dní, které zbývají.

Byť primárním cílem veřejného testu nebyla registrace vydražených domén, i toto jsme samozřejmě vyzkoušeli. Ukázalo se, že registrátoři (neprověřovali jsme všechny) zatím nepodporují rozšíření, které jsme přidali k příkazům check_domain a create_domain, resp. k jejich návratovým kódům a tím pádem není u nich registrace domény s přednostním právem možná. S registrátory ale aktivně komunikujeme a dle jejich reakce je zřejmé, že potřebné změny do svých systémů většina z nich včas zapracuje. Nabídli jsme jim také, že na naše stránky umístíme odkaz a/nebo návod, které výherce v aukci nasměrují na správné místo v systému registrátora, aby u nich mohl svoji výhru snadno uplatnit.

Další komentáře padaly k možnosti přihlášení. Vzhledem k osvědčenému přihlašování pomocí MojeID (případně EU eID) jsme opravdu neuvažovali jinou možnost, je zdarma dostupná pro občany i firmy z EU. Pro systém aukcí opravdu potřebujeme ověřené identity, v Doménovém prohlížeči navíc autentizace pomocí MojeID a EU eID již byla implementována, tak proč vymýšlet znovu kolo? Nespornou výhodou MojeID je, že u velké části registrátorů se s ním mohou přihlásit také a vzhledem k provázanosti s registrem domén mají uživatelé díky MojeID ihned k dispozici také identifikátor kontaktu, na který provedou registraci domény. Prostředky NIA nemůžeme použít z důvodu legislativního omezení. Jakmile toto omezení padne, což by se mohlo stát v rámci implementace NIS2, podporu dalších prostředků NIA bychom samozřejmě rádi zavedli. Možnost využití EU eID byla jedním z výsledků evropského projektu RegeID. Využití komerční služby BankID brání zejména nezanedbatelné finanční náklady, které by s jeho využitím byly spojeny. Informace k možnostem přihlášení určitě doplníme do Nejčastějších dotazů na webu aukcí domén a budou obsahovat i specifický návod, jak má postupovat držitel EU eID. Mimochodem i takový dražitel se ve veřejném testu objevil, stejně jako jedna ověřená právnická osoba. To je také jedna z výhod nasazení služby MojeID, je to jediný u nás dostupný systém, který nabízí využitelnou ověřenou identitu právě i právnické osobě.

Možná proto, že jsme při běhu veřejného testu nenarazili na výkonnostní problémy, nepadl na toto téma žádný dotaz. Zátěž, kterou generovali účastníci veřejného testu však byla jen zlomkem té, co jsme změřili jako limitní při výkonnostních testech systému před jeho spuštěním. Právě díky výstupům z performance testů jsme nastavili limit 10 požadavků za sekundu pro jednoho uživatele. Tento limit je na hony vzdálený tomu, co běžný uživatel zvládne vygenerovat a odolnost infrastruktury aukcí toto opatření výrazně zvýší. Systém by tam měl bez problémů obsloužit řádově stovky dražitelů (myslíme si, že jich reálně spíše budou malé desítky) nad stovkami domén v aukci (reálně se do aukcí dostane 200 až 300 domén denně). A když jsem u těch čísel, ptali jste se, o kolik domén nebo jak často probíhají doménové souboje. Realita je taková, že o více než 10 procent domén nějaká forma souboje probíhá. Například data za třetí kvartál 2023 říkají, že do jedné minuty po smazání se zaregistrovalo půl procenta domén, do pěti minut více než tři procenta a do jednoho dne něco přes devět procent domén. S tím, že úspěšnost opakovaných registrací domén se mezi jednotlivými zájemci velmi lišila a více než dvě třetiny takových registrací končily v rukou jen několika málo držitelů. A právě toto nerovnoměrné rozložení bylo také hlavním důvodem, který vedl k úvahám o zavedení aukcí. Věříme, že právě díky aukcím budeme moct změnit i systém volných requestů registrátorů, ale s tím chceme počkat až potom, co aukce domén začnou fungovat v produkci.

Protože ve veřejném testu zcela chyběly obrazovky, které by zobrazovaly anonymizované výsledky aukcí (ano, v produkci budou), nabízím zde stručné shrnutí. Tím spíš, že vybrané finanční prostředky jsme slíbili z veřejného testu aukcí zaslat na dobročinné účely dle výběru výherců. V době vydání tohoto blogpostu ještě neuplynuly všechny lhůty na platby opakovaných kol, nicméně vězte, že se vybralo 32 537 Kč od čtrnácti různých dražitelů. To si myslím, vzhledem k tomu, že se dražilo 24 domén/předmětů, jasně vypovídá o tom, že došlo k daleko spravedlivějším rozdělení získaných domén/předmětů než je tomu dnes. Vybraná částka, stejně tak počet dražitelů, mě velmi mile překvapily.

Závěrem ještě několik úvah do blízké budoucnosti. Předpokládáme, že další rozvoj systému pro aukce domén bude významně ovlivněn jeho uživateli, s cílem přidávat případně funkce, které mohou uživatelům pomoci zlepšit uživatelský komfort. Nicméně v blízké době neuvažujeme zavést možnost vložit do aukce domény, které jsou někým aktuálně drženy. Systém by to technicky zvládl, ale tato změna by znamenala poměrně rozsáhlé změny v Pravidlech aukcí a registrací domén obecně a bylo by ji třeba nejdříve řádně promyslet. Na druhou stranu, některé novinky už máme těsně před realizací a tak se o nich krátce zmíním. Jde například o možnost nastavit si v předstihu maximum u domény, která se teprve do aukce připravuje nebo o možnost viditelného příhozu vyššího než je velikost příhozu minimálního. Dále určitě budeme z aukcí domén zveřejňovat statistiky a uvažujeme také o možnosti nechat si zasílat seznam domén, které půjdou do aukce e-mailem. Aktuálně probíhá ladění systému, plánujeme ještě jednu sadu výkonnostních a penetračních testů a proto budou zejména funkční části systému aukcí, které jsou zejména v Doménovém prohlížeči, pro veřejnost odstaveny.

Kategorie:

Krátké vlny: Bruselská kovářova kobyla a co čeká nový Europarlament

Čt, 04/11/2024 - 08:20

Kovářova kobyla už opět chodí bosa. Současná Evropská komise, která v posledních 5 letech vydala tolik regulačních pravidel pro digitální svět jako nikdy předtím nyní dostala pokárání od Evropského inspektora ochrany údajů. Ten zjistil, že komise používáním služby Microsoft 365 porušila několik klíčových pravidel ochrany údajů, včetně pravidel týkajících se předávání osobních údajů mimo EU, resp. Evropský hospodářský prostor („EHP“). Evropský inspektor ochrany údajů se proto rozhodl nařídit Komisi (s účinností od 9. prosince 2024), aby pozastavila veškeré toky údajů vyplývající z používání služby Microsoft 365 společnosti Microsoft a jejím přidruženým společnostem a dílčím zpracovatelům nacházejícím se v zemích mimo EU, resp. EHP.  Seznam nápravných opatření, která musí Komise přijmout, aby zajistila soulad s GDPR, zahrnuje provedení mapování předávání údajů, které identifikuje předávání osobních údajů do třetích zemí, a zajištění souladu prostřednictvím smluvních ustanovení a technických opatření.

No škoda, že neexistuje nějaký Evropský inspektor pro kybernetickou bezpečnost, který by zkontroloval Evropskou komisi i po „kyberbezpečnostní stránce“. Mohl by jí poradit, aby si zapnula DNSSEC na svých serverech. Přitom doména „europa.eu“ DNSSEC zapnutý má. Kovářova kobyla…

Obr. 1: Výsledek testu (ne)funkčnosti DNSSEC na webu Evropské komise, FenixChecker ze dne 10. dubna 2024

Obr. 2: Výsledek testu (ne)funkčnosti DNSSEC na webu Evropské komise, Cloudflare Radar ze dne 10. dubna 2024

 

Na konci března zveřejnila agentura ENISA shrnutí své studie „Foresight Cybersecurity Threats for 2030„, která obsahuje hodnocení nových kyberbezpečnostních hrozeb předpokládaných do roku 2030. Pro ENISU zůstávají významné hrozby typu kompromitace dodavatelského řetězce závislostí na softwaru a pokročilé dezinformační kampaně. Hrozby typu „nedostatek kvalifikovaných pracovníků“, nebo „přeshraniční poskytovatelé služeb jako jediné místo selhání“ mají rostoucí tendenci. Jako nové hrozby se na seznamu agentury ENISA objevují „zneužití neopravených a zastaralých systému v rámci zahlceného mezisektorového ekosystému“ a „fyzický dopad přírodních/enviromentálních disrupcí na kritickou digitální infrastrukturu“. Do TOP 10 se také probojovala hrozba „ztráty soukromí a vzestup autoritářství postavené na digitálním sledování“.

Evropská komise také zveřejnila akt v přenesené pravomoci týkající se první fáze zavedení společného unijního systému hodnocení datových center. S tímto nařízením počítala směrnice o energetické účinnosti, která chce zlepšit energetickou účinnost ve všech odvětvích, včetně odvětví informačních a komunikačních technologií. Nařízení se vztahuje na „provozovatele datových center s informačními technologiemi“, která mají spotřebu energie alespoň 500 kW. Tato datová centra budou povinna sdílet určité klíčové ukazatele výkonnosti a reportovat je do připravované evropské databáze datových center do 15. září 2024, poté do 15. května 2025 a následně každý další rok. Klíčové ukazatele výkonnosti mají měřit „spotřebu energie, využití energie, nastavené teploty, využití odpadního tepla, spotřebu vody a využití obnovitelných zdrojů energie datových center“. Úplný podrobný seznam klíčových ukazatelů výkonnosti a ukazatele udržitelnosti datových center včetně metodiky výpočtu jsou uvedeny v příloze tohoto aktu. Informace sdělené do evropské databáze budou primárně k dispozici Komisi a členským státům na jejich území, zveřejňovat se budou agregované údaje. Rada EU a Evropský parlament nyní mají dva měsíce na posouzení textu a případně vyslovili své námitky.

Na závěr tohoto mixu novinek z Bruselu malá volební agitka. Ve dnech 6. – 9. června proběhnou volby do Evropského parlamentu, ve kterých se bude volit přes 700 europoslanců, kteří budou dalších pět let rozhodovat v rámci spolurozhodovací procedury také o pravidlech pro digitální svět. Jejich rozhodování, byť se nám může zdát vzdálené a zmatené, ovlivňuje fungování našich firem a našich životů. V posledních volbách bylo 61 % europoslanců „nováčků“, tedy nebyli součástí předchozího složení Evroparlamentu. Proč je důležité nehodit svůj hlas do koše? Už nyní se ví, že v rámci revize právních předpisů bude v následujícím pětiletém mandátu Evropský parlament spolurozhodovat o:

  • v roce 2024 mu přistane na stůl revize GDPR, Nařízení o teroristickém on-line obsahu, Směrnice o digitálním obsahu,
  • v roce 2025 se zahájí přezkum části Aktu o digitálních službách (DSA), Kodexu pro elektronické komunikace, DGA, Nařízení o geoblockingu,
  • v roce 2026 čeká revize směrnici o audiovizuálních službách, DMA, Nařízení o eIDAS a
  • v roce 2027 (už) revize NIS2, DSA, Aktu o kybernetické odolnosti a Nařízení DORA.

Infografika Evropské volby 2024

 

Kategorie:

Sentinel View report – prosinec 2023

Po, 04/08/2024 - 15:04

Hned na začátku měsíce (přesněji 6. prosince) jsme zaznamenali rekordní počet útoků z Rumunska. Napočítali jsme jich za pouhý den 52 576 312. Na předních příčkách našeho žebříčku útočníků, můžeme Rumunsko vidět i po zbytek měsíce.

Tento měsíc jsme zaznamenali zvýšenou aktivitu na portu odpovídajícím Steamu. Heslo, které je psáno malými písmeny, bylo v prosince zastíněno jinými variantami, z nichž možná nejzajímavější jsou kombinace s roky přidanými k Pa55word (Pa55word2011, nebo Pa55word2016). Přímo se nabízí k vytváření konspiračních teorií.

Kategorie:

Otestujte s námi aukce domén

Po, 04/08/2024 - 12:01

Na konci minulého roku jsem v závěru svého článku o novinkách ve FREDovi slíbil, že se příště rozepíšu více o připravovaných aukcích domén. To „příště“ nastalo právě teď, protože systém pro tuto revoluční novinku se připravuje ke spuštění, aktuálně dobíhají jeho poslední testy a ladění. A protože je jeden z testů nyní i veřejně přístupný, je skutečně nejvyšší čas podělit se o více detailů. Věřím, že se pak do veřejného testu aukcí domén zapojíte a osobně si vyzkoušíte, jak budou aukce domén od května tohoto roku fungovat. Fakt, že svou aktivní účastí ve veřejném testu aukcí domén můžete vydražit nějaký z nabízených reklamních předmětů (jsou mezi nimi dokonce 2 routery Turris!) a že výtěžek aukce budeme směřovat na charitu dle výběru vítězných dražitelů, určitě k testovací aukci přiláká i další váhající zájemce.


Tento blogpost nemá být suchým právnickým textem, takže hned na začátku podotýkám, že pro zjednodušení v tomto textu zkracuji správný pojem „jméno domény“ na „doména“. Mým cílem je popsat aukční rozšíření pro .CZ domény spíše zjednodušeně, kdo chce přesné definice, nechť studuje pravidla, na které se níže také odvolávám.

Co vlastně zahájení aukcí domén pro CZ doménu znamená? Běžného provozu domén se nijak nedotknou, avšak doménám se změní konec jejich životního cyklu. Po spuštění systému aukcí domén do produkce (v plánu od 1. května 2024) se nově nebude doména po zrušení nebo zániku registrace uvolňovat k opětovné registraci, ale bude zařazena na veřejný seznam domén k aukci. V tomto seznamu (interně mu také říkáme aukční sklad domén:)) zůstane doména 15 dnů a pak bude předána do aukčního systému, který je integrován do Doménového prohlížeče. Tam budou probíhat aukce domén, jejichž předmětem bude přednostní právo na registraci domény, nikoliv doména samotná. Vítěz aukce pak toto přednostní právo může uplatnit u jakékoliv registrátora, kde si doménové jméno zaregistruje na identifikátor držitele, který v dané aukci zvítězil. Registrace na jiný identifikátor nebude technicky možná. Nic ale samozřejmě nebrání provést po registraci domény změnu jejího držitele.

Dražiteli mohou být fyzické osoby, které mají účet MojeID ověřen pro účely elektronické identifikace (napojen na systémy státní správy) nebo které disponují elektronickou identitou jiného členského státu Evropské unie dle nařízení eIDAS případně právnické osoby, které mají validovaný kontakt MojeID. Využití ověřených identit v systému aukcí domén má tři hlavní výhody. Z první má prospěch samotný dražitel, který, pokud se chce aukce účastnit, nemusí skládat žádný kredit. Budeme totiž vědět, kdo je aktivním účastníkem aukce a u koho případně vymáhat pohledávku nebo komu zabránit v dalším dražení, pokud by aukce mařil. Druhou výhodu již využili registrátoři, protože pro podporu aukcí domén nemuseli provádět žádné úpravy svých systémů. Registrace domény na konkrétního držitele je jednou ze základních funkcí, kterou registrátoři nabízejí dlouhá léta a držitelé domén jí využívají. Třetím benefitem je, že tímto způsobem zvýšíme podíl skutečně dobře ověřených držitelů domén v registru, což je naší dlouhodobou snahou a bude to také vyžadováno směrnicí NIS2.

Vyvolávací cena (cena prvního příhozu) je 100 Kč. Dražitelé mohou přihazovat pomocí minimálních příhozů, které se zvyšují s aktuální vítěznou částkou, případně mohou příhozem nastavit svoje maximum (které je ostatním skryté) a aukční systém pak za ně přihazuje optimální vítězné minimum sám. Boj s potenciálním aukčním rivalem vás tedy nemusí stát bolavý ukazováček nebo rozbité tlačítko myši. Aukce probíhají každý den od 12:00 do 21:00 s tím, že pokud dojde k příhozu v posledních pěti minutách aukce, je proces aukce automaticky prodlužován na dalších pět minut. Toto opatření je zde proto, aby nemohlo dojít k přehození „na poslední chvíli“, aniž by měl původní průběžný vítěz aukce čas zareagovat. K takovémuto prodlužování aukcí ale nebude docházet do „nekonečna“, ale jen do 9:00 následujícího dne.

Pokud doména projde aukcí bez jediného příhozu, je po skončení aukce uvolněna k registraci (v náhodný okamžik následujícího dne stejně jako dnes). V případě, že byla doména vydražena, ale buď nedošlo k úhradě za přednostní právo na registraci domény nebo nebylo tohoto přednostního práva využito, je doména po vypršení příslušných lhůt vrácena zpět do aukce. Aukční systém navíc automaticky zabraňuje přístupu k doménovým aukcím těm dražitelům, kteří porušují podmínky aukcí domén. Pravidla také omezují počet aukcí, ve kterých se lze aktivně účastnit na 50. Pokud by limit na počet aukcí někomu vadil, což si myslíme, že pro drtivou většinu dražitelů nenastane, lze jej zrušit složením kauce.

Systém aukcí domén je detailně popsán na informačním webu aukce.nic.cz. Zde jsou umístěny i dokumenty Pravidla aukcí domén, Provozní řád aukcí domén (aktuálně jejich návrhy) a Podmínky veřejného testu aukcí domén, které jsou ze své podstaty preciznější, co se týká popisu skutečného fungování. Prostudování a souhlas s těmito pravidly je nutnou podmínkou účasti v aukci, tedy skuteční zájemci o získání zajímavých doménových jmen, se jejich studiu (nebo předstírání studia) nevyhnou.

A proč jsme k zavedení doménových aukcí přikročili? Jednoznačným impulsem bylo zjištění, že opakované registrace domén jsou, i přes technicko-ekonomická opatření, dostupné bohužel velmi omezenému počtu subjektů. Případný zájemce z řad běžných uživatelů je pak plně odkázán na služby těchto subjektů a protože se na tento stav začaly objevovat stížnosti, rozhodli jsme se přijít se systémem, který bude poskytovat férovější a rovnější přístup k opakovaným registracím domén všem zájemcům. Inspirací nám byl doménový registr v Estonsku, který již několik let aukce domén úspěšně provozuje.

Závěrem se vrátím k tomu, co je dostupné již dnes, tedy ke zmíněnému veřejnému testu aukcí domén. Jeho cílem je v dostatečném předstihu představit, jak budou aukce domén probíhat. A to nejen díky dostupným návrhům podmínek fungování, ale zejména díky možnosti si aukci domén prakticky vyzkoušet. Pro tento účel jsme tedy zaregistrovali (a následně smazali) 24 domén, které odpovídají propagačním předmětům a tyto domény jsme předali aukčnímu systému ještě před tím, než je bude získávat z registru domén. Testovací aukce probíhají také již v Doménovém prohlížeči, dostupné jsou pro výše uvedené ověřené identity a celý systém funguje podle pravidel uvedených v detailních podmínkách na webu aukce.nic.cz. Oproti plánovanému produkčnímu běhu má ale veřejný test zkrácen termín pro úhradu za přednostní právo na registraci domény (ze sedmi na dva dny), případné opakování aukce proběhne pouze dvakrát (namísto aktuálně plánovaných pěti opakování v ostrém provozu) a pro naplnění vítězství v aukci není třeba uplatnit přednostní právo na registraci domény. Vítěz aukce po úhradě vítězné částky a výběru charity, na kterou obnos zašleme (Člověk v tísni, Linka bezpečí, ADRA, Centrum Paraple, Post Bellum), poštou obdrží vydražený předmět.

Dalším cílem veřejného testu aukcí domén je samozřejmě získání podnětů k jeho dalšímu rozvoji, aby mohl dobře sloužit jeho uživatelům. I díky semináři s našimi členy, kde jsme aukce domén představovali, evidujeme několik vylepšení, které do systému zavedeme buď ještě před ostrým spuštěním nebo pak později v jeho dalších verzích. Jde například o možnost snížení dražitelova maxima, aktuálně lze pouze zvyšovat. Zvažujeme také možnost zavedení viditelného příhozu vyššího než minimální příhoz nebo o možnost zadat si svoje maximum u domény ještě dříve, než aukce začala. Zcela určitě vyladíme notifikační e-maily, zlepšíme ovládání notifikací a zobrazení chybových hlášek v Doménovém prohlížeči. Budeme velmi rádi, pokud se nám aktivní účastníci veřejného testu se svými nápady na vylepšení ozvou na adresu aukce@nic.cz a do předmětu uvedou „Veřejný test aukce domén“. Děkujeme!

Kategorie:

Krátké vlny: Vliv velkých obsahových platforem a další kyberbezpečnostní střípky

Čt, 03/28/2024 - 07:20

Život je pestrý a stále se něco děje. Zatímco v české Poslanecké sněmovně poslanci, regulované osoby, zástupci NÚKIB, ČTÚ a různorodých lobbistů debatují, zda firmy dostatečně chrání svoji kritickou infrastrukturu  a zda má stát své regulační úsilí ještě zvýšit (záznam ze semináře by měl být k dispozici na webu sněmovny), David Cameron, britský ministr zahraničí, upozorňuje na škodlivou kybernetickou činnost organizací a jednotlivců napojených na čínský stát, která je zaměřena na demokratické instituce a poslance.

V tiskovém prohlášení Cameron odhalil dva případy kompromitace čínskými aktéry. V letech 2021 a 2022 se jednalo o kompromitaci systémů britské volební komise. Druhý zveřejněný případ ukazoval na aktivity aktéra APT31, Advanced Persistent Treat Group, která v roce 2021 prováděla průzkumné aktivity proti britským poslancům. V Česku 4. dubna proběhne zasedání Legislativní rady vlády, a následně dostane návrh zákona k projednání vláda (ve znění připomínek Legislativní rady vlády). Čeští poslanci tak v brzké době budou mít možnost ovlivnit podobu českého kybernetické zákona a rozhodnou, zda nový kybernetický zákon bude solidním právním základem pro kybernetickou ochranu nebo zda se bude jednat jen o vykleštěnou podobu Potěmkinovy vesnice. Do té doby by aspoň web sněmovny mohl podporovat protokol IPv6…

Výsledek testu pro web psp.cz

Tento týden hostil BEREC, sdružení evropských regulátorů v elektronických komunikacích, 12. Stakeholder Forum. Jedná se o akci, během níž mohou dotčené subjekty, které se pohybují v telekomunikačním rybníku, diskutovat společně regulační a jiné výzvy, které se dotýkají evropských elektronických komunikací. Program a vystoupení má pod sebou většinou nadcházející předseda BERECu, protože hlavní osou akce je prezentace aktivit BEREC pro příští období.

Při příležitosti konání Stakeholder Fora byla podepsána revidovaná pracovní dohoda mezi BEREC a ukrajinským regulátorem NCEC (celým názvem Ukrajinská národní komise pro státní regulaci elektronických komunikací, rádiového frekvenčního spektra a poskytování poštovních služeb). Revidovaná dohoda zajišťuje, že ukrajinský národní regulační orgán se bude i nadále aktivně podílet na každodenní práci BEREC, včetně práce jeho odborníků v pracovních skupinách BEREC.

Zatímco Evropská komise vůči firmám Apple, Alphabet a Meta spustila oficiální vyšetřování kvůli dodržování nařízení o digitálních službách (DMA), dopisem ze dne 29. ledna požádala BEREC o stanovisko k návrhu referenční nabídky pro interoperabilitu aplikace WhatsApp. Dne 7. března 2024 BEREC přijal stanovisko, které zaslal komisi a současně zveřejnil. Obecně by Meta, jako gatekeeper WhatsAppu, měla zajistit interoperabilitu alespoň následujících základních funkcí (pokud je poskytuje i svým vlastním koncovým uživatelům):

a) zasílání textových zpráv end-to-end a sdílení jakýchkoli připojených souborů (obrázků, videí, hlasových zpráv nebo jakýchkoli jiných) a to do šesti měsíců od určení gatekeeperem (pro komunikaci mezi dvěma jednotlivými koncovými uživateli) a do dvou let pro uživatele v rámci komunikace ve skupinách,

b) čtyři roky po určení správce by měla být zajištěna interoperabilita i pro hlasové hovory a videohovory.

BEREC uvádí, že z diskuze s potenciálními zájemci vyplynulo, že tito zájemci považují některé další funkce, jako je indikace psaní, potvrzení o doručení, reakce, nálepky, emotikony, za součást základních funkcí, které umožní efektivní konkurenci alternativních poskytovatelů služby. Jako zásadní považují někteří alternativní také funkci nativní podpory více zařízení včetně synchronizace mezi jednotlivými zařízeními (mobil, notebook) a jednotlivými operačními systémy (iOS, Android, Windows). WhatsApp je v současné době limitován pro současné využívání jednoho účtu až na čtyřech koncových zařízeních a to samé by chtěli alternativci.

Na základě očekávání koncových uživatelů a s cílem podpořit zavádění interoperability BEREC věří, že podpora více zařízení je velmi žádoucím prvkem pro konkurenceschopnost na trhu. Když gatekeeper sám neposkytuje určitou funkci způsobem, jakým ji poskytují alternativci, DMA nevyžaduje, aby gatekeeper změnil svou vlastní službu a sladil ji se službami zájemců o interoperabilitu. Sdružení BEREC však zdůrazňuje, že tato funkce je k dispozici pro uživatele aplikace WhatsApp, a proto by mohla být implementována i v interoperabilní prostředí.

Další téma, které vyjádření BEREC řeší, je „zjistitelnost“ uživatele pro ostatní účastníky služby. Zde BEREC navrhuje, aby tato funkce byla pro uživatele opt-in. Stanovisko se dále vyjadřuje k dalším technickým funkcím a bude zajímavé sledovat, zda Evropská komise bude všechna tato zjištění akceptovat a požadovat je po Metě.

BEREC také zahájil dvě veřejné konzultace k návrhům zpráv, které se týkají trendů v elektronických komunikací a v digitálním světě.

První návrh zprávy se týká služeb cloud computingu a edge computingu. Cílem zprávy je objasnit dopad cloud computingu v digitálním odvětví, zejména v odvětví elektronických komunikací, a jeho regulační důsledky. Z různých úhlů pohledu popisuje fungování trhů s cloudovými službami, interoperabilitu, nápravná opatření v oblasti přepínání a vzájemné působení a konvergentní trendy mezi cloudem a elektronickými komunikacemi.

Druhý návrh se týká vlivu velkých poskytovatelů obsahu a aplikací na sítě a služby elektronických komunikací. Velcí poskytovatelé obsahu a aplikací (CAP) tradičně poskytují služby na straně klienta a serveru internetového ekosystému. V posledních desetiletích se však velké CAP staly významnými aktéry internetového ekosystému a stále více investují do vlastní infrastruktury a poskytují služby úzce související se sítěmi elektronických komunikací a službami elektronických komunikací, nebo poskytují tyto služby přímo svým uživatelům. Mezi typické příklady patří sítě pro doručování obsahu (CDN), zavádění rozsáhlých mezinárodních sítí (např. podmořských kabelů a satelitních konstelací), virtualizované síťové služby, cloud computing a další.

Obrázek: Části internetového ekosystému, BEREC

Zpráva uvádí, že trh komerčních služeb CDN v Evropě se v současné době soustřeďuje kolem několika málo hráčů (Akamai, Amazon CloudFront, Cloudflare), protože jsou zapotřebí značné investice, aby bylo možné získat potřebné geografické pokrytí a kapacitu pro vstup na trh. Očekává se, že tato koncentrace poroste a v příštích letech se výrazně zvýší. Dříve se velké CAP spoléhaly na služby komerčních poskytovatelů CDN, ale v posledních letech stále častěji zavádějí vlastní infrastrukturní sítě CDN.

Obrázek: TOP CDN pro HTML dotazy na mobilu, BEREC

Vztahy mezi velkými poskytovateli obsahu a operátory mohou mít několik podob:

a) CAP a operátoři nabízejí doplňkové služby v rámci své symbiózy (typicky ISP poskytuje službu přístupu k internetu a poskytovatel obsahu streamingové video služby), v některých státech v některých tržních oblastech to vede až k otevřené spolupráci,

b) CAP a operátoři jsou přímými konkurenty (hlasové služby, IM, platformy pro stravování videa vs lineární televize a IPTV, cloudové služby, CDN, podmořské kabely, LEO satelity, privátní 5G sítě a mimo Evropu i výstavba optických sítí).

Závěrem BEREC uvádí, že připravovaná revize regulačního rámce poskytuje příležitost k přizpůsobení regulačních pravidel těmto novým byznysovým trendům a věří, že se případné problémy vyřeší v rámci revize stávající regulace.

Připomínky k návrhům zpráv lze zasílat do 24. dubna 2024.

Linka STOPonline.cz nahlásila v loňském roce 944 závadových domén zobrazujících dětskou nahotu či pornografii do mezinárodního systému ICCAM, který je spravován asociací INHOPE. Z toho bylo 69 případů označeno jako self-generate content, což znamená, že obsah byl vytvořen samotnými dětmi. Článek Kateřiny Vokrouhlíkové se zamýšlí nad možnými příčinami, které děti k tomuto chování vedou. A je to také jedno z témat, které se Linka STOPonline.cz snaží podchytit v rámci Dne bezpečnějšího internetu, který se každoročně pořádá 8. února společně s partnery z Ministerstva vnitra a Policie. A právě Policie pro posledních organizačních změnách posiluje svoje schopnosti pro boj s kybernetickou kriminalitou (kriminalita směřující proti informačním a komunikačním technologiím (cyber-dependent crime) a s ostatní kriminalitou páchanou v kyberprostoru (obecná a hospodářská kriminalita páchaná v kybernetickém prostoru (cyber-enabled crime). O tom informuje vládu v předkládané Koncepci rozvoje schopností Policie České republiky v oblasti trestné činnosti páchané v kyberprostoru. Držíme palce.

Obrázek: Rozložení registrované trestné činnosti spáchané v kyberprostoru za rok 2022, Ministerstvo vnitra

 

Kategorie:

Nesmazatelná digitální stopa dětí je jen jedna strana problému

St, 03/27/2024 - 11:00

Linka STOPonline.cz nahlásila v loňském roce 944 závadových domén zobrazujících dětskou nahotu či pornografii do mezinárodního systému ICCAM, který je spravován asociací INHOPE. Z toho bylo 69 případů označeno jako self-generate content, což znamená, že obsah byl vytvořen samotnými dětmi. S překvapením se setkáváme s drastickým nárůstem, který je oproti roku 2022 více než šestinásobný, a signalizuje alarmující trend v oblasti online zneužívání dětí.

Už nyní je jisté, že rok 2024 bude v počtu hlášených případů self-generate contentu ještě horší. Jen za první dva měsíce tohoto roku bylo přes linku STOPonline.cz do systému ICCAM nahráno více než 400 závadových URL označených jako self-generate content. Tento strmě stoupající trend ukazuje, jak velkému riziku spojenému s využíváním internetu jsou děti v on-line prostředí vystaveny.

(Celkový pokles řešených incidentů je oproti předchozímu roku způsoben modernizací a částečnou automatizací používaných nástrojů. Tato modernizace umožňuje lepší identifikaci duplicitních hlášení a také snižuje jejich vícenásobné zpracování a zařazování do statistik. Celkový počet přijatých hlášení před deduplikací dosáhl v roce 2023 čísla 4342.)

Fotografie, které bývají na odkazech zveřejňovány, jsou si velmi podobné. Nezletilé dítě, velmi často ve věku okolo 10 let, ale výjimkou nejsou ani děti mladší, začnou pózovat v sexuálně vyzývavých polohách, které někde muselo vidět. Jedná se o klasické pornografické pózy i výrazy v obličeji s vyplazeným jazykem, prstem v ústech a očima koukajícíma vzhůru. Děti se nahlášených materiálech svlékají a ukazují na fotoaparát svoje odhalené genitálie v různých polohách, v předklonu, v leže s roztaženýma nohama. Následuje masturbování a vkládání různých předmětů (kartáček na zuby, hřeben, jelení lůj, tužku…) do pohlavních orgánů. Není asi třeba důrazně upozorňovat na to, že i obyčejná tužka může v ženských pohlavních orgánech způsobit drobná zranění a trhlinky či zanesení infekce. Množství nalezených materiálu tohoto druhu je alarmující!

Otázkou zůstává, jaký mají děti k pořizování takových snímků důvod. Existuje několik možných příčin, proč vytváří materiál, který potom často bývá zneužit:

Nedostatek vědomostí o rizicích: děti jsou nedostatečně informované o nebezpečí sdílení osobních informací nebo fotografií on-line a neuvědomují si rizika s tím spojená.

Snaha o interakci a uznání: děti chtějí získat pozornost, uznání nebo přátelství on-line od svých vrstevníků nebo dokonce od dospělých, a proto se pokouší sdílet intimní nebo osobní materiál.

Manipulace: někteří dospělí mohou využívat děti a mladistvé k tomu, aby vytvářeli a sdíleli nevhodný materiál, buď přímou manipulací nebo vydíráním.

Nedostatek dohledu: pokud děti mají přístup k digitálním zařízením bez dohledu nebo kontroly ze strany rodičů nebo opatrovníků, mohou se pokoušet vytvářet a sdílet obsah, aniž by byly řádně prověřeny důsledky a rizika jejich jednání.

Je důležité, aby rodiče a vzdělávací instituce poskytovali dětem dostatečné vzdělání a podporu ohledně bezpečného používání internetu a sdílení obsahu on-line. Díky takovéto asistenci mohou děti lépe porozumět rizikům spojeným s tvorbou a sdílením osobního materiálu a lépe se chránit před možným zneužitím a vykořisťováním. Proto se linka STOPonline.cz snaží děti v této oblasti vzdělávat už na prvním stupni základních škol.

Kategorie:

Krátké vlny: Právo šifrovat ve světle rozhodnutí Evropského soudu pro lidská práva

Čt, 03/14/2024 - 07:15

Dne 13. února 2024 rozhodl Evropský soud pro lidská práva (ESLP) ve věci Podčasov proti Rusku ve prospěch šifrované komunikace.

Pan Podčasov, aktér tohoto případu a uživatele služby Telegram, podal stížnost proti údajnému narušení svého soukromého života a soukromé komunikace. Platné právo Ruské federace totiž ukládá poskytovatelům prostředků pro internetovou komunikací (subjektům, které zajišťují fungování informačních systémů a programů pro elektronická zařízení za účelem příjmu, přenosu, doručování anebo zpracování elektronických komunikací na internetu), jako je Telegram, specifické povinnosti.

Jednou z těchto povinnost je „uchovávat na ruském území veškeré údaje o komunikaci vytvořené uživateli internetu po dobu jednoho roku a obsah veškeré komunikace po dobu šesti měsíců“, včetně veškerých informací nezbytných k dešifrování komunikace, a na požádání poskytnout tyto údaje orgánům činným v trestním řízení a bezpečnostním službám. Jinými slovy, obsah (= odposlechy) vaší komunikace má být uchováván šest měsíců a provozní a lokalizační data jeden rok. V případě, že se jedná o šifrovanou komunikaci, musí poskytovatel služby současně umožnit oprávněným orgánům přístup k prostředkům pro dešifrování komunikace.

Dne 12. července 2017 požádala Federální bezpečnostní služba (FSB) společnost Telegram Messenger LLP o poskytnutí technických informací, které by usnadnily „dešifrování komunikace od 12. července 2017 v souvislosti s šesti uživateli Telegramu, kteří byli podezřelí z činností souvisejících s terorismem.“ FSB požadovala, aby společnost Telegram předložila mimo jiné IP adresu, číslo portu TCP/UDP a „údaje týkající se šifrovacích klíčů, které by byly „nezbytné a dostatečné“ pro dešifrování komunikace. Tyto informace měly být do 19. července 2017 zaslány na e-mailovou adresu FSB.

Společnost Telegram Messenger LLP odmítla splnit příkaz ke zveřejnění s odůvodněním, že je technicky nemožné jej provést, aniž by se vytvořila zadní vrátka, která by oslabila šifrovací mechanismus pro všechny uživatele služby Telegram. Vysvětlila to zejména tím, že šest uživatelů uvedených v příkazu k odhalení mělo zapnutou funkci „secret chat“, a proto používali šifrování end-to-end.

Následně se rozeběhl proces sankčních řízení, kdy byla společnost Telegram pokutována okresním soudem a všechny opravné prostředky soudy vyšší instance odmítly. Současně společnost Telegram s dalšími třiceti čtyřmi osobami napadly příkaz k poskytnutí informací u soudu. Žalobci tvrdili, že poskytnutí šifrovacích klíčů, jak požaduje FSB, by umožnilo dešifrování komunikace všech uživatelů. Porušilo by proto jejich právo na respektování soukromého života a soukromí jejich komunikace. Po obdržení šifrovacích klíčů by FSB měla technickou možnost přístupu ke všem komunikacím bez soudního povolení vyžadovaného podle ruského práva.

V březnu 2018 okresní soud stížnost odmítl jako nepřípustnou, neboť dospěl k závěru, že napadeným příkazem k poskytnutí informací nebyla dotčena práva žalobců. Rozhodnutí o nepřípustnosti neobsahovalo žádné další odůvodnění. Obdobně bylo rozhodnuto o odvolání i kasační stížnosti.

ESLP potvrdil argument, že poskytnutí dešifrovacích klíčů orgánům činným v trestním řízení a bezpečnostním službám by ohrozilo soukromou komunikaci všech uživatelů, nejen toho, o kterého se orgány zajímají. Právní režim upravující přístup k uchovávané internetové komunikaci v Rusku podle ESLP „neposkytoval přiměřené a účinné záruky proti svévoli a riziku zneužití“ ze strany donucovacích orgánů. ESLP proto dospěl k závěru, že nerozlišující uchovávání údajů s nedostatkem procesních záruk je v rozporu s právem na respektování soukromého a rodinného života, jak je stanoveno v Evropské úmluvě o lidských právech. ESLP rovněž zdůraznil, že šifrování „pomáhá občanům a podnikům bránit se proti zneužívání informačních technologií, jako jsou hackerské útoky, krádeže identity a osobních údajů, podvody a neoprávněné zveřejňování důvěrných informací“.

ESLP se ve svém posuzování opíral mimo jiné o Zprávu Úřadu vysokého komisaře OSN pro lidská práva o právu na soukromí v digitálním věku ze dne 4. srpna 2022, která považuje „šifrování za klíčovým prostředek pro zajištění soukromí a bezpečnosti online a za nezbytné pro ochranu práv, včetně práva na svobodu názoru a projevu, svobodu sdružování a pokojného shromažďování, bezpečnost, zdraví a nediskriminaci. Šifrování zajišťuje, že lidé mohou svobodně sdílet informace bez obav, že se o jejich informacích dozvědí jiné osoby, ať už státní orgány nebo kyberzločinci. Šifrování je nezbytné, pokud se lidé mají cítit bezpečně při svobodné výměně informací s ostatními o celé řadě zkušeností, myšlenek a identit, včetně citlivých zdravotních nebo finančních informací, poznatků o genderové identitě a sexuální orientaci, uměleckém vyjádření a informací v souvislosti s postavením menšin. V prostředí s převažující cenzurou umožňuje šifrování jednotlivcům zachovat si prostor pro držení, vyjadřování a výměnu názorů s ostatními. V konkrétních případech nemohou novináři a obhájci lidských práv vykonávat svou práci bez ochrany důkladného šifrování, které chrání jejich zdroje a ukrývá je před mocnými aktéry, kteří jsou vyšetřováni. Šifrování poskytuje ženám, které čelí zvláštním hrozbám sledování, obtěžování a násilí na internetu, důležitou úroveň ochrany před nedobrovolným zveřejněním informací. V ozbrojených konfliktech je šifrování zpráv nepostradatelné pro zajištění bezpečné komunikace mezi civilisty.“

K tomu zpráva uvádí, že během dvou měsíců po začátku ozbrojeného agrese Ruska na Ukrajině v únoru 2022 vzrostl na Ukrajině počet stažení aplikace pro šifrované zprávy Signal o více než 1 000 procent ve srovnání s předchozími měsíci.

Samozřejmě, že šifrování nepoužívají jenom „good guys“, ale také kriminální živly. Jak však upozornil zvláštní zpravodaj pro prosazování a ochranu práva na svobodu názoru a projevu, regulace šifrování představuje riziko ohrožení lidských práv. Vlády usilující o omezení šifrování často nedokázaly prokázat, že omezení, která by zavedly, jsou nezbytná k naplnění konkrétního legitimního zájmu, a to vzhledem k dostupnosti různých jiných nástrojů a přístupů, které poskytují informace potřebné pro konkrétní účely vymáhání práva nebo jiné legitimní účely (například analýza metadat, lépe zorganizovaná policejní činnost nebo posílená mezinárodní policejní spolupráce).

Jak dále uvádí ESLP, dopad většiny omezení šifrování na právo na soukromí a související práva je navíc nepřiměřený a často postihuje nejen osoby, na které se omezení vztahuje, ale i celou populaci. Přímé zákazy ze strany vlád nebo zejména kriminalizace šifrování nemohou být ospravedlnitelné, protože by znemožnily všem uživatelům v rámci jejich jurisdikce bezpečný způsob komunikace. Systémy úschovy klíčů mají značná zranitelná místa, protože jsou závislé na integritě úložného zařízení a vystavují uložené klíče kybernetickým útokům. Navíc povinná zadní vrátka v šifrovacích nástrojích vytvářejí závazky, které dalece přesahují jejich užitečnost s ohledem na konkrétní uživatele označené za podezřelé z trestné činnosti nebo bezpečnostní hrozby. Ohrožují soukromí a bezpečnost všech uživatelů a vystavují je nezákonným zásahům nejen ze strany států, ale i nestátních subjektů, včetně zločineckých sítí.

Dodatek k doporučení Výboru ministrů Rady Evropy o ochraně lidských práv v souvislosti se službami sociálních sítí nabádá členské státy Rady Evropy, aby ve spolupráci se soukromým sektorem a občanskou společností přijaly vhodná opatření, aby zajistily ochranu práva uživatelů na soukromý život, a to zejména tím, že se zapojí do spolupráce s poskytovateli sociálních sítí, aby mimo jiné zajistili použití nejvhodnější bezpečnostní opatření na ochranu osobních údajů před nezákonným přístupem třetích stran. To by mělo zahrnovat opatření pro end-to-end šifrování komunikace mezi uživatelem a webovou stránkou služby sociální sítě …

Christopher Wylie ve své knize Mindf*ck pléduje za právo na soukromí. Proč?

„Rozvoj člověka vyžaduje přítomnost soukromí a volného prostoru, v nichž můžeme experimentovat, hrát si, kutit, mít tajnosti, překračovat tabu, porušovat své sliby a dumat o své budoucnosti bez důsledků pro náš běžný život, dokud se sami nerozhodneme změny zveřejnit. Historie nás učí, že osobní a sociální osvobození začíná v soukromí. Nedokážeme se posunout dál z našich dětských let, minulých vztahů, omylů, starých postojů, starých těl či dřívějších předsudků, pokud nejsme pány svého soukromí a osobního rozvoje. Nemáme svobodu volby, když jsou naše volby monitorovány a omezovány. Nemůžeme růst a měnit se, když jsme svázáni s naším bývalým já nebo s tou osobou, za jakou jsme se považovali, či s tou, jakou jsme předstírali, že jsme. Když existujeme v prostředí, které nás nepřetržitě pozoruje, všechno si pamatuje a škatulkuje nás podle podmínek nebo hodnot, na něž nemáme vliv a o nichž nic nevíme, pak nás naše osobní data mohou svazovat s minulostí, od níž jsme se chtěli odpoutat. Soukromí je nepostradatelnou podmínkou pro naše rozhodování, kým chceme být a jak toho dosáhnout. Soukromí není důležité proto, abychom se v něm ukrývali – soukromí je důležité pro rozvoj osobnosti a svobodu rozhodování a jednání.“

V březnu roku 2024 je aplikace Telegram Messenger je v Rusku stále dostupná a funkční…

 

Obrázek: Vygenerováno Midjourney

Kategorie:

Krátké vlny: Bílá kniha o budoucnosti evropské digitální infrastruktury a staré nápady

Čt, 02/29/2024 - 07:20

Dosluhující Evropská komise spustila minulý týden další kolotoč, který na dlouhé týdny a měsíce zaměstnaná lidi, kteří se živí výkladem a aplikací pravidel v digitálním prostoru. Po slibech daných minulý rok komise zveřejnila tzv. balíček ke konektivitě, který obsahuje dva nelegislativní dokumenty:

Bílou knihu k zajištění potřeb evropské digitální infrastruktury a
Doporučení k bezpečné a odolné podmořské kabelové infrastruktuře.

Balíček je vyústěním snah současné komise (a zejména komisaře Bretona) ohledně uchopení budoucnosti telekomunikačního sektoru s cílem změřit sektoru a vládám členských států teplotu před předložením revize současného regulačního rámce pro elektronické komunikace. Připomeňme, že komisař Breton po dvouletém snažení narazil na odpor mezi experty i ministry se svou snahou prosadit tzv. „fairshare“ platbu, kterou by vybraní poskytovatelé obsahu platili podle blíže neurčeného mechanismu evropským (asi ne všem) operátorům. Po veřejné konzultaci, která proběhla minulý rok, se nakonec současná komise rozhodla ponechat nový legislativní návrh až po evropských volbách. Zároveň je ale třeba říct, že s ohledem na evropské volby by žádný legislativní návrh komise v současném složení nestihla protlačit a fakticky „balíčkem ke konektivitě“ lehce snižuje manévrovací prostor nové EK.

Bílá kniha k zajištění potřeb evropské digitální infrastruktury

Bílá kniha zdůrazňuje význam vysokorychlostních sítí, včetně sítí nových generací, pro rozvoj dalších technologií i pro celospolečenský růst. Dokument (opět) poukazuje na nezbytnost investic ve výši stovek miliard EUR k zajištění vedoucího postavení evropského průmyslu. EK na několika místech v dokumentu nepokrytě přiznává, že EU ujíždí vlak a že dosavadní opatření pro podporu investic do telekomunikací nebyla úspěšná.

Jen připomeňme, že současný evropský regulační rámec, Evropský kodex pro elektronické komunikace, který byl součástí strategických aktivit Evropské komise s nálepkou „Jednotný digitální trh“, měl ambici posílit investice a odstranit fragmentaci. Evropská komise si zejména hodně slibovala o tzv. dohodách o spolupráci mezi jednotlivými investory a wholesale-only operátorů. V nově vydané Bílé knize však konstatuje, že tyto vize naplněny nebyly.

K řešení stávající situace EK představuje možné scénáře, jakým by se budoucnost digitálních sítí mohla ubírat. Za účelem vytvoření vhodných podmínek, včetně těch finančních, pro konektivitu nové generace avizuje EK navržení zcela nových pilotních projektů, případně pokračování již zahájených iniciativ v rámci existujících finančních nástrojů (Horizont Evropa, Program Digitální Evropa, a Nástroj na propojení Evropy (CEF2)).

A komise opět sahá do šuplíků s názvem „100x odmítnuté bláznivé nápady“ a navrhuje opatření k posílení jednotného trhu, která se týkají větší harmonizace při správě a přidělování spektra (např. zavedení obdobného mechanismu jako v případě notifikace/veta při určování relevantního trhu pro ex ante regulaci), zavedení principu země původu v případě přeshraničního poskytování služeb elektronických komunikací (obdobně jako je to nyní u služeb informační společnosti) a podpora pro ustanovení panevropského operátora. Jakékoliv odevzdávání pravomocí ke správě spektra nutně ale naráží na odpor většiny členských států – Brusel nedisponuje žádnou „Agenturou ke správě spektra, finanční příjem z aukcí vždy potěší národní ministry financí a i na mezinárodní úrovni například v rámci Mezinárodní telekomunikační unie, kde se rozhoduje o budoucím využívání kmitočtových pásem, jsou členské státy svébytnými jednotkami a zbytek světa popravdě moc neví, proč by se měl se zástupci Evropské komise vůbec bavit (diplomaticky řečeno).

Z dalších naznačených opatření, u kterých komise testuje podporu sektoru a členských států je určení data pro „copper switch-off“, což by mělo podpořit rozvoj optické infrastruktury a odklonu od regulace ex ante, byť by národním regulátorům měl zůstat tzv. 3K test, který umožňuje při tržním selhání definovat relevantní trh a na něm provádět regulační opatření.

A bohužel nechybí ani tolik oblíbený „level playing field“ pro všechny aktéry digitálního ekosystému. Je jasné, že ač je „fairshare“ mrtev, bude Komise navrhovat narovnání podmínek fungování na trhu mezi jednotlivými aktéry ať už to bude znamenat cokoliv. Třeba i možnost rozšíření financování povinností v univerzální službě na všechny hráče digitálního ekosystému, nikoliv jen na operátory.

K materiálu EK zahájila veřejnou konzultaci, která potrvá do 30. června 2024.

Doporučení k bezpečné a odolné podmořské kabelové infrastruktuře

Cílem doporučení je zejména podpora a modernizace podmořských kabelů prostřednictvím tzv. kabelových projektů evropského zájmu. Jejich budování a správa by měla být realizována soukromými subjekty, s možnou podporou ze strany EU nebo členských států.

Prostřednictvím doporučení EK také ustanovuje Expertní skupinu pro podmořskou kabelovou infrastrukturu, jejímž úkolem by mělo být především zmapování stávající infrastruktury, zhodnocení souvisejících rizik a příprava unijního systému hodnocení rizik. Expertní skupina by měla za tímto účelem spolupracovat se skupinami vytvořenými podle směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS2) a směrnice o odolnosti kritických subjektů.

Doporučení dále ukládá členským státům provádět hodnocení rizik na národní úrovni, podpořit operátory spravující podmořskou infrastrukturu v pravidelném testování a zajistit zrychlenou proceduru pro udělování povolení k celému procesu výstavby a udržování podmořské infrastruktury.

Zpráva o kybernetické bezpečnosti a odolnosti evropských komunikačních infrastruktur a sítí

Minulý týden byla také publikována Zpráva o kybernetické bezpečnosti a odolnosti evropských komunikačních infrastruktur a sítí. Posouzení rizik provedené členskými státy po společné výzvě k posílení schopností EU v oblasti kybernetické bezpečnosti během neformálního zasedání Rady ministrů pro telekomunikace v březnu 2022 (Nevers, Francie) identifikovalo řadu hrozeb pro komunikační sítě a infrastrukturu, jako jsou aplikace typu wipers, útoky ransomwaru, útoky na dodavatelský řetězec, fyzické útoky, sabotáže atd.

Tyto hrozby, využívající zranitelných míst, by mohly představovat významné riziko pro bezpečnost a odolnost telekomunikační infrastruktury. Na základě těchto zjištění a kromě devíti rizikových scénářů, které již byly identifikovány v Koordinovaném posouzení rizik sítí 5G v EU, zpráva rozvíjí deset rizikových scénářů strategického významu pro Unii, jako je útok na dodavatelský řetězec s cílem získat přístup do infrastruktury operátorů nebo koordinovaný fyzický sabotážní útok na digitální infrastrukturu.

Za účelem zmírnění těchto rizik předkládá zpráva řadu strategických a technických doporučení pro členské státy, Komisi a agenturu ENISA, která mají být realizována s podporou sdružení BEREC. Pokud jde o strategické aspekty, zpráva členským státům doporučuje:

  • posoudit odolnost mezinárodních propojení;
  • posoudit kritičnost, odolnost a redundanci základní internetové infrastruktury, jako jsou podmořské kabely;
  • provést doporučení týkající se dodavatelů;
  • Vytvořit transparentnost v oblasti dodavatelů a poskytovatelů řízených služeb nebo poskytovatelů řízených bezpečnostních služeb používaných pro pevné sítě, optické technologie, podmořské kabely, satelitní sítě a další důležité dodavatele ICT;
  • zapojit odvětví elektronických komunikací do kybernetických cvičení a operativní spolupráce;
  • podpořit sdílení informací a zlepšit situační povědomí o hrozbách pro operátory;
  • poskytovat operátorům finanční podporu na technická opatření proti kybernetickým útokům v jejich sítích;
  • vyměňovat si mezi vnitrostátními orgány osvědčené postupy týkající se fyzických útoků na digitální infrastrukturu;
  • rozšířit fyzické zátěžové testy kritické infrastruktury na digitální infrastrukturu.

Zprávu můžete nalézt zde.

A na závěr malý test. Poznáte, jaký úryvek je z roku 2016, kdy Komise vydala „Konektivita pro konkurenceschopný jednotný digitální trh – na cestě k evropské gigabitové společnosti“ a jaký úryvek je z roku 2024 z Bílé knihy?

A. Moreover, looking at the deployment of the next wireless communications technologies or renewal of existing licenses for broadband wireless communications, Europe cannot afford yet another spectrum authorisation process for the next generation mobile technology spreading over almost a decade, with huge disparities in timelines of auctions and network infrastructure
deployment between Member States. To avoid that the same problems appear in the future, it should be considered how to better coordinate timing of auctions and ensure it is tighter across the whole EU.

B. A delayed and fragmented assignment of the relevant spectrum by Member States has a direct negative impact on wireless network coverage and penetration overall in Europe. Such delays, if repeated, will endanger the successful introduction of 5G in
Europe and the deployment of new innovative services. In addition to faster processes to designate spectrum for electronic communications, with clear deadlines for when the spectrum is to be made available to the market, investors in the next generation of wireless broadband need more predictability and consistency regarding future licensing models and the key conditions for assigning or renewing national spectrum rights.

C. Reaching the above vision and objectives for 2025 is estimated to require an overall investment of c. EUR 500 billion over the coming decade, representing an additional EUR 155 billion over and above a simple continuation of the trend of current network investment and modernisation efforts of the connectivity providers

D. …reaching current Digital Decade targets for Gigabit connectivity and 5G may require a total investment of up to EUR 148 billion, if fixed and mobile networks are deployed independently, and stand-alone 5G offering European citizens and businesses the full capabilities that can be offered by 5G mobile networks is deployed.

A takhle bychom mohli pokračovat dál, zpět k návrhům i do roku 2013 nebo 2006…

A a C = Bílá kniha k zajištění potřeb evropské digitální infrastruktury.

B a D = Konektivita pro konkurenceschopný jednotný digitální trh – na cestě k evropské gigabitové společnosti

Kategorie:

Ohlédnutí za Dnem bezpečnějšího internetu 2024

St, 02/28/2024 - 09:39

Každé druhé únorové úterý si připomínáme Den bezpečnějšího internetu. Letos jsme jej slavili již po jednadvacáté. Pojďme se společně ohlédnout za tím, jak tento den u nás probíhal.

Z původně malého eventu, který vznikl v Evropě, se dnes Den bezpečnějšího internetu slaví ve více než 190 zemích po celém světě. Jeho cílem je připomenout si aktivity, které vedou k bezpečnějšímu využívání internetu a technologií s ním spojených. My jsme si v letošním roce dali při plánování tohoto dne za cíl, že budeme slavit v pozitivním duchu. Chtěli jsme především ukázat internet a technologie jako příležitost, nejen poukazovat na jejich rizika. Stalo se již dobrou praxí, že během tohoto dne se oznamují různé novinky. Za nás jsme si jich přichystali několik.

Příručka „První mobil“

Ve spolupráci s Policií ČR a předními mobilními operátory jsme sestavili příručku „První mobil“, která je určena pro rodiče, kteří se chystají svým dětem pořídit první chytrý mobilní telefon. Stáhnout ji můžete zde.

Leták AI desatero

Umělá inteligence se v posledních letech stává převratným heslem i trendem. Přináší tímto zásadní změny do našich profesních i osobních životů. S příchodem či rozšířením každé novinky – nové AI technologie, je proto potřebné myslet i na její kvalitní zapojení/využití v každodenním životě. Umělá inteligence přináší nejen kreativitu, inovace, nové myšlenky, algoritmy postupů i procesů, ale i výzvy, otázky či rizika. Proto už od počátku používání AI hraje bezpečnost i vzdělávání  tak zásadní roli.

V desateru naleznete souhrn hlavních pozitiv i rizika AI. Cílem letáku je vyzdvihnout možnosti použití AI nástrojů jako „dobrého sluhy“, který nám může pomoci nejen s objevením, vytvořením či vyhledáním  něčeho nového – příkazu (promtu), zadání, postupu, obrázku, tabulky, videa či již zmíněného receptů a podobně, ale současně nás také nabádá i k tomu, že je potřeba nezapomenout, že v nepovolaných rukách se i jakákoliv skvělá AI technologie může stát „zlým pánem“ či nástrojem zneužitelným k páchání trestné činnosti.

Leták vznikl ve spolupráci Ministerstva vnitra, prg.ai a velkou zásluhu na něm má i naše nová kolegyně Lucie Kosová. Leták si můžete stáhnout zde.

Kniha pro děti „Strážci na internetu“

Představili jsme i chystanou novinku – knihu pro děti od devíti let „Strážci na internetu“. Ta mladé uživatele internetu komiksovou a hravou formou provede základními tématy spojenými s chováním a bezpečností na internetu. Pokud nevíte, jak se s dětmi bavit o internetu, sociálních sítích, gamingu nebo kyberšikaně, knížka bude skvělým dárkem.

Instagramový profil @no_net_drama

Pro generaci Z jsme představili nový instagramový profil @no_net_drama. Ten pro nás vytvářejí mladí lidé, kteří se věnují tématům bezpečnosti a mluví s cílovou skupinou jazykem, kterému my dospělí občas nemusíme rozumět. Na Den bezpečnějšího internetu proběhla na profilu kampaň s několika vybranými influencery. A podle nás byla opravdu úspěšná; měla přes jeden milion přehrání!

Infografiky

Abychom zvýšili povědomí o projektu Safer Internet Centru ČR, který je konsorciem čtyř spolupracujících organizací (CZ.NIC, Linka bezpečí, JSNS a DKC), vytvořili jsme infografiku, která shrnuje naše společné úspěchy za rok 2023. A nebylo jich málo. Uspořádali jsme přes 240 návštěv škol, vydali 31 tištěných materiálů a přes hotlinku Stoponline.cz přijali více než 3 700 hlášení. Podívat se na ní můžete zde.

Letošní ročník se podle nás a ohlasů, které se k nám stále ještě dostávají, povedl. Víme o více než čtyř stovkách organizací, které se letos do SID 2024 zapojily. Výčet všech by byl opravdu dlouhý, proto mi dovolte uvést za všechny Základní školu v Praze – Hostivaři. Reportáž o tamním Dni bezpečnějšího internetu najdete na ČT Déčko ve Zprávičkách.

Závěrem bych rád poděkoval všem, kteří nám pomáháte dělat internet bezpečnější. Děkujeme a nezapomeňte si v kalendáři poznačit, že příští ročník proběhne 11. února 2025.

Kategorie:

Co přinesl poslední marketingový meeting organizace CENTR?

Út, 02/20/2024 - 11:32

Ke konci minulého roku jsme se zúčastnili již 38. workshopu marketingové skupiny CENTR. CENTR je evropská organizace sídlící v Bruselu, která sdružuje evropské registry domén nejvyšší úrovně. Jejím hlavním cílem je podpora registrů a rozvoj jejich standardů, funguje ale také jako komunikační kanál mezi registry a platforma pro sdílení mezinárodních zkušeností. Právě sdílení zkušeností bývá stěžejním bodem setkání marketingové skupiny, v níž mají zastoupení marketingoví specialisté, mezi kterými probíhá výměna poznatků a zkušeností z praxe.

Setkání vždy hostí jeden z evropských registrů. Tentokrát padla volba na švédský Internetstiftelsen, který uspořádal workshop ve svých kancelářích ve Stockholmu. Témata byla tentokrát dvě – typy kampaní a jejich měření. V diskuzích jsme se také dotkli umělé inteligence a jak ji (správně) využít v naší práci. Jako obvykle šlo o dva intenzivní dny plné pozitivní energie a inspirace.

Jednotlivá témata byla rozdělena do několika diskuzních bloků – každý byl vždy uveden praktickou prezentací některého z registrů, poté následovala řízená diskuze. Díky tomuto formátu se museli zapojit opravdu všichni zúčastnění a zároveň to umožňovalo lépe sdílet své nápady a zkušenosti. Ty nejzásadnější jsem shrnula do následujících pěti bodů:

1. Většina registrů se v kampaních zaměřuje na vzdělávání a osvětu v oblasti kyberbezpečnosti nebo digitální gramotnosti.

Podobně jako CZ.NIC se svými osvětovými aktivitami, kterými jsou například výukové seriály pro děti Nauč tetu na netu, Datová Lhota, Alenka v řiši GIFů či Nebojte se Internetu pro seniory, i ostatní registry se zaměřují na vzdělávání těch nejzranitelnějších skupin. Domácí švédský registr představil výukové materiály pro učitele věnující se tématům spojeným s internetem, japonský registr (JPRS) zase prezentoval výukový web https://withponta.jp zaměřený na bezpečnost, rozeznání fake news apod.

2. Pro mnohé z registrů je velkým tématem propagace národních domén.

České prostřední je v tomto specifické a většinu této práce dělají (a dobře) naši registrátoři formou (nejen) co-marketingového programu, který CZ.NIC spolufinancuje. CZ.NIC také již několik let realizuje projekt certifikace registrátorů, který má jednak poskytnout potenciálnímu zájemci o registraci domény .cz informaci o úrovni služeb nabízených jednotlivými registrátory a zároveň pomoci registrátorům navrhovat jejich systémy tak, aby byly pro koncové zákazníky co nejpříjemnější.

Co se týká zahraničních praxí, tak například kanadský registr (CIRA) usiluje rozsáhlými kampaněmi o větší zviditelnění národní domény .ca, oproti globálně užívané .com. Podobně jsou na tom třeba i registry v Portugalsku či Španělsku.

3. Pro správné měření kampaní je potřeba si stanovit cíl, správné metriky a správné nástroje.

V používání některých nástrojů se vzájemně shodujeme, někteří z kolegů ale představili i méně známé nástroje a software. Pro webovou analytiku, měření návštěvnosti a konverzí, k čemuž v CZ.NIC využíváme Matomo, jiní používají Google Analytics, Ahrefs nebo Hotjar. Správu mailingů, kterou u nás svěřujeme do rukou phpListu, jiní dělají v nástrojích Mailchimp, Hubspot nebo Hootsuite. Pro složitější reporting a vizualizaci dat je také stále častěji využíván nástroj Microsoft Power BI.

4. Pro lepší dosah kampaní je vhodné obsah jakkoli přiblížit cílové skupině.

Portugalský registr například spojil síly s populárním cyklistickým závodem Volta, který v Portugalsku sledují desítky tisíc lidí. U nás si můžete pamatovat kampaň Dobrá doména, kterou jsme cílili na malé firmy a živnostníky.

5. Z umělé inteligence je potřeba si udělat spojence do budoucna.

Že je potřeba s umělou inteligencí počítat, už je jasné asi každému z nás. Aby nám ale dobře sloužila, je potřeba se s ní naučit efektivně pracovat. Názory většiny kolegů se shodovaly v tom, že AI bude do roku 2035 hrát významnou roli v oblasti zákaznické podpory nebo marketingu. Někteří kolegové už umělou inteligenci ve své práci aktivně využívají, například jako pomoc při vyhledávání fake news, tvorbě tiskových zpráv a jiných textů nebo jednoduché grafiky. Často je také využívána při tvorbě datových analýz. I u nás v CZ.NIC se samozřejmě s ChatGPT trochu známe, ale grafiku i veškeré texty u nás stále obstarává stará dobrá lidská inteligence.


Rok 2035 a předpověď do budoucna byla vlastně obecně tématem naší závěrečné diskuze. Bude svět stále znát domény a registrátory? Shodli jsme se, že ano – jen domén bude pravděpodobně více, stejně jako registrátorů, kteří budou větší a budou nejspíš také přibývat nebo fúzovat. Jedno je ale jisté, marketingová skupina CENTR bude mít stále shodný cíl – dělat společně dobré jméno doménovým registrům, ať už k tomu vedou jakékoli a jakkoli odlišné cesty.

Kategorie:

Sentinel View report – listopad 2023

Pá, 02/16/2024 - 10:15

Měsíc listopad přinesl několik zajímavých faktů. Írán byl v útocích méně aktivní a na první tři místa se pro změnu dostali útočníci z Rumunska. Během tohoto měsíce se také objevila nová zajímavá IP adresa, která patří útočníkovi z Panamy. U skenování portů s nízkým číslem (porty do 1 023) byl v listopadu zaznamenán rekord pro port 53; nemohli jsme si pomoci a tak jsme se ponořili do těchto údajů hlouběji.

Rozhodli jsme se pro to z několika důvodů. Prvním z nich je skutečnost, že port slouží ke komunikaci s DNS serverem, což je klíčová služba poskytovaná sdružením CZ.NIC. Druhým důvodem je podezřelý nárůst aktivit v porovnání s měsícem říjnem. Samotné nás zajímalo, o co se jedná. DDoS útok využívající k amplifikaci DNS? Špatně nastavený DNS resolver? DNS server nově za firewallem? Ke které možnosti se přiklonit, nám prozradili data z našich sond. Více „obětí“ a jeden útočník by naznačovalo DdoS útok. Malá skupina adres ze stejného subnetu „útočící„ na jednu „oběť“ by odpovídalo teorii, že se jedná o resolver za firewallem. Pokud by se však jednalo o „útočníky“ z celého světa, kteří mají zájem jen o jednu IP, potom by takové chování odpovídalo nejspíše autoritativnímu serveru, který je nově schovaný za firewallem. Jednoduchým dotazem jsme v naší databázi zjistili, že cílem je pouze jedno zařízení. Vypadá to tedy, že se jedná o poslední případ – DNS server za firewallem a každý, kdo u něho zkouší zadat dotaz, skončí na firewallu a u nás v systému jakožto útočník. To způsobuje šum, který bychom měli ignorovat, podobně jako porty BitTorrentu.

Kategorie:

Yubikey na úrovni záruky vysoká a online kvalifikovaný certifikát od Postsignum

Čt, 02/15/2024 - 11:58

Možnost mít MojeID na úrovni záruky Vysoká je jednou ze zásadních vlastností, která tuto službu odlišuje od ostatních digitálních identit. Konkurencí jsou v tomto smyslu pouze čipová karta Starcos od I.CA a čipová karta občanského průkazu. Obě nicméně vyžadují čtečku karet a instalaci obslužného programu do vašeho počítače nebo telefonu. V MojeID máte místo čipové karty jednoduchý USB bezpečností klíč, nepotřebujete žádnou čtečku a ani nemusíte do počítače nic dalšího instalovat. Máme jasného vítěze, že? V nabídce podporovaných USB bezpečnostních klíčů byl dlouho dobu pouze klíč IdemKey od tchajwanského výrobce GoTrust. Toto se nyní mění a MojeID přidává podporu pro vybrané modely z dílny švédské společnosti Yubico. Zároveň se průběžně zvyšuje počet služeb, kde se bez úrovně záruky Vysoká neobejdete a MojeID vám tedy může pomoci. Novinkou je možnost online vystavení kvalifikovaného certifikátu od Postsignum.

Když v roce 2021 služba MojeID získala akreditaci pro úroveň záruky Vysoká, podmínky dohodnuté s Ministerstvem vnitra zahrnovaly použití bezpečnostního klíče certifikovaného FIDO Alliancí na úroveň L2 a zároveň mající dostatečně vysokou certifikaci bezpečnostního čipu použitého v klíči. V té době byl na trhu jediný klíč, který tyto podmínky splňoval a to IdemKey od GoTrust. Loni nicméně došlo k tomu, že FIDO certifikaci L2 získaly také některé klíče firmy Yubico. Jak je vidět z oficiálního seznamu FIDO Alliance, jedná se o dvě produktové řady a to Yubikey FIPS a Security Key. Tyto klíče používají čip Infineon SLE 78, který má dostatečnou certifikaci CC EAL6+. Následně bylo nutné informovat agenturu DIA o tom, že podmínky akreditace splňují nové klíče, a pak již bylo možné přidat tyto klíče do interního seznamu klíčů pro úroveň záruky Vysoká. Jakýkoliv z těchto klíčů je možné objednat přes e-shop českého distributora Three s.r.o. Yubico Security Key je také k dispozici na e-shopu Alza.cz ve variantě s USB-A nebo USB-C.

Za poslední rok se také významně posunula k lepšímu podpora bezpečnostních klíčů ve webových prohlížečích. Dlouho dobu měli smůlu uživatelé, kteří chtěli tuto nejvyšší úroveň záruky využívat na prohlížeči Firefox v operačních systémech Linux a MacOS, kde chyběla možnost zadat PIN. To již neplatí a při používání bezpečnostního klíče není nutné Firefox opouštět. Jediné co Firefox zatím neumí, je nastavení PIN na klíči, což je podmínka pro jeho aktivaci pro úroveň záruky Vysoká. K tomu je stále třeba použít buď Chrome, nebo interního správce klíčů v rámci Windows Hello. U nových klíčů od Yubico je možné (ale nikoliv nutné) používat jejich vlastní aplikaci pro správu klíčů.

K čemu je dobré mít digitální identitu na této nejvyšší úrovni záruky? Oproti klasické digitální identitě tak, jak jí dnes nabízejí například banky, garantuje tato úroveň mnohem vyšší bezpečnost. Tyto prostředky lépe chrání před útoky jako phishing, vishing a smishing, které jsou nyní hlavní zbraní internetových podvodníků. Proto jsou tyto prostředky také vyžadovány tam, kde je bezpečnost klíčová. V České republice je tato úroveň záruky například nutná, pokud si chcete otevřít účet u Ministerstva financí pro správu státních dluhopisů. Úroveň záruky Vysoká můžete využít také v online systému Notářské komory, pokud například chcete bez návštěvy notáře založit firmu. Zákon o právu na digitální službu nabízí možnost online legalizace elektronického podpisu, kdy předpovídá existenci systému státní správy, kam nahrajete např. ručně podepsaný dokument, identifikujete se právě prostředkem na nejvyšší úrovni záruky a výsledkem bude dokument, který bude ekvivalentem úředně ověřeného podpisu vyžadovaného v mnoha jednáních se státem. Tento systém bohužel zatím neexistuje. Stát nedávno spustil jeho variantu, kterou je možné provést osobně na CzechPOINTech. O této variantě se můžete dočíst v článcích Jiřího Peterky na serveru Lupa.cz. Snad se online varianty dočkáme již brzy.

Než se tak stane, je nutné ke stejnému účelu používat kvalifikované osobní certifikáty vydávané certifikačními autoritami. Pokud si takový certifikát přes portál občana uložíte ke svému záznamu v registru obyvatel, má jakýkoliv dokument podepsaný s využitím tohoto certifikátu váhu úředně ověřeného podpisu. Pionýrem v poskytování těchto certifikátů online s využitím digitální identity je certifikační autorita Postsignum, která svojí službu CertifikátOnline spustila před dvěma lety. Implementovala tak možnost danou evropským nařízením eIDAS, které ve svém článku 24 popisuje, za jakých podmínek je možné kvalifikovaný certifikát vzdáleně vydat. Při spuštění této služby splňoval podmínky pro využití digitální identity pro tyto účely pouze elektronický občanský průkaz. Po oficiální notifikaci MojeID dle nařízení eIDAS v polovině roku 2022 začalo tyto podmínky splňovat, alespoň podle nás, i MojeID. Bohužel zmiňovaný text nařízení eIDAS, a jeho interpretace, se následně stal předmětem dlouhých diskuzí mezi CZ.NIC, Ministerstvem vnitra a zejména Evropskou komisí. Podstatné je, že jsme se na jeho interpretaci nakonec shodli a  nyní je již konečně možné pro online získání kvalifikovaného certifikátu v rámci služby CertifikátOnline využít také MojeID.

Celý proces je detailně popsán na stránkách služby. V tuto chvíli je omezen pouze na osobní certifikáty a není možné jej použít pro zaměstnanecké certifikáty. Začíná ověřením totožnosti pomocí MojeID. Je třeba použít MojeID účet pro fyzickou osobu ověřený na úroveň záruky Vysoká, tedy se zaregistrovaným odpovídajícím USB bezpečnostním klíčem a ověřený buď na CzechPOINTu nebo pomocí jiného prostředku na úrovni záruky Vysoká.

Dalším krokem je odsouhlasení smlouvy o vystavování certifikátu, případně vybrání smlouvy, podle které se bude certifikát vydávat. K dispozici jsou dvě varianty podle toho, zda-li certifikát pořizujete jako fyzická osoba podnikající nebo nepodnikající. Součástí smluvního svazku je také odsouhlasení, že vám bude vygenerován identifikátor MPSV. Odsouhlasení smlouvy proběhne přes SMS kód zaslaný na telefonní číslo.

Následuje vygenerování žádosti o certifikát. K tomu je možné použít tři cesty. Webový formulář přímo vyzývá k použití aplikace iSignum, která je ale bohužel pouze pro operační systém Windows. Alternativou (nezmíněna ve formuláři) je použít aplikaci iSignum v mobilním telefonu s OS Android. Výsledný certifikát se soukromým klíčem pak je možné exportovat a nahrát zpět do počítače. Poslední možností je vytvořit si žádost o certifikát manuálně třeba pomocí OpenSSL a nahrát jí do systému pomocí speciálního webu. Ve všech třech případech je výstupem generováni číslo žádosti, které vložíte do formuláře.

Posledním krokem je zaplacení, kdy je možné využít jak platební kartu, tak online platbu, kterou nabízí většina českých bank. Po zaplacení je během chvilky vystaven požadovaný certifikát.

Jak je zmíněno výše, abyste vaše podpisy s využitím tohoto certifikátu měly váhu úředně ověřeného podpisu, nezapomeňte si certifikát nahrát na příslušném místě v portálu občana. Do portálu občana se samo sebou přihlásíte opět s MojeID.

MojeID na úroveň záruky Vysoká nemá využití jenom v českém prostoru. Díky notifikaci je možné tyto prostředky využívat i přeshraničně. Některé Evropské země jsou v tomto smyslu přísnější než my a například Rakousko pro přístup k jejich státnímu portálu vyžaduje pouze prostředky s úrovní záruky Vysoká. Již brzy nás v Evropském digitálním prostoru čeká velká revoluce v podobě Evropské peněženky digitální identity. Více o ní se můžete dozvědět například v prezentaci věnované tomuto tématu na LinuxDays. Podstatné je, že pokud budete mít k dispozici digitální identitu na úrovni záruky Vysoká jako třeba právě MojeID, nebudete pro aktivaci této peněženky muset nikam chodit a provedete ji z pohodlí domova. Finální legislativa se bude schvalovat v Evropském parlamentu teprve v příštích týdnech, ale s pravděpodobností hraničící s jistotou bude v případě aktivace pomocí prostředku s nižší úrovní záruky vyžadováno dodatečné ověření totožnosti, například někam zajít nebo provést jiný odpovídající úkon. Aktivujte si tedy MojeID na úrovni záruky Vysoká už teď, využijte jeho potenciál a buďte připraveni na budoucnost :-).

Kategorie:

Krátké vlny: Kybernetické útoky rámují diskuze o novém kybernetickém zákonu

Čt, 02/15/2024 - 07:29

Novela zákona o kybernetické bezpečnosti míří příští týden do pracovních komisí Legislativní rady vlády, zástupci podnikatelského sektoru nahlas vyjadřují své výhrady a lobbisté obíhají zájmové osoby a slibují svým klientům možné i nemožné. Mezitím se každý den v kybernetickém prostoru odehrává boj podvodníků a cizích aktérů s ajťáky, síťaři i běžnými uživateli o neautorizovaný přístup k informacím nebo finančním prostředkům (nebo k informacím o finančních prostředcích).

Prosincový kybernetický útok na ukrajinského operátora Kyivstar, který vedl k přerušení poskytování služeb pro miliony uživatelů a firem, byl podle posledních zjištění ukrajinské zpravodajské služby připravován několik měsíců, když ruští hackeři pronikli do systémů operátora už v květnu 2023. Zpravodajská služba také potvrdila, že za útokem stojí hackerská skupina Sandworm, která patří pod ruskou vojenskou rozvědku a má na svém kontě již několik útoků na telekomunikační operátory a poskytovatele internetu.

V rámci odvetného mechanismu zaútočila ukrajinská hackerská skupina BlackJack na IT infrastrukturu společnosti Rosvodokanal, která v Rusku řeší distribuci pitné vody. Během kybernetického útoku na společnost, která distribuuje pitnou vodu pro sedm milionů obyvatel, se hackerům podařilo získat přístup k velkému množství dokumentů, zašifrovat více než šesti tisíc počítačů
a smazat více než 50 terabajtů dat, včetně interního oběhu dokumentů, firemní pošty, služeb kybernetické bezpečnosti, záloh atd.

Není to jediný útok, který si nedávno skupina BlackJack připsala na své konto. Dalším jejich zářezem je úspěšný útok na ruského operátora M9 Telecom. Na TORu následně zveřejnila 10 gigabajtů dat z e-mailového serveru operátora a wiperem smazala 20 terabajtů dat.

Midnight Blizzard (APT29), ruská hackerská skupina, pronikla v listopadu 2023 do systému společnosti Microsoft a získala přístup k e-mailům společnosti, který měla až do poloviny ledna 2024. Jak uvádí společnost Microsoft, prvotním vektorem útoku byl password spaying, brute force útok, kdy útočník zkouší různá uživatelská jména v kombinaci s jedním heslem. Útok tak nebyl důsledkem zranitelnosti v produktech nebo službách společnosti Microsoft a společnost nemá důkazy o tom, že by útočník měl přístup k zákaznickému prostředí, produkčním systémům, zdrojovému kódu nebo systémům umělé inteligence.

Ruská společnost T.Hunter představila nástroj Soudruh Major, který podle slov společnosti dokáže pomocí umělé inteligence odhalit skutečné vlastníky anonymních telegramových kanálů. Tento proces zahrnuje shromažďování informací o správcích z popisu kanálu, archivovaných kopií kanálu, příspěvků a metadat zveřejněných souborů. Potřebné informace může program najít v titulcích příspěvků, vloženém chatu, balíčcích nálepek, dokumentech a videích nahraných do komunity (a dalších dat samozřejmě). Analyzovaný obsah může obsahovat informace o mobilních telefonech svázaných s profilem uživatele, adresu a další digitální stopy, které má AI bot „Comrade Major“ na požádání ukáže. Kromě toho AI analyzuje další identifikátory a také má získávat údaje z komunit na sociálních sítích, blogů a webových stránek.

Australská vláda připravila praktické tipy pro zvýšení kybernetické bezpečnosti zástupců firem. Tipy jsou zpracovány formou checklistu a zdůvodnění jednotlivých bodů, mezi které patří využívaní multifaktorové autentizace, oddělování pracovních a soukromých účtů, provádění pravidelných aktualizací a záloh, používání jen prověřených nabíjecích kabelů, obezřetné sdílení obrazovky nebo pravidelné vypínání mobilu.

UTA0178, čínský státní aktér, využil pro své útoky dvě zranitelnosti ve VPN zařízeních společnosti Ivanti. I když tato skupina kompromitovala méně než deset obětí, zranitelnosti začaly využívat i jiné hackerské skupiny a počet kompromitovaných zařízení strmě rostl. Jiný čínský aktér, Volt Typhoon, využíval ve velkém rozsahu zranitelnost routerů Cisco RV320 a RV325. Během 37 dnů kompromitoval 30 procent těchto zařízení se zřejmým cílem postavit masivní botnet. K čemu asi (řečnická otázka)?

Iránský aktér, Homeland Justice, se přihlásil k útoku na albánský parlament a telekomunikačního operátora One Albania. Ani jeden z napadených subjektů není určen jako kritická infrastruktura.

V Jižní Americe si zase užívají DDoS útoků botnetu Bigpanzi, který svou sílu staví na 172 tisících chytrých televizí a set top boxů. Součástí strategie útoku byla snaha přesměrovat některé názvy domén na konkrétní IP adresy a obejít běžný proces překladu DNS, což zhoršilo možnosti obránců sledovat a analyzovat útočníky.

Pekingský forenzní institut prolomil službu protokolu AirDrop. Nestalo se tak v laboratorních podmínkách, ale s cílem zamezit šíření „nevhodných sdělení“. Společnost Apple v listopadu 2022 omezila používání funkce bezdrátového sdílení souborů AirDrop na zařízeních na čínské pevnině poté, co ji podle médií některé protičínské síly využily k šíření nevhodných digitálních letáků. Po aktualizacích se uživatelé mohou rozhodnout přijímat soubory od nekontaktních osob pouze během desetiminutového okna, než se automaticky vypne.

V západních zemích (USA, Velká Británie a Austrálie) jsou zase reportovány případy, kdy jsou explicitní a urážlivé obrázky anonymně zasílány cizím lidem prostřednictvím iPhonů (tzv. „cyber flashing“).

Kybernetická bezpečnost je a bude problém. Samotné přijetí zákona ji rozhodně nevyřeší, ale s větší nebo menší byrokratickou zátěží nastaví standardy pro širší skupinu subjektů a odvětví. Jak ukázal zástupce Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Tomáš Pekař na konferenci CSNOG 2024 ve Zlíně, snaží se NÚKIB zkoncentrovat komunikaci povinných osob do prostředí jednotného Portálu a v rámci své gesce sjednotit komunikaci a částečně zkrotit správní řízení do podoby klikacích portálových dlaždic. Ale i sebelepší technické řešení nakonec narazí na tu podivnou hmotu mezi klávesnicí a židlí a její ochotu dodržovat pravidla a průběžně reagovat na zlepšující se útoky z kyberprostoru. Hodně štěstí.

Vygenerováno Midjourney, 2024

Kategorie: