Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 11 min 44 sek zpět

Je za námi první měsíc bezpečnostního testování organizací pracujících s dětmi a mladistvými

St, 10/11/2023 - 09:50

Možná jste v září zaznamenali, že Safer Internet Centrum Česká republika a Národní bezpečnostní tým CSIRT.CZ spouštějí novou službu, která si klade za cíl pomoci zlepšit bezpečnost webů, sítí a aplikací, jež mohou obsahovat citlivé informace.

Tato bezplatná služba je určena institucím, které pracují s dětmi a mladistvými. To je bezesporu skupina obyvatel, která patří mezi nejohroženější a nejzranitelnější. Únik dat v této oblasti může mít vážné následky. Spadají sem tedy například školy, školky, knihovny, dětské domovy, tábory i různé spolky, které s dětmi pracují.

Kde je možné objednat testování?

Pravidelné testování, které je následně periodicky čtvrtletně spouštěno, je možné získat vyplněním formuláře na https://www.bezpecnyinternet.cz/cs/bezpecnostni-testy/. Na odkaze naleznete také podmínky služby a e-mailový kontakt, na který je možné posílat objednávky i dotazy, z nichž se některé opakovaly. Těm se věnujeme níže.

Doposud jsme úspěšně zpracovali 22 žádostí a další jsou v různých stádiích zpracování. Někdy jsme objednávku mohli akceptovat až na druhý pokus – v souladu s podmínkami služby je totiž potřeba opatřit žádost elektronickým podpisem odpovědné osoby nebo ji jako oprávněná osoba poslat datovou schránkou (popřípadě s úředně ověřeným podpisem poštou na adresu našeho sdružení). Tento podpis někdy na objednávce byl opomenut.

Co se týče opakujících se dotazů, ty padaly na cenu služby. Služba je pro výše uvedené instituce zdarma, neboť je hrazena z projektu Safer Internet CZ (číslo projektu 101083580). Vy jako koncový uživatel neplatíte nic.

Dále jste se ptali, jaké počáteční datum testování máte vyplnit. Jedná se o datum, které nám říká, kdy nejdříve můžeme začít s testy. Je možné, že budete před jejich zahájením chtít ještě udělat nějaké změny nebo potřebovat více času na informování dalších zainteresovaných stran v souladu s obchodními podmínkami služby. Z provozních důvodů nelze sice garantovat, že skenování bude spuštěno k danému dni, který uvedete, ale nebude spuštěno před ním. Co se týče data ukončení, pole lze ponechat nevyplněno. Testování bude tedy probíhat až do případného zrušení poskytování služby, ať už z vaší, nebo naší strany.

Tázali jste se také na rozsah a smysl testování. Určitě je dobré nechat se pravidelně testovat. Náš test, který cílí na základní nejběžnější chyby, jež však nejčastěji vedou k únikům dat, tyto možné chyby odhalí, ale do systému nepronikne. Napravit případné zjištěné nedostatky by pak nemělo vašim IT pracovníkům činit potíže. Pokud neuvedete konkrétní IP adresy nebo rozsahy, budeme testovat pouze danou doménu nebo dotčenou aplikaci na ní. Pokud na webu máte odkazy směřující i jinam, ty by se do testování dostat neměly.

Testování sice běží zatím relativně krátkou dobu, ale můžeme prozradit, že dosavadní výsledky ukazují, že to má smysl. Věříme, že se to bude prokazovat i nadále.

Kategorie:

Řešení únikovky z LinuxDays 2023

Út, 10/10/2023 - 12:42

Jsem moc rád, že naše sdružení aktivně pomohlo k obnově covidem přerušené tradice největšího setkání Linuxářů v republice – LinuxDays. Podle zájmu, který byl srovnatelný s posledním „normálním“ rokem 2019, bych řekl, že se záměr obnovy vydařil nad očekávání a poklonu za to je třeba vyseknout Hodymu a všem jeho spolupracovníkům! Víkendová konference byla ale plná nejen lidí, prezentací a stánků, ale objevily se i soutěže, které program doplňovaly. A protože i my v CZ.NIC jsme hraví, připravili jsme pro účastníky také svoji hru – únikovku.

Nápad a hlavní část realizace proběhla na našem jarním interním hackatonu, tedy akci, kde jsme dostali možnost dělat na něčem, co je mimo plánované úkoly. Protože jsem chtěl tuto aktivitu podpořit, přidal jsem se do týmu k Lukášovi, který už měl vlajku s nápadem únikovky pevně vztyčenou. Následně jsme ještě přibrali Libora a tak není divu, že jsme za den a půl zvládli únikovku připravit. Naší snahou bylo dát do ní co nejvíce šifer, které by měly nějaké napojení na to, co u nás běžně děláme. A protože jsme nechtěli napovídat, snažili jsme se to pojmout tak, že kdo hru připravil, bude známé až s řešením hry. To samozřejmě zkomplikovalo naši možnost hru propagovat. To ale nebylo posledním zádrhelem, který jsme museli řešit. Ten hlavní přišel samozřejmě až na místě, ale o tom až později.

Hru jsme v týdnech před LinuxDays doladili a lokalizovali do místa, kde akce probíhala. Museli jsme dát pozor na to, aby v ní nezůstaly šifry, které byly nastaveny pro ostrý test po našem hackatonu, ten proběhl v naší akademii. Že jsme také museli vyměnit logo, protože akce dostala logo krásné nové, také nebyl problém. Ani potvrzení od Petra Hodače a Petra Krčmáře, že při hře můžeme podvrhnout obsah pravých stránek na doméně podobné originálu, nebo že se můžeme opřít o identitu držitele pravé domény, nebylo obtížné získat. Zaškolení naší obsluhy na stánku také proběhlo hladce, takže jsme mysleli, že máme vše připraveno. Jenže! Vůbec by nás nenapadlo, že na místě, kde se vždy bylo možné pevně opřít o IPv6, tento protokol nepojede! A my jsme přitom chtěli, aby naše hra běžela na IPv6 only! Ano, dalo se to vyřešit, ale bohužel nás to zdrželo na samém začátku a kdo ví, kolik lidí hru zkusilo a skončilo hned v zápětí. Ráno jsme měli s Lukášem přednášky, tedy také jiné povinnosti, než ochuzovat naši hru o jeden z důležitých prvků. Bohužel a mrzí nás, že jsme si to nevyzkoušeli.

Nicméně dále už únikovka běžela dle očekávání. Na počtu úspěšných řešitelů (celkem 14) bylo vidět, že to nebyla hra pro každého. A potvrdily nám to i zkušenosti jednotlivých účastníků, kteří si k nám chodili na stánek vyzvednou odměnu. Mimochodem, tři ještě nedorazili, tak jestli chcete, stavte se u nás v kancelářích :). A protože víme, že hru hodně lidí zkusilo, řešení nenašli, ale chtěli by jej znát, přicházíme teď s rozluštěním. Tedy pozor, níže je spoiler! :)

Únikovka začíná na hlavní stránce linux-days.cz, kam účastníky zval tweet, vyvěšené plakáty v prostorách konference nebo občas i moderátoři jednotlivých tracků.

Stránka je očesaná o některý obsah, aby bylo snazší si povšimnout odlišností. Na hlavní stránce jsou zásadní tři body. Společně po vyřešení těchto tří bodů zjistíte, co bylo dále třeba podniknout. Pojďme ale postupně.

Znalcům LinuxDays určitě neuniklo, že první bod je odkaz na ročník 2022, který se vůbec neuskutečnil. Po rozkliknutí se objevil náhled stránky s fotkou, odkazem na video, rovnicí a řetězcem nahodilých znaků. Na zmíněném obrázku je miska Caesarova salátu. Chápu, že poznat tuhle pochutinu z fotky nemuselo být snadné, proto je to podpořeno v kódu stránky a názvu obrázku. Také při přejetí fotky myší se zobrazil popisek „Caesarova salat“ napovídající na Caesarovu šifru. Caesarova šifra je založena na posunu písmenek v abecedě. Je potřeba znát jen číslo o kolik se znaky v abecedě posouvají. A to se dalo zjistit z odkazu ve vzorci. Pod odkazem najdeme edukativní video z našeho seriálu Jak na Internet s názvem „Jak nenaletět internetovým podvodníkům“ v konkrétním čase 111s. Zhruba ve třech následujících sekundách se objevuje číslo 2014. Společně s dalším členem rovnice, číslem 2000, tvoří právě zmíněný posun pro Caesarovu šifru.

Řetězec „noxrwboorfsgirfnwhszsrcasbm“ pak lze tedy rozlousknout pomocí nějakého online dekodéru a dostat řetězec „zajdinaadresudrziteledomeny“.
Kdo je ale tedy tím držitelem? Ke zjištění poslouží veřejný portál whois nebo terminálový příkaz ‚whois‚. Po vyhledání zjistíme, že držitelem je Peter Krčmár s identifikátorem PETER-KRCMAR. Znalci tuší, že tu něco nehraje, nicméně to nebylo podstatné. Z adresy vidíme, že se máme vypravit na „Technická 2710/6 (NTK), 16080 Praha 6 – Dejvice, CZ”. Tedy do budovy NTK, která se nachází hned vedle, kde se konaly LinuxDays. Budova je to obrovská a kde tam co hledat? Tady vstupuje do hry 2. bod z hlavní stránky a tím je titulek. V titulku najdeme řetězec “NE5QIDRDLzI0NAo=”. Jde o řetězec ve formátu Base64 a po dekódování nám řetězec říká “4NP 4C/244”. V budově NTK je potřeba tak hledat ve 4. nadzemní podlaží sekci 4C a polici 244. V uvedené polici pak šlo nalézt knížku IPv6 od Pavla Satrapy z naší edice.

Třetí a poslední bod odkazuje na kontakty a mezi nimi se nachází jako jeden z týmu Paul Mockapetris. Kromě toho, že je členem týmu virtuálního klonu LinuxDays :), položil také základy systému DNS a je autorem prvních RFC zabývající se právě DNS. Jako kontakt má uvedený look@TXT.linux-days.cz. Jedná se o anglickou slovní hříčku. Look at TXT linux-days.cz nebo také česky podívej se na DNS záznam typu TXT na doméně linux-days.cz.

DNS dotaz na TXT záznam u domény linux-days.cz nám ukáže následující řetězec „Zadejte \“(415, 7, 5)(393, 4, 4)\“ na (159, 18, 1).linux-days.cz„. Zde se jedná o knižní šifru ve trojici (stránka, řádek, slovo na řádce). Pod těmito trojicemi se v knížce o IPv6 nacházejí slova popořadě knot, bird a solution.

Text vyzývá zadat heslo „knotbird“ na adrese solution.linux-days.cz. Pokud jste vyplnili, stali jste se úspěšnými louskači naší únikovky a mohli jste si pak dojít pro zaslouženou odměnu a udělali jste nám tím velkou radost, protože jsme to nepřipravovali zbytečně.

Kategorie:

Krátké vlny: Kybernetické útoky, drony a propaganda aneb Zpráva vojenského zpravodajství za rok 2022

Čt, 10/05/2023 - 05:10

Vojenské zpravodajství zveřejnilo svoji Výroční zprávu za rok 2022. Jen na úvod zopakování základní terminologie. Vojenské zpravodajství je jednotnou ozbrojenou zpravodajskou službou České republiky, která jako jediná česká zpravodajská služba integruje jak rozvědnou, tak kontrarozvědnou činnost. Tím se liší od ostatních dvou českých zpravodajských služeb. Bezpečnostní informační služba je civilní kontrarozvědnou tajnou službou (služba operuje v Česku a chrání náš stát před cizími agenty) a Úřad pro zahraniční styky a informace, která má operovat pouze v zahraničí. Veřejné části jejich výročních zpráv dávají nám obyčejným smrtelníkům možnost nahlédnout na hlavní aktivity, na které se služby daný rok zaměřovaly.

Jak uvádí v doprovodné tiskové zprávě ředitel služby Jan Beroun, Vojenské zpravodajství se tento rok rozhodlo rozdělit zprávu do tří tematických kapitol, které se zaměřují na kybernetický aspekt konfliktu na Ukrajině, bezpilotní prostředky a šíření propagandy. Nicméně při úvodním popisu situace v roce 2022 si zpráva nebere servítky. Vojenské zpravodajství celkem „na placato“ konstatuje, že stojíme před novým rozdělením světa, kterému jako doposud nebude jednoznačně dominovat západní svět, ale prosazují se v něm kromě Číny také dynamicky se rozvíjející země tzv. globálního jihu. Západ je bezprostředně konfrontován s rozporováním jím prosazovaných univerzálních hodnot a principů, s nimiž se významná část nezápadního světa neidentifikuje a odmítá je přebírat. Část světa, reprezentovaná zejména Ruskem a Čínou, pak chápe aktuální vývoj jako svou mimořádnou příležitost ke změně dosavadního globálního uspořádání. Autoritářský charakter těchto států pak zaručuje efektivní stanovování strategických cílů i rozhodovací procesy, k jejich plnění.

Kybernetický komponent války na Ukrajině

Kybernetické působení doprovázející válku na Ukrajině podle Vojenské zpravodajství neodpovídá předválečným predikcím. Kybernetické útoky ruských aktérů přes vysokou incidenci nedosáhly předpokládané míry sofistikovanosti. Modus operandi naznačuje, že mezi klíčové faktory válečného nasazení ofenzivních kybernetických schopnosti patřily operační potřeby ruských ozbrojených sil, poměr dostupných kapacit vůči požadavkům, nebo také dostupné příležitosti. Jinými slovy, příležitostí a zručných hackerů, kteří by prováděli kybernetické útoky na míru svému cíli, bylo méně, než jsme se se před konfliktem obávali.

Masové nasazení destruktivních schopností způsobilo rozsáhlé škody postiženým organizacím, z vojenského hlediska to však dosud nemělo na vývoj konfliktu významný vliv. Vrchol intenzity kybernetických útoků dosáhl na začátku konfliktu do konce jara 2022 a následně během podzimu (útoky proti ukrajinské energetické infrastruktuře s cílem podrýt morálku ukrajinských politiků i obyvatelstva). Kybernetické kampaně jsou doprovázeny často psychologickým nebo vlivovým působením, kdy kromě samotných způsobených efektů z kybernetických útoků, adresují i specifickou zprávu či narativ.

Jako jeden z efektivních nástrojů využívaných při kybernetických útocích hodnotí Vojenské zpravodajství nasazení tzv. wiperů, které přepisují a mažou data a záznamy postižené organizace. Míra a frekvence jejich nasazení v rámci války na Ukrajině byla v roce 2022 bezprecedentní, často se stávalo, že jedna organizace byla napadena několikrát, což se odrazilo následně i v morálce zaměstnanců.

Jednoduchost těchto nástrojů při případném odhalení nepůsobí ruskému agresorovi takové ztráty, jako by to bylo v případě na míru šitých nástrojů určených k exploataci konkrétního cíle. V průběhu roku 2022 jsou veřejně známy dvě kauzy na míru šitých útoků. V prvním, úspěšném případě způsobili útočníci kybernetický efekt v satelitní síti KA-SAT provozované společností Viasat. Masivní nasazení wiperů bylo v tomto případě koordinováno s ruským překročením ukrajinských hranic v počátku invaze. V druhém případě se jednalo o napadení elektrických rozvoden vysokého napětí malwarem Industroyer2. Ukrajinští obránci však ve spolupráci se soukromými kyberbezpečnostními společnostmi dokázaly tomuto útoku předejít.

Kromě kybernetických útoků eviduje Vojenské zpravodajství také velkou míru kybernetických špionážních kampaní. Mezi nejaktivnější původce těchto hrozeb patřili v roce 2022 ruští, čínští nebo běloruští útočníci, kteří se zaměřili i na země EU a NATO, nebo i další významné hráče mezinárodního systému (země globálního Jihu nebo z uskupení BRICS).

Do ofenzivních operací se zapojují na obou stranách i nestátní aktéři, kteří útočí zejména na přístup k e-gov službám nebo komerčním službám vystavených do internetu, dále se soustředí na neautorizované změny obsahu webů, změny rozhlasového a televizního vysílání, případně operace typu hack & leak. Nezřídka se stalo, že s cílem dosáhnout vlivového efektu byly „zveřejněny“ již dříve uniklé databáze, nebo vhodně poskládaná veřejně dostupná data.

Kriminální skupiny provozující ransomwarové operace zasahují do konfliktu omezeně. Zpráva popisuje vnitřní rozpad jedné ransomwarové kriminální skupiny z důvodu různých názorů jejich členů na ukrajinský konflikt. Z článku Jany Magdoňové na webu iRozhlas.cz vyplývá, že se zřejmě jednalo o skupinu Conti. Její nástupce, ransomwarová skupina Monti, zřejmě stojí za právě prošetřovaným hackerským útokem na českou Univerzitu obrany.

Vojenské zpravodajství varuje před vysokým potenciálem re-eskalace, kdy destruktivní kybernetické útoky mohou být odloženy v čase a nemusí nutně korelovat s intenzitou fyzického konfliktu (destruktivní útoky probíhaly v letech 2015 až 2017 s odstupem po fyzických útocích a akcích v roce 2014). Vojenské zpravodajství má indicie, že původci kybernetických hrozeb nyní diversifikují své nástroje a cíle, což se ale s měnící se dynamikou konfliktu může změnit a zemím NATO budou do budoucna hrozit možné další kybernetické útoky. Pokud v nějakém období lze pozorovat útlum útoků, nemusí to znamenat nic jiného než jen prosté „přezbrojování“ útočníků a hledání efektivnějších cílů. V případě zamrznutí konfliktu či přesunu ruského působení směrem k asymetrickému způsobu vedení boje může role kybernetických operací nabývat důležitosti.

Vojenské zpravodajství je v Česku gestorem kybernetické obrany. Proto nechybí v závěru kapitoly lekce, kterou si pro tuto kompetenci odnáší. Jako významný aspekt označuje privatizaci bezpečnosti a využití služeb komerčních subjektů, ke kterému ukrajinská vláda sáhla postupně od roku 2014, kdy navyšovala svůj obranný potenciál. Díky tomu došlo ke znásobení potenciálu ukrajinských kybernetických obránců. Dalším kritickým aspektem byla a je mezinárodní spolupráce transatlantického a evropského společenství, nejen ve prospěch ukrajinské strany.

Příprava a nábor expertů, spolupráce se soukromým sektorem, budování kybernetických záloh, to vše je potřeba dělat před zahájením jakéhokoliv budoucího konfliktu. Zajímavý je i mentální posun vojenských zpravodajců, když konstatují, že při sdílení a výměně informací v kyberprostoru je žádoucí přesun od principu need-to-know k principu need-to-share a podpořit výměnu neutajovaných technických poznatků a indikátorů kybernetických incidentů i se soukromou sférou.

Bezpilotní prostředky v konfliktu na Ukrajině

Další kapitola se věnuje nezastupitelné roli bezpilotních prostředků v ukrajinském válečném konfliktu. Jejich používání při průzkumu, korigování palby dělostřelectva nebo používání palubní zbraně nesené dronem se stalo běžnou rutinou. Na Ukrajině se jejich používání orientuje na bojovou činnost v podmínkách silné protivzdušné obrany, využívání prostředků pro vedení elektromagnetického boje a nasazení velkého počtu dronů na taktické úrovni. Kromě profesionálních armádních bezpilotních prostředků typu Bayraktar, zpráva zmiňuje využití dronů z kategorie mikro a mini k průzkumu i k útokům na pozemní cíle provizorně vyrobenou municí. Amatérští modeláři v maskáčích vylepšili také FPV drony o náklad výbušnin.

Pro posílení obrany v této oblasti vidí Vojenské zpravodajství cestu v rozvinutí systému pro vedení elektromagnetického boje (hlavně s využitím přenosných a mobilních prostředků).

Zdroj: Výroční zpráva Vojenského zpravodajství za rok 2022

Propagandistické kampaně

Ve třetí kapitole se Vojenské zpravodajství věnuje propagandistickému působení v informačním věku. A tato část je, v kontrastu s poštěkáváním na sociálních sítích, překvapivě racionálně střízlivá. Na jedné straně odmítá marginalizovat vliv propagandy, na druhé straně demýtizuje schopnosti agresora a negativně hodnotí masivní nadužívání pojmů „hybridní válka“ a „dezinformace“, kdy někteří političtí a společenští aktéři začali používat tyto pojmy i pro označení pravdivých informací, které ale nebyly v souladu s jimi prosazovanými idejemi.

Morální panika části veřejnosti byla ještě podpořena inovativním a efektivním konceptem, kterým disponuje ruská strana tzv. Gerasimovovou doktrínou…Až na to, že tento dokument nikdy fakticky neexistoval. Článek ruského náčelníka generálního štábu obsahuje shrnutí jeho názorů na způsob, jakým asymetrický způsob válčení používají protivníci Ruské federace. Jak uvádí Vojenské zpravodajství, „z historického hlediska tak je možno snahy čelit „Gerasimovově doktríně“ připodobnit k několika staletí trvajícímu boji církevních autorit proti ateistickému traktátu O třech podvodnících, který měl údajně ohrožovat základy hlavních náboženství – ačkoliv ve skutečnosti neexistoval.“

Přesto zpráva uvádí hlavní vlivy, které v soudnosti umožňují šíření propagandy, mezi které řadí:

a) krizi důvěry ve stát a jeho instituce,

b) zdůrazňování individuality,

c) demokratizaci informačního prostoru,

d) souběh krizí.

Českou společnost zpráva řadí mezi ty, které jsou zranitelné propagandistickým způsobením, nicméně těžko odhaduje velikost skupin, které jsou náchylnější k přebírání a následnému šíření zahraniční propagandy. Počet čtenářů webových stránek, jimž je ve veřejné debatě přisuzován přívlastek „dezinformační“ či „prokremelské“, jsou podle odhadů zpravodajců vyšší desítky tisíc. Jak dodávají, tvrzení, že tyto projekty šíří výhradně zahraniční propagandu, lze úspěšně zpochybnit.

Vojenské zpravodajství závěrem uvádí, že potírání propagandistických tvrzení je omezeně fungující ex post nástroj. Jakékoliv úspěchy zahraniční propagandy totiž představují průvodní jev celkového odcizení panujícího mezi institucemi a jednotlivými vrstvami společnosti. Bez obnovení celospolečenské důvěry a konsenzu tak bude část obyvatelstva České republiky i nadále vysoce náchylná k jejímu přebírání a šíření.

Kategorie:

Myš je pro kočku: Webové stránky

St, 10/04/2023 - 09:10

Pokračujeme v přehlídce méně známých ovládacích prvků prohlížečů. Začneme ještě jednou skákáním po tabech.

Procházíme se

Nejprve zkratky nejběžnější: Ctrl+T otevře nový tab, Ctrl+W zavře stávající a Ctrl+Shift+T a otevře poslední zavřený. Nemusíte tedy zoufat a namáhat se do historie prohlížení, zlikvidovavše si okno. Ctrl či Alt spolu s čísly přepínají na dané taby. (S výjimkou pro číslo 9, jež skáče na poslední tab v okně.)

Na tab se dostanete i přes Ctrl+L jako location. Stačí začít psát název tabu, prohlížeč jej doporučí.

https://blog.nic.cz/wp-content/uploads/2023/09/percent_search.webm

Ve Firefoxu můžete zúžit hledání na názvy tabů znakem procenta

Možná jste omylem narazili na Ctrl+Shift+C. Jím vyšetříte daný prvek přímo ve vývojářských nástrojích. Na konzoli se k němu dostanete přes zrůdnost $0.

https://blog.nic.cz/wp-content/uploads/2023/09/console_dom_access.webm

Ve vývojářských nástrojích přistoupíte k aktivnímu prvku přes proměnnou $0

Jak vidíte, i po tabech vývojářských nástrojů se můžete prohánět doleva a doprava. Na standardní anglické klávesnici to dělá zkratka s hranatými závorkami Ctrl+[]; máte-li českou, také použijte ty klávesy vedle Returnu, ač jimi píšete ú s čárkou a závorku.

Kategorie:

Sentinel View report – srpen 2023

Čt, 09/28/2023 - 10:26

Mezi červencem a srpnem se počet útoků na minipoty zmenšil přibližně o polovinu. Útočníci z podsítě 46.148.40.0/24 nebyli tolik aktivní jako v měsíci předchozím. Můžeme jasně vidět, že se v čele objevují adresy z jiných zemí – především z evropských, jmenovitě Německa a Rumunska – jež se vrátily do popředí.

Za poslední měsíc bylo o něco více útoků na HTTP minipoty než na telnet, ač v delším horizontu takřka neexistuje rozdíl mezi počty útoků na telnet a HTTP minipoty. Pokud porovnáme všechny předchozí Security Reporty (včetně toho posledního), můžeme vidět, že skenování velkého rozsahu portů nedosahuje zdaleka takové popularity a útočníci se spíše zaměřují na konkrétní porty, než aby dělali scan přes celý rozsah.

Heslo P@ssw0rd, zmíněné v předchozím Security Reportu, se propadlo velmi hluboko, což ale neznamená, že by bylo bezpečné. Sekvence kláves jako například vítěz uplynulého měsíce – heslo 1qazXSW@ může na první pohled vypadat bezpečně, je ale spíše pozvánkou pro útočníka. Sekvence kláves jako hesla nepoužívejte. I přesto, že mohou působit náhodně, vzhledem k sebraným datům se zdají být v poslední době mezi útočníky oblíbenější než skutečná slova.

Kategorie:

Myš je pro kočku: Prohlížeče

St, 09/20/2023 - 10:15

Nejpoužívanějším aplikacím kraluje webový prohlížeč. Je ochotný zastat všechny funkce operačního systému a vy v něm trávíváte šedesát minut z hodiny. Jaká škoda, že na webových stránkách nám klávesnice zapadaná prachem nepomůže. Nebo ano?… Často ne. Není to však chyba klávesnice, jako liknavost vývojářů a jejich designu na úkor použitelnosti! Stížnosti však zkusím spolknout do příště. Zde nás čeká několik obecných tipů.

Přepínání tabů

Oproti situaci před dvaceti lety lidé znávají Alt+(Shift)+Tab pro skákání mezi okny. Ale úplně stejně funguje Ctrl+(Shift)+Tab pro přesun mezi taby! Úplně stejně ne… Že už tu zkratku znáte? A dovedete říci rozdíl mezi ní a Ctrl+PgDown/Up? V Chromu žel žádný rozdíl hloupě není. Ale ve Firefoxu vás Ctrl+PgDown přesune na tab vpravo, kdežto Ctrl+Tab na minule použitý tab.

Kategorie:

Krátké vlny: Pekelný začátek podzimu

Čt, 09/14/2023 - 06:25

Konec prázdnin. Návraty z dovolené. Pracovní kalendář se znovu zaplňuje nesmyslnými online i offline schůzkami. Přes prázdniny kvasilo a dozrálo spoustu aktivit nejen ve státních úřadech. ČTÚ provedl konzultaci k podmínkám výběrového řízení na rádiové kmitočty pro DAB+ (a už zahájil výběrové řízení), NÚKIB rozeslal do meziresortu návrh nového zákona o kybernetické bezpečnosti (a už vypořádal došlé připomínky) a vláda rozhodla o harmonogramu migrace na doménu gov.cz.

Toto pondělí NÚKIB rozeslal připomínkujícím návrh vypořádání připomínek, které obdržel. Wordovský dokument, který obsahuje tabulku vypořádání, má hutných 682 stran, tabulka ke souvisejícímu změnovému zákonu dalších 66. Peklo. Z rychlé analýzy vypořádání je zřejmé, že NÚKIB si dál stojí za svým, ať už v základních parametrech implementace NIS2 směrnice, tak i v mechanismu prověřování dodavatelského řetězce. V rámci vypořádání, zejména se subjekty, které mají právo podávat zásadní připomínky, je ještě prostor k úpravám, než NÚKIB pošle návrh zákona do Legislativní rady vlády a následně ho projedná vláda. Nicméně kombinace urputného NÚKIB a zoufalství některých připomínkujících subjektů protlačit své připomínky způsobí spíše větší než menší legislativní peklo v další fázi projednávání a zejména ve výborech Poslanecké sněmovny. Držím pěsti.

Další peklo se odehrává v Bruselu, kde se před konáním Rady pro spravedlnost a vnitřní věci (JHA), která je svolána na 28. září 2023, finalizuje pozice členských států ke kontroverznímu návrhu nařízení, kterým se stanoví pravidla pro předcházení pohlavnímu zneužívání dětí a boj proti němu (nařízení CSAM). Nařízení má ambici stanovit jednotná pravidla EU pro odhalování, oznamování a odstraňování materiálů týkajících se pohlavního zneužívání dětí na internetu.

Připomeňme, že dočasně (do 3. srpna 2024) platí nařízení (EU) 2021/1232 ze dne 14. července 2021 o dočasné odchylce od některých ustanovení směrnice 2002/58/ES, pokud jde o používání technologií poskytovateli interpersonálních komunikačních služeb nezávislých na číslech ke zpracování osobních a jiných údajů pro účely boje proti pohlavnímu zneužívání dětí online. To některým poskytovatelům interpersonálních komunikačních služeb nezávislých na číslech (některé IM aplikace) dává právní rámec a možnost dobrovolně využívat některé technologie k odhalování a oznamování pohlavního zneužívání dětí online.

Z dobrovolnosti ale návrh CSAM dělá povinnost a jde ještě mnohem dále. Pokud selžou samoregulační mechanismy (samohodnocení rizik), může koordinační autorita požádat soud o vydání tzv. detekčního příkazu. Tento detekční příkaz by měl pak být prováděn pomocí technologií, které poskytne EU Centre, orgán Evropské komise zřízený nařízením CSAM.

Odpůrci současné podoby nařízení CSAM (a není jich málo, v poslední době například i sdružení EuroISPA) ho odmítají, protože disproporčně a bezprecedentně ohrožuje ochranu soukromí a je velkým rizikem pro kybernetickou bezpečnost v EU. Zejména dopad nařízení CSAM na koncové šifrování je alarmující. Existující technologie, které zahrnují skenování a analýzu osobní komunikace, mohou často vytvářet falešně pozitivní výsledky, což může vést k neoprávněným zásahům do soukromí a potenciálním právním důsledkům pro nevinné uživatele. Příklad otce, který zaslal lékaři fotku svého syna a přišel tak o svůj účet a vyšetřovala jej policie je obecně známý. Pachatelé se zatím mohou více přesouvat své aktivity na darknet, případně použijí jiné platformy, aby zakryli svou identitu a nezákonné konání.

Ohrožení důvěry v digitální služby, možnost zneužití a negativní dopad na základní právo na soukromí (na což upozornila i právní služba Rady v dubnu tohoto roku), to je příliš vysoká cena za tento pochybný experiment se soukromím nás všech, byť zahalený v bohulibý cíl – ochrana dětí v kyberprostoru.

Tvůrci CSAM regulaci by si měli přečíst knihu Mindf*ck od Christophera Wylieho, nebo aspoň tuto pasáž:

„Rozvoj člověka vyžaduje přítomnost soukromí a volného prostoru, v nichž můžeme experimentovat, hrát si, kutit, mít tajnosti, překračovat tabu, porušovat své sliby a dumat o své budoucnosti bez důsledků pro náš běžný život, dokud se sami nerozhodneme změny zveřejnit. Historie nás učí, že osobní a sociální osvobození začíná v soukromí. Neodkážeme se posunout dál z našich dětských let, minulých vztahů, omylů, starých postojů, starých těl či dřívějších předsudků, pokud nejsme pány svého soukromí a osobního rozvoje. Nemáme svobodu volby, když jsou naše volby monitorovány a omezovány. Nemůžeme růst a měnit se, když jsme svázáni s naším bývalým já nebo s tou osobou, za jakou jsme se považovali, či s tou, jakou jsme předstírali, že jsme. Když existujeme v prostředí, které nás nepřetržitě pozoruje, všechno si pamatuje a škatulkuje nás podle podmínek nebo hodnot, na něž nemáme vliv a o nichž nic nevíme, pak nás naše osobní data mohou svazovat s minulostí, od níž jsme se chtěli odpoutat. Soukromí je nepostradatelnou podmínkou pro naše rozhodování, kým chceme být a jak toho dosáhnout. Soukromí není důležité proto, abychom se v něm ukrývali – soukromí je důležité pro rozvoj osobnosti a svobodu rozhodování a jednání.“

Už na konci září uvidíme, zda příznivci nové regulace zasahující do samotného srdce soukromé komunikace budou mít mezi ministry vnitra a spravedlnosti na Radě navrch, nebo zda zvítězí zdravý rozum. Snad zástupce české vlády bude mít dostatečně silnou a jasnou pozici.

Trochu optimismu na závěr. Budou LinuxDays! 8. a 9. října 2023 na Fakultě informačních technologií na ČVUT. V programu najdete i speciální track věnovaný aktivitám sdružení CZ.NIC, které tím inovuje svou tradiční konferenci Internet a Technologie. DNS anycast pro národní doménu, performance testy, novinky z Turrisu, BIRD, MojeID, boj z phishingem v doméně .CZ, to je jen část prezentací, které na LinuxDays v CZ.NIC tracku zazní, vlastně celý program konference je pekelně nabitý super přednáškami. Jiní organizátoři konferencí by to nasekali na 3 ročníky a ještě by jim zbylo, organizátoři LinuxDays to odbouchnou najednou. A pozor, bude i překvapení…

Kategorie:

Babičko, zůstaň na netu v bezpečí

St, 09/06/2023 - 09:10

Tak zní název knihy, kterou jsme přeložili z řečtiny od SaferInternet4Kids (řecké Safer Internet Centrum). Jak již samotný název napovídá, kniha pojednává o babičce, kterou učí malá Alenka, jak se bezpečně pohybovat na internetu. U současné generace dětí a mladistvých je běžné, že pomáhá svým rodičům a prarodičům s různými nástrahami internetu, protože dnešní čtyřicátníci, padesátníci, a můžeme jít i dále, s digitálními technologiemi nevyrůstali.

Děti dostávají svůj první tablet mnohdy již před zahájením školní docházky a velmi rychle se s ním skamarádí a poznávají jeho funkce. S mobilním telefonem to není jinak. Je běžné, že současní prvňáčci na svém mobilu hrají hry, posílají fotografie, volají svým příbuzným, a to vše je součástí jejich běžného života. U seniorů je to naopak, k digitálním technologiím se dostali v pozdějším věku a hůře se jim s nimi sžívá.

Jelikož kniha nenásilnou formou vzdělává jak děti, tak seniory, je ideální ke společnému čtení prarodičů se svými vnoučaty. Pro babičky a dědečky to nemusí znamenat pouze „pasivní činnost“, ale též ideální příležitost k tomu se od dětí dozvědět nové a užitečné věci ohledně používání moderních technologií. Kromě ochrany osobních údajů vypráví v knize Alenka své babičce o sociálních sítích a jak se na nich pohybovat, o falešných soutěžích a zákeřných virech. Kromě Alenky v příběhu vystupují také její dva psí kamarádi, kteří též vědí, jak si s některými nesnázemi na internetu poradit.

Čtenáři se rovněž na konci příběhu dozvědí o webových stránkách našeho Safer Internet Centra, kde je možné samotnou knihu stáhnout ve formátu pdf spolu s dalšími zajímavými edukačními materiály pro všechny věkové kategorie, například oblíbenou dětskou knihu ON-LINE ZOO, která má i svou přebásněnou verzi. Taktéž zde najdete pozvánky na různé vzdělávací akce a odkazy na audio-vizuální tvorbu.

Vzdělávacích materiálů pro nejmenší děti je stále poměrně málo, proto jsme rádi, že máme v rámci komunity všech evropských Safer Internet Center možnost svou tvorbu vzájemně přejímat. Někdy i zdánlivě jednoduché téma se ale může stát překladatelským „oříškem“, proto děkujeme Veronice Vondál Formánkové, že si s další knihou hravě poradila.

Kategorie:

Sentinel View report – červenec 2023

Pá, 08/25/2023 - 10:36

Během července počet útočníků nezanedbatelně vzrostl a útoky na minipoty se zdvojnásobily. Jen tři útočníci byli v předchozím měsíci z podsítě 46.148.40.0/24. Nyní útočníci z této sítě okupují většinu vrchních příček žebříčku nejaktivnějších útočníků.

Pokud se podíváme na hesla, zaujme nás jedno: P@ssw0rd. Je to krásný příklad špatného způsobu vytvoření hesla, v žádném případě se nejedná o heslo náhodné a bezpečné. Mnoho služeb při zakládání účtu nebo při inicializaci uživatelského rozhraní (například na routeru) používá předdefinované heslo. A navzdory všem varování ho v mnoha případech uživatelé nikdy nezmění. Tak tomu bývá i u tohoto hesla (https://www.tenable.com/plugins/nessus/94670). Z těchto důvodů routery Turris při nastavování vyžadují volbu hesla vlastního. Použití předdefinovaného hesla je pro útočníka jednou z nejvřelejších pozvánek do systému.

Kategorie:

Akce kulový blesk aneb gov.cz žije

St, 08/16/2023 - 18:58

Ve středu 16. srpna 2023 vláda schválila materiál s návrhem „Harmonogram migrace ústředních orgánů státní správy na jednotnou doménu .gov.cz“, který stanovuje jízdní řád pro velké úřady k přechodu na doménu gov.cz. Tato migrace má zvýšit kybernetickou bezpečnost uživatelů služeb českého e-governmentu, zvýšit uživatelskou přívětivost, důvěryhodnost a jednotnou prezentaci webových stránek státu a e-mailových domén úředníků.

Stát má zaregistrované jméno domény gov.cz již od roku 2001. A jak to tak bývá, snahy o zavedení jednotné domény a pořádku v e-governmentním doménovém prostoru připomínají pohyb po sinusoidě – jednou jsi nahoře, jednou dole. V červenci 2002 vydal Úřad pro veřejné informační systémy (ÚVIS), ano, opravdu něco takového kdysi existovalo, Standard pro tvorbu doménových jmen ve veřejné správě. Nicméně 1. ledna 2003 vzniklo Ministerstvo informatiky, ÚVIS byl zrušen a s ním i jeho standard týkající se doménových jmen. Samotná doména gov.cz, kterou mělo v té době v držení Ministerstvo informatiky, byla využívaná pro potřeby portálu veřejné správy, což v té době byla taková lepší nástěnka s výběrovými informacemi z některých věstníků, zákonů a přehledu životních situací. Ale na konci ledna 2006 („už“ tři roky po založení ministerstva a 18 měsíců před jeho zrušením) vydalo Ministerstvo informatiky „Metodický pokyn pro tvorbu a přidělování doménových jmen třetí úrovně v doméně gov.cz„. Metodický pokyn měl doporučující charakter, Ministerstvo informatiky mělo svou existenci zpečetěnou a úřadů, které „naskočily“ na doménu gov.cz, bylo pomálu.

A po 22 letech od registrace gov.cz tu máme snad už poslední pokus o znovuoživení domény gov.cz. Harmonogram počítá s přechodem v období od podzimu 2023 do konce roku 2024 s výjimkou Ministerstva práce a sociálních věcí, které si vyzískalo odklad do poloviny roku 2025. Již splněno mají DIA, Rada pro rozhlasové a televizní vysílání a Úřad průmyslového vlastnictví.

Obrázek č. 1: Harmonogram migrace webových domén

Harmonogram obsahuje i termíny migrace e-mailových domén a připravenost na vyřizování žádostí o domény třetího řádu pod doménou gov.cz.

Obrázek č. 2: Harmonogram migrace e-mailových domén

Samotný harmonogram je předkládán společně s přílohou, která upravuje procesní, sémiotická, bezpečnostní a provozní pravidla pro státní doménu .gov.cz. Ta jsou závazná vůči adresátům usnesení, kterými jsou ministerstva a ústřední orgány státní správy, nicméně, jak autoři uvádí, „silně doporučují“ i ostatním orgánům moci výkonné a soudní se pravidly řídit. Jako odstrašující případ uvádí praxi soudů a státních zastupitelství, kdy k aktuálně používaným doménovým názvům v jejich e-mailových adresách sahají některé e-mailové adresy až do čtvrtého nebo pátého řádu, což je v rozporu s právě vládou schválenými pravidly.

Stávající domény budou přesměrovány na nové domény (například Ministerstvo obrany se z army.cz a mod.gov.cz přestěhuje na mo.gov.cz) s tím, že původní domény budou udržovány při životě do roku 2030.

Migrace se nebude týkat současných „tzv. microsites“ (pro budoucí to již neplatí), zanedbaných a nefunkčních jmen domén, případně těch, které mají pouze regionální význam. Nicméně dobrovolnosti se meze klást nebudou. Z migrace jsou také vyjmuty tzv. „vnitřní domény“, které neslouží k poskytování webových služeb koncovým klientům veřejné správy.

V doprovodném usnesení vláda uložila, kromě povinnosti provést migraci podle harmonogramu a v souladu s pravidly, ministrům a dalším vedoucím ostatních ústředních orgánů státní správy, dále povinnost pro ministra vnitra a ředitele Digitální a informační agentury („DIA“) společně s místopředsedou vlády pro digitalizaci vytvořit podmínky pro migraci. Místopředseda vlády pro digitalizaci si také odnáší úkol předložit vládě zprávu o plnění harmonogramu migrace a to do 1. dubna 2025. Do téhož data má ředitel Národního úřadu pro kybernetickou a informační bezpečnost ve spolupráci s ředitelem Digitální a informační agentury a ministrem vnitra provést audit plnění bezpečnostních a provozních pravidel domény gov.cz. Věřím, že dopadne lépe než stávající fungování serverů justice.cz.

Obrázek č. 3: Občasná úvodní stránka vítající návštěvníka webu justice.cz

Migrace na doménu gov.cz nevyřeší všechny problémy českého e-governmentu ani nevyřeší kybernetickou bezpečnost české státní správy na věčné časy. Nicméně měla proběhnout už dávno. Pevně věřím, že její realizace odstraní pochyby, které některé úřady na začátku diskuze o migraci měly. A za pozitivní považuji už to, že celý proces donutí úřady udělat si pořádek v jménech domén, které používají, nebo které používaly a už na to zapomněly. Protože nepopíratelným faktem je, že stát v současné době neví, jaká jména domén vlastní a používá, resp. vlastní a nepoužívá, případně nevlastní a používá.

Kategorie: