Hosting

Přihlášení

Návrat USA na Měsíc po více než 50 letech. První soukromý modul úspěšně přistál

Svět techniky - Pá, 02/23/2024 - 01:38
Měsíční přistávací modul Nova-C pojmenovaný Odysseus se v pátek dostal na povrch Měsíce. Splnil tak úkol, který nezvládl při letošním prvním pokusu o znovudobytí Měsíce Američany modul Peregrine společnosti Astrobotic. Stroj firmy Intuitive Machines se stal prvním, který jako soukromý dorazil bezpečně na Měsíc.

Airbus se vzácnou livrejí potěšil Prahu a připomněl nedávnou katastrofu

Svět techniky - Pá, 02/23/2024 - 01:00
Před nedávnem jsme měli možnost, prohlédnout si na letišti Václava Havla v Praze vzácný Airbus A350-900 China Arilines, který tu přistál na pravidelné lince mezi Prahou a tchajwanskou Tchaj-pejí. Stoj je výjimečný svojí livrejí, tady designem pláště trupu evokující použití kompozitních materiálů. Stejný typ stroje shořel v lednu na japonském letišti Haneda.

Nová hra umožní vyzkoušet si život astronauta na ISS ve virtuální realitě

Svět techniky - Čt, 02/22/2024 - 07:10
Ve středu byla představena týmová multiplayerová hra, která zájemcům umožní se ve virtuální realitě vžít do kůže astronautů na Mezinárodní vesmírné stanici. Aplikace umožňuje hrát nejen ve virtuální realitě, ale i na počítači do virtuálního světa nahlížet v módu pozorovatele.

Co přinesl poslední marketingový meeting organizace CENTR?

Svět internetu - Út, 02/20/2024 - 11:32

Ke konci minulého roku jsme se zúčastnili již 38. workshopu marketingové skupiny CENTR. CENTR je evropská organizace sídlící v Bruselu, která sdružuje evropské registry domén nejvyšší úrovně. Jejím hlavním cílem je podpora registrů a rozvoj jejich standardů, funguje ale také jako komunikační kanál mezi registry a platforma pro sdílení mezinárodních zkušeností. Právě sdílení zkušeností bývá stěžejním bodem setkání marketingové skupiny, v níž mají zastoupení marketingoví specialisté, mezi kterými probíhá výměna poznatků a zkušeností z praxe.

Setkání vždy hostí jeden z evropských registrů. Tentokrát padla volba na švédský Internetstiftelsen, který uspořádal workshop ve svých kancelářích ve Stockholmu. Témata byla tentokrát dvě – typy kampaní a jejich měření. V diskuzích jsme se také dotkli umělé inteligence a jak ji (správně) využít v naší práci. Jako obvykle šlo o dva intenzivní dny plné pozitivní energie a inspirace.

Jednotlivá témata byla rozdělena do několika diskuzních bloků – každý byl vždy uveden praktickou prezentací některého z registrů, poté následovala řízená diskuze. Díky tomuto formátu se museli zapojit opravdu všichni zúčastnění a zároveň to umožňovalo lépe sdílet své nápady a zkušenosti. Ty nejzásadnější jsem shrnula do následujících pěti bodů:

1. Většina registrů se v kampaních zaměřuje na vzdělávání a osvětu v oblasti kyberbezpečnosti nebo digitální gramotnosti.

Podobně jako CZ.NIC se svými osvětovými aktivitami, kterými jsou například výukové seriály pro děti Nauč tetu na netu, Datová Lhota, Alenka v řiši GIFů či Nebojte se Internetu pro seniory, i ostatní registry se zaměřují na vzdělávání těch nejzranitelnějších skupin. Domácí švédský registr představil výukové materiály pro učitele věnující se tématům spojeným s internetem, japonský registr (JPRS) zase prezentoval výukový web https://withponta.jp zaměřený na bezpečnost, rozeznání fake news apod.

2. Pro mnohé z registrů je velkým tématem propagace národních domén.

České prostřední je v tomto specifické a většinu této práce dělají (a dobře) naši registrátoři formou (nejen) co-marketingového programu, který CZ.NIC spolufinancuje. CZ.NIC také již několik let realizuje projekt certifikace registrátorů, který má jednak poskytnout potenciálnímu zájemci o registraci domény .cz informaci o úrovni služeb nabízených jednotlivými registrátory a zároveň pomoci registrátorům navrhovat jejich systémy tak, aby byly pro koncové zákazníky co nejpříjemnější.

Co se týká zahraničních praxí, tak například kanadský registr (CIRA) usiluje rozsáhlými kampaněmi o větší zviditelnění národní domény .ca, oproti globálně užívané .com. Podobně jsou na tom třeba i registry v Portugalsku či Španělsku.

3. Pro správné měření kampaní je potřeba si stanovit cíl, správné metriky a správné nástroje.

V používání některých nástrojů se vzájemně shodujeme, někteří z kolegů ale představili i méně známé nástroje a software. Pro webovou analytiku, měření návštěvnosti a konverzí, k čemuž v CZ.NIC využíváme Matomo, jiní používají Google Analytics, Ahrefs nebo Hotjar. Správu mailingů, kterou u nás svěřujeme do rukou phpListu, jiní dělají v nástrojích Mailchimp, Hubspot nebo Hootsuite. Pro složitější reporting a vizualizaci dat je také stále častěji využíván nástroj Microsoft Power BI.

4. Pro lepší dosah kampaní je vhodné obsah jakkoli přiblížit cílové skupině.

Portugalský registr například spojil síly s populárním cyklistickým závodem Volta, který v Portugalsku sledují desítky tisíc lidí. U nás si můžete pamatovat kampaň Dobrá doména, kterou jsme cílili na malé firmy a živnostníky.

5. Z umělé inteligence je potřeba si udělat spojence do budoucna.

Že je potřeba s umělou inteligencí počítat, už je jasné asi každému z nás. Aby nám ale dobře sloužila, je potřeba se s ní naučit efektivně pracovat. Názory většiny kolegů se shodovaly v tom, že AI bude do roku 2035 hrát významnou roli v oblasti zákaznické podpory nebo marketingu. Někteří kolegové už umělou inteligenci ve své práci aktivně využívají, například jako pomoc při vyhledávání fake news, tvorbě tiskových zpráv a jiných textů nebo jednoduché grafiky. Často je také využívána při tvorbě datových analýz. I u nás v CZ.NIC se samozřejmě s ChatGPT trochu známe, ale grafiku i veškeré texty u nás stále obstarává stará dobrá lidská inteligence.


Rok 2035 a předpověď do budoucna byla vlastně obecně tématem naší závěrečné diskuze. Bude svět stále znát domény a registrátory? Shodli jsme se, že ano – jen domén bude pravděpodobně více, stejně jako registrátorů, kteří budou větší a budou nejspíš také přibývat nebo fúzovat. Jedno je ale jisté, marketingová skupina CENTR bude mít stále shodný cíl – dělat společně dobré jméno doménovým registrům, ať už k tomu vedou jakékoli a jakkoli odlišné cesty.

Kategorie:

Sentinel View report – listopad 2023

Svět internetu - Pá, 02/16/2024 - 10:15

Měsíc listopad přinesl několik zajímavých faktů. Írán byl v útocích méně aktivní a na první tři místa se pro změnu dostali útočníci z Rumunska. Během tohoto měsíce se také objevila nová zajímavá IP adresa, která patří útočníkovi z Panamy. U skenování portů s nízkým číslem (porty do 1 023) byl v listopadu zaznamenán rekord pro port 53; nemohli jsme si pomoci a tak jsme se ponořili do těchto údajů hlouběji.

Rozhodli jsme se pro to z několika důvodů. Prvním z nich je skutečnost, že port slouží ke komunikaci s DNS serverem, což je klíčová služba poskytovaná sdružením CZ.NIC. Druhým důvodem je podezřelý nárůst aktivit v porovnání s měsícem říjnem. Samotné nás zajímalo, o co se jedná. DDoS útok využívající k amplifikaci DNS? Špatně nastavený DNS resolver? DNS server nově za firewallem? Ke které možnosti se přiklonit, nám prozradili data z našich sond. Více „obětí“ a jeden útočník by naznačovalo DdoS útok. Malá skupina adres ze stejného subnetu „útočící„ na jednu „oběť“ by odpovídalo teorii, že se jedná o resolver za firewallem. Pokud by se však jednalo o „útočníky“ z celého světa, kteří mají zájem jen o jednu IP, potom by takové chování odpovídalo nejspíše autoritativnímu serveru, který je nově schovaný za firewallem. Jednoduchým dotazem jsme v naší databázi zjistili, že cílem je pouze jedno zařízení. Vypadá to tedy, že se jedná o poslední případ – DNS server za firewallem a každý, kdo u něho zkouší zadat dotaz, skončí na firewallu a u nás v systému jakožto útočník. To způsobuje šum, který bychom měli ignorovat, podobně jako porty BitTorrentu.

Kategorie:

Yubikey na úrovni záruky vysoká a online kvalifikovaný certifikát od Postsignum

Svět internetu - Čt, 02/15/2024 - 11:58

Možnost mít MojeID na úrovni záruky Vysoká je jednou ze zásadních vlastností, která tuto službu odlišuje od ostatních digitálních identit. Konkurencí jsou v tomto smyslu pouze čipová karta Starcos od I.CA a čipová karta občanského průkazu. Obě nicméně vyžadují čtečku karet a instalaci obslužného programu do vašeho počítače nebo telefonu. V MojeID máte místo čipové karty jednoduchý USB bezpečností klíč, nepotřebujete žádnou čtečku a ani nemusíte do počítače nic dalšího instalovat. Máme jasného vítěze, že? V nabídce podporovaných USB bezpečnostních klíčů byl dlouho dobu pouze klíč IdemKey od tchajwanského výrobce GoTrust. Toto se nyní mění a MojeID přidává podporu pro vybrané modely z dílny švédské společnosti Yubico. Zároveň se průběžně zvyšuje počet služeb, kde se bez úrovně záruky Vysoká neobejdete a MojeID vám tedy může pomoci. Novinkou je možnost online vystavení kvalifikovaného certifikátu od Postsignum.

Když v roce 2021 služba MojeID získala akreditaci pro úroveň záruky Vysoká, podmínky dohodnuté s Ministerstvem vnitra zahrnovaly použití bezpečnostního klíče certifikovaného FIDO Alliancí na úroveň L2 a zároveň mající dostatečně vysokou certifikaci bezpečnostního čipu použitého v klíči. V té době byl na trhu jediný klíč, který tyto podmínky splňoval a to IdemKey od GoTrust. Loni nicméně došlo k tomu, že FIDO certifikaci L2 získaly také některé klíče firmy Yubico. Jak je vidět z oficiálního seznamu FIDO Alliance, jedná se o dvě produktové řady a to Yubikey FIPS a Security Key. Tyto klíče používají čip Infineon SLE 78, který má dostatečnou certifikaci CC EAL6+. Následně bylo nutné informovat agenturu DIA o tom, že podmínky akreditace splňují nové klíče, a pak již bylo možné přidat tyto klíče do interního seznamu klíčů pro úroveň záruky Vysoká. Jakýkoliv z těchto klíčů je možné objednat přes e-shop českého distributora Three s.r.o. Yubico Security Key je také k dispozici na e-shopu Alza.cz ve variantě s USB-A nebo USB-C.

Za poslední rok se také významně posunula k lepšímu podpora bezpečnostních klíčů ve webových prohlížečích. Dlouho dobu měli smůlu uživatelé, kteří chtěli tuto nejvyšší úroveň záruky využívat na prohlížeči Firefox v operačních systémech Linux a MacOS, kde chyběla možnost zadat PIN. To již neplatí a při používání bezpečnostního klíče není nutné Firefox opouštět. Jediné co Firefox zatím neumí, je nastavení PIN na klíči, což je podmínka pro jeho aktivaci pro úroveň záruky Vysoká. K tomu je stále třeba použít buď Chrome, nebo interního správce klíčů v rámci Windows Hello. U nových klíčů od Yubico je možné (ale nikoliv nutné) používat jejich vlastní aplikaci pro správu klíčů.

K čemu je dobré mít digitální identitu na této nejvyšší úrovni záruky? Oproti klasické digitální identitě tak, jak jí dnes nabízejí například banky, garantuje tato úroveň mnohem vyšší bezpečnost. Tyto prostředky lépe chrání před útoky jako phishing, vishing a smishing, které jsou nyní hlavní zbraní internetových podvodníků. Proto jsou tyto prostředky také vyžadovány tam, kde je bezpečnost klíčová. V České republice je tato úroveň záruky například nutná, pokud si chcete otevřít účet u Ministerstva financí pro správu státních dluhopisů. Úroveň záruky Vysoká můžete využít také v online systému Notářské komory, pokud například chcete bez návštěvy notáře založit firmu. Zákon o právu na digitální službu nabízí možnost online legalizace elektronického podpisu, kdy předpovídá existenci systému státní správy, kam nahrajete např. ručně podepsaný dokument, identifikujete se právě prostředkem na nejvyšší úrovni záruky a výsledkem bude dokument, který bude ekvivalentem úředně ověřeného podpisu vyžadovaného v mnoha jednáních se státem. Tento systém bohužel zatím neexistuje. Stát nedávno spustil jeho variantu, kterou je možné provést osobně na CzechPOINTech. O této variantě se můžete dočíst v článcích Jiřího Peterky na serveru Lupa.cz. Snad se online varianty dočkáme již brzy.

Než se tak stane, je nutné ke stejnému účelu používat kvalifikované osobní certifikáty vydávané certifikačními autoritami. Pokud si takový certifikát přes portál občana uložíte ke svému záznamu v registru obyvatel, má jakýkoliv dokument podepsaný s využitím tohoto certifikátu váhu úředně ověřeného podpisu. Pionýrem v poskytování těchto certifikátů online s využitím digitální identity je certifikační autorita Postsignum, která svojí službu CertifikátOnline spustila před dvěma lety. Implementovala tak možnost danou evropským nařízením eIDAS, které ve svém článku 24 popisuje, za jakých podmínek je možné kvalifikovaný certifikát vzdáleně vydat. Při spuštění této služby splňoval podmínky pro využití digitální identity pro tyto účely pouze elektronický občanský průkaz. Po oficiální notifikaci MojeID dle nařízení eIDAS v polovině roku 2022 začalo tyto podmínky splňovat, alespoň podle nás, i MojeID. Bohužel zmiňovaný text nařízení eIDAS, a jeho interpretace, se následně stal předmětem dlouhých diskuzí mezi CZ.NIC, Ministerstvem vnitra a zejména Evropskou komisí. Podstatné je, že jsme se na jeho interpretaci nakonec shodli a  nyní je již konečně možné pro online získání kvalifikovaného certifikátu v rámci služby CertifikátOnline využít také MojeID.

Celý proces je detailně popsán na stránkách služby. V tuto chvíli je omezen pouze na osobní certifikáty a není možné jej použít pro zaměstnanecké certifikáty. Začíná ověřením totožnosti pomocí MojeID. Je třeba použít MojeID účet pro fyzickou osobu ověřený na úroveň záruky Vysoká, tedy se zaregistrovaným odpovídajícím USB bezpečnostním klíčem a ověřený buď na CzechPOINTu nebo pomocí jiného prostředku na úrovni záruky Vysoká.

Dalším krokem je odsouhlasení smlouvy o vystavování certifikátu, případně vybrání smlouvy, podle které se bude certifikát vydávat. K dispozici jsou dvě varianty podle toho, zda-li certifikát pořizujete jako fyzická osoba podnikající nebo nepodnikající. Součástí smluvního svazku je také odsouhlasení, že vám bude vygenerován identifikátor MPSV. Odsouhlasení smlouvy proběhne přes SMS kód zaslaný na telefonní číslo.

Následuje vygenerování žádosti o certifikát. K tomu je možné použít tři cesty. Webový formulář přímo vyzývá k použití aplikace iSignum, která je ale bohužel pouze pro operační systém Windows. Alternativou (nezmíněna ve formuláři) je použít aplikaci iSignum v mobilním telefonu s OS Android. Výsledný certifikát se soukromým klíčem pak je možné exportovat a nahrát zpět do počítače. Poslední možností je vytvořit si žádost o certifikát manuálně třeba pomocí OpenSSL a nahrát jí do systému pomocí speciálního webu. Ve všech třech případech je výstupem generováni číslo žádosti, které vložíte do formuláře.

Posledním krokem je zaplacení, kdy je možné využít jak platební kartu, tak online platbu, kterou nabízí většina českých bank. Po zaplacení je během chvilky vystaven požadovaný certifikát.

Jak je zmíněno výše, abyste vaše podpisy s využitím tohoto certifikátu měly váhu úředně ověřeného podpisu, nezapomeňte si certifikát nahrát na příslušném místě v portálu občana. Do portálu občana se samo sebou přihlásíte opět s MojeID.

MojeID na úroveň záruky Vysoká nemá využití jenom v českém prostoru. Díky notifikaci je možné tyto prostředky využívat i přeshraničně. Některé Evropské země jsou v tomto smyslu přísnější než my a například Rakousko pro přístup k jejich státnímu portálu vyžaduje pouze prostředky s úrovní záruky Vysoká. Již brzy nás v Evropském digitálním prostoru čeká velká revoluce v podobě Evropské peněženky digitální identity. Více o ní se můžete dozvědět například v prezentaci věnované tomuto tématu na LinuxDays. Podstatné je, že pokud budete mít k dispozici digitální identitu na úrovni záruky Vysoká jako třeba právě MojeID, nebudete pro aktivaci této peněženky muset nikam chodit a provedete ji z pohodlí domova. Finální legislativa se bude schvalovat v Evropském parlamentu teprve v příštích týdnech, ale s pravděpodobností hraničící s jistotou bude v případě aktivace pomocí prostředku s nižší úrovní záruky vyžadováno dodatečné ověření totožnosti, například někam zajít nebo provést jiný odpovídající úkon. Aktivujte si tedy MojeID na úrovni záruky Vysoká už teď, využijte jeho potenciál a buďte připraveni na budoucnost :-).

Kategorie:

Krátké vlny: Kybernetické útoky rámují diskuze o novém kybernetickém zákonu

Svět internetu - Čt, 02/15/2024 - 07:29

Novela zákona o kybernetické bezpečnosti míří příští týden do pracovních komisí Legislativní rady vlády, zástupci podnikatelského sektoru nahlas vyjadřují své výhrady a lobbisté obíhají zájmové osoby a slibují svým klientům možné i nemožné. Mezitím se každý den v kybernetickém prostoru odehrává boj podvodníků a cizích aktérů s ajťáky, síťaři i běžnými uživateli o neautorizovaný přístup k informacím nebo finančním prostředkům (nebo k informacím o finančních prostředcích).

Prosincový kybernetický útok na ukrajinského operátora Kyivstar, který vedl k přerušení poskytování služeb pro miliony uživatelů a firem, byl podle posledních zjištění ukrajinské zpravodajské služby připravován několik měsíců, když ruští hackeři pronikli do systémů operátora už v květnu 2023. Zpravodajská služba také potvrdila, že za útokem stojí hackerská skupina Sandworm, která patří pod ruskou vojenskou rozvědku a má na svém kontě již několik útoků na telekomunikační operátory a poskytovatele internetu.

V rámci odvetného mechanismu zaútočila ukrajinská hackerská skupina BlackJack na IT infrastrukturu společnosti Rosvodokanal, která v Rusku řeší distribuci pitné vody. Během kybernetického útoku na společnost, která distribuuje pitnou vodu pro sedm milionů obyvatel, se hackerům podařilo získat přístup k velkému množství dokumentů, zašifrovat více než šesti tisíc počítačů
a smazat více než 50 terabajtů dat, včetně interního oběhu dokumentů, firemní pošty, služeb kybernetické bezpečnosti, záloh atd.

Není to jediný útok, který si nedávno skupina BlackJack připsala na své konto. Dalším jejich zářezem je úspěšný útok na ruského operátora M9 Telecom. Na TORu následně zveřejnila 10 gigabajtů dat z e-mailového serveru operátora a wiperem smazala 20 terabajtů dat.

Midnight Blizzard (APT29), ruská hackerská skupina, pronikla v listopadu 2023 do systému společnosti Microsoft a získala přístup k e-mailům společnosti, který měla až do poloviny ledna 2024. Jak uvádí společnost Microsoft, prvotním vektorem útoku byl password spaying, brute force útok, kdy útočník zkouší různá uživatelská jména v kombinaci s jedním heslem. Útok tak nebyl důsledkem zranitelnosti v produktech nebo službách společnosti Microsoft a společnost nemá důkazy o tom, že by útočník měl přístup k zákaznickému prostředí, produkčním systémům, zdrojovému kódu nebo systémům umělé inteligence.

Ruská společnost T.Hunter představila nástroj Soudruh Major, který podle slov společnosti dokáže pomocí umělé inteligence odhalit skutečné vlastníky anonymních telegramových kanálů. Tento proces zahrnuje shromažďování informací o správcích z popisu kanálu, archivovaných kopií kanálu, příspěvků a metadat zveřejněných souborů. Potřebné informace může program najít v titulcích příspěvků, vloženém chatu, balíčcích nálepek, dokumentech a videích nahraných do komunity (a dalších dat samozřejmě). Analyzovaný obsah může obsahovat informace o mobilních telefonech svázaných s profilem uživatele, adresu a další digitální stopy, které má AI bot „Comrade Major“ na požádání ukáže. Kromě toho AI analyzuje další identifikátory a také má získávat údaje z komunit na sociálních sítích, blogů a webových stránek.

Australská vláda připravila praktické tipy pro zvýšení kybernetické bezpečnosti zástupců firem. Tipy jsou zpracovány formou checklistu a zdůvodnění jednotlivých bodů, mezi které patří využívaní multifaktorové autentizace, oddělování pracovních a soukromých účtů, provádění pravidelných aktualizací a záloh, používání jen prověřených nabíjecích kabelů, obezřetné sdílení obrazovky nebo pravidelné vypínání mobilu.

UTA0178, čínský státní aktér, využil pro své útoky dvě zranitelnosti ve VPN zařízeních společnosti Ivanti. I když tato skupina kompromitovala méně než deset obětí, zranitelnosti začaly využívat i jiné hackerské skupiny a počet kompromitovaných zařízení strmě rostl. Jiný čínský aktér, Volt Typhoon, využíval ve velkém rozsahu zranitelnost routerů Cisco RV320 a RV325. Během 37 dnů kompromitoval 30 procent těchto zařízení se zřejmým cílem postavit masivní botnet. K čemu asi (řečnická otázka)?

Iránský aktér, Homeland Justice, se přihlásil k útoku na albánský parlament a telekomunikačního operátora One Albania. Ani jeden z napadených subjektů není určen jako kritická infrastruktura.

V Jižní Americe si zase užívají DDoS útoků botnetu Bigpanzi, který svou sílu staví na 172 tisících chytrých televizí a set top boxů. Součástí strategie útoku byla snaha přesměrovat některé názvy domén na konkrétní IP adresy a obejít běžný proces překladu DNS, což zhoršilo možnosti obránců sledovat a analyzovat útočníky.

Pekingský forenzní institut prolomil službu protokolu AirDrop. Nestalo se tak v laboratorních podmínkách, ale s cílem zamezit šíření „nevhodných sdělení“. Společnost Apple v listopadu 2022 omezila používání funkce bezdrátového sdílení souborů AirDrop na zařízeních na čínské pevnině poté, co ji podle médií některé protičínské síly využily k šíření nevhodných digitálních letáků. Po aktualizacích se uživatelé mohou rozhodnout přijímat soubory od nekontaktních osob pouze během desetiminutového okna, než se automaticky vypne.

V západních zemích (USA, Velká Británie a Austrálie) jsou zase reportovány případy, kdy jsou explicitní a urážlivé obrázky anonymně zasílány cizím lidem prostřednictvím iPhonů (tzv. „cyber flashing“).

Kybernetická bezpečnost je a bude problém. Samotné přijetí zákona ji rozhodně nevyřeší, ale s větší nebo menší byrokratickou zátěží nastaví standardy pro širší skupinu subjektů a odvětví. Jak ukázal zástupce Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Tomáš Pekař na konferenci CSNOG 2024 ve Zlíně, snaží se NÚKIB zkoncentrovat komunikaci povinných osob do prostředí jednotného Portálu a v rámci své gesce sjednotit komunikaci a částečně zkrotit správní řízení do podoby klikacích portálových dlaždic. Ale i sebelepší technické řešení nakonec narazí na tu podivnou hmotu mezi klávesnicí a židlí a její ochotu dodržovat pravidla a průběžně reagovat na zlepšující se útoky z kyberprostoru. Hodně štěstí.

Vygenerováno Midjourney, 2024

Kategorie: