Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 6 min 4 sek zpět

Bezpečnostní školení, které dává smysl

St, 05/22/2019 - 11:15

Kyberbezpečnost, bezpečnost IoT a další bezpečnostní termíny jsou skloňované čím dál tím častěji. Souvisí s nimi také školení, která mají internetové profesionály na problémy a problematické situace s internetovou bezpečností připravit. Jedním takovým je školení od společnosti SANS, které patří celosvětově mezi nejprestižnější a nejvyhledávanější. Společnost SANS nabízí celou řadu těchto školení. Konkrétně jedno z nich nese název SEC542: Web App Penetration Testing and Ethical Hacking.

Úvod je věnovaný základní problematice, tedy takzvanému “Intofmation gathering”. Účastníci zjistí, jaké všechny informace mohou získat pomocí nástroje „whois“. Pomocí proxy nástrojů „ZAP“ a „BurpSuite“, se dostanou do komunikace mezi prohlížečem a webovým serverem, kterou poté mohou libovolně upravovat a při tom si vyzkoušet různé útoky na webový server. Nástroje neumožňují pouze manipulovat s HTTP komunikací, ale jsou také schopné automaticky procházet weby, objevit známe zranitelnosti na stránkách, automaticky vyplňovat přihlašovací pole podle slovníků a plno dalších užitečných funkcí.

V další části školení na účastníky čekají příklady spojené s problematikou konfigurace serveru a autentizací klientů. Prostor dostane také nástroj „nikto“, který hledá základní konfigurační chyby u vlastních webových aplikací a serverů. Například dokáže vyhledat dosud neodstraněné základní instalační soubory na serveru, a zjišťuje, jestli je bezpečně nastavená hlavička odpovědi serveru podle aktuálních standardů.

Na to navazuje kapitola věnovaná práci s webem, a to konkrétně hledání citlivých informací. Například v nesmazaných konfiguračních souborech, poznámkách v html kódu nebo metadatech. Lektor posluchačům ukazuje různé druhy autentizace, jejich výhody, nevýhody a způsoby zneužití.

Přibližně v půlce kurzu dostane slovo správa relace, která slouží k tomu, aby webový prohlížeč věděl, jaký uživatel je zrovna přihlášený. Posluchači se tak naučí způsoby, jak je možné vytvářet relace, sledovat je a zneužívat.

Potom následuje část týkající se útoku typu SQL injection. Tento typ využívá neošetřeného vstupu do webové aplikace, při které pomocí SQL příkazů umožní útočníkovi získat přístup k citlivým datům uživatelů uložených v dané databázi, v nejhorším případě dokonce k přihlašovacím údajům.

Postupně se dostane i na problematiky „Cross-Site Scripting (XSS)“, základní strukturu modelu DOM, politiku Same-Origin-Policy a „Cross-Site Request Forgery (CSRF)“. Útok XSS má za cíl podstrčit škodlivou část javascriptu do html stránek, které se pak spustí v prohlížeči návštěvníků. Každého milovníka XSS zranitelností, pak potěší seznámení s nástrojem BeEF. Jedná se o framefork, který obsahuje již předpřipravenou sadu útočných javascriptů. V tomto případě může jednoduše útočník přes uživatelské rozhraní napadnout uživatele zranitelné webové aplikace. Příkladem útoků může být zobrazení upozornění, že je nutné aktualizovat webový prohlížeč. Místo slíbené aktualizace, by v případě reálného útoku proběhla instalace malwaru.

Závěr kurzu je věnován psaní finální zprávy, která je důležitou částí samotného penetračního testování. Ve zprávě je nutné popsat, jakým způsobem daný problém vyřešit. Dokument slouží nejen k vyřešení nahlášených zranitelností, ale je v něm také uvedeno, jak otestovat danou zranitelnost, aby každý, kdo si objedná penetrační testy, byl schopný po odstranění nalezených zranitelností ověřit, zda opravdu došlo k jejich opravení. Schopnost pentestera psát finální zprávu je stejně důležitá jako schopnost umět najít zranitelnosti na webu.

Pokud se absolvent kurzu rozhodne získat certifikát, je nutné během následujících čtyř měsíců absolvovat certifikační zkoušku. K dispozici jsou dva zkušební testy, pro jejichž absolvování je povoleno používat veškeré studijní materiály ze školení, pochopitelně včetně vlastních poznámek. Test je tvořený z oblastí, které byly probírány v průběhu týdenního školení.

Kurz SEC542: Web App Penetration Testing and Ethical Hacking má svoji cenu a ta není nijak nízká. Absolvování týdenního školení stojí přibližně sto padesát tisíc korun. Této částce ale odpovídá jak úroveň přednášejících, tak rozsah teoretické i praktické části. Závěrečný test je potom velice náročný, jak obsahově, tak časově. Absolventi jsou ale považováni za skutečné odborníky, kteří se velice dobře vyznají v dané oblasti. Protože posilování schopností bezpečnostních týmů v oblasti kybernetické bezpečnosti je jedním z cílů projektu Strengthening cyber-security capacities in the Czech Republic, spolufinancovaném Nástrojem Evropské unie pro propojení Evropy, mohl jsem se tohoto školení zúčastnit. V rámci uvedeného projektu pak vznikl i tento článek.

Kategorie:

Na ODVR podporujeme také DNS-over-HTTPS

Po, 05/20/2019 - 09:34

V mém nedávném blogpostu jsem informoval o spuštění nového ODVR, tedy našich DNS resolverů pro veřejnost. Nové ODVR provozujeme na k tomu určeném DNS anycastu s námi vyvíjeným resolverem, kterým je KNOT Resolver. Současně se spuštěním nového ODVR jsme zprovoznili i podporu šifrované komunikace DNS-over-TLS (DoT).

Nyní přicházíme ještě s podporou protokolu DNS-over-HTTPS (DoH). Vedle DoT se tedy jedná o další možnost, jak šifrovat spojení mezi klientem a DNS resolverem. Pro využití DoH zbývá už jen správně nastavit váš internetový prohlížeč.

Nastavení DoH

DoH si můžete vyzkoušet ve Firefoxu od verze 62, Chrome od verze 66 nebo Bromite od verze 67.

Nastavení ve Firefoxu je velice jednoduché. Přejděte do menu „Předvolby“, v menu „Obecné“ zcela dole najděte sekci „Nastavení sítě“ a klikněte na tlačítko „Nastavení“. Zaškrtněte „Zapnout DNS přes HTTPS“ a do pole „Vlastní“ vložte URI „https://odvr.nic.cz/doh“.

Alternativně lze DoH aktivovat i v pokročilém nastavení „about:config“ vyhledáním řetězců network.trr.uri, network.trr.mode a případně i network.trr.bootstrapAddress.

Výše uvedené nastavení, stejně tak i pro protokol DoT, je dostupné také v rámci webové prezentace https://www.nic.cz/odvr.

Protokol DNS-over-HTTPS je provozován v experimentálním modu a doporučujeme spíše používat pro šifrovanou komunikaci protokol DNS-over-TLS. Určitě ale budeme moc rádi za Vaši zpětnou vazbu s použitím DoT a zejména DoH.

Ověřit funkčnost DoH si můžete např. pohledem do síťového provozu, pomocí nástroje tcpdump.

Měli byste vidět podobný výstup jako na obrázku výše, tedy provoz na portu TCP/443 a nečitelný obsah packetů.

I při použití protokolu DoH platí, že nefiltrujeme žádné DNS dotazy, vyjma privátních IPv4 a IPv6 rozsahů.

Vypnutí původního ODVR

Původní ODVR běží z jedné části na samostatných serverech s fail-overem (IP adresy 217.31.204.130, 2001:1488:800:400::130) a z druhé části na DNS anycastu pro .CZ doménu (IP adresy 193.29.206.206, 2001:678:1::206). Využití obou prostředí je nerovnoměrné a většinu provozu odbavují právě ne-anycastové servery, jak ukazuje následující graf.

Využití anycastových serverů se pohybuje okolo 25 % celkového provozu. Protože chceme ODVR z bezpečnostích důvodů zcela oddělit z DNS anycastu pro .CZ doménu, přednostně odstavíme právě tuto skupinu IP adres, tedy 193.29.206.206, 2001:678:1::206. Jelikož jde o dlouhodobý proces, provedeme to až v okamžiku, kdy provoz na této části ODVR klesne pod 1 % celkového provozu.

Vzhledem k tomu, že se ODVR používá i na routerech Turris, částečný pokles provozu zajistíme změnou DNS resolverů v rámci release TurrisOS. Nové adresy jsou již použity v nedávno vydané verzi TurrisOS 4.0 beta 1, pro TurrisOS 3.x budou dostupné v následující aktualizaci.

Další oslabení provozu zajistíme kontaktováním ISP poskytovatelů, od kterých přichází nejvíce DNS provozu.

Kategorie:

Validace mojeID na jakémkoliv Czech POINTu! Jak na to?

Út, 05/14/2019 - 10:42

Na základě značného úspěchu validací účtů služby mojeID pomocí datových schránek (viz článek kolegy Talíře), kterou každý měsíc využije kolem stovky uživatelů mojeID, jsme pro uživatele připravili další možnost validace. Od dnešního dne, tedy 14. května, mohou fyzické osoby zdarma podávat žádosti o validace na kterémkoli pracovišti Czech POINT.

Možnost validovat účet zdarma tak je na více než 7 000 místech po celé republice.

Služby Czech POINT jsou navíc dostupné i v zahraničí na vybraných zastupitelských úřadech. Uživatelům služby mojeID se tak výrazně urychlí a usnadní validování. Na rozdíl od validace s ověřeným podpisem je tento způsob validování účtu navíc zdarma.

Validované účty služby mojeID využijete například na portálu Hlídačky.cz, na stránkách Technologické agentury ČR, pro hlasování v obecních referendech, při výběru větších výher v Účtenkovce, k zapůjčení studijních materiálů v různých knihovnách či ke správě svých domén prostřednictvím naší aplikace Doménový prohlížeč.

Postup validace prostřednictvím pracoviště Czech POINT

Po přihlášení do vašeho účtu na www.mojeid.cz si v profilu vyplníte datum narození. Přejdete na záložku Nastavení a zde je v sekci Validace tlačítko Validovat přes Czech POINT.

Pokud tlačítko není zobrazeno, máte vyplněné položky Organizace nebo IČO. Validace přes Czech POINT je dostupná pouze pro fyzické osoby.

Dále se vám zobrazí stránka s informacemi pro vytvoření žádosti.

Klikněte na tlačítko Vytvořit žádost o validaci

Zobrazí se žádost o poskytnutí údajů z registru obyvatel třetí osobě. Tu vytisknete a s dokladem totožnosti žádost donesete na pracoviště Czech POINT.

Žádost obsahuje potřebné informace, identifikátor a tlačítko tisku jsou zvýrazněné

Na pracovišti Czech POINT požádáte o jednorázové poskytnutí údajů z registru obyvatel další osobě, referenční kód služby je 462. Zkontrolujte, že ve zprávě pro příjemce je vyplněn identifikátor žádosti mojeID.

Pracoviště Czech POINT pak odešle požadavek na Správu základních registrů, která následně zašle do naší datové schránky informace k validaci.

Dle času podání žádosti na Czech POINT dojde k jejímu zpracování stávající nebo následující pracovní den. Po zpracování obdržíte upozornění e-mailem. Žádost o validaci pak potvrdíte po přihlášení do vašeho účtu. Doporučujeme si poznamenat identifikátor žádosti pro případné reklamace či dotazy.

Tlačítko pro potvrzení žádosti

Pokud ani během několika dnů neobdržíte upozornění e-mailem, pravděpodobně se nepodařilo identifikátor spárovat s požadavkem na validaci.

Ještě jednou proto ověřte, že v potvrzení z pracoviště Czech POINT je správný identifikátor žádosti. Pokud ne, je třeba zajít na Czech POINT znovu. V případě, že na potvrzení je identifikátor správně, obraťte se prosím na naši technickou podporu na e-mailu podpora@mojeid.cz.

Již vytvořenou ale zatím nezpracovanou žádost je možné stornovat pomocí tlačítka Zrušit žádost o validaci přes Czech POINT.

Tlačítko pro zrušení žádosti o validaci

Po zrušení stávající žádosti je pak možné kdykoli vygenerovat novou žádost o validaci.

Kategorie:

Nebojíme se být spolu offline

Po, 05/06/2019 - 11:03

Sdružení CZ.NIC se zapojilo do kampaně – Týden rodiny offline s podtitulem „Nebojíme se být spolu offline“, která se letos koná v termínu od 11. do 19. května 2019. Účelem již 4. ročníku kampaně je nejen oslavit Mezinárodní den rodiny, který připadá na 15. května, ale především se zamyslet nad nadměrným užíváním digitálních technologií. Přílišné používání mobilních telefonů, tabletů a počítačů způsobuje nejen zdravotní problémy, ale bohužel zhoršuje i mezilidské vztahy. Děti si již od útlého věku hrají s tablety a mobily, čímž mnohdy ztrácí sociální kontakt se svými vrstevníky.

Proto bychom chtěli společně s ostatními zapojenými organizacemi vyzvat rodiny ke společným offline aktivitám a motivovat je, aby se alespoň na chvíli odpojili od virtuálního světa. Všechny registrované akce musí splňovat podmínku, že při nich nebudou využívané žádné digitální technologie. CZ.NIC přispěje do kampaně besedou nad knihou ON-LINE ZOO, kde si budeme s dětmi povídat o nástrahách v online světě za použítí tištěné knížky, obrázků a her. V sobotu 18. května tak zakončíme v Ústřední knihovně v Praze „šňůru“ sedmi besed, přičemž prvních šest proběhne na ZŠ Hornoměcholupská v Praze a na ZŠ v Tisé v Ústeckém kraji. Již nyní se těšíme na putování s dětmi za zvířátky do zoologické zahrady a příjemně strávené chvíle.

Další možnosti, jak prožít společné chvíle offline a trochu se vzdělat, nabízí naše bezpečnostní pexeso, které si můžete stáhnout, vytisknout, vystřihnout a rovnou začít hrát. Přestože se toto pexeso zaměřuje na rizika online světa, nemá elektronickou variantu. Ta totiž, na rozdíl od papírové, neumožňuje rozvíjet jemnou motoriku. Naučí nás být trpěliví (reálný soupeř není tak rychlý jako elektronický) nebo si po sobě uklidit hrací plochu. U elektronické varianty je člověk zároveň ochuzen o mnohdy zajímavé povídání nad jednotlivými obrázky a termíny, k jejichž pochopení může posloužit výkladový slovníček.

Moderní technologie jsou jistě dobrým pomocníkem, ale umí být i zlým pánem. Mají praktické využití, usnadňují nám život, avšak pokud s nimi pracujeme bez rozmyslu, mohou nás snadno ovládnout. Především rodiče by měli jít svým dětem příkladem a nekoukat přespříliš do displejů svých mobilních telefonů. I krátká každodenní společná činnost, jako je čtení knížky, vyprávění, hraní deskových her, procházka či sport, přispívá k budování lepších vztahů a důvěry mezi rodičem a dítětem.

Tímto bychom chtěli vybídnout vás všechny, pojďme se na chvíli zastavit a třeba na dvě hodiny vypnout mobilní telefon a věnovat se svým dětem, rodičům, kamarádům. Zůstat offline může být zprvu pro některé z nás nelehký úkol, ale pokud se o to alespoň pokusíme, budeme mít ze sebe dobrý pocit, že jsme o krůček blíže k nezávislosti na digitálních technologiích a ke svým bližním, kterým se budeme moci věnovat bez jediného vyrušení pípnutím zprávy či vyzvánením mobilního telefonu. Není to lákavá výzva?

 

Kategorie:

Spouštíme nové ODVR

Út, 04/30/2019 - 10:02

Již více než 10 let mají uživatelé Internetu, nejen v České republice, možnost volně využít tzv. Otevřené DNSSEC Validující Resolvery CZ.NIC, zkráceně ODVR, namísto DNS resolverů od poskytovatelů internetového připojení. Jedná se o českou alternativu k veřejným DNS resolverům od společností Google (tzv. „čtyři osmičky“) nebo Cloudflare (tedy „čtyři jedničky“). Mimochodem i v případě Cloudflare resolverů jde tak trochu o „českou“ alternativu, protože využívá námi vyvíjený KNOT Resolver (viz blogpost kolegy Petra Špačka.

Původní ODVR

Původní ODVR bylo provozováno na dvou oddělených platformách. Na první s IPv4+IPv6 adresou (217.31.204.130, 2001:1488:800:400::130) naslouchaly samostatné servery umístěné pouze v pražských datacentrech, kde byl fail-over řešen softwarovou implementací. Druhá platforma s IPv4+IPv6 adresou (193.29.206.206, 2001:678:1::206) byla propagována z vybraných serverů v anycastu pro .CZ. Tyto servery byly umístěny jak v České republice, tak i Evropě a na dalších kontinentech. Fail-over byl v tomto případě realizován přímo BGP protokolem.

Na servery jsme instalovali zejména Debian a Ubuntu Linux a jako DNS resolver jsme na všech serverech použili Unbound, samozřejmě se zapnutou validací DNSSEC.

Právě společné prostředí .CZ anycastu a části ODVR bylo hlavním impulsem k tomu, abychom tyto dvě součásti zcela oddělili a provozovali nezávisle na sobě. Nasazováním převážně malých DNS stacků, viz také můj dřívější blogpost, do zahraničních lokalit vedlo k větší složitosti správy celého řešení. Současně také logicky docházelo ke sdílení prostředků jednotlivých serverů, které jsme navrhovali zejména pro provoz .CZ domény, a s ohledem na odolnost proti případným útokům jsme se rozhodli provoz ODVR oddělit.

Využití ODVR v České republice v průběhu několika let ukazuje následující graf. Každý modrý sloupec představuje průměrný počet požadavků za sekundu v daném měsíci získaný z průměrných hodnot z každého dne. Maximální využití ve špičkách pak znázorňuje červená linka.

Dle grafu je zřejmé, že zájem o tyto DNS resolvery mezi uživateli Internetu v České republice neustále roste. Naše stávající infrastruktura ale zvládala i daleko větší objem provozu. Důkazem budiž graf provozu (viz níže) z 22. listopadu 2016, kdy došlo k výpadku DNS resolverů společnosti Google (viz také dřívější blogpost kolegy Zdeňka Brůny.)

Nové ODVR

V čem je nové ODVR jiné? Za prvé, všechny servery běží na novém DNS anycastu, který však není součástí .CZ anycastu. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za KNOT Resolver (v době vydání tohoto blogpostu ve verzi 4.0), a to se zapnutou podporou DNS over TLS.

Nové servery jsou nyní umístěny “pouze“ ve všech našich datacentrech v České republice. Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.

Vyzkoušejte si nové ODVR!

Je to jednoduché. Stačí si v konfiguraci síťového připojení ve vašem PC, telefonu nebo tabletu nastavit IPv4 adresy 193.17.47.1 a 185.43.135.1. Pokud máte k dispozici i připojení pomocí protokolu IPv6, můžete použít i adresy 2001:148f:ffff::1 a 2001:148f:fffe::1.

Podpora šifrované komunikace DNS over TLS je dostupná na adrese odvr.nic.cz, na standardním portu TCP/853. DoT si můžete sami vyzkoušet v Linuxu pomocí stub resolveru Stubby a nebo na mobilních zařízeních s Androidem verze 9, který má tuto podporu přímo integrovanou.

Adresy nového ODVR budou také k dispozici uživatelům routerů Turris jako první volitelné DNS resolvery namísto DNS resolverů od poskytovatele internetového připojení. Pro Turris Omnia od aktualizace TurrisOS verze 3.11.5 a pro Turris MOX od verze 4.0 beta 1.

Přeji vám příjemné (a šifrované) brouzdání po Internetu s našimi novými DNS resolvery a budu se těšit na další stoupající využití ODVR.

Kategorie:

Nový zákon o zpracování osobních údajů

Po, 04/29/2019 - 10:58

Od účinnosti Obecného nařízení o ochraně osobních údajů (č. 2016/679), které znáte spíše pod zkratkou GDPR, uplynul bezmála rok a nyní, nabízí se říci konečně, vstupuje v účinnost zákon o zpracování osobních údajů č. 110/2019 Sb.

Že to ten rok šlo i bez něj, je už patrně zjevné, urban legends typu „bez adaptačního zákona není třeba GDPR řešit“ už snad byly definitivně vyvráceny. GDPR lze vykládat nejen za použití recitálů, ale také pokynů vydávaných Evropským sborem pro ochranu osobních údajů (dříve Pracovní skupina WP29, která vydávala „vodítka“). Ty najdete mj. na webových stránkách Úřadu pro ochranu osobních údajů a jejich četbu lze těm, kdo se ochranou osobních údajů zabývat chtějí či musejí, doporučit.

Přesto je dobře, že tu adaptační zákon nakonec máme. Zákon zpřesňuje některá ustanovení Nařízení, případně stanoví výjimky z jeho ustanovení, pokud to Nařízení připouští.

Zákon mimo jiné stanoví výjimku z povinnosti posuzovat před zpracováním slučitelnost účelu zpracování v případech, kdy správce zpracovává při zajištění chráněného zájmu dle povinnosti uložené právním předpisem osobní údaje, které získal k jinému účelu, avšak toto zpracování musí být nezbytné a přiměřené (tzn. posuzování se ale nevyhne, aby mohl konstatovat, že takové zpracování přiměřené a nezbytné je).

Konečně se také dočkali ti, kteří zpracovávají osobní údaje dětí v souvislosti s nabídkou služeb informační společnosti na základě souhlasu. Nařízení totiž stanovilo věkovou hranici 16 let, zákon ji snižuje o rok, a to na 15 let. Na tomto místě bych chtěla připomenout, že je třeba pečlivě zvažovat právní důvod zpracování osobních údajů dětí, a zda skutečně jejich údaje zpracováváme na základě souhlasu. V ostatních případech totiž nastupuje posouzení jednak právního důvodu, a je-li jím smlouva, pak jejího předmětu ve vztahu k rozumové a volní vyspělosti dítěte (viz občanský zákoník).

Zákon rovněž výslovně umožňuje správcům oznámit příjemcům osobních údajů (pozor, nezaměňovat se subjekty osobních údajů) provedení opravy, omezení zpracování nebo výmazu osobních údajů změnou evidence, pokud do ní mají pravidelně přístup. Tím samozřejmě není dotčena informační povinnost správce vůči osobám, jejichž osobní údaje zpracovává, dle GDPR (čl. 19).

Rovněž je zpřesněna povinnost jmenovat pověřence na ochranu osobních údajů pro případy dle čl. 37 odst. 1, písm. a), a to na orgány veřejné moci a orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu. Smyslem výše uvedeného čl. Nařízení totiž není kontrola moci ze strany veřejnosti ani kontrola hospodaření s veřejnými prostředky, jako u zákona „stošest“ (o svobodném přístupu k informacím), a tak nemá smysl tuto povinnost v rozsahu dle „stošestky“ vykládat. Povinnost zřídit pověřence tedy má dopadat na subjekty, které se povahou blíží orgánům veřejné moci (ne tedy např. příspěvkové organizace; pozor však, aby na ně nedopadala z jiných důvodů – čl. 37 odst. 1 písm. b) a c) Nařízení!).

Jmenovat lze dále zpřesnění zpracování osobních údajů za účelem vědeckého nebo historického výzkumu a vývoje nebo pro statistické zpracování (zde je vhodné si povšimnout výčtu opatření k ochraně zájmů subjektů údajů, která mohou posloužit i v jiných případech zpracování).

Pozornost si zaslouží i § 17 týkající se zákonnosti zpracování pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu. Zpracovávat lze v takových případech i zvláštní kategorie osobních údajů (např. týkající se náboženského vyznání, politických názorů…), jen je třeba posuzovat nezbytnost jejich zpracování s ohledem na cíl. Důvodová zpráva hovoří o tom, že test proporcionality by měl být prováděn v okamžiku zveřejnění, resp. těsně před ním (což klade nároky na osobu editora). Uvidíme, jakým směrem se bude v tomto směru ubírat rozhodovací praxe Úřadu, případně soudů.

Tím se dostáváme k poslední části, které bych se chtěla v tomto stručném příspěvku věnovat, a to jsou sankce. Zákonodárce očekávaně využil možnosti upravit pravidla ukládání sankcí orgánům veřejné moci a veřejným subjektům. Jednak je tedy omezena výše pokuty v případě porušení povinností zákazu zveřejnění osobních údajů, které stanoví jiný právní předpis (až 1 mil. Kč, resp. až 5 mil. Kč, pokud jsou osobní údaje zveřejněny zvlášť účinným způsobem, např. televizí či prostřednictvím Internetu) .

Dále se omezuje výši pokuty v případech zpracování pro účely předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti ČR nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, a to na maximálně 10 mil. Kč. V případě osoby, která je orgánem veřejné moci nebo veřejným subjektem (zde je určitá terminologická nekonzistence s § 14, kde je Nařízením užívaný pojem „veřejný subjekt“ nahrazen „orgánem zřízeným zákonem“) může dozorový orgán (tedy ÚOOÚ) upustit od uložení správního trestu.

I v případě ostatních správců může úřad rozhodnout o odložení věci; to když bylo dosaženo účelu, ke kterému by jinak vedlo řízení o přestupku, bylo dosaženo jinak – např. správce provedl opatření k ochraně osobních údajů, odstranil zjištěné nedostatky a podobně.

Závěrem jen drobná informace pro ty, kteří nahlíželi do registru zpracování osobních údajů na stránkách Úřadu – ten bude veřejně dostupný ještě rok a půl počínaje dneškem.

Kategorie:

Akademie CZ.NIC slaví desáté narozeniny

Út, 04/23/2019 - 09:48

Na začátku dubna tomu bylo deset let, kdy se po českém Internetu rozlétla zpráva, že správce české národní domény otevřel vlastní vzdělávací centrum – Akademii CZ.NIC. Za tu dobu se stihla dostat do povědomí odborné veřejnosti, na její služby se obrací soukromé i veřejné instituce včetně škol, hostí tuzemské i mezinárodní organizace, má tři pobočky (Praha, Brno, Ostrava) a v prosinci jí pravidelně navštěvuje Mikuláš, čert a anděl.

Psal se rok 2008, kdy se sdružení CZ.NIC rozhodlo, že v rámci svých osvětově vzdělávacích aktivit zřídí výukové středisko. V Čechách bylo tehdy totiž málo míst, kde by mohli zájemci získat nejnovější a relevantní informace ze světa specifických internetových technologií a infrastruktury a zároveň si je vyzkoušet v praxi. Do konce roku se povedlo zrekonstruovat a vybavit prostory v Americké ulici, kde tehdy sídlilo i sdružení CZ.NIC, a mohly tak proběhnout neveřejné zkušební kurzy pro členy a registrátory. O několik měsíců později byl připravený oficiální program na první období.

Kurz sem, kurz tam

První kurz, ENUM v praxi, se uskutečnil 21. května 2009 a měl pět účastníků. Během existence akademie prošlo jejími dveřmi přes 5 000 posluchačů, kteří navštívili více než 450 kurzů. Pokud bychom měli vypíchnout ty, o které byl nebo je největší zájem, tak se jedná o Implementaci IPv6, Git – univerzální verzovací systém a Počítačovou bezpečnost prakticky. Zajímavostí je, že se dodnes vyučují tři z původních sedmi kurzů, jsou to DNSSEC – zabezpečení DNS, Principy a správa DNS a Směrovací protokol BGP. Nabídka kurzů je pravidelně obměňována a tak je stále z čeho vybírat. Posuďte sami, aktuální přehled je k nalezení na webových stránkách.

Jak plynul čas, ukázalo se, že by byl zájem o modifikace našich kurzů. V roce 2012 tedy přibyly školení na míru, která od začátku využívaly jak komerční subjekty, tak i veřejná správa. Zájemcům se upraví program dle jejich potřeb; může se jednat nejen o zkrácení nebo naopak rozšíření tématu, ale také o případnou kombinaci více témat. Tyto skupiny jsme schopni vyškolit nejen v naší pražské učebně, ale i přímo u nich. V tomto směru je nejčastěji poptávaným kurzem Git – univerzální verzovací systém.

Od začátku nezapomínáme ani na školy a rádi za nimi vyrážíme tam, kde mají zájem. Na přednáškách týkajících se DNS, Internetu a internetové bezpečnosti bylo dosud proškoleno přes 4 500 žáků základních škol a studentů středních a vysokých škol a univerzit. Pro studenty zároveň platí, že u nás mají na všechny pořádané kurzy slevu.

Další rozšíření výuky nastalo v roce 2014, kdy akademie zavedla e-learning. První e-kurz byl věnovaný protokolům TCP/IP. V současné době mohou zájemci absolvovat pět e-kurzů.

Škatula, škatula, hejbejte se
Během těch deseti let jsme zažili i změny, které se netýkaly výuky, ale provozu. Se začátkem školního roku v září 2013 byla zřízená pobočka Akademie CZ.NIC v Brně. Tím to ale neskončilo a na podzim roku 2014 se otevřela, ve spolupráci s Fakultou elektrotechniky a informatiky na Vysoké škole báňské, nová pobočka v Ostravě. Obě nabízejí stejný program jako v Praze, ale jsou dostupnější pro posluchače z Moravy a Slezska, potažmo ze Slovenska.

Pražská akademická centrála zároveň změnila dvakrát své působiště. Poprvé v roce 2015, když se stěhoval celý CZ.NIC do Milešovské ulice a po druhé v minulém roce, kdy jsme se s akademií přesunuli na Olšanské náměstí.

Host do domu…
Akademie dlouhodobě hostí akce českých i zahraničních organizací, které se podílí na rozšiřování IT znalostí nebo na rozvoji internetové infrastruktury.

Z těch zahraničních u nás proběhlo například setkání pracovní skupiny Euro ISPA, CENTR, IPv6 Hackers Meeting, cvičení Cyber Europe nebo kurzy RIPE NCC. Z těch českých se jedná například o hostování kurzů programování PyLadies, Czechitas, VISK, dále také workshopů pro technické dokumentaristy, Turris Hackathon nebo se zde koná již dva roky dětský Kybertábor.

Bez lidí by to nešlo a jedno přání k tomu
Aby se všechny výše zmíněné aktivity mohly uskutečnit, musel je někdo vymyslet, navrhnout, realizovat a odškolit. Ráda bych proto nejmenovitě vyzdvihla všechny, kteří se na tom podíleli nebo dosud podílí. Počínaje lektory a konče celým týmem Akademie CZ.NIC, který se stará, aby vše šlapalo jako hodinky.
A na závěr narozeninové přání. Hodně spokojených posluchačů, nových kurzů, akcí a stále tak nadšených lektorů. Deset let Akademie CZ.NIC je za námi, tak ať je těch dalších deset stejně inspirativních a pestrých!

Kategorie:

O zkušenosti se Safer Internetem jsme se podělili s kolegy z Bosny a Hercegoviny

Po, 04/01/2019 - 09:09

V březnu navštívila naše sdružení delegace expertů z pěti různých organizací v Bosně a Hercegovině zaměřených na bezpečnost dětí na Internetu a ochranu osobních dat.

Účastníci se věnovali především aktivitám v projektu Safer Internet, na kterém se CZ.NIC podílí již čtvrtým rokem. Od letošního roku dokonce vystupujeme v roli koordinátora a společně s Linkou bezpečí pracujeme na ochraně dětí v kyberprostoru a včasném řešení problémů spojených s kyberšikanou, kybergroomingem, kyberstalkingem a jinými tématy tohoto druhu.

Kolegové z Bosny a Hercegoviny navštívili i prostory Linky bezpečí, kde její pracovníci vysvětlili (především zástupcům organizace IFS-EMMAUS) chod linky a s jakými případy se z oblasti kyberšikany nejčastěji setkávají a jak je řeší.

Organizace IFS-EMMAUS byla v Sarajevu založena původně za účelem pomoci obětem války, ale nyní se chystá více zaměřit na pomoc dětem v oblasti kyberbezpečnosti. V nejbližší době plánují zřídit linku pomoci, proto exkurzi u Linky bezpečí vnímali jako velice pozitivní a cenný přínos.

Elma Zahirovic z IFS-EMMAUS se k návštěvě vyjádřila slovy: „Studijní návštěva nám umožnila získat mnoho nových, užitečných informací, které nám lépe poslouží při provozu našeho informačního centra a linky pomoci, ale i k lepšímu shromažďování a vyhodnocování dat získaných právě prostřednictvím helpline i hotline. Jsme opravdu vděční, že jste se s námi podělili o své zkušenosti a poskytli nám praktické příklady z praxe.“

Bezpečnostní specialisty z Bosny a Hercegoviny zaujal i náš seriál „Jak na Internet“ a s ním související knihy „Jak na Internet“ a „Jak na Internet – bezpečně“. Dále je oslovilo bezpečnostní pexeso, které je dostupné i v anglické verzi a v budoucnu by se mohlo dočkat lokalizace do bosenštiny.

Skutečnost, že si zástupci z Bosny a Hercegoviny vybrali právě Českou republiku, tedy sdružení CZ.NIC, vypovídá o našem dobrém jménu, které si postupně budujeme doma i v zahraničí, a to nejen díky projektu Safer Internet.

Kategorie:

Turris tým na InstallFestu 2019

Po, 03/18/2019 - 13:45

Turris tým v plné sestavě představil na začátku března na 11. ročníku konference InstallFest 2019 modulární router Turris MOX. Probrali jsme s uživateli vše možné, včetně novinek ve vývoji Turris OS. Jednotlivé moduly MOXe šly z ruky do ruky.

Na InstallFestu jsme prezentovali také možnosti využití routeru Turris Omnia pro potřeby veřejné správy a seznamovali návštěvníky konference s nabídkou Akademie CZ.NIC. Připravili jsme si také interaktivní hru play.turris.cz, kterou úspěšně dokončilo devět hráčů – ještě jednou gratulujeme!

Kolegové z týmu se také pravidelně účastní hlavního programu akce, tedy přednášek. V letošním roce si Michal Hrušecký připravil prezentaci Bootování modulárního routeru MOX z Omnie. Jeden z podporovaných setupů Turris MOX je AP rozšiřující pokrytí signálem WiFi z Turis Omnia. Jak tento režim síťového bootu funguje a co vše s ním lze dělat? Co plánujeme do budoucna? Krátká prezentace ukázala další možnosti využití nového routeru a z dotazů bylo znát, že se uživatelé na novou „hračku“ velmi těší.

Co mně osobně na InstallFestu zaujalo nejvíce? Přítomní programátoři například dostali šanci pohrát si s grafikou. Na hlavním panelu v přednáškové místnosti tak postupně vznikala a měnila se na pozadí programové nabídky směs grafických symbolů. Zajímavá byla také ukázka modelu železnice od OpenSuse nebo výroba Open Coly.

Zuzana Lena Ansorgová věnující se v CZ.NIC dokumentaci si pro návštěvníky připravila přednášku Dokumentování software podle jeho životního cyklu. Lena velice poutavě vyprávěla o tom, jak záleží zejména na cílové skupině, pro kterou se dokumentace vytváří. Řeč byla také o životním cyklu vývoje a o důležitosti přizpůsobení dokumentace cílové skupině. Kolegyně postupně provedla posluchače etapami plánování projektu až ke koncepci operací, přičemž se zabývala i používanou terminologií a důležitostí komunikace mezi vývojáři, marketingem a koncovými uživateli.

InstallFest a jemu podobné konference mají velmi příjemnou a přátelskou atmosféru. Jednotliví stánkaři mezi sebou komunikují a představují si novinky. My jsme byli neustále pod palbou dotazů a víru diskusí, také proto jsme si akci skutečně užili. Děkujeme organizátorům za skvělé zajištění konference a vám, kteří jste se na akci nedostali, připomínáme, že záznamy najdete na webu.

Kategorie:

Není registr jako registr aneb Zkušenosti k nezaplacení

Út, 03/12/2019 - 14:19

Loni v listopadu jsem měl to privilegium navštívit NIC Costa Rica, který je naším protějškem v této malé středoamerické zemi. V místním NICu pracuje mnohem menší tým, který se stará asi o 28 tisíc domén, pro jejichž správu používá od roku 2011 náš systém FRED.

Kostarika je španělsky mluvící země mezi Panamou a Nikaraguou s pěti milióny obyvatel. Hlavní město San José, kde NIC Costa Rica sídlí, je o něco menší než Brno a leží v nadmořské výšce úctyhodných 1100 metrů, což je výše než jakékoliv evropské hlavní město.

Stěžejní body v programu mé návštěvy, kterou hradil můj hostitel, byly rate limiting na firewallu pro služby jako jsou whois a rdap, recyklace databázových spojení, vysoká dostupnost pro FRED servery pomocí UCARP protokolu a rozšiřování systému FRED jako takového. Na řadu ale přišla i další témata. Na rozdíl od českého registru používá ten kostarický několik zón s poměrně komplikovaným ceníkem. Základní cena za doménu .cr je 70 amerických dolarů za rok pro hlavní zónu, přičemž slevy jsou ale naprosto běžné. Pro každou zemi, Kostariku nevyjímaje, je nutně specifická fakturace. Zajímavostí tohoto registru je také fakt, že se místní kolegové věnují nejen správě doménového registru, ale fungují také jako registrátoři.

Všechny funkcionality, které kostaričtí správci potřebují, ale náš FRED je defaultně nepodporuje, musí být logicky implementovány někde jinde. Během mé návštěvy jsme tedy probrali i používání CORBA rozhraní, protocol buffers + GRPC rozhraní, na které se v CZ.NIC chystáme přejít z CORBA, a best practices o tom, jak rozšířit PostgreSQL databázi. Diskusi jsme vedli také nad používanými knihovnami, a to především z důvodu implementace EPP klienta. Na to naštěstí existuje celkem podrobná dokumentace, kterou stačilo vhodně okomentovat. Na co také přišla řeč bylo zavedení AKM (Automated Keyset Management). Troufnu si říct, že díky našim konzultacím byl kostarický doménový registr třetím na světě, který tuto systémovou proceduru zavedl. Jen pro doplnění, druhé místo patří kolegům ze Švýcarska a první místo nám.

Při této spolupráci jsem si uvědomil, že jdeme, co se rozvoje systému FRED týče, dobrým směrem. Našim cílem je vidět FRED v co možná nejvíce doménových registrech – jak těch zaběhnutých, tak těch, které jsou se správou domén někde kousek za startem. I díky poznatkům od kolegů z Kostariky můžeme dále rozvíjet náš systém tak, aby byl připravený pro využití v prostředích, která mohou být tomu našemu třeba i dost vzdálená. Takovouto zpětnou vazbu nezískáme lépe, než při setkání tváří v tvář.

Podněty z Kostariky ovlivní plán dalšího rozvoje FREDa, zejména v oblasti poskytovaných rozhraní. Naopak podporu komplikovaných slevových schémat by bylo obecně velmi těžké naprogramovat a proto ji v krátkém horizontu neplánujeme.

Co se budoucí kooperace týče, celkem reálně vypadá spolupráce na frontendové části registru. Na závěr už jen zmíním, že kolegy z NIC Costa Rica zaujal náš projekt otevřeného hardwarového routeru Turris Omnia. Podle jejich reakce se dá předpokládat, že FRED nezůstane naším jediným společným bodem zájmu.

Kategorie:

Češi jsou při povolování přístupu mobilních aplikací ke svým údajům nejnezodpovědnější v Evropě

Pá, 02/15/2019 - 10:10

Podle průzkumu Eurostatu více jak dvě třetiny Čechů nikdy neomezily mobilní aplikaci v tom, k jakým datům v telefonu může přistupovat. S 67 % nezodpovědných uživatelů tak České republice patří nelichotivé prvenství. S poměrně velkým odstupem skončilo na druhém místě Bulharsko. Naopak mezi nejzodpovědnější při instalaci aplikací a povolování přístupu patří Francouzi. Alarmující také je, že možnost zablokovat přístup aplikací k datům v telefonu nezná podle průzkumu jen 5 % Čechů, v tomto ohledu se v Evropě řadíme naopak mezi ty nejpoučenější.

Mnoho lidí bohužel uděluje oprávnění k jednotlivým aplikacím spíše automaticky a neuvědomuje si, jak snadno mohou být zneužiti. Ruku v ruce s tím zároveň mnohé aplikace při instalaci vyžadují povolení, která ke svému fungování vůbec nepotřebují.

Typickým příkladem takovéto špatné aplikace je např. „Nejjasnější Svítilna Zdarma„. Té by k její činnosti stačil pouze přístup k fotoaparátu (kvůli rozsvícení blesku), avšak při instalaci vyžaduje rovněž možnost získávat informace o poloze, telefonu či přístup k fotkám a dalším souborům uložených v zařízení.

O tom, jak lze zneužít udělení oprávnění přístupu k SMS zprávám, se pak v loňském roce bohužel přesvědčilo i několik Čechů, kteří si nainstalovali aplikaci Qrecorder sloužící k nahrávání hovorů. Místo toho však spíše nahrávala a odesílala informace o přihlašovacích údajích do internetového bankovnictví a přístupu k SMS zprávám zneužila k získávání jednorázových kódů.

Při instalaci aplikací se tak vyplatí přemýšlet a nepovolovat automaticky přístup ke všem oprávněním. K mnohým aplikacím lze snadno najít alternativy, které mají přístup jen k minimu údajů.

Kategorie:

Pohled do zákulisí návrhu a výroby krabiček Turris MOX

Pá, 02/01/2019 - 09:20

Už od počátku vývoje routeru Turris MOX jsme stáli před nelehkým úkolem – jak celý modulární systém poskládat do sebe, tak, aby se při manipulaci nerozpadl a zároveň, aby byl pro uživatele co nejvíce přívětivý, když jej budou chtít opakovaně skládat a rozebírat. Zda jsme tento úkol splnili budete moci zjistit v nejbližších týdnech, kdy první MOXy v krabičkách dorazí ke svým uživatelům. V následujícím článku bych vás rád seznámil s tím, jak probíhal vývoj a výroba finální krabičky našeho nového produktu.

Jelikož je Turris MOX v nižší cenové hladině než Turris Omnia, bylo jasné, že budeme muset najít řešení, které lze vyrobit za nižší náklady než hliníkovou krabičku u Omnie. Vcelku záhy jsme se rozhodli jít cestou plastové krabičky.

První prototyp jsme si navrhli svépomocí, jelikož jeden z našich hardwarových vývojářů je vášnivý modelář. Výsledek můžete posoudit sami z následujícího obrázku.

Jednoduchá čtverhranná krabička s vyčnívající hranou, pro lepší soudržnost. Spodní a vrchní díl se spojovaly pomocí šroubků ve sloupcích. Spojování jednotlivých modulů k sobě pak probíhalo pomocí šroubků jdoucích skrz oba díly. Stejně tak nacvakávání čelíček bylo dosti obtížné. Tudy cesta rozhodně nevedla.

Díky doporučení jednoho z našich dodavatelů jsme šli náš návrh konzultovat do výrobní firmy. Tam jsme se dozvěděli o úskalích výroby forem na lisování plastů, o technologii samotného lisování i o tom, že vyrobit sloupky, které v sobě mají závit, který bude opakovatelně použitelný, není nic lehkého a hlavně levného. Z celé schůzky jsme si odnesli jasný závěr – designově použitelnou krabičku vlastními silami nenavrhneme. Obrátili jsme se proto na profesionály.

Výsledkem jejich práce bylo několik návrhů, které nám osobně představili. Návrhy, které nevyhrály, můžete vidět na následujícím obrázku.

Rendery z vítězného návrhu od pražské firmy Exact Technology jste pak mohli vidět v naší Indeegogo kampani.

V době, kdy probíhala kampaň na Indiegogo jsme již měli první funkční vzorky z práškového 3D tisku. Mezitím jsme vybrali výrobce krabiček – firmu 2D$S z Kuřimi. Zajímavostí této společnosti je, že jsou autory vratných plastových kelímků, které můžete potkat na mnoha kulturních akcích.

Následovalo několik týdnů třístranné komunikace mezi námi, výrobcem a autory návrhu, kdy jsme ladili finální data pro výrobu forem.

Zhotovení výkresů a výroba formy trvá cca 2 až 3 měsíce. K její výrobě se používá nástrojová ocel. Jedná se vlastně o několik masivních dílů spojených k sobě. Těmito díly je tlačen tekutý plast o teplotě blížící 200 stupňů Celsia, který se ve formě rozlije v požadovaném tvaru a postupně chladne. Hodnota tlaku, kterým je plast tlačen do formy, jsou stovky barů. Přítlak obou dílů formy proti sobě tedy musí být v řádech jednotek tun. Pokud by tomu tak nebylo a objevila se mezi díly formy i jen nepatrná skulinka, tekutý plast se z formy vylije ven a celý proces výroby dílu bude znehodnocen. Chladnutí musí být řízeno, nesmí být ani moc pomalé, ani rychlé. Je regulováno soustavně protékající vodou v hadičkách, které jsou protaženy skrz formu. Řídící jednotka stroje pak reguluje teplotu vody.

Důležitý je také výsledný tvar dílu. Není možné vyrobit vše, co si designer vymyslí. Záleží na směřování jednotlivých hran a jejich sklonu. Hotový díl musí po zchladnutí bez problémů z formy vypadnout. Někteří z vás mohou znát, v současné době populární, složité figurky v deskových hrách. Pokud se podíváte pozorně, zjistíte, že jsou slepené z více částí. Důvodem je právě nemožnost jejich výroby z jedné formy.

Detaily dvou forem – na spojovací plástve a děrované bočnice – můžete vidět na následujících obrázcích.

Správná konstrukce formy a její odladění může být záležitostí více pokusů. Nejvíce problémů jsme měli s děrovanou bočnicí. Při prvních iteracích formy se při výhozu z formy díl roztrhl. Bylo tedy nutné upravit rádius jednotlivých děr. A každá úprava formy trvala určitou dobu. Proto jsme se s celým projektem dostali do menšího zpoždění. První a poslední iteraci dílu bočnice můžete vidět na následujícím obrázku.

Otevření a manipulaci s formou můžete vidět na následujícím videu.

Když jsou hotové všechny formy, je možné přistoupit k výlisu zkušebních verzí. Na základě jejich zkoušek s vloženými produkčními moduly MOXe se pak ještě dělají drobné úpravy. Například se modelují náběžné hrany, upravuje se dezén pohledových dílů, či se maskují vtokové otvory, aby byly pro uživatele co nejméně viditelné a nenarušovaly celkový vzhled produktu. Na některých dílech však zcela zamaskovat nejdou, což je dáno výrobní technologií. Díky těmto drobným změnám jsme například všechna čelíčka (ve skutečnosti jedna forma s výměnným pohyblivým vnitřkem) finálně odladili až na čtvrtý pokus. Na následujícím obrázku můžete vidět čelíčko před zamaskování vtokového otvoru.

Samotná výroba probíhá již vcelku jednoduše. Základem je ABS plast, který se dodává v pytlích ve formě granulátu.

Ve výrobní hale je, v případě našeho výrobce, několik strojů, do kterých se dají umístit formy zajišťující lisování.

Forma váží cca 300 kilogramů, takže manipulace s ní není úplně jednoduchá. Proto je výrobní hala vybavena jeřábem. Na druhé následující fotografii můžete vidět přemísťování naší formy na výrobu čelíček.

Jakmile se forma umístí do lisovacího stroje, připojí se okruh pro chlazení a vstřikování plastu a můžeme vyrábět. Hotové výrobky padají ze stroje do připravené krabice, kde je operátor sesbírá, zkontroluje a umístí do přepravního kartonu.

Výroba jednotlivých dílů je vcelku rychlá. Na dalším videu můžete vidět jeden cyklus výroby plného čelíčka pro moduly MOX B, C, D a G.

Výsledkem celého procesu je pak opravdu modulární krabička, která drží u sebe bez jediného šroubu, je snadno sestavitelná a rozebíratelná a přispívá tak k jedinečnosti celého routeru Turris MOX.

Kategorie: