Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 48 min 41 sek zpět

Ve spolupráci s Nextcloudem přichází Turris MOX: Cloud, který vám vrátí kontrolu nad vašimi daty

Čt, 05/10/2018 - 11:28

S radostí oznamujeme, že jsme se spojili s Nextcloudem, abychom našim uživatelům mohli nabídnout soukromý cloud hostovaný přímo u nich doma. Turris MOX: Cloud je ready-to-go balíček s naší novou volitelnou rozšiřující deskou USB se 4 USB 3.0 vstupy, díky němuž můžete mít nepřetržitý přístup k vašim datům. Nextcloud poběží na Turrisu MOX a poskytne vám snadný přístup k vašim fotografiím, dokumentům, kalendářům a kontaktům a mnoha dalším věcem díky snadno použitelnému rozhraní pro webová a mobilní zařízení. Jako součást Turris OS 4.0 získá každý systém Turris možnost snadno spravovat externí disky a nainstalovat Nextcloud. Ve světě, kde se čím dál častěji objevují bezpečnostní hrozby a porušování soukromí, je hostování vlastních dat na důvěryhodné platformě zoufale potřeba a soukromý cloud právě to umožňuje.

S Nextcloudem platí: vaše data, vaše pravidla

Nextcloud je navržen tak, abyste mohli sami hostovat svá data, a poskytuje vám snadný přístup k vašim dokumentům prostřednictvím snadno použitelného webového rozhraní i aplikací pro Android a iOS. Soubory mohou být na discích připojených k zařízení MOX přes USB 3.0, a to i v RAID, ale také na NAS úložišti ve vaší síti nebo dostupné přes vzdálené připojení FTP nebo SAMBA.

Nextcloud je nejpopulárnější synchronizační a komunikační platforma, kterou si můžete sami hostovat. Nabízí více než 100 aplikací s dalšími funkcemi, jako je audio/video volání a chatovací server, sdílené upravování dokumentů v prohlížeči, správa hesel nebo kalendáře a úkolů a mnohem více – jediným kliknutím.

Nextcloud je 100% open source platforma podporovaná velkou komunitou nadšenců do open source softwaru, a rovněž také soukromými i veřejnými organizacemi – tito všichni spolupracují na zdokonalování Nextcloudu a každý den přidávají nové funkce.

Soukromý cloud

Společně s platformou Nextcloud vám balíček Turris MOX: Cloud nabízí snadno použitelnou platformu pro hostování vašich souborů, kalendářů a komunikace.

Balíček Turris MOX: Cloud je možné objednat na stránce kampaně na Indiegogo za 115 USD. Za tuto cenu získáte ready-to-go sadu obsahující Turris MOX: Start, rozšíření o 4 porty USB 3.0 a navýšení na 1 GB RAM za speciální sníženou cenu!

Nextcloud se nebude omezovat pouze na Turris MOX: Cloud. Budou ho podporovat všechny MOXy (a Omnie), nicméně pro dobrý výkon je nutný 1GB RAM. Už v prvních dodaných MOXech bude ve webovém rozhraní integrována jednoduchá stránka, která umožňuje uživatelům nakonfigurovat externí úložiště a povolit Nextcloud. Pro zajištění určitého stupně ochrany dat bude rozhraní také podporovat nastavení RAID tak, aby poškození jednoho disku neznamenalo okamžitou ztrátu dat.

Kategorie:

A jdeme do finále!

Čt, 05/10/2018 - 06:15

Za týden by měla skončit naše druhá crownfundingová kampaň na routery projektu Turris. Ta první na Turris Omnia skončila fenomenálním úspěchem. Tehdy jsme si jako cílovou částku zvolili 100 tisíc amerických dolarů. A za 60 dnů jsme vybrali neuvěřitelných 875 tisíc dolarů, což byla a stále je druhá nejvyšší částka vybraná v českých kampaních. Proto jsme si říkali, že v případě MOXu se rozhodně nemůžeme držet příliš při zemi, abychom zůstali důvěryhodní. Nakonec jsme zvolili cíl 250 tisíc dolarů, což sice vypadá v porovnání s Omnií jako nízké číslo, ale ve skutečnosti jde o částku poměrně ambiciozní. Tato kampaň se liší ve dvou hlavních parametrech:

1. Doba kampaně je 45 dnů, u Omnie to bylo 60 dnů
2. Nejlevnější „perk“ u Omnie byl za 99 dolarů, u MOXu to je 29 dolarů

Pokud bychom to tedy počítali čistě jednoduše početně, pak 857 * (45/60) * (29/99) = 188. Ale to je pochopitelně příliš zjednodušující. Záleží přirozeně i na dalších „percích“ a kampaň na MOXe měla i krátkou neveřejnou předkampaň, nicméně to myslím jasně ilustruje, že dosáhnout tohoto cíle není nic jednoduchého.

V tomto okamžiku máme již přes 60 % vybrané částky. To zdánlivě nezní příliš optimisticky, nicméně opět si můžeme udělat srovnání s kampaní Omnie. Jeden týden před koncem kampaně bylo vybráno 56 % částky. Každá kampaň je ale jiná a tak pevně věřím, že tímto příspěvkem neodradím naše potenciální podporovatele. Ceny, za které jsou jednotlivé díly a sestavy nabízené, jsou skutečně nízké a v komerčním prodeji rozhodně půjde o vyšší částky.

Byla by to samozřejmě veliká škoda, pokud by tento unikátní produkt nevznikl a projekt Turris tak přišel o část financování. Tak tedy pojďte prosím s námi do finále, ať první modulární SOHO router vznikne!

Kategorie:

Děti a Internet: bezpečná symbióza či nikoli?

Po, 05/07/2018 - 08:38

Ve dnech 18. a 19. dubna 2018 se sdružení CZ.NIC zúčastnilo akce s názvem EMEA Child Safety Summit pod záštitou společností Facebook a Google.

Na konferenci zaznělo mnoho příznivých zpráv o tom, jak se tyto dvě nadnárodní společnosti snaží co nejvíce informovat děti a jejich rodiče o nástrahách v on-line prostředí pomocí různých programů, mezinárodních spolků a aplikací. Člověk tedy snadno mohl nabýt dojmu, že na Internetu vlastně nehrozí žádné nebezpečí, že Facebook i Google se o bezpečí našich dětí postarají a že spolu s nimi vše zvládneme. To vše sice zní moc hezky, ale je potřeba vrátit se do reality a být stále na pozoru, jelikož nástrah v kyberprostoru stále přibývá a jsou čím dál tím více promyšlené.

I statistické údaje, které zde byly prezentovány, nasvědčují tomu, že novodobý trend je jasný, 90 % dětí ve věku od 6 do 12 let má volný přístup k tabletům a chytrým telefonům. Vychází to z průzkumu provedeného ve Velké Británii. 2 ze 3 dětí v tomto věku mají svůj vlastní aparát a 2 ze 3 dětí jej používají každý den.

Jelikož mám ráda grafy, vyhledala jsem si na Internetu studii vydanou v říjnu minulého roku profesorkou Soniou Livingstone z LSE (London School of Economics and Political Science), kde jsou zmíněna zajímavá fakta a trendy poslední dekády. Níže uvedený graf vydala ve své zprávě telekomunikační společnost Ofcom. Graf znázorňuje odhadovaný počet hodin strávených na Internetu (doma či jinde) dle věku dítěte. Je zajímavé vidět, že děti ve věku od 5 do 15 let čas strávený na mobilních přístrojích v roce 2017 téměř zdvojnásobily oproti údajům z roku 2007.

Dále mě v této zprávě zaujal graf z roku 2017, který znázorňuje, kolik procent dětí ve věku od 3 do 15 let vlastní chytrý telefon či tablet. Zatímco ve věku 10 let převládá vlastnictví tabletu, v 11 letech používají děti spíše chytrý telefon.

Poslední graf, který jsem vybrala, se týká činností, jenž děti ve věku 7 – 16 let nejčastěji na Internetu provozují. Zdrojem je tentokrát výzkumná zpráva agentury CHILDWISE z roku 2017. Pro děti ve věku 7 – 8 let je typické, že používají Internet za účelem hraní her a pouštění videí a děti ve věku 15 – 16 let zde poslouchají hudbu a komunikují prostřednictvím sociálních sítí.

Stále se tedy ještě najde určité procento rodičů, kteří se snaží střet svých dětí s on-line světem co nejvíce oddálit, ale je třeba konstatovat, že takovéto děti jsou z pohledu svých vrstevníků trochu „out“. Mnohem jednodušší asi je se s tímto trendem smířit a jít ruku v ruce s novými technologiemi, které již rodičům umožňují kontrolu nad tím, co jejich děti na mobilu či tabletu dělají. Pokud jim odmalička budeme do hlavy vštěpovat zásady bezpečného chování na Internetu a nenecháme je topit se ve víru virtuální reality, který je dost silný na to, aby jim ublížil, nemusíme mít o své potomky obavy.

Na konferenci mě zaujala prezentace aplikace Family Link, prostřednictvím které může rodič svému dítěti zřídit účet na Googlu (mladšímu 13 let) a nastavit zde parametry dle specifických přání a zvyklostí dané rodiny, např. v jakém časovém rozmezí může dítě mobilní zařízení využívat, jaké dny v týdnu, maximální denní časový limit. Dále je možné zablokovat dítěti některé funkcionality. Při zřizování účtu je rodič vyzván k zaplacení symbolické částky, aby si mohl Google dle majitele bankovního účtu/platební karty ověřit, zda je skutečně rodičem dítěte, jemuž je účet zřizován. Vybrané peníze jsou pak věnovány organizaci na ochranu dětí.

Dále zde zazněla zajímavá rada, což se hodí zmínit právě na závěr tohoto blogu, že bychom se měli naučit naslouchat svým dětem a přijímat od nich informace z on-line světa. Nejen, že tak upevníme vzájemný vztah, ale obě strany si odneseme mnohdy velice cenné poznatky a zkušenosti. Přeci jen dnešní mládež se často orientuje ve virtuálním světe lépe než my a zná od svých vrstevníků jisté triky, které nám zůstávají utajeny.

Kategorie:

Upgrade .cz DNS aneb Zákulisí příprav a realizace – část třetí

Po, 04/23/2018 - 10:33

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. Hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje stále více. Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“.

V prvním a druhém díle seriálu o upgrade DNS infrastruktury jsem představil koncept DNS stacků a první implementaci ISP DNS stacků u poskytovatelů internetového připojení. Dnešní díl se zaměří na jednu z časově nejnáročnějších částí celé realizace – výběrová řízení na 100GE router, switche, servery a jejich následnou logistiku do datacentra.

Výběrová řízení a nákupy hardware

Výběrová řízení jsme rozdělili na dvě skupiny. První na dodávku routerů a management switchů, druhou na dodávku serverů. Poptávali jsme tedy 100GE router pro Velký DNS stack, 2 managementswitche a celkem 31 serverů.

Dodavatelům jsme zaslali seznam požadovaných technických parametrů a pro obě výběrová řízení jsme předem stanovili stejná hodnotící kritéria.

Celkem jsme stanovili 11 hodnotících kritérií, např. cena a cena za support, splnění technických parametrů, rozsah a kvalita supportu, reference, dopad na provozní náklady apod. Ke každému kritériu jsme vyplnili hodnoty 1-5, jako ve škole, kdy 1 je nejlepší. Současně každé kritérium mělo stanovenou váhu v procentech tak, aby celkový součet všech vah byl 100 %.

Nejvyšší váha nebyla stanovena k ceně, ale k technickým parametrům. Pro jejich vyhodnocení jsme měli připravenou ještě další tabulku, která obsahovala jednotlivé parametry a také jejich váhu v rozmezí 1 až 4, která určovala jejich důležitost. Ke každé položce jsme vždy vyplnili buď „1 – splňuje zadání“ nebo „0 – nesplňuje zadání“. Nakonec se na základě váhy vypočítal celkový součet a převedl na známku 1-5, pro doplnění do hlavní hodnotící tabulky. V případě routerů jsme takto hodnotili 21 technických parametrů.

Všechny dodavatele jsme vyzvali do stanoveného data k zaslání nabídek, následně byl prostor k osobním prezentacím navrženého řešení a další konzultace.

Routery

Oslovili jsme 5 dodavatelů, řazeno abecedně:

Alcatel-Lucent Czech s.r.o. (Alcatel-Lucent/Nokia), Alef Nula a.s. (Cisco), Comguard s.r.o. (Brocade), Comsource s.r.o. (Juniper), Huatech a.s. (Huawei).

Hlavními požadovanými technickými parametry routerů byly:

Plná podpora IPv4+IPv6, IRB, OSPFv2/v3, L3 subinterface, ACL aplikované na L3 porty, subinterface a IRB, BGP dle RFC, NetFlow9/IPFIX, PPS – linerate kapacita fyz. rozhraní nezávislá na velikosti ethernetového rámce a linerate kapacita při filtrování. Dále ECMP s podporou minimálně 32 cest, transceivery QSFP28 pro 100GE a SFP+ pro 10GE (případně ekvivalentní), redundantní Control Plane, oddělený Forwarding Plane a podporu ISSU.

Vzhledem k uvažovanému počtu serverů měl 100GE router obsahovat alespoň 2 100Gb porty a alespoň 34 10Gb portů.

Obdrželi jsme nabídky těchto 100GE routerů:

  • Nokia 7750 SR-7,

  • Cisco ASR9904,

    • varianta č.1 s tzv. „rozpletem“ z 100Gb portů na 10Gb porty,

    • varianta č. 2 s požadovaným počtem 10Gb portů,

  • Brocade MLXe-4,

  • Juniper MX240 ve variantě s tzv. „rozpletem“ z 40Gb portů na 10Gb porty,

  • Huawei NE40-X3A.

V užším výběru jsme se rozhodovali mezi routery Cisco ASR9904 ve variantě č. 2 a Juniper MX240. Oba routery nejlépe splňovali naše kritéria, hlavní rozdíl mezi nimi byl v použití tzv. „rozpletu“ 40Gb portů na 4x10Gb v případě Juniperu a ve velikosti U. Router MX240 zabírá 5U, kdežto ASR9904 o jedno U více.

Vítězem se stal router Juniper MX240 díky nižší ceně a také kvůli velikosti. Velikost 5U nebo 6U není na první pohled zásadním kritériem. Potřebovali jsme do 42U racku umístit 31 serverů, dva switche, ODF a mít prostor i na vedení kabeláže. Router o velikosti 5U byla v tomto případě optimální varianta.

Díky výběrovému řízení jsme získali přijatelné podmínky pro obě řešení, které nejlépe splňovala naše kritéria. I v tomto projektu dbáme na dodržení diverzity HW a je tedy možné, že plánovaný druhý Velký DNS stack bude realizován právě s routerem ASR9904 v revidované konfiguraci.

Management switche

Management switche byly poptávány společně s routery. Hlavními požadovanými technickými parametry management switchů byly:

Velikost 1U, přenosová rychlost 10Gb, 48 1Gb portů a 4 10Gb porty, redundantní zdroje a back-to-front air flow.

Tyto technické parametry nejsou v ničem specifické nebo neobvyklé, všichni dodavatelé nabídli velice srovnatelné modely.

Jednalo se o:

  • Nokia 7210 48T,

  • Nexus 3048TP-1GE,

  • Brocade ICX7450-48,

  • Juniper EX3400-48T-AFI,

  • Huawei CloudEngine 5800 TOR.

Vzhledem k výběru routeru od Juniper bylo logickým krokem zvolit switche od stejného dodavatele. Vybrali jsme tedy switche Juniper EX3400-48T-AFI.

Servery

V případě serverů jsme oslovili 4 dodavatele, řazeno abecedně:

Abacus (SuperMicro), Autocont (DELL), Hewlett Packard Enterprise (HPE) a Tecom (Intel).

Hlavními požadovanými technickými parametry serverů byly:

Velikost serveru 1U s 2,5“ disky, redundantní zdroje, HW diskový řadič s cache, Intel platforma, support next business day, remote management s podporou HTML5 nebo Java a 10G SFP+ síťové karty Intel řady X710. Tyto karty jsme vybrali na základě zkušeností kolegů z vývojového týmu Knot DNS a jejich provedených výkonnostních testů (viz https://www.knot-dns.cz/benchmark/).

Všichni dodavatelé serverů nabídli velice srovnatelné parametry a komponenty, rozhodovali jsme se primárně na základě ceny. Vybrali jsme servery DELL, konkrétně v provedení PowerEdge R430.

Dodání a uskladnění HW

Doručit a dočasně uskladnit jeden router a dva switche pro prvotní konfiguraci před umístěním v datacentru není žádný problém. Ale 31 serverů? Jeden zabalený server má přibližné rozměry 85x60x25 cm a váží přibližně 20kg. Pokud bychom si je nechali všechny doručit na naší adresu, zaplnili bychom tak podstatnou část našeho skladu a komplikovaně bychom je poté převáželi do datacentra. Nejvhodnější bylo tedy doručit servery přímo do datacentra, kde jsme domluvili vlastní uzamykatelnou místnost nedaleko nájezdové rampy do sálu a dodavatele požádali o doručení přímo do datacentra.

Neobešlo se to však bez menších komplikací. Dodávka všech serverů byla rozdělena na 3 části a doručována ve třech dnech, z toho jednou chybně na naší adresu. Naštěstí se datacentrum, ve kterém jsme se rozhodli první Velký DNS stack zprovoznit, nachází nedaleko a kurýr ochotně servery převezl.

V dalších dílech se můžete těšit na zkušenosti s přípravou zázemí v datacentru a uvedením do provozu.

4. díl: První Velký stack – příprava zázemí
5. díl: První Velký stack – instalace, testování a nasazení do provozu
6. díl: První Velký stack – závěr a zkušenosti z provozu

Kategorie:

O nenávisti se nám mlčet nechce

St, 04/11/2018 - 12:53

Jistě všichni víte, že už je to nějaký čas, kdy jsme měli tu čest a přivítali jsme v našem sdružení Patricka Zandla. Patrick má na starosti rozvoj Turrisu. To, že se podílí na tak skvělém projektu mu ale možná nestačí; cítí, podobně jako většina zaměstnanců našeho sdružení, že kromě rozvoje technologií je potřeba pracovat i na rozvoji společenské odpovědnosti.

Není tedy příliš velkým překvapením, že se Patrick rozhodl vystoupit z řady přihlížející většiny ve chvíli, kdy se dozvěděl o neuvěřitelně bezohledném a slušně řečeno hrozném chování, mnoha lidí v české společnosti. Nebo už mu spíš nic jiného nezbylo, protože nikdo jiný nic neudělal.

V listopadu na sociální síti Facebook došlo k veřejnému napadání a urážení dětí, které gradovalo do opravdu neuvěřitelných rozměrů. Patrick o tom napsal článek, ve kterém současně vyzval čtenáře k finanční podpoře školy, které se veřejné urážky a napadání týkaly. Článku předcházela sbírka, kterou Patrick uspořádal z toho důvodu, aby škola skutečně viděla, že na tolik nenávisti opravdu nejsou sami. Ve sbírce se Patrickovi podařilo vybrat více než půl milionu korun a to hlavně a především od jeho známých a přátel.

Ve svém článku, který byl zároveň výzvou k veřejné sbírce Patrick napsal: „Je čas si to říct na rovinu. Když vidíme zlo a mlčíme, jsme sami součást zla. Udělat jen to málo jako říct „je hnus navážet se do dětí, natož jim přát plyn“ snad nevyžaduje velkou osobní oběť. Stále snad jsme země, kde se smí ohrožování dětí odsoudit. Proč jsme to teda neudělali? Já původně pod dojmem své nevýznamnosti. Co koho zajímá můj pohled. Ale včera mi došlo, že čekám marně na to, až se dětí zastane někdo významnější. A tak jsem do té školy napsal s pár slovy podpory a otázkou, zda pro ně mohu něco udělat. Na něčem jsme se dohodli nebo dohodneme, to zařídím. Vás potřebuju na to, abych věděl, že nejsem sám. A ty děti a učitelé vás potřebují.“

Jak Patrick řekl, tak učinil. Vybrané děti jsme díky aktivitě a ochotě zaměstnanců školy, pozvali k nám na exkursi, kde se mohly dozvědět o tom, jak si lépe ochránit své zařízení před škodlivými kódy, jak bezpečně a zodpovědně zacházet se svými osobními údaji, jak se vyhnout podvodům na Internetu nebo proč je důležité mít zabezpečený router.

S ohledem na rozšíření naší základny, měly děti možnost navštívit naše nové prostory v Hotelu Olšanka, kde se konala právě zmíněná přednáška. Po obědě jsme se přesunuli do našeho hlavního sídla kousek od náměstí Jiřího z Poděbrad. Tady měly děti možnost vidět práci odborníků v praxi. Díky krásné náhodě, tiskl zrovna Lukáš, jeden z našich kolegů, náhradní díly na 3D tiskárnu, návštěva dětí ho vůbec nepřekvapila a naopak přidal ke své práci poutavé povídání, ze kterého se děti dozvěděly nejen o tom, jak 3D tiskárny fungují, co všechno se s nimi dá dělat, ale i kolik stojí, když si koupí tiskárnu již hotovou a jak moc ušetří, když si jí budou umět poskládat sami :-).

Další oddělení, které děti navštívily, byl vývoj hardware našeho Turrisu. Tady byly seznámeny s tím, jak probíhá proces výroby routeru – Zbyněk s Tomášem jim stručně popsali proces vývoje od samého výběru součástek, návrhu schématu desky plošných spojů, přes výrobu až po osazení a ověření funkčnosti. Krásným zakončením dne byla informace od jednoho z žáků o jeho rozhodnutí jít studovat některý z technických oborů.

Díky Patrickovi a aktivnímu přístupu zaměstnanců školy jsme měli možnost ukázat dětem nejen pražskou základnu našeho sdružení, ale hlavně a především i to, že veřejné napadání, urážení, výsměch a nenávist jsou výsadou pouze omezené skupiny obyvatel, nikoli normou.

Kategorie:

Děti v akci aneb Jak se hraje kybernetické pexeso v DDM Praha 9

Út, 04/10/2018 - 15:25

Již delší dobu mě zajímalo, jak vnímají samy děti hru kybernetické pexeso, které vydalo sdružení CZ.NIC v rámci projektu Safer Internet na podzim loňského roku. Proto jsem se vydala druhý jarní den do Domu dětí a mládeže na Praze 9, na pobočku Černý Most, abych mohla sledovat, jak se děti ke hře kyberpexesa staví a jak je baví.

Pexeso je zaměřeno na hráče přibližně ve věku 9 – 14 let. Navštívila jsem tedy dva kroužky angličtiny (pro 4. – 5. třídu, pro 6. – 7. třídu). Nejprve jsem děti vyzpovídala, co na mobilu, tabletu či počítači nejraději dělají. Nepřekvapilo mě, že nejčastěji hrají hry, sledují sociální sítě nebo „chatují“ s kamarády. Poté se malí studenti angličtiny pustili do hry.

V průběhu hry se děti seznamovaly s novými pojmy z oblasti kybernetické bezpečnosti. Některé z nich je velice zaujaly jako např. anonymní okno, honeypot či zombie. Dále jsme diskutovali nad termíny, které byly některým dětem více známy jako např. virus, spam nebo řetězový dopis. Velmi mě však překvapila poměrně dobrá informovanost mladších žáků o pojmech, jenž jsou i mnoha dospělým dosud neznámé, a to grooming a sexting. Vzhledem k tomu, že děti velmi rády „chatují“, ať už v rámci řešení strategické hry nebo např. v diskuzi ohledně péče o domácí mazlíčky, je zde skutečně velké riziko, že v tomto virtuálním světě potkají „spřízněnou duši“, která pro ně ve finále znamená velké nebezpečí.

Líbilo se mi, že děti tématika kybernetické bezpečnosti zaujala a samy chtěly o jednotlivých rizicích diskutovat. I přestože si některými z nich nebyly jistí, pokusily se alespoň odhadnout jejich význam. Samy dokonce aktivně zmiňovaly konkrétní případy ze svého okolí, kdy někdo z kamarádů či rodičů čelil kybernetickému útoku. Na závěr jsme se dostali k tématu závislosti na mobilu – nomofobii (též jedna z kartiček pexesa). Starší žáci potvrdili, že na svém chytrém telefonu skutečně tráví poměrně hodně času a připustili jistou míru závislosti.

Na závěr bych ráda uvedla, že osvěty v oblasti kyberbezpečnosti není nikdy dost, zvlášť pokud se jedná o malé děti, které jsou ještě dosti zranitelné a s řešením problému si často nevědí rady. Kolegové Pavel Bašta, Věrka Mikušová, Jirka Průša a Katka Vokrouhlíková pořádají na toto téma pravidelná školení a přednášky, kdy žákům formou praktických příkladů představují hrozby na Internetu a radí jim, jak se jich vyvarovat, případně jak je co nejlépe řešit.

S Domem dětí a mládeže na Praze 9 již spolupracujeme druhým rokem, a to primárně na organizaci letního kybertábora.

Kategorie:

Knot Resolver & soukromí

Po, 04/09/2018 - 13:06

Na apríla firma Cloudflare zcela vážně oznámila světu novinku, že vstupuje na trh rekurzivních DNS serverů a začíná tak konkurovat Google Public DNS. Velmi náš těší, že Cloudflare se rozhodl nasadit právě náš Knot Resolver, který v CZ.NIC vyvíjíme od roku 2014. Text veřejného oznámení velmi stručně vyjmenovává funkce Knot Resolveru, které Cloudflare nabízí veřejnosti.

Co jednotlivé funkce prakticky znamenají? A proč je pro uživatele dobře, že Cloudflare vybral právě náš Knot Resolver? Implementuje totiž tři funkce, které zlepšují soukromí uživatelů. Jmenovitě jde o:

  • DNS-over-TLS (Transport Layer Security) RFC 7858,
  • Query Minimization RFC 7816,
  • Aggressive Use of DNSSEC-Validated Cache RFC 8198.

Podívejme se, jak jednotlivé funkce zlepšují soukromí uživatelů, a jak je můžete použít i vy na vašem resolveru.

DNS-over-TLS (RFC 7858)

DNS protokol tak, jak byl před 30 lety navržen, posílá dotazy otevřeně pomocí UDP a TCP protokolů na portu 53, takže kdokoliv, kdo má schopnost sledovat provoz na síti, také vidí všechny DNS dotazy od klienta (tj. vás) k resolveru. Z DNS dotazů se tak např. dozví i jména všech webů, které klient navštěvuje, a to i v případě, že weby samotné jsou zabezpečeny pomocí HTTPS.

Funkce DNS-over-TLS (standard RFC 7858) zabezpečuje DNS provoz pomocí Transport Layer Security protokolu známého zkráceně jako TLS. Díky tomu je provoz mezi klientem a resolverem šifrovaný, díky čemuž „pozorovatel“ na síti nevidí dovnitř DNS dotazů, které klient posílá.

Díky použití DNS-over-TLS je dotaz „viditelný“ na síti jen od resolveru dál. V praxi to znamená, že na dostatečně velkém resolveru se prokládají dotazy od různých klientů, což ztěžuje zpětné přiřazování klient-dotaz.

Pokud chcete, můžete svůj Knot Resolver nakonfigurovat tak, aby posílal všechny DNS dotazy na resolver provozovaný Cloudflarem. Taková konfigurace vás ochrání před útočníky, kteří sledují provoz vycházející z vaší sítě. Samozřejmě to vyžaduje, abyste věřili firmě Cloudflare. Doporučujeme vám přečíst si Cloudflare resolver privacy notice.

Stačí do konfigurace vložit následující řádky:

policy.add(policy.all(policy.TLS_FORWARD({{ '1.1.1.1' hostname='cloudflare-dns.com', ca_file='/etc/pki/tls/certs/ca-bundle.crt' }})))

Nezapomeňte upravit cestu /etc/pki/tls/certs/ca-bundle.crt tak, aby ukazovala na váš systémový soubor s důvěryhodnými certifikáty.

Tímto nastavením jsme skryli provoz mezi klientem (vámi) a resolverem.

Query Minimization (RFC 7816)

Účelem této funkce je omezit „únik“ informací o jménech, na které se resolveru klient ptá, a tím pádem i zvýšit soukromí uživatelů daného resolveru. Jinými slovy omezuje informace, které „unikají z resolveru“ během jeho normální funkce.

Podle prapůvodního standardu DNS RFC 1034 se resolver vždy ptal na celé jméno tak, jak jej dostal v požadavku od klienta, např. www.example.com. To prakticky znamenalo, že informace o tom, které weby uživatel navštěvuje, se v podobě DNS dotazů dostala ke všem serverům, které resolver při řešení požadavku kontaktoval. Můžeme si to představit takto:

  • dotaz www.example.com. → root autoritativní server (zóna.)
  • dotaz www.example.com. → TLD autoritativní server (zóna com.)
  • dotaz www.example.com. → autoritativní server provozovatele (zóna example.com.)

V našem příkladu se tedy informace o tom, že uživatel s konkrétní IP adresou chce navštívit web www.example.com. dostala nejen k root serverům (odpovědným za kořenovou zónu .), ale i TLD serverům (odpovědným např. za zónu cz.). Samozřejmě, že na čím víc míst je dotaz odeslán, tím větší je šance, že bude někde zaznamenán a použit.

Název funkce Query Minimization (experimentální standard RFC 7816) by se do češtiny dal volně přeložit jako „zmenšení dotazů“. Spočítá v tom, že resolver posílá autoritativním serverům nejmenší možné množství informací, např. takto:

  • dotaz com. → root autoritativní server (zóna .)
  • dotaz example.com. → TLD autoritativní server (zóna com.)
  • dotaz www.example.com. → autoritativní server provozovatele (zóna example.com.)

Tím se zmenšuje počet míst, kam je dotaz odeslán, a tím i počet míst, kde může být zaznamenán. Knot Resolver provádí „zmenšení dotazů“ automaticky, takže je i vaše soukromí automaticky chráněno.

Aggressive Use of DNSSEC-Validated Cache (RFC 8198)

Poslední zmíněnou funkci můžeme česky nazvat „agresivní použití DNSSEC keše/mezipaměti“. Detailně se jí budeme zabývat v samostatném článku, takže ji zde popíšeme jen velmi obecně. Musíme však začít základní teorií:

Důkazy v DNSSEC

Základní vlastností technologie zabezpečení DNSSEC je, že klient, který se zeptal na neexistující informaci, dostane zpět tzv. „důkaz neexistence“. Tím se zabezpečuje, že zpráva o neexistenci informace nemůže být podvržena. Takový důkaz vypadá (zjednodušeně!) takto:

ananas.example. NSEC pomelo.example. RRSIG NSEC (kryptografický podpis)

Tím je vyjádřeno, že existují jména ananas.example. a pomelo.example., a že mezi těmito jmény neexistuje žádné jiné.

Například si představme, že klient se ptá na jablko.example. a dostane zpět uvedený důkaz neexistence. Pro ověření, že jméno opravdu neexistuje klient napřed ověří podpis důkazu (RRSIG záznam), a potom se podívá, zda jméno, na které se ptá, leží uvnitř intervalu uvedeném v důkazu. Když seřadíme jména z důkazu a dotazu abecedně, tak dostaneme následující pořadí:

ananas.example. jablko.example. pomelo.example.

Jméno „jablko“ tedy leží mezi jmény ananas a pomelo, takže důkaz opravdu říká, že jablko neexistuje. Tolik k základní teorii důkazů neexistence v DNSSEC. Co tedy znamená „agresivní použití“?

Agresivní použití důkazů

Dříve se resolver pro každý dotaz, pro který neměl ve své cache odpověď, musel znovu zeptat autoritativního serveru. Pokud se tedy klient zeptá na jména jablko.example., banan.example. a mandarinka.example., resolver třikrát pošle dotaz na autoritativní server.

Implementace RFC 8198 nám dovoluje použít DNSSEC důkazy v cache resolveru pro omezení dotazů směrem k autoritativním serverům. V našem ovocném příkladu by se resolver zeptal autoritativního serveru pouze na jablko.example. a následující dotazy banan.example., mandarinka.example. už resolver odpoví přímo ze své cache, tj. informace z dotazu se nedostane k autoritativnímu serveru. To zlepšuje rychlost odezvy a snižuje zátěž jak resolveru, tak autoritativního serveru a zvyšuje odolnost proti některým typům útoků na DNS. Teď se ale zaměřme na vliv na soukromí.

V praxi je velké procento dotazů nesmyslných, způsobených chybnou konfigurací klientů. Například velmi často lokální síť s výchozí konfigurací DHCP konfiguruje klientské systémy tak, že za jméno počítače přidávají neexistující domény jako lan., home. apod. Klienti v důsledku pak generují dotazy jako pepuv-laptop.lan., josef1975.lan nebo ještě hůře unikátní jméno vygenerované při instalaci počítače jako desktop-A8F2C938FA1F.. Unikátní jména pak lze použít ke stopování uživatelů. S pomocí agresivní cache však jednou resolver získá informaci o tom, že neexistuje doména lan. a pak se už znovu neptá, a tím se únik informací zastaven.

Dobrá zpráva je, že Knot Resolver od verze 2.0 automaticky používá agresivní cache a tím zamezuje úniku informací. Doporučujeme tedy aktualizovat na poslední verzi resolveru!

Kategorie:

Pět statečných z CZ.NIC na InstallFestu 2018

St, 03/14/2018 - 06:00

Do hlavního programu letošního ročníku InstallFestu se podařilo probojovat pěti mým kolegům. Bohužel jsem si je nemohla jít osobně poslechnout, protože jsem onemocněla. Nicméně jsem využila možnosti tak učinit alespoň ze záznamu. Pro ty, kteří na tom byli podobně jako já nebo to jen nestihli, přináším malé shrnutí.

Karel Kočí ve své přednášce s názvem Domácí WiFi síť s OpenWRT spojil teorii s praxí. Kdo by nechtěl mít všude doma kvalitní WiFi? Asi většina z nás. Karel všem poradil, jak toho dosáhnout a jak si doma nastavit WiFi síť pomocí OpenWRT. Zapojil několik routerů do jedné sítě, ve které plní jeden z nich roli routeru a ostatní roli přístupových bodů.

Vývoj na Linuxu „the hard way“ se jmenovala prezentace Mirka France, a že byla opravdu hard, svědčí i čas; trvala něco přes 50 minut. Není se čemu divit, když Mirek během ní popsal, jak programovat a hlavně ladit na Linuxu. Vedle toho představil nejdůležitější nástroje, které by každý programátor měl znát, aby mu pomohly odhalit a řešit různé typy chyb.

Lehčí téma zvolil vedoucí projektu Turris, Patrick Zandl. Ve svém bilančním příspěvku Open source router Turris v roce 2017 a výhledy na rok 2018 totiž shrnul nejdůležitější body činnosti jeho týmu, a že toho nebylo málo. Když to zkrátím, kolegové od Turrisu se snažili dohnat slíbené, opravit pokažené a vyvinout něco nového. Zároveň už nyní mají plný plán úkolů na rok 2018. Prý se je na co těšit, a to hlavně v dubnu.

Na přednášce kolegyně Zuzky Leny Ansorgové se podle mých zpráv těžko hledalo volné místo. Zuzka se u nás věnuje technické dokumentaci, proto nikoho nepřekvapí, že svou prezentaci nazvala Jak začít dokumentovat. Kdo pozorně poslouchal, ten se dozvěděl odpovědi na otázky, proč psát takovou dokumentaci a pro koho, jaké jsou současné přístupy k tvorbě, správě a dodávání obsahu. Na závěr Zuzka doporučila i nějaké ty užitečné open source nástroje.

Poslední, kdo na InstallFestu z mých kolegů vystoupil, byl Martin Vicián. Ten se ve své přednášce Linux na desktopu pro Běžně Frustrované Uživatele podělil o to, jak došlo k tomu, že na 90 % osobních počítačů máme v CZ.NIC GNU/Linux, jaký byl přechod na tento operační systém z pohledu uživatelů i administrátorů, a jak si lze zautomatizovat proces instalace a používání pomocí FAI a Ansiblu.

Tolik k jednotlivým vystoupením a jestli jste toho autentična neměli dost, přečtěte si ještě příspěvek kolegyně Nory Kořánové. Najdete ho na stránkách Turrisu. Toť vše a pokračovat můžeme třeba zase po letošních Linux Days.

Kategorie:

Společně za zlepšení stability, rychlosti a další rozšiřitelnosti DNS ekosystému

Út, 03/13/2018 - 19:01

V minulosti se výrobci DNS softwaru pokoušeli řešit problémy s interoperabilitou DNS protokolu a jeho rozšíření zvaného EDNS (standard RFC 6891) tak, že do svého software dočasně přidávali schopnost přijmout různé nestandardní chování. Bohužel se ukázalo, že tento přístup, tedy přidáváním dočasných „náplastí na problémy“ není dlouhodobě udržitelný, a to především proto, že implementace, které plně nerespektují standardy, zdánlivě fungují a není tedy důvod pouštět se do jejich plnohodnotných oprav. Výsledkem těchto polovičatých řešení je jejich hromadění a ukládání v DNS softwaru, což vede k situaci, kdy je jich už tolik, že samy o sobě začaly způsobovat problémy. Tím nejviditelnějším problémem je pomalejší odpovídání na DNS dotazy a nemožnost nasadit novou funkcionalitu DNS protokolu zvanou DNS Cookies, která by pomohla omezit DDoS útoky založené na zneužití DNS protokolu.

Pozor, změna

Abychom předešli dalšímu zhoršování stavu DNS služeb pro uživatele i operátory, rozhodli jsme se společně se skupinou výrobců DNS softwaru koordinovaně ukončovat podporu některých druhů nestandardních řešení, tedy podporu implementací, které nerespektují standard RFC 6891. Všechna nová vydání DNS softwaru od společností CZ.NIC, ISC, NLnet Labs a PowerDNS nebudou po 1. únoru 2019 obsahovat kód pro obcházení nekompatibilit se standardem RFC 6891.

Náš software Knot Resolver se od svého vzniku drží standardů a ve své výchozí konfiguraci se nepokouší obcházet nekompatiblity způsobené nedodržením těchto standardů. Přesto doporučujeme zkontrolovat vaše servery, a to proto, aby byla zaručena kompatibilita se softwarem všech ostatních výrobců dodržujících platné standardy.

Otestujte své domény a servery

Své domény a autoritativní DNS servery můžete nyní otestovat díky webové aplikace na adrese https://ednscomp.isc.org/ednscomp/. Pokud je výsledkem vašeho testu zelená zpráva „All Ok“, tak jste již připraveni a nemusíte podnikat žádné další kroky. V případě, že je výsledkem cokoliv jiného než „All Ok“, aktualizujte svůj DNS software. Pokud používáte poslední verzi softwaru, obraťte se na jeho výrobce a požadujte po něm opravu. V tomto případě doporučujeme přiložit ke zprávě odkaz na výsledek testu, který obsahuje technické detaily.

Poznámka pro výrobce DNS software

Nic se nemění na tom, že ani nadále nemusí DNS software plně podporovat celý EDNS standard RFC 6891. Všichni výše uvedení výrobci samozřejmě zachovávají podporu pro servery, které se rozhodnou nepodporovat EDNS v souladu se standardem. Hlavní změna v implementaci protokolu tedy je, že nestandardní chování
přestane být tolerováno.

V případě, že se rozhodnete nepodporovat EDNS, je nutné korektně odpovídat na dotazy obsahující EDNS rozšíření v souhladu s RFC 6891 sekce 7, tj. zejména odpovídat korektní DNS zprávou s RCODE=FORMERR. Při implementaci prosím postupujte podle uvedeného RFC. Děkujeme.

Nejdůležitější na závěr

Domény na serverech, které podle výše uvedených testů nejsou v souladu se standardem, nebudou po 1. únoru 2019 fungovat spolehlivě a mohou se stát nedostupnými.

Uvědomujeme si důležitost tohoto jednání a proto o něm chceme informovat co nejvíce lidí, kterých se může dotknout. Na tuto změnu, která začne platit již za méně než jeden rok, budeme soustavně upozorňovat. Pokud máte možnost šířit tyto informace k lidem, kteří mají na starosti sítě a DNS servery, budeme rádi, když pošlete odkaz na tento blogpost dál. Naším cílem je spolehlivě a správně fungující DNS, které se nedá tak snadno zneužívat k útokům.

Aktualizace, 26. března 2018:

Motivace pro tento krok detailně vysvětluje příspěvek na blogu PowerDNS (v angličtině).

Kategorie:

Bylo schváleno nařízení definující významné incidenty pro poskytovatele digitálních služeb

Po, 03/05/2018 - 16:35

Schválením NIS směrnice (Network and Information Security Directive) započaly práce na její implementaci. Část povinnosti byla na straně jednotlivých členských států: tvorba strategie kybernetické povinnosti, implementace směrnice do národní legislativy nebo určení poskytovatelů základních služeb. Jeden z úkolů však zůstal na Evropské komisi (dále EK). Konkrétně šlo o nařízení, které mělo upřesnit požadavky na poskytovatele digitálních služeb.

Zatímco požadavky na zabezpečení či hlášení kybernetických bezpečnostních incidentů u poskytovatelů základních služeb spadají do kompetencí jednotlivých států, pro oblast poskytovatelů digitálních služeb (on-line tržiště, internetový vyhledávač a služba cloud computingu) bylo vydáno Prováděcí nařízení, které upřesňuje, jak by měli poskytovatelé digitálních služeb přistoupit k řízení bezpečnostních rizik, a jak by měli posuzovat, zda je incident významný a zda-li ho mají povinnost příslušnému CSIRT týmu hlásit. Kontaktním CSIRTem pro tyto povinné osoby je právě Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC. Společnosti si musí samy definovat, zda-li do této skupiny spadají, a to na základě definic obsažených v Zákoně o kybernetické bezpečnosti. Kromě povinností, které obsahuje prováděcí nařízení EK, mají čeští poskytovatelé digitálních služeb také povinnost hlásit kontaktní údaje. Ta je na rozdíl od povinnosti v prováděcím nařízení již v platnosti.

Prováděcí opatření v zásadě požaduje, aby jednotlivé povinné osoby přistupovaly systematicky k řízení bezpečnosti sítí a informačních systémů a využívaly přístup založený na posouzení rizik. Nařízení se dále věnuje fyzické a environmentální bezpečnosti, bezpečnosti dodávek či kontrole přístupu k sítím a informačním systémům. Co se týká řešení incidentů, přijatá opatření by měla zahrnovat udržování a testování postupů a procesů pro jejich detekci, politiky týkající se ohlašování incidentů nebo posouzení jejich závažnosti. Tyto a další politiky a opatření musí však mít potřebnou dokumentaci, aby příslušný orgán (NÚKIB) mohl ověřit jejich dodržování. Na rozdíl od poskytovatelů základních služeb bude však kontrola u poskytovatelů digitálních služeb vykonávaná úřadem v případě, že je důvodné podezření, že daný subjekt neplní povinnosti.

Co je na tomto nařízení důležité, je posouzení významnosti incidentu. Vypracovat definici významnosti nebylo určitě jednoduché. EK zvolila přístup, při kterém zohlednila například počet dotčených osob či uživatelů, a pak také počet uživatelských hodin, kdy služba nebyla dostupná. Což může být u služeb jako je například internetový vyhledávač docela náročné stanovit. Naštěstí pro menší společnosti byly hranice určující významnost incidentů nastaveny docela vysoko. Konkrétně se za incident, který má významný dopad, považuje takový, u něhož nastala alespoň jedna z těchto situací:

a) služba nabízena poskytovatelem digitálních služeb byla nedostupná v rozsahu větším než 5 000 000 uživatelských hodin, přičemž pojem uživatelská hodina se vztahuje k počtu uživatelů v Unii, kteří byli dotčeni po dobu šedesáti minut;

b) incident vedl ke ztrátě integrity, autenticity nebo důvěrnosti uchovávaných, předávaných nebo zpracovávaných dat nebo souvisejících služeb, které nabízejí sítě nebo informační systémy poskytovatele digitálních služeb nebo jsou jejich prostřednictvím přístupné, navíc ovlivněno bylo více než 100 000 uživatelů v Unii;

c) incident vytvořil riziko pro veřejnou bezpečnost a ochranu nebo ztrátu života;

d) incident způsobil materiální škodu alespoň jednomu uživateli v Unii, přičemž škoda způsobená uvedenému uživateli překročila 1 000 000 EUR.

Poskytovatelé digitálních služeb jsou povinni, dle Zákona o kybernetické bezpečnosti, hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jejich služeb, pokud mají přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu. Tedy jen incidenty, které splňují alespoň jednu z výše uvedených podmínek. Tyto incidenty by se pak měly hlásit Národnímu bezpečnostnímu týmu CSIRT.CZ. Toto nařízení je platné v celém svém rozsahu a bude účinné od 10. května 2018.

Kategorie:

Křest knihy Hradla, volty, jednočipy a jeden rozhovor k tomu

Po, 03/05/2018 - 10:35

Na konci loňského roku nás informovali kolegové, že se chystá vydání nové knihy Hradla, volty, jednočipy. Nikdo však netušil, že se právě tento titul stane tím nejrychleji prodaným prvním nákladem za celou historii Edice CZ.NIC. První kusy byly rozebrané za tři dny a v současnosti se expeduje první dotisk.

Po přečtení několika diskuzí a komentářů k této knize jsem pochopila proč. Nejlépe to vystihují úvodní slova Petra Koubského, mentora knihy: „Po dlouhé době někdo sepsal původní českou knihu o elektronice a číslicové technice, knihu dokonale uzpůsobenou současným podmínkám a možnostem, knihu informačně bohatou a přitom vtipnou a laskavou.“ Kniha Hradla, volty, jednočipy je totiž psaná pro zájemce o elektroniku, číslicovou techniku a nadšence do bastlení. Nemá udělat ze čtenáře odborníka složitých elektronických konstrukcí, ale má mu poskytnout základní informace o tom, jak to vlastně funguje a co vše lze sestavit v domácím prostředí. Nevyhýbá se ani tématům spojeným s bezdrátovou komunikací a Internetem věcí. Jejím autorem je Martin Malý, který se na svém webu představuje jako tvůrce věcí elektronických, programátorských a písemných a je známý také pod přezdívkou Arthur Dent nebo Adent.

Přiznám se, že jsem pana Malého znala jen letmo z kurzu Arduino pro učitele, který přednáší společně se Štěpánem Bechyňským v Akademii CZ.NIC. Brzy jsem zjistila, že se jedná o osobnost, která svými názory a prací oslovuje nemálo lidí. Není tedy divu, že se příznivci bastlení z Matematicko-fyzikální fakulty Univerzity Karlovy a Robodoupěte rozhodli na svém plánovaném setkání uspořádat 10. února křest jeho první knihy.

Zahájil ho krátkým představením David Obdržálek, asistent na Katedře teoretické informatiky a matematické logiky. Zakrátko předal slovo autorovi Martinu Malému, který vylíčil celý „životní“ příběh knihy a svou řeč ukončil slovy: „Nebojte se, zkoušejte, nemáte se čeho bát. Maximálně přijdete o nějaké součástky, ale užijete si u toho nebetyčnou legraci.“ Kmotrem knížky nemohl být nikdo jiný než dlouholetý kamarád a spolupracovník Štěpán Bechyňský, který pracuje ve společnosti Microsoft jako odborný konzultant pro IoT řešení v regionu CEE a s Martinem Malým školí učitele, kteří vyučují elektroniku, elektrotechniku nebo programování na úrovni základní nebo střední školy. Jak se sám o knize vyjádřil: „Jsem hrozně rád, že taková kniha vznikla, protože to dává velké možnosti lidem, kteří neměli šanci dostat řádné technické vzdělání díky našemu školnímu systému.“ Kniha byla pokřtěna isopropylalkoholem, následovala autogramiáda a v závěru odpoledne jsem měla možnost panu Malému položit pár otázek a příjemně si popovídat.

Jste velmi aktivní, živíte se psaným i mluveným slovem. Z dnešního křtu jsem pochopila, že napsat knihu byla pro Vás už jistá nezbytnost. Je to tak? A co Vás přivedlo k rozhodnutí svěřit její vydání právě sdružení CZ.NIC?

Ano, je to tak. Muselo to ven. Úplně prvotní impuls vzešel přibližně před osmi lety z mého okolí, kdy všichni začali vydávat knížky. Ptal jsem se sám sebe, o čem bych asi psal já. Tehdy jsem napsal knížku o webových technologiích, ale nakonec z toho nic nebylo. Zvažoval jsem co dál a odpověď se nabídla sama. Při kurzech Arduina účastníci kladli stále se opakující otázky, protože neměli vědomostní základ. Sice ho znali ze školy, ale zůstali nepopsaným listem. Ukázalo se tedy, že to musím napsat.

Přemýšlel jsem o komunitním financování, ale kniha by pak vyšla draze. Myšlenka však stále klíčila a shodou okolností jsme se v tu dobu začali bavit s CZ.NICem a Vilémem Sládkem o tom, že by se nějaká knížka mohla vydat. Pořád na to nebyl ten správný čas, až do loňského roku, kdy jsem začal mít určité zdravotní problémy a musel jsem zůstat doma. Nechtěl jsem úplně zahálet a rozhodl jsem se, že tu knížku napíšu. Naštěstí jsem měl dost materiálu, protože jsem poměrně plodný autor. Začal jsem vše kompletovat, psát surový text a nakonec z toho vyšlo 600 000 znaků. Ani jsem netušil, že z toho bude takhle tlustá knížka.

Proces vzniku takové knihy musí být někdy dost náročný. Dával jste dohromady podklady, psal jste a zároveň jste měnil strukturu. Neměl už jste toho někdy plné zuby?

Jak jsem říkal, jsem plodný autor a díky mým pracovním zkušenostem jsem zvyklý na psací dril. Měl jsem toho někdy dost spíš ze zdravotních důvodů. Výhodou je, že když píšete doma, můžete toho nechat, odpočinout si a pustit se do toho za nějaký čas. Takže mě to psaní ani neštvalo, štvát mě to začalo až ve chvíli, kdy to bylo dopsané. Je totiž potřeba, aby to někdo přečetl a opravil. Dostal jsem připomínky, zapracoval je a tak pořád dokola. Když už jste to měli v ruce vy, tak jsem si říkal, že to snad bude lepší ani nevydávat. To bylo ryzí autorské zoufalství. Když to bylo venku a já věděl, že to je dobré, tak mě chytly roupy a psal bych další.

Z pochvalných slov Petra Koubského vyznělo i jisté politování, že v České republice nevychází více podobných publikací od českých autorů. Souhlasíte s jeho tvrzením?

Jeho slov si velmi vážím. S těmi knížkami je to taková zvláštní věc. Já si pamatuji, že po revoluci začala vycházet spousta časopisů o počítačích a o programování, kde byly recenze programovacích jazyků a výpisy kódů. Nebyl ještě ve velkém přístupný Internet a tyto informace se šířily především v časopisech. Potom se některé tyto tituly přeformovaly do časopisů o spotřební elektronice. Zůstalo jen pár webů, které se věnují této problematice. Postupem času jsem zjistil, že existují jedno až dvě nakladatelství, které se věnují konkrétně elektronice. Jedno z toho bylo nakladatelství BEN technická literatura, které ovšem v posledních letech asi utlumilo svou činnost. Vydávají pár knížek ročně a už se ani nevěnují tolik samotné elektronice. Další věc je, že nejsou autoři a když nejsou autoři, nejsou vydavatelé. Navíc to asi nepřipadá nikomu natolik zajímavé, aby to vydával. Trochu odbočím a vrátím se do 80. let, kdy vycházel časopis Mikrobáze. Vedl ho Ladislav Zajíček, který byl fanatik do práce a psaní. Pamatuji si, že ve svém úvodníku psal o tristní úrovni československé publicistiky v oblasti elektroniky a narážel na to, že články trpí příšerným slohem, který odpovídá slohu inženýra, co své stylistické vzory získal čtením skript.

Já s ním souhlasím. Opravdu, spousta dnešních knih mi připadá jako vysokoškolská skripta, které někdo přebudoval do podoby knížky. Když už něco vyjde, nedá se to učíst a je to hrozně suchý. Elektronika si zaslouží, aby se o ní psalo poutavě. Doufám, že se mi to aspoň trochu povedlo, že kniha není úplná suchařina a že čtenáře k tomu přivede. Třeba mi za to ortodoxní technici budou nadávat, že je to terminologicky nejednoznačné, ale to už je život.

Už jste naznačil, že se chystá pokračování, které bude věnované struktuře procesorů a osmibitových počítačů a zaměří se na stavbu konstrukcí a emulaci. Zdá se, že materiálu máte dostatek. Kdy si myslíte, že se čtenáři pokračování dočkají? Chtěl byste se držet i svého slohového stylu, který sklidil takovou chválu? Nebo je nevyhnutelné přijmout ten učebnicový?

Ne, rád bych dodržel stejný styl. Je v podstatě několik vzorů, na kterých jsem si svůj sloh brousil. Jeden z nich je právě zmiňovaný Ladislav Zajíček, který napsal knížku Bity do bytu. Byla to učebnice o Assembleru Z80, která byla psaná hravým stylem, s hezkými obrázky a schématy. Byla psaná přirozeným jazykem. Další inspirací byly materiály od bratrů Smutných a lidí okolo nich, kteří měli schopnost psát čtivě, sice to byl inženýrský materiál, ale dalo se to číst. Pravidelně píšu od roku 2002, vybudoval jsem si už nějaký styl a měnit ho nebudu. Nechci, aby to bylo odborné pojednání. Je a bude to knížka pro lidi, kteří jsou nadšeni a chtějí si připomenout ducha konce 80. let. Bude to fanouškovská knížka.

A kdy bude? To nevím, ale tentokrát bude muset vzniknout při práci. Posouvá se to dopředu, ale v tuhle chvíli nejsem schopný říct přesný termín. Nicméně to nebude řádka let, ale měsíců a doufám, že by ten druhý díl mohl do konce roku být nebo alespoň začátkem příštího, ale kdo ví…

Ve své knize děkujete svým nejbližším, spolupracovníkům a podporovatelům. Věnoval jste ji však svému hrdinovi z mládí Eduardu Smutnému. Byla to pro Vás jasná volba? A čím Vás fascinuje jeho práce dodnes, že i po těch letech jste na něj pamatoval?

Eduard Smutný je úžasná postava české počítačové historie. On a jeho dvojče Tomáš vytvořili už za socialismu vývojářský tým, jak ho známe dneska. Jeden se zaměřoval víc na software a druhý měl na starosti hardware. Myslím, že ten jejich tým byl čtyř nebo pětičlenný. Opravdu dokázali tvořit efektivní tým i v tehdejší době, která byla neskutečně zkostnatělá, ztuhlá a rigidní, a to i přes všechny problémy s dostupností součástek, technologií a informací. Sestavili hned několik počítačů. Úspěšný JPR-12, pak přišla JPR-1, kterého navrhl Eduard Smutný a Tomáš Smutný ho naprogramoval. Návrh popsali a vydali v Amatérském rádiu, byl to vlastně svým způsobem československý počítačový open-source. Zveřejnili výkresy desek, schémata zapojení, princip fungování, rozpisy součástek a na poslední stránce vyšla maska klávesnice. Což mě jako devítiletého kluka hrozně fascinovalo. Navíc tam ještě napsali, jak se programuje v MIKRO BASICu, což bylo moje první setkání s programovacím jazykem. Bylo to Amatérského radio, č. 2, ročník 1983, modrá řada, kdyby měl někdo zájem. Pro mě to tehdy bylo zjevení a vlastně začátek celého mého zájmu o počítače, elektroniku, číslicovou techniku a programování. Postupem času pak Eduard Smutný udělal několik počítačů, jeho poslední byl počítač Ondra, což byl svého času takový drobný technický zázrak. Když kniha vznikala, bylo jasné komu ji dedikovat, protože Eduard Smutný stál na začátku všeho, on byl ten autor, který mě de facto přivedl k mojí další kariéře.

Uvádíte, že nejlepší způsob jak se něco naučit, je zkusit si to. Pokud bychom se drželi pouze elektroniky a číslicové techniky, co bylo tou Vaší první zkouškou a co si kladete za tu budoucí?

U nás v rodině se traduje, že u babičky na zahrádce jsem si vzal lopatičku na písek, odšrouboval víko z rozvodné skříně a strčil jsem tam kabel. Dostal jsem hroznou ránu, potom jsem to zopakoval s navlékací šňůrkou do zásuvky a dostal jsem ránu ještě třikrát nebo čtyřikrát. A nejspíš mě to nasměrovalo, protože když jsem šel do nemocnice na trhání nosních mandlí, dostal jsem od rodičů knížku, která se jmenovala Od krystalky k modelům s tranzistory. Knížku jsem si přečetl, zjistil jsem, co je tranzistor a chtěl jsem se podívat, jak vypadá. Vzal jsem dědečkovo rádio a podíval jsem se, co je uvnitř, a protože na tranzistoru nebylo vidět, co je to za typ, vytáhl jsem ho a odstřihl. Já jsem si to přečetl, ale dědečkovo rádio přestalo fungovat. Potom někdy ve třetí třídě jsem si půjčil časopis Věda a technika mládeži. Zrovna tam bylo popsané, jak si postavím digitální hodiny, samozřejmě pro mě to bylo v té době nedosažitelné, ale to jsem nevěděl. Věřil jsem, že si dojdu do obchodu pro součástky a doma si hodiny postavím. Shodou okolností si toho všiml kluk ze staršího ročníku a řekl mi o kroužku elektroniky. Začal jsem tam docházet a naučil se základy. Potom se kroužek přeměnil na programovací, plynule jsem pokračoval a začal programovat a hrát hry.

A co teď? Teď už je to jenom vysloveně nostalgické hraní si se součástkami. Všechno už mám doma připravené a odladěné. Takže už jen zbývá začít stavět ekvivalent počítačů, jako ZX81 nebo Commodore C64, a napsat pro ně ovládací program.

Kategorie:

Těžba kryptoměn v péči CSIRT.CZ

Pá, 02/23/2018 - 14:42

Minulý týden jsme byli upozorněni, že zadáme-li do vyhledávače kouzelná slůvka `intitle:“var miner = new CoinHive“ site:cz`, dostaneme stovky stránek, na nichž se těží kryptoměna. Skutečně, zdálo se, že se nám pod rukama rozdmýchává epidemie zlaté horečky.

Stáli jsme před otázkou, zda jsou majitelé domén oběťmi malwaru, či zda provozovatelé webů těžební kód umístili do svých stránek záměrně. Neřešme nyní, zda umístit bez vědomí návštěvníků do stránek těžební kód jako alternativu reklamy, jak se o tom poslední dobou v každém elektroničtějším kuloáru rokuje, je etické čili nic; CSIRT.CZ nemá rozhodovací pravomoc.

Máme začít majitele stránek informovat? Není naším záměrem plnit někomu e-mailovou schránku zbytečně. Pohled do seznamu stránek však stačil. Dobrovolný sbor hasičů, stavební společnost a prodejce podlah, poradna životního stylu… to nejsou provozovatelé, kteří vypadají na to, že by se vezli na špici módní těžební vlny a na své stránky kód umístili vědomě. Letmá kontrola a hraní si s vyhledávacími operátory navíc brzy ukázalo, že vytížené procesory plní peněženku téhož šťastlivce darebáka.

Další šetření pak přineslo docela jiné překvapení: přestože Google ze začátku uváděl 972 napadených stránek, když jsme se pokusili přejít na čtvrtou stránku výsledku (počítejme na stránku 10 výsledků), zjistili jsme, že stránek je k dispozici pouze 39. Přičemž se ale nabízelo klepnout na nápis „zopakovat vyhledávání a zobrazit i vynechané výsledky“. Po zobrazení vynechaných výsledků Google uváděl 963 jako celkové číslo, ale když jsme došli k šestistému výsledku, oznámil, že čtyři výsledky byly vynechané z důvodu jistého zákona a seznam skončil, jako když utne. … nepátral jsem na blozích společnosti Alphabet o důvodech nekonzistence, naopak jsem vděčně přijal fakt, že stránek je jenom několik. Tedy žádná revoluční epidemie! Mohl jsem tak seznam domén z vyhledávače vytáhnout jednorázově přímo přes DOM ve webovém prohlížeči.

Následně jsme na pravděpodobnou kompromitaci stránek upozornili provozovatele 35 domén a zaznamenali jednu kladnou a čtyřiatřicet žádných reakcí.

Během následujících dnů však těžební kód ze stránek mizel a byl dostupný pouze z archivu vyhledávače; situaci jsme monitorovali.

Pokud by stránky raketově přibývaly, bylo by nasnadě začít je vyhledávat proaktivně a automaticky nebo najít spolehlivý zdroj seznamu domén používajících kryptotěžbu. Brát je z ručního vyhledávání Google je časově náročné, Custom Search API je velmi omezeno a pro tento případ se spíše nehodí (nelze příjemně filtrovat nové výsledky anebo žádat jediný výsledek per doména). Raketový start se však nekonal. Stránky se postupně rozrůstaly o několik stovek, nyní se jejich počet sešplhal na 1200. Pro představu: při použití filtru na Slovenskou republiku dostáváme počet 13200 stránek; bez filtru pak celosvětově 17500. Jak velí přílivové vlny v hloubi indexu Googlu, počet stránek se mění, počet domén ale víceméně zůstává; přibyla jen jedna nová. Navíc se ukázalo, že se nejedná o novou nákazu, ale o projekt běžící možná už celý rok.

Byť jsme dostali zprávu, že některé antiviry označují stránky jako nebezpečné, podobně jako v případě útoku typu defacement, kdy útočník pouze změní vzhled stránky, ale nezanechá žádný malware, ani těžební kód není sám o sobě malwarem – pouze ukazuje na vysokou pravděpodobnost toho, že stránka byla kompromitována.

Měli jsme hypotézu, že všechny stránky využívají WordPress a můžeme možná vypátrat a opravit zranitelný plugin; měli jsme hypotézu, že všechny stránky pocházejí od jednoho slovenského webhostera. Ani jedno se ale nepodařilo prokázat. Způsob útoku a obsah nákazy bývají dvě nezávislé věci a v tomto případě tomu dle mne nebylo jinak.

Postupujme jako v případě jakékoli jiné nákazy; zlikvidovat veškerý cizí kód, vyměnit hesla, zkusit zjistit, odkud nákaza přišla – a nejlépe podělit se s komunitou.

Kategorie:

Novinky v projektu PROKI

St, 02/21/2018 - 05:20

Pro Národní bezpečnostní tým CSIRT.CZ je projekt PROKI jedním z největších projektů, na kterém jsme dosud pracovali. V roce 2018 vstupujeme do třetího roku tohoto projektu a je třeba říci, že i když jsme v minulém roce mnoho věcí zlepšili, určitě budeme mít na čem pracovat také v letošním roce.

Projekt jsme představili již před několika lety i zde na blogu. Co se nezměnilo je architektura projektu. Systém PROKI je navržen jako soubor mikroslužeb běžících samostatně v kontejnerech Docker. Systém je tak mnohem jednodušší vyvíjet, udržovat, je odolnější proti chybám a navíc je velice jednoduše přenositelný. Každá služba je pak v rámci PROKI provozována právě jako jeden kontejner. Jednou z nejdůležitějších, ale zároveň také asi i nejsložitějších částí projektu je IntelMQ. Jde o řešení pro shromažďování a zpracování různých datových zdrojů. Toto řešení bylo vyvinuto (a je stále rozvíjeno) rakouským národním týmem a ve značné míře je využíváno také jinými týmy. Potom, co jsme začali rozesílat výstupy z projektu do koncových sítí, jsme právě na základě zpětné vazby některé datové zdroje odebrali a některé naopak přidali. Pro ty, které jsme přidali, jsme pak museli také vyvinou vlastní komponentu.

Největší viditelná změna v projektu nastala v minulém roce na podzim, kdy jsme po první ověřovací fázi s několika subjekty začali zasílat výstupy do koncových sítí. Výstupy jsou zasílané jednou týdně (ve středu) subjektům, který mají v rámci RIPE NCC přidělený IP rozsah. Report je do koncové sítě automaticky zaslán v případě, kdy se aspoň jedna IP adresa z daného rozsahu objeví v jednom ze sbíraných datových zdrojů. Každý týden tak rozešleme do koncových sítí kolem 500 e-mailů, přičemž v jednom reportu se nachází od jednoho do desítky záznamů. Může jít o adresy připojené k některému ze známých botnetů, adresy, ze kterých se šířil malware, o otevřené resolvery a podobně. Na základě zpětné vazby jsme také například upravili formát zasílaného výstupu tak, aby se správně zobrazoval v obou hlavních tabulkových procesorech LibreOffice i Microsoft Excel. Příjemci, kteří preferují používání právě tabulkových procesorů a manuální zpracování událostí před strojovým, přečtou informaci hned, aniž je musí dekódovat z base64, jako tomu bylo v minulosti. Co se týče rozesílaní zpráv, kontejner e-mailového systému starající se o odeslání reportů byl překonfigurován a nově postaven na e-mailovém systému Postfix. V tomto případě jsme nasadili DKIM, což je nástroj umožňující elektronicky podepsat hlavičky odcházejících e-mailů. DKIM tedy umožňuje, aby příjemce mohl zjistit, zda e-mail skutečně pochází ze zdroje, který je uveden jako adresa odesílatele. Kromě DKIM byla provedena také implementace SPF na místních DNS serverech. SPF neboli Sender Policy Framework je e-mailový validační systém sloužící jako obrana proti spamu. Ke zvýšení důvěryhodnosti zasílaných e-mailových reportů jsme letos přidali ještě podepisování e-mailů PGP klíčem.

Další významnou změnou je možnost selektivního odhlášení subjektů. To je prozatím v poloautomatickém procesu – ručním zařazení do filtru na základě požadavků příjemců zprav. V rámci již dříve vyvinuté komponenty Custom Filter je možné vyřadit daný subjekt na základě více kritérií: vyřadit ho na základě abuse kontaktu, vyřadit pouze specifické IP adresy (například adresy patřící do honeypotů), či zrušit odebíraní specifických zdrojů.

Téměř všechny z uvedených změn byly dělány na základě zpětné vazby od příjemců reportů. Za zpětnou vazbu jim tímto chceme poděkovat. Na projektu je však stále mnoho práce, takže vás o tom, jak postupujeme, budeme i nadále informovat.

Kategorie:

Upgrade .cz DNS aneb Zákulisí příprav a realizace – část druhá

Út, 02/20/2018 - 10:51

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. Hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje stále více. Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“.

ISP stacky a jejich nasazení

V minulém díle seriálu o posilování DNS infrastruktury jsem se zmínil o různých konfiguracích DNS stacků a jejich plánovaných použití. Speciální variantou je ISP DNS stack, uvažovaný jako doplněk k velkým uzlům v České republice, a představuje tak další možnosti rozšiřování DNS infrastruktury. Toto řešení již provozuje např. SIDN.NL, správce nizozemské domény .NL.

Jak se liší ISP DNS stack od ostatních variant? ISP DNS stack je umístěn přímo v interní síti poskytovatele internetového připojení (dále jen „ISP“) v České republice a do této sítě propaguje DNS anycast prefix/y. Vyhrazujeme si právo definovat, který anycast prefix bude využit a současně jej v průběhu času změnit za jiný. ISP však nemá povoleno tento prefix propagovat dále do svých upstreamů nebo svým peerům. ISP DNS stack je primárně určen těm subjektům, kteří poskytují internetové služby (nebo jsou správci obsahu) většímu množství zákazníků a jsou tedy z našeho pohledu významnými konzumenty DNS provozu.

Výhodou umístění tohoto DNS stacku v síti ISP je plná dostupnost .CZ zóny a to i v případě DDoS útoků proti veřejným autoritativním DNS serverům. Vzhledem k principu DNS anycastu umístění ISP DNS stacku v interní síti ISP zvyšuje propustnost dotazů a zrychluje jejich odezvy.

Navrhli jsme 2 varianty ISP DNS stacků

Schema zapojení obou variant

Pro některé ISP je dostatečným řešením varianta ISP mini, tedy jeden server, který je schopen obsloužit přibližně 100 milionů DNS požadavků za den. Pokud ISP provozuje svoji síť ve více datacentrech, doporučujeme umístit tuto DNS instanci do každého z nich. V případě vyššího objemu DNS požadavků pak nabízíme variantu s pěti servery, které dokáží odbavit právě trojnásobek DNS provozu. Tato varianta je v podstatě Malý DNS stack, pouze s jedním 10G portem.

Jak to funguje v praxi? O správu ISP DNS stacku se staráme výhradně my a to ve smyslu provozu operačního systému a všech na něm běžících služeb, včetně monitoringu. ISP zajišťuje nákup, provoz a umístění HW ve vlastní síti, konektivity do Internetu včetně potřebných IP rozsahů a nastavení BGP sessions. Společně s požadavky na provoz DNS uzlu doporučujeme konkrétní řadu serveru/ů a také kompletní HW konfiguraci. Je samozřejmostí, že šifrujeme pevné disky, aby nedošlo fyzickým přístupem a nebo v rámci výměny disku k úniku dat.

SLA domlouváme v rozsahu NBD a to ve smyslu řešení problémů s provozem operačního systému a poskytování DNS služeb. Tuto službu chápeme pro daného ISP jako doplňkovou a tedy výpadek uzlu neznamená v žádném případě nefunkčnost DNS služeb. DNS požadavky budou automaticky směrovány na naše DNS anycast servery. Z tohoto pohledu uvažujeme tento model podpory jako dostatečný.

První společnosti, které hostují ISP DNS Stack, jsou Seznam.cz a Vodafone. Objem DNS požadavků za sekundu v uplynulém měsíci ukazuje přiložený graf.

V následujících dílech se můžete těšit na praktické zkušenosti s realizací prvního Velkého DNS stacku v České republice.

3. díl: První Velký stack – výběrové řízení, nákupy hardware a logistika
4. díl: První Velký stack – příprava zázemí
5. díl: První Velký stack – instalace, testování a nasazení do provozu
6. díl: První Velký stack – závěr a zkušenosti z provozu

Kategorie:

Přivítejte HaaS

Po, 02/19/2018 - 11:35

Přesněji, přivítat jste ho mohli v říjnu loňského roku, kdy jsme spustili jeho beta verzi. Z počátku jsme nechávali volnou registraci a ladili první nedostatky, zátěžovou zkouškou pak bylo přesunutí všech uživatelů routerů Turris. Veškeré problémy a připomínky jsme vyřešili a nic nebránilo tomu spustit ostrý provoz služby HaaS nebo-li Honeypot as a Service.

Co to vlastně HaaS je a k čemu slouží? Honeypot je speciální aplikace, která simuluje operační systém a dovoluje potenciálnímu útočníkovi se přihlásit přes SSH do koncového zařízení a provést libovolné příkazy nebo třeba stáhnout malware. Nainstalovat si takovou aplikaci není jednoduché a pokud se v ní objeví chyby, může být i nebezpečná. Proto jsme se rozhodli vzít bezpečnostní riziko na sebe a zpřístupnit honeypot jako veřejnou službu, na kterou mohou uživatelé Internetu přesměrovat útoky vedené na jejich routery.

Moc rádi bychom řekli, že stačí na vašem routeru či serveru povolit port 22 a přesměrovat na naše servery, ale není tomu tak. Snažili jsme se však o co nejjednodušší řešení, co se instalace a vývoje týče. Věřte, že jsme minimálně měsíc strávili pouze výběrem proxy, která musí u uživatelů běžet. K čemu proxy je? Pouze k jednomu malému, ale velmi důležitému detailu. Abychom znali IP adresu útočníka, která slouží k následné analýze chování útočníků s cílem odhalení nových, dosud neznámých útoků.

Dobrá zpráva je, že i přes krátkou dobu provozu a porodní bolesti máme hodně dat. S přírůstkem deset tisíc SSH sessions za hodinu, v takto malém počtu uživatelů (aktuálně 1 600 aktivních uživatelů), budeme brzy řešit zajímavé úlohy, jak všechna data stihnout analyzovat. Uděláme pro to maximum, protože botnety volající rm -rf jako první příkaz nás děsí a je třeba s nimi zatočit.

Nasbíraná data využívá Národní bezpečnostní tým CSIRT.CZ pro zkoumání útoků z českých IP adres, o čemž jsou pak majitelé informování a hlavně vyzváni k nápravě. Největší počet útoků pochází z Číny, proto již spolupracujeme s Taiwanem, aby i u nich mohli zasáhnout. Na spolupráci s dalšími bezpečnostními týmy se pracuje.

Pokud se chcete do projektu zapojit, můžete tak učinit na stránkách haas.nic.cz, kde se zaregistrujete a dle pokynů nainstalujete HaaS proxy (dostupné jako deb a rpm balíček, na PyPI nebo jen tar). V případě zájmu o analýzu dat jsou anonymizovaná data dostupná na stránce s globálními statistiky. Chybí v nich úmyslně použitá hesla, protože jsme zaznamenali nejeden případ, při kterém se uživatel omylem dostal do svého vlastního honeypotu.

Kategorie:

Naše projekty zněly Evropským parlamentem

Po, 02/19/2018 - 11:25

Na začátku února, kdy se Evropský parlament přesunul na své každoměsíční týdenní zasedání z Bruselu do Štrasburku, jsme dostali šanci představit vybraným europoslancům naše sdružení i některé z projektů, a to hned na dvou setkáních.

Snídaně ke kybernetické bezpečnosti

První příležitostí byla pracovní snídaně pořádaná Evženem Tošenovským, který se jako bývalý informatik, rozhodl především české poslance seznámit s aktuálními otázkami kybernetické bezpečnosti, hlavně s tzv. kyber-bezpečnostním balíčkem, který se právě dostává na pořad dne v Evropském parlamentu.

Na začátku představilo vedení NÚKIB činnost svého úřadu i zákon o kybernetické bezpečnosti. Ten položil základy koncepce kybernetické bezpečnosti, jež se teprve následně odrazily např. v evropské Směrnici NIS schválené až dva roky po přijetí českého zákona. Díky tomu, že spolupráce mezi národním CSIRT provozovaným CZ.NIC a vládním CERT začala takto brzy, nemusí nyní Česká republika následovat smutný osud některých zemí střední a východní Evropy, např. Polska, Slovenska či Maďarska, ve kterých došlo i k rozpadu zavedených týmů a komplikovanému nastavování pravomocí mezi státním a soukromým sektorem.

S europoslancem Evženem Tošenovským, Dušanem Navrátilem – ředitelem NÚKIB a jeho náměstek v průběhu snídaně

Po prezentaci zástupců vládního CERT jsem stručně představil jak CZ.NIC, tak naše bezpečnostní projekty. Zde bylo mnoho europoslanců příjemně překvapeno např. informací o celosvětovém podílu routovacího démona BIRD, který je nasazen již ve více než dvou třetinách peeringových uzlů (IXP) nebo o úspěchu již zmíněného routeru Turris na crowdsourcingovém portálu Indiegogo, kde se podařilo vybrat celkem více než 1 mil. USD. Do třetice pak české europoslance zaujal projekt FENIX, díky kterému má nyní Česká republika nejvíce týmů uznávaných mezinárodní organizací TF-CSIRT.

Během diskuze se europoslanci zajímali především o názor k legislativnímu návrhu certifikace IT produktů, ke kterému obecně zaznívá mnoho kritiky. Za mě tento návrh, diplomaticky řečeno, nepřináší téměř žádnou přidanou hodnotu a celkem zbytečně se snaží regulovat oblast, která je min. v soukromém sektoru založena na důvěře k danému produktu a jeho tvůrci. Současný systém certifikace zároveň dává potvrzení vždy jen na konkrétní typ či kus výrobku a v případě např. softwarových aktualizací je časově, ale i finančně, nemožné nechat ověřovat každou verzi. Na to, že ani certifikace pak nezaručí bezpečnost konkrétního výrobku, ostatně ukázala i celkem nedávná zranitelnost ROCA, která mj. postihla estonské a slovenské elektronické občanky.

Den bezpečnějšího Internetu

Zatímco kolegové oslavovali mezinárodní Den bezpečnějšího Internetu připadající na 6. února v Praze a diskutovali vliv GDPR na používání služeb ze strany dětí (více v blogpostu kolegyně Věry Mikušové), účastnil jsem se ve Štrasburku oslav a spuštění kampaně Saferinternet4EU, kde jsem měl po prezentaci pro české poslance možnost na širším plénu spolu se zástupci z Belgie, Lucemburska, Německa či Rakouska představit naše osvětové aktivity zaměřené na děti.

Svých „pět minut slávy“ jsem věnoval především seriálu a komiksu Jak na Internet a bezpečnostnímu pexesu, které sklidilo ve Štrasburku velký úspěch a zalíbilo se i eurokomisařce Mariya Gabriel, která si hned jednu krabičku odnesla.

Mariya Gabriel s naším bezpečnostním pexesem

Její kolegyně, česká eurokomisařka Věra Jourová, v souvislosti s výzvami spojenými s používáním nových technologií, vyslovila obdiv všem dětem, které se zapojují do boje za bezpečnější Internet a na závěr celkem dojemně uvedla, že by nechtěla být dnes dítětem, které musí čelit nejrůznějším nástrahám spojeným s používáním moderních technologií.

Společná fotka z eurokomisařkou Věrou Jourovou, Mariya Gabriel a europoslanci

Kategorie:

Tak jim ty Internety zakážeme!

Po, 02/19/2018 - 11:20

České děti, kterým je méně než 13 let a používají Facebook nebo Instagram, dělí od doby, než začnou tímto jednáním porušovat zákon, necelé čtyři měsíce. Situace je o to kurióznější, že pokud do května tohoto roku nedojde ke schválení návrhu zákona, který stanoví hranici pro využívání služeb informační společnosti na 13 let, bude od tohoto měsíce nezákonně jednat každá osoba od 13 do 16 let, které nedají rodiče souhlas k využívání nejen zmíněných sociálních sítí. Této problematice se na našem blogu již věnoval kolega Jiří Průša. Ale pojďme dále.

Část odborné veřejnosti, někdy i samotné děti, toto omezení schvalují: „Děti si zaslouží zvláštní ochranu, protože jsou si v menší míře vědomy rizik a důsledků v souvislosti se zpracováním osobních údajů.“ Pro mě osobně tato argumentace však znamená spíše toto: „Neumíme naše děti naučit bezpečnému pohybu na Internetu a přemýšlet o něm, ony jsou kvůli tomu snadno zmanipulovatelné a proto je lepší jim využívání některých služeb úplně zakázat.“ Namísto toho, aby se tak naše děti již od mala učily jednat s rozmyslem, učí se, že pokud se někde mohou setkat s problémy, je lepší se tomu vyhnout. To je z mého pohledu velmi zjednodušené řešení, které ještě navíc postaví slušné děti, které jinak ctí a respektují pravidla, do situace, kdy mohou začít přemýšlet o nějaké cestě, jak obejít samotný zákon, a to jen kvůli tomu, aby si mohly zachovat svůj oblíbený a několik let udržovaný účet na sociální síti.

V rámci Dne bezpečnějšího Internetu proběhla v Evropském domě diskuse na toto téma nejen mezi odborníky, ale i mezi samotnými dětmi z České republiky, Nizozemska, Chorvatska, Kypru a Slovenska. Děti, které využívají sociální sítě pro usnadnění komunikace, vzdělávání a uváženou sebeprezentaci, si myslí, že věk 13 let je naprosto dostačující. Zvýšená míra zákazů ze strany rodičů některým dětem přijde demotivující a cítí, že ztrácejí vlastní prostor, ve kterém se mohou samostatně rozvíjet a realizovat. Tento pocit může některé děti brzdit v touze osamostatnit se a určit si svou vlastní životní cestu. Na základě diskuzí s dětmi vyzývají zástupci projektu Safer Internet vládu, aby urychlila přijetí zákona, který stanoví věkový limit na 13 let, a nedošlo tak k paradoxní situaci, kdy se děti od května nebudou muset ptát rodičů, zda mohou mít pohlavní styk, ale budou muset přijít s prosíkem, když si budou chtít založit účet na Facebooku.

Co se týká argumentace o rozumové, mravní a citové vyspělosti třináctiletých dětí, řešením zde by podle mého názoru měla být osvěta a vzdělávání namísto omezování a zákazů.

Bohužel je pravda, že by si možná naše školství muselo pospíšit s implementací nového obsahu výuky informatiky a informatického myšlení do základních a středních škol, ale hlavně a především také učinit radikální změny ve vzdělávání samotných pedagogů, aby sociální sítě mohly přestat zdobit podobné perličky:

Kromě diskuse v Evropském domě ve stejný den proběhla ještě konference Krajů pro bezpečný Internet, kde ve svém příspěvku Děti v kyberprostoru, velmi fundovaně hovořila magistra Michaela Štáfková z centra adiktologie. V rámci příspěvku, který byl zaměřený na praktické zkušenosti s klienty závislými na některých službách spojených s Internetem, několikrát zmínila, že problémem nejsou samotné technologie, ale neschopnost dospělých mluvit s dětmi o tomto zcela novém životním stylu, který nikdo z nás ještě v průběhu dětství nezažil.

Během setkání byla otevřena i problematika sledování pornografie dětmi. I přesto, že je zpřístupnění pornografie dětem trestným činem, do centra dorostové ambulance ve Zlíně dochází několik klientů, kteří jsou na pornografii zcela prokazatelně závislí. Tito klienti jsou ve věku od 11 do 16 let. Vedoucí dorostové ambulance vyzvala prostřednictvím svého příspěvku dospělé, aby byli stateční a nebáli se s dětmi o pornografii mluvit. Za projekt Safer Internet se k této výzvě také přidáváme a zároveň žádáme rodiče a dospělé, aby méně zakazovali a věnovali se více osvětě a vzdělávání v této oblasti. Protože právě daný zákaz může být tím největším rizikem, o čemž ví své zakladatelka nadace The Breck Foundation Lorin LaFave, jež i kvůli přísnému zákazu a neochotě pedagogických pracovníků řešit problematiku podezřelého jednání na Internetu, přišla o svého syna. Lorin by dle svého tvrzení podobný zákaz již nikdy neopakovala. Pokud se i díky komunikaci s dětmi rodiče dozví o nějakých nebezpečných aktivitách na Internetu, mohou využít naši linku STOPonline.cz.

Abych článek zakončila optimisticky, přikládám fotografii z ocenění vítězů celostátní soutěže Kvíz plus, ve kterém některé děti prokázaly úžasné porozumění problematice Internetu věcí a vlastní snahu a motivaci se učit a zdokonalovat v oblasti informačních technologií. Do soutěže se zapojilo 31 000 dětí z celé České republiky a nejúspěšnější z nich byly oceněni právě u příležitosti Dne bezpečnějšího Internetu přímo v prostorách Krajského úřadu Středočeského kraje.

Kategorie:

Upgrade .cz DNS aneb Zákulisí příprav a realizace – část první

St, 01/31/2018 - 09:55
Koncept DNS stacků a motivace celého projektu

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. DNS provoz v .cz doméně roste každoročně cca o 10%, ale hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje daleko více. Nová DNS infrastruktura by měla být schopna čelit těmto útokům takovým způsobem, aby nezablokovala regulérní provoz a poskytla dostatek času a možností zdroje útoků najít a eliminovat.

Teoretické maximum provozu, které měla DNS infrastruktura před upgradem bylo cca 20 mil. dotazů za sekundu (QPS) a cca 60 Gbps provozu. Po dokončení upgrade chceme docílit maxima provozu vyššího než 100 mil. dotazů za sekundu a 200 Gbps provozu.

Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“. Koncept DNS stacků vychází z konceptu kořenových DNS serverů. Při návrhu jsme využili také například zkušenosti a znalosti z provozu instance L-ROOT serveru (ve skutečnosti třiceti serverů v racku) hostovaného v naší síti.

Navrhli jsme 4 varianty DNS stacků

Schema zapojení nejčastějších variant

Velké DNS stacky nyní uvažujeme provozovat dva, oba v České republice a umístěné v datacentrech v Praze. Samozřejmostí je mít oba DNS stacky zapojené do peeringového uzlu NIX.CZ rychlostí 1x 100 Gbps. Pro takto robustní řešení budeme používat HW typ routeru, pro každý stack od jiného výrobce.

Střední variantu jsme původně zamýšleli umístit do zahraničí v rámci kontinentů – 1 do Severní Ameriky, 1 do západní Evropy a 1 do Asie. Vzhledem k finanční náročnosti a logistice zařízení do cílových datacenter tuto variantu zatím nebudeme realizovat. Evropské lokality, kde v současné době provozujeme uzly DNS anycastu, a které jsou významné z pohledu velikosti DNS provozu (UK, Německo, Rakousko), však budeme postupně vybavovat Malými DNS Stacky. Navíc uvažujeme o přidání dalších uzlů v Evropě, Severní Americe a Asii.

Varianta ISP DNS stacku (resp. minimalistická varianta ISP mini) je určena výhradně významným poskytovatelům internetového připojení v České republice. Cílem je přiblížit autoritativní DNS servery ke zdrojům provozu a také zvýšit diverzitu umístění. DDoS útoky vedené proti našim primárním DNS serverům neovlivní tuto instanci. V opačném případě bude útok se zdrojem v síti daného poskytovatele zakončen právě na této instanci. ISP DNS stack jsme navrhli ve dvou variantách. Varianta ISP mini je určena pro menší poskytovatele internetového připojení. Největším poskytovatelům pak nabídneme variantu Malého DNS stacku s absencí připojení do tranzitu. Variantě ISP DNS stacku bude věnována některé z příštích pokračování.

Jak je u nás zvykem, striktně dodržujeme diverzitu HW a SW, aby v případě chyby byla ohrožena pouze část infrastruktury. Proto budou jednotlivé DNS stacky realizovány na různých dodavatelích serverů a síťových prvků, stejně tak na různém SW vybavení.

Počty DNS serverů pro jednotlivé varianty stacku vycházely z následujících zjištění a předpokladů:

  • Z analýzy našeho DNS provozu a testováním máme ověřeno, že je jeden server schopen odbavit minimálně 1 milion odpovědí za sekundu (viz https://www.knot-dns.cz/benchmark/).

  • Běžná velikost DNS odpovědí je 512 B / 4 096 bps. Při této velikosti odpovědi využije jeden DNS server kapacitu cca 4 Gbps.

  • Z výše uvedeného tedy vyplývá, že pro 100 Gbps konektivitu postačuje 30 serverů a pro 10 Gbps konektivitu postačují 3 servery.

  • Největší pakety dosahují velikosti 1 538 B / 12 304 bps. Při této velikosti odpovědi využije jeden DNS server kapacitu cca 12 Gbps. Předpokládáme tedy připojení DNS serverů pomocí 10 Gbps uplinku do routeru.

Z teorie by to bylo vše. V následujících dílech se můžete těšit na praktické zkušenosti s realizací prvního Velkého DNS stacku v ČR a několika ISP stacků.

2. díl: ISP stacky a jejich nasazení
3. díl: První Velký stack – výběrové řízení, nákupy hardware a logistika
4. díl: První Velký stack – příprava zázemí
5. díl: První Velký stack – instalace, testování a nasazení do provozu
6. díl: První Velký stack – závěr a zkušenosti z provozu

Kategorie:

Za rok 2017 ubylo téměř 4 mil. z nových gTLD

Út, 01/30/2018 - 12:00

Loňský rok nebyl pro nové generické domény (new gTLD) vůbec příznivý. Zájemcům se sice začala nabízet k registraci celá řada domén, v celkovém souhrnu však nové domény zaznamenaly poprvé ve své historii propad. Zatímco na začátku roku bylo registrováno 27 710 468 domén, na konci roku to bylo již jen 23 823 948. Češi měli registrováno celkem 23 245 new gTLD, tj. méně než 0,1 %.

Největší podíl na poklesu nových generických domén má doména .xyz (propad o více než 60 %), u které se naplno projevil efekt rozdávání domén zdarma či téměř zdarma (za 0,15 $). Většina držitelů využila tuto akci jen k tomu, aby měla další doménu v řadě, kterou však nijak aktivně nevyužívá. To ostatně potvrzuje i další statistika, podle které téměř 56 % newgTLD nemá nastavený žádný DNS záznam.

Vedle .xyz se poměrně výrazně propadla i většina dalších, dosud nejoblíbenějších domén, konkrétně .top (- 2 486 830 domén), .wang (-357 136), .win (-224 173) a .bid (-138 558).

Oproti tomu rostly domény jako .loan (+ 1 431 834), .shop (+402 797), .club (+298 238), .online (+205 001). Na začátku ledna pak díky pokračujícímu růstu vystřídala doména .loan na první příčce dosud dominující .xyz.

Zajímavé je porovnání nejoblíbenějších nových generických domén z pohledu Čechů. Zatímco ve světě patří mezi nejžádanější .xyz, .loan či .top, mezi našinci se (zatím) těší největší oblibě .cloud, .online a .shop.

Srovnání nejpopulárnějších domén

Letošní rok může být pro mnoho nových new gTLD zlomový. Světlo internetového světa dosud spatřilo 1 224 nových koncovek, z nichž však jen cca 15 % zatím dokázalo získat do svého portfolia více než 10 000 domén. S náklady, kteří jednotliví správci na registraci a zprovoznění domén měli, je tak jen otázkou, zda všichni budou mít dostatek financí na fungování v dalších letech.

Konkurenci pro newgTLD vidím i v některých národních doménách (ccTLD), které místo spojení s danou zemí vsadili na co nejvyšší profil. Schválně – kdo z Vás (bez googlování :o) ví, komu patří stále více populární doména .io?

Kategorie:

Je mobilní telefon pro naše děti (ne)bezpečný?

Po, 01/29/2018 - 03:50

Ve spolupráci s projektem Kraje pro bezpečný internet pořádá naše sdružení na základních a středních školách semináře s názvem (Ne)bezpečný mobil, které jsou zaměřené na úskalí při používání mobilních telefonů. Jak už sám název napovídá, děti se během dvou vyučovacích hodin dozvědí, jak co nejbezpečněji využívat své „chytré“ telefony, ať už z hlediska samotného zabezpečení aparátu, zaznamenávání geolokace či hrozeb falešných aplikací a mnoha dalších.

Ačkoli jsou dnešní žáci velice znalí moderních technologií, stále se nabízí mnoho témat, nad kterými jsou ochotni diskutovat a z nichž si odnášejí něco nového. Díky zpětné vazbě od studentů a jejich učitelů např. víme, že jsou stále fascinováni tím, co vše se dá přečíst z „obyčejného“ QR kódu a že často díky nevinné fotografii s letenkou, kterou vloží na své facebookové stránky, odkrývají ostatním lidem nejen svou tvář, ale daleko více informací než měli původně v plánu.

Žáky dále zaujalo, jak je nebezpečné zaznamenávání polohy, a to nejen z pohledu zlodějů, kterým můžeme dát impuls k vykradení bytu, ale i z hlediska možného útoku na opuštěném místě. Velkým překvapením byla pro děti informace ohledně obsahu licenčních podmínek oblíbené aplikace Snapchat, jejíž princip spočívá v tom, že odeslané zprávy či fotografie se po určité době samy smažou, aby nemohly být zneužity. Málokdo však ví, že už stažením samotné aplikace dáváme souhlas s licenčními podmínkami, kde se např. uvádí, že souhlasíme s tím, že informace o naší poloze, samotné zprávy a fotografie poskytujeme tvůrcům aplikace k libovolnému zpracování a šíření.

Témat, která si děti přejí na setkáních probírat, je celá řada jako např. kyberšikana, zdravotní aspekty, zabezpečení mobilního telefonu a další. Náš kolega Jiří Průša se snaží žákům během 90 minut vštípit základní pravidla bezpečnosti užívání mobilního telefonu, aby se nemuseli v budoucnu potýkat s tak nepříjemnými zážitky jako je zveřejnění soukromých fotek, sledování či vydírání.

Dnešní děti dostávají svůj první mobilní telefon čím dál tím dříve. Běžná věková hranice je 8 let, ale stále se posouvá níže a brzy bude normální, že s nástupem do školy dostane žáček kromě aktovky a penálu i svůj mobil. Proto bychom již od samého začátku měli mít pod kontrolou, co naše děti na mobilu dělají, k čemu jej používají, zda mají dostatečné zabezpečení a jestli s ním netráví více času než s klasickými hračkami, což by byla jistě škoda. Mobilní telefon je nepochybně dobrý pomocník, ale je velice snadné si na něm vypěstovat závislost a nechat se pohltit virtuální realitou.

V druhé polovině roku 2018 je plánováno vydání knihy (Ne)bezpečný mobil, jež bude určena nejen dětem, ale i dospělým, kteří se tak dobře neorientují ve světě moderních technologií. Jednotlivé kapitoly v podstatě rozvedou témata samotné přednášky. Budou obsahovat příklady z praxe a ukázky konkrétního nastavení mobilního telefonu. Věříme, že tato publikace přispěje k další osvětě a pomůže tak lépe čelit nástrahám moderního světa.

Kategorie: