Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 5 min 50 sek zpět

Turris tým na InstallFestu 2019

Po, 03/18/2019 - 13:45

Turris tým v plné sestavě představil na začátku března na 11. ročníku konference InstallFest 2019 modulární router Turris MOX. Probrali jsme s uživateli vše možné, včetně novinek ve vývoji Turris OS. Jednotlivé moduly MOXe šly z ruky do ruky.

Na InstallFestu jsme prezentovali také možnosti využití routeru Turris Omnia pro potřeby veřejné správy a seznamovali návštěvníky konference s nabídkou Akademie CZ.NIC. Připravili jsme si také interaktivní hru play.turris.cz, kterou úspěšně dokončilo devět hráčů – ještě jednou gratulujeme!

Kolegové z týmu se také pravidelně účastní hlavního programu akce, tedy přednášek. V letošním roce si Michal Hrušecký připravil prezentaci Bootování modulárního routeru MOX z Omnie. Jeden z podporovaných setupů Turris MOX je AP rozšiřující pokrytí signálem WiFi z Turis Omnia. Jak tento režim síťového bootu funguje a co vše s ním lze dělat? Co plánujeme do budoucna? Krátká prezentace ukázala další možnosti využití nového routeru a z dotazů bylo znát, že se uživatelé na novou „hračku“ velmi těší.

Co mně osobně na InstallFestu zaujalo nejvíce? Přítomní programátoři například dostali šanci pohrát si s grafikou. Na hlavním panelu v přednáškové místnosti tak postupně vznikala a měnila se na pozadí programové nabídky směs grafických symbolů. Zajímavá byla také ukázka modelu železnice od OpenSuse nebo výroba Open Coly.

Zuzana Lena Ansorgová věnující se v CZ.NIC dokumentaci si pro návštěvníky připravila přednášku Dokumentování software podle jeho životního cyklu. Lena velice poutavě vyprávěla o tom, jak záleží zejména na cílové skupině, pro kterou se dokumentace vytváří. Řeč byla také o životním cyklu vývoje a o důležitosti přizpůsobení dokumentace cílové skupině. Kolegyně postupně provedla posluchače etapami plánování projektu až ke koncepci operací, přičemž se zabývala i používanou terminologií a důležitostí komunikace mezi vývojáři, marketingem a koncovými uživateli.

InstallFest a jemu podobné konference mají velmi příjemnou a přátelskou atmosféru. Jednotliví stánkaři mezi sebou komunikují a představují si novinky. My jsme byli neustále pod palbou dotazů a víru diskusí, také proto jsme si akci skutečně užili. Děkujeme organizátorům za skvělé zajištění konference a vám, kteří jste se na akci nedostali, připomínáme, že záznamy najdete na webu.

Kategorie:

Není registr jako registr aneb Zkušenosti k nezaplacení

Út, 03/12/2019 - 14:19

Loni v listopadu jsem měl to privilegium navštívit NIC Costa Rica, který je naším protějškem v této malé středoamerické zemi. V místním NICu pracuje mnohem menší tým, který se stará asi o 28 tisíc domén, pro jejichž správu používá od roku 2011 náš systém FRED.

Kostarika je španělsky mluvící země mezi Panamou a Nikaraguou s pěti milióny obyvatel. Hlavní město San José, kde NIC Costa Rica sídlí, je o něco menší než Brno a leží v nadmořské výšce úctyhodných 1100 metrů, což je výše než jakékoliv evropské hlavní město.

Stěžejní body v programu mé návštěvy, kterou hradil můj hostitel, byly rate limiting na firewallu pro služby jako jsou whois a rdap, recyklace databázových spojení, vysoká dostupnost pro FRED servery pomocí UCARP protokolu a rozšiřování systému FRED jako takového. Na řadu ale přišla i další témata. Na rozdíl od českého registru používá ten kostarický několik zón s poměrně komplikovaným ceníkem. Základní cena za doménu .cr je 70 amerických dolarů za rok pro hlavní zónu, přičemž slevy jsou ale naprosto běžné. Pro každou zemi, Kostariku nevyjímaje, je nutně specifická fakturace. Zajímavostí tohoto registru je také fakt, že se místní kolegové věnují nejen správě doménového registru, ale fungují také jako registrátoři.

Všechny funkcionality, které kostaričtí správci potřebují, ale náš FRED je defaultně nepodporuje, musí být logicky implementovány někde jinde. Během mé návštěvy jsme tedy probrali i používání CORBA rozhraní, protocol buffers + GRPC rozhraní, na které se v CZ.NIC chystáme přejít z CORBA, a best practices o tom, jak rozšířit PostgreSQL databázi. Diskusi jsme vedli také nad používanými knihovnami, a to především z důvodu implementace EPP klienta. Na to naštěstí existuje celkem podrobná dokumentace, kterou stačilo vhodně okomentovat. Na co také přišla řeč bylo zavedení AKM (Automated Keyset Management). Troufnu si říct, že díky našim konzultacím byl kostarický doménový registr třetím na světě, který tuto systémovou proceduru zavedl. Jen pro doplnění, druhé místo patří kolegům ze Švýcarska a první místo nám.

Při této spolupráci jsem si uvědomil, že jdeme, co se rozvoje systému FRED týče, dobrým směrem. Našim cílem je vidět FRED v co možná nejvíce doménových registrech – jak těch zaběhnutých, tak těch, které jsou se správou domén někde kousek za startem. I díky poznatkům od kolegů z Kostariky můžeme dále rozvíjet náš systém tak, aby byl připravený pro využití v prostředích, která mohou být tomu našemu třeba i dost vzdálená. Takovouto zpětnou vazbu nezískáme lépe, než při setkání tváří v tvář.

Podněty z Kostariky ovlivní plán dalšího rozvoje FREDa, zejména v oblasti poskytovaných rozhraní. Naopak podporu komplikovaných slevových schémat by bylo obecně velmi těžké naprogramovat a proto ji v krátkém horizontu neplánujeme.

Co se budoucí kooperace týče, celkem reálně vypadá spolupráce na frontendové části registru. Na závěr už jen zmíním, že kolegy z NIC Costa Rica zaujal náš projekt otevřeného hardwarového routeru Turris Omnia. Podle jejich reakce se dá předpokládat, že FRED nezůstane naším jediným společným bodem zájmu.

Kategorie:

Češi jsou při povolování přístupu mobilních aplikací ke svým údajům nejnezodpovědnější v Evropě

Pá, 02/15/2019 - 10:10

Podle průzkumu Eurostatu více jak dvě třetiny Čechů nikdy neomezily mobilní aplikaci v tom, k jakým datům v telefonu může přistupovat. S 67 % nezodpovědných uživatelů tak České republice patří nelichotivé prvenství. S poměrně velkým odstupem skončilo na druhém místě Bulharsko. Naopak mezi nejzodpovědnější při instalaci aplikací a povolování přístupu patří Francouzi. Alarmující také je, že možnost zablokovat přístup aplikací k datům v telefonu nezná podle průzkumu jen 5 % Čechů, v tomto ohledu se v Evropě řadíme naopak mezi ty nejpoučenější.

Mnoho lidí bohužel uděluje oprávnění k jednotlivým aplikacím spíše automaticky a neuvědomuje si, jak snadno mohou být zneužiti. Ruku v ruce s tím zároveň mnohé aplikace při instalaci vyžadují povolení, která ke svému fungování vůbec nepotřebují.

Typickým příkladem takovéto špatné aplikace je např. „Nejjasnější Svítilna Zdarma„. Té by k její činnosti stačil pouze přístup k fotoaparátu (kvůli rozsvícení blesku), avšak při instalaci vyžaduje rovněž možnost získávat informace o poloze, telefonu či přístup k fotkám a dalším souborům uložených v zařízení.

O tom, jak lze zneužít udělení oprávnění přístupu k SMS zprávám, se pak v loňském roce bohužel přesvědčilo i několik Čechů, kteří si nainstalovali aplikaci Qrecorder sloužící k nahrávání hovorů. Místo toho však spíše nahrávala a odesílala informace o přihlašovacích údajích do internetového bankovnictví a přístupu k SMS zprávám zneužila k získávání jednorázových kódů.

Při instalaci aplikací se tak vyplatí přemýšlet a nepovolovat automaticky přístup ke všem oprávněním. K mnohým aplikacím lze snadno najít alternativy, které mají přístup jen k minimu údajů.

Kategorie:

Pohled do zákulisí návrhu a výroby krabiček Turris MOX

Pá, 02/01/2019 - 09:20

Už od počátku vývoje routeru Turris MOX jsme stáli před nelehkým úkolem – jak celý modulární systém poskládat do sebe, tak, aby se při manipulaci nerozpadl a zároveň, aby byl pro uživatele co nejvíce přívětivý, když jej budou chtít opakovaně skládat a rozebírat. Zda jsme tento úkol splnili budete moci zjistit v nejbližších týdnech, kdy první MOXy v krabičkách dorazí ke svým uživatelům. V následujícím článku bych vás rád seznámil s tím, jak probíhal vývoj a výroba finální krabičky našeho nového produktu.

Jelikož je Turris MOX v nižší cenové hladině než Turris Omnia, bylo jasné, že budeme muset najít řešení, které lze vyrobit za nižší náklady než hliníkovou krabičku u Omnie. Vcelku záhy jsme se rozhodli jít cestou plastové krabičky.

První prototyp jsme si navrhli svépomocí, jelikož jeden z našich hardwarových vývojářů je vášnivý modelář. Výsledek můžete posoudit sami z následujícího obrázku.

Jednoduchá čtverhranná krabička s vyčnívající hranou, pro lepší soudržnost. Spodní a vrchní díl se spojovaly pomocí šroubků ve sloupcích. Spojování jednotlivých modulů k sobě pak probíhalo pomocí šroubků jdoucích skrz oba díly. Stejně tak nacvakávání čelíček bylo dosti obtížné. Tudy cesta rozhodně nevedla.

Díky doporučení jednoho z našich dodavatelů jsme šli náš návrh konzultovat do výrobní firmy. Tam jsme se dozvěděli o úskalích výroby forem na lisování plastů, o technologii samotného lisování i o tom, že vyrobit sloupky, které v sobě mají závit, který bude opakovatelně použitelný, není nic lehkého a hlavně levného. Z celé schůzky jsme si odnesli jasný závěr – designově použitelnou krabičku vlastními silami nenavrhneme. Obrátili jsme se proto na profesionály.

Výsledkem jejich práce bylo několik návrhů, které nám osobně představili. Návrhy, které nevyhrály, můžete vidět na následujícím obrázku.

Rendery z vítězného návrhu od pražské firmy Exact Technology jste pak mohli vidět v naší Indeegogo kampani.

V době, kdy probíhala kampaň na Indiegogo jsme již měli první funkční vzorky z práškového 3D tisku. Mezitím jsme vybrali výrobce krabiček – firmu 2D$S z Kuřimi. Zajímavostí této společnosti je, že jsou autory vratných plastových kelímků, které můžete potkat na mnoha kulturních akcích.

Následovalo několik týdnů třístranné komunikace mezi námi, výrobcem a autory návrhu, kdy jsme ladili finální data pro výrobu forem.

Zhotovení výkresů a výroba formy trvá cca 2 až 3 měsíce. K její výrobě se používá nástrojová ocel. Jedná se vlastně o několik masivních dílů spojených k sobě. Těmito díly je tlačen tekutý plast o teplotě blížící 200 stupňů Celsia, který se ve formě rozlije v požadovaném tvaru a postupně chladne. Hodnota tlaku, kterým je plast tlačen do formy, jsou stovky barů. Přítlak obou dílů formy proti sobě tedy musí být v řádech jednotek tun. Pokud by tomu tak nebylo a objevila se mezi díly formy i jen nepatrná skulinka, tekutý plast se z formy vylije ven a celý proces výroby dílu bude znehodnocen. Chladnutí musí být řízeno, nesmí být ani moc pomalé, ani rychlé. Je regulováno soustavně protékající vodou v hadičkách, které jsou protaženy skrz formu. Řídící jednotka stroje pak reguluje teplotu vody.

Důležitý je také výsledný tvar dílu. Není možné vyrobit vše, co si designer vymyslí. Záleží na směřování jednotlivých hran a jejich sklonu. Hotový díl musí po zchladnutí bez problémů z formy vypadnout. Někteří z vás mohou znát, v současné době populární, složité figurky v deskových hrách. Pokud se podíváte pozorně, zjistíte, že jsou slepené z více částí. Důvodem je právě nemožnost jejich výroby z jedné formy.

Detaily dvou forem – na spojovací plástve a děrované bočnice – můžete vidět na následujících obrázcích.

Správná konstrukce formy a její odladění může být záležitostí více pokusů. Nejvíce problémů jsme měli s děrovanou bočnicí. Při prvních iteracích formy se při výhozu z formy díl roztrhl. Bylo tedy nutné upravit rádius jednotlivých děr. A každá úprava formy trvala určitou dobu. Proto jsme se s celým projektem dostali do menšího zpoždění. První a poslední iteraci dílu bočnice můžete vidět na následujícím obrázku.

Otevření a manipulaci s formou můžete vidět na následujícím videu.

Když jsou hotové všechny formy, je možné přistoupit k výlisu zkušebních verzí. Na základě jejich zkoušek s vloženými produkčními moduly MOXe se pak ještě dělají drobné úpravy. Například se modelují náběžné hrany, upravuje se dezén pohledových dílů, či se maskují vtokové otvory, aby byly pro uživatele co nejméně viditelné a nenarušovaly celkový vzhled produktu. Na některých dílech však zcela zamaskovat nejdou, což je dáno výrobní technologií. Díky těmto drobným změnám jsme například všechna čelíčka (ve skutečnosti jedna forma s výměnným pohyblivým vnitřkem) finálně odladili až na čtvrtý pokus. Na následujícím obrázku můžete vidět čelíčko před zamaskování vtokového otvoru.

Samotná výroba probíhá již vcelku jednoduše. Základem je ABS plast, který se dodává v pytlích ve formě granulátu.

Ve výrobní hale je, v případě našeho výrobce, několik strojů, do kterých se dají umístit formy zajišťující lisování.

Forma váží cca 300 kilogramů, takže manipulace s ní není úplně jednoduchá. Proto je výrobní hala vybavena jeřábem. Na druhé následující fotografii můžete vidět přemísťování naší formy na výrobu čelíček.

Jakmile se forma umístí do lisovacího stroje, připojí se okruh pro chlazení a vstřikování plastu a můžeme vyrábět. Hotové výrobky padají ze stroje do připravené krabice, kde je operátor sesbírá, zkontroluje a umístí do přepravního kartonu.

Výroba jednotlivých dílů je vcelku rychlá. Na dalším videu můžete vidět jeden cyklus výroby plného čelíčka pro moduly MOX B, C, D a G.

Výsledkem celého procesu je pak opravdu modulární krabička, která drží u sebe bez jediného šroubu, je snadno sestavitelná a rozebíratelná a přispívá tak k jedinečnosti celého routeru Turris MOX.

Kategorie:

TOP 10 roku 2018

St, 01/23/2019 - 11:30

Začátek roku bývá časem, kdy se můžeme ohlédnout za uplynulými dvanácti měsíci. A protože si myslíme, že si takové ohlédnutí zaslouží i náš blog, pojďme na něj. Suma sumárum v roce 2018 vyšlo na blogu zaměstnanců CZ.NIC 55 příspěvků od 28 autorů, které si zobrazilo úctyhodných 51 000 čtenářů (nejvíce z České republiky a ze Slovenska). Hojně navštěvované byly příspěvky, které se vztahovaly k bezpečnosti, systému DNS a technologii DNSSEC a ty, které se týkaly vzdělávání a osvěty na Internetu nebo projektu Turris. Jaký je tedy onen TOP 10 našich blogpostů roku 2018?

Začneme desátou příčkou, na které se umístil příspěvek kolegy Jiřího Průši Pozor na nabádání žáků k používání sociálních sítí a messengerů. Květen minulého roku se totiž nesl ve znamení GDPR. Změny v legislativě se nevyhnuly samozřejmě ani školám. Netýkaly se však jen souhlasů se zveřejňováním fotografií dětí, ale například i zakládání společných skupin pro celou třídu přes různé sociální sítě jako je Facebook, WhatsApp nebo Viber. Co je velice důležité, pro používání těchto nástrojů je nutný souhlas rodičů.

Devátá příčka patří projektu Turris, přesněji kolegovi Michalovi Hrušeckému a jeho blogpostu Ve spolupráci s Nextcloudem přichází Turris MOX: Cloud, který vám vrátí kontrolu nad vašimi daty. Bezpečnostní hrozby a porušování soukromí jsou v posledních letech stále větší a větší problém. Je tedy velmi důležité si vybrat důvěryhodnou platformu pro hostování dat. Jedna taková možnost vznikla spojením systému Turris a Nextcloudu.

Osmou příčku obsadil kolega Edvard Rejthar se svým příspěvkem Těžba kryptoměn v péči CSIRT.CZ. Národní bezpečnostní tým CSIRT.CZ dostal v únoru loňského roku upozornění, že probíhá těžba kryptoměn na stovkách webových stránek. Než však mohli kolegové přikročit k rozesílání informačních e-mailů, museli se nejdříve pokusit zjistit, v čem se problém skrývá.

Sedmá příčka našeho žebříčku náleží kolegovi Jaromíru Talířovi, který napsal článek Přechod na eliptické křivky v doméně .CZ. V červnu byla v .CZ doméně provedena rotace KSK klíče doprovázená změnou algoritmu. Při této příležitosti použilo sdružení CZ.NIC jako první správce domény nejvyšší úrovně algoritmus ECDSA založený na eliptických křivkách.

Šestá příčka připadla autorce Věrce Mikušové, která sepsala příspěvek O nenávisti se nám mlčet nechce. Příběh základní školy Plynárenská poukázal na to, jak snadné může být využití Internetu k veřejnému napadání a urážení. CZ.NIC se snaží aktivně bojovat proti těmto trendům. Teplické základní škole jsme pro potřeby výuky věnovali notebooky a její studenty uvítali v pražském sídle sdružení, kde pro ně byla připravena exkurze a přednáška o aktuálních internetových tématech.

Dostáváme se na pátou příčku, kterou obsadila kolegyně Katka Vokrouhlíková se svým textem Ze života online stopaře. Autorka má na starosti linku STOPonline.cz a dlouhodobě se zabývá nedovoleným obsahem na Internetu. Její příspěvek s názvem „Naháči a prdeláči – fotky jen pro rodinu!“ je dodnes jedním nejnavštěvovanějších na našem blogu. Je skutečně nesmírně důležité, aby si internetoví uživatelé uvědomili, co na síti publikují a jaké mohou svým neuváženým chováním způsobit škody. V tomto případě Katka upozornila na to, jak snadné je nalézt fotografie obnažených dětí a jak rychle je lze využít k špatnému účelu.

Postupme dále. S příspěvkem Další podvodná kampaň se snaží vystrašit uživatele se na čtvrté příčce umístil kolega Pavel Bašta. Vylekat a získat peníze, to jsou pohnutky, které se skrývají za podvodnými e-maily. Jedna obdobná kampaň se uskutečnila na podzim loňského roku a byla zaměřená na bitcoinové peněženky.

A jsme u stupňů vítězů. Třetí příčku získal autor Michal Hořejšek, který ve svém příspěvku Přivítejte HaaS popsal začátky tohoto projektu. Projekt HaaS je založený na myšlence tzv. veřejného honeypotu, na který mohou koncoví uživatelé Internetu přesměrovat útoky vedené na jejich zařízení. Na základě získaných dat je potom analyzováno chování útočníků s cílem odhalit nové a dosud neznámé hrozby.

Druhá příčka přísluší kolegovi Petrovi Bílkovi s jeho blogpostem Pohled do zákulisí výroby prototypů Turris MOX. Než se nějaký produkt dostane na pulty prodejen, musí projít několika fázemi. A to platí i o modulárním routeru Turris MOX. Jednou z nejzajímavějších částí procesu je výroba prototypů (oživování, testování jednotlivých funkcí), s čímž souvisí ladění výroby a příprava na tisícové série.

A konečně na první příčce se umístil příspěvek kolegy Petra Špačka Jak přežít plánovanou údržbu DNS. Po třicetiletém provozu je na řadě systém DNS. Na podzim minulého roku začala příprava na jeho celosvětovou „revitalizaci“. Není to, ale jen tak. Provozovatelé DNS serverů měli provést několik zásadních kroků, aby se po avizované údržbě nepotýkali jejich uživatelé s potížemi. První část této akce proběhla na konci roku 2018, další je na řadě na začátku roku 2019. Nutno připsat, že tento článek měl za prvních třicet dní téměř 2 000 zobrazení.

Děkujeme vám za pozornost a zachovejte nám přízeň i v roce 2019. I letos se můžete těšit na zajímavé texty. A pokud chcete být mezi jejich prvními čtenáři, přidejte si nás na Facebooku a/nebo Twitteru.

Kategorie:

Besedy nad knihou ON-LINE ZOO

Út, 01/22/2019 - 11:25

V rámci našich osvětových aktivit v oblasti on-line bezpečnosti jsme zahájili spolupráci s Městskou knihovnou v Praze, a to pořádáním besed nad knihou ON-LINE ZOO, která vyšla v Edici CZ.NIC na sklonku minulého roku. Beseda je určena především pro děti 1. a 2. tříd základních škol, případně pro předškolní děti.

První posezení s dětmi proběhlo 17. ledna v prostorách modřanské pobočky městské knihovny. Na akci se přišli podívat žáci druhého ročníku ZŠ Angel. Po úvodní části, kdy jsem si s dětmi povídala o tom, co je to Internet, a zeptala se jich na jejich zkušenosti s on-line prostorem, jsem se pustila do čtení některých pasáží z knihy. Seznámila jsem je s opičákem Oldou, který propadl závislosti na mobilním telefonu. Dále měly možnost poznat pandu Pavla, jenž se stal obětí kyberšikany. Díky malým antilopám Agátě a Adamovi, které rády „chatovaly“ na Internetu a málem si na nich smlsnul lev Ludvík, se děti ocitly tváří v tvář groomingu. Žirafa Žaneta se nechala zlákat výhodnými on-line nákupy a svým příběhem přesvědčila děti, že nemají věřit všemu, co se na Internetu píše. A tučňák Tonda si usmyslel, že pošle své „selfíčko“ ve spodním prádle svým kamarádům, a neuvědomil si, že to již hraničí se sextingem.

Díky jednoduchým příběhům se zvířátky se děti seznámily v podstatě se všemi základními hrozbami na Internetu. Potěšilo mě, jak jsou děti zvídavé a jednotlivé informace si spojují do souvislostí. Překvapila mě i jejich dobrá znalost on-line prostředí a výčet aktivit, které na Internetu provozují.

Jelikož nynější 6ti až 8leté děti s elektronikou v podstatě vyrůstají, je potřeba jim od začátku vštěpovat do hlavy, co je na Internetu dovoleno a co by již mělo být tabu. Beseda nad knihou ON-LINE ZOO doplňuje již zaběhlý kurz pro žáky druhého stupně ZŠ na téma (Ne)bezpečný mobil, který ve sdružení CZ.NIC školí kolega Jiří Průša. O tomto kurzu jsem se již zmínila v blogpostu „Je mobilní telefon pro naše děti (ne)bezpečný?

Pokud vás tato beseda zaujala a chtěli byste ji uspořádat přímo u vás ve škole, obraťte se s poptávkou na kolegy z Akademie CZ.NIC. Akcí pro studenty a jejich učitele nabízí vzdělávací centrum CZ.NIC více; jejich přehled najdete v sekci určené školám.

Kategorie:

Téměř všechny .CZ domény jsou připraveny na únorovou údržbu DNS

Po, 01/21/2019 - 10:49

Na 1. února 2019 je naplánovaná celosvětová údržba systému DNS, na kterou se provozovatelé autoritativních serverů musí připravit. Dnešní článek proto věnujeme stavu připravenosti .CZ domén na změny, které budou účinné od začátku příštího měsíce.

Další informace o únorové akci s anglickým názvem „DNS Flag Day 2019“ naleznete v našich předchozích článcích:

Nyní se ale vraťme k samotnému měření.

Měření dopadu na uživatele

Na Internetu lze nalézt několik nástrojů, které provádí technické testy DNS serverů. V praxi má ale téměř každá doména více než jeden DNS server, takže výsledky dílčích testů je nutné zkombinovat. Teprve potom, na základě kombinovaného hodnocení všech autoritativních serverů, lze vyvodit celkový dopad na uživatele přistupující k dané doméně.

Celý problém se dále komplikuje tím, že některé domény nefungují již dnes, a to z důvodů, které nesouvisí s plánovanou změnou. Takové domény by nám  zkreslovaly statistiku, takže je musíme identifikovat a na závěr místo absolutního počtu nefunkčních domén pracovat s přírůstkem.

K tomuto účelu Laboratoře CZ.NIC vyvinuly vlastní nástroj pro skenování a vyhodnocování domén, který z dílčích výsledků technických testů počítá celkový stav domény. Proces sběru a vyhodnocení dat detailně popisuje metodika (v angličtině). My se ale pojďme podívat na výsledky!

Připravenost .CZ domén

Z měření provedených mezi 11. a 14. lednem vyplývá, že pouze 0,12 % všech domén v .CZ registru není připraveno.

Měření pomocí stejné metodiky jsme opakovali několikrát a s potěšením jsme mohli sledovat, jak se připravenost lepší:

Na tomto grafu je názorně vidět zlepšení po prvním ročníku konference CSNOG červnu 2018, na které jsme poprvé prezentovali odborné veřejnosti výsledky našich měření. V září 2018 jsme na problém znovu upozornili na našem blogu článkem Jak přežít plánovanou údržbu DNS, který převzala další odborná i neodborná média. Od listopadu 2018 jsme potom přímo kontaktovali technické správce dosud nepřipravených domén.

Správci zbývajících 0,12 % domén dosud nereagovali na žádný z pokusů o komunikaci a není proto jasné, zda přípravu jen odložili na poslední chvíli nebo zda se rozhodli problém ignorovat. Značná část namátkově vybraných domén však vypadá, že se nepoužívá a je pouze tzv. „zaparkovaná“, takže dopady na běžné uživatele by měly být velmi malé.

Pokud si chcete na 100 % ověřit, že je vaše doména připravena, použijte prosím webový nástroj na adrese dnsflagday.net, jeho popis najdete v článku Jak přežít plánovanou údržbu DNS.

Závěrem mi dovolte poděkovat všem, kteří se poctivě připravili a mají tak zásluhu na dobrém zdraví .CZ domény!

Aktualizace, 1. únor 2019: Podle posledního měření, které skončilo v noci 31. ledna, nebude v doméně .CZ správně fungovat 0,03 procent domén.

Kategorie:

Rok 2018 STOPonline.cz v číslech

Pá, 01/18/2019 - 09:51

Loňský rok přinesl STOPonline.cz rekordní množství incidentů. Zatímco v roce 2017 linka obdržela 1 397 hlášení, v roce 2018 jich bylo již 2 445, tj. o 75 % více.

Hlavní příčinou nárůstu počtu hlášení bylo především květnové ukončení provozu policejní hot-line, ze kterého jsou nyní návštěvníci přesměrováváni právě na STOPonline.cz.

Z celkového počtu hlášení se sice dětské pornografie týká v relativním vyjádření jen necelá osmina případů, v absolutních číslech však počet těchto hlášení i jejich závažnost významně roste, což nejlépe ilustruje počet případů (často hostovaných v zahraniční) nahlášených do mezinárodní databáze ICCAM provozované INHOPE ve spolupráci s INTERPOLem. Zatímco v roce 2017 jsme do databáze nahráli 49 stránek, v loňském roce se jednalo již o 371 případů. Podobný podíl jako dětská pornografie mají hlášení s tzv. dětskou nahotou, které kolegyně Kateřina Vokrouhlíková trefně popisuje jako „Fotografie vystavované na Internet s myšlenkou, že všem ukážu, jakou krásnou mám rodinu a jak roztomilé jsou mé děti. Bohužel pod těmito fotografiemi vidí někteří lidé i něco jiného než roztomilost a díky tomu se ze zdánlivě nevinné fotografie stane během chvilky dětská pornografie.“

Nejvíce hlášení STOPonline.cz skrývají statistiky vytvářené dle mezinárodní metodiky pod položkou „Jiný obsah“ zahrnující např. nevhodné komentáře na sociálních sítích nebo upozornění na podvodné e-shopy, kterých přibývá zejména v předvánočním období.

Čísla spojená s nelegálním obsahem si pak dovolím uzavřít poslední (z roku 2017) statistikou znázorňující podíl jednotlivých zemí na hostingu dětské pornografie (CSAM), kde se Česká republika řadí s méně než 1 % mezi ty nejúspěšnější země. Na druhé, odvrácené straně žebříčku, pak stojí v Evropě Nizozemí (51 %), Francie (18 %) a Švédsko (10 %). K pozitivnímu obrazu České republiky v tomto ohledu jistě přispívá i skvělá spolupráce s jednotlivými ISP, díky čemuž se některé případy hostování dětské pornografie daří odstranit již do několika málo hodin od nahlášení.

 

Kategorie:

Česká republika učinila první krok k použití elektronických občanek v zahraničí

St, 01/02/2019 - 10:40

Necelý půlrok od zahájení vydání nových elektronických občanských průkazů poskytlo Ministerstvo vnitra jejich podrobný popis ostatním členským státům a zahájilo tak proces vedoucí k jejich vzájemnému uznávání v zahraničí dle nařízení eIDAS.

Česká republika poskytla popis tzv. eID schématu jako 11. země v Evropě. Jako první tak učinilo Německo, jehož elektronické občanské průkazy by mělo jít od 29. září 2018 použít k přihlašování k vybraným službám e-Governmentu v jiných evropských zemích. Možnost reálného použití v mnoha zemích stále provázejí praktické problémy. Anders Gjøen z DG CONNECT ve své prezentaci na Trust Services Forum v této souvislosti uvedl, že Evropská komise již řeší první stížnosti nespokojených občanů, jejichž počet bude zřejmě narůstat.

Používat české elektronické průkazy pro přihlašování k zahraničním službám e-Governmentu by mělo být možné po uplynutí všech lhůt nejdříve od poloviny roku 2019, závazná povinnost pak nastane ostatním státům až na konci roku 2020. V návaznosti na zákon č. 250/2017 Sb., o elektronické identifikaci by v budoucnu mělo být možné v případě jejich zájmu podobné využití umožnit rovněž soukromoprávním poskytovatelům identit, jako jsou např. banky, mobilní operátoři nebo naše služba mojeID.

Technická stránka vzájemného uznávání eID a možnosti přihlásit se prostřednictvím českých el. občanek ke službám e-Governmentu v jiné členské zemi bude realizována prostřednictvím tzv. eIDAS uzlu, který od září v rámci Národní identitní autority provozuje pro Správu základních registrů naše sdružení.

Kategorie:

Aplikace Open Nettest nabízí v nové verzi další odznaky za věrnost

St, 12/26/2018 - 22:00

Děti zaměstnanců sdružení CZ.NIC se podílely na tvorbě odznaků, které nabízí aplikace Open Nettest, jejíž pomocí lze otestovat rychlost připojení k Internetu. Odznaky mají za úkol motivovat uživatele k provádění vyššího počtu měření.

Dětský obrázek lze získat za určité množství uskutečněných měření (1, 3, 6, 12,…) nebo v některý z významných dnů v roce jako je např. Den bezpečnějšího Internetu, Den čokolády či Den emoji. Pro získání odznaků je třeba mít nainstalovánu nejnovější verzi 2.7.8, která byla nasazena dne 19. prosince 2018 a je volně ke stažení jak na Google Play či na App Store.

Děti se úkolu zhostily na výbornou. Mnohé z nich motivovala vidina, že se stanou důležitou součástí aplikace Open Nettest. Kdo uskuteční první měření v aplikaci, získá hned první odznak od jedné z nejmladších výtvarnic. V následující tabulce je přehled významných dnů, jež ztvárnily ostatní děti zaměstnanců CZ.NIC.

Tvůrci aplikace mají v plánu i v příštím roce přidat do nabídky odznaků nové významné dny. V případě zájmu o účast v další malířské akci, prosíme o zaslání zprávy na e-mailovou adresu: kontakt@nic.cz. Dveře jsou otevřené i dětem, které nejsou nijak spjaty se sdružením CZ.NIC.

Aplikace Open Nettest byla vyvinuta v rámci mezinárodního projektu “Open crowdsourcing data related to the quality of service of high-speed Internet” (zkráceně MoQoS). Pomocí aplikace lze zjistit, jak si na tom stojí náš poskytovatel Internetu či mobilní operátor co do rychlosti a kvality připojení.

Během dvouletého projektu, který se již chýlí ke konci stejně jako rok 2018, využívaly aplikaci Open Nettest, resp. její národní modifikace, regulační úřady v České republice (ČTÚ), na Slovensku (), ve Slovinsku (AKOS) a v Srbsku (RATEL).

Aplikaci Open Nettest přejeme mnoho úspěchů a odměněných uživatelů i v nadcházejícím roce 2019!

Kategorie:

Hezké a klidné svátky a vše dobré v novém roce

Čt, 12/20/2018 - 10:00

Děkujeme vám za pozornost, kterou věnujete našim projektům a aktivitám, a přejeme vám spokojené a šťastné Vánoce a úspěšný nový rok. Na viděnou ve 2019!

Kategorie:

Redesign webu mojeID

St, 12/19/2018 - 16:43

K redesignu jakéhokoliv webu se musí přistupovat vždy velmi opatrně a obezřetně. Lidé jsou už zvyklí na to, že se ten „jejich“ web nějak chová a nějak vypadá, a pochopitelně tak z jakýchkoliv změn mívají obavy. Je to jako v supermarketu, kde provozovatel jednou za čas (v dobré víře) přestěhuje zboží do jiného regálu a vy najednou prostě nejste schopni nalézt svou oblíbenou hořčici. I proto jsme si nechali vypracovat nezávislou UX analýzu webu mojeID a teprve na základě výstupu této analýzy jsme přistoupili k redesignu.

Informační architekura

Pamatujete na weby z 90. let minulého století a na tlačítko „mapa stránek“? Informační architektura je něco podobného. Definujete, jaké informace a komu chcete sdělit, dáte tomu strukturu, prioritní položky zařadíte do hlavní navigace a máte téměř hotovo. V případě webu mojeID bylo nejdůležitější strukturovat jej do dvou sekcí: pro uživatele a pro poskytovatele.

Responzivní design

Dnes už nelze spoléhat na to, že něco se prohlíží na desktopu a něco jiného na mobilu. Uživatel vyžaduje stejně kvalitní zážitek a funkčnost na všech zařízeních. Původní web responzivní nebyl vůbec, takže toto pro něj byla úplná novinka. Na rozdíl od některých mobilních verzí webů se v případě webu mojeID nejedná o žádnou ochuzenou verzi, ale o verzi naprosto „plnotučnou“ – na mobilu se dostanete ke všem informacím, stejně jako na desktopu.

Fulltext vyhledávání

Přes veškerou snahu postavit web tak, aby každý snadno našel, co potřebuje, se může stát, že něco uživatel prostě nenajde (vzpomeňte na příklad s hořčicí). Proto jsme přidali možnost na webu vyhledávat (v hlavní navigaci nahoře kliknutím na ikonu lupy). Tu jsme přidali také do katalogu poskytovatelů, abyste věděli, zda váš oblíbený web službu mojeID podporuje.

Chat s podporou

Nově jsme přidali také užitečnou funkci online komunikace s naší zákaznickou podporou, a to formou chatu. Kromě telefonu a e-mailu se tak teď můžete na cokoli ohledně mojeID dotázat i v chatovacím okénku (tuto funkci, myslím, ocení hlavně nesmělí).

Grafika a copywriting

Grafika se někomu může líbit, někomu nemusí, ale hlavně musí být funkční. My jsme se soustředili na to, aby především dokreslovala textové informace a pomáhala se na webu zorientovat. Veškerá grafika je vektorová, takže se vám bude krásně vykreslovat v jakémkoliv rozlišení. Nově jsme také přepsali všechny texty, tak aby byly co nejsrozumitelnější.

Kategorie:

Konec roku je pro děti na Internetu nejrizikovější

St, 12/19/2018 - 12:49

Ještě donedávna platilo, že nejrizikovějším obdobím na Internetu jsou pro děti letní prázdniny. Během nich tráví čas na sociálních sítích, experimentují s různými seznamkami a volnočasovými službami. Děti se tak často setkaly s kyberšikanou, obtěžováním přes sociální sítě, sextingem, vydíráním či zneužitím osobních údajů.

Poslední dobou se ale nejrizikovějším obdobím na Internetu stává konec roku. Děti, stejně jako dospělí řeší nákupy dárků a i to, kde na ně vzít. Podle posledních průzkumů si na Vánoce půjčuje finanční prostředky téměř pětina (17 %) dospělých Čechů. Téma, kde vzít na Vánoce, řeší i mladí lidé. Ti nejčastěji spoléhají na kapesné od svých blízkých nebo příležitostné brigády.

Až 21 % dětí v několika průzkumech uvedlo, že jsou ochotny za nabízenou odměnu poskytnout svoje intimní materiály nebo sexuální služby. Na vzorku 1 800 dětí se zjišťovala i cena, za kterou jsou schopny na tyto nabídky přistoupit.

Oproti všem předpokladům a zažitým klišé, jsou nejčastějšími obětmi v tomto ohledu na Internetu chlapci. Ti dostávají nabídky častěji od falešných profilů než dívky. Chlapci nemají problém pořizovat intimní materiály – fotografie nebo videa vytvářejí běžně a to mnohdy i zdarma. Pokud ale dostanou nabídku na odměnu, jsou to nejčastěji klíče ke hrám, Premium SMS do her a dobití kreditu. Částky za zaslaný intimní materiál se pohybují v řádech několika set korun. Pokud by byl chlapec vylákán na intimní schůzku, pohybuje se průměrná cena sexu s ním okolo 2 700 Kč. O něco vyšší částka je i imaginární hranicí, kterou je heterosexuální chlapec ochoten přijmout za sex se stejným pohlavím.

Děvčata mají sice více nabídek na vytváření fotografií, videí a setkání se sexuálním podtextem, ale se zasíláním citlivého obsahu jsou opatrnější než chlapci. Pokud jde o možnost si vydělat nějaké peníze, dávají přednost osobním schůzkám. Největší zájem je o dívky ve věku 14 až 21 let a průměrná cena za pohlavní styk se pohybuje v průměru 750 Kč. Až 76 % dívek, které měly s touto aktivitou zkušenost, pak uvedlo, že šlo pouze o jednorázový přivýdělek.

Nabídky se sexuálním podtextem řeší české sociální sítě a seznamky různě. Některé těmto aktivitám vycházejí nepřímo vstříc, neboť je možné si na profilu vyplnit údaje typu: velikost pohlaví, jaké nosím spodní prádlo nebo kdy jsem měl naposledy sex. Tyto údaje mohou vyplnit i děti a často to také dělají. Z mnoha průzkumů také víme, že lidé, kteří vyplní více položek s fotografiemi (včetně citlivých), mají až trojnásobně větší šanci, že budou osloveni.

V rámci připravovaného internetového seriálu o dětské prostituci, jsme se chtěli přesvědčit, jak moc bude atraktivní pro útočníky oslovit nový dětský profil na seznamce. Vytvořili jsme falešnou identitu chlapce i dívky, na kterém jsme uvedli věk 15 let a údaj, že jsme doma nemocní. Přes noc, tzn. za necelých 12 hodin, jsme na profilu chlapce evidovali 1 200 zpráv. Z toho téměř 750 zpráv obsahovalo finanční nabídku. U dívky byl počet oslovení desetinásobně menší. Během několika hodin jsme na místo setkání vylákali deset zájemců, mezi nimi i v minulosti odsouzeného za pohlavní styk s dětmi a ohrožování mravní výchovy.

Možností, jak se bránit fenoménu sexuálních nabídek na Internetu je mnoho. Dobrou zprávou je, že se těmto tématům dostává velké pozornosti a existuje celá řada projektů, které se této problematice věnují. Pro rodiče, kteří jsou bohužel nejslabším článkem v tomto procesu, je důležité se o dítě zajímat. Jejich úlohou je vytvoření takového klima, ve kterém dítě nebude mít potřebu soupeřit s ostatními dětmi o to, kdo má kvalitnější oblečení nebo elektroniku. Pokud se někdy děti s podobnými nabídkám setkají, je potřeba je naučit, jak je správně řešit.

Kategorie:

Jak vysvětlit malým dětem, co je „grooming“?

St, 12/05/2018 - 10:30

Setkat se dnes s dvouletými či tříletými dětmi, které na tabletu sledují pohádky, umí si pustit další díl oblíbeného seriálu nebo kreslí obrázky již (bohužel) není občasná výjimka. Díky intuitivnímu ovládání se nejmladší generace v on-line prostředí často orientuje lépe než my, dospělí.

Zatímco v mnohých činnostech, jako je hraní her, je pro nás obtížné s dětmi držet krok, existuje minimálně jedna oblast, kde dětem můžeme a měli bychom předat více. Jedná se o záležitosti spojené s počítačovou bezpečností.

Stejně jako své potomky od raného věku seznamujeme se základy bezpečnosti na přechodu pro chodce, či že nemají nasedat k cizím lidem do auta, měli bychom jim vštěpovat i základy bezpečného pohybu po Internetu. Zde však často narazíme na problém, jak jednotlivá rizika malým dětem objasnit.

Jedním z takovýchto příkladů může být grooming. Vysvětlení, že pán, který před školou nabízí bonbóny, nemusí mít vždy dobré úmysly, zvládneme většinou na jedničku. U obdobného jevu na Internetu je to však již horší.

Vstříc těm, kteří chtějí děti s těmito základy nenásilnou formou seznamovat co nejdříve, nyní přicházíme s knihou „ON-LINE ZOO“, která představuje nejnovější přírůstek Edice CZ.NIC.

Jednotlivá rizika Internetu kniha vysvětluje na příkladu zvířátek v zoologické zahradě. Se zmíněným groomingem se tak malí čtenáři setkají prostřednictvím lva Ludvíka, který si nasadí na ruku maňáska antilopy. Malé antilopy Agáta a Adam pak mají pocit, že si povídají s jinou antilopou a ne lvem, který v sobě právě probudil staré lovecké pudy. Podobně kniha seznamuje i s dalšími negativními aspekty on-line světa – zveřejňováním nevhodných fotek (selfie), závislost na mobilu nebo kyberšikanou.

S původně rakouskou knihou, která vyšla v rámci projektu Safer Internet, jež je spolufinancován Nástrojem Evropské unie pro propojení Evropy, připravujeme i veřejná čtení s následnou besedou. Knihu je možné si objednat přímo u nás v CZ.NIC. Prvním deseti zástupcům mateřských a základních škol, kteří mi napíší, jak by knihu u sebe využili, ji pak rádi zašleme zdarma.

Kategorie:

Co nám ukázal sken 10 000 domén?

St, 11/28/2018 - 14:50

V rámci našeho působení provozujeme aplikaci Malicious Domain Manager. S její pomocí se snažíme informovat držitele domén v zóně .CZ o úspěšné kompromitaci jimi provozované webové prezentace. Nejčastějším scénářem, který se v rámci napadení webových aplikací pravidelně opakuje, je situace, kdy si útočníci pronajmou web či IP adresu a provozují na ní nějaký exploit kit, který útočí na známé zranitelnosti komponent, jež uživatelé obvykle využívají při procházení webových stránek (tedy prohlížečů, Javy, Flash playeru apod.). Tuto adresu, kde je exploit kit provozován, pak například pomocí tagu iframe vkládají do napadených webových stránek jako jejich součást. Již delší dobu si klademe otázku, zda nemůže ve skutečnosti v zóně .CZ být více napadených domén, než o kterých jsme schopni se dozvědět s pomocí naší aplikace. Zkusili jsme proto reverzní postup: Vzali jsme množinu náhodných domén a sledovali, z jakých dalších domén si tyto stránky stahují své komponenty. Potom jsme v kupce agregovaných výsledků pátrali po jehlách a červech… Co myslíte, povedlo se nám v malém českém rybníce identifikovat nakažené stránky, na které ještě nepřišel Google Safebrowsing? A případně kolik?

Nebudu chodit kolem horké kaše – nenašli jsme nic. Žádné dosud neobjevené pirátské weby, masivně odkazované z webů českých obětí, na nás v hromadě dat nečekaly. Nicméně i tak máme zajímavé výsledky, o které se chceme podělit.

Pár slov ke skeneru – vyvinuli jsme ho před čtyřmi lety, abychom ověřili, zda české stránky identifikované jako škodlivé službou Google Safebrowsing (kterou používá např. i Firefox a Chrome k ochraně uživatelů) nejsou false positives, předtím, než jejich vlastníka upozorníme. Skener MDMaug jsme nyní rozšířili, aby bral vícero URL adres a generoval co nejvíce uchopitelný přehled externích domén třetích stran, na které se české domény připojují.

Při testování jsem nechtěně provedl i zátěžový test Firefoxu. Zapomněl jsem implementovat řízení vláken a když jsem zadal, aby se domény oskenovaly, frontend je mínil oskenovat všechny najednou. Vyslal 10 000 AJAX spojení a definitivně zamrznul. Nicméně počítač statečně hučel. Další ráno jsem sebral výsledky – necelé tři hodiny skeny probíhaly normálně, protože server se nenechal zahltit, nicméně když Firefox zobrazil pár tisíc výsledků analýz, přetekl SWAP a počítač se již nevzpamatoval. Kolegové mi celé ráno psali na Jabber v domnění, že jsem online, ale online byla jen má černá díra.

Nyní frontend skeneru obsahuje statistiky průběhu testů a panel rychlosti, kde uživatel řídí počet vláken, ve kterém skeny probíhají. To lze měnit za běhu podle vytíženosti serveru – na svém 4jádru 8 GB RAM jsem nakonec test nechal běžet na dvou až třech vláknech, pokud jsem na počítači normálně pracoval, případně v 11 až 14 vláknech přes noc. Sken probíhal rychlostí přibližně 12 až 15 URL za minutu. Z toho vyplývá, že 10 000 domén lze oskenovat v ideálním případě za 12 hodin.

Je třeba říci, že výsledky nezohledňují URL z whitelistu – MDMaug provoz z některých URL rovnou zahazuje (http://clients1.google.com/ocsp, http://www.google.com/adsense/, …). Další domény druhého řádu má možnost whitelistovat uživatel. Já jsem například whitelistoval ocsp.pki.goog, google.com, gstatic.com, cloudfront.net, doubleclick.net a w3.org, digicert.com. A nakonec doména detectportal.firefox.com je blokována přímo v nastavení interního testovacího Firefoxu, neboť při každém spuštění prohlížeče Firefox je tato adresa pingnuta.

Celkem jsme skenovali homepage 10 997 domén, v grafech je budeme nazývat origins. Celkem 7 522 origins se připojilo k 8 206 externích adres třetích stran. Když vezmeme v úvahu všechny možné IP adresy, skrze něž se lze k externí adrese připojit, vytvořili mezi sebou 43 996 spojení. Pětina domén (2 577) se připojuje na svoji vlastní „www” doménu, 95 na jinou svoji vlastní doménu třetího řádu. Buď variantu „www” (www3, w1, w17), označení, že doména třetího řádu obsahuje statický obsah (img, static, cdn, media), nápovědu, že tam běží administrace (admin), variantu jmeno.prijmeni.cz (nebo například public.relations.cz), variantu s doménou čtvrtého řádu (www.fotbal) nebo cokoli dalšího (api, files, geo, legacy). Přes 1 400 domén v okamžiku testu i týden potom timeoutovalo, šest set domén přesměrovávalo jen a pouze na svoje subdomény, dva tisíce funkčních domén nepřesměrovávalo vůbec nikam.

Nejvíce součástí stránek bylo stahováno z TLD .cz, .com, .org a .net. Na následujícím grafu vidíme, že 5 443 českých origin (oranžovaná) odkazuje na 5 270 externích adres (žlutá) na TLD .cz (popis osy). K tomu provedli 11 945 spojení (modrá). Jinými slovy, nejčastěji odkazovanou TLD je na českých doménách TLD .cz. Domény se připojují na o něco menší množinu domén, přičemž průměrně na každou externí adresu vedou dvě IP adresy.
O něco méně origins (4 731) se připojují na třetinovou množinu adres v TLD .com, ale protože proběhlo přes 22 tisíc relací, usuzujeme, že průměrně se na jednu .com doménu připojujeme deseti IP adresami.
Dále origins odkazují na .org a .net, ale tam je množina externích adres mnohem menší (70 a 274 domén).

Pokud se si protáhneme tento graf dál, vidíme, že další nečasteji používané TLD jsou: polská, evropská, cool input/output doména, slovenská a německá.

Na ta samá data se podívejme ještě jiným způsobem. Přepočítejme si vždy na 100% součet relací (modrá), origins (oranžová) a exteních adres (žlutá). Vidíme opět, že TLD .org má maloučko externích domén, na které se odkazuje mnoho českých origins. Oproti tomu několik málo origins odkazují na mnoho TLD .tv. Dva origins odkazují na jedinou doménu na TLD .stream, ale připojují se k ní na 11 různých IP adresách. TLD .to se objevuje jenom díky webovému komunikátoru tawk.to, který má 22 subdomén, na jejichž 16 IP adres se origins připojily v celkem 285 relacích, zřejmě kvůli dostupnosti služby.

Když místo TLD uděláme agregaci podle počtu nejvíce přistupovaných domén druhého řádu, dostaneme následující tabulku. Ukazuje, že 1 423 origins z množiny testovaných přistupuje na 13 subdomén na facebook.com, v těsném závěsu jsou přístupy 1 397 origins na jedinou doménu scanandcleanlocal.com . Shodou okolností ji znám, je to fb.scanandcleanlocal.com, je nasměrovaná na localhost a po minutě googlování jsem nepochopil, k čemu ji Facebook používá. Následují certifikáty na letsencrypt.org a aplety na jednopísmenném podkladu WordPressu w.org. V závěsu se pohybuje ještě googletagmanager.com a DNS služba cloudflare.com.

 

Pokud domény druhého řádu seřadíme podle počtu domén třetího řádu, vede český webnode.cz se 77 subdoménami, ke kterým přistupuje sedmdesátka origins. Dva origins přistoupí k úctyhodným 64 subdoménám xvideos.com. Na šestém místě je další doména Facebooku fbcdn.net, u které jsme objevili 18 subdomén a na kterou přistupuje 464 origins. Sloupec se nám dokonce nevešel do grafu, podobně jako u 13 subdomén facebook.com, kterou známe z předchozího grafu.

Zajímá-li nás, proč je tak málo používaných domén na TLD .org a .net a které to jsou? Vedou čtyři již zobrazené letencrypt.org, w.org, facebook.net a fbcdn.net. Za nimi jsme zaznamenali 170 zásahů na tři subdomény typekit.net, dále šest subdomén adform.net a několik hostů přistupuje k 15 subdoménám akamaihd.net.

Drtivá většina origins přistupuje pouze na jedinou TLD. O tisícovku méně je origins, které přistupují na dvě, o další tisícovku méně je těch, které přistupují na tři. Graf postupuje dál a šampionem se stává stránka, která natáhne adresy z 19 různých TLD. Skutečně, jedna mezinárodní spediční společnost při přístupu na stránku zobrazí zdroje z .com, .net, .be, .dk, .uk, .pl, .cz, .it, .au, .sk, .de, .ca, .fr, .in, .hk, .sg, .nl, .ie a .my. Na deseti různých IP kontaktuje adresu hello.staticstuff.net, potom různá CDNka (static-cdn.responsetap.com, cdn.siteimprove.net), pluginy (m.addthis.com, u.heatmap.it), certifikace (s.trustpilot.com, static-ssl.responsetap.com), sociální konektory, analytiky, in-page komunikátory, třináct různých homepage vyhledávače Google, co si vzpomenete.

Potom jsem si seřadil origins podle počtu libovolných externích stránek, na které se připojují. Vyšlo mi, že dva tisíce origins se připojují právě k jedné externí stránce, o něco méně origins ke dvěma a ke třem už jenom osm set origins. Šampionem v této disciplíně se stává jeden projekt Českého rozhlasu, kde jsme naměřili 87 různých externích stránek. Byly tam vedlejší stránky víceméně pochopitelné a všechno šlo svižně. Několik dalších finalistů, které se připojují k osmdesátce stránek, vedou na tutéž stránku, zřejmě je vlastní nějaký spekulant. Některé e-shopy ale obsahují tolik různých pluginů (nahrávání uživatele, livechat…), že stránka začne hučet a člověka to pokouší zablokovat JavaScript. Mezi stránkami se vyskytla i smrt.cz . Byl jsem zvědav, proč smrt.cz načítá osmdesátku externích stránek a zadal ji do prohlížeče. Skončil jsem na stránce Blesku pro ženy. Pátral jsem a zjistil, že smrt.cz vede na brana.cz/číslo. Pokud jsem číslo změnil, skončil jsem na hlavní stránce Blesku, kde bylo přes celou stránku napsáno „SMRT – českého doktora v Číně”. Úsudek ať si každý vytvoří sám, já si nevytvořil žádný.

Srovnání prvních 250 origins, které iniciovaly nejvíce spojení, ukazuje poměr IPv4 / IPv6, v jakém jsou relace navazovány. Existuje jenom málo origin, které naváží menšinu spojení s IPv4, četnost IPv6 se drží přinejlepším na 15 %.

Pokud byste si chtěli náš nástroj vyzkoušet, mám pro vás dobrou zprávu. Skener si můžete nainstalovat i v lokálních podmínkách, není třeba žádná kompilace, instalace však není pro začátečníky. V README souboru projektu se snažíme dobře popsat příkazy, se kterými si vygenerujete vlastní certifikát a ohlídáte si instalaci pod nově vytvořeným omezeným uživatelem. Dále zde jsou rady, jak debuggovat, pokud něco nefunguje tak, jak má. Po nainstalování serveru se zpřístupní i testovací podezřelá stránka, která obsahuje rámce, podezřelé obrázky i skripty s voláním nebezpečných funkcí.

Při troše štěstí analyzér zaznamená veškerou komunikaci a podá přehledný výpis externích adres, na které se snaží testovací stránka připojit. Můžete pak skenovat, co je vám libo a bez obav o svůj normální prohlížeč zjišťovat, kam která adresa uživatele unáší.

Jsem rád, že náš test neodhalil žádné neznámé zdroje infekce mezi doménami v zóně .CZ. Znamená to, že náš nástroj Malicious Domain Manager odvádí dobrou práci a že nám doufejme ani v budoucnu neuteče žádná zásadní kampaň, zneužívající k šíření malware domény .CZ. Vznik tohoto textu i samotného skeneru byl podpořen Nástrojem Evropské unie pro propojení Evropy.

Kategorie: