Zákony ovlivňující kyberprostor a výkon DNS s linuxovým XDP, zápisky z IT20

12. 11. 2020
Doba čtení: 16 minut

Sdílet

 Autor: CZ.NIC
Tradiční konference Internet a Technologie 20 letos proběhla netradičně online. Přesto zazněla velmi zajímavá témata týkající se bezpečnosti na internetu, připravovaných zákonů nebo třeba novinek v DNS.

Jaromír Talíř: mojeID propojeno se službami státní správy

Služba mojeID používá pro přihlašování ke službám státní správy technologii FIDO. Ta je velmi bezpečná a používá kryptografii veřejného klíče. Je také odolná proti phishingu, na rozdíl třeba od opisování kódů z SMS. Bezpečnost ale závisí na tom, jak zacházíte s privátním klíčem.

Původní verze se jmenovala U2F, později vznikla současná verze FIDO2. Jedná se vždy o dva protokoly: frontendový javascriptový protokol pro komunikaci s aplikací a pak backendový protokol pro komunikaci prohlížeče s autentizačním zařízením. Nový protokol je zpětně kompatibilní, takže je možné použít i starší zařízení s U2F.

FIDO aliance nyní směřuje k přihlašování bez hesla, kdy bude stačit přiložit na senzor prst a budete přihlášení. Služba mojeID tuto možnost zatím nepodporuje. Jednak jsme ji přepsali na FIDO2 poměrně pozdě, ale chtěli jsme být také konzistentní s ostatními 2FA. Zároveň to zjednodušilo akreditaci pro NIA, která vyžaduje zaručení se za oba faktory. Můžeme popsat, jak s hesly zacházíme. V některých prohlížečích chybí také klíčová podpora protokolu CTAP2. Také není triviální nastavování PINů, dlouho to byla doména speciálních aplikací. Dnes je možné to udělat v Chrome, ale není to stále triviální věc.

Ministerstvo vnitra má podmínku, že přihlašovací token musí mít certifikaci alespoň na úrovni L1. Certifikace pro U2F a FIDO2 je oddělená, zařízení může mít jednu a nemusí mít druhou. Informace o certifikaci podává Metadata Service, ve které ale bohužel nejsou všechna zařízení. Zveřejnění není povinné, takže zařízení ji může mít, ale nemusí ji publikovat.

Největší obavy byly ze softwarových klíčů. Těch jsme se nejvíc báli. K dispozici je ve Windows 10 a Androidu od verze 7 a v iOS od verze 14. V iOS je zatím problém v tom, že nemá certifikaci. Snažíme se spojit s Applem a zjistit, jestli se do certifikace pustí. Systémové privátní klíče mají zásadní nevýhodu – jsou vázaná na zařízení. FIDO aliance doporučuje použít více různých klíčů a mít více klíčů jako zálohu či pro případný přenos autentizace mezi zařízeními.

CZ.NIC spustil kampaň, v rámci které rozdával aktivním uživatelům hardwarový klíč, který je možné k přihlašování použít. Ozvala se nám spousta lidí, kteří nebyli osloveni a klíč by chtěli. Proto jsme umožnili jej na našich stránkách objednat. Jde o klíč GoTrustID IdemKey, který má poměrně vysoké certifikace. Umožňuje také použít PIV, tedy se umí chovat jako čipová karta.

Nejpoužívanějším klíčem v mojeID je jednoznačně Windows Hello, na druhém místě je IdemKey a na třetím Android. Uživatelé si také připojují klíč od YubiKey nebo open-source implementace SoloKey.

Softwarově je vše postaveno na knihovně od YubiCo, která je napsaná v Pythonu a dělá vše potřebné. Nad touto knihovnou jsme postavili vlastní rozšíření, které dáváme veřejně k dispozici. Rozšíření je postaveno nad frameworkem Django.

Ověření je možné provést pomocí CzechPointu, který je k dispozici zdarma na 7000 místech. Komunikace probíhá pomocí datové schránky, což není příliš vhodné pro automatizovanou komunikaci mezi organizacemi. Neustále s tím bojujeme a týká se to i frekvence toho, jak často zprávy stahujeme a zpracováváme. Větším problémem jsou chyby lidského faktoru přímo na CzechPointech. Narážíme na to, že dostáváme odpovědi, které obsahují špatný identifikátor nebo jej neobsahují vůbec. Úspěšnost se pohybuje mezi 80 a 90 %. Zkoušíme to zlepšovat, upravili jsme dokument pro úředníky a diskutujeme se státem o tom, jak celou operaci zjednodušit.

Václav Steiner: využití Knot DNS v infrastruktuře CZ.NIC

XDP je zkratka eXpress Data Path a dokáže výrazně zrychlit odpovídání na DNS dotazy. Dělá to tím, že obchází celý síťový stack v jádře. To má i své nevýhody, protože pak není možné sledovat provoz, aplikovat firewallová pravidla a třeba i sbírat provoz. Všechna tato omezení se dají řešit tím, že se server nasadí do lokality, kde je k dispozici router. Na něm můžeme provoz sledovat nebo jej mirorrovat do jiného stroje.

CZ.NIC vybral pro testování nový server s mnoha procesorovými jádry. Konkrétně byl použit procesor Intel Xeon Gold 6140, 32 GB RAM, SSD disky v RAID 1 a 10GbE karty Intel. Pro sběr síťového provozu byl připraven ještě druhý stroj. Není to nijak nestandardní, podobné řešení používáme i u svých velkých DNS stacků. Tento stroj potřebuje poměrně hodně diskové kapacity pro ukládání dat.

Konfigurace je poměrně běžná, je potřeba nastavit více front na síťových rozhraních a poslouchat v Knot DNS pomocí direktivy listen-xdp. Před ostrým nasazením jsme chtěli mít jistotu, že nic nerozbijeme. Proto jsme prováděli poměrně rozsáhlé testování.. Pomocí nástroje kxdpgun byl simulován DNS provoz o kapacitě 10 milionů požadavků za sekundu. Výsledky působily jako zjevení, na malých paketech jsme dokázali odbavit všech 10 milionů dotazů. Proti tomu běžný server bez XDP dokáže odbavit 1 až 1,5 milionů dotazů za sekundu. Jde tedy o několikanásobný nárůst. Prosté obcházení síťového stacku udělá velkou parádu. Výsledky měření je možné najít na knot-dns.cz/benchmark.

Od 5. listopadu běží v americkém Seattlu nový malý DNS stack, který také používá XDP. Je to zároveň první anycast připojení pomocí 40GbE linky. Výhodou je, že je možné tímto postupem ušetřit nemalý serverový výkon.

Knot DNS je nově přítomný také na hidden master serverech od CZ.NIC. Jde celkem o tři synchronizované servery, kdy vždy jeden vystupuje jako master a komunikuje s ostatními servery v režimu slave. Byl to trochu technologický dluh, historicky jsme běželi na serveru BIND. Původně servery běžely na Ubuntu LTS se serverem BIND a doplněny byly vlastní skripty pro kontroly zón a podepisování DNSSEC. Vše jsme řešili pomocí úloh spouštěných pomocí cronu.

Nasazení předcházelo intenzivní testování, pro které byl „obětován“ jeden ze serverů. Ten správci přeinstalovali na Debian 10 a Knot DNS 3.0. Testování proběhlo na skutečných nepoužívaných doménách v .CZ, kde byl stokrát otestován postup migrace zón a potřebné úpravy DNS serverů. S každou doménou bylo potřeba sáhnout do mnoha konfigurací, zón je hodně a byla to poměrně náročná práce.

Změna přinesla zjednodušenou správu zón, není třeba se starat o podepisování, není potřeba mít žádné vlastní skripty a změny v SLD zónách jsou okamžité. Celé to je také méně náchylné na chyby. Do budoucna bude možné provádět inkrementální změny v .CZ a rychleji zónu generovat a publikovat.

Michal Hrušecký: co nového přinesl rok 2020 v projektu Turris

Na začátku roku se podařilo uvolnit router Omnia 2020, která nemá žádné hardwarové novinky, ale prošla FCC certifikací. Omnia je tedy od začátku dostupná také ve Spojených státech. Certifikace nejsou vůbec jednoduché, obzvláště ne na dálku. V Evropě dokážeme všechno zařídit poměrně rychle, někam zajet a vyřešit to. Tady jsme to řešili přes maily, volali jsme si a posílali router tam a zpět.

FCC vyžaduje, aby uživateli nebyla povolena žádná nedovolená úprava. Vývojáři se báli toho, že jejich router obsahuje svobodný software a kdokoliv tak může provádět vlastní úpravy. Nakonec se ukázalo, že open source vůbec nebyl problém, nikdo nám to nevyčítal a nešťoural do toho.

Další novinkou je Turris OS 5.0 založený na OpenWRT 19.07 vydaném v lednu. My jsme vydali svou verzi v červnu, předtím jsme stihli vydat ještě nějaké menší opravné verze. Turris OS přidává k OpenWRT vlastní software, doplňuje konfiguraci a přidává vlastní záplaty. Podařilo se nám přejít z toho, že jsme měli fork všeho na komunitní repozitáře doplněné o naše specialitky.

Mnohem víc se také teď spolupracuje s upstreamem, za poslední měsíc vývojáři Turrisu odeslali zhruba pětinu všech commitů do OpenWRT. Můžeme také rychleji začleňovat novinky a můžeme přispívat zároveň do Turris OS a OpenWRT.

Vzniklo také modernější webové rozhraní ReForis, které je výrazně přívětivější a hlavně do budoucna udržitelnější. Nové funkce implementujeme jen v ReForisu a plánujeme časem starý Foris ukončit.

Poslední velkou novinkou je Turris Shield, což je reakce na informace od obchodníků. Spoustu lidí láká možnost spustit si pasti na útočníky a mít automatický firewall. Zároveň uživatele děsí všechny možnosti, které dává Turris Mox. Říká se, že umí udělat mnoho, ale uživatel musí vědět, co vlastně dělá. Tak vznikl Turris Shield, což je zjednodušená verze Moxu, která má zapnuté bezpečnostní vlastnosti a aktualizace a pokud možno vše dělá bez zásahu uživatele.

Uživatelé se často ptají na Wi-Fi 6. Pracujeme na tom, snažíme se získat nějaké karty. Výhodou je, že karty jsou ve slotech a je možné je vyměnit. Máme nějaké objednané a chceme na nich udělat testy. Termíny se bohužel posouvaly, měly jsme první kusy slíbené už na konci loňského roku.

Další běžná otázka se týká DSL modemu. Pořád to neumíme a nevíme, jak na to. Bohužel se zatím ani neblíží doba, kdy by bylo možné DSL do Turrisu přidat. Podařilo se nám uzavřít další slepou cestu a odpověď bohužel nemáme.

Marek Šašek: nová tvář routerů Turris

Před několika měsíci začal přechod na nové webové rozhraní reForis, jehož cílem je zvládnutí konfigurace routeru i u méně zkušených uživatelů. Nejde o úpravu starého rozhraní, ale o kompletní přepis s použitím aktuálních technologií. Původně malý projekt se v průběhu let rozrostl a použité technologie byly už nedostačující. Nepoužívaly se žádné standardní knihovny a stará verze se velmi špatně udržovala.

Nový reForis je postaven na frameworku Flask, jeho frontend používá React a Bootstrap. Většina stránek používá formuláře a Bootstrap umí velmi dobře pracovat právě s formuláři a různými nabídkami. Celé rozhraní je silně modulární.

Uživatel má hned po přihlášení jasný přehled o stavu celého routeru. Obsahem úvodní obrazovky jsou jednotlivé karty, které obsahují souhrn nejdůležitějších dat z jednotlivého pluginu. Karty mohou mít i tlačítka a například je možné na nich spustit test a rovnou pak vidět výsledek měření. Pod kartami se pak mohou objevovat notifikace, které je možné rozkliknout pro více detailů nebo je smazat.

Nově je možné přímo ve webovém rozhraní vytvářet a spravovat snapshoty, dále je možné je mazat nebo se vrátit k původnímu stavu.

Ve starší verzi nebyla také horní nástrojová lišta, ve které je možnost odhlášení, přepnutí jazyků či seznam notifikací. Na liště se může také objevit červené tlačítko vypínače, které tu je v případě, že se objeví například žádost o restart nebo schválení nějaké aktualizace.

Nové rozhraní je také plně responzivní, funguje velmi dobře na mobilních telefonech, kde se hlavní menu sbalí do takzvaného hamburgeru.

Úpravou prošla také stránka s výběrem pluginů, přičemž je možné volit i různé možnosti u jednoho pluginu. Je tu dostatek informací o tom, co daný modul dělá a jak ho spravovat.

Miroslav Hanák a Martin Prudek: Sentinel evolution

Sentinel umožňuje sbírat a vyhodnocovat data o útočnících. Součástí jsou také sondy na routerech, kterým se říká Minipot. Jde o minimální honeypot, tedy past na útočníka, která sleduje jeho aktivitu. Útočník si myslí, že se dostal do nějaké služby, ale ve skutečnosti je jen v kontrolovaném prostředí, odkud se sbírají data. Nás zajímají jen připojení a pokusy o přihlášení.

Od začátku projektu Turris tu byl Minipot pro protokol Telnet, nově jsou přidány také protokoly HTTP, FTP a SMTP. Jsou založeny na komunikačních vzorcích nejpoužívanějších serverů, místo abychom je navrhovali na standardech daných protokolů. Protože jde o emulaci, nároky na hardware jsou minimální a útočník nemá přístup k reálnému systému.

Po navázání spojení je vyvolána autentizace, kdy se honeypot snaží vylákat co nejvíce autentizačních dat používaných k útoku. Poté dojde k odpojení uživatele, jako by to udělal plnohodnotný server. U všech protokolů se sbírá uživatelské jméno a heslo.

Jednoznačně nejvíce dat se daří získávat ze SMTP. Přikládáme to spambotům a hledání open-relays. Ze 430 milionů sledovaných připojení jich 400 připadá právě na SMTP. Zajímavý je rozdíl čísel mezi počtem IP adres, které se jen připojily a které pak prováděly další činnost. Pokles je razantní, výjimkou je minipot pro HTTP. Například u Telnetu dojde k poklesu o 96 %, u HTTP je to jen 10 %. Věříme, že se z našich dat můžeme ještě hodně dozvědět a plánujeme provádět sofistikovanější analýzy.

Data se používají také pro automatizovanou analýzu pro dynamický firewall. Každé zaslané hlášení obsahuje IP adresu útočníka a popis nepřátelského chování. Každé hlášení je pak ohodnoceno a pokud je cílem více routeru a IP adresa překročí dané skóre, je zařazena do seznamu nebezpečného adres. Okamžitě je také distribuována na routery. Tím se útočníkovi zabrání útočit na další služby.

Po vydání nových minipotů výrazně skokově narostl greylist obsahující útočné adresy. Příjemně nás překvapila míra nárůstu na trojnásobek. Z původních pěti set adres je na něm nyní patnáct stovek různých útočících IP adres. V průběhu následujících týdnů obliba otevřených SMTP portů ještě narostla a v některých dnech v nich bylo více než 4,5 tisíce adres.

Později došlo ke změně metodiky, která vyžadovala, aby útočník oslovil alespoň tři sledované routery. Teprve pak se dostal na greylist. Okamžitě nám spadl počet zaznamenaných adres na desítky, což se nám nelíbilo. Proto došlo k další úpravě, kdy už není omezen počet hlášení od jednoho routeru, ale omezuje se vliv na celkové skóre z jednoho routeru. Pokud je tato hodnota dosažena, zprávy z routeru se dále analyzují, ale už se nemění cílové skóre útočníkovy adresy. Po této další úpravě se počet adres v greylistu trvale drží mezi třemi a pěti tisíci.

Už teď se pracuje na vylepšení webového rozhraní Sentinel View, které by mělo nabídnout zajímavější statistiky a pohledy na sbíraná data.

Jaromír Novák: pár slov o novele zákona o vojenském zpravodajství a nejen o něm

Novela zákona o kybernetickém zpravodajství může výrazně ovlivnit fungování světa informačních technologií. Už v letech 2016 a 2017 se Ministerstvo obrany snažilo protlačit schválení zákona o vojenském zpravodajství, které by této organizaci umožnil dávat černé krabičky do sítě operátorů. Původní návrh byl napsán poměrně „drsně“ a není divu, že se proti němu zvedla vlna nevole ze všech dotčených organizací a sdružení. Později byl připraven pozměňovací návrh, který posunul alespoň nejpalčivější problémy správným směrem. Pak přišly volby a nový návrh padl pod stůl.

Další kolo projednávání proběhlo na přelomu let 2019 a 2020 a v březnu letošního roku byla schválena novela zákona o vojenském zpravodajství. Jejím cílem je přidělit vojenskému zpravodajství novou kompetenci – zajišťování obrany v kyberprostoru. Prostředky kybernetické obrany by měly být: cílená detekce útoků, identifikace a vyhodnocování hrozeb a aktivní opatření k aktivnímu odvracení kybernetických útoků.

Schválením zákona začalo mediální ostřelování a paralelně začala diskuse se zástupci vojenského zpravodajství. Na jejím základě došlo k úpravě některých bodů, které už schválená novela obsahovala. Šlo konkrétně o garanci pasivnosti sond, ze kterých nebude možné provádět odvetné útoky. Dále upřednostnění využití vlastních detekčních prostředků operátora před nasazením dalšího zařízení. Dalším bodem pak bylo zřízení inspektora pro kybernetickou bezpečnost. Tento subjekt by měl dohlížet na aktivity vojenského zpravodajství.

Podařilo se tak připravit komplexní pozměňovací návrh, který zajišťuje, že nejde o plošné sledování, detekce probíhá na základě stanovených ukazatelů kybernetických útoků a oprávnění sdílet informace se soukromým sektorem. Dále byl zaveden systém tří stupňů detekce kyberútoku: spolupráce na základě písemné dohody, součinnost při detekci a konečně detekce prostřednictvím umístěné sondy. Samotné nasazení nástrojů detekce musí splnit přísné podmínky pro nasazení.

Aby mohla být síť operátora zařazena do režimu instalace nástrojů detekce, musí vláda nejdřív schválit ústřední plán obrany státu. Následně musí proběhnout správní řízení, které skončí vydáním rozhodnutí Ministerstva obrany, které ukládá konkrétnímu operátorovi na konkrétním místě umístění nástroje detekce. Doba nasazení může být stanovena až na 12 měsíců a může být následně prodloužena o dalších 6 měsíců.

Pokud vojenské zpravodajství identifikuje konkrétní kybernetický útok, může informovat příslušné orgány, provozovatele národního CERT a případně další osobu, který může provést opatření proti kybernetickému útoku. Informační možnost je tu poměrně široká a může vzniknout oboustranně výhodná spolupráce.

Inspektor pro kybernetickou obranu už není jmenován z příslušníků vojenského zpravodajství. Návrh na jeho jmenování předkládá Ministerstvo obrany vládě po projednání ve výborech poslanecké sněmovny a je jmenován na pět let. Inspektor je v podstatě takový ombudsman, na kterého se mohou operátoři obrátit, pokud mají pocit, že jsou ohroženi činností vojenského zpravodajství.

Dalším důležitým legislativním návrhem, který je na stole, je novela zákona o elektronických komunikacích. Ta implementuje do českého právního řádu kodex pro elektronické komunikace a harmonizuje pravidla regulace, ochranu spotřebitele a využívání radiového spektra v celé Evropské unii. Novela má přes 200 legislativních bodů a hrozí nebezpečí, že by návrh mohl spadnout pod stůl, pokud by nebyl přijat do konce volebního období.

Dále je na stole návrh zákona o dani z digitálních služeb, který je v současné době „zaparkován“ ve druhém čtení. V současné době eviduje 11 pozměňovacích návrhů, z nichž většina se snaží upravovat sazbu daně z navrhovaných 7 % na 5 % či 3 %. Jedná se o vládní návrh a uvidíme, zda bude vládní koalice ještě dostatečně jednotná, aby měla šanci tento návrh prosadit.

Na evropské úrovni je velmi důležitá iniciativa Evropské komise s názvem DSA (Digital Service Act), u které se předpokládá předložení legislativních návrhů v prvním kvartále roku 2021. Tato aktivita má primárně řešit dvě oblasti: odpovědnost poskytovatelů digitálních služeb a ex ante regulace velkých online platforem. Je to velké sousto a zraky se upírají směrem k Bruselu. CENTR se zúčastnil veřejné konzultace a snažil se evropským legislativcům vysvětlit, jaké má kompetence a nástroje správce národních domén. Aby minimalizoval přehnaná očekávání třeba vzhledem k ochraně duševního vlastnictví nebo obraně proti nelegální činnosti v digitálním prostoru. Tato iniciativa zaměstná bruselské i národní lobisty na další dva tři roky.

Martin Kožíšek: Safer Internet Centrum v roce 2020

Sdružení CZ.NIC je součástí velkého evropského projektu Safer Internet, který je podporován a spolufinancován Evropskou komisí. Měl by koordinovat aktivity bezpečnosti dětí v České republice. V každé evropské zemi existuje Safer Internet Centrum a za ty roky vytvořili řadu zajímavých materiálů. CZ.NIC získal projekt v roce 2019 a jeho cílem je přiblížit se fungování centra, které už je zavedené. Vzorem pro nás bylo třeba Rakousko nebo některé severské země.

Aby mohlo centrum v České republice fungovat, musí splňovat řadu povinností. Musí provozovat nepřetržitou linku pomoci, zároveň provozovat hotline, vyrábět a distribuovat osvětové materiály pro děti, navštěvovat školy a uspořádat na nich přednášky, koordinovat únorový Den bezpečnějšího internetu, organizovat odborné panely a podporovat organizace věnující se prevenci a vzdělávání. Takto to funguje všude v Evropě, ale evropská centra jsou obvykle zřizována ministerstvy či vládou. My jsme jednou z mála výjimek, kde tato agenda nespadá pod stát.

Letos se podařilo navázat spolupráci s Ministerstvem školství a Ministerstvem vnitra. Zahájili jsme také jednání s úřadem vlády a snažíme se témata přenášet nejen na národní úroveň, ale i na evropskou. V České republice vzniká řada skvělých materiálů a cílem je je šířit do školy nejen v Česku, ale v celé Evropě. Ne vždy je možné národní metodiku jednoduše přeložit pro uživatele z jiného státu.

Jedním z projektů je také moderní vzdělávací aplikace Tablexia, která je určena nejenom pro děti s dyslexií na druhém stupni základních škol. Je to zábavné nejen pro děti, ale i pro dospělé. Letos jsme vydali novou verzi, ve které najdete tři nové hry.

Nejmenším dětem je určena takzvaná On-line ZOO, která byla převzata z Rakouska. Jezdíme do mateřských škol, základních škol a do knihoven, kde dětem vypráví příběhy stylizované do příběhů zvířátek. Ta řeší problémy ve svém životě nebo na internetu. Moc materiálů, které se věnují malým dětem, není. Chceme se tomu určitě věnovat hlouběji.

ict ve školství 24

Asi největší věcí vytvořenou v rámci projektu je seriál Marty is dead. Ten vznikl v koprodukci CZ.NIC, Bionaut a Mall.tv. Jde o osmidílný seriál, který se věnuje patnáctiletému Martymu, který zemře a jeho rodina pátrá po tom, proč se zabil. Se seriálem se původně mělo jezdit do škol a po projekci měla navazovat diskuse s odborníky. Bohužel nám to přerušila pandemie koronaviru. Seriál byl pro letošní rok nominován na letošní cenu EMMY. Rozhodne se do konce roku, tak nám držte palce. Seriál už ale získal několik dalších cen jako cenu poroty na Austin festivalu, cenu MWF či Zlatého ledňáčka.

Safer Internet Centrum je také koordinátorem Dne bezpečnějšího internetu, který proběhl 11. února. Letos se zapojilo několik desítek organizací, podpořil nás ministr školství, ministr vnitra, místopředsedkyně evropského parlamentu a další a další. Věřím, že příští rok se zapojí zase o něco více organizací. Tento den slaví přes sto zemí po celém světě.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.