Názory k článku
Falešná doména správce hesel Keepass zneužívá záměny znaků v IDN

Stránka linux-days.cz se tváří jako oficiální web konference LinuxDays, ale přitom jím není a obsahuje proti oficiální stránce pozměněná data. To je v podstatě učebnicový příklad podvodné stránky.

Pomlčková doména linux-days.cz není správná a nepatří organizátorům LinuxDays. Běží tam upravený web, nad kterým nemáme kontrolu.

V tomto případě to tedy dohodnutá hra, kterou provozoval CZ.NIC, ale ukazuje to, že existuje řada dalších způsobů, jak dostat uživatele na falešnou doménu. Když si někdo zaregistruje keepasswd[.]eu, tak nepotřebuje IDN a stejně tam může dostat nějaké uživatele. Pokud k tomu zneužije Google, tím hůř, protože těch uživatelů může být hodně.

No hlavne ma porad blbe uvedeny kontakt, takze podle pravidel registrace (cl. 16.1.2) by se mela davno zrusit... :-) Ano, zpusobu je zpousta a CZNIC sam sobe dokazal, ze registratori na nejake kontroly vesmes kaslou.

% Timestamp: Thu Oct 19 11:15:29 2023

domain:       linux-days.cz
registrant:   PETER-KRCMAR
admin-c:      PETER-KRCMAR
nsset:        WEDOS
keyset:       WEDOS
registrar:    REG-WEDOS
registered:   20.04.2023 11:17:12
expire:       20.04.2024

contact:      PETER-KRCMAR
name:         Peter Krčmár
address:      Technická 2710/6 (NTK)
address:      Praha 6 - Dejvice
address:      16080
address:      CZ
registrar:    REG-WEDOS
created:      20.04.2023 11:00:48
changed:      04.10.2023 15:01:50

Tak kontroly se delaj az nejaky urednik pratelsky pozada nebo az to nekomu v CZNIC vyhovuje. Snad by jsi nechtel aby to nekdo vazne overoval…

Z obchodnich podminek vyplyva, ze registrator za uplnost a presnost udaju odpovida. Ale ano, jak uz je tak v Cesku zvykem - z pravidel a smluv si radi delame toaletni papir...
Iniciovat kontrolu samozrejme muze kdokoliv - staci napsat na podporu NICu.

Koukněte se na pondělní černé ovce o zámečnících....
Jsou dvě domény jen je rozdíl v - mezi názvy, originál nemá, neoriginál má ji tam.
Jedny zámečníci otevřou za 1500 a druhý za 40 000 s tím, že rozřežou dvěře na hadry.
Policie prošetřuje, ale to je tak vše.
Opravdu si myslíte, že CZ.NIC udělá víc než to NIC z názvu?

Ne, netvrdil bych, ze CZNIC nedela v tomto smeru nic. Zde vedeme diskuzi o spravnosti udaji v registru. Reportaz, kterou zminujete resi nejake sluzby. V registru muzete mit kontakty uvedene nade vsi pochybnost formalne spravne - ale to samo o sobe rozhodne neznamena, ze vam neprijde zamecnik, co zlikviduje ten zamek jak bylo v reportazi.... ze? ;-) Ale to, ze muzou selhat vyssi vrstvy (aka ty poskytovane sluzby) neimplikuje, ze bychom meli rezignovat na spravnost udaju v registru.... a to se vracime zase k tem registratorum, co za to zodpovidaji - ale kaslou na to....

Zjevně takové seznamy existují.
Nedávno jsem registroval doménu a web, a jeden ze spolupracovníků se tam doteď nedostal, protože mu to blokuje nějaký Forticlient jako nedůvěryhodnou doménu, důvod že doména neexistuje dost dlouho.
Což je v zásadě asi docela efektivní obrana proti takovýmhle rychlokvaškám, které zase rychle skončí.

Jenže to je seznam přesně opačný – ne seznam správných domén, ale seznam špatných domén. (A například ClouDNS.net je na tom seznamu jako poskytovatel dynamického DNS. Vyřadit nejde, tak možná zkusím nechat zařadit na seznam amazon.com, microsoft.com a google.com, kteří nabízejí úplně tu samou službu.)

Z čeho tak soudíte?
Podle mě jde naopak o seznam dlouhodobě zavedených domén. Respektive to udělá lookup na whois, zjistí datum registrace, a podle toho se zařídí. S nějakou keší.

Dlouhodobě zavedené domény je ovšem něco úplně jiného, než oficiální stránky projektů. Je tam určitý překryv, ale ten je vlastně nezajímavý. Projekty vznikají, přejmenovávají se a stěhují. A staré domény mohou expirovat a koupí je někdo s nekalými úmysly. A nemusí to být zrovna původní doména projektu – jen nějaká úplně nesouvisející doména, která se bude hodit pro útok.

Navíc Fortinet pro ten vámi zmiňovaný seznam nepotřebuje seznam dlouhodobě zavedených domén, naopak mu stačí jen sledovat nově zaregistrované domény.

Já ho mám v distribuci.

apt-cache show keepass2
KeePass is a easy-to-use password manager for Windows, Linux, Mac OS X [blabla]
Homepage: http://keepass.info/

Ale ono i obsah wiki jde podvrhnout :-) Stejne jako se do GIT repozitaru dostane tu a tam neco nekaleho, a nemusi jit jen o zamerne zmrsene preklady.

Ale ještě důležitější je, aby se lidé odvykli na reklamy.

Ano, pokud to dělá vědomě (či účelově). Když se nechám najmout jako řidič k vykradení banky, měl bych být souzen jako spolupachatel. Stejně jako je souzen každý, kdo třeba převáží drogy, i když je přímo nedealuje...

Je rozdíl mezi ostentativní ignorací zjevně podvodných reklam s rapidním obohacováním se na takové z velké části nelegální činnosti bez snahy a ochoty detekovat ty podvodné případy a tím si snížit zisk a mezi tím, že někdo Google obelhá a on to nebyl schopen s přiměřenou mírou vlastní iniciativy zjistit.

Současná situace je zjevně ta první, kdy Google nechce detekovat podvody, čeká na oznámení od uživatelů a i při vyšší míře nahlášení si dává dost na čas, než reklamu přestane zobrazovat. Také přijímá identické podvodné reklamy opakovaně. Kampaň "ČEZ nabízí investice" s fotkou Petra Pavla se na Google objevuje opakovaně od "různých" inzerentů s téměř identickou grafikou. Také přestože jsem reklamu nahlásil, stále mi ji Google zobrazuje, aby nepřišel o příjmy.

No, to není tak černobílé. Opačný extrém by byla reklama na prodej heroinu a nebo nájemmné násilníky. Takovou reklamu otisknout ani nemůžete. Za to provozovatel zodpovědný je. Ostatně proto se podobné inzertní portály provozují na dark webu.

Ve skutečnosti pak vše leží tak nějak mezi. Google těch reklam zpracovává obrovské množství. Proto se k tomu postavil tak nějak bokem a moc nekontroluje. Zjevné extrémy odchytí sám, méně viditelné věci po nahlášení, ale zbytek nám tam zůstane.

Ano, i taxikář může být souzen, že napomáhá zločinu. Nebo snad tito jsou nad zákony?

trh funguje, len nie tak ako si predstavujete, ze by mal: bojuje sa o cas ludi a nie o obsah ich penazeniek.

Ked sa nad tym zamyslite, mate nieco cennejsie ako svoj cas? :)

Jenže to pak právě nesplňuje všechny předpoklady pro fungování trhu. Např. ideální trh vypadá tak, že mají všichni účastníci trhu všechny informace. Reálné trhy tak samozřejmě nefungují a proto státy poměrně výrazně zasahují do fungování trhů tak, aby kompenzovaly informační asymetrii, kdy typicky spotřebitel má podstatně méně informací, než profesionální producent nebo poskytovatel služby. A do téhle situace, když řešíme, že má spotřebitel méně informací, vpadne internetová reklama založená na tom, že spotřebitel nemá vůbec žádné informace.

ehm... vyjadrili ste nazor, ze "free platene reklamou" je zle, pretoze neprebieha sutaz v plateni. To je nieco uplne ine, ako to cim teraz argumentujete :)

K teme c.2: to co pisete sa mi javi ako pomerne nesuvisiaci zmatok :).
a) ano akademicky trh, presne tak isto ako kruznica neexistuju. A?
b) ano staty zasahuju a tym padom kazia akademicke poucky. A?
c) myslienka, ze internetova reklama je zalozena na tom, ze spotrebitel nema ziadne informacie je aspon pre mna novinka. Co Vas k tomu vedie?
d) realne je trend poslednych rokov naopak spotrebitela zavalit privelkou kopou informacii. Takze to co popisujete je alternativna realita.

Zda sa mi, ze si myslite, ze "platenie volnym casom" nie je trhova zalezitost na rozdiel od "platenie peniazmi, ktore som ziskal ... tadaa ... predajom volneho casu v minulosti". Len na to pouzivate podivnu argumentaciu.

Není to něco jiné. Ta soutěž v placení tam neprobíhá, protože lidé nevnímají svůj čas jako něco, čeho by se vzdávali.

Když spotřebitel brouzdá po webu, nepoužívá žádné informace k tomu, aby rozhodoval, kde se mu zobrazí reklama nebo jaká reklama se mu zobrazí.

Ten problém je ještě komplikovanější. Pokud máte na výběr mezi "zadarmo s reklamou" a "za stokoruny měsíčně bez reklam", většina lidí zvolí to první. Jednak proto, že budou hledat jako několik zdejších diskutérů způsoby, jak obcházet zobrazení reklamy a tudíž "nezaplatit", protože to tolik nevypadá jako krádež nebo nelegální užití díla, když ta "cena" není výslovně uvedená, ale je takto formou "protislužby mimochodem". Druhak platí se pravidelně měsíčně a to je horší než jednorázové rozhodnutí se, že tam reklamy zůstanou.

A pak jsou tu z mého pohledu příliš vysoké ceny/zisky IT firem, které platby neúměrně prodražují, na což překvapivě inzerenti nejsou tak citliví, jako předplatitelé. Např. cena předplatného YT je pro mě neadekvátně vysoká, pokud ji srovnám třeba s koncesionářským poplatkem ČT a tím, co za tento poplatek dostávám. A to i s ohledem na to, že zaplacením předplatného YT se nezbavím product placementu sponzorů přímo ve videích tvůrců.

A v neposlední řadě tu pak jsou platby formou měsíčního předplatného místo možnosti platit za konkrétní využitou službu. Dnes je prakticky nemožné si koupit jen konkrétní film či seriál o který mám zájem. Místo toho musím platit předplatné za celý distribuční kanál, ze kterého mě ale drtivá většina obsahu vůbec nezajímá. A pokud sleduji dva seriály, musím platit dvě distribuční platformy, protože neexistuje společný distributor.

Osobně zatím platím jen předplatné Hospodářských novin, protože mi přijdou jejich zprávy zajímavé, poměrně vyvážené a každý den tam najdu několik pro mě zajímavých článků. I když mi ze začátku vadilo, že si nemůžu zaplatit jen konkrétní článek...

Já si všiml toho, že některé weby a služby, kde se předplatné bez reklam osvědčilo, začaly experimentovat s přidáváním reklam i pro platící zákazníky. Business model perfektní, peníze jak od čtenářů/uživatelů, tak z reklamy. Zadarmo pak verze, kde máte více reklamy než obsahu. Případně rovnou paywall, který ovšem vede na placenou verzi s reklamou.

Ano, regulace zrovna v nasem state funguje tak skvele, ze vlakem nedojedete ani z centra Prahy na letiste a vubec po republice cestujeme rychlostmi, ktere se prilis nelisi od toho, jak to postavili nasi pradedove - aneb jasame, ze to vubec nekde vytahneme na aspon 160 km/h, ale furt je dost mist i na hlavnich trati, kde je clovek rad za stovku... :-) Vlastne si tu regulaci udrzujeme takovy skvely skanzen :D

A kdyz uz jsme u toho internetu, diky zrovna te nasi skvele a dokonale regulaci (a z toho vyplyvajici byrokracii) je tu problem postavit treba i datacentrum, resp. je to o souboji s urady na nekolik let, ktery vzdavaji i mezinarodni korporace. Stejne tak je ta regulace jednou z pricin toho, proc se optiky do baraku k lidem stavi vyrazne pomaleji nez v jinych statech. Takze i po Praze je porad spousta mist, kde mate 60+let stare draty a jinak nic. No ale hlavne ze to mame zregulovany :D

I kdyby se vám podařilo prokázat, že existují špatné regulace, nevyvrátíte tím tvrzení, že existují i prospěšné regulace.

Záměrně jsem napsal „vhodné regulace“, aby mne někdo nechytal za slovo. Ale trollům samozřejmě nevadí překrucovat komentáře, na které reagují. Howgh.

A kteraze regulace specificky v prostredi ceskeho internetu byla podle vas prospesna? :-) Nestydte se, budte konkretni, jmenujte je.

je tu problem postavit treba i datacentrum, resp. je to o souboji s urady na nekolik let, ktery vzdavaji i mezinarodni korporace.

Vybrali si blbé místo. Asi bychom nechtěli, aby se tady stavělo všude všechno, že.

Stejne tak je ta regulace jednou z pricin toho, proc se optiky do baraku k lidem stavi vyrazne pomaleji nez v jinych statech.

Nevím, o jaké regulaci tu mluvíte. Jsem předseda SVJ (kumulativně už 15 let) a tohle je hlavně problém těch firem. Už jsem zarazil několik pokusů se k nám do domů probourat s yet another dalším poskytovatelem čehosi. Přímo v plánech existuje jedna trasa pro telekomunikace (mimo jiné), vedoucí z mnoha domů do jedné budovy. Takže v této budově si stačí vybudovat optiku a pospojovat si celé sídliště. Ty firmy, až na výjimky, to nevědí. Tak nazdar. Nemáte projekt, chcete náhodně vrtat, nezajímáte mě.

Ne, problem je ta regulace... a mluvi se o tom vsude mozne. A nebavime se o nejakem roztahani kabelu po baraku, ale o tom ze nejdriv se je potreba prokopat k tomu vasemu baraku, pane predsedo :-) I na to sidliste je potreba se nejak dostat.

Tak si v klidu a pomalu přečtěte můj komentář ještě jednou. Celé sídliště je dostupné z jednoho konkrétního domu. Pod zemí, existující infrastrukturou. Ostatně do domů už optika spoustu let vede. Dokonce dvě.

Ten článek je špatný. Stejně jako s tím datacentrem. Vybrali si pozemek, kde to uzemní plán znemožňuje a očekávají, že si z nich sebou na zadek a dají jim razítko. Stejně jako taky si autor článku stěžuje, že nejde kopat vedle silnice apod. Vše má svůj důvod a autor článku by jej měl znát a čtenáři vysvětlit.

Z pohledu uzemniho planu jde typove o stejny typ uzemi, na kterem stoji treba TTC DC1, THP, CoolHousing ci Casablanca na Zelivskeho, datove centrum Statni tiskarny cenin Na Vapence... takze, co tam mate dal? :-) Na stejnem miste muzete postavit treba i benzinku, ono specialni "typ" pro datova centra uzemni plan popravde ani nezna. Dohledat to misto neni tezke, je to hned za autobusovymi garazemi DPP na Klicove a vedle paterni ctyrproudove silnice (prumyslovy polookruh)... to asi nebude zrovna idealni misto k bydleni, ze? :-)

Nemyslim si, ze mimo internetu je to marginalne. Vyhoda internetu je, ze sa da presnejsie cielit/zameriavat sa na veci a ludi, na ktore mimo internet cielit prislis dobre nejde. Stale ale toho dost ostava aj mimo internet.
Podla mna dnesna reklama likviduje aj tu trh. Zaplatis si kamapan a ides. Bez ohladu na kvalitu alebo cokolvek. Bez tej kampane mas problem aj pri sebelepsom produkte, lebo ludia sa nemaju ako o nom dozvediet vdaka zapalveniu trhu kadecim.
Je to primarne globalziaciou. Viacej vyrobcov, druhov rovnakeho tovaru a uz sa to vezie.
Pozriem napriklad TV a tam vidim dookola masirovanie len uzkou skupinou reklam/firiem. V podstate len toho, kto si tu reklamu moze dovolit. Je tam obmedzeny priestor a da sa tak vytlacit naprikald konkruent/mani­pulovat trh. To je slusna bariera na vstup na trh.
Takze problem nieje len internet. Principy trhu sa dnes likviduju na vsetkych frontoch a ako nikdy pred tym.

Mimo internet dostanete zadarmo výměnou za sledování reklamy akorát FTA televize a rozhlas, výjimečně nějaké noviny. A provozovat FTA televizi pořád není tak snadné, i když už se to hodně zlevnilo.

To, že na nějaký problém neexistuje jednoduché řešení, neznamená, že to není problém.

Ten známý projekt se jmenuje Keepass. Žádní známí správci hesel se jmény Keepas nebo Keeppass neexistují.

Já jsem nepsal o žádné registraci.