IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.
Byla vydána nová verze 6.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.14.
Byla vydána nová verze 30.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí JavaScriptu, HTML a CSS Electron (Wikipedie, GitHub). Chromium bylo aktualizováno na verzi 124.0.6367.49, V8 na verzi 12.4 a Node.js na verzi 20.11.1. Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.
Byla vydána nová verze 9.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn.
Evropský parlament dnes přijal směrnici týkající se tzv. práva spotřebitele na opravu. Poslanci ji podpořili 584 hlasy (3 bylo proti a 14 se zdrželo hlasování). Směrnice ujasňuje povinnosti výrobců opravovat zboží a motivovat spotřebitele k tomu, aby si výrobky nechávali opravit a prodloužili tak jejich životnost.
Bylo oznámeno (cs) vydání Fedora Linuxu 40. Přehled novinek ve Fedora Workstation 40 a Fedora KDE 40 na stránkách Fedora Magazinu. Současně byl oznámen notebook Slimbook Fedora 2.
ČTK (Česká tisková kancelář) upozorňuje (X), že na jejím zpravodajském webu České noviny byly dnes dopoledne neznámým útočníkem umístěny dva smyšlené texty, které nepocházejí z její produkce. Jde o text s titulkem „BIS zabránila pokusu o atentát na nově zvoleného slovenského prezidenta Petra Pelligriniho“ a o údajné mimořádné prohlášení ministra Lipavského k témuž. Tyto dezinformace byly útočníky zveřejněny i s příslušnými notifikacemi v mobilní aplikaci Českých novin. ČTK ve svém zpravodajském servisu žádnou informaci v tomto znění nevydala.
Napřed ale pár formalit, bez kterých by prohlašení „DNSSEC přídává zabezpečení dat do DNS“ nebylo moc platné, tedy:
DNS je jedním z nejstarších protokolů internetu a vypadá to, že s námi ještě nějakou dobu bude. Co dělá? Když nějaké aplikaci řeknete jméno počítače, dopadne to nejčastěji tak, že použije DNS, aby zjistila jeho IP adresu (DNS je jen jedna z možností). DNS obsahuje tři druhy entit – stub resolvery (nechávám v původním znění, ač pamětníci si možná vzpomenou na krásný překlad „stub“ slovem „pahýl“, který roky používala česká Wikipedie pro příliš krátké články), rekurzivní nameservery (říká se jim i jen resolvery) a autoritativní nameservery.
Stub resolver je obvykle implementovaný v systémové knihovně C a příliš toho neumí – člověk mu jen řekne IP adresu rekurzivního serveru, který má používat, a on mu bude přeposílat všechny své požadavky. Rekurzivní nameserver takový požadavek vezme a zeptá se vhodného autoritativního serveru. Autoritativní server potom obsahuje záznamy o tom, které jméno odpovídá které IP adrese. Jak resolver pozná, který autoritativní server je vhodný? DNS je strukturováno hierarchicky. Když bude resolver chtít zjistit IP adresu odpovídající www.abclinuxu.cz, zeptá se kořenového serveru. Ten mu řekne, ať se zeptá serveru pro .cz, jeho adresu a ať neotravuje. Server, starající se o .cz, bude vědět, kdo se stará o abclinuxu.cz, a tak dále.
Adresy kořenových serverů resolver prostě ví (obvykle je autor nebo distributor napíše do konfiguračního souboru), odpovědi od autoritativních serverů si většina resolverů pamatuje, aby se nemusela ptát znovu na populární domény (třeba .com). DNS používá pro přenos protokol UDP. Principiálně by TCP nevadilo (a někdy se používá), ale většinou se nevyplatí ztrácet čas sestavovováním TCP spojení.
DNS provází bezpečností problémy snad od počátku internetového světa. Tradiční server BIND by mohl v počtu bezpečnostních chyb soutěžit se sendmailem a to, že obsahuje jak autoritativní, tak rekurzivní nameserver – a pokud chci používat jen jedno, tak musím jednu z funkcí vypnout – také nepomáhá. Horší jsou ale problémy se samotným protokolem – UDP paket je snadné podvrhnout, a protože si resolver odpovědi pamatuje, může se snadno stát, že se místo skutečného cíle budou uživatelé připojovat kdovíkam. Autoritativní server posílá s daty i informaci o tom, jak dlouho si má resolver data pamatovat, takže takový podvrh může vydržet i docela dlouho (teoreticky 68 let).
Různé implementace resolverů obsahovaly různé chyby, například nekontrolování autority serveru (kdy mohl server v odpovědí týkající se www.abclinuxu.cz prohlásit, že se stará o .cz, a resolver mu věřil) nebo obzvláště vypečený problém, kdy resolver akceptoval odpověď, na kterou se vůbec neptal, a spokojeně ji distribuoval dál. Takové chyby jsou bezpochyby hloupé a dají se odstranit, ale takové chyby útok neumožňují, jen ho usnadňují, hlavní potíž je pořád v DNS. A proto vznikl DNSSEC.
DNSSEC přidává zabezpečení dat do DNS. Konkrétně kryptografii s veřejným klíčem, přesněji jen digitální podpisy – data v DNS jsou obvykle veřejná (ač s DNSSEC mohou být veřejnější, než by bylo zdrávo, ale o tom později), takže šifrovat ho nemá valný smysl. DNSSEC je zpětně kompatibilní s DNS – přidává nové druhy DNS záznamů pro ukládání klíčů a ke každé odpovědi, kterou pošle, přiloží digitální podpis jako další odpověd. Tu ale bude starý resolver ignorovat, protože o odpověď tohoto typu nestojí. Podpisy jsou stejně hierarchické jako DNS – root servery mají svoje klíče (které by si měl každý resolver pamatovat spolu s jejich adresami), těmi jsou podepsané jednotlivé domény jako .cz a tak dále. Pokud se útočník nezmocní některého z klíčů, nehrozí tedy podvržení dat.
DNSSEC tedy řeší hlavní problém. Je tu ale spousta háčků, převážně implementačních.
První nepříjemnost je se stub resolvery. Resolver toho v DNSSEC musí dělat dost navíc oproti DNS – pro začátek se starat o to, jestli má aktuální klíče, jestli nejsou prohlášeny za neplatné, a tak dále – takže není moc dobrý nápad implementovat ho uprostřed knihovny C. Pro stub resolver to ale znamená, že musí věřit plnohodnotnému resolveru. Pokud jsou na stejném počítači, není to problém, ale pokud po něm netoužím, musím důvěřovat resolveru, který používám, a DNSSEC mi za taková data nijak neručí; jen mi resolver nastaví v odpovědi příznak, jestli bylo ověření autenticity úspěšné.
Řešením je tedy provozovat plnohodnotný resolver na každém počítači? Ano, ale to s sebou přináší svou sbírku problémů. DNSSEC resolver potřebuje rozumně přesný čas, takže k němu můžeme přibalit i NTP server a z toho nebudou zařízení jako mobilní telefony příliš nadšená. Větším problémem je ale distribuce klíčů, protože takové klíče je potřeba distribuovat (doslova) celému internetu, a pokud by někdo kompromitoval klíče kořenových serverů, můžeme dát celý DNSSEC na pár let k ledu. Ostatně, ohledně klíčů se strhla zajímavá politická debata, protože se USA nechtějí vzdát toho, že budou jediné, kdo k nim bude mít přístup (a tedy ovládat slušnou část internetu, hned jak se DNSSEC rozšíří), ale poslední dobou to vypadá, že jsou přístupnější diskusi.
Pokud jde o veřejnější informace, než je zdrávo, jak jsem sliboval nahoře, věc se má tak: V původním návrhu DNSSEC byl problém s očíslováním záznamů, které umožňovalo projít všechny záznamy v doméně. Oblíbené přirovnání říká, že rozdíl proti normálním dotazům je asi stejný, jako rozdíl mezi tím, když se dovolám na firemní ústřednu a nechám se přepojit, a když někde visí všem outsiderům dostupný telefonní seznam se všemi zaměstnanci. Pravdou je, že tohle v normálním DNS nejde, a nasazení DNSSEC tedy znamená, že o sobě doména uveřejní víc informací než předtím. Split-horizon, tedy nastavení, při kterém autoritativní server odpovídá různě podle toho, kdo se ptá, navíc v DNSSEC, právě kvůli interakci s digitálními podpisy, moc nefunguje.
Schválně píši „v původním návrhu DNSSEC“, protože bylo vyvinuto rozšíření, které tento problém řeší, pod názvem NSEC3. To má ale jiný problém – podporuje ho zatím jen málo softwaru. A je tu ještě jeden větší problém: Kořenové servery zatím nejsou podepsány a vůbec DNSSEC nepodporují. Doména .cz DNSSEC podporuje (podobně jako domény Brazílie, Maďarska, Švédska a další), ale pokud chcete vlastní DNSSEC resolver, musíte si klíče a nastavení důvěry nakonfigurovat sami a aktualizace klíčů za vás v tuhle chvíli také nikdo neudělá. Další správci domén čekají na rozšířenější implementace NSEC3. VeriSign slíbil podepsané .com do dvou let a do konce roku 2009 by měly být konečně podepsány kořenové servery – a tím může plnohodnotné používání DNSSEC začít.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
(...), protože se USA nechtějí vzdát toho, že budou jediné, kdo k nim bude mít přístupNo jo, to by nebyli voni, ti kluci americký vykutálený
rejpDík, opraveno.
Docela mě článek zaujal... chci se zeptat co se bude dít se záznamy, které nebudou podepsané? .
Odhaduju, že se to bude řešit nějak komplexně... resolver pošle info a tím je z obliga... software bude buď otravovat uživatele, že se mu něco nezdá, nebo je otravovat nebude a bude mít větší podíl na trhu (uživatele nechtějí aby je software obtěžoval, natož je stavěl svévolně před rozhodovací problémy) .Teprve až všichni přejdou tak začně aplikovat zabezpečení. Tady bude asi kámen úrazu, kdy výrobce SW určí, že už přešli všichni, jsou dvě varianty.. buď "přejdou všichni uživatele k němu", nebo "všichni ostatní výrobci už uživatele otravují a vypadá to že můj podíl na trhu už dál neporoste". (tím co bylo napsáno se nesnažím ukázat na žádného konkrétního výrobce softwaru)... je ten odhad správný?
Je můj odhad správný?
Aplikace to netusi a nemusi tusit. Resolver overi podpis a to co je dobre podepsane pusti. To co vubec neni podepsane pusti taky. Pouze pokud je podpis spatne - t.j. nekdo se snazi neco nekaleho udelat na podepsane domene, tak resolver odpovi ze doslo k chybe. Aplikace se tak nedozvi zadnou odpoved a nevleze napr. na podvodny web.
Vladki to napsal zcela spravne. Pokud je nektery zaznam nepodepsany, tak i z nadrazene zony vite, ze je nepodepsany a naopak. Takze pokud utocnik podvrhne nepodepsany zaznam a Vy vite, ze mel byt podepsany, tak jej odmitnete.
Analogie s HTTPS zde proste nefunguje, pokud nesedi podpis, je zaznam odmitnut. U DNS nemate moznost nejak klikat a nastavovat vyjimky.
Původně byl můj příspěvek delší, ale nakonec jsem jej redukoval... myslím že o http a https to tak úplně není, služby založené na vizuální reprezentaci jsou no s trochou nadsázky "ty méně náročné na otravování"... ale s příchodem ipv6 bude hooodně důležité DNS. To se myslím všichni shodneme. Že to zrovna prohlížeč může vyřešit při surfování je jedna věc...
pozor Internet není a nebude jenom o http.. telefonie, jabber, mail, přenos souborů, dynamicky tvořené bezpečné tunely, prostě přenos všeho možného... to všechno může být závislé na dns ... a přesvědčovat telefon že opravdu s tím člověkem na druhém konci chci mluvit, že opravdu jsem si jistý že to není podvodník se ani mě moc chtít nebude ..a to vůbec neuvažuju eventualitu že by mi telefon odmítl spojení celkově.
No nechám se překvapit jak to nakonec bude... Naštěstí mě uklidnila zpráva, že certifikáty ke kořenovým serverům chtějí držet Američani... kolébka spamu a útoků :D Aby nevznikla horká diskuse, opírám se o tyto články:
http://www.usatoday.com/tech/news/computersecurity/infotheft/2007-03-19-attacks-us_N.htm
http://news.cnet.com/U.S.-cooks-up-most-spam/2100-1024_3-5322803.html
Analogie s HTTPS zde proste nefunguje, pokud nesedi podpis, je zaznam odmitnut.Pro uživatele může být užitečná i informace, zda záznam nebyl nalezen nebo zda byl nalezen záznam bez podpisu / se špatným podpisem. A analogie s HTTP vs. HTTPS zde funguje – pořád je důležité vědět, zda záznam byl podepsán nebo nebyl. To, že je v TLD
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
.cz možnost podepsat záznamy nijak nezvyšuje mojí důvěru v nepodepsaný záznam example.cz. Je to stejné, jako kdyby vás prohlížeč nepustil na stránku s neplatným HTTPS certifikátem, ale neměl byste žádnou kontrolu nad tím, zda se připojujete přes HTTP nebo HTTPS.
U DNS nemate moznost nejak klikat a nastavovat vyjimky.Zajímavé, že se všude popisuje, jak si nastavit takovou výjimku pro TLD
.cz a říci resolveru, že tato doména je podepsaná tím a tím certifikátem, ačkoli kořenová doména podepsaná není. Alespoň tohle je to, co já si pod výjimkou v DNSSEC představuji – řeknu resolveru, ať nehledí nalevo napravo a jako certifikát pro danou doménu bere tenhle certifikát.
Bohuzel, vychazite ze spatneho predpokladu, ze DNS pouzivaji pouze aplikace urcene pro zive uzivatele. Ale jak byste chtel zpracovavat stav, kdy resolver dostane spatne podepsanou odpoved na dotaz, ktery si vyzadal treba automaticky zalohovaci system? Obdobne, co by melo delat MTA? Proste spatne podepsany zaznam se zahazuje, protoze je to pravdepodobne utok.
Vyjimky nejdou ve smyslu weboveho prohlizece a HTTPS protokolu. Neni mozne nastavit, ze A zaznam bad.example.cz mam akceptovat i se spatnym podpisem. A rozhodne to nejde v aplikaci.
Kazdopadne pokud jste s DNSSEC nespokojeny, nic Vam nebrani dat do IETF navrh. Jinak se obavam, ze se nic nestane, protoze lide, kteri DNS provozuji, jsou s tim soucasnym stavem vice ci mene spokojeni.
Bohuzel, vychazite ze spatneho predpokladu, ze DNS pouzivaji pouze aplikace urcene pro zive uzivatele.Nevycházím, já nic takového nepředpokládám.
Ale jak byste chtel zpracovavat stav, kdy resolver dostane spatne podepsanou odpoved na dotaz, ktery si vyzadal treba automaticky zalohovaci system? Obdobne, co by melo delat MTA? Proste spatne podepsany zaznam se zahazuje, protoze je to pravdepodobne utok.Automatický zálohovací systém i MTA by se zachovaly přesně tak, jak by je nakonfiguroval jejich správce. Špatně podepsaný záznam je pravděpodobně útok, ale já tady píšu hlavně o (správně, záměrně) nepodepsaných záznamech. Co uděláte, když vás e-shop přesměruje na platební bránu, bude chtít zadat údaje o platební kartě a vy uvidíte, že jde o protokol HTTP? poklepete si na čelo, a údaje zadávat nebudete, protože víte, že to není bezpečné. Ale nepodepsané DNS odpovědi klidně věřit budete, protože to přece není špatně podepsaný záznam (bavíme se o nepodepsané odpovědi, kdy správce nepoužívá DNSSEC a nepodepsaná odpověď je tedy správně). U protokolu HTTPS je to zrovna zbytečné, protože tam se ověřuje i identita, a DNSSEC je tedy zbytečné. Ale internet není jen web, jsou i jiné protokoly, které mohou zajišťovat ochranu před únosem spojení, ale nemusí zajišťovat ověření identity druhé strany. V takovém případě by byl užitečný mechanizmus ověření identity skrze DNS – jenže k tomu potřebuju umět rozeznat stav, kdy je identita zaručena, od stavu, kdy nevím. DNSSEC bez úprav resolveru ale umí indikovat jenom dva stavy – nevím a nenalezeno/útok. Tedy záruka žádná.
Kazdopadne pokud jste s DNSSEC nespokojeny, nic Vam nebrani dat do IETF navrh.Změna není potřeba na úrovni protokolu DNS, ale na úrovni resolveru. „Stačí“ doplnit funkce
socket() a bind() o návratový příznak „DNS odpověď ověřena“. bez toho je DNSSEC vhodné k nasazení na servery, ale vůbec nic nepřináší klientům. Protože pro klienta bez úpravy resolveru nepřináší DNSSEC žádný rozdíl – pořád musí odpovědi DNS považovat za nedůvěryhodné.
> doplnit funkce socket() a bind() o návratový příznak
Funkce socket() a bind() s DNS vubec nepracuji. Bezne programy pouzivaji variantu gethostbyname().
Bohuzel uz nemam cas na delsi diskusi, kazdopadne - Zvlastni je, ze to neduveryhodne DNS ted pouzivate a na celo si neklepete. Srovnavat HTTPS a DNSSEC dost dobre nejde. Jedno podepisuje, druhe sifruje.
S modifikaci funkci resolveru Vam preji hodne stesti, kazdopadne to uz neni o DNSSEC.
Zvlastni je, ze to neduveryhodne DNS ted pouzivate a na celo si neklepete.A v tom je právě problém. K čemu je dobré DNSSEC, když pro mne jako pro uživatele budou DNS odpovědi stejně nedůvěryhodné,jako dosud? Jsou s tím jen náklady na zavedení, ale přínos pro klienta žádný.
Srovnavat HTTPS a DNSSEC dost dobre nejde. Jedno podepisuje, druhe sifruje.DNSSEC by mohlo sloužit k ověření identity, HTTPS se dnes používá také zejména k ověření identity.
> K čemu je dobré DNSSEC, když pro mne jako pro uživatele budou DNS odpovědi stejně nedůvěryhodné,jako dosud?
Jako ochranu pred DOS utokem - pokud resolveru prijdou dve odpovedi (falesna a korektni), nema resolver informace k tomu, aby urcil, ktera z nich je ta spravna. A tak musi si jednu vybrat a tu predat dal. Pokud vybere tu spatnou, tak na to sice treba WWW prohlizec pomoci HTTPS prijde, ale uz neni moznost pak ziskat pak tu spravnou. Takze se na cilovou adresu nedostane (a tedy to jde povazovat za DOS utok).
Je pravda, ze u koncoveho resolveru by to slo resit i jednoduseji, ale u rekurzivniho DNS serveru tezko.
9.7.2009 09:33
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Výborný nápad, založte ho do trezoru naspodok aby ho nikto nenašiel.
Ne snad primo pomoci DNSSEC, ale pomoci DNS rozhodne. Podobne to uz funguje u SSH - zaznam SSHFP. Na tomto standardu se uz pracuje a nezustavame jen u webu. Pojednavala o tom jedna z prednasek na IT09.
Predevsim domena Madarska podepsana neni.
Nechapu, jak se pomoci DNSSEC ovlada Internet. DNSSEC v soucasnem modelu delegace domen nejvyssi urovne nic nemeni. O vzniku a zaniku domen proste rozhoduje ICANN ve spolupraci s DoC a technicky pak zonu tvori Verisign. S prichodem DNSSECu se na tomto nic nemeni.
Kde jste cerpal informaci, ze dalsi spravci cekaji na rozsireni NSEC3? Vetsina spravcu ceka na podpis root zony. Mimochodem .GOV a .ORG jsou podepsane pomoci NSEC3.
Proc myslite, ze pri kompromitaci klicu korenove zony by byl DNSSEC na par let u ledu?
