Před 25 lety zaplavil celý svět virus ILOVEYOU. Virus se šířil e-mailem, jenž nesl přílohu s názvem I Love You. Příjemci, zvědavému, kdo se do něj zamiloval, pak program spuštěný otevřením přílohy načetl z adresáře e-mailové adresy a na ně pak „milostný vzkaz“ poslal dál. Škody vznikaly jak zahlcením e-mailových serverů, tak i druhou činností viru, kterou bylo přemazání souborů uložených v napadeném počítači.
Byla vydána nová major verze 5.0.0 svobodného multiplatformního nástroje BleachBit (GitHub, Wikipedie) určeného především k efektivnímu čištění disku od nepotřebných souborů.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za duben (YouTube).
Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy Kč) za nedostatky při ochraně osobních údajů. Ve svém oznámení to dnes uvedla irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.
Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source. Mellum podporuje programovací jazyky Java, Kotlin, Python, Go, PHP, C, C++, C#, JavaScript, TypeScript, CSS, HTML, Rust a Ruby.
Vývojáři Kali Linuxu upozorňují na nový klíč pro podepisování balíčků. K původnímu klíči ztratili přístup.
V březnu loňského roku přestal být Redis svobodný. Společnost Redis Labs jej přelicencovala z licence BSD na nesvobodné licence Redis Source Available License (RSALv2) a Server Side Public License (SSPLv1). Hned o pár dní později vznikly svobodné forky Redisu s názvy Valkey a Redict. Dnes bylo oznámeno, že Redis je opět svobodný. S nejnovější verzí 8 je k dispozici také pod licencí AGPLv3.
Oficiální ceny Raspberry Pi Compute Modulů 4 klesly o 5 dolarů (4 GB varianty), respektive o 10 dolarů (8 GB varianty).
Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.
Devadesátková hra Brány Skeldalu prošla portací a je dostupná na platformě Steam. Vyšel i parádní blog autora o portaci na moderní systémy a platformy včetně Linuxu.
Na otázky odpovídal Ondřej Surý, technický ředitel sdružení CZ.NIC.
1) Představte, prosím, ve stručnosti systém DNSSEC. V čem spočívá, jak funguje, jak se projeví, jak souvisí s ostatními principy správy domén a proč je zajímavý?
DNSSEC rozšiřuje systém DNS o funkce, které zvyšují bezpečnost služby doménových jmen. Principem DNS je překlad jmenných internetových adres, jako například www.abclinuxu.cz, na číselné adresy, kterým počítače rozumějí a s jejichž pomocí dokážou zajistit zobrazování webových stránek, odesílání e-mailů, telefonování po internetu a další běžné internetové služby. DNSSEC zvyšuje bezpečnost při používání DNS tím, že zabraňuje podvržení falešných, pozměněných či neúplných údajů o doménových jménech.
2) Jak bude vypadat implementace DNSSEC ze strany CZ.NIC? Jak budou soukromé klíče zabezpečeny?
Sdružení CZ.NIC postupuje při implementaci DNSSECu v souladu s doporučeními, které je možné najít například v RFC4641, DNSSEC HowTo. Podpisové klíče jsou rozdělené na soukromé a na veřejné. Tyto klíče budou uloženy v zařízení na bezpečnou správu klíčů, tzv. HSM (Hardware Security Module). Klíče schované v tomto modulu není možné vyexportovat a použít kdekoliv jinde. Toto HSM zařízení urychluje digitální podpis, což je v případě velkých zónových souborů (resp. velkého množství RR záznamů k podepsání) potřeba.
3) Můžete popsat softwarové a hardwarové zázemí, které bude DNSSEC zajišťovat?
Do této doby vzniklo několik projektů, které je možné použít pro správu DNSSEC klíčů. Z dostupných nástrojů mohu doporučit DNSSEC Tools nebo ZKT. Určený HSM je kryptoakcelerátor Sun SCA6000, který byl vybrán pro svůj vysoký výkon.
4) Dá se předpokládat, že o zabezpečení pomocí DNSSEC budou mít zájem především banky a podobné instituce. Nakolik bude proces podepisování přístupný i obyčejným uživatelům s "nedůležitými" doménami?
Z technického pohledu je proces podepisování jednoduchý. Veškeré operace lze dělat i softwarově pomocí nástrojů, které jsou součástí DNS serveru BIND nebo utilit z balíku ldns.
Zavedení DNSSECu je důležité především u těch, kteří připojení poskytují, tedy u ISP. Ti především by měli chránit informace svých zákazníků. Koncoví uživatelé domén, ať už jsou to firmy nebo jednotlivci, by po nich měli zabezpečení DNSSECem požadovat. U bank a například informačních serverů je bezpečnost dat velice důležitá. Správci sítí v těchto firmách si samozřejmě DNSSEC, jako ochranu svých DNS záznamů, mohou zavést také.
5) Existuje mnoho různých klientských implementací DNS. Víte už dopředu, jestli budou mít některé z nich s novým systémem potíže?
DNSSEC je z pohledu klienta, který tuto technologii nepodporuje, naprosto transparentní. Nicméně si dokážu představit různé druhy firewallů a NAT zařízení, které s DNS protokolem transparentně nepracují, které mohou mít problémy s předáváním záznamů obsahující DNSSEC rozšíření.
6) Jednáte o podpoře DNSSEC například s poskytovateli připojení? Budou nabízet modemy a/nebo routery s podporou DNSSEC?
V tuto chvíli je zapotřebí se zaměřit spíše na velké DNS servery, které provozují poskytovatelé připojení pro své klienty. Napadení jednotlivých klientů v síti poskytovatele připojení je mnohem více nákladné a zisk, který z toho plyne, je řádově menší než napadnutí DNS serverů, jež provozuje ISP. Komunikace bude proto především směřovat k nasazení technologie DNSSEC na těchto velkých DNS serverech, které obsluhují tisíce klientů a uživatelé postižení napadením takového serveru by se tak počítali ve vysokých řádech.
7) Odhadovali jste, jak moc zvýší používání DNSSEC přenášené objemy dat v doméně .cz?
Neočekáváme žádný dramatický nárůst objemu přenesených dat. Datové soubory se zvětší přibližně 8 až 10krát. Od verze 9.4 má BIND již automaticky zapnutou volbu na zpracování DNSSECu, tudíž u záznamů, které jsou podepsány, naroste datový tok. Studie ukazují nárůst mezi 3 až 12násobkem. Nicméně vzhledem k faktu, že je pro koncové držitele DNSSEC volitelný a podepsané domény budou přibývat postupně, nepředpokládáme žádné důležité změny v celkových datových tocích.
8) Počítáte do budoucna s podporou NSEC3 (doplňku k DNSSEC, který má zabránit získání seznamu všech počítačů v zóně)?
Ano, do budoucna počítáme i s použitím NSEC3. Standard NSEC3 byl ovšem schválen poměrně nedávno a podpora DNS serverů je minimální.
9) Byl byste pro nasazení DNSSECu na nejvyšší (root) úrovni, aby bylo možné distribuovat veřejné klíče pro všechna jména domén?
Sdružení CZ.NIC samozřejmě podporuje podepsání zóny nejvyšší úrovně. V tuto chvíli ale není jasné, kdo bude za správu DNSSECu na této úrovni odpovídat. V současné době je jen několik zemí, ve kterých DNSSEC funguje v plném provozu. Česká republika se tak 30. září zařadila mezi ty státy, jež tuto bezpečnostní technologii do své domény nejvyšší úrovně zavedly.
10) Je možné využít pro DNSSEC podporu Linuxu?
Na Linuxu lze v současné době pro provoz technologie DNSSEC použít tři řešení, které plně podporují DNSSEC: Bind9 (minimálně 9.5.0-P2), NSD a nový rekurzivní DNS server Unbound. Mé osobní doporučení je nespoléhat se na jedno řešení a pokud máte více DNS serverů, tak použijte jejich kombinaci (například bind9 a unbound pro provoz v lokální síti).
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
Neočekáváme žádný dramatický nárůst objemu přenesených dat. Datové soubory se zvětší přibližně 8 až 10krátTohle se mi zdá být spor, nemůže to někdo okomentovat?
2.10.2008 11:43
Ondrej | skóre: 20
| blog: darkblair_server
| Praha
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz