Nebojte, nebudeme vás na Cnews trápit bulvárními články o českých celebritách, ani se hrabat ve výkalech. To jen experiment správce české národní domény k tomuto titulku přímo sváděl. CZ.NIC totiž spustil kampaň na podporu zabezpečených domén DNSSEC a pro reklamní účely „zneužil“ čtyř českých hvězdiček: Leoše Mareše (moderátor), Diany Kobzanové (modelka, moderátorka), Sámera Issy (asi taky zpěvák) a Michala Dvořáka (producent, skladatel, zakladatel skupiny Lucie).
CZ.NIC totiž prostřednictvím agentury Loosers podvrhl identitu těchto lidí, stejně jako je možné nasadit podvrženou stránku na webu. Vše je součástí plánu. Kampaň Bezpečné domény se zřejmě povedla, protože falešných fotografií a videí se chytla média, aniž by poznala skutečnou pravdu. Loosers totiž zaplatili dvojníky celebrity, které ještě pro jistotu protáhli jejich obličeje vizážisty, aby se originálům co nejvíce podobaly. Pak je nastražily do trapné situace, fotili, točili videa a materiály pak odeslaly redakcím. Ty už k nim vymýšlely vlastní příběhy…
Správce národní domény neuvádí, kolik médií tyto záběry dostalo, ale seznam nachytaných je dost a to ani není kompletní, protože další redakce jen informace tupě přebíraly. Ač se těmto bulvárním deníkům vyhýbám, případ Leoše Mareše dorazil i ke mně. Skrz sociální sítě. Možná jste to viděli také, na videu si parta puberťáků chce vystřelit z Mareše tak, že mu na kliku auta rozmažou psí výkaly, ten si pak ruku utře na vedlejším voze, kluci se smějí. A to je vlastně všechno. Osobně bych dvojníka od skutečného Mareše nerozeznal, luxusní Audi R8 by k jeho stylu také sedělo. (Nevím, jestli jej má i ve skutečnosti.) Takže jsem také naletěl, i když mě to vůbec netrápí.
Videí bylo více, ale to Marešovo považuji za opravdu virální proto, že se dostalo až k člověku, který jinak takové nesmysly nevyhledává. A hlavně má na YouTube téměř půl milion zhlédnutí. Zde najdete další videa a fotografie od ostatních postižených.
Ale dost Mareše. Podstatou této akce bylo ukázat, že lze snadno zfalšovat identitu. I tu skutečnou a ještě více tu internetovou. Podvrhnutou stránku nepozná každý a masám může způsobit větší škody. Včetně krádeže té skutečné identity.
DNSSEC – lék na podvržené domény
Možná jste slyšeli, nebo jste viděli v nastavení počítačové sítě položku DNS. Tzv. Domain Name Servery překládají číselnou IP adresu do zapamatovatelné podoby. Takže zatímco počítač vidí adresu webové stránky jako 77.75.76.3, uživatel v prohlížeči vidí její alias, v tomto případě seznam.cz. Takže vy zadáte do prohlížeče www.seznam.cz, ten se pak zeptá vzdáleného doménového serveru na skutečnou IP adresu, pošle IP zpět a uživateli se zobrazí web.
Červená čára je podvodník, zelená je pravou cestou, zdroj: CZ.NIC
A na této cestě lze adresu podvrhnout. Stačí zfalšovat záznamy DNS a na adrese www.seznam.cz se zobrazí jiná stránka. Ta bude vypadat stejně jako Seznam (zkopírovat ji není problém), avšak běží na jiném počítači. Pokud byste web jen četli, problémy vám až tolik nehrozí (neobsahuje-li spam a jiný malware). Jenže přihlašovací pole k e-mailu je už zneužitelné, údaje poputují do nesprávných rukou a s přístupem k e-mailu lze ukrást identitu raz dva.
Máte tam registrační e-maily z jiných služeb, údaje z banky apod. Pokud na bezpečnost nehledíte, stejné heslo určitě používáte i na Facebooku, kde vám mohou útočníci udělat také slušnou paseku. Nebo někdo podvrhne stránku internet bankingu – to jsou ty případy, které znáte z televizního zpravodajství, kde by pak komentující důchodci všechny ty počítače a internety nejradši zakázali.
Lékem na tyto podvodné triky je bezpečnostní rozšíření DNS s názvem DNSSEC. Funguje na principu ověřování identit pomocí soukromých a veřejných klíčů, jako možná znáte z elektronických podpisů. Držitel domény vygeneruje oba klíče. Tím soukromým podepíše DNS údaje, veřejným klíčem se pak ověřuje pravost. Veřejný klíč dostane nadřazená autorita, pro české stránky tedy CZ.NIC, který vede registr domén .CZ. A taktéž národní doména .CZ má soukromý klíč a veřejný, který je uložen a ověřován u nadřazené autority – kořenové zóně Internetu.
Schéma privátních a veřejných klíčů DNSSEC, zdroj: CZ.NIC
Proto je třeba, aby DNSSEC podporoval celý řetězec. (Určitě znáte to klišé o řetězu a nejslabším článku.) I váš poskytovatel internetu vám musí nastavit zabezpečený DNS. Jestli tak opravdu činí, můžete otestovat na této stránce. Pokud test hlásí červenou, můžete buď oslovit svého ISP, nebo nastavit zabezpečený DNS ve vašem routeru či systému. Tady najdete návod pro Windows a OS X, jak nastavit veřejný doménový server od CZ.NIC, který DNSSEC už samozřejmě podporuje.
Ale také majitel domény (obvykle provozovatel stránek) musí běžet na zabezpečené doméně. CZ.NIC eviduje (v době psaní článku) 766 669 domén .CZ, zabezpečeno je jich 114 380, tedy jen 15 % z nich. I tak jsme byli a možná stále jsme světovou špičkou v zavádění DNSSEC. Registrátoři domén se činí, ale třeba internetová bankovnictví tento trend nesledují. Podle tiskové zprávy je takto zabezpečeno pouze 10 % z nich. Ani domény našeho vydavatelství nejsou zabezpečeny. Fňuk.
Snad jsme se tedy od bulvárního nadpisu (omlouvám se) a protáhlý úvod o úpadku českého showbyznysu dostali k tomu hlavnímu – bezpečnosti na síti – a skromný článek vysvětlil, jak ty internety vlastně fungují. Ale ani s DNSSEC nemáte vyhráno. Další hrozby čekají na otevřených nezabezpečených Wi-Fi sítích apod. O tom ale možná někdy příště.
Zdroj: CZ.NIC
ČLÁNKY DO MAILU