Názory k článku Akce Kulový blesk aneb Jednotná státní doména gov.cz žije

Bohuzel statni aparat se na socialnich sitich tvari tak, ze to nejaky kyberbezcnostni problem vyresi (phisingove utoky pry budou mit utrum). Coz je ale kardinalni blbost... a vubec cela ta argumentace o zvyseni bezpecnosti silne pripomina doby, kdy se zavadela prednost chodcu. Nehodovost a jeji dopady to melo snizit, ale v realu nasledoval presny opak - mrtvych na prechodech bylo vic.

Prehlednejsi to jiste bude, sjednotit to neni blbost... ale akcentovat argument o zvysenim bezpecnosti je v tomhle smeru jen opakovani stejne chyby, co se povedla pred triadvaceti roky... a z uradu by do verejneho prostoru podobne veci vubec nemely zaznivat. Phisingove utoky s gov.cz utrum rozhodne mit nebudou, navzdory presvedceni borcu z DIA. Kde k tomuhle nazoru prisli?

Jenom nesmi umrit obe NSka ve stejne siti zaraz, tak jak jsme toho casto svedky u justice.cz, ze? :-) To pak ty NSka domen tretiho radu u koncovych institucich moc pouzitelne stejne nebudou...

gov.cz.         2383    IN  NS  ns2.gov.cz.
gov.cz.         2383    IN  NS  ns1.gov.cz.

ns1.gov.cz has address 185.17.212.144
ns1.gov.cz has IPv6 address 2a01:5bc0:0:1004::66

ns2.gov.cz has address 185.17.212.129
ns2.gov.cz has IPv6 address 2a01:5bc0:0:2004::66

A prefix 185.17.212.0/22 je jen tak mimochodem do sveta videt pouze jedno upstream AS (a pak v NIXu). K robusni infrastrukture ma tohle ponekud daleko.... na tom ze na tom ma viset cely egov...

Jestli to dopadne jako zavádění IPv6, tak se nemáme čeho bát.

Jasne, bez jakekoliv souteze to strcite do CZNIC... :-) To by urcite nikde nenarazilo, stat si muze prece zadavat zakazky komukoliv dle sveho uvazeni, ze...? :-)

Prosimvas, zatim na NS serverech ke gov.cz nedokazou udrzet ani stejne SOA - takze ns1 vraci 2023072582 a ns2 prozmenu 2023072576 - a vy tu na nas s nejakym API... :-)

Phishingové útoky to samozřejmě neeliminuje úplně, ale to vůbec nevadí. Je to krok, který umožní proti phishingovým útokům s doménami veřejné správy vůbec nějak bojovat. Samozřejmě, že aby to reálně pomohlo, bude potřeba i edukovat uživatele. Ale jak chcete dnes vysvětlit uživatelům, jak si mají zkontrolovat, zda komunikují opravdu s veřejnou správou? „Tady máš seznam 150+ domén, nauč se ho zpaměti a pokaždé kontroluj, zda jde o některou z nich“?

Je to jako kdybyste kolem dříve neoploceného baráku postavil vysoký plot s bránou s důkladným zámkem. Pořád to znamená, že někdo hodně odhodlaný může přelézt plot. Pořád to znamená, že obyvatelé toho baráku mohou zapomínat zamknout. Ale mají možnost zamykat – dříve nemohli nic.

Vsak na gov.cz phising take miri :-) A kdyz se na to podivate, ani moc sofistikovane nejsou. Vira v edukaci obyvatelstva je sice hezka, ale kdyz se clovek kolem sebe podiva, na co vsechno lidi dokazou naletet, tak je to vira ponekud naivni. Jak si tu vzdelavaci kampan vlastne predstavujete? :-)

Však ty stejně najdeš deset důvodů, proč to nebude fungovat...

když už to někoho napadne, doufám, že nechá i variantu bez nabodeníček a háčků

Tohle ale bezpochyby ke zvyseni bezpecnosti vede. Na jednu stranu je samozrejme blbost prohlasovat, ze tim maji phishingove utoky utrum, na druhou je nesmysl se tvarit, ze to vliv nema. Minimalne to, ze (snad) casem budeme vedet, ze neco ve stylu mojestrankastat­nispravy.whate­ver nemuze byt legitimni je prinos.

Ale design IT projektu zvaneho jednotne DNS pro statni spravu budovane stejnym zpusobem tu vehementne obhajujete :-)

Phishing tam žije i nyní. Jen trochu mazanější. Vezměte třeba aplikaci Anonymizace (anonymizace.gov­.cz). Uploadují do ní PDF-ka, aby si udělali online redigování. Kdoví, kam ta PDF-ka vlastně chodí...

Zkuste serveru anonymizace.gov.cz poslat (/crossroad je třeba zachovat, ale cestu si na webu ve své doméně vyrobí každý):
GET /crossroad?ur­l_injection="y­es" HTTP/1.1
Host: neanonymizace­.hostinjection­.ru

a skončíte na:
HTTP/1.1 302 Found
Date: Fri, 18 Aug 2023 19:57:35 GMT
Server: Qintegra
X-Powered-By: Tomahawk
Location: https://neanonymizace.hostinjection.ru/crossroad/?url_injection="yes"

Jak vidíte, čas je dnešní. Doména gov.cz je opravdu skvělou obranou proti phishingu. Prostě bezpečnost ala státní správa, nově servírovaná jako přínos DIA na pomoc občanům. Doména sama má určitý vliv, ale většinou jen na ty nejtriviálnější postupy. Nemluvě o dalších bezpečnostních dírách. Třeba cross-site scriptingu, který je ve stejné aplikaci také (návod k němu sem dávat nechci, bylo by to příliš).

18. 8. 2023, 22:07 editováno autorem komentáře

A cetl jste ten clanek poradne? :-) Vnitrni domeny jsou z toho vyjmuty, stejne jako treba microsites nebo udajne zanedbane domeny. Proste tam mate spoustu vyjimek pro lavirovani na strane dotcenych uradu. Realne se explicitne primarne resi jen to, co je pristupne na webu. A bezpecnost prece neni jen o webikach, ne? :-)

Ale ono ten ARES neni jediny. Takze si k tomu ocnimu opravdu skocte :-) Protoze treba u RRTV se zadny re-design nekonal, o cemz se muzete presvedcit i z verejnych zdroju.

Letite zkusenosti s fungovanim eraru jde shrnout slovy, ze papir snese vsechno. A plati to i harmonogramech, ze? Slibem nikdy nikoho nezarmoutite.

Ale vase pojeti je jak stavba baraku od strechy a fasady s tim, ze robusni zaklady se jiste daji vybetonovat a dobastlit dodatecne. Hlavne, ze je navenek ta libiva fasada, kterou se muzete chlubit na tiskovych konferencich. Ze ten barak se muze sesypat jako domecek z karet je prece zanedbatelny detail.

No treba tady. Ze to je nyni zprasene vy sam obhajujete tim, ze jsme preci na jakemsi zacatku. A ackoliv nemate ani poradne zaklady toho baraku (tedy poradne fungujici DNS infrastrukturu), tak vam nevadi, ze se uz resi strecha a fasada - tedy, to co vidi uzivatele aka konkretni weby.

Takoveho casu u toho internetu travite a vy jste si niceho nevsimnul? :D Tak to si opravdu skocte k ocnimu.

A stavi se od zakladove desky. Teda vas barak se mozna stavel od strechy, abyste se sousedum mohl chlubit, jak skvely ten vas projekt je.

Parafrazi ke gov.cz by jako prvni mela byt resena prave DNS infrastruktura a teprve pote preklapeni webu. Jenze ono se tam preklapi weby uz v dobe, kdy DNS infrastruktura stoji za pendrek.

Asi bychom meli usporadat soutez. Namisto praskle lupy ... tema by bylo "najdete web statni spravy, ktery nehackne male dite po 5 minutach googleni nejakeho trivialniho scriptu" ...

Nebylo by to organizacne nijak narocne, protoze pocet by se limitne blizil nule.

A tento stat, chce soukromym firmam diktovat, jak ma vypadat jejich bezpecnost.

Vzhledem k tomu, že se na tom údajně bude podílet i CZ.NIC, věřím tomu, že ta doména bude v budoucnosti nastavena správně. CZ.NIC má dokonce pár serverů, na kterých hostuje i jistou pro ČR docela významnou doménu, tak by možná mohl doménu gov.cz servírovat z nich. Ale to určitě také shledáte absolutně špatným řešením.

Asi byste se měl blíže seznámit s pojmem „harmonogram“ a pochopit, že harmonogram slouží k tomu, aby se od současného nevyhovujícího stavu postupně dospělo ke stavu vyhovujícímu. Zdá se, že se mylně domníváte, že všechny kroky nutné k přechodu na gov.cz už proběhly. Není tomu tak, ještě neproběhlo prakticky nic, s výjimkou registrace adres pár webů, protože se jednalo o jednoduché případy a někdo správně usoudil, že je lepší to rovnou spustit na nové adrese, než řešit nějakou dočasnou adresu a pak to přesouvat na cílovou adresu. Vy byste byl první, kdo by v diskusi kveruloval „to to nevěděli před pár měsíci, že se bude přecházet na gov.cz“?

Neni jednodussi pro securitu, kdyz se spravuje vse pod jednou domenou? Neplati ze cim jednodussi zprava u security, tim vyssi bezpecnost? :) .... napriklad.

Btw. : Proc se zvedla nehodovost na prechodech? Protoze si tu novou upravu uvedomili chodci (bohuzel nerespektuji provedeni, ze musi pockat na zastaveni aut) a ridici si stale mysli, ze "to stihnu", nebo "na nejaky prechod prdim".... Pricina zvyseni nehod neni v uprave, ale v nerespektovani dane upravy.

18. 8. 2023, 09:56 editováno autorem komentáře

Myslis, ze by to nikdo neposlal treba k UOHS? ;-) Zakazek kolem provozu DNS pro erar v registru smluv najdes hromadu.. a nemyslim si, ze stavajici dodavate by to nechali jen tak, pokud by se to najednou bez souteze zadalo jednomu subjektu. Co ctu mezi radky na VH (a i v textu zapisu z kolegia) na tom nic nemeni. Ostatne to chystane se take dela jako komercni sluzba, ze? :-)

O každou změnu v doméně třetího řádu a vyšší pod gov.cz je nutné žádat DIU. Což už teď je poměrně zdlouhavé. Když byla doména vlastní, dalo se cokoliv řešit prakticky okamžitě.

Jiste mr Jirsak, harmonogram stavby budovy je totiz ten, ze se nejdriv postavi strecha, pak se pod ni pristavi zdi, a nakonec se resi, jak pod ty zdi dostat zaklady ...

Ne, bezpecnost to nijak nezvysuje, ve skutecnosti naopak. Protoze jak tu zaznelo zname stat, tak je 100% jiste, ze nekolikrat rocne lehnou DNS a misto toho aby byl nedostupny web jednoho uradu, budou nedostupne vsechny.

K tomu prijde nejaky obskurni zpuso spravy subdomen, ktery povede k tomu, ze se ho budou vsichni vsemozne snazit obchazet ... a vysldkem bude, ze si treba pepicek vyskocilu zpsovozni web vlada.gov.cz ... treba proto, ze poslal nekam mail, kde do from, dal prave tuhle domenu ...

Mohlo by to veci zprehlednit, ale to je v nasich luzich a hajich naprosto nemozne realizovat, protoze to by musel navrhovat alespon absolvent materske skoly. Zadny takovy tam nedela.

Po prostudování metodického pokynu Vám musím dát za pravdu ve všem co uvádíte. Cítím z toho, že to je schválně uděláno takto, aby byla DIA důležitá a získala další prostředky navíc. Problémy co s tím přichází neřeší.

Od metodického pokynu jsem očekával, že bude opravdu metodicky a bude vše popsáno. Bohužel informace jsou obecné, neurčité a certifikáty vůbec neřeší. Pro jednoduché úřadové weby OK, ale tam kde mají nyní vyřešenou bezpečnost v určité ergonomii, tak pohroma a nutnost předělat celou interní doménu. Navíc do toho bude potřeba napočítat další náklady na aplikační proxy servery, protože namísto jednoduchého využití domény třetího řádu budu muset řešit "co je za lomítkem" neb čtvrtý řád nebude běžně možné využívat. A do toho musím důvěřovat, že v DIA nic nepokazí a s ohledem na kvalitu metodického pokynu v ně moc důvěru zatím nemám.

Takže při srovnání současného stavu a budoucího, tak to bude stát mnohem více než nyní bez zvýšení bezpečnosti celku. Přitom by stačilo, aby NÚKIB tlačil pravidla nebo pomáhal s konfigurací veřejných systémů, aby bylo vše nutné správně nastavené. Snažil jsem najít kde nastane úspora, ale nenašel jsem. Jedině, že DIA bude vydávat vlastní důvěryhodné certifikáty pro všechny spravované subdomény. Ale toto nyní nečiní a stejně zrovna toto je v celkovém rozpočtu pakatel.

Všimnul. Píšete nesmysly, a když se vás někdo zeptá na konkrétní věc, místo odpovědi začnete urážet.

Mohl jsem vám samozřejmě rovnou napsat, že ares.gov.cz není žádné překlopení webu, že je to nová aplikace, v pilotním režimu, a původní web pořád běží na původní adrese. Ale chtěl jsem vám dát šanci uvést nějaké weby, které byly opravdu překlopené. Nevyužil jste jí, vaše chyba.

Diskuse s vámi opět přestala dávat jakýkoli jiný smysl než poskytovat vám záminku k trolení.

No nevim, mozna jen neumis cist mezi radky na valnych hromadach sdruzeni?

Chyba to samozřejmě je. Nicméně 1. jak to souvisí s phishingem? 2. jak by bylo možné tu chybu zneužít? Bavíme se o běžném používání z webového prohlížeče – pokud někoho přesvědčíte, aby si spustil třeba curl s vámi dodanými parametry, pak buď těm parametrům rozumí a uvidí, že ho chcete podvést, nebo jim nerozumí, a pak mu stejně můžete podstrčit naprosto cokoli.

Doufám, že se nepromarní příležitost vytvořit domény jako mšmt.gov.cz, úooú.gov.cz nebo ús.gov.cz. Myslím, že instituce českého státu si zaslouží české domény.

Asi jste nikdy žádnou stavbu budovy neviděl a nedovedete si ji představit. Protože takhle, jak jste to popsal, by to nefungovalo.

Až najdete, kde jsem se vyjadřoval k designu toho projektu, dejte mi vědět.

Normální barák se staví tak, že se nejprve vytvoří projekt, ve kterém se řeší i střecha a fasáda, a pak se teprve začne stavět. Ale chápu, vy byste stavěl barák tak, že nejprve uděláte základy, a teprve pak začnete projektovat, jaké zdi na nich postavíte. Postavil byste zdi a teprve pak byste začal řešit, jak bude vypadat střecha.

Neni jednodussi pro securitu, kdyz se spravuje vse pod jednou domenou?
Ne.

Navíc tohle nebude jednat doména – předpokládám a věřím, že ty domény si dál budou spravovat příslušné instituce, akorát si místo domény 2. řádu budou spravovat doménu 3. řádu.

To považuju (u webu formou přesměrování) za samozřejmost.

Které weby se tam v poslední době překlopily? Tj. běžely na jiné doméně a přesunuly se pod gov.cz?

18. 8. 2023, 23:01 editováno autorem komentáře

Proč a jak by to mělo řešit certifikáty? Ty budou vydávat důvěryhodné certifikační autority tak, jako je vydávají pro jakoukoli jinou doménu.

Ten metodický pokyn je 17 let starý, určitě ho nevytvořila DIA a bude nahrazen přílohou harmonogramu stanovující procesní, sémiotická, bezpečnostní a provozní pravidla pro státní doménu .gov.cz.

20. 8. 2023, 11:50 editováno autorem komentáře

Praxe docela casto ukazuje, ze udelat spravne to zakladni se neumi :-)

jouda: Ve skutečnosti se o každou takovou změnu žádal registrátor (byť je to často formou nějakého webového formuláře nebo API). Takže jde jenom o to, jak pružně bude fungovat DIA jako registrátor domény.

Nevim, zda by to nekdo poslal/neposlal k UOHS.

Pokladam to za technikalii a schopnost udelat to spravne za zakladni.

Spis než kulový blesk to je líná panda, která má sakra drahý vykrmování!