Názory k článku CZ.NIC papírově spamuje vlastníky "nezabezpečených" domén
-
Samozřejmě je možné tuto iniciativu uvítat. Co mně vadí je:
papírová forma - pokud je to tak závažné bezpečnostní riziko, tak mail je mnohem operativnější
vložená reklama - to si mohli odpustitCZ.NIC prostřednictvím CSIRT.CZ bojuje i proti spamu, přitom ho tady generuje. Trochu to připomíná policistu kradoucího v samoobsluze.
To, že CZ.NIC má přebytek peněz a horko těžko vymýšlí, kam je vrazit, snad nikdo nepopře. Standardní organizace se nechová jako jedinec, ve standardní organizaci jedna ruka neví, co dělá druhá :-) Samozřejmě školení jsou prospěšná (akorát teda nevím, co by na to říkal ÚOHS, kdyby se zjistilo, že CZ.NIC tato školení dotuje z příjmů z domén, jak se snažíte navozovat)
-
beda (neregistrovaný)
Z toho, že jste tento dopis dostal, vyplývá, že provozujete nezabezpečený DNS server. Nebylo by vhodnější reakcí na toto zjištění s tím něco udělat a né kamenovat posla?
Mimochodem, tvrdit, že CZ.NIC přehazuje peníze vidlema kousek pod textem, kde jej obviňujete z toho, že se snaží dělat reklamu na vlastní školení si dost protiřečí. Pokud totiž CZ.NIC nepotřebuje na těch školeních vydělávat, možná je opravdu nabízí proto, aby celé věci pomohl, nemyslíte?
-
1. jsou to cachující DNS servery. K čemu by jim bylo zabezpečení pomocí DNSSec, když tam není žádná doména?
2. takže jsme se shodli v tom, že protokol DNSSec žádným způsobem nedokáže zabránit cache poisoningu nezabezpečených domén?
3. už uznáváte, že předmětem dopisu byla mimo jiné reklama na školení (placené)?
-
Dobrý den,
k ceně školení nejsem kompetentní se vyjadřoval, ale pokud to není rétorická "poptávka", tak se s akademickými institucemi snažíme navázat lepší spolupráci i včetně těchto kurzů.
Každopádně aktuální ceny kurzů jsou na webu, stejně tak jsou na webu výroční zprávy včetně hospodářských výsledků. Maximální naplnění učebny je 20 posluchačů.
V rozesílaném dopise se píše "doporučujeme aktualizovat váš DNS server a zabezpečit jej pomocí technologie DNSSEC". Pokud se vrátíme k technické stránce věci, tak aktualizace na libovolný DNS server, který podporuje DNSSEC automaticky znamená i začít používat náhodné porty.
S pozdravem,
Ondřej Surý -
Já chápu, že CZ.NIC musí teď peníze přehazovat vidlemi, aby jim nezplesnivěly, takže vytištění a rozeslání 1500 dopisů je trivialita.
Nicméně třeba ve velké organizaci ten dopis putuje ne zcela jednoduchými cestami, takže doputuje dost často k někomu, ke komu by ani přijít neměl, třeba generální ředitel. Tam je pak za idiota buď správce sítě nebo CZ.NIC, to podle výřečnosti správce. A zatím jsem zaregistroval spíš ohlasy typu co to tam v CZ.NIC sedí za ...
Prostě ani forma (papírový dopis) ani obsah nejsou v pořádku.
-
> Vzhledem k tomu, že DNSSEC není ze strany CZ.NICu nijak
> zpoplaťnován, tak se osobně domnívám, že máte spíš problém
> s Pepou Zámečníkem, než s tím, že máte pocit, že se na
> DNSSECu snaží CZ.NIC vydělávat.Fajn, nabízíte tedy reklamované školení na DNSSec zdarma? V tom případě bych možná využil i té 50 % slevy :-)
S DNSSec problém nemám, nicméně bych rád viděl jak v tomto případě zabezpečí proti cache poisoningu, když se napadnutelný DNS server zeptá na DNSSecem nezabezpečenou doménu (někde ve světě).
-
Dobrý den,
pokud bych přijal Vaši argumentaci, tak bylo by lepší napsat:
-- zde odstřihněte --
Dobrý den,váš byt je zabezpečený pouze zámkem typu XYZ, a můžou váš přijít vykrást zloději?
S pozdravem,
Josef Zámečník
-- zde odstřihněte --Myslím, že k zodpovědnému přístupu patří i nabídka řešení. Myslím, že bychom mohli být ve shodě v tom, že útoky na DNS servery s nenáhodnými porty jsou proveditelné i třetí stranou v řádu sekund.
Pokud ovšem půjdeme ještě o krok dále, tak ani útok na DNS server, který používá plný rozsah není neproveditelný. Ano, je obtížněji proveditelný, ale dostaneme se z řádu sekund pouze do řádu hodin až dní[1].
Pokud tedy nemáme ve výše zmíněném paperu nějakou zásadní chybu v úvaze či ve výpočtu, tak z našeho pohledu existuje pouze jediná varianta ochrany proti cache poisoningu, která je široce akceptována v široké DNS komunitě, a tou variantou je DNSSEC. A tím jsme se dostali zpět k mé první větě. Pokud věříme tomu (a my tomu věříme), že DNSSEC je jediné řešení na tento typ útoku, tak by od nás bylo velmi nezodpovědné toto řešení nenabídnout.
Můj osobní názor je, že s DNSSECem máte nějaký zásadní koncepční problém ("reklama na DNSSEC"). Pokud ne, tak se Vám předem omlouvám, ale pokud ano, tak by bylo dobré se k tomu vyjádřit. Protože pokud nemáte rád Pepu Zámečníka, tak to může zkreslit usuzování o tom, jestli to myslel dobře, nebo jen chce prodávat svoje zámky.
Vzhledem k tomu, že DNSSEC není ze strany CZ.NICu nijak zpoplaťnován, tak se osobně domnívám, že máte spíš problém s Pepou Zámečníkem, než s tím, že máte pocit, že se na DNSSECu snaží CZ.NIC vydělávat.
S pozdravem,
Ondřej Surý, CZ.NIC LabsP.S.: Pokusil jsem se o to, aby argumentace nebyla ad hominem, pokud ano, tak to tak nebylo myšleno, jen si myslím, že by bylo vhodné hrát s otevřenými kartami.
1. http://labs.nic.cz/files/labs/DNS-cache-poisoning-attack-analysis.pdf
-
Reklama na DNSSec a školení (od CZ.NIC) zabírá víc než polovinu dopisu. Navíc nemá s hlášeným cache poisoningem v podstatě nic společného. IMHO tento mail splňuje definici nevyžádaného komerčního sdělení i z hlediska zákona.
Nevím, jak by se komu líbilo, kdyby mu došel dopis následujícího znění:
Dobrý den,
váš byt je zabezpečený pouze zámkem typu FAB, který je lehce napadnutelný. Doporučujeme zámky XYZ, školení pro instalaci nabízíme s poloviční slevou.
S pozdravem
Josef Zámečník
ČLÁNKY DO MAILU
