Vlákno názorů k článku CZ.NIC papírově spamuje vlastníky "nezabezpečených" domén od Ondřej Surý - Dobrý den, k ceně školení nejsem kompetentní se vyjadřoval,...
-
Dobrý den,
k ceně školení nejsem kompetentní se vyjadřoval, ale pokud to není rétorická "poptávka", tak se s akademickými institucemi snažíme navázat lepší spolupráci i včetně těchto kurzů.
Každopádně aktuální ceny kurzů jsou na webu, stejně tak jsou na webu výroční zprávy včetně hospodářských výsledků. Maximální naplnění učebny je 20 posluchačů.
V rozesílaném dopise se píše "doporučujeme aktualizovat váš DNS server a zabezpečit jej pomocí technologie DNSSEC". Pokud se vrátíme k technické stránce věci, tak aktualizace na libovolný DNS server, který podporuje DNSSEC automaticky znamená i začít používat náhodné porty.
S pozdravem,
Ondřej Surý -
> Vzhledem k tomu, že DNSSEC není ze strany CZ.NICu nijak
> zpoplaťnován, tak se osobně domnívám, že máte spíš problém
> s Pepou Zámečníkem, než s tím, že máte pocit, že se na
> DNSSECu snaží CZ.NIC vydělávat.Fajn, nabízíte tedy reklamované školení na DNSSec zdarma? V tom případě bych možná využil i té 50 % slevy :-)
S DNSSec problém nemám, nicméně bych rád viděl jak v tomto případě zabezpečí proti cache poisoningu, když se napadnutelný DNS server zeptá na DNSSecem nezabezpečenou doménu (někde ve světě).
-
1. jsou to cachující DNS servery. K čemu by jim bylo zabezpečení pomocí DNSSec, když tam není žádná doména?
2. takže jsme se shodli v tom, že protokol DNSSec žádným způsobem nedokáže zabránit cache poisoningu nezabezpečených domén?
3. už uznáváte, že předmětem dopisu byla mimo jiné reklama na školení (placené)?
-
Dobrý den,
pokud bych přijal Vaši argumentaci, tak bylo by lepší napsat:
-- zde odstřihněte --
Dobrý den,váš byt je zabezpečený pouze zámkem typu XYZ, a můžou váš přijít vykrást zloději?
S pozdravem,
Josef Zámečník
-- zde odstřihněte --Myslím, že k zodpovědnému přístupu patří i nabídka řešení. Myslím, že bychom mohli být ve shodě v tom, že útoky na DNS servery s nenáhodnými porty jsou proveditelné i třetí stranou v řádu sekund.
Pokud ovšem půjdeme ještě o krok dále, tak ani útok na DNS server, který používá plný rozsah není neproveditelný. Ano, je obtížněji proveditelný, ale dostaneme se z řádu sekund pouze do řádu hodin až dní[1].
Pokud tedy nemáme ve výše zmíněném paperu nějakou zásadní chybu v úvaze či ve výpočtu, tak z našeho pohledu existuje pouze jediná varianta ochrany proti cache poisoningu, která je široce akceptována v široké DNS komunitě, a tou variantou je DNSSEC. A tím jsme se dostali zpět k mé první větě. Pokud věříme tomu (a my tomu věříme), že DNSSEC je jediné řešení na tento typ útoku, tak by od nás bylo velmi nezodpovědné toto řešení nenabídnout.
Můj osobní názor je, že s DNSSECem máte nějaký zásadní koncepční problém ("reklama na DNSSEC"). Pokud ne, tak se Vám předem omlouvám, ale pokud ano, tak by bylo dobré se k tomu vyjádřit. Protože pokud nemáte rád Pepu Zámečníka, tak to může zkreslit usuzování o tom, jestli to myslel dobře, nebo jen chce prodávat svoje zámky.
Vzhledem k tomu, že DNSSEC není ze strany CZ.NICu nijak zpoplaťnován, tak se osobně domnívám, že máte spíš problém s Pepou Zámečníkem, než s tím, že máte pocit, že se na DNSSECu snaží CZ.NIC vydělávat.
S pozdravem,
Ondřej Surý, CZ.NIC LabsP.S.: Pokusil jsem se o to, aby argumentace nebyla ad hominem, pokud ano, tak to tak nebylo myšleno, jen si myslím, že by bylo vhodné hrát s otevřenými kartami.
1. http://labs.nic.cz/files/labs/DNS-cache-poisoning-attack-analysis.pdf
-
Reklama na DNSSec a školení (od CZ.NIC) zabírá víc než polovinu dopisu. Navíc nemá s hlášeným cache poisoningem v podstatě nic společného. IMHO tento mail splňuje definici nevyžádaného komerčního sdělení i z hlediska zákona.
Nevím, jak by se komu líbilo, kdyby mu došel dopis následujícího znění:
Dobrý den,
váš byt je zabezpečený pouze zámkem typu FAB, který je lehce napadnutelný. Doporučujeme zámky XYZ, školení pro instalaci nabízíme s poloviční slevou.
S pozdravem
Josef Zámečník
ČLÁNKY DO MAILU