Hlavní navigace

Jak lze podvádět s doménami

Karel Chvalovský 5. 4. 2001

Na českém Internetu se podvody bohužel stávají jistým koloritem. Nevyhnulo se to ani doménám, a přestože se situace od doby prvního známého podvodu výrazně změnila, není stále v úplně dokonalém stavu. Jak lze tedy podvádět s doménami dnes a jak dalece ověřuje CZ.NIC oprávněnost změn?

Jak by jistě potvrdil Vizionář ze stejnojmenné jednoaktovky Járy Cimrmana, všechno na světě vám můžou vzít. Pomineme-li živelné katastrofy a jiné apokalyptické scénáře, zbývá nám stále ještě celá řada způsobů, jak může někdo o něco přijít. V našich zemích se zvláštní oblibě těší především podvody a tak se nelze divit, že dorazily také na Internet. Nejvhodnějším místem jsou pak na Internetu domény, protože jejich cena je mnohdy velmi vysoká a ochrana často mizerná.

Prvním významným případem podvodu s doménami u nás je krádež domény blansko.net. Aby mohla být uskutečněna, bylo nutné dočasně změnit záznamy české domény intell.cz. To však bylo ještě v době, kdy všechny žádosti ručně zpracovával Jiří Orság, který také prováděl kontrolu veškerých údajů a změn. Konkrétně tento případ však na jeho bedra rozhodně svalit nelze, šlo totiž o roztržku mezi dvěma bývalými obchodními partnery a na první pohled se jevila jako běžná změna. Ukázal však poprvé, že při potvrzování změn u domén mohou nastat problémy.

Po přechodu CZ.NICu na nový systém byla politika v této oblasti zásadně přepracována. Pro jakoukoliv změnu jsou teď pevně dané podmínky, podle kterých se standardně postupuje. Nejsou však úplně dokonalé, takže poskytují dostatečný prostor různým podvodníkům. Co všechno je tedy potřeba provést pro některé úkony s doménami?

Změna vlastníka

Je nejobtížnějším úkolem a prakticky se nedá obejít. Pro převod je potřeba žádost podepsaná statutárními zástupci společnosti, respektive vlastníkem, případně jsou požadovány i některé další dokumenty. Změnu smí provádět admin-c (administrátor) domény. Veškeré formuláře je nutno zaslat klasickou poštou a s úředně ověřenými podpisy. To znamená, že pro podvod by bylo nutno zfalšovat notářské potvrzení, což sice není úplně nemožné, je to však velmi obtížné. Jako pojistka slouží také informační email zaslaný původnímu a novému vlastníkovi, technickému správci a plátci domény. Krádež domény jako takovou lze tedy téměř vyloučit.

Změna nameserverů

Při změně nameserverů a dalších technických parametrů se však oprávněnost tohoto úkonu ověřuje podstatně méně. Vzhledem k tomu, že však změnou těchto údajů vlastník o doménu fakticky na určitou dobu přijde, jde o zabezpečení dosti nedostatečné. Změnu totiž může provést vlastník nebo technický správce domény. Pro ověření pravosti se používá vlastnoručně podepsaný formulář, který může být zaslán i faxem. Pokud si uvědomíme, že žádost může podat kdokoliv a následně se může bez nejmenších problémů vydávat za vlastníka či technického správce domény, měl by oprávněnost žádosti potvrzovat podpis. Ten však může kdokoliv bez nejmenších problémů falšovat, navíc CZ.NIC nemá podpisové vzory, takže stačí doslova načmárat něco, co obrazně řečeno připomíná jméno člověka, za kterého se vydáváme, a máme vyhráno. Postižený se o celé věci může dozvědět pouze informačním emailem zaslaným technickému správci. Pokud ten však nezareaguje dostatečně rychle, může se postiženému opravdu stát, že velice lehce přijde na nějakou dobu o doménu.

Názorným příkladem může být nedávná změna nameserverů poměrně nezajímavé domény autosklo-karlin.cz . Vznik domény je typickým příkladem, registroval ji Miloš Bajer pro společnost Autosklo Karlín. Doménu samozřejmě zaplatil on a stal se také jejím vlastníkem. Po nějaké době se však jeden ze spolumajitelů společnosti rozhodl změnit webhostingovou společnost a tak bylo nutné předělat záznamy nameserverů, proto byl změněn technický správce. To provedla společnost Casablanca, která také předala potřebný formulář pro změnu údajů panu Hesovi, který celou transakci zařizoval. Ten později vrátil formulář s podpisem vlastníka domény, tedy Miloše Bajera. Casablanca žádost odfaxovala do CZ.NICu a ten záznamy změnil. Poté následovala v tichosti již pouze změna nameserverů. Jaké bylo překvapení pana Bajera, když objevil, že někdo změnil nameservery domény. Obrátil se proto na CZ.NIC a zjistil, že změny byly provedeny na základě jeho žádosti, dokonce získal její faksimile, přestože nesla jeho podpis, nikdy se pod ní nepodepsal. Výhodou tohoto příběhu je, že postižené straně podobná změna vůbec nevadila a doména bude brzy převedena přímo na společnost, které slouží. Názorně však demonstruje, že to lze provést, a dokonce velmi jednoduše. Nejde zde však pouze o změnu nameserverů, ale přímo technického správce.

Změna technického správce

Představuje podobný problém jako změna nameserverů, může ji totiž provést vlastník či technický správce domény. Jediným potvrzením je podepsaný formulář, který lze zaslat faxem. O změně je následně informován starý i nový technický správce. Změnit technického správce domény tedy znovu není téměř žádný problém, jak ostatně demonstruje náš předchozí příběh.

Změna údajů osoby

Používá třetí způsob ověření, a to tzv. notify, na zadanou emailovou adresu je tedy zaslán požadavek o potvrzení změny. Nejvýznamnější rozdíl je zde v tom, že zatímco u předchozích změn jsou formuláře zaslány na emailovou adresu, kterou uživatel vyplní až při žádosti o změnu, zde jsou údaje zaslány na emailovou adresu osoby, zadanou při registraci. Jde o způsob, který představuje potenciálně velká rizika, vzhledem k tomu, ke kterým změnám se však používá, je nebezpečí vesměs opomíjeno. Navíc jde principiálně o celosvětově rozšířený způsob autorizace.

Co na to uživatelé?

Podle Martina Peterky z KPNQwestu naprosté většině uživatelů vadí na způsobu ověřování údajů především složitost, hlavně při převodu domén jim úředně potvrzený podpis přijde jako přehnaný bezpečnostní prvek. Názorně to demonstruje to, že většina lidí si stále neuvědomuje skutečnou cenu domén a tím pádem nevidí potřebu jejich dostatečného zabezpečení.

Za pravdu těmto uživatelům částečně dává i Martin Peterka, který za dobu provozu nového způsobu registrace zaznamenal pouze několik problémů s neoprávněnými změnami. Podle něj jsou z tohoto pohledu mnohem problémovější bývalí zaměstnanci a špatně registrované subjekty.

Na jedné věci se pak shodují všichni: CZ.NIC, registrátoři i uživatelé – výrazným posunem vpřed by byl elektronický podpis. Dá se sice očekávat, že jeho rozšíření nebude alespoň zpočátku tak velké, mělo by však konečně jít o řešení, které poskytne vysokou míru bezpečnosti všem.

Co dělat proti podvodníkům?

V případě, že někdo padělá podpis, může být obviněn z trestného činu podvodu. To je velmi pravděpodobné vyústění problému v případě soudního sporu. Zakopaný pes však samozřejmě spočívá v tom, jak zjistit skutečného pachatele. Nejspolehlivějším zdrojem jsou nové údaje, tedy kdo získal ze změny prospěch, a další údaje získané CZ.NICem při provádění změn.

Závěr

Bezpečnost domén je po čistě teoretické stránce relativně dost ohrožena, praxe však naštěstí ukazuje, že se výraznější problémy nevyskytují. Do budoucna je však rozhodně nutné současnou politiku přehodnotit a zavést účinnější ochranná opatření. Jednoho dne bychom totiž mohli být velmi nemile překvapeni.

Anketa

Myslíte si, že je autorizace změn dostatečně zabezpečena?

Našli jste v článku chybu?

6. 4. 2001 16:11

Dan Lukes (neregistrovaný)
Protoze se stupnem unavy klesa ostrazitost a stoupa pocet chyb ... ;-)

Autor tohoto prispevku je clenem predstavenstva CZ.NIC, tento nazor je vsak ciste soukromy

6. 4. 2001 11:38

MK (neregistrovaný)
... a posledni dobou uz tam ani nepise dousky, ze jeho nazory jsou soukrome ...
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu