CZ.NIC papírově spamuje vlastníky "nezabezpečených" domén

Reklama na DNSSec a školení (od CZ.NIC) zabírá víc než polovinu dopisu. Navíc nemá s hlášeným cache poisoningem v podstatě nic společného. IMHO tento mail splňuje definici nevyžádaného komerčního sdělení i z hlediska zákona.

Nevím, jak by se komu líbilo, kdyby mu došel dopis následujícího znění:

Dobrý den,

váš byt je zabezpečený pouze zámkem typu FAB, který je lehce napadnutelný. Doporučujeme zámky XYZ, školení pro instalaci nabízíme s poloviční slevou.

S pozdravem

Josef Zámečník

Dobrý den,

pokud bych přijal Vaši argumentaci, tak bylo by lepší napsat:

-- zde odstřihněte --
Dobrý den,

váš byt je zabezpečený pouze zámkem typu XYZ, a můžou váš přijít vykrást zloději?

S pozdravem,
Josef Zámečník
-- zde odstřihněte --

Myslím, že k zodpovědnému přístupu patří i nabídka řešení. Myslím, že bychom mohli být ve shodě v tom, že útoky na DNS servery s nenáhodnými porty jsou proveditelné i třetí stranou v řádu sekund.

Pokud ovšem půjdeme ještě o krok dále, tak ani útok na DNS server, který používá plný rozsah není neproveditelný. Ano, je obtížněji proveditelný, ale dostaneme se z řádu sekund pouze do řádu hodin až dní[1].

Pokud tedy nemáme ve výše zmíněném paperu nějakou zásadní chybu v úvaze či ve výpočtu, tak z našeho pohledu existuje pouze jediná varianta ochrany proti cache poisoningu, která je široce akceptována v široké DNS komunitě, a tou variantou je DNSSEC. A tím jsme se dostali zpět k mé první větě. Pokud věříme tomu (a my tomu věříme), že DNSSEC je jediné řešení na tento typ útoku, tak by od nás bylo velmi nezodpovědné toto řešení nenabídnout.

Můj osobní názor je, že s DNSSECem máte nějaký zásadní koncepční problém ("reklama na DNSSEC"). Pokud ne, tak se Vám předem omlouvám, ale pokud ano, tak by bylo dobré se k tomu vyjádřit. Protože pokud nemáte rád Pepu Zámečníka, tak to může zkreslit usuzování o tom, jestli to myslel dobře, nebo jen chce prodávat svoje zámky.

Vzhledem k tomu, že DNSSEC není ze strany CZ.NICu nijak zpoplaťnován, tak se osobně domnívám, že máte spíš problém s Pepou Zámečníkem, než s tím, že máte pocit, že se na DNSSECu snaží CZ.NIC vydělávat.

S pozdravem,
Ondřej Surý, CZ.NIC Labs

P.S.: Pokusil jsem se o to, aby argumentace nebyla ad hominem, pokud ano, tak to tak nebylo myšleno, jen si myslím, že by bylo vhodné hrát s otevřenými kartami.

1. http://labs.nic.cz/files/labs/DNS-cache-poisoning-attack-analysis.pdf

> Vzhledem k tomu, že DNSSEC není ze strany CZ.NICu nijak
> zpoplaťnován, tak se osobně domnívám, že máte spíš problém
> s Pepou Zámečníkem, než s tím, že máte pocit, že se na
> DNSSECu snaží CZ.NIC vydělávat.

Fajn, nabízíte tedy reklamované školení na DNSSec zdarma? V tom případě bych možná využil i té 50 % slevy :-)

S DNSSec problém nemám, nicméně bych rád viděl jak v tomto případě zabezpečí proti cache poisoningu, když se napadnutelný DNS server zeptá na DNSSecem nezabezpečenou doménu (někde ve světě).

1. jsou to cachující DNS servery. K čemu by jim bylo zabezpečení pomocí DNSSec, když tam není žádná doména?

2. takže jsme se shodli v tom, že protokol DNSSec žádným způsobem nedokáže zabránit cache poisoningu nezabezpečených domén?

1. jsou to cachující DNS servery. K čemu by jim bylo zabezpečení pomocí DNSSec, když tam není žádná doména?

2. takže jsme se shodli v tom, že protokol DNSSec žádným způsobem nedokáže zabránit cache poisoningu nezabezpečených domén?

3. už uznáváte, že předmětem dopisu byla mimo jiné reklama na školení (placené)?

Jaká byla vlastně metodika zjišťování? Vycházeli jste z vyhodnocení dotazů na DNS serverech nebo z NetFlow dat?

Jak bylo ošetřeno zjištění, jestli cachující DNS server vůbec umožňuje útok (dotazy) z vnější sítě?

Já chápu, že CZ.NIC musí teď peníze přehazovat vidlemi, aby jim nezplesnivěly, takže vytištění a rozeslání 1500 dopisů je trivialita.

Nicméně třeba ve velké organizaci ten dopis putuje ne zcela jednoduchými cestami, takže doputuje dost často k někomu, ke komu by ani přijít neměl, třeba generální ředitel. Tam je pak za idiota buď správce sítě nebo CZ.NIC, to podle výřečnosti správce. A zatím jsem zaregistroval spíš ohlasy typu co to tam v CZ.NIC sedí za ...

Prostě ani forma (papírový dopis) ani obsah nejsou v pořádku.

Kdepak, naštěstí jsem na opačné straně :-)

Jak často se to generálním stává? Kolik vůbec lidí tuší jak "obrovský je to průšvih"?

A upřimně řečeno, pokud neporušíte ještě další bezpečnostní pravidla, tak to bezpečnostní riziko nebude zas tak obrovské.

Samozřejmě je možné tuto iniciativu uvítat. Co mně vadí je:
papírová forma - pokud je to tak závažné bezpečnostní riziko, tak mail je mnohem operativnější
vložená reklama - to si mohli odpustit

CZ.NIC prostřednictvím CSIRT.CZ bojuje i proti spamu, přitom ho tady generuje. Trochu to připomíná policistu kradoucího v samoobsluze.

To, že CZ.NIC má přebytek peněz a horko těžko vymýšlí, kam je vrazit, snad nikdo nepopře. Standardní organizace se nechová jako jedinec, ve standardní organizaci jedna ruka neví, co dělá druhá :-) Samozřejmě školení jsou prospěšná (akorát teda nevím, co by na to říkal ÚOHS, kdyby se zjistilo, že CZ.NIC tato školení dotuje z příjmů z domén, jak se snažíte navozovat)