Hlavní navigace

Problémy datových schránek pokračují: informační web byl půl dne mimo provoz

18. 11. 2014
Doba čtení: 8 minut

Sdílet

 Autor: Datové schránky
Vypadalo to jako únos domény datoveschranky.info někam do zahraničí. Ve skutečnosti byla doména jen dočasně zablokována kvůli nepotvrzenému požadavku na změnu kontaktních údajů.

Web, provozovaný na adrese www.datoveschranky.info, se sám prezentuje jako „Oficiální informační web o datových schránkách“. Podepsáno je pod ním Ministerstvo vnitra, a jako provozovatel pak Česká pošta.

Mohlo by se zdát, že nedostupnost „pouhého“ informačního webu nebude až tak kritická (na rozdíl třeba od „ostrého“ webu datových schránek, který najdete na úplně jiné adrese). Ale není to tak.

Již jen pouhá ztráta schopnosti udržet tento web dostupný a v řádném provozu může významně nabourat důvěru v jiné systémy, provozované státem. Zvláště bolestné to pak může být v situaci, kdy stát čím dál tím více tlačí na to, aby s ním lidé i firmy komunikovali již výhradně elektronicky, a chystá se to vymáhat i automaticky udělovanými pokutami.

Právě minulý pátek (14.11.2014) dopoledne ale k takovéto situaci došlo: oficiální informační web o datových schránkách, na adrese http://www.datoveschranky.info byl několik hodin nedostupný. Povšiml si toho i jeden ze čtenářů Lupy, v diskusi pod tímto článkem.

Byl to únos domény?

Sám jsem si nedostupnosti předmětného webu všiml hned ráno a jal se zjišťovat, co je příčinou. Ping se zdál být v pořádku, tak jsem zkusil traceroute. Ten ale dopadl „divně“: vedl někam do zahraničí, na IP adresu 194.245.148.187.

Dalším krokem pak bylo zjištění, že jde o adresu v Německu, u firmy CSL Computer Service Langebach Gmbh, působící jako registrátor joker.com.

První, co mne v tuto chvíli napadlo, byl únos domény (DNS Hijack) – usilující o takovou změnu v doméně datoveschranky.info, aby se uživatelé po zadání www.datoveschranky.info dostali na nějaký jiný (podvržený) web. Jaký by to ale mělo smysl, u „pouhého“ informačního webu? A proč se z nové adresy „nic neozývalo“?

No, už jen samotný „únos“ a podstrčení nějakého jiného obsahu by mohlo mít významné dopady na již zmiňovanou důvěryhodnost. Jenže zde byla ještě jedna důležitá věc: po mnoha letech, kdy na informačním webu z bezpečnostních důvodů nebyl žádný proklik na „ostré“ datové schránky (na adresu www.mojedatovaschranka.cz), se zde tento proklik objevil. Zřejmě někdy v říjnu, v důsledku pořízení SSL certifikátu a přechodu na zabezpečený způsob komunikace s informačním webem datových schránek.

Takže pokud by se někomu podařilo „unést“ doménu datoveschranky.info s informačním webem, mohl by ty uživatele, kteří se chtějí dostat na „ostré“ datové schránky skrze onen nově přidaný proklik, přesměrovat na nějaký podvržený web, napodobující ten pravý. A pak by mohl již snadno získávat jejich přihlašovací údaje k datovým schránkám.

Jednoduchým pohledem do údajů o doméně v DNS se ukázalo, že k poslední změně došlo inkriminovaný pátek v ranních hodinách, a podstatou zřejmě byla změna name serverů: nově to byly name servery zahraničního registrátora (joker.com). Navíc se jménem „pending-verification.joker.com“, naznačujícím čekání na ověření něčeho, asi dosti podstatného.

No a právě tyto nové nameservery způsobovaly, že překlad symbolického doménového jména www.datoveschranky.info vedl na onu IP adresu 194.245.148.187 (viz první obrázek s traceroutem). Jenže na ní „nic nebylo“, a doména tak byla fakticky zablokována.

Navíc, po zadání samotného doménového jména datoveschranky.info (tj. bez úvodního „www“), se přímo objevila stránka, hovořící o suspendování registrace domény, a tím i o jejím zablokování, do úspěšného ověření.

Tato stránka současně uváděla tři možné důvody pro suspendování:

  • úplně novou registraci
  • převod domény
  • změnu údajů o držiteli domény

Kromě první možnosti, která v případě již používané domény datoveschranky.info nepřipadá v úvahu, by obě zbývající možnosti skutečně mohly naznačovat pokus o únos domény: někomu se asi podařilo nějak podvrhnout požadavek na převod domény. Ale ne úplně: původní stav sice již přestal platit (proto původní web již nebyl dostupný), ale nový stav ještě navozen nebyl. A místo toho byla doména suspendována a čekala na ověření. Proto se uživatelé, po zadání www.datoveschranky.info, nemohli dostat ke kýženému obsahu „oficiálního informačního webu datových schránek“.

Taková alespoň byla moje hypotéza, se kterou jsem kontaktoval držitele domény datoveschranky.info. Vycházel jsem přitom i z předpokladu, že suspendování, resp. zablokování, nějaké běžně používané domény je už velmi závažné opatření, které může způsobit nemalou škodu – a proto by mělo být reakcí na hrozbu něčeho opravdu nebezpečného, co nesnese odkladu.

Nebyl to únos

Nakonec to nebylo tak dramatické, a žádný pokus o únos domény datoveschranky.info se na štěstí nekonal. Původní stav (s původními name servery) byl obnoven za necelé 4 hodiny. Co se ale stalo? Co bylo příčinou celého popisovaného incidentu?

Vše nasvědčuje tomu, že zde došlo k nepříjemnému souběhu dvou faktorů:

  • aplikaci nového pravidla ICANNu, podle kterého musí být při převodech domén a změnách kontaktních údajů držitelů domén nové hodnoty kontaktních údajů dodatečně (do 15 dnů) ověřeny. Jinak musí dojít k suspendování registrace domény (a tím k jejímu zablokování).
  • skutečnosti, že držitel domény datoveschranky.info (na Ministerstvu vnitra ČR) takovéto ověření včas neprovedl.

Aplikování nového pravidla ICANNu koresponduje s tím, co uváděla webová stránka na dosud posledním obrázku: vyzývala držitele domény k ověření jeho nových kontaktních údajů. Jenže to by opět mohlo naznačovat pokus o únos: pokoušel se někdo změnit kontaktní údaje držitele domény? A tím si ji nějak převést na sebe?

Pravdou je, že ke změně držitele domény datoveschranky.info došlo. Původně, již v roce 2008, si tuto doménu zaregistrovala „na sebe“ (konkrétně: na osobu pana Vlastimila Cejpa) společnost e-invent, která pro MV ČR vytvořila i samotný informační web datových schránek. Doménu registrovala právě u německé společnosti CSL Computer Service Langebach Gmbh (působící jako registrátor joker.com), přes jejich českého partnera ZONER.

Pak ale, nejspíše i po vlně kritiky, došlo k převodu domény na Ministerstvo vnitra, konkrétně na pana Ing. Ladislava Řeháka. Tento převod ale dodnes není „úplně dokonalý“. Jak ukazuje následující obrázek, změněno například nebylo faxové číslo na držitele domény – a dodnes je v DNS uvedeno číslo, používané společností e-invent.

Už jen tato „drobná nedokonalost“ může způsobit pěkný problém: co když nyní šla žádost o ověření faxem, právě na toto nesprávné faxové číslo? To telefonní číslo (pro hlasové volání) na držitele domény změněno bylo (a už zde není číslo, používané společností e-invent). Nicméně jde o číslo na telefonní ústřednu MV ČR – a když jsem na něj v pátek volal, žádného Ing. Ladislava Řeháka zde neznali a nebyli schopni mi jej spojit.

Ale zpět k podstatě: k převodu domény na MV ČR a pana Řeháka došlo již před několika lety. Tak proč nyní vznikl nějaký požadavek na ověření nových (nově změněných) kontaktních údajů, aby zaúčinkovalo nové pravidlo ICANNu? Měnil před 15 dny někdo (samozřejmě někdo k tomu oprávněný) něco na kontaktních údajích držitele domény datoveschranky.info z MV ČR? A co – když to očividně nebylo špatné číslo faxu, které dosud změněno nebylo?

Možnou odpověď na tuto otázku dává následující obrázek, který detailněji srovnává údaje o držiteli domény z listopadu 2013 (oba horní obrázky), pak po změně k 30.10.2014 (prostřední obrázek), a pak o 15 dnů později (ke 14.11.2014, spodní obrázek):

Jak je z obrázku patrné, nově (od 30.10.2014) se v záznamech objevuje položka

Registrant Street: Nad Stolou 3

Zřejmě tedy ten, kdo se o doménu datoveschranky.info dnes stará, považoval za potřebné tuto položku přidat. Učinil tak, a položka skutečně byla přidána (30.10.). Jenže podle nových pravidel ICANNu to způsobilo onu žádost o dodatečné ověření nových kontaktních údajů, a toto ověření včas nepřišlo. A tak po 15 dnech (14.11.) došlo k popisovanému zablokování domény …..

Ponaučení na závěr

Podle toho, co se mi při přípravě článku podařilo zjistit, se o doménu datoveschranky.info (stejně jako o samotný informační web datových schránek) dnes stará (jako správce/admin) Česká pošta, a nikoli již společnost e-invent (která původně byla i držitelem domény). To ale neodpovídá tomu, že v DNS je jako správce stále ještě uvedena společnost e-invent.

Další postřeh se týká popisovaného pravidla ICANNu: na jedné straně má logiku v tom, že je třeba mít v DNS aktuální a funkční kontaktní údaje (alespoň na držitele domén). Na druhou stranu opatření ve stylu: „pokud včas neprovedete ověření již provedených změn, doménu vám zablokujeme“, mi přijde dosti drastické. Mělo by se týkat jen tzv. generických TLD, jako je právě .info, a nikoli národních domén nejvyšší úrovně (ccTLD), a pouze změn v držení domény. Ale i tak: dosavadní praxe je spíše taková, že pokud není vše v pořádku, včetně všech potřebných ověření, nejsou žádné změny vůbec provedeny, a původní stav se nemění.

Nové pravidlo ICANNu to ale mění: změna je nejprve provedena (samozřejmě musí jít o oprávněnou žádost o změnu), ale pak se ještě dodatečně ověřuje správnost toho, co změna navodila. Tedy nových, resp. změněných údajů. Může to zafungovat jako určitá pojistka pro případ, že by se zadavatel změny spletl a ve své jinak oprávněné žádosti (nejspíše omylem) uvedl nesprávné kontaktní údaje.

Ale stejně tak – pokud držitel domény není „dostatečně responzivní“ – může toto opatření vést k úplnému zablokování webu, na jehož provozu může dost záležet. Jako se stalo právě v popisovaném případě.

O to větší důvod proto shledávám k tomu, aby se veřejná správa v ČR (tedy jak státní správa, tak i samospráva) řádně starala o používané domény. A také aby využívala domény pod českou národní TLD .cz. Nejenom z nějakých „vlasteneckých“ důvodů, ale třeba právě kvůli vzniku a řešení nejrůznějších problémů a sporů, které mohou vznikat. Ale i kvůli jejich předcházení.

V případě „tuzemských“ domén je to snazší i díky tomu, že správcem české národní TLD .cz je tuzemský subjekt (sdružení CZ.NIC), spadající do české jurisdikce. A jelikož jde o národní a nikoli generickou doménu nejvyšší úrovně, ono nové (a podle mne ne úplně domyšlené) pravidlo ICANNu o suspendování se zde neuplatňuje. Naopak jsou k dispozici různé další možnosti a nástroje pro ochranu domén, jako je třeba zamykání různých změn, technologie DNSSEC atd.

Pravdou je, že rozhodující většina tuzemských serverů z oblasti veřejné správy je provozována na doménách pod TLD .cz. Některé, jako třeba Portál veřejné správy, dokonce i na doméně gov.cz, která je také v držení Ministerstva vnitra a která je (alespoň podle mého názoru) pro „státní“ weby nejvhodnější.

BRAND24

Významnou výjimkou je ale právě Oficiální informační web datových schránek, provozovaný na doméně datoveschranky.info. A jeho správce i provozovatel, tedy Ministerstvo vnitra a Česká pošta, v dnes popisované kauze prakticky pocítili negativní důsledky tohoto řešení.

Kéž by to stačilo k docenění, že to opravdu není vhodné řešení, a k jeho nápravě.

Byl pro vás článek přínosný?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).