Třetí pětiletku, období let 2008 – 2012, je možné nazvat dobou softwaru. Počet domén rychle rostl, jejich správa byla automatizovaná, a tak v rozpočtu sdružení začalo přebývat velké množství peněz. V roce 2008 bylo rozhodnuto o změně strategie sdružení, které se nově mělo věnovat podpoře internetové infrastruktury, bezpečnosti a stability internetu, podpoře nových technologií a osvětové činnosti. Výsledkem je vznik laboratoří CZ.NIC, které jako první převzaly open source směrovací démon BIRD , zavádění technologie DNSSEC, nebo třeba spuštění Edice , Akademie a konference Internet a technologie . V roce 2010 přišlo rozšíření do Brna, bylo spuštěno mojeID . Prvního listopadu 2011 přešel ze sdružení CESNET pod správu sdružení CZ.NIC národní bezpečnostní tým CSIRT.cz . Na konci roku 2012 mělo sdružení 54 zaměstnanců a milion registrovaných domén.

Systém DNS měl prvních několik let na starost Jon Postel, vymyslel například použití dvoupísmenných domén nejvyšší úrovně podle zkratek jednotlivých států. Na formální procesy si příliš nepotrpěl, pokud znal osobně někoho z dané země, prostě na něj delegoval doménu. Takto jednoduše se doména .cz octla ve správě Jiřího Orsága, zaměstnance výpočetního centra VŠCHT. Později přešel do soukromé společnosti a správa domény .cz s ním. V té době byl také iniciován vznik CZ-NIC, protože správa domény byla tehdy náročná a nevýdělečná činnost. Sdružení vzniklo 27. května 1998. První valnou hromadu svolával Jan Gruntorád, který dodnes působí jako ředitel sdružení CESNET.

Další známý internetový podnikatel, Josef Grill, se k registraci domén dostal vlastně omylem: „Během studií na právnické fakultě jsem chtěl registrovat doménu pro sebe, ale než jsem stihl vyřídit všechny papíry, zaregistroval ji někdo jiný. To se opakovalo vícekrát, až jsem se naučil registrovat domény sám. Pak to po mě chtěli i přátelé a na konci studií už jsem provozoval webhostingovou firmu.“ Ve svém příspěvku připomněl zajímavé momenty, které zažil s českou doménou ve společnostech Forpsi a WEDOS.

„Jeden kolega testoval funkčnost registračního systému skriptem, který se neustále pokoušel registrovat doménu nic.cz . Kvůli nějaké krátkodobé chybě na straně registru toto prošlo a stali jsme se tak na chvíli jejím držitelem.“ Situaci se však podařilo velmi rychle napravit.

O něco horší situace byla s doménou dpmb.cz . Z důvodu technické chyby ji její registrátor v září 2011 zrušil registraci. Když si toho všiml náhodný návštěvník, okamžitě doménu zaregistroval právě u hostingu WEDOS. „Začaly se dít věci. Na doménu byly navázány jízdní řády, zastávkové informační panely a podobně. Původní registrátor začal vyvíjet nátlak, že doménu musíme zákazníkovi sebrat a vrátit zpět.“ Nakonec došlo pouze k nastavení původních DNS serverů a vlastní převod domény na brněnský dopravní podnik byl posvěcen dohodou s novým držitelem. Mimochodem, právě tento incident pomohl otevření dat o poloze vozidel MHD v Brně, jak prozradil Martin Čežík v přednášce na konferenci OpenAlt 2014.

Josef Grill zmínil i vlastní průšvih s DNSSEC z dubna 2017, kdy se nepodařilo prodloužit platnost podpisů. „Opravu jsme měli během hodiny, ale dalších několik hodin trvalo přegenerovat 170 tisíc zón.“

Milan Behro přidal vzpomínky z pohledu společnosti Zoner. Ta byla založena v roce 1993 a už v roce 1996 se začala seznamovat s internetem. „Asi jsme byly první komerční specializovaná webhostingová firma v ČR.“ První problémy byly s umístěním serverů. „První servery jsme měli v USA. Vzhledem k tomu, že v ČR neexistoval peering a většina provozu šla přes USA, byla to výhodná pozice.“ Až do roku 2000 šlo o hosting na Windows, teprve později byly přidány linuxové servery.

Přidal i vzpomínku na časté spory o doménová jména v devadesátých letech: „Náš zákazník například měl doménu radegast.cz , nějak se nepohodl s Nomurou (tehdejší majitel pivovaru) a Jiří Orság jednoho dne doménu předelegoval, bez vědomí nás či našeho zákazníka.“

V roce 1996 založili v Zoneru také český informační server na doméně www.czechia.com , který měl sloužit jako univerzální webová stránka pro české podniky. „Lidé nevěděli, co internet je, běžně jsme registrovali domény a zřizovali hostingové služby pomocí papírových formulářů. Také jsme vydávali osvětové knihy, abychom lidem vysvětlovali, co vlastně internet je, a proč by se na něm lidé měli prezentovat.“

Česká veřejná správa a její domény

Zjistit, které všechny domény má veřejná správa, je netriviální úkol i s přístupem k registru. Jiří Průša objevil celkem asi 7200 doménových jmen veřejné správy. K hledání použil především databázi datových schránek. Nejoblíbenější koncovkou je .cz, oblíbená je i .eu. Zajímavým příkladem je obec Babice. Těch je v ČR celkem šest, ale ani jedna nepoužívá doménu babice.cz .

Co se týká ministerstev, nejvíce domén má ministerstvo vnitra – celkem 158. Z toho 77 domén je pouze variací domény mojedatovaschranka.cz s nejrůznějšími překlepy. Zřejmě jde o ochranu před typosquattingem. Zajímavé je, že státní správě nechybí kreativita. Třeba doména kupsilup.cz nabízí zboží zabavené z trestné činnosti.

Převod webových aplikací na Python 3

Python 3 je s námi už od roku 2007, verze pro produkční nasazení od roku 2008. V roce 2020 skončí podpora Pythonu 2.7, je tedy dobré do té doby přejít. Pro automatickou konverzi jsou k dispozici nástroje jako 2to3 , futurize , modernize , knihovny jako six , future , past .

Důležitá je podpora Python 3 v podpůrných knihovnách. To byl dříve problém, situace se ale výrazně zlepšuje. 349 z 360 nejpoužívanějších aplikací má podporu pro Python 3. Svůj projekt můžete ověřit utilitkou caniusepython3 . Klíčové je také testování. Dobré testy odhalí případné problémy při konverzi kódu. Rozhodně je dobré také předtím provést refactoring a odstranit zastaralé a nepotřebné kusy kódu.

CZ.NIC má zhruba 29 projektů, celkem asi sto tisíc řádků kódu. Projekty mají na sobě netriviální závislosti, také zhruba 50 externích závislostí. Z toho důvodu nešlo snadno přejít na Python 3 ostrým střihem, místo toho bylo potřeba postupně upravit všechny balíčky, aby fungovaly s Pythonem 2 i 3.

Nejdřív pomocí utility isort hromadně zapnuli podporu unicode_literals . Tím se všechny řetězce staly unicodovými. Nástroj autopep8 pak opravil syntaxi tak, aby byla kompatibilní s oběma verzemi Pythonu. Testování obstaral nástroj tox , který dokáže automaticky otestovat kód v mnoha různých verzích Pythonu. Vlastní převedený kód pak používá knihovnu six . Všechny výskyty unicode a str je třeba nahradit za six.text_type a six.binary_type . Taky je potřeba všechny binární soubory důsledně otevírat v binárním režimu.

Při psaní univerzálních zdrojových kódů by vždy měl být Python 2 speciální případ, Python 3 výchozí volba, ne naopak. To proto, že až/pokud vyjde Python verze 4, měl by běžet kód pro Python 3, nikoli ten pro Python 2; dá se předpokládat, že Python 4 bude syntakticky bližší Pythonu 3. „Konverze mezi textem a bajty by měla probíhat na hranicích kódu a vždy je dobré detailně dokumentovat rozhraní jednotlivých částí kódu,“ uzavřel svou přednášku Tomáš Pazderka.

Novinky v Knot DNS a Knot Resolver

U každého software je po čase potřeba provést refactoring a údržbu kódu. „Ve verzi 2.7 jsme provedli velkou údržbu knihoven, odstranili jsme přežitý kód. Snažili jsme se taky kód zrychlit,“ otevřel svou přednášku Daniel Salzman. Knihovny kromě Knot DNS používá i projekt Knot Resolver. Při refactoringu byly také zohledněny výsledky nedávného bezpečnostního auditu, který sice dopadl dobře, ale přesto měl několik doporučení. Bylo také odstraněno několik vrstev kompatibility se starými verzemi. „Doporučujeme proto přemigrovat nejméně na verzi 2.6. Odtud už je upgrade přímočarý.“

Knot také lépe využívá Linux Capabilities, namísto používání účtu root . Může tak být spuštěn pod neprivilegovaným uživatelem a ihned po otevření portu 53 se vzdát i této pravomoci. Jde však o čistě linuxovou funkci, na ostatních operačních systémech není k dispozici.

Knot 2.7 nabízí nové moduly: Query ACL slouží pro omezování dostupnosti zóny z konkrétních IP adres, modul GeoIP umožňuje úpravy DNS odpovědí na základě IP adresy nebo geografické polohy klienta. Nový modul implementuje protokol DNS Cookies. Ty se snaží do DNS přinést transakce. „V naší implementaci se při použití Cookies vypíná RRL , protože je zaručené, že zdrojová adresa není zfalšovaná.“ Změny se také dočkal modul pro on-line podepisování, umí rotovat klíče stejně jako při běžném podepisování.

Při obrovském množství malých zón se objevil problém s funkcí malloc v Glibc. Paměť se fragmentuje a může dojít až k jejímu vyčerpání. Pro náročné nasazení proto vývojáři nedoporučují malloc , ale například jemalloc , nebo TCMalloc .

Knot se také stal součástí projektu OSS-Fuzz. Ten provádí kontinuální fuzzing open source softwaru. Objevené chyby jsou zveřejněné nejpozději po 90 dnech – to motivuje vývojáře se o svůj projekt dobře starat. „Když jsme testování spustili, objevily se pouze tři malé problémy v knihovně libzscanner , které však neměly ani velký význam z pohledu bezpečnosti.“

Knot Resolver má nově podporu agresivního kešování pro zóny s NSEC3. Nový je také modul pro přednačtení kořenové zóny, který si přáli velcí provozovatelé. Naopak byly odstraněny moduly DNS Cookies a Version – šlo o velmi ranou implementaci DNS cookies, která nepracovala v souladu s aktuálním standardem a je třeba ji přepsat.

Hledání anomálií v DNS provozu

Projekt Advanced DNS Analysis and Measurements představil Maciej Andziński. Cílem projektu je objevit anomálie v DNS provozu autoritativních serverů domény .cz . Data se sbírají pomocí PCAP a posílají se do Hadoop clusteru, kde se nad nimi provádí analýzy různými metodami strojového učení. Data se agregují, následně se na nich počítají nejrůznější statistiky, například amplifikační faktor, entropie zdrojových portů a hodnoty query id, použité příznaky a další. Celkem se počítá 18 parametrů.

Vyhodnocení anomálního provozu probíhá porovnáním vzdálenosti určitých parametrů od průměrné hodnoty; pro analýzu dvou parametrů je možné hodnoty vynést do grafu a následně jako anomální vyhodnotit každý provoz, který vybočí z normálních hodnot stanovených kruhem kolem většinové hodnoty. Pro 18 hodnocených parametrů systém pracuje obdobně, jen jde o 18rozměrný prostor, kde hranici mezi normálním a anomálním provozem tvoří 18rozměrné těleso.

Pro získání dat z reálných DNS resolverů byl použit systém RIPE Atlas. Po naučení systému drtivá většina reálných DNS resolverů nebyla vyhodnocena jako anomálie, naopak známé skenery typu zonemaster byly okamžitě detekovány jako skenery. Jedinou výjimkou byl nástroj DNSviz, který zřejmě velmi věrně imituje chování skutečného resolveru.