Cache Poisoning is an old story dated mid 1990s. In 2008 the renewed problem of Cache Poisoning called Cross-Pollination was broadly announced and patches and hints how to prevent such attack distributed. I have also participated in the process of informing .PL customers about the potential threats. We had publications explaining what the problem is and how to deal with it. After reading about Bradesco, I decided to check how the financial industry responded to that threat after one year...
What I have found?
Some banks in Poland are still vulnerable to Cross-Pollination, the most well known hole in DNS since last year... Let's take a look at the recent data...
Highly vulnerable
DNS servers of the banks and the financial institutions that are highly vulnerable:
Santander Consumer Bank name server PERSEUS.BANCOSANTANDER.ES NS is highly vulnerable.
KRD name server LUK.DEPT.PL NS is highly vulnerable
Bank Polskiej Spoldzielczosci name server NS1.ETELBANK.PL is highly vulnerable
Noble Bank status change, see below.
It's important that administrators of the IT infrastructure in the mentioned banks must act quickly to patch the hole.
Vulnerable
ING BANK: all servers "vulnerable"
AIG: status change on May 4, see below
DOMBANK: status change on May 4, see below
BPH PBK: just one server "vulnerable"
Banks that corrected their DNS after my blog was posted
NOBLE BANK name server NS3.EO.PL was highly vulnerable on April 24, 2009. After checking servers on May 4, 2009, all names servers are OK.
AIG: all servers were "vulnarable" on April 24, 2009. After checking on May 4, 2009, all name servers are OK.
DOMBANK: two servers were "vulnerable" on April 24, 2009. After checking on May 4, 2009, all name servers are OK.
Congratulations to IT staff of those banks - well done!
Safe
All other banks are safe at least in case of Cross Pollination threat.
Methodology
How I did the checks? I have checked the Name Servers using recursive.IANA.org service. Checks were repeated to ensure about the results.
Results can be found here. As you see, there is still a lot to do about security in financial sector...
Wednesday, 29 April 2009
Monday, 27 April 2009
ISP zaglądają w pakiety i na tym zarabiają
Kongres amerykański, a dokładniej „Subcommittee on Communications, Technology, and the Internet” Izby Reprezentantów[1] prowadził „publiczne wysłuchania” na temat zastosowania metody głębokiej analizy pakietów (Deep Packet Inspection; DPI).
Celem wysłuchania było określenie, w jaki sposób takie metody monitorowania aktywności internautów – takie jak DPI – są faktycznie wykorzystywane. Bardzo często dostawcy Internetu dokonują nie tylko analizy nagłówków pakietów (co jest niezbędne do funkcjonowania sieci), ale także analizują zawartość tego, co jest przesyłane od użytkownika do użytkownika nie w celu jego ochrony, ale zarobienia na nim dodatkowych pieniędzy. Taka analiza ma jednak swoje dobre i złe strony.
Złe strony to oczywiście kwestia prywatności, a dokładniej jej brak. Nie wyszystko da się zaszyfrować – przesyłanie danych ze strony np. Webhosting.pl, Onet.pl czy większości informacyjnych oraz społecznościowych stron nie podlega szyfrowaniu i tekst (zupełnie ze zrozumiałych powodów) jest przesyłany w sposób otwarty. Ba, nawet większość e-sklepów w Internecie wymianę danych między witryną a użytkownikiem, do momentu rozpoczęcia dononywania płatności, przesyła w sposób otwarty.
ISP, który chce poznać „preferencje”użytkownika, może dokonywać analizy zawartości pakietów i na tej podstawie np. dostarczać odpowiednie reklamy (polska nazwa to „targetowaniem behawioralnym”).
W trakcie debaty w komisji to, co zakwalifikowałem powyżej jako „zła strona”, było oczywiście przedstawiane przez przedstawicieli ISP jako zaleta i wartość dodana dla użytkownika. Co ciekawe, mimo że debata dotyczyła rynku amerykańskiego, pojawiła się wzmianka na temat działań Viviane Redding w sprawie dopuszczenia przez rząd Wielkiej Brytania (poprzez brak odpowienich legislacji) funkcjonowaniu rozwiązań firmy Phorm (www.phorm.com).
Zdaniem Viviane Redding legalizacja funkcjonowania Phorm i podobnych rozwiązań jest sprzeczna z Dyrektywą UE z 1995 roku (95/46/EC)[2] w zakresie ochrony danych osobowych oraz Dyrektywą UE z 2002 roku w sprawie przetwarzani danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (2002/58/EC) [3].
Zaletą DPI jest niewątpliwie bezpieczeństwo teleinformatyczne. Tylko dzięki DPI można skutecznie walczyć ze spamen, wykrywać ataki sieciowe, wirusy czy malware. DPI pomaga w walce z próbami instalowania trojanów, ataków typu phishing czy też kradzieży tożsamości. Najciekawsze jest jednak to, że ISP nie są zainteresowani zastosowanie DPI w celu ochrony użytkowników przed zagrożeniami sieciowymi (bo to kosztuje, a zysk z tego jest niewielki lub żaden), ale właśnie z punktu widzenia „targetowania behawioralnego”.
Tłumaczyć całych wypowiedzi uczestników spotkania nie zamierzam, warto jednak zaglądnąć do tych materiałów, jeśli ktoś jest zainteresowany tematyką (zarówno z punktu widzenia użytkownika Internetu, firmy zajmującej się marketingiem czy też ISP).
Muszę przyznać, że uczestnicy tej konkretnej debaty byli dobrze przygotowani, a materiały zamieszczone w Sieci mogą być dobą ściągawką z argumentami zarówno dla zwolenników, jak i przeciwko DPI. Niewątpliwie temat jest aktualny i można się spodziewać, że podobne debaty będą coraz częściej prowadzone nie tylko w USA, ale także w Europie, tym bardziej, że Unia Europejska ma przed sobą starcie z rzadem Wielkiej Brytanii w sprawie Phorm...
Literatura:
[1] House.gov
[2] Directive 95/46/EC
[3] Directive 2002/58/EC
Celem wysłuchania było określenie, w jaki sposób takie metody monitorowania aktywności internautów – takie jak DPI – są faktycznie wykorzystywane. Bardzo często dostawcy Internetu dokonują nie tylko analizy nagłówków pakietów (co jest niezbędne do funkcjonowania sieci), ale także analizują zawartość tego, co jest przesyłane od użytkownika do użytkownika nie w celu jego ochrony, ale zarobienia na nim dodatkowych pieniędzy. Taka analiza ma jednak swoje dobre i złe strony.
Złe strony to oczywiście kwestia prywatności, a dokładniej jej brak. Nie wyszystko da się zaszyfrować – przesyłanie danych ze strony np. Webhosting.pl, Onet.pl czy większości informacyjnych oraz społecznościowych stron nie podlega szyfrowaniu i tekst (zupełnie ze zrozumiałych powodów) jest przesyłany w sposób otwarty. Ba, nawet większość e-sklepów w Internecie wymianę danych między witryną a użytkownikiem, do momentu rozpoczęcia dononywania płatności, przesyła w sposób otwarty.
ISP, który chce poznać „preferencje”użytkownika, może dokonywać analizy zawartości pakietów i na tej podstawie np. dostarczać odpowiednie reklamy (polska nazwa to „targetowaniem behawioralnym”).
W trakcie debaty w komisji to, co zakwalifikowałem powyżej jako „zła strona”, było oczywiście przedstawiane przez przedstawicieli ISP jako zaleta i wartość dodana dla użytkownika. Co ciekawe, mimo że debata dotyczyła rynku amerykańskiego, pojawiła się wzmianka na temat działań Viviane Redding w sprawie dopuszczenia przez rząd Wielkiej Brytania (poprzez brak odpowienich legislacji) funkcjonowaniu rozwiązań firmy Phorm (www.phorm.com).
Zdaniem Viviane Redding legalizacja funkcjonowania Phorm i podobnych rozwiązań jest sprzeczna z Dyrektywą UE z 1995 roku (95/46/EC)[2] w zakresie ochrony danych osobowych oraz Dyrektywą UE z 2002 roku w sprawie przetwarzani danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (2002/58/EC) [3].
Zaletą DPI jest niewątpliwie bezpieczeństwo teleinformatyczne. Tylko dzięki DPI można skutecznie walczyć ze spamen, wykrywać ataki sieciowe, wirusy czy malware. DPI pomaga w walce z próbami instalowania trojanów, ataków typu phishing czy też kradzieży tożsamości. Najciekawsze jest jednak to, że ISP nie są zainteresowani zastosowanie DPI w celu ochrony użytkowników przed zagrożeniami sieciowymi (bo to kosztuje, a zysk z tego jest niewielki lub żaden), ale właśnie z punktu widzenia „targetowania behawioralnego”.
Tłumaczyć całych wypowiedzi uczestników spotkania nie zamierzam, warto jednak zaglądnąć do tych materiałów, jeśli ktoś jest zainteresowany tematyką (zarówno z punktu widzenia użytkownika Internetu, firmy zajmującej się marketingiem czy też ISP).
Muszę przyznać, że uczestnicy tej konkretnej debaty byli dobrze przygotowani, a materiały zamieszczone w Sieci mogą być dobą ściągawką z argumentami zarówno dla zwolenników, jak i przeciwko DPI. Niewątpliwie temat jest aktualny i można się spodziewać, że podobne debaty będą coraz częściej prowadzone nie tylko w USA, ale także w Europie, tym bardziej, że Unia Europejska ma przed sobą starcie z rzadem Wielkiej Brytanii w sprawie Phorm...
Literatura:
[1] House.gov
[2] Directive 95/46/EC
[3] Directive 2002/58/EC
Friday, 24 April 2009
Modyfikacja założeń NASK przedstawionych na konferencji
Biorąc pod uwagę sugestie zgłaszane przez naszych Partnerów podczas konferencji NASK, pt. „Future Business Trends in the Domain Industry”, a także uwagi przekazywane nam bezpośrednio przez naszych Partnerów przez ostatni tydzień, NASK postanowił dokonać modyfikacji przedstawionych tydzień temu założeń nowej umowy.
Ponieważ temat, jak widać z relacji z konferencji, budzi wiele emocji nie tylko wśród Partnerów, ale także innych osób, które bądź rozważają podpisanie umowy, bądź też inwestują w rejestrację domen, postanowiłem o modyfikacji założeń napisać na forum publicznym. Blog ma tą zaletę, że jego zasięg jest znacznie większy niż jakakolwiek rozsyłana korespondencja, tym bardziej, że zmiany w systemie NASK dotyczą nie tylko obecnych Partnerów, ale mają wpływ na tych, którzy dopiero planują z NASK zawrzeć umowy partnerskie.
Zmiany zaproponowane w ostatnim tygodniu przez Partnerów, które zamierzamy uwzględnić, to:
Mam nadzieję, że zmiany te powinny rozwiązać większość zgłaszanych przez Partnerów problemów, a tym samym wyjść naprzeciw klientowi końcowemu. Umowa obejmująca te zmiany będzie dostępna (ale tylko dla Partnerów), jak już wspominałem wcześniej, zaraz po „długim” weekendzie.
Przypisy:
[1]Jak się okazuje, nadal bardzo dużo osób korzysta z przelewów bankowych zamiast płatności kartą kredytową, a tym samym możliwość rezerwacji, a dopiero później rejestracji domeny jest istotnym elementem biznesu niektórych Partnerów. Jednocześnie zakładam, że jeśli operacja rezerwacji będzie w jakiś szczególny sposób nadużywana, to wprowadzimy jednak opłatę 10 groszy w przyszłości, bądź będziemy ten problem rozwiązywali w innych sposób.
[2] Opłata ta będzie obowiązywała dopiero od 2010 roku.
Ponieważ temat, jak widać z relacji z konferencji, budzi wiele emocji nie tylko wśród Partnerów, ale także innych osób, które bądź rozważają podpisanie umowy, bądź też inwestują w rejestrację domen, postanowiłem o modyfikacji założeń napisać na forum publicznym. Blog ma tą zaletę, że jego zasięg jest znacznie większy niż jakakolwiek rozsyłana korespondencja, tym bardziej, że zmiany w systemie NASK dotyczą nie tylko obecnych Partnerów, ale mają wpływ na tych, którzy dopiero planują z NASK zawrzeć umowy partnerskie.
Zmiany zaproponowane w ostatnim tygodniu przez Partnerów, które zamierzamy uwzględnić, to:
* Brak pobierania opłaty 10 gr za udaną[1] operację rezerwacji domeny. Nieudana operacja rezerwacji nadal będzie płatna. Zdaję sobię sprawę, że jest to pewien wyłom w zasadach, które planowaliśmy wprowadzić, ale argumenty naszych Partnerów były na tyle istotne, że postanowiliśmy zaryzykować, licząc na to, że tzw.”book” nie będzie nadużywany.
*Zamiast opłaty administracyjnej[2] w wysokości 20/15/5 zł (odpowienio domena .PL, domena funkcjonalna i regionalna) za „wyciągnięcie” domeny z blokady, będzie to opłata odpowiednio 4/3/1 zł. Co to jest opłata administracyjna – odsyłam do materiałów z konferencji.
Mam nadzieję, że zmiany te powinny rozwiązać większość zgłaszanych przez Partnerów problemów, a tym samym wyjść naprzeciw klientowi końcowemu. Umowa obejmująca te zmiany będzie dostępna (ale tylko dla Partnerów), jak już wspominałem wcześniej, zaraz po „długim” weekendzie.
Przypisy:
[1]Jak się okazuje, nadal bardzo dużo osób korzysta z przelewów bankowych zamiast płatności kartą kredytową, a tym samym możliwość rezerwacji, a dopiero później rejestracji domeny jest istotnym elementem biznesu niektórych Partnerów. Jednocześnie zakładam, że jeśli operacja rezerwacji będzie w jakiś szczególny sposób nadużywana, to wprowadzimy jednak opłatę 10 groszy w przyszłości, bądź będziemy ten problem rozwiązywali w innych sposób.
[2] Opłata ta będzie obowiązywała dopiero od 2010 roku.
Wednesday, 22 April 2009
Kolejny bank ofiarą sieciowego ataku cache poisoning
Tym razem atak nastąpił na brazylijski bank i polegał on na przekierowaniu ruchu do fałszywej strony. Chodzi o Bradesco – jeden z największych bankow w Ameryce Łacińskiej, obsługujący ponad 40 milionów klientów.
Użytkownik systemu bankowości elektronicznej wpisywał w przeglądarce właściwą nazwę domenową, ale serwer DNS u ISP, zamiast prawdziwego adresu IP, podawał fałszywy, „wstrzyknięty” do DNS przez hakerów.
O cache poisoning pojawiło się już bardzo wiele materiałów w roku 2008 na stronach m.in. na łamach Webhosting.pl, a światowe agencje informacyjne podniecały się „Dan Kaminsky vulnerability” przez kilka miesięcy. Mimo to, jak widać, nie wszyscy ISP zrozumieli, że problem istnieje i może mieć poważne konsekwencje.
Ataki typu cache-poisoning zdarzają się dość często, mimo że wszyscy wiedzą (przynajmniej teoretycznie), jak z tym walczyć. Część ataków zapewne nawet jest niewykrywanych, bo celem hakerów nie jest zwrócenie na siebie uwagi, tylko zarobienie pieniędzy.
Po co więc wspominam ten problem i mówię o tym konkretnym ataku w Brazylii. Otóż nadal w Polsce część serwerów jest narażona na ataki tego typu i administratorzy nie wzięli pod rozwagę informacji o tym zagrożeniu. Warto więc uczyć się na cudzych błędach i sprawdzić jeszcze raz, czy aby nasze serwery DNS są bezpieczne.
Jeśli teraz choć kilku administratorów sprawdzi, czy ich serwery DNS są odporne na cache poisoning (może mieli np. upgarde oprogramowania i przypadkowo utracili randomizację odpowiedzi DNSowych?), to bezpieczeństwo naszego Internetu poprawi się chociaż troszeczkę.
Użytkownik systemu bankowości elektronicznej wpisywał w przeglądarce właściwą nazwę domenową, ale serwer DNS u ISP, zamiast prawdziwego adresu IP, podawał fałszywy, „wstrzyknięty” do DNS przez hakerów.
O cache poisoning pojawiło się już bardzo wiele materiałów w roku 2008 na stronach m.in. na łamach Webhosting.pl, a światowe agencje informacyjne podniecały się „Dan Kaminsky vulnerability” przez kilka miesięcy. Mimo to, jak widać, nie wszyscy ISP zrozumieli, że problem istnieje i może mieć poważne konsekwencje.
Ataki typu cache-poisoning zdarzają się dość często, mimo że wszyscy wiedzą (przynajmniej teoretycznie), jak z tym walczyć. Część ataków zapewne nawet jest niewykrywanych, bo celem hakerów nie jest zwrócenie na siebie uwagi, tylko zarobienie pieniędzy.
Po co więc wspominam ten problem i mówię o tym konkretnym ataku w Brazylii. Otóż nadal w Polsce część serwerów jest narażona na ataki tego typu i administratorzy nie wzięli pod rozwagę informacji o tym zagrożeniu. Warto więc uczyć się na cudzych błędach i sprawdzić jeszcze raz, czy aby nasze serwery DNS są bezpieczne.
Jeśli teraz choć kilku administratorów sprawdzi, czy ich serwery DNS są odporne na cache poisoning (może mieli np. upgarde oprogramowania i przypadkowo utracili randomizację odpowiedzi DNSowych?), to bezpieczeństwo naszego Internetu poprawi się chociaż troszeczkę.
Monday, 20 April 2009
Po konferencji Future Business Trends in the Domain Industry
Chciałbym podziękować Państwu za udział w konferencji “Future Business Trends in the Domain Industry”. Mam nadzieję, że konferencja podobała się Państwu. Każda z prezentacji była moim zdaniem ciekawa, choć oczywiście: o gustach się nie dyskutuje.
Dla mnie ciekawa była prezentacja Jamesa Tuplina z NameDrive o przyszłości domen i parkingu w 2011. Zobaczymy, czy przewidywania Jamesa dotyczące rozmiaru rynku parkingu (20%) się sprawdzą. Trzymam w każdym razie kciuki za jego prognozy.
Piękna Kamila z Sedo pokazała interesujące dane na temat wydatków na reklamę online, porównała poszczególne rejestry pod kątem sprzedaży na aftermarket, a także... nie zabrakło reklamy samego Sedo. Tajemniczy konkurs Sedo też był ciekawy, szczególnie, że główna nagroda została skradziona :).
Z kolejnych prezentacji mnie osobiście podobała się prezentacja Dropped.pl – konkretnie i na temat (jak zawsze Michał), co będzie w najbliższej przyszłości, jak aftermarket będzie się rozwijał, zarówno na świecie jak i w zakresie konkretnych rozwiązań w Polsce. Wiedza ta generalnie jest dostępna, ale dobrze, że została zebrana w jednej prezentacji i porządnie usystematyzowana. Rozumiem, że wyzwaniem dla NASK będzie wdrożenie renew dla opcji. Poczekamy, zobaczymy...
Interesujace były też prezentacje dotMobi i dotTel – widać, że chłopaki wreszcie zaczęli konkurować ze sobą. Dotychczas dotMobi było „bezpłcowie” – teraz idą w kierunku Instant Mobilizer’a, mam nadzieję, że wypromują to narzędzie. Może też dotMobi nawiąże konktakty z operatorami UMTS w celu promocji idei „umobilniania” stron? Uczestnicy konferencji mogli też zapoznać się z tym, jak działają domeny dotTel, chociaż mam wątpliwości, ile osób cokolwiek zrozumiało, jak Jim doszedł do opowiści o rekordach NAPTR.
Bardzo ciekawą prezentację miał Michiel Henneke z SIDN. Szczegółowe porówanie poszczególnych TLD na aftermarket (gdzie ta Polska?; AT, NL i FR to nowe gwiazdy), porównanie wzrostu NL i grupy pozostałych dominujacych TLD na przestrzeni ostatnich lat (ccTLD zawsze wygrywa i daje stabilność biznesu) oraz pozycjonowanie Google na tle „direct navigation” daje do myślenia.
Największe podniecenie na sali wprowadziła jednak Monika z NASK. System pre-paid oraz opłaty za nieudane rejestracje wzbudziły niewątpliwe emocje. Dyskusja na sali oraz już po konferencji pozwoliła według mnie na dogłębne wyjaśnienie, jakie zmiany planowane są do wprowadzenia w rejestrze, a jeśli nie, to na początku maja zgodnie z obietnicą, NASK udostępni wzór umowy, w którym wszystkio jest dokładnie opisane.
Chciałbym też dodać, że błędnym jest myślenie, jakoby zmiany miały zasadniczy wpływ na protokół. W protokole EPP pojawi się tylko jedna nowa komenda - komenda sprawdzająca stan konta Partnera. Całość zmian występuje w sferze biznesowej (zarówno po stronie NASK jak i Partnera), nie ma natomiast wpływu na sam protokół komunikacji. Oczekiwanie przez Partnera na udostępninie systemu testowego i dokumentacji EPP (będzie w lipcu 2009) to tylko strata czasu – należy zastanowić się przede wszystkim nad dostosowaniem swojego systemu od strony procesów biznesowych, a nie samej komunikacji z NASK, bo w tym obszarze nie będzie praktycznie zmian i można to zrobić w kilka dni.
W trakcie konferencji, na moją prośbę, pojawiły się także konkretne pomysły, jakie usługi NASK powinien wdrożyć w przyszłości. Pierwszy pomysł to reklamy w WHOIS (pole na obrazek z grafiką + pole tekstowe do umieszczenia np. linku do aukcji), drugi to oczywiście renew dla opcji, a trzeci to „direct debit” dla Partnerów.
Wszystkie prezentacje i audio jest dostępne na stronie NASK: www.SecondaryMarket2009.pl.
Dla mnie ciekawa była prezentacja Jamesa Tuplina z NameDrive o przyszłości domen i parkingu w 2011. Zobaczymy, czy przewidywania Jamesa dotyczące rozmiaru rynku parkingu (20%) się sprawdzą. Trzymam w każdym razie kciuki za jego prognozy.
Piękna Kamila z Sedo pokazała interesujące dane na temat wydatków na reklamę online, porównała poszczególne rejestry pod kątem sprzedaży na aftermarket, a także... nie zabrakło reklamy samego Sedo. Tajemniczy konkurs Sedo też był ciekawy, szczególnie, że główna nagroda została skradziona :).
Z kolejnych prezentacji mnie osobiście podobała się prezentacja Dropped.pl – konkretnie i na temat (jak zawsze Michał), co będzie w najbliższej przyszłości, jak aftermarket będzie się rozwijał, zarówno na świecie jak i w zakresie konkretnych rozwiązań w Polsce. Wiedza ta generalnie jest dostępna, ale dobrze, że została zebrana w jednej prezentacji i porządnie usystematyzowana. Rozumiem, że wyzwaniem dla NASK będzie wdrożenie renew dla opcji. Poczekamy, zobaczymy...
Interesujace były też prezentacje dotMobi i dotTel – widać, że chłopaki wreszcie zaczęli konkurować ze sobą. Dotychczas dotMobi było „bezpłcowie” – teraz idą w kierunku Instant Mobilizer’a, mam nadzieję, że wypromują to narzędzie. Może też dotMobi nawiąże konktakty z operatorami UMTS w celu promocji idei „umobilniania” stron? Uczestnicy konferencji mogli też zapoznać się z tym, jak działają domeny dotTel, chociaż mam wątpliwości, ile osób cokolwiek zrozumiało, jak Jim doszedł do opowiści o rekordach NAPTR.
Bardzo ciekawą prezentację miał Michiel Henneke z SIDN. Szczegółowe porówanie poszczególnych TLD na aftermarket (gdzie ta Polska?; AT, NL i FR to nowe gwiazdy), porównanie wzrostu NL i grupy pozostałych dominujacych TLD na przestrzeni ostatnich lat (ccTLD zawsze wygrywa i daje stabilność biznesu) oraz pozycjonowanie Google na tle „direct navigation” daje do myślenia.
Największe podniecenie na sali wprowadziła jednak Monika z NASK. System pre-paid oraz opłaty za nieudane rejestracje wzbudziły niewątpliwe emocje. Dyskusja na sali oraz już po konferencji pozwoliła według mnie na dogłębne wyjaśnienie, jakie zmiany planowane są do wprowadzenia w rejestrze, a jeśli nie, to na początku maja zgodnie z obietnicą, NASK udostępni wzór umowy, w którym wszystkio jest dokładnie opisane.
Chciałbym też dodać, że błędnym jest myślenie, jakoby zmiany miały zasadniczy wpływ na protokół. W protokole EPP pojawi się tylko jedna nowa komenda - komenda sprawdzająca stan konta Partnera. Całość zmian występuje w sferze biznesowej (zarówno po stronie NASK jak i Partnera), nie ma natomiast wpływu na sam protokół komunikacji. Oczekiwanie przez Partnera na udostępninie systemu testowego i dokumentacji EPP (będzie w lipcu 2009) to tylko strata czasu – należy zastanowić się przede wszystkim nad dostosowaniem swojego systemu od strony procesów biznesowych, a nie samej komunikacji z NASK, bo w tym obszarze nie będzie praktycznie zmian i można to zrobić w kilka dni.
W trakcie konferencji, na moją prośbę, pojawiły się także konkretne pomysły, jakie usługi NASK powinien wdrożyć w przyszłości. Pierwszy pomysł to reklamy w WHOIS (pole na obrazek z grafiką + pole tekstowe do umieszczenia np. linku do aukcji), drugi to oczywiście renew dla opcji, a trzeci to „direct debit” dla Partnerów.
Wszystkie prezentacje i audio jest dostępne na stronie NASK: www.SecondaryMarket2009.pl.
Thursday, 9 April 2009
Changes in .PL registry: pre-paid goes live in Q3/Q4 of 2009
NASK, .PL Registry with almost 1.4 million domains registered and 70% growth in 2008, plans to introduce important changes to the registration model. Changes are going to take place in Q3/Q4 of 2009. The official announcement of the new Agreement will take place during Future Business Trends in the Domain Industry conference organized by NASK in Warsaw on April 16th.
As announced during the ICANN Conference in Mexico, we plan to change our existing post-paid model, implementing pre-paid model for Registry-Registrar relationship. Thanks to the pre-paid model, NASK makes the process of signing agreements with the new Partners much easier, without any further need for security deposits, penalty fees etc. Thanks to such changes, we expect more new registrars to sign the agreement in 2010 and the signing process to become shorter and cheaper for both parties (NASK and Registrars).
Pre-paid is not the only change to our systems. We change the registration process, implementing small fees (0,10 PLN) for each unsuccessful registration attempt. As of today, we have many requests to our Registry system for the expired domain names. You might be surprised, but the dropcatching market in Poland is very matured due to many services provided by NASK in the recent years. We have as follows:
* Wait List Service
* 2-weeks Domain Name Tasting
* free of charge 2-weeks domain reservation (booking)
* publication of the expired names list
* publication of the top-100 NX domains list
* exact expiration time/date available in WHOIS
The above mentioned services facilitated competition in the dropcatching, resulting in extreme competition between Partners. Competition means race who is the first to get a domain name. The race without rules... Most of the requests come even before domain becomes available for registration. As the result we observe the heavy load to our infrastructure which interfere with all other requests. Due to competetive dropcatching market plus availability of the aftermarket dedicated services offered by NASK (see below), some drop-catchers created even few companies (especially in Delaware state...) each, just to have better access to the Registry system to register expired names. This may become even a bigger problem whan pre-paid model is implemented allowing much more companies to sign contract with NASK. This makes the competition unhealthy, requiring more and more unfounded investments from dropcatchers and NASK's side, the same time not expanding a market. Instead of investing in the aftermarket expansion, companies have to pay more for the same market share. That's why NASK decided to implement direct economical factor in this competition to make sure that the resources are not spend on (more) lawyers, (more) administration and (more) new servers/infrastructure, but on the core business.
For the details of the proposed changes, please take a look at from presentations from ICANN conference and Future Business Trends in the Domain Industry conference.
You can also find information about .PL services offered by NASK (Domain Name Tasting, expiration time/date in WHOIS, Wait List Service, NX domains list, expired names list) here.
There is also a good press article in "Puls Bisnesu" "NASK teraz stawia na przedplaty" (April 8, 2009)]
As announced during the ICANN Conference in Mexico, we plan to change our existing post-paid model, implementing pre-paid model for Registry-Registrar relationship. Thanks to the pre-paid model, NASK makes the process of signing agreements with the new Partners much easier, without any further need for security deposits, penalty fees etc. Thanks to such changes, we expect more new registrars to sign the agreement in 2010 and the signing process to become shorter and cheaper for both parties (NASK and Registrars).
Pre-paid is not the only change to our systems. We change the registration process, implementing small fees (0,10 PLN) for each unsuccessful registration attempt. As of today, we have many requests to our Registry system for the expired domain names. You might be surprised, but the dropcatching market in Poland is very matured due to many services provided by NASK in the recent years. We have as follows:
* Wait List Service
* 2-weeks Domain Name Tasting
* free of charge 2-weeks domain reservation (booking)
* publication of the expired names list
* publication of the top-100 NX domains list
* exact expiration time/date available in WHOIS
The above mentioned services facilitated competition in the dropcatching, resulting in extreme competition between Partners. Competition means race who is the first to get a domain name. The race without rules... Most of the requests come even before domain becomes available for registration. As the result we observe the heavy load to our infrastructure which interfere with all other requests. Due to competetive dropcatching market plus availability of the aftermarket dedicated services offered by NASK (see below), some drop-catchers created even few companies (especially in Delaware state...) each, just to have better access to the Registry system to register expired names. This may become even a bigger problem whan pre-paid model is implemented allowing much more companies to sign contract with NASK. This makes the competition unhealthy, requiring more and more unfounded investments from dropcatchers and NASK's side, the same time not expanding a market. Instead of investing in the aftermarket expansion, companies have to pay more for the same market share. That's why NASK decided to implement direct economical factor in this competition to make sure that the resources are not spend on (more) lawyers, (more) administration and (more) new servers/infrastructure, but on the core business.
For the details of the proposed changes, please take a look at from presentations from ICANN conference and Future Business Trends in the Domain Industry conference.
You can also find information about .PL services offered by NASK (Domain Name Tasting, expiration time/date in WHOIS, Wait List Service, NX domains list, expired names list) here.
There is also a good press article in "Puls Bisnesu" "NASK teraz stawia na przedplaty" (April 8, 2009)]
Friday, 3 April 2009
Senator Snowe znowu atakuje
Osoby śledzące zmiany w prawie amerykańskim mające wpływ na naszą branżę, zapewne pamiętają tzw. „Snowe bill”. Ustawa ta, obok zbożnych celów, miała ułatwić „odbieranie” domen przez właścicieli znaków towarowych.
Pani senator Snowe znowu zaskoczyła branżę, tym razem proponując ustawę dającą znaczne prerogatywy dla władz federalnych, które deklarując „cybersecurity emergency” mogą dokonać m.in. odcięcia lub ograniczenia ruchu z/do dowolnej sieci rządowej bądź sieci stanowiącej element infrastruktury krytycznej w Stanach Zjednoczonych.
Do definicji infrastruktury krytycznej można podciągnąć sieć Internet (całość lub część), przynajmniej na terenie Stanów Zjednoczonych. Innymi słowy, jak zostanie zagrożone „bezpieczeństwo narodowe”, to można będzie ograniczyć (filtrować) lub zupełnie odciąć dowolny ruch w dowolnej sieci na terenie USA.
W dokumencie mówi się także o zdefiniowaniu (sic!) nowego języka zrozumiałego dla systemów informatycznych (języka programowania), który umożliwiałby jednolite specyfikowanie konfiguracji oprogramowania. Dodatkowo mówi się o zdefiniowaniu standardowej konfiguracji systemów w zakresie bezpieczeństwa dla systemów operacyjnych i oprogramowania.
Oczywiście, nie dotyczyłoby to tylko sieci lub komputerów rządowych, ale także pozostałych (prywatnych) sieci i komputerów, które mogą być elementem wspomnianej infrastruktury krytycznej. Nie będzie to możliwe bez stworzenia wielu nowych „ciał”: Cybersecurity Advisory Panel oraz licznych Regional Cybersecurity Centers. To jest zapewne odpowiedź na walkę Obamy z kryzysem – zwiększanie wydatków.
Podobnych kwiatków jest tam wiele. Miejmy nadzieję, że zapędy kongrestu amerykańskiego nie przełożą się na faktyczne ustawy, a z doświadczeń amerykańskich nie zaczną korzystać europejscy legislatorzy-cenzorzy. Osoby zainteresowane treścią tego gniota intelektualnego mogą zaglądnąć tutaj.
Pani senator Snowe znowu zaskoczyła branżę, tym razem proponując ustawę dającą znaczne prerogatywy dla władz federalnych, które deklarując „cybersecurity emergency” mogą dokonać m.in. odcięcia lub ograniczenia ruchu z/do dowolnej sieci rządowej bądź sieci stanowiącej element infrastruktury krytycznej w Stanach Zjednoczonych.
Do definicji infrastruktury krytycznej można podciągnąć sieć Internet (całość lub część), przynajmniej na terenie Stanów Zjednoczonych. Innymi słowy, jak zostanie zagrożone „bezpieczeństwo narodowe”, to można będzie ograniczyć (filtrować) lub zupełnie odciąć dowolny ruch w dowolnej sieci na terenie USA.
W dokumencie mówi się także o zdefiniowaniu (sic!) nowego języka zrozumiałego dla systemów informatycznych (języka programowania), który umożliwiałby jednolite specyfikowanie konfiguracji oprogramowania. Dodatkowo mówi się o zdefiniowaniu standardowej konfiguracji systemów w zakresie bezpieczeństwa dla systemów operacyjnych i oprogramowania.
Oczywiście, nie dotyczyłoby to tylko sieci lub komputerów rządowych, ale także pozostałych (prywatnych) sieci i komputerów, które mogą być elementem wspomnianej infrastruktury krytycznej. Nie będzie to możliwe bez stworzenia wielu nowych „ciał”: Cybersecurity Advisory Panel oraz licznych Regional Cybersecurity Centers. To jest zapewne odpowiedź na walkę Obamy z kryzysem – zwiększanie wydatków.
Podobnych kwiatków jest tam wiele. Miejmy nadzieję, że zapędy kongrestu amerykańskiego nie przełożą się na faktyczne ustawy, a z doświadczeń amerykańskich nie zaczną korzystać europejscy legislatorzy-cenzorzy. Osoby zainteresowane treścią tego gniota intelektualnego mogą zaglądnąć tutaj.
Subscribe to:
Posts (Atom)