Nowości w NASK. Szanowni PaÒstwo! W numerze:

Transkrypt

1

2 Nowości w NASK Szanowni PaÒstwo! Jest poczπtek nowego roku i przy tej okazji chcia abym wspomnieê o ma ej rocznicy. Oto mija 5 lat od chwili, gdy w styczniu 1998 roku pojawi sií pierwszy numer ÑBiuletynu NASKî. Od tamtej pory staramy sií, w miarí moøliwoúci, informowaê PaÒstwa o istotnych wydarzeniach zwiπzanych z rozwojem polskiego Internetu, a przede wszystkim o tym, co nowego pojawia sií w sferze bezpoúredniego oddzia ywania NASK-u. Mam nadziejí, øe i w bieøπcym biuletynie znajdπ PaÒstwo interesujπce dla siebie tematy. Zaczynamy od artyku u Andrzeja Adamskiego z Wydzia u Prawa i Administracji UMK w Toruniu, specjalisty w zakresie prawa karnego, kryminologii i prawa komputerowego, ktûry dokonuje przeglπdu ubieg orocznej aktywnoúci ustawodawcûw w zakresie tworzenia prawnych ram spo eczeòstwa informacyjnego w Polsce. W tym miejscu naleøy poinformowaê naszych czytelnikûw, øe podczas konferencji IT.FORUM ñ SECURE 2002 Andrzej Adamski zosta uhonorowany nagrodπ NASK za wybitny wk ad w rozwûj spo eczeòstwa informacyjnego, o czym szerzej piszemy wewnπtrz numeru. Polecam rûwnieø drugπ czíúê artyku u Krzysztofa Silickiego, dyrektora technicznego NASK, na temat us ug transmisji danych dla przedsiíbiorstw. Pierwsza czíúê tego artyku u ukaza a sií w poprzednim numerze biuletynu. W dziale bezpieczeòstwa publikujemy artyku Tomasza J. Kruka z Zak adu Jakoúci Us ug Sieci NASK i Instytutu Automatyki i Informatyki Stosowanej Politechniki Warszawskiej, ktûry pisze o przyczynach i skutkach zagroøeò w sieci Internet. Dalej ñ niezmiernie interesujπce wprowadzenie w tajniki biometrycznych metod weryfikacji toøsamoúci, przygotowane przez Andrzeja Pacuta i Adama CzajkÍ z Pracowni Biometrii NASK i wspomnianego juø Instytutu Automatyki i Informatyki Stosowanej PW. PragnÍ takøe zwrûciê uwagí czytelnikûw na artyku Agnieszki Kπdzieli z Dzia u Prawnego NASK na temat polubownego rozstrzygania sporûw wynikajπcych z rejestracji nazw domen internetowych. Artyku ten ma bezpoúredni zwiπzek z wprowadzonymi w NASK zmianami w zasadach rejestracji i utrzymywania domen, w szczegûlnoúci z inauguracjπ dzia alnoúci Sπdu Polubownego przy Polskiej Izbie Informatyki i Telekomunikacji. Komentarz prawny na temat nowych ÑZasad rejestracji i utrzymywania nazw domenî przygotowa Artur Piechocki. W biuletynie znajdπ PaÒstwo wiícej bieøπcych informacji zwiπzanych z problematykπ domenowπ. Zaczynamy jak zwykle od przeglπdu wydarzeò i aktualnoúci. Zapraszam do lektury W numerze: Festiwal Nauki w NASK... 4 IT.Forum-Secure Nagroda NASK im. prof. T. Hofmokla... 6 Nowoúci w portalu Polska.pl... 8 e-prawo ñ wybrane aspekty Teleinformatyka dla przedsiíbiorstw Polubowne rozstrzyganie sporûw o domeny Zagroøenia w Internecie ñ przyczyny i skutki TwÛj PIN to Ty Zmiany w zasadach rejestracji domen Na targach teleinformatycznych Komputer Expo 2003, ktûre odbywajπ sií w dniach stycznia w Warszawie, NASK prezentuje swojπ aktualnπ ofertí us ugowπ w stoisku nr 1.10 znajdujπcym sií w strefie ÑTelekomunikacja, transmisja danych, Internetî. 21 stycznia w ramach towarzyszπcej targom konferencji ÑInformatyka w administracji paòstwowejî NASK przedstawia ofertí dotyczπcπ organizacji e-urzídu czyli systemûw teleinformatycznych dla administracji paòstwowej i samorzπdowej. NASK objπ takøe swym patronatem strefí ÑEdukacjaî, w ktûrej prezentowane sπ rozwiπzania z wykorzystaniem Internetu dla szkolnictwa. Przyk adem takiego podejúcia jest lekcja wykorzystujπca zasoby literackie i archiwalne portalu Polska.pl, zorganizowana przy udziale NASK-u w warszawskim Liceum im. Jana Kochanowskiego. Temat lekcji: Renesans w Polsce jako czas kszta towania úwiat ych ludzi i nowoczesnego spo eczeòstwa. 2

3 Nowości w NASK NASK i NCR Polska podpisa y kontrakt ramowy na rozbudowí sieci szkieletowej w oparciu o platformí Cisco Catalyst 8540 oraz na obs ugí serwisowπ tej sieci. Umowa dotyczy zarûwno wez Ûw krajowych, jak i zagranicznych NASK-u. * * * Od 18 grudnia 2002 roku w NASK obowiπzujπ nowe zasady rejestracji i utrzymywania nazw domenowych, wprowadzone przede wszystkim z uwagi na powo anie, z inicjatywy NASK, Sπdu Polubownego (arbitraøu) przy Polskiej Izbie Informatyki i Telekomunikacji (PIIT). Przewodniczπcym Podkomisji Domen Internetowych PIIT jest Artur Piechocki, jeden z prawnikûw NASK. Sπd Polubowny rozpoczyna prací 20 stycznia br. SzczegÛ owe informacje na temat zasad arbitraøu, regulaminu orzekania Sπdu i sk adu jego arbitrûw znajdujπ sií na stronie Sπd polubowny ma za zadanie rozstrzygaê, czy dosz o do naruszenia praw osoby trzeciej w wyniku zarejestrowania nazwy domeny. Na podstawie przepisûw kodeksu postípowania cywilnego orzeczenia sπdu polubownego traktowane sπ na rûwni z wyrokami sπdûw powszechnych. Zgodnie z nowymi zasadami NASK zobowiπzuje abonenta nazwy domeny do przystπpienia do postípowania negocjacyjnego w przypadku zaistnienia sporu o nazwí domeny. NiezakoÒczenie sporu w postípowaniu negocjacyjnym powoduje przekazanie sprawy do postípowania przed sπdem polubownym. NASK zobowiπzuje sií zarûwno do wykonania orzeczenia sπdu, ktûry rozstrzygnie spûr, jak i przestrzegania warunkûw ugody zawartej przez strony postípowania. Spory pomiídzy stronami majπcymi swπ siedzibí lub miejsce zamieszkania poza terytorium Polski sπ rozstrzygane przez Centrum Mediacji i Arbitraøu przy WIPO ñ åwiatowej Organizacji W asnoúci Intelektualnej, ktûra wyrazi a oficjalnπ zgodí na wspû prací z NASK w tym zakresie i na umieszczenie znaku graficznego WIPO na stronie internetowej Jeøeli przynajmniej jedna ze stron sporu pochodzi z Polski, w aúciwy dla sprawy jest Sπd Polubowny przy PIIT. (WiÍcej o polubownym rozstrzyganiu sporûw wynikajπcych z rejestracji nazw domen w bieøπcym numerze ÑBiuletynuî piszπ Agnieszka Kπdziela i Artur Piechocki.) Nowe zasady wprowadzajπ rûwnieø moøliwoúê rejestracji domen za poúrednictwem firm, ktûre podpisa y z NASK umowí o obs ugí rejestracji nazw internetowych. Obecnie moøna zarejestrowaê domení bezpoúrednio w NASK lub w takiej w aúnie firmie (lista us ugodawcûw, ktûrzy podpisali umowí z NASK, jest dostípna na stronie * * * NASK koòczy testy systemu rejestracji domen REGISTRY, ktûry zapewni automatyczny dostíp rejestratorûw domen internetowych do prowadzonego przez NASK rejestru krajowego.pl. Rejestratorami sπ wyspecjalizowane firmy, ktûre na podstawie umûw zawartych z NASK úwiadczπ us ugi rejestracji domen. Interfejs rejestrator-registry bídzie oparty o XML. System REGISTRY zosta w pe ni opracowany i wykonany przez NASK Przy realizacji ca oúci systemu wykorzystano metodologií Rational Unified Process i jízyk UML Do implementacji zosta uøyty jízyk Java (J2EE) Oprogramowanie jest niezaleøne od platformy sprzítowej System opracowany przez NASK zosta po raz pierwszy zaprezentowany w grudniu 2002 roku w czasie Administrative Workshop of CENTR (Council of European National Top-Level Domain Registries) we Frankfurcie i wzbudzi duøe zainteresowanie uczestnikûw tego spotkania ñ przedstawicieli europejskich rejestrûw domen. Powodem szczegûlnej uwagi by o zastosowanie standardu EPP (Extensible Provisioning Protocol), zdefiniowanego niedawno przez IEFT (Internet Engineering Task Force), dotychczas nie wykorzystywanego. Oprogramowanie przygotowane przez NASK moøe byê uøyte przez inne europejskie rejestry krajowe. Biuletyn informacyjny Naukowej i Akademickiej Sieci Komputerowej Redakcja: Maria Baranowska, Anna Maj Projekt i przygotowanie do druku: Pracownia Graficzna Dπbrowa ZdjÍcia: Piotr Dzwonnik, Andrzej Tomiak i ze zbiorûw redaktora Redakcja zastrzega sobie prawo do skrûtûw i opracowania tekstûw. NASK ul. Wπwozowa 18, Warszawa tel. (22) , faks (22) contact@nask.pl 3

4 Wydarzenia Przyk³adowa komenda rejestracji domeny ma postaæ: <?xml version="1.0" encoding="utf-8" standalone="no"?> - <epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi=" xsi:schemalocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> - <command> - <create> - <domain:create xmlns:domain="urn:ietf:params:xml:ns:domain-1.0" xsi:schemalocation="urn:ietf:params:xml:ns:domain-1.0 domain-1.0.xsd"> <domain:name>nask.pl</domain:name> <domain:period unit="y">2</domain:period> <domain:ns>ns1.nask.pl</domain:ns> <domain:ns>ns1.nask.pl</domain:ns> <domain:registrant>jd1234</domain:registrant> <domain:contact type="admin">sh8013</domain:contact> <domain:contact type="tech">sh8013</domain:contact> - <domain:authinfo> <domain:pw>2foobar</domain:pw> </domain:authinfo> </domain:create> </create> <cltrid>abc-12345</cltrid> </command> </epp> Ca³a transmisja bêdzie szyfrowana, a serwery firm rejestruj¹cych bêd¹ certyfikowane. Od grudnia 2002 roku w NASK moøna wnosiê op aty za rejestracjí i utrzymywanie domen za pomocπ kart p atniczych w trybie on-line: Nadal dostípne sπ dotychczasowe formy p atnoúci z wykorzystaniem kart p atniczych za pomocπ faksu zawierajπcego upowaønienie do obciπøenia karty przez NASK lub przy pomocy terminalu. Andrzej Bartosiewicz VI Festiwal F Nauki w NASK W ramach VI Festiwalu Nauki (wrzesieò 2002) w naszej siedzibie na Wπwozowej spotkali sií entuzjaúci Internetu zainteresowani zagadnieniami bezpieczeòstwa sieci, dla ktûrych eksperci z NASK przygotowali prezentacje zwiπzane z tπ tematykπ. Andrzej Pacut i Adam Czajka z Pracowni Biometrii NASK i Instytutu Automatyki i Informatyki Stosowanej Politechniki Warszawskiej mûwili o swoistych ludzkich cechach fizycznych i psychofizycznych, ktûre dajπ sií przetworzyê w kod cyfrowy i w coraz szerszym zakresie s uøπ w praktycznym ustalaniu toøsamoúci. Adam Czajka pokaza uczestnikom wyk adu, jak na podstawie zwyk ej fotografii 4

5 Wydarzenia wyodríbnia sií i przetwarza do postaci cyfrowej wzûr tíczûwki oka. Andrzej Pacut poda wiele przyk adûw praktycznego stosowania biometrii. W bieøπcym numerze ÑBiuletynuî publikujemy pierwszπ czíúê tego wyk adu. Drugi wyk ad przygotowali dyr. Krzysztof Silicki i Ireneusz ParfiaÒczuk z CERT Polska oraz Tomasz J. Kruk z Zak adu Jakoúci Us ug Sieci NASK i Instytutu Automatyki i Informatyki Stosowanej Politechniki Warszawskiej. Motywem przewodnim tej czíúci spotkania by a uwaga Tomasza Kruka, øe ÑÖzabezpieczenia to oznaka rozsπdku, a nie paranoiî. A zatem, jeúli nawet sami nie naleøymy do grona osûb posiadajπcych szczegûlnie waøne zasoby, nasz komputer moøe stanowiê punkt wyjúcia do ataku skierowanego na system zawierajπcy naprawdí cenne informacje. 10 przykazaò bezpiecznego internauty 1. Po zainstalowaniu systemu w komputerze, dodatkowo go zabezpiecz. Wy πcz niepotrzebne serwisy, zainstaluj aty. 2. Uøywaj oprogramowania antywirusowego. 3. Instaluj nowo pojawiajπce sií aty systemowe. 4. Uøywaj osobistego firewalla. 5. Nie zostawiaj komputera do πczonego do sieci, jeúli go nie uøywasz. 6. Przynajmniej raz na dwa miesiπce zmieniaj has o dostípu do komputera i us ug w Internecie. 7. Do przechowywania i przesy ania waønych informacji uøywaj szyfrowania. 8. Reaguj na przypadki i prûby w amaò i atakûw. Zg aszaj je odpowiednim s uøbom (CERT Polska, policja, twûj ISP). 9. Nie otwieraj i nie uruchamiaj plikûw i programûw nieznanego pochodzenia. 10. PamiÍtaj o backupie swoich zasobûw. Festiwal Nauki w NASK Drugie waøne has o tego wyk adu sformu owa Krzysztof Silicki mûwiπc, øe ÑInternet nie jest tylko sieciπ do zabawyî, o czym uøytkownicy nie zawsze pamiítajπ. A przecieø jest to narzídzie codziennej pracy milionûw ludzi na ca ym úwiecie. W tym kontekúcie Krzysztof Silicki mûwi o rosnπcej z kaødym rokiem liczbie incydentûw sieciowych, rejestrowanych przez zespo y reagowania. Pojawiajπ sií coraz to nowe narzídzia, programy, wirusy i robaki internetowe. Mnoøπ sií rozproszone ataki DdoS (Distributed Denial of Service), mogπce zablokowaê nawet najwiíksze úwiatowe serwisy internetowe (szerzej pisze o tym w bieøπcym numerze ÑBiuletynuî Tomasz Kruk). W swoim wyk adzie Ireneusz ParafjaÒczuk zapozna uczestnikûw z dekalogiem bezpiecznego internauty, przygotowanym przez CERT Polska. Oto on: IT.FORUM SECURE 2002 Zagroøenia wystípujπce w Internecie, statystyki policyjne i analizy najbardziej typowych przypadkûw amania sieciowych zabezpieczeò by y tematem konferencji IT.FORUM ñ SECURE 2002, ktûra odby a sií w dniach 6-7 listopada 2002 roku w Warszawie. Zaproszeni do udzia u w SECURE 2002 eksperci mûwili nie tylko o spektakularnych wyczynach sieciowych prze- W czasie konferencji 5

6 Wydarzenia stípcûw, ale przede wszystkim o tym, jak sií przed nimi broniê. KonferencjÍ rozpoczπ wyk ad Andrzeja Adamskiego z UMK w Toruniu na temat nowych regulacji prawnych zwiπzanych z bezpieczeòstwem komputerowym i komercjalizacji dostípu do informacji w Polsce. Dalej Eric Luiijf z CERT-NL, holenderskiego odpowiednika naszego CERT Polska, przedstawi doúwiadczenia w tworzeniu zintegrowanego systemu ochrony infrastruktury krytycznej (a wiíc ochrony systemûw teleinformatycznych kluczowych z punktu widzenia funkcjonowania paòstwa). O aktualnym stanie prac w dziedzinie ochrony infrastruktury krytycznej w Polsce mûwi Robert Koúla z Departamentu BezpieczeÒstwa Teleinformatycznego Agencji BezpieczeÒstwa WewnÍtrznego (DBTI ABW). O metodach zabezpieczania dostípu do sieci i systemûw komputerowych, o przeciwdzia aniu atakom i metodach szacowania strat, a takøe o sposobach ochrony pomieszczeò i przeciwdzia ania zak Ûceniom elektromagnetycznym mûwili miídzy innymi eksperci z CERT Polska, NASK oraz DBTI ABW. Duøe zainteresowanie wzbudzi rûwnieø blok wyk adûw na temat systemûw biometrycznych, po raz pierwszy tak szeroko ujíty przez specjalistûw z Politechniki CzÍstochowskiej. Leonid Kompanets, Roman Wyrzykowski i Mariusz Kubanek mûwili miídzy innymi o identyfikacji osûb na podstawie indywidualnych cech twarzy, jej asymetrii czy wyraøanych przez niπ stanûw emocjonalnych. Podobnie jak odcisk palca i wzûr tíczûwki oka twarz ma niepowtarzalne cechy, dziíki ktûrym moøliwe jest odrûønienie nawet bliüniakûw jednojajowych. Takøe Andrzej Pacut i Adam Czajka prezentowali najbardziej obiecujπce jak dotπd metody weryfikacji toøsamoúci ñ za pomocπ badania obrazu tíczûwki oka i dynamiki podpisu osobistego. Przedstawili metody identyfikacji odrícznych podpisûw sk adanych na specjalnym tablecie, rejestrujπcym nie tylko kszta t pisma, ale teø si Í nacisku ríki sk adajπcej podpis. Wyk ad A. Adamskiego 6 listopada 2002 roku na uroczystym spotkaniu w Pa acu w Jab onnie wríczona zosta a Nagroda im. prof. Tomasza Hofmokla ñ za wk ad w rozwûj spo eczeòstwa informacyjnego. Laureatem nagrody zosta dr hab. Andrzej Adamski z Uniwersytetu Miko aja Kopernika w Toruniu. /mb/ Nagroda NASK im. prof.. Tomasza Hofmokla Nagroda NASK im. prof. Tomasza Hofmokla za wk ad w rozwûj spo eczeòstwa informacyjnego przyznana zosta a dr. hab. Andrzejowi Adamskiemu z Uniwersytetu Miko aja Kopernika w Toruniu. W uzasadnieniu nagrody czytamy, øe laureat otrzyma jπ za wybitne osiπgniícia w dziedzinie zwalczania przestípczoúci komputerowej i internetowej. Dr hab. Andrzej Adamski jest wyk adowcπ prawa karnego, kryminologii i prawa komputerowego na Wydziale Prawa i Administracji UMK. Jego zainteresowania naukowe koncentrujπ sií na przestípczoúci komputerowej oraz ochronie prywatnoúci i danych osobowych w spo eczeòstwie informacyjnym. Jako konsultant ONZ uczestniczy 6 w przygotowaniu podrícznika na temat komputeryzacji systemûw informacyjnych organûw wymiaru sprawiedliwoúci. Jest autorem komentarza dotyczπcego przestípstw W Jab onnie

7 Wydarzenia W nawiπzaniu do przyznanej po raz pierwszy nagrody, dyrektor NASK Maciej Koz owski powiedzia : WrÍczenie nagrody komputerowych w kodeksie karnym oraz licznych publikacji z zakresu prawa komputerowego i ochrony informacji. Jako przedstawiciel Ministerstwa Sprawiedliwoúci bra udzia w pracach grupy ekspertûw Rady Europy, przygotowujπcej projekt konwencji miídzynarodowej dotyczπcej przeciwdzia ania cyberprzestípczoúci. Od czasu Spo eczeòstwo informacyjne korzysta z nowoczesnych technologii komunikowania sií, dziíki ktûrym zasadniczo zmieniajπ sií relacje pomiídzy obywatelem a w adzπ, jednostkπ a samorzπdem. NastÍpuje zbliøenie obywateli do tych instytucji i odwrotnie ñ w adza czy samorzπd, bídπc bliøej obywateli, znajdujπ w nich silniejsze oparcie. Zadaniem paòstwa jest dostarczenie narzídzi niezbídnych do tworzenia tej nowej postaci spo eczeòstwa obywatelskiego. MyúlÍ, øe czíúê tego zadania spoczywa rûwnieø na instytucjach takich jak NASK. Celem nagrody ufundowanej przez NASK jest wyrûønienie osûb szczegûlnie zas uøonych dla rozwoju spo eczeòstwa informacyjnego, sprzymierzeòcûw idei, ktûrπ zapoczπtkowa w Polsce nieøyjπcy juø prof. Tomasz Hofmokl, twûrca i pierwszy dyrektor NASK. Ideπ kaødej nagrody jest tworzenie pomostu pomiídzy przesz oúciπ a przysz oúciπ. Nagradza sií zawsze dokonania przesz e, ale intencjπ kaødej nagrody jest prûba antycypowania przysz oúci. Tak teø jest w przypadku nagrody NASK za wk ad w rozwûj spo eczeòstwa informacyjnego. Przyznajπc jπ prof. Andrzejowi Adamskiemu chcieliúmy wyraziê nasze uznanie dla jego zaangaøowania w proces porzπdkowania Internetu za pomocπ prawa, w mozolny proces jego Ñcywilizowaniaî. W tym przypadku nagroda, przyznana w aúnie za aspekty prawne, a nie czysto techniczne, ma wymiar symboliczny. Laureat powstania Internetu w Polsce Andrzej Adamski bierze aktywny udzia w popularyzacji problematyki prawnej zwiπzanej z funkcjonowaniem spo eczeòstwa informacyjnego, m.in. od wielu lat bierze udzia jako wyk adowca w kolejnych edycjach konferencji SECURE, organizowanych przez NASK i CERT Polska. /mb/ Zaproszeni goúcie 7

8 Naukowa i Akademicka SieÊ Komputerowa zosta a w πczona do sieci tzw. CentrÛw Doskona oúci wy onionych w wyniku udzia u polskiego úrodowiska naukowobadawczego w konkursach 5. Programu Ramowego Unii Europejskiej. Tytu Centrum Doskona- oúci przyniûs dla NASK projekt badawczy pod nazwπ Center of Competence in Internet Security Area (COCISA) przygotowany przez zespû CERT Polska. G Ûwnym celem tego projektu jest stworzenie w Europie årodkowej oúrodka integrujπcego dzia alnoúê badawczorozwojowπ w dziedzinie bezpieczeòstwa technologii IT. Waønym celem projektu jest rûwnieø popularyzacja wiedzy z zakresu bezpieczeòstwa teleinformatycznego przez cykl szkoleò i konferencji, promocja i udzia w tworzeniu miídzynarodowych standardûw bezpieczeòstwa oraz dzia anie na rzecz powstawania nowych zespo Ûw reagujπcych. UroczystoúÊ wríczenia dyplomûw CentrÛw Doskona oúci odby a sií 25 listopada 2002 r., w pierwszym dniu Warszawskiej Konferencji Inaugurujπcej 6. Program Ramowy UE, zorganizowanej przez Komitet BadaÒ Naukowych, Ministerstwo Gospodarki i Krajowy Punkt Kontaktowy 6. Programu Ramowego. Minister Nauki, prof. Micha Kleiber zatwierdzi sieê CentrÛw Doskona oúci i CentrÛw Kompetencji wy onionych w konkursach 5. Programu Ramowego UE w zwiπzku z przygotowaniami Polski do wspû tworzenia Europejskiej Wydarzenia NASK jako Centrum Doskonałości 6. Program Ramowy ( ) jest kluczowym instrumentem w tworzeniu Europejskiej Przestrzeni Badawczej. Jej za oøenia, przyjíte w marcu 2000 roku podczas szczytu Rady Europejskiej w Lizbonie, wytyczajπ powstanie europejskiego rynku w dziedzinie nauki, ktûry zdynamizuje badania naukowe w tej czíúci úwiata. W konstruowaniu ERA waøne sπ: benchmarking (porûwnywanie i promowanie najlepszych praktyk badawczych), rozwûj infrastruktury badawczej poprzez wspûlne korzystanie z zasobûw i podzia kosztûw, wspieranie rozwoju ma ych i úrednich przedsiíbiorstw, efektywne wykorzystanie potencja u ludzkiego i zaangaøowanie spo eczeòstw w problemy naukowe m.in. poprzez wykorzystanie mediûw i nowych form nauczania. Przestrzeni Badawczej (European Research Area ñ ERA) dla realizacji celûw 6. Programu Ramowego UE oraz rozwijania w Polsce gospodarki opartej na wiedzy. Centra Doskona oúci to jednostki zajmujπce sií badaniami naukowymi i rozwojem nowoczesnych technologii na poziomie úwiatowym, w sensie dajπcych sií zmierzyê i porûwnaê efektûw naukowych. W programie CentrÛw Doskona oúci zak ada sií tworzenie ÑlaboratoriÛwî aktywnie wspû pracujπcych z przemys em lub innymi instytucjami korzystajπcymi z rezultatûw badaò. Centra Doskona oúci skupiajπ zespo y wspû pracujπce w zakresie wspûlnych tematûw istotnych dla gospodarki kraju, przyczyniajπc sií do promocji badaò naukowych, wzrostu innowacyjnoúci i rozwoju technologii. /mb/ Nowości w portalu Polska.pl P W ciπgu ostatnich miesiícy prowadzony przez NASK serwis Polska.pl przeøy kolejne waøne przeobraøenia. Powsta o kilka dzia ajπcych w jego ramach serwisûw tematycznych, zmieniony zosta layout, rozbudowany katalog stron WWW i znacznie wzbogacona zawartoúê zwiπzana z bieøπcπ informacjπ. Zmiany widaê go ym okiem juø na stronie g Ûwnej portalu. Jej obecna konstrukcja pozwala na lepsze uwidocznienie posiadanych zasobûw. Ponadto dziíki znacznemu Ñodchudzeniuî grafiki i kodu HTML strona aduje sií znacznie szybciej. 8

9 20 grudnia 2002 roku w portalu Polska.pl ruszy dzia Skarby literatury polskiej < przygotowany przez NASK we wspû pracy z Wirtualnπ Bibliotekπ Literatury Polskiej Instytutu Filologii Polskiej Uniwersytetu GdaÒskiego, przy duøym zainteresowaniu i poparciu Polskiego Komitetu ds. UNESCO. W nowym dziale dostípne sπ w ca oúci najwiíksze skarby polskiej literatury poczπwszy od najstarszych zabytkûw, takich jak Bogurodzica czy wybûr poezji polskiego úredniowiecza. Sπ tam dzie a Kochanowskiego, Mickiewicza, S owackiego, WyspiaÒskiego, m.in. Krzyøacy i Quo vadis Sienkiewicza, a takøe RÍkopis znaleziony w Saragossie Potockiego. WkrÛtce znajdzie sií tu 128 najbardziej znaczπcych dzie polskiej literatury wraz z rozbudowanym opisem bibliograficznym, biograficznym, zbiorem ilustracji i informacji dodatkowych. G Ûwnym zadaniem, jakie twûrcy serwisu postawili przed sobπ kilka miesiícy temu, by o stworzenie rozbudowanych zasobûw informacji bieøπcych. Zaowocowa o to uruchomieniem dwûch osobnych dzia Ûw: Wiadomoúci i Samorzπdy. Serwis Wiadomoúci informuje o bieøπcych wydarzeniach w Polsce. Kaødego dnia ukazujπ sií w nim najúwieøsze informacje w szeúciu kategoriach: WiadomoúÊ dnia, Polityka, Gospodarka, Kultura, Nauka, Sport. Serwis Samorzπdy jest rozbudowanym kompendium wiedzy o polskich instytucjach samorzπdowych. W jego sk ad wchodzπ obecnie: Leksykon samorzπdu terytorialnego zawierajπcy definicje podstawowych pojíê z zakresu samorzπdnoúci, kompletna baza teleadresowa polskich instytucji samorzπdowych wszystkich szczebli oraz aktualne informacje samorzπdowe - artyku y, reportaøe, analizy i zestawienia. W serwisie Skarby literatury polskiej prezentowany jest wybûr dzie wolnych od praw autorskich w dniu 1 wrzeúnia 1999 roku. Wyboru utworûw dokonano drogπ konsultacji ze specjalistami z zakresu historii literatury polskiej, reprezentujπcymi wiodπce oúrodki naukowe w Polsce. Pomys, by udostípniê w Polska.pl wybrane najcenniejsze dzie a naszej literatury w moøliwie najatrakcyjniejszej formie, by niezaleøny od powstania PBI ñ Polskiej Biblioteki Internetowej, do ktûrej to inicjatywy NASK zg osi swûj natychmiastowy akces. Micha Piotrowski 9

10 Miniony rok by prze omowy w tworzeniu prawnych ram spo eczeòstwa informacyjnego w Polsce. Obfitowa nie tylko w wydarzenia zwiπzane z wejúciem w øycie nowych regulacji prawnych w tej dziedzinie (ustawa o podpisie elektronicznym, ustawa o ochronie baz danych), lecz by takøe rekordowy pod wzglídem liczby uchwalonych przez Sejm aktûw prawnych noszπcych w nazwie przymiotnik Ñelektronicznyî 1. Oøywiona dzia alnoúê legislacyjna na tym polu wynika a g Ûwnie z kalendarza akcesyjnego i tzw. listy screeningowej, na jakiej znalaz y sií regulacje prawne, do wprowadzenia ktûrych zobowiπzane zosta y kraje kandydujπce do cz onkostwa w Unii Europejskiej 2. PrzyjÍte przez Sejm w lipcu i wrzeúniu 2002 r. ustawy nie sπ zatem w pe ni oryginalnym tworem polskiej myúli prawniczej, co jednak nie deprecjonuje ich znaczenia jako instrumentûw kszta tujπcych prawid owe funkcjonowanie gospodarki elektronicznej. Ochrona dostępu warunkowego do informacji Ustawa o ochronie us ug elektronicznych zwiπzanych z dostípem warunkowym ma stymulowaê rozwûj rynku us ug informacyjnych úwiadczonych za wynagrodzeniem i sprzyjaê komercyjnej eksploatacji informacji (np. 10 Prawo Prawo w społeczeństwie informacyjnym e-prawo 2002 wybrane aspekty 1 Ustawa z dnia 5 lipca 2002 r. o ochronie niektûrych us ug úwiadczonych drogπ elektronicznπ opartych lub polegajπcych na dostípie warunkowym [Dz. U. Nr 126, poz. 1068];ustawa z dnia 18 lipca o úwiadczeniu us ug drogπ elektronicznπ [Dz. U. Nr 144, poz. 1204]; ustawa z dnia 12 wrzeúnia 2002 r. o elektronicznych instrumentach p atniczych. 2 Dyrektywa Parlamentu Europejskiego i Rady 2000/31/WE w sprawie niektûrych aspektûw prawnych us ug w spo eczeòstwie informacyjnym, a w szczegûlnoúci handlu elektronicznego w obríbie wolnego rynku (ìdyrektywa dotyczπca handlu elektronicznegoî); Dyrektywa Parlamentu Europejskiego i Rady 98/84/WE z dnia 20 listopada 1998 r. w sprawie ochrony prawnej us ug dostípu warunkowego lub us ug opartych na takim dostípie; Zalecenie Komisji 97/489/EC z 30 lipca 1997 r. w sprawie transakcji przy uøyciu elektronicznych instrumentûw p atniczych, a w szczegûlnoúci stosunkûw pomiídzy posiadaczem kart a wydawcπ; Dyrektywa Parlamentu Europejskiego i Rady 2000/46/EC z 18 wrzeúnia 2000 r. dotyczπca prowadzenia dzia alnoúci przez instytucje elektronicznego pieniπdza oraz nadzoru ostroønoúciowego nad ich dzia alnoúciπ. Andrzej Adamski w postaci baz danych, filmûw wideo Ñna øπdanieî lub nauczania na odleg oúê za pomocπ sieci). Jest to specyficzny typ regulacji prawnej ze wzglídu na bezpoúredni przedmiot ochrony. Nie jest nim bowiem informacja per se, interes gospodarczy jej dostawcûw czy majπtkowe prawa autorskie twûrcûw rozpowszechnianych utworûw, lecz zabezpieczenia techniczne umoøliwiajπce automatycznπ kontrolí dostípu do us ug informacyjnych i autoryzacjí ich subskrybentûw. Ustawa przewiduje sankcje karne, m.in. za wytwarzanie, wprowadzenie do obrotu, posiadanie lub uøywanie urzπdzeò (sprzítu lub oprogramowania) zaprojektowanych lub przystosowanych w celu eliminowania, albo obchodzenia zabezpieczeò chroniπcych dostíp do us ug informacyjnych lub korzystanie z p atnych i kodowanych programûw telewizyjnych bπdü radiowych ñ w szczegûlnoúci przez osoby, ktûre z wytwarzania i dystrybucji tego rodzaju ÑnarzÍdziî uczyni y ürûd o dochodu. W porûwnaniu z Dyrektywπ 98/84/WE, ktûra nie przewiduje karalnoúci uøywania ÑnarzÍdzi niedozwolonychî, prze amywania lub obchodzenia urzπdzeò dostípu warunkowego, ani uzyskiwania przy pomocy tych urzπdzeò dostípu do us ug chronionych Ñna w asny uøytekî, ustawa z dnia 5 lipca 2002 r. jest bardziej restrykcyjna. Polski ustawodawca wykroczy ponad minimalny poziom ochrony przewidziany przez DyrektywÍ i objπ zakresem kryminalizacji takøe zachowania konsumentûw us ug informacyjnych, ktûrzy dziíki uøywaniu ÑnarzÍdzi niedozwolonychî (np. pirackich dekoderûw sygna u p atnej telewizji), za korzystanie z tych us ug nie p acπ. Moøna mieê jednak wπtpliwoúci, czy przyjície silniejszej ochrony dostípu warunkowego do us ug elektronicznych niø to przewidujπ standardy europejskie jest w systemie prawa polskiego uzasadnione i celowe. Wszak uøywanie urzπdzenia niedozwolonego na w asne potrzeby, o jakim mowa w treúci art. 7 ust.2 ustawy z 5 lipca 2002 r., jest semantycznym i funkcjonalnym ekwiwalentem uzyskania informacji w nastípstwie prze amania zabezpieczeò przez osobí do tego nieuprawnionπ i jako takie stanowi czyn karalny na podstawie art. 267 ß 1 kodeksu karnego.

11 Prawo Świadczenie usług drogą elektroniczną Celem ustawy z dnia 18 lipca o úwiadczeniu us ug drogπ elektronicznπ, ktûra wchodzi w øycie 10 marca 2003 r., jest zapewnienie us ugom úwiadczonym drogπ elektronicznπ przejrzystoúci, ich dostawcom ñ poczucia bezpieczeòstwa prawnego, a odbiorcom tych us ug ñ prawnych gwarancji poszanowania prywatnoúci. Wspomniana ustawa nak ada w zwiπzku z tym na dostawcûw us ug elektronicznych szereg obowiπzkûw, okreúla zasady ich odpowiedzialnoúci za treúê przesy anej lub przechowywanej przez nich informacji, przewiduje obszerny katalog przepisûw chroniπcych dane osobowe us ugobiorcûw oraz uznaje spamming za czyn nieuczciwej konkurencji i zakazuje pod groübπ kary jego stosowania. Zgodnie z Dyrektywπ Unii Europejskiej z 8 czerwca 2000 r. o handlu elektronicznym, ustawa zwalnia dostawcûw us ug z obowiπzku kontrolowania przekazywanych lub dostarczanych przez inne osoby treúci, jak i poszukiwania okolicznoúci, ktûre mog yby wskazywaê na bezprawny charakter udostípnianych informacji. OdpowiedzialnoúÊ z tego powodu wchodzi w grí tylko wûwczas, gdy dzia alnoúê us ugodawcy nie ma czysto technicznego, automatycznego i pasywnego charakteru. W przypadku us ugi hostingu warunkiem odpowiedzialnoúci us ugodawcy jest úwiadomoúê bezprawnego charakteru przechowywanych danych lub zwiπzanej z nimi dzia alnoúci, a takøe zaniechanie niezw ocznego uniemoøliwienia dostípu do danych w razie otrzymania urzídowego zawiadomienia lub uzyskania wiarygodnej wiadomoúci o ich bezprawnym charakterze. W celu przeciwdzia ania praktykom nieuczciwej konkurencji, ustawa przewiduje procedurí notyfikacyjnπ, ktûra ma zapewniê, øe dostíp do danych nie zostanie odciíty bez uzasadnienia i umoøliwienia us ugobiorcy obrony. Ma to przeciwdzia aê zg aszaniu fa szywych zawiadomieò o rzekomo bezprawnym charakterze rozpowszechnianych danych. Us ugodawca, ktûry stosujπc sií do tej procedury, zawiadomi zlecajπcego us ugí przechowania danych o zamiarze uniemoøliwienia dostípu, nie odpowiada wzglídem niego za powsta π w wyniku tego szkodí. Ustawa zakazuje stosowania spammingu. Przesy anie informacji handlowej drogπ elektronicznπ uznaje za dozwolone pod warunkiem uzyskania od odbiorcy zgody na otrzymywanie takiej korespondencji. Przesy anie nie zamûwionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocπ úrodkûw komunikacji elektronicznej, w szczegûlnoúci poczty elektronicznej, jest czynem nieuczciwej konkurencji. PostÍpowanie takie stanowi teø zagroøone karπ grzywny (do z ) wykroczenie. Ze wzglídu na krajowy zasiíg jurysdykcji w sprawach o wykroczenia, kara grozi wy πcznie osobom podejmujπcym na terytorium Polski dzia ania naruszajπce anty-spamowe przepisy omawianej ustawy. Jej wp yw na ograniczanie rozmiarûw tego zjawiska, majπcego ürûd o g Ûwnie w Stanach Zjednoczonych, juø chociaøby z tego powodu, bídzie wiíc raczej symboliczny. Ustawa o elektronicznych instrumentach płatniczych Dynamiczny rozwûj rynku kart p atniczych w Polsce, przeciwdzia anie rosnπcej przestípczoúci oraz koniecznoúê dostosowania prawodawstwa polskiego do wymogûw Unii Europejskiej sta y sií przes ankami podjícia prac nad ustawπ o elektronicznych instrumentach p atniczych, ktûra zosta a uchwalona przez Sejm 12 wrzeúnia 2002 r. Ustawa wzmacnia ochroní prawnπ posiadaczy kart p atniczych przed stratami zwiπzanymi z utratπ karty oraz okreúla warunki emisji i wystípowania w obrocie pieniπdza elektronicznego. Zgodnie z tendencjami wystípujπcymi w Unii Europejskiej, ustawa o elektronicznych instrumentach p atniczych znacznie ogranicza odpowiedzialnoúê posiadaczy kart p atniczych za operacje dokonane przez osoby trzecie, w sytuacji utraty karty. Ustawa przewiduje, øe posiadacza karty obciπøajπ operacje: dokonane przez osoby, ktûrym udostípni kartí p atniczπ lub ujawni kod identyfikacyjny, jeúli umowa nie przewiduje inaczej, dokonane z uøyciem utraconej karty p atniczej do czasu zg oszenia wydawcy jej utraty, do kwoty stanowiπcej rûwnowartoúê w z otych 150 euro. Ograniczenie to nie dotyczy operacji, do ktûrych dosz o z winy posiadacza lub uøytkownika, a w szczegûlnoúci, gdy nie dope ni on obowiπzkûw na oøonych na niego ustawπ, dokonane po zg oszeniu o utracie lub zniszczeniu karty p atniczej, jeøeli dosz o do nich z winy umyúlnej jego lub uøytkownika, o ile umowa przewiduje takπ moøliwoúê, dokonane na odleg oúê, mimo iø karta p atnicza zosta a wykorzystana bez fizycznego przedstawienia. 11

12 Teleinformatyka Jednoczeúnie ustawa precyzuje przypadki, w ktûrych posiadacza karty operacje niπ dokonane nie obciπøajπ. Ma to miejsce gdy: operacje dokonane zosta y z uøyciem utraconej karty p atniczej, jeøeli ich dokonanie nastπpi o wskutek nienaleøytego wykonania zobowiπzania przez wydawcí lub akceptanta, karta p atnicza zosta a wykorzystana bez fizycznego przedstawienia i elektronicznej identyfikacji posiadacza (z wyjπtkiem, gdy umowa przewiduje moøliwoúê dokonywania takich operacji) lub bez z oøenia przez niego w asnorícznego podpisu na dokumencie obciπøeniowym. Uøycie kodu identyfikacyjnego nie wystarcza do obciπøenia posiadacza zakwestionowanπ przez niego operacjπ, chyba øe zosta z oøony bezpieczny podpis elektroniczny (ustawa z dnia 18 wrzeúnia 2001 r. o podpisie elektronicznym). Powyøsze odes anie do ustawy o podpisie elektronicznym wskazuje, øe przepisy Ñustaw elektronicznychî sπ ze sobπ wzajemnie powiπzane. Pytanie: na ile i czy w adekwatny sposûb? rozstrzygnie praktyka. Przyszłość wirtualnych sieci prywatnych Teleinformatyka dla przedsiębiorstw Część 2 W tej czíúci artyku u poúwiíconego us ugom transmisji danych dla przedsiíbiorstw dyrektor techniczny NASK Krzysztof Silicki omawia dostípne obecnie technologie i parametry us ug. Frame Relay Frame Relay jest protoko em najczíúciej uøywanym do tworzenia rozleg ych sieci korporacyjnych w warstwie drugiej modelu ISO OSI. W technologii tej moøliwe jest utworzenie dedykowanych (wirtualnych) kana Ûw PVC (Private Virtual Circuit), spe niajπcych szereg wymogûw. Wirtualne kana y mogπ mieê okreúlonπ przepustowoúê gwarantowanπ (CIR), jak i dodatkowπ ñ do przesy ania ruchu zwiπzanego z chwilowym wiíkszym zapotrzebowaniem (EIR). 12 Krzysztof Silicki Kana y te, ze wzglídu na ca kowite rozdzielenie transmitowanej informacji od ruchu innych klientûw w sieci operatora, doskonale nadajπ sií do budowy odseparowanych sieci korporacyjnych, przesy ajπcych poufne dane przedsiíbiorstwa. Od strony abonenta wymagana jest nieco inna, w porûwnaniu do zwyk- ego pod πczenia do Internetu, konfiguracja na routerach dostípowych klienta ñ obejmujπca protokû Frame Relay. W tym uk adzie po πczenia korporacyjne mogπ mieê zasiíg globalny (dziíki po πczeniom miídzyoperatorskim przez styk NNI). Przyk adem zastosowania takiego rozwiπzania jest sieê korporacyjna firmy majπcej swojπ centralí np. w USA i oddzia w Polsce. Zestawienie πcza do sieci Frame Relay umoøliwia przesy anie jednym wirtualnym kana em danych komputerowych (sprzígniecie baz danych, Intranet korporacyjny, wspûlny system CRM itp.), a drugim kana em po πczenie firmowych sieci telefonicznych (rozmowy wewnπtrz firmy moøliwe dziíki zapewnieniu jakoúci QoS w sieci Frame Relay). SzczegÛlnie ta druga moøliwoúê pozwala na ogromne oszczídnoúci w kosztach dzia ania oddzia u i ca ej firmy. Konkretnie: po πczenie oddzia u firmy w Polsce z centralπ w USA moøe wyglπdaê nastípujπco:

13 Teleinformatyka zestawiony kana o CIR=128 kb/s do transmisji danych; chwilowo moøna transmitowaê nawet 256 kb/s; zestawiony drugi kana o CIR=64kb/s do transmisji g osu; moøna przes aê do 3 rozmûw jednoczeúnie; za ca e po πczenie odpowiada operator krajowy dziíki odpowiednim umowom z operatorami zagranicznymi, w πczajπc w to urzπdzenia koòcowe, stojπce po stronie abonenta. ATM Asynchronous Transfer Mode Podobnie jak w przypadku protoko u Frame Relay protokû ATM znalaz duøe zastosowanie w sieciach rozleg ych. Protoko y te moøna ze sobπ porûwnywaê, poniewaø ATM ma te same moøliwoúci co Frame Relay (czísto s uøy jako sieê podk adowa sieci Frame Relay), a dodatkowo zapewnia wiícej moøliwych do zestawienia po πczeò, duøo bardziej rozbudowane moøliwoúci zapewnienia jakoúci (QoS) oraz moøliwoúci obs ugi o wiele szerszego pasma. ruch o sta ej iloúci zajítego pasma, z pe nymi gwarancjami pasma oraz ma ego, sta ego opûünienia (idealne do przesy ania g osu) - zwany ruchem CBR; ruch o zmiennej iloúci zajítego pasma, z pe nymi gwarancjami dostípnego pasma úredniego oraz ma ego, maksymalnego i sta ego opûünienia (np. do przesy ania skompresowanych transmisji wideo i audio) ñ zwany ruchem VBR-rt; ruch o zmiennej iloúci zajítego pasma, z pe nymi gwarancjami dostípnego pasma úredniego i maksymalnego oraz bez gwarancji opûünienia (przesy anie krytycznych danych, np. aplikacji komputerowych) ñ zwany ruchem VBR-nrt; transmisja bez szczegûlnych gwarancji, ale umoøliwiajπca wykorzystanie najtaòszego, bo nie uøywanego przez inne typy ruchu pasma (przesy anie zwyk ych danych komputerowych) - zwany ruchem UBR. Sposobem wykorzystania ATM moøe byê sieê korporacyjna podobna do przyk adu opisanego w technologii Frame Relay, ale o wiíkszych moøliwoúciach. Moøliwe staje sií wûwczas: W ATM moøna zestawiaê kana y wirtualne sta e (PVC), prze πczalne w obríbie sieci (SPVC) i kana y zestawiane dynamicznie na øπdanie (SVC). Moøna takøe zestawiaê wirtualne úcieøki pomiídzy konkretnymi lokalizacjami (odpowiednio: PVP, SPVP, SVP), w ktûrych klient sieci moøe konfigurowaê dowolnπ liczbí w asnych kana Ûw logicznych. Gwarancje majπ charakter wielopoziomowy. Moøna rozrûøniê wiele typûw ruchu: po πczenie duøych central telefonicznych w ramach korporacji, dla ktûrych prze πczniki ATM operatora stajπ sií rozproszonπ centralπ tranzytowπ; zestawienie wideokonferencji i wideoprzekazûw o bardzo dobrej jakoúci; zestawienie wielu separowanych kana Ûw do po πczeò komputerowych bez udzia u operatora sieci ATM (wszystko moøe byê zestawione przez klienta w jednej 13

14 Teleinformatyka wykupionej wirtualnej úcieøce o duøej przepustowoúci). A oto konkretny przyk ad - po πczenie oddzia u firmy w Polsce z centralπ w Szwecji: zestawiona przez operatora úcieøka logiczna o przepustowoúci úredniej odpowiadajπcej 1Mb/s i maksymalnej 2Mb/s; w ramach úcieøki kana PVC o przepustowoúci 512kb/s s uøπcy πczeniu do 10 rûwnoczesnych rozmûw telefonicznych (z pe nπ sygnalizacjπ miídzy centralami); dla aplikacji krytycznych zestawiony kana w ramach úcieøki o przepustowoúci gwarantowanej 512kb/s i maksymalnej 1536kb/s; w ramach úcieøki pozosta a przepustowoúê wykorzystana do zwyk ej πcznoúci komputerûw (UBR). IP Internet Protocol Tradycyjna sieê IP wywodzπca sií z modelu internetowego nie zapewnia jakichkolwiek gwarancji. Przesy anie danych jest w niej swego rodzaju loteriπ ñ uda sií lub nie ñ a jeúli tak, to z jakim opûünieniem? Znamy wszyscy efekt oczekiwania na za adowanie sií strony WWW ñ opûünienie zaleøne jest od liczby uøytkownikûw w sieci lokalnej klienta oraz od pojemnoúci sieci operatora. Jednoczeúnie jest to sieê najtaòsza i najbardziej popularna. Z tego wzglídu prûbuje sií wprowadziê do niej protoko y i sposoby zapewniajπce gwarancjí jakoúci transmisji. Obecnie stosunkowo dobrze opracowane sπ metody zapewnienia jakoúci w oparciu o model CoS (Class of Service). SieÊ IP Ñotwartaî czyli Internet stwarza dodatkowe problemy z punktu widzenia bezpieczeòstwa transmisji. Praktycznie kaødy pakiet informacji moøe zostaê przechwycony, pods uchany i zmieniony. Istnieje zatem koniecznoúê zapewnienia dodatkowej wartoúci przy omawianiu jakoúci us ug ñ separacji i bezpieczeòstwa ruchu. Moøna to zrealizowaê w oparciu o standard IPSec. Przyk ad zastosowania: po πczenie kilku oddzia Ûw firmy w z centralπ: oddzia y i centrala majπ pod πczenie do Internetu; we wszystkich lokalizacjach instalowany jest firewall z obs ugπ IPSec; przez tunel IPSec oddzia y komunikujπ sií bezpiecznie z centralπ; moøliwe jest uzyskanie us ug z priorytetami (CoS), moøna zestawiaê kilka kana Ûw IPSec: jeden do VoIP (Voice over IP), drugi dla ERP, trzeci dla firmowego Intranetu. Z punktu widzenia klienta interesujπce jest natomiast czy do sieci IP moøna pod πczaê sií ze zrûønicowanπ jakoúciπ dla rûønych us ug. Np. dla pod πczenia πczem sta ym 2 Mb/s klient moøe okreúliê, øe 64 kb/s bídzie us ugπ moøliwie najwyøszej jakoúci ññgoldî, dajπcπ moøliwoúê przesy u pakietûw w ramach sieci operatora i szkieletu Internetu bez strat (np. przesy g osu). Dalej 256 kb/s przeznaczone bídzie dla us ugi ÑSilverî ñ z niewielkimi stratami, umoøliwiajπcej dzia anie wraøliwych na jakoúê aplikacji bazodanowych, a reszta pasma zostanie przeznaczona dla us ugi ÑBest Effortî ñ do udostípnienia uøytkownikom serwisu WWW i do uøywania przy mniej wymagajπcych aplikacjach (np. poczta elektroniczna). BudowÍ takiej sieci IP umoøliwia juø obecnie wykorzystanie moøliwoúci protoko u IP przez operatora (konkretnie pola DS. (DiffServ) w pakiecie IP), a w nowoczeúniejszej formie ñ wykorzystanie protoko u MPLS (Multiprotocol Label Switching). Oddzielnym zagadnieniem jest zapewnienie prywatnoúci przesy anego ruchu w ramach sieci korporacyjnych. Obecnie moøliwe jest zastosowanie standardu IPSec. W po πczeniu z przedstawionπ wyøej metodπ rozrûønienia klasy us ugi daje to moøliwoúê budowy tanich sieci korporacyjnych o doúê dobrych parametrach. Przysz oúciπ protoko u IP (a takøe i ATM czy FR) jest MPLS. Umoøliwia on budowí duøych sieci πczπcych zalety protoko Ûw IP i protoko Ûw podk adowych, takich jak ATM czy FR. Moøliwa stanie sií budowa sieci korporacyjnych odseparowanych na poziomie kana Ûw logicznych, z zapewnieniem gwarancji jakoúci, przy jednoczesnym wykorzystaniu faktu powszechnoúci protoko u IP. 14

15 Arbitraż Internetowa architektura przyszłości DoúÊ trudno jest obecnie przewidywaê przysz oúê, ale pewne znaki moøna rozpoznaê juø teraz. Wydaje sií, øe telekomunikacyjny úwiat przysz oúci to úwiat IP i MPLS. Dlaczego? Dlatego, øe mimo coraz wiíkszych przepustowoúci w sieciach nadal wystípujπ problemy zwiπzane z nat okiem ruchu. W úwiecie tym moøliwe jest wiíc i konieczne podpisywanie umûw miídzyoperatorskich na gwarancje jakoúci us ug, co umoøliwi zestawianie globalnych sieci korporacyjnych IP VPN, tak jak to jest obecnie moøliwe w sieci Frame Relay. Gwarancje sieci korporacyjnych bídzie moøna rozszerzaê na ekstranety, czyli sieci pozwalajπce na wspû prací z mobilnymi pracownikami, dostawcami, odbiorcami produktûw firmy oraz zapewniajπce πcznoúê ze wspû pracujπcymi podmiotami gospodarczymi. Z kolei przesy g osu bídzie jedynie dodatkiem do przesy u danych (istnieje wiele przyk adûw finansowania rozwoju infrastruktury IT firmy z oszczídnoúci na rozmowach telefonicznych, ktûre sπ realizowane w sieci korporacyjnej zamiast korzystania z klasycznej telefonii). DziÍki gwarancjom jakoúci i ogromnym przepustowoúciom sieci bídzie moøliwe oglπdanie filmûw z serwerûw producenta, kupowanie dostípu do aplikacji (model ASP - Aplication Service Provider) czy teø powstanie rozproszonego komputera o niewyobraøalnych moøliwoúciach przetwarzania informacji. Czas pokaøe, czy taka wizja sií sprawdzi i do czego to doprowadzi. Co na dziś? Obecnie wiíkszoúê ruchu korporacyjnego (w relacjach krajowych i zagranicznych) naleøy do sieci Frame Relay oraz rozwiπzaò opartych o IPSec. NASK jako pierwszy operator w Polsce wprowadzi sieci korporacyjne na krajowy rynek. By y to najpierw sieci o zasiígu krajowym (1996 r.), a nastípnie miídzynarodowym (1997 r.). Budujemy sieci korporacyjne dla klientûw przy uøyciu technologii Frame Relay i ATM - ale takøe IP, oddajπc do dyspozycji klientûw szerokie spektrum przepustowoúci do 155 Mbps. SieÊ korporacyjna umoøliwia przedsiíbiorstwu efektywne zarzπdzanie pracπ jego oddzia Ûw, zapewnia sprawnπ komunikacjí pomiídzy oddalonymi lokalizacjami firmy przy powaønej redukcji kosztûw komunikacji ñ telefonûw, faksûw czy spotkaò biznesowych. NASK jako operator realizuje na rynku pe nπ obs ugí firm, zawierajπcπ w jednej umowie wszystkie elementy sk adajπce sií na budowí i utrzymanie danej sieci. Oferujemy naszym klientom dzierøawí linii dostípowych, dostarczamy odpowiedni sprzít (modemy, routery), rozwiπzania bezpieczeòstwa (np. systemy firewall) a nawet dostosowujemy w asnπ infrastrukturí do parametrûw wymaganych przez sieê klienta. Arbitraż Polubowne rozstrzyganie sporów wynikających z rejestracji nazw domen Agnieszka Kądziela PowszechnoúÊ Internetu, coraz wiíksza potrzeba korzystania z tego medium w kaødej dziedzinie øycia, poczynajπc od zarzπdzania, poprzez edukacjí, naukí i dzia- alnoúê gospodarczπ, wywo a y lawinowy wzrost rejestracji adresûw domenowych. Coraz czístsze spory o naruszenie praw wynikajπcych z rejestracji znaku towarowego zmusi y pe niπcπ rolí centrum zarzπdzajπcego DNS, amerykaòskπ instytucjí ICANN (Internet Corporation for Assigned Names and Numbers), do utworzenia procedury, ktûra rozwiπzywa aby spory tego rodzaju. Jak było na początku Przed rokiem 1995 w NSI (Network Solutions Inc), poczπtkowo jedynej amerykaòskiej instytucji rejestrujπcej nazwy domen, obowiπzywa a jedynie regu a, zgodnie 15

16 Arbitraż z ktûrπ abonent sk adajπc wniosek o rejestracjí zapewnia, øe rejestrujπc podanπ nazwí nie narusza praw osûb trzecich wynikajπcych z rejestracji znaku towarowego. Oficjalna procedura rozwiπzywania sporûw wynikajπcych z rejestracji nazwy domenowej zosta a zastosowana po raz pierwszy w listopadzie 1996 r. przez NSI. Pozwala a ona uprawnionemu z rejestracji znaku towarowego, ktûry by identyczny z nazwπ domeny, na sprzeciwienie sií rejestracji nazwy domeny. Jedynym argumentem obronnym, ktûrego mûg uøyê abonent domeny, mog o byê udowodnienie przys ugujπcych mu aktualnie uprawnieò z rejestracji znaku towarowego. Na udowodnienie tego faktu mia 30 dni. W wypadku niepowodzenia NSI blokowa a nazwí domeny, aby øadna ze stron, ani øaden inny podmiot nie mûg z niej korzystaê do czasu wydania orzeczenia przez sπd lub zawarcia ugody. Taka praktyka wzbudza a niezadowolenie wúrûd stron zaangaøowanych w konflikt. Uprawnieni z rejestracji znakûw towarowych wskazywali jako lukí w zasadach NSI moøliwoúê wytoczenia sporu jedynie w przypadkach identycznoúci nazwy domenowej ze znakiem towarowym. Abonenci uznali swojπ pozycjí za bardziej niekorzystnπ, gdyø ich nazwa mog a byê Ñzablokowanaî, nawet jeúli mieli oni prawo do uøywania znaku towarowego dla innej klasy produktûw lub us ug. Strony sporûw wspûlnie podnosi y, øe Ñblokadaî domeny nie jest efektywnym úrodkiem rozwiπzania sporu. Powyøsze wπtpliwoúci i obawa o stabilnoúê systemu DNS w úwietle rosnπcej liczby konfliktûw przyczyni y sií do wspû pracy AmerykaÒskiej Agencji ds. Telekomunikacji i Informatyki (NTIA) oraz åwiatowej Organizacji W asnoúci Intelektualnej (WIPO). WspÛ praca mia a na celu ustalenie miídzynarodowej procedury rozwiπzywania sporûw wynikajπcych z rejestracji nazw domenowych. RozpoczÍ a sií w czerwcu 1998 r. i trwa a do paüdziernika 1999 r. Procedura UDRP 24 paüdziernika 1999 r. ICANN zatwierdzi a ÑPolitykÍ jednolitego rozwiπzania sporûw dotyczπcych nazw domenowychî, czyli Uniform Dispute Resolution Policy (UDRP). Procedura UDRP stosowana jest do sporûw w zakresie domen funkcjonalnych (gtldís): com, net, org, aero, biz, coop, info, museum, name oraz pro. Stosuje sií jπ rûwnieø do konfliktûw dotyczπcych domen krajowych (cctldís) w przypadku dobrowolnego poddania sií zasadom przez rejestratorûw domen krajowych. Dzia ajπce przy WIPO Centrum Arbitaøu i Mediacji rozstrzyga spory domenowe dla 29 rejestratorûw domen krajowych. PostÍpowanie wg zasad UDRP moøe byê prowadzone przez jednπ z piíciu instytucji arbitraøowych, akredytowanych przez ICANN: WIPO (1 grudnia 1999 r.); NAF ( 23 grudnia 1999 r.); eresolution (1 stycznia 2000 r.); ADNDRC ( 28 lutego 2002 r.). PostÍpowanie jest obowiπzkowe dla abonenta nazwy domeny, w wypadku gdy wnioskodawca udowodni, iø kumulatywnie zosta y spe nione trzy przes anki (ß 4a UDRP): 1) nazwa domeny jest identyczna lub podobna w stopniu wywo ujπcym konfuzjí do znaku towarowego skarøπcego; 2) abonent domeny nie ma prawa lub uzasadnionego interesu prawnego do uøywania nazwy domeny; 3) nazwa domeny zosta a zarejestrowana i jest uøywana w z ej wierze. Procedura UDRP ma zapewniê przede wszystkim szybkie rozstrzyganie sporûw dotyczπcych nazw domen internetowych, powsta ych miídzy uprawnionymi z rejestracji znakûw towarowych a rejestrujπcymi w z ej wierze abonentami domen. W wiíkszoúci wypadkûw spûr rozstrzygany jest w terminie 60 dni. Charakter prawny procedury UDRP nie jest prosty do zdefiniowania. Na pewno przypomina postípowanie arbitraøowe, wyrûøniê moøna jednak trzy podstawowe rûønice: 1) nieostatecznoúê orzeczeò. Skorzystanie z postípowania wg zasad UDRP nie zamyka drogi sπdowej; 2) umiejscowienie w zasadach UDRP norm o charakterze materialnoprawnym; 3) zastosowanie jako podstawy prawnej dla UDRP umowy zawieranej przez rejestratora nazw domenowych z organizacjπ ICANN. Za najistotniejszπ naleøy uznaê nieostatecznoúê orzeczeò. Polski kodeks postípowania cywilnego dok adnie omawia procedurí odwo awczπ w wypadku wydania wyroku przez sπd polubowny. Jak stanowi art. 711 ß 1 od wyroku sπdu polubownego nie przys uguje odwo anie. Wyrok sπdu polubownego oraz ugoda przed nim zawarta majπ moc na rûwni z wyrokiem sπdu paòstwowego lub ugodπ przed takim sπdem zawartπ, po stwierdzeniu przez sπd paòstwowy ich wykonalnoúci. NastÍpuje to w drodze postanowienia. Sπd odmûwi wydania takiego postanowienia, jeøeli ze z oøonych akt sπdu polubownego wynika, øe wyrok lub ugoda treúciπ swπ uchybia praworzπdnoúci lub zasadom wspû øycia spo ecznego w Rzeczpospolitej Polskiej. Orzeczenia sπdu polubownego zaskarøyê moøna jedynie w drodze nadzwyczajnego úrodka odwo awczego, jakim jest skarga o uchylenie wyroku sπdu polubownego. Art. 712 ß 1 wymienia katalog zamkniíty przes anek, mogπcych stanowiê podstawí do z oøenia takiej skargi: 16

17 Arbitraż 1) nie by o zapisu na sπd polubowny albo gdy zapis by niewaøny lub utraci moc; 2) stroní pozbawiono moønoúci obrony jej praw przed sπdem polubownym; 3) nie zachowano trybu postípowania przed sπdem polubownym ustalonego przez strony lub przepisûw ustawy, w szczegûlnoúci przepisûw o sk adzie, g osowaniu, wy- πczeniu sídziego i o wyroku; 4) rozstrzygniície o øπdaniach stron jest niezrozumia e, zawiera sprzecznoúê albo uchybia praworzπdnoúci lub zasadom wspû øycia spo ecznego w RP; 5) zachodzπ przyczyny, ktûre stanowiπ podstawí skargi o wznowienie postípowania w myúl przepisûw kodeksu. Sπd jest zwiπzany podstawami skargi o uchylenie wyroku sπdu polubownego, bierze jednak z urzídu pod rozwagí, czy wyrok nie uchybia praworzπdnoúci lub zasadom wspû øycia spo ecznego w RP. Arbitraż w Polsce Procedura UDRP stanowi a inspiracjí do tworzenia instytucji do polubownego rozstrzygania sporûw zwiπzanych z rejestracjπ nazw domen internetowych, w tym miídzy innymi do utworzenia w Polsce Sπdu Polubownego (dalej: Sπd) przy Polskiej Izbie Informatyki i Telekomunikacji (PIIT). D ugotrwa oúê, formalizm i wysokie koszty postípowania przed sπdem powszechnym utwierdzi y przekonanie o koniecznoúci powstania takiego sπdu. Sπd rozpoczyna dzia alnoúê 20 stycznia 2003 r. Zosta on powo any do rozstrzygania sporûw powsta ych miídzy powodem a pozwanym, ktûrym jest zawsze abonent nazwy domeny, o naruszenia praw w wyniku rejestracji nazw domen internetowych z zakoòczeniem Ñ.plî. Sπd ten jest niezaleøny od rejestratora, czyli Naukowej i Akademickiej Sieci Komputerowej. NASK zobowiπzuje sií w ÑZasadach rejestracji i utrzymywania domen internetowychî (Zarzπdzenie Dyrektora NASK z dnia 15 listopada 2002 r.) do wykonywania orzeczeò Sπdu Polubownego. Podstawπ funkcjonowania Sπdu jest ÑRegulamin mediacji oraz arbitraøu w sprawach dotyczπcych nazw domen internetowychî. Regulamin ten stosuje sií w wypadku sporûw, w ktûrych co najmniej jedna ze stron ma siedzibí lub miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej. Z zasady korespondencja w postípowaniu arbitraøowym przesy ana jest pocztπ elektronicznπ, chyba øe obie strony lub arbiter postanowiπ inaczej, bπdü jeøeli regulamin przewiduje obowiπzek zachowania formy pisemnej. Sπ to nastípujπce wypadki: 1) sporzπdzenie pozwu, 2) sporzπdzenie orzeczenia, 3) zawiadomienie PIIT o przyjíciu funkcji przez arbitra. Strony mogπ wybraê celem dochodzenia roszczeò postípowanie mediacyjne lub arbitraøowe. Mediacje mogπ poprzedzaê postípowanie arbitraøowe. Do wszczícia postípowania arbitraøowego konieczne jest podpisanie klauzuli arbitraøowej. Oznacza ona umowí zawartπ w formie pisemnej miídzy pozwanym a powodem albo klauzulí w takiej umowie, ktûrej treúciπ jest poddanie pod rozstrzygniície Sπdu sporu, jaki powsta miídzy stronami w wyniku rejestracji nazwy domeny. Dniem wszczícia postípowania arbitraøowego jest dzieò z oøenia pozwu w PIIT. Na odpowiedü na pozew pozwany ma termin 7 dni. Zasadπ jest, øe postípowanie jest prowadzone przez jednego arbitra, dzia ajπcego jako sπd polubowny w rozumieniu przepisûw kodeksu postípowania cywilnego. Jednakøe strony wspûlnie mogπ øπdaê, aby postípowanie zosta o przeprowadzone w sk adzie trzech arbitrûw. Powo anie arbitra wymaga jego zgody na piúmie, wyraøonej w terminie trzech dni od daty zawiadomienia o powo aniu. Arbiter zarzπdza rozprawí tylko na øπdanie obu stron lub z w asnej inicjatywy, jeøeli uzna, øe jest to niezbídne dla wszechstronnego wyjaúnienia wszelkich okolicznoúci sprawy, w celu przeprowadzenia dowodûw z zeznaò úwiadkûw, opinii bieg- ego lub przes uchania stron. Zgodnie z zasadπ szybkoúci postípowania, przewidywany termin zamkniícia postípowania to termin 30 dni od daty wyraøenia przez arbitra zgody na rozstrzyganie w danej sprawie. Orzeczenie powinno byê wydane w terminie 10 dni od zamkniícia postípowania. RozstrzygniÍcia dotyczπ tylko nazw domen. Sπd nie orzeka o odszkodowaniu. Wyrok jest dla stron wiπøπcy z chwilπ jego doríczenia. Do dochodzenia roszczeò w zakresie naruszenia praw w wyniku rejestracji domeny przed Sπdem Polubownym moøe zachícaê korzystny aspekt finansowy postípowania. Przyk adowo, koszt mediacji wynosiê bídzie PLN, koszt postípowania przed jednym arbitrem PLN. Samo utworzenie Sπdu Polubownego nie stanowi gwarancji, øe stanie sií on skutecznym narzídziem rozstrzygania sporûw wynikajπcych z rejestracji nazw domen. Duøa efektywnoúê stosowania procedury UDRP na úwiecie daje jednak solidnπ podstawí, aby sπdziê, iø postípowanie arbitraøowe zostanie rûwnieø docenione w Polsce. Agnieszka Kπdziela jest asystentkπ w Dziale Prawnym NASK; studentkπ V roku na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego 17

18 WspÛ czesny úwiat przyzwyczai nas do faktu istnienia rûønego rodzaju oksymoronûw. Tak wiíc otaczajπ nas okreúlenia typu Ñgorzkie szczíúcieî czy Ñwymowne milczenieî. W ostatnich latach dosz- o nowe okreúlenie, zawierajπce rûwnie powaønπ dawkí niespûjnoúci. Jest nim Ñbezpieczne oprogramowanieî. Wygrywa najszybszy Rynek oprogramowania rzπdzi sií swoimi prawami. W przypadku rozwiπzaò projektowych czy inøynierskich moøna by oby oczekiwaê, iø sukces osiπgnie rozwiπzanie najbardziej zaawansowane albo najbardziej niezawodne. Nic bardziej mylnego w przypadku oprogramowania. Okazuje sií, øe zamiast hase Ñwygrywa najlepszyî albo teø Ñwygrywa najbardziej zaawansowany technologicznieî, o wiele prawdziwsze sπ has a typu Ñwygrywa najszybszyî czy teø Ñwygrywa ten, ktûry ma i umie spoøytkowaê najwiíksze fundusze na marketing swojego rozwiπzaniaî. Niewiele jest dziedzin naszego øycia, ktûre rozwijajπ sií rûwnie dynamicznie jak rozwiπzania informatyczne. Okazuje sií jednak, øe aby dokonaê ekspansji na rynku albo chociaø nie straciê dotychczasowej pozycji, naleøy kolejnπ wersjí oprogramowania wypuúciê na rynek jak najszybciej. To Ñnajszybciejî oznacza, øe na rynku pojawia sií oprogramowanie, ktûre wprawdzie oferuje zak adanπ funkcjonalnoúê, ale nie zosta o dobrze przetestowane pod wzglídem niezawodnoúci, w tym przede wszystkim odpornoúci na potencjalne prûby ataku. Firmy programistyczne wychodzπ z za oøenia, øe na poprawianie ewentualnych b ÍdÛw bídzie czas pûüniej, zaú testowaniem jakoúci oprogramowania doskonale mogπ zajπê sií jego komercyjni uøytkownicy. Najbardziej podstawowym powodem takiego podejúcia jest brak adaptacji przez najwiíkszych wytwûrcûw Bezpieczeństwo Bezpieczeństwo oprogramowania Zagrożenia w Internecie przyczyny i skutki Tomasz Jordan Kruk 10 pakietów, w których wykryto najpopularniejsze/najgroÿniejsze luki bezpieczeñstwa w systemach MS Windows serwer WWW Internet Information Services (IIS) Microsoft Data Access Components (MDAC) us³ugi zdalnego dostêpu serwer baz danych Microsoft SQL Server Netbios niechronione zasoby dzielone Windows anonimowa rejestracja, tzw. sesje Null uwierzytelnianie w LAN Manager uwierzytelnianie w MS Windows konta bez hase³ b¹dÿ ze s³abymi has³ami przegl¹darka Internet Explorer zdalny dostêp do rejestrów systemu jêzyk skryptowy Windows Scripting Host (WSH) ród³o: SANS/FBI Top 20 List, grudzieñ 2002 r. oprogramowania tzw. kultury bezpieczeòstwa. WiÍkszoúÊ pope nianych przez programistûw b ÍdÛw, ktûre potem dajπ sií wykorzystaê jako luki bezpieczeòstwa, jest trywialna. Najbardziej popularne ürûd o problemûw, tzw. przepe nienie bufora, okazuje sií powodem luk bezpieczeòstwa w 80 proc. przypadkûw. Tymczasem moøna úmia o za oøyê, øe kaødy programista tworzπcy zaawansowane oprogramowanie ma úwiadomoúê, w jakich sytuacjach takie przepe nienie moøe wystπpiê. Problem polega na tym, øe programista nie widzi wysokiego priorytetu w zapewnianiu bezpieczeòstwa tworzonego oprogramowania. Najwaøniejszym wyznaczonym mu celem jest jak najszybsze osiπgniície zak adanej funkcjonalnoúci produktu. Sposobem wymuszenia na programiúcie metody tworzenia bezpiecznego oprogramowania mog oby byê kontrolowanie stworzonego przez niego oprogramowania ñ albo na poziomie kompilacji programu, albo teø dodatkowymi narzídziami sprawdzajπcymi automatycznie kod ürûd owy 18

19 Bezpieczeństwo pod wzglídem jego bezpieczeòstwa. NarzÍdzia drugiego typu istniejπ, ale ich jakoúê pozostawia jeszcze wiele do øyczenia. Jeúli zaú chodzi o pierwsze rozwiπzanie: jízyki, ktûrych przewaønie uøywajπ programiúci (np. C, C++, Pascal), nie by y zaprojektowane z bezpieczeòstwem tworzonego oprogramowania jako jednym z g Ûwnych celûw. 10 pakietów, w których wykryto najpopularniejsze/najgroÿniejsze luki bezpieczeñstwa w systemach Unix/Linux mechanizm zdalnego wywo³ania procedury (RPC) serwer WWW Apache protokó³ SSH zarz¹dzanie sieci¹ przez SNMP (Simple Network Management Protocol) protokó³ FTP wiarygodnoœæ uwierzytelniania w tzw. r-us³ugach demon drukowania LPD program do obs³ugi poczty Sendmail serwer DNS (BIND) uwierzytelnianie w systemie, konta bez hase³ b¹dÿ ze s³abymi has³ami ród³o: SANS/FBI Top 20 List, grudzieñ 2002 r. Dlatego teø tak czísto w wytworzonym przez nie kodzie istnieje moøliwoúê wystπpienia przepe nienia bufora. W jaki sposûb moøna by oby wymusiê na producentach oprogramowania zwiíkszenie poziomu bezpieczeòstwa wytwarzanego oprogramowania? Sposobem tym by oby wymuszenie przyjícia przez nich jakiejkolwiek rzeczywistej odpowiedzialnoúci za jakoúê sprzedawanego oprogramowania. Gdyby z faktu wystπpienia b Ídu w oprogramowaniu wynika y dla jego producenta rzeczywiste restrykcje finansowe (np. majπce duøπ szansí na sukces roszczenia o odszkodowania), byê moøe priorytet zapewnienia odpowiedniego standardu bezpieczeòstwa produktu wzrûs by znaczπco. Stan na dziú jest taki, øe podpisujemy przed korzystaniem z oprogramowania umowí licencyjnπ, z ktûrej formalnie cokolwiek wynika, ale praktycznie nie wynika nic. I tak przecieø musimy czekaê cierpliwie na kolejne aty od producenta oprogramowania, z oszczπc sií czísto na jakoúê programûw, a zarazem nie marzπc nawet o jakiejkolwiek formie zadoúêuczynienia. Błędy i co z tego wynika Zgodnie z informacjami dostípnymi na stronie Centrum Koordynacyjnego CERT, w produktach najwiíkszych wytwûrcûw systemûw operacyjnych i oprogramowania bazodanowego w ostatnich latach odnotowano po kilkaset b ÍdÛw majπcych wp yw na poziom bezpieczeòstwa. ByÊ moøe zmiany na lepsze zostanπ wymuszone przez ustawowe zwiíkszanie wymagaò najwiíkszych potencjalnych uøytkownikûw, czyli administracji poszczegûlnych paòstw. W roku 2002 zapowiedziano juø, øe oprogramowanie kupowane przez administracjí paòstwowπ w USA powinno przejúê proces ewaluacyjny pod wzglídem gwarantowania dostatecznego poziomu bezpieczeòstwa. Stanu rzeczy nie poprawia fakt, øe z racji fizycznego przy πczenia tak wielkiej liczby komputerûw do Internetu, metoda infekowania komputerûw wirusami czy koniami trojaòskimi w przypadku wykrycia nowych s aboúci jest bardzo skuteczna. Rozpowszechnianie wirusûw i wykrywanie s aboúci sta o sií czynnoúciami praktycznie juø w pe ni zautomatyzowanymi. Intruz inicjuje jedynie rozrastajπcy sií nastípnie graf kolejnych infekcji. Reszty dokonuje automatyczne infekowanie i atakowanie kolejnych celûw z juø zainfekowanych komputerûw. Cennym ürûd em informacji o kolejnych potencjalnych ofiarach sπ np. ksiπøki adresowe z adresami , wykorzystywane przez wiele aktualnych wersji koni trojaòskich do rozsy ania sií na kolejne komputery. Nie napawa optymizmem rûwnieø fakt, iø nie wszystkie s aboúci intersieci w obecnej postaci zosta y juø w pe ni obnaøone. I tak w 2002 roku konsultanci IT zademonstrowali nowπ klasí koni trojaòskich, nazwanπ Setiri, ktûrej skutecznoúê opiera sií na doskona ym kamuflaøu swej aktywnoúci przed oprogramowaniem zabezpieczajπcym sieê. Idea nie jest skomplikowana. Forpoczta konia trojaòskiego uruchomiona przez nieuwaønego uøytkownika przy odczycie zawartoúci skrzynki pocztowej ukrywa sií w systemie. NastÍpnie, w odpowiednich momentach koò trojaòski zaczyna úciπgaê sií na komputer uøytkownika, symulujπc przeglπdanie przez niego stron WWW. Uruchamiana jest niewidoczna przeglπdarka i odbywa sií komunikacja z g Ûwnπ czíúciπ wirusa poprzez przeglπdanie i úciπganie odpowiednio spreparowanych stron WWW, zawierajπcych w rzeczywistoúci dane i kod konia trojaòskiego. Z punktu widzenia oprogramowania monitorujπcego bezpieczeòstwo sieci nie ma w tym zachowaniu nic niezwyk ego, gdyø wyglπda ono jak typowe przeglπdanie stron internetowych. 19

20 Bezpieczeństwo Ataki w sieci Innymi wszechobecnymi w sieci plagami sπ skanowania portûw w celu wykrycia us ug, ktûre mogπ staê sií potencjalnym celem atakûw oraz ataki typu Ñodmowa us ugiî i Ñrozproszona odmowa us ugiî (ang. DoS, Denial of Service, DDoS, Distributed DoS). Ich celem jest nie tyle przejície bπdü zniszczenie pewnej informacji, co uniemoøliwienie úwiadczenia pewnej us ugi za poúrednictwem sieci (np. poúrednictwa transakcji biznesowych, sklepu internetowego czy gazety internetowej). Ataki DDoS przeprowadzane sπ przez zalanie serwera z us ugπ ogromnπ liczbπ pakietûw z jednego bπdü setek zainfekowanych uprzednio komputerûw z ca ego úwiata. SieÊ to nie tylko ürûd o zagroøeò, ale i zabezpieczeò. Na stronie moøna sprawdziê, czy posiadamy bezpiecznπ wersjí przeglπdarki Internet Explorer bez aktualnie znanych luk bezpieczeòstwa Przyk adem ataku DDoS by atak przeprowadzony 21 paüdziernika 2002 roku na g Ûwne serwery systemu DNS (tzw. DNS root servers) ñ najwaøniejszy logiczny element sieci Internet. System domenowy zajmuje sií t umaczeniem nazw domenowych na odpowiadajπce im adresy IP. Gdy nie dzia a system domenowy, wszystkie us ugi, ktûre wymagajπ takiej translacji (np. serwisy WWW czy poczta elektroniczna), sπ takøe sparaliøowane. W wyniku ataku z 21 paüdziernika dwie trzecie g Ûwnych serwerûw DNS by o czasowo niedostípnych bπdü niewydolnych. Na szczíúcie czíúê serwerûw, w tym obydwa zarzπdzane przez VeriSign, firmí szczegûlnie kompetentnπ w zagadnieniach bezpieczeòstwa informatycznego, opar a sií atakom i oferowa a us ugi nieprzerwanie. Ponadto, kopie informacji o domenach g Ûwnych znajdowa y sií w pamiíciach serwerûw domenowych niøszego rzídu, co zmniejszy o konsekwencje ataku. Bezpieczeństwo być na bieżąco Na szczíúcie uøytkownicy zaczynajπ zwracaê coraz wiíkszπ uwagí na bezpieczeòstwo. Gdy wzrosnπ wymagania, a bezpieczeòstwo stanie sií jednym z podstawowych elementûw wymaganej funkcjonalnoúci programûw, producenci zacznπ byê moøe konkurowaê ze sobπ jakoúciπ bezpiecznego przygotowania i odpornoúci na potencjalne ataki na swoje programowe produkty. Dbajπc o bezpieczeòstwo naszych sieci, musimy ciπgle úledziê pojawiajπce sií nowe zagroøenia i zdobywaê informacje o tym, jak sií zabezpieczaê. W sieci znaleüê moøna wiele witryn reklamujπcych sií jako autorytatywne ürûd a informacji o aktualnych zagroøeniach. Niestety, wiíkszoúê z nich nie wytrzymuje prûby czasu bπdü teø oferuje s aby poziom merytoryczny. Dba oúê o aktualnπ informacjí o bezpieczeòstwie wymaga wysokiego poziomu profesjonalizmu, sumiennoúci i systematycznoúci. Praktyka uczy, øe naleøy wybraê jednπ, gûra ñ dwie witryny, a nastípnie úledziê informacje i wdraøaê zalecenia tam zawarte. Zbyt wiele ürûde powoduje najzwyklejszy chaos informacyjny. WúrÛd witryn zagranicznych warto na pewno poleciê witryny CC CERT, oraz SecurityFocus, W jízyku polskim najbardziej profesjonalnym ürûd em informacji na temat aktualnych zagroøeò i zabezpieczeò jest strona CERT Polska, dostípna pod adresem Dr inø. Tomasz J. Kruk pracuje w Zak adzie Jakoúci Us ug Sieci NASK i w Instytucie Automatyki i Informatyki Stosowanej Politechniki Warszawskiej 20