» »

Firefox dobiva privzeto vključen "DNS over HTTPS"

1
2
»

AndrejO ::

proto je izjavil:

AndrejO je izjavil:


SeMiNeSanja je izjavil:

Skratka....kaj je poanta?

Poanta je, da so podjetja tista, ki jih DoH še najmanj briga, ker pridejo samo v dveh zgoraj opisanih kategorijah. So toadevno že varna in se jih DoH ne zadeva ali pa tudi že pred DoH niso bila varna in DoH za njih posledično ne pomeni spremembe v stopnji varnosti. Tega nobeno mahanje z rokami in skrivanje za tehničnimi izrazi ne more spremeniti.


In tole je bistvo vsega skupaj. Zanasanje na DNS v imenu varnosti, cetudi placan (in prodan od prodajalcev snakeoila, ki se zdaj drzijo za glavo) je kretenizem brez primere in ga bo DoH samo razkril, kar je pravilno.

Uporaba DNS za zagotavljanje varnosti v podjetju je čisto kul. Ni pa to samo po sebi dovolj in tudi nikoli ni bilo že samo po sebi dovolj. DoH tega ne spreminja, ker si imel tudi pred DoH že malware, ki je svoje potrebe po DNS urejal na alternativne načine z uporabo SSL, TLS in/ali HTTP za tunel skozi katerega si zagotovi izhod v širni svet in do svojega gospodarja.

Če tega podjetje ni že prej urejalo, je bilo ogroženo in DoH ga na ogroža čisto nič bolj.

Če je to podjetje že prej urejalo, potem tudi DoH tega ne spremeni, ker to pomeni, da je izhod preko HTTP/TLS že tako ali drugače upravljan skladno z varnostnimi potrebami.

Pri zasebnih uporabnikih pa slika ni tako zelo črno bela. Kot je nevedni lepo povzel, DoH lahko pripelje do tega, da "internet v FF crkne". Mozilla se tega zaveda, zato ima FF vgrajeno tudi avtomatično stikalo za izklop DoH, ki ga lahko uporabi upravljalec omrežja.

Zatorej ... v ZDA, kjer omrežne nevtralnosti ni, lahko ISP poskrbi, da bo za njegove stranke definirana DNS domena, ki DoH ubije (če je prijazen), lahko zgolj brez sankcij blokira znane DoH naslove, lahko pa tudi ponudi lasten DoH. Torej posel za ISP-je bo še naprej tekel nemoteno.

Potem imamo razne "neliberalne demokracije" in podobno državno solato, kjer poskušajo posamezniki pobegniti STASI-jevskim metodam nadzora populacije. In te države, če imajo svoje stvari popedenane, poskrbijo, da državni ISP (ali pa ISP-ji, če jih je več) ukrenejo, kar je potrebno za zagotovitev tega, kar v ISP-ji v ZDA počno za profit.

In potem imamo države, kjer (v odsotnosti teorij zarote), ni nekega masovnega nadzora populacije ali možnosti za preprodajo prestreženih podatkov o prometu. Kjer je vprašanje, koliko je DoH sploh vreden.

Kaj točno torej DoH sploh rešuje?

HotBurek ::

Se pravi, DoH + Cloudschit not gut (DNS promet vseh FF uporabnikov, ki so na različnih ISPjih, se agregira na eni Klaud točki).

7x boljša rešitev (da se tvoji DNS query podatki ne pordajajo naprej) je lasten DNS strežnik ter config:

forwarders {
                193.2.1.72 port 853;
                193.2.1.66 port 853;
        };

Yes?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

SeMiNeSanja ::

AndrejO je izjavil:


Uporaba DNS za zagotavljanje varnosti v podjetju je čisto kul...
.
.
.
Kaj točno torej DoH sploh rešuje?

Končno komentar/stališče na katero nimam pripomb in lahko samo rečem "točno tako". Res nisi rabil prej toliko megle vpletat v odgovore.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

AndrejO ::

HotBurek je izjavil:

Se pravi, DoH + Cloudschit not gut (DNS promet vseh FF uporabnikov, ki so na različnih ISPjih, se agregira na eni Klaud točki).

7x boljša rešitev (da se tvoji DNS query podatki ne pordajajo naprej) je lasten DNS strežnik ter config:

forwarders {
193.2.1.72 port 853;
193.2.1.66 port 853;
};

Yes?

Maybe. Ne vem med kakšne države šteješ Slovenijo in v kontekstu tega, če vidiš Arnes kot podaljšek državne uprave ali ne.

Če meniš, da RS prestreza masovno prestreza promet, potem je tvoja edina rešitev VPN na točko izven Slovenije.

Če meniš, da RS ne prestreza masovno prometa, potem je v večini primerov vseeno, če imaš domač resolver ali pa tistega, ki ti ga ponuja ISP - s to razliko, da ISP mora upoštevati zakonite odredbe RS, ki ti lahko omejijo dostop do nekaterih informacij, tvoj domač resolver pa tega ne rabi slediti.

SeMiNeSanja je izjavil:

AndrejO je izjavil:


Uporaba DNS za zagotavljanje varnosti v podjetju je čisto kul...
.
.
.
Kaj točno torej DoH sploh rešuje?

Končno komentar/stališče na katero nimam pripomb in lahko samo rečem "točno tako". Res nisi rabil prej toliko megle vpletat v odgovore.

Bi šel prešteti dolžine tvojih postov samo v tej temi (kaj šele v kakšni drugi), pa se mi ne da, ker bi bilo preveč dela.

Zgodovina sprememb…

  • spremenil: AndrejO ()

HotBurek ::

Ok, samo to so dve stvari.

Eno je, da prestrezajo. Glede na to, da smo itak vsi teroristi, potem mogoče res.

Drugo pa je, če zbirajo, (agregirajo) in prodajajo naprej (oglaševalcem). To me prvo zanima, če Arnes to počne.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

AndrejO ::

HotBurek je izjavil:

Ok, samo to so dve stvari.

Eno je, da prestrezajo. Glede na to, da smo itak vsi teroristi, potem mogoče res.

Drugo pa je, če zbirajo, (agregirajo) in prodajajo naprej (oglaševalcem). To me prvo zanima, če Arnes to počne.

Minimalna verjetnost za kaj takšnega. Arnes je kot državno agencijo enostavno nadzorovati glede vplačil in izplačil in morebitne prihodke od "zanimivih" podjetij se bi lahko hitro identificiralo.

Ostale ISP-je ni možno nadzorovati na takšen način, vendar pa je Slovenija premajhna da ne bi slej kot prej kaj izcurljalo ven, sledila bi preiskava in za IP-RS ni boljšega PR-ja, kot nekoga malo večjega nabiti na križ.

Obstaja pa še tretja opcija ... to je ISP, ki je hkrati tudi oglaševalska hiša. Pri teh potem obstaja manjši konflikt interesov in vsi riziki, ki iz tega sledijo.

SeMiNeSanja ::

Kakorkoli obrneš, si na koncu vezan na zaupanje.

Čim gre kabel s tvojim prometom skozi roke osebe ali organizacije X, ima ta možnost, da iz tega prometa izlušči marsikaj.

Tudi če DNS resolvaš drugje, mora tvoj promet še vedno skozi omrežje lokalnega ali VPN providerja (in kasneje skozi razna druga vozlišča).
Koliko % tvojih destinacij lahko nek 'vohljač' razbere in kolikšna je zanesljivost takega vohljanja? Lahko rekel, da se številka nahaja nekje med polovico in tremi četrtinami destinacij, do katerih vzpostavljaš povezave. Pri HTTP in HTTPS prometu pa celo 100% - če vohljač sedi na enem od prvih hop-ov.

Ker pa ves cirkus pretežno zganjaš ravno zaradi HTTP/S prometa, se že tukaj podre smisel kompliciranja tako z XY resolverjem, kakor z DoH. Kar si se prej trudil skriti očem, je direktno dostopno iz samega prometa.

Kaj to pomeni?
Nič drugega, kot to, da na koncu šteje zgolj zaupanje. Eden bo zaupal lokalnemu providerju, drugi (čeprav ne vem na osnovi česa) nekemu tujemu VPN ponudniku.

Meni logika govori, da je vendarle bolje zaupati lokalnemu ISP-ju, saj ga zakonodaja zavezuje, da se ne bo ukvarjal z nečednostmi. V skrajni sili, pa mu ob upravičenem sumu še vedno lahko pošlješ IP RS za vrat, da potrdi ali ovrže tvoj sum.

Seveda je potem spet druga zgodba, če se sam ukvarjaš z nečednimi posli in zato potrebuješ max. stopnjo zasebnosti. Ampak taki pa mi tukaj nismo, zato se z to možnostjo ne bom ukvarjal.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Jarno ::

SeMiNeSanja je izjavil:

Meni logika govori, da je vendarle bolje zaupati lokalnemu ISP-ju, saj ga zakonodaja zavezuje, da se ne bo ukvarjal z nečednostmi. V skrajni sili, pa mu ob upravičenem sumu še vedno lahko pošlješ IP RS za vrat, da potrdi ali ovrže tvoj sum.


Morda je dejansko najbolje uporabljat DNS resolverje domačih ISP-jev, ampak hkrati ne od tistih, katerih storitve uporabljaš. :))
#65W!

SeMiNeSanja ::

Jarno je izjavil:

SeMiNeSanja je izjavil:

Meni logika govori, da je vendarle bolje zaupati lokalnemu ISP-ju, saj ga zakonodaja zavezuje, da se ne bo ukvarjal z nečednostmi. V skrajni sili, pa mu ob upravičenem sumu še vedno lahko pošlješ IP RS za vrat, da potrdi ali ovrže tvoj sum.


Morda je dejansko najbolje uporabljat DNS resolverje domačih ISP-jev, ampak hkrati ne od tistih, katerih storitve uporabljaš. :))

Saj pravim, da se da naslove 'prečitati' iz ostalega prometa, kateri pa tako ali drugače mora iti preko tvojega ISP-ja. Če mu ne zaupaš za DNS, potem mu tudi za promet ne moreš zaupati.

Seveda se lahko greš neki javni VPN - ampak s tem samo prestaviš promet k drugemu ponudniku, ki mu je verjetno še manj za zaupati.

Če ti je tvoj ISP tako zelo sumljiv, lahko samo menjaš k drugemu, ki mu bolj zaupaš in/ali starega prijaviš, če imaš tehtne razloge za tako nezaupanje.

Če jih nimaš...no, potem imaš najbrž probleme čisto drugje, ne pa pri internetni zasebnosti... žal danes tudi raznorazne preganjavice niso več redkost, netijo jih pa raznorazne spletne strani, ki širijo teorije zarot in podobne bedarije.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Jarno ::

Spet si zgrešil point. Ne gre za to, če zaupaš inštituciji ISP-ja, ampak "Bogomilu Kovaczu", "Todorju Pezdirju", "Mojki Senica" itd., ki so tam zaposleni in imajo priložnost nepooblaščeno "snifat" uporabnike. Ne govorim o nelegalnih praksah uporabnika, TOR-u oz. VPN-jih temveč o tem, da ti je mar do lastne zasebnosti in narediš nekaj osnovnih ukrepov.
#65W!

SeMiNeSanja ::

Jarno je izjavil:

Spet si zgrešil point. Ne gre za to, če zaupaš inštituciji ISP-ja, ampak "Bogomilu Kovaczu", "Todorju Pezdirju", "Mojki Senica" itd., ki so tam zaposleni in imajo priložnost nepooblaščeno "snifat" uporabnike. Ne govorim o nelegalnih praksah uporabnika, TOR-u oz. VPN-jih temveč o tem, da ti je mar do lastne zasebnosti in narediš nekaj osnovnih ukrepov.

Mislim da razni "Bogomili" in "Mojke" presneto dobro vedo, da se s temi rečmi ni za igrati.

Sploh pa ne vem kako si to predstavljaš...

Nek XY "Bogomil", ki se tako zelo dolgočasi.... zakaj vraga naj bi šel gledati ravno TVOJ DNS promet? Menda ne misliš, da si edini uporabnik, kateremu bi zaposleni pri ISP lahko 'sledil'?

Sledeče vprašanje: kaj si bo "Bogomil" pomagal z zbrano listo DNS povpraševanj?
Ko odpreš neko večje spletišče, to naredi tudi do 100 DNS povpraševanj za različne domene - tako zelo kompleksne so današnji portali!
"Bogomil" se bo moral presneto potruditi, da bo prečistil zrnje in plevje, da bi prišel do FQDN-ov dejanskih spletnih strani, kateri si obiskoval. Pa še vedno ne bo vedel, ali si na tem portalu gledal vreme, promet ali 'osebne stike'. Moral bi se precej potruditi in zgraditi celo analitiko, da bi si lahko kaj več pomagal.

Jaz bi ti priporočil, da se poskusiš sam iti svojega 'Bogomila" na lastni domači mreži. Tako se največ naučiš o tem, kaj kdo vidi, kako to vidi,..... Pa še to potem pomešaj z prometom nekaj stotisoč naprav, ki se pretakajo preko enega vozlišča.

Potem pa še enkrat odgovori, zakaj naj bi si "Bogomil" izbral ravno promet, ki izvira iz tvojega IP naslova, da bi si na njemu razbijal glavo.

Jaz se zdolgočasenega "Bogomila" res ne bojim. "Wiretap" bi lahko odredilo sodišče, vendar tudi v tem primeru, ko je vse legalno in z direktnim dostopom na promet tvojega priključka, ni niti malo trivialno zbati 'uporabne' podatke in jih sestaviti na način, ki bi lahko preiskovalcem pomagal pri preiskavi nekega kaznivega dejanja. Za to se uporabljajo zelo specialna orodja, ki jih zdolgočaseni "Bogomil" nima na voljo.

Edino, kjer bi se teoretično lahko bal "Bogomila" je elektronska pošta, kjerkoli jo že gostiš. Če imajo tam kakšnega zdolgočasenega "Bogomila" z dovolj visokimi privilegiji, bi ta teoretično lahko vohljal po pošti.
Vendar v današnjem času kar malo dvomim, da si še kakšen "Bogomil" dovoli tako firbcanje. Nenazadnje to nebi pomenilo le izgubo delovnega mesta, temveč tudi kazenski pregon, če bi se zadeva razkrila.
Razkrije se pa lahko marsikaj...običajno čisto po naklučju, morda celo ker ga je povsem kdo drug nekaj polomil, pa potem gre nekdo malo bolj pozorno gledat loge....

A tudi pri ISP nisi nikoli edini uporabnik mailbox-ov. Zakaj bi potem nek zdolgočaseni "Bogomil" brskal ravno po tvojem mailboxu, če so na voljo drugi bistveno bolj znanih oseb? Ali si posebno lep? bogat? ...? Zakaj naj bi izbral ravno tvoj mailbox?

Skratka malo pomisli, kolikšna je verjetnost, da se bo nek zdolgočasenec ukvarjal ravno s TVOJIM prometom, pa ti bi moralo biti jasno, da čisto po nepotrebnem delaš paniko.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

joggi79 ::

Recimo da imam vsaj tak dostop do tega prometa (plus se kaj zraven) kot ta tvoj Bogomil, pa verjemi, da mi v vseh teh letih niti enkrat samkrat ni prislo na misel, da bi kaj takega naredil. Nekaj malega na to vpliva etika, da se to pac ne dela, se bolj pomembno pa je, da se mi gladko jebe za tvoj (ali cigav drug) promet in da nimam niti najmanjse zelje zabijat svojega casa s snifanjem tvojega prometa. In za povrhu, pri 100+Gbps prometa ti je verjetno jasno kaj vse bi moral narediti, tudi ce bi hotel to zares delat. In tudi ce bi to sel delal, bi z rezultatom tega naredil kaj? Vedel da si 97x nekaj iskal po Googlu, pogledal 3 porno video in se 493x skonektal na mail server. Podatki za katere se je splaca matratri in mogoce celo reskirati sluzbo?

Jarno ::

Kaj je zdaj slaba ali dobra ideja npr. uporabljati ARNES-ove DNS strežnike, če je tvoj ISP Telekom Slovenije?
Recimo, da so po odzivnosti dokaj ustrezni.
#65W!

Zgodovina sprememb…

  • spremenil: Jarno ()

joggi79 ::

Jarno kar se varnosti tice povsem ista stvar. Kar se delovanja tice pa slabsa. Pa ne mislim na splosno delovanje, ampak ko bos (ti ali pa skupaj s Telekomom) raziskoval zakaj ti nekaj ne dela.

Jarno ::

Hvala za odgovore. Mislim, da sem zvedel tudi koristne in zanimive stvari. Glede računalništva pač bolj spremljam consumer HW sceno. :)
#65W!

SeMiNeSanja ::

joggi79 je izjavil:

Recimo da imam vsaj tak dostop do tega prometa (plus se kaj zraven) kot ta tvoj Bogomil, pa verjemi, da mi v vseh teh letih niti enkrat samkrat ni prislo na misel, da bi kaj takega naredil. Nekaj malega na to vpliva etika, da se to pac ne dela, se bolj pomembno pa je, da se mi gladko jebe za tvoj (ali cigav drug) promet in da nimam niti najmanjse zelje zabijat svojega casa s snifanjem tvojega prometa. In za povrhu, pri 100+Gbps prometa ti je verjetno jasno kaj vse bi moral narediti, tudi ce bi hotel to zares delat. In tudi ce bi to sel delal, bi z rezultatom tega naredil kaj? Vedel da si 97x nekaj iskal po Googlu, pogledal 3 porno video in se 493x skonektal na mail server. Podatki za katere se je splaca matratri in mogoce celo reskirati sluzbo?

Ja... kar priznaj, da če ti je že dolgčas, si raje potegneš dol en torrent in ga pogledaš... :)

Jaz sicer ne delam pri ISP, imam pa dostop do omrežij, na katerih komunicira tudi kakšna 'znana oseba', pa ravno tako lahko iz prve roke potrdim, da mi sploh ne rabi nihče groziti z zakonodajo - že v sami osnovi mi je popolnoma nezanimivo 'vohljati' za posameznikom, ne glede na to, kako znana je ta oseba.
Morda je to zanimivo za nekoga, ki prvič v življenju dobi tak dostop, pa si misli WAU!... Ampak če je zdrava osebnost, bi ga moralo to presneto hitro miniti (ali pa bo prej ali slej zašel v velike težave).
Nekako na to lahko gledaš kot na ginekologa, ki ga po vsej verjetnosti ne boš videl z daljnogledom oprezati za babam na nudo plaži. No, vedno se najdejo tudi kakšni iztirjeni primerki, ampak kar se jih spomnim, so ti bili najbolj pogosto iz vrst zobozdravnikov...?

Med 'individualci', ki bi hoteli za kom vohljati prej najdeš klasične stalkerje in kakšne obsesivne ljubosumneže.
Seveda se potem lahko najdejo še kakšni podkupljivi grešni kozli, ki bi potencialno pomagali pri nekakšni špionaži, kar pa je že precej tvegano - poleg tega pa na ta način niti ne dobiš tistih zares 'sočnih' informacij. Za te namene je bolj pametno uporabiti kakšnega trojančka, ki ti pošlje še screenshot-e in vsa gesla accountov. Ne pa da se zezaš z praskanjem pretežno neuporabnih podatkov iz omrežja.

"Ampak na TV so pa pokazali, kako se VSE VIDI!" mar ne? A vedno vse verjamete, kar na TV pokažejo? Vse, od Alien-Zombi?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

HotBurek ::

joggi79, če bi iz teh podatkov sproti delal agregate (recimo po urah), bi imel informacije o tem, kaj, kdaj in "koliko" (number of requests) je popularno, ter kakšni so trendi. Takšne informacije so vredne več kot 0EUR.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

AndrejO ::

Jarno je izjavil:

Kaj je zdaj slaba ali dobra ideja npr. uporabljati ARNES-ove DNS strežnike, če je tvoj ISP Telekom Slovenije?
Recimo, da so po odzivnosti dokaj ustrezni.

Če imaš tehnično žilico, poslušaj Vixija in postavi svoj lasten rekurzivni strežnik. Če te žilice nimaš, je vseeno.

SeMiNeSanja ::

HotBurek je izjavil:

joggi79, če bi iz teh podatkov sproti delal agregate (recimo po urah), bi imel informacije o tem, kaj, kdaj in "koliko" (number of requests) je popularno, ter kakšni so trendi. Takšne informacije so vredne več kot 0EUR.

To je druga zgodba - nazadnje je bilo govora o "zdolgočaseni osebi" z dostopom do omrežja in nekoliko čudaškimi nagnjenji.

Agregacija podatkov pa........ kaj pa vem, kam bi jo uvrstil, če se gre za podatke neke 'regije' ne pa posameznika (se pravi, da je odstranjena komponenta, ki kaže na posameznika).
Določene statistike zagotovo delajo vsi ponudniki, saj jih potrebujejo tudi za optimizacijo delovanja omrežja in odkrivanje anomalij.
Če te 'regijske' statistike potem komu prodajo za $$$, pa.... kaj vem, lahko gledaš na to kot zavistnež "z mojimi podatki služite" ali nevtralno "briga me, kaj delajo z podatki, če so tako in tako samo anonimni agregati".

Ampak če malo bolj pomisliš, kam to lahko pripelje, ko nekdo malo bolj analizira te podatke.... recimo pred volitvami, da se brska ven, koliko uspešne po klikih so različne spletne kampanje posameznih strank, pa se že nahajaš tam, kjer stvari niso več zabavne. Kdor ima dostop do tovrstnih agregiranih podatkov, si lahko pridobi nepošteno prednost pred konkurenti, kar pa naj nebi bilo smisel celotne zgodbe okoli volitev, predvidoma pa bi zakuhalo tudi kakšen lep škandalček.

Ja, podatki so križ.
Če jih nimaš ni dobro. Če jih pa imaš, se pa ves cirkus šele začne!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

c3p0 ::

Jarno je izjavil:


Morda je dejansko najbolje uporabljat DNS resolverje domačih ISP-jev, ampak hkrati ne od tistih, katerih storitve uporabljaš. :))


ISP-ji praviloma dovolijo dostop do lastnih DNS strežnikov le iz svojih IP naslovov. Pa tudi če najdeš odprtega, ISP-ja to ne bi ustavilo, saj lahko posniffa tvoje DNS requeste.

Ne da to bo počel (preden kdo napiše spet spis), ampak lahko pa.

Zgodovina sprememb…

  • spremenil: c3p0 ()
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nemčija: najvarnejši brskalnik je Firefox (strani: 1 2 )

Oddelek: Novice / Brskalniki
6319757 (2570) primoz4p
»

Stand up comedy (strani: 1 2 )

Oddelek: Sedem umetnosti
618574 (4199) drvo
»

Firefox dobiva privzeto vključen "DNS over HTTPS" (strani: 1 2 )

Oddelek: Novice / Brskalniki
6920128 (17321) c3p0
»

Evropska komisija zaposlenim: uporabljajte Signal (strani: 1 2 )

Oddelek: Novice / Varnost
7116002 (11668) poweroff
»

GOrb za P2!

Oddelek: Hlajenje in modifikacije
161979 (1852) mojsterpeter

Več podobnih tem