Zajímavý případ od kolegů z polského CERTu

Polský bezpečnostní tým CERT Polska uveřejnil 31. července na svých stránkách http://www.cert.pl zprávu, ve které jeho členové popisují, proč NASK (správce registru národní domény .pl) ukončil spolupráci s jedním z registrátorů domén .pl, společností Domain Silver, Inc.

Tento registrátor, jehož oficiálním sídlem byly Seychelské ostrovy, zahájil svou činnost v květnu roku 2012. Od té doby začal CERT Polska pozorovat velký nárůst škodlivých domén .pl. Většina těchto domén byla zaregistrována právě u tohoto registrátora.

Ze všech registrovaných domén (641, stav k 9. červenci tohoto roku) byla pouze jedna doména neškodná. Tou byla přímo doména tohoto registrátora – domainsilver.pl.

Z celkového počtu 404 domén, které obsahovaly škodlivý kód, bylo 179 domén pod správou C&C serverů. Domény, které byly pod správou některého z botnetů, také tyto botnety nebo škodlivý kód distribuovaly. Jednalo se například o malware nebo botnet Citadel, Dorkbot, ZeuS Ice IX, Andromeda, RunForestRun nebo ransomware. Bližší informace jsou k dispozici na stránkách polského CERT týmu.

V doméně .CZ jsme sice zatím nenarazili na případ, kdy by se na podobné záležitosti přímo specializoval registrátor (a doufejme, že i díky podmínkám pro přijímání registrátorů ani nenarazíme), ale i u nás se sem tam objeví podobné případy nakažených domén, resp. stránek. Není jich ale zdaleka tolik jako jinde. Možná je za tím náš nástroj MDM (Malicious Domain Manager), který používáme pro čištění zóny .CZ. Od spuštění pilotní verze této aplikace uběhly více než dva roky a počet opravených nebo chcete-li vyčištěných domén za tu dobu překročil počet 5000.

Michal Prokop

Zprávy ze světa: MDM pomáhá s bezpečnostními incidenty na Slovensku

O aplikaci MDM jsme na tomto blogu již několikrát psali. Tentokrát se s vámi chci podělit o informace, které mě velmi potěšily. Před několika týdny jsem mluvil o MDM s kolegy z CSIRT.SK. Při tom jsem se dozvěděl, že u nich naše aplikace zaznamenala velký úspěch.

V polovině roku 2012 si kolegové ze Slovenska dali za úkol najít nástroj, který by jim zkrátil čas při vyhodnocování a následné správě incidentů, které obdrží od zahraničních partnerů. Trh s těmito nástroji je opravdu veliký a každému vyhovuje jiný model na správu incidentů. Mezi testovanými aplikacemi bylo i naše MDM, které kolegy zaujalo doslova na první pohled; sympatie si získalo i díky tomu, že je open source.

Slovenský bezpečnostní tým se rozhodl používat aplikaci MDM nejen pro zpracování informací o hrozbách v doméně .sk, ale také jako základní nástroj pro zpracovávání všech incidentů přijatých tímto národním CSIRT týmem. Proto změnili původní zpracování a zobrazení incidentů v samotné aplikaci a rozšířili také možnost administrovat jak incidenty s URL, tak i bez URL, například na základě IP adresy.

První testovací verze MDM byla na Slovensku nasazena od 24. září loňského roku do konce prosince. V tomto období zkoumali v CSIRT.SK funkčnost a přijímali připomínky a návrhy na zlepšení tohoto softwaru. Od 1. ledna mají naši aplikaci již pevně pod kontrolou. Aktuálně se jedná o verzi 2.0. a počet incidentů, které touto aplikací spravují, převýšil 27 tisíc.

Rádi bychom tedy našim slovenským „bratrům“ (jmenovitě kolegovi Martinu Jurčíkovi) poděkovali nejen za poskytnuté informace k tomuto článku, ale také za spolupráci. A samozřejmě také přejeme jen samá pozitiva a sociální jistoty :-) při používání naší aplikace.

Michal Prokop

Kolik je v Evropě bezpečnostních týmů?

Bezpečnostní týmy typu CSIRT a CERT už nejsou žádnou neznámou. O aktivitách těch našich, tedy CSIRT.CZ a CZ.NIC-CSIRT se vás snažíme informovat jak na našem blogu, tak i na stránkách médií (naposledy vyšly dva texty ke cvičení Cyber Europe 2012 na serveru Root.cz – 1, 2).

Týmy z celé Evropy plní svoje povinnosti nejen v té konkrétní zemi, ale také, a to je velice důležité, spolupracují na mezinárodních bezpečnostních incidentech, a to v mnoha případech velice intenzivně. Velká část incidentů má totiž přesah do zahraničí a není výjimkou, když se na jedné události sejdou i tři nebo více bezpečnostních departmentů, každý z jiného státu.

Jednotlivé bezpečnostní týmy o sobě velice dobře vědí. Síť těchto oddělení je důkladně propracovaná a velký důraz je kladen na to, aby se jednotliví členové znali (nejlépe osobně) a aby spolupráce v případě incidentu fungovala. V důsledku přibývání nových bezpečnostních týmů nebo změn na poli působnosti (Constituency) současných týmů, se může zdát že tento organizmus není zrovna jednoduchý a přehledný. I proto se možná v organizaci ENISA rozhodli, že to změní a zveřejnili přehlednou mapu evropských CSIRT a CERT týmů. Ta nejen že ukazuje země, které mají své bezpečnostní týmy, ale zároveň také prezentuje přehled týmů v jednotlivých státech včetně kontaktních a dalších informací. Její další předností je například i to, že umožňuje zobrazit jednotlivá oddělení podle jejich charakteru. Právě tato funkce nám velice usnadňuje dohledání relevantních kontaktních údajů nejen na národní nebo vládní bezpečnostní týmy.

Dvě čísla na závěr. V Evropě v současnosti působí 195 bezpečnostních týmů z nichž pět je v České republice.

Michal Prokop

Co vše o vás může říct jeden „neškodný“ toolbar

Nedávno jsme zjišťovali, jak často jsou navštěvované naše stránky CSIRT.CZ, konkrétně záložka Aktuálně z bezpečnosti. Při tom jsme celkem náhodou přišli na zajímavou věc, která je spojená s doplňkem pro prohlížeč Mozilla Firefox, konkrétně s toolbarem od společnosti Alexa.

Tato společnost je předním poskytovatelem svobodných, globálních webových metrik. Jejich toolbar vám umožní vyhledávat na internetu informace třeba podle klíčového slova, kategorie nebo země. Dále můžete využít i její další nástroje, například pro optimalizaci přítomnosti firemních stránek na webu, analýzu růstu přístupů na web, statistiku nejčastěji hledaných slov na webu vaší společnosti a mnoho dalších.

Tento toolbar používají také někteří naši kolegové, především pro zjišťování návštěvnosti webových stránek. Ukázalo se však, že i takovýto zdánlivě neškodný nástroj může skrývat bezpečnostní riziko. Alexa toolbar totiž funguje tak, že se při přístupu na URL zeptá uvedený toolbar na návštěvnost dané domény na serveru alexa.com. Toolbar Vám pak zobrazí návštěvnost právě navštívené domény a naopak server alexa.com si udělá u domény další čárku za návštěvu. A nyní se dostáváme k jádru problému. Pokud zkusíte na webu alexa.com vyhledat libovolnou doménu, najdete tam také část „Where Visitors Go on“, kde můžete vidět návštěvnost jednotlivých subdomén této domény. Problém nastává, pokud máte subdoménu, například interní.vasedomena.cz, jejíž existenci chcete spíš utajit, aby se například útočníci nesnažili na tuto adresu dostat. Pokud ale uživatelé ve vaší síti používají tento toolbar a zároveň z prohlížeče přistupují na takovouto interní subdoménu, máte na problém zaděláno. Ano, hádáte správně, subdoména se objeví v části „Where Visitors Go on“ u údajů o návštěvnosti vašeho webu.

Pokud jste právě našli vaši úzkostlivě střeženou subdoménu v seznamu subdomén u vaší domény, máte v podstatě dvě možnosti. Používání tohoto doplňku ve společnosti zakázat, nebo se obrátit na technickou podporu služby Alexa.

Nutno říci, že podpora funguje dobře a že je pravděpodobně na tyto situace proškolená. Když totiž založíte nový ticket nebo položíte dotaz, přijde vám potvrzení o přijetí vašeho požadavku. Za pár hodin dostanete další e-mail, kde naleznete také jméno osoby, která vaší situaci řeší.

Podle naší zkušenosti bylo do dvou dnů vše napraveno. Pokud by to šlo, dal bych jim palec nahoru ;-). Podotýkám ale, že společnost nebo žádající osoba musí mít u Alexy založený svůj vlastní účet.

Doporučujeme tedy všem bezpečákům, aby zkontrolovali, zda se na těchto internetových stránkách, nevyskytují také nějaké interní URL vaší společnosti a aby se případně zařídili podle svého nejlepšího vědomí a svědomí ;-).

Michal Prokop

Někdo má a někdo nemá od včerejška Internet

Americký federální úřad pro vyšetřování (FBI) vypnul v pondělí 9. července DNS servery, které neoprávněně a protizákonně využívaly skupiny hackerů, především ze Spojených států. Tato akce nebyla nečekaná, americký bezpečnostní úřad na toto vypnutí DNS serverů několikrát v minulosti upozornil.

Zpravodajský server BBC uvedl, že byly virem DNSChanger napadeny přibližně čtyři milióny strojů. V pondělí 9. července bylo takto zasažených „pouze“ 300 tisíc těchto zařízení, přičemž 70 tisíc pocházelo ve Spojených států (další desítky tisíc byly z Itálie, Velké Británie a Německa). Tento problém se bohužel nevyhnul ani České republice. Na našem území bylo identifikováno přes 2 000 nakažených počítačů a routerů.

Virem DNSChanger se zabýváme již delší dobu, a to nejen na našem blogu. Díky tomu, a také díky patřičné medializaci celé záležitosti, jsme zaznamenali vzrůstající zájem o naši stránku http://www.dns-ok.cz, díky níž je možné snadno a rychle zjistit, zda je nebo není váš počítač tímto virem napaden.

První vlnu zájmu uživatelů jsme zaznamenali v dubnu tohoto roku, a to v souvislosti s naší snahou na celou záležitost včas upozornit. Tehdy jsme zjistili, že naši testovací internetovou stránku „navštívilo“ přibližně 20 IP adres, které byly tímto virem infikované. V průběhu tohoto pondělí a úterý bylo potom otestováno více než 1 400 unikátních IP adres, z nichž nakažených bylo pouze 10.

Jsme rádi, že stránku www.dns-ok.cz využili i jinde. Z našich logů vyplývá, že zájem projevil i ne zrovna malý počet uživatelů ze Slovenska.

Michal Prokop

Náš open source projekt pro „bezpečáky“ míří do světa

Na loňské konferenci Internet a Technologie 11 jste se měli možnost poprvé setkat s aplikací, která pomáhá zjišťovat škodlivý obsah umístěný na doménách .cz. Tehdy jsem představil pouze její prototyp s tím, že plnou verzi plánují kolegové z našich Laboratoří dokončit na začátku příštího, tedy tohoto roku. Představení této plné verze se uskutečnilo právě tento týden, v úterý, a to na mezinárodní konferenci bezpečnostních týmů FIRST/TF-CSIRT Technical Colloquium v Římě. Vzhledem k tomu, že se jedná o open source aplikaci, byla tato verze současně uvolněna pro potřeby komunity. Pojďme si ji tedy představit trochu podrobněji.

Naše začátky s touto aplikací, kterou jsme pojmenovali Malicious Domain Manager (zkráceně MDM), nebyly zrovna jednoduché, a to z několika důvodů. Především chyběla procesní řešení, často se vyskytovaly problémy s kódováním obsahu, téměř každý den se objevovaly nové a nové otázky spojené s funkčností tohoto programu. Protože se ale do projektu zapojilo několik týmů – Laboratoře CZ.NIC, bezpečnostní týmy CZ.NIC-CSIRT a CSIRT.CZ, jejichž členové věděli, co chtějí a jak toho dosáhnout, podařilo se celkem rychle vyladit tento nástroj pro potřeby reálného použití ve světě internetu.

Aplikace sbírá z veřejně dostupných databází informace, které se týkají výlučně domén obsahující ať už náhodně nebo cíleně umístěný škodlivý obsah. Tím může být například phishing, malware nebo virus. Člověku, který tento nástroj obsluhuje, potom umožňuje jednoduchým způsobem kontaktovat držitele dané domény s upozorněním na vzniklou situaci. V případě zpětné vazby je potom možné prostřednictví této aplikace daného držitele nebo správce domény dále informovat o možném řešení situace nebo mu doporučit případné kroky vedoucí k odstranění škodlivého obsahu na doméně.

Náš nástroj je určený především regionálním registrům a správcům TLD. Stejně tak ale samozřejmě může být užitečná bezpečnostním týmům jako jsou ty naše (CZ.NIC-CSIRT a CSIRT.CZ). Aplikace je zde zkrátka pro všechny, kteří chtějí přehledně spravovat hrozby spojené se systémem DNS ve svém poli působnosti a reagovat na ně. Všem těmto bych chtěl alespoň touto formou zprostředkovat několik svých zkušeností sesbíraných za cca půlrok, který jsem s ní strávil. Aplikace má jednoduché ovládání, pro které není potřeba speciální proškolování jejích uživatelů. Dobrou zprávou pro všechny, kteří nebudou ovládat češtinu, je jednoduchá implementace jazykových mutací. Za velké plus považuji integraci dat z databáze WHOIS, což umožňuje získat k dané doméně z prostředí aplikace aktuální kontakty.

A na závěr jedno číslo za všechny; v druhé polovině loňského roku jsme i s její pomocí dokázali vyřešit 5 247 incidentů na doméně .cz. Takže, ať všem jejím uživatelům slouží tak dobře jako nám.

Michal Prokop