V několika předešlých příspěvcích jsme vás informovali o naší open source aplikaci Malicious Domain Manager (MDM), která pomáhá zjišťovat škodlivý obsah umístěný na doménách .cz. Od roku 2011, kdy jsme poprvé tento projekt představili na konferenci Internet a Technologie 11, uběhlo pět let, v průběhu kterých jsme na vývoji této bezpečnostní aplikace intenzivně pracovali.
Většinu rutinních úkonů, které zpočátku bylo potřeba vykonávat ručně, jsme zautomatizovali a vytvořili tak pro administrátory ještě příjemnější pracovní prostředí. Doplnili jsme tuto aplikaci také o další službu, jejíž fungování se od ostatních nepatrně liší. Tato služba odhaluje domény, či konkrétní URL, jejichž obsah byl útočníky bez vědomí majitele pozměněn. Změna obsahu však na první pohled nevykazuje známky nákazy v podobě virů, malware nebo jiných hrozeb, takže si jí běžné analytické nástroje MDM nevšimnou.
Hlavní činnost odpovědné osoby, při práci s touto novou službou, spočívá v tom, že z veřejně dostupných zdrojů čerpá informace o doménách a konkrétních URL, na kterých se sami hackeři chlubí, kam nahráli své kódy pozměňující obsah stránky. Ve většině případů se nejedná o celé domény, ale právě o jednotlivá URL; tím pádem může trvat i měsíce, než majitel domény přijde na to, že se na konkrétní URL skrývá obsah, který tam byl umístěn bez jeho vědomí. Tento stav je do jisté míry velkým rizikem, jelikož existující zranitelnost napadené webové stránky může jiný útočník zneužít k dalším, mnohem závažnějším útokům. Proto je důležité, aby se správce o incidentu dozvěděl co nejdříve a mohl dalšímu zneužívání zranitelnosti předejít tak, že ji odstraní.
Často se jedná o kuriózní obsah, jenž administrátora dané webové prezentace upozorňuje na její slabé zabezpečení, což může v některých případech vzbuzovat pobavení, ale na druhou stranu namísto úsměvného obsahu, mohlo dojít k nahrání právě pro běžného uživatele neviditelného kódu, jenž může návštěvníka unést na jinou IP adresu či se chovat jinak nebezpečně. Setkáváme se také s obsahem, který je nějakým způsobem propojen například s náboženstvím v podobě odkazu na youtubová videa, příslušníky konkrétní národnosti, či uživatele, jejichž aktivitu lze dle jmen uvedených na těchto pozměněných stránkách vyhledat na sociálních sítích. Tato aktivita již tak nevinně nepůsobí, avšak jedná se o úplně stejnou činnost jako v předchozím případě.
Informace o těchto doménách a URL administrátor ověří a pokud je informace pravdivá a na zveřejněném URL se vážně skrývá proklamovaný obsah, učiní další kroky k nápravě daného stavu. Tyto kroky spočívají především ve vyhledání kontaktu na majitele domény, který je dostupný buď jako veřejný údaj na stránce nic.cz/whois, a nebo jej mají k dispozici pověření pracovníci CZ.NIC v interním registru. Po zjištění těchto údajů se v kontaktním modulu nástroje MDM vybere šablona, jež informuje adresáta o pozměněném obsahu na jeho doméně.
Pro předcházení podobným situacím by měli administrátoři stránek pravidelně obměňovat hesla, zajistit dostatečné zabezpečení a případně využít naší bezplatné služby Skener webu, díky které mohou velmi snadno zjistit slabé stránky, jež mohou vést k následnému napadení nejen obsahu webové prezentace.