Již déle než půl roku provozuje CSIRT.CZ svou druhou komerční službu. Zatímco služba penetrační testování je tu již s námi několik let, službu Deny listy jsme uvedli v červnu 2024.
Jedním z důvodů, proč jsme se rozhodli tuto službu spustit, byla potřeba nějak omezit dopad incidentů, u kterých není možné dosáhnout rychlého řešení a přitom představují výraznou hrozbu pro uživatele v ČR. Typickým příkladem jsou různé falešné investiční weby nebo phishing na jiných doménách než je .CZ. Dalším důvodem byla naše historická zkušenost s podobnými již existujícími produkty, kterou jsme tu popsali dřívě.
Zdroje dat pro Deny listy jsou v současné době tři. Prvním z nich je náš projekt PROKI, který jsme pro účely služby Deny listy upravili tak, aby fungoval jako svého druhu SIEM. Zde zpracováváme data z různých našich projektů, jako honeypoty, Turris a dále z externích zdrojů a jejich vzájemným porovnáváním a dalším zpracováním vytváříme seznam nebezpečných domén. Tento seznam pak obsahuje domény, které jsou potenciálně škodlivé pro české uživatele, ale povětšinou směřují na obecně používané weby a služby, jako Facebook, Gmail nebo Steam. Za poslední týden se jednalo například o domény amazon.440784.com, coinbase-pro-login45.godaddysites.com
, hokgie.s3-website.us-east-2.amazonaws.com, yahoo-mailupdate.mmm.page, steam-invlte.team-pww.com, staemcomnunnity.com, steamcommunuiuity.com, secure—suite—-trozor.webflow.io, accountsgoogle.info, www-dpd.order8324.live a řadu dalších.
Druhým zdrojem jsou pak incidenty nahlášené národnímu CSIRT týmu a třetím zdrojem pak škodlivé domény, které detekujeme naší vlastní analytickou činností. Tyto zdroje dělají naše Deny listy unikátním zdrojem informací o útocích přímo cílících na české uživatele. V posledním týdnu se jednalo například o domény balikovna-cz.0rd3r-events1.com, balikovna-cz.1ord3rdeliver1.biz czpeoplework.works, ceskaposta.rieutaewonline.top, portalgovcz-formulare-id-vypis-zbodoveho-kontaidridice-cz.top nebo bankodmena.eu.
Zároveň dlouhodobě budujeme seznam významných domén, aby je nebylo možné zablokovat ani nedopatřením.
Hlavním měřítkem naší služby je poskytovat co nejvíce relevantní a spolehlivá data. Proto místo kvantity a co nejširšího záběru i na webové stránky, se kterými pravděpodobně český uživatel nikdy nepřijde do styku (a kde by bylo náročné identifikvoat false positive), preferujeme zaměření na hrozby, které české uživatele skutečně trápí. Zároveň však omezujeme co nejvíce riziko, že bychom našim uživatelům zablokovali weby, které běžně používají a potřebují.
Důkazem, že se nám naše práce daří, je, že ačkoliv díky našim existujícím zákazníkům chráníme významnou část uživatelů v ČR; za více než půl roku provozu jsme měli hlášeny dva případy false positive. V obou případech se ale jednalo o reálný útok, při němž byla zneužita legitimní služba. V jednom případě se jednalo o zkracovač URL populární v Estonsku a v druhém o legitimní web brokerské společnosti, který však byl skutečně napaden.
Kromě výše uvedeného umožňuje naše služba zákazníkům také přidávat vlastní domény a to jak na stranu těch, které nemají být nikdy blokovány, tak i těch škodlivých. Předání dat je pak obvykle realizováno pomocí RPZ zóny pro jejich současné DNS – pro zákazníky se tak jedná o jednoduché a rychle nasaditelné řešení.
My v CSIRT.CZ jsme pak rádi, že i u incidentů, které není možné zjednat nápravu okamžitě, dochází k minimalizaci dopadu na české uživatele do doby, než se se zahraničními partnery podaří incident definitivně dořešit.