Nedávno jsem zde psal o proaktivitě týmu CSIRT.CZ. Dnes bych vám chtěl ukázat, že ani náš interní tým CZ.NIC-CSIRT, jehož jsem také členem, v této oblasti nijak nezaostává. Ti, kteří byli na letošní konferenci IT 11, si možná pamatují na prezentaci, kterou měl kolega Michal Prokop, a která se točila kolem nové aplikace našich Laboratoří a proaktivního informování o bezpečnostních incidentech na doménách v zóně .cz.
Jedná se o aplikaci, která z veřejně dostupných zdrojů získává informace o doménách v zóně .cz, na nichž je umístěn škodlivý obsah. Následně o incidentu prostřednictvím e-mailové zprávy informujeme držitele těchto domén a v případě potřeby se jim snažíme poradit, jak se s problémem vypořádat. Fáze testování a nastavování pravidel pro práci s touto aplikací a incidenty v ní obsaženými se pomalu blíží k závěru, a tak bychom vás rádi informovali o novinkách, které se kolem této aplikace chystají.
V první řadě bych rád uvedl, že v současné době se nám podařilo dostat se na úroveň, kdy již zpracováváme pouze aktuálně detekované příchozí incidenty. Databáze obsahovala po stažení velké množství domén, které byly v jednotlivých veřejných zdrojích evidovány již delší dobu a jejichž držitelé o tomto problému vůbec neměli tušení. Během předchozích měsíců se nám podařilo rozeslat informaci všem držitelům těchto přibližně 800 domén. Z toho již více jak 280 domén je vyčištěno.
Ve skutečnosti to byl ovšem pro útočníky mnohem větší zásah, na řadě domén bylo totiž nakaženo hned několik URL a některé evidované domény sloužily k poskytování freehostingu na doménách třetího řádu. Po upozornění většina provozovatelů freehostingových služeb okamžitě zneužité účty blokuje či maže. Na jedné takovéto freehostingové doméně bylo dokonce přes 1100 domén třetího řádu, které si útočníci buď sami registrovali nebo které se jim podařilo nějakým způsobem zneužít. I na dalších napadených doménách v zóně .cz byly počty útoků v řádu stovek domén třetího řádu, mnohdy opět obsahujících více než jednu URL. A to už je opravdu veliké množství zneškodněných útočných stránek.
V současné době nám každým dnem ve vyřešených případech přibývá mezi 5 až 10 doménami. To znamená, že postupně další a další držitelé domén reagují na naše upozornění. Většina zneužitých stránek obsahovala malware, útočné javascripty a menší část byla zneužívána pro phishing. Z e-mailové korespondence s těmi, kteří se na nás obrátili s žádostí o radu, vyplynulo, že na počátku značné části útoků stála kompromitace PC, ze kterého úpravy stránek prováděli. Tento malware pak získal uložená jména a hesla k FTP přístupům a odeslal je útočníkovi. V jednom extrémním případě uživatel opravil stránky, změnil heslo k FTP přístupu, ale protože nevěděl o malware na jeho PC, byl javascript na stránce do hodiny zpět.
Druhou zásadní novinkou je, že naše Laboratoře celý software upravují tak, aby bylo možné uvolnit jej jako open-source program pro využití dalšími doménovými registry. To vyžaduje přepsání rozhraní aplikace a umožnění jejího individuálního nastavení tak, aby si jej každý registr mohl nastavit dle svých potřeb. Aplikaci plánujeme uvolnit koncem tohoto, nebo začátkem příštího roku. Nasazení a aktivní využívání aplikace v dalších registrech by určitě znamenalo přínos pro bezpečnost dané zóny.
Doufáme, že tato ukázka proaktivity druhého z CSIRT týmů provozovaného v CZ.NIC naznačuje jeden z možných přínosů zřizování týmů typu CSIRT i pro jiné organizace. Kromě proaktivity je samozřejmě nejdůležitějším prvkem práce CSIRT týmu reagování na vzniklé bezpečnostní incidenty. O tom ale raději až v případném dalším článku.
Pavel Bašta, CZ.NIC-CSIRT a CSIRT.CZ
Úspěšný projekt končí: třetina DNS serverů byla po upozornění opravena
Jak jsme vás již dříve informovali, koncem srpna zahájil CSIRT.CZ jednorázovou akci rozesílání informačních dopisů správcům DNS serverů, které nepoužívaly náhodné zdrojové porty u odchozích dotazů. Tím jsou tyto servery vystaveny vysokému riziku napadení útokem na vyrovnávací paměť serveru.
Dle reakcí, které nám dorazily, byla akce z velké části přijata kladně a dotčené společnosti byly rády, že se k nim informace o nevhodné konfiguraci DNS serverů dostala. A nyní již konkrétní čísla. Celkem jsme při této akci detekovali 2397 originálních IP adres, z nichž byly odesílány dotazy ze statických či sekvenčních portů. Při kontrole, která proběhla minulý týden, se ukázalo, že 12 % z těchto serverů již používá random porty a 19 % z těchto DNS serverů se již neozývá. Předpokládáme, že se mohlo jednat o různé polozapomenuté či testovací servery, které již nikdo nespravoval, několik uživatelů je ale stále používalo. Bohužel, 66 % DNS serverů stále používá statické či sekvenční porty, u 3 % pak máme nedostatečná data, tzn. přišlo z nich ve sledovaném období příliš málo dotazů a nelze tedy s jistotou říci, zda skutečně došlo k rekonfiguraci DNS serveru.
Naším cílem bylo přispět ke snížení počtu DNS serverů, které vzhledem k existujícím záplatám zcela zbytečně vystavují uživatele tomuto zákeřnému způsobu útoku. V tomto smyslu považuji akci za úspěšnou a doufám, že se časem procento dosud neopravených DNS serverů ještě sníží.
Pavel Bašta, CSIRT.CZ a CZ.NIC-CSIRT
Další příspěvek do debaty o účinnosti a smyslu technologie DNSSEC
Minulý týden vydala společnost F5 Networks zprávu shrnující výsledky průzkumu, při kterém bylo telefonicky dotazováno tisíc velkých společností v 10 různých zemích, a to na zkušenosti s bezpečností IT a s bezpečnostními hrozbami. Pracovní náplň všech respondentů tohoto průzkumu se minimálně z 25 procent týkala oblasti bezpečnosti. Z průzkumu mimo jiné vyplynulo, že 36 procent respondentů zaznamenalo útok, který díky vysokému provozu na aplikační vrstvě vedl k nedostupnosti jejich firewallu. Průměrné náklady související s útoky a zotavením po útocích tyto velké společnosti vyčíslili na 682,000 $ za posledních 12 měsíců.
Pro nás je nejzajímavější, že kombinováním výsledků výzkumu ve smyslu četnosti útoků, obtížnosti obrany proti nim a dopadu na organizaci setavila F5 Networks žebříček nazvaný „Cyber Attack Index“. V jeho čele jsou útoky na systém DNS, které zahrnují DoS, spoofing a cache poisoning. Škoda, že studie neuvádí kolik procent z útoků na DNS připadá právě na DNS cache poisoning, před kterým účinně chrání technologie DNSSEC. Takovéto průzkumy by mohli být dalším argumentem pro větší využití této pro doménu .CZ dostupné, avšak bohužel stále málo využívané technologie.
Pokud by vás výsledky průzkumu zajímaly, je možné si ji po vyplnění registračního formuláře stáhnout na adrese http://resources.f5.com/.
Pavel Bašta, CSIRT.CZ a CZ.NIC-CSIRT
Proaktivita nebolí
I když v procesu incident handlingu vystupují obvykle národní CSIRT týmy spíše jako jakýsi „institut poslední záchrany“, rozhodně by měly dle svých možností a v rámci svého pole působnosti také aktivně upozorňovat na existující i potencionální bezpečnostní incidenty. I my se v rámci našeho týmu CSIRT.CZ snažíme nejen co nejefektivněji řešit reportované incidenty, ale pokud máme příležitost, chceme být proaktivní také v přístupu k bezpečnosti českého internetového prostředí. Jak může tato proaktivita vypadat v reálu si ukážeme na vybraných příkladech z poslední doby.
Před několika dny jsme kontrolovali jednu internetovou stránku kvůli podezření na šíření virové nákazy; jednalo se o web, který se přímo zabývá hackingem. Na něm jsme narazili na článek informující o možných zranitelnostech některých internetových stránek státní správy. Šlo o chyby v rozsahu od XSS, přes SQL injection, až po možnost procházet obsah adresářů.
Uvedené zranitelnosti mohou vést k různým způsobům zneužití – získání neoprávněného přístupu k informacím, změny obsahu stránek, či útoku na uživatele takovéhoto webu. Z těchto důvodů jsme riziko vyhodnotili jako vysoké a rozhodli jsme se informaci o zveřejnění těchto bezpečnostních problémů zaslat správcům jednotlivých stránek.
Dle dlouhodobé zkušenosti našeho týmu velká část správců na incidenty reaguje opravením reportovaného problému, avšak na naši původní zprávu již většinou neodpoví. Stejně tomu bylo i v tomto případě. V současné chvíli většina z problematických nastavení na stránkách již není, reakci ale máme pouze od jednoho ze správců. Pro nás je však nejdůležitější, že se nám i tímto krokem podařilo přispět k větší bezpečnosti uživatelů internetu a také ukázat, že národní bezpečnostní tým nespoléhá pouze na nahlášené incidenty.
Příkladem jiného druhu proaktivity může být i nedávná akce CSIRT.CZ – rozeslání informačních dopisů správcům DNS serverů, u kterých existuje vysoké riziko možného útoku pomocí DNS cache poisoningu. S pomocí Laboratoří CZ.NIC jsme při této akci oslovili více jak 1400 firem a institucí v rámci celé republiky. Zatím nemáme přesná data o úspěšnosti celé akce, avšak při první vlně, kdy jsme zkušebně odeslali prvních 100 dopisů, byla úspěšnost, tedy změna konfigurace DNS serveru směrem k lepšímu zabezpečení, okolo 13 procent.
Dalším aktuálně provozovaným proaktivním prvkem v rámci CSIRT.CZ je například detekce útoků pocházejících z počítačových sítí v České republice za pomoci intrusion detection system (IDS), který je provozován ve spolupráci se sdružením CESNET. Tento systém po zachycení pokusu o útok automaticky informuje správce příslušné sítě, který tak má možnost ihned reagovat na vzniklý incident a zamezit případnému průniku do dalších systému nebo šíření virové nákazy.
Osobně doufám, že počet proaktivních prvků v rámci provozu národního CSIRT týmu bude narůstat a že vás tak v budoucnosti budeme moci informovat o dalších úspěšně zrealizovaných akcích CSIRT.CZ směřujících k větší bezpečnosti „sítě sítí“.
Pavel Bašta, CSIRT.CZ a CZ.NIC-CSIRT