Na konci předminulého roku se tým CSIRT.CZ zapojil do projektu CyberExchange. Jak už název napovídá, cíl projektu je motivovat pracovníky jednotlivých evropských kyberbezpečnostních týmů, aby podnikli výměnnou cestu k partnerům. Nejprve proběhla seznamovací fáze – každý tým vyslal zástupce, který prezentoval vyvíjené nástroje. Přestože se jako CSIRT.CZ s řadou ostatních týmů pravidelně setkáváme u jiných příležitostí, zde byl prostor představit všechny aktivity týmu naráz. Následovalo období zvažování a domlouvání, kterého experta kam pozvat. Každý subjekt by měl vyslat přibližně dva stážisty a dva další přijmout, přičemž výměny jsou myšleny jednostranně – málokdy se stane, že by tým stejnou zemi přijal i navštívil. Bylo třeba vyladit detaily, naplánovat rámcový rozvrh stáže, každá instituce zaslala partnerům svá očekávání, zřizovaly se vzdálené přístupy, aby při příjezdu pracovníka systémy běžely a neztrácel se čas čekáním na pracovní stanici nebo podpis certifikátu pro přístup do bezdrátové sítě. Pak už přichází na řadu samotná stáž – odlet, ubytování, nástup do cizí kanceláře. Za první rok se napříč Evropou realizovalo celkem 14 výměn, dvě z toho se týkaly CSIRT.CZ: CSIRTMalta a CERT.pl.
Co nám ukázal sken 10 000 domén?
V rámci našeho působení provozujeme aplikaci Malicious Domain Manager. S její pomocí se snažíme informovat držitele domén v zóně .CZ o úspěšné kompromitaci jimi provozované webové prezentace. Nejčastějším scénářem, který se v rámci napadení webových aplikací pravidelně opakuje, je situace, kdy si útočníci pronajmou web či IP adresu a provozují na ní nějaký exploit kit, který útočí na známé zranitelnosti komponent, jež uživatelé obvykle využívají při procházení webových stránek (tedy prohlížečů, Javy, Flash playeru apod.). Tuto adresu, kde je exploit kit provozován, pak například pomocí tagu iframe vkládají do napadených webových stránek jako jejich součást. Již delší dobu si klademe otázku, zda nemůže ve skutečnosti v zóně .CZ být více napadených domén, než o kterých jsme schopni se dozvědět s pomocí naší aplikace. Zkusili jsme proto reverzní postup: Vzali jsme množinu náhodných domén a sledovali, z jakých dalších domén si tyto stránky stahují své komponenty. Potom jsme v kupce agregovaných výsledků pátrali po jehlách a červech… Co myslíte, povedlo se nám v malém českém rybníce identifikovat nakažené stránky, na které ještě nepřišel Google Safebrowsing? A případně kolik?
Těžba kryptoměn v péči CSIRT.CZ
Minulý týden jsme byli upozorněni, že zadáme-li do vyhledávače kouzelná slůvka `intitle:“var miner = new CoinHive“ site:cz`, dostaneme stovky stránek, na nichž se těží kryptoměna. Skutečně, zdálo se, že se nám pod rukama rozdmýchává epidemie zlaté horečky.
Ohlédnutí za finálem Kybersoutěže
Výborná příležitost – banka, kterou chceme vykrást, se dnes stěhuje do nových prostor. Navíc k našemu štěstí zkoušejí alarmy, a to až do 16 hodin, takže nebude nápadné, když ho omylem spustíme. Je pootevřené okno v patře, které chrání jediné čidlo. Naše krysa uvnitř z řad zaměstnanců položila IP kameru do komory s čidly, takže vidíme, jestli čidlo, které se snažíme nabourat, je ve stavu OK nebo řve alarmem. IP kamera streamuje záběr na YouTube, žel se zpožděním. Problém je, že čidlo komunikuje pomocí radiových vln: každých 15 až 30 vteřin pípne dioda a přístroj vyšle signál. Odposloucháváme, snažíme se napodobit a až si budeme jisti, čidlo vypneme a místo něj pustíme naši napodobeninu, kterou jsme postavili. Ještě vymodelovat trochu staniolu mezi anténky, tak… poplašňák čidla houká! Zacpat si uši a za půl minuty znovu.
Jak se Češi s hesly popásají
Dostalo se nám pod ruku přes sto tisíc hesel jednoho českého e-shopu, která hacker odcizil minulý rok a nedávno je umístil na pastebinu. Z nich jsem analyzoval 16 587 kousků obnažených v plaintextu, ostatní hesla zůstala ve výchozí podobě přidělené serverem. Předkládám vám tuto svou skromnou studii, která původně neměla za cíl nic jiného, než si povšechně zaokounět nad podobou českých hesel, nakonec se však vyvinula v kolůsek, který Národnímu bezpečnostnímu CSIRTu pomohl vyvinout lepší způsob regulární analýzy nad množinou dat.
Nemá být uzákoněno
Senátoři budou zítra rozhodovat o návrhu zákona o hazardních hrách, který obsahuje problematické odstavce. Kéž ví lépe než poslanci, zda je správné se vydat cestou „ochrany národního informačního prostoru“ čínských soudruhů. Internet je holt už jednou navržen jako mimonárodní medium a cenzura je prostě ošklivá. Může nás mrzet, že české daňové prsty nedosáhnou na elektronickou evidenci tržeb karibských podniků, ale nelze za to činit zodpovědnou firmu, co vám instalovala domů pojistky.