Jak si možná vzpomenete, v únoru jsme na tomto blogu vydali článek informující o skutečnosti, že 8. března dojde k vypnutí sítě DNS serverů, využívaných trojským koněm s příznačným názvem DNSChanger. FBI, která momentálně tyto DNS servery provozuje, však mezitím dostala soudní příkaz k dalšímu prodloužení provozu těchto DNS serverů, tak, aby mělo co možná největší množství uživatelů kompromitovaných počítačů možnost tento zákeřný software odstranit. Nově stanovené datum je tedy 9. července 2012. Zde je pro technicky zdatnější uživatele video, které demonstruje, co DNSChanger v systému dělá.

Proč je tento trojský kůň tak nebezpečný? Po infikování počítače totiž změní DNS servery používané napadeným počítačem na své vlastní, které byly až do zásahu FBI ovládané tvůrci DNSChangeru. To znamená, že počítač oběti mohli například místo na adresu www.gmail.com přesměrovat na svůj vlastní server, kde pak mohli například získat přihlašovací údaje oběti. Lze předpokládat, že obětí těchto podvodů byli nejčastěji uživatelé internetového bankovnictví. Dále tento software stahuje do počítače další viry a trojské koně. Nejvíce zákeřná je však schopnost tohoto trojského koně změnit i nastavení některých routerů, používaných v domácnostech pro sdílení internetového připojení. Za tímto účelem zkouší známá defaultní jména a hesla pro různé routery. Pokud tedy máte na svém routeru defaultní jméno a heslo stačí jeden nakažený počítač, či návštěva někoho, kdo se s nakaženým počítačem do vaší sítě připojí a problém máte také. A je jedno, zda na svém PC používáte nejaktuálnější antivir, či jak obezřetně se na internetu chováte.

V současné době již nehrozí riziko přesměrování na podvodné servery. Avšak tento trojský kůň s velkou pravděpodobností indikuje další virovou nákazu vašeho počítače. Navíc, pokud dojde 9. července tohoto roku k definitivnímu vypnutí DNS serverů, které tento trojský kůň používá, přestane vám fungovat překlad doménových jmen na IP adresy. A nyní již další dobrá zpráva. Tento problém zaujal naše laboratoře a ty se rozhodly spustit českou verzi stránek, které umožňují detekovat, zda je váš počítač nakažen tímto nebezpečným trojským koněm. Proto neváhejte navštívit tuto stránku na adrese www.dns-ok.cz. Zde se dozvíte nejen zda je váš počítač, či router napaden, ale také, jakým způsobem se nejlépe této virové nákazy zbavit.

A perlička na konec. Pokud jste byli tímto virem napadeni a chcete pomoci FBI při vyšetřování, můžete se tímto formulářem přihlásit jako jedna z obětí.

Pavel Bašta

Pokud vám 8. března přestane fungovat „internetové připojení“, můžete být jednou z obětí trojského koně zvaného DNSChanger. Jedná se o trojského koně, který provádí změnu DNS serverů v operačním systému. Místo vámi nastaveného DNS serveru nastaví jednu z předem daných IP adres.

Odhaduje se, že po celém světě mohou být napadeny asi čtyři milióny počítačů. Tento trojan napadá jak počítače s OS Windows, tak i počítače s MacOS. FBI odkryla síť podvodných DNS serverů, používaných tímto trojským koněm již v listopadu 2011; v té době získala povolení soudu k dalšímu provozování této sítě. Toto povolení však končí právě 8. března. Pokud FBI nezíská další soudní povolení, bude provoz těchto DNS serverů ukončen. To znamená, že počítače napadené tímto zákeřným trojanem nebudou schopné resolvovat doménová jména na IP adresy. Podle FBI je velmi pravděpodobné, že počítače nakažené tímto malware budou napadené i dalšími viry. Možná tedy toto „vypnutí“ napadených počítačů pomůže i k vyčištění těchto strojů, když už jejich majitelé zjistí, že mají nějaký problém.

Zda je Váš OS napaden si můžete ověřit na adrese www.dns-ok.de. A pokud zjistíte, že jste jednou z obětí, použijte k nápravě tento nástroj. Další programy určené i pro MacOS najdete například na adrese www.dnschanger.com.

Pavel Bašta

Tento měsíc došlo k významné události na poli bezpečnostních týmů v ČR. Společnost ACTIVE 24 ustavila svůj vlastní CSIRT tým, který je navíc nově registrován u úřadu Trusted Introducer působícím v rámci evropské organizace Terena. Tento úřad sdružuje bezpečnostní týmy ze všech oblastí, tedy jak národní a vládní, tak i například CSIRT týmy provozovatelů internetového připojení, poskytovatelů služeb, výrobců hardware, bank nebo týmy působící v akademickém prostředí.

Aby CSIRT tým mohl získat staus listed, musí nejdříve splnit určité požadavky, jako například definovat oblasti, ve kterých je způsobilý konat, a jasně a veřejně zpřístupnit kontaktní informace o týmu, jeho složení a další nezbytné údaje. Dále pak musí jeho žádost o zařazení do statusu listed podpořit dva již akreditované týmy. Toto vše zaručuje, že ACTIVE24-CSIRT splňuje všechna základní kritéria nezbytná pro správné fungování týmu typu CSIRT.

Za nás, tedy za členy bezpečnostních týmů CZ.NIC-CSIRT a CSIRT.CZ, mohu říci, že tuto iniciativu společnosti ACTIVE 24 velice vítáme. Funkční a dobře vytvořená infrastruktura CSIRT týmů totiž pomáhá při rychlejší reakci na bezpečnostní incidenty a snižuje tak zároveň závažnost jejich dopadu. Navíc se v tomto případě jedná o první vlaštovku mezi společnostmi z komerční sféry v ČR. Více podrobností najdete v oficiální tiskové zprávě.

Bezpečnostnímu týmu ACTIVE24-CSIRT bych rád popřál, ať se mu daří naplňovat jeho poslání, a nám všem, aby se našlo více společností, které budou jejich příkladu následovat.

Pavel Bašta

Nedávno jsem zde psal o proaktivitě týmu CSIRT.CZ. Dnes bych vám chtěl ukázat, že ani náš interní tým CZ.NIC-CSIRT, jehož jsem také členem, v této oblasti nijak nezaostává. Ti, kteří byli na letošní konferenci IT 11, si možná pamatují na prezentaci, kterou měl kolega Michal Prokop, a která se točila kolem nové aplikace našich Laboratoří a proaktivního informování o bezpečnostních incidentech na doménách v zóně .cz.

Jedná se o aplikaci, která z veřejně dostupných zdrojů získává informace o doménách v zóně .cz, na nichž je umístěn škodlivý obsah. Následně o incidentu prostřednictvím e-mailové zprávy informujeme držitele těchto domén a v případě potřeby se jim snažíme poradit, jak se s problémem vypořádat. Fáze testování a nastavování pravidel pro práci s touto aplikací a incidenty v ní obsaženými se pomalu blíží k závěru, a tak bychom vás rádi informovali o novinkách, které se kolem této aplikace chystají.

V první řadě bych rád uvedl, že v současné době se nám podařilo dostat se na úroveň, kdy již zpracováváme pouze aktuálně detekované příchozí incidenty. Databáze obsahovala po stažení velké množství domén, které byly v jednotlivých veřejných zdrojích evidovány již delší dobu a jejichž držitelé o tomto problému vůbec neměli tušení. Během předchozích měsíců se nám podařilo rozeslat informaci všem držitelům těchto přibližně 800 domén. Z toho již více jak 280 domén je vyčištěno.

Ve skutečnosti to byl ovšem pro útočníky mnohem větší zásah, na řadě domén bylo totiž nakaženo hned několik URL a některé evidované domény sloužily k poskytování freehostingu na doménách třetího řádu. Po upozornění většina provozovatelů freehostingových služeb okamžitě zneužité účty blokuje či maže. Na jedné takovéto freehostingové doméně bylo dokonce přes 1100 domén třetího řádu, které si útočníci buď sami registrovali nebo které se jim podařilo nějakým způsobem zneužít. I na dalších napadených doménách v zóně .cz byly počty útoků v řádu stovek domén třetího řádu, mnohdy opět obsahujících více než jednu URL. A to už je opravdu veliké množství zneškodněných útočných stránek.

V současné době nám každým dnem ve vyřešených případech přibývá mezi 5 až 10 doménami. To znamená, že postupně další a další držitelé domén reagují na naše upozornění. Většina zneužitých stránek obsahovala malware, útočné javascripty a menší část byla zneužívána pro phishing. Z e-mailové korespondence s těmi, kteří se na nás obrátili s žádostí o radu, vyplynulo, že na počátku značné části útoků stála kompromitace PC, ze kterého úpravy stránek prováděli. Tento malware pak získal uložená jména a hesla k FTP přístupům a odeslal je útočníkovi. V jednom extrémním případě uživatel opravil stránky, změnil heslo k FTP přístupu, ale protože nevěděl o malware na jeho PC, byl javascript na stránce do hodiny zpět.

Druhou zásadní novinkou je, že naše Laboratoře celý software upravují tak, aby bylo možné uvolnit jej jako open-source program pro využití dalšími doménovými registry. To vyžaduje přepsání rozhraní aplikace a umožnění jejího individuálního nastavení tak, aby si jej každý registr mohl nastavit dle svých potřeb. Aplikaci plánujeme uvolnit koncem tohoto, nebo začátkem příštího roku. Nasazení a aktivní využívání aplikace v dalších registrech by určitě znamenalo přínos pro bezpečnost dané zóny.

Doufáme, že tato ukázka proaktivity druhého z CSIRT týmů provozovaného v CZ.NIC naznačuje jeden z možných přínosů zřizování týmů typu CSIRT i pro jiné organizace. Kromě proaktivity je samozřejmě nejdůležitějším prvkem práce CSIRT týmu reagování na vzniklé bezpečnostní incidenty. O tom ale raději až v případném dalším článku.

Pavel Bašta, CZ.NIC-CSIRT a CSIRT.CZ

O tom, co je cvičení Cyber Atlantic 2011, kdy a kde probíhalo a co bylo jeho cílem hovoří dostatečně například společná tisková zpráva týmů CESNET-CERTS a CSIRT.CZ. Pojďme se tedy rovnou podívat „pod pokličku“ tohoto cvičení. Cvičilo se podle dvou scénářů. Každá zúčastněná země byla povinna do cvičení dovést ideálně dva „hráče“ a jednoho „moderátora“. Hráči neměli být lidé pokud možno čistě technického charakteru, ale raději manažeři/ředitelé (CSIRTů), členové krizových štábů, zaměstnanci ministerstev, bezpečnostních složek a podobně. Získat do hry takové hráče se ale ukázalo dost obtížné; jen několik zemí splnilo tento „úkol“.

Českou republiku zde reprezentovali člen CSIRT.CZ v roli moderátora a v rolích hráčů dva zaměstnanci sdružení CESNET (jeden je členem CESNET-CERTS, druhý je specialista na kyberkriminalitu). Role moderátora spočívala v podílení se na přípravě celého cvičení, přípravě hráčů na cvičení a při samotném cvičení v jejich sledování, zapisování akcí, které provedli, závěrům, ke kterým došli a nakonec, zformulování výsledků a postřehů za danou zemi. A samozřejmě také v pomoci hráčům v nejnutnějších případech. Úlohou hráčů pak bylo pohybovat se v prostředí daném scénářem (který byl znám dopředu a byl součástí přípravy hráčů) a reagovat na podněty (tzv. „injects“), které jim byly v průběhu cvičení doručovány. Tyto „injects“ doplňovaly a modifikovaly původní scénář a tím měnily stávající situaci hráčů a nutili je tak k akcím a formulování dalšího postupu – např. uspořádání „konference“ s vybranými zeměmi za účelem zmapování situace (každá země měla jen část informací), vydolováním informací z některých zemí (nechtěli je sdílet, neřádi, možná to měli ve scénáři), komunikaci s médii (zabránit panice a poskytnout veřejnosti potřebné informace), nabídnutím pomoci dotčeným zemím (sestavení expertní skupiny, zajištění komunikačního kanálu) a dohodnutím řešení dané situace a pod.

Celé cvičení se konalo v jedné místnosti, bylo tedy postaveno na ústní komunikaci. Když bylo třeba, skupina lidí se sebrala a v rohu nebo na chodbě si uspořádala „konferenci“, hráči se pružně přemísťovali a tvořili hloučky a diskusní fóra a mezi nimi pobíhali moderátoři a snažili se zachytit maximum z děje. Samozřejmě byl dán prostor pro moderovanou diskusi všech hráčů a pro zformulování závěrů.

Na první pohled a nezúčastněným se může zdát, že něco podobného nemá valný smysl, také jsem byla již před CYBER Europe 2010 skeptická. Nakonec se mi CE 2010 líbilo a musím říct, že CA 2011, i když se druhý scénář (útok na SCADA systémy) ukázal jako ne příliš dobře připravený, se mi líbilo ještě víc. Především mě ale CA 2011 utvrdilo v tom, že podobná cvičení mají smysl. Nyní ještě více vnímám, co nám v oblasti obrany proti kyberútokům na národní úrovni v České republice chybí a kde bychom jako Národní CSIRT ČR měli a mohli pomoci.

Andrea Kropáčová, CSIRT.CZ

I když v procesu incident handlingu vystupují obvykle národní CSIRT týmy spíše jako jakýsi „institut poslední záchrany“, rozhodně by měly dle svých možností a v rámci svého pole působnosti také aktivně upozorňovat na existující i potencionální bezpečnostní incidenty. I my se v rámci našeho týmu CSIRT.CZ snažíme nejen co nejefektivněji řešit reportované incidenty, ale pokud máme příležitost, chceme být proaktivní také v přístupu k bezpečnosti českého internetového prostředí. Jak může tato proaktivita vypadat v reálu si ukážeme na vybraných příkladech z poslední doby.

Před několika dny jsme kontrolovali jednu internetovou stránku kvůli podezření na šíření virové nákazy; jednalo se o web, který se přímo zabývá hackingem. Na něm jsme narazili na článek informující o možných zranitelnostech některých internetových stránek státní správy. Šlo o chyby v rozsahu od XSS, přes SQL injection, až po možnost procházet obsah adresářů.

Uvedené zranitelnosti mohou vést k různým způsobům zneužití – získání neoprávněného přístupu k informacím, změny obsahu stránek, či útoku na uživatele takovéhoto webu. Z těchto důvodů jsme riziko vyhodnotili jako vysoké a rozhodli jsme se informaci o zveřejnění těchto bezpečnostních problémů zaslat správcům jednotlivých stránek.

Dle dlouhodobé zkušenosti našeho týmu velká část správců na incidenty reaguje opravením reportovaného problému, avšak na naši původní zprávu již většinou neodpoví. Stejně tomu bylo i v tomto případě. V současné chvíli většina z problematických nastavení na stránkách již není, reakci ale máme pouze od jednoho ze správců. Pro nás je však nejdůležitější, že se nám i tímto krokem podařilo přispět k větší bezpečnosti uživatelů internetu a také ukázat, že národní bezpečnostní tým nespoléhá pouze na nahlášené incidenty.

Příkladem jiného druhu proaktivity může být i nedávná akce CSIRT.CZ – rozeslání informačních dopisů správcům DNS serverů, u kterých existuje vysoké riziko možného útoku pomocí DNS cache poisoningu. S pomocí Laboratoří CZ.NIC jsme při této akci oslovili více jak 1400 firem a institucí v rámci celé republiky. Zatím nemáme přesná data o úspěšnosti celé akce, avšak při první vlně, kdy jsme zkušebně odeslali prvních 100 dopisů, byla úspěšnost, tedy změna konfigurace DNS serveru směrem k lepšímu zabezpečení, okolo 13 procent.

Dalším aktuálně provozovaným proaktivním prvkem v rámci CSIRT.CZ je například detekce útoků pocházejících z počítačových sítí v České republice za pomoci intrusion detection system (IDS), který je provozován ve spolupráci se sdružením CESNET. Tento systém po zachycení pokusu o útok automaticky informuje správce příslušné sítě, který tak má možnost ihned reagovat na vzniklý incident a zamezit případnému průniku do dalších systému nebo šíření virové nákazy.

Osobně doufám, že počet proaktivních prvků v rámci provozu národního CSIRT týmu bude narůstat a že vás tak v budoucnosti budeme moci informovat o dalších úspěšně zrealizovaných akcích CSIRT.CZ směřujících k větší bezpečnosti „sítě sítí“.

Pavel Bašta, CSIRT.CZ a CZ.NIC-CSIRT

Je tomu přibližně čtvrt roku, co do datových schránek přibyla možnost rozšířit autentizaci přihlašovacím jménem a heslem o hesla jednorázová (OTP – One Time Password). Toto rozšíření umožňuje výrazně zvýšit zabezpečení datové schránky před prolomením či odcizením hesla.

Jednorázová hesla v datových schránkách si může uživatel buď generovat na mobilním zařízení a nebo nechat zasílat pomocí SMS. Vzhledem k tomu, že druhá možnost je placená, upne se asi většina zájemců o tuto funkci k variantě první. Díky tomu, že se programátoři datových schránek rozhodli v tomto případě použít standardní algoritmus pro jednorázová hesla (RFC 4226), je možné pro jejich generování využít aplikace třetích stran.

Datové schránky oficiálně podporují tři různé aplikace pro platformy iOS, Android a Java ME. Použití standardizovaného OTP algoritmu by však mělo umožnit využít i další podobné programy a dát tak uživatelům větší možnost volby. Jednou z aplikací tohoto druhu je Google Authenticator.

Google zavedl jednorázová hesla jako volitelnou možnost při přihlašování k účtu v únoru toho roku. Způsob jakým se jednorázová hesla u Google aktivují a používají je z pohledu uživatele trochu odlišný, ale základní myšlenka doplnit standardní hesla o další autentizační prvek je stejná. Google by však jako jedna z největších IT firem současnosti asi jen těžko přenesl přes srdce použití aplikace třetích stran pro potřeby vlastních uživatelů a vznikl tak již zmiňovaný Google Authenticator. Ten implementuje stejný standardní algoritmus generování OTP a podporuje platformy iOS, Android a Blackberry (a pro potřeby serveru obsahuje také PAM modul).

Protože OTP používám jak pro datové schránky, tak pro svůj Google účet a protože jako zaměstnanec CZ.NIC LABs musím být od přírody zvědavý, zajímalo mě, jestli půjde Google Authenticator použít i pro datové schránky.

Ukázalo se, že to opravdu jde a jediná komplikace je ve formátu v jakém se předává vstupní tajný klíč mezi serverem datových schránek a mobilní aplikací při prvotní aktivaci OTP. Zatímco datové schránky a jimi doporučované aplikace používají hexadecimální (tedy Base16) formát, Google Authenticator používá Base32. Celý problém použití Google Authenticatoru pro datové schránky se tedy redukuje na triviální úkol převodu mezi těmito dvěma kódováními.

Aby to však nebylo příliš jednoduché, trochu jsem si úlohu zkomplikoval. Google Authenticator totiž oproti ostatním aplikacím nabízí jednu vlastnost, kterou každý, kdo musel přepisovat 40 znaků v hexadecimálním zápisu z mobilu do počítače, určitě ocení – synchronizaci tajného hesla mezi serverem a mobilním zařízením pomocí QR kódu.

Abych již dále neprotahoval již tak dlouhý příspěvek, výsledkem je mini „aplikace“ v čistém JavaScriptu, kterou najdete na konci příspěvku. Ta umožňuje vygenerovat si na straně uživatele v prohlížeči tajný klíč, který poté pouze zkopíruje do systému datových schránek a zároveň jej přes QR kód nahraje do Google Authenticatoru na svém mobilu. Není tedy potřeba nic přepisovat a kontrolovat a pokud už Google Authenticator používáte, ani instalovat kvůli datovým schránkám další aplikaci.

Na závěr tedy nezbývá než pochválit tvůrce datových schránek za to, že si na rozdíl od některých dřívějších rozhodnutí tentokrát vybrali standardizované řešení. Usnadnilo to práci jim i uživatelům a dalo nám to možnost větší volby.

Poznámka: Protože celý proces generování tajného kódu i odpovídajícího QR kódu probíhá ve vašem prohlížeči, nemusíte se bát uniku informací a jejich potenciálního zneužití.

Bedřich Košata, Laboratoře CZ.NIC

P.S.- pokud nad tímto textem nevidíte QR kód, váš prohlížeč pravděpodobně neumí HTML canvas (např. IE), který je nutný pro generování QR kódu na straně klienta.