Jak jsme již informovali v této novince, v pátek 1.června se v sídle sdružení CZ.NIC uskutečnilo setkání v jehož rámci došlo k předání zkušenosti s provozováním národního CSIRT týmu zástupcům týmu CERT-RO (ten je stejně jako my akreditován u úřadu Trusted Introducer). Organizátorem akce byla Evropská agentura pro síťovou a informační bezpečnost (ENISA), jejímž primárním cílem je dosažení vysokého stupně informační a síťové bezpečnosti mezi členskými státy EU.
Na začátku setkání zazněly informace o historii budování CSIRT.CZ a jeho cestě do pozice Národního CSIRT České republiky, o organizační struktuře týmu, ale také sdružení CZ.NIC samotného, o práci Laboratoří CZ.NIC, které se ve svých projektech bezpečností také intenzivně zabývají, Akademii CZ.NIC a jejích vzdělávacích projektech atd. Kolegové z CERT-RO také ocenili informace o pracovní skupině CSIRT.CZ, jejímiž členy jsou zástupci významných provozovatelů sítí, poskytovatelů obsahu, rizikových služeb, bezpečnostních složek České republiky, Českého telekomunikačního úřadu, sdružení CZ.NIC i NIX.CZ a akademického sektoru. Tato pracovní skupina umožňuje setkávání bezpečnostních expertů z uvedených organizací a také vzájemné předávání informací a zkušeností souvisejících s počítačovou bezpečností.
Během setkání jsme zástupce týmu CERT-RO informovali také o nástrojích, které používáme při řešení incidentů, ať už ticketovacího systému OTRS, různých linuxových utilit, rozšíření pro Firefox, či různých nástrojů dostupných on-line. Nejvíce však členy národního CSIRT týmu Rumunska zaujala aplikace, kterou vyvinuly naše laboratoře a jako open source nabídli k používání i dalším registrům. Je to aplikace MDM, o níž jsme již psali zde a jejíž nasazení pomohlo také k lepšímu postavení České republiky v různých statistikách phishingových stránek.
Kolegy z CERT-RO také zaujala prezentace životního cyklu incidentu od jeho vzniku až po jeho vyřešení. Během této přednášky jsme poreferovali o některých zajímavých, či zásadních incidentech, které jsme za poslední rok řešili. Hojně diskutovanou se stala také otázka proaktivního přístupu a úzké spolupráce na úrovni národních CSIRT týmů.
Setkání se zúčastnil také zástupce týmu CESNET-CERTS, který provozuje sdružení CESNET pro dohled nad sítí národního výzkumu a vzdělávání. Oba české bezpečnostní týmy spojuje dlouhodobá a velice úzká spolupráce na poli internetové bezpečnosti v této zemi. Zástupce CESNET-CERTS na tomto setkání prezentoval systém pro efektivní sdílení informací o bezpečnostních událostech. Jeho nasazení je ve spolupráci s CSIRT.CZ plánováno i na národní úrovni.
Dlužno říci, že i náš tým získal zajímavé nové informace. V Rumunsku je existence Národního týmu zakotvena v zákoně a na jeho provozu se podílejí například i kmenoví zaměstnanci bezpečnostních sil. Rumunský národní CERT tým se také momentálně ve spolupráci s vládním sektorem pokouší o spuštění vlastního rozsáhlého IDS systému. Také je zajímavé, že registr rumunské národní domény .RO nezobrazuje a ani nepředává žádné údaje o držitelích domén, pokud jsou tito fyzickými osobami. Z pohledu práce CSIRT týmů je toto jasná nevýhoda při řešení incidentů. A zajímavost na závěr – pokud by někdo z vás toužil pracovat v Národním CSIRT týmu Rumunska, pak vězte, že minimálním požadavkem pro práci v tomto týmu je úspěšné složení certifikace Certified Ethical Hacker (CEH).
Pavel Bašta
Jak si vede Česká republika v boji proti phishingu?
Minulý měsíc se objevila zpráva pracovní skupiny APWG (Anti-Phishing Working Group), která se zaobírá problematikou phishingu snad ze všech možných úhlů, tedy i monitorováním phishingových stránek. Její zpráva obsahuje mimo jiné také různé zajímavé statistiky za druhé pololetí uplynulého rok vztahující se k jednotlivým národním a generickým doménám. Porovnáme-li tyto zprávy za poslední tři pololetí, tedy 2/2010, 1/2011 a 2/2011, zjistíme, že podle těchto statistik počet phishingových útoků na stránkách v doméně .cz postupně klesá, z 222 případů v 2/2010 až k 171 případům v druhém pololetí roku 2011. Průměrný uptime (tedy průměrná doba, po kterou jsou phishingové stránky dostupné) byl v druhém pololetí roku 2010 64 hodin a 33 minut. Toto číslo pak v dalším půlroce kleslo a v druhém pololetí uplynulého roku jsme se dostali na 41 hodin a 10 minut. Stále se ale bohužel jedná o poměrně vysoké číslo, neboť phishingové útoky mají obvykle nejvyšší výtěžnost do 24 hodin od jejich spuštění. Doufejme tedy, že se i díky naší práci podaří průměrný uptime snížit tak, aby se provozování phishingu v doméně .cz pokud možno ekonomicky nevyplácelo. Na druhou stranu je potřeba říci, že medián uptimu byl za loňský rok pouhých 14 hodin a 46 minut, což je velmi pěkné číslo. I další ukazatele, jako například Score (počet domén zneužitých k phishingu na 10 tisíc registrovaných domén) nevychází pro naši doménu nijak špatně: pro doménu .cz je to 1.2. I když to není vůbec špatné číslo, stále je co zlepšovat, a tak doufám, že příští rok již bude toto číslo pro doménu .cz menší než 1. Určitě to není nemožné, neboť například doména .se má scóre rovnající se právě tomuto číslu.
Zajímalo mě také, jak jsou na tom z hlediska phishingu IP adresy delegované do České republiky. I pro toto lze nalézt zajímavé statistiky, pro změnu na stránkách databáze Phistank, která sbírá data o phishingových stránkách a je mimo jiné využívána prohlížeči při posuzování obsahu stránek. Snažíme se aktivně pomocí naší aplikace MDM (viz článek na našem blogu) oslovovat držitele domén .cz, jimiž držené domény se nejen v této databázi objevily. I proto jsem byl velmi zvědavý, zda se to v jejich statistikách nějak projevilo. Tuto aplikaci jsme spustili v pilotním provozu v červnu 2011, proto jsem v následujícím grafu zaznamenal data od tohoto měsíce. Jedná se o percentuální podíl IP adres v dané zemi na celkovém množství phishingových stránek v daném měsíci.
Bohužel jsou však v těchto statistikách zobrazovány pouze státy, ve kterých je množství phishingových stránek větší než dvě procenta. A teď to přijde (tramtadadá :)) – poslední dostupné statistiky za měsíc leden 2012 již nezobrazují pro ČR žádné údaje. Podíl množství phishingových stránek provozovaných v naší zemi na celkovém objemu phishingu tedy klesl pod 2 procenta.
Z obou výše rozebraných statistik vyplývá, že se v České republice dlouhodobě daří bojovat proti nelegálním internetovým aktivitám, k čemuž jak pevně věříme přispívají i aktivity našeho týmu CSIRT.CZ.
Pavel Bašta
Náš open source projekt pro „bezpečáky“ míří do světa
Na loňské konferenci Internet a Technologie 11 jste se měli možnost poprvé setkat s aplikací, která pomáhá zjišťovat škodlivý obsah umístěný na doménách .cz. Tehdy jsem představil pouze její prototyp s tím, že plnou verzi plánují kolegové z našich Laboratoří dokončit na začátku příštího, tedy tohoto roku. Představení této plné verze se uskutečnilo právě tento týden, v úterý, a to na mezinárodní konferenci bezpečnostních týmů FIRST/TF-CSIRT Technical Colloquium v Římě. Vzhledem k tomu, že se jedná o open source aplikaci, byla tato verze současně uvolněna pro potřeby komunity. Pojďme si ji tedy představit trochu podrobněji.
Naše začátky s touto aplikací, kterou jsme pojmenovali Malicious Domain Manager (zkráceně MDM), nebyly zrovna jednoduché, a to z několika důvodů. Především chyběla procesní řešení, často se vyskytovaly problémy s kódováním obsahu, téměř každý den se objevovaly nové a nové otázky spojené s funkčností tohoto programu. Protože se ale do projektu zapojilo několik týmů – Laboratoře CZ.NIC, bezpečnostní týmy CZ.NIC-CSIRT a CSIRT.CZ, jejichž členové věděli, co chtějí a jak toho dosáhnout, podařilo se celkem rychle vyladit tento nástroj pro potřeby reálného použití ve světě internetu.
Aplikace sbírá z veřejně dostupných databází informace, které se týkají výlučně domén obsahující ať už náhodně nebo cíleně umístěný škodlivý obsah. Tím může být například phishing, malware nebo virus. Člověku, který tento nástroj obsluhuje, potom umožňuje jednoduchým způsobem kontaktovat držitele dané domény s upozorněním na vzniklou situaci. V případě zpětné vazby je potom možné prostřednictví této aplikace daného držitele nebo správce domény dále informovat o možném řešení situace nebo mu doporučit případné kroky vedoucí k odstranění škodlivého obsahu na doméně.
Náš nástroj je určený především regionálním registrům a správcům TLD. Stejně tak ale samozřejmě může být užitečná bezpečnostním týmům jako jsou ty naše (CZ.NIC-CSIRT a CSIRT.CZ). Aplikace je zde zkrátka pro všechny, kteří chtějí přehledně spravovat hrozby spojené se systémem DNS ve svém poli působnosti a reagovat na ně. Všem těmto bych chtěl alespoň touto formou zprostředkovat několik svých zkušeností sesbíraných za cca půlrok, který jsem s ní strávil. Aplikace má jednoduché ovládání, pro které není potřeba speciální proškolování jejích uživatelů. Dobrou zprávou pro všechny, kteří nebudou ovládat češtinu, je jednoduchá implementace jazykových mutací. Za velké plus považuji integraci dat z databáze WHOIS, což umožňuje získat k dané doméně z prostředí aplikace aktuální kontakty.
A na závěr jedno číslo za všechny; v druhé polovině loňského roku jsme i s její pomocí dokázali vyřešit 5 247 incidentů na doméně .cz. Takže, ať všem jejím uživatelům slouží tak dobře jako nám.
Michal Prokop