Sentinel View report – říjen 2023

Během měsíce října došlo k zajímavému pohybu na předních příčkách seznamu útočníků. Nejvíce útoků bylo zaznamenáno z Rumunska, Německa, Bulharska a Nizozemska. Přičemž z Německa docházelo k soustavným útokům, které se dostaly do popředí kolem 4. října, poté se 16. října začaly pomalu vytrácet, až do 18. října, kdy definitivně skončily. Graf zobrazující průběh německých útoků vypadá velmi stabilně a konzistentně. Naproti tomu útoky z Rumunska, které se umístily na samém vrcholu tabulky, vypadají v grafu nevyrovnaně a neorganizovaně. A to do té míry, že se grafy Sentinel View v sekci Incidents, kromě grafu Top countries by recorded incidents, stávají téměř nepoužitelnými.

Sentinel View report – září 2023

Na prvních stránkách zprávy vidíme, že zářijová čísla jsou velmi srovnatelná se srpnovými.

Útočníci se sídlem v Íránu opustili přední příčky našich žebříčků a vidíme, že nyní adresy ze Spojených států amerických vedou v záznamech incidentů s minipoty HTTP. Opět stoupá obliba některých portů používaných pro neznámé služby, zejména to jsou porty 33113 a 62534. Stále nevíme, co by za nimi mohlo být.

Sentinel View report – srpen 2023

Mezi červencem a srpnem se počet útoků na minipoty zmenšil přibližně o polovinu. Útočníci z podsítě 46.148.40.0/24 nebyli tolik aktivní jako v měsíci předchozím. Můžeme jasně vidět, že se v čele objevují adresy z jiných zemí – především z evropských, jmenovitě Německa a Rumunska – jež se vrátily do popředí.

Sentinel View report – červenec 2023

Během července počet útočníků nezanedbatelně vzrostl a útoky na minipoty se zdvojnásobily. Jen tři útočníci byli v předchozím měsíci z podsítě 46.148.40.0/24. Nyní útočníci z této sítě okupují většinu vrchních příček žebříčku nejaktivnějších útočníků.

Sentinel View report – červen 2023

Celkový počet incidentů klesl v červnu meziměsíčně o polovinu. I přesto je individuálních útočníků podle dat z Greylistu jen o deset tisíc méně. Co se minulý měsíc zdálo být jen malým poklesem, mohlo být předzvěstí právě tohoto propadu.

Sentinel View report – květen 2023

Meziměsíčně klesl celkový počet bezpečnostních incidentů o sto miliónů. To zní jako veliké číslo, nicméně v kontextu celkového počtu, jež počítáme v miliardách, se jedná o méně než 10 procent. Poměry útoků na minimální honeypoty se od minulého měsíce nijak zvlášť nezměnily. Co se týče oblíbenosti jednotlivých cílů, útočníci jsou poměrně konzistentní. Tabulku napadaných portů opět vedou torrenty.

V oblasti hesel skokový nárůst zaznamenalo heslo Changeme123 (Změň mě). Zajímavou, ne však nečekanou obdobu QWERTY, představuje další často používané heslo 1QAZ2wxx. Z Rumunska a Bulharska proudilo mnoho pokusů s hesly, jež všechna shodně končí na @123. Opět, jako minulý měsíc, pokusy se odehrály v horizontu maximálně několika dní, přičemž posléze byly tyto útoky zastaveny.

Sentinel View report – duben 2023

Během dubna bylo v rámci greylistů zachyceno více než deset tisíc nových unikátních útočníků. Nově lze v reportu vyčíst další zajímavý údaj, a to celkový počet incidentů. Dále jsme přidali koláčový graf pro tyto kategorie – zdroje pastí, použité akce připojení a jejich kombinace. Většina útočníků soustředí svoji aktivitu na SMTP servery. Akce pro přihlášení (login) a pokus o připojení (connect) jsou tak časté, že zastiňují ostatní data. Plánujeme se s tímto nešvarem v budoucích reportech vypořádat. I přesto, že čísla pro protokol Telnet jsou výrazně nižší, jde o druhou nejvíce napadanou službu. Jak jsme již v předchozích reportech podotkli, je to zřejmě proto, že tento ne úplně zabezpečený protokol používají buď nějaká stará zařízení, nebo zařízení, jejichž autoři si nelámou hlavu s bezpečností. Proto jsou snadným cílem. S přechodem uživatelů na CMS systémy (správa obsahu webu) vidíme, že pro útočníky není FTP protokol v našem kontextu tak zajímavý cíl. Závěrem bychom rádi zmínili, že v současné době není radno Telnet používat a rozhodně bychom se zaměřili na ochranu každé služby HTTP s tím nejvyšším možným důrazem na bezpečnost.

Netmetr se mění na LibreSpeed a stává se světovým

Kdysi dávno CZ.NIC spustil projekt Netmetr. Cílem bylo poskytnout spolehlivý test rychlosti připojení pro běžné uživatele a zároveň pomoci ČTÚ (Český Telekomunikační Úřad) získat informace o stavu konektivity  v České republice. Projekt se zdařil, slavil úspěchy, lidé si měřili parametry svého připojení a ČTÚ získával mnoho zajímavých dat. Ve skutečnosti byla data tak moc zajímavá, že se ČTÚ rozhodl celý systém více  integrovat a dále rozvíjet. Použili stejný open-source projekt, na kterém byl založen Netmetr, a spustili Nettest – svojí vlastní instanci, jimi spravovanou a lépe integrovanou do jejich procesů. Bohužel to znamenalo, že původní projekt Netmetr pozbyl svůj účel a nedávalo smysl ho dále udržovat při životě.

Sentinel View report – leden 2023

Oproti prosinci loňského roku jsme v minulém měsíci zaznamenali více útoků na zařízení Turris. V případě počtu útoků na zařízení Turris a počtu obětí těchto útoků na jednoho útočníka je v posledních dvou měsících situace prakticky totožná. Oproti listopadu se ale signifikantně zvýšil počet útočníků na jedno zařízení; z dat za poslední tři měsíce, tedy při porovnání posledních tří reportů, se dá vypozorovat, že jeden útočník se v průměru zaměří na 20 zařízení Turris.