FAQ

  1. Obecné
    1. Co je CERT? Co je CSIRT?
    2. Jsou CSIRT týmy ve světě nějak organizovány?
    3. Co znamenají zkratky CSIRT, CERT, TF-CSIRT, TERENA a FIRST?
    4. Jaký je rozdíl mezi CSIRT a CSIRT.CZ?
    5. Bude CSIRT.CZ zveřejňovat nějaké informace o své činnosti?
    6. Jak je možno se spojit s CSIRT.CZ?
    7. Jakou formou bude CSIRT.CZ předávat potřebné informace?
    8. Jak je CSIRT.CZ financován?
  2. Technické
    1. Co je database RIPE? K čemu slouží?
    2. Jak zjistím, kdo je zodpovědný za konkrétní IP adresu?
    3. Jak zjistím, kdo je zodpovědný za konkrétní doménu?
    4. Jak zjistím informace o obecné doméně nebo o obecném rozsahu IP adres?
    5. K čemu je dobrá adresa "abuse@domena.tld"?
    6. Co je bezpečnostní incident ve světě počítačů?
    7. Jak zjistím, že na mém počítači došlo k bezpečnostnímu problému?
    8. Co dělat při zjištění bezpečnostního incidentu na počítači, který sám spravuji?
    9. Jak mám ohlásit zjištěný bezpečnostní incident?

Obecné

Co je CERT? Co je CSIRT?

CERT (Computer Emergency Response Team) a CSIRT (Computer Security Incident Response Team) jsou organizace, které řeší bezpečnostní incidenty vzniklé v počítačových sítích, koordinují jejich řešení a snaží se jim předcházet.

Jsou CSIRT týmy ve světě nějak organizovány?

Vzájemná informovanost, osobní vazby a důvěra jsou základní principy práce týmů CSIRT. V rámci Evropy je vhodnou a funkční platformou pro pravidelná setkávání zástupců týmů CERT/CSIRT pracovní skupina TF-CSIRT, jejíž vznik iniciovala a organizuje sdružení TERENA V celosvětovém měřítku funguje organizace FIRST.

Co znamenají zkratky CSIRT, CERT, TF-CSIRT, TERENA a FIRST?

Tyto zkratky reprezentují pracovní týmy, mezinárodní organizace nebo fóra. Mají tento význam:

CSIRT - Computer Security Incident Response Team

CERT - Computer Emergency Response Team (jedná se o chráněnou značku Carnegie-Melon University)

TF-CSIRT - mezinárodní fórum umožňující spolupráci týmů CSIRT na evropské úrovni. Dělí se na dvě skupiny – uzavřenou, která je přístupná pouze akreditovaným týmům, a otevřenou, která je přístupná všem zájemcům o práci týmů CSIRT. TF-CSIRT je jednou z aktivit mezinárodní organizace TERENA. Pracovní skupina TF-CSIRT se schází obvykle několikrát ročně.

TERENA - Trans-European Research and Education Networking Association, evropská mezinárodní organizace podporující aktivity v oblasti internetu, infrastruktur a služeb v rámci akademické komunity.

FIRST - Forum of Incident Response and Security Teams, světové forum týmů CSIRT.

Jaký je rozdíl mezi CSIRT a CSIRT.CZ?

CSIRT (Computer Security Emergency Response Team) je obecný termín pro označení týmu, který se v rámci svého pole působnosti zabývá bezpečnostními inicidenty - reakcí na ně (RESPONSE), jejich řešením a koordinací jejich řešení.

CSIRT.CZ je jméno Národního CSIRT týmu České Republiky. CSIRT.CZ je týmem, jehož polem působnosti je celá Česká Republika, tzn. všechny sítě provozované v ČR. Více si o způsobu fungování a cílích CSIRT.CZ můžete přečíst zde. CSIRT.CZ je komponentou rozsáhlejšího programu budování distribuované hierarchie pracovišť typu CSIRT v České republice. Jednotlivé týmy CSIRT v tomto programu pracují nezávisle na CSIRT.CZ. CSIRT.CZ přitom poskytuje nezbytné know-how pro budování nových týmů CSIRT a umožňuje efektivnější spolupráci existujících týmů. Zároveň CSIRT.CZ slouží jako místo „poslední záchrany“ v případech, kdy napadená síť nedokáže kontaktovat správce sítě, která je zdrojem útoku, nebo kdy správa dané sítě na hlášení nereaguje.

Bude CSIRT.CZ zveřejňovat nějaké informace o své činnosti?

Veškeré informace o činnosti CSIRT.CZ budou uveřejňovány na internetových stránkách www.csirt.cz. Plánujeme zveřejňovat vhodným způsobem základní informace o nejzajímavějších kauzách, které agendou CSIRT.CZ projdou, jako například nejčastější nebo v daném období nejzávažnější útoky.

Jak je možno se spojit s CSIRT.CZ?

Veškeré kontaktní údaje CSIRT.CZ jsou zveřejněny na stránkách www.csirt.cz. Spojení a spolupráce s CSIRT.CZ ve věcech internetového útoku však vyžaduje jistý stupeň profesionální komunikace a znalostí, tudíž je určeno pro ostatní týmy CSIRT jako poslední instance v řešení incidentu, nikoliv jako „help-line“ pro běžného uživatele. Ten by měl využívat služeb správce své firemní/školní sítě nebo lokálního týmu CSIRT poskytovatele svého internetového připojení.

Jakou formou bude CSIRT.CZ předávat potřebné informace?

Základním motivem činnosti CSIRT.CZ je komunikace a předávání zkušeností z práce týmů CSIRT. CSIRT.CZ bude používat standardní formy činnosti, zejména semináře, setkání Pracovní skupiny CSIRT.CZ, školení členů CSIRT týmů, a to pomocí domácích i zahraničních lektorů s dlouholetými zkušenostmi.

Jak je CSIRT.CZ financován?

CSIRT.CZ je od 1. ledna 2011 provozován a financován sdružením CZ.NIC.

Technické

Co je database RIPE? K čemu slouží?

Database RIPE obsahuje údaje o internetových sítích a jejich správcích v Evropě, na Blízkém Východě a v části Asie (bývalý SSSR). Kromě toho dokáže zjistit údaje o doménách z TLD této oblasti; ty ale sama nespravuje - za ně jsou odpovědni správci domén nejvyšší úrovně, jako např. CZ.NIC v České republice.

RIPE DB je umožňuje vyhledat údaje o tom, která organizace a kteří správci jsou zodpovědní za určité IP adresy. K tomu je určena služba "whois".

Tato služba by například dokázala zjistit, že blok adres, do kterého patří IP adresa 195.113.144.230, na které běží hlavní webový server www.cesnet.cz sdružení CESNET, z. s. p. o., by v databasi RIPE mohl mít tento záznam:

inetnum:      195.113.144.128 - 195.113.144.255
netname:      CESNET-BB4
descr:        CESNET, z.s.p.o.
descr:        Prague 6
country:      CZ
admin-c:      XY1234-RIPE
tech-c:       XY1234-RIPE
status:       ASSIGNED PA
mnt-by:       TENCZ-MNT
mnt-lower:    TENCZ-MNT
remarks:      Please report network abuse -> abuse@cesnet.cz
source:       RIPE # Filtered

person:       Xaver Ypsilon
address:      CESNET, z.s.p.o.
address:      Zikova 4
address:      Praha 6
address:      160 00
address:      The Czech Republic
phone:        +420 224351111
fax-no:       +420 224359999
abuse-mailbox:abuse@cesnet.cz
nic-hdl:      XY1234-RIPE
source:       RIPE # Filtered

% Information related to '195.113.0.0/16AS2852'

route:        195.113.0.0/16
descr:        CESNET2
origin:       AS2852
mnt-by:       AS2852-MNT
remarks:      Please report abuse -> abuse@cesnet.cz
source:       RIPE # Filtered

Údaje v RIPE DB jsou veřejně přístupné, ale bez souhlasu RIPE NCC se smějí používat jen pro zajištění internetového provozu. Nesmějí se používat např. pro rozesílání hromadné nevyžádané komerční pošty.

Jak zjistím, kdo je zodpovědný za konkrétní IP adresu?

Základním zdrojem informací o alokacích IP adres jsou database regionálních internetových registrů, kteří přidělují IP rozsahy lokálním internetovým registrům. Regionálních internetových registrů je v současnosti pět - ARIN, AfriNIC, LACNIC, RIPE NCC a APNIC.

RIRs.jpg

Zdroj: RIPE NCC Annual Report 2006

Informace o každém alokovaném rozsahu IP adres spolu se základními údaji o organisaci, které byly adresy přiděleny, jsou zaneseny do database jednoho z výše uvedených registrů. Každá organisace je povinna své kontaktní údaje průběžně udržovat.

Všechny tyto database IP adres jsou veřejně přístupné. Regionální internetové registry i mnohé registry domén nejvyšší úrovně provozují službu, která umožňuje prohledávat údaje o přidělených IP rozsazích, případně i doménách.

Jak zjistím, kdo je zodpovědný za konkrétní doménu?

Většina registrů domén nejvyšší úrovně (TLD) provozuje službu WHOIS, která umožňuje vyhledávat údaje o registrovaných doménách v jejich TLD. Tato služba bývá dostupná na WWW stránkách registrů TLD i prostřednictvím protokolu WHOIS.

Informace o doméně v TLD ".cz" je možné vyhledat:

  • na WWW stránkách sdružení CZ.NIC
  • pomocí klienta WHOIS: $ whois -h whois.nic.cz domena.cz

Jak zjistím informace o obecné doméně nebo o obecném rozsahu IP adres?

Existují webové stránky nebo programy, které dotaz na obecnou doménu nebo adresový rozsah samy inteligentně přesměrují na vhodný WHOIS server a zobrazí jeho odpověď - např.

Podobně fungují i někteří klienti protokolu WHOIS. V systémech Un*x to jsou např.

Program jwhois je k disposici i pro OS Microsoft Windows:

Příklady použití:

$ whois 195.113.144.230
$ whois domena.cz
$ whois google.com

K čemu je dobrá adresa "abuse@domena.tld"?

Každý rozsah IP adres (adresový blok) je spolu se základními údaji o organisaci, které byl rozsah přidělen, zanesen v databasi regionálního internetového registru (pro Evropu RIPE NCC). Jedním z nejdůležitějších údajů je adresa abuse@domena.tld, která slouží k hlášení bezpečnostních incidentů vzniklých v daném adresovém bloku. Například IP adresa 10.0.0.138 by mohla mít v databasi RIPE tento záznam:

inetnum:       10.0.0.0 - 10.0.0.255
netname:       HOME-NETWORK
descr:         Home Network
country:       ZZ
admin-c:       ME1-RIPE
tech-c:        ME1-RIPE
status:        ALLOCATED PI
mnt-by:        I-MNT
remarks:       Please report network abuse -> abuse@home.zz
source:        RIPE # Filtered

person:        Me Myself and I
address:       Home Alone
address:       No Street 123
address:       No City
address:       123 45
address:       No Country
phone:         +11 22 33445
fax-no:        +11 22 33445
abuse-mailbox: abuse@home.zz
nic-hdl:       ME1-RIPE
source:        RIPE # Filtered

Hlášení o incidentech, které vznikly na stroji s IP adresou z tohoto bloku, se tedy mají posílat na adresu "abuse@domena.tld".

Pokud v záznamech database neexistuje odkaz na adresu "abuse@domena.tld", pošleme hlášení na adresy jednotlivých administrativních a technických správců. Pokud známe doménovou adresu podezřelého stroje (např. pokud adrese 10.0.0.138 odpovídá doménová adresa www.my-home.tld), pošleme stížnost také na adresu "abuse@my-home.tld".

Co je bezpečnostní incident ve světě počítačů?

Je to každé zneužití počítače, síťového prvku nebo sítě k nezákonnému účelu. Nejčastější příklady:

  • Rozesílání hromadné nevyžádané komerční pošty (spam)
  • Ovládnutí cizího stroje prostřednictvím počítačového viru, chyby v programovém vybavení, trojského koně apod.
  • Znemožnění řádného provozu stroje nebo sítě (útoky Denial of Service, Distributed Denial of Service)
  • Odposlech utajovaných dat (zjištění hesel, údajů o bankovních účtech apod.)
  • Porušování autorských práv (hudební skladby, filmy, programy atd.)
  • Phishing (rhybaření): rozesílání zfalšovaných dopisů, které se snaží adresáta přimět, aby nějakým způsobem sdělil své tajné údaje (přístupové kódy, bankovní údaje) nepovolaným osobám.
  • Pharming: Klient je nepozorovaně přesměrován z legitimního serveru na server, který ovládají počítačoví zločinci. Ti pak mohou zjistit např. jeho přístupové kódy k bankovnímu účtu.

Jak zjistím, že na mém počítači došlo k bezpečnostnímu problému?

Počítač se obvykle chová podezřele:

  • Reaguje pomalu
  • Disk je dlouho aktivní bez zjevného důvodu
  • Programy končí s neočekávanými výsledky nebo chybami
  • Webový prohlížeč bezdůvodně změnil domovskou stránku, často se sám připojuje na stránky s podezřelým obsahem
  • Antivirový nebo antispywarový program hlásí výskyt chyby.

Ale počítač může také být dlouho zkompromitován (např. programem pro zachycování hesel) a uživatel se o tom vůbec nemusí dozvědět.

Co dělat při zjištění bezpečnostního incidentu na počítači, který sám spravuji?

Odpojit stroj od sítě (ethernetový kabel, vypnout Wi-Fi kartu).

Na počítači spustit jeden nebo raději několik aktuálních a spolehlivých antivirových a antispywarových programů z důvěryhodného zdroje a pokusit se najít/odstranit původce incidentu (virus, spyware). Pokud problém trvá, možná bude třeba přeinstalovat celý systém z původních distribučních medií (CD-ROM).

Sledovat síťový provoz z/do počítače, např. v součinnosti se správcem sítě. Je-li to možné, prozkoumat záznamy o datovém provozu z nedávné doby, archivovat disky počítače k pozdějšímu zkoumání.

Poučit se z chyby:

  • nepřipojovat se k podezřelým WWW stránkám,
  • neotevírat soubory s atraktivními názvy z nedůvěryhodných zdrojů (WWW servery, elektronická pošta),
  • průběžně aktualisovat programové vybavení, antivirus/antispyware i operační systém,
  • zkontrolovat funkčnost firewallu (nebo ho nainstalovat).

Jak mám ohlásit zjištěný bezpečnostní incident?
Pokyny pro koncové uživatele

Pokud se váš počítač začal divně chovat a vy se domníváte, že jde o bezpečnostní incident, řiďte se laskavě podle pokynů v předešlém bodě nebo se obraťte s prosbou o pomoc na správce své sítě, na personál obchodu s počítači, na svého poskytovatele internetových služeb apod. Prosíme, nekontaktujte CSIRT.CZ!

Pokyny pro správce sítí

Pokud se vaše síť stala terčem síťového útoku a pokud si nejste jisti, že dokážete správně určit zdrojovou síť, z níž útoky vycházejí, obraťte se laskavě s prosbou o pomoc na své zkušenější kolegy, na správce nadřazené sítě, na svého poskytovatele internetových služeb apod., který by měl incident vyřídit za vás.

Pokud se vaše síť stala terčem útoku a pokud si jste jisti, že umíte správně určit kontaktní adresy osob zodpovědných za síť, z níž útoky vycházejí, pošlete jim laskavě svou stížnost co nejrychleji elektronickou poštou. Čím dříve se Vaše hlášení dostane do rukou zodpovědných osob, tím menší celkové škody mohou vzniknout.

Pokud jste svou stížnost na takový bezpečnostní incident už poslali, ale několik dní nepřišla žádná rozumná reakce a útoky stále trvají, můžete poslat svou původní stížnost spolu s doprovodným dopisem na adresu CSIRT.CZ, který se pokusí tento bezpečnostní incident vyřídit za vás a o výsledcích vás bude informovat.