10 CESNET CSIRT
Základem preventivní a aktivní ochrany počítačů a počítačových sítí je důsledné a efektivní řešení bezpečnostních incidentů včetně odstraňování jejich příčin a následků.
Problematiku bezpečnostních incidentů řeší obecně tzv. CSIRT týmy – Computer Security Incident Response Team (případně CERT – Computer Emergecy Response Team). Existence alespoň jednoho oficiálního CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, metropolitní apod.). CSIRT dané sítě obecně představuje záchytný bod (point of trust), na který je možné se obrátit se zjištěným bezpečnostním problémem. CSIRT tým má k dispozici ověřené postupy a pravidla, které mu umožňují rychlou a efektivní reakci při řešení bezpečnostního incidentu a minimalizaci jeho následků.
Ve světě existují stovky CSIRT/CERT týmů a drtivá většina z nich vznikla a funguje v úzké spolupráci s nadnárodními organizacemi TERENA (Trans European Research and Education Networking Association) a FIRST (Forum for Incident Response and Security Teams). Prvním oficiálním CSIRT týmem v České republice se stal bezpečnostní tým CESNET-CERTS provozovaný sdružením CESNET. Tento tým operuje nad sítí národního výzkumu CESNET2.
10.1 Aktivity CESNET-CERTS
V roce 2010 se tým CESNET-CERTS rozrostl o jednoho nového pracovníka, čímž se počet členů zřejmě na delší dobu ustálil na osmi. Nábor dalších členů v příštím roce v plánu není.
Tým CESNET-CERTS pro uživatele sítě CESNET2 poskytuje služby a zabývá se vývojem následujících oblastí:
- příjem hlášení bezpečnostních incidentů vzniklých v síti CESNET2, jejich řešení a koordinace řešení, tzv. incident handling (dále jen IH),
- provoz a rozvoj IDS (Intrusion Detection System) a Audit systému,
- provoz a rozvoj systému CESNET SSERV,
- osvětová činnost – školení, prezentace, publikace,
- spolupráce s mezinárodní a domácí bezpečnostní komunitou,
- dílčí úkol grantu Kybernetické hrozby – CSIRT.CZ.
10.1.1 Incident Handling
Základem práce týmu CESNET-CERTS je příjem hlášení bezpečnostních incidentů, které mají původ v síti CESNET2, a koordinace jejich řešení. Hlášení bezpečnostních incidentů jsou zasílána buď přímo do koncových sítí (připojených do CESNET2), nebo na adresu abuse@cesnet.cz, což je hlavní kontaktní adresa pro tyto účely v síti CESNET2 (AS2852).
Na adresu abuse@cesnet.cz jsou hlášení posílána v situaci, kdy koncový správce nereaguje, reaguje nekorektně nebo problém neřeší, nebo v případě, kdy se jedná o závažný bezpečnostní incident, o kterém by měli být informováni správci AS. Člen týmu, který přijme takové hlášení (má v daný okamžik „službu“), toto hlášení vyhodnotí a přepošle k vyřízení koncovému správci. Tým CESNET-CERTS není informován o všech problémech (incidentech), které se v síti CESNET2 vyskytnou. Většina hlášení jde rovnou do koncových sítí.
Nicméně i z těch hlášení bezpečnostních incidentů, která se k CESNET-CERTS dostanou, je vidět, že se úspěšnost řešení bezpečnostních incidentů v síti CESNET2 rok od roku zlepšuje. Tento trend dokládá tabulka 10.1 zobrazující počet hlášení, které tým CESNET-CERTS v uplynulých letech přijal a jejich klasifikaci z hlediska koncového stavu.
| Stav | 2006 | 2007 | 2008 | 2009 | 2010 | Celkem |
|---|---|---|---|---|---|---|
| Vyřešeno | 49 | 205 | 215 | 820 | 925 | 2214 |
| Varování | 87 | 809 | 437 | 643 | 129 | 2105 |
| IDS | 32 | 192 | 98 | 397 | 322 | 1041 |
| Jsme informováni | 3 | 85 | 65 | 41 | 34 | 228 |
| Nevyřešeno | 2 | 12 | 26 | 72 | 11 | 123 |
| Předáno CSIRT.CZ | - | - | 7 | 8 | 33 | 48 |
| Neschopni vyřešit | - | - | - | 2 | 29 | 31 |
| Pozitivní změna | - | - | - | - | 5 | 5 |
| Celkem | 173 | 1303 | 848 | 1983 | 1488 | 5795 |
Tabulka 10.1. Statistika koncových stavů incidentů, 2006–2010
![[Obrázek]](img/Stat_CESNET-CERTS_2006-2010.png)
Obrázek 10.1. Statistika koncových stavů incidentů, 2006–2010
Ohlášený incident může skončit v jednom z následujících stavů:
- Vyřešeno:
- Kauza, kterou se podařilo úspěšně vyřešit. Problém byl odstraněn (je-li možné, tak ověřujeme), napraven a osoba zodpovědná za IP adresu/síť, která byla původcem incidentu, komunikovala.
- Nevyřešeno:
- Přes maximální snahu se incident nepodařilo vyřešit. To znamená, že osoba zodpovědná za IP adresu/síť, která je původcem incidentu, problém řešit nechce, odmítne, nemyslí si, že se jedná o problém, kterým by se měla zabývat, nebo nereaguje a nepomůže ani eskalace problému na nadřazené autority.
- Neschopni vyřešit:
- Incident se nepodařilo vyřešit, ačkoliv se osoba za danou IP adresu/síť zodpovědná snažila a komunikovala. Může k tomu dojít tehdy, když správa dané sítě nemá k dispozici záznamy z provozu sítě a služeb za dané období, nebo data není schopna spárovat apod.
- Pozitivní změna:
- Osoba zodpovědná za IP/síť, která byla původcem incidentu, nekomunikuje, ale problém zmizel. Od „vyřešeno“ se liší v tom, že nemůžeme vědět, zda byl problém správně vyřešen (např. správce mohl odstranit malware nebo phishingovou stránku, ale zranitelnost serveru možná stále trvá).
- Jsme informováni:
- Stížnost na incident jehož vyřešení nelze zkontrolovat (spam apod.), kde CESNET-CERTS dostává pouze kopii incidentu adresovaného na všechny správné a důležité adresy. Incident s malou mírou závažnosti. Stížnost nepřeposíláme a dále nesledujeme.
- Předáno CSIRT.CZ:
- Hlášení incidentu se netýká sítě CESNET2, ale jiné sítě provozované v České republice, a tudíž jej předáváme k řešení týmu CSIRT.CZ.
Stavy „neschopni vyřešit“ a „pozitivní změna“jsou speciálními stavy „nevyřešeno“. Zpočátku jsme klasifikovali pouze na „vyřešeno“ a „nevyřešeno“, ale ukázalo se, že někdy existují objektivní důvody, proč problém nemohl být prověřen a původce dohledán (incident není dostatečně popsán apod.). Pak je také nutné ocenit správce, který sice nebyl schopen problém dopátrat, ale alespoň komunikuje a podniká kroky, aby do budoucna došlo ke zlepšení. Zavedením „neschopni vyřešit“ jsme se rozhodli zohlednit snahu koncové sítě o řešení a ochotu komunikace s CESNET-CERTS. Zavedením stavu „pozitivní změna“ zohledňujeme stav, kdy hlášení buď dopadne na úrodnou půdu, byť nám adresát neodpoví, nebo problém alespoň zmizí (i když je zde riziko, že nemizí příčina, ale jen následek).
Chybějící reakce může mít několik důvodů – správce dostal o jednom problému několik hlášení z různých zdrojů, ale ač problém vyřešil, nebylo v jeho silách na všechny odpovědět (nebo to prostě nezvládl a něco vynechal), nebo hlášení putovalo přes několik dalších osob a postupně se poztrácely původní hlavičky apod.
Jemnější názvosloví a význam koncových stavů než pouhé „vyřešeno“ a „nevyřešeno“ nám umožňuje generovat přesnější statistiky a tím lépe sledovat trendy v oblasti bezpečnosti, chování správců sítí a míru úspěšnosti jejich úsilí.
Z tabulky je patrné, že procento incidentů, které se podaří uspokojivě vyřešit, každoročně roste. Věříme, že to je dáno zlepšující se kvalitou bezpečnostních týmů v připojených sítích a vysokou odborností jejích členů.
10.1.2 Služba SSERV
Tým CESNET-CERTS systematicky několik let provozuje a vyvíjí užitečné bezpečnostní nástroje a služby – systémy CESNET IDS a CESNET Audit. V roce 2010 jsme vyvinuli novou službu podobného charakteru – CESNET SSERV.
Jedná se o službu, která distribuuje informace o podezřelých (zavirovaných) strojích v síti CESNET příslušným administrátorům. Informace získáváme od projektu Shadowserver. Nadace Shadowserver je americká nezisková organizace složená z dobrovolníků. Sbírá, sleduje a generuje hlášení o zločinném softwaru, aktivitě botnetů a elektronických podvodech. Snaží se informovat o zkompromitovaných strojích, útocích a šíření virů a tím zlepšit bezpečnost Internetu.
Bezpečnostní tým CESNET-CERTS získal přístup k záznamům o síti CESNET2, které má k Shadowserver k dispozici, a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí jeho autonomního systému. K tomu slouží systém SSERV, který je v provozu od listopadu 2010.
Shadowserver uvádí, že dokáže detekovat mnoho druhů bezpečnostních incidentů. CESNET-CERTS od něho za několik týdnů provozu obdržel tyto 4 druhy hlášení o síti CESNET2:
- Command and Control Report:
- Hlášení o aktivních řídicích serverech botnetů za uplynulý týden. Obsahuje IP adresu a číslo TCP portu C&C serveru a název kanálu použitého pro řízení botnetu. Rozesílá se jednou týdně.
- Drone Report:
- Hlášení o infikovaných strojích, které se podařilo zjistit při monitorování provozu řídicích serverů IRC, botnetů HTTP nebo poštovních serverů distribuujících nevyžádanou poštu. U některých záznamů je uveden i typ infekce – např. název viru na infikovaném stroji. Rozesílá se každý den.
- Sinkhole HTTP Drone Report:
- Hlášení o strojích, které se připojily k HTTP serverům projektu Shadowserver zřízených na adresách, jichž měly používat zločinné domény. Takové stroje tedy buď jsou infikované, nebo patří bezpečnostním expertům. Rozesílá se každý den.
- Spam-URL Report:
- Hlášení o nevyžádané poště, kterou odeslal poštovní server nebo která obsahovala URL ze sítě CESNET2. Je možné, že URL je legitimní a že je spammer uvedl proto, aby zvýšil důvěryhodnost svého dopisu, ale je vhodné to prověřit. Rozesílá se každý den.
Hlášení, která rozesílá CESNET-CERTS, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. CESNET-CERTS hodlá projekt SSERV dále rozvíjet podle potřeb uživatelů. V současné době CESNET SSERV nabízí tyto možnosti – rozesílat jeden dopis se všemi incidenty z jedné sítě, rozesílat dílčí kopie, z nichž každá obsahuje incidenty týkající se jediné IP adresy, ignorovat jednotlivé IP adresy nebo ignorovat celé sítě (bloky).
Při spuštění služby CESNET SSERV do provozu jsme se setkali převážně s kladnými ohlasy ze strany správců. Někteří správci požádali o vyjmutí některých sítí, přesněji o nepřeposílání těchto zpráv, protože odebírají podobná data sami.
10.1.3 Osvětová činnost
Další oblastí, které věnujeme velkou pozornost, je osvěta uživatelů a správců počítačových sítí. V roce 2010 jsme se zaměřili na mladé uživatele, studenty vysokých škol a ve spolupráci s bezpečnostními týmy v členských sítích jsme pro ně zorganizovali tři semináře v rámci služby Školení pro studenty prvních ročníků Vysokých škol. Školení proběhla na Vysoké škole báňské v Ostravě, na Univerzitě Pardubice a na Masarykově univerzitě v Brně. První dvě akce dostaly název Světem Internetu bez nehod a průšvihů, poslední Víme o vás, víte vy, kdo o vás ví?
Z ohlasů od účastníků víme, že studenti oceňují především možnost popovídat si a zafilozofovat nejen o technických oblastech bezpečnosti, ale především o morálních, etických a legislativních aspektech provozu sítí a služeb – sledování provozu sítě, porušování autorských práv, licencovaném SW a pod.
10.1.4 Mezinárodní spolupráce
V květnu roku 2010 jsme byli organizací ENISA vyzváni k účasti na 1st Pan European Exercise –- cvičení, jehož cílem bylo otestovat schopnost evropské bezpečnostní infrastruktury spolupracovat a komunikovat při řešení vážného plošného ohrožení síťové infrastruktury. Zapojení účastníci (tzv. hráči) museli během této akce reagovat na simulované pokusy hackerů o vyřazení nejdůležitějších on-line služeb v několika členských státech EU. Simulace vycházely ze scénáře, kdy se ve všech zemích, které se projektu účastní, postupně ztrácí nebo výrazně omezuje internetové spojení s okolním světem, takže občané, podniky a veřejné instituce mají problémy s přístupem k základním on-line službám. Členské státy musely během cvičení spolupracovat, aby zabránily předstíranému zhroucení celé sítě. Pro hráče to znamenalo nalézt správný kontakt, navázat spolupráci a dohodnout se na možnostech řešení.
10.2 CSIRT.CZ
Sdružení CESNET se od roku 2007 účastní projektu Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky, který je financován Ministerstvem vnitra České republiky. V rámci tohoto grantu se CESNET podílí na řešení dílčího úkolu navrhnout a realizovat distribuovanou hierarchii pro systematické plošné řešení bezpečnostní problematiky prostřednictvím CSIRT týmů, jehož výsledkem bylo vytvoření a provoz modelového pracoviště CSIRT.CZ. Pilotní provoz pracoviště CSIRT.CZ byl spuštěn 3. dubna 2008 a jeho obsluhu zajišťují členové CESNET-CERTS.
Hlavním úkolem CSIRT.CZ je koordinace a pomoc při řešení bezpečnostních incidentů, které mají původ v sítích provozovaných v České republice a na jejichž oznámení správci dané sítě nereagují, nebo problém neřeší, nebo takovou osobu není možné dohledat apod. Obecně se ale z pohledu stěžovatele jedná o kombinaci „vážný a neřešený bezpečnostní incident“. V takovém případě vlastně CSIRT.CZ funguje jako „místo poslední záchrany“, na které je možné se obrátit se žádostí o pomoc.
V prostředí „českého“ Internetu jsou cíle CSIRT.CZ následující: kromě provozu „místa poslední záchrany“ v oblasti řešení bezpečnostních útoků, což je jádro každého týmu CSIRT/CERT, je cílem motivovat provozovatele velkých sítí (např. poskytovatele připojení, poskytovatele obsahu) a rizikových služeb (např. banky provozující elektronické bankovnictví) ke zřízení oficiálních týmů CSIRT/CERT a o spolupráci mezi nimi. CSIRT.CZ má ambici sloužit jako modelové řešení, zdroj know-how, zkušeností a platforma pro diskusi a spolupráci.
Tým CSIRT.CZ přijal od svého spuštění několik tisíc hlášení bezpečnostních incidentů (zpráv ve formě e-mailů), které měly původ v sítích provozovaných v ČR. Tato hlášení představovala více než 1300 bezpečnostních incidentů. Bezpečnostním incidentem myslíme jednu konkrétní událost, která nastala v sítích provozovaných v ČR, např.:
- jedna zveřejněná phishingová stránka,
- zavirovaný stroj (síť), který je zdrojem spamu,
- jeden stroj se zjevně narušenou bezpečností,
- jeden stroj, který je zdrojem DoS útoku, scanu apod.
Tato událost (bezpečnostní incident) se vždy vztahuje na jednu konkrétní IP adresu, v ojedinělých případech na síť menšího rozsahu, ve které se problém rozšířil na okolní počítače.
Tabulka 10.2 obsahuje statistiku bezpečnostních incidentů hlášených týmu CSIRT.CZ po jednotlivých letech provozu v období od 3. dubna 2008 do 15. prosince 2010. Z tabulky je vidět, že počet incidentů hlášených týmu CSIRT.CZ se rok od roku zvyšuje. Není to způsobeno pouze tím, že počet bezpečnostních incidentů se zvyšuje obecně, ale také tím, že CSIRT.CZ upevňuje svoji pozici, takže se na něj obrací stále větší množství poškozených uživatelů a sítí.
| Typ incidentu | 2008 | 2009 | 2010 | Celkem |
|---|---|---|---|---|
| Phishing | 65 | 220 | 206 | 491 |
| Virus | 0 | 121 | 178 | 299 |
| Malware | 53 | 96 | 42 | 191 |
| Spam | 47 | 28 | 101 | 176 |
| Trojan | 66 | 6 | 26 | 98 |
| Botnet | 0 | 3 | 46 | 49 |
| Probe | 0 | 3 | 14 | 17 |
| Portscan | 10 | 4 | 1 | 15 |
| Other | 1 | 5 | 8 | 14 |
| DOS | 1 | 5 | 2 | 8 |
| Crack | 1 | 0 | 4 | 5 |
| Copyright | 1 | 1 | ||
| Celkem | 244 | 491 | 629 | 1364 |
Tabulka 10.2. Typy bezpečnostních incidentů v roce 2008 a 2009
![[Obrázek]](img/Stat_CSIRT_CZ_2008-2010.png)
Obrázek 10.2. Typy bezpečnostních incidentů v roce 2008 a 2009
Z tabulky je vidět rozdíl mezi roky 2008 a 2009 a přibližný trend vývoje charakteru bezpečnostních incidentů hlášených CSIRT.CZ. I z takto krátkého období je vidět, že narůstá počet incidentů typu phishing a malware, což potvrzují i statistiky jiných světových CSIRT týmů. Problém phishingu je zkrátka na vzestupu a bude nějakou dobu trvat, než proti němu svět IT najde adekvátní a účinnou obranu. Podle zde uvedených dat by se mohlo jevit, že problém spammingu slábne, ale není tomu tak, rovněž se stále zhoršuje. Z hlediska statistiky CSIRT.CZ má spamming „zlepšující“ se tendenci pouze díky tomu, že vrcholovým CSIRT týmům se problémy tohoto typu příliš nehlásí.
10.2.1 Ukončení grantu
Téměř tři roky provozu modelového pracoviště CSIRT.CZ, které v České republice suplovalo dosud chybějící Národní CSIRT, ukazují, že pracoviště tohoto typu má v ČR smysl a bude pro ČR přínosem.
Je dobrou zprávou, že ačkoliv grant Kybernetické hrozby z hlediska bezpečnostních zájmů ČR k 31. prosinci 2010 končí, pracoviště CSIRT.CZ bude ve své činnosti pokračovat dál a to jako oficiální, vládou deklarovaný Národní CSIRT České republiky. K tomuto prohlášení pracoviště CSIRT.CZ za Národní CSIRT tým České republiky došlo v prosinci 2010 podpisem dokumentu Memorandum o Computer Security Incident Response Team České republiky mezi MV ČR a sdružením CZ.NIC (správce české národní domény). Sdružení CZ.NIC na pokyn MV ČR přebírá provoz pracoviště CSIRT.CZ k 1. lednu 2011.
Další rozvoj tohoto pracoviště je tedy v rukou nového provozovatele a my věříme, že jej bude rozvíjet tak, aby pracoviště bylo přínosem pro početné uživatele Internetu v ČR a doufáme, že v týmu CSIRT.CZ získá tým CESNET-CERTS dalšího kvalitního partnera pro spolupráci a výměnu informací.
předchozí
|
 obsah |
následující
|