====== Systém X4 sítě CESNET2 ======

Dne 19. října 2011 přijala vláda České republiky usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Na základě tohoto usnesení vzniklo [[http://www.govcert.cz/cs/|Národní centrum kybernetické bezpečnosti (NCKB)]] jako součást Národního bezpečnostního úřadu. 

Úlohou NCKB je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. NCKB spolupracuje s národními CERT® a CSIRT týmy.

V rámci této spolupráce získal bezpečnostní tým [[http://csirt.cesnet.cz/| CESNET-CERTS]] přístup k záznamům NCKB o bezpečnostních událostech v síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí autonomního systému CESNETu. K tomu slouží systém X4, který je v provozu od března 2014.

Prozatím máme přístup k těmto druhům hlášení:

  * {{cs:services:x4:Botnet_Simda.pdf|B46 = Botnet Simda}}
  * {{cs:services:x4:Botnet_Waledac.pdf|B49 = Botnet Waledac}}
  * {{cs:services:x4:Botnet_Citadel.pdf|B54 = Botnet Citadel}}
  * {{cs:services:x4:Botnet_Bamital.pdf|B58 = Botnet Bamital}}
  * {{cs:services:x4:Botnet_Zeroaccess.pdf|B68 = Botnet Zeroaccess}}
  * {{cs:services:x4:Botnet_Zbot.pdf|B71 = Botnet Zeus/Zbot}}
  * {{cs:services:x4:botnet_ramnit.pdf|B75 = Botnet Ramnit}}
  * {{cs:services:x4:Botnet_Kelihos.pdf|B79 = Botnet Kelihos}}
  * {{cs:services:x4:Botnet_Dorkbot.pdf|B85 = Botnet Dorkbot}}
  * {{cs:services:x4:Botnet_Caphaw.pdf|B93 = Botnet Caphaw}}
  * {{cs:services:x4:Botnet_B106.pdf|B106 = Botnet B106}}
  * {{cs:services:x4:Botnet_Rustock.pdf|B107 = Botnet Rustock}}
  * {{cs:services:x4:Botnet_GameoverZeus.pdf|B157 = Botnet Gameover Zeus}}
  * {{cs:services:x4:Botnet_Conficker.pdf|Červ Conficker}}

Hlášení, která CESNET X4 rozesílá, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo = GMT. 
==== Příklady hlášení: ====

Pokud je zaznamenáno max. 7 výskytů určitého incidentu (zde červ Conficker), vypisujeme všechny:

<code>
IPadd: 192.0.2.11 = pc11.example.cz 
Malware/Botnet: Conficker = 6* 
2014-02-25_19:21:32 192.0.2.11 1821 -> 198.51.100.44 80
2014-02-25_19:21:38 192.0.2.11 1800 -> 198.51.100.44 80
2014-02-25_19:22:18 192.0.2.11 1811 -> 198.51.100.44 80
2014-02-25_19:23:18 192.0.2.11 1835 -> 198.51.100.99 80
2014-02-25_19:23:19 192.0.2.11 1855 -> 198.51.100.99 80
2014-02-25_19:24:39 192.0.2.11 1856 -> 198.51.100.99 80
</code>

Pokud je zaznamenáno více než 7 výskytů incidentu (zde B68-2-64, tj. Zeroaccess verse 2 po 64bitové MS Windows), vypisujeme jen první 3, počet vynechaných řádek a poslední 3 výskyty:

<code>
IPadd: 192.0.2.22 = pc22.example.cz
Malware/Botnet: B68-2-64 = 136* 
2014-02-26_13:53:57 192.0.2.22 62695 -> 198.51.100.55 16465
2014-02-26_13:54:39 192.0.2.22 62695 -> 198.51.100.55 16465
2014-02-26_13:55:29 192.0.2.22 62695 -> 203.0.113.166 16465
 ... 130 lines skipped ...
2014-02-26_13:58:55 192.0.2.22 62695 -> 198.51.100.77 16465
2014-02-26_13:59:41 192.0.2.22 62695 -> 203.0.113.222 16465
2014-02-26_14:00:59 192.0.2.22 62695 -> 203.0.113.222 16465
</code>

Zde je ukázka záznamu komunikace DNS serveru týkající se opět botnetu B68-DNS (Zeroaccess). Nemusí znamenat, že je infikovaný stroj 192.0.2.33 = ns1.example.cz; infikován je spíše stroj ze sítě vlastní organisace, který užívá tohoto DNS serveru jako implicitního:

<code>
IPadd: 192.0.2.33 = ns1.example.cz 
Malware/Botnet: B68-DNS = 8* 
2014-02-27_23:05:02 192.0.2.33 23921 -> 203.0.113.198 53
2014-02-27_23:05:02 192.0.2.33 16128 -> 203.0.113.199 53
2014-02-27_23:05:41 192.0.2.33 59843 -> 203.0.113.198 53
 ... 2 lines skipped ...
2014-02-27_23:09:25 192.0.2.33 43677 -> 203.0.113.199 53
2014-02-27_23:09:26 192.0.2.33 47563 -> 203.0.113.198 53
2014-02-27_23:09:26 192.0.2.33 34381 -> 203.0.113.199 53
</code>

----

Vzhledem k tomu, že velká část hlášení typu B68-DNS (Zeroaccess) je zfalšována, systém X4 tato hlášení od 19.9.2014 ignoruje.

----

23.9.2014 nám dodalo NCKB definice dvou nových typů botnetů: B106 a Caphaw. Děkujeme.  :-)

----

9.3.2015 nám NCKB dodalo definici botnetu Ramnit. Děkujeme.  :-)

----

4.5.2015 nám NCKB dodalo definici botnetu Simda. Děkujeme.  :-)
----

CESNET-CERTS hodlá projekt X4 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na [[x4@cesnet.cz|tuto adresu]]. CESNET X4 už nyní nabízí tyto možnosti:
  * posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
  * úplně ignorovat jednotlivé IP adresy
  * úplně ignorovat jednotlivé IP adresy 
  * úplně ignorovat celé sítě.

----

11.12.2015 nám NCKB dodalo definici botnetu Dorkbot. Děkujeme.  :-)
----

Všechny zprávy, které systém CESNET X4 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.