Bezpečnostní tým CERT Polska, Computer Emergency Response Team Polska, pomáhá uživatelům polského Internetu zavádět proaktivní opatření k omezení rizik bezpečnostních incidentů i reagovat na zjištěné problémy, a řeší i incidenty vzniklé v polských sítích.
CERT Polska provozuje systém N6, Network Security Incident eXchange, který zpracovává informace o bezpečnostních incidentech v polských i zahraničních sítích a poskytuje je kvalifikovaným zájemcům. Bezpečnostní tým CESNET-CERTS získal přístup k informacím systému N6 o síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí jeho autonomního systému.
K tomu slouží systém CESNET N6, který je v provozu od července 2012.
N6 uvádí, že dokáže detekovat mnoho druhů bezpečnostních incidentů. CESNET-CERTS od něho zatím dostal 30 druhů hlášení o síti CESNET2:
Hlášení, která rozesílá CESNET N6, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo (u všech typů incidentů kromě 'b', 'G' a 'x') = GMT. Typ incidentu, o který se jedná, hlásí kód uvedený jako poslední znak na řádce takto:
Význam polí záznamu:
IP adresa infikovaného stroje | čas instalace botnetu | čas poslední komunikace s C&C | kód=a
Příklad:
192.0.2.4 | 2014-10-30_23:44:56 | 2014-10-31_08:12:50 | a
Význam polí záznamu:
Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port (protokol) | čas | počet útoků | kód=A
Příklad:
192.0.2.9 | 7123 -> 198.51.100.12 | 445 (TCP) 2013-04-04_17:26:55 | 63 | A
Význam polí záznamu:
Zdroj. IP adresa ↔ cílový stroj | RequestURI (verse metoda) čas | kód=b
Příklad:
192.0.2.19 -> hack.org | /image.php (HTTP/1.0 POST) 2012-12-10_07:32:59 | b
Pozn.: Časové pásmo incidentů typu b zatím není definováno.
Význam polí záznamu:
Zdroj. IP adresa | UDP zdroj. port | čas | kód=B
Příklad:
192.0.2.29 | 22255 | 2014-01-03_07:32:59 | B
Význam polí záznamu:
Zdroj. IP adresa ↔ cílový stroj | RequestURI (verse metoda) čas | kód=C
Příklad:
192.0.2.39 -> evil.org | /c/hluz.php (HTTP/1.1 POST) 2012-11-29_11:03:50 | C
Význam polí záznamů:
IP adresa zkompromitovaného stroje | čas | kód=d
Příklad:
192.0.2.44 | 2014-11-19_10:31:23 | d
Význam polí záznamu:
IP adresa bota → cílový stroj (trvání relace) anonymisované jméno bota | čas | kód=D
Příklad:
192.0.2.49 -> 198.51.100.23 (2:29:14) {CZ|W7u}inpvqeu!~inpvqeu@will.not.show.it | 2012-12-12_18:42:49 | D
Význam polí záznamu:
IP adresa zkompromitovaného stroje | čas | kód=e
Příklad:
192.0.2.59 | 2014-07-22_14:15:31 | e
Význam polí záznamu:
Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port | Typ malwaru | čas | kód=E
Příklad:
192.0.2.69 | 3213 -> 198.51.100.55 | 80 | botnet:virut | 2013-09-19_10:06:19 | E
Význam polí záznamu:
IP adresa otevřeného DNS resolveru | kód=F
Příklad:
192.0.2.79 | F Poznámka: Tento report neobsahuje informaci o čase.
Význam polí záznamu:
IP adresa infik.stroje | Port ↔ IP adresa C&C | Port | čas | kód=g
Příklad:
192.0.2.84 | 2973 <-> 198.51.100.68 | 7132 | 2014-09-04_16:42:56 | g
Význam polí záznamu:
Zdrojová IP adresa | Zdrojový port (protokol) | Typ události | čas | kód=G
Příklad:
192.0.2.88 | 9073 (UDP) | known on p2p network | 2013-11-07_17:41:37 | G 192.0.2.89 | 9073 (UDP) | direct communication | 2013-11-07_18:44:12 | G Pozn.: Časové pásmo incidentů typu G zatím není definováno.
Význam polí záznamů:
IP adresa serveru se zranitelným OpenSSL | čas | kód=H
Příklad:
192.0.2.99 | 2014-04-11_16:13:47 | H
Význam polí záznamů:
Zdroj. IP adresa | zdroj.port → cílový stroj | cíl.port | čas | kód=I
Zdroj. IP adresa | metoda host Request URI | kód = II
Příklad:
192.0.2.109 | 60741 -> 198.51.100.71 | 80 | 2013-08-08_21:01:05 | I 192.0.2.109 | POST infocyber.zz /citdl/newmixplfit/cfgp.php | II
Význam polí záznamu:
IP adresa infikovaného stroje | čas | kód=K
Příklad:
192.0.2.119 | 2014-01-06_15:32:27 | K
Význam polí záznamu:
IP adresa infikovaného stroje | URL | kód=M
Příklad:
192.0.2.129 | hXXp://www.example.net/index.php?text=1234 | M Poznámka: Tento report neobsahuje informaci o čase.
Význam polí záznamu:
IP adresa otevřeného NTP serveru | čas | kód=N
Příklad:
192.0.2.139 | 2014-02-19_11:28:39 | N
Význam polí záznamu:
IP adresa infikovaného stroje | botnet | čas | kód=n
Příklad:
192.0.2.134 | ramdo | 2014-12-05_13:31:06 | n 192.0.2.135 | rovnix_papras_ursnif_patriot | 2014-12-05_13:37:57 | n
Význam polí záznamu:
Zdroj. IP adresa (čas první detekce) čas poslední detekce | kód=o
Příklad:
192.0.2.149 (2013-08-18_12:51:31) 2013-11-14_17:59:42 | o
Význam polí záznamu:
IP adresa infikovaného stroje | čas | kód=O
Příklad:
192.0.2.159 | 2014-01-06_15:47:12 | O
Význam polí záznamu:
Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=P
Příklad:
192.0.2.169 | /?Ctrlfunc_qgyF (HTTP/1.1 POST) 2013-08-08_11:03:50 | P
Význam polí záznamů:
Zdroj. IP adresa | zdroj.port → cíl.stroj | cíl.port | čas | kód=R
Zdroj. IP adresa | Metoda Host RequestURI | kód = RR
Příklad:
192.0.2.179 | 1056 -> 198.51.100.71 | 80 | 2013-08-08_22:55:19 | R 192.0.2.179 | GET emigit.zz /9c6815ZcJl3an | RR
Význam polí záznamů:
IP adresa CMS | URL | název CMS | kód=s
Příklad:
192.0.2.189 | hXXp://g3.example.eu/wp-login.php:admin | Wordpress | S Poznámka: Tento report neobsahuje informaci o čase.
Význam polí záznamů:
IP adresa zkompromitovaného stroje | URL | kód=S
Příklad:
192.0.2.199 | hXXp://pc.example.zz/wp-content/themes/./cache/deadbeef.php | S Poznámka: Tento report neobsahuje informaci o čase.
Význam polí záznamů:
IP adresa zkompromitovaného stroje | čas | kód=t
Příklad:
192.0.2.204 | 2014-12-03_16:17:41 | t
Význam polí záznamu:
IP adresa zkompromitovaného stroje | Metoda | Cílová doména | čas | kód=T
Příklad:
192.0.2.209 | GET | zy37qwfad93.com | 2014-07-22_14:20:13 | T
Význam polí záznamu:
IP adresa zkompromitovaného stroje | Port | čas | kód=u
Příklad:
192.0.2.214 | 23 | 2014-10-31_12:50:27 | u Pozn.: Časové pásmo incidentů typu b = aktuální čas SEČ nebo SELČ.
Význam polí záznamu:
Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port | čas | kód=V
Příklad:
192.0.2.219 | 1883 -> 198.51.100.111 | 80 | 2013-01-21_22:40:08 | V
Význam polí záznamu:
Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=v
Příklad:
192.0.2.224 | /wp-admin/gate.php (HTTP/1.1 POST) 2014-07-24_12:30:21 | v
Význam polí záznamu:
IP adresa infikovaného stroje | kód=W
Příklad:
192.0.2.229 | W Poznámka: Tento report neobsahuje informaci o čase.
Význam polí záznamu:
IP adresa infikovaného stroje | kód=x
Příklad:
192.0.2.234 | x
Význam polí záznamu:
Zdrojová IP adresa | Zdrojový port (protokol) | čas | kód=z
Příklad:
192.0.2.239 | 26147 (UDP) 2012-07-16_07:09:37 | z
Význam polí záznamu:
Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=Z
Příklad:
192.0.2.249 | /dropfilms/data.php (HTTP/1.1 POST) 2013-10-22_18:59:21 | Z
CESNET-CERTS hodlá projekt N6 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu n6@cesnet.cz. Už nyní CESNET N6 nabízí tyto možnosti:
Všechny zprávy, které systém CESNET N6 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.