Dne 19. října 2011 přijala vláda České republiky usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Na základě tohoto usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB) jako součást Národního bezpečnostního úřadu.
Úlohou NCKB je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. NCKB spolupracuje s národními CERT® a CSIRT týmy.
V rámci této spolupráce získal bezpečnostní tým CESNET-CERTS přístup k záznamům NCKB o bezpečnostních událostech v síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí autonomního systému CESNETu. K tomu slouží systém X4, který je v provozu od března 2014.
Prozatím máme přístup k těmto druhům hlášení:
Hlášení, která CESNET X4 rozesílá, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo = GMT.
Pokud je zaznamenáno max. 7 výskytů určitého incidentu (zde červ Conficker), vypisujeme všechny:
IPadd: 192.0.2.11 = pc11.example.cz Malware/Botnet: Conficker = 6* 2014-02-25_19:21:32 192.0.2.11 1821 -> 198.51.100.44 80 2014-02-25_19:21:38 192.0.2.11 1800 -> 198.51.100.44 80 2014-02-25_19:22:18 192.0.2.11 1811 -> 198.51.100.44 80 2014-02-25_19:23:18 192.0.2.11 1835 -> 198.51.100.99 80 2014-02-25_19:23:19 192.0.2.11 1855 -> 198.51.100.99 80 2014-02-25_19:24:39 192.0.2.11 1856 -> 198.51.100.99 80
Pokud je zaznamenáno více než 7 výskytů incidentu (zde B68-2-64, tj. Zeroaccess verse 2 po 64bitové MS Windows), vypisujeme jen první 3, počet vynechaných řádek a poslední 3 výskyty:
IPadd: 192.0.2.22 = pc22.example.cz Malware/Botnet: B68-2-64 = 136* 2014-02-26_13:53:57 192.0.2.22 62695 -> 198.51.100.55 16465 2014-02-26_13:54:39 192.0.2.22 62695 -> 198.51.100.55 16465 2014-02-26_13:55:29 192.0.2.22 62695 -> 203.0.113.166 16465 ... 130 lines skipped ... 2014-02-26_13:58:55 192.0.2.22 62695 -> 198.51.100.77 16465 2014-02-26_13:59:41 192.0.2.22 62695 -> 203.0.113.222 16465 2014-02-26_14:00:59 192.0.2.22 62695 -> 203.0.113.222 16465
Zde je ukázka záznamu komunikace DNS serveru týkající se opět botnetu B68-DNS (Zeroaccess). Nemusí znamenat, že je infikovaný stroj 192.0.2.33 = ns1.example.cz; infikován je spíše stroj ze sítě vlastní organisace, který užívá tohoto DNS serveru jako implicitního:
IPadd: 192.0.2.33 = ns1.example.cz Malware/Botnet: B68-DNS = 8* 2014-02-27_23:05:02 192.0.2.33 23921 -> 203.0.113.198 53 2014-02-27_23:05:02 192.0.2.33 16128 -> 203.0.113.199 53 2014-02-27_23:05:41 192.0.2.33 59843 -> 203.0.113.198 53 ... 2 lines skipped ... 2014-02-27_23:09:25 192.0.2.33 43677 -> 203.0.113.199 53 2014-02-27_23:09:26 192.0.2.33 47563 -> 203.0.113.198 53 2014-02-27_23:09:26 192.0.2.33 34381 -> 203.0.113.199 53
Vzhledem k tomu, že velká část hlášení typu B68-DNS (Zeroaccess) je zfalšována, systém X4 tato hlášení od 19.9.2014 ignoruje.
23.9.2014 nám dodalo NCKB definice dvou nových typů botnetů: B106 a Caphaw. Děkujeme.
9.3.2015 nám NCKB dodalo definici botnetu Ramnit. Děkujeme.
4.5.2015 nám NCKB dodalo definici botnetu Simda. Děkujeme.
CESNET-CERTS hodlá projekt X4 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu. CESNET X4 už nyní nabízí tyto možnosti:
11.12.2015 nám NCKB dodalo definici botnetu Dorkbot. Děkujeme.
Všechny zprávy, které systém CESNET X4 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.