Časté dotazy

Obecné

Co je CERT tým? Co je CSIRT tým?

Computer Emergency Response Team, Computer Security Incident Response Team je organisace, která řeší bezpečnostní incidenty vzniklé v počítačových sítích, koordinuje jejich řešení a snaží se jim předcházet.

Kdo/co je CESNET-CERTS?

CESNET-CERTS je oficiální název bezpečnostního týmu sdružení CESNET, z.s.p.o. Základní informace jsou uvedeny zde.

Administrativní

Co je database RIPE? K čemu slouží?

Database RIPE obsahuje údaje o internetových sítích a jejich správcích v Evropě, na Blízkém Východě a v části Asie (bývalý SSSR). Umožňuje vyhledat údaje o tom, která organisace a kteří správci jsou zodpovědni za určité IP adresy. K tomu je určena služba whois.

Tato služba by například dokázala zjistit, že blok adres, do kterého patří IP adresa 195.113.144.230, na které běží hlavní webový server www.cesnet.cz sdružení CESNET, z. s. p. o., by v databasi RIPE mohl mít tento záznam: 

   inetnum:      195.113.144.128 - 195.113.144.255
   netname:      CESNET-BB4
   descr:        CESNET, z.s.p.o.
   descr:        Prague 6
   country:      CZ
   admin-c:      XY1234-RIPE
   tech-c:       XY1234-RIPE
   status:       ASSIGNED PA
   mnt-by:       TENCZ-MNT
   mnt-lower:    TENCZ-MNT
   remarks:      Please report network abuse -> abuse@cesnet.cz
   source:       RIPE # Filtered

   person:       Xaver Ypsilon
   address:      CESNET, z.s.p.o.
   address:      Zikova 4
   address:      Praha 6
   address:      160 00
   address:      The Czech Republic
   phone:        +420 224351111
   fax-no:       +420 224359999
   abuse-mailbox:abuse@cesnet.cz
   nic-hdl:      XY1234-RIPE
   source:       RIPE # Filtered

   % Information related to '195.113.0.0/16AS2852'

   route:        195.113.0.0/16
   descr:        CESNET2
   origin:       AS2852
   mnt-by:       AS2852-MNT
   remarks:      Please report abuse -> abuse@cesnet.cz
   source:       RIPE # Filtered

Údaje v RIPE DB jsou veřejně přístupné, ale bez souhlasu RIPE NCC se smějí používat jen pro zajištění internetového provozu. Nesmějí se používat např. pro rozesílání hromadné nevyžádané komerční pošty. Vytěžování osobních údajů je chráněno limitem.

Jak zjistím, kdo je zodpovědný za konkrétní IP adresu?

Kromě přímeho dotazu RIPE databáze je možné také použít widget Abuse contact finder.

Jak mohu změnit kontaktní údaje o správcích sí tě v databasi RIPE?

Pokud potřebujete k existující síti přidat nebo změnit nového správce nebo změnit kontaktní údaje, napište laskavě CESNET NICu na adresu nic@ces.net; jeho pracovníci to rádi udělají.

Informace o provedené změně se automaticky pošle na adresu uvedenou v řádce notify: a zaznamená se v logu RIPE DB.

Jak zjistím, kdo je zodpovědný za konkrétní doménu?

Většina registrátorů domén nejvyšší úrovně (TLD) provozuje službu whois, která umožňuje vyhledávat údaje o registrovaných doménách v jejich TLD. Tato služba bývá dostupná na webových stránkách registrátorů TLD i prostřednictvím protokolu whois.

Informace o doméně v TLD .cz je možné vyhledat:

Jak zjistím informace o obecné doméně nebo o obecném rozsahu IP adres?

Existují webové stránky nebo programy, které dotaz na obecnou doménu nebo adresový rozsah samy inteligentně přesměrují na vhodný whois server a zobrazí jeho odpověď - např.

Podobně fungují i někteří klienti protokolu WHOIS. V systémech Un*x to jsou např.

Program jwhois je k disposici i pro OS Microsoft Windows: * jwhois http://gnuwin32.sourceforge.net/packages/jwhois.htm

Příklady použití: 

$ whois 195.113.144.230
$ whois domena.cz 
$ whois google.com

K čemu je dobrá adresa "abuse@domena.tld"?

Každý rozsah IP adres (adresový blok) je spolu se základními údaji o organisaci, které byl rozsah přidělen, zanesen v databasi regionálního internetového registrátora (pro Evropu RIPE NCC). Kontaktní informace jsou v této databasi komukoliv k dispozici zejména pro účely hlášení síťových bezpečnostních incidentů. Jedním z důležitých údajů je adresa abuse@domena.tld, která slouží k hlášení bezpečnostních incidentů vzniklých v daném adresovém bloku. Například IP adresa 10.0.0.138 by mohla mít v databasi RIPE tento záznam: 

  inetnum:       10.0.0.0 - 10.0.0.255
   netname:       HOME-NETWORK
   descr:         Home Network
   country:       ZZ
   admin-c:       ME1-RIPE
   tech-c:        ME1-RIPE
   status:        ALLOCATED PI
   mnt-by:        I-MNT
   remarks:       Please report network abuse -> abuse@home.zz
   source:        RIPE # Filtered

   person:        Me Myself and I
   address:       Home Alone
   address:       No Street 123
   address:       No City
   address:       123 45
   address:       No Country
   phone:         +11 22 33445
   fax-no:        +11 22 33445
   abuse-mailbox: abuse@home.zz
   nic-hdl:       ME1-RIPE
   source:        RIPE # Filtered

Hlášení o incidentech, které vznikly na stroji s IP adresou z tohoto bloku, se tedy mají posílat na adresu abuse@home.zz. Více informací naleznete v technické zprávě Řešení bezpečnostních incidentů.

V databasi CZ.NICu u domény ".....cz" mám kontaktní údaje s identifikátorem "XY1234-RIPE", ale v databasi RIPE tento identifikátor odkazuje na někoho jiného. Proč?

RIPE DB původně spravovala nejen údaje o internetových sítích, ale i o doménách nejvyšší úrovně evropských zemí; tento stav ale byl dlouhodobě neudržitelný a národní domény začali samostatně spravovat registrátoři v jednotlivých evropských zemích. Takto vzniklá database CZ.NICu převzala z RIPE DB registrační údaje o správcích domén „.cz“ beze změny jejich identifikátorů. Údaje o doménách „.cz“ i o jejich správcích (pokud tito správci nefigurovali i v záznamech sítí) pak byly v RIPE DB vymazány a uvolněné identifikátory správců domén „.cz“ dostali noví správci sítí. Stejné identifikátory osob v DB CZ.NICu a v RIPE DB tedy v mnoha případech označují odlišné osoby.

Proč ve výpisu z database RIPE obvykle chybí některé údaje?

Database RIPE implicitně zobrazuje jen ty adresy elektronické pošty, které jsou nezbytné k hlášení bezpečnostních incidentů. Nejdůležitější je nově zavedený údaj abuse-mailbox:; pokud v záznamu neexistuje, zobrazí se místo něho údaj e-mail:. Výpis řádek s dalšími adresami elektronické pošty, které mají jiný účel a které by mohly uživatele mást, je implicitně potlačen. Upozorňuje na to např. komentář # Filtered na poslední řádce každého záznamu: 

  inetnum:       10.0.0.0 - 10.0.0.255
   netname:       HOME-NETWORK
   descr:         Home Network
   country:       ZZ
   admin-c:       ME1-RIPE
   tech-c:        ME1-RIPE
   status:        ALLOCATED PI
   mnt-by:        I-MNT
   remarks:       Please report network abuse -> abuse@home.zz
   source:        RIPE # Filtered

   person:        Me Myself and I
   address:       Home Alone
   address:       No Street 123
   address:       No City
   address:       123 45
   address:       No Country
   phone:         +11 22 33445
   fax-no:        +11 22 33445
   abuse-mailbox: abuse@home.zz
   nic-hdl:       ME1-RIPE
   source:        RIPE # Filtered

Pokud skutečně potřebujeme zobrazit úplné údaje včetně např. řádek notify: (adresa, kam má RIPE DB automaticky ohlásit každou změnu záznamu) a changed: (kdo a kdy tento údaj změnil), uvedeme v příkazové řádce WHOISu parametr „-B“. Výsledkem pak bude: 

 inetnum:       10.0.0.0 - 10.0.0.255
   netname:       HOME-NETWORK
   descr:         Home Network
   country:       ZZ
   admin-c:       ME1-RIPE
   tech-c:        ME1-RIPE
   status:        ALLOCATED PI
   mnt-by:        I-MNT
   remarks:       Please report network abuse -> abuse@home.zz
   changed:       Me.Myself@home.zz 20070521
   source:        RIPE

   person:        Me Myself and I
   address:       Home Alone
   address:       No Street 123
   address:       No City
   address:       123 45
   address:       No Country
   phone:         +11 22 33445
   fax-no:        +11 22 33445
   e-mail:        Me.Myself@home.zz
   abuse-mailbox: abuse@home.zz
   nic-hdl:       ME1-RIPE
   notify:        notify@home.zz
   changed:       Me.Myself@home.zz 20070521
   source:        RIPE

Tento tvar se hodí např. k opravám nebo mazání záznamů v RIPE DB. Uživatele, kteří přesný význam každé řádky RIPE DB neznají, by ale mohl svádět k tomu, aby své stížnosti odeslali i na zcela nevhodné adresy. Bližší informace obsahuje tento dokument.

Technické

Co je bezpečnostní incident ve světě počítačů?

Je to každé zneužití počítače, síťového prvku nebo sítě k nezákonnému účelu. Nejčastější příklady:

  • Rozesílání hromadné nevyžádané komerční pošty (spam)
  • Ovládnutí cizího stroje prostřednictvím počítačového viru, chyby v programovém vybavení apod.
  • Znemožnění řádného provozu stroje nebo sítě (útoky Denial of Service, Distributed Denial of Service)
  • Odposlech utajovaných dat (zjištění hesel, údajů o bankovních účtech apod.)
  • Porušování autorských práv (hudební skladby, filmy, programy atd.)
  • Phishing (rhybaření): rozesílání zfalšovaných dopisů, které se snaží adresáta přimět, aby nějakým způsobem sdělil své tajné údaje (přístupové kódy, bankovní údaje) nepovolaným osobám.
  • Pharming: Klient je nepozorovaně přesměrován z legitimního serveru na server, který ovládají počítačoví zločinci. Ti pak mohou zjistit např. jeho přístupové kódy k bankovnímu účtu.

Jak zjistím, že na mém počítači došlo k bezpečnostnímu problému?

Počítač se chová podezřele:

  • Reaguje pomalu
  • Disk je dlouho aktivní bez zjevného důvodu
  • Programy končí s neočekávanými výsledky nebo chybami
  • Webový prohlížeč bezdůvodně změnil domovskou stránku, často se sám připojuje na stránky s podezřelým obsahem
  • Antivirový nabo antispywarový program hlásí výskyt chyby.

Ale počítač může také být dlouho zkompromitován a uživatel se o tom vůbec nemusí dozvědět.

V rámci prevence doporučujeme přečíst technickou zprávu CESNETu Bezpečnostní incidenty a jejich předcházení.

Co dělat při zjištění bezpečnostního incidentu na počítači, který sám spravuji?

Odpojit stroj od sítě. Na počítači spustit jeden nebo raději několik aktuálních a spolehlivých antivirových a antispywarových programů z důvěryhodného zdroje a pokusit se najít/odstranit původce incidentu (virus, spyware). Pokud problém trvá, možná bude třeba přeinstalovat celý systém z původních distribučních medií (CD-ROM).

Sledovat síťový provoz z/do počítače, např. v součinnosti se správcem sítě. Je-li to možné, prozkoumat záznamy o datovém provozu z nedávné doby, archivovat disky počítače k pozdějšímu zkoumání.

Poučit se z chyby: nepřipojovat se k podezřelým WWW stránkám, neotevírat soubory s atraktivními názvy z nedůvěryhodných zdrojů (WWW servery, elektronická pošta), průběžně aktualisovat programové vybavení i operační systém.

Co dělat při zjištění bezpečnostního incidentu na počítači v síti na mém pracovišti nebo v jiné součásti CESNETu?

Informovat správce podezřelého stroje, počítačové učebny, abuse tým sítě nebo CESNET-CERTS.

Co dělat při zjištění bezpečnostního incidentu na počítači v cizí síti (mimo CESNET)?

Informovat abuse tým sítě nebo CESNET-CERTS.

Jak mám ohlásit zjištěný bezpečnostní incident?

Za normálních okolností elektronickou poštou; v urgentním případě telefonicky. Hlášení bezpečnostního incidentu musí obsahovat:

  • Datum zjištění bezpečnostního incidentu včetně časové zóny.
  • Datum a čas vzniku bezpečnostního incidentu včetně časové zóny.
  • Identifikaci zdroje incidentu (IP adresa, doménová adresa).
  • Popis incidentu, jakýkoli důkazní materiál (log, soubor).
  • Základní kontaktní informace - jméno reportujícího, jméno organisace, platnou e-mail adresu.

Podrobné informace najdete zde.

Proč se hlášení o bezpečnostních incidentech někdy posílají na nadřazenou abuse adresu, např. abuse adresu celého autonomního systému, a neposílají se správcům koncové sítě?

  • Předpokládá se, že adresy, které uvádí nadřazený správce, jsou spolehlivější než adresy koncových uživatelů.
  • Pokud je koncová síť v majetku profesionálních spammerů, hackerů nebo neschopných uživatelů, stížnosti tam pravděpodobně nikdo nevyřídí - spíše začne autorům stížnosti chodit další spam. Odeslání stížnosti správcům autonomního systému by mělo být účinnější.