cs:faq

Table of Contents

Časté dotazy

Obecné

Co je CERT tým? Co je CSIRT tým?

Computer Emergency Response Team, Computer Security Incident Response Team je organisace, která řeší bezpečnostní incidenty vzniklé v počítačových sítích, koordinuje jejich řešení a snaží se jim předcházet.

Kdo/co je CESNET-CERTS?

CESNET-CERTS je oficiální název bezpečnostního týmu sdružení CESNET, z.s.p.o. Základní informace jsou uvedeny zde.

Legislativní

Co jsou autorská práva?

Úplné informace obsahuje zákon č. 121/2000 Sb – autorský zákon.

Autorská práva se vztahují na:

  • Díla literární a jiná umělecká (hudební, výtvarná, audiovisuální, výtvarná, fotografická, …) a díla vědecká.
  • Počítačové programy, databáse.

Autor díla má právo udělit dalším osobám oprávnění k:

  • Rozmnožování díla,
  • Rozšiřování, pronájem, půjčování, vystavování originálu nebo rozmnoženiny díla.
  • Šíření díla (elektronickými prostředky, rozhlasem, TV, …)

Majetková práva autora trvají po dobu autorova života a 70 let po jeho smrti. U děl anonymních a pseudonymních autorů jen 70 let od oprávněného zveřejnění díla. Dílo lze volně (bez nutnosti žádat autora o svolení) užívat např. v těchto případech:

  • Užití PRO OSOBNÍ POTŘEBU; nesmí ale jít o kopii počítačového programu nebo databáse. Tuto kopii nelze použít k jinému účelu, tedy např. ji půjčovat nebo dále šířit (např. v sítích P2P);
  • Citáty z díla (ve vědecké práci, v přednášce apod.); je nutné uvést autora a název díla.
  • V knihovnách, archivech apod. (to neplatí pro počítačové programy).

Autor, jehož práva byla neoprávněným použitím díla poškozena, se může mj. domáhat:

  • Odstranění následků: stažení díla z prodeje, zničení neoprávněných kopií.
  • Omluvy nebo zaplacení peněžitého zadostiučinění.
  • Případně vydání bezdůvodného obohacení - jeho výše činí dle autorského zákona dvojnásobek odměny, která by byla za získání licence obvyklá.

Vedle autorských práv existují tzv. práva související - jde o práva výkonného umělce (herce, zpěváka, hudebníka, tanečníka apod.), práva výrobce zvukového záznamu a výrobce zvukově obrazového záznamu (tj. záznamu audiovisuálního díla - např. DVD s filmem). Rozsah jejich práv je velmi podobný rozsahu práv autora, včetně možností užít výkon/záznam bez jejich souhlasu, odkazujeme proto na výše uvedený text.

UPOZORNĚNÍ: Přesné, podrobné a z hlediska práva závazné informace a podmínky lze nalézt vždy pouze v příslušném právním předpise. Údaje zde uvedené jsou pouze orientační a musely být za účelem publikace zjednodušeny a zestručněny. Při řešení konkrétního problému je proto třeba se vždy odkázat na příslušný právní předpis.

Jaká práva má oprávněný uživatel počítačového programu?

Viz § 66 zákona 121/2000 Sb.:

  • Kopírování, překlad, úpravy a jiné změny programu nezbytné k využití oprávněně nabyté rozmnoženiny programu a opravy chyb programu.
  • Zhotovení jedné kopie pro účely zálohování.
  • Reverse engineering nutný pro dosažení vzájemného funkčního propojení programu s dalšími programy (nesmí se použít pro komerci nebo pro vytvoření funkční kopie celého programu).

UPOZORNĚNÍ: Přesné, podrobné a z hlediska práva závazné informace a podmínky lze nalézt vždy pouze v příslušném právním předpise. Údaje zde uvedené jsou pouze orientační a musely být za účelem publikace zjednodušeny a zestručněny. Při řešení konkrétního problému je proto třeba se vždy odkázat na příslušný právní předpis.

Jaké jsou nejčastější příklady porušení autorských práv v prostředí počítačových sítí?

Jsou to:

  • Neoprávněné šíření kopií programů, audiovisuálních děl (hudby, filmů, obrázků, …) bez souhlasu autora nebo majitele práv.
  • Porušení licence programu (např. provozem programu na více počítačích, než kolik povoluje zakoupená licence.)
  • Prodejce počítačů nelegálně předinstaluje program nebo operační systém.

Autorská práva poruší i vývoj, výroba, komerční užití (…) něčeho, co má obejít systémy pro ochranu autorských práv nebo odstranit záznamy o autorských právech bez svolení autora.

UPOZORNĚNÍ: Přesné, podrobné a z hlediska práva závazné informace a podmínky lze nalézt vždy pouze v příslušném právním předpise. Údaje zde uvedené jsou pouze orientační a musely být za účelem publikace zjednodušeny a zestručněny. Při řešení konkrétního problému je proto třeba se vždy odkázat na příslušný právní předpis.

Co hrozí za porušení autorských práv?

§ 105a a § 105b autorského zákona uvádí:

§ 105a
Přestupky

(1) Fyzická osoba se dopustí přestupku tím, že
a) neoprávněně užije autorské dílo, umělecký výkon, zvukový či zvukově obrazový záznam, rozhlasové nebo televizní vysílání nebo databázi,
b) neoprávněně zasahuje do práva autorského způsobem uvedeným v § 43 odst. 1 nebo 2 anebo v § 44 odst. 1, nebo
c) jako obchodník, který se účastní prodeje originálu díla uměleckého, nesplní oznamovací povinnost podle § 24 odst. 6.

(2) Za přestupek podle odstavce 1 písm. a) lze uložit pokutu do 150 000 Kč, za přestupek podle odstavce 1 písm. b) pokutu do 100 000 Kč a za přestupek podle odstavce 1 písm. c) pokutu do 50 000 Kč.

§ 105b
Správní delikty právnických a podnikajících fyzických osob

(1) Právnická nebo podnikající fyzická osoba se dopustí správního deliktu tím, že
a) neoprávněně užije autorské dílo, umělecký výkon, zvukový či zvukově obrazový záznam, rozhlasové nebo televizní vysílání nebo databázi,
b) neoprávněně zasahuje do práva autorského způsobem uvedeným v § 43 odst. 1 nebo 2 anebo v § 44 odst. 1, nebo
c) jako obchodník, který se účastní prodeje originálu díla uměleckého, nesplní oznamovací povinnost podle § 24 odst. 6.

(2) Za správní delikt podle odstavce 1 písm. a) se uloží pokuta do 150 000 Kč, za správní delikt podle odstavce 1 písm. b) pokuta do 100 000 Kč a za správní delikt podle odstavce 1 písm. c) pokuta do 50 000 Kč.

Zákon 40/2009 Sb. – trestní zákoník uvádí:

§ 270
Porušování autorského práva, práv souvisejících s právem autorským a práv k databázi

(1) Kdo neoprávněně zasáhne nikoli nepatrně do zákonem chráněných práv k autorskému dílu, uměleckému výkonu, zvukovému či zvukově obrazovému záznamu, rozhlasovému nebo televiznímu vysílání nebo databázi, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.

(2) Odnětím svobody na šest měsíců až pět let, peněžitým trestem nebo propadnutím věci bude pachatel potrestán,
a) vykazuje-li čin uvedený v odstavci 1 znaky obchodní činnosti nebo jiného podnikání,
b) získá-li takovým činem pro sebe nebo pro jiného značný prospěch nebo způsobí-li tím jinému značnou škodu, nebo
c) dopustí-li se takového činu ve značném rozsahu.

(3) Odnětím svobody na tři léta až osm let bude pachatel potrestán,
a) získá-li činem uvedeným v odstavci 1 pro sebe nebo pro jiného prospěch velkého rozsahu nebo způsobí-li tím jinému škodu velkého rozsahu, nebo
b) dopustí-li se takového činu ve velkém rozsahu.

UPOZORNĚNÍ: Přesné, podrobné a z hlediska práva závazné informace a podmínky lze nalézt vždy pouze v příslušném právním předpise. Údaje zde uvedené jsou pouze orientační a musely být za účelem publikace zjednodušeny a zestručněny. Při řešení konkrétního problému je proto třeba se vždy odkázat na příslušný právní předpis.

Které údaje o provozu mají správci sítí uchovávat?

Povinnosti provozovatelů veřejných komunikačních sítí definuje § 97 zákona 127/2005 Sb. o elektronických komunikacích. CESNET2 sice není veřejná komunikační síť, ale právníci mu doporučují tento předpis respektovat a přiměřeně se jím řídit.

(3) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat po dobu 6 měsíců provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací. (…) Současně je tato právnická nebo fyzická osoba povinna zajistit, aby při plnění povinnosti podle věty první a druhé nebyl uchováván obsah zpráv a takto uchovávaný dále předáván. (…)

K zákonu přísluší prováděcí vyhláška 357/2012 Sb. „o uchovávání, předávání a likvidaci provozních a lokalizačních údajů“ ze dne 17. 10. 2012:

§ 2
Rozsah uchovávání provozních a lokalizačních údajů
(…)
(3) U sítí elektronických komunikací s přepojováním paketů se uchovávají tyto údaje

a) u služby přístupu k internetu z pevného připojení
1. typ připojení,
2. telefonní číslo nebo označení uživatele,
3. identifikátor uživatelského účtu,
4. adresa MAC zařízení uživatele služby,
5. datum a čas zahájení a ukončení připojení k internetu,
6. označení přístupového bodu u bezdrátového připojení k internetu,
7. adresa IP a číslo portu, ze kterých bylo připojení uskutečněno;

b) u služby přístupu k internetu z mobilního připojení
1. typ připojení,
2. telefonní číslo uživatele,
3. identifikátor mobilního zařízení,
4. datum a čas zahájení a ukončení připojení k internetu,
5. označení základnové stanice Start a základnové stanice Stop,
6. adresa IP a číslo portu, ze kterých bylo připojení uskutečněno;

c) u služby přístupu ke schránce elektronické pošty
1. adresa IP a číslo portu, ze kterých bylo připojení uskutečněno,
2. identifikátor uživatelského účtu,
3. datum a čas zahájení připojení ke schránce elektronické pošty,
4. datum a čas ukončení připojení ke schránce elektronické pošty,
5. identifikátor protokolu elektronické pošty;

d) u služby přenosu zpráv elektronické pošty
1. adresa IP a číslo portu zdroje a cíle přenášené zprávy,
2. datum a čas odeslání zprávy,
3. adresa elektronické pošty odesílatele,
4. adresy elektronické pošty příjemců,
5. stav přenosu zprávy,
6. identifikátor protokolu elektronické pošty;

e) u služby IP telefonie
1. adresa IP a číslo portu zdrojového zařízení,
2. adresa IP a číslo portu cílového zařízení,
3. transportní protokol,
4. datum a čas zahájení a ukončení komunikace,
5. doplňující údaje uvedené v odstavci 4, nejsou-li k dispozici údaje identifikující volajícího nebo volaného účastníka nebo některý z údajů podle odstavce 5;

f) u služby přístupu k internetu podle písmene a) nebo b) s překladem adres IP
1. privátní adresa IP,
2. veřejná adresa IP a číslo portu, nebo přidělený rozsah portů,
3. datum a čas zahájení překladu adres,
4. datum a čas ukončení překladu adres.

(…)
§ 4
Likvidace

Provozovatel po uplynutí doby uchování údajů stanovené zákonem o elektronických komunikacích údaje zlikviduje způsobem, který trvale znemožní jejich obnovení a který má stanoven ve svém vnitřním technicko-organizačním předpisu, jenž zpracoval na základě § 88a odst. 2 zákona o elektronických komunikacích.

Správcům sítě CESNET2 tedy doporučujeme dodržovat tyto zásady:

  • Nepodporovat anonymní užívání sítě.
  • Zajistit jednoznačnou autentisaci uživatelů.
  • Uchovávat logy o provozu sítě a serverů (pošta, web, …), o přihlášení uživatelů (počítačové učebny, WiFi sítě, …). Nezaznamenávat přenášená data, ale časové údaje, zdrojové a cílové IP adresy a porty, … - viz plné znění vyhlášky.

UPOZORNĚNÍ: Přesné, podrobné a z hlediska práva závazné informace a podmínky lze nalézt vždy pouze v příslušném právním předpise. Údaje zde uvedené jsou pouze orientační a musely být za účelem publikace zjednodušeny a zestručněny. Při řešení konkrétního problému je proto třeba se vždy odkázat na příslušný právní předpis.

Co přesně je `akademická svoboda'? Dává uživatelům sítě CESNET2 právo dělat, cokoli je napadne?

Pojem „akademické svobody“ je definován v zákoně 111/1998 Sb. o vysokých školách takto:

§ 4
Akademické svobody a akademická práva

Na vysoké škole se zaručují tyto akademické svobody a tato akademická práva:
a) svoboda vědy, výzkumu a umělecké tvorby a zveřejňování jejich výsledků,
b) svoboda výuky spočívající především v její otevřenosti různým vědeckým názorům, vědeckým a výzkumným metodám a uměleckým směrům,
c) právo učit se zahrnující svobodnou volbu zaměření studia v rámci studijních programů a svobodu vyjadřovat vlastní názory ve výuce,
d) právo členů akademické obce volit zastupitelské akademické orgány,
e) právo používat akademické insignie a konat akademické obřady.

Z uvedeného textu plyne, že akademické svobody neopravňují ke zneužívání sítě CESNET2.

UPOZORNĚNÍ: Přesné, podrobné a z hlediska práva závazné informace a podmínky lze nalézt vždy pouze v příslušném právním předpise. Údaje zde uvedené jsou pouze orientační a musely být za účelem publikace zjednodušeny a zestručněny. Při řešení konkrétního problému je proto třeba se vždy odkázat na příslušný právní předpis.

Administrativní

Co je database RIPE? K čemu slouží?

Database RIPE obsahuje údaje o internetových sítích a jejich správcích v Evropě, na Blízkém Východě a v části Asie (bývalý SSSR). Umožňuje vyhledat údaje o tom, která organisace a kteří správci jsou zodpovědni za určité IP adresy. K tomu je určena služba whois.

Tato služba by například dokázala zjistit, že blok adres, do kterého patří IP adresa 195.113.144.230, na které běží hlavní webový server www.cesnet.cz sdružení CESNET, z. s. p. o., by v databasi RIPE mohl mít tento záznam:

   inetnum:      195.113.144.128 - 195.113.144.255
   netname:      CESNET-BB4
   descr:        CESNET, z.s.p.o.
   descr:        Prague 6
   country:      CZ
   admin-c:      XY1234-RIPE
   tech-c:       XY1234-RIPE
   status:       ASSIGNED PA
   mnt-by:       TENCZ-MNT
   mnt-lower:    TENCZ-MNT
   remarks:      Please report network abuse -> abuse@cesnet.cz
   source:       RIPE # Filtered

   person:       Xaver Ypsilon
   address:      CESNET, z.s.p.o.
   address:      Zikova 4
   address:      Praha 6
   address:      160 00
   address:      The Czech Republic
   phone:        +420 224351111
   fax-no:       +420 224359999
   abuse-mailbox:abuse@cesnet.cz
   nic-hdl:      XY1234-RIPE
   source:       RIPE # Filtered

   % Information related to '195.113.0.0/16AS2852'

   route:        195.113.0.0/16
   descr:        CESNET2
   origin:       AS2852
   mnt-by:       AS2852-MNT
   remarks:      Please report abuse -> abuse@cesnet.cz
   source:       RIPE # Filtered

Údaje v RIPE DB jsou veřejně přístupné, ale bez souhlasu RIPE NCC se smějí používat jen pro zajištění internetového provozu. Nesmějí se používat např. pro rozesílání hromadné nevyžádané komerční pošty. Vytěžování osobních údajů je chráněno limitem.

Jak zjistím, kdo je zodpovědný za konkrétní IP adresu?

Kromě přímeho dotazu RIPE databáze je možné také použít widget Abuse contact finder.

Jak mohu změnit kontaktní údaje o správcích sí tě v databasi RIPE?

Pokud potřebujete k existující síti přidat nebo změnit nového správce nebo změnit kontaktní údaje, napište laskavě CESNET NICu na adresu nic@ces.net; jeho pracovníci to rádi udělají.

Informace o provedené změně se automaticky pošle na adresu uvedenou v řádce notify: a zaznamená se v logu RIPE DB.

Jak zjistím, kdo je zodpovědný za konkrétní doménu?

Většina registrátorů domén nejvyšší úrovně (TLD) provozuje službu whois, která umožňuje vyhledávat údaje o registrovaných doménách v jejich TLD. Tato služba bývá dostupná na webových stránkách registrátorů TLD i prostřednictvím protokolu whois.

Informace o doméně v TLD .cz je možné vyhledat:

Jak zjistím informace o obecné doméně nebo o obecném rozsahu IP adres?

Existují webové stránky nebo programy, které dotaz na obecnou doménu nebo adresový rozsah samy inteligentně přesměrují na vhodný whois server a zobrazí jeho odpověď - např.

Podobně fungují i někteří klienti protokolu WHOIS. V systémech Un*x to jsou např.

Program jwhois je k disposici i pro OS Microsoft Windows: * jwhois http://gnuwin32.sourceforge.net/packages/jwhois.htm

Příklady použití:

$ whois 195.113.144.230
$ whois domena.cz 
$ whois google.com 

K čemu je dobrá adresa "abuse@domena.tld"?

Každý rozsah IP adres (adresový blok) je spolu se základními údaji o organisaci, které byl rozsah přidělen, zanesen v databasi regionálního internetového registrátora (pro Evropu RIPE NCC). Kontaktní informace jsou v této databasi komukoliv k dispozici zejména pro účely hlášení síťových bezpečnostních incidentů. Jedním z důležitých údajů je adresa abuse@domena.tld, která slouží k hlášení bezpečnostních incidentů vzniklých v daném adresovém bloku. Například IP adresa 10.0.0.138 by mohla mít v databasi RIPE tento záznam:

  inetnum:       10.0.0.0 - 10.0.0.255
   netname:       HOME-NETWORK
   descr:         Home Network
   country:       ZZ
   admin-c:       ME1-RIPE
   tech-c:        ME1-RIPE
   status:        ALLOCATED PI
   mnt-by:        I-MNT
   remarks:       Please report network abuse -> abuse@home.zz
   source:        RIPE # Filtered

   person:        Me Myself and I
   address:       Home Alone
   address:       No Street 123
   address:       No City
   address:       123 45
   address:       No Country
   phone:         +11 22 33445
   fax-no:        +11 22 33445
   abuse-mailbox: abuse@home.zz
   nic-hdl:       ME1-RIPE
   source:        RIPE # Filtered

Hlášení o incidentech, které vznikly na stroji s IP adresou z tohoto bloku, se tedy mají posílat na adresu abuse@home.zz. Více informací naleznete v technické zprávě Řešení bezpečnostních incidentů.

V databasi CZ.NICu u domény ".....cz" mám kontaktní údaje s identifikátorem "XY1234-RIPE", ale v databasi RIPE tento identifikátor odkazuje na někoho jiného. Proč?

RIPE DB původně spravovala nejen údaje o internetových sítích, ale i o doménách nejvyšší úrovně evropských zemí; tento stav ale byl dlouhodobě neudržitelný a národní domény začali samostatně spravovat registrátoři v jednotlivých evropských zemích. Takto vzniklá database CZ.NICu převzala z RIPE DB registrační údaje o správcích domén „.cz“ beze změny jejich identifikátorů. Údaje o doménách „.cz“ i o jejich správcích (pokud tito správci nefigurovali i v záznamech sítí) pak byly v RIPE DB vymazány a uvolněné identifikátory správců domén „.cz“ dostali noví správci sítí. Stejné identifikátory osob v DB CZ.NICu a v RIPE DB tedy v mnoha případech označují odlišné osoby.

Proč ve výpisu z database RIPE obvykle chybí některé údaje?

Database RIPE implicitně zobrazuje jen ty adresy elektronické pošty, které jsou nezbytné k hlášení bezpečnostních incidentů. Nejdůležitější je nově zavedený údaj abuse-mailbox:; pokud v záznamu neexistuje, zobrazí se místo něho údaj e-mail:. Výpis řádek s dalšími adresami elektronické pošty, které mají jiný účel a které by mohly uživatele mást, je implicitně potlačen. Upozorňuje na to např. komentář # Filtered na poslední řádce každého záznamu:

  inetnum:       10.0.0.0 - 10.0.0.255
   netname:       HOME-NETWORK
   descr:         Home Network
   country:       ZZ
   admin-c:       ME1-RIPE
   tech-c:        ME1-RIPE
   status:        ALLOCATED PI
   mnt-by:        I-MNT
   remarks:       Please report network abuse -> abuse@home.zz
   source:        RIPE # Filtered

   person:        Me Myself and I
   address:       Home Alone
   address:       No Street 123
   address:       No City
   address:       123 45
   address:       No Country
   phone:         +11 22 33445
   fax-no:        +11 22 33445
   abuse-mailbox: abuse@home.zz
   nic-hdl:       ME1-RIPE
   source:        RIPE # Filtered

Pokud skutečně potřebujeme zobrazit úplné údaje včetně např. řádek notify: (adresa, kam má RIPE DB automaticky ohlásit každou změnu záznamu) a changed: (kdo a kdy tento údaj změnil), uvedeme v příkazové řádce WHOISu parametr „-B“. Výsledkem pak bude:

 inetnum:       10.0.0.0 - 10.0.0.255
   netname:       HOME-NETWORK
   descr:         Home Network
   country:       ZZ
   admin-c:       ME1-RIPE
   tech-c:        ME1-RIPE
   status:        ALLOCATED PI
   mnt-by:        I-MNT
   remarks:       Please report network abuse -> abuse@home.zz
   changed:       Me.Myself@home.zz 20070521
   source:        RIPE

   person:        Me Myself and I
   address:       Home Alone
   address:       No Street 123
   address:       No City
   address:       123 45
   address:       No Country
   phone:         +11 22 33445
   fax-no:        +11 22 33445
   e-mail:        Me.Myself@home.zz
   abuse-mailbox: abuse@home.zz
   nic-hdl:       ME1-RIPE
   notify:        notify@home.zz
   changed:       Me.Myself@home.zz 20070521
   source:        RIPE

Tento tvar se hodí např. k opravám nebo mazání záznamů v RIPE DB. Uživatele, kteří přesný význam každé řádky RIPE DB neznají, by ale mohl svádět k tomu, aby své stížnosti odeslali i na zcela nevhodné adresy. Bližší informace obsahuje tento dokument.

Technické

Co je bezpečnostní incident ve světě počítačů?

Je to každé zneužití počítače, síťového prvku nebo sítě k nezákonnému účelu. Nejčastější příklady:

  • Rozesílání hromadné nevyžádané komerční pošty (spam)
  • Ovládnutí cizího stroje prostřednictvím počítačového viru, chyby v programovém vybavení apod.
  • Znemožnění řádného provozu stroje nebo sítě (útoky Denial of Service, Distributed Denial of Service)
  • Odposlech utajovaných dat (zjištění hesel, údajů o bankovních účtech apod.)
  • Porušování autorských práv (hudební skladby, filmy, programy atd.)
  • Phishing (rhybaření): rozesílání zfalšovaných dopisů, které se snaží adresáta přimět, aby nějakým způsobem sdělil své tajné údaje (přístupové kódy, bankovní údaje) nepovolaným osobám.
  • Pharming: Klient je nepozorovaně přesměrován z legitimního serveru na server, který ovládají počítačoví zločinci. Ti pak mohou zjistit např. jeho přístupové kódy k bankovnímu účtu.

Jak zjistím, že na mém počítači došlo k bezpečnostnímu problému?

Počítač se chová podezřele:

  • Reaguje pomalu
  • Disk je dlouho aktivní bez zjevného důvodu
  • Programy končí s neočekávanými výsledky nebo chybami
  • Webový prohlížeč bezdůvodně změnil domovskou stránku, často se sám připojuje na stránky s podezřelým obsahem
  • Antivirový nabo antispywarový program hlásí výskyt chyby.

Ale počítač může také být dlouho zkompromitován a uživatel se o tom vůbec nemusí dozvědět.

V rámci prevence doporučujeme přečíst technickou zprávu CESNETu Bezpečnostní incidenty a jejich předcházení.

Co dělat při zjištění bezpečnostního incidentu na počítači, který sám spravuji?

Odpojit stroj od sítě. Na počítači spustit jeden nebo raději několik aktuálních a spolehlivých antivirových a antispywarových programů z důvěryhodného zdroje a pokusit se najít/odstranit původce incidentu (virus, spyware). Pokud problém trvá, možná bude třeba přeinstalovat celý systém z původních distribučních medií (CD-ROM).

Sledovat síťový provoz z/do počítače, např. v součinnosti se správcem sítě. Je-li to možné, prozkoumat záznamy o datovém provozu z nedávné doby, archivovat disky počítače k pozdějšímu zkoumání.

Poučit se z chyby: nepřipojovat se k podezřelým WWW stránkám, neotevírat soubory s atraktivními názvy z nedůvěryhodných zdrojů (WWW servery, elektronická pošta), průběžně aktualisovat programové vybavení i operační systém.

Co dělat při zjištění bezpečnostního incidentu na počítači v síti na mém pracovišti nebo v jiné součásti CESNETu?

Informovat správce podezřelého stroje, počítačové učebny, abuse tým sítě nebo CESNET-CERTS.

Co dělat při zjištění bezpečnostního incidentu na počítači v cizí síti (mimo CESNET)?

Informovat abuse tým sítě nebo CESNET-CERTS.

Jak mám ohlásit zjištěný bezpečnostní incident?

Za normálních okolností elektronickou poštou; v urgentním případě telefonicky. Hlášení bezpečnostního incidentu musí obsahovat:

  • Datum zjištění bezpečnostního incidentu včetně časové zóny.
  • Datum a čas vzniku bezpečnostního incidentu včetně časové zóny.
  • Identifikaci zdroje incidentu (IP adresa, doménová adresa).
  • Popis incidentu, jakýkoli důkazní materiál (log, soubor).
  • Základní kontaktní informace - jméno reportujícího, jméno organisace, platnou e-mail adresu.

Podrobné informace najdete zde.

Proč se hlášení o bezpečnostních incidentech někdy posílají na nadřazenou abuse adresu, např. abuse adresu celého autonomního systému, a neposílají se správcům koncové sítě?

  • Předpokládá se, že adresy, které uvádí nadřazený správce, jsou spolehlivější než adresy koncových uživatelů.
  • Pokud je koncová síť v majetku profesionálních spammerů, hackerů nebo neschopných uživatelů, stížnosti tam pravděpodobně nikdo nevyřídí - spíše začne autorům stížnosti chodit další spam. Odeslání stížnosti správcům autonomního systému by mělo být účinnější.
Last modified:: 30.01.2016 11:14