Dne 19. října 2011 přijala vláda České republiky usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Na základě tohoto usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB) jako součást Národního bezpečnostního úřadu.
Úlohou NCKB je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. NCKB spolupracuje s národními CERT® a CSIRT týmy.
V rámci této spolupráce získal bezpečnostní tým CESNET-CERTS přístup k záznamům NCKB o bezpečnostních událostech v síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí autonomního systému CESNETu. K tomu slouží systém X4, který je v provozu od března 2014.
Prozatím máme přístup k těmto druhům hlášení:
Hlášení, která CESNET X4 rozesílá, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo = GMT.
Pokud je zaznamenáno max. 7 výskytů určitého incidentu (zde červ Conficker), vypisujeme všechny:
IPadd: 192.0.2.11 = pc11.example.cz Malware/Botnet: Conficker = 6* 2014-02-25_19:21:32 192.0.2.11 1821 -> 198.51.100.44 80 2014-02-25_19:21:38 192.0.2.11 1800 -> 198.51.100.44 80 2014-02-25_19:22:18 192.0.2.11 1811 -> 198.51.100.44 80 2014-02-25_19:23:18 192.0.2.11 1835 -> 198.51.100.99 80 2014-02-25_19:23:19 192.0.2.11 1855 -> 198.51.100.99 80 2014-02-25_19:24:39 192.0.2.11 1856 -> 198.51.100.99 80
Pokud je zaznamenáno více než 7 výskytů incidentu (zde B68-2-64, tj. Zeroaccess verse 2 po 64bitové MS Windows), vypisujeme jen první 3, počet vynechaných řádek a poslední 3 výskyty:
IPadd: 192.0.2.22 = pc22.example.cz Malware/Botnet: B68-2-64 = 136* 2014-02-26_13:53:57 192.0.2.22 62695 -> 198.51.100.55 16465 2014-02-26_13:54:39 192.0.2.22 62695 -> 198.51.100.55 16465 2014-02-26_13:55:29 192.0.2.22 62695 -> 203.0.113.166 16465 ... 130 lines skipped ... 2014-02-26_13:58:55 192.0.2.22 62695 -> 198.51.100.77 16465 2014-02-26_13:59:41 192.0.2.22 62695 -> 203.0.113.222 16465 2014-02-26_14:00:59 192.0.2.22 62695 -> 203.0.113.222 16465
Zde je ukázka záznamu komunikace DNS serveru týkající se opět botnetu B68-DNS (Zeroaccess). Nemusí znamenat, že je infikovaný stroj 192.0.2.33 = ns1.example.cz; infikován je spíše stroj ze sítě vlastní organisace, který užívá tohoto DNS serveru jako implicitního:
IPadd: 192.0.2.33 = ns1.example.cz Malware/Botnet: B68-DNS = 8* 2014-02-27_23:05:02 192.0.2.33 23921 -> 203.0.113.198 53 2014-02-27_23:05:02 192.0.2.33 16128 -> 203.0.113.199 53 2014-02-27_23:05:41 192.0.2.33 59843 -> 203.0.113.198 53 ... 2 lines skipped ... 2014-02-27_23:09:25 192.0.2.33 43677 -> 203.0.113.199 53 2014-02-27_23:09:26 192.0.2.33 47563 -> 203.0.113.198 53 2014-02-27_23:09:26 192.0.2.33 34381 -> 203.0.113.199 53
Vzhledem k tomu, že velká část hlášení typu B68-DNS (Zeroaccess) je zfalšována, systém X4 tato hlášení od 19.9.2014 ignoruje.
23.9.2014 nám dodalo NCKB definice dvou nových typů botnetů: B106 a Caphaw. Děkujeme. 
9.3.2015 nám NCKB dodalo definici botnetu Ramnit. Děkujeme.
4.5.2015 nám NCKB dodalo definici botnetu Simda. Děkujeme.
CESNET-CERTS hodlá projekt X4 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu. CESNET X4 už nyní nabízí tyto možnosti:
11.12.2015 nám NCKB dodalo definici botnetu Dorkbot. Děkujeme.
Všechny zprávy, které systém CESNET X4 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz