Kategorie incidentů CESNET-CERTS¶
Botnet¶
Botnet je síť zkompromitovaných strojů (nejčastěji počítačů s OS Microsoft Windows, ale též např. domácích routerů s OS Linux a chytrých mobilních telefonů (smartphones - Symbian, BlackBerry, Android)), kterou lze centrálně ovládat z řídícího centra (Command and Control server = C&C). Obvykle se užívá pro zločinné účely šíření malwaru, spamu, zobrazování nevyžádané reklamy, podvody s internetovou reklamou (click fraud), sběr přihlašovacích údajů k bankovním kontům, distribuované útoky typu Denial of Service apod.).
Některé botnety velmi rychle mění údaje v DNS o infikovaných serverech nebo o DNS serverech použitých domén (nazývají se Fast Flux). Vyznačují se tím, že infikované servery se neustále střídají a jejich kompletní seznam tedy lze zjistit jen velmi obtížně.
Jak vzniká?¶
Součástí botnetu se obvykle stávají stroje, jejichž operační systém nebo uživatelský software je zranitelný tak, že ho může vzdálený uživatel nebo trojský kůň zcela ovládnout.
Další možné příčiny:
- Infekce virem apod.
- slabé heslo u standardních služeb nebo u administrátorského konta
- implicitní uživatelské jméno a heslo od výrobce (i u routerů, ostatních síťových prvků apod.).
Bounce mail¶
Bounce mail je automaticky odeslaný elektronický dopis s informací o tom, že se určitý dopis nepodařilo doručit. Pokud ho CESNET-CERTS nebo CSIRT.CZ dostal jako hlášení bezpečnostního incidentu, pravděpodobně jde o následky hromadného rozesílání nevyžádané komerční pošty (spamu)
- na poštovní servery v některé síti CESNET2 nebo ČR
- se zfalšovanými adresami odesilatele (jako odesilatel byl uveden uživatel sítě CESNET2 nebo z ČR).
Jak vzniká?¶
Za normálních okolností jde o standardní chybové hlášení. Rozesílá se, pokud:
- cílový poštovní server přijal dopis pro příjemce a
- poté zjistil, že dopis nemůže doručit (např. proto, že adresa příjemce neexistuje).
Spammeři obvykle rozesílají nevyžádanou poštu tak, že adresu odesilatele zfalšují. Pokud se takový dopis nepodaří doručit, poštovní server příjemce ho vrátí na tuto zfalšovanou adresu.
Copyright violation¶
Copyright violation (porušení autorských práv) může nastat, pokud:- na serveru v oblasti naší působnosti byl detekován soubor chráněný mezinárodními zákony o autorských právech - např. komerční software
- některá specialisovaná agentura (např. MediaSentry, BayTSP, ESA) při sledování provozu sítě P2P detekovala sdílení souborů chráněných autorským zákonem.
Jak vzniká?¶
- V současnosti je nejčastější sdílení souborů v sítích typu Peer-to-Peer (např. BitTorrent), při němž každý účastník stahující nějaký soubor ho současně i zpřístupňuje ostatním zájemcům. Pokud takto stahuje soubor chráněný autorským právem, dopouští se trestného činu.
- Podstatně méně časté dnes je zkompromitování stroje, na kterém je pak provozován např. FTP server s kradeným softwarem, filmy apod. (tzv. warez).
Crack¶
Crack je bezpečnostní incident, který nelze zařadit do žádné jiné kategorie (např. proto, že není jasné, jakým způsobem byl cílový stroj napaden).
Pokud správce sítě ohlásí zkompromitovaný stroj a neví, jakým způsobem ke zkompromitování došlo, a pokud nejde o žádnou jinou kategorii ze seznamu OTRS, uvedeme klasifikaci Crack.
DoS¶
DoS (Denial of Service), DDoS (Distributed Denial of Service) – pokus o vyřazení cílového počítače (často webového serveru) nebo alespoň některé jeho služby z provozu. Rozsáhlý útok DDoS může vyřadit z provozu celé sítě daného uživatele i přetížením datových linek. Může mít politické důvody (útoky z Ruska na Estonsko a Gruzii), vyděračství (útoky na sázkové kanceláře apod.), konkurenční boj apod.
Jak vzniká?¶
Útoky DoS mohou přicházet od špatně nakonfigurovaných strojů nebo častěji od jednotlivých uživatelů, kteří spouští specialisované programy generující velké zatížení cílového stroje.
Distribuované útoky (DDoS) obvykle přichází z botnetů. Útoky se nejčastěji zaměřují na:- přetížení cílového stroje nebo jeho síťové infrastruktury
- zranitelnosti operačního systému nebo síťových služeb.
Malware¶
Malware (malicious software) je obecný název pro škodlivé programy. Podle dokumentu “Zpracování zpráv o incidentech” tohoto termínu používáme pro škodlivý SW na klientské stanici. Nejčastější kategorie malware jsou:
- Počítačový virus (k infekci systému je třeba lidská intervence - např. spuštění programu)
- červ (po Internetu se šíří samovolně - např. Morrisův červ z r. 1988; je popsán v RFC1135)
- rootkit (napadení operačního systému; infekci pak nelze detekovat běžnými systémovými prostředky)
- ransomware (zašifruje uživatelská data a chce zaplatit za poskytnutí dešifrovacího klíče)
- scareware (hlásí, že zjistil infekci, a nabízí 'antivirus' k vyčištění; v květnu 2011 byl detekován první scareware pro Apple Mac, který po instalaci nabízí 'placenou podporu' a vyžádá si číslo platební karty. Dosud existoval scareware jen pro MS Windows)
- spyware (sbírá a odesílá užitečná data - např. přihlašovací údaje k bankovním kontům)
- trojský kůň (předstírá, že je užitečný (např. falešný antivirový program, plugin k zobrazení videa), ale po spuštění infikuje systém)
- HTTP nebo SOCKS proxy (pro obtížnější sledování síťových toků)
- dialer (připojení na drahé telefonní služby; dříve u počítačů připojených přes vytáčené připojení, dnes u chytrých mobilních telefonů - smartphones).
Jak vzniká?¶
Počítač se nejčastěji nakazí:- Instalováním programů/dat z nedůvěryhodných zdrojů
- přístupem k nedůvěryhodným webům (gaming sites, porn sites, warez, ...)
- připojením k infikovanému webovému serveru (i důvěryhodnému (USA Today, Wal-Mart) nebo nalezenému prostřednictvím vyhledávače a SEO poisoning)
- instalováním P2P programů (Kazaa, Bearshare, Grockster, LimeWire, Morpheus, ...) obsahujících malware už v distribučních souborech
- prostřednictvím jiněho malware instalovaného na počítači
- prostřednictvím zavirovaných datových nosičů (disky USB)
- kliknutím na odkazy v nevyžádané poště
- skrze sdílené disky
, a to obvykle skrze zranitelnost operačního systému nebo programu (Adobe Flash, Adobe Reader, Microsoft Office, ...).
Other¶
Other (jiné kategorie) – záložní kategorie pro hlášení bezpečnostních incidentů, které nelze identifikovat lépe.
Pharming¶
Pharming (pharmaření) je specialisovaná metoda phishingu. Jejím cílem bývá podobně jako u phishingu přesměrování uživatele na falešný web jeho finanční instituce a prozrazení jeho přihlašovacích údajů.
Jak vzniká?¶
Obvykle využívá manipulace s DNS – např. pomocí souboru hosts nebo zkompromitováním domácího ADSL routeru (malware Chuck Norris apod.).
Phishing¶
Phishing (rhybaření) je jedna z variant podvodů - scamu. Snaží se z uživatele vylákat peníze; v krajním případě může vést až k tzv. krádeži identity.
Podvodníci se nejčastěji snaží:
- Zjistit citlivé osobní údaje uživatele (přihlašovací údaje do internetového bankovnictví, číslo platební karty, uživatelská jména a hesla) pomocí elektronického dopisu, který obsahuje odkaz na falešný webový server. Po kliknutí na tento odkaz se obvykle objeví žádost o přihlašovací údaje finanční instituce - banky, PayPal apod. Ukázka typického phishingového dopisu je např. [[ http://www.phishtank.com/what_is_phishing.php | zde ]]
- zneužít neznalosti uživatele ("Přihlaste se na této stránce do svého bankovního/poštovního konta do 48 hodin, jinak Vám je zablokujeme").
Spear Phishing (rhybaření pomocí oštěpu, tj. zaměřené na vybraný okruh obětí) je podstatně nebezpečnější: vyžaduje dokonalou znalost potenciálních obětí, jejich zájmů, pracovní náplně, příbuzenstva apod. Často se zaměřuje na vedoucí pracovníky důležitých institucí, např. v rámci průmyslové špionáže.
Jak vzniká?¶
- Zaslání e-mailu: "Váš účet v naší bance je zablokován; pošlete nám své přihlašovací údaje, abychom ho odblokovali"
- manipulace s URL banky v souboru HTML (uživatel myslí, že kliká na správnou adresu, ale URL směřuje na falešný web)
- phishing převážně využívá sociálního inženýrství; typ operačního systému obvykle není důležitý.
Portscan¶
Portscan znamená opakované pokusy o připojení na jeden nebo více portů jednoho nebo více napadených strojů v určité síti. Může se jednat o oprávněnou kontrolu zabezpečení (bezpečnostní audit), pokud ji provádí správce příslušného stroje nebo sítě.
Portscan se také používá ke zjištění verse operačního systému na serveru, běžících síťových služeb a jejich bezpečnostních problémů apod. Na základě zjištěných údajů se může útočník rozhodnout zaútočit přímo na určitou známou zranitelnost systému.
Jak vzniká?¶
- Manuálně: Nejčastěji použitím programu Nmap
- automatisovaně: malware se snaží dále šířit a hledá potenciální cíle.
Probe¶
Probe je v zásadě specialisovaný portscan. Obvykle se týká jediného cílového počítače a podstatně menšího počtu pokusů o připojení. Útočník si obvykle ověřuje, zda je cílový počítač zranitelný pomocí jedné určité softwarové chyby. Může jít i o hledání platného uživatelského jména a jeho hesla pomocí slovníkového útoku po připojení na port SSH (TCP port 22) apod.
Jak vzniká?¶
Nejčastěji použitím specialisovaného programu nebo malwaru.
Scam¶
Obecně = podvod. Nejčastější varianty bývají:- Phishing
- tzv. nigerijské dopisy nebo výhra v neexistující loterii (podvodník se snaží z oběti vylákat finanční zálohu a/nebo citlivé osobní údaje)
- prosba o příspěvek pro údajné oběti přírodních katastrof apod.
- falešné seznamovací inseráty
- nabídka falešných universitních diplomů
- "Ponziho plán", "pyramidový obchod"
- podvody s akciemi ("Pump and dump")
- zdánlivě velmi výhodné nabídky zboží na internetových obchodech, na eBay apod.
Pozn.: Scam (zatím) není v OTRS uveden jako samostatná kategorie.
Jak vzniká?¶
Podvody existovaly od nepaměti, ale Internet velmi usnadnil jejich šíření. Zatímco dříve podvodníci dávali inseráty do novin, dnes mohou pomocí spamu rozeslat miliony zpráv za minimální náklady.
Podvodníci jsou schopni pro své cíle zneužít dobrých i špatných lidských vlastností:- Dobré srdce, snaha pomoci bližním v nesnázích, osamělost:
- "Pošlete peníze obětem nedávného zemětřesení a tsunami v Japonsku na tento náš účet"
- "Nedávno mi zemřel manžel, jsem nemocná a moje děti hladoví; pošlete nám peníze na tuto adresu"
- "Jsem v Londýně a ukradli mi všechny peníze; pošli mi 100 Lstg přes Western Union" (v kombinaci s phishingem)
- Zaujal mě Tvůj profil na Facebooku. Bydlím v Rusku, je mi 25 let, jsem svobodná, mírná, něžná a mám ráda děti; přikládám svou fotografii"
- "Hi again ! Can i be your Girlfriend? I am kind, nice, Russian lady. Please see my photos and I am awaiting for your reply! yours Nina with love" (autentický text dopisu)
- Hrabivost, případně v kombinaci s účastí na podvodu:
- "Jsem zaměstnán v nigerijské bance. Na bankovním účtu našeho zemřelého klienta, který se jmenoval stejně jako Vy, leží 5 milionů USD. Pokud mi pomůžete je uložit na svůj bankovní účet, dostanete 4 miliony, ale nejdříve mi pošlete 50 tisíc a kopii svého cestovního pasu"
- "Firma Microsoft uspořádala loterii e-mailových adres a Vy jste vyhrál hlavní cenu. Pošlete nám své kontaktní údaje"
- "Pokud nemáte čas studovat, pošleme Vám diplom prestižní university na základě Vašich životních zkušeností"
- "Nečekaně odjíždím z Londýna; prodám Vám své nové auto s velkou slevou, pokud mi ještě dnes pošlete zálohu přes Western Union"
- Podvod "pump and dump": "Hodnota akcií firmy XXX za poslední týden stoupla o 65% a bude ještě stoupat; rychle si je kupte." (Podvodník svými nákupy zvedl cenu jinak bezcenných akcií; jakmile si je koupí další zájemci, podvodník je všechny prodá; jejich hodnota opět klesne a obětem zůstanou bezcenné akcie.)
- Ponziho plán: "Investujte do mého unikátního projektu; neřeknu Vám, jak funguje, ale zaručuji Vám trvalé a vysoké zisky."
- Pyramidový obchod: "Účastněte se našeho výnosného projektu. Vložné = 50 tisíc Kč; čím více dalších zájemců získáte, tím více vyděláte."
- Velmi levný software (hromadně okopírovaný a pravděpodobně zavirovaný), luxusní hodinky (padělané nebo kradené), léky (Viagra, Cialis, Ambien. Xanax, ...) - kradené, neschválené, padělané nebo s prošlou záruční lhůtou - viz např. [[ http://www.crimemedicine.com/ | toto video ]].
Spam¶
Spam je hromadné rozesílání nevyžádaných zpráv elektronickými prostředky - nejčastěji elektronickou poštou. UBE = Unsolicited Bulk E-mail, UCE = Unsolicited Commercial E-mail, tj. nevyžádaná hromadná/komerční el. pošta, v současnosti tvoří asi 90% elektronické pošty. Pro podnikatele bez skrupulí je velmi výhodná, protože je rychlá, dokáže zasáhnout velké množství adresátů a vyžaduje minimální náklady na straně odesilatele (velkou část nákladů hradí postižení adresáti, resp. jejich ISP).
V některých zemích (např. v USA i v EU) je rozesílání určitých forem nevyžádané reklamy trestné. V ČR platí zákon č. 480/2004 Sb. o některých službách informační společnosti. Dodržování tohoto zákona kontroluje a trestá Úřad pro ochranu osobních údajů; spam rozesílaný ze sítí v ČR lze ohlásit na adrese [[ http://www.uoou.cz/uoou.aspx?menu=23&submenu=27&loc=464 | ÚOOÚ ]].
Jak vzniká?¶
Ti, kdo chtějí rozesílat hromadnou poštu, musí odněkud získat seznam adresátů. V optimálním případě by to měli být lidé, kteří mají o daný produkt nebo službu skutečný zájem, např. pokud se přihlásili do elektronické konference s příslušným tématem.
Podnikatelé bez skrupulí obvykle využívají těchto metod:
- Koupí si seznam adres elektronické pošty setříděný podle oborů (např. seznam podnikatelů v daném oboru ve všech státech USA) nebo netříděný seznam (např. milion adres) za 100 USD, a na ně rozešle reklamu ze svého počítače
- existuje mnoho firem, které na Internetu inserují rozeslání velkého množství adres ve vlastní režii (např. 100 tisíc dopisů/měsíc za 100 USD měsíčně nebo 2,7 milionu dopisů/den za 40 USD jednorázově). Tyto firmy používají infikovaných počítačů (zombies), které jsou sdruženy v sítích botnetů.
Trojan¶
Trojan (trojský kůň) – obecně soubor, který se tváří jako užitečný nebo zajímavý (volně dostupný antivirový program, hackované verse komerčních programů nebo operačních systémů, fotografie nebo filmy budící zvědavost atd.), ale místo toho/mimoto obsahuje nebezpečný software. Podle dokumentu “Zpracování zpráv o incidentech” tohoto termínu používáme pro škodlivý SW na serveru, odkud se trojan šíří na klientské stanice; na těch se označuje názvem malware.
Jak vzniká?¶
Trojský kůň obvykle čeká na veřejně přístupném serveru, až si ho naivní uživatel nebo vhodný malware stáhne a nainstaluje. Po instalaci a spuštění začne obvykle provádět nebezpečnou nebo nežádoucí činnost (smaže soubory nebo celý disk, modifikuje soubory, šíří další malware po síti, monitoruje stisk kláves, hlásí přihlašovací údaje svému tvůrci, učiní počítač součástí botnetu atd.).
Unknown¶
Unknown (neznámý) – záložní kategorie pro hlášení, která nelze nikam
lépe zařadit nebo nedávají smysl.
Virus¶
Virus – podle klasifikace CESNET-CERTS = elektronický dopis, který v příloze obsahuje škodlivý kód detekovaný antivirovými programy.
Jak vzniká?¶
Elektronickou poštu obsahující viry může rozesílat kdokoli, a to vědomě i
nevědomě. Častější je distribuce zavirovaného spamu prostřednictvím
botnetů.