CERT (Computer Emergency Response Team) a CSIRT (Computer Security Incident Response Team) jsou organizace, které řeší bezpečnostní incidenty vzniklé v počítačových sítích, koordinují jejich řešení a snaží se jim předcházet.
Vzájemná informovanost, osobní vazby a důvěra jsou základní principy práce týmů CSIRT. V rámci Evropy je vhodnou a funkční platformou pro pravidelná setkávání zástupců týmů CERT/CSIRT pracovní skupina TF-CSIRT , jejíž vznik iniciovala a organizuje sdružení TERENA V celosvětovém měřítku funguje organizace FIRST .
Tyto zkratky reprezentují pracovní týmy, mezinárodní organizace nebo fóra. Mají tento význam:
CSIRT - Computer Security Incident Response Team
CERT - Computer Emergency Response Team (jedná se o chráněnou značku Carnegie-Melon University)
TF-CSIRT- mezinárodní fórum umožňující spolupráci týmů CSIRT na evropské úrovni. Dělí se na dvě skupiny – uzavřenou, která je přístupná pouze akreditovaným týmům, a otevřenou, která je přístupná všem zájemcům o práci týmů CSIRT. TF-CSIRT je jednou z aktivit mezinárodní organizace TERENA. Pracovní skupina TF-CSIRT se schází obvykle několikrát ročně.
TERENA - Trans-European Research and Education Networking Association, evropská mezinárodní organizace podporující aktivity v oblasti internetu, infrastruktur a služeb v rámci akademické komunity.
FIRST - Forum of Incident Response and Security Teams, světové forum týmů CSIRT.
CSIRT (Computer Security Incident Response Team) je obecný termín pro označení týmu, který se v rámci svého pole působnosti zabývá bezpečnostními inicidenty - reakcí na ně (RESPONSE), jejich řešením a koordinací jejich řešení.
CSIRT.CZ je jméno Národního CSIRT týmu České Republiky. CSIRT.CZ je týmem, jehož polem působnosti je celá Česká Republika, tzn. všechny sítě provozované v ČR. Více si o způsobu fungování a cílích CSIRT.CZ můžete přečíst zde. CSIRT.CZ je komponentou rozsáhlejšího programu budování distribuované hierarchie pracovišť typu CSIRT v České republice. Jednotlivé týmy CSIRT v tomto programu pracují nezávisle na CSIRT.CZ. CSIRT.CZ přitom poskytuje nezbytné know-how pro budování nových týmů CSIRT a umožňuje efektivnější spolupráci existujících týmů. Zároveň CSIRT.CZ slouží jako místo „poslední záchrany“ v případech, kdy napadená síť nedokáže kontaktovat správce sítě, která je zdrojem útoku, nebo kdy správa dané sítě na hlášení nereaguje.
Veškeré informace o činnosti CSIRT.CZ budou uveřejňovány na internetových stránkách www.csirt.cz . Plánujeme zveřejňovat vhodným způsobem základní informace o nejzajímavějších kauzách, které agendou CSIRT.CZ projdou, jako například nejčastější nebo v daném období nejzávažnější útoky.
Veškeré kontaktní údaje CSIRT.CZ jsou zveřejněny na stránkách www.csirt.cz . Spojení a spolupráce s CSIRT.CZ ve věcech internetového útoku však vyžaduje jistý stupeň profesionální komunikace a znalostí, tudíž je určeno pro ostatní týmy CSIRT jako poslední instance v řešení incidentu, nikoliv jako „help-line“ pro běžného uživatele. Ten by měl využívat služeb správce své firemní/školní sítě nebo lokálního týmu CSIRT poskytovatele svého internetového připojení.
Základním motivem činnosti CSIRT.CZ je komunikace a předávání zkušeností z práce týmů CSIRT. CSIRT.CZ bude používat standardní formy činnosti, zejména semináře, setkání Pracovní skupiny CSIRT.CZ, školení členů CSIRT týmů, a to pomocí domácích i zahraničních lektorů s dlouholetými zkušenostmi.
CSIRT.CZ je od 1. ledna 2011 provozován a financován sdružením CZ.NIC .
Database RIPE obsahuje údaje o internetových sítích a jejich správcích v Evropě, na Blízkém Východě a v části Asie (bývalý SSSR). Kromě toho dokáže zjistit údaje o doménách z TLD této oblasti; ty ale sama nespravuje - za ně jsou odpovědni správci domén nejvyšší úrovně, jako např. CZ.NIC v České republice.
RIPE DB je umožňuje vyhledat údaje o tom, která organizace a kteří správci jsou zodpovědní za určité IP adresy. K tomu je určena služba "whois ".
Tato služba by například dokázala zjistit, že blok adres, do kterého patří IP adresa 195.113.144.230, na které běží hlavní webový server www.cesnet.cz sdružení CESNET, z. s. p. o., by v databasi RIPE mohl mít tento záznam:
inetnum:195.113.144.128 - 195.113.144.255
netname:CESNET-BB4
descr:CESNET, z.s.p.o.
descr:Prague 6
country:CZ
admin-c:XY1234-RIPE
tech-c:XY1234-RIPE
status:ASSIGNED PA
mnt-by:TENCZ-MNT
mnt-lower:TENCZ-MNT
remarks:Please report network abuse -> abuse@cesnet.cz
source:RIPE # Filtered
person:Xaver Ypsilon
address:CESNET, z.s.p.o.
address:Zikova 4
address:Praha 6
address:160 00
address:The Czech Republic
phone:+420 224351111
fax-no:+420 224359999
abuse-mailbox:abuse@cesnet.cz
nic-hdl:XY1234-RIPE
source:RIPE # Filtered
% Information related to '195.113.0.0/16AS2852'
route:195.113.0.0/16
descr:CESNET2
origin:AS2852
mnt-by:AS2852-MNT
remarks:Please report abuse -> abuse@cesnet.cz
source:RIPE # Filtered
Údaje v RIPE DB jsou veřejně přístupné, ale bez souhlasu RIPE NCC se smějí používat jen pro zajištění internetového provozu. Nesmějí se používat např. pro rozesílání hromadné nevyžádané komerční pošty.
Základním zdrojem informací o alokacích IP adres jsou database regionálních internetových registrů, kteří přidělují IP rozsahy lokálním internetovým registrům. Regionálních internetových registrů je v současnosti pět - ARIN , AfriNIC , LACNIC , RIPE NCC a APNIC .
Zdroj: RIPE NCC Annual Report 2006
Informace o každém alokovaném rozsahu IP adres spolu se základními údaji o organisaci, které byly adresy přiděleny, jsou zaneseny do database jednoho z výše uvedených registrů. Každá organisace je povinna své kontaktní údaje průběžně udržovat.
Všechny tyto database IP adres jsou veřejně přístupné. Regionální internetové registry i mnohé registry domén nejvyšší úrovně provozují službu, která umožňuje prohledávat údaje o přidělených IP rozsazích, případně i doménách.
Většina registrů domén nejvyšší úrovně (TLD) provozuje službu WHOIS, která umožňuje vyhledávat údaje o registrovaných doménách v jejich TLD. Tato služba bývá dostupná na WWW stránkách registrů TLD i prostřednictvím protokolu WHOIS.
Informace o doméně v TLD ".cz" je možné vyhledat:
Existují webové stránky nebo programy, které dotaz na obecnou doménu nebo adresový rozsah samy inteligentně přesměrují na vhodný WHOIS server a zobrazí jeho odpověď - např.
Podobně fungují i někteří klienti protokolu WHOIS. V systémech Un*x to jsou např.
Program jwhois je k disposici i pro OS Microsoft Windows:
Příklady použití:
$ whois 195.113.144.230
$ whois domena.cz
$ whois google.com
Každý rozsah IP adres (adresový blok) je spolu se základními údaji o organisaci, které byl rozsah přidělen, zanesen v databasi regionálního internetového registru (pro Evropu RIPE NCC ). Jedním z nejdůležitějších údajů je adresa abuse@domena.tld, která slouží k hlášení bezpečnostních incidentů vzniklých v daném adresovém bloku. Například IP adresa 10.0.0.138 by mohla mít v databasi RIPE tento záznam:
inetnum:10.0.0.0 - 10.0.0.255
netname:HOME-NETWORK
descr:Home Network
country:ZZ
admin-c:ME1-RIPE
tech-c:ME1-RIPE
status:ALLOCATED PI
mnt-by:I-MNT
remarks:Please report network abuse -> abuse@home.zz
source:RIPE # Filtered
person:Me Myself and I
address:Home Alone
address:No Street 123
address:No City
address:123 45
address:No Country
phone:+11 22 33445
fax-no:+11 22 33445
abuse-mailbox:abuse@home.zz
nic-hdl:ME1-RIPE
source:RIPE # Filtered
Hlášení o incidentech, které vznikly na stroji s IP adresou z tohoto bloku, se tedy mají posílat na adresu "abuse@domena.tld".
Pokud v záznamech database neexistuje odkaz na adresu "abuse@domena.tld", pošleme hlášení na adresy jednotlivých administrativních a technických správců. Pokud známe doménovou adresu podezřelého stroje (např. pokud adrese 10.0.0.138 odpovídá doménová adresa www.my-home.tld), pošleme stížnost také na adresu "abuse@my-home.tld".
Je to každé zneužití počítače, síťového prvku nebo sítě k nezákonnému účelu. Nejčastější příklady:
Počítač se obvykle chová podezřele:
Ale počítač může také být dlouho zkompromitován (např. programem pro zachycování hesel) a uživatel se o tom vůbec nemusí dozvědět.
Odpojit stroj od sítě (ethernetový kabel, vypnout Wi-Fi kartu).
Na počítači spustit jeden nebo raději několik aktuálních a spolehlivých antivirových a antispywarových programů z důvěryhodného zdroje a pokusit se najít/odstranit původce incidentu (virus, spyware). Pokud problém trvá, možná bude třeba přeinstalovat celý systém z původních distribučních medií (CD-ROM).
Sledovat síťový provoz z/do počítače, např. v součinnosti se správcem sítě. Je-li to možné, prozkoumat záznamy o datovém provozu z nedávné doby, archivovat disky počítače k pozdějšímu zkoumání.
Poučit se z chyby:
Pokud se váš počítač začal divně chovat a vy se domníváte, že jde o bezpečnostní incident, řiďte se laskavě podle pokynů v předešlém bodě nebo se obraťte s prosbou o pomoc na správce své sítě, na personál obchodu s počítači, na svého poskytovatele internetových služeb apod. Prosíme, nekontaktujte CSIRT.CZ!
Pokud se vaše síť stala terčem síťového útoku a pokud si nejste jisti, že dokážete správně určit zdrojovou síť, z níž útoky vycházejí, obraťte se laskavě s prosbou o pomoc na své zkušenější kolegy, na správce nadřazené sítě, na svého poskytovatele internetových služeb apod., který by měl incident vyřídit za vás.
Pokud se vaše síť stala terčem útoku a pokud si jste jisti, že umíte správně určit kontaktní adresy osob zodpovědných za síť, z níž útoky vycházejí, pošlete jim laskavě svou stížnost co nejrychleji elektronickou poštou. Čím dříve se Vaše hlášení dostane do rukou zodpovědných osob, tím menší celkové škody mohou vzniknout.
Pokud jste svou stížnost na takový bezpečnostní incident už poslali, ale několik dní nepřišla žádná rozumná reakce a útoky stále trvají, můžete poslat svou původní stížnost spolu s doprovodným dopisem na adresu CSIRT.CZ, který se pokusí tento bezpečnostní incident vyřídit za vás a o výsledcích vás bude informovat.