Náš tým CSIRT.CZ nyní nově spolupracuje s kolegy z Laboratoří CZ.NIC na projektu Turris. Spolupráce zatím probíhá na dvou bezpečnostních vylepšeních Turrisu.

Poslední dva týdny provádíme aktivně analýzu stránek v doméně .cz, které byly označeny jako škodlivé a hledáme skutečný zdroj nákazy. Obvykle bývá škodlivý kód do stránek v doméně .cz vkládán pomocí tagu iframe a skutečné útoky pak pochází z IP adres v zahraničí. Tyto zahraniční IP adresy pak poskytujeme týmu kolem projektu Turris a ten na jejich základě sleduje, či přímo blokuje přístup k těmto IP adresám ze zařízení připojených prostřednictvím routerů Turris. Takto zůstane návštěvníkům nakažených webových stránek funkční stránka v doméně .cz, ale nedojde k nahrání útočníkova kódu do vloženého iframe. Samozřejmě, že stránky, které jsou již evidovány jako nebezpečné, jsou obvykle v prohlížeči blokovány. Stejná zahraniční IP adresa však bývá použita v rámci různých domén, takže může být použita i na .cz doméně, která ještě nebyla jako škodlivá detekována. V tomto směru vnímáme spolupráci s projektem Turris jako velmi užitečnou pro uživatele, kteří jsou přes tento router připojení.

Projekt Turris také nově monitoruje pokusy klientů o připojení ke známým řídícím serverům botnetů. Pokud bude takováto aktivita detekována, bude nám nově tým Turris předávat kontaktní e-mail držitele daného routeru a podrobné informace o zaznamenané aktivitě. My budeme držitele routeru následně kontaktovat a poskytneme mu potřebné informace. Chtěli bychom požádat majitele routerů o spolupráci, především o případnou odezvu, díky níž bychom zjistili, zda se jednalo o reálnou hrozbu, či false positive. Získaná data budeme předávat zpět týmu Turris, kerý na jejich základě bude nadále zlepšovat detekci bezpečnostních incidentů.