Hosting

Přihlášení

Čína potvrdila plán na stavbu jaderné elektrárny na Měsíci spolu s Ruskem

Svět techniky - St, 04/23/2025 - 14:51
V první polovině třicátých let má podle současných plánů na Měsíci vzniknout vesmírná základna, která bude využívat energii z jaderné elektrárny. Provozovat ji bude Čína a Rusko.

Obrovské množství v dokumentech uvězněných znalostí se otevírá. Díky AI

Svět techniky - St, 04/23/2025 - 00:00
Extrakce textu z obrázků významně pokročila, nicméně stále je co zlepšovat. Své o tom ví podniky, vlády, či výzkumníci, kteří mají řadu dat stále v papírové podobě. Případně je naskenovali do obrazového formátu PDF a teď neví, jak je z nich vydolovat. Tyto digitální dokumenty totiž mají pevný formát. To znamená, že data v nich jsou „uzamčená“, a pro počítače je těžké je číst a analyzovat.

CSIRT.CZ – 15 let ve sdružení CZ.NIC

Svět internetu - Út, 04/22/2025 - 08:15

S koncem roku 2025 završí národní bezpečnostní tým CSIRT.CZ patnáct let ve sdružení CZ.NIC. Jak se za tu dobu změnila naše činnost, jaké změny pozorujeme v nám reportovaných incidentech, jaké další služby provozujeme kromě samotného řešení incidentů a jaká poučení jsme si odnesli z našich nejzajímavějších incidentů? Na konkrétních službách a činnostech týmu CSIRT.CZ budu demonstrovat, jak velké změny se za posledních čtrnáct let v bezpečnosti staly.

CSIRT.CZ je provozován sdružením CZ.NIC od 1. ledna 2011. V první polovině roku 2011 probíhalo intenzivní předávání know-how od kolegů ze sdružení CESNET, kteří CSIRT.CZ založili na základě grantu nazvaného Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky.

Z počátku se většina činností CSIRT.CZ točila kolem samotného řešení incidentů, tedy jsme působili víceméně čistě reaktivně. Postupně s tím, jak jsme získávali zkušenosti, jsme viděli v řešených incidentech souvislosti, které nám z počátku unikaly, což vedlo ke vzniku našich prvních služeb, zaměřených na prevenci a vzdělávání.

Kromě phishingových stránek, které oproti těm dnešním byly i pro laika snáze rozpoznatelné, jsme měli to štěstí, že jsme se často dostali i k incidentům, které byly technickým provedením nebo rozsahem zajímavé a neotřelé. Až do vzniku Národního úřadu pro kybernetickou a informační bezpečnost jsme navíc plnili i funkci vládního CSIRT. Popisu vybraných incidentů se budu věnovat v závěru textu. Pokud bych měl uvést tři věci, které se změnily v procesu řešení incidentů, je to obecně schopnost internetových providerů v ČR na tyto incidenty reagovat. V prvních letech nás někteří poskytovatelé úspěšně ignorovali, respektive nejspíš na jejich straně abuse kontakt nikdo reálně nesledoval. Setkali jsme se dokonce i s případem, kdy provider změnil v databázi WHOIS kontaktní informace u IP adresy na svůj vlastní abuse kontakt, abychom jeho problémového zákazníka zbytečně „neobtěžovali“. V tomto ohledu nám pomohl vznik projektu FENIX, který mimo řady dalších užitečných nástrojů požaduje od zapojených providerů také funkční CERT/CSIRT.

Druhou výraznou změnou jsou samotné incidenty, kdy postupně pozorujeme, že v nám hlášených incidentech jsou čím dál méně složitější technické útoky, a naopak je stále více útoků nesoucích prvky sociálního inženýrství, typicky phishing, falešné e-shopy nebo „investiční“ platformy.

Poslední změna se pak týká samotného provedení phishingových stránek. Až do aféry „Snowden“ byla větší část námi řešených phishingových stránek umístěna na napadených webových serverech. V archivu mám z té doby například uložen snímek zachycující stránku napodobující servis24.cz, ovšem umístěnou na adrese hXXp://link.mukodono.jp/c/dispatcher24.php. Dnes má většinou phishing vlastní doménu (např. login-szn.cz, online-csas.cz). Důvodem této změny byl vznik certifikační autority Let’s Encrypt, u které je možné získat zdarma certifikát pro doménu a není přitom potřeba předkládat žádné doklady. Zároveň s tím se změnil přístup prohlížečů, které začaly aktivně upozorňovat na chybějící šifrování při zadávání citlivých dat na webových stránkách. To umožnilo útočníkům přejít na používání vlastních domén s platnými certifikáty. Všechny výše popsané změny se pak promítají i do námi poskytovaných preventivních služeb, které teď postupně popíši.

Aktuálně z bezpečnosti
Vůbec první službou CSIRT.CZ mimo incident handlingu bylo zřízení nové sekce na webových stránkách CSIRT.CZ, kde jsme každý den publikovali výběr informací souvisejících s kybernetickou bezpečností. Bylo to prováděno formou krátkého shrnutí obsahu původního článku a odkazu na původní zdroj. Dnes je situace jiná, ale před čtrnácti lety nebylo takových zdrojů tolik, a proto se v té době stala služba AZB populárním informačním zdrojem, ze kterého k naší radosti čerpali často i novináři. V prvních letech byl obsah zaměřený nejen na aktuální útoky směřující na české uživatele, ale zaměřovali jsme se také na pokrytí zranitelností produktů, které se u nás používaly nejčastěji, nebo na nové techniky útočníků. S tím, jak se postupně rozšiřovala nabídka podobných služeb, jsme energii nasměrovali do jiných projektů a v současnosti upozorňujeme především na typově nové útoky zaměřené přímo na uživatele v ČR.

Malicious Domain Manager
Malicious Domain Manager (MDM) je název aplikace, kterou pro nás naprogramovali kolegové z Laboratoří CZ.NIC a na které stála stejnojmenná služba, zaměřená na zvýšení bezpečnosti webů provozovaných v zóně .CZ. Aplikace MDM pro nás z několika zdrojů získávala informace o doménách v zóně .CZ, které byly buď zneužívány k phishingovým útokům, sloužily jako C&C server některého z botnetů nebo sloužily k šíření malware přes zranitelnosti v prohlížeči, operačním systému nebo jiných komponentách. Držitele takto kompromitovaných domén pak bylo možné v aplikaci, která zároveň sloužila jako ticketovací systém, přímo kontaktovat. V případě šíření malware bylo často třeba udržovat komunikaci delší dobu, neboť držitel domény se obvykle nerovná tvůrce webové prezentace, útočníci navíc svůj kód vložený do stránek různými technikami maskovali. Někdy proto bylo obtížné dosáhnout řešení problému. Postupně jsme aplikaci vlastními silami vylepšovali. Zásadní byla úprava, díky které aplikace sama prováděla analýzu zdrojového kódu stránky šířící malware, a dokázali jsme tak adresátům rovnou poskytnout i další informace potřebné k řešení. Navíc jsme mohli řešit i další části řetězce, tedy především web, na kterém běžel útočníkem používaný exploit kit.

V naší činnosti často vede řešení jednoho problému k objevení problému dalšího. Díky službě MDM jsme identifikovali dva obvyklé zdroje problémů napadených webových aplikací. Jedním bylo provozování zastaralé verze některého z content management systémů (CMS), jako Drupal, Joomla nebo WordPress. V aplikaci MDM se to projevovalo vlnami, kdy po oznámení nové zranitelnosti v některém z content management systémů se v MDM objevila vlna nových stránek zneužívaných k šíření malware. Na tuto hrozbu jsme v roce 2017 reagovali jednorázovou akcí, při níž jsme provedli neinvazivní sken všech domén .cz, a pokud jsme identifikovali zastaralou verzi, poslali jsme informaci o možných rizicích držiteli domény. Druhým častým zdrojem problémů byla webová aplikace s nějakou zranitelností z OWASP TOP 10. Proto jsme byli rádi, když kolega z oddělení testerů přišel s nabídkou, že nás naučí tyto zranitelnosti testovat, a navrhl nám spuštění služby, která by umožňovala primárně neziskovému sektoru a státním institucím požádat o provedení základních bezpečnostních testů právě na nejčastější zranitelnosti. Službu MDM jsme již přestali provozovat, neboť jeden z nejdůležitějších zdrojů informací pro tuto službu omezil své fungování a zároveň jsme vyhodnotili jako ekonomičtější převést část funkcí MDM pod projekt PROKI.

Skener webu
Třetí službou, kterou jsme obohatili fungování národního CSIRT, je služba Skener webu. Ta byla koncipována jako služba zaměřená na český internet. Tedy .CZ domény a weby, u nichž je jednoznačně zřejmé, že jsou určeny českým uživatelům. Služba je zatím poskytována za symbolickou jednu korunu a je primárně určena pro státní a neziskový sektor. V případě, kdy nám to dovolovala provozní situace a rozsah testování a zaměření webu, jsme výjimečně akceptovali i objednávky od fyzických osob a soukromého sektoru. Služba Skener webu splnila naše očekávání a spolu s aplikací Malicious Domain Manager a různými jednorázovými preventivními a vzdělávacími akcemi přispěla ke zvýšení povědomí o bezpečnosti webů a k jejich lepšímu zabezpečení. V současné době proto připravujeme přechod na nové obchodní podmínky a službu Skener webu přiměřeně zpoplatníme.

PROKI
Jako národní CSIRT máme přístup k velkému množství dat o bezpečnostních incidentech a událostech. Jedná se o zdroje jak veřejné, tak omezené pro určitý okruh příjemců a o velmi pestrou směs informací. Od informací o IP adresách figurujících v nějakém botnetu, přes IP adresy, které zkoušely útočit hrubou silou na konkrétní služby, až po domény hostující phishingový obsah. V průběhu roku 2014 jsme si začali uvědomovat, že není v našich silách tato data ručně zpracovávat. Zároveň by ale byla škoda, aby se provozovatelé sítí nedozvěděli, že v jejich síti je nějaký problém, kterým by se měli zabývat. Z toho důvodu jsme v průběhu roku 2015 postupně začali budovat projekt Predikce a ochrana před kybernetickými incidenty (PROKI). Zároveň se nám podařilo zajistit spolufinancování ze strany Ministerstva vnitra České republiky, které projekt podpořilo v rámci Programu bezpečnostního výzkumu České republiky 2015 – 2020. PROKI funguje na jednoduchém principu shromažďování dat z různých zdrojů, jejich převodu do jednotného formátu, distribuce a další analýzy. Byť je princip jednoduchý, bylo potřeba se v rámci projektu poprat s několika problémy.

Naprostou nutností bylo vyřešit různé formáty, ve kterých jsou data předávána (např. CSV, XML), ale také různé metody předávání dat (např. e-mail, HTTP). Dále bylo potřeba vyřešit problém vnitřní struktury informace. Incidenty se mohou vztahovat k IP adresám, ale i k doménovým jménům. Mohou nést informaci o strojích sloužících jako řídící server botnetu, ale zrovna tak i o zotročených počítačích. Kromě toho jsou data obohacována dle našich vlastních potřeb, nejčastěji o geolokační informace.

Dále bylo potřeba vytvořit nástroje, které budou schopny získaná data rozdělit podle sítí, ze kterých daný incident pocházel, zajistit, abychom nerozesílali duplicitní informace, a samozřejmě také zajistit samotné předání dat. To se v současnosti děje buď automaticky pomocí e-mailové zprávy a přílohy nebo prostřednictvím API, pokud o to správce sítě projevil zájem.

Kromě rozesílání se data také ukládají a v analytickém rozhraní s nimi pak můžeme dále pracovat. To v minulosti vedlo k případům, kdy jsme našli řídící server botnetu nebo infikované SCADA systémy. Díky dlouhodobému uložení dat slouží systém také jako reputační databáze svého druhu, která našim partnerům i nám umožňuje v případě potřeby zjistit, zda konkrétní IP adresa v minulosti byla spojena s nějakým incidentem. Službu neustále rozvíjíme, v roce 2024 jsme pak automatizovali část analytických funkcí, což nám umožnilo spustit naši zatím poslední službu, Deny listy. Také jsme v uplynulém roce rozeslali příjemcům informací z PROKI dotazníku, který nám potvrdil, že služba je i po devíti letech provozu stále relevantní. Například 75 procent respondentů s daty z PROKI pracuje pravidelně, za zcela užitečné je považuje 62,2 procent respondentů a více než 53 procent respondentů nenachází v našich reportech false positive.

Zátěžové testy
Až budu popisovat zajímavé incidenty, jistě se dostanu i k sérii mediálně vděčných (D)DoS útoků z roku 2013. Zajímavé na těchto útocích bylo, že nebyly nijak zvlášť silné, ale jejich dopady byly signifikantní. Tato série incidentů nás dovedla k myšlence nabídnout službu, díky které bude možné si otestovat chování vlastní sítě v případě DDoS útoku. Hlavní výhodou, oproti čekání, až infrastrukturu prověří útočník, je, že pokud při testování najde zákazník ve své infrastruktuře úzké hrdlo, dá nám vědět a my útok okamžitě ukončíme. Nabízíme několik způsobů testování, jako SYN a UDP flood, ICMP flood nebo slowloris. Jedná se zároveň o jednu ze tří služeb, které nabízíme na komerční bázi.

Penetrační testování
Druhou službou poskytovanou na komerční bázi je penetrační testování. Poskytování prémiových služeb za úplatu je jedním ze způsobů, kterými získává národní CSIRT část peněz na své ostatní veřejné služby. Jedná se navíc o službu, která je extrémně náročná na znalosti a zkušenosti členů týmu. I zde je však jednou z motivací k poskytování služby přispět ke kultivaci internetového prostředí v sítích v České republice, a proto institucím veřejného sektoru a neziskovým organizacím poskytujeme na penetrační testování slevy.  

Deny listy
Nejmladší mezi našimi službami jsou Deny listy. I tato služba vznikla jako reakce na konkrétní incident, i když o její potřebnosti jsme interně i v rámci bezpečnostní komunity diskutovali několikrát i předtím. Jak už jsem zmínil v úvodu článku, v naší činnosti narážíme na řadu incidentů, které jsou spojené s doménovými jmény, jako je phishing, podvodné e-shopy a podvodné investiční platformy. Zatímco nebezpečné domény v zóně .cz umíme často detekovat předtím, než se na nich škodlivý obsah objeví, a umíme je také rychle „vypnout“, v případě jiných webů je doba reakce na incident velmi rozdílná, ale vždy je to minimálně v řádu hodin. Výjimkou nejsou ani domény, kde reakce může trvat i týdny nebo nemusí přijít nikdy.

Z toho důvodu už delší dobou rezonovala v našem týmu potřeba vytváření nějakého snadno nasaditelného blacklistu, který by dokázal rychle reagovat na aktuální hrozby na základě našich zjištění. Nakonec padlo rozhodnutí, že tento seznam bude produkován ve formě RPZ zóny. Data samotná jsou částečně získávána z našeho systému PROKI, kde jsme v minulém roce automatizovali vytěžování dat, která do PROKI dostáváme z projektu Turris, z našich honeypotů a z externích zdrojů. Tato část Deny listů obsahuje primárně domény, které jsou potenciálně škodlivé pro české uživatele, ale povětšinou směřují na obecně používané weby a služby jako Facebook, Gmail nebo Steam. Další část seznamu je tvořena incidenty nahlášenými národnímu CSIRT týmu a poslední část pak tvoří škodlivé domény, které detekujeme svou vlastní analytickou činností. Tyto dva zdroje přinášejí do Deny listů informace o útocích přímo cílících na české uživatele, ať už se jedná o balík u České pošty či Balíkovny, výpis z konta řidiče, vratku daní, příspěvek na bydlení nebo jiný podvod. Přístup k Deny listům poskytujeme od poloviny roku 2024 za úplatu providerům a dalším institucím, čímž efektivně pomáháme chránit uživatele v ČR před značnou částí hrozeb, založených na zneužití doménového jména.

Vzdělávací služby
Spolu s tím, jak jsme při řešení incidentů zjišťovali jejich nejčastější příčiny, uvědomili jsme si, že kromě prevence bude potřeba naše síly zaměřit také na vzdělávání. Protože v té době měla značná část námi řešených incidentů původ ve špatně zabezpečených síťových službách a špatně napsaných webových aplikacích, byl náš první kurz zaměřený na správce IT. Jednalo se o kurz „Počítačová bezpečnost prakticky“ a v rámci kurzu jsme posluchače seznamovali s celým procesem útoku, včetně různých specialit, a to na praktických cvičeních.

S příchodem projektu FENIX se také ukázalo potřebné vytvořit školení na míru pro zájemce o zapojení do komunity bezpečnostních týmů. Kurz s názvem „Základy fungování CSIRT týmu“ pomohl podpořit vznik nových bezpečnostních týmů.

Posledním počinem v oblasti vzdělávání je kurz „Bezpečnost a soukromí na Internetu“. Ten naopak vznikl jako reakce na bezprecedentní nárůst incidentů zahrnujících sociální inženýrství, se kterým se v posledních letech potýkáme. Tento kurz si u nás objednávají především instituce a firmy, které si jej přejí realizovat na míru přímo pro své zaměstnance. Jsme schopni jeho obsah částečně upravit tak, aby rozsahem odpovídal potřebám daného klienta. Zároveň ho pravidelně obohacujeme o nové poznatky z naší praxe, a uživatelé tak dostanou solidní přehled o útocích, se kterými se mohou v kyberprostoru setkat.

Kromě výše uvedených služeb, které provozujeme na pravidelné bázi, jsme realizovali několik akcí, které často reagovaly na konkrétní poznatek či incident. K některým zajímavým incidentům se nyní dostaneme.

Red October (2012)
Jeden z prvních incidentů, který vybočoval z naší běžné rutiny, nám byl oznámen kolegy z CERT-EU. Připomínám, že v prvních letech jsme plnili také roli vládního CSIRT. Neznámý útočník se tehdy zmocnil mailové schránky jednoho z bruselských úředníků a jeho jménem poslal několika významným institucím v ČR e-mailovou zprávu napodobující běžnou komunikaci mezi tímto úředníkem a příjemci. Ačkoliv naše běžná komunikace probíhá pomocí e-mailu, byli jsme požádáni o co nejrychlejší informování a zastavení příjemců tak, aby se předešlo otevření přílohy. Proto jsme všechny dotčené instituce okamžitě obvolali, a k otevření přiložených Word dokumentů tak nikde nedošlo. Při pozdější analýze vyšlo najevo, že wordovské přílohy byly součástí známé kampaně Red October. Pokud by příjemci přílohy otevřeli, došlo by k exploitování zranitelností ve Wordu a spuštění dropperu, který by se postaral o trvalou instalaci samotného malware a sám sebe by odstranil.

Série DDoS útoků
V roce 2013 došlo během jediného týdne k sérii DDoS útoků. Každý den přitom měl útok jiné cíle. V pondělí čtvrtého března to byly zpravodajské weby, v úterý největší český vyhledávač, ve středu byly cílem všechny velké české banky, ve čtvrtek mobilní operátoři. Ačkoliv útok nebyl nijak silný a pohyboval se pod hranicí 1 Gbps, zvládl způsobit i problémy, které možná útočník ani neočekával. Kromě výpadků samotných napadených služeb totiž došlo i k vedlejším škodám. Jeden den tak nebylo možné platit za použití MHD v Praze pomocí SMS, jiný den nebylo možné platit u obchodníků kartou. Technicky se přitom jednalo o SYN Flood s podvrženými zdrojovými adresami, a jak už bylo řečeno, nejednalo se o nijak významný provoz. Problém, jak se ukázalo při pozdějším zkoumání, byl spíše v nepřipravenosti některých dotčených subjektů. To zahrnovalo firewall s podporou SYN Cookies, kterou ovšem nikdo neaktivoval, umístění všech důležitých služeb do jednoho síťového segmentu nebo dlouhodobé provozování firewallu v zátěži na hraně propustnosti. Tyto útoky jsou zajímavé především svými důsledky. Vedly totiž ke vzniku projektu FENIX, a jak už zaznělo dříve, také naší služby Zátěžové testy.

Útoky na americké banky
Tento incident byl jedním z těch, které nás upozornily na nutnost větší edukace mezi správci a zároveň na potřebu větší prevence. Řada webových serverů provozovaných v českých sítích se v letech 2012 a 2013 stala nedobrovolně součástí operace Ababil, která byla namířena proti americkým bankám. Samotné technické provedení spočívalo ve využití malware Brobot, který byl na dané servery instalován typicky přes zranitelnosti v různých Content management systémech, a následném generování provozu, který dotčené služby bank efektivně vyřadil z provozu. Během dvou let, kdy jsme na řešení spolupracovali s FBI, jsme řešili tento malware na desítkách serverů v ČR.

Zranitelnost Rom-0
V roce 2014 jsme řešili incident, který se výrazně propsal do dalších let, mimo jiné snahou důrazněji upozorňovat na zranitelnosti s velkým potenciálem ke zneužití, ale i na snaze aktivněji vyhledávat potenciálně zranitelné stroje. Zranitelnost rom-0 se týkala routeru TP-LINK TD-W8901GB a její zneužití bylo poměrně triviální, stačilo přistoupit na URL http://verejnaIPadresaROUTERU/rom-0. To vedlo ke stažení souboru rom-0, ve kterém bylo uloženo admin heslo k danému routeru. Zároveň ve výchozí konfiguraci bylo konfigurační rozhraní přístupné i přes WAN a výrobcem nebyla vydána oprava této zranitelnosti. Neznámý útočník tuto zranitelnost využil k úpravě nastavení DNS serverů na zranitelných zařízeních tak, aby byl pro překlad používán jím ovládaný DNS server. Následně pak veškerá zařízení, která byla připojena před napadený router, dostávala v případě dotazu na domény seznam.cz a google.cz falešné odpovědi, které oběti nasměrovaly na webové servery provozované útočníkem. Zde byl pak uživatel pobídnut k instalaci „nové verze Flash Playeru“, což byl ve skutečnosti bankovní trojský kůň. Ve chvíli, kdy jsme získali o incidentu poznatky, se rozjelo několik akcí. Okamžitě jsme vydali varování pro koncové uživatele, včetně návodu, jak na routeru zakázat přístup přes WAN (a tím efektivně útoku zabránit). Dále byla vytvořena webová aplikace umožňující uživatelům otestovat, zda je jejich zařízení zranitelné. Spustili jsme také skenování, při kterém jsme identifikovali jen v českém internetu přes 5 000 těchto zařízení. Tyto výsledky jsme poskytli dalším subjektům, pro které to bylo relevantní. Například jedna z menších bank potom aktivně informovala své klienty, pokud k on-line bankovnictví přistupovali z IP adresy, kterou náš sken detekoval.

Black Hat SEO
Tento incident z roku 2014 dokládá, jak je důležité umět incidenty nejen vyřešit, ale také se z nich poučit. Jednalo se o incident, který jsme řešili v roli interního bezpečnostního týmu CZ.NIC-CSIRT, neboť jeho oznamovatelem byl tehdejší kolega a v počátku incidentu nebylo jisté, co je příčinou jevu, kvůli kterému se na nás obrátil. V kostce šlo o to, že na jednom webu viděl upravený obsah. Zatímco všichni ostatní uživatelé včetně provozovatele viděli stránky správně, kolega na nich viděl odkazy na různé on-line „lékárny“ a slovní spojení jako „to buy viagra cheap“ či „shop viagra phizer“.  Vyhodnotili jsme to tehdy jako BlackHat SEO, kompromitaci serveru jsme oznámili provozovateli a incident interně uzavřeli s tím, že problém nebyl na kolegově PC.

O téměř deset let později jsme si na incident vzpomněli a s vědomím, že dnes máme větší možnosti, jsme se rozhodli podívat, zda je tato technika stále relevantní. V roce 2023 jsme tedy, již pod hlavičkou národního CSIRT, využili projektu ADAM (Advanced DNS Analytics and Measurements) kolegů z Laboratoří CZ.NIC, konkrétně jedné jeho součásti, nástroje DNS Crawler. Dotazováním na klíčová slova „Viagra“ v kombinaci s „erectile dysfunction“ jsme nalezli 95 webů v zóně .cz, které byly v daném okamžiku kompromitované. Mezi kompromitovanými doménami byl například i web soukromé školky nebo menšího města a i vzhledem k tomu, že jednou kompromitované domény mohou být v budoucnu zneužity k dalším útokům, například phishingu nebo šíření malware, rozhodli jsme se všechny držitele napadených domén informovat

Důležitost sdílení informací s komunitou
Část analytické činnosti při práci s naším nástrojem Malicious Domain Manager vyžadovala lidskou obsluhu a využívali jsme při ní i některé doplňky do prohlížeče. Díky tomu si kolega v roce 2020 všiml, že se v testovacím prostředí děje něco podezřelého. Jeden z doplňků v prohlížeči, konkrétně „Video Downloader for FaceBook“ se připojoval bez zjevného důvodu na podezřele vypadající doménu. Během analýzy se nepodařilo zjistit konkrétní účel toho chování, nicméně bylo zřejmé, že natahuje javascript, který používal stejné maskovací techniky jako jiné vzorky kódu, které jsme znali z analýz napadených webů. Kolega své poznatky publikoval na našem blogu a podezřelý doplněk, který si stáhlo více než 200 000 uživatelů, reportoval společnosti Google.

Tím ovšem příběh našeho incidentu nekončí. Kolegova blogpostu si všimli analytici společnosti Avast a provedli analýzu řady dalších doplňků pro prohlížeče Chrome a Egde, přičemž odhalili dalších 28 doplňků s více než třemi miliony stažení.

Identifikace NAS v Botnetu
Podobně jako předchozí incident i tento pochází z analytické činnosti, v tomto případě kolegů z laboratoří sdružení CZ.NIC. Ti vytvořili nástroj pro identifikaci DGA (Domain Generation Algorithm) domén v DNS provozu. S jejich pomocí se jim podařilo objevit pokus o připojení na doménu naqsz.cz, kterou nástroj vyhodnotil jako potenciální DGA doménu. Nebylo však jasné, jakému botnetu by měla doména patřit a na jaké porty se bude připojovat. Doménu naqsz.cz jsme tedy zaregistrovali a koncem roku 2021 vytvořili univerzální „honeypot“. Na ten nám následně začaly chodit dotazy od nakažených strojů. To už nám umožnilo identifikovat, že se jedná o botnet QSnatch, postavený na zařízeních QNAP NAS. Celkem jsme identifikovali 4 028 unikátních IP adres, které jsme rozdělili a předali 56 různým národním či vládním CSIRTům. A tímto incidentem, který končí ukázkou důležitosti mezinárodní spolupráce, naši malou exkurzi do zajímavých incidentů ukončíme. Při výběru incidentů jsem zašel záměrně více do minulosti, protože aktuálně řešené incidenty jsou sice také někdy po technické stránce zajímavé, ale většinou zahrnují již zmiňované sociální inženýrství a jejich hlavním důsledkem byl již zmiňovaný vznik služby Deny listy.

Kam kráčí CSIRT.CZ?
Aktuálně nás čeká přechod na nový zákon o kybernetické bezpečnosti, který bude mít dopady také na naši práci. Na tento přechod se již připravujeme a s Národním úřadem pro kybernetickou bezpečnost řešíme, jak všechny procesy s tím spojené nastavit co nejlépe. V dohledné době také chystáme spuštění zcela nového projektu, který umožní komunitě uživatelů, kteří budou mít zájem, aktivně se zapojit do boje s některými druhy sociálního inženýrství a nám umožní na tyto útoky ještě rychleji reagovat. Zároveň plánujeme i nadále rozvíjet již existující služby.

Výše uvedené je jen výsekem naší činnosti, vyloženě zaměřeným na služby a incidenty. Je však třeba říci, že důležitou součástí naší práce je také podpora komunity v České republice, což obnáší například podporu týmů, které se chtějí stát členy mezinárodních organizací pro týmy typu CSIRT/CERT, nebo pravidelné organizování setkání komunity v rámci pracovní skupiny CSIRT.CZ. Významnou částí naší činnost je také mezinárodní spolupráce, kde máme v rámci bezpečnostní komunity velmi dobré postavení, čehož důkazem je i fakt, že naše kolegyně byla v roce 2023 zvolena do řídícího orgánu organizace TF-CSIRT.

Vše výše popsané by nebylo možné bez každodenní práce všech zaměstnanců sdružení CZ.NIC, které národní CSIRT provozuje. Jak je z výše řečeného doufám vidět, CSIRT.CZ jako národní CSIRT těží při řešení incidentů i prevenci často z praktických poznatků z dalších bezpečnostních projektů sdružení, využíváme aktivně data z projektů ADAM, Turris, HaaS. Pomáhá nám výzkumná činnost laboratoří sdružení a samozřejmě i možnost sledovat určité vzorce v registracích domén. Proto bych rád závěrem poděkoval všem kolegům ze sdružení CZ.NIC, kteří svou činností spolu s námi pomáhají chránit kybernetickou bezpečnost České republiky.

Poznámka: Článek „CSIRT.CZ – 15 let ve sdružení CZ.NIC“ vyšel původně v časopise DSM – Data Security Management.

Kategorie:

Jak nahodit slavný německý tank Tiger. Chce to hlavně nechat dobře zahřát

Svět techniky - Út, 04/22/2025 - 00:00
Můžeme o tom vést spory a můžeme s tím i nesouhlasit, ale německý tank Tiger I je pravděpodobně nejslavnějším tankem druhé světové války. Bylo o něm napsáno hodně, ale v tomto textu se zaměříme na zcela prozaickou otázku: Jak se tento 57 tun těžký a jediný pojízdný exponát startuje, abychom s ním mohli odjet?

Rozbité vejce přinese zkázu Neapoli. Legenda se pojí s ostrovním hradem

Svět techniky - Po, 04/21/2025 - 00:00
Jméno neapolského Vaječného hradu vychází z legendy, podle které je v jeho útrobách ukryto vejce. Není to ovšem ledajaké vejce, alespoň co se týče jeho funkce. Legenda totiž praví, že rozbije-li se, přijde i zkáza hradu, a co víc, pohroma se snese na celou Neapol.

V noci můžete pozorovat padající částečky z komety Thatcher

Svět techniky - Po, 04/21/2025 - 00:00
Pokud v noci z pondělí na úterý zakloníte hlavu a budete pozorovat oblohu, možná se vám podaří zachytit některý z projevů meteorického roje Lyridy. Během jejich vrcholu by mělo být k vidění několik desítek „padajících hvězd“.

Vzkazy v láhvi odhalily zbytečnou smrt vzduchoplavců. Zkáza vzducholodi L.19

Svět techniky - Ne, 04/20/2025 - 00:00
Spojení pojmů „vzducholoď“ a „první světová válka“ dodnes v lidech evokuje německé noční nálety na anglická města. Ačkoli koráby lehčí vzduchu neprovozovali jen Němci, dá se taková myšlenková zkratka pochopit. Operace německé vzduchoplavby daly vzniknout řadě silných a často i tragických příběhů. Tak jako v případě vzducholodi L.19.

Bojíte se svěřit svá data umělé inteligenci? Zkuste to lokálně. Víme jak

Svět techniky - Ne, 04/20/2025 - 00:00
Kolem generativní umělé inteligence panuje řada obav. Jednou z nich může být strach o vlastní data, která při komunikaci se systémem sdílíte. Další problém může nastat, když z nějakého důvodu nebudete připojeni na internet. Oba tyto problémy řeší instalace jazykového modelu, který AI pohání, na vlastní počítač.

Potápěč si na Facebooku koupil vrak lodi, potopené torpédem v roce 1917

Svět techniky - So, 04/19/2025 - 00:00
Koupit si loď je krásné, ale zároveň velmi zavazující. Majitele čeká náročná údržba, náklady na kotvení apod. Britský potápěč našel ekonomičtější řešení, když si na portálu Facebook Marketplace zakoupil za 300 liber vrak obchodní lodi, kterou v roce 1917 potopila německá ponorka. Leží pouhé dvě námořní míle od pobřeží. Hromada oceli v hloubce 58 metrů je jen jeho.

Filozofové předpověděli, kterak zlé myslící stroje ovládnou svět. Už zase

Svět techniky - Pá, 04/18/2025 - 15:58
Posledních několik dnů se hodně mluví o prognóze AI 2027. Jde o jednasedmdesátistránkový dokument, mapující možný vývoj velkých jazykových modelů v blízké budoucnosti. V tomto článku shrneme jeho obsah. Později se budeme věnovat otázce, nakolik je možné, aby umělá inteligence skutečně ovládla Zemi.

Výzkum 14 153 443 projevů v americkém Kongresu: zákonodárci opouštějí fakta

Svět techniky - Pá, 04/18/2025 - 10:02
Zástupci amerických občanů se ve svých řečech přestávají odkazovat na ověřitelné skutečnosti. Nahrazují je intuicí a osobními dojmy. Pokles začal už v sedmdesátých letech minulého století. Současný stav je nejhorší v dějinách.

Viděl padat své nejoblíbenější letadlo. Na letištích natáčí skoro třicet let

Svět techniky - Pá, 04/18/2025 - 00:00
Jeho zájem o letectví se zrodil na vyhlídkové terase pražského ruzyňského letiště, kam jej někdy v roce 1985 vzal tatínek. Letecký kameraman Jan Jánský vytvořil za téměř třicet let videoarchiv, čítající vyšší stovky hodin záznamu a viděl létat – i padat – zajímavé unikáty. „Nejdůležitější je stát v první řadě,“ říká.

Vzdálená planeta má známky života, hlásí vědci. Je tu však několik „ale“

Svět techniky - Čt, 04/17/2025 - 12:57
Vesmírný teleskop Jamese Webba přinesl podle skupiny vědců z Cambridgeské univerzity zajímavý objev na 124 světelných let vzdálené planetě K2-18b. V atmosféře této planety totiž odhalili molekuly látek, které na Zemi produkují patrně jen živé organizmy. Stejná látka však byla již objevena i při zkoumání jedné komety.

USAF nakupuje pancéřované „Turbočmeláky“. Jeden kus vyjde na 880 milionů

Svět techniky - Čt, 04/17/2025 - 12:05
Americké letectvo si převzalo první exemplář turbovrtulového letadla Skyraider II. Vzhledem vzdáleně připomíná československého Turbočmeláka. Není divu. Vznikl úpravou civilního letounu používaného ke stejným pracím.

Bulharsko zažilo před 100 lety nejbrutálnější teroristický útok v dějinách

Svět techniky - Čt, 04/17/2025 - 10:30
V polovině dubna 1925 se v bulharské Sofii odehrál nejhorší teroristický útok v dějinách země. Konečná bilance: 213 mrtvých a 500 zraněných. Bombový útok měli na svědomí místní komunisté, spekulovalo se i o pomoci ze zahraničí.

Krátké vlny: Dubnová legislativní smršť

Svět internetu - Čt, 04/17/2025 - 06:15

Současná Hospodářská strategie České republiky: Česko do top 10 neignoruje umělou inteligenci, a tak není divu, že Ministerstvo průmyslu a obchodu nechce nic podcenit a připravilo materiál s názvem „Návrh implementace Aktu o umělé inteligenci v České republice“, který zaslalo do zkráceného meziresortního připomínkového řízení. To skončilo v úterý 15. dubna.

AI Akt přijatý Evropským parlamentem a Radou Evropské unie dne 13. června 2024 stanoví jednotná pravidla a standardy, které podporují transparentnost, ochranu základních práv a bezpečnost uživatelů. Předkladatel chce pro zajištění bezpečného a etického využívání této technologie co nejdříve implementovat AI Aktu do českého právního řádu. AI Akt vstoupil v platnost dne 1. srpna 2024 a s několika výjimkami se použije od 2. srpna 2026. Pro členské státy vyplývá z AI Aktu řada povinností, asi ta nejviditelnější je povinnost určit vnitrostátní úřady, které budou plnit dohled a další povinnosti z nařízení o AI. Takže kdo bude v Česku ten nejvyšší úřad dohlížející na AI?

MPO navrhuje v materiálu jmenovat Český telekomunikační úřad jako orgánem dozoru nad trhem. Oznamujícím orgánem pak Úřad pro technickou normalizaci, metrologii a státní zkušebnictví a orgánem zodpovědným za vznik regulačního sandboxu Českou agenturu pro standardizaci.

Dle analýzy Ministerstva průmyslu a obchodu si implementace a vymáhání AI Aktu v období 2026 – 2028 vyžádá finanční prostředky ve výši 232 527 100 Kč a 48 nových úvazků (FTEs – plné pracovní úvazky) + 9 úvazků bylo zajištěno MPO z vlastních kapacit + 3 systemizovaná místa budou převedena z úřadu vlády na MPO.

Připomínky, které MPO obdrželo, nejsou pestré a v podstatě je lze rozdělit na dvě skupiny – skupina A, jsou úřady, které jsou implementací dotčeny a mají pocit, že by si zasloužili více tabulkových míst pro nové zaměstnance, a druhá skupina (pro jednoduchost si ji označme jako skupinu B), kterou zastupuje Ministerstvo financí, které „nesouhlasí s navrhovaným úkolem pro pana ministra financí v bodě III.2. (zajistit finanční zdroje požadované v předloženém materiálu, a to navýšením kapitoly 322 – MPO o 101 513 500 Kč a kapitoly 328 – ČTÚ o 131 013 600 Kč) a požaduje jeho vypuštění v plném rozsahu.“ Dopady na veřejné rozpočty související s implementací a vymáháním AI Aktu (vč. dopadů na systemizovaná místa a objem platových a mzdových prostředků) by měly být řešeny v rámci standardního procesu přípravy a projednávání připravovaného Zákona o umělé inteligenci.“ Podle ministerstva by dopady na veřejné rozpočty související s implementací a vymáháním AI Aktu (vč. dopadů na systemizovaná místa a objem platových a mzdových prostředků) měly být řešeny v rámci standardního procesu přípravy a projednávání připravovaného Zákona o umělé inteligenci. Financování nad rámec zajištěných prostředků musí podle strážce poklady reflektovat reálné možnosti státního rozpočtu v daném období a musí být podrobeno standardnímu procesu alokace zdrojů v souladu s platnými rozpočtovými pravidly a fiskálními cíli vlády.

Další návrh, který MPO podrobuje meziresortnímu připomínkovému řízení, je návrh novely zákona o digitální ekonomice. Ač tento zákon ještě nebyl přijat (čeká na třetí čtení v Poslanecké sněmovně jako sněmovní tisk č. 776), tak MPO připravilo jeho novelu. Důvodem je adaptace nařízení o datech do českého právního řádu. Návrh má představovat minimalistickou implementaci nařízení o datech a v podstatě se jedná o procesní úpravu a určení dozorových orgánů. Příslušnými dozorovými orgány jsou návrhem určeny obvyklí podezřelí Český telekomunikační úřad, Úřad pro ochranu osobních údajů a Digitální a informační agentura.

Připomeňme si, že nařízení o datech má za cíl zajištění spravedlivého digitálního prostředí, podporu konkurenceschopného trhu s daty a příležitostí pro inovace založené na datech a otevřeném přístupu k nim. Stanovuje opatření, která umožní uživatelům připojených výrobků získat přístup k datům, jež tato zařízení generují, a umožnit přístup k nim třetím stranám za účelem poskytování poprodejních nebo jiných inovativních služeb založených na datech. Zároveň obsahuje opatření zamezující zneužívání dominantního postavení v rámci smluv o sdílení dat a usnadňující změnu poskytovatele služeb zpracování dat.

Meziresortní připomínkové řízení trvá do 12. května 2025

Ministerstvo vnitra rozeslalo do meziresortní návrh nařízení vlády o stanovení výše a způsobu úhrady efektivně a účelně vynaložených nákladů na odposlech a záznam zpráv a příspěvku na uchovávání provozních a lokalizačních údajů. Tento návrh je předkládán v návaznosti na již schválenou novelu zákona o elektronických komunikacích, která byla vyhlášena pod číslem 23/2025 Sb. a která v ustanovení § 97 odst. 11 nově stanoví, že vláda stanoví nařízením:
– výši a způsob úhrady efektivně a účelně vynaložených nákladů na plnění povinností zřídit a zabezpečit v určených bodech své sítě rozhraní pro připojení koncového telekomunikačního zařízení pro odposlech a záznam zpráv,
– výši a způsob úhrady příspěvku na plnění povinnosti uchovávat provozní a lokalizační údaje, a to i v případě existence společného technického řešení, a
– způsob prokazování důvodnosti efektivně a účelně vynaložených nákladů.

Největší změna se tak týká úhrad za plnění povinnosti uchovávání provozních a lokalizačních údajů, kdy nově nemají být hrazeny efektivně a účelně vynaložené náklady, ale pouze příspěvek na úhradu nákladů, který se hradí maximálně do výše, která je stanovena vztahem:
– pmax = 9000 ⋅ n0,4,
– kde pmax = maximální výše příspěvku v českých korunách,
– 9000 = koeficient zohledňující náklad řešení na jednoho uživatele,
– n = počet kategorizovaných služeb poskytovaných koncovým uživatelům, jak jej eviduje Český telekomunikační úřad.

Pojem kategorizované služby vychází z logiky předkladatele, že koncovému uživateli může být poskytováno více veřejně dostupných služeb elektronických komunikací jedním poskytovatelem jako například hlasová služba nebo služba přístupu k internetu, pro které se samostatně uchovávají specifické provozní a lokalizační údaje, proto je zohledňován počet poskytovaných služeb, a nikoliv pouze počet koncových uživatelů.

Novou úpravu obsahuje i § 6, který popisuje postup prokazování důvodnosti efektivně a účelně vynaložených nákladů. Důvodnost efektivně a účelně plánovaných nákladů se prokazuje před pořízením a spuštěním sytému na uchovávání provozních a lokalizačních údajů, na základě podkladů, které jsou součástí žádosti o posouzení technického řešení a vybavení pro plnění povinnosti uchovávat provozní a lokalizační údaje. Už v průběhu projednávání návrhu novely zákona o elektronických komunikací se část sektoru neztotožnila s tímto návrhem hrazení nákladů a zejména poukazovala na rozdílné množství provozních a lokalizačních dat, které jsou generovány v pevných sítí ve srovnání s mobilními sítěmi. Lze tedy očekávat, že i k tomuto návrhu přijde mnoho připomínek. Termín na jejich zaslání je 6. května 2025.

Kategorie:

Apple připravuje systém, který má změnit to, jak využíváte jeho iPady

Svět techniky - Čt, 04/17/2025 - 00:00
Za necelé dva měsíce by měla společnost Apple představit novou generaci operačního systému pro své tablety. A mohla by to být změna, která konečně přinese větší využití potenciálu, který toto zařízení má.

Spotify postupně nabíhá po masivnímu výpadku po celém světě

Svět techniky - St, 04/16/2025 - 16:46
Pokud vám dnes hudební služba Spotify nefunguje, nejste sami. Uživatelé z celého světa hlásí výpadky této nejrozšířenější cloudové hudební platformy.

„Ségro, nežer mě,“ pavouci mají podivné skrupule vůči pojídání sourozenců

Svět techniky - St, 04/16/2025 - 15:02
Pokoutníci nálevkovití se zdráhají žrát své bratry a sestry. Chovají se tak ale jen, když vyrůstají v kolektivu. Jedináčci si na nich klidně smlsnou.

OpenAI buduje sociální síť. Když bude úspěšná, může být zdrojem dat pro AI

Svět techniky - St, 04/16/2025 - 10:22
OpenAI před dvěma a půl lety nastartovala současný boom generativní umělé inteligence. Nyní podle portálu The Verge pokukuje po možnosti vytvořit vlastní sociální síť. Může se jí hodit, když bude potřebovat další data pro vývoj svého velkého jazykového modelu.