Ja teda nevim, co Vam, ale mne sken ukazal velke a okrouhle ... abych byl slusny.
Az donedavna se kvuli optimalizaci a rychlosti doporucovalo komponenty web stranek tahat z vice URL,
staticke a dynamicke z ruznych technologii, pouzivat co nejvic DNS nazvu (protoze browser pak tech spojeni
otevira vice soucasnych).
Ted prijdou nejaci pytlici s radobybezpecnosti, donuti Vas zbytecne pridavat SSL tam, kde nejsou a nebudou zadna
citliva data, propaguji naprosto neduveryhodne certifikacni autority s minimalni zivotnosti certifikatu, aby se to (CA) vyplatilo, omezuji nesmyslne pouziti "*" certifikatu, a rusi vsechny puvodni premisy pro optimalizaci a rozklad zateze.
Protože protože prohlížeče omezují počet spojení podle domény: https://docs.pushtechnology.com/cloud/latest/manual/html/designguide/solution/support/connection_limitations.html
"Browsers limit the number of HTTP connections with the same domain name. This restriction is defined in the HTTP specification (RFC2616). Most modern browsers allow six connections per domain. Most older browsers allow only two connections per domain."
Jako workaround se používá servírování obsahu z různých subdomén. Samozřejmě s HTTP/2 to padá.
A toto je presne to na co uzivatelia CZ NIC pindaju.
Peniazky pekne krasne pouzite na osobny zaujem. Resp. niekto sa rano zobudil a povedal si ze waaaa to by bolo super si oskenovat internet. Doma to robit nebudem zadarmo samozrejme ale idem do CZ.NIC kde ma krasne zaplatia a navyse mozem pracovny cas minut na aktivitu ktora uspokoji moje osoben zaujmi.
Pondelok: Idem na to oprasim scripty
Utorok: Zacnem scan
Streda: Hotovo
Stvrtok: Taaaak by bolo napisat o tom nieco napriklad aspon blog
Piatok: Telefon do root.cz hej potrebujem trosku spromovat aktivitu nech ty hlupaci v diskusiach zavru usta.
Sobota: Profit
Nedela: Rozmyslam aky dalsi sen by som si splnil za peniaze s CZ.NIC.
Hezký den, chtěl bych uvést Vaše tvrzení na pravou míru. Tento výzkum nevnikl z ničeho nic, ale došlo k němu na základě našich dalších aktivit. Z článku to není úplně zjevné, protože se tomuto tématu věnujeme dlouhodobě na našem blogu. Ve zkratce jde o to, že provozujeme aplikaci Malicious Domain Manager. V té již od roku 2012 shromažďujeme informace o doménách .CZ, jejichž webové prezentace byly nějakým způsobem kompromitovány a o tomto stavu pak informujeme držitele domény a snažíme se mu pomoci dosáhnout nápravy, pokud o to požádá. Cílem je především ochránit další uživatele, protože kompromitované domény jsou pak znežívány k dalším útokům, buď k šíření malware přes známé zranitelnosti, nebo k provozování phishingových stránek. Tato činnost dle mého názoru dává smysl, v minulosti jsme se tomuto tématu několikrát věnovali na našem blogu a našel byste tam i odkazy na data jiných subjektů, ze kterých vyplývá, že od spuštění MDM se situace s napadenými prezentacemi .CZ postupně zlepšovala. Samozřejmě to mohlo mít i nějaký jiný důvod, ale troufám si tvrdit, že tam naše práce byla vidět.
Na tuto činnost navazují další věci, jako je skenerwebu, nebo analýzy napadených stránek a hledání skutečného zdroje nákazy (exploit kitu). Opět, na našem blogu byste našel články, kde se tomuto tématu obšírně věnujeme. Každopádně, když najdeme primární zdroj útoku, zadáme info o něm do adaptibilního FW na turrisech, které jsou součástí
výzkumného projektu kolegů z oddělení labs. Tam pak blokujeme, nebo aspoň sledujeme pokusy uživatelů připojit se k těmto IP adresám s exploit kitem. A to co nás v minulosti překvapilo bylo množství uživatelů, kteří se na takovéto IP adresy připojovali. Nebylo to nějak obrovské číslo, ale dost velké na to, abychom si položili otázku, zda tolik uživatelů ignoruje varování prohlížečů před potenciálně škodlivou stránkou (když o ní ví naše MDM, vědí o ní i prohlížeče) a nebo zda zde neexistuje určitá část stránek, které šíří malware a my ani prohlížeče o nich nic nevíme. Náš sken se právě toto pokoušel zjistit. To už je holt vlastnost výzkumu, že někdy se hypotéza potvrdí a někdy nikoliv. V tomto případě se ukázalo, že zaznamenané události jsou nejspíš důsledkem chyby uživatelů a nikoliv důkazem o existenci napadených domén, o kterých nemáme my ani prohlížeče žádné informace. Chtěl jsem jen reagovat na styl, jakým zde prezentujete naši práci, jako kdyby to byl nějaký náhodný pokus bez hlubšího smyslu. Také se nejednalo o nějaké plošné skenování internetu, vybrali jsme náhodný vzorek domén, abychom naši hypotézu ověřili. Pokud by byla správná, pak bychom mohli najít další domény, které šíří malware a o kterých zatím nic nevíme. Naše projekty vždy mají nějaký konkrétní smysl a účel, neděláme věci nahodile a bez hlubšího důvodu. Kdyby Vás to více zajímalo, můžete se k nám přijít podívat osobně, rádi Vám ukážeme, čím se zabýváme a jak jsou data dále využívána.
Ten bych taky bral :-)
Jako alternativu pravidelně plním https://github.com/spaze/domains.
Při čtení článku mne napadly dva citáty:
"To muselo dát práce. A přitom taková blbost, že jo..."
a
"Lepší počasí jsme si nemohli přát"
Na druhou stranu, už několikrát jsem se dostal do situace, kdy jsem kombinací několika podobně koncipovaných statistik vydoloval pro mne nesmírně zajímavá a jinak velmi těžko ziskatelná data. Takže to, že na první pohled nevidíme nějaký velký užitek, neznamená, že tam není.
Mne by teda asi nejvíc zajímalo to, co z analýzy vypadlo, tedy využití GA a CloudFlare. Kdyby tedy náhodou autor článku zabrousil do diskuze... ;-)
Dobrý den,
zabrousil jsem až teď.
Službě CloudFlare jsem identifikoval 15 různých IP adres na třech doménách, z nichž proběhlo 1061 spojení:
* ajax.cloudflare.com požadovalo 15 origins
* cdnjs.cloudflare.com 351 origins
* report-uri.cloudflare.com 695 origins.
Službu GA jsem whitelistoval a vůbec nesledoval, byť zpětně toho lituju. Kompletní whitelist:
detectportal.firefox.com
pki.goog
googleadservices.com
cloudfront.net
doubleclick.net
mozilla.com
googleapis.com
w3.org
google.cz
gstatic.com
googlesyndication.com
google-analytics.com
google.com
digicert.com
mozilla.net
mozilla.org
http://www.google.com/adsense/
https://fbstatic-a.akamaihd.net/rsrc.php
http://clients1.google.com/ocsp
https://safebrowsing-cache.google.com/safebrowsing/
https://safebrowsing.google.com/safebrowsing/
https://tiles.services.mozilla.com/
Napište prosím na info@csirt.cz, co Vás zajímá, budu se Vám věnovat a mohl bych Vám případně poskytnout syrovější data.
S pozdravem