Hlavní navigace

Názor k článku Co nám ukázal sken 10 000 domén? od Pavel Bašta - Hezký den, chtěl bych uvést Vaše tvrzení na...

  • Článek je starý, nové názory již nelze přidávat.
  • 4. 12. 2018 9:59

    Pavel Bašta (neregistrovaný)

    Hezký den, chtěl bych uvést Vaše tvrzení na pravou míru. Tento výzkum nevnikl z ničeho nic, ale došlo k němu na základě našich dalších aktivit. Z článku to není úplně zjevné, protože se tomuto tématu věnujeme dlouhodobě na našem blogu. Ve zkratce jde o to, že provozujeme aplikaci Malicious Domain Manager. V té již od roku 2012 shromažďujeme informace o doménách .CZ, jejichž webové prezentace byly nějakým způsobem kompromitovány a o tomto stavu pak informujeme držitele domény a snažíme se mu pomoci dosáhnout nápravy, pokud o to požádá. Cílem je především ochránit další uživatele, protože kompromitované domény jsou pak znežívány k dalším útokům, buď k šíření malware přes známé zranitelnosti, nebo k provozování phishingových stránek. Tato činnost dle mého názoru dává smysl, v minulosti jsme se tomuto tématu několikrát věnovali na našem blogu a našel byste tam i odkazy na data jiných subjektů, ze kterých vyplývá, že od spuštění MDM se situace s napadenými prezentacemi .CZ postupně zlepšovala. Samozřejmě to mohlo mít i nějaký jiný důvod, ale troufám si tvrdit, že tam naše práce byla vidět.

    Na tuto činnost navazují další věci, jako je skenerwebu, nebo analýzy napadených stránek a hledání skutečného zdroje nákazy (exploit kitu). Opět, na našem blogu byste našel články, kde se tomuto tématu obšírně věnujeme. Každopádně, když najdeme primární zdroj útoku, zadáme info o něm do adaptibilního FW na turrisech, které jsou součástí
    výzkumného projektu kolegů z oddělení labs. Tam pak blokujeme, nebo aspoň sledujeme pokusy uživatelů připojit se k těmto IP adresám s exploit kitem. A to co nás v minulosti překvapilo bylo množství uživatelů, kteří se na takovéto IP adresy připojovali. Nebylo to nějak obrovské číslo, ale dost velké na to, abychom si položili otázku, zda tolik uživatelů ignoruje varování prohlížečů před potenciálně škodlivou stránkou (když o ní ví naše MDM, vědí o ní i prohlížeče) a nebo zda zde neexistuje určitá část stránek, které šíří malware a my ani prohlížeče o nich nic nevíme. Náš sken se právě toto pokoušel zjistit. To už je holt vlastnost výzkumu, že někdy se hypotéza potvrdí a někdy nikoliv. V tomto případě se ukázalo, že zaznamenané události jsou nejspíš důsledkem chyby uživatelů a nikoliv důkazem o existenci napadených domén, o kterých nemáme my ani prohlížeče žádné informace. Chtěl jsem jen reagovat na styl, jakým zde prezentujete naši práci, jako kdyby to byl nějaký náhodný pokus bez hlubšího smyslu. Také se nejednalo o nějaké plošné skenování internetu, vybrali jsme náhodný vzorek domén, abychom naši hypotézu ověřili. Pokud by byla správná, pak bychom mohli najít další domény, které šíří malware a o kterých zatím nic nevíme. Naše projekty vždy mají nějaký konkrétní smysl a účel, neděláme věci nahodile a bez hlubšího důvodu. Kdyby Vás to více zajímalo, můžete se k nám přijít podívat osobně, rádi Vám ukážeme, čím se zabýváme a jak jsou data dále využívána.