Nové bezpečnostní funkce
V rámci aktualizace firmwaru routeru v minulém týdnu jsme aktivovali nové bezpečnostní funkce firewallu. Jsou zaměřené zejména na ochranu uživatelů před nově nalezenými hrozbami na webových stránkách a na detekci botnetů.
Do výše zmíněné aktualizace sloužil integrovaný firewall pouze k odmítání a logování packetů, které přicházely zvenčí a nebyly součástí již existujícího spojení. Jde tedy pravděpodobně o pokusy o proniknutí do sítě a nebo její skenování.
Data získaná tímto způsobem nám umožňují získávat informace o častých "útočnících" a dále je využívat. Neumožňují nám ale chránit uživatele proti dalším druhům problémů, kde již spojení navázáno je a nebo je inicializováno z vnitřku sítě, např. nakaženým počítačem.
Abychom firewall vylepšili v této oblasti, přidali jsme dvě nové funkce:
1/ začali jsme logovat komunikaci se známými centry botnetů, jejichž adresy jsou dostupné z veřejných zdrojů,
2/ začali jsme blokovat přístupy na adresy, které hostují škodlivý obsah aktivní na českých stránkách.
Na této nové funkcionalitě firewallu jsme úzce spolupracovali s týmem CSIRT.CZ, který nám dodává data pro blokování počítačů hostících malware i zdroje informací o botnetech.
Blokování škodlivého obsahu je založeno na faktu, že pokud je na některou českou internetovou stránku vložen malware, neděje se tak většinou přímo, ale prostřednictvím vloženého iframu, který má zdroj v zahraničí (typicky Číně či Rusku) a kde je teprve umístěn samotný malware. Blokováním takovéto "cizí" adresy tedy neohrozíme legitimní obsah původní stránky, ale zabráníme přístupu k malware. Je nutné upozornit, že veškeré takto blokované adresy jsou ověřeny pracovníky CSIRT.CZ, aby nedocházelo k nechtěnému blokování normálního obsahu.
V případě komunikace s centry botnetů zatím pouze sledujeme situaci a v rámci spolupráce s CSIRT.CZ budeme upozorňovat uživatele, u kterých se takový provoz objeví na možnost nákazy. V případě, že se tento přístup osvědčí a ukáže se, že zdroje dat jsou přesné, uvažujeme do budoucna o přímém blokování takového provozu.
Doufejme, že výše popsaného provozu bude co nejméně a pokud se objeví, podaří se problém rychle opravit.