České honeypoty ukazují reálná rizika pro tuzemské uživatele

15. 5. 2012

Sdílet

 Autor: Delphimages - Fotolia.com
V Česku provozované honeypoty naznačují, jaké jsou skutečné hrozby, kterým musí čelit čeští uživatelé.

Jednou z aktivit CZ.NICu je provozování serverů detekujících pokusy o neoprávněná připojení a útoky. Obecně se takový server označuje jako honeypot (tedy sklenice medu) – pro útočníky se může zdát lákavý, ale poskytované služby jsou pouze simulované a informace o útočníkovi se zaznamenávají.

Zde je vhodné podotknout, že se nejedná o cílené útoky, ale spíše o výsledky práce programů (malwaru), které systematicky prochází prostor IP adres a zkouší, kde budou mít štěstí. Smysl provozování honeypotů je v analýze trendů a monitorování bezpečnosti internetu.

Jaké jsou tedy statistiky CZ.NIC za duben letošního roku? Ze zdrojů ataků v geografickém pojetí vede Rusko, druhý za ním je potom Írán. Pokud se ale podíváme na žebříček nejčastějších IP adres, je vidět, že tyto země se do vedení dostaly zásluhou jednotlivců, navíc šlo o jednorázové skenování. Mimo těchto dvou případů je vidět, že zdroje útoků jsou velmi pestré a vyrovnané.

ICTS24

O jaké služby je největší zájem? Nejčastěji se útočníci zkouší připojit na port 80 (HTTP server), následně port 135 (služba Microsoft Remote Procedure Call), 5060 (protokol SIP), 3389 (Remote Desktop Protocol) a 1080 (SOCKS server).

Není to nic překvapivého, protože všechny tyto služby se dají v případě napadení dobře zpeněžit nebo alespoň posloužit k dalšímu šíření virů.