11.07.2013 17:17
[CERT.at #200000]: Der nächste Meilenstein
Am 30 Jänner 2012 habe ich hier über unsere ersten hunderttausend Tickets geschrieben: Dafür hat es rund vier Jahre gebraucht: Wir gingen mit April 2008 in den Probebetrieb, davor gab es natürlich schon ein paar Tests, die die ersten Ticketnummern verbraucht haben.Am 10. Juli 2013 haben wir unser zweihunderttausendstes Ticket bearbeitet, in dem wir den Bericht eines international agierenden IT-Sicherheitsunternehmens gefiltert an einen betroffenen ISP weitergeleitet haben. DDas waren also nur mehr knapp 18 Monate für die zweiten 100.000. Grafisch schaut diese Entwicklung so aus:Eine grobe Übersicht, wie sich unser Ticketaufkommen über die letzte Zeit entwickelt hat, findet sich auf unserer Statistik-Seite.Warum die Steigerung? Wir schauen uns laufend nach neuen Quellen um, die uns über Sicherheitsprobleme im österreichischen Internet informieren können. Diese wollen dann bewertet, gefiltert und möglichst effizient an die Personen weitergegeben werden, die diese Probleme auch bereinigen können. Grob gesprochen geht es um zwei Arten von Vorfällen:
- Infizierte (Windows-)PC: Die pure Infektion bringt dem Schreiber der Malware wenig, er muss dieser Anweisungen geben und Daten absaugen können. Diese Kommunikation mit dem Mutterschiff des Botnetzes (im fachchinesisch Command & Control (C&C oder C2) genannt) kann den Bot verraten. Etwa, weil ein Sicherheitsteam eine der dabei verwendeten Domains registiert, oder sich in die P2P Struktur einmeldet.
- Manipulierte Webseiten: Einbrüche in Webserver sind oft von außen leicht zu erkennen: ein Defacement oder eine Phishing-Seite sieht jeder Besucher. Andere sind subtiler: Search engine conditional hacks verstecken sich, und auch eine Brobot-Infektion verändert nicht das Erscheinungsbild der Webseite.