Hlavní navigace

PIRT – krotitelé rhybhářů

Autor: 29
Pavel Satrapa

Na frontě boje proti phishingu od jara působí nový subjekt – Phishing Incident Reporting and Termination Squad (PIRT). Hlavní těžiště jeho aktivit vyjadřuje slůvko Termination v názvu. Snaží se co nejrychleji ukončit působení nahlášených útoků a díky tomu minimalizovat počet postižených.

Doba čtení: 3 minuty

Sdílet

Phishing čili rhybhaření má v současnosti významný podíl mezi levárnami, jimiž nám Internet znepříjemňuje život. Krátce po jeho příchodu na svět se pochopitelně objevily i aktivity zaměřené na boj proti němu. Nejznámější je nepochybně Anti-Phishing Working Group, jejíž archivy rhybhářských útoků sahají do září 2003.

APWG se zaměřuje na osvětu, vypracovávání metodik pro ochranu před rhybháři, shromažďování informací o uskutečněných útocích a také na související právní kroky. Tato činnost je nepochybně vysoce užitečná, nicméně podle názoru Paula Landanskiho nepříliš efektivní při eliminaci známých útoků. Proto společně s Alexem Eckleberrym založili PIRT.

Ikonka - Kristalova Lupa 2006
Chcete podpořit svoji oblíbenou službu na českém Internetu? Rádi byste dali provozovatelům webů najevo, že jim fandíte? Pak neváhejte a hlasujte v anketě Křišťálová Lupa 2006! Až do 31. října 2006 můžete ovlivnit, které projekty si budou přebírat ocenění pro vítěze pro tento rok. Navíc získáte roční licenci k bezpečnostnímu balíku od společnosti AEC a můžete vyhrát i některou z 50 hodnotných cen.

Inspirací jim byla osobní zkušenost, kdy se jim během pár hodin podařilo pomocí několika dopisů a telefonátů ukončit provoz rhybhářského serveru. Usoudili, že podobný model by se dal uplatnit univerzálně. Proto založili organizaci, jež reaguje na aktivity rhybhářů s cílem je co nejrychleji zastavit.

Podstatnou skutečností je, že rhybháři se snaží skrývat svou totožnost, a proto velmi často napadají počítače jiných subjektů, které pak zneužívají pro své účely – rozesílání dopisů či předstírání stránek subjektů, jejichž uživatele loví. Vlastník serveru bývá nemile překvapen a ochotně spolupracuje na nápravě věcí. Proto je úspěšnost snah o zastavení rhybhářských útoků dost vysoká.

Jak pracuje PIRT

Případ začíná ohlášením útoku pomocí webového formuláře či elektronického dopisu. Ohlášení se chopí jeden z členů PIRTu a nejprve ověří, zda se skutečně jedná o phishing (jinými typy neplech se PIRT programově nezabývá, viry či spamy jej nechávají chladným) a zda nejde o duplicitní ohlášení již známého útoku. Pokud se skutečně jedná o nový rhybhářský útok, zjišťuje podrobnosti, především kde se nacházejí zúčastněné servery a které organizace jsou do útoku zataženy.

Následuje rozesílání informací partnerům PIRTu i organizacím, jichž se útok týká. Další akce pak zahrnují kontaktování vlastníků serverů, jejich poskytovatelů Internetu a dalších osob či subjektů, jež mohou útok zastavit. Dopis obsahuje informace o útoku s adresami inkriminovaných stránek a žádost dotyčnému subjektu, aby pomohl s vyšetřením útoku a zajistil důkazy – rhybhářovy soubory, logy a podobně. O aktuální úspěšnosti svého snažení se nezmiňují. V dobách začátků se jim dařilo zastavit přibližně 40 procent ohlášených útoků.

PIRT se pyšní svou otevřeností. Informace o otevřených případech a změnách jejich stavu posílá bezplatně všem organizacím bojujícím proti phishingu – v současnosti jich odebírá tyto zprávy zhruba padesát. Zdůrazňuje, že likvidaci serverů provádí výhradně regulérními prostředky: prostřednictvím vlastníků serverů, poskytovatelů Internetu a podobně. Neprolamují se do serverů a nesnaží se je ukončit podobně nekorektními prostředky, jimiž byly přivedeny na svět.

BRAND Vasky

Zajímavý je finanční model, protože zatím celý PIRT funguje na bázi čiré dobrovolnosti. Provozní náklady na servery a připojení hradí CastleCops Paula Landanskiho, lidé pro PIRT pracují dobrovolně. Nicméně zvažují založení nadace či podobnou cestu k získání finančního zázemí.

Osobně mi je tato aktivita velmi sympatická, protože vhodně doplňuje ty existující. Zatímco APWG se zaměřuje zejména na prevenci a dokumentaci, PIRT snižuje počty postižených a škody. Obojí je potřeba.

Anketa

Setkali jste se s phishingem na „vlastní kůži“?