Информационно-аналитический ресурс, посвященный информационной безопасности в доменном пространстве http://нетоскоп.рф

1. Вредоносное ПО, фишинг, ботнеты
и
сайты образовательных учреждений
(по результатам экспертизы проекта:
NETOSCOPE.RU)
Павел Храмцов
p.khramtsov@msk-ix.ru

3. Вредоносная активность
• Malware
• Количество зарегистрированных в БД фактов размещения malware на
данном домене
• Тип(ы) Malware если возможно определить — в случае если мы
располагаем такой информацией.
• First seen / Время начала активности (время первого
зарегистрированного в БД размещения malware на данном домене)
• Last Seen / Время последней активности (последние данные о
размещении malware по данному домену)
• Уровень доверия (0-10) — в зависимости от достоверности источников
и частоты жалоб (по фактам размещения malware) на данный домен
присваивается число.
• Phishing
• Botnet

4. Вредоносная активность
• Malware
• Phishing
• Количество зарегестрированных в БД фактов размещения
phishing на данном домене
• Phishing Target(s) (Ebay, Paypal, Яндекс Деньги etc..) если
возможно определить
• First seen (по аналогии с malware)
• Last Seen
• Уровень доверия (0-10)
• Botnet

5. Вредоносная активность
• Malware
• Phishing
• Botnet
• Количество зарегестрированных в БД
фактов размещения элементов управления
ботнетами
• Botnet type (Zeus, Spyeye etc..) если
возможно определить
• Уровень доверия (0-10)

6. Участники НТС (c 2012)

7. Порядок накопления информации и
ее использования
1. Предупреждение
администратора о
наличии проблем по
аналогии с поисковыми
системами
2. Предупреждение
Хостинг-провайдеров о
наличии проблем
3. Предупреждение
регистраторов о наличии
проблем
4. Подготовка информации
для администрации КЦ и
ТЦИ
5. Взаимодействие с
коллегами и «братьями
по оружию»

13. Динамика «лечения» доменов

14. А что еще есть в БД «Нетоскопа»,
но нет пока на сайте?
• Данные рубрикатора (Результаты проекта
«Категоризатор»):
• Технометрики (тип ОС, тип CMS, тип HTTP-сервера и
т.п.);
• Списки категорий (например, «Семья и дети»).
• Данные из внешних «Черных» списков (см. доклад
Дмитрия Белявского)
• Личные кабинеты регистраторов и компетентных
организаций

15. Результаты:
Департаментом образования города Москвы был предоставлен
список из:
•903 доменов образовательных учреждений;
•7 доменов городских образовательных центров;
•9 доменов отдельных проектов;
•2 доменов Департамента образования города Москвы.
На 31 августа 2015 года в базе данных проекта «Нетоскоп» ни один из
этих доменов в качестве доменов, содержащих в настоящее время
информацию, перечисленную в предмете исследования, не числится.
Однако, в разное время 11 доменов из этого списка в базу данных
попадали. Два из них – это домены образовательных центров, а
остальные – образовательных учреждений.
Чаще других в базу данных попадал домен школы №556 (11 раз).

16. Выводы и рекомендации:
• В настоящее время все информационные ресурсы
проидентифицированные доменами из списка Департамента
образования города Москвы являются безопасными.
• Попадание доменов в базу данных не связано с особенностями
платформ хостинга, т.к. для всех образовательных учреждений
используется один и тот же IP-адрес. (провайдер - COMSTAR
Telecommunications). Следовательно, мы имеем дело с
виртуальным web-hosting-ом одним для всех сайтов. Все сайты
имеют одинаковую структуру и отличаются только вводимым
контентом.
• Появление отдельных доменов в базе может быть связаны либо с
системной кратковременной проблемой провайдера, либо с
особенностью ведения сайта в конкретном учебном учреждении.
• Для повышения контроля за безопасностью доменов из списка
Департамента образования города Москвы рекомендуем
включить его (список) в ежедневый список проверки доменов
проекта «Нетоскоп».

17. p.khramtsov@msk-ix.ru