Do výše zmíněné aktualizace sloužil integrovaný firewall pouze k odmítání a logování packetů, které přicházely zvenčí a nebyly součástí již existujícího spojení. Jde tedy pravděpodobně o pokusy o proniknutí do sítě a nebo její skenování.

Data získaná tímto způsobem nám umožňují získávat informace o častých "útočnících" a dále je využívat. Neumožňují nám ale chránit uživatele proti dalším druhům problémů, kde již spojení navázáno je a nebo je inicializováno z vnitřku sítě, např. nakaženým počítačem.

Abychom firewall vylepšili v této oblasti, přidali jsme dvě nové funkce:

1/ začali jsme logovat komunikaci se známými centry botnetů, jejichž adresy jsou dostupné z veřejných zdrojů,

2/ začali jsme blokovat přístupy na adresy, které hostují škodlivý obsah aktivní na českých stránkách.

Na této nové funkcionalitě firewallu jsme úzce spolupracovali s týmem CSIRT.CZ, který nám dodává data pro blokování počítačů hostících malware i zdroje informací o botnetech.

Blokování škodlivého obsahu je založeno na faktu, že pokud je na některou českou internetovou stránku vložen malware, neděje se tak většinou přímo, ale prostřednictvím vloženého iframu, který má zdroj v zahraničí (typicky Číně či Rusku) a kde je teprve umístěn samotný malware. Blokováním takovéto "cizí" adresy tedy neohrozíme legitimní obsah původní stránky, ale zabráníme přístupu k malware. Je nutné upozornit, že veškeré takto blokované adresy jsou ověřeny pracovníky CSIRT.CZ, aby nedocházelo k nechtěnému blokování normálního obsahu.

V případě komunikace s centry botnetů zatím pouze sledujeme situaci a v rámci spolupráce s CSIRT.CZ budeme upozorňovat uživatele, u kterých se takový provoz objeví na možnost nákazy. V případě, že se tento přístup osvědčí a ukáže se, že zdroje dat jsou přesné, uvažujeme do budoucna o přímém blokování takového provozu.

Doufejme, že výše popsaného provozu bude co nejméně a pokud se objeví, podaří se problém rychle opravit.