Vad är det jag ser?

Varje röd prick på kartan representerar en ort i Sverige där det finns infekterade datorer. Ju större röd prick desto fler infekterade datorer. Genom att klicka på pricken fås en lista över infekterade IP-adresser för orten. Vidare kan detaljinformation visas för en specifik IP-adress.

Tips:

• Välj "Alla dagar" högst upp till vänster i navigeringsraden om du vill se så mycket data som möjligt.
• Klicka på "Förstora"-länken längst ner i högra hörnet i kartan för att förstora den.

Vad menas med "infekterad dator"?

Det kan till exempel vara en datorn som är medlem i ett botnät eller på annat sätt är trojaniserad, men även en dator som skickar skräppost eller testar ssh-lösenord. En mer exakt definition skulle vara "illasinnad" dator istället för "infekterad", eftersom datorn inte behöver ha tagits över av en angripare. En ssh-lösenordsattack eller utskick av skräppost kan utföras från angriparens egna dator, även om detta är ovanligt.

Vilka datakällor används?

Vi använder till största del publika datakällor, såsom Shadowserver, ZeuS Tracker, MalwarePatrol, DroneBL och Autoshun. RBL-listor (Realtime blacklist) användas också, till exempel SORBS. Data från icke-publika källor processas också. Ett exempel är CERT-SE:s Honeynet.

Hur påverkar dynamiska IP-adresser och NAT resultatet?

Det går inte att sätta likhetstecken mellan en IP-adress och en smittad dator av följande skäl:

• Dynamisk IP-adress: De flesta privatpersoner har en dynamisk IP-adress, dvs en adress som kan ändras sig. En smittad dator kan därför räknas flera gånger i vårt system eftersom den kan ha fått flera olika IP-adresser. Datorn kan även ha flyttats runt mellan olika nät, exempelvis hemmanätet, 3G-modem, jobbet och diverse publika trådlösa nät. De flesta hemmanät använder sig ofta av en brandvägg eller bredbandsrouter. Eftersom denna är ständigt påslagen hålls samma IP-adressen under en längre tid. Å andra sid an ger ett 3G-modem en ny IP-adress vid varje ny uppkoppling mot 3G-nätet. Mer information om Dynamisk IP-adress på Wikipedia
• NAT: Många nät är NAT:ade, dvs flera interna IP-adresser finns bakom en och samma publika IP-adress. Flera smittade dator räknas då som en enda eftersom de använder samma publika IP-adress. Mer information om NAT (Network Address Translation) på Wikipedia

Eftersom dynamiska IP-adresser ger flera IP-adressträffar samtidigt som NAT ger färre kan man fråga sig om de tar ut varandra. Tyvärr går det inte att avgöra men det kan vara en grov approximation.

Vad menas med "träff"?

En loggrad som innehåller IP-adressen räknas som en träff. 50 träffar är således 50 olika loggrader innehållande samma IP-adress. Loggraderna kan komma från en och samma da takälla eller från olika.

Vad är syftet med systemet?

Huvudsyftet är att samla in data över illasinnade datorer i Sverige och filtrera ut de som tillhör myndigheter, kommuner, landsting och andra samhällsviktga organisationer. Då en illasinnad dator upptäcks skickar CERT-SE ut ett e-post till organisationen där de uppmanas att undersöka om deras nät innehåller exempelvis en Conficker-infekterad maskin.

Ett annat användningsområde är att vi får en bra överblick över skräpet på internet i Sverige. Denna kartapplikation skapades för att göra denna data tillgänglig och lättare att förstå. Om du vill veta hur mycket data som processas varje vecka visas detta på Malrec-sidan.

Feedback?

Skicka frågor, synpunkter, ris eller ros till cert@cert.se.