Autoreporter-palvelun tilastotietoja avoimena datana

Autoreporter on Viestintäviraston Kyberturvallisuuskeskuksen tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja. Havainnot välitetään suomalaisten verkkojen tietoturvasta vastaaville korjaavia toimia varten. Autoreporter seuraa yli 200 AS-numeroa.

Tällä sivulla on julkaistu Autoreporter-palvelun tuottamaa tilastotietoa avoimena datana. Tiedot kattavat kaikki palvelun tekemät haittaohjelma- ja tietoturvaloukkaushavainnot 6.3.2005 eteenpäin. Havainnoista on annettu julki seuraavat tiedot: aikaikkuna (UTC-aikavyöhyke), AS-numero, IP-osoite, ja havainnon tarkempi luokittelu.

Aikaikkunana käytetään kokonaisia päiviä ja yksi IP-osoite on ilmoitettu aikaikkunassa vain yhden kerran havaintotyyppiä kohden. IP-osoitteiden dynaamisuudesta johtuen on mahdollista, että yksittäinen IP-osoite on aikaikkunan aikana olla useamman eri käyttäjän käytössä.

AS-numerot sekä IP-osoitteet on anonymisoitu tiivistefunktion avulla. IP-osoitteet on anonymisoitu, jotta yksittäisen käyttäjän identiteetti turvattaisiin. AS-numerot taas on anonymisoitu verkkojen ylläpitäjien toiveesta. IP-osoitteiden maantieteellinen sijainti on kuitenkin selvitetty kaupunkitasolla ennen IP-osoitteen anynonymisointia.

Maantieteellisen sijainnin määrittelyssä on käytetty hyväksi yhdysvaltalaisen MaxMind-yrityksen tarjoamaa kaupallista tietokantaa. Alla oleva data
2005 - 2012 perustuu 3.7.2012 päivitettyyn MaxMind-tietokantaan, kun taas vuosien 2013 ja 2014 data 10.3.2015 päivitettyyn versioon. Tietokannan tiedot eivät ole täydelliset, joten maantieteelliseen sijaintiin tulee suhtautua varauksella. Kaupungin nimen lisäksi maakoodi (cc) tulee tietokannasta.

Tilastotiedot on julkaistu tekstitiedostoina sekä CSV- että JSON-muodoissa alla olevien esimerkkien mukaisesti. Tiedostojen merkistö on UTF-8.

CSV

# date from|date to|anon AS-number|anon IP-address|IP version|maincategory|subcategory|cc|city
...
2011-12-08 00:00:00+0000|2011-12-08 23:59:59+0000|52258e89bec324649e6a1b56c797902662a6c0e7|10940f75591111d1baa5d908df817c512bc778f5|4|bot|dnschanger|FI|Helsinki
2011-12-08 00:00:00+0000|2011-12-08 23:59:59+0000|52258e89bec324649e6a1b56c797902662a6c0e7|10940f75591111d1baa5d908df817c512bc778f5|4|bot|unspecified bot|FI|Helsinki
2011-12-08 00:00:00+0000|2011-12-08 23:59:59+0000|52258e89bec324649e6a1b56c797902662a6c0e7|1442a64c5cef7e3a3f6d356899fd77ee45de1a51|4|suspected spambot|blocklist|FI|Vanda
...

JSON

{
"autoreporter": {
"opendata": [
...
{
"date": {
"from": "2011-12-08 00:00:00+0000",
"to": "2011-12-08 23:59:59+0000"
},
"asn": [
{
"number": "52258e89bec324649e6a1b56c797902662a6c0e7",
"ipaddress": [
{
"address": "10940f75591111d1baa5d908df817c512bc778f5",
"version": "4",
"cc": "FI",
"city": "Helsinki",
"incident": [
{
"category": {
"main": "bot",
"sub": "dnschanger"
}
},
{
"category": {
"main": "bot",
"sub": "unspecified bot"
}
}
]
},
{
"address": "1442a64c5cef7e3a3f6d356899fd77ee45de1a51",
"version": "4",
"cc": "FI",
"city": "Vanda",
"incident": [
{
"category": {
"main": "suspected spambot",
"sub": "blocklist"
}
}
]
},
...

Havaintotyypit

Havaintotyyppien pääkategoriat ovat

  • bot: Haittaohjelmalla saastunut työasema liitetään yleensä osaksi hyökkääjän hallitsemaa verkkoa. Työasema muuttuu bot-asiakasohjelmaksi, jota voidaan komentaa muodostuneen bot-verkon välityksellä.
  • bruteforce: IP-osoitteesta on havaittu murtoyrityksiä yleisesti käytettyjä verkkopalveluja vastaan. Verkkopalveluiden tunnussanoja yritetään murtaa systemaattisesti joko satunnaisilla merkkijonoilla tai kokeilemalla sanakirjoista löytyviä sanoja. IP-osoitteessa oleva työasema on voinut päätyä tietomurron kohteeksi tai haittaohjelman saastuttamaksi.
  • cc: Haittaohjelmalla saastunut työasema liitetään yleensä tavalla tai toisella osaksi hyökkääjän hallitsemaa bot-verkkoa. IP-osoitteessa on tunnistettu hallintapalvelin, jota käytetään tällaisten bot-verkkojen komentamiseen.
  • dameware: Vanhoissa DameWare Mini Remote Control -ohjelmistoissa on haavoittuvuus, jota voidaan hyväksikäyttää etäältä. Haavoittuvuuden kautta työasemalle voidaan asentaa esim. haittaohjelmia. IP-osoitteessa on havaittu mahdollinen DameWare-haavoittuvuuden onnistunut hyväksikäyttö.
  • ddos: Havainto listaa sekä palvelunestohyökkäyksiin osallistuvat työasemat että palvelunestohyökkäyksen kohteeksi joutuneita kohteita.
    defacement IP-osoitteessa on töhritty verkkosivu.
  • dipnet: Dipnet on Windows-työasemia saastuttava verkkomato, joka käyttää leviämisessä hyväksi LSASS-haavoittuvuutta.
  • fastflux: Fastflux on nimipalvelintasolla toteutettu tapa piilottaa bot-verkon hallintapalvelimet, huijaustoimintaan osallistuvat verkkosivustot sekä haittaohjelmien levityssivut. Piilotus toimii niin, että nimipalvelin jatkuvasti palauttaa uusia IP-osoitteita tietylle verkkotunnukselle. Palautettujen IP-osoitteiden takaa löytyy useimmiten saastunut työasema joka on osa bot-verkkoa.
  • malware: IP-osoitteessa on jaeltu haittaohjelmaa.
  • malweb: IP-osoitteessa on havaittu haitallinen verkkosivusto. Tyypillisimmin kyse on haitallisesta JavaScript-koodista, iframe-viittauksesta tai muusta verkkosivulle sisällytetystä haitallisesta osiosta.
  • phishing: Kyseisessä IP-osoitteessa on havaittu urkintaan osallistuva verkkosivusto. Kyseessä on yleisimmin tietomurron kohteeksi joutunut työasema tai www-palvelin.
  • proxy: Työasemasta tai palvelimesta on tehty avoin välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä monella eri tavalla. Esimerkkinä mainittakoon roskapostin lähettäminen ja bot-verkkojen komentaminen.
  • router: Verkon aktiivilaitteesta on tehty välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä monella eri tavalla.
  • scan: IP-osoitteesta on joko tehty ajattelemattomasti verkon tutkimustyötä tai kyseessä on väärissä käsissä oleva tietojärjestelmä tai haittaohjelmalla saastunut työasema.
  • spreaders: Haittaohjelmilla on monia leviämismekanismeja, joista yksi on käyttöjärjestelmän haavoittuvuudet. IP-osoitteesta on havaittu haittaohjelman leviämisliikenteen tunnusmerkkejä.
  • suspected spambot: IP-osoitteesta on havaittu lähetettävän roskapostiviestejä. On syytä epäillä, että työasema on haittaohjelman saastuttama ja sitä käytetään roskapostin lähetysalustana.
  • worm: IP-osoitteesta on havaittu verkkomadon leviämisyritys. Verkkomadot leviävät yleensä käyttämällä hyväksi jotain verkkopalvelun haavoittuvuutta.

Havaintojen alikategorioilla tarkennetaan pääkategorioita. Alikategoriat voivat sisältää esim. haittaohjelmien nimet ja verkkoskannauksen tai murtoyrityksen kohteena olleet porttinumerot.

Tiedostot

  • Avoin data 2016 (CSV- ja JSON-muodossa)
    MD5: e3d2bffd7b9fc445a15ee3bd55f71c48
    SHA1: 64c3bb660b692b159d772aaf79b040f575e26f96
  • Avoin data 2015 (CSV- ja JSON-muodossa)
    MD5: aad730f3476bca6513a39cd75f4eea87
    SHA1: dd5212ae6440e9503b65a3a635cf668b6dce3fbd
  • Avoin data 2014 (CSV- ja JSON-muodossa)
    MD5: 2c0637b724c5d5be10588259e31d5258
    SHA1:
    ac72477541fe45713260c7fa906ee9813509786f
  • Avoin data 2013 (CSV- ja JSON-muodossa)
    MD5: f4ad9f934b5e310c58ba6651e05f1873
    SHA1: 4384d49c3b681f4a1e1e92995e11bb3e10ca7b82
  • Avoin data 2005 - 2012 CSV-muodossa
    MD5: 6634cc151e2fb16a763ba1f3e6bb3405
    SHA1: b2e88f7d766934a9b8a9edc482504c3f07111092
  • Avoin data 2005 - 2012 JSON-muodossa
    MD5: d02e7051ea961c8f38bcfe6059f3f571
    SHA1: bc23bf87e420b93afd5e7f68a3e834e0359bf2d7

Palaute

Otamme mielellämme vastaan palautetta ja kehitysehdotuksia Kyberturvallisuuskeskuksen Facebook-sivujen kautta, Twitterissä tai sähköisen yhteydenottolomakkeen välityksellä.

Asiasanat: Tietoturva , CERT , Haittaohjelma , Tilastot

LinkedIn Print