Danish Computer Security Incident Responce Team

Click for English version
CSIRT håndterer sager vedr. IT sikkerheds hændelser hos TDC's erhvervskunder. Vi hjælper kunderne med rådgivning og information, mhp. at genskabe en normal situation, og sikre mod gentagelse.

Vi sørger for at have helt opdateret viden om aktuelle trusler mod IT sikkerheden.

Adresse:

TDC CSIRT
Sletvej 30, B-100
8310 Tranbjerg
Telefon: +45 66659638
Fax: +45 66659639
email: csirt@csirt.dk

Man har mulighed for at sende krypterede emails vha. PGP. CSIRT benytter følgende nøgle:
Key Id: 0x70486034
Key Fingerprint: DE9F 1DC8 EDC3 7F32 7BC0 6E46 4C91 73F3 7048 6034

Nøglen kan findes på de sædvanlige offentlige key servers.

Tidszone:

GMT+1 (sommertid GMT+2)

Vi håndterer alle internetmisbrugssager fra ip adresser i ripe databasen route origin AS3292, som ikke behandles af abuse@post.tele.dk
Se e.v.t. www.ripe.net

Normalt rapporteres om internetmisbrug vha. emails sendt til csirt@csirt.dk.

Alle rapporter besvares vha. en autoreply, og normalt ikke andet.

Hvis man ønsker at rapportere om internetmisbrug, bør man sikre sig at rapporten er tilstrækkelig god til at den kan behandles.

Normalt skal en rapport kun være om en enkelt ip adresse. Man bør bruge en passende whois service til at finde den rette abuse emailadresse.

Vi kan anbefale www.cyberabuse.org  og www.ripe.net

Rapporter skal sendes i form af en normal tekstbaseret email, uden vedhæftede bilag. Emnelinien bør indeholde ip adressen, og/eller sagstypen som f.eks. spam, virus, scanning o.l.

Hvis rapporten vedrører scanning o.l., skal der være et lille klip fra en log som viser problemet:

• TCP/UDP/ICMP
• Source og destinations porte og/eller type
• Source og destinations ip adresser
• Tidsangivelse incl. tidszone og nøjagtighed

Hvis rapporten omhandler spam eller virus emails, skal den indeholde en kopi af den fulde mailheader fra den uønskede email.

Den fulde mailheader skal vise at der er modtaget en uønsket email fra den ipadresse rapporten handler om.

Du kan f.eks. finde den fulde mailheader ved at bruge vejledningen

Er der tale om rapport om spredning af virus/orme ell. lign. er det ønskeligt at der er information om hvilken virus der er tale om. Virus bilag må ikke medsendes.

Er der tale om spam fra en virksomhed bør rapporten indeholde hele teksten fra den uønskede email, og man bør fortælle os om vi må oplyse afsenderen af spam om hvem der klager.

Sagstyper og prioritering

Behandlingen af sagerne afhænger af faktorer som sagstype, typen af virksomhed der rammes, antal berørte personer o.l. og CSIRT.DK's aktuelle ressourcer. Herunder listes vores prioriteringsprincip i faldende orden:

• Trusler mod menneskers liv og helbred.
• "Root eller system-level" angreb mod flerbruger systemer og/eller servere.
• Misbrug af bruger konti eller installationer, specielt hvor der er adgang til fortrolige data.
• Denial of service angreb mod ovenstående to typer maskiner.
• Alle angreb mod ovenstående, som stammer fra TDC's kunders ip adresser.
• Stort antal angreb af alle typer, herunder portscanning, password cracking og virusspredning.
• Misbrug rettet mod individuelle bruger konti.
• Andre brud på TDC's kundevilkår.

Andre sagstyper behandles ud fra en individuel vurdering.

Fortrolighed

CSIRT behandler alle rapporter fortroligt. Hvis man vil acceptere at en rapport må bruges af trediepart, i forbindelse med opklaringen af en hændelse, skal man skrive det i den rapport vi modtager.

CSIRT udleverer ikke kundeinformationer uden dommerkendelse. Vi kan i særlige tilfælde formidle kontakt mellem parterne, hvis der på forhånd er enighed herom.