Specjaliści z Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL opublikowali raport za pierwszy kwartał 2012 roku (pisaliśmy o tym ok. 7 procent portali w domenie gov.pl ma akceptowalny profesjonalny poziom bezpieczeństwa). Przedstawia on opis i analizę występujących w tym czasie cyberzagrożeń. Prezentujemy główne zagadnienia poruszone we wspomnianym raporcie.

ACTA=>DDoS=>Badanie ankietowe

W związku z ograniczeniem dostępu użytkowników do informacji publicznej, spowodowanej w dużej mierze protestami przeciwko porozumieniu ACTA, zespół CERT.GOV.PL zaangażował się w przygotowania wytycznych ochrony portali informacyjnych administracji publicznej w domenie gov.pl . Zostały przeprowadzone badania ankietowe dotyczące bezpieczeństwa organizacyjnego i technicznego portali internetowych administracji rządowej. Ze wstępnych wniosków przedstawionych przez CERT.GOV.PL wynika, że

„tylko ok. 7% portali w domenie gov.pl ma akceptowalny profesjonalny poziom bezpieczeństwa, natomiast 18% to portale o nieakceptowanie niskim poziomie bezpieczeństwa”

.

Okazało się także, że

„niecałe 20% instytucji posiada procedury eksploatacyjne i awaryjne na wypadek np. ataku na prowadzone i udostępniane w Internecie serwisy informacyjne”.

Specjaliści z CERT.GOV.PL informują, że ataki DDoS, przeprowadzone w ramach protestów przeciw ACTA, były tworzone z zastosowaniem z wielu narzędzi w celu wygenerowania dużej ilości ruchu. Było to oprogramowanie LOIC (Low Orbit Ion Cannon) umożliwiające generowanie zapytań HTTP oraz ruchu UDP, HOIC (High Orbit Ion Cannon) zbliżone w swojej funkcjonalności do LOIC, oraz narzędzie „hping” służące do wysyłania dużej ilości pakietów TCP na port 80 z ustawioną flagą SYN.

Zdarzenia obsłużone przez CERT.GOV.PL

Rządowy Zespół Reagowania na Incydenty Komputerowe w swym raporcie zwraca także uwagę na wzrost niesklasyfikowanych wcześniej incydentów

„w tym ataków dedykowanych opartych o nietypowe podatności nie wykrywane przez standardowe oprogramowanie i systemy bezpieczeństwa”.

Jak zauważają specjaliści

„wiąże się to m.in. z obserwowanymi na całym świecie coraz częściej stosowanymi atakami w celu nielegalnego pozyskania informacji z systemów wewnętrznych konkretnych instytucji”.

Do obsłużonych przez CERT.GOV.PL zdarzeń należały m.in. podmiany treści na stronach internetowych w poddomenach: sdn.gov.pl, so.gov.pl, mil.pl, edu.pl, oip.pl możliwe do zrealizowania przez zastosowanie domyślnych ustawień konfiguracji serwerów WWW, błędy SQL Injection w witrynie Polskiej Akademii Nauk - Państwowej Inspekcji Sanitarnej, błędy Directory Traversal w witrynie Narodowego Funduszu Zdrowia oraz ataki słownikowe na usługi serwerowe Sejmu RP zmierzające do przejęcia skrzynek poczty elektronicznej,

System ARAKIS-GOV

W raporcie znajdziemy także alarmy zarejestrowane i sklasyfikowane przez system ARAKIS-GOV. Analiza wyników otrzymanych z tego systemu sugeruje, że w większości ataki pochodziły z przestrzeni adresowej przydzielonej do Stanów Zjednoczonych, Chin oraz Rosji jednak jak podkreśla zespół CERT.GOV.PL

„nie można bezpośrednio i definitywnie łączyć źródła pochodzenia pakietów z faktyczną lokalizacją wykonawcy ataku”.

Jest to spowodowane używaniem, przez cyberprzestępców, do przeprowadzania ataków serwerów proxy lub słabo zabezpieczonych komputerów, nad którymi wcześniej przejęli kontrolę.

Testy bezpieczeństwa

Do ważniejszych informacji zawartych w raporcie należą także wyniki testów bezpieczeństwa 30 witryn WWW należących do 5 instytucji państwowych, w których stwierdzono ogółem 454 błędy. Ponad 16% stanowiły błędy o bardzo wysokim poziomie zagrożenia. Wśród nich przeważały błędy typu Cross Site Scripting oraz Blind SQL Injection/SQL Injection a także stosowanie w serwerach produkcyjnych nieaktualnych wersji oprogramowania.

Pełen tekst raportu do pobrania znajduje się tutaj

Źródło: Redakcja