Professional Documents
Culture Documents
PL
Raport o stanie bezpieczestwa
cyberprzestrzeni RP w roku 2014
ZESP CERT.GOV.PL
Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL peni rol gwnego
zespou CERT odpowiadajcego za koordynacj procesu reagowania na incydenty
komputerowe w obszarze administracji rzdowej. Zesp funkcjonuje od 1 lutego 2008 roku
w Agencji Bezpieczestwa Wewntrznego. Zgodnie z przyjt w drodze uchway Rady
Ministrw w dniu 25 czerwca 2013 roku Polityk Ochrony Cyberprzestrzeni Rzeczypospolitej
Polskiej w ramach ustanowionego Krajowego Systemu Reagowania na Incydenty
Komputerowe CERT.GOV.PL zosta wskazany w ramach drugiego poziomu tj. reagowania na
incydenty komputerowe. Jednym z podstawowych zada Zespou jest wspieranie
i rozwijanie zdolnoci jednostek administracji rzdowej do obrony przed zagroeniami
pyncymi z cyberprzestrzeni.
Spis treci
Wstp .................................................................................................................................................... 4
1. STATYSTYKA ........................................................................................................................................ 6
1.1. Statystyki incydentw koordynowanych przez Zesp CERT.GOV.PL ........................................ 6
1.2. Analiza alarmw na podstawie systemu ARAKIS-GOV ............................................................... 9
System ARAKIS 2.0 GOV ........................................................................................................... 14
1.3. Publikacje na stronie www.cert.gov.pl ..................................................................................... 14
2. OMWIENIE PRZYKADOWYCH ZAGROE ..................................................................................... 16
2.1. Energetic Bear/Dragon Fly ....................................................................................................... 16
2.2. SandWorm ................................................................................................................................ 19
2.3. Heartbleed................................................................................................................................ 20
Heartbleed a ARAKIS-GOV........................................................................................................ 20
2.4. Kampanie phishingowe ............................................................................................................ 23
Wiadomoci e-mail zawierajce faszyw aktualizacj BeSTi@ ............................................... 25
Faszywe wiadomoci podszywanie si pod Zakad Ubezpiecze Spoecznych .................... 26
Faszywe wiadomoci podszywanie si pod Poczt Polsk ................................................... 27
2.5. Podatnoci ................................................................................................................................ 29
Open DNS Resolver (Domain Name System) ........................................................................... 29
Open NTP (Network Time Protocol) ......................................................................................... 31
SSDP (Simple Service Discovery Protocol) ................................................................................ 33
SNMP (Simple Network Management Protocol) ..................................................................... 36
2.6. DDoS (Distributed Denial of Service)........................................................................................ 38
2.7. Krajowe Biuro Wyborcze .......................................................................................................... 39
2.8. Gieda Papierw Wartociowych w Warszawie ....................................................................... 40
3. TESTY BEZPIECZESTWA WITRYN INTERNETOWYCH ADMINISTRACJI PUBLICZNEJ......................... 41
4. WSPPRACA KRAJOWA I MIDZYNARODOWA............................................................................... 45
4.1. Udzia w pracach nad dokumentami strategicznymi ............................................................... 45
4.2. wiczenia Locked Shields ......................................................................................................... 45
4.3. wiczenia Cyber Coalition 2014 ............................................................................................... 46
4.4. Szkolenia krajowe ..................................................................................................................... 46
5. NOWE TRENDY WOJNA INFORMACYJNA ....................................................................................... 48
6. PODSUMOWANIE ORAZ ZALECENIA I REKOMENDACJE ................................................................... 50
6.1. Zalecenia i rekomendacje dla instytucji ................................................................................... 51
Dziaania dorane: .................................................................................................................... 51
Dziaania docelowe................................................................................................................... 53
Zalecenie dotyczce podnoszenia zdolnoci odpierania atakw DDoS ................................... 54
Katalog zagroe ...................................................................................................................... 55
6.2. Informacje dla pozostaych uytkownikw .............................................................................. 56
7. Spis tabel, wykresw i rysunkw ...................................................................................................... 57
CERT.GOV.PL
3 / 58
Wstp
Raport o stanie bezpieczestwa cyberprzestrzeni RP w roku 2014 publikowany jest w celu
podnoszenia wiadomoci uytkownikw o aktualnych zagroeniach i podatnociach, a take
skutkach ich ewentualnego wystpienia dla systemw teleinformatycznych. Ujte
w Raporcie informacje, w tym dane statystyczne, maj dostarczy wiedzy niezbdnej dla
procesw planowania i wdraania w instytucjach rozwiza przyczyniajcych si
do podwyszenia odpornoci jawnych systemw teleinformatycznych.
Dostrzegalny jest w ostatnich latach wyrany wzrost dynamiki atakw, ktre cz moliwe
metody i narzdzia, zwikszajc tym samym ewentualn skuteczno prowadzonych
dugofalowych dziaa, nastawionych na osignicie zamierzonego celu. Atakujcymi s ju
nie tylko pojedyncze osoby, ale te wysoko wyspecjalizowane grupy wykorzystujce coraz
bardziej zaawansowane technologie oraz wektory ataku. Naley przy tym doda, e
do przeprowadzania atakw powszechnie wykorzystywane s sieci anonimizujce m.in. TOR,
ktre istotnie ograniczaj moliwo zidentyfikowania sprawcw. Informacje dotyczce
prowadzonych cyberkampanii pokazuj, e w gwnym obszarze zainteresowania ze strony
najgroniejszych atakujcych znajduj si instytucje z sektora energetycznego oraz systemy
rzdowe, co odzwierciedla wiatowy trend w tej kwestii.
Zespoy powoane do reagowania na incydenty komputerowe i instytucje musz zwiksza
moliwoci odparcia najbardziej dotkliwych form atakw jak m.in. ataki typu APT (ang.
Advanced Persistent Threat) czy spear phishing. Wydarzenia roku ubiegego pokazuj,
i niestety nadal, czynnikami przyczyniajcymi si do skali skutecznoci przeprowadzanych
atakw, pozostaj: nieodpowiednie podejcie do kwestii bezpieczestwa systemw, brak
wdroenia odpowiednich procedur w instytucjach oraz tendencja do redukcji wysokoci
finansw przeznaczonych na funkcjonowanie instytucji kosztem bezpieczestwa. Ogromne
znaczenie ma take niski poziom wiadomoci wrd kadry zarzdzajcej i pracownikw oraz
brak okresowych szkole z danego zakresu.
Poza tradycyjnymi czynnikami wpywajcymi na bezpieczestwo cyberprzestrzeni RP, takimi
jak: upowszechnienie technologii teleinformatycznych, uproszczenie i dostpno narzdzi
pomocnych w przeprowadzeniu atakw oraz niedofinansowanie systemw ochrony zasobw
administracji pastwowej jednym z najistotniejszych elementw w ostatnim roku
pozostawa wpyw aktualnej sytuacji geopolitycznej zwizanej z kryzysem na Ukrainie.
W zwizku z powyszym, niezwykle istotna jest wsppraca instytucji z powoanymi
Zespoami Reagowania na Incydenty Komputerowe, oraz wdraanie wydawanych
rekomendacji. Wsplnie podejmowane dziaania z instytucjami umoliwiaj prowadzenie
przez Zesp CERT.GOV.PL dziaa wyprzedzajcych m.in. poprzez cyrkulacj ostrzee
i alertw skierowanych do instytucji, ktre pozwalaj w wielu sytuacjach unikn zagroenia
lub ewentualnie pomagaj wykry, zneutralizowa czy zminimalizowa negatywny skutek
4 / 58
CERT.GOV.PL
CERT.GOV.PL
5 / 58
1. STATYSTYKA
1.1. Statystyki incydentw koordynowanych przez Zesp CERT.GOV.PL
Rok 2014 pod wzgldem liczby otrzymanych zgosze oraz obsuonych incydentw kolejny
raz okaza si dla Zespou CERT.GOV.PL rekordowy w stosunku do lat poprzednich. Wzrost
liczby zgosze nastpi w drugim kwartale 2014 roku i spowodowany by gwnie m.in.
upublicznieniem informacji o powanym zagroeniu w zabezpieczeniach bibliotek OpenSSL,
tzw. Heartbleed.
W sumie, zarejestrowanych zostao a 12017 zgosze, z ktrych 7498 zakwalifikowano, jako
incydenty. Poniszy wykres obrazuje ilo zarejestrowanych zgosze oraz obsuonych przez
Zesp CERT.GOV.PL incydentw teleinformatycznych w poszczeglnych kwartaach
2014 roku.
4500
3912
4000
3373
3500
2862
3000
2500
2000
1500
2346
1870
2109
1630
1413
1000
500
0
I kwarta
II kwarta
Zgoszenia incydentw
III kwarta
IV kwarta
Faktyczne incydenty
Wykres 1. Liczba zarejestrowanych zgosze oraz incydentw w poszczeglnych kwartaach 2014 roku
Platforma N6 zostaa zbudowana przez Zesp CERT Polska i suy gromadzeniu, przetwarzaniu oraz
przekazywaniu informacji o zdarzeniach naruszajcych bezpieczestwo teleinformatyczne.
6 / 58
CERT.GOV.PL
89,59%
90,00%
85,00%
80,00%
83,81%
78,66%
75,89%
75,00%
70,00%
65,00%
I kw arta
II kw arta
III kw arta
IV kw arta
14,00%
12,00%
12,46%
10,00%
8,00%
5,45%
6,00%
4,00%
5,84%
3,83%
2,00%
0,00%
I kwarta
II kwarta
III kwarta
IV kwarta
20,00%
18,27%
15,00%
10,00%
12,36%
8,88%
4,96%
5,00%
0,00%
I kwarta
II kwarta
III kwarta
IV kwarta
CERT.GOV.PL
7 / 58
Botnet
Bdna konfiguracja urzdzenia
Skanowanie
Inynieria spoeczna
Bedy aplikacji WEB
Wirus
Nieuprawniona zmiana informacji
Atak odmowy dostpu (np. DDoS, DoS)
Ko Trojaski
Nieuprawniony dostp do informacji
Treci obraliwe
Przestpstwo o charakterze terrorystycznym popenione w cyberprzestrzeni
Wykorzystanie podatnoci aplikacji
Dezinformacja
Wamanie do aplikacji
Kradzie tosamoci, podszycie si
Wamanie na konto/ataki siowe
Naruszenie procedur bezpieczestwa
Pomawianie (zniesawianie)
Podsuch
Robak sieciowy
Nieuprawnione logowanie
Nieuprawnione wykorzystanie zasobw
Prby nieuprawnionego logowania
Wamanie na konto uprzywilejowane
Wykorzystanie podatnoci w urzdzeniach
4 681
2 213
132
119
101
35
29
20
18
15
14
12
9
7
6
5
4
3
3
2
2
1
1
1
1
1
8 / 58
CERT.GOV.PL
16,83%
12,98%
18,56%
14,09%
10,00%
5,00%
0,00%
zeus
B68_DNS
conficker
downadup
CERT.GOV.PL
9 / 58
4%
13896
13286
47%
49%
1140
Wysoki
redni
Wysoki
Niski
redni
Niski
13286
12900
4773
1140
644
Wysoki
redni
2014
2013
Niski
10 / 58
CERT.GOV.PL
Chiny
14,75%
Holandia
13,69%
Stany Zjednoczone
9,59%
Nieznany
6,63%
Portugalia
Japonia
Korea Poudniowa
Francja
Federacja Rosyjska
Dania
4,05%
3,63%
3,02%
2,68%
1,52%
Wykres 10. Rozkad procentowy rde atakw na sieci monitorowane przez system ARAKIS-GOV pod ktem
iloci generowanych pocze
CERT.GOV.PL
11 / 58
Chiny
9,26%
Stany Zjednoczone
Indie
4,58%
Turcja
4,02%
Taiwan
3,91%
Brazylia
3,00%
Federacja Rosyjska
2,51%
Meksyk
2,45%
Korea Poudniowa
2,41%
Niemcy
2,01%
Wykres 11. Rozkad procentowy rde atakw na sieci monitorowane przez system ARAKIS-GOV pod ktem
unikalnych adresw IP
Docelowy
port/protok
Procent unikalnych IP
Opis
23/TCP
31,50%
5000/TCP
11,28%
445/TCP
9,87%
80/TCP
7,46%
22/TCP
4,18%
3389/TCP
4,10%
8080/TCP
3,41%
1433/TCP
2,80%
12 / 58
CERT.GOV.PL
139/TCP
1,62%
10
5900/TCP
1,58%
Tabela 1. Tabela atakowanych portw w roku 2014 na podstawie danych z systemu ARAKIS-GOV
Procent wszystkich
unikalnych IP
Regua SNORT
19,70%
19,69%
16,55%
10,52%
5,46%
3,45%
3,42%
2,40%
2,29%
10
1,55%
Tabela 2. Najczciej dopasowane reguy do ruchu sieciowego widzianego przez system ARAKIS-GOV
Snort sieciowy system wykrywania wama, dostpny na wolnej licencji, posiadajcy szeroki zakres
mechanizmw detekcji atakw oraz umoliwiajcy, w czasie rzeczywistym, dokonywanie analizy ruchu
i rejestrowanie pakietw przechodzcych przez sieci oparte na protokoach IP/TCP/UDP/ICMP
CERT.GOV.PL
13 / 58
Morto robak sieciowy atakujcy le zabezpieczone systemy Microsoft Windows, wykorzystujc do tego celu
protok RDP (Remote Desktop Protocol) wykorzystywany przez tzw. zdalny pulpit. Morto nie eksploituje
adnej luki w oprogramowaniu, a atak polega na prbie odgadnicia nazwy uytkownika i hasa (brute-force).
14 / 58
CERT.GOV.PL
60
53
9%
50
Poprawki i
aktualizacje
11%
40
30
Zagroenia i
podatnoci
20
7
10
6
80%
0
Poprawki i
aktualizacje
Zagroenia i
podatnoci
Wiadomoci
oglne
Wiadomoci
oglne
CERT.GOV.PL
15 / 58
Logo kampanii
Firma Crowd Strike jest globalnym dostawc technologii i usug kierowanych na identyfikacj
zawansowanych zagroe oraz atakw ukierunkowanych.
6
Red Sky Alliance - henrybasset.blogspot.com
7
APT (ang. Advanced Persistent Threat) - ataki ukierunkowane prowadzone przez wysoko wyspecjalizowane
osoby lub grupy osb, wykorzystujce zaawansowane technologie oraz wektory ataku w celu realizacji
okrelonych zada i pozyskania wraliwych lub niejawnych informacji. Cech charakterystyczn atakw jest ich
rozlego w czasie oraz widoczna faza rozpoznania.
16 / 58
CERT.GOV.PL
spear phishing ukierunkowany atak typu "phishing". Atak polega na wysaniu wiadomoci e-mail,
wykorzystujcej wizerunek osoby lub firmy, w celu nakonienia uytkownika do skorzystania z odnonika lub
zacznika o charakterze zoliwym.
9
watering hole technika ataku polegajca na skompromitowaniu konkretnej witryny internetowej, w celu
umieszczenia na niej oprogramowania zoliwego, co w konsekwencji ma doprowadzi do infekcji uytkownika
korzystajcego z przedmiotowej witryny.
CERT.GOV.PL
17 / 58
11,5%
0,4%
1,6%
1,6%
Banki
Instytucje
pastwowe
Uczelnie, orodki
badawcze i
naukowe, szkoy
Firmy
Osoby prywatne
18 / 58
CERT.GOV.PL
2.2. SandWorm
Informacja o wykryciu przez firm iSight we wsppracy z firm Microsoft podatnoci typu
0-day dotyczcej wszystkich aktualnie wspieranych przez Microsoft systemw operacyjnych
z rodziny Windows oraz Windows Server 2008 i 2012, zostaa opublikowana w dniu
15 padziernika 2014 roku. Przedmiotowa podatno bya wykorzystana w kampanii cyberszpiegowskiej nazwanej SandWorm, ktrej celem byy m.in. NATO, instytucje administracji
publicznej i firmy z sektora energetycznego oraz telekomunikacyjnego w krajach Unii
Europejskiej i na Ukrainie, a take uczelnie w Stanach Zjednoczonych.
Logo kampanii 10
Atakujcy do infekcji wykorzystali szereg podatnoci m.in. CVE-2014-4114 dotyczca bdu
w mechanizmie Windows OLE pozwalajcego na zdalne wykonanie kodu w kontekcie
aktualnie zalogowanego uytkownika. Skompromitowany system infekowany by zoliwym
oprogramowaniem m.in. z rodziny BlackEnergy.
W zwizku z powyszym zagroeniem Zesp CERT.GOV.PL podj dziaania skierowane
do instytucji administracji pastwowej oraz sektora energetycznego infrastruktury
krytycznej, zmierzajce do ograniczenia moliwoci eskalacji zagroenia. Przekazano list
adresw IP serwerw zarzdzajcych (C&C) biorcych udzia w kampanii, celem weryfikacji
czy doszo do pocze wraz z zaleceniami m.in. natychmiastowej aktualizacji wszystkich
komputerw wykorzystujcych podatne wersje systemw operacyjnych Windows.
W ramach firm i instytucji, ktre byy adresatem przedmiotowej informacji, jedynie 13%
potwierdzio wykrycie ruchu sieciowego zwizanego ze wskazanymi serwerami C&C.
10
rdo: www.isightpartners.com
CERT.GOV.PL
19 / 58
2.3. Heartbleed
W 2014 roku w oprogramowaniu OpenSSL wykryto krytyczn luk bezpieczestwa
w implementacji funkcjonalnoci heartbeat protokou TLS/DTLS. Podatne wersje
oprogramowania: 1.0.1, 1.0.2-beta, 1.0.1f i 1.0.2beta1. Wykryty bd umoliwia atakujcemu
odczytanie z pamici danych dotyczcych np: kluczy prywatnych lub danych przesyanych
przez uytkownikw zaszyfrowanym kanaem komunikacji. Atakujc zdalnie usug, ktra
korzysta z podatnej wersji oprogramowania OpenSSL, nieuprawniona osoba moe by
w stanie uzyska wraliwe dane, ktre nastpnie mog posuy np. do procesu dekryptau
zaszyfrowanych informacji, podszycia si pod innego uytkownika czy atakw typu Man
in the Middle 11.
Heartbleed a ARAKIS-GOV
System ARAKIS-GOV w pierwszych dniach po opublikowaniu informacji na temat powyszej
luki zarejestrowa wzrost aktywnoci na portach TCP, zwizanych z usugami, ktre
najczciej wykorzystuj bibliotek OpenSSL: 443 (HTTPS), 465 (SMTPS), 993 (IMAP), 995
(POP3):
11
Atak typu Man in the Middle atak polegajcy na podsuchiwaniu i modyfikowaniu wiadomoci przesyanych
pomidzy dwiema stronami bez ich wiedzy.
20 / 58
CERT.GOV.PL
W lipcu 2014 roku system ARAKIS-GOV odnotowa wzrost aktywnoci na porcie 80/TCP
wynikajcy z procesu skanowania w poszukiwaniu serwerw WWW podatnych na bd
w silniku PHP wykryty w 2012 roku (CVE-2012-1823). Na podstawie analizy danych
z systemw honeypot-owych dziaajcych w ramach sensorw ARAKIS-GOV zidentyfikowano
dania POST HTTP:
POST /cgi-bin/php5cgi%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%
73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6
D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74
CERT.GOV.PL
21 / 58
22 / 58
CERT.GOV.PL
6%
7%
37%
Instytuty
Ministerstwa
10%
Przemys
Urzdy
34%
Pozostae
CERT.GOV.PL
23 / 58
grudzie
listopad
wrzesie
sierpie
lipiec
czerwiec
padziernik
10
maj
kwiecie
marzec
stycze
luty
15
Wykres 15. Ilo incydentw klasy: inynieria spoeczna zarejestrowanych w 2014 roku
Na powyszym wykresie widoczny jest wzrost odnotowany w drugiej poowie 2014 roku,
ktry istotnie by zwizany ze wzrostem aktywnoci kampanii phishingowych. Naley jednak
zaznaczy, i zgodnie z aktualnym katalogiem zagroe Zespou CERT.GOV.PL w kategorii
incydentw inynieria spoeczna znajduj sie nie tylko incydenty zwizane z atakami typu
phishing. Std te Zesp CERT.GOV.PL wyoni w ramach incydentw tej kategorii
24 incydenty uznane, jako istotne kampanie phishingowe bdce atakami prowadzonymi
na szerok skal, dotyczce m.in. administracji publicznej.
Przedmiotowe kampanie byy zwizane z wiadomociami wykorzystujcymi techniki
inynierii spoecznej, majcych na celu wyudzenie danych wraliwych za porednictwem
wiadomoci e-mail lub spreparowanych stron internetowych, a take infekcje
oprogramowaniem zoliwym nakaniajc uytkownika do skorzystania z zacznika lub
odnonika o charakterze zoliwym. Kampanie kierowane m.in. do instytucji administracji
publicznej czsto wykorzystyway wizerunek znanych firm, instytucji prowadzcych sprzeda
w sieci Internet lub firm poredniczcych, jak np. firmy kurierskie, serwisy aukcyjne
czy rezerwacyjne, banki, operatorzy telekomunikacyjni.
W zwizku z powyszym w 2014 roku wykazano wzrost iloci odnotowywanych przez Zesp
CERT.GOV.PL kampanii phishingowych, ze szczeglnym uwzgldnieniem miesica czerwca
i lipca. Na uwag zasuguje rwnie fakt, i w pierwszej poowie roku przewaay wiadomoci
prbujce nakoni uytkownikw do ujawnienia informacji wraliwych za porednictwem
wiadomoci e-mail lub specjalnie spreparowanych witryn internetowych. Natomiast
w drugiej poowie rozsyane wiadomoci w wikszej iloci zawieray zaczniki
o charakterze zoliwym. W celu ukrycia szkodliwej treci przed systemami detekcji
wykorzystywane byy zaczniki w postaci archiww. Do infekcji oprogramowaniem
24 / 58
CERT.GOV.PL
makro kod zawierajcy zestaw rozkazw wykonywanych przez okrelon aplikacj, w celu automatyzacji
pewnych czynnoci lub dokonywania zmian w dokumentach bez interakcji z uytkownikiem.
13
.scr pliki domylnie kojarzone z wygaszaczem ekranu systemu Microsoft Windows (ang. Windows Screen
Saver ), mogce wykona kady kod maszynowy Win32.
14
.pif (ang. Program Information File) pliki zawierajce informacje na temat programw.
15
obowizujc wersj oprogramowania na dzie 20.03.2014r. bya wersja 3.02.012.06
CERT.GOV.PL
25 / 58
Sputnik Software
tel. 61 622 00 60
tel. 32 722 11 96
Po przeprowadzeniu analizy behawioralnej pliku Bestia.3.02.012.07.exe o skrcie
kryptograficznym MD5: 9bb03bb5af40d1202378f95a6485fba8, znajdujcego si
w odnoniku przedmiotowej wiadomoci, ustalono, i po jego uruchomieniu nawizywana
bya komunikacja z adresem IP na porcie 81, a na stacji roboczej tworzone byy nastpujce
pliki:
C:\Documents and Settings\Administrator\Application Data\driver--grap.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ Windows.lnkinfo
CERT.GOV.PL
CERT.GOV.PL
27 / 58
www.poczta-polska.pl/uwaga-na-numery-przesylek-w-powiadomieniach-e-mail
28 / 58
CERT.GOV.PL
2.5. Podatnoci
Open DNS Resolver (Domain Name System)
W 2014 roku Zesp CERT.GOV.PL kontynuowa dziaania zwizane z podatnociami
serwerw DNS znajdujcych si w przestrzeni adresowej instytucji administracji pastwowej.
Naley przypomnie, e w zwizku z bdn konfiguracj (brak ograniczenia korzystania
z serwera do zaufanych adresw IP), serwery pozwalaj na wykonanie zapytania DNS
o dowoln domen, z dowolnego adresu IP z sieci Internet. Wektor ataku przedstawia si
nastpujco:
Atakujcy wysya
zapytanie do serwerw
DNS, podmieniajc adres
rdowy na adres IP celu
CERT.GOV.PL
29 / 58
30 / 58
CERT.GOV.PL
2678
Urzdy
7%
13%
Suby porzdku
publicznego i
wojsko
628
Suby porzdku
publicznego i
wojsko
Instytuty
Instytuty
Ministerstwa
878
Pozostae
Ministerstwa
3%
317
134
48
57%
Pozostae
19%
Urzdy
Przemys
CERT.GOV.PL
31 / 58
Atakujcy wysya
zapytanie do serwerw
NTP, podmieniajc adres
rdowy na adres IP celu
32 / 58
CERT.GOV.PL
Urzdy
2596
4%
Pozostae
1886
5%
Ministerstwa
32%
Przemys
Instytuty
14%
1798
Suby porzdku
publicznego i wojsko
Suby porzdku
publicznego i
wojsko
1088
Przemys
22%
Ministerstwa
390
Instytuty
348
23%
Pozostae
Urzdy
CERT.GOV.PL
33 / 58
Atakujcy skanuje
sie celem
uzyskania listy
podatnych
urzdze
sieciowych
Atakujcy wysya
zapytania
M-SEARCH lub
NOTIFY do
urzdze
sieciowych,
podmieniajc
adres rdowy na
adres IP celu
Urzdzenia
sieciowe
otrzymuj
zapytania i
wysyaj
odpowiedzi na
adres IP celu
Cel otrzymuje
odpowiedzi od
urzdze
sieciowych,
co w efekcie
powoduje
wysanie do niego
duej liczby
pakietw
i wysycenie cza
34 / 58
CERT.GOV.PL
Urzdy
422
Suby porzdku
publicznego i
wojsko
Pozostae
Pozostae
26%
40%
Suby
porzdku
publicznego
i wojsko
Urzdy
366
67
CERT.GOV.PL
5%
568
Przemys
29%
Przemys
35 / 58
Atakujcy skanuje
sie celem
uzyskania listy
podatnych
urzdze
sieciowych
Atakujcy wysya
zapytania GetBulk
do urzdze
sieciowych,
podmieniajc
adres rdowy na
adres IP celu
Urzdzenia
sieciowe
otrzymuj
zapytania i
wysyaj
odpowiedzi na
adres IP celu
Cel otrzymuje
odpowiedzi od
urzdze
sieciowych,
co w efekcie
powoduje
wysanie do niego
duej liczby
pakietw
i wysycenie cza
36 / 58
CERT.GOV.PL
2%
800
Pozostae
Suby porzdku
publicznego i wojsko
598
31%
16%
Przemys
417
Urzdy
21%
187
Instytuty
23%
52
CERT.GOV.PL
Instytuty
Urzdy
561
Przemys
Ministerstwa
Ministerstwa
7%
Suby porzdk
publicznego i
wojsko
Pozostae
37 / 58
38 / 58
CERT.GOV.PL
50,0%
50,0%
40,0%
30,0%
23,7%
18,4%
20,0%
10,0%
7,9%
0,0%
Bardzo Wysoki
Wysoki
redni
Niski
Wykres 24. Zdolno odparcia ataku DDoS na witryn WWW na podstawie udzielonych odpowiedzi przez
instytucje na pytania i zalecenia Zespou CERT.GOV.PL
CERT.GOV.PL
39 / 58
40 / 58
CERT.GOV.PL
3. TESTY
BEZPIECZESTWA
ADMINISTRACJI PUBLICZNEJ
WITRYN
INTERNETOWYCH
18%
350
3%
13%
294
300
250
200
150
100
50
Wysoki
12
66%
Bardzo wysoki
82
58
Niski
Informacyjny
Bardzo wysoki
Wysoki
Niski
Informacyjny
Wykres 25. Statystyka wykrytych podatnoci w witrynach WWW nalecych do administracji publicznych,
wedug poziomu zagroenia
CERT.GOV.PL
41 / 58
20,6%
15,9%
12,7%
7,9%
4,8%
1,6%
1,6%
1,6%
Directory Traversal
1,6%
1,6%
Wykres 26. Procentowy rozkad najpowaniejszych bdw w witrynach WWW, nalecych do administracji
publicznej
25,8%
10,3%
7,8%
5,8%
5,6%
4,3%
3,8%
2,9%
2,7%
2,7%
Wykres 27. Procentowy rozkad 10 najczciej wystpujcych bdw w witrynach WWW, nalecych do
administracji publicznej
Od 2014 roku nastpio przekwalifikowanie podatno Cross Site Scripting (XSS) wedug poziomu zagroenia
z poziomu bardzo wysoki na wysoki.
42 / 58
CERT.GOV.PL
Ilo stron
Bardzo dobry
14
redni
14
Niski
12
451
451
40
269
269
188
188
68
20
68
20
419
320
391
93 strony
244
33
33
391
458
244
2011
952011
stron
95 stron
58
58
294
82
458
244
346
2010
932010
strony
244
340
40
440
346
12
2012
612012
stron
61 stron
2013
452013
stron
45 stron
82
2014
34 2014
strony
34 strony
informacyjny Niskiwysoki
wysoki
Informacyjny
Wysoki bardzo
Bardzo
wysoki
Wykres 28. Liczbowy rozkad podatnoci przeskanowanych stron z podziaem na istotno bdw
w porwnaniu z poprzednimi latami
CERT.GOV.PL
43 / 58
44 / 58
CERT.GOV.PL
45 / 58
CERT.GOV.PL
CERT.GOV.PL
47 / 58
48 / 58
CERT.GOV.PL
CERT.GOV.PL
49 / 58
CERT.GOV.PL
CERT.GOV.PL
51 / 58
52 / 58
CERT.GOV.PL
CERT.GOV.PL
53 / 58
54 / 58
1. DZIAANIA CELOWE
ZAGROENIA
1.1
OPROGRAMOWANIE
ZOLIWE
wirus
1.2 PRZEAMANIE
ZABEZPIECZE
nieuprawnione
logowanie
1.3 PUBLIKACJE
W SIECI INTERNET
treci
obraliwe
1.4 GROMADZENIE
INFORMACJI
skanowanie
robak
sieciowy
1.5 SABOTA
KOMPUTEROWY
1.7 CYBERTERRORYZM
ko
trojaski
wamanie na konto/ataki
sieciowe
pomawianie
(zniesawienie)
podsuch
nieuprawniona zmiana
informacji
2. DZIAANIA NIECELOWE
PODATNOCI
dialer
botnet
wamanie do aplikacji
naruszenie praw
autorskich
dezinformacja
inynieria
szpiegostwo
SPAM
spoeczna
nieuprawniony dostp lub
nieuprawnione wykorzystanie
informacji
skasowanie danych
wykorzystanie podatnoci
w urzdzeniach
wykorzystanie podatnoci
aplikacji
naruszenie procedur
bezpieczestwa
2.1 WYPADKI I
ZDARZENIA LOSOWE
awarie
sprztowe
awarie cza
awarie
(bdy oprogramowania)
naruszenie
procedur
bdna
zaniedbanie konfiguracja brak wiedzy
urzdzenia
naruszenia
praw
autorskich
CERT.GOV.PL
55 / 58
18
Polska wersja biuletynu ukazuje si od kwietnia 2011 w ramach wsppracy CERT Polska i SANS Institute.
OUCH jest tworzony i konsultowany przez zesp ekspertw bezpieczestwa z SANS Securing The Human.
56 / 58
CERT.GOV.PL
57 / 58
58 / 58
CERT.GOV.PL