Raport Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2003

Transkrypt

1 Raport 2003 Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2003

2 CERT (Computer Emergency Response Team) Polska jest zespołem powołanym do reagowania na zdarzenia naruszajce bezpieczestwo w sieci Internet. CERT Polska działa od 1996 roku (do koca roku 2000 pod nazw CERT NASK). Od 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams najwikszej na wiecie organizacji zrzeszajcej zespoły reagujce i zespoły bezpieczestwa z całego wiata. Od roku 2000 jest take członkiem inicjatywy zrzeszajcej europejskie zespoły reagujce TERENA TF-CSIRT ( i działajcej przy tej inicjatywie organizacji Trusted Introducer 1 ( W ramach tych organizacji współpracuje z podobnymi zespołami na całym wiecie. Do głównych zada zespołu naley: rejestrowanie i obsługa zdarze naruszajcych bezpieczestwo sieci alarmowanie uytkowników o wystpieniu bezporednich dla nich zagroe współpraca z innymi zespołami IRT (Incidents Response Team) w ramach FIRST prowadzenie działa informacyjno edukacyjnych, zmierzajcych do wzrostu wiadomoci dotyczcej bezpieczestwa teleinformatycznego (zamieszczanie aktualnych informacji na stronie organizacja cyklicznej konferencji SECURE) prowadzenie bada i przygotowanie raportów dotyczcych bezpieczestwa polskich zasobów Internetu niezalene testowanie produktów i rozwiza z dziedziny bezpieczestwa teleinformatycznego prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów a take klasyfikacji i tworzenia statystyk udział w krajowych i midzynarodowych projektach zwizanych z tematyk bezpieczestwa teleinformatycznego 1 22 listopada 2001 zespół uzyskał najwyszy poziom zaufania Trusted Introducer Accredited Team.

3 ! " Zgodnie z powyszymi załoeniami programowymi CERT Polska co roku przygotowuje i udostpnia statystyki dotyczce przypadków naruszenia bezpieczestwa teleinformatycznego w polskich zasobach internetowych. Niniejszy raport jest ósmym z kolei raportem tego typu. Dotychczasowe (poczwszy od roku 1996) raporty dostpne s na stronie CERT Polska ( ) # $ ""%& '(") & " Jak wynika z przedstawionych powyej zada programowych, zespół CERT Polska prowadzi prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a take klasyfikacji i tworzenia statystyk. Problematyka klasyfikacji incydentów komputerowych jest od lat dyskutowana wród osób i instytucji zajmujcych si t tematyk. Co jaki czas pojawiaj si nowe propozycje klasyfikacji, które zyskuj mniejsz lub wiksz popularno. Najwiksz szans upowszechnienia maj te propozycje, które zyskuj aprobat jak najwikszej liczby orodków zajmujcych si zbieraniem i publikowaniem statystyk. Dlatego naszym zdaniem na szczególn uwag zasługuje propozycja klasyfikacji wypracowana w ramach projektu The European CSIRT Network - ecsirt.net ( w którym to projekcie zespół CERT Polska równie uczestniczył. Klasyfikacja ta jest podstaw opracowania niniejszego raportu. *! "%& * +"(%& '(") & " W roku 2003 odnotowalimy 1196 incydentów. 2 Dalej zwanymi incydentami

4 * & '"%& Ponia tabela przedstawia zbiorcze zestawienie statystyk odnotowanych incydentów. Nasza klasyfikacja zawiera 8 głównych typów incydentów oraz kategori inne. Kady z głównych typów zawiera podtypy incydentów, które najczciej stanowi precyzyjny opis incydentu, z jakim mielimy do czynienia 3. Typ/Podtyp incydentu Liczba Suma-typ Procent-typ Obraliwe i nielegalne treci ,8% Spam 48 Dyskredytacja, obraanie 2 Pornografia dziecica, przemoc 6 Złoliwe oprogramowanie ,7% Wirus 32 Robak sieciowy 41 Ko trojaski 7 Oprogramowanie szpiegowskie 0 Dialer 0 Gromadzenie informacji ,5% Skanowanie 976 Podsłuch 0 Inynieria społeczna 0 Próby włama 2 5 0,4% Wykorzystanie znanych luk systemowych 1 Próby nieuprawnionego logowania 1 Wykorzystanie nieznanych luk systemowych 1 Włamania ,6% Włamanie na konto uprzywilejowane 6 Włamanie na konto zwykłe 2 Włamanie do aplikacji 0 Dostpno zasobów ,7% Atak blokujcy serwis (DoS) 10 Rozproszony atak blokujcy serwis (DDoS) 10 Sabota komputerowy 0 Bezpieczestwo informacji ,3% Nieuprawniony dostp do informacji 16 Nieuprawniona zmiana informacji 0 Oszustwa komputerowe ,8% Nieuprawnione wykorzystanie zasobów 15 Naruszenie praw autorskich 4 Kradzie tosamoci, podszycie si 2 Inne 2 2 0,2% SUMA % 3 Dokładny opis poszczególnych typów ataków mona znale na stronie projektu ecsirt.net:

5 *# & '%& incydentów. Zgodnie z przedstawion powyej klasyfikacj odnotowano nastpujcy rozkład procentowy Rozkład procentowy typów incydentów procent 90 81, ,7 10 4,8 1,8 1,7 1,6 1,3 0,4 0,2 0 Gromadzenie informacji Złoliwe oprogramowanie Obraliwe i nielegalne treci Oszustwa komputerowe Dostpno zasobów Włamania Bezpieczestwo informacji Próby włama Inne Jak wida z wykresu zdecydowan wikszo stanowi gromadzenie informacji, dlatego aby przedstawi wyraniej rónice pomidzy pozostałymi kategoriami, przedstawiamy poniej wykres, z którego został usunity ten typ ataku: Rozkład procentowy typów incydentów (bez Information Gathering) ,4 procent ,9 9,5 9,1 8,6 7,3 2,3 0,9 Złoliwe oprogramowanie Obraliwe treci Oszustwa komputerowe Dostpno zasobów Włamania Bezpieczestwo informacji Próby włama Inne

6 Naley zwróci uwag, e zdecydowana dominacja skanowania, które w całoci tworzy kategori gromadzenie informacji nie jest zwizana tylko i wyłcznie z prób zbierania informacji przed ewentualnym atakiem sieciowym. Trzeba by wiadomym, e praktycznie niemale kady przypadek skanowania w Internecie wiadczy o tym, e gdzie ju nastpiło włamanie do komputera, z którego odbywa si skanowanie, niezalenie od tego czy włamanie nastpiło poprzez działanie robaka sieciowego, czy te był to inny atak specjalnie skierowany na dany komputer. Problemem oczywicie pozostaje w takim przypadku klasyfikowanie. Jeli mamy do czynienia z przypadkiem skanowania z komputera, do którego wczeniej nastpiło włamanie, to powstaje pytanie: Czy jest to w klasyfikacji włamanie czy skanowanie? Otó przyjlimy zasad, e incydent jest klasyfikowany zgodnie z tym jaki problem jest zgłaszany. Jeli otrzymujemy informacj od poszkodowanego, e jego sie jest skanowana to incydent jest klasyfikowany jako skanowanie, niezalenie od tego, e w toku wyjaniania sprawy moe si okaza, e do komputera z którego odbywało si skanowanie, wczeniej nastpiło włamanie i teoretycznie jest to przypadek znacznie powaniejszy. Warto równie odnotowa duy udział w zgłoszeniach przypadków zwizanych z obraliwymi i nielegalnymi treciami. Oczywicie kilkadziesit przypadków spamu, jakich zostało do nas zgłoszonych, nie odzwierciedla rzeczywistego problemu zwizanego z przesyłaniem niezamawianej korespondencji. Przypadki te naley traktowa jako wyjtkowo uciliwe dla poszkodowanego. W rzeczywistoci w zeszłym roku nastpił zdecydowany wzrost iloci spamu w sieci Internet. Problem został zidentyfikowany jako powany i obecnie wiele działa technicznych i legislacyjnych skierowanych jest na opanowanie i ograniczenie tego zjawiska. Zgłoszenia obraliwych i nielegalnych treci dotycz równie przypadków wykorzystywania Internetu do dystrybucji i wymiany treci zwizanych z pornografi dziecic. **,-. & ". Na potrzeby statystyki odnotowywane s trzy kategorie podmiotów zwizanych z incydentami: zgłaszajcy incydent, poszkodowany w incydencie i odpowiedzialny za przeprowadzenie ataku, czyli atakujcy. Dodatkowo kategorie te uwzgldniane s w rozbiciu na podmiot krajowy i podmiot zagraniczny. Ponisza tabela przedstawia zbiorcze zestawienie danych dotyczcych podmiotów incydentu. Podmiot Zgłaszajcy % Poszkodowany % Atakujcy % Osoba prywatna 38 3,2 49 4,1 44 3,7 CERT ,5 20 1,7 0 0 ISP Abuse ,9 Inna instytucja ds. Bezpieczestwa 104 8, Firma komercyjna 25 2, ,8 47 3,9

7 Orodek badawczy lub edukacyjny Instytucja niekomercyjna 18 1, ,1 18 1,5 3 0,3 8 0,7 Jednostka rzdowa 8 0,7 8 0,7 10 0,8 Nieznany 10 0, , ,9 Kraj 109 9, , ,6 Zagranica , ,9 Nieznany 15 1,3 70 5, ,5 Jak wynika z powyszej tabeli, najłatwiej mona było ustali i sklasyfikowa dane dotyczce zgłaszajcych incydenty. Mniejsza moliwo ustalenia danych dotyczcych poszkodowanych wynika głównie z tego, e wiele zgłosze jest dokonywanych tylko w imieniu poszkodowanego i konkretna informacja o nim nie dociera do CERT Polska. Najmniej wiemy o tym, kto jest odpowiedzialny atak. W tym wypadku głównym problemem jest ustalenie kategorii atakujcego w przypadku, kiedy jego adres internetowy nie zdradza tego w sposób oczywisty. Tak np. jest w przypadku korzystania z szerokopasmowego dostpu do Internetu, zarówno przez osoby prywatne jak i firmy komercyjne czy inne instytucje. ródła zgłosze, ataków i poszkodowani procent CERT ISP Abuse Inna ds.. Bezp. Instytucja rzdowa Nauka i Edukacja Firma komercyjna Inna niekomercyjna Osoba prywatna Zgłaszajcy Poszkodow any Atakujcy

8 Jak wida wród zgłaszajcych dominuj CERT-y oraz komórki bezpieczestwa ISPs (Internet Service Providers). Dodatkowo otrzymujemy wiele zgłosze od innych instytucji zajmujcych si monitoringiem bezpieczestwa w Internecie. W tym przypadku zgłoszenia te dotyczc głównie skanowa o duym nasileniu oraz odnotowanych w sieci komputerów umoliwiajcych anonimowe rozsyłanie spamu (tzw. Open relay). Wród poszkodowanych najwicej jest firm komercyjnych 4, duo mniej natomiast instytucji badawczych i edukacyjnych oraz osób prywatnych. W kadym z tych przypadków warto zauway, e podmioty te stanowi równie najwiksze ródło ataków. Potwierdza to fakt wykorzystywania przez hakerów przejtych komputerów do dalszych ataków w sieci. Zdecydowana wikszo zgłosze jak i poszkodowanych (ponad 80%) pochodzi z zagranicy, natomiast atakujcy w blisko 90% to uytkownicy krajowi. / " "" 1) Obserwowane w sieci masowe skanowania nie wiadcz tylko i wyłcznie o przygotowaniach przyszłych ataków. S one skutkiem skutecznego przeprowadzenia wielu ataków, gdy atakujcy wykorzystuj przejte sieci i komputery do przyszłych ataków. 2) W naszych statystykach pojawiaj si powane przypadki dystrybucji w Internecie nielegalnych treci, w szczególnoci pornografii dziecicej. Walka z tym zjawiskiem wymaga dobrej koordynacji zarówno krajowej jak i midzynarodowej. Zjawisko nielegalnych treci w Internecie nie jest typowym zjawiskiem, jakim zajmuj si CERT-y. Dlatego w odpowiedzi na nie, zespół CERT Polska dy do stworzenia wydzielonego hotline u, który zjawiskiem tym bdzie si zajmował. 3) Wród ródeł ataku odnotowujemy coraz wicej ataków z firm komercyjnych, ale nadal jest ich te wiele z orodków badawczych i edukacyjnych (wysze uczelnie, szkoły rednie). Naley pamita, e wielokrotnie atak z tych jednostek jest konsekwencj wczeniejszego skutecznego ataku na nie. 4) W roku ubiegłym działalno zespołu CERT Polska słuyła przede wszystkim uytkownikom zagranicznym, gdy to oni głównie zgłaszali incydenty 5 Naley jednak doda, e najpowaniejsze przypadki dotyczyły zgłosze od uytkowników krajowych. 5) Coraz bardziej umacnia si pozycja CERT-ów jako jednostek koordynujcych przypadki naruszenia bezpieczestwa w sieci. Ponad 50% wszystkich zgłosze to zgłoszenia od innych CERT-ów. 6) Incydenty komputerowe s coraz bardziej skomplikowane i tworz rozbudowan sie powiza, której efektem s ataki typu DDoS, dystrybucja spamu, nielegalnych treci, próby oszustw na du skal i narusze praw autorskich. 4 z pewnoci wynika to równie z lepszego monitoringu zagroe prowadzonego przez firmy komercyjne 5 głównie ze wzgldu na fakt, e maj oni zautomatyzowan detekcj skanowa.

9 7) W chwili obecnej nie obserwujemy duego przyrostu ilociowego incydentów. Obserwujemy natomiast coraz wicej powanych incydentów. W odrónieniu do lat ubiegłych do zespołu CERT Polska zaczły trafia zgłoszenia pochodzce z powanych instytucji komercyjnych i publicznych. 0 $ Zgłaszanie incydentów: Informacja: PGP key: Strona WWW: Feed RSS: Adres: cert@cert.pl, spam: spam@cert.pl info@cert.pl ftp://ftp.nask.pl/pub/cert_polska/cert_polska_pgp_keys/cert_polska.pgp NASK / CERT Polska ul. Wwozowa Warszawa tel.: fax: