Bezpieczniejsza domena z DNSSEC

Transkrypt

1 ISSN NR 2/2012 Bezpieczniejsza domena z DNSSEC Konferencja SECURE 2012 Nadużycia w telefonii NASK szkoli aktywnych seniorów

2 4 Wydarzenia 4 W skrócie 6 Konferencja SECURE Dzień Bezpiecznego Internetu 8 domeny 8 Bezpieczeństwo z DNSSEC 13 RAPORTY 13 Rynek nazw domeny.pl w pierwszym półroczu ROZMOWA Z Wywiad z Działem Rozwoju Oprogramowania 17 Bezpieczeństwo 17 Cyberprzestrzeń kolejnym polem działań NATO 19 Nadużycia w telefonii. Jak się nie dać oszukać? 22 Akademia NASK 22 Edukacja przez zabawę 24 NASK szkoli aktywnych seniorów 26 Gdzie leży granica? Nadmierne korzystanie z Internetu 2 B I U L E T Y NNASK B I U L E T Y NNASK Adres: ul. Wąwozowa 18, Warszawa, tel. (22) , biuletyn@nask.pl Redakcja: Anna Maj, Radosław Musiał Projekt okładki i przygotowanie do druku: Piu Professional Redakcja zastrzega sobie prawo do skrótu i opracowania redakcyjnego otrzymanych tekstów.

3 Michał Chrzanowski Dyrektor NASK Szanowni Państwo, Każde wydanie Biuletynu NASK pokazuje różnorodność i skalę projektów oraz zadań realizowanych przez nasz Instytut. Z tej licznej grupy wybieramy i przedstawiamy Państwu zwłaszcza te, które mają szczególny wymiar i znaczenie. Takim projektem jest z pewnością udostępnienie przez NASK domeny.pl zabezpieczonej protokołem DNSSEC. To niezwykle istotne wydarzenie DNSSEC pozwala wymiernie zwiększyć bezpieczeństwo usług świadczonych drogą elektroniczną w Polsce, utrudniając podszywanie się pod strony internetowe firm i instytucji działających w domenie.pl. Wdrożenie DNSSEC było złożonym przedsięwzięciem, w całości zrealizowanym własnymi siłami i środkami instytutu. Rozwiązanie to udostępniliśmy wszystkim Partnerom NASK, w ten sposób mogą z niego skorzystać abonenci, którzy powierzyli im obsługę administracyjną i techniczną nazw internetowych w domenie.pl. Artykuł na temat DNSSEC, który publikujemy w tym Biuletynie, pokazuje jak w praktyce przebiega proces zabezpieczenia strony WWW. NASK jako instytut badawczy pracuje nad wieloma innowacyjnymi projektami badawczo-rozwojowymi. Chciałbym zwrócić Państwa uwagę na projekt SOPAS. Celem tego, rozpoczętego w 2010 r., projektu, było opracowanie prototypu systemu ochrony przed atakami sieciowymi zabezpieczającego federacyjną sieć. W czerwcu br. miało miejsce ważne wydarzenie - w ramach ćwiczeń NATO CWIX 2012 w Bydgoszczy, system został zaprezentowany w międzynarodowym środowisku i przetestowany przy współpracy wojskowych z Finlandii i Węgier. Jest to pierwszy i obecnie jedyny, opracowany w tak szerokim wymiarze, projekt dedykowany m.in. dla obszaru obronności. Ma to istotne znaczenie, zwłaszcza wobec faktu, iż ochrona cyberprzestrzeni jest jednym z głównych elementów strategii NATO. Ważnym polem działalności NASK jest edukacja i promowanie idei społeczeństwa informacyjnego. Szerokie spektrum realizowanych od lat programów i inicjatyw w tym zakresie powiększyło się o ciekawe i godne odnotowania projekty. Jednym z nich jest Kursor projekt, który realizujemy we współpracy z Fundacją Nauka i Wiedza. Jego celem jest zachęcenie nauczycieli do stosowania w edukacji uczniów nowoczesnych technologii informacyjno-komunikacyjnych. Chcemy, by jednym z aspektów tej edukacji było zwrócenie uwagi na świadome i bezpieczne korzystanie przez młodzież z Internetu. Pragnę także zwrócić Państwa uwagę na program edukacyjny Senior dla Seniora. Jest on istotnym novum w naszych działaniach. Ta realizowana wspólnie z Orange akcja skierowana jest bowiem do osób starszych, a więc do grupy, do której dotąd nie kierowaliśmy bezpośrednio naszych projektów. Stawiając sobie za cel upowszechnienie wśród seniorów umiejętności korzystania z nowych technologii, a zarazem aktywizację tej grupy, przeciwdziałamy zjawisku wykluczenia cyfrowego w Polsce. Zapraszam Państwa do lektury! Michał Chrzanowski B I U L E T Y N NASK 3

4 Pierwsze półrocze 2012 Bezpiecznie w domenie.pl 4 czerwca NASK zakończył ostatni etap wdrażania protokołu DNSSEC w Polsce. Dzięki temu rozwiązaniu podszywanie się pod strony internetowe firm i instytucji działających w domenie.pl stało się znacznie trudniejsze. Protokól DNNSEC został wprowadzony przede wszystkim z myślą o ochronie internautów. Cyberprzestępcy często podszywają się pod oryginalną witrynę internetową i kierują nieświadomych użytkowników do identycznej lub bardzo podobnej strony interrnetowej. Rozwiązanie zostało udostępnione wszystkim Partnerom NASK. więcej na str. 8 NASK w zarządzie INHOPE Zuzanna Polak z działającego w NASK zespołu Dyżurnet.pl została wybrana na członka zarządu międzynarodowego Stowarzyszenia INHOPE. Stowarzyszenie to zrzesza działające na świecie zespoły hotline, które obsługują zgłoszenia o nielegalnych treściach w sieci. Nowy zarząd pełnić będzie swoją funkcje przez najbliższe dwa lata. Krzysztof Silicki nagrodzony Krzysztof Silicki, doradca Dyrektora NASK ds. współpracy z ENISA, otrzymał prestiżową Nagrodę Info Star w kategorii Rozwiązania Informatyczne. Tegoroczne Nagrody zostały wręczone podczas Wielkiej Gali Dnia Społeczeństwa Informacyjnego 2012, która odbyła 17 maja w Warszawie. Organizatorami Info Star są Centrum Promocji Informatyki i Polskie Towarzystwo Informatyczne. Dzień Bezpiecznego Internetu Dzień Bezpiecznego Internetu to święto, które na stałe zagościło w kalendarzu wielu polskich szkół i bibliotek. W tym roku zgłoszono ponad inicjatyw związanych z tematyką bezpieczeństwa dzieci i młodzieży w Internecie. Hasło przewodnie brzmiało: Wspólnie odkrywamy cyfrowy świat! Bezpiecz- nie!. Organizatorami Dnia Bezpiecznego Internetu w Polsce są NASK i Fundacja Dzieci Niczyje. więcej na str. 7 NASK w raporcie TOP 200 Przygotowywanego przez branżowy tygodnik Computerworld, wśród firm świadczących usługi dostępu do Internetu i transmisji danych NASK znalazł się na 7 miejscu. Natomiast w zestawieniu największych dostawców usług telekomunikacyjnych instytut zajął miejsce 13. Pokonkursowe wystawy plakatów Plakaty zgłoszone na konkurs Tworzymy bezpieczny Internet można było oglądać podczas EURO 2012 na Dworcu Centralnym w Warszawie, a w pierwszej połowie wakacji na dworcach w Gdyni i Wrocławiu. Zaprezentowane prace młodych artystów zwracały uwagę podróżujących na problem bezpieczeństwa najmłodszych w sieci. Prace zostały stworzone przez uczestników 5. edycji konkursu na plakat o tematyce społecznej, którego organizatorami byli: NASK, Adah Advertising, Akademia Sztuk Pięknych w Warszawie i Muzeum Plakatu w Wilanowie. Na przełomie stycznia i lutego w ramach wystawy pokonkursowej były one wystawione w Muzeum Plakatu. Po wakacjach plakaty będzie można oglądać w Polskim Radiu oraz Ministerstwie Edukacji Narodowej. Piknik Naukowy Podczas XVI Pikniku Naukowego naukowcy Pracowni Biometrii NASK przybliżali zwiedzającym tajniki biometrii i demonstrowali, w jaki sposób ta dziedzina nauki może ułatwić każdemu życie. Chętni uczestnicy mogli m.in. szybko i w prosty sposób stworzyć wzorzec własnej tęczówki lub odcisku palca, a następnie je zweryfikować. NASK od wielu lat uczestniczy w Pikniku Naukowym zarówno jako wystawca, jak i jako operator telekomunikacyjny. W tym roku dostarczał Internet dla ponad 70 instytucji biorących udział w Pikniku. 4 B I U L E T Y NNASK

5 W skrócie WYDARZENIA Senior dla Seniora NASK zainicjował projekt Senior dla Seniora, który wiosną realizowany był wspólnie z firmą Orange. Ponad 120 starszych osób uczestniczyło w konferencji Internet i komputer przyjaciółmi seniora, a następnie wzięło udział w jednym z czterech warsztatów. Uczestnicy zostali przeszkoleni z podstaw obsługi komputera i Internetu. Warsztaty odbywały się w Warszawskiej Wyższej Szkole Informatycznej dzięki uprzejmości władz uczelni. więcej na str. 24 Seminaria Zagrożenia w sieci Przy współpracy z Biurem Kryminalnym Komendy Głównej Policji NASK organizuje w czterech miastach Polski szkolenia poświęcone zagadnieniom przestępczości internetowej. Seminaria dotyczą przede wszystkim kwestii związanych z seksualnym wykorzystywaniem dzieci. Szkolenia pt. Zagrożenia w sieci. Wybrane aspekty, zarys problematyki przeznaczone są dla funkcjonariuszy policji, prokuratorów oraz sędziów. Pierwsze spotkanie odbyło się 3 kwietnia w Warszawie, drugie 22 maja w Krakowie, a kolejne zaplanowane zostały w Łodzi oraz w Gdańsku. W każdym ze spotkań bierze udział około 100 uczestników z danego regionu. CERT Polska na FIRST W czerwcu na Malcie odbyła się 24 konferencja FIRST - światowego forum zespołów reagujących. Pięciodniowa konferencja zgromadziła ponad 500 specjalistów ds. bezpieczeństwa ICT z całego świata. Kolejny raz duży wkład w merytorykę tego wydarzenia wniósł zespół CERT Polska. Kierownik zespołu, Piotr Kijewski, brał udział w radzie programowej konferencji, wygłosił także wspólnie z Andreą Dufkovą z agencji ENISA prelekcję poświęconą raportowi Proactive detection of network security incidents. Z prezentacjami wystąpili także Przemysław Jaroszewski ( CERT coaching in /own/ practice ) oraz Paweł Pawliński ( Honey Spider Network 2.0: detecting client-side attacks the easy way ). Kampania W którym świecie żyjesz? Kampania społeczna W którym świecie żyjesz? zwraca uwagę na problem nadmiernego korzystania przez dzieci i młodzież z Internetu. Akcja realizowana jest przez Polskie Centrum Programu Safer Internet (NASK oraz Fundacja Dzieci Niczyje). Główny spot kampanii: Ci, którzy żyją w wirtualnym świecie, tracą prawdziwe życie pokazuje jak nadmierne korzystanie z Internetu może prowadzić do oderwania młodych ludzi od innych form aktywności realizowanych poza siecią. Reklamy telewizyjne wyemitowane zostały w najważniejszych stacjach telewizyjnych. więcej na str. 26 Projekt Kursor dla ursynowskich szkół W czerwcu zainaugurowany został projekt Kursor wspólna inicjatywna NASK oraz Fundacji Nauka i Wiedza skierowana do ursynowskich szkół podstawowych. Jego celem jest zbudowanie społeczności wśród nauczycieli, uczniów i rodziców skupionej wokół problematyki bezpieczeństwa dzieci w Internecie. Confitura 2012 Zawody pod żaglami więcej na str. 22 NASK był Srebrnym Partnerem Konferencji Confitura To największe i najpopularniejsze w Polsce spotkanie dla miłośników i pasjonatów języków programowania opartych o maszynę wirtualną JAVA. W tegorocznej edycji konferencji, uczestniczyło ponad 1000 osób. NASK reprezentowany był przez Dział Rozwoju Oprogramowania. Załoga NASK zajęła 2 miejsce podczas 17. Międzynarodowych Żeglarskich Mistrzostw Polski Branży Teleinformatycznej IT Cup IT Cup jest jedną z największych i najdłużej istniejących imprez sportowych branży teleinformatycznej. Impreza odbywa się corocznie w Mikołajkach. B I U L E T Y N NASK 5

6 Zapraszamy na SECURE 2012 Gwiazdy bezpieczeństwa w Centrum Nauki Kopernik SECURE jest coroczną konferencją organizowaną przez CERT Polska i NASK, poświęconą bezpieczeństwu teleinformatycznemu, adresowaną do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Tegoroczni prelegenci reprezentują m.in. tak znane marki branży internetowej jak Google, Twitter, a także amerykańską agencję NASA. SECURE 2012 odbędzie się w dniach października w nowej, atrakcyjnej lokalizacji Centrum Nauki Kopernik na warszawskim Powiślu. Podobnie jak w ubiegłym roku, na uczestników czekać będzie bogaty i różnorodny program, o którego merytoryczny poziom dba funkcjonujący w NASK zespół CERT Polska. W trzech równoległych sesjach nie zabraknie zarówno analiz technicznych, opisów przypadków, jak i mocno osadzonych w praktyce zagadnień prawnych. Wśród prezentacji technicznych pojawią się między innymi tematy związane z bezpieczeństwem nowych funkcji HTML5 (Robert McArdle z TrendMicro Europe oraz Krzysztof Kotowicz z Securing), aplikacji mobilnych (Kenneth van Wyk) czy złośliwego oprogramowania (CERT Polska). O praktycznych aspektach rozwiązań prawnych stosowanych w Internecie opowiedzą m.in. znani z poprzedniej edycji Michał Kluska i Grzegorz Wanio (Olesiński i Wspólnicy) oraz Adam Haertle (UPC). Wśród prelegentów pojawią się także Jose Nazario (Arbor Networks), Rafał Rohoziński (The SecDev Group) oraz Dave Monnier (Team Cymru). Dzień przed konferencją, 22 października, odbędą się warsztaty SECURE Hands-on. Impreza ta cieszy się dużą popularnością od 2010 r., czyli od momentu, kiedy została stałym elementem towarzyszącym SECURE-owi. Tradycyjnie, dwa warsztaty poprowadzą specjaliści z CERT Polska jeden z nich poświęcony będzie praktycznym metodom wykrywania ataków w sieci, drugi natomiast skupi się na zagrożeniach dla klientów bankowości elektronicznej. Pojawi się także warsztat dedykowany praktykom tworzącym aplikacje mobilne z zagrożeniami na platformie ios pomoże im się zmierzyć Kenneth van Wyk (KRvW Associates). Warsztaty z kryminalistyki śledczej w systemach sieciowych poprowadzi z kolei Maciej Jan Broniarz z CERT PLIX. Zachęcamy do regularnego śledzenia profilu konferencji na portalu facebook ( SECURE) oraz strony WWW ( Będziemy tam ogłaszać kolejnych prelegentów, partnerów oraz konkursy. Z całą pewnością czeka jeszcze wiele niespodzianek, tym bardziej, że w tym roku SECURE obchodzi okrągły, szesnasty jubileusz. /pj/ 6 B I U L E T Y NNASK

7 Dzień Bezpiecznego Internetu WYDARZENIA Wspólnie odkrywamy cyfrowy świat! 7 lutego ponad 70 państw z pięciu kontynentów obchodziło Dzień Bezpiecznego Internetu (DBI). Jest to coroczna akcja organizowana od 2004 r. z inicjatywy Komisji Europejskiej. DBI ustanowiono, by propagować działania na rzecz bezpiecznego dostępu dzieci i młodzieży do zasobów internetowych. W Polsce Dzień Bezpiecznego Internetu po raz pierwszy miał miejsce w 2005 r. i od tego czasu organizowany jest przez Polskie Centrum Programu Safer Internet, które tworzą Naukowa i Akademicka Sieć Komputerowa (NASK) oraz Fundacja Dzieci Niczyje (FDN). Od wielu lat głównym partnerem obchodów jest Fundacja Orange. W tym roku dzień został objęty honorowym patronatem przez Krystynę Szumilas, minister edukacji narodowej oraz Marka Michalaka, rzecznika praw dziecka. Hasło przewodnie tegorocznych obchodów DBI Wspólnie odkrywamy cyfrowy świat! Bezpiecznie miało zachęcić rodziców, dziadków i opiekunów do tego, by Internet stał się elementem łączącym pokolenia, by można razem z najmłodszymi poznawać korzyści z surfowania. Dzieci mogą oswoić starsze pokolenie z techniczną obsługą Internetu, dorośli zaś czuwać nad bezpieczeństwem najmłodszych. Obchodom DBI towarzyszyła ogólnoeuropejska kampania medialna, a opracowany na jej potrzeby spot promocyjny opierał się na motywie wspólnego poznawania wirtualnego świata przez młodsze i starsze pokolenia. Centralnym punktem obchodów Dnia Bezpiecznego Internetu 2012 w Polsce była konferencja dla mediów oraz profesjonalistów zainteresowanych problematyką bezpieczeństwa młodych internautów, która odbyła się 7 lutego w Bibliotece Uniwersyteckiej w Warszawie. Podczas konferencji pokazano, jak obchodzony jest DBI na świecie i w Polsce, omówione zostały także najnowsze inicjatywy związane z bezpieczeństwem dzieci i młodzieży online podejmowane w kraju. Równolegle w warszawskim centrum zabaw Hulakula przy udziale ponad 300 dzieci swoje piąte urodziny obchodził zespół Helpline.org.pl. Zespół pomaga w przypadkach różnego rodzaju zagrożeń związanych z korzystaniem najmłodszych z nowych technologii. Organizatorom DBI zależy przede wszystkim na tym, by jak najszerzej promować ideę tego dnia, aby w całej Polsce odbyło się jak najwięcej przedsięwzięć na rzecz bezpieczeństwa najmłodszych, zorganizowanych przez szkoły, biblioteki, domy kultury i inne ośrodki edukacyjne w całym kraju. Co roku na stronie rejestrowanych jest ponad tysiąc takich imprez. W tym roku zorganizowano 1177 lokalnych inicjatyw promujących bezpieczeństwo najmłodszych w Internecie. Organizatorzy i partnerzy DBI przygotowali konkurs z atrakcyjnymi nagrodami dla wszystkich, którzy przysłali sprawozdania ze zrealizowanych przez siebie inicjatyw. Wybór zwycięzców nie był łatwy. Wśród kilkuset raportów znalazły się ciekawe relacje ze szkolnych radiowęzłów, wywiadów z ekspertami, sprawozdania multimedialne ze spektakli, happeningów, ulicznych pochodów. Nie zabrakło także prac z konkursów plastycznych, wierszy i utworów muzycznych. Zwyciężyły szkoły z Biłgoraju i Kłobucka oraz biblioteka z Zielonki. /jg/ B I U L E T Y N NASK 7

8 DOMENY Wdrożenie DNSSEC Maciej Andziński Bezpieczeństwo z DNSSEC Zwieńczenie całego procesu wdrożenia DNSSEC nastąpiło 4 czerwca 2012 r., wówczas to NASK rozpoczął przyjmowanie od abonentów nazw domeny.pl skrótów z kluczy kryptograficznych. Pod koniec grudnia ubiegłego roku NASK udostępnił domenę.pl w formie zabezpieczonej rozwiązaniem DNSSEC (ang. DNS Security Extensions). Był to początek polskiego wdrożenia rozwiązania, które ma podnieść poziom bezpieczeństwa kluczowej dla działania Internetu usługi jaką jest DNS. Bezpieczeństwo DNS Bezpieczeństwo systemu DNS od lat jest tematem rozważań. Eksperci są zgodni co do potrzeby zastosowania nowych mechanizmów. Do tej pory brakowało spójnego rozwiązania, które byłoby możliwe do wdrożenia globalnie, przy zachowaniu istniejącej infrastruktury. Oczekuje się, że lekarstwem na podatności systemu nazw będzie DNSSEC, rozszerzenie protokołu DNS, które z pomocą kryptografii asymetrycznej eliminuje specyficzne dla ruchu DNS zagrożenia związane z fałszowaniem transmisji. Pojęcia takie jak zatruwanie DNS (ang. cache poisoning) czy atak Kamińskiego mogą już niedługo odejść w niepamięć. Wdrożenie DNSSEC oznacza dla przeciętnego użytkownika Internetu, że po wpisaniu poprawnego adresu strony WWW w swojej przeglądarce, nie zostanie on przekierowany na fałszywy serwer, a przynajmniej nie za sprawą DNS. Tym samym wzrośnie bezpieczeństwo korzystania ze stron banków, stron rządowych, czy też sklepów internetowych i kont pocztowych. Dla abonentów i rejestratorów domen oraz dostawców Internetu nowe rozszerzenie to przede wszystkim możliwość podniesienia standardów bezpieczeństwa. Jak to działa? W strefie zabezpieczonej DNSSEC każda autorytatywna informacja posiada podpis cyfrowy (rekord RRSIG), a do jego weryfikacji udostępniany jest zestaw kluczy publicznych (rekord DNSKEY). Wyróżnia się dwa typy kluczy: ZSK (ang. zone signing key) podpisujący wszystkie autorytatywne rekordy w strefie oraz KSK (key signing key), który podpisuje tylko zestaw kluczy. Taki podział został dokonany ze względów praktycznych, klucz KSK jest 8 B I U L E T Y NNASK

9 Łańcuch zaufania z reguły dłuższy i rzadziej wymieniany. Zarówno KSK jak i ZSK dzielą się na część publiczną udostępnianą w strefie oraz prywatną wykorzystywaną do generowania podpisów. Aby możliwe było weryfikowanie odpowiedzi, musi istnieć tzw. łańcuch zaufania, który rozpoczyna się od punktu zaufania (ang. trust anchor), czyli po prostu klucza, któremu ufamy. Zawsze jest to KSK (w idealnej sytuacji dla strefy ROOT), który podpisuje ZSK, a ten wszystkie autorytatywne informacje w strefie, w tym także wprowadzone przez DNSSEC nowe rekordy typu DS (ang. delegation signer). Zawierają one kryptograficzne skróty klucza KSK delegowanych stref..(root)./dnskey(ksk)./dnskey(zsk) Przeanalizujmy, jak wygląda łańcuch zaufania dla przykładowej nazwy podpisanej DNSSEC, np. Ufamy KSK strefy ROOT, a więc także podpisanemu przez niego ZSK, ten z kolei podpisuje rekord DS dla nazwy pl, który wskazuje na klucz KSK w strefie pl. Pozwala to uznać ten KSK za zaufany i tak powstaje pierwsze ogniwo w naszym łańcuchu. Kolejne są wynikiem iteracji po drzewie DNS aż do osiągnięcia serwera autorytatywnego dla dnssec.pl, który posiada podpisany właściwym kluczem ZSK rekord dla nazwy (np. A lub AAAA). pl pl.(ds) pl./dnskey(ksk) Za sprawdzenie łańcucha zaufania oraz poprawności podpisów odpowiada resolver rekursywny. O ile nie żądamy inaczej (poprzez ustawienie w zapytaniu bitu CD (ang. checking disabled)), wykrycie niepoprawności skutkuje zwróceniem błędu SERVFAIL. Jeśli dane są poprawnie zweryfikowane w odpowiedzi jest ustawiany bit AD (ang. authenticated data). pl./dnskey(zsk) Jak zabezpieczyć swoją strefę? W procesie zabezpieczenia strefy rozszerzeniem DNSSEC można wyróżnić 3 kroki: 1) wygenerowanie kluczy, 2) podpisanie pliku strefy, 3) umieszczenie rekordu DS strefie nadrzędnej. Przyjrzyjmy się, jak to wygląda w praktyce. W poniższym przykładzie zostały wykorzystane narzędzia dostarczane przez oprogramowanie BIND w wersji 9.7 dnssec.pl dnssec.pl./(ds) dnssec.pl./dnskey(ksk) Załóżmy, że strefą, którą chcemy podpisać będzie dnssec.pl. Zaczynamy od generowania kluczy za pomocą programu dnssec-keygen. Wykorzystujemy KSK i ZSK o długościach odpowiednio 1024 i 2048 bitów, algorytm RSA/ SHA-256 oraz rozszerzenie NSEC3: dnssec.pl./dnskey(zsk) www. dnssec.pl./a Łańcuch zaufania dla nazwy B I U L E T Y N NASK 9

10 Strefa podpisania Dla każdego klucza powstają dwa pliki, które zawierają jego część publiczną (.key) oraz prywatną (.private). Ta pierwsza jest reprezentowana w postaci rekordów DNSKEY, które należy umieścić w pliku strefy a następnie podpisać go za pomocą programu dnssec-signzone: Wynikiem powyższej operacji jest plik dnssec.pl.signed zawierający podpisaną strefę. W konfiguracji BIND należy podmienić ścieżkę, tak aby strefa została zaczytana z nowo powstałego pliku. Kolejnym krokiem jest przeładowanie usługi nazw: W logach można zaobserwować wpis informujący o załadowaniu podpisanej strefy: Brawo, podpisaliśmy dnssec.pl! Jednak aby możliwe było zbudowanie łańcucha zaufania, konieczne jest umieszczenie rekordu DS w strefie nadrzędnej (w tym przypadku.pl). Zauważmy, że program dnssec-signzone wygenerował plik, który zawiera DS dla naszej strefy. Za pomocą bezpiecznego kanału należy przekazać te dane do podmiotu odpowiedzialnego za rejestrację domeny. Strefa podpisana. Co dalej? Klucze należy cyklicznie wymieniać. W przypadku KSK ten proces wymaga ingerencji w strefę nadrzędną (wymiana DS). Pamiętajmy, że dane pochodzące z serwerów autorytatywnych znajdują się przez określony czas w pamięci resolverów rekursywnych. W związku z tym proces wymiany kluczy musi być dobrze zaplanowany. Powinniśmy postępować według zaleceń z dokumentu RFC 4641, który opisuje dwie metody: prepublikacji (ang. pre-publish key rollover) oraz podwójnego podpisywania (ang. double signature zone signing key rollover). Proces zarządzania kluczami można zautomatyzować. Wraz z rozwojem DNSSEC powstaje coraz więcej narzędzi wspierających procesy administracyjne, wśród najpopularniejszych należy wymienić opendnssec. Oprogramowanie to potrafi we właściwym czasie dokonać niezbędnej operacji związanej z wymianą klucza lub generowaniem podpisu, jednak aktualizacja DS w strefie nadrzędnej zazwyczaj będzie wymagać naszej ingerencji. Ponieważ podpisy mają ustalony okres ważności (domyślnie 30 dni) konieczne jest ich odnawianie. Oprogramowanie BIND posiada zaimplementowaną funkcjonalność, dzięki której nowe podpisy są generowane automatycznie zanim wygasną stare. Jak włączyć obsługę DNSSEC na resolverze rekursywnym? Dostawców Internetu z pewnością bardziej zainteresuje możliwość włączenia obsługi DNSSEC na resolverach rekursywnych. W BIND w tym celu wystarczy ustawić dwie opcje: oraz skonfigurować punkt zaufania. 10 B I U L E T Y NNASK

11 Wysokie standardy w bezpieczeństwie W repozytoriach dystrybucji linuksowych coraz częściej oprogramowanie usługi nazw posiada już skonfigurowany punkt zaufania i jest nim KSK strefy ROOT. Należy pamiętać, że ten klucz będzie się zmieniać i trzeba pobierać jego nowe wersje. Istnieją jednak mechanizmy ułatwiające ten proces. Oprogramowanie BIND od wersji 9.7 implementuje mechanizm śledzenia zmian kluczy opisany w dokumencie RFC Aby korzystać z automatycznego zarządzania kluczami wystarczy dodać aktualny KSK do sekcji managed-keys, a jego nowe wersje będą automatycznie pobierane: Skąd wiadomo, że DNSSEC działa? O tym, że odpowiedź DNS została poprawnie zweryfikowana informuje resolver rekursywny poprzez ustawienie bitu AD w odpowiedzi. Użytkownik może oczekiwać, że skoro otrzymał odpowiedź, a strefa jest zabezpieczona DNSSEC, to weryfikacja się powiodła, w przeciwnym razie zostałby zwrócony błąd SERVFAIL. Warty polecenia jest DNSSEC validator - dodatek do przeglądarki Firefox, opracowany przez rejestr czeski. To narzędzie dla każdej wyświetlanej strony podaje informację o zabezpieczeniach DNSSEC. Na rysunku przykład dla O czym trzeba pamiętać? Skuteczność DNSSEC jest taka, jak siła zabezpieczeń kryptograficznych. Tylko przy zachowaniu odpowiednich standardów będzie ona wysoka. Materiał kryptograficzny powinien być przechowywany w należyty sposób. O ile to możliwe, części prywatne kluczy powinny znajdować się poza maszyną, która świadczy usługę DNS. Wówczas nawet skompromitowany serwer nie będzie w stanie serwować fałszywych rekordów, ponieważ nie zostaną one podpisane. Dla zwiększenia bezpieczeństwa warto rozważyć przechowywanie klucza prywatnego np. na zaszyfrowanym nośniku w sejfie, a w przypadku stref o krytycznym znaczeniu (duże rejestry, instytucje rządowe, banki) zastosowanie urządzeń HSM (ang. hardware security module). Ich konstrukcja gwarantuje, że materiał kryptograficzny nie wycieknie na zewnątrz. Często umożliwiają także tworzenie bezpiecznych scenariuszy autoryzacji, które determinują obecność kilku osób do wykonania krytycznej operacji (ang. two-man rule). Takie urządzenia są wykorzystywane w krajowym rejestrze domeny.pl prowadzonym przez NASK. Warto pamiętać także o tym, aby zapewnić dostatecznie dobre źródło losowych danych maszynie wykonującej operacje na materiale kryptograficznym. Za cenę kilkuset dolarów można nabyć specjalny moduł sprzętowy, który zapewni losowość na dobrym poziomie. B I U L E T Y N NASK 11

12 DOMENY Cechy DNSSEC Na koniec ważna uwaga dla ISP. Za weryfikację DNSSEC odpowiada resolver rekursywny, o powodzeniu tego procesu końcowy odbiorca jest informowany jedynie poprzez ustawienie bitu AD w odpowiedzi. Bezpieczeństwo transmisji na linii resolver rekursywny - stacja robocza jest więc krytyczne dla całego procesu. Aby DNSSEC był skuteczny należy zapewnić należytą bliskość odbiorcy i maszyny odpowiedzialnej za rozwiązywanie nazw. Powinny one znajdować się w tej samej, zaufanej sieci. Czy DNSSEC ma jakieś wady? Konsekwencją wdrożenia DNSSEC jest zwiększona ilość danych w systemie DNS. Wiąże się to z koniecznością zaangażowania większych zasobów dyskowych i pamięciowych na serwerach autorytatywnych. W przypadku resolverów rekursywnych obserwuje się wzrost zapotrzebowania na moc obliczeniową niezbędną do weryfikacji podpisów. Wdrożeniu DNSSEC towarzyszy zwiększenie rozmiaru transmisji. Szczególną uwagę należy zwrócić na wzrost rozmiaru pakietu UDP, w skrajnych przypadkach może być to przyczyną zakłócenia komunikacji DNS. Pamiętajmy, że protokół DNS jest obecny w Internecie niemal od jego początków i wciąż mogą istnieć konfiguracje firewalli blokujące pakiety UDP większe niż 512 bajtów. Są to jednak sytuacje skrajne. DNSSEC bywa również wykorzystywany do ataków bazujących na różnicy wielkości zapytania i odpowiedzi (ang. amplification attack), jednak podatność ta stanowi naturalną cechę systemu DNS i występuje obecnie także w strefach nie podpisanych DNSSEC. Stan wdrożenia DNSSEC w Polsce i na świecie Strefa ROOT została podpisana 15 lipca 2010 r., co dało zielone światło dla globalnego wdrożenia. Według stanu na marzec 2012 zabezpieczonych DNSSEC jest 84 spośród 312 stref najwyższego poziomu. Należy dodać, że są to w większości najbardziej znaczące rejestry, takie jak.com,.gov, a także największe europejskie cctld (m.in..de,.uk,.pl,.fr). 19 grudnia 2011 r. NASK podpisał strefę.pl, a także 152 strefy funkcjonalne i regionalne np. com.pl, waw.pl. Rekord DS dla nazwy.pl został umieszczony w strefie ROOT 9 lutego 2012 r. Od 4 czerwca 2012 r. rozpoczął przyjmowanie rekordów DS nazw zarejestrowanych w domenie.pl, co oznacza, że każdy abonent domeny z końcówką.pl ma możliwość zabezpieczenia jej poprzez DNSSEC. Autor pracuje w zespole technicznej obsługi domen w NASK. Niniejszy artykuł został opublikowany w czasopiśmie IT w administracji nr 5/2012. W czerwcu 2012 r. zakończony został ostatni etap wdrażania w rejestrze.pl rozwiązania DNSSEC. To ważne wydarzenie dla polskiego rejestru, znacząco podnoszące poziom bezpieczeństwa komunikacji opartej na systemie nazw domen. Na koniec pierwszego półrocza, po trzech tygodniach działania usługi, w rejestrze zostało zarejestrowanych już niemal 400 rekordów DS, wykorzystywanych do zestawienia łańcucha zaufania między strefami DNS. Rejestr domeny.pl zamknął pierwsze półrocze 2012 r. z liczbą nazw aktywnych. Tylko w tym roku liczba ta zwiększyła się o ponad 94 tysiące. Największy wzrost odnotowano w pierwszym kwartale 2012 r. liczba nazw wzrosła o , a szczególnie wyjątkowy pod tym względem był styczeń, w którym przybyło nazw. 12 B I U L E T Y NNASK

13 Większa stabilizacja RAPORTY Rynek nazw domeny.pl w pierwszym półroczu 2012 Po rekordowym pierwszym kwartale 2012 r., w którym rejestrowano średnio nazwy dziennie, średnia dzienna liczba rejestracji nazw domeny.pl wróciła do wartości notowanych w poprzednich latach. To rokrocznie obserwowana tendencja na polskim rynku po okresach gwałtownego wzrostu następują miesiące charakteryzujące się większą stabilizacją: w drugim kwartale dziennie rejestrowano średnio nowych nazw domeny.pl. Na uwagę zasługuje wzrost wskaźnika rejestracji nazw bezpośrednio w domenie najwyższego poziomu i spadek zainteresowania rejestracją nazw w domenach regionalnych i funkcjonalnych. W drugim kwartale udział nazw rejestrowanych bezpośrednio w domenie.pl wyniósł 64,19 proc., czyli był o 5,5 p.p. większy od wyniku z poprzedniego kwartału. Nazw bezpośrednio w domenie.pl zarejestrowano Liczba nazw domeny.pl w DNS Q Q B I U L E T Y N NASK 13

14 RAPORTYDomena.pl Procent odnowień nazw domeny.pl Q Q ,95% 60,26% Q ,72% Q ,00% Q ,99% Q ,73% Q ,65% Q ,09% Q ,95% Q ,48% 55% 56% 57% 58% 59% 60% 61% Od początku 2012 r. poziom odnowień nazw w domenie.pl oscyluje wokół 60 proc., osiągając na koniec pierwszego półrocza 59,95 proc. Dane z pierwszego półrocza 2012 r. pokazują rekordowy wzrost zainteresowania usługą testów nazw domeny.pl, tzw. DNT. Tylko w ciągu pierwszego kwartału przetestowano 85 tys., a w drugim prawie 71 tys. nazw domeny.pl, gdy w całym pierwszym półroczu 2011 r. wykonanych testów było zaledwie 40 tys. W kwietniu 2012 r. NASK wdrożył nową usługę umożliwiającą modyfikację końca okresu rozliczeniowego nazwy domeny. Od tej pory okresy rozliczeniowe nie muszą być wielokrotnością roku, ale mogą wynosić też określoną liczbę dni, wskazaną przez abonenta. Od czasu uruchomienia usługi już 12 Partnerów rozpoczęło jej oferowanie. Raport dostępny jest na stronie: Rozmowa z Michałem Kręglewskim, kierownikiem Działu Rozwoju Oprogramowania (DRO) NASK oraz Jarosławem Janturą, zastępcą kierownika DRO NASK. Jakie były początki Działu Rozwoju Oprogramowania? Początki Działu sięgają działalności programistycznej, jaką wykonywali pracownicy Działu Domen zajmujący się tworzeniem oprogramowania dla rejestru domeny.pl. Z biegiem czasu i rozwojem NASK, pracownicy tego działu zaczęli realizować nowe projekty związane z bezpieczeństwem sieciowym oraz archiwami cyfrowymi. W związku z tym powstała konieczność powołania niezależnej od Działu Domen jednostki, która zajęłaby się tworzeniem i rozwijaniem oprogramowania na potrzeby prowadzonych przez NASK działań. W ten sposób w 2008 roku powstał Dział Rozwoju Oprogramowania. 14 B I U L E T Y NNASK

15 Działem Rozwoju Oprogramowania ROZMOWA Z... Kompleksowe projektowanie Czym obecnie zajmuje się Wasz Dział? Tworzymy oprogramowanie, głównie w oparciu o język Java, ale także w C, C++ i PHP. Zajmujemy się kompleksowym zarządzaniem projektami informatycznymi, planowaniem architektury, projektowaniem, programowaniem oraz zapewnieniem odpowiedniej jakości oprogramowania. Nasz Dział funkcjonuje w ramach Pionu Operacyjnego, ale przy realizacji projektów korzystamy z wiedzy i doświadczeń innych zespołów w strukturze NASK. Warte podkreślenia jest to, że działamy jako komórka badawczo-rozwojowa. Determinuje to sposób naszej pracy, dużą wagę przykładamy do badań poprzedzających implementację. Kim są pracownicy Działu? Obecnie Dział Rozwoju Oprogramowania to ponad 30 osób programistów, analityków, architektów i testerów. Warto podkreślić, że w ciągu ostatnich 2 lat liczba pracowników wzrosła o ponad 50 procent. Są to osoby w różnym wieku, o różnych umiejętnościach i doświadczeniu. Wszystkich nas łączy pasja do tworzenia oprogramowania. Największym kapitałem naszego Działu są ludzie. Dlatego staramy się im stwarzać ciągłe możliwości rozwoju zawodowego, chociażby poprzez finansowanie szkoleń i certyfikacji, ale także poprzez umożliwianie poznawania oraz wykorzystywania nowych technologii. Takie podejście procentuje ciągłą profesjonalizacją pracowników Działu, który dzięki temu jest w stanie realizować szereg innowacyjnych projektów dla sektora publicznego i prywatnego. Jakimi projektami zajmuje się Dział Rozwoju Oprogramowania? Realizujemy projekty o różnych stopniach złożoności, zarówno dla firm, jak i dla instytucji naukowych, administracji państwowej od małych aplikacji po systemy operujące na dziesiątkach serwerów, z dużymi wymaganiami odnośnie wydajności, niezawodności i bezpieczeństwa. Dotychczas działaliśmy w trzech głównych obszarach tematycznych: domeny internetowe, archiwa cyfrowe oraz bezpieczeństwo internetowe. Spośród zrealizowanych projektów jesteśmy szczególnie zadowoleni z implementacji polskiego oraz irlandzkiego rejestru domen. Dla Narodowego Archiwum Cyfrowego stworzyliśmy Archiwum Dokumentów Elektronicznych, które gromadzi, przechowuje i udostępnia dokumenty elektroniczne, wytwarzane przez administrację państwową. Wspólnie z Biblioteką Narodową, Naczelną Dyrekcją Archiwów Państwowych, Instytutem Badań Literackich Polskiej Akademii Nauk oraz Instytutem Historii Polskiej Akademii Nauk zrealizowaliśmy trzyletni projekt badawczy pod nazwą Elektroniczne Archiwum Zabytków Piśmiennictwa Polskiego. Jego celem było opracowanie koncepcji digitalizacji zabytków piśmiennictwa polskiego powstałych do 1600 roku oraz przygotowanie systemu informatycznego, umożliwiającego zarządzanie zbiorem kopii cyfrowych zabytków i dostęp do nich przez Internet. Wraz z CERT Polska stworzyliśmy szereg systemów monitorujących B I U L E T Y N NASK 15

16 ROZMOWA Z... DRO bezpieczeństwo w sieci, m. in. ARAKIS, którego głównym zadaniem jest wykrywanie i opisywanie zautomatyzowanych zagrożeń występujących w sieci. Braliśmy również udział w opracowaniu HoneySpider Network. Jest to wspólny projekt zespołu CERT Polska, CERT-u rządu holenderskiego GOVCERT.NL oraz akademickiego operatora w Holandii SURFnet, mający na celu wynalezienie nowych oraz wykorzystanie istniejących technik do wykrywania ataków na aplikacje klienckie, w szczególności przeglądarki WWW. Obecnie rozszerzamy naszą działalność na nowe obszary, takie jak na przykład rozwiązania High Performance Computing, mogące służyć pracom poświęconym kryptografii oraz bezpieczeństwu archiwów cyfrowych i danych biometrycznych. Obecnie realizujemy projekt, którego głównym celem jest implementacja oprogramowania szyfrującego i deszyfrującego opartego na hybrydowym klastrze CPU/GPU. Co w Waszej pracy sprawia Wam najwięcej satysfakcji? Dużą satysfakcję sprawia nam świadomość, że pracujemy nad nieszablonowymi projektami i w tak wielu różnych obszarach. Ważne dla nas jest to, że rozwiązania, które tworzymy spełniają oczekiwania klientów. Ogromną przyjemność stwarza możliwość eksperymentowania i poznawania nowych technologii w ramach działań badawczo-rozwojowych. Jakie będą kierunki rozwoju Działu Rozwoju Oprogramowania? W ostatnich latach zaobserwować można bardzo ciekawe zmiany, które zachodzą w Organizacji Traktatu Północnoatlantyckiego w odniesieniu do cyberprzestrzeni. Postępująca cyfryzacja i masowe wykorzystywanie sieci teleinformatycznych nie mogły być dłużej traktowane przez wojsko bez należytej uwagi. Realizacja szeregu projektów dla instytucji publicznych, takich jak Biblioteka Narodowa czy Narodowe Archiwum Cyfrowe, sprawia nam ogromną satysfakcję. Następnym wyzwaniem, jakie sobie stawiamy, jest dalsze wzmacnianie naszej oferty skierowanej do klientów komercyjnych. Ponadto chcemy rozwijać działalność informacyjno-edukacyjną. Dlatego też NASK został Srebrnym Partnerem konferencji Confitura 2012, największego w Polsce spotkania profesjonalistów zajmujących się językiem Java i językami pokrewnymi. Podczas konferencji zaprezentowaliśmy naszą ofertę i osiągnięcia programistom z całego kraju. Z zespołem DRO rozmawiał Krzysztof Węgier Punktem zwrotnym były udane cyberataki przeprowadzone na Estonię (2007) i Gruzję (2008). Wtedy to doszło w NATO do zintensyfikowania prac, zmierzających do istotnych zmian w strategii tej organizacji. W październiku 2010 r. NATO przyjęło nową strategię, w której obok dotychczasowych obszarów działania: ziemia, powietrze, morze, kosmos; doszedł piąty cyberprzestrzeń. Co to oznacza? Mniej więcej tyle, że wojska państw należących do NATO będą traktowały cyberprzestrzeń jak kolejne pole walki, na którym można prowadzić działania wojenne (zarówno defensywne 16 B I U L E T Y NNASK

17 Projekt SOPAS BEZPIECZEŃSTWO juliusz brzostek Cyberprzestrzeń kolejnym polem działań NATO jak i ofensywne). Zmiana strategii to ważny punkt zwrotny, po którym muszą nastąpić kolejne kroki. Przede wszystkim muszą zmienić się zapisy prawa wszystkich państw członkowskich. Przykładem takich zmian w polskim prawie jest procedowana i wprowadzona we wrześniu zeszłego roku nowelizacja umożliwiająca Prezydentowi Polski wprowadzenie stanu wojennego, wyjątkowego lub stanu klęski żywiołowej w przypadku zewnętrznego zagrożenia w cyberprzestrzeni. Cyberprzestrzeń w ćwiczeniach wojskowych Wprowadzenie cyberprzestrzeni do strategii NATO spowodowało, że to pole walki na stałe zagościło w ćwiczeniach wojskowych organizowanych przez Pakt. W połowie 2011 r. wystartowała 7 edycja wielonarodowego eksperymentu (ang. Mulitnational Experiment 7 MNE7), a jej głównym celem było zwiększenie dostępu do zasobów wspólnych (ang. Global Commons). Dla domeny cyberprzestrzeń zdefiniowanych zostało 5 celów nadrzędnych. Wśród nich: opracowanie metodyki pomiaru i zarządzania zagrożeniami, podatnościami i ryzykiem; opracowanie wytycznych w zakresie współdzielenia informacji dotyczącej bezpieczeństwa; czy analiza potrzeb w zakresie wizualizowania sytuacji na polu walki (cyberprzestrzeń w tym wypadku). Kolejnym ważnym wydarzeniem w obszarze ćwiczeń wojskowych jest wspólne testowanie współpracy w ramach NATO CWIX (ang. NATO Coalition Warrior Interoperability exploration experimentation examination exercise). Także podczas tego wydarzenia, pierwszy raz w kilkuletniej historii tych ćwiczeń, zagościł w nich obszar cyberprzestrzeni, jako niezależne pole współpracy koalicjantów NATO, a Polska z dużym pozytywnym zaskoczeniem stała się liderem tego obszaru. Dlaczego warto o tym pisać? Głównie, dlatego że wobec tak ważnych zmian nie możemy przejść obojętnie. Doświadczamy szczegól- Opracowanie prototypu Systemu Ochrony Przed Atakami Sieciowymi (SOPAS) to cel projektu realizowanego przez NASK, Wojskowy Instytut Łączności i firmę ITTI. B I U L E T Y N NASK 17

18 BEZPIECZEŃSTWO Ochrona cyberprzestrzeni nej chwili, w której NATO zmienia nastawienie do cyberprzestrzeni i jej bezpieczeństwa. Wydaje się naturalnym, że powinniśmy wspierać wojsko w tym nowym procesie transformacji szczególnie poprzez realizację projektów badawczych. Sukces projektu SOPAS W październiku 2010 r. NASK rozpoczął realizację projektu SOPAS. Jest to projekt realizowany przy współpracy z Wojskowym Instytutem Łączności oraz firmą konsultingową ITTI sp. z o.o. z Poznania. Celem projektu jest opracowanie prototypu Systemu Ochrony Przed Atakami Sieciowymi (SOPAS) zabezpieczającego federacyjną sieć teleinformatyczną. Środowisko federacyjne jest tutaj rozumiane jako zbiór autonomicznych domen posiadających własne polityki bezpieczeństwa, odrębnych administratorów, odrębne podsystemy zarządzania siecią oraz jej zasobami informacyjnymi. Przekazywanie informacji o zaistniałych sytuacjach alarmowych, sygnaturach ataków oraz propozycji reakcji zapewni efekt synergii oraz umożliwi propagowanie dobrych praktyk w innych domenach. Rozpoczynając pracę nad tym projektem nie wiedzieliśmy o nadchodzących zmianach w obszarze wojskowym, jak również tego, że nasz projekt idealnie wpisze się w nową strategię NATO. Podczas realizacji projektu mieliśmy okazję dzielić się swoimi wynikami badań w trakcie konferencji MNE7 i CWIX 2012, za każdym razem wzbudzając duże zainteresowanie wśród słuchaczy. Zwieńczeniem naszych prac nad projektem były testy systemu na początku czerwca w ramach ćwiczeń CWIX 2012 w Bydgoszczy. Federated Cyber Defense System, bo pod taką nazwą był on prezentowany w środowisku międzynarodowym, został przetestowany przy współpracy wojskowych specjalistów z Finlandii i Węgier. W ramach obszaru Cyber Defense był to pierwszy i jedyny opracowany w tak szerokim wymiarze projekt dedykowany m.in. dla środowiska militarnego. Nakreśliliśmy w ten sposób wyraźny kierunek dla tego obszaru na ćwiczenia w kolejnych latach. Autor artykułu jest kierownikiem zespołu projektów bezpieczeństwa w CERT Polska Reaction Federated Cyber Defence System (FCDS) Monitoring Decision Module (DM) Domain A DM RE Attack detection Admin FCDS Domain C SENSOR Reaction Elements Sensor LAYER 3 SENSOR LAYER 7 SENSOR SOPAS IDS/ADS RE DNS blackholing RE WebProxy RE IPtables... DM FCDS Domain B Sensor Protected domain RE RE 18 B I U L E T Y NNASK Architektura Systemu Ochrony Przed Atakami Sieciowymi - SOPAS

19 Telefoniczne oszustwa BEZPIECZEŃSTWO Wojciech Wrzesień Nadużycia w telefonii. Jak się nie dać oszukać? Na wielu płaszczyznach telefon stał się podstawowym elementem wyposażenia, koniecznym wręcz do sprawnego działania. Monetyzacja wynalazków zawsze jest pewnym wyzwaniem, ale w przypadku telefonu tak nie było. Wszyscy chcieli móc porozmawiać na odległość. Ale kiedy pojawiały się pierwsze nadużycia? Trochę historii Do danych na temat pierwszych nadużyć nie udało mi się dotrzeć, jednak z pewnością niejedno nielegalne podłączenie do linii telefonicznej miało miejsce. Wraz z rozwojem telefonii rozpoczęto naliczenie opłat za połączenia - w początkowej fazie jako opłaty za fakt rozmowy, a w kolejnym kroku - z dokładnością do minut. Od czasu wynalezienia i opatentowania w 1876 r. telefonu przez Abrahama Bella minęło 136 lat. Wynalazek ten był przełomowym narzędziem umożliwiającym sprawniejszą komunikację pomiędzy ludźmi. Tabela opłat za rozmowy międzymiastowe krajowe (Spis abonentów warszawskiej sieci telefonów Polskiej Akcyjnej Spółki Telefonicznej 1938/39) B I U L E T Y N NASK 19

20 BEZPIECZEŃSTWO Zalety i wady VoIP Pod koniec lat 60. i na początku 70. w Stanach Zjednoczonych rozpoczęli działalność phreakerzy (od phone freak telefoniczny maniak ), którzy poprzez włamania do automatów telefonicznych kradli drogie impulsy międzystanowe. Jednym z najbardziej spektakularnych przykładów jest sposób sprawdzony przez Johna Drapera. Odkrył on, że dźwięki emitowane przez gwizdek, zabawkę dodawaną do płatków śniadaniowych, miały tą samą częstotliwość, jaką posługiwały się aparaty telefoniczne podczas komunikacji z centralą. Za pomocą tego gwizdka można było wybrać numer telefoniczny i uzyskać połączenie nie płacąc za nie (co ciekawe, odkrycie to udoskonalono i zaprojektowano urządzenie o nazwie Blue Box, które w nieudany sposób chcieli skomercjalizować późniejsi twórcy firmy Apple - Steve Wozniak i Steve Jobs). Drogie serwisy Powstały także telefoniczne serwisy wysokopłatne, które oferowały zarówno rozrywkę (rozmowy towarzyskie, wróżby, loterie), jak również - w późniejszym okresie - płatną informację. Model rozliczeń pomiędzy dostawcą takich serwisów a operatorem był i jest nadal dość prosty. Operator telekomunikacyjny realizuje połączenie inicjowane przez abonenta oraz wystawia za te połączenia fakturę. Po zaksięgowaniu wpływu pieniędzy operator rozlicza się z usługodawcą (dostawcą wcześniej wspomnianych treści) na zasadzie procentowego podziału ceny za połączenie. Cena jednej minuty takiego połączenia to np. 4,26 PLN - łatwo można sobie wyobrazić skalę takiego biznesu. Po stronie dostawcy treści leżało rozreklamowanie numeru oraz zapewnienie treści. Ponieważ jedno połączenie generowało dość duży rachunek (kilkadziesiąt złotych) wprowadzono wymóg ograniczenia czasu jego trwania, a następnie obowiązek generowania specjalnej informacji przed właściwym połączeniem, a w konsekwencji rozpoczęciem naliczania opłaty. Jest to mechanizm uświadamiający klienta o kosztach połączenia i dzięki temu umożliwiający świadomą decyzję o poniesieniu tego kosztu. Niestety, wśród niektórych dostawców treści istniała i istnieje chęć skrócenia tej drogi. Odbywało się to poprzez generowanie ruchu za pomocą specjalnych urządzeń zainstalowanych w wynajętych mieszkaniach z linią telefoniczną. Operatorzy dość szybko zorientowali się w tych praktykach i wprowadzili zabezpieczenia antyfraudowe polegające głównie na dokładnej analizie danych bilingowych. W przypadku nieprawidłowości wstrzymywano wypłatę wynagrodzeń dla usługodawców. Po upowszechnieniu się techniki VoIP działającej w sieciach IP i opartej o protokół SIP, telefoniczni przestępcy wkroczyli w świat, w którym trzeba było napisać odpowiednie oprogramowanie umożliwiające skanowanie interfejsów pod kątem ich podatności na włamania. Brak zabezpieczeń był urzeczywistnieniem przysłowia okazja czyni złodzieja. Przestępcze metody Telefonia VoIP to elastyczność (jeżeli mamy Internet, to możemy mieć usługę telefoniczną), wygoda (urządzeniem końcowym może być telefon, ale i komputer z oprogramowaniem), nomadyczność (wystarczy poprawnie zalogować się do platformy VoIP z dowolnego miejsca na świecie), możliwość połączenia wideo (terminal musi być wyposażony w kamerę). Niestety z drugiej strony ze względu na swoją specyfikę telefonia VoIP podatna jest na zagrożenia. Jest kilka charakterystycznych sposobów przy atakach na sieci i hosty VoIP, którymi przestępcy starają się osiągnąć swój finansowy cel. Kradzież, wyłudzenia, defraudacja, pranie pieniędzy to klasyczne metody działania przestępców. Wykorzystują oni zarówno numery o podwyższonej opłacie (0-70x), jak również światowe numery premium, a obecnie bardzo często tzw. egzotyczne jak i standardowe numery międzynarodowe. W efekcie działalności telefonicznych przestępców dwie strony (klient i operator) przegrywają, zyskuje w krótkim czasie tylko przestępca. Klient jest narażony na straty związane z dużym rachunkiem, a następnie całym Fraud nadużycie, naciąganie, nieuczciwość. W telekomunikacji to świadome działanie mające na celu uzyskanie korzyści majątkowej lub wyrządzenie szkody finansowej osobie prawnej lub prywatnej np. za pomocą generowania nielegalnego, sztucznego ruchu telefonicznego. 20 B I U L E T Y NNASK