Od redaktora. Prof. Krzysztof Malinowski zosta³ dyrektorem NASK ds. naukowych

Transkrypt

1 W numerze: Wydarzenia, nowości... 2 ICANN: spotkanie w Kuala Lumpur... 7 Hotline przy CERT Polska... 8 Podziemie atakuje Oferta dla biznesu Systemy mocnego uwierzytelnienia Badanie telemarketingowe Działalność naukowa w NASK Wykorzystanie platformy ENUM Gridy obliczeniowe (cz. II)... 22

2 2 Od redaktora Trwają przygotowania do VIII edycji konferencji SECURE na temat bezpie czeństwa sieci i systemów teleinforma tycznych, organizowanej przez NASK i działający w ramach NASK zespół CERT Polska. Szczegóły dotyczące pro gramu i warunków udziału w SECURE 2004 mogą Państwo znaleźć na stronie W bieżącym numerze Biuletynu NASK publikujemy dwa artykuły ściśle związane z tematyką zbliżającej się konferencji. W pierwszym z nich Krzysztof Silicki, dyrektor techniczny NASK i pełnomocnik ds. CERT Polska, omawia działania związane ze zwalczaniem nielegalnych treści w Internecie i zapowiada powsta nie krajowego punktu kontaktowego, który zajmie się obsługą zgłoszeń związanych z niepożądanymi treściami pojawiającymi się w sieci. Drugi artykuł, którego autorem jest Mirosław Maj, kierownik Zespołu CERT Polska, uświadamia nam realne zagrożenia związane z działalnością internetowego podziemia. W biuletynie prezentujemy osobę prof. dr. hab. inż. Krzysztofa Malinowskiego, który pełni w NASK funkcję dyrektora ds. nauko wych. Przy tej okazji piszemy szerzej o badaniach naukowych i badawczo rozwojowych prowadzonych przez NASK. Ich konkretnym przykładem są publikacje na temat projektu ENUM (artykuł Andrzeja Bartosiewicza) i gridów obliczeniowych (artykuł Andrzeja Karbowskiego). Na łamach biuletynu znajdą Państwo również najnowsze doniesienia o pracach prowadzonych w Dziale Marketingu NASK, kierowanym przez Annę Radecką, która pisze m.in. o nowych pro duktach w ofercie biznesowej NASK oraz badaniach marketingo wych stanowiących podstawę do przygotowania oferty e Urząd dla jednostek administracji państwowej. Piotr Ławniczak, manager produktów bezpieczeństwa w Dziale Marketingu NASK, prezentu je systemy mocnego uwierzytelnienia jeden z naszych podstawo wych produktów bezpieczeństwa. Artur Piechocki z Działu Prawnego NASK, dzieli się swoimi refleksjami po ostatnim spotkaniu ICANN. Tematyka biuletynu jest różnorodna. Zapraszam do lektury! Maria Baranowska Prof. Krzysztof Malinowski zosta³ dyrektorem NASK ds. naukowych 2 Rada Naukowa NASK powołała dotychczasowego kierownika Pionu Naukowego NASK, prof. dr. hab. inż. Krzysztofa Malinowskiego, na stanowisko dyrektora NASK ds. naukowych. Prof. dr hab. inż. Krzysztof Malinowski, jest od wielu lat związany z Wydziałem Elektroniki i Technik Informacyjnych Politechniki Warszawskiej, a ściślej z działającym w ramach tego wydziału Instytutem Automatyki i Informatyki Stosowanej. W Instytucie tym pełnił m.in. funkcje zastępcy dyrektora, a następnie dyrektora. Jest kierownikiem Zakładu Sterowania i Systemów IAiIS. W latach był dziekanem Wydziału Elektroniki i Technik Informacyjnych Politechniki Warszaw skiej oraz w senacie tej uczelni przewodniczącym komisji ds. nauki. Prof. Malinowski pracuje w NASK od stycznia 2001 r. Od początku 2003 r. kieruje pracami Pionu Nauko wego NASK. Od 27 maja 2004 r. jest dyrektorem NASK ds. naukowych. Prof. Krzysztof Malinowski zajmuje się problematyką sterowania w warunkach niepewności, metodami optymalizacji, w tym metodami hierarchicznymi, oraz zastosowaniami opty malizacji, dekompozycji i koordynacji w sterowaniu i podejmo waniu decyzji operacyjnych w zarządzaniu złożonymi systemami. Wśród projektów badawczych prowadzonych pod kierunkiem prof. Krzysztofa Malinowskiego ważne miejsce zajmują prace dotyczące sterowania ruchem i jakością usług w sieciach kom puterowych. Jest autorem i współautorem trzech monografii, ponad stu czterdziestu artykułów i opublikowanych referatów na konferencje oraz licznych opracowań badawczych. W latach był kierownikiem projektu QOSIPS w 5. Programie Ramowym Unii Europejskiej (projekt ten poświęcony był m.in. opracowaniu metod służących do prawidłowej wyceny zróżnico wanych usług w sieci Internet). Jest członkiem korespondentem Polskiej Akademii Nauk i członkiem zwyczajnym Towarzystwa Naukowego Warszawskiego. Działalność naukowo badawczą i badawczo rozwojową pro wadzą w NASK pracownie wchodzące w skład Pionu Naukowego: Pracownia Sterowania Ruchem i Zarządzania Siecią oraz Pracow nia Biometrii, a także zespoły: CERT Polska, Zespół Projektowy, Zespół Bezpieczeństwa i Integracji Usług, Dział Domen, Zespół Polska.pl i Zespół Prawny. Prace naukowe i badawczo rozwojowe NASK dotyczą biometrycznych metod identyfikacji, mechanizmów zarządzania i koordynacji pracy sieci, zagadnień podwyższania bezpieczeństwa w sieci, wprowadzania nowych kategorii dostępu do sieci związanych z klasami jakości i umowami typu SLA, czy zastosowania mechanizmu domen internetowych do adresacji telefonicznej i portowania numerów. Wiecej o badaniach nauko wych prowadzonych w NASK piszemy na stronie 17. /mb/

3 Wydarzenia, nowoœci 3 Anna Radecka, kierownik Dzia³u Marketingu Anna Radecka od marca tego roku kieruje Działem Marketingu NASK. Jest absolwentką SGH, gdzie ukończyła także studia podyplomowe w zakresie public relations oraz studia MBA. W la tach pracowała w grupie TCH, gdzie była asystentką ds. marke tingu, a zakończyła pracę w tej instytucji jako dyrektor ds. marketingu. W latach była współwłaścicielką i dy rektorem zarządzającym małej agencji komunikacji marketingowej. W okresie od 2001 do 2004 roku była dyrektorem ds. marketingu w spółkach MCX, Optimus i Indykpol. W dwóch ostatnich firmach kierowała m.in. wprowadzaniem nowych produktów na rynek, np. w Optimusie wprowadziła notebooki. Indykpol to jej przygoda ze specyfiką branży FMCG, gdzie podlegał jej poza marketingiem również cały pion technologii. W bieżącym numerze biuletynu Anna Radecka pisze o nowych produktach w ofercie NASK, wprowadza nas również w szczegóły badań marketingowych jednostek administracji państwowej, prze prowadzonych w połowie tego roku z inicjatywy NASK. Anna Radecka jeździ na nartach, uprawia jeździectwo, żegluje i surfuje. /mb/ Otwarcie Centrum Kolokacji i Hostingu NASK 30 czerwca 2004 r. odbyło się otwarcie nowoczesnego Centrum Kolokacji i Hostingu NASK. W Centrum udostęp niona została usługa kolokacji, polegająca na dzierżawie infrastruktury lub powierzchni montażowej w specjalnie przygotowanej do tego serwerowni i umiejscowieniu w niej sprzętu klientów z zagwarantowaniem odpowiedniego środowiska pracy. Korzystanie z usług kolokacji jest formą outsourcingu. Pozwala na poprawę rentowności firmy dzięki redukcji kosztów zakupu urządzeń podtrzymujących zasilanie, oprogramowania, utrzyma nia serwerowni, a także wyszkolenia i utrzymania personelu. Usługi kolokacji świadczone przez NASK skierowane są do firm zainteresowanych tym, aby ich sprzęt teleinformatyczny pracował w bezpiecznym miejscu (kontrola dostępu, ochrona fizyczna, bezpieczeństwo informatyczne) i miał zagwarantowa ne optymalne i niezawodne warunki pracy (system klimatyza cyjny, awaryjne zasilanie, redundantne łącza). Jest to oferta dla firm ze wszystkich sektorów gospodarki: małych, średnich i dużych przedsiębiorstw. Klienci Centrum Kolokacji i Hostingu NASK mają zagwa rantowany fizyczny dostęp do swoich urządzeń 24 godziny na dobę przez 7 dni w tygodniu oraz możliwość korzystania z pokoju pracy czasowej, z którego mogą zdalnie połączyć się ze swoimi urządzeniami umieszczonymi w Centrum. NASK zapewnia monitorowanie pracy urządzeń klienta w trybie ciąg łym w zakresie: www, ftp, pop3, smtp, snmp, icmp (ping). Ewentualna nieosiągalność usługi jest raportowana za pomocą poczty elektronicznej, komunikatu SMS lub faksu. Pracownicy NASK przez całą dobę świadczą klientom Centrum usługi typu pomocna dłoń : restart urządzeń, wyłączanie oraz włączanie urządzeń, odłączenie i załączenie kabli urządzeń, zmiana płyty CD. Klienci Centrum otrzymują raporty o poziomie ruchu wejściowego i wyjściowego (statystyki MRTG). W ramach usługi kolokacji zapewniony jest także backup danych. Z prasy NASK uruchamia centrum hostingowe NASK otworzył tzw. centrum kolokacji i hostingu. W specjalnie przygotowanej serwerowni będzie dzier żawić firmom powierzchnię montażową i niezbędną infrastrukturę dla ich własnego sprzętu. Taka oferta to dla firm alternatywa wobec budo wania własnej serwerowni (specjalityczne centrum z dostępem do sieci zapewnia fizyczne bezpieczeństwo sprzętu, personel i odpowiednie środowisko pracy komputerów) , Gazeta Wyborcza W Centrum Kolokacji i Hostingu zapewniono różne możli wości transmisji. Dostępne są kanały SDH/PDH, kanały ATM oraz FR. Centrum dołączone jest bezpośrednio do szkieletu sieci IP NASK dwoma niezależnymi łączami. Cena za kolokację jednego urządzenia miesięcznie (1U) wynosi 349 zł netto. W ramach tej opłaty, poza fizycznym miej scem na urządzenie, klient otrzymuje: gniazdo zasilające, mechanizmy ochrony i kontroli dostępu (ACL), separację ruchu kierowanego do urządzeń klienta na poziomie przełącz nika sieci lokalnej, fizyczny dostęp do Centrum, numer IP, port ethernet (10/100), powiadamianie o awarii, miesięczne rapor ty o wykorzystanej przepustowości i ciągłości pracy urządzeń w sieci, usługi pomocna dłoń, powierzchnię backup. Dodatkowo firma korzystająca z usług Centrum może wykupić transmisję danych, której rozliczenie występuje w postaci opłaty za przepustowość (CIR) lub naliczania percentylowego (tj. za rozmiar faktycznie wykorzystanego pasma). Rozszerzenie usługi podstawowej jest możliwe przez wy kupienie dodatkowych pakietów podstawowych dopasowanych do zróżnicowanych potrzeb klientów lub pojedynczych usług dodatkowych. /annara/

4 4 Wydarzenia, nowoœci Krajowa Izba Rozliczeniowa klientem NASK i Infonet Polska NASK i Infonet Polska wygrały w konkursie ofert na podłączenie Krajowej Izby Rozliczeniowej SA do syste mu rozliczeń międzybankowych SWIFT. SWIFT (Society for Worldwide Interbank Financial Telecommuni cation) jest organizacją zrzeszającą użytkowników oprogramo wania służącego do komunikacji międzybankowej. Jednym z czterech światowych dostawców dedykowanych połączeń z siecią SWIFT jest Infonet Services Corporation (ISC), mię dzynarodowy operator transmisji danych, którego usługi dostępne są w Polsce za pośrednictwem Infonet Polska, działa jącego w ramach NASK. Jak już informowaliśmy, na początku tego roku NASK, wspólnie z Infonet Polska, ukończył duży projekt podłączenia do sieci SWIFT dwunastu banków i instytucji finansowych działających w Polsce. Projekt ten wiązał się z migracją sieci SWIFT z używanej wcześniej technologii X.25 do technologii IP. Od lipca 2004 r. z usług NASK i Infonet Polska korzysta również Krajowa Izba Rozliczeniowa SA. Umowa została za warta na trzy lata. Krajowa Izba Rozliczeniowa SA planuje uruchomienie w listopadzie 2004 r. systemu EuroELIXIR, przeznaczony do prowadzenia rozliczeń międzybankowych w euro. EuroELIXIR będzie umożliwiał rozliczanie płatności krajowych oraz transgranicznych. Podłączenie do sieci SWIFT zostanie wykorzystywane przez Izbę do wysyłania i odbioru zleceń transgranicznych do/z europejskiego systemu rozliczeniowym EBA STEP2 wyjaśnia Tomasz Jończyk z KIR SA. Krajowa Izba Rozliczeniowa SA powstała w 1991 r. Jej udzia łowcami są: Narodowy Bank Polski, 13 banków komercyjnych i Związek Banków Polskich. Izba świadczy usługi rozliczeń międzybankowych płatności realizowanych za pośrednictwem banków oraz przygotowywania danych do rozrachunku. Do czołowych produktów Krajowej Izby Rozliczeniowej należy m.in. elektroniczny system rozliczeń międzybankowych ELIXIR i system SZAFIR świadczący usługi związane z podpisem elektronicznym. Izba jest również jednym z czterech polskich wydawców certyfikatów kwalifikowanych systemu odczytu optycznego i skanowania dokumentów. /ar/ NASK obs³uguje LG. Philips Displays Poland NASK realizuje zadania objęte umową podpisaną z fir mą LG. Philips Displays Poland Sp. z o.o. ze Skierniewic. Zakres umowy obejmuje zapewnienie dostępu do Inter netu, kompleksowe zabezpieczenie styku z siecią Internet oraz dostawę, instalację i konfigurację routera i firewalla. W skład usługi weszło także wdrożenie, implementowanej na firewallu, polityki dostępu do sieci, w tym utworzenie tunelu VPN dla ruchu korporacyjnego. NASK zapewnił również LG. Philips Displays szkolenie w zakresie podstawowej obsługi wdrożonych elementów oraz usługę serwisową. LG. Philips Displays Poland Sp. z o.o. jest fabryką światowego lidera w produkcji kineskopów do telewizorów i monitorów komputerowych. LG. Philips Displays, której siedziba znajduje się w Hong Kongu, zatrudnia na świecie ponad pracowników i posiada 23 fabryki. Firma jest joint venture pomiędzy LG Electronics i Royal Philips Electronics. W 2003 r. jej udział w produkcji kineskopów wyniósł 27 proc. LG. Philips Displays Poland Sp. z o.o. istnieje od 2001 r. i wytwarza rocznie ponad 30 milionów ferrytowych rdzeni zespołu odchylania do kines kopów. Oznacza to udział w światowym rynku rdzeni na pozio mie 17 proc., a w europejskim 75 proc. /annara/ Opcje nowe mo liwoœci w rejestracji domen internetowych Opcje to nowa usługa NASK wprowadzona z myślą o klientach, którzy czekają na zwolnienie się domeny za jętej przez innego klienta i możliwość jej zarejestrowania. NASK jest pierwszym europejskim rejestrem świadczącym ten rodzaj usług, bardzo popularnych w Stanach Zjedno czonych, a mało znanych w Europie, gdzie rynek opcji dopiero zaczyna się tworzyć. Zasada funkcjonowania DNS (systemu nazw domenowych) zakłada, że tylko jeden abonent może korzystać z konkretnej domeny internetowej. Jeśli ona jest aktualnie zarejestrowana, nikt inny nie może z niej korzystać. Często jednak domena jest usuwana, np. ze względu na rezygnację dotychczasowego abonenta, brak płatności, etc. W takiej sytuacji domena może być zarejestrowana przez inną osobę. Z prasy Domenê czas przenieœæ Jeśli ktoś zamierza przekazać usługodawcy istotne dla biznesu domeny, nie zaszkodzi spraw dzić, czy to stabilna firma, czy przedsięwzięcie z serwerami pod łóżkiem. Każda firma, która zamie rza zarejestrować lub już zarejestrowała domenę internetową, powinna pomyśleć o przeniesieniu obsługi z Naukowej i Akademickiej Sieci Kompu terowej do jednego z jej partnerów. Dzięki temu można sporo zaoszczędzić, zwłaszcza jeżeli utrzy muje się kilka domen. Koszt rejestracji i rocznego utrzymania domeny w Naukowej i Akademickiej Sieci Komputerowej (która zarządza strefą pl) to 200 zł netto. Większość partnerów NASK proponuje usługi za mniej więcej połowę tej kwoty , Rzeczpospolita

5 Wydarzenia, nowoœci 5 Aby ułatwić życie naszym klientom oczekującym na zwolnienie konkretnej domeny do rejestracji postanowiliśmy dać im możliwość wykupienia opcji. Abonent, który wykupi opcję na daną domenę, ma gwarancję w przypadku jej zwolnienia zarejestrowania tej domeny na swoją rzecz powiedział kierownik działu Domen NASK Andrzej Bartosiewicz. Usługa opcji jest dostępna wyłącznie przez partnerów NASK. Dla danej domeny może zostać wykupiona tylko jedna opcja. /mb/ Klienci BRICKS & BITS obs³ugiwani przez NASK NASK podłączył do Internetu dwóch nowych klientów fir my BRICKS & BITS operatora telekomunikacyjnego obsłu gującego instytucje zlokalizowane w warszawskich biurowcach. Zgodnie z umową zawartą pomiędzy NASK a BRICS & BITS, NASK świadczy usługi dostępu do Internetu dla BRICKS & BITS z możliwością ich odsprzedaży. W zakres umowy wchodzi zestawia nie, zarządzanie, monitorowanie i utrzymanie przez NASK łączy dostępowych do Internetu. BRICKS & BITS, operator telekomunikacyjny w warszawskich biurowcach, wykorzystuje łącza dostarczone przez NASK, zestawia ne z wykorzystaniem technologii Cisco LRE (Long Reach Ethernet). LRE działa na podstawie standardowego okablowania miedzianego, które jest już w budynkach, np. okablowanie sieci telefonicznej, transmitując po nim sygnał sieci Ethernet oraz sygnał telefoniczny. Takie rozwiązanie eliminuje konieczność inwestycji w nowe okablo wanie strukturalne, co oznacza dla klientów konkretne oszczędno ści. Dzięki współpracy obu firm zapewniono dostęp do Internetu przez sieć NASK już 14 klientom BRICKS & BITS. /mb/ NASK wspó³pracuje z ABW 9 lipca br. w obecności szefa ABW, Andrzeja Barcikows kiego, zostało podpisane porozumienie o współpracy NASK z Departamentem Bezpieczeństwa Wewnętrznego ABW. Zawarta umowa jest wynikiem prowadzonych już od kilku lat wspólnych działań ABW i zespołu CERT Polska działają cego w ramach NASK. Głównym celem porozumienia jest dalszy rozwój współ pracy na rzecz ochrony krytycznej infrastruktury teleinforma tycznej kraju, w ramach wspólnie prowadzonego projektu zwanego KSOKITI (Krajowy System Ochrony Krytycznej Infrastruktury Teleinformatycznej). Porozumienie sankcjonuje nasze wieloletnie współdziałanie mające na celu sformalizowanie działań dotyczących ochrony krytycznej infrastruktury teleinformatycznej kraju. Obecnie nie ma jeszcze żadnego prawodawstwa, regulującego te kwestie powiedział Krzysztof Silicki, dyrektor techniczny NASK. Z prasy Wspó³praca ABW z NASK Departament Bezpieczeństwa Teleinformatyczne go Agencji Bezpieczeństwa Wewnętrznego (DBTI ABW) zawarł z NASK umowę ramową dotyczącą współ pracy przy opracowywaniu metod i środków ochrony informacji w systemach teleinformatycznych. Jed nym z ważniejszych przedsięwzięć będzie opracowa nie modelu organizacyjno technicznego umożliwiają cego ochronę systemów i sieci administracji. Insty tucje będą wspólnie propagować wiedzę z dziedziny bezpieczeństwa, m.in. przez organizację szkoleń. Umowa przewiduje wymianę doświadczeń między ABW i zespołem CERT Polska, który w NASK odpowiada za reagowanie na incydenty naruszające bezpieczeństwo w Internecie. Zostanie opracowana klasyfikacja i terminologia dotycząca zagrożeń bezpie czeństwa teleinformatycznego. NASK i DBTI ABW będą prowadzić badania i ocenę oprogramowania oraz urządzeń przeznaczonych do ochrony infor macji w systemach i sieciach teleinformatycznych. Działania podejmowane przez ABW i NASK mają być zbieżne z działaniami NATO i innych organi zacji zajmujących się problematyką bezpieczeństwa, w tym: FIRST i TERENA , Computerworld Umowa zakłada również podjęcie wspólnych działań przy budowie modelu organizacyjno technicznego, umożliwiającego ochronę zasobów danych administracji państwowej. Utworzone zostanie także specjalistyczne laboratorium, niezależne od producentów sprzętu i oprogramowania, w którym testowane będą rozwiązania z zakresu bezpieczeństwa teleinformatycznego, a w szczególności z zakresu ochrony sieci. CERT Polska zespół mający wieloletnie doświadczenie w reagowaniu na zdarzenia naruszające bezpieczeństwo sieci będzie udzielał technicznego wsparcia w sytuacjach nowych zagrożeń i pomocy w analizie niebezpiecznych trendów. /am/ eglarski sukces NASK Czerwiec, jak co roku, dostarczył przedstawicielom na szej branży wspaniałych żeglarskich wrażeń. Od 17 do 20 tego miesiąca pracownicy NASK wzięli udział w IX Międzynaro dowych Żeglarskich Mistrzostwach Polski Branży Teleinfor matycznej IT Cup Sponsorem jednej z naszych łodzi był, podobnie jak w zeszłym roku, Infonet Polska. W tegorocznych regatach wystartowały 53 załogi. NASK wystawił trzy, dowodzone przez dzielnych sterników: Annę Radecką, Jacka Terpiłowskiego i Janusza Barana. Jedna z załóg

6 6 Wydarzenia, nowoœci startowała pod wspólnymi żaglami NASK i Infonet Polska. Wszystkie załogi spisały się znakomicie i dostarczyły kibicom wspaniałych wrażeń i sportowych emocji. Pomimo kapryśnej pogody i silnej konkurencji, reprezentantom NASK udało się dopłynąć na samo podium. Zasady rozgrywanych konkurencji zostały w tym roku nieco zmienione i finałowe biegi odbyły się w trzech grupach. W finale A startowały 24 łodzie, które w poprzedzających finały zawodach uzyskały największą liczbę punktów. W finałach B i C znalazły się załogi, które nie zakwalifikowały się do ścisłej czołówki. NASK zdobył III pucharowe miejsce. Pozostałe dwie nasze łodzie zajęły 8 i 10 miejsce w finale B. Naszym żeglarzom towarzyszyli wierni kibice. Reprezentacja kibiców NASK została doceniona przez patrona medialnego imprezy wydawnictwo LUPUS które uhonorowało nas pucharem za najlepszą zabawę i sportowe zachowanie. My również postanowiliśmy obdarować jedną z załóg za wyjątkowo pogodne usposobienie. Atmosfera mazurskiego spotkania była jak zwykle dosko nała, padający od czasu do czasu deszcz w niczym nie zakłócił regatowych zmagań i wieczornych biesiad. Dziękujemy wszyst kim za wspólne sportowe emocje i do zobaczenia na jubileu szowych X regatach IT CUP. /ar/ Tegoroczny IT CUP: na pierwszym planie za³oga NASK, która wywalczy³a III miejsce

7 Wydarzenia, nowoœci Spotkanie w Kuala Lumpur Rejestry krajowe ponownie wspó³pracuj¹ w ramach ICANN 7 Artur Piechocki Ostatnie spotkanie ICANN (lipiec br.) nie przyniosło definityw nych zmian, ani w polityce wewnątrz ICANN, ani w relacjach pomiędzy rejestrami krajowymi a ICANN. Zmierzało raczej do podsumowania pierwszego etapu reformy ICANN oraz cechowało się wzmożoną pracą uczestników, mającą na celu m.in. nawiązanie współpracy pomiędzy ccnso (country code Names Supporting Organization), a tymi z rejestrów krajowych, które znajdują się poza ccnso. Liczba członków ccnso nie zwiększyła się znacznie od spotkania ICANN w Rzymie. Najważniejszym rejestrem krajowym, który wyraził wolę przystąpienia do ccnso, był AFNIC (Francja); europejskie rejestry cctld (country code Top Level Domain) traktują jednak ccnso z dużą rezerwą. Spotkanie ccnso zgromadziło mimo to aż 60 osób. Wyłoniono kandydatów do Rady ccnso. Z regionu europejskiego zostali nimi: Bart Boswinkel (.nl), Olivier Guillard (.fr) i Petr Kral (.cz). W spotkaniu uczestniczył przed stawiciel ICANN Paul Verhoef, który w miejsce odrzuconych gene ralnie przez cctlds kontraktów z ICANN, zaproponował człon kom ccnso tzw. Accountability Framework. Nie sprecyzował jednak, na czym będzie polegał nowy rodzaj współpracy ICANN i cctld. Z zewnętrznych komentarzy wynika, że celem ICANN jest uzyska nie większego wpływu na cctld przez ccnso oraz politykę Accountability Framework. Mechanizmem uzyskania tego wpływu byłby przede wszystkim proces akceptowania polityki ccnso przez Radę Dyrektorów ICANN. Verhoef bardzo silnie podkreślił, iż ICANN znajdzie drogę do zastosowania polityki ukształtowanej w ramach ccnso w stosunku do wszystkich rejestrów cctld. Stanowisko takie jest o tyle zaskakujące, że poszczególne rejestry krajowe mają status niezależny od ICANN, szczególnie w znaczeniu prawnym. W spotkaniu ccnso uczestniczył również Doug Barton z IANA (Internet Assigned Names Authority) będącej obecnie częścią ICANN i obsługującej administrację root serwerów, a także wpisów do bazy danych rejestrów krajowych. Poinformował on m.in. o zastoso waniu IPv6 przez IANA w ramach obsługi root serwerów. Barton wspomniał również o ulepszeniach w pracy IANA, m.in. o redukcji o 40 proc. kolejek zadań do wykonania, co jego zdaniem powinno być podstawą do zwiększenia opłat należnych ICANN od rejestrów krajowych. Dalsze ulepszenia będą polegać na stworzeniu formularzy do kontaktu z cctld, łącznie z zastosowaniem podpisu elektronicznego. Zdaniem Bartona, nie powinny one prowadzić do całkowitej automatyzacji obsługi IANA. W ramach ICANN odbyło się spotkanie na temat WSIS, które zostało ustanowione Rezolucją Zgromadzenia Ogólnego ONZ nr 56/183 w grudniu 2001 r. jako dwufazowy proces zmierzający do określenia podstaw i zasad funkcjonowania społeczeństwa informacyjnego, w tym kwestii zarządzania Internetem. Podczas pierwszego etapu WSIS, zakończonego spotkaniem w Genewie, nie przyjęto żadnych rozwiązań dotyczących zarządzania Internetem, dominowały jednak dwa kierunki. Pierwszy, zakładał aktywną rolę ONZ w tym zakresie obok obecnych struktur organizacyjnych (np. ICANN), drugi przyjmował, że obecne formy zarządzania są wystarczające i przejawiał się w sformułowaniu if it s broke don t fix it. Podczas lipcowego spotkania ICANN dominowało poparcie dla drugiego podejścia. Konferencja ICANN stała się okazją do wznowienia współpracy pomiędzy cctld, które zostały członkami ccnso oraz pozosta łymi, które odrzuciły członkostwo w ccnso w jej obecnym kształ cie (np..uk,.de,.be,.pl), głównie ze względu na ustalanie w ra mach ICANN polityki wiążącej rejestry krajowe, bez uwzględnienia prawa krajowego. Uczestnicy spotkania zgodzili się organizować w przyszłości wspólne spotkania podczas konferencji ICANN, których przedmiotem obok tematyki związanej z ICANN powinna być np. wymiana doświadczeń, nowych rozwiązań technicznych i organizacyjnych. Częścią konferencji ICANN były również warsztaty poświęcone nazwom domen ze znakami narodowymi. Spotkanie przerodziło się, m.in. za sprawą prowadzącego Johna Klensina, w dyskusję o charakterze ogólnym, chwilami wręcz ideologicznym i dla reje strów, takich jak NASK, poruszało tematy już nieaktualne. Warto jednak wspomnieć, że warsztaty pozwoliły na wyjaśnienie nieporo zumienia, jakie wiązało się z publikacją przez IANA tablicy znaków (przygotowanej przez NASK), zawierającej znaki arabskie i bardzo ostrą reakcją ze strony organizacji, których członkami są osoby pochodzenia arabskiego (np. MINC) przeciw tej publikacji. Pre zentacja Andrzeja Bartosiewicza, dotycząca osiągnięć NASK, nie tylko wzbudziła powszechne zainteresowanie ze względu na wskazanie konkretnych rozwiązań dotyczących IDNs, które zostały już wprowadzone w NASK, ale również ze względu na wyjaśnienie celów, jakie kierowały NASK podczas wprowadzania nazw domen ze znakami arabskimi (przede wszystkim współpraca z narodami posługującymi się pismem arabskim oraz rozwój nowej technologii). Konferencji ICANN towarzyszyło spotkanie rejestrów krajo wych z przedstawicielami ITU (Houlin Zhao dyrektor TSB/ITU, Richard Hill ITU T) i niektórych rządów lub regulatorów krajo wych. Powodem spotkania był raport prof. Michaela Geista z Uniwersytetu w Ottawie na temat stosunków pomiędzy rządami a rejestrami krajowymi. Raport wskazywał na niewielkie bezpo średnie zaangażowanie w proces rejestracji nazw domen ze strony rządów, przy zachowaniu stałej współpracy pomiędzy rządami a rejestrami krajowymi. Model ten funkcjonuje w pełni m.in. w Polsce. Prezentacje poszczególnych uczestników spotkania wyraźnie wskazywały na zależność: bezpośrednie zaangażowanie rządu w rejestrację zmniejszenie atrakcyjności domeny krajowej. Autor pracuje w Dziale Prawnym NASK

8 8 Bezpieczeñstwo Powstaje hotline przy CERT Polska Nielegalne treœci w Internecie Krzysztof Silicki W ostatnich latach wolność wypowiedzi jako istotny atrybut demokracji została wzmocniona przez rewolucję internetową. Łatwość umieszczenia dowolnych informacji w Internecie była cechą wcześniej nieznaną żadnej formie publikacji. Treści, które znaleźć można w sieci, są zamieszczane tam nie tylko przez publiczne instytucje (rządy państw, władze lokalne, organizacje międzynaro dowe i pozarządowe) czy firmy komercyjne, ale także wyrażają poglądy różnych grup i stowarzyszeń oraz prywatnych osób. Na serwerach www, grupach dyskusyj nych, w poczcie elektronicznej i chat roomach w roz maitych formach pojawia się bowiem coraz więcej treści nielegalnych, które zagrażają demokracji, wolności i bezpieczeństwu społecznemu. To druga strona dotycząca wolności wypowiedzi w Internecie. Rasizm, ksenofobia i pornografia dziecięca to najczęściej wy mieniane rodzaje treści o charakterze nielegalnym. W różnych krajach istnieją rozbieżności w prawnym zdefiniowaniu takich treści. Wymienione powyżej treści spotyka się jednak najczęściej jako te, które jednoznacznie zwalczają poszczególne kraje oraz międzynarodowe organizacje, zajmujące się tą problematyką. Organizacje istniejące od dawna (np. działająca od dziesięcioleci organizacja OSCE Organization for Security and Co operation in Europe), których misją jest ostrzeganie przed zjawiskami groź nymi dla społeczeństw w świat Internetu wchodzą, jak w obszar zagrożeń bezpieczeństwa polityczno wojskowego, ekonomiczne go, środowiskowego czy społecznego. Inne, takie jak stowarzysze nie INHOPE (Internet Hotline Providers in Europe Association), powstały i rozwinęły się po to, aby reagować na pojawiające się nielegalne treści w Internecie, a przede wszystkim na porno grafię dziecięcą. Skuteczne formy dzia³ania Historia organizacji INHOPE jest charakterystyczna dla powstawania inicjatyw reagujących na pojawiające się w Inter necie niekorzystne zjawiska i dlatego warta jest prześledzenia. Już w 1995 roku zauważono, że sieć używana jest przez pedofi lów jako miejsce publikacji i forum wymiany materiałów por nograficznych z udziałem dzieci. Osoby zajmujące się innymi nielegalnymi formami działalności, takimi jak propagowanie ostrego rasizmu, zaczęły także wykorzystywać Internet jako dodatkowe środowisko swojej ofensywy. W niektórych krajach Europy rozpoczęły się debaty na temat znalezienia skutecznych sposobów przeciwdziałania. W 1996 roku powstał w Holandii pierwszy hotline zajmujący się zgłoszeniami pornografii dziecięcej w Internecie. Okazało się, że użytkownicy sieci znacznie chętniej zgłaszają takie przypadki do niezależnego punktu, pełniącego rolę gorącej linii, niż na policję (hotline był wspierany przez policję holenderską). Niebawem podobne inicjatywy pojawiły się w innych krajach Norwegii, Belgii i Wielkiej Brytanii. Wkrótce kolejne kraje Europy: Austria, Irlandia, Finlandia, Hiszpania i Francja rozpoczęły uruchamianie punktów hotline. W Stanach Zjednoczonych punkt zgłaszania nielegalnych treści (cybertipline) stworzono w 1998 roku. Szybko stał się on jednym z najbardziej zajętych hotline ów. W 1997 roku z inicjatywy brytyjskiej organizacji Childnet International zrodziła się idea stworzenia forum międzynarodo wej współpracy pomiędzy punktami hotline z poszczególnych kra jów. W ramach projektu Daphne pojawiła się możliwość finan sowania ze środków Komisji Europejskiej forum współpracy i wymiany doświadczeń (INHOPE). Forum to przekształciło się w 1999 roku w INHOPE Association, wspieraną przez Komisję Europejską i zrzeszającą kilkanaście narodowych punktów hotline. INHOPE Association W 1999 roku osiem narodowych punktów hotline zrzeszonych w INHOPE Forum wystapiło do Komisji Europejskiej o finansowanie swojej działalności w ra mach programu Safer Internet Action Plan (lata ). Dzięki wsparciu komisji członkowie organizacji INHOPE mogli regularnie spotykać się, dzieląc się problemami, doświadczeniami i opraco wywać zalecenia (tzw. best practices) dla użytkowni ków Internetu oraz organizacji zajmujących się problematyką nielegalnych i szkodliwych treści w Internecie. W 2002 roku kontrakt z Komisją Euro pejską został przedłużony na następne 18 miesięcy. Obecnie INHOPE podpisała następną umowę doty czącą finansowania trzeciego etapu działalności. Organizacja grupuje 18 hotline ów z 16 krajów nie tylko europejskich. W podobny sposób (a więc jako spontaniczna inicjatywa zrzeszająca europejskie zespoły z różnych krajów) w Europie i na świecie rozwinął się ruch CSIRT (Computer Security Incident Response Teams), który zajmuje się reagowaniem na zagrożenia bezpieczeństwa teleinformatycznego w Internecie. Z tą wszakże różnicą, że CSIRT y nie korzystają w takim stopniu z dofinanso wania Unii Europejskiej, jak organizacje typu hotline.

9 Bezpieczeñstwo 9 Czym zajmuj¹ siê punkty hotline? Punkty typu hotline stanowią zorganizowane miejsce, gdzie użytkownicy Internetu mogą zgłosić zauważone treści o nielegal nym lub szkodliwym charakterze. Takie zgłoszenia są rejestrowane oraz obsługiwane z wykorzystaniem ustanowionej i jawnej proce dury wewnętrznej. Punkty hotline korzystają ze wsparcia instytucji rządowych i pozarządowych, współpracują także z wymiarem spra wiedliwości danego kraju. Z reguły jednak są to organizacje nieza leżne od służb mundurowych i innych instytucji państwowych. Informacja o otrzymaniu zgłoszenia (drogą telefoniczną, pocztą elektroniczną, faksem lub za pomocą formularza na stronie www) jest zapisywana w rejestrze i jeśli zgłoszenie nie było anonimowe, zgłaszający otrzymuje potwierdzenie przyjęcia sprawy przez hotline. Pracownicy, specjalnie szkoleni w umie jętności oceniania treści internetowych, wstępnie sprawdzają, czy zgłoszony materiał może naruszać prawo danego kraju. Jeśli ocena jest jednoznacznie negatywna, sprawa ta nie jest kontynuowana choć hotline może w przypadku wątpliwości skonsultować się z innymi członkami INHOPE. Jeśli istnieje prawdopodobieństwo, że zgłoszony materiał jest nielegalny, to pracownicy rozpoczynają procedurę docie rania do prawdziwego źródła (np. pornografii dziecięcej). Ostateczna ocena czy mamy do czynienia z treściami zabro nionymi w danym kraju należy już do służb ścigania, którym są zgłaszane takie przypadki, przygotowane w postaci materiału opracowanego przez hotline. Taki materiał może stanowić podstawę do rozpoczęcia śledztwa przez prokuraturę lub policję. Warto zaznaczyć, że analizy i poszukiwania prowadzone przez hotline są żmudne, czasochłonne i wymagają wiedzy technicznej. Bardzo często prawdziwe adresy, źródła niele galnych treści są sprytnie ukrywane, a sprawa wykracza poza terytorium danego państwa. Wówczas potrzebna jest współ praca międzynarodowa, którą rozwijają takie organizacje jak INHOPE czy FIRST (Forum of Incident Response and Security Teams). Punkty typu hotline, aby nieść pomoc ofiarom incy dentów związanych z rozpowszechnianiem treści nielegalnych (np. nieletnim wykorzystanym przez przestępców), współ pracują także z organizacjami o charakterze społecznym. Obowi¹zuj¹ce w Polsce przepisy Kodeksu karnego zwi¹zane z poruszan¹ tematyk¹ Art Kto obraża uczucia religijne innych osób, znie ważając publicznie przedmiot czci religijnej lub miejs ce przeznaczone do publicznego wykonywania obrzę dów religijnych, podlega grzywnie, karze ogranicze nia wolności albo pozbawienia wolności do lat 2. Art Kto obcuje płciowo z małoletnim poniżej lat 15 lub dopuszcza się wobec takiej osoby innej czynności seksualnej lub doprowadza ją do poddania się takim czynnościom albo do ich wykonania, podlega karze pozbawienia wolności od roku do lat 10. Art Kto publicznie prezentuje treści pornograficzne w taki sposób, że może to narzucić ich odbiór osobie, która tego sobie nie życzy, podlega grzyw nie, karze ograniczenia wolności albo pozbawie nia wolności do roku. 2. Kto małoletniemu poniżej lat 15 prezentuje treści pornograficzne lub udostępnia mu przedmioty mające taki charakter albo rozpowszechnia treści pornograficzne w sposób umożliwiający takiemu małoletniemu zapoznanie się z nimi, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Kto w celu rozpowszechniania produkuje, utrwa la lub sprowadza albo rozpowszechnia lub pub licznie prezentuje treści pornograficzne z udzia łem małoletniego albo treści pornograficzne związane z prezentowaniem przemocy lub posłu giwaniem się zwierzęciem, podlega karze pozba wienia wolności od 6 miesięcy do lat Kto utrwala, sprowadza, przechowuje lub posiada treści pornograficzne z udziałem małoletniego poni żej lat 15, podlega karze pozbawienia wolności od 3 miesięcy do lat Sąd może orzec przepadek narzędzi lub innych przedmiotów, które służyły lub były przeznaczone do popełnienia przestępstw określonych w 1 4, chociażby nie stanowiły własności sprawcy. Art Kto publicznie propaguje faszystowski lub inny totalitarny ustrój państwa lub nawołuje do nienawiści na tle różnic narodowościowych, etnicznych, rasowych, wyznaniowych albo ze względu na bezwyznaniowość, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art Kto publicznie znieważa grupę ludności albo poszczególną osobę z powodu jej przynależności naro dowej, etnicznej, rasowej, wyznaniowej albo z powodu jej bezwyznaniowości lub z takich powodów narusza nietykalność cielesną innej osoby, podlega karze poz bawienia wolności do lat 3.

10 10 Bezpieczeñstwo Safer Internet Action Plan W następstwie decyzji No. 276/1999/EC Parlamentu Euro pejskiego oraz Komisji Europejskiej ze stycznia 1999 roku, uzu pełnionej decyzją przedłużającą w 2003 roku, powstał w Euro pie wieloletni program (Multiannual Community Action Plan), promujący bezpieczniejsze użytkowanie Internetu oraz innych nowoczesnych technologii multimedialnych i sieciowych. Bezpieczniejszemu dla użytkownika Internetowi ma w zało żeniach programu Safer Internet Action Plan pomagać walka z nielegalnymi i szkodliwymi treściami publikowanymi w sieci, a w szczególności ochrona dzieci oraz młodzieży przed zetknię ciem się z takimi treściami. towe i inne). Stanowi to naturalne rozszerzenie działalności CERT u, do którego zgłaszane są także informacje mające związek, np. z dziecięcą pornografią. Warto przypomnieć zgło szenie, które wpłynęło do CERT Polska z Biura Rzecznika Praw Dziecka, natrafienia na strony zawierające pornografię dzie cięcą podczas poszukiwania rozkładu jazdy pociągu ekspreso wego. Następny przykład to konsultacja udzielona przez zespół jednej z Komend Wojewódzkich Policji w sprawie ustalenia adresów serwerów, na których znalazły się strony z pornografią dziecięcą. Jak się zresztą okazało serwery te nie znajdowały się w Polsce. Należy zwrócić uwagę na to, że specyfika obsługi przypad ków związanych z nielegalnymi treściami, a w szczególności z pornografią dziecięcą, wymaga specjalistycznej wiedzy zwią zanej z wszechstronnym rozpoznaniem tych zjawisk, jak rów nież odpowiedniego przygotowania personelu hotline u do pracy, także psychologicznej. Dlatego między innymi została podjęta decyzja o wydzieleniu tych przypadków ze standar dowej obsługi incydentów zgłaszanych do CERT Polska. Występując z wnioskiem do Komisji Europejskiej o środki na prowadzenie hotline u NASK otrzymał rekomendacje od kilku instytucji publicznych, takich jak: Rzecznik Praw Dziecka, UNESCO, Ministerstwo Edukacji Narodowej i Sportu, Mini sterstwo Nauki i Informatyzacji, Komenda Główna Policji. Na Safer Internet Action Plan składają się cztery linie progra mowe (action lines): Tworzenie bezpieczniejszego środowiska (Creating a safer environment), Rozwijanie systemów filtrowania niepożądanych treści oraz systemów kwalifikujących (Developing filtering and rating systems), Podnoszenie świadomości (Raising awareness), Działania wspierające (Programme support). Gdy chodzi o pierwszą linię programową, mającą doprowadzić do stworzenia bezpieczniejszego środowiska dla użytkownika korzystającego z Internetu i innych nowoczesnych technologii (np. telefonów trzeciej generacji), Komisja Euro pejska proponuje współfinansowanie (do 50 proc.), w ramach Safer Internet, powstawania narodowych hotline ów, które będą obsługiwać zgłoszenia związane z niepożądanymi treściami w sieci. Plany NASK Komisja Europejska kładzie duży nacisk na powstawanie hotline ów w krajach, które ostatnio wstąpiły do Unii Europej skiej (w Polsce nie ma profesjonalnego punktu mogącego zająć się zgłoszeniami o nielegalnych treściach rozpowszech nianych w Internecie). Dlatego NASK zdecydował się stworzyć punkt hotline w ramach struktury zespołu CERT Polska, który działa od 1996 roku i zajmuje się obsługą zgłaszanych przypadków zagrożenia lub naruszenia bezpieczeństwa tele informatycznego (skanowanie sieci, włamania, robaki interne Wniosek o dofinansowanie powstania punktu hotline w NASK został pozytywnie oceniony przez Komisję Europejską i obecnie trwa ostatnia faza negocjacji kontraktu. Proces orga nizacji hotline w NASK rozpocznie się w czwartym kwartale 2004 roku. Jeszcze przed powstaniem struktury punktu hotline nawiązaliśmy współpracę z Fundacją KidProtect oraz Fundacją Dzieci Niczyje. NASK wspólnie z Fundacją Dzieci Niczyje wystąpił także z drugim wnioskiem w ramach programu Safer Internet Action Plan w obrębie wspomnianej wyżej linii progra mowej Podnoszenie świadomości (Raising awarness). Projekt ten również został pozytywnie rozpatrzony przez Komisję Europejską i obecnie jest na etapie negocjacji. Autor jest dyrektorem technicznym NASK i pełnomocnikiem ds. CERT Polska

11 Podziemie atakuje Sieæ zagro eñ w Internecie Bezpieczeñstwo 11 Miros³aw Maj O zagrożeniach wynikających z ko rzystania z Internetu wiedzą wszyscy jego użytkownicy. Większość z nich słyszała o wirusach, robakach siecio wych, skanowaniu, atakach DOS. Nie zwalnia to specjalistów zajmujących się bezpieczeństwem teleinformatycznym od uświadamiania o coraz bardziej skomplikowanych i niebezpiecznych zagrożeniach występujących w sieci. Kiedy podsumowaliśmy statystyki związane z pracą zespołu CERT Polska w 2003 roku, okazało się, że dominującą część zgłaszanych ataków sieciowych stanowiły przypadki typu infor mation gathering (zbieranie informacji). W istocie chodzi o ska nowanie. Wielu czytelników może ulec wrażeniu, że nic takiego się nie dzieje, ponieważ już od dłuższego czasu niektórzy uważają skanowanie za część ruchu internetowego, nazywa nego nierzadko wręcz szumem sieciowym [1]. Jednak ci, którzy starają się dokładnie rozpoznać to zjawisko, wiedzą, że niemal każdy przypadek skanowania to w rzeczywistości skutek czegoś znacznie poważniejszego, np. włamania do komputera przez hakera [2] lub wynik działania robaka internetowego. Dlatego jeden z wniosków naszego raportu [3] brzmi: Incydenty kompute rowe są coraz bardziej skomplikowane i tworzą rozbudowaną sieć powiązań, której efektem są ataki typu DDoS, dystrybucja spamu, nielegalnych treści, próby oszustw na dużą skalę i naruszeń praw autorskich. Dziś atak sieciowy to nie pojedyncze włamanie do kompu tera, wysłanie wirusa, instalacja konia trojańskiego, blokada serwisu czy wysłanie spamu. Obecnie mamy najczęściej do czynienia z aktywnością, która łączy w sobie kilka z tych zagro żeń, a robaki sieciowe i wirusy stają się jedynie nośnikiem pew nych niebezpieczeństw. Tak skonstruowane mechanizmy ataków stały się jeszcze groźniejsze zarówno dla użytkowników sieci, jak i dla tych, którzy z sieci publicznej bezpośrednio nie korzystają. Zagrożenia mogą bowiem urzeczywistnić się także przez ataki na tzw. krytyczną infrastrukturę teleinformatyczną, ważną z punktu widzenia funkcjonowania państwa. Poziom skomplikowania Robak Blaser rozpoczął swoją aktywność w sieci 11 sierpnia 2003 roku. Wykorzystał on lukę w serwisie sytemu Microsoft DCOM RPC, a w konsekwencji doprowadził do ataku na witrynę windowsyupdate.com. Miał on za zadanie zablokowanie możliwości aktualizacji systemu Windows, która od pewnego czasu jest podstawowym sposobem załatania własnego systemu, zalecanym zresztą przez MS. Mieliśmy tu więc do czynienia z połączeniem działania robaka sieciowego i technik ataku DDoS (Distribiuted Denial of Service). W tym samym miesiącu 19 sierpnia ubiegłego roku mie liśmy do czynienia z następnym zagrożeniem, które spowodo wało znaczące szkody w sieci. Tym razem był to wirus Sobig, a konkretnie jego mutacja Sobig.F. Był to załącznik do poczty elektronicznej, który po jego uruchomieniu w systemie instalo wał program winppr32.exe. Działalność wirusa powodowała dalsze jego rozsyłanie na losowe adresy odnalezione w różnych plikach w systemie, instalację serwera poczty elektronicznej, akceptującego rozsyłanie poczty z obcych adresów, a w konsek wencji stworzenie olbrzymiej sieci serwerów pocztowych, służących do rozsyłania spamu. Specjaliści z MessageLabs uznali tego wirusa odpowiedzialnym za niesamowity wzrost liczby spamu w sieci. Według ich oceny w 2002 roku co jedenasty e mail w sieci był spamem, a już w roku 2003 na każde 2,5 e maila w sieci jeden był de facto spamem [4]. W 2004 roku największe zamieszanie w mediach spowo dował wirus MyDoom, znany również pod nazwą Novarg. Działalność tego wirusa bardzo dobrze obrazuje różnorodność mechanizmów wykorzystywanych przez współczesne wirusy i robaki. W trakcie aktywności MyDooma mogliśmy obserwo wać użycie załącznika e mail i korzystanie z połączeń sieci P2P do propagacji, oraz instalowanie konia trojańskiego, otwierają cego drogę do zainfekowanego komputera przez otwarty port TCP. O efektach działania wirusa MyDoom informowała większość mediów. Chodziło o blokadę internetowego serwisu firmy SCO (a w drugiej fali również serwisu Microsoftu). Trudno powiedzieć, czy atak udał się, ponieważ jego cel zniknął przed rozpoczęciem działania wirusa firma SCO zdecydowała się usunąć adres DNS i zastąpić go adresem www2.sco.com. Niemniej jednak trzeba przyznać, że złośliwy kod został napisany poprawnie i atak uświadomił wszystkim, jak poważne mogą być jego efekty. ycie publiczne zagro one Jeszcze poważniejsze konsekwencje uwidoczniły się wraz z pojawieniem się w styczniu 2003 roku robaka sieciowego Slammer, który zaatakował serwery MS SQL. Uświadomiliśmy sobie, że to co się dzieje w ogólnodostępnej sieci Internet, może poważnie wpłynąć na dysfunkcję wielu sektorów życia gospo darczego i społecznego. Slammer był jednym z najlepiej, od strony technicznej, napisanych robaków sieciowych. Co ciekawe, mimo strat, jakie spowodował, nie zawierał on złośliwego kodu skierowanego na destrukcję maszyny dotkniętej atakiem. Główną siłą Slammera była szybkość propagacji (w ciągu kilku minut zostały zainfekowane wszystkie możliwe komputery) oraz olbrzymi wygenerowany ruch. Przeciążenie sieci w wielu jej częściach było najpoważniejszą konsekwencją tego ataku.

12 12 Bezpieczeñstwo W Korei Południowej, kraju, w którym istnieje jedna z naj lepszych na świecie sieci szerokopasmowego dostępu do Internetu dla gospodarstw domowych, nastąpiła niemal całko wita blokada działania sieci. Usługi głównych operatorów (Korea Telecom Freetel, SK Telecom) były praktycznie niedo stępne. W USA bankomatów Bank of America nie wypłacało pieniędzy, a linie lotnicze Continental Airlines mu siały wstrzymać dokonywanie rezerwacji i wystawianie biletów, odwołały także wiele regionalnych lotów. W Bellvue, w stanie Washington, mieszkańców było odciętych od głównego numeru służb ratunkowych. W całych Stanach Zjednoczonych została zakłócona praca wielu służb, agencji federalnych i mediów. Przykład Slammera doskonale obrazuje, na szczęście w niewielkiej skali, jak niebezpieczna może być migracja zagrożeń powstających w Internecie do świata infrastruktury odpowiedzialnej za funkcjonowanie podstawowych dziedzin gospodarki i państwa. Kto za tym stoi? Osoby odpowiedzialne za kreowanie zagrożeń w Internecie kierują się najróżniejszymi pobudkami politycznymi, finansowymi lub osobistą ambicją połączoną z chęcią awansu w nieformalnych organizacjach przestępczych, np. grupach hakerskich. To twórcy internetowego podziemia, które ma własny kodeks postępowania oraz specyficzny, slangowy język; podziemia, które potrafi przeliczyć swoje usługi na twardą walutę. Organizacja taka gromadzi autorów wirusów, robaków, użytkowników tworzonych przez nich narzędzi, jak również zleceniodawców. Charakterystyczny jest to, że w podziemiu hakerskim nastąpiło połączenie środowisk, które do tej pory działały osobno: grup hakerskich, phreakerów, spamerów, piratów oraz grup zajmujących się cardingiem. Środowisko to wypracowało własny język porozumiewania się eblish oparty na języku angielskim. Stosuje on dużo prostych zamienników liter i skrótów wyrażeń, które mają ułatwić komunikację między zainteresowanymi, a niewtajemniczonym utrudnić jej odczyt. Środowisko to ma również własny cennik usług i towarów. Na sprzedaż jest prawie wszystko: konta shellowe, hasła na konto administratora, ataki typu DDoS. Ile to może kosztować? Przykładowo, 50 haseł administratora to wydatek około 50$, a wynajęcie Botneta (kontrolowanej sieci przejętych kompu terów, które można wykorzystać do ataku, zazwyczaj ataku DDoS lub rozsyłania spamu) na rok kosztuje 5 000$. Skuteczna ochrona Wnioski płynące z obserwacji podziemia są zaskakujące. Przyglądając się temu środowisku można zaobserwować takie jego cechy, jak otwartość na nowych członków, wręcz wymu szenie wkładu pracy na rzecz grupy, łatwość porozumiewania się, bezinteresowna pomoc. Są to cechy, na brak których często sami wskazujemy podczas dyskusji na temat skutecznej walki z naruszaniem prawa w sieci. Nie bez znaczenia jest również to, że od lat już nie potrafimy poprawnie ocenić zjawiska pod tytułem hacking. Systematyczne tworzony przez media, ale również bardzo często przez samo środowisko informatyków, wizerunek hakera jako młodego, zdolnego i niegroźnego człowieka to wielki błąd. Jego konsekwencją jest chęć naślado wania hakerów, a ewentualne szkody wynikające z tej dzia łalności są lekceważone, paradoksalnie czasami winnymi za nie wskazuje się... ofiary, które nieodpowiednio zabez pieczyły swój system. Obecnie niezwykle ważne stało się prawidłowe zidentyfiko wanie krytycznej infrastruktury teleinformatycznej i skuteczna jej ochrona. Podane powyżej przykłady zakłócenia działania sieci bankomatów, infrastruktury internetowej czy sieci należących do linii lotniczych, to właśnie atak na infrastrukturę krytyczną. Infrastrukturę tę nie tworzą jednak tylko potężne i niezwykle ważne systemy teleinformatyczne w sektorze finan sowym, energetycznym lub w administracji państwowej, ale również mogą ją tworzyć, w swej masie, użytkownicy indywidu alni, o czym dobitnie przekonał nas przykład Korei Południo wej i Slammera. Dlatego oprócz działań naprawczych i po rządkujących nie należy zapominać o edukacji indywidualnego użytkownika. Właściwe i szybkie rozpoznanie dobrze zorganizo wanego środowiska podziemia Internetu jest konieczne do obrony przed zwichnięciem proporcji pomiędzy pożytkami a szkodami, jakie mogą płynąć ze strony Internetu. Globalna sieć wymusza bowiem szeroką współpracę także w dziedzinie bezpieczeństwa IT. Autor jest kierownikiem Zespołu CERT Polska 1 Patrz np.: projekt CERT u szwajcarskiego Internet Background Noise: 2 W artykule słowa haker i pokrewne używane są dla określenia osób i ich nielegalnej działalności w sieci. 3 Raport CERT Polska 2003: 4 Patrz: contentitemid=613&region. CERT (Computer Emergency Response Team) Pol ska jest zespołem powołanym do reagowania na zda rzenia naruszające bezpieczeństwo w sieci Internet. CERT Polska działa od 1996 roku, od 1997 roku jest członkiem FIRST (Forum of Incidents Response and Security Teams). W ramach tej organizacji współpra cuje z podobnymi zespołami na całym świecie. Zespół CERT Polska działa w strukturach NASK.

13 Oferta dla biznesu Nowe produkty w NASK Us³ugi 13 Anna Radecka W połowie roku wzbogaciliśmy ofertę biznesową NASK o kilka produktów. Stanowią one uzupeł nienie naszej dotychczasowej ofer ty. Liczymy na to, że pozwolą nam pozyskać nowych klientów, jak również zaoferować dodatkowe rozwiązania obecnym użytkowni kom. Nie są to jeszcze znaczące zmiany w ofercie stanowiącej nasz core business, czyli w dostępie do Internetu i sieciach korpora cyjnych. Rewolucję w tej dziedzinie zapowiadamy, wraz z Pionem Technicznym NASK, na pierwszą połowę 2005 roku. Nowoczesne Centrum Kolokacji i Hostingu W czerwcu tego roku uruchomiliśmy profesjonalną usługę kolokacji w Centrum Kolokacji i Hostingu zlokalizowanym w budynku NASK, przy ul. Wąwozowej 18. Klienci, którzy wyku pują u nas usługę, poza możliwością umieszczenia sprzętu w po mieszczeniu spełniającym wszelkie wymagane warunki środowis kowe i warunki bezpieczeństwa, otrzymują dostęp do wielu usług dodatkowych, w tym: powierzchni na serwerze backupowym, sta tystyk ruchu, monitorowania pracy urządzeń klienta i powia damiania o ewentualnych awariach SMS em, pocztą elektroniczną lub faksem, usług z zakresu pomocna dłoń, dostępu konsolowe go w pokoju pracy czasowej do urządzeń znajdujących się w CKiH, a także archiwizacji danych na DVD. Przygotowanie produktu kolokacja odbyło się profesjonalnie przed godziną zero, czyli momentem poinformowania Zespołu Sprzedaży, że jesteśmy gotowi do zaoferowania kolokacji. Przygotowaliśmy wszystkie potrzebne procedury wewnętrzne (istotne z punktu widzenia gwa rancji dla klienta usługi najwyższej jakości), wzory umów, oferty, cenniki i ulotki, bazy rejestracji zdarzeń, odbył się także cykl szkoleń dla Działu Handlowego. Nad przygotowaniem Centrum Kolokacji i Hostingu do gotowości produkcyjnej pracował kilkunastoosobowy zespół Pionu Handlowego i Technicznego. Równolegle pracujemy w NASK nad uruchomieniem nowoczesnej usługi hosting dla biznesu. Zakładamy, że odbiorcy tej usługi będą mieli do niej dostęp na przełomie 2004 i 2005 roku. Usługa ta pozwoli zaoferować klientom zdalne zarządzanie kontami grupowymi, tworzenie i zarządzanie serwisami internetowymi, bezpieczną pocztę. Zintegrowane systemy bezpieczeñstwa Innym dużym projektem jest kompleksowa oferta usług w dziedzinie bezpieczeństwa sieciowego. Kilka z elementów tej propozycji istniało do tej pory. Naszym zadaniem było dodefinio wanie poszczególnych elementów bezpieczeństwa, rozszerzenie kontaktów i podpisanie umów z dostawcami, stworzenie metodologii, procedur handlowych i technicznych, mechanizmów doboru najlepszych rozwiązań, wprowadzenie brakujących elementów oferty, a przede wszystkim zdobycie odpowiedniej wiedzy z zakresu sprzedaży poszczególnych produktów. Obecnie oferta NASK składa się z następujących produktów: systemy moc nego uwierzytelnienia, firewalle, IDS (Intrusion Detection Systems) i IPS (Intrusion Prevention Systems). Zbliżamy się do końca dopraco wania oferty audytów bezpieczeństwa. Klientom oferujemy także doradztwo i projektowanie systemów bezpieczeństwa. Dla administracji publicznej Latem tego roku prowadziliśmy prace nad produktem e Urząd przeznaczonym dla urzędów administracji publicznej. Zasadniczą częścią oferty e Urząd jest system obiegu doku mentów. W zależności od wybranego pakietu klient może otrzymać także inne funkcjonalności, np. system ewidencji ludności lub podmiotów gospodarczych. Produkt przygotowa liśmy wspólnie z firmą Mikomp, która specjalizuje się w tego typu oprogramowaniu. Opracowanie produktu poprzedziło badanie marketingowe, które pozwoliło nam określić rynek oraz zdefiniować funkcjonalności wymagane przez potencjal nych odbiorców. Efektem badania jest również pozyskanie bazy danych nie tylko teleadresowej, ale zawierającej także infor macje o stopniu komputeryzacji urzędów, posiadanym dostępie do Internetu, planowanych wydatkach na IT oraz zainteresowa niu innymi produktami NASK. Podczas badania sprawdza liśmy także znajomość NASK wśród jednostek administracji publicznej. Wkrótce inne nowoœci We wrześniu wprowadzamy produkt umożliwiający naszym klientom samodzielne zarządzanie pasmem IP za pomocą urządzeń software owych lub hardware owych, w szczególności wiodącego produktu na rynku Packeeter. Uruchamiamy pierwsze usługi telefoniczne dla klientów, współpracując z operatorami alternatywnymi. Dzięki temu mo żemy zaproponować możliwie pełen zakres usług telekomunika cyjnych. Jest to bardzo istotny element usługi, którą obecnie przygotowujemy, polegającej na dostarczeniu kompletu ofert telekomunikacyjnych, w tym telefonicznych na rynku nie ruchomości. Opracowujemy politykę peeringową, w ramach której określi liśmy, z jakimi partnerami zamierzamy łączyć nieodpłatnie nasze sieci, a którym zaoferujemy peering płatny. Dział Marketingu część pracy poświęcił także na opako wanie istniejących produktów przygotowanie materiałów

14 14 Us³ugi informacyjnych, przewodników dla zespołu sprzedaży, pre zentacji i ulotek informacyjnych. Jesienna kampania marketingowa produktów NASK jest skierowana przede wszystkim na promocję usług bezpieczeń stwa i budowanie wizerunku firmy jako profesjonalnego do stawcy kompleksowej oferty bezpieczeństwa. Planujemy kampa Dostęp do Internetu, przesyła nie cennych informacji czy prze prowadzanie transakcji w sieci www to szansa rozwoju dla wielu firm, ale także pole działania przestępczości cybernetycznej. Organizacje moni torujące bezpieczeństwo w Inter necie alarmują: zagrożenia są coraz większe, a świadomość użytkowni ków sieci nie wzrasta w sposób wy starczający. Odpowiedzią na te wyzwania jest stale rozwijana w NASK oferta produktów bezpieczeństwa. Proponujemy sprawdzone rozwiązania, wykorzystujące produkty reno mowanych dostawców. Dbamy o to, aby były one dostoso wane do indywidualnych potrzeb naszych klientów i do specyfiki ich działalności biznesowej. W NASK kierujemy się zasadą kompleksowego podejścia do bezpieczeństwa teleinformatycznego, specjalizujemy się we wprowadzaniu zintegrowanych systemów zabezpieczeń. Nasze rozwiązania oferowane są klientom po szczegółowym audycie. Dzięki takiej ścisłej i długofalowej współpracy jesteśmy w stanie zapewnić odbiorcom naszych usług bezpieczeństwo na najwyż szym poziomie. Oferta NASK w tym zakresie uwzględnia charakterystykę obsługiwanej firmy: nasze produkty zabezpie czają właściwe obszary, mają odpowiednią funkcjonalność, są przyjazne dla użytkowników systemu, współpracują z innymi systemami firmy, są łatwe w rozbudowie i zarządzaniu, a także gwarantują oczekiwany poziom bezpieczeństwa. Kompleksowe rozwi¹zania Systemy mocnego uwierzytelnienia (SMU) są jednym z podstawowych produktów bezpieczeństwa w NASK. Propo nujemy klientom kompleksowe rozwiązania teleinformatyczne oparte na technologii OTP (One Time Password), PKI (Public Key Infrastructure) i biometrii. W ofercie NASK dostępne są trzy sposoby mocnego uwie rzytelnienia: OTP rozwiązania tokenowe firmy RSA zmienność kodu w czasie zapewnia zabezpieczenie przed przechwyceniem kodu dostępu przez nieautoryzowanego użytkownika (kod może być nię reklamową oraz udział naszych prelegentów w wielu konfe rencjach i szkoleniach poświęconych wspomnianej tematyce. Dział Marketingu i przedstawiciele Pionu Technicznego wykonali pracę, która powinna zaowocować większą konkuren cyjnością naszych produktów, a tym samym zwiększoną liczbą odbiorców usług NASK. Autorka jest kierownikiem Działu Marketingu NASK Systemy mocnego uwierzytelnienia Oferta produktów bezpieczeñstwa Piotr awniczak użyty do uwierzytelnienia tylko raz). Obecność niezależnego od użytkownika kodu generowanego przez token zabezpiecza system przed ujawnieniem hasła, np. na skutek stosowania perswazji czy innych technik psychologicznych. PKI certyfikaty cyfrowe, rozwiązania open source i Keon RSA rozwiązania oparte na standardach infrastruktury klucza publicznego, służą do efektywnego używania, zarządzania i za bezpieczania aplikacji e biznesowych. Jako serwer certyfikatów lub kompletne rozwiązanie zabezpieczające dostęp od desktopów do aplikacji produkt NASK dostarcza wspólny fundament dla bezpiecznego e biznesu (bezpieczny e mail, aplikacje Webowe, VPN y, systemy ERP i rozproszone aplikacje bazodanowe oraz wiele innych). Biometria doradztwo w zakresie wprowadzania rozwiązań wiodących światowych producentów. Biometria może być zde finiowana jako sposób rozpoznawania i identyfikacji osobistej opartej na cechach fizycznych i behawioralnych. Może być wykorzystana także do autoryzacji dostępu do szczególnie chronionych zasobów informatycznych i fizycznych. Kilka definicji Uwierzytelnienie jest procesem identyfikacji i potwierdze nia tożsamości użytkownika. Zidentyfikowanie go umożliwia przydzielenie praw dostępu do określonych zasobów (auto ryzacja). Obecnie firmy mają bardzo wiele powodów do zabez pieczania dostępu do swoich zasobów poczynając od nakazów prawnych, a skończywszy na ochronie własności firmy. W dużym uogólnieniu metody uwierzytelnienia dzielą się na trzy zasadnicze grupy: coś, co masz, jak na przykład klucz do drzwi lub karta magnetyczna, coś, co wiesz, w tej kategorii mieszczą się hasła, coś, czym się charakteryzujesz, np.: odciski palców, cha rakterystyka głosu czy też wzór siatkówki. Każda z tych metod ma swoje wady i zalety coś, co masz można ukraść. Coś, co wiesz może zostać odgadnięte, przejęte czy nawet zapomniane. Coś, czym się charaktery zujesz jest najsilniejszą, ale jednocześnie najkosztowniejszą i wciąż jeszcze zawodną metodą. Opierając się na tym jedno czynnikowym modelu logicznym tworzy się silne uwierzytel

15 Us³ugi 15 nienie system uwierzytelnienia wykorzystujący kombinację dwóch z powyżej podanych czynników. Systemy mocnego uwierzytelnienia (SMU) wspierane przez metodę kryptograficzną pozwalają w optymalny sposób zabezpieczyć zasoby wewnętrzne firmy i komunikację z nią otoczenia. Uwierzytelnienie (authentication) jest rozumiane jako identyfikacja użytkownika oraz potwierdzenie jego tożsamości określenie, kto usiłuje uzyskać dostęp do danego zasobu. Autoryzacja (authorization) umożliwia określenie praw danego użytkownika co może zrobić zidentyfiko wany użytkownik w systemie. Accounting daje możliwość śledzenia przebiegu sesji (rozumianej jako czas, w którym użytkownik miał do stęp do zasobu) użytkownika w danym systemie. Inaczej mówiąc, umożliwia on zespołowi zarządzającemu sys temem określenie, co zrobił użytkownik w czasie sesji. Wdrożenie systemu mocnego uwierzytelnienia pozwala na realizację takich zadań w organizacji, jak: uwierzytelnianie połączeń zdalnych użytkowników za pomocą serwera zdalnego dostępu, uwierzytelnianie połączeń z VPN ami i firewallami przychodzącymi z Internetu, a skierowanymi do sieci wewnętrznej, uwierzytelnianie ruchu w sieci firmowej, ochrona wrażliwych danych w sieciach wewnętrznych i zewnętrznych, ograniczenia dostępu do aplikacji istotnych, zapobieganie manipulacji administracyjnymi ustawie niami sieci. W odpowiedzi na potrzeby rynku Systemy mocnego uwierzytelnienia są składnikiem złożonych rozwiązań bezpieczeństwa oferowanych przez NASK. To jeden z podstawowych elementów zapewniających bezpieczeństwo w komunikacji elektronicznej. Pozwalają na wiarygodną komunikację w sieci oraz kontrolę dostępu do zasobów elektro nicznych firmy z odległych lokalizacji. Wykorzystanie Internetu we współczesnej działalności biznesowej to konieczność i pod stawowe źródło budowania przewagi konku rencyjnej. Przewaga przedsięwzięć wyko rzystujących coraz szerzej Internet w swojej działalności rośnie bardzo szybko. Dostęp do gwałtownie rozwijającego się rynku elektro nicznego staje się warunkiem rozwoju firmy. Wymaga to działania w rozproszonym śro dowisku sieci o różnych poziomach bez pieczeństwa oraz autoryzowanego zdalnego dostępu do wewnętrznych zasobów firmy. To do takich właśnie klientów, chcących wykorzystywać wszystkie atuty dostępu do sieci Inter net, jest skierowana oferta NASK. Tokeny stanowią sprzętową część systemu zapewniającego silne uwierzytelnienie użytkownika. To elektroniczne urządzenia wielkości karty kredytowej lub breloczka do kluczy, wyświetlające użytkownikowi co sześćdziesiąt sekund nowy ciąg cyfr, stanowiący dynamiczny identyfikator, ważny tylko w czasie, kiedy jest wy świetlany. Generowanie jednokrotnego hasła oraz funkcjo nowanie tokenu są oparte o mechanizm synchronizacji czasu. Generują one pseudolosowe ciągi cyfr ukazujących się na ciekło krystalicznym wyświetlaczu tokena, które podane wraz z PIN em tworzą jednorazowe hasło. Algorytm stosowany do generowania ciągu jest zsynchronizowany z czasem serwera weryfikującego podane przez użytkownika hasło. Secur ID w praktyce Secur ID jest jednym z najpopularniejszych rozwiązań wśród systemów mocnego uwierzytelnienia. Został zaprojekto wany na podstawie typowej dla aplikacji sieciowych architektu ry klient serwer. Centralne miejsce i kluczową rolę w systemie uwierzytelniania zajmuje ACE/Server. Klientami (agentami) tego serwera mogą być rozmaite systemy i urządzenia sieciowe, od serwerów kont użytkowników, serwerów baz danych, przegród typu firewall, superkomputerów poprzez routery, serwery komunikacyjne (obsługujące różne warianty protokołu TACACS lub RADIUS), aż po rozmaite aplikacje dostępne przez sieć. Warunkiem włączenia urządzenia, systemu bądź aplikacji do systemu uwierzytelnienia RSA ACE/Server z dynamicznym identyfikatorem SecurID jest zapewnienie możliwości współpracy oprogramowania systemowego danego urządzenia z oprogramowaniem agenta (lub danej aplikacji), które będzie potrafiło porozumieć się z ACE/Serverem w procesie uwierzytelnienia użytkownika. Efekt taki można uzyskać albo przez wykorzystanie istniejącego oprogramo wania agenta dla danego systemu czy aplikacji, bądź też przez wykorzystanie API (Application Programming Interface) dostarczanego z pakietem RSA ACE/Server. Użytkownik, Ogólna struktura sieci z autentykacj¹ SecurID

16 16 Us³ugi korzystając z dowolnego terminala w czasie procesu logo wania do systemu, na którym zainstalowano oprogramowanie agenta systemu, podaje swój identyfikator (PIN) oraz hasło wygenerowane przez token. Żądanie zostaje przesłane przez sieć od maszyny agenta, stamtąd do serwera uwierzytelniania, który to serwer, zawierający centralną bazę użytkowników i przypisanych im praw, wydaje decyzję o odrzuceniu lub zaakceptowaniu żądania. Decyzja ta jest zwracana do agenta (router, stacja robocza, serwer kont użytkowników itp.), a następnie na terminal użytkownika. Doœwiadczenie i partnerstwo NASK zapewnia kompleksową ofertę bezpieczeństwa, w któ rej jednym ze składników są SMU. Długoletnie doświadczenie we wprowadzaniu rozwiązań opartych na produktach firmy RSA oraz statusie Partnera RSA daje gwarancję usług najwyższej jakości świadczonych przez naszą firmę. W skład usługi oferowanej przez NASK, oprócz instalacji wdrożenia, wchodzą także: konsulting przedwdrożeniowy, integracja z istniejącymi systemami, szkolenie z obsługi administracyjnej, opieka techniczna oraz wsparcie dla rozwoju systemu. Rozwi¹zania RSA RSA to prestiż i doświadczenie lidera rynku. Za rozwiązaniami proponowanymi przez RSA przemawia kompleksowość oferty (rozumianej jako kompatybilność z rozwiązaniami innych produ centów) oraz liczba dostępnych funkcji. Dużą zaletą jest również zastosowanie własnego, opatentowanego algorytmu synchronizacji czasu, zapewniającego realizację poprawnej autentykacji. Pomocą dla administratorów, planujących duże wdrożenia systemów bezpieczeństwa, są dostarczane razem z tokenami pliki skryptowe dla ACE/Servera, pozwalające na automatyczną rejestrację tokenów. Secur ID to rozwiązanie elastyczne, łatwe w dopasowaniu do potrzeb konkretnego zastosowania. Wynika z tego inna ważna zaleta technologii RSA skalowalność. Z pełną świadomością polecamy produkt, który spełnia potrzeby mocnego uwierzytelnienia. Naszym klientom oferuje my także możliwość prezentacji działającego systemu lub bezpłatnego wypróbowania rozwiązania Secure ID z wyko rzystaniem zestawu testowego. Autor jest managerem produktów bezpieczeństwa w Dziale Marketingu NASK Badanie telemarketingowe E-urz¹d dla jednostek administracji pañstwowej Anna Radecka W czerwcu tego roku na potrzeby opracowania nowego produktu e Urząd zostało wykonane przez NASK badanie telemarketingowe, które miało na celu znacznie lepsze po znanie naszych potencjalnych klientów, m.in. pod względem poziomu informatyzacji i planów inwestycyjnych, jak również zbudowanie bazy teleadresowej zawierającej kon takty do osób odpowiedzialnych za podejmowanie decyzji związanych z wyborem systemów telekomunikacyjnych. Badanie telemarketingowe wykonaliśmy wykorzystując do tego celu bazę 2830 jednostek. Otrzymaliśmy odpowiedzi z 1840 jednostek. Badanie było przeprowadzone w urzędach miast, gmin, w starostwach i urzędach centralnych z całej Polski, z wyłączeniem jednego z województw, które zbadaliśmy wcześniej w inny sposób. Liczba instytucji, które wziê³y udzia³ w badaniu (w rozbiciu na województwa): dolnośląskie 126 podkarpackie 135 kujawsko pomorskie 108 podlaskie 88 lubelskie 195 pomorskie 101 lubuskie 65 śląskie 116 łódzkie 138 warmińsko mazurskie 89 małopolskie 118 wielkopolskie 165 mazowieckie 268 zachodniopomorskie 86 opolskie 42 Jak wynika z otrzymanych odpowiedzi 60 proc. responden tów zadeklarowało, że korzystało wcześniej ze środków Unii Europejskiej. Największy odsetek odpowiedzi tak zanotowa liśmy w województwie małopolskim (82 proc.), najniższy w mazowieckim (43 proc.). W skali Polski 77 proc. respondentów zadeklarowało, że urząd ma stały dostęp do Internetu. 2 proc. respondentów odpowiedziało, że ma dostęp wdzwaniany, a zaledwie 1 proc. wskazało na inny rodzaj dostępu lub odpowiedziało nie wiem. Ponad 80 proc. respondentów deklarowało posiadanie stałego łącza w następujących województwach: podkarpackie (90 proc.), dolnośląskie (88 proc.), warmińsko mazurskie (83 proc.), opol skie (81 proc.), kujawsko pomorskie (80 proc.), zachodnio pomorskie (80 proc.), śląskie (80 proc.). Najniższy udział pro centowy urzędów ze stałym dostępem odnotowano w lubelskim (69 proc.) i łódzkim (64 proc.), wynik dla województwa mazo wieckiego 73 proc. Głównym dostawcą Internetu jest TP SA wymieniło ją 63 proc. respondentów. Prawie 29 proc. nie potrafiło podać nazwy swojego dostawcy Internetu. 6 proc. wymieniło nazwy firm lokal nych. Zaledwie 2 proc. wymieniło jednego z następujących dostawców: ProFuturo, Netia, Dialog, Crowley, GTS, NASK (otrzy mał cztery wskazania, wszystkie z województwa mazowieckiego). Na pytanie: Czy komputery w urzędzie pracują w wew nętrznej sieci, czyli czy są połączone ze sobą, 80 proc. respon dentów odpowiedziało tak. Prawie wszyscy 97 proc. na

17 Badania 17 pytanie o system operacyjny używany w urzędzie, odpowiedzieli Windows, następne były Novell i Linux. Ciekawych odpowiedzi udzielono na pytanie: Czy widzą Państwo potrzebę elektronicznej wymiany danych z innymi urzędami. Otrzymane odpowiedzi rozłożyły się prawie pół na pół tak odpowiedziało 54 proc. ankietowanych, nie 46 proc. Pytaliśmy również o Biuletyn Informacji Publicznej. Został on wprowadzony w 97 proc. badanych urzędów prawie wszyscy urzędnicy są z niego zadowoleni. Zapytaliśmy także, czy respondenci znają NASK i z jakimi usługami kojarzy im się nasza firma. Odpowiedzi na pytanie o znajomość NASK rozłożyły się prawie po połowie, z niewielką przewagą respondentów, którzy odpowiedzieli, że nie znają NASK u (51 proc). Wykres obrazuje stan wiedzy o NASK w poszczególnych województwach. Respondentów, którzy odpowiedzieli, że znają NASK zapytaliśmy, z jakimi usługami teleinformatycznymi kojarzy im się nasza firma (możliwe było wskazanie kilku odpowiedzi). Odsetek respondentów, którzy odpowiedzieli, e znaj¹ NASK Liczy siê jakoœæ Dzia³alnoœæ naukowa w NASK NASK prowadzi intensywną działalność naukową i ba dawczo rozwojową. Prace Pionu Naukowego, kierowane go przez prof. Krzysztofa Malinowskiego, skupiają się na opracowaniu mechanizmów pozwalających na uzyskanie większej efektywności i niezawodności w działaniu sieci teleinformatycznych, zapewnienie odbiorcom wysokiej ja kości i bezpieczeństwa usług. Szczególny nacisk położony jest na badania z dziedziny biometrii. W skład Pionu Naukowego wchodzą dwie pracownie: Pra cownia Sterowania Ruchem i Zarządzania Siecią (kierownik: prof. dr hab. inż. Krzysztof Malinowski) i Pracownia Biometrii (kierownik: dr hab. inż. Andrzej Pacut). Konsultantem pionu jest prof. dr hab. inż. Daniel J. Bem. Inne zespoły działające w ramach NASK, m.in. CERT Polska, Dział Domen, Dział Prawny, Zespół Projektowy, Zespół Bezpieczeństwa i Integracji Usług oraz Zespół Polska.pl, także zajmują się działalnością badawczo rozwojową i innowacyjną, o czym często informujemy na łamach Biuletynu NASK. Jednym z praktycznych celów realizowanych przez Pracow nię Sterowania Ruchem i Zarządzania Siecią jest lepsze wyko Na powyższym wykresie w grupie Inne połączyliśmy wyniki dla następujących wskazań: bezpieczeństwo, kolokacja, hosting, Polska.pl, CERT, inne. Wyniki z przeprowadzonego badania są cenną wska zówką dla Działu Marketingu i Działu Sprzedaży NASK. Pozwolą nam opracować ofertę odpowiadającą oczeki waniom potencjalnych klientów, w tym także urzędów. Wnioski wynikające z tego badania pozwolą na takie ukierunkowanie prac, które przyczyni się do zwiększenia rozpoznawalności NASK jako dostawcy usług tele informatycznych, a nie tylko rejestratora domen. Piotr Arabas rzystanie istniejącej infrastruktury i wprowadzanie nowych usług wraz z mechanizmami ich wyceny, a także zapewnieniem im odpowiedniej jakości i bezpieczeństwa. Celem Pracowni Sterowania Ruchem i Zarządzania Siecią jest wypracowanie mechanizmów pozwalających na optymalne wykorzystanie istniejącej infrastruktury oraz zapobieganie prze ciążeniom. Mechanizmy te pozostają w ścisłym związku z techni kami zapewniania użytkownikom odpowiedniej jakości usług (QoS), będąc w istocie ich podstawą. Jako najbardziej obiecu jące, ze względu na łatwą skalowalność, rozwijane są algorytmy zdecentralizowane, oparte na koordynacji cenowej oraz na ste rowaniu szerokością okna transmisji. Najważniejsze jest skutecz ne połączenie metod alokacji pasma z algorytmami routingu, w tym wykorzystanie w tworzonej strukturze opracowanych już mechanizmów takich jak IPv6, ECN czy MPLS, umożliwiających pełną realizację zróżnicowania klas usług (DiffServ) przy wykorzystaniu dostępnego sprzętu. Dodatkowo, w pracowni rozwijane są metody pozwalające na powiązanie wysokości opłat za użytkowanie sieci z rzeczywistą jakością dostarczanych usług. Zastosowanie takich mechanizmów to jedyny sposób zapewnienia

18 18 Badania w niezbyt odległej przyszłości powszechnego i taniego szeroko pasmowego dostępu do Internetu. Bezpieczeñstwo sieci Przez bezpieczeństwo sieci rozumiemy uniemożliwienie niepowołanego dostępu do danych i urządzeń, a także zapobieganie rozpowszechnionym ostatnio atakom typu odmowa dostępu do usługi (DoS i DDoS). Prowadzone prace obejmują wspomaganie podstawowych mechanizmów zabezpieczeń (np. systemów ścian ogniowych), przygotowanie zaleceń dotyczących właściwego ich zastosowania. Obejmują również zagadnienia bardziej złożone, na przykład metody wczesnego wykrywania prób ataku. Metody te wykorzystują analizę anomalii, analizę korelacji pakietów i w pewnym zakresie symulację komputerową. Zastosowanie rozproszonych mechanizmów sterowania ruchem: implementacja zaawansowanych mechanizmów w pobli u miejsca generowania ruchu (np. na routerze dostêpowym) pozwala na lepsze wykorzystanie zasobów sieci i zapewnienie klientom oczekiwanej jakoœci us³ug Wspomaganie procesu tworzenia i negocjowania SLA Dla osiągnięcia odpowiedniej konkurencyjności na podlega jącym ciągłej ewolucji rynku konieczne jest szybkie reagowanie na potrzeby klientów i posunięcia konkurencji. Stąd też koniecz ność zastosowania metod modelowania ekonomicznego podczas ustalania cen i parametrów oferowanych usług. Szczególnie waż ny wydaje się tutaj proces tworzenia SLA (chodzi o umowy typu Service Level Agreement), także na drodze negocjacji, zawierającego, oprócz definicji opłat, gwarancje jakości. Z tego też powodu zagadnienie to wiąże się bezpośrednio ze wspomnianymi wcześniej technikami sterowania ruchem, gdyż wymaga oceny zdolności sieci do zapewnienia określonej w SLA jakości, oraz ekonomicznych efektów jej ewentualnego niespełnienia, w wyni ku którego może powstać konieczność wypłacenia ustalonych w SLA rekompensat. Proces wspomagania negocjacji: zastosowanie modelowania umo liwia wykorzystanie metod optymalizacji na ka dym z etapów przygotowania kontraktu Przyk³adowa struktura bezpiecznej sieci komputerowej: zastosowanie œcian ogniowych i wydzielonych stref (szczególnie stref DMZ) pozwala na dostosowanie poziomu zabezpieczeñ do potrzeb aplikacji, a systemy wykrywania ataków sieciowych (HIDS i NIDS) umo liwiaj¹ monitorowanie zagro eñ Symulatory Jednym z ważniejszych zadań Pracowni Sterowania Ruchem i Zarządzania Siecią jest wykorzystanie symulacji do badania proponowanych algorytmów i działania sieci w różnych warun kach. Ze względu na znaczny zakres prowadzonych prac po trzebne są różnorodne symulatory od stosunkowo prostych symulatorów stosowanych dla analizy zagadnień ekonomicz nych, po złożone, w tym pakietowe, symulatory sieci (np. ns2). Główny ciężar prac wiąże się z opracowaniem równoległych i asynchronicznych systemów symulacyjnych.

19 Badania 19 Symulator sieci lokalnej opracowany we wspó³pracy z Politechnik¹ Warszawsk¹ Systemy identyfikacji Badania Pracowni Biometrii dotyczą biometrycznych metod identyfikacji i weryfikacji tożsamości w zastosowaniu do systemów kontroli dostępu. Tematyka koncentruje się na metodach wyko rzystujących obraz tęczówki oka, podpis odręczny, kształt dłoni i odcisk palca. Prace dotyczą doboru systemów biometrycznych w zależności od wymaganego poziomu bezpieczeństwa, oraz możliwości integracji biometrii w sprawdzonych scenariuszach kontroli dostępu. Tworzona w Pracowni biometryczna wielomo dalna baza danych służy zarówno do testowania prototypowych urządzeń biometrycznych opracowanych w Pracowni, jak też do oceny działania komercyjnych systemów weryfikacji wykorzystu jących biometrię. Siłę wzorców biometrycznych stanowi to, że w przeciwieństwie do kodów czy haseł są one bardzo trudne do zmiany. Ta zaleta pociąga jednak za sobą obawy dotyczące kradzieży danych biometrycznych, narzucające konieczność bardzo dobrego ich zabezpieczania. Coraz powszechniejsze obawy społeczne budzi także umieszczanie danych biometrycz nych w centralnych bazach danych. Rozwijane są w związku z tym prace nad systemami biometrycznymi, w których obraz biometryczny porównywany jest z wzorcem, będącym w posia daniu użytkownika, a przechowywanym np. na karcie mikro procesorowej. W Pracowni badane są różne możliwości realizacyjne takich rozwiązań, a w szczególności technologie przechowywania i weryfikowania wzorców na kartach mikro procesorowych lub specjalizowanych układach mikroproceso rowych. Jednym z elementów zabezpieczania danych bio metrycznych w zastosowaniach sieciowych jest zabezpieczanie każdej transmisji takich danych. Szczególnie dane biometryczne przesyłane w sieci muszą być sprawdzane pod kątem ich autentyczności. Jednym z istotnych niebezpieczeństw jest podszywanie się pod czyjąś tożsamość poprzez przesłanie wzorców biometrycznych wykradzionych w sieci. Zabezpieczenie przed takim niebezpieczeństwem jest przedmiotem badań Pracowni. Zastosowanie mają tutaj odpowiednie metody szyfro wania i wykorzystanie specyficznych cech danych biometrycz nych. Niesłychanie istotne dla bezpieczeństwa systemów biome trycznych, a szczególnie tych, które działają poza bezpośrednią kontrolą człowieka, jest sprawdzanie, czy poddana pomiarom cecha fizyczna człowieka nie jest sfałszowana. W szczególności, należy testować, czy analizowana jest żywa tkanka, a nie np. jej plastikowa kopia. Badanie autentyczności, a w szczególności żywotności mierzonych obrazów, jest jednym z ważniejszych obecnych problemów biometrii. Zagadnienia te są również ważnymi elementami badań w Pracowni Biometrii, szczególnie w odniesieniu do biometrii tęczówki i biometrii dłoni. Biometria têczówki Wykorzystanie obrazu tęczówki oka znajduje coraz szersze zastosowanie praktyczne, perspektywicznie gwarantując naj wyższe bezpieczeństwo systemów. Systemy komercyjnie bazują obecnie na tzw. kodzie Daugmana tęczówki. Prace prowadzone w Pracowni Biometrii doprowadziły do modyfikacji metody Daugmana, znacznie ułatwiając i przyspieszając obliczenia kodu. Inne badania polegają na wprowadzaniu nowych metod weryfikacji wzoru tęczówki. Intensywnie badana w Pracowni jest również niesłychanie istotna dla bezpieczeństwa systemu a nierozwiązana jeszcze w systemach komercyjnych kontrola żywotności oka podczas dokonywania pomiaru. Podsumowa niem tych badań jest budowa prototypowego systemu weryfikacji tożsamości wykorzystującego obraz tęczówki. Zdjêcie têczówki (z lewej) wykonane przez system skonstruowany w Pracowni Biometrii NASK/PW. Z prawej obraz kierunkowy bêd¹cy podstaw¹ metody lokalizacji têczówki Wyniki dzia³ania systemu skonstruowanego w Pracowni Biometrii: A) automatycznie wyznaczony obszar têczówki w uk³adzie biegunowym, B) reprezentacja obrazu A w postaci ci¹gów, C) kod têczówki powsta³y na podstawie wybranych wspó³czynników rozwiniêcia Zaka-Gabora zastosowanego dla ci¹gów B Weryfikacja podpisu odrêcznego Automatyczna weryfikacja podpisu odręcznego, dokonana podczas procesu podpisywania (np. w banku przy operacjach związanych z rachunkiem czy przy płatności kartą kredytową) należy do ważnych zastosowań biometrii. W badaniach

20 20 Forum ekspertów Tablet graficzny jako element stanowiska badawczego oraz przyk³adowy zapis procesu podpisywania siê. Tablet umo liwia pomiar piêciu wielkoœci w trakcie podpisywania: po³o enia pióra (równie w przypadku, jego uniesienia nad powierzchni¹ tabletu), nacisku koñcówki pióra na powierzchniê tabletu, oraz dwóch k¹tów charakteryzuj¹cych sposób trzymania pióra: orientacji i azymutu prowadzonych w tym zakresie w Pracowni było wykorzystywane pierwotnie podejście opierające się na analizie statystycznej i sieciach neuronowych. Obecnie tworzony jest system, który do porównywania podpisów wykorzystuje tzw. marszczenie czasu. Biometria d³oni Biometria dłoni jest powszechnie już stosowaną techniką biometryczną. Choć nie należy ona do technik najbardziej wiarygodnych, jest tania i łatwo akceptowalna przez użytkowników. Badania w Pracowni Biometrii mają za zadanie zwiększenie niezawodności tej metody, poprzez modyfikację stosowanego sposobu doboru cech dłoni. Równocześnie budowana jest prototypowa aparatura umożliwiająca pomiar tych cech. Rozpoczęto również prace nad badaniem termicznych własności dłoni, wykorzystujące prototypową aparaturę. dr inż. Piotr Arabas jest pracownikiem Pionu Naukowego NASK (współpraca: dr inż. Ewa Niewiadomska Szynkiewicz, NASK) Redukcja kosztów po³¹czeñ Sposoby wykorzystania platformy ENUM W poprzednich odcinkach Wieści ze świata ENUM przedsta wiłem ideę wykorzystania protokołu ENUM do optymalizacji kosztów połączeń. W tym artykule omówię algorytmy służące praktycznej reali zacji tego pomysłu. Opieram się na rozważaniach przedstawionych wcześniej na łamach Biuletynu NASK. Zachęcam do przeczytania Wieści ze świata ENUM zamieszczonych w numerze wrześniowym z 2003 roku i styczniowym z 2004 roku. Obecnie wybieranie formy i sposobu dokonania połączenia zakłada, że osoba inicjująca połączenie wybiera sposób jego zesta wienia przez wybór usługi operatora (zazwyczaj jest to operator telefonii stacjonarnej, operator telefonii komórkowej lub dostęp VoIP przez ISP). To u niego zostaje zainicjowane połączenie oraz identyfikator usługi (w szczególności numer telefonu w standar dzie E.164) abonenta, u którego nastąpi zakończenie połączenia. Dostępne formy kontaktu zależą od tego, z jakimi operatorami oso ba, zestawiająca połączenie, ma zawarte umowy oraz z usług jakich operatorów korzysta odbiorca, u którego połączenie jest kończone. Schemat rozwi¹zania Rozwiązanie optymalizacji oparte jest na następującym schemacie: Centrala telekomunikacyjna (np. PBX), Moduł Optymalizacji, Andrzej Bartosiewicz Baza Połączeń (zawierająca szczegółowe informacje o zre alizowanych i niezrealizowanych połączeniach), Bazy Taryf (baza taryf obowiązujących zestawiającego po łączenie oraz taryf abonenta, u którego połączenie jest kończone), Baza Enterprise ENUM przechowująca wyniki procesu optymalizacji, Baza User ENUM. Algorytm optymalizacji składa się z dwóch głównych elementów: Algorytm aktualizacji bazy Enterprise ENUM, Algorytm wyboru rekordu z bazy Enterprise ENUM. Zanim nastąpi zestawianie połączeń, z wykorzystaniem zapisów w bazie DNS, baza DNS zostaje wypełniona danymi, które są efektem działania algorytmów optymalizacji. Poniżej są przedstawione szczegóły funkcjonowania algorytmów. Algorytm aktualizacji bazy Enterprise-ENUM 1. Moduł Optymalizacji wybiera pierwszy wpis z Bazy Połą czeń (wykonane połączenie) i uzyskuje z tego wpisu kon takt (numer telefonu, adres SIP) abonenta. 2. Dla danego kontaktu Moduł Optymalizacji pobiera z bazy User ENUM listę dostępnych rekordów NAPTR. 3. Moduł Optymalizacji pobiera z Bazy Połączeń historie wszystkich połączeń wykonanych do danego abo nenta, z uwzględnieniem każdego kontaktu (numeru telefonu, adresu SIP) otrzymanego w kroku nr 2 tego algorytmu. Efektem tego jest uzyskanie listy wszystkich