Raport 2005. Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2005

Podobne dokumenty
Raport Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2003

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Raport Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2004

rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci; alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń;

CERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne

Raport CERT NASK za rok 1999

Najważniejsze trendy i zjawiska dotyczące zagrożeń teleinformatycznych w Polsce. Rafał Tarłowski CERT Polska/NASK

Ana li za in cy den tów na ru sza ją cych bez pie czeń stwo te le in for ma tycz ne zgła sza nych do ze społu CERT Pol ska w roku 2008

dr Beata Zbarachewicz

CERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne

1. WSTP. 2. Koncepcja platformy bezpieczestwa publicznego

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

n6: otwarta wymiana danych

Analiza ataków na strony www podmiotów publicznych. skala zjawiska w latach

Poradnik korzystania z serwisu UNET: Konfiguracja programu pocztowego

" # # Problemy budowy bezpiecznej i niezawodnej globalnej sieci szerokopasmowej dla słub odpowiadajcych za bezpieczestwo publiczne

Rola Dyurnet.pl oraz innych podmiotów w usuwaniu nielegalnych treci z Internetu

Waldemar Izdebski ZbigniewMalinowski

Podstawy bezpieczeństwa

zdefiniowanie kilku grup dyskusyjnych, z których chcemy odbiera informacje, dodawanie, usuwanie lub edycj wczeniej zdefiniowanych grup dyskusyjnych,

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Planowanie adresacji IP dla przedsibiorstwa.

Paweł Gole, Securing. 1 InfoTRAMS "Cloud Computing Latajc c w chmurach"

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Jolanta Łukowska Małgorzata Pakowska Stanisław Stanek Mariusz ytniewski

Rola i zadania polskiego CERTu wojskowego

Wzorcowy załcznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomidzy Firm A oraz Firm B

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Poradnik korzystania z serwisu UNET: Dostp do poczty elektronicznej ze strony WWW

1. Informacje ogólne.

Bezpieczeństwo systemów i lokalnej sieci komputerowej

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

DECYZJA. odmawiam uwzgldnienia wniosku. Uzasadnienie

Mechanizm Finansowy EOG oraz Norweski Mechanizm Finansowy Fundusz kapitału pocztkowego. (ang. seed money)

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Regulamin Audytu Wewntrznego Urzdu Miasta w Ktrzynie

Plan prezentacji. Przestpstwa internetowe a statystyki organów cigania, Oszustwa internetowe w ocenie polskiej i amerykaskiej policji:

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Wymierne korzyci wynikajce z analizy procesów

Dostp do zasobów dyskowych uytkowników lcme10 przez protokół SMB (Microsoft Networking)

Argumenty na poparcie idei wydzielenia OSD w formie tzw. małego OSD bez majtku.

VPN Virtual Private Network. Uycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Długotrwale bezrobotni. na wielkopolskim rynku pracy rok

Internet Explorer. Okres

Spis treci. Dzie 1. I Wprowadzenie (wersja 0911) II Dostp do danych biecych specyfikacja OPC Data Access (wersja 0911)

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

PUBLIC / TLP: WHITE 1 / 7. Przygotowany przez: Jarosław Stasiak Zatwierdzony przez: Jarosław Górski Data Wydanie Autor Zmiana

Marek Krauze

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Energia odnawialna w województwie zachodniopomorskim Koncepcje współpracy

Informacja i Promocja. Mechanizm Finansowy EOG Norweski Mechanizm Finansowy

DECYZJA. Uzasadnienie

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

KOMPUTER JEST JEDNOCZEŚNIE NARZĘDZIEM i CELEM ATAKU (PRZESTĘPSTWA) Kinga Dziedzic

Pytania i komentarze prosimy kierowa do Pana Roberta Izdebskiego Tel.: info@mentat.pl

obsług dowolnego typu formularzy (np. formularzy ankietowych), pobieranie wzorców formularzy z serwera centralnego,

Kod pocztowy Województwo Mazowieckie. Faks Adres internetowy (URL)

WOLONTARIATU. Konkurs organizowany przez Sie Centrów Wolontariatu.

Opera Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Opera wersja 1.1 UNIZETO TECHNOLOGIES SA

REGULAMIN SKLEPU INTERNETOWEGO KASTOR z

Program ochrony cyberprzestrzeni RP założenia

Bezpieczestwo komunikatorów

Regulamin Rady Rodziców przy Młodzieowym Domu Kultury nr 2 w Bydgoszczy

Studium przypadku Case Study CCNA2-ROUTING

ZARZDZENIE Nr 14/2005. STAROSTY KRASNOSTAWSKIEGO z dnia 29 sierpnia 2005 roku

Narzdzia wspomagajce bezpieczne utrzymanie ruchu maszyn cz 2. Moliwo rozbudowy systemu INSTO

Information Protection Center jako forma organizacyjna w odpowiedzi na stale rosnące zagrożenia bezpieczeństwa

ROZPORZDZENIE MINISTRA NAUKI I SZKOLNICTWA WYSZEGO 1) z dnia r.

PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie. Technika, Informatyka, Inynieria Bezpieczestwa 2014, t. II, s

Regulamin Rady Rodziców Zespołu Szkół Nr 2 im. Emilii Plater w Piasecznie, Aleja Brzóz 26 (tekst jednolity z dnia 16 marca 2011 r.

GMINNY PROGRAM OCHRONY OFIAR PRZEMOCY W RODZINIE na rok 2008

Raport CERT Polska 2011

Wstp. Odniesienie do podstawy programowej

Nadwyka operacyjna w jednostkach samorzdu terytorialnego w latach

Materiał na konferencję prasową Prezesa Urzędu Regulacji Telekomunikacji i Poczty 4 stycznia 2006 r.

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

! "#$!%&'(#!) "34! /(5$67%&'8#!)

Regulamin Pracy Wojewódzkiej Rady Bezpieczestwa Ruchu Drogowego

Klonowanie MAC adresu oraz TTL

w sprawie wprowadzenia procedury naboru pracowników na kierownicze stanowiska urzdnicze i stanowiska urzdnicze w Starostwie Powiatowym w Krasnymstawie

ZATWIERDZAM. Warszawa, dn. 28 czerwca 2006 r.

Banki spółdzielcze na tle systemu finansowego w Polsce

DZIEŃ BEZPIECZNEGO KOMPUTERA

Produkty. MKS Produkty

AltiumLive Dashboard - sownik. AltiumLive Dashboard - Glossary. Language. Contents

REGULAMIN PROMOCJI BIZNES KLASA BEZPŁATNA PITKA

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Instalacja Altium Designer Powizane wideo Altium Designer - Installation and Management

1. Wstp. Załcznik nr.1 do uchwały Nr XXXII/259/05 Rady Powiatu w Krasnymstawie z dnia 24 listopada2005r.

Rola i miejsce szkół w tym obszarze działa, zadania dla krajów kandydujcych.

System Wspierania Pracy Przedstawicieli Handlowych Pocket Seller. Instrukcja uytkownika

PROTOKÓŁ NR 3/2005 posiedzenia Komitetu Polityki Naukowej i Naukowo-Technicznej z dnia 17 marca 2005 r.

EP io default website

Mozilla Thunderbird PL

Cele i zasady zarzdzania bezpieczestwem informacji w przedsibiorstwach

BEZPIECZNIE I KULTURALNIE W INTERNECIE

Transkrypt:

Raport 2005 Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2005

CERT Polska (Computer Emergency Response Team Polska http://www.cert.pl/) jest zespołem, działajcym w ramach Naukowej i Akademickiej Sieci Komputerowej (http://www.nask.pl/), zajmujcym si reagowaniem na zdarzenia naruszajce bezpieczestwo w Internecie. CERT Polska działa od 1996 roku, a od 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams - http://www.first.org/) - najwikszej na wiecie organizacji zrzeszajcej zespoły reagujce i zespoły bezpieczestwa z całego wiata. Od roku 2000 jest take członkiem inicjatywy zrzeszajcej europejskie zespoły reagujce TERENA TF-CSIRT (http://www.terena.nl/tech/task-forces/tf-csirt/) i działajcej przy tej inicjatywie organizacji Trusted Introducer 1 (http://www.ti.terena.nl/). W ramach tych organizacji współpracuje z podobnymi zespołami na całym wiecie zarówno w działalnoci operacyjnej jak te badawczo wdroeniowej.. Do głównych zada zespołu CERT Polska naley: rejestrowanie i obsługa zdarze naruszajcych bezpieczestwo sieci; alarmowanie uytkowników o wystpieniu bezporednich dla nich zagroe; TERENA TF-CSIRT; współpraca z innymi zespołami IRT (Incidents Response Team) m.in. w ramach FIRST i prowadzenie działa informacyjno-edukacyjnych, zmierzajcych do wzrostu wiadomoci na temat bezpieczestwa teleinformatycznego (zamieszczanie aktualnych informacji na stronie http://www.cert.pl/, organizacja cyklicznej konferencji SECURE); prowadzenie bada i przygotowanie raportów dotyczcych bezpieczestwa polskich zasobów Internetu; niezalene testowanie produktów i rozwiza z dziedziny bezpieczestwa teleinformatycznego; prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a take klasyfikacji i tworzenia statystyk; udział w krajowych i midzynarodowych projektach zwizanych z tematyk bezpieczestwa teleinformatycznego; 1 Od 2001 r. zespół CERT Polska posiada najwyszy poziom zaufania Trusted Introducer Accredited Team.

Zespół CERT Polska podejmuje róne inicjatywy na rzecz poprawy stanu bezpieczestwa Internetu w Polsce. W padzierniku 2005 roku zaprosilimy do wspólnego stołu przedstawicieli zespołów bezpieczestwa, zajmujcych si reagowaniem na incydenty w sieci, funkcjonujcych w ramach polskich firm teleinformatycznych i telekomunikacyjnych. W spotkaniu brali udział specjalici reprezentujcy firmy: ASTER, Exatel, Poznaskie Centrum Superkomputerowo-Sieciowe (Pionier-CERT), PKP Informatyka, Polkomtel, PSE, Telekomunikacja Polska, Telekomunikacja Kolejowa, UPC i VECTRA. Uczestnicy wyrazili wol współpracy, której celem bdzie synchronizacja działa oraz inicjatywy w postaci wspólnych projektów bd akcji na rzecz poprawy bezpieczestwa polskiego Internetu.! " Zgodnie z załoeniami programowymi wymienionymi na wstpie CERT Polska co roku przygotowuje i udostpnia statystyki dotyczce przypadków naruszenia bezpieczestwa teleinformatycznego, w polskich zasobach internetowych 2, które zostały zgłoszone do naszego zespołu. Zespół prowadzi take prace w dziedzinie tworzenia wzorców rejestracji i obsługi przypadków naruszenia bezpieczestwa teleinformatycznego (zwanych dalej incydentami), a take wzorców klasyfikacji incydentów oraz tworzenia statystyk. Jednym z waniejszych celów tych prac jest wypracowanie i stałe korzystanie z tego samego sposobu klasyfikowania incydentów co umoliwi porównywanie danych, zarówno w kolejnych latach, jak i rónic pomidzy naszymi obserwacjami i obserwacjami innych zespołów reagujcych. W tym roku po raz trzeci z kolei przygotowalimy statystyki zgodnie z klasyfikacj wypracowan w ramach projektu ecsirt.net (http://www.ecsirt.net/cec/service/documents/wp4-pub-userguide-v10.html#head7). #! "$% # &"'$% ('") % " W roku 2005 odnotowalimy 2516 incydentów. W nastpnych rozdziałach znajduje si szczegółowa klasyfikacja zgłoszonych do nas incydentów. # % ("$% Rok 2005 był rokiem szczególnym z punktu widzenia obsługi incydentów przez zespół CERT Polska, ze wzgldu na uruchomienie nowego narzdzia do raportowania incydentów, jakim stał si system ARAKIS po dodaniu nowych funkcjonalnoci. W zwizku z tym tegoroczne statystyki s jakociowo inne od statystyk z lat poprzednich. 2 Niniejszy raport jest dziesitym z kolei raportem rocznym naszego zespołu. Dotychczasowe raporty (poczwszy od roku 1996) dostpne s na stronie CERT Polska ( http://www.cert.pl/raporty/ ).

Ponisza tabela przedstawia zbiorcze zestawienie statystyk odnotowanych incydentów. Nasza klasyfikacja zawiera osiem głównych typów incydentów oraz kategori inne. Kady z głównych typów zawiera podtypy incydentów, które najczciej stanowi precyzyjny opis incydentu, z jakim mielimy do czynienia. Typ/Podtyp incydentu Liczba Suma-typ Procent-typ Obraliwe i nielegalne treci 0 283 11,2 Spam 275 Dyskredytacja, obraanie 8 Pornografia dziecica, przemoc 3 0 Złoliwe oprogramowanie 1 594 23,6 Wirus 11 Robak sieciowy 462 Ko trojaski 117 Oprogramowanie szpiegowskie 0 Dialer 3 Gromadzenie informacji 0 1305 51,9 Skanowanie 1292 Podsłuch 6 Inynieria społeczna 7 Próby włama 0 117 4,6 Wykorzystanie znanych luk systemowych 18 Próby nieuprawnionego logowania 99 Wykorzystanie nieznanych luk systemowych 0 Włamania 0 18 0,7 Włamanie na konto uprzywilejowane 9 Włamanie na konto zwykłe 7 Włamanie do aplikacji 2 Atak na dostpno zasobów 0 28 1,2 Atak blokujcy serwis (DoS) 13 Rozproszony atak blokujcy serwis (DDoS) 14 Sabota komputerowy 1 Atak na bezpieczestwo informacji 0 3 0,1 Nieuprawniony dostp do informacji 2 3 Wszelkie zgłoszenia dotyczce nielegalnych treci, w rozumieniu polskiego prawa, przekierowywane s do zespołu Dyurnet.pl, równie działajcego w ramach NASK (http://www.dyzurnet.pl/)

Nieuprawniona zmiana informacji 1 Oszustwa komputerowe 1 137 5,5 Nieuprawnione wykorzystanie zasobów 26 Naruszenie praw autorskich 31 Kradzie tosamoci, podszycie si (w tym Phishing) 79 Inne 31 31 1,2 SUMA 2516 2516 100,0 ## % ($% Ponisze wykresy przedstawiaj rozkład procentowy typów i podtypów incydentów. Rozkład procentowy typów incydentów procent 60 50 40 30 20 10 0 Gromadzenie informacji Złosliwe oprogramowanie Obraliwe i inielegalne treci Oszustwa komputerowe Próby włama Atak na dostno zasobów Inne Włamania Atak na bezpieczestwo informacji

Rozkład procentowy podtypów incydentów 60 50 51,35 procent 40 30 20 18,36 10 10,89 4,65 3,93 3,14 7,67 0 Skanowanie Robak sieciowy Spam Trojan Próby nieuprawnionego logowania Kradzie tosamoci,podszycie si Pozostałe W roku 2005 najczciej wystpujcym typem incydentu było gromadzenie informacji (51,9%), a w szczególnoci skanowanie (a 51,35%). Niebagatelny wpływ na taki wynik miało dodanie do zbudowanego przez zespół CERT Polska systemu ARAKIS <http://arakis.cert.pl/> funkcjonalnoci pozwalajcej wykrywa, i raportowa do systemu obsługi zgłosze, próby zauwaonych przez niego ataków. Coraz rzadziej napotyka si skanowania rcznie sterowane przez intruza. Ogromna wikszo to skanowania powodowane przez robaki lub botnety. Dziki korelacji zgłosze z danymi udostpnionymi przez system ARAKIS udało si zauway bardzo ciekawe zjawisko skanowania rozproszonego powodowane przez botnety. Polega ono na tym, e w celu ukrycia prób gromadzenia informacji, sieci s skanowane przez armi np. 1000 zombies (czyli komputerów kontrolowanych przez atakujcego), przy czym kady z nich skanuje tylko niewielki fragment atakowanej sieci (rzdu kilku hostów). Ten typ skanowania jest take rozłoony w czasie. Przy stosowaniu standardowych metod wykrywania ataków ten typ (podtyp) jest zazwyczaj niezauwaony (lub bagatelizowany) przez atakowanego. Drugim, co do liczebnoci typem incydentów były przypadki działania złoliwego oprogramowania (23,6%) przy czym najczciej mielimy do czynienia z robakami sieciowymi (18,36%). Zauwaalna jest tendencja do zacierania si granic pomidzy robakiem, wirusem, koniem trojaskim a oprogramowaniem szpiegowskim. Robaki sieciowe coraz czciej posiadaj funkcjonalnoci typowe dla pozostałych rodzajów złoliwego oprogramowania. Do grona najliczniejszych kategorii naley równie zaliczy Obraliwe i nielegalne treci (11,2%) ze szczególnym uwzgldnieniem spamu (10,89%). Najczciej jest to spam rozsyłany za porednictwem skompromitowanej maszyny, bez wiedzy jej właciciela. Równie czsto intruz wykorzystuje fakt błdnej konfiguracji usług udostpnianych przez serwery (np. spam rozsyłany z wykorzystaniem open proxy ).

Spamerzy uywaj coraz bardziej wyrafinowanych technik, aby utrudni rozpoznanie prawdziwego ródła rozsyłania niechcianej korespondencji. Przypadki zarejestrowane przez CERT Polska dotycz wyłcznie wyjtkowo uciliwego spamu, zgłaszanego bezporednio przez poszkodowanego. W rzeczywistoci skala zjawiska jest o wiele wiksza. #* +, - % "- Na potrzeby statystyki odnotowywane s trzy kategorie podmiotów zwizanych z incydentami: zgłaszajcy incydent, poszkodowany w incydencie i odpowiedzialny za przeprowadzenie ataku, czyli atakujcy. Dodatkowo kategorie te uwzgldniane s w rozbiciu na podmiot krajowy i podmiot zagraniczny. Ponisza tabela przedstawia zbiorcze zestawienie danych dotyczcych podmiotów incydentu. Podmiot Zgłaszajcy % Poszkodowany % Atakujcy % Osoba prywatna 368 14,6 368 14,6 148 5,9 CERT 4 1808 71,9 0 0 0 0 ISP Abuse 8 0,3 0 0 0 0 Inna instytucja ds. Bezpieczestwa 130 5,2 0 0 0 0 Firma komercyjna 113 4,5 1336 53,1 676 26,9 Orodek badawczy lub edukacyjny 27 1,1 145 5,8 347 13,8 Instytucja niekomercyjna 13 0,5 91 3,6 59 2,3 Jednostka rzdowa 8 0,3 197 7,8 17 0,7 Nieznany 41 1,6 379 15,1 1269 50,4 Kraj 2140 85 2124 84,4 1702 67,6 Zagranica 347 13,8 203 8 144 5,7 Nieznany 29 1,2 189 7,6 670 26,7 Najaktywniej zgłaszajcym incydenty były zespoły reagujce (71,9%). Innymi istotnymi ródłami zgłaszania incydentów były Osoby Prywatne (14,6%), Inne Instytucje ds. Bezpieczestwa (5,2%) oraz Firmy Komercyjne (4,5%). W celu usprawnienia obsługi incydentów, zespół CERT Polska udostpnił formularz 4 Zawiera zgłoszenia pochodzce z systemów automatycznych, w tym take z systemu ARAKIS

online do ich zgłaszania <https://www.cert.pl/formularz/formularz.php>. Zauwaylimy, e intuicyjny interfejs oraz ograniczenie do minimum niezbdnych operacji do wysłania zgłoszenia, wpływa na zwikszenie aktywnoci Osób Prywatnych jako zgłaszajcych. W kategorii Poszkodowany najwyszy odsetek stanowi grupa Firm Komercyjnych (53,1%). Drug najczciej poszkodowan grup uytkowników sieci były Osoby Prywatne (14,6%). Niestety a 15,1% poszkodowanych nie zostało rozpoznanych. Istniej dwie główne przyczyny takiego stanu rzeczy. Po pierwsze zgłoszenia s składane przez operatorów oraz zespoły reagujce w czyim imieniu (bez podania poszkodowanego). Po drugie, grupa poszkodowanych w wyniku jednego incydentu moe by bardzo dua, poczwszy od Osób Prywatnych poprzez Orodki badawcze i edukacyjne, a koczc na Firmach Komercyjnych. Wród Atakujcych najwiksz grup stanowi Nieznani sprawcy (50,4%). Sytuacja taka wynika z faktu, e atakujcy zazwyczaj korzysta z porednika, jakim jest np. serwer proxy, botnet czy skompromitowany host niewiadomego uytkownika. Takiego sprawc trudno jest zidentyfikowa. Do czsto Atakujcym okazywała si Firma Komercyjna (26,9%). Coraz wiksza dostpno Internetu zachca małe firmy komercyjne do jego wykorzystania. Nie zawsze jednak wie si to z zaimplementowaniem odpowiednich polityk bezpieczestwa. Poza wymienionymi podmiotami zauwaalna była równie aktywno Orodków Badawczych lub Edukacyjnych (13,8%), czyli w praktyce szkół i uczelni wyszych, oraz w mniejszym stopniu Osób prywatnych (5,9%). Jeli chodzi o klasyfikacj dotyczc ródła pochodzenia w rozumieniu geograficznym, to znacznie wzrósł odsetek incydentów polskich. W przewaajcej wikszoci zarówno zgłaszajcy, poszkodowany i atakujcy pochodził z Polski (odpowiednio: 85%, 84,4%, 67,6%). Niestety nadal zdarzaj si przypadki, w których nieznane jest pochodzenie Poszkodowanego (7,6%) oraz Atakujcego (26,7%). ródła zgłosze, ataków i poszkodowani procent 80 70 60 50 40 30 20 10 0 CERT ISP Abuse Other securityrelated institution Government Research or academic institution Commercial institution Other noncommercial institution Private individual Unknown Zgłaszajcy Poszkodowany Atakujcy

Pochodzenie Zgłaszajcego, poszkodowanego i atakujcego procent 90 80 70 60 50 40 30 20 10 0 Zgłaszajcy Poszkodow any Atakujcy Polska Zagranica Nieznany * " "" *.% /" "% '",, W roku 2005 system ARAKIS po dodaniu nowych funkcjonalnoci, stał si ródłem raportowania incydentów. Fakt ten miał niewtpliwie duy wpływ na kształt tegorocznych statystyk. Poniewa system ARAKIS zgłasza de facto próby skanowania hostów, staralimy si zakwalifikowa kad z tych prób jako: skanowanie, działalno trojana lub robaka. W roku 2005 powstał równie nowy formularz zgłoszeniowy. Za główny cel postawilimy sobie uproszczenie i ułatwienie procesu zgłoszenia incydentu. Zmniejszylimy liczb wymaganych danych oraz staralimy si stworzy jak najbardziej intuicyjny i przejrzysty interfejs. Działania te spowodowały zwikszenie iloci zgłosze od osób prywatnych. Odnotowalimy kilka istotnych zmian w stosunku do roku 2004, ale take utrzymanie si niektórych istotnych trendów. Poniej przedstawiamy te obserwacje, które s naszym zdaniem najwaniejsze: Nadal najczciej wystpujcym incydentem było skanowanie 51,35% Nastpił prawie dwukrotny wzrost liczby incydentów dotyczcych złoliwego oprogramowania (w szczególnoci robaków sieciowych i trojanów) z 13,5% do 23,6%; Ponad piciokrotnie zmalała liczba ataków DoS i DDoS z 6,3% do 1,2%. Prawie dwukrotnie czciej dokonywano prób włama wzrost z 2,5% do 4,6%, ze wskazaniem na próby nieuprawnionego logowania.

Nadal decydujc rol w zgłaszaniu incydentów odegrały zespoły typu CERT 5 71,9% zgłosze. Zmalał odsetek zgłosze od zespołów typu Abuse z 4,6% do 0,3%. Uycie systemu automatycznego raportowania narusze bezpieczestwa wpłynło na zwikszenie liczby incydentów powizanych z polskim uytkownikiem sieci jako poszkodowanym. Znacznie wzrosła liczba poszkodowanych wród firm komercyjnych z 12,3% do 53,1%. Wzrosła liczba incydentów, w których nie mona ustali pochodzenia atakujcego z 20% do 26,7%. * &"'"$% % (0012 334 Poniszy wykres przedstawia liczb incydentów w latach 1996 2005 3000 2500 Liczba incydentów 1996-2005 2516 2000 1500 1000 741 1013 1196 1222 500 0 50 75 100 105 126 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 Jak wida liczba incydentów wzrosła ponad dwukrotnie w stosunku do roku 2004. Jest to w głównej mierze wynik obsługi zgłosze generowanych przez system ARAKIS. Pomimo tego nie jest to jednak liczba w pełni odzwierciedlajca skal zjawiska. Zdajemy sobie spraw, e wiele incydentów jest bagatelizowanych lub niezauwaonych przez potencjaln ofiar. Wiele prób skanowania pozostaje niewykrytych w wyniku ich rozproszenia na wiele maszyn oraz w długim okresie czasu. Dua grupa osób rezygnuje ze zgłaszania incydentów ze wzgldu na brak reakcji ze strony odpowiedzialnych za atakujce hosty czy sieci. Niemniej jednak, utrzymuje si tendencja wzrostowa notowanych incydentów i naley si spodziewa wzrostu zgłosze w latach nastpnych. 5 W tym zgłoszenia pochodzce z systemów automatycznych oraz systemu ARAKIS

*# % $% "$% % ( 33#5 334 Rozkład procentowy podtypów incydentów w latach 2003, 2004 i 2005 procent 90 80 70 60 50 40 30 20 10 0 Skanowanie Robak sieciowy Spam Trojan Próby nieuprawnionego logowania Kradzie tosamoci,podszycie si Nieuprawnione wykorzystanie zasobów DDoS Wirus 2003 2004 2005 Poniewa od 2003 roku tworzymy statystyki opierajc si o t sam klasyfikacj, moliwe jest porównanie rozkładu procentowego incydentów wystpujcych na przestrzeni ostatnich trzech lat. Przez cały ten okres mielimy najczciej do czynienia z przypadkami skanowania sieci. Tendencja spadkowa nie wynika bynajmniej z coraz mniejszej liczby prób skanowania, lecz z faktu zakwalifikowania ich jako działalno robaka lub trojana (bardziej precyzyjna klasyfikacja była moliwa dziki danym z systemu ARAKIS). W zwizku z powyszym wzrósł procent incydentów powodowanych przez robaki sieciowe i trojany. Dostrzegalna jest tendencja wzrostowa liczby rozsyłanego spamu - w rzeczywistoci jest ona jednak znacznie silniejsza. Reasumujc, przez cały okres stosowania klasyfikacji e_csirt.net, najwikszy udział procentowy miały incydenty bdce wynikiem skanowania, działalnoci robaków oraz rozsyłania spamu. Reszta podtypów jest reprezentowana w statystykach znacznie słabiej. **.% /" "%" ' % % % 334 Poniej przedstawiamy najbardziej istotne naszym zdaniem trendy i zjawiska, wystpujce w roku 2005, wynikajce zarówno z obsługi incydentów, jak i z innych obserwacji poczynionych przez CERT Polska: Widoczna jest zmiana w wykorzystywaniu botnetów. Coraz rzadziej s one ródłem ataków DoS i DDoS, za to coraz czciej staj si narzdziem do czerpania nielegalnych zysków, rozsyłania spamu czy przejmowania numerów kart kredytowych i kont bankowych (np. phishing). Nadal na bardzo wysokim poziomie utrzymywała si aktywno robaków internetowych.

Spamerzy stosuj coraz wymylniejsze techniki, aby ukry pochodzenie prawdziwego nadawcy niechcianej korespondencji. Nierzadko powoduje to generowanie fałszywych alarmów (nawet przez dowiadczone organizacje antyspamerskie). Cigle bolesny jest brak zabezpiecze oraz profesjonalnego zarzdzania sieciami w wielu firmach, które czsto nie zdaj sobie sprawy z niebezpieczestw wynikajcych z dostpu do Internetu. Coraz wikszy problem stanowi brak reakcji wielu operatorów i dostawców usług, na np. uporczywe próby skanowania sieci, bdce ewidentnym wynikiem działalnoci robaków sieciowych. Działania hakerów s coraz bardziej zaawansowane, a wykorzystywane mechanizmy coraz bardziej skomplikowane. Zauwaalny jest nowy trend propagacji robaków poprzez luki w aplikacjach WWW. Jako metoda wyboru celu wykorzystywane s, poza klasycznym skanowaniem sieci, popularne wyszukiwarki Internetowe takie jak Google, które wyszukuj strony WWW z potencjalnie dziurawym oprogramowaniem. Głównym celem s aplikacje open source bazujce na PHP i Perl. Pojawiło si duo ataków brute force na SSH, powodowanych przez automaty oraz robaki. Komunikatory zaczynaj by wykorzystywane do propagacji malware u (z du skutecznoci). Trudno kontrolowa tego typu działania.

4 6 Zgłaszanie incydentów: Informacja: Klucz PGP: Strona WWW: Feed RSS: Adres: cert@cert.pl, spam: spam@cert.pl info@cert.pl ftp://ftp.nask.pl/pub/cert_polska/cert_polska_pgp_keys/cert_polska.pgp http://www.cert.pl/ http:/www..cert.pl/rss NASK / CERT Polska ul. Wwozowa 18 02-796 Warszawa tel.: +48 22 3808 274 fax: +48 22 3808 399

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres