Raport 2004 Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2004
CERT Polska (Computer Emergency Response Team) jest zespołem działajcym w ramach Naukowej i Akademickiej Sieci Komputerowej (http://www.nask.pl/), zajmujcym si reagowaniem na zdarzenia naruszajce bezpieczestwo w Internecie. CERT Polska działa od 1996 roku, a od 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams - http://www.first.org/) - najwikszej na wiecie organizacji zrzeszajcej zespoły reagujce i zespoły bezpieczestwa z całego wiata. Od roku 2000 jest take członkiem inicjatywy zrzeszajcej europejskie zespoły reagujce TERENA TF-CSIRT (http://www.terena.nl/tech/task-forces/tf-csirt/) i działajcej przy tej organizacji inicjatywie Trusted Introducer 1 (http://www.ti.terena.nl/). W ramach tych organizacji CERT Polska współpracuje z podobnymi zespołami na całym wiecie. Do głównych zada zespołu naley: rejestrowanie i obsługa zdarze naruszajcych bezpieczestwo sieci; alarmowanie uytkowników o wystpieniu bezporednich dla nich zagroe; współpraca z innymi zespołami IRT (Incidents Response Team) w ramach FIRST i TF CSIRT ; prowadzenie działa informacyjno-edukacyjnych, zmierzajcych do wzrostu wiadomoci na temat bezpieczestwa teleinformatycznego (zamieszczanie aktualnych informacji na stronie http://www.cert.pl/, organizacja cyklicznej konferencji SECURE); prowadzenie bada i przygotowanie raportów dotyczcych bezpieczestwa polskich zasobów Internetu; niezalene testowanie produktów i rozwiza z dziedziny bezpieczestwa teleinformatycznego; prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a take klasyfikacji i tworzenia statystyk; udział w krajowych i midzynarodowych projektach zwizanych z tematyk bezpieczestwa teleinformatycznego; 1 W 2001 r. zespół uzyskał najwyszy poziom zaufania Trusted Introducer Accredited Team.
! " Zgodnie z powyszymi załoeniami programowymi CERT Polska co roku przygotowuje i udostpnia statystyki dotyczce zgłoszonych do zespołu przypadków naruszenia bezpieczestwa teleinformatycznego, w polskich zasobach internetowych 2, jak równie prowadzi prace w dziedzinie tworzenia wzorców obsługi i rejestracji przypadków naruszenia bezpieczestwa teleinformatycznego (zwanych dalej incydentami), a take klasyfikacji i tworzenia statystyk. Jednym z najwaniejszych celów tych działa jest wypracowanie stałej, moliwie najbardziej upowszechnionej klasyfikacji, której stosowanie umoliwi porównywanie danych, zarówno w kolejnych latach, jak i pozwoli analizowa rónice pomidzy naszymi obserwacjami a obserwacjami innych zespołów reagujcych. W tym roku po raz drugi z kolei przygotowalimy statystyki zgodnie z klasyfikacj wypracowan w ramach projektu ecsirt.net (http://www.ecsirt.net/cec/service/documents/wp4-pub-userguide-v10.html#head7). #! "$% # &"'$% ('") % " W roku 2004 odnotowalimy 1222 incydenty. W nastpnych rozdziałach znajduje si szczegółowa klasyfikacja zgłoszonych do nas incydentów. # % ("$% Ponisza tabela przedstawia zbiorcze zestawienie statystyk odnotowanych incydentów. Nasza klasyfikacja zawiera osiem głównych typów incydentów oraz kategori inne. Kady z głównych typów zawiera podtypy incydentów, które najczciej s opisane przez precyzyjny opis incydentu, z jakim mielimy do czynienia. Typ/Podtyp incydentu Liczba Suma-typ Procent-typ Obraliwe i nielegalne treci 0 140 11,5 Spam 130 Dyskredytacja, obraanie 3 Pornografia dziecica, przemoc 7 Złoliwe oprogramowanie 3 3 165 13,5 Wirus 57 2 Niniejszy raport jest dziewitym z kolei raportem tego typu. Dotychczasowe raporty (poczwszy od roku 1996) dostpne s na stronie CERT Polska ( http://www.cert.pl/raporty/ ). 3 Liczba pokazujca ile jest przypadków w typie głównym zawiera wszystkie te przypadki, które zaliczaj si do tego typu, ale nie pasuj do adnego z podtypów.
Robak sieciowy 89 Ko trojaski 16 Oprogramowanie szpiegowskie 0 Dialer 0 Gromadzenie informacji 1 669 54,7 Skanowanie 659 Podsłuch 0 Inynieria społeczna 9 Próby włama 3 31 2,5 Wykorzystanie znanych luk systemowych 6 Próby nieuprawnionego logowania 21 Wykorzystanie nieznanych luk systemowych 1 Włamania 7 29 2,4 Włamanie na konto uprzywilejowane 16 Włamanie na konto zwykłe 3 Włamanie do aplikacji 3 Dostpno zasobów 0 77 6,3 Atak blokujcy serwis (DoS) 15 Rozproszony atak blokujcy serwis (DDoS) 62 Sabota komputerowy 0 Bezpieczestwo informacji 0 4 0,3 Nieuprawniony dostp do informacji 2 Nieuprawniona zmiana informacji 2 Oszustwa komputerowe 0 103 8,4 Nieuprawnione wykorzystanie zasobów 44 Naruszenie praw autorskich 29 Kradzie tosamoci, podszycie si 30 Inne 4 4 0,3 SUMA 1222 1222 100,0 ## % ($% Poniszy wykres przedstawia rozkład procentowy incydentów.
Rozkład procentowy typów incydentów 60 50 40 procent 30 20 10 0 Gromadzenie informacji Złoliwe oprogramowanie Obraliwe i nielegalne treci Oszustwa komputerowe Dostno zasobów Próby włama Włamania Bezpieczestwo informacji Inne Ponad połowa wszystkich obsłuonych przez CERT Polska incydentów to przypadki dotyczce gromadzenia informacji (54,7%), a w szczególnoci skanowania. Powyej 10% odnotowalimy jeszcze dwie kategorie: złoliwe oprogramowanie (13,5%) oraz obraliwe i nielegalne treci (11,5%). Najmniej przypadków zgłoszono w kategoriach: bezpieczestwo informacji (0,3%) oraz włamania (2,4%). Zdecydowana przewaga skanowania nad innymi kategoriami wynika głównie z faktu otrzymywania automatycznych zgłosze z rozpoznanych i godnych zaufania ródeł, takich jak: australijski zespół reagujcy AusCERT; japoski zespół Incident Management Team of SECOM-J; koreaski serwis SecurityMap.Net; brazylijski Security Incident Response Team National Education and Research Network CAIS RNP; francuski zespół reagujcy CERT Renater; amerykaski serwis bezpieczestwa MyNetWatchMan.com; Złoliwe oprogramowanie to przede wszystkim zgłoszone do nas przypadki wirusów i robaków sieciowych, za obraliwe treci to, jak łatwo si domyli spogldajc na podtypy tej kategorii, najczciej przypadki spamu. Warto zwróci uwag, e czsto zgłoszenia spamu okazuj si by zwizane z rozsyłaniem niechcianej korespondencji za porednictwem przejtego komputera lub całej ich sieci (botnetu). W takim przypadku incydent taki klasyfikowany był jako nieautoryzowane wykorzystanie zasobów. Odnotowane w zestawieniu przypadki spamu oczywicie nie oddaj rzeczywistej skali tego
zjawiska; s to tylko takie przypadki, które dla poszkodowanych były wyjtkowo uciliwe np.: powtarzajce si i dlatego zdecydowali si oni je zgłosi. #* +, - % "- Na potrzeby statystyki odnotowywane s trzy kategorie podmiotów zwizanych z incydentami: zgłaszajcy incydent, poszkodowany w incydencie i odpowiedzialny za przeprowadzenie ataku, czyli atakujcy. Dodatkowo kategorie te uwzgldniane s w rozbiciu na podmiot krajowy i podmiot zagraniczny. Ponisza tabela przedstawia zbiorcze zestawienie danych dotyczcych podmiotów incydentu. Podmiot Zgłaszajcy % Poszkodowany % Atakujcy % Osoba prywatna 201 16,4 169 13,8 55 4,5 CERT 651 53,3 0 0 0 0 ISP Abuse 56 4,6 0 0 0 0 Inna instytucja ds. Bezpieczestwa 120 9,8 0 0 0 0 Firma komercyjna 116 9,5 150 12,3 105 8,6 Orodek badawczy lub edukacyjny 56 4,6 125 10,2 86 7 Instytucja niekomercyjna 10 0,8 19 1,6 15 1,2 Jednostka rzdowa 9 0,7 22 1,8 15 1,2 Nieznany 3 0,2 737 60,3 946 77,4 Kraj 296 24,2 384 31,4 897 73,4 Zagranica 883 72,3 739 60,5 68 5,6 Nieznany 43 3,5 99 8,1 257 21 Jak wynika z przedstawionych danych, ponad połowa zgłosze pochodzi od innych zespołów reagujcych (53,3%). Innymi istotnymi ródłami zgłosze incydentów s indywidualni uytkownicy Internetu (16,4%), inne instytucje ds. bezpieczestwa (9,8%) oraz firmy komercyjne (9,5%). W dwóch pozostałych kategoriach: poszkodowany i atakujcy w wikszoci nie udało si ustali rodzaju ródła w oparciu o przyjt typologi. Spowodowane jest to faktem, e wiele zgłosze odbywa si w czyim imieniu, np.: zespół reagujcy wystpuje w imieniu poszkodowanego uytkownika sieci, który do nich
zgłosił incydent. Natomiast dane na temat atakujcego s zazwyczaj trudne do uzyskania, gdy najczciej w poszukiwaniu ródła ataku natrafia si na dostarczyciela usług sieciowych, który oczywicie nie jest za niego odpowiedzialny. W tych kategoriach, w których dało si to ustali, najczciej poszkodowanymi byli uytkownicy indywidualni, firmy komercyjne oraz orodki badawcze lub edukacyjne. Równie firmy komercyjne i osoby prywatne były najczciej ródłem ataku. Naley jednak jeszcze raz podkreli, e odsetek zidentyfikowanych podmiotów kategorii ródło ataku jest niewielki (22,6%). Znacznie lepiej jest, jeli chodzi o ustalenie, skd pochodz zgłaszajcy, poszkodowany i atakujcy. Blisko jedna czwarta (24,2%) nadesłanych do nas zgłosze incydentów pochodzi z Polski. Reszta, pominwszy niewielki procent zgłosze nieustalonych, to zgłoszenia z zagranicy. Podobna relacja utrzymana jest w przypadku poszkodowanych odpowiednio 31,4% i 60,5%. Nadal wikszo zgłosze to skargi na uytkowników polskich, poniewa 73,4% ródeł ataków ustalonych zostało włanie jako polskie. ródła zgłosze, ataków i poszkodowani 60 50 40 30 20 10 0 CERT ISP Abuse Inna ds. bezpieczestwa Instytucja rzdowa Nauka i edukacja Firma komercyjna Inna niekomercyjna Osoba prywatna Zgłaszajcy Poszkodowany Atakujcy * " "" *.% /" "% '",, Rok 2004 jest drugim z kolei rokiem, w którym wykorzystalimy klasyfikacj ecsirt.net (patrz rozdział 2). Pozwala to na dokładne porównanie statystyk z dwóch ostatnich lat. W roku 2004 odnotowalimy kilka istotnych zmian w stosunku do roku 2003, a take utrzymanie si niektórych istotnych trendów. Poniej przedstawiamy te, które s naszym zdaniem najwaniejsze:
Nastpił ponad dwukrotny wzrost liczby incydentów dotyczcych złoliwego kodu (a w szczególnoci robaków sieciowych) - z 6,7% do 13,5%; Prawie czterokrotnie wzrosła liczba ataków DoS i DDoS z 1,7% do 6,3%; Niemale piciokrotnie wzrosła liczba oszustw komputerowych z 1,8% do 8,4%, co wie si ze znacznym wzrostem zgłosze dotyczcych phishingu oraz naruszania praw autorskich; Nadal decydujc rol w zgłaszaniu incydentów odgrywaj zespoły reagujce (CSIRT) 53,3% w minionym roku i 51,5% w roku 2003; Coraz mniej zgłosze pochodzi z zespołów typu Abuse, coraz wicej od uytkowników indywidualnych i firm komercyjnych; Coraz wicej zgłosze incydentów pochodzi z Polski. Mimo to, nadal przewaaj zgłoszenia z zagranicy 72,3% w roku 2004, 89,6% w roku 2003. * &"'"$% % (0012 33* Poniszy wykres przedstawia liczb incydentów w latach 1996 2004 Liczba incydentów 1996-2004 1400 1200 1000 800 600 400 200 0 1196 1222 1013 741 50 75 100 105 126 1996 1997 1998 1999 2000 2001 2002 2003 2004 Jak wida w ostatnich latach liczba ta nie ronie gwałtownie. Niestety nie odpowiada to rzeczywistym trendom. Wzrost liczby incydentów naruszajcych bezpieczestwo w sieci jest z pewnoci wikszy ni przedstawiaj to słupki na wykresie. Główn przyczyn rozbienoci pomidzy danymi statystycznymi, a tym co obserwujemy w rzeczywistoci jest fakt, e przewaajca wikszo obecnych ataków odbywa si w sposób automatyczny. Tego typu ataki przez wielu uznane zostały jako szum sieciowy - co, z czym naley si pogodzi, a tym samym nie ma sensu zgłasza do jednostek reagujcych, zwłaszcza jeli nie zostały poniesione istotne straty. Zdecydowana wikszo zgłosze dotyczcych zautomatyzowanych ataków pochodzi od wyspecjalizowanych jednostek, które rozwinły systemy ich detekcji i reagowania na nie (patrz zestaw instytucji w rozdziale 0). Równie nasz zespół przystpił do aktywnej obserwacji tego, co si dzieje w sieci. We wrzeniu roku 2004 uruchomiony został serwis arakis.cert.pl, który prezentuje osignicia systemu AgRegacji, Analizy i Klasyfikacji Incydentów
Sieciowych ARAKIS (http://arakis.cert.pl/). Jednym z celów tego projektu jest identyfikacja ródeł najpowaniejszych ataków w sieci i próba ich wyeliminowania. System ten bdzie najprawdopodobniej ródłem informacji, o konkretnych incydentach w roku 2005. *#.% /" "%" ' % % % 33* Ponisze zestawienie stanowi naszym zdaniem najbardziej istotne trendy i zjawiska zaobserwowane w roku 2004 w dziedzinie bezpieczestwa TI: Szczególnej siły nabrały zagroenia dystrybuowane w sposób automatyczny, czego najlepszym dowodem jest dramatyczny wrcz wzrost informacji dotyczcych funkcjonowania rozproszonych sieci, poprzez które steruje si masowymi atakami (np.: atakami DDoS) czyli tzw. Botnetów; Wzrosła aktywno wirusów (szczególnie niebezpiecznymi były MyDoom, Beagle czy Netsky). Wirusy te powodowały masowe ataki DDoS i wrcz "walczyły" ze sob, np. przez deinstalacj konkurenta po infekcji. Oprócz standardowego dołczania załcznika, do zaraania uywały take metod socjotechnicznych; Nowoci w wiecie robaków sieciowych - m.in. robak Witty, który pojawił si w sieci po dwóch dniach od opublikowania informacji o luce, któr wykorzystywał jest doskonałym reprezentantem zjawiska polegajcego na wyranym skracaniu si czasu pomidzy opublikowaniem informacji o luce systemowej, a jej wykorzystaniem. Innym robakiem, który spowodował wiele strat był Sasser, wykorzystujcy słabo znalezion w usłudze LSASS (Local Security Authority Subsystem Service), kolejny to Dabber, który wykorzystywał błd popełniony w kodzie Sassera i był prawdopodobnie pierwszym w historii robakiem wykorzystujcym luk w innym robaku sieciowym; Intensywny rozwój zjawiska phishingu -, w przypadku tego zjawiska mielimy do czynienia z połczeniem technik znanych z dystrybucji spamu z socjotechnik. Wiele ofiar phishingu poniosło wymierne straty finansowe. Techniki uyte przy phishingu i spamie oparte s z kolei o sieci zbudowane czsto za pomoc robaków sieciowych i wirusów. Wszystkie te zjawiska łcz si ze sob. Potwierdzaj to ubiegłoroczne obserwacje, e zagroenia w sieci s coraz bardziej skomplikowane i tworz rozbudowan sie powiza oraz połcze technik ataków komputerowych. Za rozwojem tego typu zagroe stoj przestpstwa komputerowe na du skal, z których czerpane s coraz wiksze nielegalne zyski; Wzrost problemu wystpowania w sieci nielegalnych treci, a w szczególnoci pornografii dziecicej. Z racji specyfiki tego zjawiska w NASK powołano do istnienia zespół NIFC Hotline Polska http://www.hotline.org.pl.
4 5 Zgłaszanie incydentów: Informacja: PGP key: Strona WWW: Feed RSS: Adres: cert@cert.pl, spam: spam@cert.pl info@cert.pl ftp://ftp.nask.pl/pub/cert_polska/cert_polska_pgp_keys/cert_polska.pgp http://www.cert.pl/ http:/www..cert.pl/rss NASK / CERT Polska ul. Wwozowa 18 02-796 Warszawa tel.: +48 22 5231 274 fax: +48 22 5231 399