Incydenty zgłaszane do zespołu CERT Polska w roku 2003 (CERT Polska - Raport 2003)

CERT (Computer Emergency Response Team) Polska jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w Internecie. CERT Polska działa od 1996 r. (do końca roku 2000 pod nazwą CERT NASK).

CERT (Computer Emergency Response Team) Polska jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w Internecie. CERT Polska działa od 1996 r. (do końca roku 2000 pod nazwą CERT NASK).

Do głównych zadań zespołu należy m.in.:

  • rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci;

  • alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń;

  • współpraca z innymi zespołami IRT (Incidents Response Team);

  • prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu;

  • niezależne testowanie produktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego.

Statystyki incydentów CERT Polska

Zgodnie z tymi założeniami programowymi CERT Polska co roku przygotowuje i udostępnia statystyki dotyczące przypadków naruszenia bezpieczeństwa teleinformatycznego w polskich zasobach internetowych. Raporty znajdują się na stronie CERT Polska ( http://www.cert.pl/raporty/ ).

W roku 2003 CERT Polska odnotował 1196 incydentów. Wśród nich największą liczbę stanowiły incydenty związane ze skanowaniem sieci (976 przypadków). Na drugim miejscu uplasował się spam (48 incydentów), a kolejne miejsca zajęły robaki sieciowe (41) i wirusy (32)

Incydenty zgłaszane do zespołu CERT Polska w roku 2003 (CERT Polska - Raport 2003)

Rozkład procentowy typów incydentów

Należy zwrócić uwagę, że zdecydowana dominacja skanowania, które w całości "tworzy" kategorię gromadzenie informacji, nie jest związana tylko i wyłącznie z próbą zbierania informacji przed ewentualnym atakiem sieciowym. Praktycznie niemalże każdy przypadek skanowania w Internecie świadczy o tym, że gdzieś już nastąpiło włamanie do komputera, z którego odbywa się skanowanie, niezależnie od tego, czy włamanie nastąpiło poprzez działanie robaka sieciowego, czy też był to inny atak specjalnie skierowany na dany komputer. Przyjęto zasadę, że incydent jest klasyfikowany zgodnie z tym, jaki problem jest zgłaszany. Jeśli otrzymuje się informację od poszkodowanego, że jego sieć jest skanowana, to incydent jest klasyfikowany jako skanowanie, niezależnie od tego, że w toku wyjaśniania sprawy może się okazać, iż do komputera, z którego odbywało się skanowanie, wcześniej nastąpiło włamanie i teoretycznie jest to przypadek znacznie poważniejszy.

Warto również odnotować duży udział w zgłoszeniach przypadków związanych z obraźliwymi i nielegalnymi treściami. Kilkadziesiąt zgłoszonych przypadków spamu nie odzwierciedla rzeczywistego problemu związanego z przesyłaniem niezamawianej korespondencji. W rzeczywistości w zeszłym roku nastąpił zdecydowany wzrost wolumenu spamu w Internecie.

Incydenty zgłaszane do zespołu CERT Polska w roku 2003 (CERT Polska - Raport 2003)

Źródła zgłoszeń, ataków i poszkodowani

Zgłoszenia obraźliwych i nielegalnych treści dotyczą również przypadków wykorzystywania Internetu do dystrybucji i wymiany treści związanych z pornografią dziecięcą.

Jak widać, wśród zgłaszających dominują CERT oraz komórki bezpieczeństwa ISP (Internet Service Providers). Wiele zgłoszeń pochodzi od innych instytucji zajmujących się monitoringiem bezpieczeństwa w Internecie. W tym przypadku zgłoszenia te dotyczącą głównie skanowań o dużym nasileniu oraz odnotowanych w sieci komputerów umożliwiających anonimowe rozsyłanie spamu (tzw. open relay).

Zdecydowana większość zgłoszeń i poszkodowanych (ponad 80%) pochodzi z zagranicy, natomiast atakujący w blisko 90% to użytkownicy krajowi.

Wnioski
  • Obserwowane w sieci masowe skanowania nie świadczą tylko i wyłącznie o przygotowaniach przyszłych ataków. Są one skutkiem skutecznego przeprowadzenia wielu ataków, gdyż atakujący wykorzystują przejęte sieci i komputery do przyszłych ataków.

  • W statystykach pojawiają się poważne przypadki dystrybucji w Internecie nielegalnych treści, w szczególności pornografii dziecięcej.

  • W roku ubiegłym działalność zespołu CERT Polska służyła przede wszystkim użytkownikom zagranicznym, gdyż to oni głównie zgłaszali incydenty. Należy jednak dodać, że najpoważniejsze przypadki dotyczyły zgłoszeń od użytkowników krajowych.

  • Incydenty komputerowe są coraz bardziej skomplikowane i tworzą rozbudowaną sieć powiązań, której efektami są ataki typu DDoS, dystrybucja spamu, nielegalnych treści, próby oszustw na dużą skalę i naruszeń praw autorskich.

  • Obecnie nie obserwuje się dużego przyrostu liczbowego incydentów. Obserwuje się natomiast coraz więcej poważnych incydentów. W odróżnieniu do lat ubiegłych do zespołu CERT Polska zaczęły trafiać zgłoszenia pochodzące z poważnych instytucji komercyjnych i publicznych.
  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200