Billing kontra hakerzy

Do zespołu Abuse działającego w Centrum Systemów Teleinformatycznych TP SA miesięcznie wpływa 200-300 zgłoszeń dotyczących naruszenia bezpieczeństwa w Internecie.

Do zespołu Abuse działającego w Centrum Systemów Teleinformatycznych TP SA miesięcznie wpływa 200-300 zgłoszeń dotyczących naruszenia bezpieczeństwa w Internecie.

Jeśli ktoś próbował włamać się do jakiegokolwiek serwera internetowego, korzystając z numeru dostępowego TP SA, może spodziewać się, że operator zablokuje mu numer telefonu. Ta groźba okazała się całkiem skutecznym zabezpieczeniem przed zuchwałością włamywaczy i hakerów, którym animuszu dodawała początkowa pełna anonimowość numeru dostępowego 0-202122.

Atak z kawiarni

Z numeru dostępowego Telekomunikacji Polskiej SA korzysta coraz więcej osób. Rośnie nie tylko liczba połączeń (z 10,5 mln w grudniu ub.r. do 12,5 mln we wrześniu), ale także średni czas ich trwania (odpowiednio: z 9,3 min do 12,5 min). W ciągu doby modemy w węzłach dostępowych, w skali całej Polski, są średnio wykorzystane w ponad 33%.

Mimo to coraz mniejsza liczba włamań dokonywana jest przez użytkowników numeru dostępowego Telekomunikacji Polskiej. O ile jeszcze rok temu prawie sto procent ataków dokonywano poprzez łącza komutowane, o tyle dzisiaj jest ich mniej niż jedna trzecia. Reszta przypada na użytkowników łączy stałych. "Często są to miejsca publicznego dostępu do sieci - na uczelniach, w szkołach czy w kawiarniach internetowych" - twierdzi Marek Dudek, główny specjalista w zespole ds. bezpieczeństwa sieciowego w Centrum Systemów Teleinformatycznych Telekomunikacji Polskiej SA. Największe zagrożenie stwarzają jednak klienci usługodawców internetowych podpiętych do sieci TPNet, należącej do Telekomunikacji. "W szczególności dotyczy to nowych firm, do nich garną się użytkownicy, których nie chcieli obsługiwać działający dłużej usługodawcy" - mówi Marek Dudek.

Działający od prawie dwóch lat zespół ds. bezpieczeństwa (znany również pod nazwą Abuse) ma za zadanie ograniczanie i eliminowanie niewłaściwej działalności użytkowników sieci internetowej TPNet, należącej do Telekomunikacji Polskiej SA. Od stycznia do września br. zespół odnotował ponad 2 tys. zgłoszeń o atakach (z czego mniej więcej co czwarte pochodziło z zagranicy). Nieco ponad 10% z nich dotyczyło poważnych naruszeń bezpieczeństwa systemów komputerowych podłączonych do Internetu, czyli najczęściej udanych włamań.

Pełna kontrola

O tym, że numer dostępowy Telekomunikacji Polskiej przestał być atrakcyjny dla włamywaczy, zadecydowało pozbawienie jego użytkowników anonimowości. "W odniesieniu do niektórych okręgów w prawie wszystkich przypadkach jesteśmy w stanie natychmiast ustalić dane abonenta, który korzystał z numeru dostępowego" - mówi Marek Dudek. W przypadku starszych centrali wymaga to dość pracochłonnej procedury przeglądania komputerowych zapisów billingu. Prawie zawsze jednak możliwe jest ustalenie dokładnych danych zawartych w rekordzie opisującym połączenie. Wszystkie takie rekordy są gromadzone i przechowywane od początku funkcjonowania numeru dostępowego.

Obecnie działa ok. 20 różnych ogólnopolskich numerów (zaczynających się zawsze od prefiksu 0-20) dostępowych do Internetu, utrzymywanych przez różnych usługodawców. Abuse zajmuje się wyłącznie numerem dostępowym Telekomunikacji. Żaden usługodawca nie oferuje jednak "darmowego" dostępu do Internetu, nie podpisując wcześniej umowy z użytkownikiem, tak jak to czyni TP SA.

Problemy stwarzają głównie ludzie młodzi. "W mojej ocenie nieletni stanowią aż 80% wśród próbujących włamywać się do komputerów podłączonych do Internetu" - twierdzi Marek Dudek. Dlatego interwencje zespołu ds. bezpieczeństwa sieciowego to bardzo często kontakty z rodzicami włamywaczy... "Czasem to bardzo zajmujące rozmowy" - mówi Marek Dudek, który w wielu wypadkach dzwoni pod numer wskazany jako źródło ataku, traktując to jako element wyjaśnienia zgłoszenia.

Do organów

Zespół ds. bezpieczeństwa sieciowego współpracuje w zakresie wymiany informacji zarówno z polską jednostką CERT (Computer Emergency and Response Team), pracującą przy Naukowej i Akademickiej Sieci Komputerowej, jak i z zagraniczną placówką EURO CERT. Przekazywane są wszystkie przypadki zgłoszeń ataków, które swoje źródło miały w obszarze sieci obsługiwanej przez lub zagranicznej części Internetu. "Swoją aktywność ograniczamy głównie do przypadków naruszeń bezpieczeństwa, które swoje źródło miały w sieci TPNet" - mówi Marek Dudek. Zespół ds. bezpieczeństwa współpracuje także z organami ścigania, ale ma to na ogół jednostronny charakter - zespół udziela pomocy, gdy zostanie o to poproszony przez te organa (operator ma prawny obowiązek udzielenia tych informacji). "Zgłoszenia na policję o włamaniu do systemu komputerowego powinien dokonać sam zainteresowany, to nie nasza rola" - twierdzi Marek Dudek. Jeśli jednak zgłoszone nadużycie stanowi przestępstwo ścigane z urzędu, zgłaszane jest ono w trybie roboczym do organów ścigania.

Członkowie zespołu współpracują ściśle z administratorami sieci krajowych i zagranicznych, w szczególności u usługodawców internetowych. "W idealnej sytuacji każdy usługodawca powinien dysponować stale przeglądaną przez kompetentną osobę skrzynką pocztową Abuse. Dzisiaj tylko niektórzy o tym pomyśleli" - mówi Marek Dudek.

Trudny marketing

Osobną grupę zgłoszeń (kilkanaście procent ogółu) stanowią skargi użytkowników Internetu na niechciane przesyłki reklamowe (spamming) czy bezsensowne listy o ogromnej objętości (mail bombing). "Mamy tu pewien kłopot, bo w tym przypadku trudno nam się odwołać do przepisów kodeksu karnego. Brakuje regulacji, które wprost penalizowałyby taką działalność" - uważa Marek Dudek. Na szczęście w tym zakresie chętni do współpracy są administratorzy systemów u usługodawców internetowych, którzy na mocy własnych regulaminów usług, bazujących w części na zasadach poprawnego korzystania z sieci (netykiety), wymawiają umowy takim użytkownikom.