Opublikowaliśmy kod platformy n6 (Network Security Incident eXchange) na licencji open source. n6 to nasz autorski system do automatycznego zbierania, przetwarzania i dystrybucji informacji na temat zagrożeń sieciowych. Pozwala on naszemu zespołowi na przekazywanie danych do właścicieli sieci, administratorów i operatorów. Informacje o zagrożeniach, które udostępniamy to m.in.: zainfekowane …

ENISA (Europejska Agencja Bezpieczeństwa Sieci i Informacji) opublikowała dzisiaj raport “Actionable Information for Security Incident Response”, opracowany przez CERT Polska. Publikacja jest skierowana do członków zespołów reagujących na incydenty, jak i również do wszystkich osób, które zbierają, analizują i dzielą się informacjami dotyczącymi bezpieczeństwa komputerowego. Dzielenie się danymi dotyczącymi bezpieczeństwa …

Od dzisiaj istotna część oprogramowania tworzącego platformę n6 jest dostępna na otwartej licencji (GPL). Opublikowana przez nas biblioteka implementuje API REST, którego używamy w nowej wersji n6 oraz posiada mechanizmy ułatwiające pobieranie informacji z różnego rodzaju baz danych. Liczymy, że nasz projekt zmniejszy bariery techniczne związane z dzieleniem się informacjami …

We wrześniu br. zespół CERT Polska wziął udział w sympozjum „Information Assurance and Cyber Defense”, organizowanym przez Science and Technology Organization działającą w ramach NATO. Zgłoszony przez nas artykuł „Proactive Detection and Automated Exchange of Network Security Incidents” porusza zagadnienia związane z wymianą informacji między CERT-ami oraz innymi organizacjami. W …

Po zebraniu kompletnych danych z systemu ARAKIS mogliśmy przeprowadzić dokładniejszą analizę w jaki sposób robak Morto rozprzestrzeniał się w internecie. Jak pisaliśmy wcześniej, pierwsza wersja Morto łączyła się z komputerami używając usługi Remote Desktop Protocol na porcie 3389, a następnie starała się uzyskać dostęp administracyjny próbując logować się przy użyciu …

Od początku lipca w systemie ARAKIS zaobserwowaliśmy wzrost pakietów TCP wysyłanych z portu 80. Ustawione flagi (SYN i ACK) oraz wysoki port docelowy, wskazują na to, że większość jest odpowiedziami na żądanie nawiązania połączenia. Atakujący przeprowadzając ataki typu DoS (odmowa dostępu) często używają sfałszowanych adresów IP aby uniknąć zablokowania maszyn …

W zeszłym tygodniu zaobserwowaliśmy interesujący ruch sieciowy, będący efektem skanowania przeprowadzonego na dużą skalę. Skanowanie losowych adresów w celu sprawdzenia ich dostępności lub podatności na ataki nie jest niczym niezwykłym i codziennie rejestrujemy aktywność tego typu. Jednak wspomniany skan miał nietypową charakterystykę, co spowodowało, że postanowiliśmy mu się dokładniej przyjrzeć …