W raporcie rocznym CERT Polska za rok 2011 prezentujemy opisową analizę danych dotyczących zagrożeń w polskich sieciach, opartą przede wszystkim o 21 210 508 zgłoszeń pochodzących z systemów automatycznych, oraz, w mniejszym stopniu, o 605 incydentów zarejestrowanych na podstawie zgłoszeń indywidualnych. Wszystkie dane ujęte są w kategorie podobne do tych z raportu rocznego z 2010 r. oraz półrocznego za styczeń-czerwiec 2011. Dodatkowo, ze względu na skalę zjawiska, wyróżniliśmy dwie dodatkowe kategorie, do tej pory włączane do statystyki „pozostałe” – są to ataki brute force oraz otwarte serwery DNS.
Rozkład danych z systemów automatycznych w podziale na kategorie pokazuje poniższy wykres (uwaga, skala logarytmiczna!).
Osobny rozdział raportu poświęcony jest szczegółowemu omówieniu najważniejszych zjawisk, w których analizę włączony był zespół CERT Polska, w szczególności nowych wcieleń złośliwego oprogramowania SpyEye i Zeus oraz wykorzystywania nieuwagi internautów do nakłaniania do udziału w konkursach SMS premium.
Integralną częścią dokumentu jest także raport z systemu wczesnego ostrzegania ARAKIS (www.arakis.pl), zaimplementowanego między innymi na potrzeby rządowego zespołu CERT.GOV.PL do ochrony zasobów teleinformatycznych administracji publicznej. Zamieszczamy w nim między innymi statystyki dotyczące alarmów generowanych przez system oraz opisy kilku interesujących przypadków obserwacji dokonanych z jego użyciem.
Raport CERT Polska 2011 zostanie zaprezentowany na konferencji prasowej w najbliższy czwartek, 19 kwietnia 2012 o 11:00 w Centrum Prasowym PAP przy ulicy Brackiej 6/8 w Warszawie.
Najciekawsze wnioski z raportu prezentujemy poniżej:
- W 2011 roku zaobserwowaliśmy aż 5,5 mln botów (prawie 10 mln zgłoszeń) u polskich operatorów. Najwięcej, prawie 2,5 mln, znajdowało się w sieciach TP.
- Podobnie jak w 2010 roku, Conficker był najczęściej występującym botem w polskich sieciach. Otrzymaliśmy aż 2,1 mln automatycznych zgłoszeń.
- Serwisy oferujące darmowe aliasy są coraz częściej wykorzystywane przez przestępców – były wykorzystywane w 84% przypadkach phishingu w domenie .pl z ich użyciem, stanowiły także 25% polskich adresów, z którymi łączyło się złośliwe oprogramowanie analizowane w sandboksach.
- Najczęściej skanowanym portem w polskich sieciach był 445/TCP związany z podatnościami w windowsowej usłudze związanej z SMB. Jednakże liczba adresów IP skanujących ten port zmalała w stosunku do roku 2010 o ok. 29%.
- Najwięcej serwerów C&C o charakterze IRC-owym w Polsce znajdowało się w hostowniach należących do podmiotów międzynarodowych (LEASEWEB, OVH), mających też sieci przypisane Polsce.
- Stosunkowo niewiele mamy zgłoszeń ataków DDoS. Nie oznacza to oczywiście, że nie ma takich ataków − wynika to raczej z niechęci do zgłaszania i trudności wykrycia takiej aktywności przez stronę trzecią (stąd niewiele zgłoszeń automatycznych).
- Wśród polskich operatorów internetowych brakuje woli do blokowania portu 25 TCP dla końcowych użytkowników, choć skuteczność takich działań została wykazana przez Telekomunikację Polską.
- W Polsce znajduje się ponad 160 tysięcy źle skonfigurowanych serwerów DNS, które mogą być wykorzystywane w atakach DDoS. Problem dotyczy w zasadzie wszystkich operatorów.