W raporcie rocznym CERT Polska za rok 2011 prezentujemy opisową analizę danych dotyczących zagrożeń w polskich sieciach, opartą przede wszystkim o 21 210 508 zgłoszeń pochodzących z systemów automatycznych, oraz, w mniejszym stopniu, o 605 incydentów zarejestrowanych na podstawie zgłoszeń indywidualnych. Wszystkie dane ujęte są w kategorie podobne do tych z raportu rocznego z 2010 r. oraz półrocznego za styczeń-czerwiec 2011. Dodatkowo, ze względu na skalę zjawiska, wyróżniliśmy dwie dodatkowe kategorie, do tej pory włączane do statystyki „pozostałe” – są to ataki brute force oraz otwarte serwery DNS. Rozkład danych z systemów automatycznych w podziale na kategorie pokazuje poniższy wykres (uwaga, skala logarytmiczna!). Osobny rozdział raportu poświęcony jest szczegółowemu omówieniu najważniejszych zjawisk, w których analizę włączony był zespół CERT Polska, w szczególności nowych wcieleń złośliwego oprogramowania SpyEye i Zeus oraz wykorzystywania nieuwagi internautów do nakłaniania do udziału w konkursach SMS premium. Integralną częścią dokumentu jest także raport z systemu wczesnego ostrzegania ARAKIS (www.arakis.pl), zaimplementowanego między innymi na potrzeby rządowego zespołu CERT.GOV.PL do ochrony zasobów teleinformatycznych administracji publicznej. Zamieszczamy w nim między innymi statystyki dotyczące alarmów generowanych przez system oraz opisy kilku interesujących przypadków obserwacji dokonanych z jego użyciem. Raport CERT Polska 2011 zostanie zaprezentowany na konferencji prasowej w najbliższy czwartek, 19 kwietnia 2012 o 11:00 w Centrum Prasowym PAP przy ulicy Brackiej 6/8 w Warszawie. Najciekawsze wnioski z raportu prezentujemy poniżej: W 2011 roku zaobserwowaliśmy aż 5,5 mln botów (prawie 10 mln zgłoszeń) u polskich operatorów. Najwięcej, prawie 2,5 mln, znajdowało się w sieciach TP. Podobnie jak w 2010 roku, Conficker był najczęściej występującym botem w polskich sieciach. Otrzymaliśmy aż 2,1 mln automatycznych zgłoszeń. Serwisy oferujące darmowe aliasy są coraz częściej wykorzystywane przez przestępców – były wykorzystywane w 84% przypadkach phishingu w domenie .pl z ich użyciem, stanowiły także 25% polskich adresów, z którymi łączyło się złośliwe oprogramowanie analizowane w sandboksach. Najczęściej skanowanym portem w polskich sieciach był 445/TCP związany z podatnościami w windowsowej usłudze związanej z SMB. Jednakże liczba adresów IP skanujących ten port zmalała w stosunku do roku 2010 o ok. 29%. Najwięcej serwerów C&C o charakterze IRC-owym w Polsce znajdowało się w hostowniach należących do podmiotów międzynarodowych (LEASEWEB, OVH), mających też sieci przypisane Polsce. Stosunkowo niewiele mamy zgłoszeń ataków DDoS. Nie oznacza to oczywiście, że nie ma takich ataków − wynika to raczej z niechęci do zgłaszania i trudności wykrycia takiej aktywności przez stronę trzecią (stąd niewiele zgłoszeń automatycznych). Wśród polskich operatorów internetowych brakuje woli do blokowania portu 25 TCP dla końcowych użytkowników, choć skuteczność takich działań została wykazana przez Telekomunikację Polską. W Polsce znajduje się ponad 160 tysięcy źle skonfigurowanych serwerów DNS, które mogą być wykorzystywane w atakach DDoS. Problem dotyczy w zasadzie wszystkich operatorów.