Raport CERT Polska za rok 2012 powstał przede wszystkim na podstawie danych operacyjnych otrzymywanych przez nasz zespół z różnych systemów automatycznych. W ubiegłym roku trafiły do nas tą drogą informacje o ponad 10,5 mln incydentów w polskich sieciach. Większość z nich jest przekazywana przez CERT Polska automatycznie do właściwych operatorów przez system n6. Drugim istotnym źródłem informacji są incydenty zgłaszane bezpośrednio do obsługi w CERT Polska. Są to często najpoważniejsze przypadki, wymagające analizy i koordynacji z naszej strony, np. związane z nowym złośliwym oprogramowaniem, botnetem czy phishingiem. W 2012 zarejestrowaliśmy ich aż 1082 – o ponad 80% więcej niż w 2011. Skalę zgłoszeń obsłużonych ręcznie w latach 1996 – 2012 prezentujemy na wykresie poniżej.
Na podstawie powyższych danych opisujemy „krajobraz bezpieczeństwa” w polskich sieciach, starając się zidentyfikować najważniejsze problemy i trendy.
Oto najważniejsze wnioski z raportu:
- Polska wypada dobrze na tle innych krajów pod względem liczby utrzymywanych w naszym kraju stron
związanych z phishingiem i złośliwym oprogramowaniem – w statystykach znajdujemy się poza pierwszą
dziesiątką. Niestety, znacznie gorzej jest w przypadku problemów związanych z komputerami użytkowników
indywidualnych, a więc liczby botów, skanowań i wysyłanego spamu. Przyczyniają się do tego przede
wszystkim sieci operatorów komórkowych, oferujących mobilny dostęp do Internetu, a także Netia; - Najwięcej zgłoszeń botów, a więc zainfekowanych komputerów, sterowanych centralnie przez specjalne
kontrolery, dotyczyło trzech rodzajów złośliwego oprogramowania: Viruta, DNSChangera oraz różnych
odmian ZeuSa. Łącznie każdego dnia obserwowaliśmy średnio ok. 8 000 botów zarażonych tymi wirusami; - Obserwujemy systematyczny wzrost liczby incydentów związanych z phishingiem – zarówno w tradycyjnej
formie, polegającej na tworzeniu stron podszywających się pod banki, sklepy internetowe itp.,
jak i związanego ze złośliwym oprogramowaniem potrafiącym modyfikować zawartość stron bankowych
odwiedzanych przez użytkownika; - Najczęściej atakowaną usługą w przypadku skanowań jest niezmiennie SMB w Microsoft Windows
(445/TCP). Robaki propagujące się z wykorzystaniem tej usługi, takie jak Sasser czy Conficker wciąż
„mają się dobrze”, choć powstały 5 i więcej lat temu! - Znacząco, bo aż o 56 %, powiększyła się liczba serwerów DNS w polskich sieciach, które skonfigurowane
są w nieprawidłowy sposób, narażając na niebezpieczeństwo wszystkich użytkowników sieci. Powodem
jest głównie brak świadomości istnienia problemu u ich administratorów.
Nowością w sposobie przedstawienia statystyk jest uwzględnienie wielkości systemów autonomicznych poszczególnych operatorów, co pozwala na bardziej obiektywne porównanie skali problemów w różnych sieciach.
Raport uzupełniony jest o opis najciekawszych naszym zdaniem zjawisk i wydarzeń dotyczących bezpieczeństwa IT w 2012 roku. Odrębną częścią dokumentu jest roczny raport z systemu wczesnego ostrzegania ARAKIS.
Raport można pobrać spod adresu tutaj.