Nowy Rok przyniósł kolejne rozwiązania poprawiające bezpieczeństwo polskiego internetu. Jednym z nich jest Artemis – narzędzie rozwijane przez zespół CERT Polska, a zapoczątkowane przez członków koła Politechniki Warszawskiej KN Cyber, które pomaga sprawdzać poziom zabezpieczeń stron internetowych. Weryfikacji podlegają podmioty, w przypadku których, zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, obsługa incydentów koordynowana jest przez CSIRT NASK.
Jak działa Artemis?
Artemis bada strony udostępnione w internecie w poszukiwaniu podatności bezpieczeństwa i błędów konfiguracyjnych. Regularne skanowanie systemów podmiotów, w przypadku których obsługa incydentów koordynowana jest przez CSIRT NASK, pozwala monitorować i podnosić ich poziom bezpieczeństwa. Ma to kluczowe znaczenie, ponieważ są to instytucje, z których – jako obywatele – korzystamy na co dzień. Uzyskane wyniki nie są w żaden sposób upubliczniane, a jedynie niezwłocznie przekazywane administratorom, dzięki czemu zyskują oni cenną wiedzę na temat wykrytych podatności i mogą wykorzystać ją w celu poprawy bezpieczeństwa systemów. Warto też dodać, że w ramach ponownych testów zespół CERT Polska sprawdza, czy zostały wdrożone niezbędne poprawki.
Istotną cechą przygotowanego przez nas narzędzia jest to, że proces skanowania pozwala administratorom zidentyfikować obserwowane działania jako prowadzone przez CERT Polska. Pozwala to ograniczyć do minimum ewentualny stres i zagrożenia związane z pochopnym reagowaniem. Wszystkie istotne dla administratorów informacje zostały opisane na dedykowanej podstronie: https://cert.pl/skanowanie/.
Rezultaty licznych skanowań, poza podnoszeniem poziomu bezpieczeństwa danego podmiotu, pozwalają też budować szerszy obraz cyberbezpieczeństwa Polski i kierować zasoby CERT Polska tam, gdzie są one najbardziej potrzebne, np. poprzez tworzenie poradników, czy prowadzenie akcji informacyjnych i edukacyjnych.
Dlaczego potrzebujemy Artemisa?
Zespół CERT Polska od wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa realizuje część zadań CSIRT NASK i jest odpowiedzialny m.in. za:
- monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;
- przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;
- prowadzenie zaawansowanych analiz złośliwego oprogramowania oraz analiz podatności;
- monitorowanie wskaźników zagrożeń cyberbezpieczeństwa;
- rozwijanie narzędzi i metod do wykrywania i zwalczania zagrożeń cyberbezpieczeństwa;
- prowadzenie działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa;
- tworzenie i udostępnianie narzędzi dobrowolnej współpracy i wymiany informacji o zagrożeniach cyberbezpieczeństwa i incydentach.
Artemis stanowi zatem jeszcze jeden sposób realizacji obowiązków, jakie ustawa nakłada na zespół CERT Polska, a jednocześnie daje możliwość skuteczniejszego działania na rzecz bezpieczeństwa podmiotów, które są w spektrum zainteresowania cyberprzestępców.
Kto zyska z Artemisem?
Wyznacznikiem jest dla nas ustawa o krajowym systemie cyberbezpieczeństwa. Zgodnie z jej zapisami CERT Polska pomaga dbać o cyberbezpieczeństwo m.in:
- szkół,
- szpitali,
- instytutów badawczych,
- uczelni,
- jednostek samorządu terytorialnego (np. gmin – zarówno ich stron internetowych, jak i stron spółek, które obsługują np. wywóz śmieci czy kanalizację).
Podmioty nie są wybierane przypadkowo – zależy nam, by nasze działania objęły możliwie szeroki zakres wynikający z ustawy o krajowym systemie cyberbezpieczeństwa. Korzystamy z ogólnodostępnych baz grupujących jednostki danego typu, np. samorządy.
Do prowadzonych skanowań korzystamy z jednego adresu IP. System skanujący jest tak skonfigurowany, by administrator, zobaczywszy podejrzane połączenie, był w stanie sprawdzić, że pochodzi ono od CERT Polska. Powiadomienia o zgłoszonych podatnościach są wysyłane z adresu [email protected]. Wszystko to po to, by uniknąć wątpliwości dotyczących tego, skąd pochodzi dana aktywność i czy nie ma wrogiego charakteru.
Co już wykrył Artemis?
Skanowanie trwa od 2 stycznia i przyniosło już pierwsze rezultaty. Przeskanowaliśmy blisko 2000 domen gmin i powiatów wraz z subdomenami i do tej pory udało nam się wykryć kilkaset stron bazujących na nieaktualizowanym oprogramowaniu. Mieliśmy też do czynienia z dziesiątkami sytuacji, w których pliki konfiguracyjne z hasłami, pliki z kopią zapasową serwisu czy foldery z danymi systemu poczty (adresami e-mail, treściami wiadomości czy załącznikami) były dostępne publicznie. Udało się nam znaleźć również kilkadziesiąt niewłaściwe zabezpieczonych folderów zawierających kod źródłowy systemu, a czasem nawet hasła dostępowe.
Czym nie jest Artemis?
Artemis działa automatycznie i na dużą skalę - nie przeprowadza pełnych testów bezpieczeństwa każdego systemu.
Artemis:
- testuje (w ograniczonym zakresie) wyłącznie usługi dostępne publicznie z internetu,
- testuje strony internetowe, pocztę i usługi takie jak np. bazy danych (jeśli są dostępne publicznie) - nie przeprowadza innych rodzajów testów,
- nie testuje wydajności systemu (w tym odporności na ataki DDoS - z analiz CERT Polska wynika, że nieinwazyjne sprawdzanie takiej odporności nie jest możliwe),
- nie omija zapór sieciowych - jeśli ruch zostanie przez taką zaporę zablokowany, Artemis nie wykona testów (administratorzy mogą skonfigurować zapory, aby ruch z adresów IP opisanych na stronie https://cert.pl/skanowanie nie był blokowany - w takich sytuacjach prosimy o kontakt pod adresem [email protected]),
- nie powinien być traktowany przez administratorów jako informacja o wszystkich podatnościach występujących w ich infrastrukturze - Artemis wykonuje różne rodzaje testów, ale nie może zastąpić pełnego, certyfikowanego audytu bezpieczeństwa.