Sprawdzamy bezpieczeństwo polskiego internetu
Jesteś na stronie projektu Artemis – zajmującego się wykrywaniem podatności systemów internetowych.
Artemis pomaga nam sprawdzać bezpieczeństwo systemów udostępnianych w internecie. W ramach prowadzonych projektów regularnie skanujemy strony w poszukiwaniu podatności bezpieczeństwa i błędów konfiguracyjnych.
Jeśli chcą Państwo samodzielnie zlecić skanowanie bezpieczeństwa wszystkich Państwa domen, dostawać informacje o zdarzeniach w sieci czy wyciekach haseł kont w Państwa domenach, zachęcamy do rejestracji w serwisie moje.cert.pl.
Dlaczego CERT Polska prowadzi skanowanie stron?
Zespół CERT Polska działa w strukturach NASK – Państwowego Instytutu Badawczego. Od wejścia w życie ustawy z dn. 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa zespół realizuje część zadań CSIRT NASK, zgodnie z art. 26 tej ustawy.
Jako CSIRT NASK odpowiadamy m.in. za:
- monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;
- przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;
- prowadzenie zaawansowanych analiz złośliwego oprogramowania oraz analiz podatności;
- monitorowanie wskaźników zagrożeń cyberbezpieczeństwa;
- rozwijanie narzędzi i metod do wykrywania i zwalczania zagrożeń cyberbezpieczeństwa;
- prowadzenie działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa;
- tworzenie i udostępnianie narzędzi dobrowolnej współpracy i wymiany informacji o zagrożeniach cyberbezpieczeństwa i incydentach.
Regularne skanowanie systemów podmiotów, które leżą we właściwości CERT Polska, oraz podmiotów, które dobrowolnie zgłosiły chęć skanowania, pozwala monitorować i podnosić poziom bezpieczeństwa instytucji, z których jako obywatele korzystamy na co dzień. Uzyskane wyniki niezwłocznie przekazujemy administratorom, a w ramach ponownych testów sprawdzamy czy zostały wdrożone niezbędne poprawki. Rezultaty licznych skanowań, poza podnoszeniem bezpieczeństwa danego podmiotu, pozwalają nam budować szerszy obraz cyberbezpieczeństwa Polski i kierować nasze zasoby tam, gdzie są najbardziej potrzebne, np. poprzez tworzenie poradników, czy prowadzenie akcji informacyjnych i edukacyjnych.
Jak przebiega skanowanie?
W uproszczeniu proces skanowania wygląda następująco:
-
W pierwszym kroku szukamy jak najwięcej subdomen danej domeny, np.
mail.instytucja.pl, gdy domeną wejściową byłainstytucja.pl. Jest to robione w sposób pasywny, tj. korzystając z istniejących baz danych; - Następnie skanujemy porty – aby skanowanie było prowadzone w jak najmniej inwazyjny sposób, pula skanowanych portów i liczba wysłanych pakietów na sekundę do konkretnego serwera jest ograniczona;
- Kolejny krok to identyfikacja usług – tzn. sprawdzenie, czy na danym porcie mamy do czynienia z serwerem HTTP, FTP, czy np. bazą danych;
- Ostatni krok to testowanie znalezionych usług pod kątem podatności – na przykład w przypadku aplikacji WWW sprawdzamy, czy pod znanymi ścieżkami nie są dostępne kopie zapasowe, a w przypadku serwerów MySQL weryfikujemy, czy można się do nich zalogować prostym hasłem. Analizujemy również pod kątem aktualności popularne systemy zarządzania treścią jak WordPress czy Joomla.
Czym nie jest Artemis?
Artemis działa automatycznie i na dużą skalę - nie przeprowadza pełnych testów bezpieczeństwa każdego systemu.
Artemis:
- testuje (w ograniczonym zakresie) wyłącznie usługi dostępne publicznie z internetu,
- testuje strony internetowe, pocztę i usługi takie jak np. bazy danych (jeśli są dostępne publicznie) - nie przeprowadza innych rodzajów testów,
- nie testuje wydajności systemu (w tym odporności na ataki DDoS),
- nie omija zapór sieciowych - jeśli ruch zostanie przez taką zaporę zablokowany, Artemis nie wykona testów (administratorzy mogą skonfigurować zapory, aby ruch z adresów IP opisanych niżej nie był blokowany - w takich sytuacjach prosimy o kontakt pod adresem [email protected]),
- nie powinien być traktowany przez administratorów jako informacja o wszystkich podatnościach występujących w ich infrastrukturze - Artemis wykonuje różne rodzaje testów, ale nie może zastąpić pełnego, certyfikowanego audytu bezpieczeństwa.
W jaki sposób wybierane są systemy do skanowania?
Wyznacznikiem jest dla nas ustawa o krajowym systemie cyberbezpieczeństwa. Zgodnie z jej zapisami CERT Polska pomaga dbać o cyberbezpieczeństwo m.in.:
- szkół,
- szpitali,
- instytutów badawczych,
- uczelni,
- jednostek samorządu terytorialnego (np. gmin - zarówno ich stron internetowych, jak i stron spółek, które obsługują np. wywóz śmieci czy kanalizację).
Podmioty nie są wybierane przypadkowo – zależy nam by nasze działania objęły możliwie szeroki zakres wynikający z ustawy o krajowym systemie cyberbezpieczeństwa. Korzystamy z ogólnodostępnych baz grupujących jednostki danego typu, np. samorządy.
Dodatkowo, CERT Polska:
- na prośbę firm i instytucji skanuje ich strony internetowe,
- na podstawie par. 7 ust. 1 regulaminu domeny gov.pl (https://www.dns.pl/regulamin_gov_pl), od 3 kwietnia prowadzi skanowanie publicznie dostępnych stron i systemów w domenie gov.pl.
Jakie informacje przetwarza CERT Polska?
Aby umożliwić analizę wykrytych podatności, CERT Polska przetwarza następujące informacje związane ze skanowaniem:
- listę przeskanowanych domen i adresów IP,
- otwarte porty, wykryte usługi i wersje oprogramowania,
- informacje o znalezionych podatnościach i błędach konfiguracyjnych wraz z danymi pozwalającymi je zweryfikować,
- w niektórych przypadkach możemy też logować pełną treść odpowiedzi serwera.
Dane są przetwarzane zgodnie z zapisami rozdziału 7 ustawy z dn. 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa oraz polityką przetwarzania danych CERT Polska: Polityka prywatności CSIRT NASK.
Jak mogę powiązać aktywność w moich systemach ze skanowaniem prowadzonym przez CERT Polska?
Do prowadzonych skanowań korzystamy z następujących adresów IP:
- 195.164.49.68
- 195.164.49.69
- 195.164.49.70
- 195.164.49.71
- 195.164.49.72
Wszystkie zapytania z nich przychodzące są wynikiem naszego działania.
Dodatkowo, aby wykluczyć wątpliwości:
- używane przez nas adresy IP mają Reverse DNS ustawiony na
skanowanie.cert.pl, - żądania HTTP zawierają nagłówek
User-Agentprowadzący na tę stronę:Mozilla/5.0 (compatible; Artemis; CERT PL; +https://cert.pl/skanowanie). Historycznie był używany również nagłówekUser-Agento treściArtemis (CERT Polska; https://cert.pl/skanowanie).
Powiadomienia o zgłoszonych podatnościach są wysyłane z adresu w domenie cert.pl, a komunikacja może być prowadzona dwutorowo: z operatorem CERT Polska lub pochodzić z automatycznych systemów przetwarzania.
Historycznie, od stycznia do marca 2023 skanowanie miało miejsce również z adresu 161.35.205.52, a od 8 lutego do 15 marca 2023 również 159.65.127.140. Te adresy nie są obecnie wykorzystywane do skanowania.
Jakie środki ostrożności i procedury bezpieczeństwa stosowane są podczas skanowania? Czy mogę zrezygnować ze skanowania serwerów, które posiadam lub które utrzymuję?
Aby zmniejszyć ryzyko, że skanowanie wpłynie negatywnie na działanie skanowanych serwerów, wprowadziliśmy następujące środki ostrożności:
- Narzędzie służące do skanowania jest wytwarzane z zachowaniem dobrych praktyk przyjętych w branży, takich jak np.: code review, testy (zarówno jednostkowe, jak i integracyjne) czy ciągła integracja.
- Narzędzie skanujące jest skonfigurowane tak, aby nie wysyłać zbyt wielu żądań do serwera w zbyt krótkim czasie.
Zawsze mogą się też Państwo z nami skontaktować i zrezygnować ze skanowania. W takiej sytuacji prosimy o kontakt: [email protected] i zawarcie w e-mailu informacji o domenach lub adresach IP, które chcą Państwo wykluczyć ze skanowania.
Gdzie mogę uzyskać więcej informacji o projekcie?
Jeśli potrzebują Państwo uzyskać więcej informacji, prosimy o kontakt za pośrednictwem e-maila: [email protected].