Jesteś na stronie projektu Artemis – zajmującego się analizą podatności systemów internetowych, rozwijanego przez CERT Polska, a zapoczątkowanego przez członków koła KN Cyber Politechniki Warszawskiej. Artemis pomaga nam sprawdzać bezpieczeństwo systemów udostępnianych w internecie przez podmioty, które zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, znajdują się we właściwości CSIRT NASK. W ramach prowadzonych projektów regularnie skanujemy określone grupy stron w poszukiwaniu podatności bezpieczeństwa i błędów konfiguracyjnych.
Dlaczego CERT Polska prowadzi skanowanie stron?
Zespół CERT Polska działa w strukturach NASK – Państwowego Instytutu Badawczego. Od wejścia w życie ustawy z dn. 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa zespół realizuje część zadań CSIRT NASK, zgodnie z art. 26 tej ustawy.
Jako CSIRT NASK odpowiadamy m.in. za:
- monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;
- przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;
- prowadzenie zaawansowanych analiz złośliwego oprogramowania oraz analiz podatności;
- monitorowanie wskaźników zagrożeń cyberbezpieczeństwa;
- rozwijanie narzędzi i metod do wykrywania i zwalczania zagrożeń cyberbezpieczeństwa;
- prowadzenie działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa;
- tworzenie i udostępnianie narzędzi dobrowolnej współpracy i wymiany informacji o zagrożeniach cyberbezpieczeństwa i incydentach.
Regularne skanowanie systemów podmiotów, które leżą we właściwości CERT Polska, pozwala monitorować i podnosić poziom bezpieczeństwa instytucji, z których jako obywatele korzystamy na co dzień. Uzyskane wyniki niezwłocznie przekazujemy administratorom, a w ramach ponownych testów sprawdzamy czy zostały wdrożone niezbędne poprawki. Rezultaty licznych skanowań, poza podnoszeniem bezpieczeństwa danego podmiotu, pozwalają nam budować szerszy obraz cyberbezpieczeństwa Polski i kierować nasze zasoby tam, gdzie są najbardziej potrzebne, np. poprzez tworzenie poradników, czy prowadzenie akcji informacyjnych i edukacyjnych.
W jaki sposób wybierane są systemy do skanowania?
Wyznacznikiem jest dla nas ustawa o krajowym systemie cyberbezpieczeństwa. Zgodnie z jej zapisami CERT Polska pomaga dbać o cyberbezpieczeństwo m.in.:
- szkół,
- szpitali,
- instytutów badawczych,
- uczelni,
- jednostek samorządu terytorialnego (np. gmin - zarówno ich stron internetowych, jak i stron spółek, które obsługują np. wywóz śmieci czy kanalizację).
Podmioty nie są wybierane przypadkowo – zależy nam by nasze działania objęły możliwie szeroki zakres wynikający z ustawy o krajowym systemie cyberbezpieczeństwa. Korzystamy z ogólnodostępnych baz grupujących jednostki danego typu, np. samorządy.
Jak przebiega skanowanie?
W uproszczeniu proces skanowania wygląda następująco:
-
W pierwszym kroku szukamy jak najwięcej subdomen danej domeny, np.
mail.instytucja.pl, gdy domeną wejściową byłainstytucja.pl. Jest to robione w sposób pasywny, tj. korzystając z istniejących baz danych; - Następnie skanujemy porty – aby skanowanie było prowadzone w jak najmniej inwazyjny sposób, pula skanowanych portów i liczba wysłanych pakietów na sekundę do konkretnego serwera jest ograniczona;
- Kolejny krok to identyfikacja usług – tzn. sprawdzenie, czy na danym porcie mamy do czynienia z serwerem HTTP, FTP, czy np. bazą danych;
- Ostatni krok to testowanie znalezionych usług pod kątem podatności – na przykład w przypadku aplikacji WWW sprawdzamy, czy pod znanymi ścieżkami nie są dostępne kopie zapasowe, a w przypadku serwerów MySQL weryfikujemy, czy można się do nich zalogować prostym hasłem. Analizujemy również pod kątem aktualności popularne systemy zarządzania treścią jak WordPress czy Joomla.
Jakie informacje przetwarza CERT Polska?
Aby umożliwić analizę wykrytych podatności, CERT Polska przetwarza następujące informacje związane ze skanowaniem:
- listę przeskanowanych domen i adresów IP,
- otwarte porty, wykryte usługi i wersje oprogramowania,
- informacje o znalezionych podatnościach i błędach konfiguracyjnych wraz z danymi pozwalającymi je zweryfikować,
- w niektórych przypadkach możemy też logować pełną treść odpowiedzi serwera.
Dane są przetwarzane zgodnie z zapisami rozdziału 7 ustawy z dn. 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa oraz polityką przetwarzania danych CERT Polska: Polityka prywatności CSIRT NASK.
Jak mogę powiązać aktywność w moich systemach ze skanowaniem prowadzonym przez CERT Polska?
Do prowadzonych skanowań korzystamy z następujących adresów IP: 161.35.205.52, 159.65.127.140 i 195.164.49.68. Wszystkie zapytania z nich przychodzące są wynikiem naszego działania.
Dodatkowo, aby wykluczyć wątpliwości:
- używane przez nas adresy IP mają Reverse DNS ustawiony na
skanowanie.cert.pl, - żądania HTTP zawierają nagłówek
User-Agentprowadzący na tę stronę:Artemis (CERT Polska; https://cert.pl/skanowanie).
Powiadomienia o zgłoszonych podatnościach są wysyłane z adresu [email protected], a komunikacja może być prowadzona dwutorowo: z operatorem CERT Polska lub pochodzić z automatycznych systemów przetwarzania.
Jakie środki ostrożności i procedury bezpieczeństwa stosowane są podczas skanowania? Czy mogę zrezygnować ze skanowania serwerów, które posiadam lub które utrzymuję?
Aby zmniejszyć ryzyko, że skanowanie wpłynie negatywnie na działanie skanowanych serwerów, wprowadziliśmy następujące środki ostrożności:
- Narzędzie służące do skanowania jest wytwarzane z zachowaniem dobrych praktyk przyjętych w branży, takich jak np.: code review, testy (zarówno jednostkowe, jak i integracyjne) czy ciągła integracja.
- Narzędzie skanujące jest skonfigurowane tak, aby nie wysyłać zbyt wielu żądań do serwera w zbyt krótkim czasie.
Zawsze mogą się też Państwo z nami skontaktować i zrezygnować ze skanowania. W takiej sytuacji prosimy o kontakt: [email protected] i zawarcie w e-mailu informacji o domenach lub adresach IP, które chcą Państwo wykluczyć ze skanowania.
Gdzie mogę uzyskać więcej informacji o projekcie?
Jeśli potrzebują Państwo uzyskać więcej informacji, prosimy o kontakt za pośrednictwem e-maila: [email protected].