Przejdź do głównej zawartości

CERT o bezpieczeństwie w polskiej sieci

W końcu mieliśmy okazję poznać pierwszy półroczny raport CERT Polska (Computer Emergency Response Team Polska – zespołu zajmującego się reagowaniem na zdarzenia naruszające bezpieczeństwo w internecie). Dane, zebrane między styczniem a czerwcem 2011, pokazują aktualny obraz bezpieczeństwa w polskiej sieci. Formuła raportu zbliżona jest do tej wykorzystywanej w raportach rocznych, co pozwala na dokonywanie porównań i wychwytywanie trendów w atakach.

W ciągu tych sześciu miesięcy nadeszły w sumie ponad 3 miliony zgłoszeń. Większość z nich dotyczyła rozsyłania spamu i działalności botnetów. Co ciekawe, mimo wzrostu liczby zautomatyzowanych źródeł informacji, przyszło prawie o połowę mniej zgłoszeń, niż się tego można było spodziewać. Było co prawda kilka większych ataków – m.in. w lutym, kiedy pojawił się nowy wariant Zeusa. Atakował zarówno komputery, jak i telefony komórkowe, zaś atakujący dzięki niemu miał dostęp do sms-ów, a w związku z tym również np. do kodów autoryzacji transakcji. Inny większy atak na użytkowników polskiego internetu miał miejsce w kwietniu, kiedy pod przykrywką faktury rozsyłany był trojan SpyEye. Po otwarciu następowało przejęcie kontroli nad komputerem, a w związku z tym – wszystkie nasze poufne dane były przechwycane.

Jak co roku, nie obeszło się też bez wycieku danych klientów usług elektronicznych. Tym razem największe kłopoty miała firma Sony – hakerzy wydostali z niej dane łącznie 100 milionów kont użytkowników. Inni też nie mieli lekko. Z podobnymi problemami borykały się firmy takie jak Nintendo, Codemasters, Citibank, a nawet serwis pornograficzny pron.com. Za część ataków odpowiedzialna jest dość znana groupa Anonymous, która ostatnio szczególnie zasłynęła z zapowiedzi wielkiego ataku na portal społecznościowy Facebook, rzekomo zaplanowanego na listopad.

Pierwsze, co się rzuca w oczy po przejrzeniu raportu, to fakt, że z atakami coraz lepiej radzą sobie hostownie, które, jak wiadomo, są w największym stopniu zagrożone, a w szczególności przez phishing. Natomiast sklepom internetowym, które też są powszechnym celem ataków, idzie dużo gorzej. Aż 21% atakowanych domen należy do nich. Zauważony został też ogólny – w skali światowej – wzrost liczby stron polskich sieci związanych ze złośliwym oprogramowaniem – z 1,4% (w 2010 roku) do 2%. Światowymi liderami są jak zawsze USA (około 50% zgłaszanych złośliwych stron WWW) oraz Chiny, co jest pewnym zaskoczeniem i zmianą w porównaniu z rokiem poprzednim.

Wszystkie zgłoszenia zostały pogrupowane, tak jak w zeszłym roku, na 10 kategorii, opisujących ich wspólne cechy: spam, botnety, skanowanie, złośliwe adresy URL, serwery C&C, dane z sandboxów, phishing, fast flux, DDoS i pozostałe. Pokrótce omówię niektóre z nich, natomiast każda z tych kategorii jest szczegółowo opisana w raporcie.

Jeśli chodzi o „tradycyjny” phishing, to niewiele się zmieniło w porównaniu do roku 2010. W ciągu pół roku został zgłoszony w Polsce 879 razy (w całym zeszłym roku – około 2 tys.). Również „adresaci” oszustwa zostali ci sami – wciąż są to głównie firmy hostingowe. W badaniach, poza oszacowaniem ilości ataków, sprawdzane były też metody, z których korzystali przestępcy. Okazało się, że większość (65,9%) stron zostaje umieszczona w wyniku włamania. Część domen zostało zarejestrowanych w serwisach oferujących bezpłatną rejestrację poddomen. W co piątym przypadku domena, w której umieszczono phishing, należała do sklepu internetowego. Warto pamiętać – i uważać – że najczęściej podrabianymi stronami są PayPal, Western Union i Amazon. Dość częste są również ataki na banki.

Ciekawa jest też kwestia spamu. W pierwszej połowie 2011 roku zgłoszono spam z polskich sieci ponad 2 mln razy. Na pierwszym miejscu pod względem ilości spamowych incydentów uplasowała się Netia (ponad 500 tys.). Dla porównania, z Telekomunikacji Polskiej pochodziło około 150 tysięcy przypadków, podobnie jak z sieci Plus (138 tys.).

Jedną z głównych kategorii zgłoszeń, podobnie jak w poprzednich latach, jest skanowanie. Zwykle jest ono związane z aktywnością botnetów lub robaków, czasami też z dedykowanymi narzędziami służącymi do mapowania sieci. Skanowanie od wielu lat wpisuje się w szum internetowy, przez co bardzo często jest ignorowane przez użytkowników, a nawet przez zespoły bezpieczeństwa, co pozwala mu się dość swobodnie rozwijać.
Innym ciekawym zestawieniem przedstawionym w raporcie jest rozkład zainfekowanych unikalnych IP od poszczególnych polskich operatorów. Również tutaj pierwsze dwa miejsca zajmują Telekomunikacja Polska i Netia. Warto jednak pamiętać, że ranking w dość dużym stopniu odzwierciedla wielkość operatorów pod względem użytkowników, wobec tego pozycja tych firm nie powinna zupełnie dziwić.

Kategorią, o której koniecznie trzeba wspomnieć, są boty. Mogą one być wykorzystywane do dowolnych zastosowań, ale przeważnie ich zadaniem jest rozsyłanie spamu. W ciągu pół roku zauważono ponad 1 mln botów, z czego bezsprzecznie dominowały dwa z nich – Torpig i Rustock. Ich liczebność była co najmniej trzy razy wyższa od pozostałych.

Zachęcamy do przeczytania całego raportu CERT Polska, choćby po to, żeby uświadomić sobie, ile – realnie – czeka na nas w sieci zagrożeń. Warto również przy okazji dowiedzieć się więcej o zabezpieczeniach, jakie należy stosować, by chronić nasze dane jak najdokładniej – w innym wypadku możemy stracić naprawdę dużo.

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…