Od roku 2001 CERT Polska rozpoczął klasyfikację incydentów zgodnie z propozycją Johna Howarda i Thomasa Langstaffa. Znana jest ona pod nazwą "Common Language". Dodatkowo, aby dobrze scharakteryzować rozkład rodzajów ataków w kontekście ich popularności, przygotowana została swoista statystyka. Chodzi w niej m.in. o odnotowywanie najczęstszych ataków szczegółowych, takich jak chociażby najbardziej znane wirusy.

Klasyfikacja incydentów

Wykorzystując klasyfikację incydentów według wspomnianej wcześniej propozycji, zespół CERT Polska uznał, że najbardziej podstawową formą ataku komputerowego jest tzw. zdarzenie. Cechami, które je charakteryzują, są działania podjęte przez intruza oraz cel, jaki zaatakował. W związku z tym wszystkie przypadki muszą mieć i mają określone te dwie cechy.

W kategorii "atakujący" dwie najważniejsze grupy to hakerzy i zawodowi przestępcy. Termin "zawodowy przestępca" należy tu jednak traktować umownie. W rzeczywistości w tej kategorii znaleźli się wszyscy, którzy rozsyłają np. nie zamawianą korespondencję. Przeprowadzona klasyfikacja atakujących pozwoliła określić procentowy udział poszczególnych grup. I tak prym wiodą zawodowi przestępcy (14,6%). Za nimi znajdują się hakerzy (13,6%). Dużo mniejszy udział procentowy mają terroryści (0,8%) i pracownicy (2,2%).

Narzędzia przestępstwa

CERT Polska zajmował się również narzędziami, jakich używano w minionym roku, naruszając bezpieczeństwo teleinformatyczne. Zdecydowanie najwięcej było przypadków, w których użyte zostały narzędzia określane jako "samodzielny agent" (19,6%) albo "skrypt lub program" (16,3%). Pierwsze z nich są związane z masowymi atakami wirusów (Code Red, Nimda), drugie zaś z przypadkami skanowania i rozsyłania nie zamawianej poczty elektronicznej. Na dalszych miejscach znalazły się zestawy narzędziowe (3,4% zgłoszonych i przeanalizowanych przypadków PNBT) i polecenia użytkowników (2%).

Atak na słabiznę

Luka w konfiguracji systemów komputerowych była i ciągle jest zdecydowanie najczęstszą przyczyną ataków komputerowych. Z doświadczeń CERT Polska wynika, że znacznie rzadszą przyczyna są luki w implementacji (wstępna konfiguracja elementów składowych sieci, instalacja i testy poinstalacyjne sprzętu) i zaprojektowaniu systemu. Zapewne przyczyną takiego, a nie innego wyglądu tej statystyki jest stosowanie automatycznych narzędzi, które zazwyczaj są nastawione na wykorzystanie luk w konfiguracji.

Nieautoryzowane działanie

Zdecydowanie największy procent nieautoryzowanego działania stanowią przypadki próbkowania i skanowania. Wśród nich również znajdują się ataki powiązane z robakami internetowymi. Odnotowane przypadki nieautoryzowanego uwierzytelniania i modyfikacji powiązane są zazwyczaj z przypadkami włamania, a czasami włamania połączonego z podmianą stron www.

Cechą, która stanowi istotny element analizy przypadków naruszenia bezpieczeństwa teleinformatycznego, jest cel ataku. Jest on, zdaniem fachowców, drugą podstawową cechą opisującą PNBT.

Najczęściej wśród PNBT w 2001 roku celem ataku były całe sieci lub nawet sieci sieci (internetworks). Taki, nazwijmy to, kierunek ataku wynika z popularności przypadków skanowania. Naruszenie bezpieczeństwa składnika infrastruktury jest w rzeczywistości atakiem fizycznym. Tego typu ataki nie są zgłaszane do CERT Polska.Co zrobili intruzi

Wśród rozpoznanych przez CERT Polska skutków działania intruzów zdecydowanie na pierwszy plan wysuwa się kradzież zasobów. Dwa podstawowe przypadki wpływające na taki stan rzeczy to kradzież zasobów rozumianych jako moc obliczeniowa oraz rozumianych jako praca ludzka. W pierwszym przypadku do nadużycia dochodzi w momencie wystąpienia ataków typu Denial of Service oraz co bardziej skomasowanych przypadków skanowania, w drugim zaś głównie w przypadku rozsyłania nie zamawianej korespondencji (spam), którego skutkiem jest swoista kradzież zasobów ludzkich, poświęcanych na likwidację skutków spamu.

Co jest efektem przeprowadzonego ataku? Według raportu CERT Polska, przeprowadzony atak powoduje zwiększony poziom dostępu (5,8%). Kolejnym elementem jest ujawnienie informacji (3,9%) lub sfałszowanie informacji (8,0%) oraz blokowanie działania (1,5%). Rezultatem największym i podstawowym jest jednak kradzież zasobów (34,3%).

Dlaczego atakują

W analizie raportu przygotowanego przez CERT Polska jest także pytanie o przyczynę, która decydowała o wystąpieniu PNBT. Ustalenie owej przyczyny jest jednak bardzo trudne. Dlatego procent odpowiedzi na pytanie "Co było przyczyną działalności intruza?" jest niewielki. Właściwie możliwe jest to tylko w momencie rozpoznania całego incydentu i szczegółowego dochodzenia. Z takimi przypadkami w trakcie standardowych działań zespół CERT Polska ma do czynienia bardzo rzadko.

Właściwie jedynym nie budzącym wątpliwości, co do przyczyn, przypadkiem jest sam spam. Rozsyłanie nie zamawianej korespondencji niemal w 100% powiązane jest z chęcią uzyskania korzyści finansowej. Znacznie rzadziej ma on związek z chęcią osiągnięcia celów politycznych (propagandowych).

Różne oblicza ataków

Przypadki naruszające bezpieczeństwo teleinformatyczne można także sklasyfikować według charakterystyki ataków. Takie dane uzupełniają formalną statystykę Common Language.

W ubiegłym roku, jak wynika z raportu CERT Polska, skanowanie stanowiło 46,4% PNBT. Przypadki związane ze spamem to 17,1%, Code Red/Nimda zaś stanowiły 13,9% ataków (były szczególnie aktywne w miesiącach letnich zeszłego roku; w zestawieniu zostały potraktowane łącznie jako wirusy sieciowe, działające na podobnych zasadach). Nieco mniejszy zakres to podmiana strony www, próbkowanie i włamania.

Przypadki - które są zgłaszane - wiążą się z dużą uciążliwością lub tzw. open relayem, czyli takim skonfigurowaniem serwera pocztowego, które pozwala na wykorzystanie go przez spamerów do rozsyłania nie zamawianej korespondencji.

Źródła zgłoszeń PNBT podzielone zostały na cztery podstawowe kategorie: użytkownik indywidualny, CERT, instytucja ds. bezpieczeństwa, firma (organizacja). Najwięcej zgłoszeń pochodziło od firm i organizacji krajowych (blisko 40%). Po 12% zgłoszeń trafiło od zagranicznych instytucji ds. bezpieczeństwa i od zagranicznego CERT. Indywidualni użytkownicy krajowi stanowili 3,1% zgłoszeń, a zagraniczni - 3,9%.

Większość namierzona

W obsługiwanych przez zespół CERT Polska PNBT, w blisko 90% udało się ustalić źródło ataku. Należy, oczywiście, wziąć pod uwagę, że wiele z tych adresów było tzw. adresami pośrednimi, które intruz wykorzystał w celu ukrycia rzeczywistego źródła ataku. Nie ma informacji, jak dużo było tego typu przypadków. W wielu PNBT szczegóły dotyczące źródła ataku CERT Polska pozostawiał do ustalenia poinformowanej osobie lub komórce, odpowiedzialnej w danej organizacji za bezpieczeństwo lub administrację sieci.

Źródła ataku, w trakcie analizy, podzielono także na kategorie. I tak raport CERT wymienia wśród nich: ośrodki edukacyjne, operatorów telekomunikacyjnych (ISP), firmy i organizacje, ustalone adresy IP (w przypadku kiedy nie można było w prosty sposób zaklasyfikować źródła do innej kategorii).

Podstawowym źródłem ataków byli użytkownicy indywidualni, korzystający z połączeń oferowanych przez dostarczycieli usług internetowych (56,5%). OTrendy i sposoby

W trakcie obsługi PNBT polscy specjaliści współpracowali z wieloma zespołami typu CERT z całego świata. O transgraniczności przestępstw komputerowych świadczy lista krajów, z których pochodziły zespoły reagujące, współpracujące z CERT Polska. Na liście tej znajdują się m.in.: Austria, Dania, Finlandia, Francja, Korea Południowa, Meksyk, Niemcy, Rosja, USA, Szwajcaria, Wielka Brytania.

Z roku na rok odnotowywana jest coraz większa liczba PNBT. Jednocześnie zauważalnym trendem jest wzrost świadomości dotyczącej możliwości zgłoszenia PNBT i uzyskania pomocy od zespołu reagującego. Na pewno jest też lepszy poziom obsługi zgłoszonego przypadku (efektywność obsługi PNBT związana jest m.in. z używaniem automatycznych narzędzi do obsługi standardowych przypadków).

W znaczący sposób potwierdzony został trend związany z przyrostem przypadków skanowania komputerów i sieci. Obserwowane przypadki skanowania i rozprzestrzeniania się wirusów sieciowych wskazują na fakt powszechnego wykorzystywania przez hakerów automatycznych narzędzi. Jednocześnie największa liczba ataków związana była z wykorzystaniem luk w konfiguracji systemu. Dzięki temu jeszcze raz można się przekonać, jak istotną rolę w zarządzaniu systemem informatycznym odgrywa sprawa odpowiedniego i systematycznego łatania istniejących w nim dziur.

CERT

CERT (Computer Emergency Response Team) Polska jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci internetowej. CERT Polska działa od 1996 roku, a od 1997 roku jest członkiem FIRST (Forum of Incidents Response and Security Teams). Od roku 2000 należy do zespołu europejskiej inicjatywy zrzeszającej zespoły reagujące. W ramach tych organizacji współpracuje z podobnymi zespołami na całym świecie.

Zadania CERT Polska