You are on page 1of 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Warszawa 2013

CERT.GOV.PL

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku CERT.GOV.PL

Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL funkcjonuje od 1 lutego 2008 roku. Podstawowym zadaniem zespou jest wsparcie jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej w zakresie ochrony przed cyberzagroeniami, ze szczeglnym uwzgldnieniem atakw ukierunkowanych na infrastruktur obejmujc systemy i sieci teleinformatyczne, ktrych zniszczenie lub zakcenie moe stanowi zagroenie dla ycia, zdrowia ludzi, dziedzictwa narodowego oraz rodowiska w znacznych rozmiarach, albo spowodowa powane straty materialne, a take zakci funkcjonowanie pastwa.

CERT.GOV.PL, dane kontaktowe: www.cert.gov.pl cert@cert.gov.pl Telefony: +48 22 58 59 375 +48 22 58 56 176 Fax: +48 22 58 59 333 CERT.GOV.PL Departament Bezpieczestwa Teleinformatycznego Agencja Bezpieczestwa Wewntrznego ul. Rakowiecka 2A 00-993 Warszawa Polska

CERT.GOV.PL

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Spis treci

1. Wstp ................................................................................................................................... 4 2. Statystyki incydentw koordynowanych przez zesp CERT.GOV.PL w 2012 roku...................................................................................................................................... 5 2.1. Zagroenia................................................................................................................... 5 2.2. Analiza alarmw w sieci Internet na podstawie systemu ARAKIS-GOV. ................ 8 2.3. Testy bezpieczestwa witryn internetowych administracji publicznej..................... 12 2.4. Ankieta samooceny dotyczca witryn internetowych w domenie GOV.PL............. 16 3. Bezpieczestwo EURO 2012............................................................................................ 20 3.1. Dziaania podejmowane przed rozpoczciem mistrzostw ........................................ 20 3.2. Dziaania podejmowane w trakcie przebiegu mistrzostw......................................... 21 4. Ataki DDoS na administracj publiczn........................................................................ 23 4.1. Informacje oglne ..................................................................................................... 23 4.2. Analiza atakw.......................................................................................................... 23 4.3. Statystyki................................................................................................................... 26 5. Bezpieczestwo internetowe administracji publicznej ................................................. 29 5.1. Incydenty obsugiwane przez Zesp CERT.GOV.PL ............................................. 29 5.1.1. I kwarta 2012 roku ................................................................................................ 29 5.1.2. II Kwarta 2012 roku. ............................................................................................. 31 5.1.3. III Kwarta 2012 roku............................................................................................. 33 5.1.4. IV Kwarta 2012 roku. ........................................................................................... 35 5.2. Przykady analizy incydentw obsugiwanych przez Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL. ............................................................... 38 5.2.1. Przykad analizy ataku na jedn z witryn internetowych przy wykorzystaniu podatnoci wystpujcej w Joomla........................................................................... 38 5.2.2. Infekcja witryny http//nina.gov.pl false positive................................................. 39 6. Wsppraca krajowa i midzynarodowa........................................................................ 40 6.1. wiczenia NATO Cyber Coalition 2012.................................................................. 40 6.2. wiczenia NATO CMX 2012 .................................................................................. 41 6.3. Krajowe wiczenia uzupeniajce do CMX 2012..................................................... 41 7. Podsumowanie roku......................................................................................................... 43 7.1. Botnety...................................................................................................................... 43 7.2. Hacktywizm .............................................................................................................. 45

CERT.GOV.PL

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

1. Wstp Zadania realizowane przez Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL wyznaczane s poprzez zakres waciwoci Agencji Bezpieczestwa Wewntrznego, w ramach ktrej funkcjonuje zesp CERT.GOV.PL. Organizacyjnie, Zesp stanowi istotny element Departamentu Bezpieczestwa Teleinformatycznego ABW. Zgodnie z art. 5 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczestwa Wewntrznego oraz Agencji Wywiadu, do zada ABW naley w szczeglnoci rozpoznawanie, zapobieganie oraz zwalczanie zagroe, ktre kierowane s przeciwko bezpieczestwu wewntrznemu pastwa lub jego porzdkowi konstytucyjnemu a wic wartociami bdcymi w istocie filarami bezpieczestwa pastwa Polskiego, jako caoci. Zadania te stanowi jednoczenie ramy prawne dla funkcjonowania Zespou Reagowania na Incydenty Komputerowe, jako komrki specjalistycznej, do dziaania w obszarze cyberprzestrzeni.

CERT.GOV.PL

Strona 4 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

2. Statystyki incydentw koordynowanych przez zesp CERT.GOV.PL w 2012 roku 2.1. Zagroenia. Rok 2012 rozpocz si du liczb zarejestrowanych zgosze oraz incydentw zwizanych z protestami internetowymi w sprawie ratyfikacji umowy ACTA1. Poniszy wykres dobitnie obrazuje, jaki wpyw na globalne statystyki mia pierwsze miesice 2012 roku, ktry okaza si rekordowy jeli chodzi o liczb otrzymanych zgosze i obsuonych incydentw w zespole CER.GOV.PL. W sumie zarejestrowano 1168 zgosze, z ktrych 457 zostao zakwalifikowanych jako faktyczne incydenty.

Rysunek 2-1: Liczba zarejestrowanych oraz faktycznych incydentw w poszczeglnych kwartaach 2012 roku

Wyrana rnica w liczbie zarejestrowanych zgosze oraz liczby faktycznych incydentw wynika z faktu, e cz z nich stanowi tzw. false-positives. S to przypadki bdnej interpretacji, przez zgaszajcego, legalnego ruchu sieciowego. Drug

z przyczyn, szczeglnie widoczn w przypadku zgosze z systemw automatycznych, s wielokrotne zgoszenia dotyczce tych samych incydentw. Ponadto naley tu rwnie zwrci uwag na fakt, i zgoszenia pochodzce z systemw autonomicznie raportujcych,

AntiCounterfeiting Trade Agreement, ACTA pol. Umowa handlowa dotyczca zwalczania obrotu towarami podrabianymi.

CERT.GOV.PL

Strona 5 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku zostaj poddane pniejszej rcznej weryfikacji. Dopiero ona wskazuje na prawdziwo zgoszenia. Poniej umieszczony wykres przedstawia szczegowe statystyki rde zgosze incydentw trafiajcych do CERT.GOV.PL.

Rysunek 2-2: rda zgosze incydentw

Porwnanie liczby incydentw otwartych i zamknitych przez zesp CERT.GOV.PL w 2012 roku ilustruje poniszy rysunek.

Rysunek 2-3: Porwnanie liczby incydentw otwartych i zamknitych w poszczeglnych kwartaach 2012 roku

CERT.GOV.PL

Strona 6 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku W porwnaniu do 2011 roku, liczba obsuonych przez zesp CERT.GOV.PL incydentw zdecydowanie wzrosa. Oprcz duej liczby incydentw zwizanych z protestami przeciwko podpisaniu porozumienia ACTA, kolejn przyczyn powyszego wzrostu, jest fakt, e zesp CERT.GOV.PL doczy do platformy N6. Platforma zbudowana zostaa przez zesp CERT Polska2 i suy ona do gromadzenia, przetwarzania oraz przekazywania informacji o zdarzeniach bezpieczestwa w sieci. N6 funkcjonuje cakowicie automatycznie. Informacje o incydentach, ktre wystpi w sieciach bd systemach teleinformatycznych administracji publicznej, s niezwocznie przekazywane do zespou CERT.GOV.PL. Po przeprowadzeniu stosownej analizy uzyskane wyniki s przekazywane do odpowiedniej jednostki administracji publicznej. Podzia zarejestrowanych incydentw na poszczeglne kategorie przedstawia si nastpujco:

Rysunek 2-4: Statystyka incydentw z podziaem na kategorie

Zesp CERT Polska dziaa w strukturach Naukowej i Akademickiej Sieci Komputerowej. Dziaalno zespou jest finansowana przez NASK.

CERT.GOV.PL

Strona 7 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Analizujc powyszy wykres, naley zauway bardzo duy udzia incydentw w kategorii nazwanej Botnety. Jest to wynik aktywnoci zoliwego oprogramowania na wykrytych stacjach roboczych, podczonych do sieci teleinformatycznej nalecej do jednostki administracji publicznej. Przedmiotowe maszyny zostay zainfekowane zoliwym oprogramowaniem, w wyniku czego wykonuj poczenia z okrelonym typem serwerw zarzdzajcych tzw. C&C (ang. command-and-control). Najczciej wystpujce rodzaje botnetw, ktre zaobserwowa CERT.GOV.PL to Citadel, Zeus i Virut3. Ponadto zesp CERT.GOV.PL w dalszym cigu otrzymuje znaczn ilo zgosze odnonie skanowania sieci w poszukiwaniu podatnoci, oraz wysyki wiadomoci typu SPAM. Do kategorii Inne zaliczono informacje o podatnociach oraz bdach

w konfiguracji aplikacji, bd urzdze sieciowych. Naley zauway take, e tzw. protesty ACTA wpyny rwnie znaczco na podwyszenie miejsca, w klasyfikacji atakw typu Rozproszony atak odmowy usugi (DDoS). W 2012 roku odnotowano 23 takie zgoszenia, przy 3 odnotowanych w 2011 roku. 2.2. Analiza alarmw w sieci Internet na podstawie systemu ARAKIS-GOV. System ARAKIS-GOV4 w 2012 roku zarejestrowa 20327 alarmy, co stanowi porwnywaln liczb w stosunku do poprzedniego roku, w ktrym odnotowano ich 20634. Majc na uwadze poziom istotnoci i zagroenia, alarmy podzielono na trzy gwne kategorie. Najmniej odnotowano alarmw najgroniejszych o priorytecie wysokim - 814, co stanowio 4% wszystkich zarejestrowanych. Najwicej natomiast odnotowano alarmw o priorytecie niskim - 14414, ktre stanowiy 71% ogu. Pozostae alarmy to priorytet redni, ktrych odnotowano 5099.

Virut - botnet stworzony prawdopodobnie przez polskich programistw, ktry przede wszystkim wykorzystywany by do rozsyania niechcianej korespondencji, kradziey danych a take prowadzenia atakw DDoS. 4 System ARAKIS-GOV jest systemem wczesnego ostrzegania przed zagroeniami w sieci Internet. Jego architektura oparta jest na rozproszonym zestawie sensorw instalowanych w chronionych instytucjach na styku sieci produkcyjnej z sieci Internet. Centralna cz systemu stanowi serwery dokonujce m.in. korelacji zdarze otrzymanych z poszczeglnych rde, prezentujce wyniki analizy na witrynie WWW.

CERT.GOV.PL

Strona 8 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Rysunek 2-5: Rozkad procentowy alarmw ze wzgldu na priorytety.

Informacje gromadzone i analizowane przez system ARAKIS-GOV pozwalaj na okrelenie lokalizacji geograficznej rda, z ktrych wykonywano ataki na polskie sieci administracji publicznej objte dziaaniem systemu. Do najczciej wystpujcych nale adresy IP przypisane do Chin (prawie 20%) i stanw Zjednoczonych przeszo 17%.

Rysunek 2-6: Rozkad procentowy rde atakw na monitorowane sieci przez system ARAKIS-GOV.

W powyszym wykresie dotyczcym statystyk rde atakw, trzecie miejsce zajmuje kategoria Nieznany. Okrelenie to dotyczy adresw IP, ktre w chwili obecnej nie s przypisane do adnego podmiotu oznacza to, i dokonano podszycia si (podmiany prawdziwego rdowego adresu IP).

CERT.GOV.PL

Strona 9 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Naley take doda, e specyfika protokou TCP/IP sprawia, i nie mona bezporednio czy rda pochodzenia pakietw z rzeczywist lokalizacj zleceniodawcy ataku. Wynika to z faktu, i w celu ukrycia swej tosamoci i fizycznej lokalizacji atakujcy mog wykorzystywa serwery poredniczce (proxy) lub sabo zabezpieczone, bd nieaktualizowane komputery, nad ktrymi wczeniej przejmuj kontrol. W stosunku do lat poprzednich, system ARAKIS-GOV odnotowa wicej atakw o priorytecie Wysokim i rednim, co wynika z wikszej iloci zainstalowanych sond i monitorowanego obszaru. Natomiast na mniejsz ilo odnotowanych alarmw priorytetu Niskiego skada si udoskonalona konfiguracja mechanizmw korelacyjnych systemu. W efekcie zarejestrowano mniejsz iloci alarmw typu false-positives

oraz powielania si alarmw, dotyczcych tych samych anomalii, czy incydentw.

Rysunek 2-7: Rozkad alarmw ze wzgldu na priorytety w latach 2009-2012.

Ze

wzgldu

na

fakt

zastosowania

systemie

ARAKIS-GOV

systemw

honeypotowych do wykrywania atakw z sieci Internet, system dostarcza istotnych informacji na temat procesu rozpoznawania zasobw (skanowania). Na podstawie powyszych danych przedstawiono tabel zawierajc ranking skanowanych portw pod wzgldem liczby unikalnych adresw IP w skali caego roku:
L.p. 1 2 3 Docelowy port/protok 445/TCP 3389/TCP 0/ICMP Liczba widzianych unikalnych IP 532945 508375 489865 Opis Ataki na usugi Windows RPC Ataki na usug RDP (zdalny pulpit) Rozpoznanie zasobw ICMP Echo req

CERT.GOV.PL

Strona 10 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku


4 5 6 7 8 9 10 22/TCP 1433/TCP 80/TCP 23/TCP 5900/TCP 4899/TCP 5060/UDP 445894 413603 373798 328309 295577 288954 274830 Ataki na serwery SSH Ataki na serwery baz danych MSSQL Ataki na serwery WWW Ataki na usug telnet Ataki na usug VNC Ataki na usug Radmin Ataki na VoIP

Tabela 2-1: Tabela atakowanych portw w roku 2012 na podstawie danych z systemu ARAKISGOV

Powysza tabela obrazuje skal zainteresowania konkretnymi usugami przez zoliwe oprogramowanie bd atakujcych. Pierwsze miejsce zajmuje port 445/TCP ktry zwizany jest z usugami dziaajcymi na systemie operacyjnym z rodziny Windows. Powyszy port wykorzystywany jest rwnie przez wiele rodzajw oprogramowania zoliwego takiego jak Conficker. Ponadto na drugim miejscu uplasowa si port 3389/TCP czyli cel atakw na usug pulpitu zdalnego (Morto malware wykorzystujcy powyszy port). System ARAKIS-GOV na podstawie analizy zebranego ruchu prbuje dokona identyfikacji zagroenia na podstawie bazy znanych zagroe w postaci regu systemu Snort. Na tej podstawie zidentyfikowano zestawienie najczciej widocznych regu systemu Snort w systemie ARAKIS-GOV:
L.p. 1 2 3 4 5 6 7 8 9 10 Liczba unikalnych IP 571520 535789 479140 201400 58670 57900 57769 34756 34751 33145 Regua Snort ET POLICY RDP connection request MISC MS Terminal server request ICMP PING NMAP ET POLICY Radmin Remote Control Session Setup Initiate ET POLICY Suspicious inbound to MSSQL port 1433 ET SCAN DCERPC rpcmgmt ifids Unauthenticated BIND ET SCAN Potential SSH Scan NETBIOS SMB-DS IPC$ unicode share access ATTACK-RESPONSES Microsoft cmd.exe banner ET EXPLOIT MS04011 Lsasrv.dll RPC exploit (WinXP)

Tabela 2-2: Najczciej dopasowane reguy do ruchu sieciowego widzianego przez system ARAKISGOV

CERT.GOV.PL

Strona 11 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Pierwsze dwie reguy dotycz atakw na usugi pulpitu zdalnego RDP, czciowo poczenia mog by zwizane z nadal widoczn aktywnoci robaka Morto. Na trzecim miejscu znajduje si regua przypisana do ruchu sieciowego zwizanego z rozpoznaniem zasobw przy pomocy skanera bezpieczestwa Nmap. Anomalia sieciowa zwizana z sieciami uTorrent Na przeomie kwietnia i maja 2012r. system ARAKIS-GOV zaobserwowa zjawisko wzrostu aktywnoci ruchu w sieci uTorrent. Na podstawie analizy danych odnotowanych w alertach informujcych o moliwej infekcji chronionych wzw stwierdzono, i adresy IP zawarte w pakietach pocze byy sfaszowane (ang. spoofing) ze wzgldu na fakt, i wskazyway na zainicjowanie poczenia pomidzy dwoma skadnikami systemu

rozlokowanymi w dwch rnych instytucjach chronionych systemem. Powysza sytuacja jest z punktu widzenia budowy systemu niemoliwa, gdy sondy systemu nie generuj same z siebie ruchu a jedynie odpowiadaj na zainicjowane poczenie zewntrzne. Prawdopodobn przyczyn zaobserwowanej, przez system ARAKIS-GOV,

aktywnoci jest celowe zatruwanie sieci BitTorrent przez koncerny multimedialne w celu ochrony przed wspdzieleniem plikw multimedialnych (audio, wideo itp.) ochrona praw autorskich. Jednake naley wzi pod uwag fakt, i powysza teza jest tylko przypuszczeniem. Inn moliwoci jest rwnie sytuacja, gdzie widziany ruch jest prb wykorzystania aplikacji klienckich uTorrent aby docelowo dokona przejcia kontroli nad komputerem uytkownika. Bardziej szczegowa analiza techniczna anomalii zostaa opracowana przez zesp CERT Polska i jest dostpna pod adresem:

http://www.cert.pl/news/5365/langswitch_lang/pl/. 2.3. Testy bezpieczestwa witryn internetowych administracji publicznej Od dnia 1 lipca 2008 r. CERT.GOV.PL prowadzi program sukcesywnego badania stanu zabezpiecze witryn internetowych nalecych do instytucji administracji publicznej. Dziaania te maj na celu okrelenie poziomu bezpieczestwa aplikacji WWW instytucji publicznych, a take usunicie wykrytych nieprawidowoci. Instytucje, ktrych witryny zostay przebadane, zostay poinformowane o wynikach audytu, wykrytych podatnociach istniejcych w ich systemach i poinstruowane jak podatnoci te usun. W 2012 roku przebadano 67 witryn nalecych do 33 instytucji pastwowych. Stwierdzono ogem 1133 bdy w tym: 188 bdw o bardzo wysokim poziomie zagroenia, CERT.GOV.PL Strona 12 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku 68 bdw o wysokim poziomie zagroenia, 419 bdw o niskim poziomie zagroenia, 458 bdw oznaczonych jako informacyjne. Waniejsze ministerstwa i instytucje, ktrych strony WWW zostay przebadane przez zesp CERT.GOV.PL w 2012r. to: 1. Ministerstwo Edukacji Narodowej 2. Ministerstwo Rolnictwa i Rozwoju Wsi 3. Ministerstwo Finansw 4. Kancelaria Prezesa Rady Ministrw 5. Biuro Bezpieczestwa Narodowego 6. Gwny Urzd Statystyczny 7. Polska Agencja Rozwoju Przedsibiorczoci 8. Orodek Studiw Wschodnich 9. Pastwowa Komisja Wyborcza 10. Ministerstwo Finansw (w tym jednostki podlege - Izby Celne, Urzdy Skarbowe)

W trakcie skanowania witryn stwierdzono, e ok 28% z nich zawierao przynajmniej jedn podatno, ktr naleao uzna za krytyczn dla bezpieczestwa serwera i publikowanych na stronie treci. Tylko w nielicznych przypadkach zabezpieczenia stron byy skuteczne i nie stwierdzono w nich adnych podatnoci. Tak due rnice w jakoci zabezpiecze systemw mog wiadczy o ograniczeniach finansowych podmiotw uytkujcych dane systemy, jak rwnie o niedoskonaociach kompetencyjnych

i organizacyjnych w jednostkach administracji publicznej.

CERT.GOV.PL

Strona 13 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Rysunek 2-8: Statystyka wykrytych podatnoci w witrynach WWW nalecych do administracji publicznych wedug poziomu zagroenia.

Wrd podatnoci o wysokim lub bardzo wysokim poziomie zagroenia niezmiennie przewaaj bdy typu SQL Injection/Blind SQL oraz Cross Site Scripting. Istotnym problemem jest rwnie wykorzystywanie w serwerach produkcyjnych nieaktualnych wersji oprogramowania.

Rysunek 2-9: Procentowy rozkad najpowaniejszych bdw.

CERT.GOV.PL

Strona 14 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Tabela 2-3: Stan bezpieczestwa stron WWW instytucji .

Stan bezpieczestwa przebadanych witryn

Ilo stron

Bardzo dobry poziom bezpieczestwa redni poziom bezpieczestwa Niski poziom bezpieczestwa

24 24 19

Niski poziom bezpieczestwa wynika midzy innymi z wykrytych podatnoci:


PODATNOCI TYPU BLIND SQL/SQL INJECTION

SQL injection / Blind SQL Injection jest podatnoci pozwalajca atakujcemu podmieni struktur logiczn zapytania SQL kierowanego do produkcyjnej bazy danych, z ktrej korzysta witryna WWW. Zagroenie wystpuje, gdy aplikacja docza do zapytania SQL dane otrzymane od uytkownika strony bez filtrowania ich z niedozwolonych znakw.
PODATNO TYPU CRLF INJECTION

Podatno CRLF czerpie swoj nazw od dwch znakw uytych w tego typu atakach: CR Carriage Return i LF - Line Feed. S to dwa znaki ASCI, ktre nie s wywietlane na ekranie ale dziki ich obecnoci system wie, w ktrym miejscu koczy si linia tekstu. Kombinacj tych dwch znakw wysya klawisz Enter. Atakujcy moe zmodyfikowa nagwki http podajc niedozwolone dane.
PODATNO TYPU UJAWNIENIE NAZW UYTKOWNIKW ORAZ HASE

W strukturze katalogw strony WWW wystpowa plik z wraliwymi danymi uytkownikw. Efektem wykorzystania tej podatnoci moe by uzyskanie dostpu do zawartoci strony chronionej hasem przez osob nieuprawnion.

CERT.GOV.PL

Strona 15 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Rysunek 2-10: Liczbowy rozkad podatnoci przeskanowanych witryn z podziaem na istotno bdw w porwnaniu z poprzednimi latami.

2.4. Ankieta samooceny dotyczca witryn internetowych w domenie GOV.PL W roku 2012 Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL nawiza wspprac z Zespoem zadaniowym do spraw ochrony portali rzdowych powoanego decyzj Przewodniczcego Komitetu Rady Ministrw do spraw Cyfryzacji Nr 2/2012 z dnia 15 lutego 2012 roku. W ramach wsplnych dziaa opracowano wytyczne, w ktrych odwoano si do podstawowych atrybutw dotyczcych filarw bezpieczestwa informacji: Dostpnoci; Integralnoci; Poufnoci.

Nastpnie przeprowadzono badania ankietowe wrd administracji pastwowej pod ktem dokonania samooceny poziomu bezpieczestwa prowadzonych witryn WWW. Otrzymane wyniki poddane zostay analizie, ktra umoliwia oszacowanie stanu bezpieczestwa e-administracji pastwowej w domenie GOV.PL. Spenienie wskazanych w ankiecie zalece byo deklaratywne i nie byo weryfikowane przez Zesp CERT.GOV.PL

CERT.GOV.PL

Strona 16 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku poprzez testy bezpieczestwa. Testy takie s prowadzone na zasadzie dobrowolnoci i jedynie na wniosek danej instytucji. Ponisza statystyka ukazuje stan aktualny oraz stan docelowy (planowany) 699 witryn nalecych do 64 podmiotw administracji pastwowej. Na poniszym wykresie wyranie wida, i najczciej jednostki administracji pastwowej posiadaj od 2 do 5 witryn, jednake 20% wszystkich instytucji posiada tylko jedn stron internetow.

Rysunek 2-11: Rozkad liczby obsugiwanych witryn przez poszczeglne instytucje

Z uzyskanych danych wynika, e w obszarze gov.pl dominuj dynamiczne strony internetowe o charakterze wycznie informacyjnym, jednake udzia ten docelowo si zmniejszy z 42% do 27% z uwagi na planowane wdraanie prostych e-usug. Liczba poszczeglnych klas witryn Klasa 1- prosta, statyczna publikacja informacji o jednostce Klasa 2 - dynamiczna, informacyjna strona www Klasa 3 - BIP Klasa 4 - strona zawierajca informacja dla obywateli stanowice podstaw ich dalszych dziaa (np. formularze) Klasa 5 - strona zawierajca dynamiczne formularze, ktre po wypenieniu stanowi podstaw dziaa po stronie jednostki Klasa 6 - strona zawierajca dwustronny system wymiany informacji jednostka <-> obywatel Klasa 0 - Brak klasyfikacji witryny (podmiot nie przekaza informacji) obecny 67 291 208 100 20 10 3 Stan docelowy 22 186 76 84 28 11 292

Tabela 2-4: Liczba poszczeglnych klas witryn stan obecny i docelowy

CERT.GOV.PL

Strona 17 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Cz jednostek posiada wiedz, e bdzie zmieniao typ strony, lecz jeszcze nie okrelio docelowo na jaki (wzrost liczby stron o niesklasyfikowanym typie z 1% do 41%). Dwa ponisze wykresy przedstawiaj oszacowanie bezpieczestwa witryn w obszarze gov.pl w oparciu o wspomniane powyej wytyczne (dotyczy tylko witryn poddanych badaniu ankietowemu). Przy czym wg CERT.GOV.PL liczba jest reprezentatywna dla domeny gov.pl.

Rysunek 2-12: Obecny stan spenienia wymaga CERT.GOV.PL

Rysunek 2-13: Docelowy stan spenienia wymaga CERT.GOV.PL

Niestety wyranie wida, e wikszo witryn nie spenia zalece CERT.GOV.PL dla witryn administracji. Nawet docelowo, po planowanej rozbudowie witryn przez wszystkie jednostki administracji, nadal ponad poowa stron nie bdzie speniaa czterech lub wicej zalece w zakresie bezpieczestwa.

CERT.GOV.PL

Strona 18 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Pod wzgldem speniania zalece CERT.GOV.PL, uwzgldniajc podzia na poszczeglne parametry bezpieczestwa, aktualnie stan witryn przedstawia si nastpujco:

Rysunek 2-14: Stan spenienia wymaga w poszczeglnych obszarach bezpieczestwa

Jedynie pod wzgldem dostpnoci sytuacja wyglda stosunkowo poprawnie (ponad 60% witryn spenia zalecenia). Niestety jest to parametr bezpieczestwa najmniej istotny w jawnych systemach e-administracji. Biorc pod uwag funkcjonalno witryn, ktre maj suy obywatelowi jako rdo informacji, poziom zabezpieczenia i weryfikacji integralnoci danych prezentowanych na witrynach jest niski. Biorc pod uwag wyniki caoci rezultatw ankiety naley wyranie stwierdzi, e poziom bezpieczestwa witryn administracji jest niezadowalajcy. W wielu przypadkach naruszone zostay podstawowe zasady budowy bezpieczestwa informacji w systemach teleinformatycznych. W niektrych przypadkach jednostki same nie dysponuj wiedz jakiego typu witryny s przez nie prowadzone.

CERT.GOV.PL

Strona 19 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

3. Bezpieczestwo EURO 2012 Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL intensywnie uczestniczy w organizacji oraz w zapewnieniu prawidowego przebiegu Mistrzostw Europy w Pice Nonej EURO 2012 w obszarze cyberprzestrzeni. Prowadzono liczne dziaania zmierzajce do zapewnienia bezpieczestwa teleinformatycznego w zakresie m.in. koordynacji reagowania na incydenty komputerowe oraz obsugi zdarze w sieciach instytucji odpowiedzialnych za prawidowy przebieg Mistrzostw. Ponadto, Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL peni take funkcj caodobowego punktu kontaktowego w zakresie wykrycia oraz neutralizacji wszelkich moliwych zagroe godzcych w bezpieczestwo kibicw jak rwnie obywateli RP w trakcie Turnieju EURO 2012. 3.1. Dziaania podejmowane przed rozpoczciem mistrzostw Zesp CERT.GOV.PL przed rozpoczciem Mistrzostw w Pice Nonej UEFA EURO 2012 prowadzi program sukcesywnego badania stanu zabezpiecze kluczowych witryn internetowych, wskazanych przez oficjalnego koordynatora przygotowa do EURO 2012 spk PL.2012. Programem objte zostay m. in. witryny internetowe spki PL.2012 jak rwnie przedstawione poniej portale polskich miast-gospodarzy EURO 2012. Spka PL.2012 Miasto GDASK Miasto WROCAW Miasto POZNA

Przetestowano 10 witryn. Stwierdzono ogem 108 bdw w tym: 13 bdw o bardzo wysokim poziomie zagroenia, 41 bdw o wysokim poziomie zagroenia, 29 bdw o niskim poziomie zagroenia i 25 bdw informacyjnych. Wszystkie badane strony zawieray podatnoci o wysokim poziomie zagroenia.

CERT.GOV.PL

Strona 20 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Rysunek 3-1: Statystyka wykrytych podatnoci

Rysunek 3-2: Procentowy rozkad najpowaniejszych bdw

Na kadej spord przetestowanych witryn internetowych stwierdzone zostao wystpowanie podatnoci o bardzo wysokim lub wysokim poziomie zagroenia. Dominoway gwnie bdy typu Blind SQL Injection oraz Cross Site Scripting. 3.2. Dziaania podejmowane w trakcie przebiegu mistrzostw W trakcie Mistrzostw Europy w Pice Nonej EURO 2012 od 8 czerwca do 1 lipca 2012 roku, Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL prowadzi w trybie zmianowym stay monitoring polskiej przestrzeni adresowej przypisanej do jednostek administracji pastwowej, a take witryn bezporednio zwizanych z tematyk Mistrzostw. Zesp CERT.GOV.PL, penic funkcj midzy innymi organu doradczego w zakresie zapewnienia bezpieczestwa teleinformatycznego w trakcie EURO 2012, zorganizowa caodobowy punkt kontaktowy dla administratorw systemw i sieci TI. W ramach prowadzonych czynnoci, analizowano podejrzane przesyki mailowe pod ktem ewentualnych atakw ukierunkowanych. Ponadto, wykrywano i przekazywano do wiadomoci zainteresowanych instytucji informacje o prbach pocze wykonywanych z komputerw mogcych by elementami tzw. sieci botnet komputerw zombie. Poddano analizie faktyczny stan zabezpiecze witryny internetowej

www.euromaster2012.pl. W wyniku czego wykryta zostaa istotna podatno wynikajca m.in. z braku odpowiednich zabezpiecze systemowych. W ramach przeprowadzonych

CERT.GOV.PL

Strona 21 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku czynnoci poinformowano administratorw systemu, wynikiem czego byo

zaimplementowanie dodatkowego mechanizmu kryptograficznego (protok SSL).

CERT.GOV.PL

Strona 22 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

4. Ataki DDoS na administracj publiczn 4.1. Informacje oglne W dniach 21-25 stycznia 2012 mia miejsce szereg atakw na zasoby instytucji administracji pastwowej, zorganizowanych w ramach akcji protestacyjnej przeciwko podpisaniu przez Polsk porozumienia ACTA. W ramach powyszych dziaa odnotowano ataki typu rozproszony atak odmowy usugi DDoS (Distributed Denial of Service) oraz ataki Website defacement (podmiany stron) ktre skierowane byy na niektre instytucje administracji pastwowej, w tym midzy innymi: Kancelaria Sejmu RP, Kancelaria Prezydenta RP, Kancelaria Premiera Rady Ministrw, Ministerstwo Spraw Zagranicznych, Ministerstwo Sprawiedliwoci, Ministerstwo Edukacji Narodowej, Kancelaria Senatu RP, Ministerstwo Kultury i Dziedzictwa Narodowego, Ministerstwo Obrony Narodowej, Komenda Gwna Policji oraz Centralne Biuro Antykorupcyjne. Atak DDoS (ang. Distributed Denial of Service rozproszony atak odmowy usugi) to atak na system komputerowy lub usug sieciow (w tym przypadku na serwer WWW) w celu uniemoliwienia dziaania poprzez zajcie wszystkich wolnych zasobw (generowanie bardzo duej iloci faszywych pocze, Moe to doprowadzi do wysycenia przepustowoci cza lub do przecienia fizycznego serwera, ktry obsuguje witryn WWW). Atak przeprowadzany jest rwnoczenie z wielu komputerw (np. zombie komputery bdce skadnikiem sieci botnet). Skutkiem tego typu ataku jest brak dostpnoci usugi w przypadku atakw z 21-25 stycznia 2012 objawiao si to brakiem dostpnoci atakowanych witryn nalecych do polskich instytucji administracji pastwowej. Ochrona przed skutecznym atakiem typu DDoS jest niezwykle trudna, czasami wrcz niemoliwa. Istotnym elementem w procesie obrony jest wsppraca jednostki organizacyjnej (JO) z dostawc Internetu (ISP), ktry dostarcza usug dostpu do Internetu dla danej JO. 4.2. Analiza atakw W przypadku atakw typu DDoS na podstawie analizy logw (analiza obejmuje dania HTTP, ktre zostay przepuszczone przez systemy filtrowania i zostay obsuone przez serwer WWW) stwierdzono wykorzystanie zarwno narzdzi w celu wygenerowania tak duej iloci ruchu jak i zwikszone zainteresowanie stronami WWW

CERT.GOV.PL

Strona 23 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku przedmiotowych instytucji administracji pastwowej. Jednake, okrelenie na podstawie wpisu w logach serwera WWW czy dane danie HTTP jest wygenerowane przy wykorzystaniu narzdzia czy przy pomocy przegldarki internetowej nie zawsze jest moliwe. W pierwszej fazie atakw wykorzystano gownie narzdzie LOIC (Low Orbit Ion Cannon) zarwno w formie aplikacji WEB czyli dostpnej na stronach WWW jak i wersji aplikacji moliwej do zainstalowania na komputerze. Oprogramowanie to po raz pierwszy zostao wykorzystane w roku 2010 podczas ataku na instytucje finansowe Paypal, Mastercard, i Visa w odwecie za dziaania wymierzone przeciw firmom, ktre nie sprzyjaj Wikileaeks.

Rysunek 4-1: Oprogramowanie LOIC

Oprogramowanie LOIC ma moliwo generowania zapyta zarwno w formie HTTP jak i ruchu UDP. Format zapyta HTTP identyfikujcych oprogramowania typu LOIC jest charakterystyczny i przedstawia si nastpujco:
/?id=1327175129623&msg=we%20are%20annonymous,%20we%20are%20legion!

gdzie: parametr id jest dowolnym cigiem cyfr identyfikujcym zapytanie parametr msg jest dowolnym cigiem znakw. Ze wzgldu na charakterystyczne dania HTTP jakie generuje oprogramowanie LOIC, na podstawie logw zidentyfikowano pierwsz dziesitk najczstszych fragmentw zapyta stosowanych podczas atakw: msg=STOP%20ACTA CERT.GOV.PL Strona 24 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku msg= msg=We%20Are%20Anonymous! msg=STOP%20ACTA! msg=We%20Are%20Legion msg=we%20are%20anonymous msg=Nie%20dla%20ACTA! msg=STOP%2520ACTA msg=NO%20ACTA msg=51616846612186461681568164161518
Rysunek 4 2: Fragmenty zapyta stosowane podczas atakw.

Dalsza korelacja informacji dostpnych w sieci Internet dotyczca pojawiania si penych instrukcji dla potencjalnych uczestnikw akcji oraz informacji pozyskanych z analizy logw, pozwolia na identyfikacje innego oprogramowania wykorzystywanego do atakw o nazwie HOIC (High Orbit Ion Cannon). Oprogramowanie powstao na platform Windows i jego dziaanie jest zblione do dziaania jego poprzednika LOIC-a.

Rysunek 4-8: Oprogramowanie HOIC

Rysunek 4-9: Oprogramowanie HOIC

Rnica polega na moliwoci wykorzystania do ataku tzw. boosterw czyli plikw konfiguracyjnych pozwalajcych na modyfikacje nagwkw wysyanych zapyta

CERT.GOV.PL

Strona 25 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku HTTP oraz moliwoci konfiguracji natenia generowanego ruchu HTTP poprzez uruchomienie zadanej iloci wtkw oprogramowania. Przykad pliku konfiguracyjnego:
// populate rotating urls randURLs.Append "http://www.xxxx.gov.pl/" // rotate out url URL = randURLs(RndNumber(0, randURLs.UBound)) // populate list useragents.Append "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" useragents.Append "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)" useragents.Append "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 5.1; .NET CLR 1.1.4322)" useragents.Append "Googlebot/2.1 ( http://www.googlebot.com/bot.html) " // Add random headers randheaders.Append "Cache-Control: no-cache" randheaders.Append "If-Modified-Since: Sat, 29 Oct 1994 11:59:59 GMT" randheaders.Append "If-Modified-Since: Tue, 18 Sep 2002 10:34:27 GMT" randheaders.Append "If-Modified-Since: Mon, 12 Aug 2004 12:54:49 GMT" randheaders.Append "If-Modified-Since: Wed, 30 Jan 2000 01:21:09 GMT" randheaders.Append "If-Modified-Since: Tue, 18 Aug 2006 08:49:15 GMT" // generate random referer Headers.Append "Referer: " + referers(RndNumber(0, referers.UBound)) // generate random user agent (DO NOT MODIFY THIS LINE) Headers.Append "User-Agent: " + useragents(RndNumber(0, useragents.UBound)) // Generate random headers Headers.Append randheaders(RndNumber(0, randheaders.UBound))

Rysunek 4 5: Plik konfiguracyjny

4.3. Statystyki Analiza zebranych logw dotyczcych ataku DDoS pozwolia na podjcie prby przeanalizowania zdarzenia pod ktem statystycznym. Poniej przedstawiony zosta wykres rozkadu cakowitego ruchu widzianego w rozwaanym zakresie czasowym, pod wzgldem geolokalizacji unikalnych, rdowych adresw IP. Jednak naley pamita, e specyfika protokou TCP/IP sprawia, i nie mona bezporednio czy rda pochodzenia pakietw z rzeczywist lokalizacj zleceniodawcy ataku. Wynika to z faktu, i w celu ukrycia swej tosamoci i fizycznej lokalizacji atakujcy mog wykorzystywa serwery poredniczce (proxy) lub sabo zabezpieczone, bd nieaktualizowane komputery, nad ktrymi wczeniej przejmuj kontrol.

CERT.GOV.PL

Strona 26 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Rysunek 4-6 Rozkad cakowitego ruchu pod wzgldem geolokalizacji unikalnych, rdowych adresw IP

Na podstawie powyszego wykresu wida, i w wikszoci rdowe adresy IP pochodziy z terytorium Polski co potwierdza due zaangaowanie polskich internautw w akcj. ladowe iloci adresw z poza terytorium Polski mog wiadczy o wykorzystaniu do atakw serwerw animizujcych (proxy, itp.). Ponadto stwierdzono, i generowane dania podczas ataku DDoS w okoo 33% miay charakterystyk da oprogramowania LOIC. Rozkad ruchu widzianego w rozwaanym zakresie czasowym, pod wzgldem geolokalizacji unikalnych, rdowych adresw IP generowanego przy wykorzystaniu oprogramowania LOIC przedstawia si nastpujco:

Rysunek 4-7 Rozkad ruchu charakterystycznego dla oprogramowania LOIC pod wzgldem geolokalizacji unikalnych, rdowych adresw IP

Poniej przedstawiono rwnie statystyk przynalenoci polskich adresw IP do poszczeglnych dostawcw Internetu (ISP) dziaajcych na terytorium kraju. Na tej podstawie uzyskano informacje, i najwicej uytkownikw biorcych udzia w ataku DDoS, byo

CERT.GOV.PL

Strona 27 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku klientami operatorw internetowych: Internetia (16,99%), UPC (11,31%) i Telekomunikacja Polska (10,50%).

Rysunek 4-8: Rozkad ruchu charakterystycznego dla oprogramowania LOIC nalecych do polskich przestrzeni adresowych IP.

CERT.GOV.PL

Strona 28 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

5. Bezpieczestwo internetowe administracji publicznej W 2012 roku podobnie jak w latach poprzednich odnotowana zostaa znaczna ilo atakw typu website defacement. Ich wynikiem jest czsto podmiana zawartoci strony gwnej portalu, umieszczenie na serwerze strony phishingowej lub dodanie pliku do witryny. Pomimo prowadzonych przez zesp CERT.GOV.PL dziaa pro aktywnych takich jak testy bezpieczestwa witryn oraz akcje uwiadamiajce, sektor polskiej administracji publicznej w dalszym cigu jest podatny na tego typu ataki cybernetyczne. 5.1. Incydenty obsugiwane przez Zesp CERT.GOV.PL Poniej przedstawione zostay informacje o istotnych incydentach obsugiwanych przez Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL. 5.1.1. I kwarta 2012 roku

W pierwszym kwartale 2012 roku odnotowano szereg atakw zorganizowanych w ramach protestw przeciwko podpisaniu przez Polsk porozumienia ACTA W gwnej mierze prowadzone byy ataki typu DDoS ukierunkowane przeciwko serwerom WWW, na ktrych utrzymywane byy strony instytucji administracji rzdowej. W wyniku atakw doszo do wysycenia czy internetowych. Ponadto Zesp Reagowania na Incydenty Komputerowe odnotowa incydenty zwizane z podmianami stron internetowych. Ataki zostay przeprowadzone midzy innymi na ponisze witryny internetowe: - Kancelaria Prezesa Rady Ministrw, - Konferencja Kopaliny Zoa Kopalin, - Sd Okrgowy w Gdasku, - Muzeum Okrgowe w Toruniu, - Schroniska dla Nieletnich w Stawiszynie, - Sd Okrgowy w Piotrkowie Trybunalskim - Okrgowy Inspektorat Pracy w Katowicach, - Powiatowy Inspektorat Weterynarii w Misku Mazowieckim, - Powiatowy Inspektorat Nadzoru Budowlanego Miasta Skierniewice,

CERT.GOV.PL

Strona 29 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku - Biuletyn Informacji Publicznej Powiatowego Inspektoratu Weterynarii w Giycku. Poniej internetowych: przedstawione zostay przykadowe obrazy podmienionych witryn

Rysunek 5-1: Wygld podmienionej witryny slaskiecentrumedukacji.edu.pl

Rysunek 5-2: Wygld podmienionych witryn mediacje.gdansk.so.gov.pl, piwminsk.wetgiw.gov.pl, skierniewice.pinb.gov.pl, bip.gizycko.piw.gov.pl oraz konferencjakopaliny.pgi.gov.pl.

Rysunek 5-3: Wygld podmienionej witryny muzeum.torun.pl.

CERT.GOV.PL

Strona 30 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku 5.1.2. II Kwarta 2012 roku.

W drugim kwartale 2012 roku odnotowano incydenty zwizane z dziaaniami grup Anonimowych o nazwie FuckGovFirday. W wyniku tych dziaa podmienione zostay poniej wymienione witryny internetowe oraz upublicznione zostay informacje z baz danych serwerw. Lista stron, ktrych zawarto zostaa podmieniona: - Sd Rejonowy w Mogilnie, - Sd Rejonowy w Tucholi, - Sd Rejonowy w Bydgoszczy, - Sd Rejonowy w Nakle, - Sd Rejonowy w Szubinie, - Sdu Rejonowy w Inowrocawiu, - Prokuratura Okrgowa w Poznaniu, - Prokuratura Apelacyjna w Biaymstoku, - Narodowy Fundusz Zdrowia. Poniej przedstawiony zosta przykadowy obraz podmienionej witryny internetowej:

CERT.GOV.PL

Strona 31 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Rysunek 5-4: Wygld podmienionej witryny Sdu Rejonowego w Bydgoszczy

Lista

stron,

ktrych

dane

zostay

upublicznione

ramach

operacji

FuckGovFirday. Osoby, ktrych dane zostay upublicznione byy informowane o tym fakcie i instruowane o sposobach minimalizacji ich skutkw: - Prokuratura Apelacyjna w Biaymstoku, - ngo.czestochowa.um.gov.pl, - Prokuratura Okrgowa w Poznaniu, - Sd Rejonowy w Szubinie, - Sd Rejonowy w Inowrocawiu. W drugim kwartale miay miejsce rwnie podmiany m.in. nastpujcych witryn internetowych. - Agencji Rynku Rolnego, - Ministerstwa Edukacji Narodowej, - Centralnej Komisji Egzaminacyjnej, - Instytutu Biologii Dowiadczalnej im. M. Nenckiego w Warszawie.

CERT.GOV.PL

Strona 32 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Poniej internetowych: przedstawione zostay przykadowe obrazy podmienionych witryn

Rysunek 5-5: Wygld podmienionej witryny Centralnej Komisji Egzaminacyjnej

Rysunek 5-6: Wygld podmienionej witryny Instytutu Biologii Dowiadczalnej im. M. Nenckiego w Warszawie

5.1.3.

III Kwarta 2012 roku.

W trzecim kwartale 2012 roku dokonano podmian m.in. nastpujcych witryn internetowych:

CERT.GOV.PL

Strona 33 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku - Sdu Rejonowego w Tarnobrzegu, - Centrum Doradztwa Rolniczego w Brwinowie, - Ministerstwa Zdrowia, - Sdu Rejonowego w Gryfinie, - Komendy Miejskiej Pastwowej Stray Poarnej w Sosnowcu, - Sdu Rejonowego w Brzozowie, - Sdu Rejonowego w Lesku, - Agend ONZ w Polsce. Poniej internetowych: przedstawione zostay przykadowe obrazy podmienionych witryn

Rysunek 5-7: Wygld podmienionej witryny Sdu Rejonowego w Tarnobrzegu

Rysunek 5-8: Wygld podmienionej witryny Komendy Miejskiej Pastwowej Stray Poarnej w Sosnowcu

CERT.GOV.PL

Strona 34 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku 5.1.4. IV Kwarta 2012 roku.

W czwartym kwartale miay miejsce podmiany m.in. nastpujcych witryn internetowych: - Parlamentarnego zespou ds. zbadania przyczyn katastrofy smoleskiej, - Archiwum Pastwowego w Bydgoszczy, - Komendy Wojewdzkiej Policji w Gorzowie Wielkopolskim, - Archiwum Pastwowego w Kielcach, - Komendy Powiatowej Pastwowej Stray Poarnej Tarnowskie Gry, - Archiwum Pastwowego w Koszalinie, - Ministerstwa Zdrowia, - Instytutu Biologii Dowiadczalnej im. M. Nenckiego Polskiej Akademii Nauk, - Komitetu Bada Polarnych Polskiej Akademii Nauk. Poniej przedstawiony zosta przykadowy obraz jednej z podmienionych witryn internetowych:

Rysunek 5-9: Wygld podmienionych witryn http://www.studiapomostowe.mz.gov.pl oraz Sdu Rejonowego w Gryfinie

CERT.GOV.PL

Strona 35 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Wymienione powyej podmiany witryn nalecych midzy innymi do administracji pastwowej zostay szerzej przedstawione w Raportach Kwartalnych CERT.GOV.PL. Pomimo dziaa prowadzonych przez Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL niestety w dalszym cigu poziom bezpieczestwa wielu witryn jest niezadowalajcy. Podmiany zwizane byy z uytkowaniem na serwerach starszych/podatnych wersji oprogramowania lub stosowaniem domylnych konfiguracji serwerw WWW. W kadym przypadku podmian stron zgoszonych do Zespou Reagowania na Incydenty Komputerowe CERT.GOV.PL administratorzy witryn lub osoby za nie odpowiedzialne, zostay poinformowane o incydentach oraz poinstruowane odnonie sposobw minimalizacji ich skutkw. Poniej przedstawione zostay typy incydentw, ktre byy zgaszane przez cay rok do Zespou Reagowania na Incydenty Komputerowe CERT.GOV.PL: - Bdy wystpujce na witrynach nalecych do administracji publicznej. Najczciej wystpujcymi byy podatnoci typu SQL Injection, XSS lub Direktory Traversal. Bdy te najczciej zwizane byy z brakiem waciwej walidacji danych wprowadzanych poprzez stron do formularza oraz ustawieniami domylnymi zastosowanymi w konfiguracji silnika PHP. - Prby infekcji uytkownikw poczty elektronicznej urzdw administracji centralnej poprzez przesyanie zainfekowanych zacznikw. Wsppraca zespou CERT.GOV.PL wraz z administratorami zaatakowanych instytucji spowodowaa neutralizacj zagroenia w wyniku czego nie doszo m. in. do infekcji stacji roboczych. - Publikacje baz danych uytkownikw pochodzcych z witryn nalecych do administracji pastwowej na portalach internetowych. Administratorzy oraz osoby, ktrych dane udostpniono, zostali o tym fakcie poinformowani oraz poinstruowani o sposobie minimalizacji zagroe. - Poczenia z komputerw nalecych do administracji publicznej z sieciami botnet. Zainfekowane zoliwym oprogramowaniem komputery naleay m.in. do poniszych sieci botnet: Rustock, Kelihos,

CERT.GOV.PL

Strona 36 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Odnotowano m.in. infekcje poniszym oprogramowaniem zoliwym: Zeus, Torpig, Slenfbot, DNSChanger, Pushdo, Ramnit, Citadel, W rezultacie obsugi incydentw zidentyfikowano skompromitowane hosty

i dokonano dezaktywacji zoliwego oprogramowania.

CERT.GOV.PL

Strona 37 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku 5.2. Przykady analizy incydentw obsugiwanych przez Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL. Poniej przedstawione zostay analizy dwch incydentw obsugiwanych przez Zesp CERT.GOV.PL. 5.2.1. Przykad analizy ataku na jedn z witryn internetowych przy wykorzystaniu podatnoci wystpujcej w Joomla. Na podstawie analizy logw z zaatakowanego serwera WWW nalecego do administracji pastwowej stwierdzono, i przyczyn wamania na serwer WWW by bd wystpujcy w systemie zarzdzania treci Joomla w oparciu, o ktry dziaa strona. Luka pozwalaa na zarejestrowanie nowego uytkownika do dowolnej grupy. Wykorzystanie podatnoci polegao na odwiedzeniu przez atakujcego odpowiedniego adresu pod ktrym dostpny by formularz odpowiedzialny za tworzenia nowego uytkownika.
http://www.xxx.gov.pl/index.php?option=com_users&view=registration

Podczas wstpnej rejestracji nowego uytkownika atakujcy musia spowodowa, aby si ona nie powioda np. poprzez celowe nie wprowadzenie tego samego hasa w obydwu polach hase. Nastpnie przed wysaniem formularza rejestracyjnego w celu przeprowadzenia ataku naleao doda odpowiedni parametr do danych formularza. Po dokonaniu powyszych zmian i zatwierdzeniu formularza strona zgosi bd, i podane w czasie rejestracji hasa nie s identyczne. Po prawidowym wypenieniu pl hase i ponownym dodaniu parametru nowo zarejestrowany uytkownik zosta przypisany do grupy Administratorw, jest to moliwe, poniewa model rejestracji uytkownika przypisywa uytkownika do grupy istniejcej w danych formularza sesji.
xxx.xxx.xxx.xxx - - [xx/xxx/2012:xx:xx:xx +0100] "GET /index.php/component/users/?view=registration HTTP/1.1" 200 12656 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; rv:1.9.2) Gecko/20100101 Firefox/3.6" xxx.xxx.xxx.xxx - - [xx/xxx/2012:xx:xx:xx +0100] "POST /index.php?option=com_users&task=registration.register HTTP/1.1" 303 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; rv:1.9.2) Gecko/20100101 Firefox/3.6" xxx.xxx.xxx.xxx - - [xx/xxx/2012:xx:xx:xx +0100] "GET /index.php/component/users/?view=registration&layout=complete HTTP/1.1" 200 8353 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; rv:1.9.2) Gecko/20100101 Firefox/3.6"

Nastpnie na adres e-mail podany podczas rejestracji wysyana bya wiadomo informujca o utworzeniu nowego konta oraz o potrzebie jego aktywacji. Aktywacja konta CERT.GOV.PL Strona 38 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku polegaa na naciniciu odnonika dostpnego w wiadomoci lub wklejeniu go do przegldarki. Po poprawnej aktywacji atakujcy na uzyskiwa si konto do z uprawnieniami administratora

administracyjnymi

pozwalajcymi

zalogowanie

panelu

i dokonywanie zmian na stronie. 5.2.2. Infekcja witryny http//nina.gov.pl false positive W padzierniku 2012 roku do CERT.GOV.PL wpyno zgoszenie rzekomej infekcji kodem zoliwym witryny nina.gov.pl. Analiza tego incydentu wykazaa i jedynym oprogramowaniem ktre wykrywao ww. witryn jako stron zawierajc oprogramowanie zoliwe by Sophos Antivirus:

****************** Sophos Anti-Virus Log - 2012-10-29 10:54:26 ************** 20121029 103509 Using detection data version 4.82G (detection engine 3.36.2). This version can detect 4103544 items. 20121029 103509 User (ZARZDZANIE NT\USUGA LOKALNA) has started on-access scanning for this machine. 20121029 103757 Using detection data version 4.82G (detection engine 3.36.2). This version can detect 4103544 items. 20121029 103758 User (ZARZDZANIE NT\USUGA LOKALNA) has started on-access scanning for this machine. 20121029 104901 Blocked web request to "www.nina.gov.pl" for user AAA\Administrator. 'Mal/HTMLGen-A' has been found at this website, reference ID 68962015. 20121029 105047 Blocked web request to "www.nina.gov.pl" for user AAA\Administrator. 'Mal/HTMLGen-A' has been found at this website, reference ID 68962015. 20121029 105136 Blocked web request to "www.nina.gov.pl" for user AAA\Administrator. 'Mal/HTMLGen-A' has been found at this website, reference ID 68962015. 20121029 105138 Blocked web request to "www.nina.gov.pl" for user AAA\Administrator. 'Mal/HTMLGen-A' has been found at this website, reference ID 68962015. 20121029 105144 Blocked web request to "www.nina.gov.pl" for user AAA\Administrator. 'Mal/HTMLGen-A' has been found at this website, reference ID 68962015. 20121029 105148 Blocked web request to "www.nina.gov.pl" for user AAA\Administrator. 'Mal/HTMLGen-A' has been found at this website, reference ID 68962015. 20121029 105233 Blocked web request to "www.nina.gov.pl" for user AAA\Administrator. 'Mal/HTMLGen-A' has been found at this website, reference ID 68962015. 20121029 105302 Blocked web request to "www.nina.gov.pl" for user AAA\Administrator. 'Mal/HTMLGen-A' has been found at this website, reference ID 68962015. (12 items)

Po przeanalizowaniu

zawartoci

kodu

witryny,

nie stwierdzono

obecnoci

szkodliwych elementw. Zesp skontaktowa si z dziaem bezpieczestwa firmy Sophos, ktra dokonaa aktualizacji sygnatur oprogramowania antywirusowego.

CERT.GOV.PL

Strona 39 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

6. Wsppraca krajowa i midzynarodowa W 2012 roku miay miejsce kolejne edycje wicze w obszarze reagowania na sytuacje kryzysowe i incydenty bezpieczestwa w cyberprzestrzeni, tj. midzynarodowe wiczenia zarzdzania kryzysowego NATO Crisis Management Excercise 2012 (NATO CMX 2012), midzynarodowe wiczenia NATO Cyber Coalition 2012 oraz Krajowe wiczenia Uzupeniajce do CMX 2012. Gwnym celem wicze byo sprawdzenie zdolnoci reagowania uczestniczcych w nim pastw oraz, w przypadku Krajowych wicze Uzupeniajcych, jednostek i podmiotw krajowych, na zdarzenia zwizane z sytuacjami kryzysowymi i cyberzagroeniami. Tegoroczna edycja wicze NATO CMX 2012 odbya si rwnoczenie z wiczeniami NATO Cyber Coalition 2012 oraz Krajowymi wiczeniami Uzupeniajcymi do CMX 2012. We wszystkich wiczeniach CERT.GOV.PL bra aktywny udzia. NATO CMX 2012 oraz NATO Cyber Coalition 2012 zostay przeprowadzone w oparciu o ten sam, hipotetyczny scenariusz, przedstawiajcy zagroenie, ktrego rdem byy m.in. cyberataki na du skal, majce wpyw zarwno na pastw natowskich, jak i krajow infrastruktur krytyczn. 6.1. wiczenia NATO Cyber Coalition 2012 W dniach 12 16.11.2012 roku miay miejsce wiczenia NATO Cyber Coalition 2012. Celem gwnym wicze byo sprawdzenie skutecznoci procedur reagowania NATO oraz pastw czonkowskich sojuszu na zagroenia w cyberprzestrzeni, a take wzmocnienie cyberobrony pastw sojuszu. wiczenia rozgrywane byy na szczeblu decyzyjnym oraz technicznym. Ze strony NATO w wiczeniach uczestniczy m.in. zesp NATO Computer Incident Response Capability (NCIRC). Pastwa czonkowskie reprezentoway waciwe dla ochrony cyberprzestrzeni zespoy bezpieczestwa. Incydenty teleinformatyczne rozgrywane w ramach wicze dotyczyy atakw w cyberprzestrzeni skierowanych przeciwko krytycznej infrastrukturze teleinformatycznej NATO oraz krajw czonkowskich NATO. Zaplanowane incydenty charakteryzoway si znacznym skomplikowaniem technicznym i odzwierciedlay jednoczenie moliwe do wystpienia wektory atakw, z ktrymi mog zetkn si zespoy reagowania na incydenty komputerowe. Udzia CERT.GOV.PL polega na: realizowaniu obsugi zgaszanych incydentw; wykonywaniu procedur zwizanych z reagowaniem na incydenty komputerowe; Strona 40 z 47

CERT.GOV.PL

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku wsparciu technicznym pastw czonkowskich w zakresie analizy zgaszanych incydentw teleinformatycznych; przekazywaniu informacji o wynikach analizy incydentw teleinformatycznych.

Udzia CERT.GOV.PL w wiczeniach Cyber Coalition umoliwi wzmocnienie wsppracy w obszarze cyberbezpieczestwa pomidzy zespoami reagowania na incydenty komputerowe pastw czonkowskich sojuszu, a take pozwoli

na przetestowanie dziaa decyzyjnych w przypadku wystpienia sytuacji kryzysowych w cyberprzestrzeni. 6.2. wiczenia NATO CMX 2012 wiczenia zarzdzania kryzysowego NATO CMX 2012 przeprowadzane s w celu sprawdzania procedur zarzdzania kryzysowego Sojuszu Pnocnoatlantyckiego na poziomie strategicznym, z zaangaowaniem cywilnego i wojskowego personelu, zarwno w pastwach czonkowskich, Kwaterze Gwnej NATO, jak i Dowdztwach Strategicznych Sojuszu. wiczenia CMX 2012 maj charakter aplikacyjny i nie wymagaj od uczestniczcych w nim zaangaowania realnych si i rodkw. Tegoroczne wiczenia przeprowadzono w dniach 12 16 listopada 2012 roku, rwnolegle z wiczeniami: Cyber Coalition 2012 oraz Krajowymi wiczeniami Uzupeniajcym do CMX 2012. Udzia CERT.GOV.PL polega na realizowaniu dziaa zgodnie z przyjtymi procedurami zwizanymi z ocen cyberzagroe oraz skali ich propagacji opierajc si na zgaszanych incydentach i oglnej sytuacji nakrelonej na potrzeby scenariusza wicze, a take przekazywaniu informacji zgodnie z procedurami do odpowiednich komrek uczestniczcych w wiczeniach. 6.3. Krajowe wiczenia uzupeniajce do CMX 2012 Rwnolegle z midzynarodowymi wiczeniami CMX 2012 i Cyber Coalition 2012, CERT.GOV.PL uczestniczy w Krajowych wiczeniach Uzupeniajcych do CMX 2012. Celem Krajowych wicze Uzupeniajcych byo sprawdzenie moliwoci dziaania niektrych elementw systemu zarzdzania kryzysowego w warunkach sytuacji kryzysowej. wiczenia zostay zorganizowane w konwencji aplikacyjnych wicze sztabowych, co oznaczao, e w trakcie wicze nie byy zaangaowane realne siy i rodki, natomiast wszystkie dziaania oparte byy na rzeczywistym systemie zarzdzania kryzysowego. Przygotowany scenariusz dotyczy ataku na infrastruktur krytyczn dostarczajc paliwa pynne zlokalizowan na terytorium RP. Atak polega na naruszeniu cigoci dziaania CERT.GOV.PL Strona 41 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku infrastruktury krytycznej i zwizany by z incydentem w systemie teleinformatycznym. W wiczeniach wziy udzia take Spraw przedstawiciele Wewntrznych, m.in. Rzdowego Centrum

Bezpieczestwa,

Ministerstwa

Ministerstwa

Gospodarki

oraz Ministerstwa Administracji i Cyfryzacji. Przygotowany scenariusz umoliwi zespoowi CERT.GOV.PL przewiczenie procesu reagowania na incydenty komputerowe

w cyberprzestrzeni oraz sprawdzenie skutecznoci reagowania na incydenty zaistniae w sieciach krajowej infrastruktury krytycznej. Uczestnictwo CERT.GOV.PL umoliwio podjcie dalszych decyzji przez inne jednostki zaangaowane w scenariusz w oparciu o wyniki analizy incydentw i skal propagacji zagroenia. Udzia CERT.GOV.PL w Krajowych wiczeniach Uzupeniajcych oraz wybr rodzaju wiczonego scenariusza uwarunkowane byy pojawiajcymi si zagroeniami dla infrastruktury krytycznej oraz dla systemw nadzorujcych procesy technologiczne lub produkcyjne. wiczenia tego typu su przede wszystkim podwyszeniu skutecznoci dziaania zespow CERT w warunkach zagroenia dla infrastruktury krytycznej.

CERT.GOV.PL

Strona 42 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

7. Podsumowanie roku 7.1. Botnety W ramach podstawowych dziaa w 2012r. zesp CERT.GOV.PL zarejestrowa 3837 incydentw polegajcych na poczeniach z infrastruktury teleinformatycznej instytucji administracji pastwowej do sieci botnet. Naley przypomnie, e sieci botnet klasyfikowane s jako typ oprogramowania zoliwego wytworzonego w celu przejcia zdalnej kontroli nad stanowiskiem

komputerowym i wykorzystywania kontroli nad nim do wykonywania zaoonych przez twrcw celw np. kradziey poufnych informacji, przeprowadzania atakw na inne systemy, propagacji infekcji na inne komputery, rozsyania niechcianej korespondencji (spam), itp. Skala infekcji sieciami botnet jest zrnicowana, jednak przytaczane przez gwnych producentw oprogramowania antywirusowego statystyki pozwalaj stwierdzi, e aktywno ta jest proporcjonalna do skali penetracji sieci Internet w danym kraju. Wrd najbardziej znanych sieci botnet mona wymieni: ZeuS, Citadel, Rustock, Slenfbot, DNSChanger. Poniej przedstawiony zosta wykres obrazujcy rodzaje wykrytego w 2012r.

oprogramowania zoliwego malware w sieciach instytucji administracji pastwowej.

Rysunek 7.1: Ilo wykrytych komputerw zainfekowanych oprogramowaniem typu malware w sieciach instytucji administracji pastwowej w 2012r.

Tego typu incydenty obsugiwane s przez CERT.GOV.PL dziki dostpowi do systemu detekcji sieci botnet, pozwalajcego na informowanie o zainfekowanych hostach z klasy adresw nalecych do instytucji pastwowych. W ramach obsugi incydentw stosowne informacje przekazywane s do administratorw sieci instytucji celem wykrycia rda infekcji. Z uwagi na stosowane zasady i mechanizmy bezpieczestwa w systemach CERT.GOV.PL Strona 43 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku administracji pastwowej skala tego typu zagroe jest stosunkowo niska i nie stanowi dla nich dominujcego zagroenia, cho eskalacja moe nastpi w sytuacji wykorzystania zainfekowanych komputerw m.in. do: Kradziey wraliwych danych uzyskiwania danych z zainfekowanych komputerw, Przeprowadzania dalszych atakw na inne systemy teleinformatyczne, co w przypadku, gdy ataki te zostan przeprowadzone z zaraonych systemw nalecych do instytucji pastwowych, moe narazi zarwno poufno, integralno jak i dostpno przetwarzanych w tych systemach informacji, jak rwnie wpyn negatywnie na obraz poziomu bezpieczestwa pastwa, Wykonywania dziaa majcych na celu bezprawne uzyskiwanie korzyci majtkowych, Rozsyania niechcianej korespondencji, Inwigilacji, Propagacji infekcji na inne komputery.

Z zebranych informacji wynika, e zdecydowana wikszo zidentyfikowanych maszyn bya zainfekowana trojanem Zeus-p2p ok.73% lub Citadel ok. 17%. Pozostae incydenty byy zwizane z innym oprogramowaniem. Poniej przedstawione zostao zestawienie procentowe zidentyfikowanych incydentw.

CERT.GOV.PL

Strona 44 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku

Rysunek 7.2: Zestawienie procentowe wykrytego oprogramowaniem typu malware w sieciach instytucji administracji pastwowej w 2012r.

W celu minimalizacji zagroe typu botnet zesp CERT.GOV.PL zaleca stosowanie tradycyjnych metod ochrony dla stacji klienckich, tzn. biec aktualizacja systemw operacyjnych, silnikw antywirusowych, zachowanie rozwagi przy otwieraniu niechcianej i podejrzanej poczty elektronicznej oraz stosowanie dodatkowych narzdzi wykorzystujcych analiz behawioraln. Jednoczenie zalecane jest stosowanie w sieciach instytucji urzdze typu firewall, IDS/IPS oraz mechanizmw typu blacklisting. Wskazane jest rwnie logowanie zdarze oraz odrzuconych pakietw z zapr sieciowych, co w znaczny sposb uatwia i przypiesza pniejsz analiz majc na celu identyfikacj zainfekowanych hostw. 7.2. Hacktywizm W 2012 roku doszo do atakw zwizanych z ruchami internetowymi okrelanymi potocznie jako haktywizm skierowanych przeciwko witrynom internetowym nalecym do administracji publicznej w Polsce. Rezultatem bya najczciej niedostpno oferowanych usug w sieci Internet. Haktywizm to ruch aktywistw wykorzystujcych komputer z dostpem do sieci jako rodek sucy do wyraenia protestu politycznego lub ideowego. Historia takich dziaa siga roku 1989, kiedy bliej nieokrelona grupa z Melbourne w Australii zainfekowaa maszyny Amerykaskiego Departamentu Energetyki i NASA. Termin haktywizm zosta po raz pierwszy uyty w roku 1996, przez hakera znanego jako Omega.

CERT.GOV.PL

Strona 45 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku Dziaalno aktywistw internetowych obejmuje przede wszystkim podmiany stron internetowych, przekierowania na faszywe witryny, wysyanie niechcianej poczty. Najczstszym jednak dziaaniem haktywistw jest jednak atak typu DDoS (Distribiuted Denial of Service), ktry powoduje przecienie atakowanych serwerw poprzez nieustanne wysyanie pakietw, co w efekcie uniemoliwia dostp do zasobw z zewntrz. Haktywici dziaaj bardzo aktywnie na rnego typu portalach spoecznociowych i forach, gdzie wyraaj swoje opinie i pogldy na temat biecych wydarze na wiecie. Do komunikacji pomidzy sob, mediami i spoeczestwem uywaj wasnych stron internetowych, portali takich jak: Facebook, Twitter , Pastebin, YouTube i kanaw IRC. W Polsce do incydentw ktre zwizane byy bezporednio z akcjami haktywistw i obsugiwane byy przez CERT.GOV.PL naleay: w dniach 21-25 stycznia 2012 mia miejsce szereg atakw na zasoby instytucji administracji rzdowych, zorganizowanych w ramach akcji protestacyjnej przeciw podpisaniu przez Polsk porozumienia ACTA Gwnym typem ataku jaki zaobserwowano by atak odmowy usug DDoS skierowany przeciwko serwerom WWW, na ktrych utrzymywane by strony waniejszych instytucji administracji rzdowej. Na podstawie analizy logw (analiza obejmuje dania HTTP te ktre przeszy przez inne systemy filtrowania i zostay obsuone przez serwer WWW) stwierdzono wykorzystanie wszelkiego rodzaju narzdzi w celu wygenerowania duej iloci ruchu. W pierwszej fazie ataku wykorzystano gownie narzdzie LOIC zarwno w formie oprogramowania funkcjonujcego w ramach przegldarki internetowej lub niezalenego, wydzielonego programu

zainstalowanego na stacji roboczej uytkownika. Oprogramowanie to po raz pierwszy zostao wykorzystane w roku 2010 podczas ataku na instytucje finansowe Paypal, Mastercard i Visa w odwecie za dziaania wymierzone przeciw firmom, ktre nie sprzyjaj Wikileaeks; na przeomie marca oraz kwietnia 2012 roku miay miejsce dziaania grupy aktywistw internetowych prowadzone pod hasem FuckGovFriday". Gwnym powodem powoania do ycia tej inicjatywy by sprzeciw przeciwko projektowi INDECT, czyli Inteligentnemu systemowi informacyjnemu wspierajcemu obserwacj, wyszukiwanie i detekcj dla celw bezpieczestwa obywateli w rodowisku miejskim. W ich wyniku podmienione zostay witryny internetowe

CERT.GOV.PL

Strona 46 z 47

Raport o stanie bezpieczestwa cyberprzestrzeni RP w 2012 roku nalece do administracji pastwowej oraz upublicznione zostay informacje pobrane z baz danych serwerw; na 20-go padziernika grupa haktywistw zapowiadaa przeprowadzenie dziaa pod nazw operacja Truman Show", ktre miay mie na celu walk z wszelkimi ustawami i projektami majcymi wprowadzi cenzur i inwigilacj". Na licie celw znajdoway si projekty: INDECT, Czysty Internet, Europejska Strategia Na Rzecz Lepszego Internetu Dla Dzieci (ESNRLIDD), Chipy RFID, nowelizacja Ustawy o zgromadzeniach, zmiana Ustawy o zapobieganiu epidemiom oraz Ustawy o inspekcji sanitarnej. Planowane dziaania haktywistw nie wywoay negatywnych skutkw dla bezpieczestwa teleinformatycznego i nie zakciy dostpu do informacji publicznej. Incydenty tego typu udowodniy, e kwestia zapewnienia dostpnoci informacji publicznej w sieci Internet staa si jednym z kluczowych elementw bezpieczestwa teleinformatycznego i winna by powodem szczeglnej uwagi ze strony podmiotw administracji publicznej, jak i administratorw witryn internetowych. Cigle rosnca liczba uytkownikw sieci Internet a take wzrost roli jak peni Internet w yciu czowieka pozwala prognozowa dalszy rozwj ruchu jakim jest haktywizm. Zwracanie uwagi aktywistw internetowych na dane kwestie spoeczne, nagonienie nowych inicjatyw moe nastpowa midzy innymi poprzez ataki na portale instytucji pastwowych jak robiono to w 2012 roku.

CERT.GOV.PL

Strona 47 z 47