CERT Polska stworzył nowe narzędzie. Artemis sprawdza poziom zabezpieczeń stron internetowych

Zespół CERT Polska działa na podstawie ustawy o krajowym systemie cyberbezpieczeństwa i w ramach swoich obowiązków odpowiada m.in. za monitorowanie zagrożeń w cyberprzestrzeni, przyjmowanie zgłoszeń dotyczących podejrzenia wystąpienia incydentu na poziomie krajowym czy prowadzi analizy złośliwego oprogramowania i podatności.

Regularnie też publikuje ostrzeżenia w zakresie występowania nowych kampanii, ostrzegając np. przed phishingiem czy buduje świadomość cyberbezpieczeństwa wśród społeczeństwa.

Co badano?

Specjaliści CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) stworzyli narzędzie Artemis, którego zadaniem jest zautomatyzowane badanie podatności stron internetowych oraz błędów konfiguracyjnych.

Od stycznia 2023 roku przeskanowano blisko 2 tys. domen gmin i powiatów wraz z subdomenami (na blisko 2,7 tys. gmin w Polsce) i wykryto: głównie domeny z nieprawidłowo skonfigurowanym SSL/TLS; ok. 500 stron wykorzystujących nieaktualizowane oprogramowanie; ponad 30 sytuacji, w których pliki zawierające logi, hasła, kopie zapasowe serwisu czy foldery z danymi poczty były dostępne publicznie, a także niewłaściwie zabezpieczone foldery zawierające kody źródłowe, a czasem nawet hasła dostępowe.

Najbliższe plany obejmują przeskanowanie stron szkół, szpitali, uczelni czy instytutów badawczych (to podmioty, które podlegają pod ten CSIRT - na podstawie ustawy o krajowym systemie cyberbezpieczeństwa – red.). Po przeskanowaniu i wykryciu podatności zespół CSIRT NASK zgłasza się następnie do podmiotu posiadającego daną domenę i zwraca uwagę na wystąpienie problemu. Jednak trzeba podkreslić, że naprawa luki bezpieczeństwa leży w gestii jednostki, do której należy przeskanowana strona internetowa.

Narzędzie Artemis ma być rozwijane m.in. poprzez dodanie możliwości wykrywania innych rodzajów podatności. Badania będą powtarzane regularnie przez CERT Polska, by sprawdzać czy podmioty naprawiły błędy.

Jak działa Artemis?

Na podstawie listy domen z ogólnodostępnych baz danych (jak np. dane.gov.pl) następuje wyszukiwanie subdomen, wykrycie uruchomionych usług, uruchomienie modułów testujących bezpieczeństwo serwerów pocztowych, WordPressa, a także znajdujące pliki omyłkowo pozostawione na serwerze. Kolejno następuje wysyłka powiadomień o wykrytej podatności.

Skanowanie odbywa się na podstawie jednego adresu IP, a administrator – kiedy zobaczy podejrzane połączenie – może sprawdzić, że pochodzi ono od CERT Polska. Chodzi o pewność administratora systemu, że nie ma do czynienia ze złośliwym działaniem, a z aktywnoscią ze strony ekspertów NASK.

Uzyskane ze skanowania wyniki nie są upubliczniane, a jedynie przekazywane bezpośrednio do administratorów strony, którą sprawdzano. To do nich należy ostateczna decyzja czy poprawią poziom swojego cyberbezpieczeństwa.

„Proces skanowania pozwala administratorom zidentyfikować obserwowane działania jako prowadzone przez CERT Polska. To pozwala ograniczyć do minimum ewentualny stres i zagrożenia związane z pochopnym reagowaniem” – stwierdził Krzysztof Zając z CERT Polska, jeden z twórców narzędzia Artemis.

CERT Polska regularnie ostrzega przed aktualnymi zagrożeniami w cyberprzestrzeni, o czym informujemy również na naszych łamach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].