NASK sprawdza poziom zabezpieczeń stron internetowych. Znamy wyniki

Jak pisaliśmy na łamach CyberDefence24.pl, za pomocą nowego narzędzia Artemis zespoł specjalistów CERT Polska (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego w strukturach NASK) bada czy dana domena posiada podatności, zgłaszając potem ewnetualne błędy do administratora systemu. W ten sposób do końca stycznia br. przeskanowano ponad 2 tys. stron gmin i powiatów.

Narzędzie w sposób zautomatyzowany bada podatności stron internetowych oraz błędów konfiguracyjnych. Po przeskanowaniu zespół CSIRT NASK zgłasza się następnie do podmiotu posiadającego daną domenę i zwraca uwagę na wystąpienie problemu. Naprawa luki bezpieczeństwa zależy jednak do decyzji jednostki, która posiada wadliwą stronę internetową.

W planach było przeskanowanie stron szkół, szpitali, uczelni czy instytutów badawczych (to podmioty, które podlegają pod ten CSIRT - na podstawie ustawy o krajowym systemie cyberbezpieczeństwa).

Wyniki skanowania stron internetowych

Postanowiliśmy zapytać, jakie są efekty dalszych prac systemu Artemis i co wynika z dotychczasowych wyników. Jak udało się nam dowiedzieć, do tej pory przebadano (stan na 28 marca br. – red.) ok. 22 tys. domen instytucji oświatowych oraz ok. 8 tys. subdomen; ok. 4 tys. domen i adresów IP jednostek samorządu terytorialnego oraz ok. 28 tys. subdomen (skanowane były także np. strony spółek odpowiedzialnych za wywóz śmieci, czy archiwalne domeny i systemy obsługujące pocztę, jeśli znajdowały się w subdomenie danej gminy; 707 domen i adresów IP uczelni oraz ok. 18 tys. subdomen - były to np. strony wydziałów, ale też domeny związane z konferencjami czy projektami naukowymi).

Jak poinformował nas NASK, łącznie przeskanowano ok. 28 tys. domen i adresów IP oraz ok. 55 tys. subdomen.

Co istotne, ważnym jest, aby po sprawdzeniu i wykryciu podatności strony, podmioty do których należy domena naprawiły błędy (jest to zalecane postępowanie, ale nie obligatoryjne – red.). Zapytaliśmy więc, czy powtarzano proces skanowania na tych samych stronach i czy podmioty rzeczywiście usunęły podatności.

Jak nas poinformowano, na razie – „ze względu na krótki czas funkcjonowania systemu Artermis – skanowanie nie było jeszcze powtarzane”. Planowane ma być jednak „regularne powtarzanie skanowania stron, aby przypominać o podatnościach, które nadal występują, a także mierzyć odsetek stron, na których poprawiono dany błąd” – zaznaczył NASK.

Najczęstsze błędy

Podczas styczniowej konferencji w siedzibie NASK, na której byliśmy obecni, poinformowano o wykryciu głównie domen z nieprawidłowo skonfigurowanym SSL/TLS; ok. 500 stron wykorzystujących nieaktualizowane oprogramowanie; ponad 30 sytuacji, w których pliki zawierające logi, hasła, kopie zapasowe serwisu czy foldery z danymi poczty były dostępne publicznie, a także niewłaściwie zabezpieczone foldery zawierające kody źródłowe, a czasem nawet hasła dostępowe.

Obecnie wciąż najczęstsze problemy to błędna konfiguracja SSL/TLS, co stwarza ryzyko przechwycenia komunikacji użytkownika ze stroną. „Jeżeli tego typu dane zostaną przechwycone, a przestępca posiada login i hasło, to może zalogować się do serwisu jak uprawniony użytkownik. Często spotykane są także błędnie skonfigurowane mechanizmy weryfikacji nadawcy poczty e-mail - co stwarza ryzyko wysyłania fałszywych e-maili z danej domeny” – usłyszeliśmy.

NASK stwierdził również, że poziom bezpieczeństwa stron skanowanych narzędziem Artemis był „bardzo różny, niezależnie od sektora, w jakich funkcjonowały badane podmioty”.

„Nie zaobserwowaliśmy regularności, które uprawniałyby nas do bardziej ogólnych twierdzeń na temat większego lub mniejszego poziomu bezpieczeństwa wybranego sektora. Stanowi to dla nas potwierdzenie, że funkcjonowanie Artemisa naprawdę ma sens – pozwala wychwycić i ostrzec te podmioty, w przypadku których poziom zabezpieczeń zdecydowanie wymaga poprawy – niezależnie od sektora, w którym funkcjonują” – podsumowano w odpowiedzi dla portalu CyberDefence24.pl.

Jak działa Artemis?

Na podstawie listy domen z ogólnodostępnych baz danych (jak np. dane.gov.pl) następuje wyszukiwanie subdomen, wykrycie uruchomionych usług, uruchomienie modułów testujących bezpieczeństwo serwerów pocztowych, WordPressa, a także znajdujące pliki omyłkowo pozostawione na serwerze. Kolejno następuje wysyłka powiadomień o wykrytej podatności.

Skanowanie odbywa się na podstawie jednego adresu IP, a administrator – kiedy zobaczy podejrzane połączenie – może sprawdzić, że pochodzi ono od CERT Polska. Chodzi o pewność administratora systemu, że nie ma do czynienia ze złośliwym działaniem, a z aktywnoscią ze strony ekspertów NASK.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].