CERT Polska ruszył ze skanowaniem stron instytucji publicznych

Działający w strukturach NASK PIB CERT Polska poinformował, że przygotował i wdrożył nowe narzędzie o nazwie Artemis. Służy ono do zautomatyzowanego badania podatności stron internetowych w insytyucjach, którym pomaga dbać o cyberbezpieczeństwo, tj.w: szkołach, szpitalach, instytutach badawczych, uczelniach, jednostkach samorządu terytorialnego (np. gminach – zarówno ich stron internetowych, jak i stron spółek, które obsługują np. wywóz śmieci czy kanalizację).

Artemis bada strony udostępnione w internecie w poszukiwaniu podatności bezpieczeństwa i błędów konfiguracyjnych. Regularne skanowanie systemów podmiotów, w przypadku których obsługa incydentów koordynowana jest przez CSIRT NASK, pozwala monitorować i podnosić ich poziom bezpieczeństwa. Uzyskane wyniki nie są w żaden sposób upubliczniane, a jedynie niezwłocznie przekazywane administratorom, dzięki czemu zyskują oni cenną wiedzę na temat wykrytych podatności i mogą wykorzystać ją w celu poprawy bezpieczeństwa systemów. Warto też dodać, że w ramach ponownych testów zespół CERT Polska sprawdza, czy zostały wdrożone niezbędne poprawki.

– Istotną cechą przygotowanego przez nas narzędzia jest to, że proces skanowania pozwala administratorom zidentyfikować obserwowane działania jako prowadzone przez CERT Polska. Pozwala to ograniczyć do minimum ewentualny stres i zagrożenia związane z pochopnym reagowaniem – zauważa Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis.

Rezultaty licznych skanowań, poza podnoszeniem poziomu bezpieczeństwa danego podmiotu, pozwalają też budować szerszy obraz cyberbezpieczeństwa Polski i kierować zasoby CERT Polska tam, gdzie są one najbardziej potrzebne, np. poprzez tworzenie poradników, czy prowadzenie akcji informacyjnych i edukacyjnych. 

Skanowanie trwa od 2 stycznia i przyniosło już pierwsze rezultaty. Przeskanowanych zostało blisko 2000 domen gmin i powiatów wraz z subdomenami i do tej pory udało się wykryć kilkaset stron bazujących na nieaktualizowanym oprogramowaniu. Eksperci CERT Polska mieli też do czynienia z dziesiątkami sytuacji, w których pliki konfiguracyjne z hasłami, pliki z kopią zapasową serwisu czy foldery z danymi systemu poczty (adresami e-mail, treściami wiadomości czy załącznikami) były dostępne publicznie. Udało się również znaleźć kilkadziesiąt niewłaściwe zabezpieczonych folderów zawierających kod źródłowy systemu, a czasem nawet hasła dostępowe.

Do prowadzonych skanowań wykorzystywany jest jeden adres IP, zaś system skanujący skonfigurowano w taki sposób, by administrator, zobaczywszy „podejrzane” połączenie, był w stanie sprawdzić, że pochodzi ono od CERT Polska. Powiadomienia o zgłoszonych podatnościach są zaś wysyłane z adresu cert@cert.pl. Wszystko to po to, by uniknąć wątpliwości dotyczących tego, skąd pochodzi dana aktywność i czy nie ma wrogiego charakteru..