Działający od 1996 roku w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej) – instytutu badawczego prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne, zespół CERT Polska – pierwszy powstały w Polsce zespół reagowania na incydenty (z ang. Computer Emergency Response Team), opublikował raport z bezpieczeństwa polskiego internetu za rok 2016.

Główne wnioski z raportu

1. W roku 2016 CERT Polska obsłużył 1926 incydentów, o 32 proc. więcej niż w 2015. Jest to przede wszystkim skutek zwiększającej się świadomości istnienia zespołów CERT (w tym CERT Polska) i ich roli w reagowaniu na incydenty i zagrożenia, a także bezpośredniej współpracy CERT Polska z coraz większą liczbą podmiotów i organizacji.

2. Słabe zabezpieczenia Internetu Rzeczy (Internet of Things) powoduje, że w stosunkowo łatwy sposób są one wykorzystywane do ataków sieciowych.

3. Botnety Mirai, używające głównie kamer internetowych oraz nagrywarek wideo, dokonywały rekordowych ataków DDoS na największych dostawców usług internetowych na świecie, powodując problemy z dostępem do najpopularniejszych stron i serwisów. W Polsce obserwowaliśmy nawet do 14 000 urządzeń dziennie należą- cych do botnetu Mirai.

4. Wzrasta trend wykorzystywania przez przestępców routerów domowych. Przykładem takich działań jest wysyłanie spamu oraz użycie domowych routerów jako serwerów proxy.

5. Najczęstszym typem incydentu obsługiwanym w CERT Polska był phishing, stanowiący ponad połowę wszystkich przypadków. W stosunku do poprzednich lat w zauważalny sposób wzrosła liczba stron phishingowych oraz phishingu rozsyłanego poprzez e-maile. Wzrosła również dystrybucja złośliwego oprogramowania - zarówno dobrze już znanego, jak i nowych wariantów. Przestępcy posługują się szerokim wachlarzem rozwiązań szczególnie w przypadku kradzieżyoszczędności z wykorzystaniem urzą- dzeń mobilnych.

6. Średnia dzienna liczba obserwowanych przez CERT Polska zainfekowanych komputerów w polskich sieciach to około 20 000. W porównaniu z 2015 rokiem jest to dwa razy mniej. Wartości te są zaniżone. Z uwagi na ograniczenia źródeł, którymi dysponujemy.

7. Dominujące botnety w polskich sieciach to: Mirai, Conficker, ISFB oraz Nymaim.

8. Dosyć dużym zagrożeniem jest w Polsce ransomware. Głównymi drogami infekcji są wiadomości e-mail z załącznikami oraz exploit kity.

9. Exploit kity są wciąż jedną z najskuteczniejszych metod infekcji złośliwym oprogramowaniem, szeroko wykorzystywaną także w Polsce. W 2016 roku CERT Polska rozpoczął nowy cykl badań nad tym zagrożeniem.

10. Ataki DDoS mierzone w setkach Gbps stają się codziennością i bardzo realnym ryzykiem dla biznesu.

11. Wiele serwisów zależy od kilku kluczowych dostawców, co sprawia, że ataki na tak wrażliwe cele mają olbrzymią skalę oddziaływania. Przykładem jest atak na Dyn z października 2016.

12. W 2016 roku opublikowano informacje o wielu podatnościach. Według CERT Polska najważniejsze dotyczyły Cisco ASA, MySQL, jądra GNU/Linux, Tor Browser oraz oprogramowania antywirusowego.

13. Skoordynowane akcje organów ścigania wielu krajów oraz podmiotów prywatnych przynoszą coraz częściej wymierne pozytywne skutki. Przykładem jest doprowadzenie do zamknięcia botnetu Avalanche, a także coraz częstsze zatrzymania cyberprzestępców - także w Polsce.

14. Wraz ze wzrostem wartości kryptowalut rośnie liczba i skala ataków na serwisy zajmujące się ich przechowywaniem i wymianą, a także motywacja przestępców do takich działań. Wartość środków skradzionych w ten sposób w 2016 roku jest liczona w dziesiątkach milionów dolarów.

15. Wciąż nierozwiązanym problemem – istotnym zwłaszcza w kontekście ataków o wielkiej skali, takich jak kradzież pieniędzy z systemu SWIFT czy domniemana ingerencja w wybory prezydenckie w USA pozostaje kwestia atrybucji. 

AUTOR:

Adrian Ścibor

Podziel się