CERT Polska zadba o bezpieczeństwo instytucji publicznych dzięki systemowi Artemis

27 stycznia, 2023

Od 2 stycznia 2023 r. CERT Polska korzysta z nowego narzędzia Artemis do przeprowadzania skanowania witryn należących do podmiotów objętych ustawą o krajowym systemie cyberbezpieczeństwa. Chodzi przede wszystkim o jednostki edukacyjne, szpitale czy jednostki samorządowe. Od strony technicznej nie są wykorzystywane nowatorskie techniki, są to  podstawowe testy, które każdy powinien wykonać samodzielnie.

Wszystkie stosowane kroki opisane zostały na dedykowanej podstronie https://cert.pl/skanowanie/. Artemis wykonuje typowy rekonesans. Najpierw zbiera informacje o istniejących subdomenach wybranej domeny. W kolejnym kroku następuje skanowanie otwartych portów (służy do tego przykładowo Nmap) i identyfikacja działających na nich usług. W praktyce otrzymane wyniki mają znaczenie w kontekście bezpieczeństwa.

				
					Starting Nmap 7.80 ( https://nmap.org ) at 2023-01-26 19:45 CET
Nmap scan report for 10.0.0.10
Host is up (0.00048s latency).
Not shown: 995 closed ports
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 8.9p1 Ubuntu 3 (Ubuntu Linux; protocol 2.0)
80/tcp   open  http       nginx 1.23.3
443/tcp  open  ssl/http   nginx 1.23.3
2222/tcp open  ssh        OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
8080/tcp open  http-proxy

				
			

Załóżmy, że podczas skanowania zostanie wykryty serwer WWW NGINX. Domyślnie w nagłówku Server wysyłana jest jego wersja oraz nazwa systemu, na którym jest uruchomiony. Znając wersję serwera WWW, atakujący może wyszukać dostępne exploity i wykorzystać je do ataku. Dlatego istotne jest „ukrywanie” podobnych szczegółów oraz monitorowanie, jakie usługi z naszej infrastruktury są publicznie dostępne. Świetnie nadaje się do tego wyszukiwarka Shodan.

Narzędzie od CERT weryfikuje jeszcze, czy nasza witryna nie jest podatna. Przykładowo sprawdzane są wersje popularnych systemów zarządzania treścią oraz ewentualna zawartość charakterystycznych ścieżek (np. /backup, /.git). Nigdy nie powinniśmy przechowywać kopii zapasowych (w tym kopii baz danych) w katalogu z witryną. Trzeba też zadbać o to, aby serwer WWW nie listował zawartości katalogów (domyślne zachowanie serwera Apache).

Jak wspomniałem, nie jest to szczególnie zaawansowane skanowanie, chociaż z drugiej strony podobne analizy nie powinny być inwazyjne. Zaletą jest fakt, że narzędzie Artemis powinno pomóc w wykryciu niepoprawnie zabezpieczonych elementów środowisk objętych jego skanowaniem. Warto pamiętać, że nie każdy posiada nawet podstawową wiedzę o tych aspektach IT. Częste podejście to „działa, nie ruszać”, czego skutkiem jest ogromna ilość przestarzałego oprogramowania (dostępnego z zewnątrz), które skutecznie można przełamać.

Picture of Michał Giza

Michał Giza

Autor tekstów na portalu Fundacji AVLab dla Cyberbezpieczeństwa. Administrator systemów Linux i Windows Server. Zajmuje się także bezpieczeństwem sieci.
Picture of Michał Giza

Michał Giza

Autor tekstów na portalu Fundacji AVLab dla Cyberbezpieczeństwa. Administrator systemów Linux i Windows Server. Zajmuje się także bezpieczeństwem sieci.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]