• Serwis utrzymywany przez


    • FAQ

    NAJCZĘŚCIEJ ZADAWANE PYTANIA DO CERT Polska


    INFORMACJE PODSTAWOWE
    Co to jest CERT Polska?
    Kto finansuje działalność CERT Polska?
    Czy CERT Polska pobiera opłaty za swoje usługi?
    Jaki jest związek CERT Polska z CERT Coordination Center (USA)?
    Jakie warunki trzeba spełnić żeby pracować w CERT Polska?
    Czy możliwe jest uzyskanie informacji od CERT Polska na dany temat z dziedziny bezpieczeństwa sieciowego, np: podpis elektroniczny, szyfrowanie itp ?
    Chciałbym umieszczać wiadomości z serwisu CERT Polska na mojej stronie. Czy to możliwe?

    ZGŁOSZENIA, OBSŁUGA
    Po co zgłaszać incydenty?
    Jak można zgłosić incydent do CERT Polska?
    W jaki sposób zgłaszać spam?
    Jak zapewnić poufność przesyłanych informacji?
    W jaki sposób CERT Polska wykorzystuje przekazane informacje?
    Jakie incydenty zgłaszać do CERT Polska?
    Czy do CERT Polska można zgłaszać ataki z zagranicy?
    Włamano mi się do komputera, co mam robić, czy powiadomić Policję, czy to coś da?
    Czy CERT Polska może ustalić sprawcę włamania?
    Czy będę informowany o przebiegu i zakończeniu zgłoszonej sprawy?
    W jaki sposób są wykorzystywane dane z ankiety CERT Polska?
    Czy do CERT Polska można zgłaszać sprawy związane z IRC?
    Czy do CERT Polska mozna zgłaszać odkryte luki w systemach komputerowych i aplikacjach? Co CERT Polska robi z takimi informacjami?

    ZABEZPIECZENIA
    Czy CERT Polska pomaga w zabezpieczeniu systemu informatycznego?
    Jak najlepiej zabezpieczyć mój komputer?
    Jaki powinienem zainstalować system antywirusowy, firewall, system wykrywania intruzów, i.t.p?
    Co to są łaty i poprawki bezpieczeństwa, gdzie je znaleźć?
    Co to jest skanowanie i próbkowanie portów i dlaczego jest niebezpieczne?

    PROBLEMY, CZĘSTE SYTUACJE
    Moj firewall lub Intrusion Detection System (IDS) wyświetlił alarm. Czy znaczy to, że ktoś próbuje się do mnie włamać?
    Jak ustalić właściciela adresu IP?
    Jak ustalić właściciela adresu e-mail?
    Gdzie znaleźć nagłówki e-mail w programach pocztowych?
    Podmieniono moją stronę WWW na serwerze kont darmowych, co mam zrobić, aby odzyskać stronę?
    Ktos z klientów TP próbuje się do mnie włamać, co powinienem zrobić i komu zgłosić ten przypadek?
    Ktoś uparcie wysyła mi wirusy. Na moje pytanie dlaczego, odpowiada że to nie on. Co zrobić?
    Otrzymuję informacje od systemów antywirusowych, że rozsyłam wirusa. Mój program antywirusowy niczego nie wykrywa.

    IP DIGGER
    Co to jest IP Digger?
    Czy odpowiedzi IP Diggera są zawsze bezbłędne?
    Co oznacza adres abuse: res-ip@iana.org
    Dlaczego otrzymałem komunikat: “Niestety, przekroczyłeś limit odwołań w ciągu doby”?




    CERT to akronim od angielskiej nazwy Computer Emergency Response Team, co w wolnym tłumaczeniu znaczy – Zespół d/s reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego.
    CERT Polska został powołany do życia w 1996 roku przy Naukowej i Akademickiej Sieci Komputerowej. Do końca roku 2000 działał pod nazwą CERT NASK. Zespół CERT Polska działa w strukturach organizacyjnych Naukowej i Akademickiej Sieci Komputerowej. Działalność zespołu jest finansowana przez NASK.
    Więcej informacji o zespole można znaleźć w materiale opartym o RFC 2350 dostępnym pod adresem: http://www.cert.pl/txt/rfc2350.txt
    ^ Powrót


    Kto finansuje działalność CERT Polska?

    Zespół CERT Polska działa w strukturach organizacyjnych Naukowej i Akademickiej Sieci Komputerowej. Działalność zespołu jest finansowana przez NASK.
    ^ Powrót


    Czy CERT Polska pobiera opłaty za swoje usługi?

    Nie. Ma to oczywiście również swoje złe strony – nie jesteśmy zawsze w stanie pomóc każdemu w takim stopniu jakby sobie tego życzył. Jednak podstawowej pomocy i porady może oczekiwać każdy.
    ^ Powrót


    Jaki jest związek CERT Polska z CERT Coordination Center (USA)?

    CERT Polska nie jest filią CERT Coordination Center. Jedynym związkiem pomiędzy obydwoma zespołami jest działanie w ramach tej samej międzynarodowej organizacji, jaką jest FIRST (Forum of Incidents and Security Teams (http://www.first.org/).
    ^ Powrót


    Jakie warunki trzeba spełnić żeby pracować w CERT Polska?

    Podobnie jak w większości innych miejsc warunki te nie są jednoznacznie określone. Za każdym razem dobieramy osoby, których kwalifikacje zawodowe i osobowe dostosowane są do istniejących potrzeb. Nie odpowiadamy indywidualnie na pytania w tej sprawie. Wszelkie informacje o wolnych stanowiskach pracy w CERT Polska znajdują się na stronie NASK dotyczącej rekrutacji.
    ^ Powrót


    Czy możliwe jest uzyskanie informacji od CERT Polska na dany temat z dziedziny bezpieczeństwa sieciowego, np: podpis elektroniczny, szyfrowanie itp ?

    Wszelkie informacje jakie posiadamy na dany temat z dziedziny bezpieczeństwa staramy się zamieszczać na naszej stronie internetowej. Jeśli znajdujące się tam informacje są niewystarczające to zachęcamy do korzystania z innych źródeł, chociażby wyszukiwarek internetowych. W przypadku zdecydowanej większości tematów ten sposób okazuje się najlepszy.
    ^ Powrót


    Chciałbym umieszczać wiadomości z serwisu CERT Polska na mojej stronie. Czy to możliwe?

    Nasze wiadomości mozna zamieszczać we własnym serwisie pod warunkiem podania źródła. Mile widziany jest link do oryginalnej wiadomości lub do serwisu www.cert.pl. Jeśli w Państwa serwisie praktykujecie dołączanie sygnatur graficznych źródła wiadomości, miło nam będzie jeśli zostanie tam umieszczone logo CERT Polska, które możemy dostarczyć w odpowiednim formacie.
    Istnieje także możliwość publikacji wiadomości z wykorzystaniem mechanizmu RSS – feed znajduje się pod adresem http://www.cert.pl/feed
    ^ Powrót


    Po co zgłaszać incydenty?

    CERT Polska, dzięki kontaktom zarówno w Polsce jak i zagranicą, potrafi zazwyczaj skutecznie dotrzeć do źródła ataku. Często źródłem tym okazuje się być nie sam atakujący, lecz nieświadoma ofiara, której komputera użyto jako stacji przesiadkowej. W ten sposób, likwidując jedno ognisko i zabezpieczając je przed przyszłymi atakami, można jednocześnie przerwać działalność atakującego. Stąd konsekwentny apel o zgłaszanie pozornie błahych incydentów typu uporczywe skanowanie. Dane z incydentów służą nam także do zbierania statystyk dotyczących charakteru ataków, pomagają przy analizie trendów itp.
    ^ Powrót


    Jak można zgłosić incydent do CERT Polska?

    Najwygodniejszą formą zgłaszania incydentów do CERT Polska jest poczta elektroniczna. Zgłoszenia incydentów należy przesyłać na adres cert@cert.pl. Wraz ze zgłoszeniem incydentu warto wypełnić ankietę, znajdującą się na stroniehttp://www.cert.pl/txt/ankieta.html.
    Należy pamiętać o dołączeniu do listu danych, wskazujących jednoznacznie na fakt zaistnienia ataku. W przypadku logów powinny one zawierać:

    • adres IP
    • numery portów
    • dokładny czas próby połączenia (z uwzględnieniem strefy czasowej)

    Wszelkie incydenty związane z wykorzystaniem poczty elektronicznej (w tym spam oraz wirusy mailowe) wymagają załączenia pełnych nagłówków listu - p. niżej
    Jeżeli mają Państwo trudności z zebraniem materiału, prosimy o zaznaczenie tego faktu w zgłoszeniu. Przesyłając informacje poufne, należy wiadomość zaszyfrować. Zalecamy stosowanie szyfrowania PGP. Nasz klucz publiczny dostępny jest pod adresem http://www.trusted-introducer.nl/teams/0×553FEB09.asc. W przypadku braku dostępu do poczty elektronicznej można korzystać z naszego telefonu (22) 38 08 274 lub faksu (22) 38 08 399.
    ^ Powrót


    W jaki sposób zgłaszać spam?

    Aby ułatwić, a nierzadko w ogóle umożliwić nam obróbkę incydentów związanych ze spamem, prosimy zastosować się do poniższych reguł:

    • wiadomość powinna zostać do nas przesłana jako załącznik na adres spam@cert.pl – zob. niżej
    • wiadomość powinna być nie starsza niż 48 godzin (nie dotyczy wiadomości wysyłanych lub “relayowanych” w Polsce)

    Aby przesłać wiadomość jako załącznik z programu Outlook Express należy kliknąć jej tytuł na liście prawym klawiszem i z menu podręcznego wybrać “Prześlij dalej jako załącznik”.
    Zgłoszenia spamu wysyłane na adresy inne niż spam@cert.pl nie będą obsługiwane.
    Przypadki niezamówionych ofert handlowych, wysyłanych przez polskie firmy, należy zgłaszać na policji lub w prokuraturze wraz z wnioskiem o ukaranie sprawcy wykroczenia z art.24 ustawy o świadczeniu usług drogą elektroniczną. Zgodnie z tym artykułem, wniosek taki może złożyć jedynie sam poszkodowany. Wszelkie zgłoszenia tego typu spamu do CERT Polska rejestrowane są jedynie do celów statystycznych.
    ^ Powrót


    Jak zapewnić poufność przesyłanych informacji?

    Zalecanym przez nas sposobem jest skorzystanie z szyfrowania PGP. Oprogramowanie wspomagające szyfrowanie PGP dostępne jest za darmo dla celów niekomercyjnych, na praktycznie wszystkie platformy sprzętowe. Oprogramowanie dla MS Windows i MacOS dostępne jest pod adresem: http://www.pgp.com/products/freeware/default.asp.
    Do wysłania zaszyfrowanej wiadomości potrzebny będzie klucz publiczny CERT Polska, który dostępny jest pod adresem http://www.trusted-introducer.nl/teams/0×553FEB09.asc oraz na publicznych serwerach kluczy PGP.
    Jako absolutne minimum zalecamy przesyłanie danych poufnych w archiwum *.zip zabezpieczonym hasłem, którego nie należy podawać w tym samym liście, a najlepiej w ogóle inną drogą (np. telefoniczną).
    ^ Powrót


    W jaki sposób CERT Polska wykorzystuje przekazane informacje?

    Wszystkie informacje, które są powiązane ze zgłoszonymi incydentami, przekazane do naszego zespołu są odpowiednio zabezpieczone zarówno fizycznie jak i technicznie. Bez zgody właściciela nie są one nikomu przekazywane. Przy wyjaśnianiu incydentu przekazywane są tylko te dane, których przekazanie jest konieczne.
    Dodatkowo w oparciu o zgłoszenia przygotowywane są ogólnie dostępne raporty statystyczne. Raporty te nie zawierają szczegółów dotyczących incydentów, które pozwoliłyby na ustalenie poszkodowanego.
    ^ Powrót


    Jakie incydenty zgłaszać do CERT Polska?

    CERT Polska zajmuje się incydentami mającymi swoje źródło, bądź których celem są hosty w domenie .pl albo podłączone do NASK lub innego polskiego dostawcy Internetu. Każdy udokumentowany przypadek nadużycia Internetu jest przez nas traktowany z należytą powagą. W szczególności zajmujemy się przypadkami:

    • skanowania
    • spamu przesyłanego za pośrednictwem polskich serwerów
    • ataków typu DoS (Denial of Servicei DDoS (Distributed Denial of Service)
    • włamań i prób włamania

    ^ Powrót


    Czy do CERT Polska można zgłaszać ataki z zagranicy?

    Tak. CERT Polska ściśle współpracuje z podobnymi zespołami w innych krajach. Wieloletnia praktyka wskazuje, że rozwiązywanie problemów w oparciu o te kontakty jest najbardziej skuteczne.
    ^ Powrót


    Włamano mi się do komputera, co mam robić, czy powiadomić Policję, czy to coś da?

    Praktycznie wszystkie przypadki naruszające bezpieczeństwo w sieci internet wyczerpują znamiona przestępstw określonych w obowiązującym prawie RP. W szczególności mają tu zastosowanie artykuły 267-269 oraz artykuł 287 Kodeksu Karnego. Zwracamy jednak uwagę, że zazwyczaj przestępstwa te nie są ścigane z oskarżenia publicznego, lecz na wniosek pokrzywdzonego.

    Dlatego też namawiamy do zgłaszania tego typu przypadków do organów ścigania. W tym celu należy we właściwej Komendzie Rejonowej Policji lub Prokuraturze Rejonowej złożyć “Wniosek o wszczęcie postępowania przygotowawczego przez organy ścigania”, zawierający między innymi rodzaj i wysokość poniesionej szkody oraz dowody przestępstwa.

    Jeżeli oprócz zgłaszania sprawy na policji, korzystają Państwo także z pomocy CERT Polska, prosimy o zaznaczenie tego faktu przy składaniu wniosku, podając także kontakt do naszego zespołu. Służymy policji fachową pomocą przy analizie materiału oraz ustaleniu sprawcy.
    ^ Powrót


    Czy CERT Polska może ustalić sprawcę włamania?

    Jeżeli powiadomienie o incydencie otrzymamy w miarę szybko to istnieje duża szansa na ustalenie sprawcy. Przeważnie są to nieświadomi nowicjusze. Bardzo często źródłem ataku są systemy, do których ktoś się włamał i wykorzystuje je do następnych włamań.
    W przeważającej większości przypadków udaje się ustalić, kto i kiedy naruszył bezpieczeństwo lub był sprawcą incydentu. Dość istotny jest tu szybki czas reakcji, ponieważ domyślne konfiguracje niektórych systemów (np.: Linuxutrzymują logi przez 30 dni.
    ^ Powrót


    Czy będę informowany o przebiegu i zakończeniu zgłoszonej sprawy?

    Z zasady CERT Polska nie informuje na bieżąco o postępie i wynikach sprawy. Zwracamy się do osoby zgłaszającej incydent, jeżeli potrzebujemy dalszych informacji związanych z incydentem.
    Jeżeli sprawa zostaje przez nas przekazana do innego zespołu w kraju lub zagranicą, zakładamy że z naszej strony jest ona rozwiązana, o ile nie obserwujemy zdarzeń świadczących, że jest inaczej. W związku z powyższym należy zauważyć, że brak reakcji na zgłoszony incydent nie świadczy o tym, że nie zajmujemy się nim. Zwykle jest to dobry znak, mówiący o tym, że materiał, który otrzymaliśmy uważamy za wystarczający. Jednakże, jeżeli atak nie ustaje przez dłuższy czas, prosimy o ponowny kontakt.
    ^ Powrót


    W jaki sposób są wykorzystywane dane z ankiety CERT Polska?

    Dane te są wykorzystywane tylko w sposób zbiorczy. Nie są publikowane informacje, które mogłyby wskazywać lub pomóc ustalić poszkodowanego. Z danych tych korzystamy w różnych publikacjach i raportach pokazujących poziom bezpieczeństwa w polskich firmach, instytucjach i organizacjach.
    ^ Powrót


    Czy do CERT Polska można zgłaszać sprawy związane z IRC?

    Zależy od tego jaka jest to sprawa. Zajmujemy się przypadkami wykorzystania sieci IRC do ataków DoS na infrastrukture sieciową (zazwyczaj za pomocą botnetów) oraz przypadkami w których jasne jest, że do działalności IRCowej wykorzystywane są shackowane komputery lub konta. Zdecydowanie jednak nie zajmujemy się sprawami zwiazanymi z funkcjonowaniem samych serwerów i ich konfiguracji oraz sprawami poszczególnych kanałów IRC. Tak więc skargi dotyczące zablokowania dostępu do serwera bądź kanału należy zgłaszać odpowiednio do operatorów serwerów i kanałów, a nie do nas.
    ^ Powrót


    Czy do CERT Polska mozna zgłaszać odkryte luki w systemach komputerowych i aplikacjach? Co CERT Polska robi z takimi informacjami?

    Tak. Można do nas zgłaszać informacje na temat luk w systemach komputerowych i sieciowych oraz aplikacjach, wynikające z ich złego zaprojektowania, konfiguracji lub administracji. Informacja taka będzie wykorzystana do oceny zagrożenia oraz do przystąpienia do rozwiązania zaistniałego problemu w oparciu o współpracę pomiędzy zgłaszającym a właścicielem bądź producentem systemu, którego luka dotyczy.
    W przypadku, gdy analiza zagrożenia wskaże na duże ryzyko naruszenia bezpieczeństwa użytkowników, podjęte zostaną przez CERT Polska kroki zmierzające do jak najszybszej eleminacji ryzyka. W trakcie obsługi takiego zgłoszenia informacja na temat osoby, która ja wykryła przekazywana będzie tylko i wyłącznie za zgodą tej osoby.
    ^ Powrót


    Czy CERT Polska pomaga w zabezpieczeniu systemu informatycznego?

    Nasza pomoc polega na przekazaniu podstawowych porad, odesłaniu do odpowiednich materiałów znajdujących się w Internecie. Nie udzielamy pomocy polegającej na zabezpieczeniu komputerów i całych sieci u klienta, czy wykonaniu projektów takich zabezpieczeń.
    ^ Powrót


    Jak najlepiej zabezpieczyć mój komputer?

    Sposoby zabezpieczenia komputera zależą od zainstalowanego systemu, używanego oprogramowania, konieczności dostępności niektórych usług. Nie ma jednej, uniwersalnej metody, pozwalającej całkowicie zabezpieczyć komputer. Istnieje jednak pewien zestaw dobrych praktyk, o których nie należy zapominać jeżeli zależy nam na bezpieczeństwie.
    To przede wszystkim:

    • ilość udostępnianych usług ograniczona do minimum
    • bieżące aktualizowane systemu i oprogramowania (łaty systemowe)
    • oraz ochrona antywirusowa

    ^ Powrót


    Jaki powinienem zainstalować system antywirusowy, firewall, system wykrywania intruzów, i.t.p?

    CERT Polska nie udziela tego typu odpowiedzi. Nigdy nie wskazujemy jednoznacznie na żadne z rozwiązań. W szczególności dotyczy to produktów komercyjnych. Wybór odpowiedniego zabezpieczenia jest uzależniony od wielu czynników i należy on do właściciela systemu. W naszych publikacjach staramy się wskazywać na oprogramowanie warte zainteresowania.
    ^ Powrót


    Co to są łaty i poprawki bezpieczeństwa, gdzie je znaleźć?

    Praktycznie wszystkie programy i systemy operacyjne mają niestety błędy. Mimo tego ich działanie jest możliwe, ale przez to możliwe jest także np. włamanie się do naszego komputera.
    Łaty (ang. Patches) to programy, które modyfikują błędy w innych programach, natomiast poprawki bezpieczeństwa to pakiety programów poprawiające błędy w poszczególnych składnikach oprogramowania. Znaleźć je można na stronach twórców danego oprogramowania, np. łaty i poprawki bezpieczeństwa do programów Microsoft znajdziemy na stronach firmy tej firmy (http://www.microsoft.com/security/).
    ^ Powrót


    Co to jest skanowanie i próbkowanie portów i dlaczego jest niebezpieczne?

    Ze skanowaniem mamy do czynienia, jeżeli intruz (a właściwie używany przez niego program) próbuje połączyć się albo na różne porty w naszym komputerze albo z tym samym rodzajem portu w całej klasie adresowej.
    Próbkowanie natomiast to próby połączeń na ten sam port w naszym komputerze bądź usilne próby połączeń na te same porty w klasie adresowej.
    Zasadniczą różnicą jest ilość połączeń zazwyczaj skanowanie to jednokrotna próba połączenia. Ale tutaj uwaga – Internet był projektowany z myślą o otwartości tzn. serwery celowo miały udostępnione serwisy żeby można się było do nich podłączać. Zaczęli to wykorzystywać hakerzy. Wtedy administratorzy zaczęli serwisy zamykać. Nadal jednak wiele osób korzysta z udostępnianych zasobów na innych serwerach np. korzystając z usługi telnet.
    Tak więc trzeba uważnie przyglądać się zapisom w logach systemowych. Nie każda próba połączenia się z naszym komputerem może oznaczać próbę włamania. Np. jednokrotna próba połączenia z portem ftp może oznaczać, że ktoś chciał się podłączyć do naszego serwera ftp, a nawet nie wiedział czy mamy taki serwer uruchomiony. Wielokrotne próby takich połączeń powinniśmy traktować poważnie – mogą to być próby włamań.
    ^ Powrót


    Mój firewall lub Intrusion Detection System (IDS) wyświetlił alarm. Czy znaczy to, że ktoś próbuje się do mnie włamać?

    Nie zawsze. Większość alarmów powodowana jest przez aktywność robaków internetowych, które losowo poszukują ofiar. Jeżeli firewall informuje, że zablokował ten ruch, znaczy to, że po prostu robi, co do niego należy. Dotyczy to zwłaszcza ruchu na porty 135, 139 i 445 tcp. Jeżeli nie jesteś pewien, czy ruch który obserwujesz jest typowy, odwiedź stronę arakis.cert.pl i zobacz czy numery portów, o których informuje firewall pojawiają się w zestawieniu najbardziej aktywnych.
    Zdarza się także, że próby połączeń na nietypowe porty są związane z korzystaniem z oprogramowania peer-to-peer przez nas lub kogoś, kto przed nami używał tego samego adresu IP (jeśli nie mamy adresu przydzielonego na stałe). Po naszym (lub czyimś) zamknięciu aplikacji, programy u innych użytkowników nadal przez pewien czas próbują się skontaktować z naszym adresem IP. Takie połączenia nie są oczywiście atakami.
    Tak więc każde połączenie lub jego próbę i każdy alarm naszego firewall’a należy traktować indywidualnie.
    Dobry dokument o interpretacji informacji z firewalla: http://www.robertgraham.com/pubs/firewall-seen.html
    ^ Powrót


    Jak ustalić właściciela adresu IP?

    Dane właściciela jakiegoś adresu IP możnaj ustalić na jednej z wielu stron w Internecie, np. http://www.samspade.org/lub http://www.geektools.com/cgi-bin/proxy.cgi. Jest tam kilka narzędzi bardzo pomocnych przy ustalaniu danych kontaktowych właścicieli hostów. Przy analizie otrzymanego komunikatu należy przede wszystkim szukać informacji na temat miejsca, w które należy kierować skargi na nadużycia (abuse). Większość adresów e-mail, podawanych z serwerów WHOIS służy zupełnie innym celom. Zamiast samodzielnie analizować odpowiedzi z serwerów WHOIS, można skorzystać z nakładki IP Digger, która dostępna jest w naszym serwisie.
    W razie wątpliwości, zachęcamy do zgłoszenia incydentu do zespołu CERT Polska, który zajmie się ustaleniem źródła oraz będzie koordynował rozwiązanie incydentu. W szczególności warto kontaktować się z nami w przypadku wszystkich adresów zagranicznych. My skontaktujemy się z odpowiednim zespołem CERT i przekażemy sprawę. Bezpośrednie kontakty np. z zagranicznymi dostawcami Internetu przeważnie nie odnoszą żadnego skutku.
    Stanowczo odradzamy próby samodzielnej “zemsty” na atakującym, którego IP udało się ustalić. Działania takie mogą być nielegalne.
    ^ Powrót


    Jak ustalić właściciela adresu e-mail?

    Istotnym jest fakt, że adres nadawcy, który znajdujemy w polu From: często ma niewiele wspólnego z rzeczywistym nadawcą listu. Zdobycie (w miarę) pewnych informacji o źródle wiadomości wymaga precyzyjnej analizy nagłówka listu. Dlatego też przy zgłaszaniu nadużyć związanych z pocztą elektroniczną prosimy o załączenie całego listu wraz z nagłówkami (patrz pytanie “Gdzie znaleźć nagłówki e-mail w programach pocztowych?”)
    Nie da się w prosty sposób ustalić rzeczywistego właściciela jakiegoś konta e-mail. Część adresów (w szczególności adresy firmowe) przypisana jest konkretnym, rzeczywistym osobom, których personalia dają się ustalić.
    Zazwyczaj jednak w przypadku nadużyć mamy do czynienia z adresami z bezpłatnych serwerów pocztowych, w przypadku których dane osobowe nie są wymagane ani weryfikowane w żaden sposób.
    W każdym przypadku dane te znane są zazwyczaj wyłącznie właścicielowi adresu oraz administratorowi serwera, na którym założone jest konto pocztowe. Dane osobowe trzymane są w tajemnicy i mogą być udostępniane jedynie na żądanie uprawnionych organów. Dane takie nie są nam udostępniane, prosimy więc nie kierować do nas próśb o ustalenie danych na podstawie adresu e-mail.
    Jeżeli trudno jest Państwu ustalić gdzie i do kogo skierować skargę bardzo prosimy o przesłanie takiego maila do nas wraz z pełnym nagłówkiem internetowym.
    ^ Powrót


    Gdzie znaleźć nagłówki e-mail w programach pocztowych?

    Nagłówek wiadomości e-mail to taka część mail’a, w której zapisane są dokładne dane systemów pocztowych, które przekazywały daną wiadomość. Często okazuje się, że prawdziwym nadawcą nie był ten, którego adres widnieje w poluFrom:. Tak jest np. w przypadku wiadomości rozsyłanych przez znany wirus Klez.
    Poniżej podajemy sposób wyświetlenia nagłówków w najpopularniejszych klientach pocztowych firmy Microsoft:
    MS Outlook Express: W oknie wiadomości naciśnij Ctrl+F3. Nagłówek pocztowy wyświetlony jest pogrubioną czcionką.
    MS Outlook: W oknie wiadomości wybierz opcję menu Widok|Opcje. Nagłówek znajduje się w polu “Nagłówki internetowe”.
    Szczegółowe instrukcje dla wielu klientów pocztowych znaleźć można na stronach SpamCop.
    ^ Powrót


    Podmieniono moja stronę WWW na serwerze kont darmowych, co mam zrobić, aby odzyskać stronę?

    Nie jest to prosta sprawa. Przy zakładaniu konta i strony podawaliśmy podstawowe dane osobowe. Jeżeli te dane były prawdziwe, to nie powinno być kłopotów z uzyskaniem nowego hasła do konta. Natomiast, jeżeli nie podaliśmy prawdziwych danych to mamy kłopot, a odzyskanie konta będzie właściwie niemożliwe. Jeżeli używamy serwera kont darmowych do prowadzenia strony firmowej to musimy niestety liczyć się z możliwością przejęcia naszego konta i trudnościami związanymi z jego odzyskaniem. W tym przypadku lepszym rozwiązaniem jest wykupienie kont komercyjnych u jednego z dostawców Internetu.
    ^ Powrót


    Ktoś z klientów TP próbuje się do mnie włamać. Co powinienem zrobić i komu zgłosić ten przypadek?

    Przypadki incydentów z udziałem komputerów podłączonych do Telekomunikacji Polskiej należy zgłaszać do zespołu Abuse tej firmy – najlepiej przesyłając kopię tego zgłoszenia również do nas. CERT Polska współpracuje z tym zespołem dość ściśle i jeżeli macie Państwo jakiekolwiek problemy bądź to z samym zgłoszeniem problemu bądź ze skontaktowaniem się z zespołem Abuse Telekomunikacji Polskiej to bardzo prosimy o kontakt z nami.
    Adres zespołu Abuse TP : abuse@telekomunikacja.pl.
    ^ Powrót


    Ktoś uparcie wysyła mi wirusy. Na moje pytanie dlaczego, odpowiada że to nie on. Co zrobić?

    Prawdopodobnie ten ktoś mówi/pisze prawdę. Wiele wirusów po zainfekowaniu czyjegoś systemu (wcale niekoniecznie tego, od którego otrzymujemy mail’e) rozsyła swoją kopię na wszystkie adresy e-mail znalezione w systemie pocztowym – zarówno ze skrzynki odbiorczej jak i nadawczej. Przy tym w pole From: wpisuje adresy fikcyjne. Dlatego w takich przypadkach ważne jest, aby przesłać do nas cały otrzymany mail wraz ze wszystkimi nagłówkami internetowymi.
    ^ Powrót


    Otrzymuję informacje od systemów antywirusowych, że rozsyłam wirusa. Mój program antywirusowy niczego nie wykrywa.

    Większość aktywnych obecnie wirusów i robaków podmienia adres nadawcy (umieszczony w polu From:) na fikcyjny. Z tego powodu CERT Polska zaleca wyłączenie na serwerach antywirusowych wysyłania zawiadomienia o odrzuceniu zawirusowanej przesyłki do nadawcy. Informację o nieprawidłowej i powodującej niepotrzebne zamieszanie konfiguracji serwera antywirusowego można wysłać administratorowi odpowiadając na powiadomienie z jego serwera lub pisząc na adres postmaster w danej domenie.
    ^ Powrót


    Co to jest IP Digger?

    IP Digger jest autorskim narzędziem CERT Polska, pozwalającym odnaleźć właściwy adres administratora danego adresu IP. Jest to w istocie nakładka na zapytania serwerów whois. Z odpowiedzi serwerów wybierane są kontakty, które powinny być najlepszymi do zgłoszenia nadużycia z danego adresu. Wyszukiwane są w kolejności (w zależności od dostępności): adresy zespołu reagującego, adresy abuse, adresy osób podanych jako kontakty techniczne. Odpowiedzią IP Diggera dla danego adresu IP jest kraj, w którym najprawdopodobniej znajduje się serwer oraz najlepiej dopasowany z powyższych kontaktów. Wersja online IP Diggera znajduje się tutaj, natomiast wersja do pobrania tutaj.
    ^ Powrót


    Czy odpowiedzi IP Diggera są zawsze bezbłędne?

    Odpowiedzi IP Diggera są na tyle trafne, na ile aktualne dane umieszczone są przez dostawców w bazach whois (m.in.RIPE, APNIC, ARIN). Dodatkowymi czynnikami wpływającym na trafność wyników jest bieżący format, w jakim serwer whois prezentuje dane, rejestrowanie przez dostawcę swoich pul adresów IP we właściwej bazie oraz przede wszystkim dostępność serwerów whois w danym momencie.
    ^ Powrót


    Co oznacza adres abuse: abuse@iana.org

    Jeżeli odpowiedzią IP Diggera jest adres abuse@iana.org może to oznaczać, że sprawdzany adres należy do puli adresów nieprzydzielonych jeszcze żadnemu dostawcy internetu, albo, co bardziej prawdopodobne do puli adresów prywatnych, określonych przez IANA w RFC1918.
    ^ Powrót


    Dlaczego otrzymałem komunikat: “Niestety, przekroczyłeś limit odwołań w ciągu doby”?

    W celu uniknięcia nadużyć oraz obciążenia naszych serwerów ustaliliśmy limit zapytań dla IP Diggera na 50 w ciągu doby z jednego adresu. To zupełnie wystarczy do normalnego korzystania z narzędzia. Jeżeli chcesz posługiwać się nim w skryptach do większej ilości zapytań, powinieneś pobrać jego wersję źródłową w języku Perl.
    ^ Powrót

    Jeżeli nie znaleźli Państwo odpowiedzi na swoje pytanie, prosimy przesłać je na adres info@cert.pl.

    Zespół CERT Polska