Równolegle do działań zbrojnych, jakie mają miejsce w Gruzji, prowadzona jest również wojna w cyberprzestrzeni. Dopełnieniem konfliktu zbrojnego między Gruzją i Rosją są zmasowane ataki na gruzińskie strony internetowe. Po rozpoczęciu działań wojennych, podmieniona została strona prezydenta Gruzji. Następnie ta i wiele innych oficjalnych gruzińskich stron rządowych, policji, agencji prasowych, stacji telewizyjnych, a nawet najpopularniejsze gruzińskie forum hakerskie, zostały sparaliżowane atakami DDoS.

Ciekawe jest posunięcie władz gruzińskich, które w następstwie cyberataków na serwery zlokalizowane w Gruzji, gdzie indziej publikują swoje informacje, m.in. strona prezydenta Gruzji została przeniesiona na serwery ulokowane w Stanach Zjednoczonych. Jak wiadomo, w odpowiedzi na zakłócenia w działaniu strony internetowej Ministerstwa Spraw Zagranicznych Gruzji www.mfa.gov.ge, w ubiegłą niedzielę, Kancelaria Prezydenta RP udostępniła stronę internetową www.president.pl do umieszczenia na niej informacji o wydarzeniach w Gruzji.

Przeprowadzone cyberataki na Gruzję przypisywane są głównie obywatelom Rosji, w tym cyberprzestępczej organizacji Russian Business Network. Jednak z uwagi na to, że w momencie rozpoczęcia działań zbrojnych, na rosyjskich stronach internetowych bardzo szybko pojawiły się ogólnodostępne instrukcje i narzędzia do przeprowadzania ataków wraz z „listą celów”, stąd w ich przeprowadzaniu uczestniczą zapewne też osoby niekoniecznie obeznane z techniką hakerską. Pod tym względem obserwowany cyberatak na Gruzję przypomina ubiegłoroczny atak na Estonię.

W dniu dzisiejszym, kiedy Rosja ogłosiła oficjalnie zawieszenie działań zbrojnych, większość stron jest już dostępnych i działa bez większych zakłóceń. Nie jest jednak pewne, czy to koniec cyberataków i trudno spodziewać się szybkiego ich zakończenia w najbliższym czasie.

Działający w NASK zespół CERT Polska aktywnie uczestniczy w pomocy ukierunkowanej na odparcie cyberataków. W Gruzji od pewnego czasu działa zespół CERT Georgia, usytuowany przy organizacji GRENA. W powstaniu tego CERTu aktywny udział miał zespół CERT Polska, który uczestniczy w procesie powstawania CERTów w regionie kaukaskim, w ramach sponsorowanego przez NATO projektu CLOSER.
Pozostajemy w stałym kontakcie z gruzińskim zespołem CERT. Również jako członek międzynarodowych organizacji zrzeszających CERTy z całego świata (FIRST), pośredniczymy w wymianie informacji między zespołami reagującymi, między innymi przekazując dane, które służą do blokowania ataków mających swe źródła w innych krajach.

ENISA
(The European Network and Information Security Agency), czyli Europejska Agencja Bezpieczeństwa Sieci i Informacji, w swoim najnowszym raporcie General Report 2007 a także na swojej oficjalnej stronie, alarmuje Europę o konieczności większego zaangażowania państw członkowskich Unii Europejskiej w działania mające na celu podniesienie poziomu bezpieczeństwa sieciowej infrastruktury obejmującej ich własne kraje a także całą Europę, aby uchronić „europejski” Internet przed „cyber-atakiem 9/11″.

Niedostrzeganie faktycznego problemu zagrożenia, zwłaszcza w sektorach rządowym i bankowym, stwarza bardzo poważne zagrożenie dla strategicznych części europejskiej infrastruktury internetowej. Dlatego jak najszybciej powinny zostać podjęte zdecydowane działania, które poprawią aktualną sytuację.

W skali krajowej, nadal istnieje zbyt niski poziom świadomości istniejących zagrożeń, zwłaszcza wśród małych i średnich przedsiębiorstw, które stanowią 2/3 całości rynku ekonomicznego Unii Europejskiej. Niechęć do ponoszenia nakładów finansowych na zabezpieczenia sieci oraz na środki ochrony zasobów powoduje, że sieci należące do tych przedsiębiorstw stają się „najsłabszym ogniwem” infrastruktury Internetu, które może zostać wykorzystane w spektakularnym ataku. W tym zakresie ENISA widzi konieczność prowadzenia odpowiednich szkoleń oraz programów uświadamiających.

W skali europejskiej, problemy dotyczą niedostosowania odpowiednich struktur krajów członkowskich do działań nadzorujących bezpieczeństwo sieciowe i informacyjne. Tylko 14 z 27 krajów Unii posiada własne zespoły typu CERT (z czego 6 tego typu zespołów powstało dopiero w ubiegłym roku), natomiast w pozostałych krajach nie ma podobnych jednostek. Jakkolwiek, w tym zakresie sytuacja ma poprawić się
o tyle, że w najbliższych dwóch latach planowane jest utworzenie kolejnych 10 CERTów rządowych.

Jednak to, co jest najbardziej niepokojące, to powszechna niechęć niektórych organizacji do ujawniania informacji o naruszeniach bezpieczeństwa w ich sieci. ENISA dostrzega ogromny problem w braku zgłaszania
wielu istotnych przypadków naruszeń bezpieczeństwa w Internecie (w tym różnego typu ataków oraz kradzieży lub przecieku danych osobowych) do zespołów reagowania typu CERT, zajmujących się zbieraniem takich informacji, analizą skali zagrożenia oraz wdrażaniem odpowiednich środków interwencyjnych. Problem ten dotyczy w szczególności sektora bankowości, ale także małych i średnich przedsiębiorstw.

Zeszłoroczny cyber-atak DDoS na Estonię, który w kwietniu 2007 roku na 2 tygodnie sparaliżował estońskie serwisy informacyjne, rządowe i finansowe a także główny serwer DNS, wskazuje na bezwzględną konieczność poważniejszego potraktowania problemu. Stąd normą powinno stać się zgłaszanie wszelkich niepokojących zjawisk dotyczących naruszania bezpieczeństwa natychmiast po ich zaistnieniu. Tylko takie postępowanie może pozwolić na ocenę faktycznego stanu bezpieczeństwa w Internecie i odpowiednio wczesne wdrożenie zaawansowanych środków zapobiegawczych, które pozwoliłby uchronić funkcjonowanie strategicznych części infrastruktury sieci przed poważniejszymi zakłóceniami.

ENISA widzi rozwiązanie tych problemów w działaniach na poziomie globalnym, europejskim. Zdaniem organizacji ENISA dotychczasowe podejście do zgłaszania przypadków naruszeń bezpieczeństwa mogą zmienić przede wszystkim odpowiednie regulacje wprowadzone przez Unię Europejską, nakładające powszechny obowiązek dostarczania pełnych i rzetelnych informacji na temat zaistniałych incydentów przez wszystkie firmy i organizacje w krajach członkowskich Unii.

Nadmieńmy, że zespół CERT Polska (funkcjonujący w strukturach NASK), powołany do reagowania na zdarzenia naruszające bezpieczeństwo „polskiej części” sieci Internet, działa od 1996 roku i obsługuje ponad 2 tys. zgłoszeń rocznie.
CERT Polska aktywnie współpracuje z organizacją ENISA, powołaną w 2004 roku w celu nadzorowania poziomu bezpieczeństwa sieciowej infrastruktury Unii Europejskiej. Polski CERT rządowy (CERT GOV PL) został powołany w lutym 2008 roku.

Od stycznia tego roku NASK jest jednym z partnerów europejskiego projektu WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats – http://www.wombat-project.eu), zaplanowanego do realizacji na lata 2008 – 2010 w ramach 7. Programu Ramowego Unii Europejskiej. Z ramienia NASK głównym uczestnikiem projektu jest działający w jego strukturach zespół CERT Polska, przy wsparciu Działu Naukowego NASK.

Realizacja projektu rozpoczęła się na początku stycznia i potrwa do końca 2010 r. Obok NASK w projekcie biorą udział specjaliści ds. bezpieczeństwa z firm takich jak France Telecom R&D czy Hispasec Sistemas oraz instytucji badawczych: Institut Eurecom, FORTH, Politecnico di Milano, Technical University Vienna i Vrije Universiteit Amsterdam, a także inne podmioty zajmujące się badaniem i wdrażaniem rozwiązań bezpieczeństwa informatycznego.

W obliczu masowych cyberzagrożeń pojawiających się w Internecie brakuje odpowiednio zaawansowanych narzędzi, które pozwoliłyby na lepszą identyfikację i zrozumienie w kontekście ogólnoświatowym zjawisk naruszania bezpieczeństwa w Internecie; w szczególności tych skierowanych na jego sferę ekonomiczną oraz w jego użytkowników.

Głównym celem projektu WOMBAT jest stworzenie nowych metod analizy powyższych zjawisk, a także identyfikacji źródeł i przyczyn ich występowania. Konieczność zapewnienia poufności i ochrony informacji uniemożliwiała do tej pory wykorzystanie do takich badań szczegółowych danych o zagrożeniach, będących w posiadaniu różnych podmiotów zajmujących się bezpieczeństwem. Brak dostępnych publicznie źródeł informacji powodował, że dotychczasowe, głównie indywidualne badania miały w tym zakresie bardzo ograniczone możliwości.

Przełamanie tej bariery i osiągnięcie celów projektu WOMBAT stanie się możliwe dzięki współpracy wielu podmiotów zaangażowanych w działania monitorujące i zwiększające bezpieczeństwo Internetu, będących w posiadaniu odpowiednich danych oraz systemów monitorujących. Dodatkowo, w ramach projektu powstanie odpowiedni system sensorów do pozyskiwania informacji o nowych atakach i zagrożeniach (łącznie z ich kodem) w sieci Internet. Ponadto, istotnym etapem będzie stworzenie globalnej bazy informacji o zaobserwowanych zjawiskach i zagrożeniach. Powstanie takiej bazy będzie możliwe dzięki wykorzystaniu wielu różnych źródeł danych, których dostarczą partnerzy i współtwórcy projektu WOMBAT. Wykorzystane zostaną m.in. informacje zarejestrowane przez globalny rozproszony system honeypotów Leurre.com obsługiwany przez instytut Eurecom, dane z największej na świecie kolekcji złośliwego oprogramowania, zgromadzonej przez firmę Hispasec w ramach projektu Virustotal oraz dane, które udostępni zespół CERT Polska, pochodzące z systemu wczesnego ostrzegania ARAKIS oraz z systemu klienckiego honeypota HoneySpider Network.

Badania projektowe będą w szczególności koncentrować się wokół wypracowania nowych zaawansowanych metod i narzędzi przeprowadzania częściowo zautomatyzowanej analizy danych zgromadzonych w bazie. Opracowane techniki umożliwią wygenerowanie odpowiednich metadanych oraz przeprowadzenie usystematyzowanej charakterystyki zaobserwowanych zagrożeń. Dzięki różnorodności danych pozyskanych w ramach projektu możliwa będzie ich efektywna analiza, przeprowadzana z różnych perspektyw. Nastepnie uzyskane metadane pozwolą na rozwój technik typu threat intelligence, mających na celu ustalenie wspólnych źródeł i genezy powstania określonych grup ataków (ang. root causes), a także ustalenie wspólnych cech danych grup zagrożeń. To z kolei umożliwi znajdowanie związków pomiędzy nowymi zagrożeniami a wcześniej zaobserwowanymi, pozwalając na szybszą identyfikację odnowionych źródeł oraz przewidywanie nowych.

Nowa rozproszona platforma stworzona w ramach projektu wraz z aktualizowanym na bieżąco źródłem informacji może w przyszłości stanowić ogólnoświatowy system wczesnego ostrzegania o atakach i zagrożeniach (np. o pojawieniu się nowej wersji ataku lub złośliwego oprogramowania).

Wyniki projektu WOMBAT będą mogły być wykorzystywane w przyszłości przez specjalistów ds. bezpieczeństwa i naukowców, a także przez dostawców usług internetowych, zespoły reagowania typu CERT, sprzedawców usług i narzędzi bezpieczeństwa, instytucje bankowe, itp. Narzędzie ma być pomocne na etapie wspomagania kluczowych decyzji i inwestycji dotyczących rozwiązań bezpieczeństwa oraz ukierunkowania ich na najbardziej priorytetowe działania, co pozwoli dynamiczniej reagować na zjawiska naruszające bezpieczeństwo Internetu.

SEB Eesti Ühispank, drugi pod względem wielkości bank w Estonii, został we wtorek zmuszony do zablokowania możliwości dostępu do swojego serwisu on-line dla klientów łączących się spoza Estonii. Powodem podjęcia tak radykalnych kroków był zmasowany atak typu DDoS na ich bankowe serwery.
Atak, rozpoczęty w południe, skutecznie uniemożliwiał dostęp do internetowej strony banku przez cztery godziny. Po tym czasie przywrócono funkcjonalność serwisu, ale tylko dla komputerów łączących się z terenu Estonii. Natomiast połączenia z zagranicy dalej są blokowane ze względów bezpieczeństwa.

Atak ten był pierwszym tego rodzaju skierowanym na serwisy sektora bankowego od czasu rozpoczęcia konfliktu na linii Talin – Moskwa. Poprzednie zdarzenia dotyczyły głównie serwisów informacyjnych i serwerów instytucji rządowych (o czym informowaliśmy, a także pomagaliśmy wraz z CERTami z całego świata przeciwdziałać im). Ataki te mają podłoże polityczne i związane są z kryzysem między rządem rosyjskim i estońskim.

Więcej na stronach internetowych The Sydney Morning Herald

Ostatnio informowaliśmy o skomasowanych atakach na ważne estońskie serwisy internetowe, powiązanych z konfliktem na linii Tallin – Moskwa. Sytuacja zdecydowanie poprawiła się, a duży w tym udział miały CERT zrzeszone w TERENA TF-CSIRT.
Pomocy estońskiemu CERT-owi udzieliło wiele CERT-ów przede wszystkim z Europy, ale również z całego świata (zrzeszonych w organizacji FIRST, po tym jak delegat CERT-EE zwrócił się o taką pomoc w trakcie spotkania CERTów europejskich w Pradze. Natychmiastowa wspólna akcja dość szybko przyniosła skuteczne efekty i ataki albo zostały odparte, albo zdecydowanie ograniczone.

W koordynacji likwidowania ataków wychodzących z komputerów, które zostały przejęte na terenie Polski, uczestniczył zespół CERT Polska, który jest członkiem wspomnianych powyżej organizacji.

Więcej na stronach organizacji TERENA.

W trakcie warsztatów NATO odbywających się w Redmond (USA) przedstawiciel Estonii przedstawił informację na temat ataków na estońskie serwisy informacyjne i rządowe, a także na główny serwer DNS .ee. Ataki te niewątpliwe związane są z ostatnim konfliktem na linii Moskwa – Tallin.
Na serwisy internetowe przeprowadzane są ataki DDoS. Zdaniem delegata estońskiego ataki te są politycznie umotywowane, nie pojawiają się w nich żądania finansowe (charakterystyczne dla wielu ataków typu DDoS). Nie ulega wątpliwości, że za atakami stoją rosyjscy hakerzy. Informacje jak przeprowadzać ataki publikowane są na rosyjskojęzycznych forach internetowych. Wśród zaatakowanych serwisów znajdują się: Valitsus.ee, politsei.ee, riik.ee, postimees.ee.

Władze estońskie podjęły próby ograniczenia ataków oraz ich odparcia. W działaniach tych współpracują z innymi krajami oraz społecznością internetową skupiającą zespoły typu CERT.

Wiadomość zamieszczamy dzięki uprzejmości polskiego delegata na spotkaniu NATO.