Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała przygotowany przez CERT Polska raport dotyczący metod wykrywania sieciowych incydentów bezpieczeństwa – „Proactive detection of network security incidents”.

Proaktywne wykrywanie incydentów to proces odnajdywania złośliwej aktywności w sieci, za którą dany CERT jest odpowiedzialny, przy pomocy narzędzi monitorujących lub z wykorzystaniem zewnętrznych usług dostarczających informacje o wykrytych incydentach, jeszcze zanim właściciele atakowanych sieci staną się tego świadomi. Zwiększenie efektywności tych działań jest fundamentem dla prężnego funkcjonowania zespołów CERT i zwiększenia ich możliwości obsługi incydentów.

Opublikowany dokument to wnikliwa analiza sposobów w jaki CERTy, w szczególności narodowe i rządowe, wykrywają incydenty w swoich obszarach działalności. Raport zawiera również zestaw najlepszych praktyk i użytecznych narzędzi dla nowo powstałych zespołów typu CERT, analizę problemów jakim muszą stawić czoła i zestaw rekomendacji dla usprawnienia obsługi incydentów przez zespoły CERT. (more…)

Our first semiannual report, covering period from January to June 2011 is focused on information from automated systems. We have received almost 4 million automated incident reports and we grouped them in major categories such as spam sources, phishing, malware, bots or DDoS attacks. We discuss our findings in the context of the 2010 annual report, indicating some important changes (some of which we are not able to fully explain). Some noteworthy observations are in the area of malware distribution and phishing in Polish networks, as well as spam sources and bots location. Among other discussions, we try to pinpoint some factors that break the apparently obvious correlation between the last two indicators. You can download the report in English from the following URL: http://www.cert.pl/PDF/Report_CP_1H2011.pdf

(more…)

Wyk.1. Bots by type

W pierwszej połowie 2011 roku zauważyliśmy ponad 1 mln botów. Bezsprzecznie dominowały dwa z nich Torpig oraz Rustock. Ich liczebność była co najmniej trzy razy wyższa niż pozostałych. Zauważyliśmy prawie 380 tys. maszyn zainfekowanych Torpigiem oraz prawie 350 tys. Rustockiem. Poza nimi znaczący udział miały boty ircowe, Mebroot oraz Conficker. W przypadku botów ircowych mamy do czynienia ze składową wielu odmian botów. Jedną wspólną, wyróżniającą je cechą był kanał zarządzania jakim był IRC. Na szczególną uwagę zasługuje Mebroot, który jest wykorzystywany do wykradania danych klientów instytucji finansowych. Co prawda w większości przypadków poważne, dedykowane ataki są ukierunkowane na podmioty zagraniczne, przy czym istnieje duże prawdopodobieństwo trafienia do botnetu, którego celem jest polski użytkownik.

(more…)

Our annual report for 2010 presents and comments on statistical data derived from CERT Polska daily operations in 2010. The outcome is a comprehensive analysis of network threats affecting Polish networks as we see them. Unlike previous years, when we focused on manually handled incidents, the data presented in the current report is collected largely in an automated fashion from various external and internal systems, yielding millions of records. This allowed us to produce a report analyzing over 12 million submissions that we consider a unique and fairly authoritative picture, not only due to amount and variety of data, but also the extent in which Polish networks are covered. (more…)

Wydaje się, że w Polsce jest duże przyzwolenie, a nawet oczekiwanie, działań związanych z blokowaniem i filtrowaniem zagrożeń w sieci Internet. Takie działania mają już miejsce w innych krajach i zapewne będą miały miejsce w Polsce. Odpowiedź na pytanie jak powinien wyglądać ten system nie jest łatwa. Pewnych podpowiedzi dostarczają nam badania opinii internautów i dyskusja ekspertów w czasie konferencji SECURE 2009.

Tematem wiodącym XIII edycji konferencji SECURE było zagadnienie filtrowania i blokowania zagrożeń w sieci Internet. Chodzi o działania, które mogliby prowadzić operatorzy telekomunikacyjni, a które by zmierzały do większej ochrony użytkownika Internetu przed zagrożeniami w sieci. Zagrożeniami zarówno technologicznymi, związanymi z wirusami, phishingiem, złośliwym oprogramowaniem, jak i zagrożeniami dotyczącymi publikowanych w Internecie treści, które umownie można nazwać kontekstowymi. Chodzi o prezentowanie nielegalnych treści, przede wszystkim pornografii dziecięcej, co stanowi oczywiste zagrożenie i jest nielegalne. W ramach konferencji SECURE 2009 odbyła się duża dyskusja na ten temat w ramach bloku „Bezpieczeństwo, ochrona, ostrożność, cenzura”, połączona z głosowaniem.

(more…)