Zagrożenia w Polsce i na świecie: Raport CERT Polska za pierwsze półrocze 2011

Data publikacji: 06/10/2011, przemek

CERT Polska

W pierwszym w historii raporcie półrocznym, obejmującym okres od stycznia do czerwca 2011, skupiamy się na analizie informacji z systemów automatycznych. Otrzymaliśmy blisko 4 mln tego rodzaju zgłoszeń. Podobnie jak w raporcie rocznym 2010, wyodrębniliśmy z nich kilka najważniejszych kategorii zdarzeń, w szczególności: źródła spamu, phishing, złośliwe oprogramowanie, boty czy ataki DDoS. Obserwacje porównaliśmy z analogicznymi danymi z ubiegłego roku i na tej podstawie wskazaliśmy kilka istotnych zmian, z których nie wszystkie potrafimy jednoznacznie wytłumaczyć. Z pewnością warto zapoznać się w szczególności z analizą informacji o złośliwym oprogramowaniu i stronach phishingowych w polskich sieciach, a także z tym, z których polskich sieci pochodzi najwięcej spamu i gdzie znajdziemy najwięcej botów. Pytanie, czy te dwie ostatnie kategorie muszą być ze sobą powiązane tak ściśle jak się uważa oraz jakie czynniki o tym decydują jest tylko jednym z wielu, do których odnosimy się w naszej publikacji.

Raport w wersji do pobrania znajduje się pod adresem http://www.cert.pl/PDF/Raport_CP_1H2011.pdf.

Na wykresie widać liczbę zgłoszeń w poszczególnych kategoriach.

Poniżej lista wybranych wniosków z raportu. Pełna lista, wraz z najciekawszymi obserwacjami z pierwszej połowy 2011 r. znajduje się na początku dokumentu.

    • Pomimo coraz większej liczby zautomatyzowanych źródeł informacji, otrzymaliśmy prawie o połowę mniej zgłoszeń dotyczących Polski niż się spodziewaliśmy.
    • Choć hostownie w Polsce są w zdecydowanie większym stopniu dotknięte problemem phishingu, aniżeli dostawcy Internetu, to zdecydowanie skuteczniej sobie z nim radzą.
    • W Polsce częściej niż w co piątym przypadku (21%) domena, w której umieszczono phishing należała do sklepu internetowego. W polskich sieciach znajdowało się około 2% stron związanych ze złośliwym oprogramowaniem zauważonych na całym świecie. Procentowo jest to wzrost w stosunku do roku 2010 (1.4%).
    • Wśród polskich operatorów, u których najczęściej umieszczane są złośliwe strony WWW dominują – co zaskakujące – najwięksi dostawcy internetu, a nie hostownie jak w roku ubiegłym.
    • Wyodrębniliśmy 1 033 681 unikalnych incydentów dotyczących rozsyłania spamu z polskich sieci. Ponad połowa z nich (573 721) dotyczyła sieci Netii. W sieciach Telekomunikacji Polskiej zanotowaliśmy zaledwie 151 502 incydentów dotyczących spamu. Tak niski udział utrzymuje się od końca 2009 roku, kiedy to TP wdrożyła filtrowanie portu 25/TCP.
    • Port 445/TCP był najczęstszym celem skanowań w polskich sieciach. Były one przeważnie związane z próbą wykorzystania luki związanej z błędem w obsłudze zapytań RPC – opisanej w biuletynie bezpieczeństwa Microsoft numer MS08-067.
    • Lista dziesięciu najbardziej zainfekowanych sieci w Polsce odzwierciedla w dużej mierze wielkość operatorów pod względem użytkowników.
    • W pierwszej połowie 2011 roku zauważyliśmy ponad 1 mln botów w polskich sieciach. Najczęściej występujące boty to Torpig oraz Rustock. Ich liczebność była co najmniej trzy razy wyższa niż pozostałych.
    • Nastąpił wzrost udziału Chin w statystykach państw, w których zlokalizowane są złośliwe adresy URL. Procentowo mniej złośliwych adresów URL w stosunku do ubiegłego roku mają USA, które jednak pozostają liderem. W tych dwóch państwach znajduje się ponad 50% zgłaszanych do nas złośliwych stron WWW.