Projekty

Projekt NECOMA łączy zbieranie danych, analizę danych o zagrożeniach i tworzenie nowych mechanizmów obrony przed nimi.

W trakcie projektu te trzy aspekty były analizowane z punktu widzenia infrastruktury (sieci i infrastruktury obliczeniowej wielkich mocy) oraz końcówek klienckich (przeglądarek i smartfonów). Wyniki projektu NECOMA zostaną przekute w prototypy demonstrujące innowacyjność rozwiązań i nakreślą perspektywy wykorzystania w przemyśle.

Projekt NECOMA był finansowany przez Projekt Promocji Badań i Rozwoju Ministerstwa Spraw Wewnętrznych i Komunikacji Japonii oraz grant numer 608533 w ramach Siódmego Programu Ramowego Unii Europejskiej.

CyberROAD jest projektem badawczym finansowanym przez Komisję Europejską w ramach programu FP7, którego celem jest określenie obecnych i przyszłych problemów w walce z cyberprzestępczością i cyberterroryzmem oraz wypracowanie planu badań nad tymi zagadnieniami. Pierwszym krokiem projektu jest uzyskanie obrazu obecnej sytuacji technologicznej, społecznej, gospodarczej, politycznej, i prawnej, która przyczynia się do rozwoju cyberprzestępczości i cyberterroryzmu. Następnie zebrane scenariusze opisujące powyższą sytuację zostaną przeanalizowanie w celu identyfikacji luk, przyszłych możliwych kierunków rozwoju oraz priorytetów badawczych. W ramach badań nad cyberprzestępczością podjęto decyzję skupienia się na Polsce jako przykładowym kraju, dla którego dokonana zostanie analiza porównawcza tego zjawiska z innymi krajami Europy i świata. Widocznym publicznie działaniem projektu było opublikowanie ankiety dotyczącej cyberprzestępczości. Projekt CyberROAD rozpoczął się w maju 2014 r. i trwał 24 miesiące łącząc 20 podmiotów z 11 państw. Polskę reprezentował NASK w postaci zespołu CERT Polska.

Badania w ramach CyberROAD były finansowane z grantu nr 607642 udzielonego w ramach Siódmego Programu Ramowego Unii Europejskiej (FP7-SEC-2013).

Projekt ILLBuster ma na celu stworzenie system automatycznego wykrywania nielegalnych treści w Internecie. System ma wykrywać podejrzane domeny i analizować automatycznie powiązane z nimi strony internetowe pod kątem występowania złośliwego oprogramowania, treści służących do wyłudzeń (phishing), pornografii dziecięcej, lub też sprzedaży podrobionych towarów. Strony na których system wykrywa nielegalne treści, są następnie zgłaszane organom ścigania.

Projekt finansowany jest przez Komisję Europejską w ramach programu grantowego ISEC HOME/2012/ISEC/AG/4000 „Zapobieganie i zwalczanie przestępczości”, a realizuje go konsorcjum składające się z Università de Cagliari i Università degli Studi di Milano-Bicocca, amerykańskiego University of Georgia, włoskich sił policyjnyc – Guardia di Finanza i Polizia Postale, szwedzkiej firmy Netclean, włoskiej organizacji pozarządowej Tech and Law Center oraz CERT Polska.

Projekt NISHA jest kontynuacją projektu FISHA. CERT Polska ponownie przystąpił do grona, partnerów rozszerzonego o fundację FCCN (Foundation for National Scientific Computing) z Portugalii. Celem konsorcjum jest rozbudowanie prototypu stworzonego w ramach projektu FISHA i udostępnienie w pełni funkcjonalnego rozwiązania. Spodziewanym rezultatem jest utworzenie sieci P2P składającej się początkowo z czterech głównych portali należących do oryginalnych partnerów w projekcie, następnie rozbudowanej o portale partnerów, którzy przystąpią do projektu w czasie jego trwania. Dodatkowo zostanie zbudowane rozwiązanie umożliwiające szybkie przyłączenie się do sieci P2P i korzystanie z jej zasobów, tzw. moduł adaptacyjny (”NISHA in a box”). Pozwoli to partnerom, którzy już posiadają swoje własne portale informacyjne na udostępnianie danych z sieci NISHA w formie przystępnej dla swego grona odbiorców.

Projekt rozpoczął się w styczniu 2012 i został zakończony w 2014. Projekt był finansowany w rapach programu „Prawa podstawowe i sprawiedliwość: zapobieganie, przygotowanie i zarządzanie konsekwencjami w dziedzinie terroryzmu”.

ARAKIS jest systemem wczesnego ostrzegania o zagrożeniach w sieci. Jego głównym zadaniem jest wykrywanie i opisywanie zautomatyzowanych zagrożeń występujących w sieci na podstawie agregacji i korelacji danych z różnych źródeł, w tym rozproszonej sieci honeypotów, sieci darknet, firewalli oraz systemów antywirusowych.

ARAKIS jest projektem zespołu CERT Polska działającego w ramach NASK. Rozwijany jest we współpracy z Działem Rozwoju Oprogramowania oraz z działem naukowym NASK.

HoneySpider Network jest wspólnym projektem działającego w ramach NASK zespołu CERT Polska, rządowego CERTu Holenderskiego NCSC (wcześniej GOVCERT.NL) oraz, w przypadku pierwszej wersji systemu, także akademickiego operatora w Holandii SURFnet. Projekt ma na celu zbudowanie nowych oraz wykorzystanie istniejących technik klienckich honeypotów do wykrywania ataków na aplikacje klienckie, w szczególności przeglądarki WWW. Projekt powstał w odpowiedzi na obserwacje nowego trendu w propagacji zagrożeń Internetowych poprzez luki w aplikacjach klienckich, a nie jak dotychczas, w aplikacjach serwerowych. W szczególności zagrożeniem są ataki typu drive-by download, które do skutecznego zarażenia systemu operacyjnego wymagają jedynie odwiedzenia odpowiednio spreparowanej strony, bez jakiejkolwiek dodatkowej interakcji z użytkownikiem. Nowy system będzie bazował zarówno na rozwiązaniach niskointeraktywnych (roboty emulujące przeglądarki) jak i na rozwiązaniach wysokointeraktywnych (przeglądarki uruchamiane i automatycznie sterowane z poziomu rzeczywistych systemów operacyjnych).

Ze strony NASK projekt jest realizowany przez CERT Polska, Dział Rozwoju Oprogramowania oraz Pion Naukowy.

Celem projektu WOMBAT jest utworzenie globalnego systemu monitorowania i analizy zagrożeń internetowych, w szczególności złośliwego oprogramowania, które w ostatnich latach stało się potężnym narzędziem w rękach cyberprzestępców. Projekt wystartował w styczniu 2008 roku w ramach 7. Programu Ramowego Unii Europejskiej i potrwa do końca 2010 roku. Projekt powstaje przy współpracy specjalistów ds. bezpieczeństwa z wielu podmiotów zaangażowanych w działania monitorujące oraz zwiększające bezpieczeństwo Internetu.

Badania w projekcie WOMBAT będą koncentrować się na stworzeniu nowych metod analizy zagrożeń pojawiających się masowo w Internecie, identyfikacji źródeł i przyczyn ich występowania. Konieczność zapewnienia prywatności danych uniemożliwiała do tej pory wymianę i wykorzystanie do tego rodzaju badań szczegółów danych posiadanych przez różne podmioty zajmujące się bezpieczeństwem. Projekt ma przełamać tę barierę. Ponadto, z uwagi na coraz to nowe rodzaje zagrożeń, konieczne będą nowe źródła informacji oraz dane pozyskiwane i analizowane w skali globalnej, ogólnoświatowej.

W projekcie zostaną wykorzystane m.in. informacje zarejestrowane przez globalny rozproszony system honeypotów Leurre.com, obsługiwany przez Instytut Eurecom, dane z największej na świecie kolekcji złośliwego oprogramowania, zgromadzone przez firmę Hispasec (w ramach projektu Virustotal), dane udostępnione przez zespół CERT Polska, pochodzące z systemu wczesnego ostrzegania Arakis oraz z systemu klienckiego honeypota HoneySpider Network, jak również informacje pozyskane z globalnego systemu DeepSight Threat Management firmy Symantec.

Z ramienia NASK głównym uczestnikiem projektu jest działający w jego strukturach zespół CERT Polska, przy wsparciu Działu Naukowego NASK. Badania w ramach projektu WOMBAT finansowane są z grantu nr 216026 w ramach Siódmego Programu Ramowego Unii Europejskiej.

Głównym celem projektu FISHA jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli ogólnoeuropejskiego systemu wymiany i dostępu do informacji dotyczących bezpieczeństwa komputerowego oraz ostrzegania przed zagrożeniami w Internecie. System EISAS ma działać w oparciu o istniejące już w krajach Unii Europejskiej systemy podobnego typu i stać się w przyszłości ogólnoeuropejskim forum informacyjnym. Przeznaczeniem systemu jest wzrost świadomości w kwestii bezpieczeństwa on-line wśród użytkowników domowych oraz kadry pracowniczej sektora małych i średnich przedsiębiorstw.

W ramach projektu powstanie prototyp modelowego portalu internetowego, adresowanego do tej grupy odbiorców. Docelowo, każde z państw członkowskich UE będzie miało własny, krajowy portal, na którym publikowane będą aktualne oraz przystępne informacje dotyczące bezpieczeństwa komputerowego, pozyskiwane w ramach systemu EISAS. W przyszłości, oprócz tworzenia i rozwijania dedykowanych portali w krajach UE, prowadzone będą akcje informacyjno-edukacyjne, skierowane do tych społeczności. Ich zaplanowanie i przygotowanie będzie jednym z ważnych zadań projektu.

Projekt wystartował w lutym 2009 roku i realizowany był w ramach specjalnego programu „Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks” Komisji Europejskiej. Projekt zaplanowany był na dwa lata i powstaje we współpracy pomiędzy NASK, CERT-em węgierskim (CERT-Hungary) oraz niemieckim instytutem badawczym Internet Security Centre z Uniwersytetu Gelsenkirchen. Projekt był finansowany w rapach programu „Prawa podstawowe i sprawiedliwość: zapobieganie, przygotowanie i zarządzanie konsekwencjami w dziedzinie terroryzmu”.

Celem projektu jest opracowanie prototypu Systemu Ochrony Przed Atakami Sieciowymi (SOPAS) zabezpieczającego federacyjną sieć teleinformatyczną. Środowisko federacyjne jest tutaj rozumiane jako zbiór autonomicznych domen posiadających własne polityki bezpieczeństwa, odrębnych administratorów, odrębne podsystemy zarządzania siecią oraz jej zasobami informacyjnymi. W skład pojedynczej domeny należącej do systemu ochrony sieci będą wchodzić: Sensory, Elementy reakcji i Moduł decyzyjny.

Sensory to elementy odpowiedzialne za zbieranie danych o wystąpieniu określonych zdarzeń w sieci. Informują one Moduł decyzyjny wysyłając do niego alarmy. Moduł decyzyjny analizuje dane sensoryczne i podejmuje decyzję o wykryciu ataku. Analiza danych sensorycznych będzie polegać na przetwarzaniu odebranych alarmów pochodzących z różnych warstw sieci w celu zbudowania ich sygnatury oraz opracowania rekomendowanych sposobów reakcji. Elementy reakcji będą podejmowały działania zmierzające do ograniczenia skutków ataku. Działania takie mogą polegać zarówno na blokowaniu ruchu, jego przekierowaniu lub nawet kontrolowanemu przepuszczeniu w celu uzyskania przez atakującego poczucia sukcesu. Sposób działania Sensorów i Elementów reakcji może być modyfikowany i aktualizowany odpowiednio do potrzeb. Ich rekonfiguracja będzie realizowana w sposób ręczny (przez administratora) lub automatyczny z wykorzystaniem mechanizmów do tego celu dedykowanych.

Zakłada się, że współpraca pomiędzy Modułami decyzyjnymi systemu SOPAS będzie polegała na wymianie informacji o wykrytych atakach i realizowana będzie za pomocą sieci P2P (ang. peer to peer). Współdzielenie informacji pomiędzy Modułami decyzyjnymi równoprawnych domen poprawi odporność na ataki, a tym samym bezpieczeństwo federacji domen w stosunku do sytuacji, gdy domeny nie współpracują ze sobą. Przekazywanie informacji o zaistniałych sytuacjach alarmowych, sygnaturach ataków oraz propozycji reakcji zapewni efekt synergii oraz umożliwi propagowanie dobrych praktyk w innych domenach.

Projekt realizowany jest w konsorcjum: Wojskowy Instytut Łączności, NASK, ITTI Sp. z o.o.

Celami rozpoczętego we wrześniu 2005 projektu były: umożliwienie skutecznej walki ze zjawiskiem spamu w kontekście międzynarodowym, zebranie informacji o dotychczasowych rozwiązaniach prawych i organizacyjnych w krajach UE, wypracowanie zasad legalnego dzielenia się informacją w celach dowodowych i stworzenie pilotażowej bazy danych zbierającej zgłoszenia od indywidualnych użytkowników.

Projekt realizowany był w ramach programu Komisji Europejskiej Safer Internet Programme przez niemieckie konsorcjum eco we współpracy z Microsoftem i NASK / CERT Polska.

Celem projektu była aktywizacja środowiska zespołów reagujących, przede wszystkim w krajach byłego Związku Radzieckiego. W trakcie projektu zorganizowano serię szkoleń i warsztatów dotyczących reagowania na incydenty, między innymi w Gruzji oraz Mołdawii. Brali w nim udział przedstawiciele działających zespołów CSIRT, m.in. z Armenii, Azerbejdżanu, Bułgarii, Gruzji, Mołdawii, Ukrainy i Uzbekistanu a także sieci akademickich i rządowych z krajów takich jak Kirgistan, Kazachstan czy Białoruś. Uczestnikami warsztatów byli także zaproszeni goście z dojrzałych już zespołów z krajów środkowej i wschodniej Europy, m.in. Czech, Estonii, Łotwy oraz oczywiście Polski. Formuła taka umożliwiała dzielenie się doświadczeniami, najlepszymi praktykami a także wiedzą techniczną. W trakcie jednego z warsztatów omawiano między innymi doświadczenia po atakach na Gruzję i Estonię.

Projekt finansowany był z grantu NATO “Public Diplomacy Division, Network Infrastructure Grant” numer #983081 i zakończył się we wrześniu 2009.