Projekty

Otwarty

SISSDeN

Celem projektu SISSDEN jest poprawa stanu cyberbezpieczeństwa europejskich instytucji i użytkowników końcowych poprzez rozwój świadomości sytuacyjnej oraz współdzielenie użytecznych informacji o zagrożeniach. Projekt zapewni nieodpłatne usługi powiadamiania ofiar o ataku oraz bliską współpracę ze CERT-ami narodowymi, dostawcami usług internetowych, właścicielami sieci i organami ścigania.

Kluczowym elementem projektu SISSDEN jest ogólnoświatowa sieć sond, która zostanie utworzona i będzie utrzymywana przez konsorcjum. Ten skalowalny, pasywny mechanizm zbierania danych zostanie wzbogacony o informacje z analizy behawioralnej złośliwego oprogramowania oraz liczne zewnętrzne źródła danych. Użyteczne informacje o zagrożeniach wytworzone przez SISSDEN będą wykorzystywane do przeciwdziałania atakom oraz nieodpłatnego powiadamiania ofiar za pośrednictwem organizacji takich, jak krajowe zespoły CERT, ISP, dostawców hostingu i służby takie jak EC3. Głównym beneficjentem projektu będą małe i średnie przedsiębiorstwa i obywatele, czyli jednostki nie dysponujące wiedzą i zasobami umożliwiającymi samodzielną skuteczną obronę przed zagrożeniami. Dzięki realizacji projektu zostaną zwiększone możliwości przetwarzania, analizy i wymiany informacji z zakresu bezpieczeństwa, a w konsekwencji poprawi się zdolność do przeciwdziałania i reagowania na różne rodzaje ataków.

Projekt jest realizowany przez konsorcjum w składzie:

    • Naukowa i Akademicka Sieć Komputerowa
    • Montimage EURL
    • CyberDefcon Ltd.
    • Universität des Saarlandes
    • Deutsche Telekom AG
    • Eclexys SAGL
    • Poste Italiane — Societa per Azioni
    • Stichting The Shadowserver Foundation Europe

Projekt SISSDEN otrzymał finansowanie z Programu Ramowego Unii Europejskiej Horyzont 2020 (H2020-DS-2015-1) w ramach grantu nr 700176.

Czytaj więcej
Zamknięty

Projekt NECOMA łączy zbieranie danych, analizę danych o zagrożeniach i tworzenie nowych mechanizmów obrony przed nimi.

W trakcie projektu te trzy aspekty były analizowane z punktu widzenia infrastruktury (sieci i infrastruktury obliczeniowej wielkich mocy) oraz końcówek klienckich (przeglądarek i smartfonów). Wyniki projektu NECOMA zostaną przekute w prototypy demonstrujące innowacyjność rozwiązań i nakreślą perspektywy wykorzystania w przemyśle.

Projekt NECOMA był finansowany przez Projekt Promocji Badań i Rozwoju Ministerstwa Spraw Wewnętrznych i Komunikacji Japonii oraz grant numer 608533 w ramach Siódmego Programu Ramowego Unii Europejskiej.

Czytaj więcej
Otwarty

ARAKIS 2

System ARAKIS Enterprise 2.0 jest modularnym systemem wczesnego ostrzegania przed zagrożeniami sieciowymi. Głównym jego celem jest znajdowanie wzorców ataków (w tym APT) i zagrożeń poprzez heurystyczną analizę ruchu sieciowego agregując i korelując dane z globalnych źródeł, w tym rozproszonej sieci sensorów honeypotowych. Wyniki analiz są prezentowane w postaci map, wykresów i diagramów, a użytkownik ma pełną swobodę w budowaniu z nich aktualizowanych na bieżąco raportów. ARAKIS Enterprise 2.0 korzysta z najnowszych algorytmów automatycznego wykrywania powtarzających się wzorców zagrożeń. Nielegalny ruch sieciowy jest poddawany szeregom równoległych analiz w centralnym klastrze obliczeniowym. Dodatkowo system daje możliwość analizy ruchu produkcyjnego wewnątrz sieci korporacyjnej, a także analizę logów z produkcyjnych serwerów WWW.

Zamknięty cyberroad

CyberROAD jest projektem badawczym finansowanym przez Komisję Europejską w ramach programu FP7, którego celem jest określenie obecnych i przyszłych problemów w walce z cyberprzestępczością i cyberterroryzmem oraz wypracowanie planu badań nad tymi zagadnieniami. Pierwszym krokiem projektu jest uzyskanie obrazu obecnej sytuacji technologicznej, społecznej, gospodarczej, politycznej, i prawnej, która przyczynia się do rozwoju cyberprzestępczości i cyberterroryzmu. Następnie zebrane scenariusze opisujące powyższą sytuację zostaną przeanalizowanie w celu identyfikacji luk, przyszłych możliwych kierunków rozwoju oraz priorytetów badawczych. W ramach badań nad cyberprzestępczością podjęto decyzję skupienia się na Polsce jako przykładowym kraju, dla którego dokonana zostanie analiza porównawcza tego zjawiska z innymi krajami Europy i świata. Widocznym publicznie działaniem projektu było opublikowanie ankiety dotyczącej cyberprzestępczości. Projekt CyberROAD rozpoczął się w maju 2014 r. i trwał 24 miesiące łącząc 20 podmiotów z 11 państw. Polskę reprezentował NASK w postaci zespołu CERT Polska.

Badania w ramach CyberROAD były finansowane z grantu nr 607642 udzielonego w ramach Siódmego Programu Ramowego Unii Europejskiej (FP7-SEC-2013).

Czytaj więcej
Zamknięty

Projekt ILLBuster ma na celu stworzenie system automatycznego wykrywania nielegalnych treści w Internecie. System ma wykrywać podejrzane domeny i analizować automatycznie powiązane z nimi strony internetowe pod kątem występowania złośliwego oprogramowania, treści służących do wyłudzeń (phishing), pornografii dziecięcej, lub też sprzedaży podrobionych towarów. Strony na których system wykrywa nielegalne treści, są następnie zgłaszane organom ścigania.

Projekt finansowany jest przez Komisję Europejską w ramach programu grantowego ISEC HOME/2012/ISEC/AG/4000 „Zapobieganie i zwalczanie przestępczości”, a realizuje go konsorcjum składające się z Università de Cagliari i Università degli Studi di Milano-Bicocca, amerykańskiego University of Georgia, włoskich sił policyjnyc – Guardia di Finanza i Polizia Postale, szwedzkiej firmy Netclean, włoskiej organizacji pozarządowej Tech and Law Center oraz CERT Polska.

Czytaj więcej
Otwarty

n6 – network security incident exchange

n6 to stworzona przez CERT Polska platforma służąca do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci w sposób automatyczny. W ciągu jednego roku przez platformę przetwarzane są dziesiątki milionów zdarzeń bezpieczeństwa z Polski i całego świata. Jej celem jest efektywne, niezawodne i szybkie dostarczenie dużych ilości informacji o zagrożeniach właściwym podmiotom: właścicielom, administratorom i operatorom sieci. Źródłem danych systemu n6 jest wiele kanałów dystrybucyjnych dostarczających informacje o zdarzeniach bezpieczeństwa. Zdarzenia te wykrywane są w wyniku działań systemów wykorzystywanych przez różne podmioty zewnętrzne (inne CERTy, organizacje bezpieczeństwa, producentów oprogramowania, niezależnych ekspertów od bezpieczeństwa itp.) oraz systemów monitorowania CERT Polska. Dodatkowym źródłem informacji o sieciach są wyniki działań operacyjnych CERT Polska jak i innych podmiotów (za ich zgodą).

W platformie bezpłatnie przekazywane są informacje o źródłach ataku w postaci URLi, domen, adresów IP lub nazw złośliwego oprogramowania, a także w zależności od dostępności informacje o danych specjalnych. Przykładami zbiorów danych znajdujących się w platformie n6 są: złośliwe URLe, złośliwe oprogramowanie i inne artefakty, zainfekowane hosty (boty), serwery C&C, skanowania, DDoS, ataki bruteforce, uczestnictwo w sieci fast flux, phishing, spam, dane specjalne (wynik działań operacyjnych CERT).

Projekt rozpoczął się w lutym 2012 roku.

Czytaj więcej
Zamknięty

Projekt NISHA jest kontynuacją projektu FISHA. CERT Polska ponownie przystąpił do grona, partnerów rozszerzonego o fundację FCCN (Foundation for National Scientific Computing) z Portugalii. Celem konsorcjum jest rozbudowanie prototypu stworzonego w ramach projektu FISHA i udostępnienie w pełni funkcjonalnego rozwiązania. Spodziewanym rezultatem jest utworzenie sieci P2P składającej się początkowo z czterech głównych portali należących do oryginalnych partnerów w projekcie, następnie rozbudowanej o portale partnerów, którzy przystąpią do projektu w czasie jego trwania. Dodatkowo zostanie zbudowane rozwiązanie umożliwiające szybkie przyłączenie się do sieci P2P i korzystanie z jej zasobów, tzw. moduł adaptacyjny (”NISHA in a box”). Pozwoli to partnerom, którzy już posiadają swoje własne portale informacyjne na udostępnianie danych z sieci NISHA w formie przystępnej dla swego grona odbiorców.

Projekt rozpoczął się w styczniu 2012 i został zakończony w 2014. Projekt był finansowany w rapach programu „Prawa podstawowe i sprawiedliwość: zapobieganie, przygotowanie i zarządzanie konsekwencjami w dziedzinie terroryzmu”.

Czytaj więcej
Zamknięty

ARAKIS Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych

ARAKIS jest systemem wczesnego ostrzegania o zagrożeniach w sieci. Jego głównym zadaniem jest wykrywanie i opisywanie zautomatyzowanych zagrożeń występujących w sieci na podstawie agregacji i korelacji danych z różnych źródeł, w tym rozproszonej sieci honeypotów, sieci darknet, firewalli oraz systemów antywirusowych.

ARAKIS jest projektem zespołu CERT Polska działającego w ramach NASK. Rozwijany jest we współpracy z Działem Rozwoju Oprogramowania oraz z działem naukowym NASK.

Czytaj więcej
Zamknięty

HSN HoneySpider Network

HoneySpider Network jest wspólnym projektem działającego w ramach NASK zespołu CERT Polska, rządowego CERTu Holenderskiego NCSC (wcześniej GOVCERT.NL) oraz, w przypadku pierwszej wersji systemu, także akademickiego operatora w Holandii SURFnet. Projekt ma na celu zbudowanie nowych oraz wykorzystanie istniejących technik klienckich honeypotów do wykrywania ataków na aplikacje klienckie, w szczególności przeglądarki WWW. Projekt powstał w odpowiedzi na obserwacje nowego trendu w propagacji zagrożeń Internetowych poprzez luki w aplikacjach klienckich, a nie jak dotychczas, w aplikacjach serwerowych. W szczególności zagrożeniem są ataki typu drive-by download, które do skutecznego zarażenia systemu operacyjnego wymagają jedynie odwiedzenia odpowiednio spreparowanej strony, bez jakiejkolwiek dodatkowej interakcji z użytkownikiem. Nowy system będzie bazował zarówno na rozwiązaniach niskointeraktywnych (roboty emulujące przeglądarki) jak i na rozwiązaniach wysokointeraktywnych (przeglądarki uruchamiane i automatycznie sterowane z poziomu rzeczywistych systemów operacyjnych).

Ze strony NASK projekt jest realizowany przez CERT Polska, Dział Rozwoju Oprogramowania oraz Pion Naukowy.

Czytaj więcej
Zamknięty

WOMBAT Worldwide Observatory of Malicious Behavior and Attack Threats

Celem projektu WOMBAT jest utworzenie globalnego systemu monitorowania i analizy zagrożeń internetowych, w szczególności złośliwego oprogramowania, które w ostatnich latach stało się potężnym narzędziem w rękach cyberprzestępców. Projekt wystartował w styczniu 2008 roku w ramach 7. Programu Ramowego Unii Europejskiej i potrwa do końca 2010 roku. Projekt powstaje przy współpracy specjalistów ds. bezpieczeństwa z wielu podmiotów zaangażowanych w działania monitorujące oraz zwiększające bezpieczeństwo Internetu.

Badania w projekcie WOMBAT będą koncentrować się na stworzeniu nowych metod analizy zagrożeń pojawiających się masowo w Internecie, identyfikacji źródeł i przyczyn ich występowania. Konieczność zapewnienia prywatności danych uniemożliwiała do tej pory wymianę i wykorzystanie do tego rodzaju badań szczegółów danych posiadanych przez różne podmioty zajmujące się bezpieczeństwem. Projekt ma przełamać tę barierę. Ponadto, z uwagi na coraz to nowe rodzaje zagrożeń, konieczne będą nowe źródła informacji oraz dane pozyskiwane i analizowane w skali globalnej, ogólnoświatowej.

W projekcie zostaną wykorzystane m.in. informacje zarejestrowane przez globalny rozproszony system honeypotów Leurre.com, obsługiwany przez Instytut Eurecom, dane z największej na świecie kolekcji złośliwego oprogramowania, zgromadzone przez firmę Hispasec (w ramach projektu Virustotal), dane udostępnione przez zespół CERT Polska, pochodzące z systemu wczesnego ostrzegania Arakis oraz z systemu klienckiego honeypota HoneySpider Network, jak również informacje pozyskane z globalnego systemu DeepSight Threat Management firmy Symantec.

Z ramienia NASK głównym uczestnikiem projektu jest działający w jego strukturach zespół CERT Polska, przy wsparciu Działu Naukowego NASK. Badania w ramach projektu WOMBAT finansowane są z grantu nr 216026 w ramach Siódmego Programu Ramowego Unii Europejskiej.

Czytaj więcej
Zamknięty

Głównym celem projektu FISHA jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli ogólnoeuropejskiego systemu wymiany i dostępu do informacji dotyczących bezpieczeństwa komputerowego oraz ostrzegania przed zagrożeniami w Internecie. System EISAS ma działać w oparciu o istniejące już w krajach Unii Europejskiej systemy podobnego typu i stać się w przyszłości ogólnoeuropejskim forum informacyjnym. Przeznaczeniem systemu jest wzrost świadomości w kwestii bezpieczeństwa on-line wśród użytkowników domowych oraz kadry pracowniczej sektora małych i średnich przedsiębiorstw.

W ramach projektu powstanie prototyp modelowego portalu internetowego, adresowanego do tej grupy odbiorców. Docelowo, każde z państw członkowskich UE będzie miało własny, krajowy portal, na którym publikowane będą aktualne oraz przystępne informacje dotyczące bezpieczeństwa komputerowego, pozyskiwane w ramach systemu EISAS. W przyszłości, oprócz tworzenia i rozwijania dedykowanych portali w krajach UE, prowadzone będą akcje informacyjno-edukacyjne, skierowane do tych społeczności. Ich zaplanowanie i przygotowanie będzie jednym z ważnych zadań projektu.

Projekt wystartował w lutym 2009 roku i realizowany był w ramach specjalnego programu „Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks” Komisji Europejskiej. Projekt zaplanowany był na dwa lata i powstaje we współpracy pomiędzy NASK, CERT-em węgierskim (CERT-Hungary) oraz niemieckim instytutem badawczym Internet Security Centre z Uniwersytetu Gelsenkirchen. Projekt był finansowany w rapach programu „Prawa podstawowe i sprawiedliwość: zapobieganie, przygotowanie i zarządzanie konsekwencjami w dziedzinie terroryzmu”.

Czytaj więcej
Zamknięty

SOPAS System Ochrony Przed Atakami Sieciowymi

Celem projektu jest opracowanie prototypu Systemu Ochrony Przed Atakami Sieciowymi (SOPAS) zabezpieczającego federacyjną sieć teleinformatyczną. Środowisko federacyjne jest tutaj rozumiane jako zbiór autonomicznych domen posiadających własne polityki bezpieczeństwa, odrębnych administratorów, odrębne podsystemy zarządzania siecią oraz jej zasobami informacyjnymi. W skład pojedynczej domeny należącej do systemu ochrony sieci będą wchodzić: Sensory, Elementy reakcji i Moduł decyzyjny.

Sensory to elementy odpowiedzialne za zbieranie danych o wystąpieniu określonych zdarzeń w sieci. Informują one Moduł decyzyjny wysyłając do niego alarmy. Moduł decyzyjny analizuje dane sensoryczne i podejmuje decyzję o wykryciu ataku. Analiza danych sensorycznych będzie polegać na przetwarzaniu odebranych alarmów pochodzących z różnych warstw sieci w celu zbudowania ich sygnatury oraz opracowania rekomendowanych sposobów reakcji. Elementy reakcji będą podejmowały działania zmierzające do ograniczenia skutków ataku. Działania takie mogą polegać zarówno na blokowaniu ruchu, jego przekierowaniu lub nawet kontrolowanemu przepuszczeniu w celu uzyskania przez atakującego poczucia sukcesu. Sposób działania Sensorów i Elementów reakcji może być modyfikowany i aktualizowany odpowiednio do potrzeb. Ich rekonfiguracja będzie realizowana w sposób ręczny (przez administratora) lub automatyczny z wykorzystaniem mechanizmów do tego celu dedykowanych.

Zakłada się, że współpraca pomiędzy Modułami decyzyjnymi systemu SOPAS będzie polegała na wymianie informacji o wykrytych atakach i realizowana będzie za pomocą sieci P2P (ang. peer to peer). Współdzielenie informacji pomiędzy Modułami decyzyjnymi równoprawnych domen poprawi odporność na ataki, a tym samym bezpieczeństwo federacji domen w stosunku do sytuacji, gdy domeny nie współpracują ze sobą. Przekazywanie informacji o zaistniałych sytuacjach alarmowych, sygnaturach ataków oraz propozycji reakcji zapewni efekt synergii oraz umożliwi propagowanie dobrych praktyk w innych domenach.

Projekt realizowany jest w konsorcjum: Wojskowy Instytut Łączności, NASK, ITTI Sp. z o.o.

Czytaj więcej
Zamknięty

SPOTspam

Celami rozpoczętego we wrześniu 2005 projektu były: umożliwienie skutecznej walki ze zjawiskiem spamu w kontekście międzynarodowym, zebranie informacji o dotychczasowych rozwiązaniach prawych i organizacyjnych w krajach UE, wypracowanie zasad legalnego dzielenia się informacją w celach dowodowych i stworzenie pilotażowej bazy danych zbierającej zgłoszenia od indywidualnych użytkowników.

Projekt realizowany był w ramach programu Komisji Europejskiej Safer Internet Programme przez niemieckie konsorcjum eco we współpracy z Microsoftem i NASK / CERT Polska.

Czytaj więcej
Zamknięty

CLOSER

Celem projektu była aktywizacja środowiska zespołów reagujących, przede wszystkim w krajach byłego Związku Radzieckiego. W trakcie projektu zorganizowano serię szkoleń i warsztatów dotyczących reagowania na incydenty, między innymi w Gruzji oraz Mołdawii. Brali w nim udział przedstawiciele działających zespołów CSIRT, m.in. z Armenii, Azerbejdżanu, Bułgarii, Gruzji, Mołdawii, Ukrainy i Uzbekistanu a także sieci akademickich i rządowych z krajów takich jak Kirgistan, Kazachstan czy Białoruś. Uczestnikami warsztatów byli także zaproszeni goście z dojrzałych już zespołów z krajów środkowej i wschodniej Europy, m.in. Czech, Estonii, Łotwy oraz oczywiście Polski. Formuła taka umożliwiała dzielenie się doświadczeniami, najlepszymi praktykami a także wiedzą techniczną. W trakcie jednego z warsztatów omawiano między innymi doświadczenia po atakach na Gruzję i Estonię.

Projekt finansowany był z grantu NATO “Public Diplomacy Division, Network Infrastructure Grant” numer #983081 i zakończył się we wrześniu 2009.

Czytaj więcej