Publikujemy raport roczny 2011

Data publikacji: 17/04/2012, przemek

Raport roczny 2011W raporcie rocznym CERT Polska za rok 2011 prezentujemy opisową analizę danych dotyczących zagrożeń w polskich sieciach, opartą przede wszystkim o 21 210 508 zgłoszeń pochodzących z systemów automatycznych, oraz, w mniejszym stopniu, o 605 incydentów zarejestrowanych na podstawie zgłoszeń indywidualnych. Wszystkie dane ujęte są w kategorie podobne do tych z raportu rocznego z 2010 r. oraz półrocznego za styczeń-czerwiec 2011. Dodatkowo, ze względu na skalę zjawiska, wyróżniliśmy dwie dodatkowe kategorie, do tej pory włączane do statystyki „pozostałe” – są to ataki brute force oraz otwarte serwery DNS.

Rozkład danych z systemów automatycznych w podziale na kategorie pokazuje poniższy wykres (uwaga, skala logarytmiczna!).

Kategorie zdarzeń 2011

Osobny rozdział raportu poświęcony jest szczegółowemu omówieniu najważniejszych zjawisk, w których analizę włączony był zespół CERT Polska, w szczególności nowych wcieleń złośliwego oprogramowania SpyEye i Zeus oraz wykorzystywania nieuwagi internautów do nakłaniania do udziału w konkursach SMS premium.

Integralną częścią dokumentu jest także raport z systemu wczesnego ostrzegania ARAKIS (www.arakis.pl), zaimplementowanego między innymi na potrzeby rządowego zespołu CERT.GOV.PL do ochrony zasobów teleinformatycznych administracji publicznej. Zamieszczamy w nim między innymi statystyki dotyczące alarmów generowanych przez system oraz opisy kilku interesujących przypadków obserwacji dokonanych z jego użyciem.

Raport CERT Polska 2011 zostanie zaprezentowany na konferencji prasowej w najbliższy czwartek, 19 kwietnia 2012 o 11:00 w Centrum Prasowym PAP przy ulicy Brackiej 6/8 w Warszawie.

Najciekawsze wnioski z raportu prezentujemy poniżej:

    • W 2011 roku zaobserwowaliśmy aż 5,5 mln botów (prawie 10 mln zgłoszeń) u polskich operatorów. Najwięcej, prawie 2,5 mln, znajdowało się w sieciach TP.
    • Podobnie jak w 2010 roku, Conficker był najczęściej występującym botem w polskich sieciach. Otrzymaliśmy aż 2,1 mln automatycznych zgłoszeń.
    • Serwisy oferujące darmowe aliasy są coraz częściej wykorzystywane przez przestępców – były wykorzystywane w 84% przypadkach phishingu w domenie .pl z ich użyciem, stanowiły także 25% polskich adresów, z którymi łączyło się złośliwe oprogramowanie analizowane w sandboksach.
    • Najczęściej skanowanym portem w polskich sieciach był 445/TCP związany z podatnościami w windowsowej usłudze związanej z SMB. Jednakże liczba adresów IP skanujących ten port zmalała w stosunku do roku 2010 o ok. 29%.
    • Najwięcej serwerów C&C o charakterze IRC-owym w Polsce znajdowało się w hostowniach należących do podmiotów międzynarodowych (LEASEWEB, OVH), mających też sieci przypisane Polsce.
    • Stosunkowo niewiele mamy zgłoszeń ataków DDoS. Nie oznacza to oczywiście, że nie ma takich ataków − wynika to raczej z niechęci do zgłaszania i trudności wykrycia takiej aktywności przez stronę trzecią (stąd niewiele zgłoszeń automatycznych).
    • Wśród polskich operatorów internetowych brakuje woli do blokowania portu 25 TCP dla końcowych użytkowników, choć skuteczność takich działań została wykazana przez Telekomunikację Polską.
    • W Polsce znajduje się ponad 160 tysięcy źle skonfigurowanych serwerów DNS, które mogą być wykorzystywane w atakach DDoS. Problem dotyczy w zasadzie wszystkich operatorów.