Raport roczny 2012

Data publikacji: 23/04/2013, przemek

Raport CERT Polska za rok 2012 powstał przede wszystkim na podstawie danych operacyjnych otrzymywanych przez nasz zespół z różnych systemów automatycznych. W ubiegłym roku trafiły do nas tą drogą informacje o ponad 10,5 mln incydentów w polskich sieciach. Większość z nich jest przekazywana przez CERT Polska automatycznie do właściwych operatorów przez system n6. Drugim istotnym źródłem informacji są incydenty zgłaszane bezpośrednio do obsługi w CERT Polska. Są to często najpoważniejsze przypadki, wymagające analizy i koordynacji z naszej strony, np. związane z nowym złośliwym oprogramowaniem, botnetem czy phishingiem. W 2012 zarejestrowaliśmy ich aż 1082 – o ponad 80% więcej niż w 2011. Skalę zgłoszeń obsłużonych ręcznie w latach 1996 – 2012 prezentujemy na wykresie poniżej.

Liczba incydentów w latach 1996-2013

Na podstawie powyższych danych opisujemy „krajobraz bezpieczeństwa” w polskich sieciach, starając się zidentyfikować najważniejsze problemy i trendy.

Oto najważniejsze wnioski z raportu:

    • Polska wypada dobrze na tle innych krajów pod względem liczby utrzymywanych w naszym kraju stron
      związanych z phishingiem i złośliwym oprogramowaniem – w statystykach znajdujemy się poza pierwszą
      dziesiątką. Niestety, znacznie gorzej jest w przypadku problemów związanych z komputerami użytkowników
      indywidualnych, a więc liczby botów, skanowań i wysyłanego spamu. Przyczyniają się do tego przede
      wszystkim sieci operatorów komórkowych, oferujących mobilny dostęp do Internetu, a także Netia;
    • Najwięcej zgłoszeń botów, a więc zainfekowanych komputerów, sterowanych centralnie przez specjalne
      kontrolery, dotyczyło trzech rodzajów złośliwego oprogramowania: Viruta, DNSChangera oraz różnych
      odmian ZeuSa. Łącznie każdego dnia obserwowaliśmy średnio ok. 8 000 botów zarażonych tymi wirusami;
    • Obserwujemy systematyczny wzrost liczby incydentów związanych z phishingiem – zarówno w tradycyjnej
      formie, polegającej na tworzeniu stron podszywających się pod banki, sklepy internetowe itp.,
      jak i związanego ze złośliwym oprogramowaniem potrafiącym modyfikować zawartość stron bankowych
      odwiedzanych przez użytkownika;
    • Najczęściej atakowaną usługą w przypadku skanowań jest niezmiennie SMB w Microsoft Windows
      (445/TCP). Robaki propagujące się z wykorzystaniem tej usługi, takie jak Sasser czy Conficker wciąż
      „mają się dobrze”, choć powstały 5 i więcej lat temu!
    • Znacząco, bo aż o 56 %, powiększyła się liczba serwerów DNS w polskich sieciach, które skonfigurowane
      są w nieprawidłowy sposób, narażając na niebezpieczeństwo wszystkich użytkowników sieci. Powodem
      jest głównie brak świadomości istnienia problemu u ich administratorów.

Nowością w sposobie przedstawienia statystyk jest uwzględnienie wielkości systemów autonomicznych poszczególnych operatorów, co pozwala na bardziej obiektywne porównanie skali problemów w różnych sieciach.

Raport uzupełniony jest o opis najciekawszych naszym zdaniem zjawisk i wydarzeń dotyczących bezpieczeństwa IT w 2012 roku. Odrębną częścią dokumentu jest roczny raport z systemu wczesnego ostrzegania ARAKIS.

Raport można pobrać spod adresu tutaj.