Jak na stronie Agencji Bezpieczeństwa Wewnętrznego poinformowała ppłk Katarzyna Koniecpolska-Wróblewska, w związku ze wzrostem znaczenia sieci teleinformatycznych dla prawidłowego funkcjonowania państwa i obywateli podjęto decyzję o opracowywaniu przez CERT.GOV.PL dostępnych publicznie raportów kwartalnych.

W tej chwili można zapoznać się z raportem obejmującym lipiec - wrzesień 2009 r. Dokument opracowano m.in. w oparciu o statystyki systemu wczesnego ostrzegania o zagrożeniach w sieci ARAKIS-GOV, który został wdrożony w ponad 50 instytucjach państwowych.

W trzecim kwartale br. ARAKIS-GOV zgłosił 1463 alarmy, w tym tylko 56 o wysokim priorytecie. Źródłem zaobserwowanych ataków były najczęściej Chiny, Stany Zjednoczone, Tajwan i Kanada. Twórcy raportu tłumaczą jednak, że ze względu na specyfikę protokołu TCP/IP źródło pochodzenia pakietów nie zawsze jest tożsame z faktyczną lokalizacją zleceniodawcy ataku - cyberprzestępcy często wykorzystują w tym celu serwery pośredniczące (proxy) lub słabo zabezpieczone komputery, nad którymi przejęli kontrolę.

Od lipca do września zespołowi CERT.GOV.PL zgłoszono 534 incydenty, większość stanowiły jednak przypadki błędnej interpretacji legalnego ruchu sieciowego (false-positives). Tylko 38 zgłoszeń zakwalifikowano jako dotyczące faktycznych incydentów.

W dalszej części raportu omówiono istotne podatności i zagrożenia wykryte w trzecim kwartale 2009 r. Za najważniejsze uznano: błąd w nowej wersji protokołu SMB2 zaimplementowanego w niektórych wersjach systemu operacyjnego Windows, luki w serwerze DNS BIND9 umożliwiające ataki DoS, a także usterkę w jądrze systemu Linux pozwalającą na uzyskanie zwykłemu użytkownikowi praw roota. Omówiono też poszczególne biuletyny bezpieczeństwa Microsoftu.

Na uwagę zasługują również wyniki testów bezpieczeństwa stron internetowych. CERT.GOV.PL przebadał 15 witryn należących do 8 instytucji państwowych, znajdując w sumie 167 błędów, w tym 44 o bardzo wysokim poziomie zagrożenia. Wśród podatności o wysokim i bardzo wysokim stopniu zagrożenia dominowały luki typu XSS, SQL/Xpath Injection, Blind SQL Injection, korzystanie z przestarzałych wersji protokołu SSL oraz ujawnianie istotnych informacji poprzez publikację strony zawierającej instrukcje PHP phpinfo.

Z pełną treścią raportu można zapoznać się na stronach www.cert.gov.pl i www.abw.gov.pl.