Wyniki testów bezpieczeństwa stron WWW należących do instytucji państwowych są stałym elementem raportów publikowanych co kwartał przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL. Niestety nie motywują one administratorów do łatania tych witryn.

Wśród podatności o wysokim lub bardzo wysokim poziomie zagrożenia przeważają błędy typu Cross Site Scripting (aż 65%), Blind SQL Injection (16%), Cross Site Scripting in URL (8%) oraz SQL/XPath Injection (2%). Specjaliści zwracają także uwagę na fakt wykorzystywania nieaktualnych wersji oprogramowania (zwłaszcza modułu PHP i serwera Apache).

>> Czytaj także: Rządowe strony WWW wciąż słabo zabezpieczone

W raporcie, które obejmuje kwiecień – czerwiec 2010 r., można również znaleźć statystyki systemu ARAKIS-GOV, który został wdrożony w ponad 60 instytucjach państwowych. W omawianym okresie przeważały alarmy o charakterze informacyjnym (85%). Alarmy o priorytecie średnim stanowiły 12%, a te o priorytecie wysokim – zaledwie 1%.

W wyniku analizy zarejestrowanych połączeń stwierdzono, że źródłem większości ataków były sieci komputerowe przypisane do Chin, Stanów Zjednoczonych, Litwy oraz Japonii. CERT.GOV.PL zwraca jednak uwagę, że źródło pochodzenia pakietów nie zawsze jest tożsame z faktyczną lokalizacją wykonawcy ataku. W celu ukrycia swej tożsamości cyberprzestępcy wykorzystują często serwery pośredniczące (proxy) lub słabo zabezpieczone komputery, nad którymi wcześniej przejęli kontrolę.

>> Czytaj także: Atak na pracowników polskiej administracji publicznej

Warto również odnotować wyraźną tendencję spadkową liczby zgłoszeń oraz faktycznych incydentów. W IV kwartale 2009 r. do CERT.GOV.PL wpłynęło 291 zgłoszeń, z których 64 okazało się faktycznymi incydentami. W I kwartale br. odnotowano 225 zgłoszeń, w tym 46 prawdziwych incydentów. Natomiast w II kwartale, którego dotyczy raport, zespół otrzymał zaledwie 141 zgłoszeń, a 39 z nich zakwalifikowano jako faktyczne incydenty. Do najciekawszych incydentów można zaliczyć:

• Ataki ukierunkowane na pracowników jednej z agend rządowych, polegające na wysyłaniu e-maili z załącznikami zainfekowanymi złośliwym oprogramowaniem rozpoznawanym tylko przez niektóre silniki antywirusowe. Treść wiadomości e-mail, nawiązując do tragedii w Smoleńsku, nakłaniała do otwarcia załącznika.
• Umieszczenie strony phishingowej podszywającej się pod instytucję finansową VISA na jednej ze witryn znajdujących się w domenie .edu.pl. Strona została usunięta.
• Podmiana zawartości dwunastu witryn znajdujących się w domenie .mil.pl. Badaniem incydentu zajęło się Wojskowe Biuro Bezpieczeństwa Łączności i Informatyki MON.
• Włamanie w dniu egzaminu maturalnego z matematyki na witrynę Centralnej Komisji Egzaminacyjnej cke.edu.pl.

Więcej szczegółów można znaleźć w raporcie kwartalnym na stronie CERT.GOV.PL.