Na 18 witrynach należących do 10 instytucji państwowych, przebadanych w II kwartale br., zespół CERT.GOV.PL znalazł aż 515 luk, w tym 212 o bardzo wysokim poziomie bezpieczeństwa.
reklama
Wyniki testów bezpieczeństwa stron WWW należących do instytucji państwowych są stałym elementem raportów publikowanych co kwartał przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL. Niestety nie motywują one administratorów do łatania tych witryn.
Wśród podatności o wysokim lub bardzo wysokim poziomie zagrożenia przeważają błędy typu Cross Site Scripting (aż 65%), Blind SQL Injection (16%), Cross Site Scripting in URL (8%) oraz SQL/XPath Injection (2%). Specjaliści zwracają także uwagę na fakt wykorzystywania nieaktualnych wersji oprogramowania (zwłaszcza modułu PHP i serwera Apache).
W raporcie, które obejmuje kwiecień – czerwiec 2010 r., można również znaleźć statystyki systemu ARAKIS-GOV, który został wdrożony w ponad 60 instytucjach państwowych. W omawianym okresie przeważały alarmy o charakterze informacyjnym (85%). Alarmy o priorytecie średnim stanowiły 12%, a te o priorytecie wysokim – zaledwie 1%.
W wyniku analizy zarejestrowanych połączeń stwierdzono, że źródłem większości ataków były sieci komputerowe przypisane do Chin, Stanów Zjednoczonych, Litwy oraz Japonii. CERT.GOV.PL zwraca jednak uwagę, że źródło pochodzenia pakietów nie zawsze jest tożsame z faktyczną lokalizacją wykonawcy ataku. W celu ukrycia swej tożsamości cyberprzestępcy wykorzystują często serwery pośredniczące (proxy) lub słabo zabezpieczone komputery, nad którymi wcześniej przejęli kontrolę.
Warto również odnotować wyraźną tendencję spadkową liczby zgłoszeń oraz faktycznych incydentów. W IV kwartale 2009 r. do CERT.GOV.PL wpłynęło 291 zgłoszeń, z których 64 okazało się faktycznymi incydentami. W I kwartale br. odnotowano 225 zgłoszeń, w tym 46 prawdziwych incydentów. Natomiast w II kwartale, którego dotyczy raport, zespół otrzymał zaledwie 141 zgłoszeń, a 39 z nich zakwalifikowano jako faktyczne incydenty. Do najciekawszych incydentów można zaliczyć:
Więcej szczegółów można znaleźć w raporcie kwartalnym na stronie CERT.GOV.PL.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*