Nowy rok przyniósł kolejne rozwiązania poprawiające bezpieczeństwo polskiego internetu. Jednym z nich jest Artemis – narzędzie rozwijane przez zespół CERT Polska (a zapoczątkowane przez członków koła Politechniki Warszawskiej „KN Cyber”), które pomaga sprawdzać poziom zabezpieczeń stron internetowych. Weryfikacji podlegają podmioty, w przypadku których, zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, obsługa incydentów koordynowana jest przez CSIRT NASK.
Zespół CERT Polska, działający w strukturach Państwowego Instytutu Badawczego NASK, przygotował i wdrożył nowe narzędzie o nazwie Artemis. Służy ono do zautomatyzowanego badania podatności stron internetowych.
– Do zadań CERT Polska należy nie tylko monitorowanie cyberprzestrzeni i reagowanie na incydenty, dlatego z satysfakcją obserwuję rozwój narzędzi, które służą bardziej edukacji i profilaktyce. Wskazują na obszary wymagające poprawy, a tym samym zmniejszają ryzyko skutecznego ataku. Ich zastosowanie przekłada się bezpośrednio na wzrost bezpieczeństwa także u użytkowników końcowych, czyli każdego z nas – podkreśla Adam Marczyński, Dyrektor ds. Cyberbezpieczeństwa i Innowacji w NASK.
Jak działa Artemis?
Artemis bada strony udostępnione w internecie w poszukiwaniu podatności bezpieczeństwa i błędów konfiguracyjnych. Regularne skanowanie systemów podmiotów, w przypadku których obsługa incydentów koordynowana jest przez CSIRT NASK, pozwala monitorować i podnosić ich poziom bezpieczeństwa. Ma to kluczowe znaczenie, ponieważ są to instytucje, z których – jako obywatele – korzystamy na co dzień. Uzyskane wyniki nie są w żaden sposób upubliczniane, a jedynie niezwłocznie przekazywane administratorom, dzięki czemu zyskują oni cenną wiedzę na temat wykrytych podatności i mogą wykorzystać ją w celu poprawy bezpieczeństwa systemów. Warto też dodać, że w ramach ponownych testów zespół CERT Polska sprawdza, czy zostały wdrożone niezbędne poprawki.
– Istotną cechą przygotowanego przez nas narzędzia jest to, że proces skanowania pozwala administratorom zidentyfikować obserwowane działania jako prowadzone przez CERT Polska. Pozwala to ograniczyć do minimum ewentualny stres i zagrożenia związane z pochopnym reagowaniem – zauważa Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis.
Rezultaty licznych skanowań, poza podnoszeniem poziomu bezpieczeństwa danego podmiotu, pozwalają też budować szerszy obraz cyberbezpieczeństwa Polski i kierować zasoby CERT Polska tam, gdzie są one najbardziej potrzebne, np. poprzez tworzenie poradników, czy prowadzenie akcji informacyjnych i edukacyjnych.
Dlaczego potrzebny jest Artemis?
Zespół CERT Polska od wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa realizuje część zadań CSIRT NASK i jest odpowiedzialny m.in. za:
- monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;
- przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;
- prowadzenie zaawansowanych analiz złośliwego oprogramowania oraz analiz podatności;
- monitorowanie wskaźników zagrożeń cyberbezpieczeństwa;
- rozwijanie narzędzi i metod do wykrywania i zwalczania zagrożeń cyberbezpieczeństwa;
- prowadzenie działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa;
- tworzenie i udostępnianie narzędzi dobrowolnej współpracy i wymiany informacji o zagrożeniach cyberbezpieczeństwa i incydentach.
Artemis stanowi zatem jeszcze jeden sposób realizacji obowiązków, jakie ustawa nakłada na zespół CERT Polska, a jednocześnie daje możliwość skuteczniejszego działania na rzecz bezpieczeństwa podmiotów, które są w spektrum zainteresowania cyberprzestępców.
- Działanie Artemisa to wyraz naszej dbałości o cyberbezpieczeństwo w podmiotach leżących w kręgu działania CERT Polska, ale także wychodzenie naprzeciw zmieniającemu się krajobrazowi legislacyjnemu. Obowiązki związane z wykonywaniem oceny bezpieczeństwa i przekazywanie informacji o jej efektach administratorom systemów za chwilę trafią do polskiego porządku prawnego. Wprowadzi je dyrektywa NIS2 oraz dyskutowana obecnie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – podsumowuje Sebastian Kondraszuk, kierownik zespołu CERT Polska.
Kto zyska z Artemisem?
Wyznacznikiem obszaru działania Artemisa jest ustawa o krajowym systemie cyberbezpieczeństwa. Zgodnie z jej zapisami CERT Polska pomaga dbać o cyberbezpieczeństwo m.in.:
- szkół,
- szpitali,
- instytutów badawczych,
- uczelni,
- jednostek samorządu terytorialnego (np. gmin – zarówno ich stron internetowych, jak i stron spółek, które obsługują np. wywóz śmieci czy kanalizację).
Podmioty skanowane z wykorzystaniem nowego narzędzia nie są wybierane przypadkowo – chodzi o to, by te działania objęły możliwie szeroki zakres wynikający z ustawy o krajowym systemie cyberbezpieczeństwa. Zespół CERT korzysta przy tym z ogólnodostępnych baz grupujących jednostki danego typu, np. samorządy.
Do prowadzonych skanowań wykorzystywany jest jeden adres IP, zaś system skanujący skonfigurowano w taki sposób, by administrator, zobaczywszy „podejrzane” połączenie, był w stanie sprawdzić, że pochodzi ono od CERT Polska. Powiadomienia o zgłoszonych podatnościach są zaś wysyłane z adresu cert@cert.pl. Wszystko to po to, by uniknąć wątpliwości dotyczących tego, skąd pochodzi dana aktywność i czy nie ma wrogiego charakteru.
Co już wykrył Artemis?
Skanowanie trwa od 2 stycznia i przyniosło już pierwsze rezultaty. Przeskanowanych zostało blisko 2000 domen gmin i powiatów wraz z subdomenami i do tej pory udało się wykryć kilkaset stron bazujących na nieaktualizowanym oprogramowaniu. Eksperci CERT Polska mieli też do czynienia z dziesiątkami sytuacji, w których pliki konfiguracyjne z hasłami, pliki z kopią zapasową serwisu czy foldery z danymi systemu poczty (adresami e-mail, treściami wiadomości czy załącznikami) były dostępne publicznie. Udało się również znaleźć kilkadziesiąt niewłaściwe zabezpieczonych folderów zawierających kod źródłowy systemu, a czasem nawet hasła dostępowe.
