CSIRT.SK
ANALÝZA AKTUÁLNEHO STAVU
A VÝVOJA INCIDENTOV
V PRVOM POLROKU 2014
OBSAH
1. ÚVOD
4
2. ŠPECIALIZOVANÝ ÚTVAR CSIRT.SK
4
3. REAKCIA NA BEZPEČNOSTNÉ INCIDENTY 5
4. TRENDY
8
5. PROAKTÍVNE SLUŽBY
13
6. SPOLUPRÁCA
19
CSIRT.SK PLNÍ ÚLOHY SÚVISIACE
S POSTAVENÍM
NÁRODNÉHO
KONTAKTNÉHO
BODU
PRE
NAHLASOVANIE POČÍTAČOVÝCH
BEZPEČNOSTNÝCH INCIDENTOV.
3
1. ÚVOD
Tento dokument prezentuje vybrané
štatistiky počítačových bezpečnostných
incidentov,
ktoré
boli
riešené
špecializovaným útvarom CSIRT.SK v prvej
polovici roka 2014. Dokument mapuje
útoky a bezpečnostné udalosti, ktoré boli
pozorované
v
IP adresnom
priestore
Slovenskej republiky a mali dopad na jeho
bezpečnosť.
Obsahuje
informácie
získané CSIRT.SK a tiež dáta z rôznych
zdrojov, najmä od zahraničných partnerov.
Cieľom
tohto
dokumentu
je
poskytnúť
čitateľovi
obraz
o situácií
v Slovenskom adresnom priestore vzhľadom
na hrozby, ktoré v ňom boli zaznamenané
a zároveň informovať o aktuálnom dianí
za prvú polovicu roka 2014.
2. ŠPECIALIZOVANÝ ÚTVAR CSIRT.SK
Špecializovaný
útvar
CSIRT.SK
(Computer Security Incident Response
Team Slovakia) bol zriadený v pôsobnosti
Ministerstva financií SR s cieľom zabezpečiť
primeranú úroveň ochrany národnej
informačnej a komunikačnej infraštruktúry
(ďalej
NIKI)
a
kritickej
informačnej
infraštruktúry (ďalej KII).
CSIRT.SK plní úlohy jednak spojené
s reakciou na počítačové bezpečnostné
incidenty v rámci informačných systémov
verejnej správy, ako aj úlohy súvisiace
s postavením
jednotného
kontaktného
bodu pri prijímaní hlásení zo zahraničia
a koordinácií ich riešenia na národnej
úrovni.
V priestore
Slovenskej
republiky
CSIRT.SK plní úlohy definované uznesením
vlády SR č. 479/2009 a inštitúciám verejnej
správy poskytuje najmä:
správy poskytuje najmä:
a) aktívne služby - reakcia na prebiehajú ce počítačové bezpečnostné incidenty, ich analýza, návrh opatrení,
kooperácia
so
zahraničnými
subjektmi pri náprave.
b) proaktívne služby – prevencia pred vznikom počítačových bezpečnostných
incidentov (varovanie pred hrozbami,
penetračné testovanie, konzultácie,
audity,
vzdelávacie
a tréningové
aktivity, cvičenia na ochranu kritickej
informačnej infraštruktúry, bezpečnostný monitoring a iné).
4
3. REAKCIA NA BEZPEČNOSTNÉ INCIDENTY
V rámci aktívnych služieb CSIRT.SK
prijímal
hlásenia
o bezpečnostných
incidentoch a podľa potreby ich riešil alebo
koordinoval ich riešenie na národnej úrovni.
Zdrojmi hlásení o bezpečnostných incidentoch boli:
 napadnuté inštitúcie v Slovenskej
republike a v zahraničí (organizácie
štátnej správy, finančné inštitúcie,
poskytovatelia internetových služieb, atď.),
 CSIRT/CERT tímy,
 bezpečnostné
zložky
a orgány
činné v trestnom konaní doma
a v zahraničí,
 dohľadové
a monitorovacie
systémy na detekciu bezpečnostných incidentov v infraštruktúre
komerčných, vládnych a akademických subjektov v SR a zahraničí
(detekcia botnetov, webových
stránok
s
úmyselnou
zmenou
obsahu
tzv.
„defacement“,
webových stránok, kde dochádza
k neoprávnenému získavaniu informácií tzv „phishing“, škodlivého
kódu, atď.).
Hlásenia incidentov sú prijímané
e-mailom, telefonicky, alebo prostredníctvom elektronických formulárov, ktoré sú
prístupné na webovom sídle:
 https://www.csirt.gov.sk/
kontakty-7db.html,
 https://www.csirt.gov.sk/hlasenia/
hlasenie-incidentu-7ed.html.
Prijaté hlásenia sú ďalej kategorizované
na základe ich závažnosti do dvoch
kategórií:
1. Závažné
bezpečnostné
incidenty,
do ktorých zaraďujeme incidenty, ak sa
jedná o:
 ohrozenú
funkčnosť/dostupnosť
informačného
systému
verejnej
správy alebo kritickej infraštruktúry,
 možný únik citlivých informácií,
 možný vznik finančných strát, alebo
 možné poškodenie dobrého mena
Slovenskej republiky.
2. Hromadne spracovávané bezpečnostné
incidenty, ako napríklad:
 podozrenie na výskyt škodlivej
aktivity z IP adresného priestoru SR,
 podozrenie na zmenu obsahu
webových stránok,
 zraniteľnosť v informačnom systéme.
VĎAKA
ÚZKEJ
SPOLUPRÁCI
S DOMÁCIMI A ZAHRANIČNÝMI
PARTNERMI CSIRT.SK NAPOMÁHA
K
ZVYŠOVANIU
BEZPEČNOSTI
NA ÚZEMÍ SLOVENSKEJ REPUBLIKY.
5
CSIRT.SK rieši závažné incidenty
priamo s prevádzkovateľom dotknutého
aktíva, pričom zastúpenie jednotlivých
typov škodlivej aktivity je uvedené v grafe
číslo 1.
CSIRT.SK sa vždy okrem informácií
o samotnom incidente snaží poskytnúť
aj návrh opatrení pre zamedzenie výskytu
takéhoto incidentu a taktiež návrh opatrení
pre zmiernenie jeho dopadov v prípade,
ak sa už vyskytol.
36
33
28
16
11
10
5
5
4
2
1
Neoprávnené získavanie informácií (phishing, ...)
Botnet
Škodlivý kód
Zraniteľnosť
Nedostupnosť (DoS, DDoS, ...)
Nežiaduci obsah (defacement, spam, ...)
Pokus o prienik
Prienik do systému
Podvod
Neoprávnený prístup k informáciám/únik informácií
Ostatné
Graf 1 Typy a počty závažných bezpečnostných incidentov hlásených v IP
adresnom priestore SR za obdobie 01.01.-30.06.2014
V období od 01.01. do 30.06.2014
CSIRT.SK zaznamenal viac ako dva milióny
hlásení možného výskytu škodlivej aktivity
týkajúcich sa IP adries v adresnom rozsahu
SR. Najpočetnejšou bola zraniteľnosť typu
openresolver, ktorá umožňuje útočníkovi
spôsobiť odstavenie služby DNS servera
alebo zapojenie zraniteľného servera
do DDoS útoku. Okrem tejto zraniteľnosti
bola najčastejšie reportovaná škodlivá
aktivita typu bot, čo znamená výskyt
škodlivého softvéru na zariadení s rôznou
činnosťou.
Súčasne
bolo
za
1.
polrok
identifikovaných 230 296 unikátnych IP
adries, na ktorých bolo zaznamenané
podozrenie z výskytu škodlivej aktivity.
Počet IP adries nekorešponduje s počtom
napadnutých zariadení vzhľadom na to,
že jednu verejnú IP adresu môže súčasne
využívať väčší počet zariadení, ako aj,
že adresy sú prideľované dynamicky a
jeden klient môže postupne komunikovať
z rôznych verejných IP adries v čase.
6
010100000110111101110011011010010110010101101100011000010110101001110100011001010010000001
000011010101100010000001101110011000010010000001101001011011100110011001101111010000000110
001101110011011010010111001001110100001011100110011101101111011101100010111001110011011010
110111110001010000011011110111001101101001011001010110110001100001011010100111010001100101
001000000100001101010110001000000110111001100001001000000110100101101110011001100110111101
000000011000110111001101101001011100100111010000101110011001110110111101110110001011100111
001101101011011111000101000001101111011100110110100101100101011011000110000101101010011101
000110010100100000010000110101011000100000011011100110000100100000011010010110111001100110
011011110100000001100011011100110110100101110010011101000010111001100111011011110111011000
101110011100110110101101111100010100000110111101110011011010010110010101101100011000010110
101001110100011001010010000001000011010101100010000001101110011000010010000001101001011011
100110011001101111010000000110001101110011011010010111001001110100001011100110011101101111
011101100010111001110011011010110111110001010000011011110111001101101001011001010110110001
100001011010100111010001100101001000000100001101010110001000000110111001100001001000000110
100101101110011001100110111101000000011000110111001101101001011100100111010000101110011001
110110111101110110001011100111001101101011011111000101000001101111011100110110100101100101
011011000110000101101010011101000110010100100000010000110101011000100000011011100110000100
100000011010010110111001100110011011110100000001100011011100110110100101110010011101000010
111001100111011011110111011000101110011100110110101101111100010100000110111101110011011010
010110010101101100011000010110101001110100011001010010000001000011010101100010000001101110
011000010010000001101001011011100110011001101111010000000110001101110011011010010111001001
110100001011100110011101101111011101100010111001110011011010110111110001010000011011110111
001101101001011001010110110001100001011010100111010001100101001000000100001101010110001000
000110111001100001001000000110100101101110011001100110111101000000011000110111001101101001
011100100111010000101110011001110110111101110110001011100111001101101011011111000101000001
101111011100110110100101100101011011000110000101101010011101000110010100100000010000110101
011000100000011011100110000100100000011010010110111001100110011011110100000001100011011100
110110100101110010011101000010111001100111011011110111011000101110011100110110101101111100
010100000110111101110011011010010110010101101100011000010110101001110100011001010010000001
000011010101100010000001101110011000010010000001101001011011100110011001101111010000000110
001101110011011010010111001001110100001011100110011101101111011101100010111001110011011010
BOT, SCANNER A SPAM SENDER
– V DNEŠNEJ DOBE „POVINNÁ”
FUNKCIONALITA KAŽDÉHO INFIKOVANÉHO SERVERA.
1101111100
7
Podľa typu incidentu sa na týchto IP
adresách najčastejšie vyskytovala:

Zraniteľnosť typu openresolver (viac
ako 163 000 IP adries)


Infekcia typu bot (viac ako 72 000 IP
adries)
Infekcia bankovými trojskými koňmi
Zeus a Citadel (viac ako 3 700 IP
adries)
2 080 276
274 183
221 364
114 336
4 511
3 357
1 911
1 523
1 161
496
168
152
100
21
17
Openresolvers
Bots
Unclassified
Scanners
Zeus
Citadel
Defacement
Malwareurl
Bruteforce
Malware
Phishing
Virut
Proxy
C&C
Spam
DDoS report
12
Graf 2 Typy a počty hromadne spracovávaných incidentov hlásených v IP adresnom
priestore SR za obdobie 01.01.-30.06.2014
4. TRENDY
Celosvetové
trendy
v oblasti
informačnej bezpečnosti sa prejavujú aj
v Slovenskej republike. Za posledné roky,
konkrétne 2011 až 2013, môžeme pozorovať
narastajúci počet výskytu a zároveň aj
samotnej detekcie závažných bezpečnostných incidentov, ktoré boli riešené
špecializovaným
útvarom
CSIRT.SK.
V sledovanom období sme pozorovali
nárast
počtu
pokusov
o prienik
do informačných systémov ako aj nárast
útokov typu phishing.
Cieľom útočníka je získať kontrolu
nad zariadeniami obete a prostredníctvom
nich vykonávať rôzne neželané aktivity. Na
infikované servery nie sú inštalované iba
jednotlivé typy, ale celé sady škodlivého
kódu.
nich vykonávať rôzne neželané aktivity.
Na infikované servery nie sú inštalované iba
jednotlivé typy, ale celé sady škodlivého
kódu.
Príkladom
takto
napadnutého
zariadenia je server, ktorý je súčasťou
rozsiahlej siete botnet, zároveň je infikovaný
škodlivým kódom, ktorý skenuje útočníkom
zvolený rozsah IP adries potenciálnej obete
a škodlivým kódom slúžiacim na rozosielanie nevyžiadanej pošty zo servera obete.
Z tohto dôvodu CSIRT.SK vždy požiada
o dôkladné
prešetrenie
oznamovanej
skutočnosti o výskyte škodlivého kódu
dotknutých zariadeniach. V rámci tejto
oblasti CSIRT.SK taktiež vyvíja aktivity na
zvýšenie povedomia o tejto problematike. 8
Pokus o prienik/prienik do systému
Phishing
Nežiaduci obsah
Škodlivý kód
Zraniteľnosť
Iné
VI. 2014
V. 2014
IV. 2014
III. 2014
II. 2014
I. 2014
XII. 2013
XI. 2013
IX. 2013
VIII. 2013
VII. 2013
VI. 2013
V 2013
IV. 2013
III. 2013
II. 2013
I. 2013
Grafické
znázornenie
počtu
závažných
incidentov
v jednotlivých
mesiacoch rokov 2013 a 2014 predstavuje
graf 3.
X. 2013
na dotknutých zariadeniach. V rámci tejto
CSIRT.SK taktiež vyvíja aktivity
na zvýšenie povedomia o tejto problematike.
0oblasti
Graf 3 Počet závažných incidentov podľa typov od 1.1.2013 do 30.6.2014
Výskyt rôznych druhov škodlivej
aktivity zo strany „útočníkov“ v sieti Internet
prezentuje graf 4, ktorý vyhodnocuje
činnosť bezpečnostných zariadení malej
siete v bode pripojenia do Internetu
za časový interval 72 hodín.
Na základe vyhodnotených údajov
je možné vidieť, že každá verejne dostupná
IP adresa (resp. sieť) je skenovaná
automatizovanými nástrojmi na otvorené
porty, teda služby, ktoré sú dostupné
zo siete Internet. Tieto skeny často vykonávajú infikované zariadenia bez vedomia ich
vlastníka, teda zariadenia, ktoré sú napríklad súčasťou niektorej siete botnet.
9
CSIRT.SK
na
základe
žiadosti
zahraničných
partnerov
v spolupráci
so zasiahnutými prevádzkovateľmi serverov
na území Slovenska úspešne zabezpečil
odpojenie niekoľkých riadiacich a kontrolných C&C serverov.
Pre Slovenskú republiku sú vyhradené
bloky IP adries spolu obsahujúce 2 447 616
jedinečných verejných IP adries
(http://www.nirsoft.net/countryip/sk.html).
42 326
29 479
2 823
434
332
Automatizované skeny
Zhromažďovanie informácií
Prijaté neštandardné datagramy a požiadavky
Pokusy o DoS
Pokusy o prienik
Pokusy o zneužitie zraniteľnosti
232
Graf 4 Ukážka zaznamenanej škodlivej aktivity za 72 hodín
ODHADUJEME, ŽE MINIMÁLNE
6% PRACOVNÝCH STANÍC NA
ÚZEMÍ SLOVENSKEJ REPUBLIKY
JE INFIKOVANÝCH ŠKODLIVÝM
KÓDOM.
Na
základe
hlásení
možného
výskytu škodlivej aktivity týkajúcich sa IP
adries v adresnom rozsahu SR (graf č. 2) je
možné predpokladať, že škodlivým kódom
je na Slovensku infikovaných minimálne
100 000 – 150 000 zariadení, čo predstavuje
minimálne
6
percent
zo
všetkých
pracovných staníc na území Slovenskej
republiky1.
pracovných staníc na území Slovenskej
republiky1. Tieto zariadenia predstavujú
bezpečnostné riziko pre ich používateľov
najmä ak sú používané napríklad na prácu
s Internet bankingom, nákup cez Internet,
alebo pri službách eGovernmentu.
Ak budeme uvažovať, že1 IP adresa je ekvivalentná 1 pracovnej stanici. Teda nebudeme uvažovať
preklad sieťových adries (NAT), nakoľko štatistiky o využívaní NAT nie sú k dispozícií. Číslo je
pravdepodobne vyššie, nakoľko nie všetky adresy sú obsadené.
1
10
DESIATKY TISÍC SLOVENSKÝCH
ZARIADENÍ NAPOMÁHAJÚ ÚTOČNÍKOM PRI DDOS ÚTOKOCH,
BEZ VEDOMIA ICH VLASTNÍKOV.
CSIRT.SK ďalej zaznamenal zvýšené
množstvo e-mailových správ typu phishing
aj v prostredí verejnej správy, pričom
niektoré sú súčasťou aj cielených útokov
na tieto
inštitúcie.
Takéto
podvodné
e-maily bývajú zamerané na získanie prihlasovacích údajov. Často býva prílohou
takýchto e-mailov škodlivý kód, prípadne
odkaz na škodlivý kód. Hlavným cieľom
škodlivého kódu býva vykonanie škodlivej
aktivity za účelom vytvorenia zadných
vrátok pre útočníka do siete, resp. systému,
úniku údajov alebo ovládnutie zariadenia
a jeho
zapojenie
do
siete
botnet
a podobne.
K infikovaniu
zariadenia
sú
v takomto
prípade
použité
najmä
prosrooey socaneooooo nznersva, a
pishingov a zlomyseľné e-mailové správy.
K infekcii potom dochádza na základe
spustenia škodlivého kódu obsiahnutého
v prílohe
alebo
prístupom
na
kompromitovanú webovú stránku (drive-by
download) pomocou nastrčeného odkazu.
Pokiaľ sa nejedná o zero-day exploit, tak
dôležitú úlohu zohráva aj neaktuálnosť
softvérového vybavenia pracovnej stanice
(operačný systém, webové prehliadače,
kancelárske balíky a podobne) spolu so
slabým
zabezpečením
samotného
zariadenia (účty bez hesla, predvolené
účty,
prípadne
všetci
používatelia
s právami administrátora).
prostriedky sociálneho inžinierstva, teda
správy typu phishing
a
zlomyseľné
e-mailové
správy.
K infekcii
potom
dochádza na základe spustenia škodlivého
kódu obsiahnutého v prílohe alebo prístupom na kompromitovanú webovú stránku
(drive-by
download)
pomocou
nastrčeného odkazu. Pokiaľ sa nejedná
o zero-day exploit, tak dôležitú úlohu
zohráva aj neaktuálnosť softvérového
vybavenia pracovnej stanice (operačný
systém,
antivírusový
softvér,
webové
prehliadače, kancelárske balíky a podobne) spolu so slabým zabezpečením
samotného zariadenia (účty bez hesla,
predvolené
účty,
prípadne
všetci
používatelia s právami administrátora).
ZVYŠUJE SA POČET A KVALITA
CIELENÝCH
PHISHINGOVÝCH
STRÁNOK SO ZAMERANÍM SA
NA KONKRÉTNE KRAJINY.
11
Phishingové stránky, ktoré požadujú
vloženie prihlasovacích údajov do rôznych
informačných systémov, sa nezameriavali
iba na pracovníkov štátnej a verejnej
správy. Často sa jednalo o phishingové
stránky zamerané na vylákanie prihlasovacích
údajov
do
webových
a bankových služieb ako napríklad Internet
banking, PayPal, Facebook či rôznych
služieb od spoločnosti Google, ktoré
využíva väčšina obyvateľov Slovenska.
Väčšina takto podvrhnutých nahlásených
stránok
bola
hostovaná
na
území
Slovenskej
republiky.
V spolupráci
s prevádzkovateľmi dotknutých webových
serverov boli takéto podvodné phishingové
stránky priebežne odstraňované.
služieb od spoločnosti Google, ktoré využíva mnoho obyvateľov Slovenska. Väčšina
takto podvrhnutých nahlásených stránok
bola prevádzkovaná na území Slovenskej
republiky. V spolupráci s prevádzkovateľmi
dotknutých webových serverov boli takéto
podvodné phishingové stránky priebežne
odstraňované.
Faktom je, že neustále narastá
počet cielených phishingových stránok.
Jedná
sa
o stránky,
ktoré
sa
pri
bežnej
kontrole,
napríklad
prevádzkovateľom alebo vlastníkom servera,
javia ako korektné, ale po pripojení sa
na webovú stránku z cieľovej krajiny (napr.
Brazílie, Francúzska alebo Španielska) sa
namiesto
štandardného
korektného
obsahu objaví podvrhnutý phishingový
obsah.
Stále
bežnejším
typom
útoku
na infraštruktúru organizácie je DDoS útok,
pri ktorom sa útočníci snažia obmedziť
dostupnosť elektronických služieb cieľového
zariadenia prostredníctvom vyčerpania
zdrojov,
zahltenia
linky,
prípadne
znefunkčnenia zariadenia alebo služby.
Najčastejším typom DDoS útoku boli útok
DDoS TCP-SYN flood a DDoS UDP flood over
NTP, ktorých participantmi boli aj IP adresy
patriace do adresného priestoru Slovenskej
republiky.
.
zdrojov,
zahltenia
linky,
prípadne
znefunkčnenia zariadenia alebo služby.
Najčastejším typom DDoS útoku boli útok
DDoS TCP-SYN flood a DDoS UDP flood over
NTP, ktorých účastníkmi boli aj IP adresy
patriace do adresného priestoru Slovenskej
republiky.
Ďalšími zaujímavými útokmi boli
útoky na e-mailové účty s cieľom exfiltrácie
e-mailových
účtov
prostredníctvom
protokolu POP3, ktoré sa uskutočnili v prvej
polovici marca 2014.
PREVAŽNÁ VÄČŠINA INCIDENTOV EVIDOVANÝCH CSIRT.SK
MÁ PRÍČINU V NEDODRŽIAVANÍ
ZÁKLADNÝCH
BEZPEČNOSTNÝCH ZÁSAD.
12
VIAC AKO 300 000 NAPADNUTÝCH SMEROVAČOV V STREDNEJ EURÓPE JE ÚTOČNÍKMI
PRESMEROVANÝCH NA NIMI
URČENÉ DNS SERVERY.
Odhaduje sa, že v strednej Európe prostredníctvom útoku "Man in the
jeho
peer-to-peer
variant
napadnutých cca. 300 000 smerova- Browser",
čov v domácnostiach a malých firmách, GameOver Zeus a Ebury - rootkit/backdoor
trojan pre Linux/Unix operačné systémy,
na ktorých je presmerovaná DNS komunikácia na útočníkom určené DNS servery. ktorý získava SSH prihlasovacie údaje
V tejto
súvislosti
vypracoval
CSIRT.SK (meno/heslo) z SSH spojení.
Vo všeobecnosti pre rok 2014,
metodiku za účelom overenia prítomnosti
ale rovnako aj pre rok 2015 je možné
dotknutej zraniteľnosti na predmetnom zapredpokladať nárast počtu závažných
riadení, spolu s inštrukciami na implemenbezpečnostných incidentov a z nich
táciu bezpečnostných opatrení.
Záverom spomenieme najčastejšie vyplývajúcich hrozieb pre elektronické
typy škodlivého kódu, ktoré sme v prvom služby štátu, elektronické bankové služby,
polroku 2014 zaznamenali. Boli nimi škodlivý služby elektronického obchodu a ostatné
služby
prostredníctvom
kód Zeus - bankový trójsky kôň, ktorý kradne elektronické
prihlasovacie údaje do Internet bankingu infikovaných zariadení.
prostredníctvom útoku "Man in the
Browser",
jeho
peer-to-peer
variant
GameOver Zeus a Ebury - rootkit/backdoor
trojan pre Linux/Unix operačné systémy,
ktorý získava SSH prihlasovacie údaje
(meno/heslo) z SSH spojení.
Vo všeobecnosti pre rok 2014,
ale rovnako aj pre rok 2015 je možné
predpokladať zvyšovanie počtu závažných
V rámci incidentov
proaktívnycha služieb
boli vzdelávacie a tréningové aktivity na ochbezpečnostných
z nich
vykonané vhrozieb
prvej polovici
roka 2014 ranu kritickej informačnej infraštruktúry,
vyplývajúcich
pre elektronické
bezpečnostný monitoring a iné.
publikovanie
varovaní bankové
pred aktuálnymi
služby
štátu, elektronické
služby,
hrozbami,
penetračné
služby
elektronického
obchodu a testovanie
ostatné
a ohodnocovanie
informačelektronické
služby zraniteľností
prostredníctvom
ných
systémov
verejnej
správy,
infikovaných
zariadení.
bezpečnostné
konzultácie,
audity,
5. PROAKTÍVNE SLUŽBY
13
Penetračné testovanie
Významnou súčasťou proaktívnych
služieb CSIRT.SK je bezodplatná realizácia
penetračných
testov
informačných
systémov a ohodnocovanie zraniteľností
webových portálov inštitúcií verejnej
správy. V rámci týchto testov dochádza
jednak k identifikácií kritických zraniteľností,
ktoré môžu byť zneužité útočníkom
na ohrozenie
funkčnosti
a bezpečnosti
systémov, ako aj k návrhu opatrení na ich
odstránenie.
Realizácia
testov
vykonávaných útvarom CSIRT.SK výrazne
redukuje náklady, ktoré by museli byť
vynaložené
zo
štátneho
rozpočtu
na realizáciu takýchto testov externými
subjektmi.
Konzultácie
Pre inštitúcie, ktoré nedisponujú
dostatočnými
odbornými
kapacitami
poskytuje útvar konzultácie k zabezpečeniu
infraštruktúry
a audity
informačnej
bezpečnosti za účelom overenia súladu
s bezpečnostnými
štandardmi
definovanými výnosom MF SR č. 55/2014 Z.z.
o štandardoch pre informačné systémy
verejnej
správy
(IS
VS)
alebo
medzinárodným
štandardom
ISO/IEC
27001:2013.
CSIRT.SK:
http://www.csirt.gov.sk/informacnabezpecnost/navody-aodporucania/ochrana-koncovych-stanic811.html
Varovania
Súčasťou proaktívnych služieb je
monitoring
aktuálnej
bezpečnostnej
situácie v digitálnom priestore Slovenskej
republiky a vydávanie varovaní. Varovania
sú distribuované buď priamo potenciálne
dotknutým
inštitúciám
alebo
sú
publikované
na
web
stránke
http://www.csirt.gov.sk/oznamenia-avarovania-803.html.
CSIRT.SK
vytvoril
jedinečný
zoznam
kontaktov na inštitúcie štátnej správy
a subjekty zapojené do problematiky
informačnej
bezpečnosti
vrátane
akademickej
obce,
poskytovateľov
elektronických
služieb
a subjektov
v priestore kritickej infraštruktúry. S týmito
inštitúciami
a subjektmi
spolupracuje
CSIRT.SK pri riešení konkrétnych incidentov
a hrozieb.
Medzinárodné
cvičenia
Za
účelom
zvyšovania
odbornej
Za účelom zvyšovania
odbornej spôsobilosti
spôsobilosti
SR vsa
sa
CSIRT.SK
v prvom
SR
CSIRT.SK
SR sa CSIRT.SK
prvom
polroku
2014 polroku
aktívne
V rámci zvýšenia bezpečnosti
2014
aktívne
zúčastnil
prvej
fázy
TLEx
v
prvom
polroku
2014
zúčastnil prvej fázy TLEx medzinárodného
CSIRT.SK identifikoval potrebu zvýšenia
medzinárodného
cvičenia2014
CYBER
EUROPE
aktívne
1, ktoré
cvičeniazúčastnil
CYBER prvej
EUROPE
bolo
bezpečnostného povedomia u koncových
2TLEx
2014
,
ktoré
bolo
zamerané
na
preverenie
fázy
zamerané na preverenie technickej úrovne
používateľov. Z tohto dôvodu CSIRT.SK
technickej
jednotlivých
krajín
medzinárodného
jednotlivých úrovne
krajín a nastavenie
procesov
vypracoval napríklad základnú príručku pre
a
nastavenie
procesov
krízového
riadenia
cvičenia
CYBER
EUROPE
krízového
riadenia
pri
rozsiahlych
zabezpečenie
pracovnej
stanice
1, ktoré bolo
pri
rozsiahlych
bezpečnostných
incidentoch
2014
bezpečnostných
incidentoch
na platforme Windows (prevažná väčšina
organizovaných
v
zamerané
na preverenie
organizovaných
v rámci
rámci Európskej
Európskej únie.
únie.
infikovaných zariadení používa práve
Slovenský
tím
zložený
zo
zástupcov
technickej
úrovne
Slovenský tím zložený zo zástupcov
operačný systém založený na platforme
špecializovaného
útvaru CSIRT.SK
CSIRT.SK
jednotlivých
krajín
špecializovaného
útvaru
a
Windows). Príručka obsahuje aj časť
a
analytikov
SIS
sa
umiestnil
na
4.
mieste
nastavenie
procesov
analytikov SIS sa umiestnil na 4. mieste
venovanú rodičovskej kontrole práve za
v
214
vládnych, súkromných
súkromných
krízového
riadenia
v konkurencii
konkurencii
214pri vládnych,
účelom ochrany detí na Internete. Príručku
a
akademických
tímov
z
celej
Európy.
rozsiahlych
a akademických tímov z celej Európy.
je možné stiahnuť na webovom sídle
bezpečnostných
CSIRT.SK:
incidentoch
http://www.csirt.gov.sk/informacna2 Bližšie
organizovaných v rámci
informácie sú k dispozícií na http://www.enisa.europa.eu/media/press-releases/biggest-eu-cyberbezpecnost/navody-a-odporucania/ochranaEurópskej únie. Slovenský
security-exercise-to-date-cyber-europe-2014-taking-place-today
14
tím zložený zo zástupcov
koncovych-stanic-811.html
špecializovaného útvaru
CSIRT.SK a analytikov SIS
Vzdelávanie
Január
Február
 Zraniteľnosť NTP serverov v SR, ktorá
je využívaná pri DDoS útokoch
 Zraniteľnosť Adobe Flash
 Zraniteľnosť v Internet Explorer 10
Apríl
 Viaceré zraniteľnosti v PostgreSQL
 Kritická zraniteľnosť v OpenSSL
 Oznámenie o výskyte zraniteľnosti
OpenSSL Heartbleed a informácia
o možnosti otestovania jej výskytu
 Zraniteľnosť v Internet Explorer
 Viaceré zraniteľnosti v Oracle Java
JDK
 Zraniteľnosť v MS Internet Explorer
umožňujúca spustenie škodlivého
kódu
Jún
 Zraniteľnosť v knižnici GnuTLS
 Opravy kritických zraniteľností v
OpenSSL
 Vážne zraniteľnosti v Linuxovom
jadre a v programe chkrootkit
 Zraniteľnosti v Google Chrome,
Mozilla Firefox a Thunderbird
 Varovanie - rozsiahly phishing s
malware
Obrázok 2 Varovania publikované CSIRT.SK
15
P
R
O
A
K
T
Í
V
N
E
S
L
U
Ž
B
Y
C
S
I
R
T
.
S
K
2
0
1
4
 Varovanie pred útokom DDoS na
základe NTP amplifikácie
 Zraniteľnosť DoS v OpenSSL do
verzie 1.0.2
 Viaceré nešpecifikované
zraniteľnosti v Oracle Java SE vo
verziách 6u65 a 7u45
Marec
 Pravidlá základného zabezpečenia
pracovných staníc na platforme
Windows
 Možná kompromitácia smerovačov
používateľov internetu
 Kritické zraniteľnosti v prehliadači
Internet Explorer verzie 6 – 11
 Škodlivý kód (backdoor malvér)
 Zraniteľnosť v Microsoft Office pri
spracovaní RTF
Máj
 Viaceré zraniteľnosti v Cisco WebEx
player
 Varovanie - Škodlivý kód
 Varovanie - Podvodné e-maily
 Varovanie - Zraniteľnosti na
webovom portáli (Directory
traversal servera)
 Kritická zraniteľnosť v Internet
Explorer 6 – 11
 Zraniteľnosť WordPressu
obchádzajúca dvojfaktorovú
autentifikáciu
Zaslané klientele CSIRT.SK
Publikované na www.csirt.gov.sk
Tabuľka 1 Výsledková tabuľka umiestnenia tímov v rámci cvičenia Cyber Europe 2014
CSIRT.SK sa aktívne zapojil v prvej
polovici roka 2014 aj do regionálneho
cvičenia Central European Cyber Security
Platform 20143, ktorého cieľom bolo
preverenie procesov spoločného postupu
pri identifikácii a eliminácii počítačových
incidentov v priestore krajín V4 a Rakúska.
preverenie procesov spoločného postupu
pri identifikácii a eliminácii počítačových
incidentov v priestore krajín V4 a Rakúska.
TÍM ZLOŽENÝ ZO ZÁSTUPCOV
CSIRT.SK A SIS SA V CVIČENÍ
CYBER EUROPE 2014 UMIESTNIL
NA 4. MIESTE V KONKURENCII
214 TÍMOV Z 29 KRAJÍN EÚ A
EFTA.
3 Bližšie
informácie sú k dispozícií na http://www.enisa.europa.eu/media/news-items/central-europeancyber-security-platform-2014
16
Proaktívna činnosť
podrobnejšie
a podozrení na prítomnosť škodlivého kódu
na zariadeniach nachádzajúcich sa v ad-
resnom priestore Slovenskej republiky
V rámci proaktívnej činnosti CSIRT.SK a poskytuje technickú podporu prevádzupozorňuje
na
výskyt
zraniteľností kovateľom
a vlastníkom
dotknutých
a podozrení na prítomnosť škodlivého kódu informačných systémov.
na
zariadeniach
nachádzajúcich
sa
v adresnom priestore Slovenskej republiky
TYP
PRIEBEH
OPATRENIA CSIRT.SK
a poskytuje
technickú
podporu
prevádzkovateľom
Openresolver jeazraniteľnosť
vlastníkom DNS serverov, Proaktívna analýza výskytu
ktorá umožňuje
poslať serveru rekurzívny zraniteľnosti na DNS serveroch
dotknutých informačných
systémov.
dotaz z ľubovoľnej IP adresy Internetu. inštitúcií štátnej správy a jej
Útočník tak môže spôsobiť účasť servera eliminácia
(v závislosti
od
na DDoS útoku na zvolenú IP adresu súčinnosti zo strany dotknutých
Zraniteľnosť
posielaním odpovedí na podvrhnuté IP inštitúcií).
typu
adresy z požiadavky. Odpovede sú CSIRT.SK v pravidelných interopenresolver
výrazne väčšie ako požiadavky, čím sa valoch overuje prítomnosť
zosilňuje komunikácia smerom k podvrhnu- tejto zraniteľnosti na IP adtej IP adrese.
resách, ktoré mu boli nahlásené zahraničnými partnermi
ako potenciálne ohrozené.
Prostredníctvom zraniteľnosti môže útočník
zapojiť servery s aktívnou službou NTP do
DDoS útoku. Útočník zasiela na NTP server
Zraniteľnosť
špeciálnu požiadavku s podvrhnutou IP
NTP serverov v adresou a server odosiela odpoveď
SR, ktorá je
na podvrhnutú IP adresu. Komunikácia je
využívaná pri
zosilnená
podobne
ako
v prípade
DDoS útokoch zraniteľnosti openresolver, avšak zosilnenie
je ešte výraznejšie.
Na základe prijatého hlásenia
o identifikovaných zraniteľnostiach na IP adresách v IP
adresnom priestore SR bolo
upozornených 64 subjektov
spravujúcich zraniteľnú NTP
službu. Pozitívna odozva eliminovala
neskoršie
pokusy
o zneužitie zraniteľnosti útočníkmi.
Množstvo
zariadení
kategórie
SOHO
a Small Business smerovačov (zariadenia
v malých firmách a v domácnostiach) je
zraniteľné na viacero typov útokov, napr.
predvolené heslá nastavené výrobcom,
ľahko uhádnuteľné heslá, nastavenie
smerovačov takým spôsobom, že sú
prístupné bez autentifikácie z vonkajšej
siete, zraniteľnosť vo firmware, prípadne
možnosť modifikácie adries DNS serverov.
Infikovanie zariadenia a jeho zapojenie
do siete botov (botnet). Takto napadnuté
zariadenie (najčastejšie pracovná stanica,
občas sa jedná aj o server) funguje ako
vykonávateľ škodlivej aktivity na samotnom
zariadení s rôznou činnosťou (krádež prihlasovacích údajov, vydieranie používateľa,
sledovanie používateľa, únik informácií),
alebo v prostredí Internetu (poskytovanie
škodlivých súborov, phishingových stránok,
proxy serverov pre nekalú činnosť, ako aj
DDoS útokov na ciele v Internete
a podobne).
CSIRT.SK priebežne informoval
o probléme inštitúcie verejnej
správy a spolupracujúce ISP.
Taktiež vypracoval metodiku
ako overiť prítomnosť dotknutej zraniteľnosti na predmetnom zariadení, spolu s inštrukciami ako jej predísť.
Zraniteľnosť
SOHO
smerovačov
Podozrenia
na prítomnosť
botov
V rámci priebežnej kampane
CSIRT.SK zasiela upozornenia
o podozreniach
na škodlivú
aktivitu typu bot rôznym
inštitúciám SR (štátna správa
a samospráva) a poskytuje
technickú podporu dotknutým
subjektom.
17
Heartbleed
je
bezpečnostná
chyba Proaktívne
otestovanie
v knižnici
OpenSSL
používanej
pri webových
sídiel
inštitúcií
zabezpečenej Internetovej komunikácii verejnej správy na prítomnosť
Zraniteľnosť
OpenSSL
Heartbleed
Heartbleed je bezpečnostná chyba
v knižnici OpenSSL používanej pri zabezpečenej Internetovej komunikácii (https)
umožňujúca
prečítať
časť
pamäte
zraniteľných
systémov
a komunikácie,
ktorá by mala byť šifrovaná. V niektorých
prípadoch
môže
viesť
až
k úniku
používateľských mien a hesiel a šifrovacích
kľúčov.
Útok typu Directory traversal využíva
zraniteľnosť umožňujúcu zobraziť obsah
súborov a adresárov, ktoré by nemali byť
prístupné a ktoré môžu obsahovať citlivé
Výskyt kritickej údaje ako napríklad používateľské mená,
zraniteľnosti
nastavenia a auditné záznamy servera
webových
a podobne.
serverov
Komunikácia
zariadení z IP
priestoru SR
s C&C
serverom
GameOver
Zeus
GameOver Zeus je nový peer-to-peer
variant bankového malvéru Zeus, ktorý sa
šíri ako trójsky kôň a jeho úlohou je
zisťovanie
prihlasovacích
údajov
do systémov elektronického bankovníctva.
Infikované zariadenie sa stáva súčasťou
siete botov a tak nie je vylúčené aj
vykonávanie ďalšej škodlivej aktivity (únik
informácií, zapojenie do útokov DoS
a podobne).
Proaktívne otestovanie webových sídiel inštitúcií verejnej
správy na prítomnosť zraniteľnosti OpenSSL Heartbleed.
V prípade pozitívneho zistenia
bola inštitúcia o existencii zraniteľnosti informovaná a bola jej
poskytnutá
technická
podpora.
Na
základe
požiadaviek
od takto dotknutých subjektov,
CSIRT.SK vykonával opätovné
testovanie webových sídiel
pre potvrdenie
odstránenia
tejto zraniteľnosti.
Po identifikácii zraniteľnosti
umožňujúcej realizovať útok
Directory traversal na danom
serveri,
na
ktorom
je
umiestnený webový portál,
bolo dotknutým inštitúciám
zaslané varovanie a chyba
bola následne odstránená
v spolupráci
so
správcami
serverov.
Na základe prijatého hlásenia
od zahraničného partnera
o komunikácii zariadení z IP
priestoru
SR
s riadiacim
serverom pre škodlivý kód
GameOver
Zeus,
CSIRT.SK
spolupracoval s držiteľmi infikovaných IP adries na odstránení
škodlivého softvéru a na vykonaní nápravných opatrení.
Tabuľka 2 Proaktívna činnosť útvaru CSIRT.SK
18
6. SPOLUPRÁCA
Spolupráca na
národnej úrovni
Najintenzívnejšia spolupráca v rámci
verejnej správy prebieha s odbornými
pracovníkmi Slovenskej informačnej služby
v oblasti výmeny informácií týkajúcich sa
pripravovaných a prebiehajúcich útokov
na informačné systémy inštitúcií verejnej
správy a s odborom počítačovej kriminality
Prezídia Policajného zboru SR pri analýze
digitálnych
dôkazov
zabezpečených
pri vyšetrovaní trestných činov. Ďalšími
spolupracujúcimi subjektmi z verejného
sektora sú Národný bezpečnostný úrad,
Ministerstvo obrany SR a ďalšie subjekty,
kde spolupráca prebieha na úrovni
výmeny informácií.
V rámci
súkromného
sektora
CSIRT.SK
spolupracuje
s
bankovým
sektorom
a prevádzkovateľmi
kritickej
informačnej infraštruktúry v rozsahu výmeny
informácií
o aktuálne
prebiehajúcich
bezpečnostných incidentoch a s poskytovateľmi internetových služieb pri eliminácií
útokov pochádzajúcich z alebo smerujúcich na informačné systémy patriace
ich príslušného IP adresného rozsahu
a webhostingami
pri
odstraňovaní
phishingových stránok a útokoch typu
defacement. V rozsahu výmeny informácií
o aktuálnych
hrozbách
a trendoch,
CSIRT.SK
spolupracuje
s antivírusovými
spoločnosťami a bezpečnostnými firmami.
do ich príslušného IP adresného rozsahu.
V rozsahu výmeny informácií o aktuálnych
hrozbách a trendoch, CSIRT.SK spolupracuje s antivírusovými a inými bezpečnostnými spoločnosťami.
Dôležitým partnerom pre CSIRT.SK je
akademický
sektor
kde
spolupráca
prebieha v rozsahu odborných konzultácií
a riešenia projektov.
Spolupráca na
medzinárodnej úrovni
Na medzinárodnej úrovni sa CSIRT.SK plne
integroval do siete zahraničných tímov
CSIRT/CERT v rámci európskeho odborného
združenia TF-CSIRT (Task Force of Computer
Security
Incident
Response
Teams),
ktoré vytvára bezpečnú platformu pre ich
spoluprácu. Rovnako aktívne kooperuje
so zahraničnými tímami v rámci neformálneho združenia tímov s „národnou
zodpovednosťou“ pod záštitou CERT
Coordination Center a medzinárodného
združenia FIRST (Forum of Incident Response
and Security Teams).
CSIRT.SK JE AKREDITOVANÝ
EURÓPSKYM ZDRUŽENÍM TÍSpolupráca
na
MOV
TF-CSIRT
A DENNE SPOmedzinárodnej úrovni
LUPRACUJE
S BEZPEČNOSTNÝMI TÍMAMI PO CELOM
SVETE.
Na medzinárodnej úrovni sa CSIRT.SK plne
integroval do siete zahraničných tímov
CSIRT/CERT v rámci európskeho odborného
združenia TF-CSIRT (Task Force of Computer
Security Incident Response Teams), ktoré
vytvára bezpečnú platformu pre ich
spoluprácu. Rovnako aktívne kooperuje
so zahraničnými
tímami
v
rámci
neformálneho združenia tímov s „národnou
19zodpovednosťou“ pod záštitou CERT
Coordination Center a medzinárodného
združenia FIRST (Forum of Incident Response
CSIRT.SK
aktívne
kooperuje
s ostatnými
akreditovanými
tímami
distribuovanými po celom svete, a to
najmä v rozsahu:
 efektívnej
reakcie
na
nahlásené
bezpečnostné
incidenty partnerskými
organizáciami CSIRT/CERT so zabezpečením požadovanej miery ochrany
prijímaných informácií,
 spolupráce
pri
riešení
rozsiahlych
bezpečnostných incidentov,
 výmeny informácií o aktuálne prebiehajúcich útokoch,
 účasti na projektoch zvyšujúcich úroveň
bezpečnosti informačných systémov
(detekcia a odstraňovanie škodlivých
aktivít v sieti),
 zdieľania vyvinutých nástrojov na monitorovanie,
evidenciu
a riešenie
bezpečnostných incidentov.
CSIRT.SK sa aj naďalej aktívne
podieľa na vytvorení a rozvoji regionálnej
stredoeurópskej platformy pre spoluprácu
krajín V4 a Rakúska v oblasti kybernetickej
bezpečnosti Central European Cyber
Security Platform a aktívne reprezentuje
záujmy Slovenskej republiky v expertných
pracovných
skupinách
zameraných
na riešenie problematiky informačnej bezpečnosti zasadajúcich na pôde European
Cybercrime
Centre
(EC3),
Európskej
komisie, Rady Európy, Európskej agentúry
pre informačnú a sieťovú bezpečnosť
(ENISA) a Organizácie pre bezpečnosť
a spoluprácu v Európe (OSCE).
Obrázok 2 Mapa národných a vládnych tímov v Európe4
4 ENISA;
CERT inventory in Europe; 2014
http://www.enisa.europa.eu/activities/cert/background/inv/inventory
20
POJMY A SKRATKY
AKTÍVUM - čokoľvek, čo má pre organizáciu hodnotu
BEZPEČNOSTNÁ UDALOSŤ - identifikovaný výskyt stavu systému siete alebo služby,
ktorá indikuje porušenie bezpečnostnej politiky, alebo zlyhanie bezpečnostného opatrenia,
alebo dovtedy neznámej situácie, ktorá môže byť významná z hľadiska bezpečnosti
BOT – internetový robot, skrátene bot, je počítačový program, ktorý pre svojho majiteľa
opakovane vykonáva nejakú škodlivú činnosť
BOTNET – sieť kompromitovaných zariadení ovládaných útočníkom bez vedomia ich
vlastníkov s cieľom využitia ich výpočtovej kapacity na realizáciu neželanej aktivity (napr.
zasielanie spamu alebo realizáciu útokov typu phishing a DDoS)
C&C (command-and-control) server – server používaný na riadenie botnetu na diaľku
CITADEL – škodlivý kód navrhnutý na neoprávnené získavanie osobných údajov, vrátane
bankových a finančných informácií, či spúšťanie škodlivého kódu na infikovanom zariadení
CSIRT.SK – špecializovaný útvar pre riešenie počítačových bezpečnostných incidentov
Slovenskej republiky; bol definovaný uznesením vlády SR č. 479 z 1. júla 2009
CSIRT/CERT (Computer Security Incident Response Team/Computer Emergency Response
Team) – významovo zhodné označenie tímov, ktoré sa zaoberajú riešením
bezpečnostných počítačových incidentov pre definovanú klientelu
DEFACEMENT – útok na webovú stránku, ktorý má za cieľ zmeniť jej vzhľad,
často umiestnením vlastnej stránky propagujúcej politické, náboženské alebo iné názory
DIRECTORY TRAVERSAL ATTACK – využitie nedostatočného overovania používateľom
zadávaných názvov súborov tak, že znaky reprezentujúce príkaz „prejsť do nadradeného
adresára“ prechádzajú do samotného rozhrania aplikácie. Cieľom tohto útoku je prikázať
aplikácií, aby pristúpila k súboru, ktorý nemá byť prístupný.
DNS (domain name system) - systém doménových mien prekladá názvy domén
na číselné IP adresy a opačne. Tieto informácie uchováva v distribuovanej databáze
v počítačových sieťach ako Internet.
DOS/DDOS (denial-of-service/distributed denial-of-service attack) – odmietnutie
služby/distribuované odmietnutie služby je technika útoku na internetové služby
alebo stránky. Dochádza pri nej k zahlteniu služby požiadavkami, ktoré môže spôsobiť pád
alebo nefunkčnosť a nedostupnosť pre ostatných používateľov. V prípade DDoS útoku
sa použije viac ako jeden stroj, prípadne botnet.
DOSTUPNOSŤ – schopnosť byť dostupný a použiteľný na požiadanie autorizovanej entity
DÔVERNOSŤ – vlastnosť, na základe ktorej nie sú informácie sprístupňované a odhaľované
neautorizovaným osobám, entitám alebo procesom
DRIVE-BY DOWNLOAD – stiahnutie škodlivého súboru bez vedomia používateľa
FIRST (Forum of Incident Response and Security Teams) – fórum tímov pre riešenie
počítačových incidentov
GNUTLS – bezplatná implementácia SSL, TLS a DTLS (Datagram Transport Layer Security)
protokolov
INTEGRITA – vlastnosť zabezpečujúca presnosť a úplnosť aktív
ISO/IEC – International Organization for Standardization/ International Electrotechnical
Commission
KII – Kritická informačná infraštruktúra
MALWARE – škodlivý softvér – všeobecný názov pre škodlivé programy, medzi ktoré patria
napr. počítačové vírusy, trójske kone, červy, špionážny softvér atď.
21
NAT (Network address translation) – preklad sieťových adries
NIKI – Národná informačná a komunikačná infraštruktúra
NTP (Network Time Protocol) – protokol používaný pre synchronizáciu času v sieti
OPENRESOLVER – zraniteľnosť, ktorá umožňuje útočníkovi spôsobiť odstavenie služby DNS
servera alebo zapojenie zraniteľného servera do DDoS útoku
OPENSSL – je open source implementácia SSL (Secure Sockets Layer) a TLS (Transport
Layer Security) protokolov
PHISHING – činnosť, pri ktorej sa podvodník snaží vylákať od používateľov ich digitálnu
identitu napríklad prihlasovacie mená, heslá, údaje k bankovému účtu a podobne
POČÍTAČOVÝ BEZPEČNOSTNÝ INCIDENT – porušenie, alebo bezprostredná hrozba
porušenia bezpečnostných politík, bezpečnostných zásad, alebo štandardných
bezpečnostných pravidiel prevádzky informačných a komunikačných technológií
POP3 (Post Office Protocol) – poštový protokol
RTF (Rich Text Format) – štandardizovaný formát textových súborov
SCANNER – škodlivý kód, ktorý skenuje útočníkom zvolený rozsah IP adries potenciálnej
obete a hľadá sieťové zariadenia, otvorené porty, či vyhľadáva zdieľané priečinky.
SIS – Slovenská informačná služba
SPAM – nevyžiadaná pošta
SPAM SENDER – zasielateľ spamu
SSH (Secure Shell) – šifrovací sieťový protokol
TCP (Transmission Control Protocol) – komunikačný protokol
TCP-SYN FLOOD – forma DoS útoku, pri ktorej útočník zasiela veľký počet SYN požiadaviek
cieľovému systému s úmyslom vyčerpať zdroje servera tak, aby systém neodpovedal
na požiadavky legitímnej prevádzky
TF-CSIRT (Task Force of Computer Security and Incident Response Teams) – zoskupenie
vládnych, národných, akademických a privátnych CERT/CSIRT tímov v Európe. Hlavnou
úlohou je podporovať spoluprácu takýchto tímov na medzinárodnej úrovni, výmenu
informácií a skúseností z oblasti informačnej bezpečnosti.
TLEX (Technical Level Exercise) – prvá fáza cvičenia Cyber Europe 2014
UDP (User Datagram Protocol) – komunikačný protokol
VIRUT – škodlivý kód využívaný na počítačovú kriminalitu, napr. DDoS útoky, spam, krádež
dát, podvody a podobne
ZERO-DAY EXPLOIT – špeciálny program, dáta alebo sekvencie príkazov, ktoré využívajú
novoobjavenú programátorskú chybu systému alebo aplikácie , ktorá nie je jej autorom
známa alebo doteraz opravená
ZEUS – škodlivý kód typu trójsky kôň pre MS Windows, ktorý je schopný vykonávať
množstvo škodlivých a kriminálnych činností, napríklad krádež bankových informácií,
inštalovanie vydieračského softvéru CryptoLocker, phishing a pod.
22
CSIRT.SK
DATACENTRUM
CINTORÍNSKA 5
814 88 BRATISLAVA
INCIDENT@ CSIRT. GOV . SK
[email protected]
02 / 59278 514
02 / 52926 870
WWW.CSIRT.GOV.SK
FAX:
CSIRT.SK PGP K E Y F I NGE R PRI NT :
DFB9 E47B 4304 CB18 AF97
E49D EC51 77D3 E4E1 1CE2
Download

A VÝVOJA INCIDENTOV CSIRT.SK