Statystyki
W Polsce pierwszym zespołem powołanym (w 1996 r.) do reagowania na zdarzenia naruszające bezpieczeństwo w naszej części Internetu jest CERT (Computer Emergency Response Team) NASK. Od ponad dwóch lat jest on członkiem FIRST (Forum of Incident Response and Security Teams - Forum Reagowania na Incydenty Naruszające Bezpieczeństwo w Internecie), międzynarodowego forum wymiany doświadczeń i informacji związanych ze zdarzeniami zagrażającymi lub naruszającymi bezpieczeństwo, a także promocji działań prewencyjnych. FIRST obejmuje swym zasięgiem 80 zespołów z 19 krajów. Praca CERT NASK ma charakter dobrowolny i nie wiąże się z żadną odpłatnością. Jako swoista służba na rzecz społeczności internetowej w Polsce finansowana jest ze skromnych środków NASK - pozwalają one na prowadzenie działalności jedynie w zakresie podstawowym. Do głównych zadań CERT należy: rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci, alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń, współpraca z innymi zespołami IRT (Incidents Reaponse Team) w ramach FIRST, prowadzenie działań informacyjno - edukacyjnych, mających na celu wzrost świadomości zaistnienia niebezpieczeństwa, prowadzenie badań i przygotowywanie raportów z dziedziny bezpieczeństwa teleinformatycznego, niezależne testowanie punktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego, praca w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów a także klasyfikacji i tworzenia statystyk. Z głównymi tendencjami w dziedzinie bezpieczeństwa systemów teleinformatycznych można zapoznać się podczas analizy corocznych raportów publikowanych przez CERT NASK.^[1] Statystyki przedstawione zostaną wg następujących kryteriów:
- liczba atakowanych komputerów, atakowana słabość systemu, - atakujący, poszkodowani. - narzędzia, e) sposób nieautoryzowanego działania, - cel ataku, rezultat, przyczyna, 1. Liczba atakowanych komputerów Wśród wszystkich 3531 przypadków naruszenia bezpieczeństwa teleinformatycznego w Polsce^[2] aż 2518 to tzw. spam (stanowi to 71,3% ogółu). Duża część to ataki na więcej niż jeden komputer, aż 33%. Liczbą "1+" oznaczono ataki na więcej niż jedna maszynę, jednak nie było możliwym ustalenie dokładnej liczby. Stanowią one 3% ogółu. Dla porównania w 2001r. takich przypadków było aż 34%, co oznacza, że firmy specjalizujące się w badaniach ataków poprzez sieć posiadają lepsze narzędzia weryfikacji ilości zaatakowanylink2ch komputerów czy obiektów sieciowych. 67% przypadków naruszenia bezpieczeństwa dotyczy jednego komputera. Poniższe statystyki odwoływać się będą jedynie do 1013 przypadków ataku, tj. z wyłączeniem spamu.^[3] Wykres 2. Liczba atakowanych komputerów podczas jednego ataku Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" 2. Klasyfikacja "atakujących" Poniższy wykres przedstawia procentowy rozkład poszczególnych "atakujących".Jak widać przeważającą grupą są hackerzy, dalej zawodowi przestępcy i wandale. Niestety nie łatwą rzeczą jest ustalenie, kim jest sprawca ataku. W 2002 roku udało się to zaledwie w 47 przypadkach wśród wszystkich 1013, stąd mały procent ustalenia tej kategorii. Wykres 3. Charakterystyka "atakujących" Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" 3. Narzędzia używane przez atakujących Wg tej cechy najczęściej używanymi narzędziami do przeprowadzania ataku było zastosowanie przez atakujących tzw. samodzielnego agenta. Ten trend został zapoczątkowany w 2001 roku a cechuje się zastosowaniem automatycznych narzędzi do ataku oraz rozpowszechniającymi się na dużą skalę robakami internetowymi. Wykres 4. Klasyfikacja narzędzi używanych podczas ataku Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" 4. Atakowana słabość systemu Wyróżnia się trzy słabości systemu, dzięki którym możliwe jest przeprowadzenie udanego ataku: luka w projekcie, luka w implementacji, luka w konfiguracji. W zasadzie wszystkie z nich związane są z błędami w zaprojektowanym systemie. Słabość konfiguracji wiąże się z nieumiejętnym zarządzaniem systemem przez człowieka. Ta słabość jest najczęstsza przyczyną ataków spośród wymienionych. Cała odpowiedzialność spoczywa na administratorach takiego systemu, którzy powinni śledzić i reagować na nowe zgłoszenia o lukach w konkretnych systemach, np. instalując kolejne łaty systemowe. Wykres 5. Podział słabości związanych z lukami w systemie Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" 5. Sposób nieautoryzowanego działania Najczęstszymi przypadkami nieautoryzowanego działania jest próbkowanie (62,8%) i skanowanie (28,3%). Wyraźnie zarysowała się granica między użytkownikami świadomymi niebezpieczeństw internetowych, którzy zgłaszają przypadki naruszenia bezpieczeństwa do CERT Polska a tymi, którzy nigdy tej świadomości mieć nie będą. O tym, że zostali zaatakowani lub, że ich komputer był ogniwem w przeprowadzaniu ataku zostają powiadomieni przez CERT Polska, nie mając świadomości, że stali się obiektem przestępstwa. Wykres 6. Nieautoryzowane działanie Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" 6. Cel ataku Jak widać na wykresie 7 najczęstszym obiektem ataku jest pojedynczy komputer (36,4%), który został zaatakowany poprzez robaki internetowe. Nieco mniejszy wskaźnik odnotowano dla konta (28,5%). Przestępcy nie podejmuje się raczej ataku na fizyczne składniki (części komputerowe). Wykres 7. Cele atakującego Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" 7. Rezultat ataku Skutki działania intruzów są różne, jednym z poważniejszych jest kradzież zasobów, rozumiana jako kradzież nie tylko mocy obliczeniowej, ale i pracy ludzkiej. Ze zdarzeniem tym mamy do czynienia podczas skanowania. System jest obciążony obsługą nielegalnych pakietów atakującego. Również następuje strata czasu, ponieważ administratorzy muszą przeglądać logi systemowe ze swoich urządzeń filtrujących. Wykres 8. Rezultat przeprowadzonego ataku Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" 8. Przyczyna ataku Poszkodowanym trudno jest określić przyczynę dokonanego na nich ataku. Przedstawione na poniższym wykresie dane odnoszą się jedynie do 4,5% poszkodowanych. Wykres 9. Przyczyny przeprowadzania ataków Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" 9. Poszkodowani Jak wynika ze zgłoszeń otrzymywanych przez CERT Polska z Polski i zagranicy należy stwierdzić, iż liczba poszkodowanych^[4] w Polsce jest dokładnie równa poszkodowanym z zagranicy, tj. 151 osobom, co stanowi 15% wszystkich poszkodowanych. Wysoki odsetek poszkodowanych w ośrodkach CERT-u wynika z faktu istnienia wysokiego poziomu świadomości związalink2nej z koniecznością zgłaszania przypadków naruszających bezpieczeństwo wśród wszystkich oddziałów CERT-ów. Wykres 10. Klasyfikacja poszkodowanych Źródło: CERT Polska, raport 2002 "Przypadki naruszające bezpieczeństwo teleinformatyczne" Rośnie liczba użytkowników w ogóle niezorientowanych w problemie bezpieczeństwa IT, ale również, co jest pozytywnym zjawiskiem, rośnie liczba uświadomionych użytkowników. Najsłabszym ogniwem sieci są administratorzy, którzy nie potrafią wykonywać swoich obowiązków. Coraz trudniej rozpoznać, kim jest atakujący oraz poszkodowany, który bardzo często sam na sobie nie odczuwa skutków ataku, ale może posłużyć jako ogniwo dla zapewnienia możliwości kontynuacji ataku z nowego adresu IP. Źródła ataków wskazują de facto na najgorzej zabezpieczone zasoby sieci. Rośnie liczba poszkodowanych, jakimi są indywidualni użytkownicy, którzy przyłączają się do Internetu za pomocą stałego łącza. Niestety ciągle nie są otrzymywane zgłoszenia od poważnych instytucji, np. rządowych o przypadkach naruszenia bezpieczeństwa. Widocznie związane jest to z wewnętrznymi politykami tych instytucji. Jednak takie postępowanie nie pomoże w zdemaskowaniu najgroźniejszych przestępców, którzy atakują tylko poważne instytucje.

---