Aktualności
2011-03-21
PIONIER - CERT
Zespół szybkiego reagowania na zagrożenia - w wersji polskiej.
Idea zespołów szybkiego reagowania na zagrożenia bezpieczeństwa komputerowego, tzw. zespołów CERT (ang. Computer Emergency Response Team), zrodziła się w Stanach Zjednoczonych Ameryki pod koniec lat osiemdziesiątych ubiegłego stulecia wodpowiedzi na pierwsze poważne incydenty, które wówczas dotknęły tamtejszą sieć akademicką iwojskową.

Wraz z rozwojem sieci Internet idea ta została zaadaptowana na całym świecie, włącznie z Polską.  Co ciekawe, w związku z zarejestrowaniem nazwy CERT jako znaku handlowego w Stanach Zjednoczonych, na popularności zyskało określenie CSIRT (ang. Computer Security Incident Response Team), które znaczeniowo jest bliskie oryginałowi, ale nie narusza praw stron trzecich.   

Geneza PIONIER-CERT sięga początków bieżącego stulecia, ściślej przełomu roku 2001 i 2002, to wówczas powołano do życia nieformalną grupę roboczą pod nazwą POL34-CERT. Powołanie grupy zjednej strony było wyrazem idei podnoszenia poziomu bezpieczeństwa sieci na drodze współpracy i wymiany doświadczeń pomiędzy jednostkami wiodącymi sieci miejskich, z drugiej wychodziło naprzeciw oczekiwaniom zagranicznych partnerów i miało ścisły związek z działalnością stowarzyszenia TERENA  (ang. Trans-European Research and Education Networking Association) oraz celami projektu GÉANT.

Na początku roku 2002 grupa po raz pierwszy zaznaczyła swoją obecność na arenie międzynarodowej i została wpisana na publicznie dostępną listę zespołów CSIRT, która utrzymywana jest w ramach inicjatywy Trusted Introducer . Rolą Trusted Introducer jest budowa wzajemnego zaufania pomiędzy zespołami typu CSIRT i krzewienie dobrych praktyk z zakresu obsługi incydentów sieciowych i bezpieczeństwa.

Zmiana nazwy grupy na stosowaną po dziś dzień, tj. PIONIER-CERT, była naturalną konsekwencją zawiązania formalnego Konsorcjum PIONIER ioddaniem do użytku pierwszych odcinków wybudowanej przez nie sieci. Mandat formalny grupy został ukonstytuowany przez Radę Konsorcjum w lutym bieżącego roku – koordynatorem grupy z ramienia Rady został dr inż. Józef Janyszek – przedstawiciel Wrocławskiego Centrum Sieciowo-Superkomputerowego. Warto tu również wspomnieć o roli Poznańskiego Centrum Superkomputerowo-Sieciowego (PCSS), które zainicjowało powstanie grupy i po dziś dzień wpiera jej aktywność poprzez szereg działań operacyjnych i organizacyjnych. Funkcjonowanie grupy i wspólne podnoszenie bezpieczeństwa sieci nie było by jednakże możliwe bez przyjaznej współpracy iaktywnego wkładu poszczególnych jednostek wiodących Konsorcjum PIONIER.

Misja
Głównym zadaniem grupy PIONIER-CERT jest obsługa wszelkich incydentów, w których bezpośrednio lub pośrednio zaangażowane są komputery przyłączone do Sieci Naukowej PIONIER. Działanie to obejmuje dwa przypadki: pierwszy, w którym komputer podłączony do sieci PIONIER jest źródłem ataku, i drugi, w którym komputer podłączony do sieci PIONIER jest ofiarą ataku. Definicja incydentu i zasady klasyfikacji incydentów zostaną przybliżone w dalszej części artykułu.

Główne kierunki działań grupy PIONIER-CERT to: wsparcie techniczne, właściwe dla poszczególnych rodzajów ataków, podczas samego ataku oraz podczas usuwania jego skutków, kompleksowa koordynacja obsługi incydentów oraz pośrednictwo w wymianie informacji pomiędzy podmiotami (organizacjami iosobami) bezpośrednio w obsługę zaangażowanymi, dystrybuowanie materiałów szkoleniowych, mających pomóc wzapobieganiu incydentom.

Incydenty w sieci
Na przestrzeni lat, jako użytkownicy sieci, jesteśmy naocznymi  świadkami rewolucji internetowej - niespotykanego wcześniej rozwoju technologii informacyjnych, upowszechnionego dostępu do informacji, łatwiejszej komunikacji, powstawania nowych form przekazu iefektywnych metod wymiany danych. Dostęp do elektronicznych środków przekazu powoduje, że coraz częściej udostępniamy informacje o sobie na portalach społecznościowych lub blogach, kierując się potrzebą nawiązywania nowych kontaktów lub podtrzymywania starych znajomości, korzystamy z komunikatorów, wyszukiwarek, przeglądarek internetowych – innymi słowy eksplorujemy i zasiedlamy cyberprzestrzeń.

Ten fascynujący świat, którego jesteśmy odkrywcami i jednocześnie twórcami, nie jest jednakże oazą spokoju – rozwój technologii, oprócz pozytywnych aspektów, niesie za sobą również szereg negatywnych reperkusji. Nowoczesne media w łatwy sposób mogą zostać wykorzystane do niecnych celów, w szczegól- ności: kradzieży danych (a nawet tożsamości), wyłudzeń, pomówień, czynów nieuczciwej konkurencji, rozsyłania przesyłek niezamawianych, rozpowszechniania treści zabronionych, naruszania praw autorskich. 

Każdy z wymienionych powyżej czynów znajduje odzwierciedlenie w klasyfikacjach incydentów sieciowych.  Jako incydent sieciowy rozumie się przy tym jakiekolwiek zdarzenie polegające na próbie uzyskania lub uzyskaniu nieautoryzowanego dostępu do zasobów systemu komputerowego,  wykorzystaniu, ujawnieniu, modyfikacji lub destrukcji informacji elektronicznej lub zakłócaniu pracy systemów komputerowych. Incydenty można klasyfikować na wiele różnych sposobów, jednakże większość aktualnie używanych klasyfikacji jest wpewnym stopniu zbieżna z klasyfikacją zaproponowaną w ramach projektu eCSIRT.net . Ta hierarchiczna klasyfikacja dzieli wszystkie incydenty na 9 klas iw obrębie każdej z nich wyróżnia szereg typów incydentów. Wśród klas incydentów wyróżnia się te dotyczące:            

1) treści obraźliwych i niezamawianych (ang. abusive content),
2) złośliwego oprogramowania (ang. malicious code),
3) pozyskiwania informacji (ang. information gathering),
4) prób włamania (ang. intrusions attempts),
5) włamań (ang. intrusions),
6) ataków ograniczających dostępność usług (ang. availability),            
7) bezpieczeństwa informacji (ang. information security),
8) wyłudzeń i oszustw (ang. fraud) oraz
9) inne. 

Najpopularniejszym typem incydentu wsieci PIONIER, pod kątem częstotliwości zgłoszeń, jest rozsyłanie tzw. przesyłek niezamawianych czyli SPAM-u, typ ten według przytoczonej wcześniej klasyfikacji należy do klasy treści obraźliwych iniezamawianych. Warto jednak odnotować, że przesyłki tego typu bardzo często rozsyłane są za pomocą tzw. sieci botów (ang. botnet). Bot natomiast jest złośliwym programem – klasa 2), który dokonuje włamań – klasa 5), oraz prób włamań – klasa 4), a na dodatek spam może próbować zwabić użytkownika dla przykładu na fałszywą stronę bankową – klasa 8).

Do najczęstszych incydentów w sieci PIONIER należy, oprócz wspomnianego już rozsyłania spamu, naruszenie praw autorskich poprzez udostępnianie w sieci materiałów chronionych prawem autorskim – w szczególności plików muzycznych (np. popularnych MP3), filmów, teledysków, gier komputerowych bez zgody właściciela wspomnianych praw. Naruszenie następuje najczęściej wwyniku użycia oprogramowania P2P (eMule, BitTorent, itp.).  W zgłoszeniach naruszeń praw autorskich prym wiodą zaoceaniczne agencje działające głównie wimieniu producentów filmowych. Mandat tych agencji do działania na rynku polskim budzi wątpliwości natury prawnej.

Podsumowanie
Działalność grupy roboczej PIONIER-CERT ma za zadanie poprawę poziomu bezpieczeństwa sieci PIONIER poprzez wdrażanie odpowiednich standardów bezpieczeństwa, zacieśnianie współpracy pomiędzy zespołami obsługującymi incydenty sieciowe w poszczególnych jednostkach wiodących Konsorcjum oraz zagwarantowanie odpowiedniego poziomu wsparcia użytkownikom końcowym. Propagowanie standardów i wymiana informacji o incydentach pozwala spojrzeć globalnie na zagrożenia i umiejscowić je w kontekście całego środowiska korzystającego z zasobów udostępnianych w sieci PIONIER. Działalność grupy roboczej PIONIER-CERT ma również służyć wypracowywaniu wspólnego stanowiska  w kwestii sposobów realizacji wymogów prawnych  stawianych operatorom sieci.

Maciej Miłostan, PCSS