Usłyszałem niedawno stwierdzenie, że Warszawa to taka symboliczna namiastka Europy Zachodniej w Polsce, bo reszta kraju już tak super-zachodnio nie wygląda, szczególnie pod kątem administracji cyfrowej. To by się nawet pokrywało z tym, co miałem okazję usłyszeć na spotkaniu z ekspertami CERT Polska, którzy opowiadali o projekcie Artemis i dotychczasowej pracy wykonanej przez to narzędzie na stronach internetowych należących do gmin oraz powiatów.
Być może trudno to będzie przyjąć do wiadomości nam miastowym, ale w niektórych mniejszych miejscowościach osoba odpowiedzialna za sferę informatyczną po stronie urzędowej bywa tam np. raz na tydzień. To siłą rzeczy rodzi mnóstwo problemów w sferze szeroko pojętego cyberbezpieczeństwa, a na profesjonalne testy cyber zabezpieczeń w sektorze publicznych stać tylko największych. Być może dzięki takim inicjatywom jak poniższa, uda się ten zaniedbany obszar nieco uszczelnić.
Jak działa Artemis i gdzie zagląda?
Narzędzie CERT Polska korzysta z ogólnodostępnych baz danych do ustalenia listy domen obsługiwanych przez dany podmiot. Wyszukuje również subdomeny, a także uruchomione w nich usługi, które poddawane są szczegółowym testom. W obecnym momencie Artemis wykorzystuje około 30 ogólnodostępnych modułów, zajmujących się m.in. analizą bezpieczeństwa serwerów pocztowych, WordPressa czy wyszukiwaniem plików pozostawionych omyłkowo na serwerach. Zauważone nieprawidłowości zgłaszane są wyłącznie do osób odpowiedzialnych za utrzymanie wyżej wymienionych usług.
Pół biedy, jeśli Artemis zrobi to przed cyberprzestępcami, bo wtedy jest szansa, że administrator takiej strony będzie w stanie zareagować i usunąć potencjalne podatności. Chyba nie trzeba nikomu tłumaczyć, że to właśnie w takie najsłabiej chronione miejsca może się kierować uwaga wszelkiej maści intruzów.
Oczywiście administrator może zidentyfikować ruch na serwerze pochodzący z Artemisa. Pochodzi on z jednego adresu IP łatwego do zidentyfikowania jako CERT Polska, a powiadomienie o wykrytych podatnościach przychodzą z adresu [email protected]. Może być ten pewien, że takie skanowanie, mówiąc kolokwialnie, “nie wywali” mu urzędowej strony na łopatki. Unikalną cechą narzędzia jest jego domyślnie zdefiniowana mała inwazyjność dla systemu po drugiej stronie.
Pierwsze efekty pracy Artemisa już widać. Narzędzie zaczęło 2 stycznia od skanowania blisko 2000 domen gmin i powiatów wraz z subdomenami, wykrywając kilkaset stron, których oprogramowanie było niezaktualizowane. Wspomniane wcześniej pliki konfiguracyjne z hasłami czy foldery z danymi systemu poczty to tylko niektóre z przykładów. Wśród znalezisk pojawiły się też niewłaściwie zabezpieczone foldery z kodem źródłowym systemu, a hasła dostępowe do niektórych usług.
Artemis będzie się skupiać na analizie zabezpieczeń stron internetowych z szeroko pojętego sektora publicznego, którego zazwyczaj nie stać na tzw. pentesty (testy penetracyjne) oferowane komercyjnie za grube pieniądze przez wyspecjalizowane firmy. Sprawdzi więc m.in. szkoły, szpitale, instytuty badawcze, a także uczelnie.
Artemis to narzędzie do pracy u podstaw
Tego typu narzędzia nie są na zachodzie niczym szczególnie nowym. To my musimy dogonić “cywilizowany świat” pod względem cyberbezpieczeństwa sektora publicznego. Postępująca cyfryzacja administracji państwowej na nas to wręcz wymusza. Ale bez takich narzędzi jak Artemis będziemy po prostu wystawieni do odstrzału, jak te kaczki z gry Duck Hunt na NES-a (w Polsce na Pegasusa).
Możecie się zastanawiać, dlaczego w ogóle powstało takie narzędzie? To jedna z konsekwencji ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadziła do polskiego prawa tzw. dyrektywę NIS, dotyczącą dbania o wysoki poziom bezpieczeństwa sieci i systemów informatycznych na terytorium unijnej wspólnoty.
Czytaj też: Polacy kupują, oszuści polują. CERT Polska mówi jasno: nie mamy pojęcia o zagrożeniach w sieci
NASK i podlegający mu CERT Polska stały się jednym z trzech CSIRT-ów poziomu krajowego (Computer Security Incident Response Team). Za dwa pozostałe odpowiadają Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV) oraz Ministerstwo Obrony Narodowej (CSIRT MON). Monitorowanie, analiza, budowanie świadomości wśród wszystkich uczestników rynku, to swoista praca u podstaw, której skalę widać dopiero po opuszczeniu wielkomiejskiej bańki, za co zespołowi CERT Polska bardzo dziękuję.
