10 CESNET CSIRT
Základem preventivní a aktivní ochrany počítačů a počítačových sítí je důsledné a efektivní řešení bezpečnostních incidentů, včetně odstraňování jejich příčin a následků.
Problematiku bezpečnostních incidentů řeší obecně tzv. CSIRT týmy – Computer Security Incident Response Team (případně CERT – Computer Emergecy Response Team). Existence alespoň jednoho oficiálního CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, metropolitní apod.). CSIRT dané sítě obecně představuje záchytný bod (point of trust), na který je možné se obrátit se zjištěným bezpečnostním problémem. CSIRT tým má k dispozici ověřené postupy a pravidla, které mu umožňují rychlou a efektivní reakci při řešení bezpečnostního incidentu a minimalizaci jeho následků.
Ve světě existují stovky CSIRT/CERT týmů a drtivá většina z nich vznikla a funguje v úzké spolupráci s nadnárodními organizacemi TERENA (Trans European Research and Education Networking Association) a FIRST (Forum for Incident Response and Security Teams). Prvním oficiálním CSIRT týmem se v České republice stal bezpečnostní tým CESNET-CERTS provozovaný sdružením CESNET. Tento tým (CESNET-CERTS) operuje nad sítí národního výzkumu CESNET2.
10.1 Aktivity CESNET-CERTS
V současné době tvoří tým CESNET-CERTS celkem 7 členů (ovšem ne na plný úvazek). Dva z nich se členy týmu stali v tomto roce. Jedná se o specialisty na gridovou problematiku, čímž se tým CESNET-CERTS zařadil mezi týmy, které do své „constituency“ zařadily gridovou infrastrukturu. Hlavním cílem v této oblasti je spolupráce s EGI (European Grid Infrastructure), návrh, testování a vývoj mechanismů pro řešení incidentů v prostředí gridů v CESNET2 a kooperace se zahraničím (obecně evropskou gridovou infrastrukturou).
V prostředí CESNET2 tým CESNET-CERTS poskytuje následující služby:
- příjem hlášení bezpečnostních incidentů vzniklých v síti CESNET2, jejich řešení a koordinace řešení, tzv. incident handling (dále jen IH),
- provoz a rozvoj IDS (Intrusion Detection System) a Audit systému,
- osvětová činnost – školení, prezentace, publikace,
- komunikace a spolupráce se zahraničními bezpečnostními týmy v rámci aktivity TF-CSIRT, kterou zaštiťuje organizace TERENA.
10.1.1 Incident Handling
Základem práce týmu CESNET-CERTS je příjem hlášení bezpečnostních incidentů, které mají původ v síti CESNET2, a koordinace jejich řešení. Hlášení bezpečnostních incidentů jsou zasílána buď přímo do koncových sítí (připojených do CESNET2), nebo na adresu abuse@cesnet.cz, což je hlavní kontaktní adresa pro hlášení bezpečnostních incidentů v síti CESNET2 (AS2852). Na adresu abuse@cesnet.cz jsou hlášení posílána v případě, že koncový správce nereaguje, nereaguje korektně nebo problém neřeší, nebo v případě, kdy se jedná o závažný bezpečnostní incident, o kterém by měli být informováni správci AS. Je žádoucí, aby se stížnost na bezpečnostní incident zaslala přímo zodpovědné osobě bez zbytečného zdržení. Tuto myšlenku jsme v rámci rozvoje infrastruktury CESNET2 začali naplňovat ve spolupráci s CSIRT-MU (bezpečnostní tým Masarykovy univerzity). Na straně CESNET-CERTS se řídícím zdrojem kontaktů pro sítě provozované Masarykovou univerzitou stala databáze spravovaná a zpřístupněná týmem CSIRT-MU. V okamžiku, kdy CESNET-CERTS obdrží hlášení bezpečnostního incidentu, který má původ v síti Masarykovy univerzity, OTRS zjistí, kdo je koncovým správcem dané sítě a incident se oznamuje přímo jemu v kopii na CSIRT-MU, přičemž hlášení má upraveno Reply-To tak, aby odpověď směřovala tam, kam má – na CSIRT-MU a CESNET-CERTS. Účelem je rychlejší doručení hlášení ke koncovému správci, výuka koncových správců a jejich zapojení do procesu řešení bezpečnostních incidentů. Celkově se jedná o hezkou ukázku efektivní spolupráce CSIRT týmů (zde CSIRT-MU a CESNET-CERTS). Doufáme, že v roce 2010 se nám podobnou spolupráci podaří navázat s dalšími členskými sítěmi CESNET2.
Pro každý bezpečnostní tým je důležité kvalitní technické zázemí umožňující snadnou a efektivní správu hlášení bezpečnostních incidentů. Tým CESNET-CERTS používá systém OTRS, který průběžně vyvíjí a doplňuje o funkční moduly, umožňující automatizaci řady operací (např. hlídání odezvy na hlášení bezpečnostního incidentu) a vizualizaci řešených kauz. Naší snahou je získat v OTRS nástroj, který de facto bude komplexně hlídat a organizovat týmové work-flow a tím umožní efektivní a snadné sledování celého životního cyklu hlášeného incidentu v závislosti na týmové politice, politice incident handlingu, klasifikaci incidentů z hlediska jejich závažnosti apod. V letošním roce jsme tak OTRS obohatili například o již výše zmíněný systém „zkrácení cesty do koncové sítě“.
10.1.2 CESNET Audit Systém
Server audit.cesnet.cz nabízí uživatelům sítě CESNET snadnou kontrolu zabezpečení jejich strojů. Využívá programu Nessus (pravděpodobně nejrozšířenější aktivní bezpečnostní síťový scanner, v prosinci 2009 nabízí asi 32 550 bezpečnostních testů) a poštovního rozhraní vytvořeného v rámci CESNETu.
Další známý bezpečnostní scanner OpenVAS (Open Vulnerability Assessment System) vychází ze starší verse programu Nessus a je šířen v rámci licence GPL. Systém CESNET AUDIT nabízí jeho služby od roku 2009 poté, co se jeho správci dostal do rukou dokument se zajímavým srovnáním vlastností Nessus a OpenVAS. OpenVAS nabízí v prosinci 2009 asi 15 460 bezpečnostních testů.
Bezpečnostní audit svého stroje nebo své skupiny strojů může spustit autorizovaný správce kdykoli a s nastavitelným zpožděním. Po skončení auditu obdrží výsledky elektronickou poštou ve zvoleném formátu (html, text). Správce může zvolit, zda se provedou jen bezpečné, nebo i potenciálně nebezpečné testy. Program Nessus je spuštěn v každém případě, program OpenVAS jen pokud si jej uživatel vyžádá.
Auditační server je určen převážně pro testování strojů v dejvické síti CESNETu. Správci strojů z jiných sítí mohou požádat o přístup zejména pro vyzkoušení možností auditu, aby pak zřídili podobný server ve svých institucích.
10.1.3 Osvětová činnost
Důležitou oblastí, ve které se CERT/CSIRT týmy obvykle angažují, je oblast osvěty uživatelů a správců počítačových sítí. Tým CESNET-CERTS na tuto oblast také klade velký důraz. Proto v roce 2009 zorganizoval dva semináře:
V rámci osvětových aktivit jsme v tomto roce formulovali službu pro vysoké školy – školení na míru pro (především) studenty prvních ročníků v oblasti autorského práva, SW licencí, ochrany osobních údajů a kyberkriminality. Motivací ke zřízení této školící služby „na míru“ je snaha mladým lidem při jejich nástupu na vysokou školu sdělit, že Internet má svou sílu, krásu, ale i pravidla a úskalí. Že akce typu „půjčení instalaček Windows od kamaráda“, „já ti ten film přepálím“ má svá rizika, že krást se nemá a každá chyba, byť ne nutně úmyslná, něco stojí a může mít dalekosáhlé následky. První školení tohoto typu proběhlo začátkem prosince na Západočeské Univerzitě v Plzni.
10.1.4 Aktivity TF-CSIRT a FIRST
Součástí práce každého oficiálního CSIRT týmu je spolupráce a budování vztahů s ostatními světovými bezpečnostními týmy. Vhodné platformy pro tento účel provozují organizace TERENA a FIRST. Obě organizace pořádají výroční konference, školení, umožňují setkávání pracovních skupin a obecně podporují vzájemnou spolupráci.
Každý oficiální CSIRT tým se může stát členem sdružení FIRST, je to vlastně další logický krok při budování a provozu CSIRT týmu a cesta k určité formalizaci. Členství je ovšem podmíněno tím, že vstupující CSIRT tým musí projít procesem, při kterém je ověřována jeho „totožnost, důvěryhodnost a funkčnost“. To v praxi znamená, že tým musí dobře zdokumentovat vlastní činnost, musí o sobě zveřejnit základní informace a garantovat obecně akceptovatelné modely chování a odezvy. Členstvím v těchto organizacích se pak týmu otevírá cesta k důležitým a užitečným informacím, které vytvářejí a aktualizují členské týmy, k užší spolupráci a na uzavřená jednání v rámci pracovních skupin a konferencí.
Na evropské úrovni je obdobou získání členství v organizaci FIRST tzv. akreditační proces v rámci aktivity Trusted Introducer, kterou organizuje sdružení TERENA. Akreditační proces je podobný procesu získání členství ve FIRST. Získání statusu „accredited“ opravňuje tým účastnit se uzavřených jednání platformy TF-CSIRT a k přístupu na privátní stránky úřadu Trusted Introducer.
V roce 2009 měla organizace FIRST celkem 203 členů, v platformě TF-CSIRT spolupracuje celkem 131 týmů (z toho 68 ve stavu „accredited“).
Tým CESNET-CERTS vstoupil do akreditačního procesu v listopadu roku 2007 a status „accredited“ získal v lednu roku 2008. V roce 2009 jsme zahájili proces směřující k získání pozice členského týmu FIRST, jeho dokončení očekáváme na jaře roku 2010.
V roce 2010 byl v síti zřízen a na evropskou infrastrukturu CERT/CSIRT týmů napojen další CSIRT tým – CSIRT-MU. Úřad Trusted Introducer potvrdil pro tento tým status „listed“ v květnu 2009.
10.2 CSIRT.CZ
Sdružení CESNET se od roku 2007 účastní projektu Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky, který je financován Ministerstvem vnitra České republiky. V rámci tohoto grantu se CESNET podílí na řešení dílčího úkolu nazvaného „navrhnout a realizovat distribuovanou hierarchii pro systematické plošné řešení bezpečnostní problematiky prostřednictvím CSIRT týmů“, jehož výsledkem bylo vytvoření a provoz modelového pracoviště CSIRT.CZ, jehož pilotní provoz byl spuštěn dne 3. dubna 2008. Členové CESNET-CERTS zajišťují v prostředí CSIRT.CZ jeho rutinní funkce, ale především zde fungují jako zdroj know-how a praktických zkušeností, které jsou pro chod CSIRT týmu potřeba, a jako školitelé nových členů.
Hlavním úkolem CSIRT.CZ je koordinace a pomoc při řešení bezpečnostních incidentů, které mají původ v sítích provozovaných v České republice a na jejichž oznámení správci dané sítě nereagují, nebo problém neřeší, nebo takovou osobu není možné dohledat a podobně. Obecně se z pohledu stěžovatele jedná o kombinaci „vážný a neřešený bezpečnostní incident“. V takovém případě CSIRT.CZ funguje jako „místo poslední záchrany“, na které je možné se obrátit se žádostí o pomoc.
V prostředí „českého“ Internetu jsou cíle CSIRT.CZ následující: kromě provozu „místa poslední záchrany“ v oblasti řešení bezpečnostních útoků, což je jádro každého týmu CSIRT/CERT, jde především o to motivovat provozovatele velkých sítí (např. poskytovatele připojení, poskytovatele obsahu) a rizikových služeb (např. banky provozující elektronické bankovnictví) ke zřízení oficiálních týmů CSIRT/CERT a o spolupráci mezi nimi. CSIRT.CZ má ambici sloužit jako modelové řešení, zdroj know-how, zkušeností a platforma pro diskusi a spolupráci.
Tým CSIRT.CZ přijal od svého spuštění (3. dubna 2008) několik tisíc hlášení bezpečnostních incidentů (zpráv ve formě e-mailů), které měly původ v sítích provozovaných v ČR. Tato hlášení představovala cca 642 bezpečnostních incidentů. Tabulka 10.1 přináší stručnou statistiku za dobu provozu týmu CSIRT.CZ, tzn. období od 3. dubna 2008 do 15. prosince 2009:
| Typ incidentu | Počet |
|---|---|
| Phishing | 277 |
| Malware | 130 |
| Trojan | 70 |
| Spam | 70 |
| Virus | 64 |
| Portscan | 14 |
| Other | 6 |
| DOS | 5 |
| Probe | 3 |
| Botnet | 2 |
| Crack | 1 |
| Celkem | 642 |
Tabulka 10.1: Statistika CSIRT.CZ podle typů incidentů (2008–2009)
![[Obrázek]](stat-csirt.png)
Obrázek 10.1: Statistika CSIRT.CZ podle typů incidentů (2008–2009)
Z tabulky 10.2 je vidět rozdíl mezi roky 2008 a 2009 a přibližný trend vývoje charakteru bezpečnostních incidentů hlášených CSIRT.CZ. I z takto krátkého období je vidět, že narůstá počet incidentů typu phishing a malware, což potvrzují i statistiky jiných světových CSIRT týmů. Problém phishingu je na vzestupu a bude nějakou dobu trvat, než proti němu svět IT najde adekvátní a účinnou obranu. Podle zde uvedených dat by se mohlo jevit, že problém spammingu slábne, ale není tomu tak, rovněž se stále zhoršuje. Z hlediska statistiky CSIRT.CZ má spamming „zlepšující“ se tendenci pouze díky tomu, že vrcholovým CSIRT týmům se problémy tohoto typu příliš nehlásí.
| Typ incidentu | Počet v roce 2008 | Počet v roce 2009 |
|---|---|---|
| Virus | 64 | |
| Trojan | 66 | 4 |
| Spam | 47 | 23 |
| Probe | 3 | |
| Portscan | 10 | 4 |
| Phishing | 65 | 212 |
| Other | 1 | 5 |
| Malware | 53 | 77 |
| DOS | 1 | 4 |
| Botnet | 2 | |
| Crack | 1 | |
| Celkem | 244 | 398 |
Tabulka 10.2: Bezpečnostní incidenty podle typů v letech 2008 a 2009
![[Obrázek]](stat-csirt-trendy.png)
Obrázek 10.2: Trend vývoje bezpečnostních incidentů
předchozí
|
 obsah |
následující
|