CyberTarcza – Fakty i Mity
Z roku na rok bezsprzecznie rośnie rozpoznawalność CyberTarczy Orange. Jednak nie zawsze tak jak można by tego oczekiwać. Niczym Adam Savage i Jamie Hynemann postawiliśmy się więc rozprawić z pewnymi „faktami”, które przez ostatnie lata rozpowszechniły się wśród internautów.
CyberTarcza chroni każdego użytkownika sieci Orange Polska – PRAWDA
CyberTarcza to mechanizm sieciowy, oparty na sinkholingu domen (DNS Orange Polska) oraz sinkholingu BGP (zmiana routingu do złośliwych adresów IP w sieci Orange Polska, czyli między innymi cały AS5617). Dzięki pracy zespołu CERT Orange Polska każdego dnia sinkholujemy setki złośliwych domen oraz pojedynczych adresów IP, tak aby w możliwie najkrótszym czasie były one niedostępne w naszej sieci (czyli np. w momencie kiedy klikniesz link do fałszywej bramki płatności z SMS).
CyberTarcza jest bezpłatna – PRAWDA
Powyżej opisany mechanizm ochrony jest dostępny dla każdego klienta sieci Orange, bez względu na typ usługi.
CyberTarcza to płatna usługa w sieci Orange Polska – PRAWDA
Ktoś powie „Ale zaraz? Jak może być równocześnie płatna i bezpłatna?”. Okazuje się, że pomimo zbieżności nazw mamy do czynienia z nieco innym „produktem”. Można bowiem, na swoich urządzeniach mobilnych i stacjonarnych aktywować „usługę dodatkową” w ramach CyberTarczy. Płatna CyberTarcza ma szereg dodatkowych funkcjonalności. Na spersonalizowanym portalu, możesz samodzielnie skonfigurować blokadę, na stałe lub w konkretnych godzinach, wybranych kategorii stron internetowych, a także zdefiniowanych przez siebie adresów. Możesz to zrobić na każdym, z maksymalnie trzech urządzeń, definiując odrębne polityki. Działa to nieco podobnie do systemu typu Parental Control, ale jest bardziej elastyczne. Blokuje wiele światowych zagrożeń w oparciu o komercyjny produkt, zwiększając dywergencję ochrony. Wszystko uzupełnia system powiadomień i miesięcznych raportów. Więcej na ten temat możesz przeczytać tutaj.
CyberTarczę można wyłączyć – PRAWDA / NIEPRAWDA
Warto przy okazji wrócić do pierwszego faktu i przypomnieć sobie w jaki sposób zapewniamy Ci ochronę. Jakkolwiek ochrony wyłączyć się nie da, można ją skutecznie omijać – poprzez wykorzystanie innych serwerów DNS lub połączeń VPN. Na pytanie, „czy warto to robić?” odpowiedz sobie jednak nie wcześniej, niż po zapoznaniu się z treścią najnowszego Raportu CERT Orange Polska.
Warto też zwrócić uwagę na pewien istotny fakt. Nasz ruch ostatecznie ZAWSZE jest dla kogoś widoczny. Nie dajcie się zwieść. Macie jedynie do wyboru komu bardziej ufacie: swojemu operatorowi, gigantowi z Doliny Krzemowej, dostawcy VPN, czy obcemu wywiadowi 😉 Dodanie niebezpiecznej strony do białej listy (wyjątków) w portalu „płatnej CyberTarczy” nie odblokuje ruchu do niej, ponieważ ochrona „bezpłatnej CyberTarczy” ma priorytet.
Można natomiast wyłączyć proaktywne powiadomienia. Jak to działa? W przypadku stron phishingowych, które w swojej naturze wymagają Twojej interakcji powiadamiamy Cię natychmiast o zaistniałym incydencie. W przypadku złośliwego oprogramowania, które działa w ukryciu, blokujemy mu dostęp do np. serwerów C2 i odnotowujemy, że był taki incydent. Jeśli to, według nas incydent, o którym powinieneś wiedzieć jak najszybciej, to powiadamiamy Cię proaktywnie, w zależności od usługi wysyłając SMS, maila lub przenosząc Twój dostęp światłowodowy w strefę kwarantanny. Jeśli to mniej istotny incydent możesz sam zajrzeć na odpowiednią zakładkę w aplikacji Mój Orange, albo na stronę CyberTarczy. Proaktywne powiadomienia, które mogą być nieco męczące dla „recydywistów” lub „badaczy”, można wyłączyć na tej samej stronie lub na naszej infolinii.
Orange blokuje mi internet – NIEPRAWDA
Choć bardzo staramy się, żebyście w ten sposób o blokowaniu złośliwych stron w internecie nie myśleli – takie głosy się pojawiają. Po pierwsze, robimy wszystko aby nie zablokować dostępu do żadnej zawartości nie związanej z zagrożeniami. Po drugie, poza naszą pracą w wykrywaniu złośliwych treści, realizujemy również blokady zgodnie z Rejestrem Domen Służących do Oferowania Gier Hazardowych Niezgodnie z Ustawą, listą ostrzeżeń przed niebezpiecznymi stronami z CERT Polska, czy choćby listę stron dezinformacyjnych związanych z wojną w Ukrainie. Po trzecie, zawsze masz wybór o którym pisaliśmy wyżej.
Używając CyberTarczy, Orange monitoruje strony, które odwiedzam – NIEPRAWDA
To nie działa w ten sposób, że obserwujemy Twój ruch sieciowy i po wykryciu czegoś złośliwego zostanie on zablokowany. Konfiguracja CyberTarczy jest zasilana złośliwymi domenami i adresami IP by w momencie kiedy urządzenie w Twojej sieci spróbuje nawiązać z nimi połączenie trafiło na specjalny serwer – sinkhole. To jedyna informacja jaka do nas trafia. Odbywa się to również w pełni automatycznie bez naszego udziału, a powiązanie zdarzenia z użytkownikiem służy jedynie do tego, aby wyświetlić Ci informację o właściwym zagrożeniu oraz sposobie jego usunięcia.
CyberTarcza to antywirus – NIEPRAWDA
CyberTarcza nie była, nie jest i nigdy nie będzie antywirusem. Gdyby jednak bardzo silnie szukać analogii można pokusić się o stwierdzenie, że posiada cechy silników reputacyjnych implementowanych w rozwiązaniach AV w kontekście wiedzy o złośliwości domeny bądź adresu IP. Może ochronić przed komunikacją złośliwego oprogramowania na Twoim komputerze (zablokuje wysłanie danych na serwer przestępców), ale w żaden sposób go fizycznie nie zneutralizuje. W szczególności, gdy np. połączysz się poza siecią Orange, czy skorzystasz z VPN, dane te zostaną wykradzione.
CyberTarcza nie działa, wyświetla zagrożenie, którego nie ma – NIEPRAWDA
Rejestrując zdarzenie w CyberTarczy nie wiemy dokładnie jakie urządzenie będące w Twojej sieci je wywołało. W szczególności gdy mowa o usługach stacjonarnych gdzie do Wi-Fi bywa podłączonych kilkanaście urządzeń. Szybki internet LTE również jest już bardzo szeroko wykorzystywany jako mobilny hotspot i udostępniany dla np. laptopa.
Staramy się dawać coraz więcej informacji w celu identyfikacji urządzenia (np. User-Agent), ale często jest to niemożliwe. Czynników, które mogą powodować trudność w identyfikacji jest więcej. Może się zdarzyć, że serwer C2 jest wykorzystywany przez więcej niż jeden rodzaj malware i informacja na stronie CyberTarczy nie jest wtedy w 100% adekwatna. Wreszcie, pośród dziesiątek milionów zdarzeń, jakie rejestrujemy bywają też takie, które rzeczywiście klasyfikujemy błędnie (tzw. „false positive”), ale tych jest naprawdę niewiele i nie przekreślają skuteczności całego rozwiązania. Wychodzimy z założenia, że lepiej kilka razy się pomylić niż pozwolić kogoś okraść. 24 godziny na dobę, 7 dni w tygodniu, ktoś czuwa przy naszym mailu (cert.opl@orange.com), by naprawić zgłoszony błąd.
CyberTarcza przeprowadza ataki MiTM – NIEPRAWDA
Każda zablokowana domena czy adres IP trafia na serwer sinkhole (sh.cert.orange.pl), a w przypadku phishingu przekierowywana jest dalej na serwer informacyjny (alert.cert.orange.pl). Jako, że większość ruchu, w obecnych czasach, to ruch HTTPS, mieliśmy dwie opcje do wyboru. Odrzucać to połączenie albo akceptować z własnym certyfikatem. W pierwszym wypadku przeglądarka długo czeka na odpowiedź, a potem daje objawy kojarzone jako „problem z Internetem”. Drugi wariant daje ostrzeżenie o „złym certyfikacie”, problemie z mechanizmem HSTS albo o „ataku MITM”. Wybraliśmy drugi scenariusz. Nie da się tego zrobić lepiej. Nie próbujemy udawać innego adresu. Certyfikat jest wystawiony na naszą domenę. Jeśli ktoś zaakceptuje nasz certyfikat dostanie komunikat o problemie, a dodatkowo wykorzystujemy tą okazję do poinformowania o tym, aby nie akceptować certyfikatów niezgodnych z adresem strony do której próbowaliście się połączyć. Budowanie świadomości użytkowników jest dla nas priorytetem, bo to najlepiej poprawia bezpieczeństwo.
Robert Grabowski, Sławek Krawczyk
(tekst pochodzi z Raportu CERT Orange Polska 2021)
