Zaloguj się do usługbezpieczeństwa
Zaloguj się do usługTutaj znajdziesz odpowiedzi na nurtujące Cię pytania. Wybierz interesującą Cię kategorię tematyczną i znajdź odpowiedź na swoje pytanie.
CERT OPL (Computer Emergency Response Team Orange Polska) jest zespołem ds. reagowania na zagrożenia bezpieczeństwa teleinformatycznego. Celem działalności zespołu jest pomoc społeczności internetowej Orange Polska w wykrywaniu, rozwiązywaniu i zapobieganiu incydentom bezpieczeństwa teleinformatycznego i innych problemów związanych z bezpieczeństwem sieciowym. Zespół działa w strukturach organizacyjnych Orange Polska od 1997 roku, od roku 2006 używa marki CERT, zaś od 2014 działa pod nazwą CERT OPL.
Podstawowym zadaniem zespołu CERT OPL jest koordynacja i wsparcie społeczności Orange Polska w reagowaniu na incydenty bezpieczeństwa teleinformatycznego (zapewnienie jednego zaufanego punktu zgłoszeniowego, obsługa i koordynacja incydentów, informowanie o występujących zagrożeniach), a także wsparcie i pomoc w działaniach zapobiegającym incydentom (wskazówki i porady z zakresu poprawy bezpieczeństwa ICT (Information and Communication Technology), komunikaty o zagrożeniach i inne działania zwiększające świadomość z zakresu bezpieczeństwa sieciowego).
Obszarem działania CERT OPL jest społeczność internetowa Orange Polska (organizacje i indywidualni użytkownicy), a dokładniej wszystkie systemy (komputery) przyłączone do sieci Orange Polska (których adresy IP są przydzielone Orange Polska). Działania CERT OPL obejmują swym zakresem wszystkie oferowane przez Orange Polska usługi w obszarze transmisji danych i dostępu do internetu.
CERT OPL jest organizacją niezależną od CERT Coordination Center.
Preferowanym sposobem kontaktu z CERT OPL jest poczta elektroniczna: cert.opl@orange.com. Pełne dane kontaktowe znajdziesz tutaj.
Do zespołu CERT OPL należy zgłaszać informacje dotyczące wszelkich działań zagrażających i/lub naruszających bezpieczeństwo sieciowe, w szczególności zdarzenia dotyczące:
Zespół zajmuje się incydentami (lub innymi przypadkami zagrażającymi bezpieczeństwo systemów i sieci teleinformatycznych, np. informacje o wykrytych podatnościach) w których bezpośrednio lub pośrednio (źródło ataku, bądź cel ataku) zaangażowane są komputery przyłączone do sieci Orange Polska (przestrzeń adresowa IP przydzielona Orange Polska).
Raport zgłoszenia incydentu przesyłanego do CERT OPL powinien zawierać: informacje kontaktowe (nazwa, adres e-mail, nr telefonu), opis incydentu zawierający szczegóły zdarzenia (np. adres IP źródłowy i docelowy, dokładny czas wystąpienia zdarzenia) i inne informacje powiązane z incydentem. Zakres tych informacji może być różny w zależności od typu incydentu. Bardzo ważne jest dołączenie zarejestrowanych dowodów zdarzenia, które mogą wskazać rodzaj podejrzanej aktywności, źródło incydentu itp. Zwykle takie informacje znajdują się w logach lub nagłówku e-mail (pełnym). Osoba zgłaszająca zdarzenie musi mieć świadomość, że brak szczegółowych informacji spowoduje, że CERT OPL nie będzie mógł poszkodowanemu udzielić pomocy.
Każdorazowo proszę pamiętać o załączeniu:
W przypadku spamu, mailbombingu czy innej aktywności naruszającej ogólnie przyjęte zasady wymiany informacji w sieciach teleinformatycznych proszę pamiętać o załączeniu:
W przypadku zgłaszania zdarzeń dotyczących włamań lub jego próby (np. skanowanie portów) i innych ataków (np. ograniczających dostępność zasobów - DoS) proszę pamiętać o przesłaniu logów (np. z zapory firewall) zawierających:
odczas przygotowywania zgłoszenia należy zwrócić szczególną uwagę na właściwe określenie czasu wystąpienia zdarzenia z uwzględnieniem strefy czasowej (UTC/GMT). Więcej informacji: opis raportu zgłoszenia incydentu
Najlepiej zgłaszać incydenty bezpośrednio po wystąpieniu lub gdy zdarzenie ma miejsce. Prosimy zgłaszać wszelką zauważoną działalność związaną z zagrożeniem i/lub naruszeniem bezpieczeństwa również wtedy, jeśli miała miejsce pewien czas temu (w zależności od przypadku do kilku tygodni po wystąpieniu zdarzenia). Pozwoli to uniknąć na przyszłość podobnej sytuacji, lub pomóc innym osobom zaangażowanym w incydent, także takim które nie są świadome niebezpieczeństwa (np. zarejestrowane logi z ataku DoS, który już wystąpił).
Przesyłając zgłoszenia o incydentach bezpieczeństwa ICT do CERT OPL, dostarczasz nam wielu informacji, które możemy wykorzystać wiążąc je z innymi zgłoszeniami z całego świata. W wielu przypadkach incydenty mają podobne charakterystyki (np. przyczyna jest ta sama). Często źródłem incydentu okazuje się nie sam atakujący, lecz nieświadoma ofiara, której komputer został wykorzystany do przeprowadzenia ataku. W ten sposób, likwidując jedno ognisko, można jednocześnie przerwać działalność atakującego oraz uchronić je przed kolejnymi incydentami. Tak więc każdy zgłoszony przypadek incydentu przyczynia się do:
W miarę dostępności zasobów służymy wsparciem i pomocą m. in. w odnalezieniu źródła incydentu, skierowaniu informacji bezpośrednio do innych miejsc zaangażowanych w incydent, dostarczeniu wskazówek odnośnie poprawy bezpieczeństwa systemu komputerowego. W przypadku gdy sprawcą incydentu jest Klient sieci Orange Polska, podejmujemy działania ostrzegawcze i dyscyplinarne. Natomiast jeśli jesteś naszym Klientem, a sprawcą incydentu jest użytkownik innego operatora, który nie interweniuje na zgłoszenie lub nie udało się ustalić właściwego operatora odpowiedzialnego za dany adres IP, wtedy postaramy się wskazać ci właściwą instancję, do której należy zgłosić dany przypadek lub, gdy jest to możliwe i uzasadnione interweniujemy albo podejmiemy działania ochronne po stronie naszej sieci.
Wszystkie informacje zgłoszone do CERT OPL są traktowane jako poufne i są wykorzystywane wyłącznie w celu pomyślnego rozwiązania incydentu bezpieczeństwa ICT, oraz zapobieżenia dalszym incydentom. Przy wyjaśnianiu incydentu przekazywane są tylko te dane, których przekazanie jest konieczne. Nie ujawniamy szczegółów dotyczących incydentów (np. sprawców incydentów i innych prywatnych danych użytkowników), chyba, że za zgodą właściciela lub na wyraźne upoważnienie osoby/instytucji i zgodnie z przepisami prawa (np. ustawą prawo telekomunikacyjne).
CERT OPL nie zgłasza i nie pośredniczy w zgłaszaniu incydentów do organów ścigania, chyba, że polskie prawo wymaga tego, jak np. w przypadku przestępstw ściganych z urzędu. Jednakże CERT OPL współpracuje z organami ścigania m in. poprzez udzielanie informacji odnośnie powiązanych incydentów bezpieczeństwa w oficjalnych śledztwach i postępowaniach karnych.
Z uwagi na bardzo dużą liczbę zgłoszeń incydentów otrzymywanych przez CERT OPL, są one obsługiwane według priorytetów. Ważność reakcji zależy przede wszystkim od typu incydentu, jego szkodliwości, zasięgu oraz dostępnych w dalej chwili zasobów. W pierwszej kolejności obsługiwane są przypadki dotyczące ataków na krytyczne zasoby infrastruktury sieciowej Orange Polska (urządzenia, serwery, węzły podsieci), ataki o dużej skali zasięgu - szybko rozprzestrzeniające się, ataki na tajne lub krytyczne systemy lub informacje i inne przypadki powodujące duże zagrożenie biznesowe dla Orange Polska. Więcej informacji o priorytetach reakcji na incydent można znaleźć w dokumencie opisującym zespół CERT OPL. CERT OPL również z zasady nie informuje o przebiegu obsługi zgłoszonej sprawy. Do osoby zgłaszającej incydent możemy zwrócić się w przypadku, gdy potrzebujemy dalszych informacji związanych z incydentem. Jednakże z uwagi na bardzo dużą liczbę zgłaszanych incydentów, w przypadku, gdy zgłoszenie nie zawiera danych niezbędnych do rozpoznania incydentu (patrz: Jakie informacje powinien zawierać raport zgłoszenia incydentu?) nie będzie mogło być ono rozpatrzone. W większości przypadków sprawę uważamy za rozwiązaną, po przekazaniu informacji do właściwej osoby lub instytucji zaangażowanej w incydent (np. abonenta, innego zespołu w kraju lub zagranicą) o ile nie obserwujemy zdarzeń świadczących o tym, że jest inaczej. Tak więc, brak odpowiedzi zgłaszającemu incydent nie świadczy o tym, że nie zajmujemy się problemem. Jednakże, jeśli zdarzenie nie ustaje przez dłuższy czas, prosimy o ponowny kontakt.
Działania (sankcje) podejmowane wobec sprawców incydentów, którymi są Klienci usług dostępu do internetu świadczonych przez Orange Polska:
Decyzję o sposobie reakcji na incydent (zastosowania sankcji łagodnych lub bardziej zaostrzonych) - zależnie od charakteru i wagi incydentu - podejmuje Orange Polska. W szczególnie uzasadnionych przypadkach Orange Polska ma prawo ograniczyć dostęp do sieci internet lub zawiesić świadczenie usługi, a nawet rozwiązać umowę ze skutkiem natychmiastowym. Zazwyczaj sytuacja kryzysowa ma miejsce, gdy brak jest reakcji Klienta na upomnienia ze strony Orange Polska (nawet w przypadku braku możliwości skontaktowania się z Klientem) szczególnie na wielokrotne lub długotrwałe naruszenie postanowień regulaminu oraz inne przypadki wymagające szybkiej i skutecznej eliminacji zagrożenia.
Podstawę do podjęcia odpowiednich kroków na zgłoszone przez użytkowników lub zaobserwowane zdarzenia naruszające bezpieczeństwo sieciowe stanowią przede wszystkim regulaminy świadczenia usług dostępu do internetu i akty normatywne oraz przepisy prawa. Uwarunkowania i przepisy prawne, które regulują zasady postępowania podczas obsługi zdarzeń zagrażających bezpieczeństwu użytkowników i sieci to m. in.:
Zgodnie z art. 159 ustawy Prawo telekomunikacyjne z dnia 16.07.2004 r. (Dz. U. z 2004 r. Nr 171, poz. 1800):
objęte są tajemnicą komunikowania się w sieciach telekomunikacyjnych, zwaną "tajemnicą telekomunikacyjną" i podlegają ochronie. Ochronie przewidzianej w ustawie nie podlegają zgodnie z art.159 ust. 4 wyłącznie komunikaty i dane ze swej istoty jawne, z przeznaczenia publiczne lub ujawnionych postanowieniem sądu, postanowieniem prokuratora lub na podstawie odrębnych przepisów. Dane identyfikujące użytkowników sieci, o których udostępnienie zazwyczaj występuje się do Orange Polska, z reguły nie są ze swej istoty jawne, nie są też z przeznaczenia publiczne i jako takie nie znajdują się w powszechnie dostępnym dostępnym spisie abonentów Orange Polska. Wobec powyższego Orange Polska działając zgodnie z obowiązującym prawem wszelkie posiadane informacje nt. ewentualnego sprawcy nadużyć przekaże bezpośrednio uprawnionym podmiotom (np. prokuraturze) na ich żądanie.800):
Ustawodawca ustanowił przestępstwo hackingu jako przestępstwo ścigane na wniosek poszkodowanego. Oznacza to, że procedura ścigania rozpoczyna się po złożeniu przez pokrzywdzonego wniosku o ściganie. Wniosek ten może być dokonywany ustnie do protokołu podczas osobistego stawienia się w jednostce Policji albo jednostce organizacyjnej prokuratury właściwych dla miejsca popełnienia przestępstwa. Wniosek o ściganie powinien zawierać między innymi:
Na ogół incydenty należy zgłaszać do właściwego operatora odpowiedzialnego za adresy IP komputerów, które są źródłem incydentu (zazwyczaj możemy się skontaktować za pośrednictwem poczty elektronicznej na adres abuse@adresdostawcy.xx). W przypadku organizacji, informacje o tym kto i gdzie zgłasza incydent, powinny być zawarte w regulacjach i instrukcjach polityki bezpieczeństwa. W przypadku, gdy procedury wyraźnie nie określają kto powinien zgłosić incydent, najlepiej przed zgłoszeniem skonsultować się z kierownictwem. Poniżej kilka typowych kontaktów zgłaszania incydentów:
Incydenty bezpieczeństwa sieciowego dotyczące społeczności internetowej Orange Polska należy zgłaszać do zespołu reagującego CERT OPL. Zaleca się zgłaszanie incydentu bezpieczeństwa teleinformatycznego e-mailem: cert.opl@orange.com
W przypadku kontaktu e-mailowego zaleca się użycie narzędzia kryptograficznego PGP. Oprogramowanie to dostępne jest pod adresem International PGP Homepage lub PGP Corporation (dla celów niekomercyjnych dostepne jest bezpłatnie). Do przesłania zaszyfrowanej wiadomości potrzebny jest klucz publiczny CERT OPL, który dostępny jest również na publicznych serwerach kluczy PGP. Można również użyć innego narzędzia kryptograficznego GnuPG (GPG), który spełnia standard OpenPGP. Narzędzie to jest darmowe i dostępne pod adresem www.gnupg.org. Zupełne minimum w zabezpieczaniu korespondencji to zastosowanie kompresji ZIP z hasłem (przesłanie danych poufnych w archiwum *zip zabezpieczonym hasłem). Hasła nie należy podawać w tej samej wiadomości e-mail, a najlepiej inną drogą (np. telefoniczną).
Właściciela adresu IP można ustalić przy pomocy narzędzi online dostępnych na wielu stronach internetowych, m. in.: SamSpade, DomainTools lub Geektools podając adres IP lub nazwę domenową (hosta). Informacje o adresach IP zawarte są w publicznie dostępnych bazach WHOIS (usługa internetowa służąca do ustalenia "właściciela" danego adresu IP lub domenowego). Globalnie przydziałem adresów IP zajmuje się organizacja IANA (ang. Internet Assigned Number Authority), która jest autonomiczną częścią instytucji ICANN (ang. The Internet Corporation for Assigned Names and Numbers - Internetowa Korporacja ds. Nadawania Nazw i Numerów). Do kogo należy adres IP można również sprawdzić na stronach lokalnych instytucji przydzielających adresy IP, np. na region Europy i część obszaru Azji jest to RIPE (Reseaux IP Europeen). Instytucje te zwykle nie przydzielają adresów IP użytkownikom końcowym, lecz operatorom sieci, którzy dopiero w dalszej kolejności przydzielają je swoim Klientom, nie zawsze przy tym zgłaszając do bazy WHOIS fakt zmiany przynależności danego adresu. Przyczyną tej sytuacji jest to, że nie zawsze Klienci zgłaszają zmianę swoich danych. Tak więc może zdarzyć się, że wpis w bazie wskazuje nie na właściwego użytkownika danego adresu, lecz na jego providera internetowego.
Aby uzyskać pełny nagłówek wiadomości e-mail w programie pocztowym (lub systemie odczytu poczty poprzez www - webmail) należy znaleźć w menu okna wiadomości opcji nagłówki (headers) lub właściwości (properties). Przykładowo w programie pocztowym MS Outlook Express dostęp do nagłówków uzyskasz w następujący sposób: w oknie wiadomości wybierz Plik i z rozwijanej listy wybierz Właściwości (lub naciśnij Alt+Enter), a następnie Szczegóły, gdzie znajdziesz poszukiwany tekst nagłówka. Natomiast w MS Outlook w oknie wiadomości wybierz menu Widok i z rozwijanej listy wybierz Opcje. Nagłówek znajduje się w polu "Nagłówki internetowe". Więcej informacji o nagłówkach pocztowych dla większej ilości Klientów pocztowych znaleźć można m. in. na stronach SpamCop.
To czy dany adres IP na publicznej liście antyspamowej (tzw. czarnej liście) można sprawdzić na stronie internetowej danej czarnej listy, lub na wielu stronach dotyczących walki z zagrożeniami sieciowymi, takich jak: www.openrbl.org/, www.dnsstuff.com/, www.robtex.com/, www.dnsbl.info/dnsbllist.asp. Proces usunięcia adresu z czarnej listy może być różny w zależności od danej listy. Z niektórych czarnych list adres IP usuwany jest automatycznie (np. gdy przez określony czas nie jest już źródłem spamu), z innych użytkownik danego adresu IP powinien usunąć go sam według procedur danej listy (np. wysyłając e-mail z prośbą o usunięcie do administratora danej listy), a jeszcze w innych potrzebne jest pośrednictwo lub współudział operatora (ISP). Może się również zdarzyć, że usunięcie adresu z czarnej listy jest niemożliwe. Należy również pamiętać, że gdy przystąpimy do usuwania adresu IP z czarnych list musimy najpierw sprawdzić przyczynę z powodu której adres IP znalazł się na czarnej liście (np. źródło spamu, ale również takie elementy jak brak lub niepoprawny revDNS dla adresu IP serwera pocztowego itp.). W przypadku gdy niezbędna jest pomoc operatora w usuwaniu adresu IP należy w zgłoszeniu do Orange Polska (na adres: cert.opl@orange.com) dołączyć komunikat świadczący o odrzucaniu poczty elektronicznej z powodu czarnej listy (jaka czarna lista, jaki adres IP, jakie miejsce docelowe ...).
Poprawki bezpieczeństwa (łaty) można znaleźć na stronach twórców danego oprogramowania np. firmy Microsoft. Microsoft używa również innej terminologii dla swoich poprawek. Mniejsze poprawki nazywane są software updates (aktualizacje), natomiast te bardziej kompleksowe określane są jako service packs (pakiety serwisowe). Informacje o wykrytych lukach oraz poprawkach łatających te luki można znaleźć również na stronach internetowych różnych organizacji zajmujących się bezpieczeństwem sieciowym m. in.: www.cert.org/, www.securityfocus.com/, www.secunia.com/. Często wskazówki działań jakie należy podjąć w celu zminimalizowania zagrożenia są komunikowane nawet przed opublikowaniem oficjalnej poprawki bezpieczeństwa przez producenta danego oprogramowania.
Orange Polska nie odpowiada za działania użytkowników w sieci oraz za szkody jakie powstają w wyniku tej aktywności. Orange Polska nie ponosi również odpowiedzialności za straty wynikłe z powodu wadliwego czy niestarannie zabezpieczonego komputera (danych i oprogramowania).
Zgłoś incydent