SI-CERT

slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij

SI-CERT (Slovenian Computer Emergency Response Team) je nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij. SI-CERT svetuje in pomaga razreševati probleme, ki se navezujejo na varno uporabo računalnikov in varno dostopanje do interneta, natančneje; razrešuje incidente, opravlja koordinacijo razreševanja incidentov, nudi tehnično svetovanje ob vdorih in najpomembnejše, izdaja opozorila za upravitelje omrežij ter širšo javnost o trenutnih grožnjah na elektronskih omrežjih. Storitve centra so širši javnosti na voljo brezplačno, tako posameznikom kot podjetjem in organizacijam. [1]

SI-CERT
Si-cert logo.png
Ustanovitev1995
NaslovTehnološki park 18,1000 Ljubljana
Poslovna stavba C, vhod C1, 2. nadstropje
VodjaGorazd Božič
Poštni naslovSI-CERT

ARNES, p.p. 7

Si-1001 Ljubljana
Telefon(01)479 88 22
Faks(01)479 88 23
E-nasloviPrijava incidenta: cert@cert.si

Splošni naslov: info@cert.si

Za medije: press@cert.si
Šifrirni ključPGP/GPG
Spletna stranwww.cert.si


Trenutno ima 95 držav po svetu svoj CERT, ti pa so združeni v globalno organizacijo imenovano FIRST (Forum of Incident Response and Security Teams).

ORGANIZACIJAUredi

SI-CERT je bil ustanovljen leta 1995, na pobudo Gorazda Božiča (diplomant Fakultete za računalništvo in informatiko Univerze v Ljubljani), ki je prav tako vodja odzivnega centra. Center v skladu s sporazumom z Ministrstvom za javno upravo opravlja naloge vladnega centra za odzivanje na omrežne incidente. Deluje v okviru javnega zavoda Arnes (Akademska in raziskovalna mreža Slovenije) in se financira iz javnih sredstev, ki jih za javni zavod Arnes zagotavlja Direktorat za informacijsko družbo Ministrstva za izobraževanje, znanost in šport.

SI-CERT je član svetovnega združenja odzivnih in varnostnih centrov FIRST, skupine nacionalnih odzivnih centrov pri CERT/CC, delovne skupine evropskih odzivnih centrov TF-CSIRT, v tujini pa zastopa interese Slovenije v programu Trusted Introducer. SI-CERT predstavlja nacionalno fokusno točko za program IMPACT (International multilateral partnership against cyber threats) in slovensko točko za Varnostni organ Generalnega sekretariata Sveta EU.

SI-CERT je aktiven pri ozaveščanju javnosti o informacijskih grožnjah in informacijski varnosti, pri čemer samostojno izvaja nacionalni program ozaveščanja Varni na internetu in sodeluje v projektu SAFE.SI. [2]

Zakonodaja in varnostni viriUredi

Med zakone, ki v Sloveniji opredeljujejo nekatere najpomembnejše aspekte s področja informacijske varnosti in varnosti omrežja in so pomembni za uporabnike, ponudnike storitev informacijske varnosti in organizacije, sodijo:

  • Kazenski zakonik RS (KZ-1),
  • Zakon o elektronskih komunikacijah (ZEKom-1),
  • Zakon o elektronskem poslovanju na trgu (ZEPT),
  • Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP).

Varni na internetuUredi

Varni na internetu je projekt, ki deluje pod okriljem SI-CERTa. Projekt je bil zastavljen dolgoročno in naslavlja široko področje problematike informacijske varnosti. Namen projekta je dvig stopnje informiranosti o varni rabi interneta v Sloveniji. Glavni cilji projekta so: [3]

  1. Dvig stopnje zavedanja uporabnikov o različnih nevarnostih, ki so jim izpostavljeni na spletu.
  2. Informiranje uporabnikov spleta o varni uporabi spletnega bančništva in varnem spletnem nakupovanju.
  3. Informiranje uporabnikov spleta o različnih oblikah spletnih goljufij in ponuditi praktične rešitve, kako se zavarovati.
  4. Informiranje uporabnikov spleta o varstvu osebne identitete.

Na uradni spletni strani SI-CERTa (www.cert.si) so zainteresiranim subjektom v obliki nasvetov in priročnikov na voljo različne informacije o zaščiti pred informacijskimi grožnjami, s poudarkom na spletnih prevarah in zlorabah osebnih podatkov.

ZAŠČITAUredi

Osnovni koraki, ki jih priporoča Si-CERT za zaščito osebnega računalnika pred spletnimi prevarami, goljufijami in zlorabami so:

  1. KORAK → NAMESTITEV POŽARNEGA ZIDU (FIREWALL): Požarni zid prepreči dostop do storitev računalnika, ki niso namenjene javni uporabi.
  2. KORAK → POSODOBITEV OPERACIJSKEGA SISTEMA: Namestitev oz. posodobitev operacijskega sistema zakrpa varnostne luknje in zmanjša možnosti zlorabe.
  3. KORAK → NAMESTITEV PROTIVIRUSNEGA PROGRAMA: Namestitev protivirusnega programa omogoča samodejno in redno osveževanje seznama virusov s spleta.
  4. KORAK → PREVERJANJE: Preverjanje posodobitev nameščene programske opreme.

Poleg uporabe tehničnih ukrepov je priporočljivo poznavanje spletnih groženj in varne uporabe interneta.

Si-CERT med priporočene varnostne programe za uporabnike uvršča: 360 TOTAL SECURITY, AVAST, AVG Antivirus, Avira AntiVir, Bitdefender,Comodo Antivirus, Dr. Web, Emsisoft, F-Secure Antivirus, Kaspersky Antivirus, McAfee, Microsoft Security Essentials, Nod32 Antivirus System, Norman Antivirus, Norton Antivirus, Panda Antivirus, Sophos Antivirus, Trend Micro.

PRIJAVA INCIDENTAUredi

Si-CERT organizacijam svetuje, da po opaženem informacijskem incidentu, čim prej sprejmejo nadaljnje ukrepe oz. definirajo kako se bo incident razrešil. Za pomoč pri načrtovanju odziva na incident je SI-CERT pripravil krajši seznam vprašanj:

  1. Ali so sumi upravičeni? Lahko, da je prišlo do napake (programska ali človeška napaka).
  2. Ali je pri incidentu prišlo do kakršnekoli škode?
  3. Kakšna je verjetnost, da je prišlo do spremembe sistemskih programov (stranska vrata in trojanski konji)?
  4. Ali se bo incident spremljal dalje, z namenom zbiranja dodatnih podatkov; ali se bo sistem čim prej »očistil«?
  5. Kako je najbolje zavarovati podatke; ali je možno, da bo prišlo do kazenskega pregona?
  6. Ali je potrebno prizadete sisteme ali dele omrežja čim prej spet spraviti v stanje normalnega delovanja na omrežju?
  7. Ali je potrebno o incidentu koga obvestiti (znotraj ali zunaj organizacije), ali je pomembno informacijo zadržati v čim ožjem krogu?
  8. Ali se lahko incident ponovi?

Navedena vprašanja organizacijam omogočijo lažjo analizo stanja oziroma dogodkain načrtovanje sistematičnega odziva ter korakov za učinkovito razrešitev informacijskega incidenta.

Sporočanje incidenta SI-CERTUredi

Za prijavljanje kakršnekoli omrežne zlorabe ali varnostnega incidenta med najbolj pomembna podatka, ki jih potrebuje SI-CERT, sodita datum in točen čas dogodka ter IP številka oz. naslov izvora, ki sta praviloma vedno prisotna v sistemskih zapisih.

V primeru okužbe računalnika, vdora ali druge omrežne zlorabe SI-CERT poziva, da se pošlje sporočilo z opisom incidenta na njihov elektronski naslov, poštni naslov ali po telefaksu. V primeru pošiljanja podatkov po elektronski pošti, lahko pošiljatelj te podatke zašifrira s programom PGP oz. z uporabo SI-CERT javnega PGP ključ-a.

SPLETNI INCIDENTI V SLOVENIJIUredi

Z ustanovitvijo SI-CERTA, leta 1995, se je v Sloveniji pričelo s podrobnim obravnavanjem varnostnih incidentov na internetu. Od takrat dalje je bilo saniranih veliko različnih spletnih groženj. V nadaljevanju je naštetih nekaj medijsko odmevnih spletnih groženj, ki jih je obravnaval SI-CERT.

Leta 1998 je SIOL prijavil zlorabo uporabniških imen in gesel za dostop do interneta. Organi pregona so ugotovili, da je hekerska organizacija z imenom X-ORG na spletnem strežniku WHITEMOON.ORG, ki se je nahajal v ZDA, uporabnikom interneta, osebne podatke v zameno za plačilo, preko pošte pošiljala ukradena uporabniška imena in gesla uporabnikov SIOL-a. Slovenska policija, je s pomočjo Interpola in SI-CERTa odkrila hekerja z vzdevkom Cr00k, kasneje znan tudi kot Levjesrčni. V sodelovanju s strokovnjaki SI-CERTA in SIOLA je policija sistematično analizirala podatke in informacije iz vseh razpoložljivih virov ter našla dokaze, da je Levjesrčni ukradena gesla preprodajal novinarjem ter tretjim osebam. [4]


Leta 2007 je SI-CERT prejel prijave, zaradi napadov na strežnik www.rickross.com. Napadalec je okužil več računalnikov po svetu, med njimi so bili tudi slovenski, ki so bili povezani v botnet, preko katerega je napadalev izdajal ukaze. SI-CERT je opravil analizo bota, ter popisal njegove značilnosti in delovanje. Ugotovitve je predal ameriškemu FBI-ju in jim tako pomagal pri aretaciji Bruca Raisleva, ki je bil nadzornik omenjenega bota. [5]


Leta 2009 so se na Evropski potrošniški center pri Zvezi potrošnikov Slovenije obrnili uporabniki, ki so na spletnem mestu specialphones.eu opravili nakup mobilnega telefona. Izkazalo se je, da je šlo za lažno spletno stran, kjer so oglaševali telefone po ceni nižji od tržne cene. Kupci so telefone predhodno plačali, vendar jih nikoli niso prejeli. SI-CERT je dosegel umik spletne strani. [6]


Leta 2010 se je med uporabniki Facebooka po svetu širil črv Mariposa, čigar avtor je bil, Matjaž Škorjanc, znan pod vzdevkom - Iserda (danes soustanovitelj podjetja NiceHash). Mednarodne organe pregona spletnega kriminala je preiskava Maripose botneta, vodila v Španijo, kjer je ekipa razvijalcev prodajala zlonamerno kodo. Si-CERT je s preiskavo računalnika in s pomočjo obratnega inženiringa odkril kontrolno stran botnet omrežja (dosdragon.com in n9zle. com) ter posledično IP naslov. Obtoženec je bil leta 2013 obsojen na 58 mesecev zaporne kazni ter globo v višini 28.000€. [7]


Leta 2015 se je zgodil največji »phishing« napad na komitente šestih bank v Sloveniji (Nova Ljubljanska Banka – NLB, Nova Kreditna Banka Maribor – NKBM, SKB banka, Abanka, Unicredit bank in Probanka). Komitentom so bila poslana lažna elektronska sporočila,ki so zahtevala vpis podatkov za dostop do elektronskega bančništva. SI-CERT je v sodelovanju z bankami in z globalno mrežo odzivnih CERT centrov, izvedel vrsto aktivnosti in napad postopoma zajezil ter zmanjšal izpostavljenost uporabnikov. [8]

CERT-I PO SVETUUredi

CERT (computer emergency response team) ali CSIRT (computer security incident response team) je globalna mreža centrov, ki se ukvarjajo z informacijsko varnostjo, v 95 državah po svetu.
[9]
Države s CERT centri so: Albanija, Alžirija, Argentina, Armenija, Avstralija, Avstrija, Azerbajdžan, Bangladeš, Belgija, Bolgarija, Brazilija, Brunej, Burkina Faso, Češka Republika, Čile, Črna Gora, Danska, Egipt, Ekvador, Estonija, Etiopija, Filipini, Finska, Francija, Gana, Gruzija, Gvatemala, Hrvaška, Indija, Indonezija, Iran, Islandija, Italija, Izrael, Japonska, Južna Afrika, Južna Koreja, Kambodža, Kanada, Karibi, Katar, Kazakstan, Kenija, Kitajska, Kolumbija, Kosovo, Latvija, Litva, Laos, Luksemburg, Madžarska, Malezija, Malta, Maroko, Mavricij, Mehika, Mjanmar, Moldavija, Nemčija, Nigerija, Nizozemska, Norveška, Nova Zelandija, Oman, Panama, Paragvaj, Peru, Polska, Portugalska, Romunija, Rusija, Savdska Arabija, Singapur, Slonokoščena obala, Slovaška, Slovenija, Španija, Šrilanka, Švedska, Švica, Tajska, Tajvan, Tonga, Tunizija, Turčija, Uganda, Ukrajina, Urugvaj, Uzbekistan, Venezuela, Vietnam, Zambija, Združene Države Amerike (ZDA), Združeni Arabski Emirati, Združeno kraljestvo (VB).

GLEJ TUDI (ZUNANJE POVEZAVE)Uredi

The Internet Worm
Arnes
Kibernetski prostor
FIRST (Forum of Incident Response and Security Teams)
28 types of computer security threats and risks
SAFE.SI
IMPACT
Botnet

VIRIUredi

  1. "Brezplačna pomoč SI-CERT - nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij". Gospodarska zbornica Slovenije. Pridobljeno 2018-01-30.
  2. "Uradna spletna stran Si-CERT". www.cert.si. Pridobljeno 2018-01-17.
  3. "Varni na interentu". www.varninainternetu.si. Pridobljeno 2018.01-17.
  4. "Razkrili skupino, ki je zlorabila uporabniška imena in gesla omrežja SIOL". www.kabi.si. Pridobljeno 2018-01-30.
  5. "Sodelavec SI-CERT pričal na ameriškem sodišču". www.cert.si. Pridobljeno 2018-01-30.
  6. "Lažna spletna trgovina specialphones.eu". RIS - Raba Interneta v Sloveniji. Pridobljeno 2018-01-30.
  7. "Slovenski heker obsojen na štiri leta in deset mesecev zapora". www.računalniške-novice.com. Pridobljeno 2018-01-31.
  8. "Množičen napad spletnih goljufov na komitente slovenskih bank ". Najdi.si – novice. Pridobljeno 2018-01-30.
  9. "CERTi po svetu". www.cert.org (angleščina). Pridobljeno 2018-1-31.