Authorized to use CERT

Kaip pranešti apie kompiuterinę ataką

  1. Apie kokius įvykius reikia pranešti?
    Pranešti reikia apie įvykius, kurie pažeidžia normalų kompiuterių/tinklo veikimą, prieštarauja tinklo saugumo taisyklėms, galiojantiems įstatymams. Visi tokie nepageidautini reiškiniai apibrėžiami kaip kompiuterinis saugumo incidentas.
    Formalų kompiuterinio incidento apibrėžimą rasite čia...

    Kompiuteriniai saugumo incidentais dažnai laikomi tokie įvykiai:
    • įsilaužimai į sistemą
    • bandymai įsilaužti į sistemą
    • servisų darbo trikdymas, DoS ataka
    • sistemos, programinės įrangos, informacijos pakeitimas be savininko žinios ar leidimo
    • įstatymus pažeidžiantys veiksmai
      • vagystės
      • apgavystės
      • grėsmė žmonių saugumui
      • vaikų pornografija
    • kita neleistina veikla
      • tinklo skenavimas
      • paslaugų skenavimai
    • TNP pažeidimai (etikos pažeidimai, kt.)
    Pranešant apie įvykį, reikia atkreipti dėmesį ir į tai, kam iškilo ar buvo kilusi grėsmė. Paprastai, tiriant kompiuterinius incidentus, didesnis prioritetas yra suteikiamas atakoms, nukreiptoms prieš (išvardinta prioriteto mažėjimo tvarka)
    • Žmogaus gyvybę, asmens saugumą
    • Tinklo infrastruktūrą (backbone maršrutizatoriai, vardų (DNS) serveriai, archyvų serveriai, tinklo prieiga)
    • Didelius viešo naudojimo serverius, daugiavartotojiškas sistemas, specialios paskirties sistemas
    • Asmeninius kompiuterius
    • Pavienius vartotojus (el. pašto dėžutes)

  2. Kodėl reikia pranešti
    • Viena iš incidentų tyrimo tarnybos užduočių – suteikti vartotojams pagalbą, sprendžiant saugumo problemas, kompiuterinius incidentus. Pranešę apie kompiuterinį incidentą jūs sulauksite rekomendacijų, patarimų kaip ištirti ir sutvarkyti sistemas.
    • Dažnai tas pats kompiuterių užpuolikas vienu metu atakuoja kelias sistemas. Gavusi pranešimą apie kompiuterines atakas, CERT tarnyba galės tiksliau ištirti užpuoliko atliktus veiksmus, išaiškinti kitas sukompromituotas sistemas, užkirsti kelią kitoms panašioms atakoms.
    • Kompiuterinių incidentų tyrimo tarnyba renka informaciją apie kompiuterines atakas ir publikuoja statistiką apie egzistuojančias saugumo problemas. Pateikiama statistinė informacija apibendrina esamos saugumo situacijos tendencijas, parodo prieš ką dažniausiai yra nukreipiamos kompiuterinės atakos, kelia žmonių susirūpinimą kompiuterinėmis saugos problemomis. 
    • Jūsų pateikta informacija padės sudaryti tikslesnę statistinę informaciją.

  3. Kam reikia pranešti
    • Už kompiuterių saugumą atsakingam asmeniui
    Jei jūsų organizacija turi asmenį, atsakingą už kompiuterių saugumą nedelsdami apie saugumo incidentą praneškite jam. Jis gebės tiksliau įvertinti susidariusias grėsmes, padarytus nuostolius. Taip pat jis geriau žinos, kur reikia kreiptis dėl tolimesnio tyrimo.
    • Savo organizacijos, tinklo CERT tarnybai, „abuse“ grupei.
    Kai kurie IPT, kompiuterių tinklai gali turėti savo kompiuterinių incidentų tyrimo tarnybas (CERT), užsiimančias saugumo incidentų tyrimu ir sprendimu. Tokios darbo grupės galės suteikti jums pagalbą, paspartins incidento tyrimą. Informaciją apie tokias tarnybas galite rasti kompanijos tinklapyje arba WHOIS duomenų bazėje (ieškodami pagal IP adresą), pvz.: RIPE WHOIS duomenų bazė, http://www.ripe.net.
    • Kitas, su incidentu susijusias puses
    Dažnai įsilaužėliai savo atakoms panaudoja kitus kompiuterius, į kuriuos buvo įsilaužta anksčiau. Informavę oficialius tokių kompiuterių tinklų savininkus, jūs atkreipsite jų dėmesį į galimą saugumo problemą jų tinkle.
    • Jei norite kreiptis į teisėsaugos institucijas ir siekiate oficialaus ikiteisminio tyrimo, galite kreiptis į policijos komisariatą, http://www.policija.lt/kontaktai/raj_telefonai.php. Informaciją taip pat galite perduoti LKB NEETS skyriui: Saltoniškių g.19, LT - 08105, Vilnius; tel. +370 5 271 7998, +370 5 271 7933; faksas: +370 5 271 7997; el. paštas:  Daugiau informacijos tinklapyje http://www.cyberpolice.lt

  4. Kokią informaciją įdėti į raportą
    Labai svarbu, kad pranešdami apie kompiuterinį saugumo incidentą pateiktumėte kaip galima pilnesnę informaciją. Turint nepakankamai duomenų, dažnai nėra įmanoma tinkamai ištirti kompiuterines atakas.
    • Pateikite apibendrintą informaciją apie ataką:
      • Prieš kokius kompiuterius buvo nukreipta ataka, ir iš kokių kompiuterių vyko ataka. Nurodykite informaciją apie kompiuterių IP adresus, DNS vardus, kompiuterių atliekamas funkcijas (pvz. WWW serveris, darbo stotis ar pan.), TCP/UDP portus, parašykite, kokiu laiku (nuo kada iki kada) vyko ataka.
      • Glaustai aprašykite ataką: kokiais pažeidžiamumais buvo pasinaudota, kokio intensyvumo buvo ataka (DoS atakos atveju), kokia žala buvo padaryta.
    • Paprastai kompiuterinės sistemos, serveriai veda sisteminius žurnalus (log įrašus) - registruoja bandymus prisijungti, prisijungimus, vykdomus veiksmus, sistemos būseną ir kt. Į raportą įtraukite tokių sisteminių žurnalų ištraukas, rodančias atliktus veiksmus.
    • Iš siunčiamų žurnalų pašalinkite įrašus, nesusijusius su kompiuteriniu incidentu.
    • Jei incidento metu sistema sugeneravo daug vienodų žurnalo eilučių, siųskite tik dalį sistemos žurnalo, nurodydami, kiek tokių eilučių yra.
    • Paaiškinkite žurnalo formatą, kadangi žmogus, skaitysiantis jūsų siunčiamą raportą gali būti nesusipažinęs su jūsų naudojama įvykių registravimo sistema.
    • Peržiūrėkite siunčiamus sisteminius įrašus ir įsitikinkite, jog ten nėra slaptos informacijos. Esamą slaptą informaciją ištrinkite arba pakeiskite ją (pvz. simboliais X). Perspėkite apie padarytus pakeitimus raporte.
    • Jei neturite su ataka susijusių sisteminių žurnalų, nurodykite tai savo raporte
    • Patikslinkite detales dėl kompiuterio laiko tikslumo (ar kompiuterio laikas sinchronizuotas su laiko serveriais – NTP, jei laikas netikslus, koks gali būti skirtumas nuo tikslaus NTP laiko) ir dėl laiko juostos, išreiškiant poslinkiu nuo GMT. Pvz Lietuvoje naudojamas laikas yra GMT+3 vasaros laiku, ir GMT+2 žiemos laiku.
    • Jei iš incidentų tyrimo tarnybos tikitės tam tikrų veiksmų (atsakymo, paaiškinimų ar kt.), aiškiai išdėstykite tai savo pranešime. Atkreipkite dėmesį į tai, kad paprastai IPT negali atskleisti jums savo klientų informacijos, ir tokios informacijos gali būti prašoma tik įstatymų numatyta tvarka.
    • Savo raporte paminėkite, kaip su jumis susisiekti. Įprastas susisiekimo būdas yra el. paštas, tačiau kartais, jei kreiptis reikia skubiai, arba jei el. pašto sistema dėl atakų neveikia, gali būti reikalingas jūsų telefono numeris.
    • Gali būti, kad incidentas, apie kurį jūs pranešate yra susijęs su kitomis organizacijomis, tinklais. Jei nepageidaujate, kad jūsų atsiųsta informacija būtų perduota kitoms šalims, nurodykite tai savo raporte.

  5. Kaip pranešti
    • Įprastas pranešimo apie kompiuterinį saugumo incidentą būdas yra elektroninis paštas.
    • Jei elektroninis paštas nėra prieinamas, praneškite apie incidentą telefonu, o susijusius sisteminių žurnalų įrašus siųskite faksu.
    • Elektroninis paštas nėra saugi priemonė, ir jei siunčiate slaptą informaciją, rekomenduojame ją šifruoti panaudojant PGP. Incidentų tyrimo tarnybos viešą raktą galėsite surasti viešuose PGP serveriuose (pvz. http://pgp.mit.edu) arba tarnybos tinklapyje.
© LITNET CERT 2003-2009