Incidenti
Jebkurš var ziņot CERT.LV par IT drošības incidentu gan pa e-pastu, gan telefonu. Visa informācija par incidentiem ir konfidenciāla, lai nodrošinātu incidentā iesaistīto pušu, tajā skaitā arī CERT.LV, intereses un tiesības. Ja informācija par incidentu satur sensitīvus datus un informācijas apmaiņai tiek lietoti publiskie tīkli, informācija tiek šifrēta, izmantojot PGP vai GPG atslēgas, vai arī, pusēm vienojoties, tiek izmantotas citas šifrēšanas metodes.
Automātisks ziņojums par incidentu tiek nosūtīts incidentā iesaistītās institūcijas par IT drošību atbildīgajai personai vai atbilstošajam interneta pakalpojumu sniedzējam (IPS). Interneta pakalpojumu sniedzēji, kuri sadarbojas ar CERT.LV, nodod informāciju par inficētajām iekārtām saviem gala lietotājiem.
Ja nepieciešams, incidentu risināšanā CERT.LV iesaista arī lokālos un starptautiskos sadarbības partnerus, kas nekavējoties spēj konstatēt problēmu elektroniskajā vidē, definēt tās cēloņus un operatīvi piedāvāt risinājumus.
Biežāk sastopamie IT drošības incidenti
Uzbrukumi būtiskai infrastruktūrai - piemēram, valsts nozīmes tīmekļa resursiem, svarīgiem serveriem, kuru rezultātā tiek traucēta piekļuve valsts organizāciju mājas lapām, internetbankām, bankomātiem un citiem svarīgiem resursiem. Šādas problēmas novēršanā CERT.LV iesaista un mobilizē visus savā rīcībā esošos līdzekļus, ieskaitot sadarbību ar organizācijām, kurām rūp ne tikai savu datu, bet arī kopējā interneta drošība.
Informācijas zādzība un ielaušanās automātiskajās datu apstrādes sistēmās, kuru pazīmes atbilst Krimināllikumā ietverto noziedzīgo nodarījumu sastāvam. CERT.LV palīdz izmeklēt radušos situāciju, kopā ar klientu apzinot risku, iespējamos zaudējumus, kā arī konstatēt veidus, kā ļaundaris ielavījies sistēmā.
BOTNET’i - „zombēti” datori, kas dara to, ko liek „saimnieks” jeb uzbrucējs. CSIRT komandas visā pasaulē dažādu projektu ietvaros meklē jaunus risinājumus cīņai ar BOTNET tīkliem un - pats galvenais - to „saimniekiem”. CERT.LV rīcībā ir tehniskais nodrošinājums, kas paver daudz plašākas analīzes iespējas cīņai ar šo parādību.
Automatizēti uzbrukumi ir tādi uzbrukumi, kas, piemēram, datorā iedarbina speciālu programmu, kura pēc tam palīdz piekļūt upura FTP serveru datiem. Šādu uzbrukumu mērķis ir izmantot attiecīgos FTP serverus, lai vēlāk tos lietotu ļaunprātīgu programmu izplatīšanai internetā. CERT.LV šādus uzbrukumus regulāri identificē un neitralizē, kā arī brīdina par briesmām citas organizācijas Latvijā un palīdz aizsargāt viņu datorsistēmas.
Mērķtiecīgi uzbrukumi atsevišķam resursam ar t.s. pikšķerēšanu (phishing) (viltotas tīmekļa lapas, kuru izskats ir identisks oriģinālam un kuras radītas ar mērķi izkrāpt no lietotājiem identifikācijas datus), servera uzlaušanas un skenēšanas starpniecību. CERT.LV var palīdzēt notvert pārkāpēju. Tiesa, šāda incidenta risināšanā ir svarīgs reakcijas laiks: jo ilgāk resurss turpinās būt pieejams, jo lielāka varbūtība, ka dati tiks nozagti un izmantoti ļaunprātīgi. Servera uzlaušana ļoti bieži tiek konstatēta pēc sekām, kas jau radušās, kad notikušas kādas pretlikumīgas darbības. Svarīgi ir saglabāt visu žurnālfailu ierakstus, atslēgt serveri no tīkla, ja tas pieļaujams, un iespējams radīt precīzu cietā diska klonu, tā saglabājot pilnīgus datus par uzbrukumu.
„Spam” vēstules jeb mēstules. Saskaņā ar CERT.LV datiem, mēstules, kas tiek izsūtītas no Latvijas, galvenokārt saņem Latvijas interneta lietotāji. Sekmīga cīņa ar „spameriem” raksturo daudzas CSIRT komandas pasaulē. Atzinība par šīs sērgas apkarošanu Latvijas teritorijā pienākas arī CERT.LV, kas kopā ar bezmaksas e-pasta pakalpojumu portālu Inbox.lv ir izveidojuši tā saucamo spameru „melno sarakstu” mēstuļu izsūtītāju bloķēšanai.
Incidentu iedalījums pa apdraudējumu veidiem
Lai sniegtu pilnvērtīgāku Latvijas kibertelpas pārskatu un nodrošinātu datu starptautisku salīdzināmību, no 2017. gada 1. janvāra incidentu uzskaitei izmantosim starptautiski lietotu incidentu taksonomiju (Incident Classification). Turpmāk statistikā visi CERT.LV reģistrētie un apstrādātie incidenti tiks uzskaitīt vienkopus, sadalot tos pa apdraudējumu veidiem (piemēram, ļaunatūra, ielaušanās, krāpšana), kā arī pa infekciju (piemēram, Confiker, Zeus, Mirai) un ievainojamību (piemēram, Opendns, Openrdp) tipiem.
Ielaušanās mēģinājumi (Intrusion Attempts) - mēģinājumi nesankcionēti piekļūt sistēmām vai servisiem, izmantojot kādu no zināmām (ar CVE numuru) ievainojamībām, vai izmantojot līdz šim nezināmu ievainojamību. Vairākkārtēji autentifikācijas mēģinājumi, lai uzminētu vai uzlauztu paroles.
Informācijas drošība (Information Content Security) - Nesankcionēta piekļuve informācijai un tās informācijas modificēšana, kas notikusi, nesankcionēti piekļūstot iekārtām vai aplikācijām, vai pārtverot datu pārraidi.
Informācijas vākšana (Information Gathering) - mērķtiecīga noteiktu servisu ievainojamību meklēšana, nesankcionēta tīkla plūsmas noklausīšanās, netehnisku līdzekļu jeb sociālās inženierijas (meli, uzpirkšana, draudi) izmantošana informācijas iegūšanai.
Kaitīgs saturs (Abusive Content) - SPAMa jeb mēstuļu izsūtīšana, tajā skaitā pakalpojumu/ preču reklamēšana ar mēstuļu palīdzību. Ar likumu aizliegta pornogrāfija (atbilstoši "Pornogrāfijas ierobežošanas likuma" 4.panta pirmai daļai un "Krimināllikuma" 166.pantam). Naidu kurinošs saturs.
Konfigurācijas nepilnības (Vulnerable) - iekārta ar interneta pieslēgumu, kuras konfigurācija neatbilst labajai praksei un padara iekārtu izmantojamu ļaundabīgiem mērķiem.
Kompromitētas iekārtas (Intrusions) - nesankcionēta piekļuve serveriem, tīkla iekārtām, IT sistēmām, aplikācijām, lietotāju kontiem, kas var tikt realizēta gan attālināti, izmantojot zināmu vai jaunatklātu ievainojamību, gan lokāli. Iekārta tiek uzskatīta par kompromitētu arī tad, ja tā iekļauta robotu tīklā.
Krāpšana (Fraud) - Resursu izmantošana pretlikumīgiem mērķiem, piemēram, krāpniecisku ķēdes vēstuļu izsūtīšana peļņas gūšanas nolūkos. Izlikšanās par kādu citu ar mērķi izvilināt lietotājvārdus, paroles, personas datus vai gūt finansiālu labumu.
Ļaundabīgs kods (Malicious Code) - kods, kas tiek iekļauts vai ievietots sistēmā ļaundabīgiem mērķiem. Parasti nepieciešama lietotāja līdzdarbība, lai aktivizētu ļaundabīgo kodu.
Pakalpojuma nepieejamība (Availability) - piekļuves lieguma uzbrukums, kura laikā sistēmai tiek nosūtīts tik daudz pieprasījumu, ka to apstrāde tiek kavēta vai sistēma pārtrauc savu darbību. Pārsvarā tie ir tieši vai izkliedēti piekļuves lieguma uzbrukumi (DoS un DDoS), taču pieejamību var traucēt arī atsevišķas lokālas darbības, kas var būt ļaunprātīgas, piemēram, sabotāža, vai neļaunprātīgas, piemēram, elektroenerģijas padeves traucējumi vai cilvēciska kļūda.
Cits (Other) - Konsultācijas un citi pārējās kategorijās neietilpstoši notikumi.