Przez luki i błędne konfiguracje stron internetowych cyberprzestępcy mają teoretycznie możliwość uzyskiwania dostępu do danych, które powinny być pilnie strzeżone. Strony polskich instytucji publicznych okazują się dziurawe jak ser szwajcarski, co od kilkunastu miesięcy dobitnie pokazuje Artemis.
Artemis sygnalizuje problem
Artemis to narzędzie opracowane przez zespół CERT Polska. Jego zadanie polega na badaniu i analizie stron internetowych pod kątem ewentualnych luk bezpieczeństwa i błędów konfiguracyjnych. Eksperci od cyberbezpieczeństwa postanowili sprawdzić nim witryny polskich instytucji publicznych, takich jak przedszkola, szkoły, placówki służby zdrowia, banki czy jednostki samorządu terytorialnego. Wnioski nie napawają optymizmem.
W ciągu niewiele ponad roku (a dokładnie od 1 stycznia 2023 roku) za pomocą narzędzia Artemis przebadano ponad 54 tysiące domen i przeszło 400 tysięcy subdomen. Aż w 1 na 6 spośród nich wykryto co najmniej jedną podatność lub błędną konfigurację, a łącznie tego typu problemów było ponad 225 tysięcy. Jakie były to zagrożenia? Statystyki przedstawiają się następująco:
- ponad 107 tysięcy przypadków korzystania z nieaktualnego oprogramowania,
- ponad 47 tysięcy przypadków błędnej konfiguracji SSL/TLS (umożliwiającej przechwycenie komunikacji na linii użytkownik-strona),
- blisko 30 tysięcy przypadków błędnej konfiguracji mechanizmów weryfikacji nadawcy poczty e-mail,
- ponad 18 tysięcy przypadków publicznego dostępu do panelu administracyjnego,
- blisko 13 tysięcy przypadków publicznego dostępu do informacji o konfiguracji serwera lub listy plików na serwerze (ułatwiającego przeprowadzenie ataku poprzez poznanie oprogramowania lub nazw plików),
- blisko 5 tysięcy przypadków krytycznych lub poważnych podatności (umożliwiających przejęcie strony lub pobranie bazy danych),
- ponad 4 tysiące przypadków publicznego dostępu do wrażliwych danych (np. kopii zapasowych, kodów źródłowych lub zrzutów bazy danych).
Luki i błędy. Informacje trafiają prosto do administratorów
Co ważne, badanie przy użyciu narzędzia Artemis nie powoduje obciążenia systemów skanowanych instytucji. NASK podkreśla również, że ze względów bezpieczeństwa, wyniki są przekazywane wyłącznie do wiadomości administratorów danych serwisów. Dowiadują się o nich tak szybko, jak to możliwe, dzięki czemu od razu mogą wyeliminować luki i błędy.
Zaczynaliśmy w styczniu 2023 roku od skanowania jednej grupy stron: jednostek samorządu terytorialnego. Obecnie skanujemy ponad 10 typów instytucji i co miesiąc wysyłamy informacje o kilkunastu tysiącach podatności i błędnych konfiguracji. Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis
