[PL] Cyberbezpieczeństwo RP. Czy naprawdę nic się nie zmieniło?

Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.

Dziś rano Najwyższa Izba Kontroli podała do Polskiej Agencji Prasowej wiadomość o najnowszym raporcie dotyczącym “Stanu Bezpieczeństwa Cybernetycznego Rzeczpospolitej Polskiej”. Czy raport ten może zadziwić w jakikolwiek sposób? No niestety nie. Szczególnie, że informacja pracowa opublikowana dzisiaj, prawie nie różni się od informacji opublikowanej ponad rok temu, która to była przyczynkiem do powstania raportu. 

© Fotolia.com

Cytat z informacji opublikowanej 30 czerwca 2015 roku (5:40 rano):

Bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Nie podjęto dotąd spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. Aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych oraz bierne oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia Europejska.

Cytat z informacji opublikowanej 18 czerwca 2014 roku (8:00 rano):

Bezpieczeństwo Polski w cyberprzestrzeni jest obecnie na dramatycznie niskim poziomie – uważają eksperci zgromadzeni w NIK podczas debaty poświęconej temu zagadnieniu. Państwo musi jak najszybciej zająć się regulowaniem tego obszaru, by skutecznie zapobiegać oszustwom i szpiegostwu w sieci. Czy jest do tego przygotowane? NIK zamierza to sprawdzić.

Zacznijmy jednak od początku. Rok temu Najwyzasza Izba Kontroli stwierdziła:

…Dlatego NIK chce sprawdzić, czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni. – Warto odpowiedzieć sobie dziś na pytanie: Czy budujemy w Polsce sensowny system i czy mamy na niego zabezpieczone środki? – mówi Marek Bieńkowski, dyr. Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK.

Kontrolerzy wejdą m.in. do ministerstw: Administracji i Cyfryzacji, Obrony Narodowej i Spraw Wewnętrznych. Pojawią się także w Agencji Bezpieczeństwa Wewnętrznego, Urzędzie Komunikacji Elektronicznej, Rządowym Centrum Bezpieczeństwa i Komendzie Głównej Policji. NIK zbada aktywność tych instytucji od 2008 r., ale najmocniej przyjrzy się ostatnim dwóm latom.

Funkcjonariusze NIK odwiedzili więc wspomniane instytucje, popytali, popatrzyli, przetestowali procedury i przeprowadzili trochę wywiadów. Efektem tych prac są dane zawarte w raporcie:

…Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.

W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa…

…W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” – dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne…

Ale na całe szczęście jest trochę pozytywów:

Jako działania pozytywne w obszarze ochrony cyberprzestrzeni można wskazać w szczególności:

  • powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;
  • utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki – Narodowego Centrum Kryptologii;
  • upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;
  • prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.

NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła spójnej całości – jednego spójnego systemu.

Pełna notatka z zapowiedzi kontroli (wraz z materiałami audio oraz wideo) znajduje się pod adresem:  https://www.nik.gov.pl/aktualnosci/bezpieczenstwo-rp-w-cyberprzestrzeni.html

Połna notatka z wyników kontroli (wraz z materiałami audio oraz wideo) znajduje się pod adresem: https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-w-cyberprzestrzeni.html

Dodatkowo pełen raport [KPB-4101-002-00/2014] dostępny publicznie pobrać można pod adresem (1.21 MB / 87 stron): https://www.nik.gov.pl/plik/id,8764,vp,10895.pdf

[PL] Magazyn Informatyki Śledczej Numer 25

Najnowszy dwudziesty piąty numer Magazynu Informatyki Śledczej i Bezpieczeństwa IT jest – co ze wstydem wielkim przyznaję – pierwszym wydaniem jakie zamierzam przeczytać. Nie wiem, dlaczego do tej pory nie trafiłem na to wydawnictwo, ale hurtowo pobrałem nie tylko wszystkie numery archiwalne:

Ale również numer specjalny poświęcony stricte zagadnieniom prawnym:

Połączenie informatyki, informatyki śledczej, bezpieczeństwa, dobrych praktyk, prawa, chmur, systemów, aplikacji i wszelkich aspektów tej specyficznej gałęzi świata informatycznego, nie pozwala mi napisać co znajdziecie w środku tych magazynów. Ale z radością moge zaprosić do szukania artykułów napisanych przez duże i doświadczone gremium redaktorów, którymi są:

Grzegorz Mucha, Jakub Ślązak, Emil Melka, Janusz Tomczak, Piotr Szeptyński, Grzegorz Idzikowski, Paulina Skwarek, Karol Szczyrbowski, Tomasz Chmielewski, Błażej Sarzalski, Michał Gluska, Bartosz Pudo, Adrian Wróbel, Maciej Gajewski, Tomasz Pietrzyk, Łukasz Bartecki, Michał Tatar, Przemysław Krejza, Maciej Szmit, Deborah Leary, Jarosław Góra, Mateusz Witański, Mateusz Hajnysz

Zapraszam do pobrania magazynów {LINK} i zapoznania się z treścią, a także do darmowej prenumeraty.

[PL] Zmiana certyfikatu SSL dla SharePoint Server 2007 (studium przypadku)

WPROWADZENIE

Administrator środowiska Microsoft SharePoint Server 2007 (MOSS 2007) od pewnego czasu dostaje informacje od użytkowników portalu, że podczas logowania się do witryny firmowego intranetu, za każdym razem dostają komunikat, który nie jest dla nich specjalnie interesujący, ale po prostu przeszkadza w pracy:

Komunikat o błędzie certyfikatu

Po kilku telefonach okazało się, że pracownik działu bezpieczeństwa wymienił certyfikaty w firmie na nowe (na przykład z powodu zmiany nazwy domeny, lub działu) zapominając o wcześniejszym poinformowaniu innych działów (takie sytuacje niestety się zdarzają). Efektem takiego działania jest konieczność szybkiej wymiany certyfikatu – najlepiej zanim problem pojawi się na ekranie dyrektorskiego laptopa. Wprawdzie w niektórych środowiskach da się z tym pracować (brak ważnego certyfikatu nie musi być powodem odmowy dostępu do witryny – choć powinien) i po zaakceptowaniu wyjątku uda nam się dostac do witryny, ale przesyłana treść nie będzie zabezpieczona, o czym każda mądra przeglądarka łaskawie nam przypomni:

Witryna z nieprawidłowym certyfikatem

DZIAŁANIE

Za poprawną obsługę certyfikatów SSL zapewniających połączenie szyfrowane do witryny MOSS 2007 odpowiada fragment Internet Information Services [IIS] 6.0 (przy domyślnej instalacji). Aby poprawnie wymienić certyfikat obsługujący witrynę musimy otrzymać z urzędu certyfikacji [CA] dwa certyfikaty:
* certyfikat główny [Trusted Root Certification Authorities]
* certyfikat witryny [Intermediate Certification Authority] + hasło

Kiedy już wgramy certyfikaty (w odpowiedniej kolejności i do konkretnych katalogów) możemy zająć się naszym IIS. Na serwerze, na którym pracuje aplikacja (w przypadku farmy):  uruchamiamy IIS 6.0 Manager – menedżera usług internetowych, następnie odnajdujemy naszą witrynę główną  (server_name/web_sites/intranet) i wybieramy właściwości:

Właściwości IIS dla naszej witryny

Możemy podejrzeć nasz obecny certyfikat, aby upewnić się, że to z nim właśnie mamy kłopot (z obrazka, jak również następnych, wycięte zostały informacje wrażliwe typu nazwa firmy, domeny, ca itp):

Szczegóły nieprawidłowego certyfikatu

Klikamy na Server Certificate co pozwoli nam na uruchomienie kreatora obsługi certyfikatów, zaś w nim jest kilka opcji (zmieniających się w zależności od stanów naszych certyfikatów):

Usuniecie certyfikatu

Wybieramy opcję Remove the Current Certificate oraz dla bezpieczeństwa potwierdzamy właściwości certyfikatu:

Szczegóły usuwanego certyfikatu

Efektem naszej pracy powinien być brak certyfikatu, a wiec i niemożność jego podejrzenia:

Potwierdzone usunięcie (brak możliwości podejrzenia)

Uruchamiamy kreatora obsługi certyfikatów jeszcze raz i tym razem wybieramy opcję przypisania istniejącego certyfikatu (pamiętacie, że wgraliśmy go na samym początku) do naszej witryny:

Dodanie nowego certyfikatu

Wybieramy nasz certyfikat…Wybór certyfikatu

…i port po jakim łączymy się z naszą witryną (zazwyczaj jest to 443):

Wybór portu dla witryny

I generalnie jest już po całej akcji. Pozostaje nam tylko zrestartowanie usługi (ja osobiście lubię tego IISa restartować – linia komend: iisreset). Po wszystkim, każdy użytkownik witryny, który ma aktualne firmowe certyfikaty na stacji roboczej, nie powinien mieć żadnych problemów z logowaniem (pierwsze logowanie może trwać odrobinę dłużej), zaś efekt powinien być taki, jaki zaplanowaliśmy:

Prawidłowo działająca witryna

Brak czerwonego paska – OK! Żółta kłódeczka gdzie podejrzymy certyfikat – SUPER! Brak maili i telefonów od użytkowników – BEZCENNE!

PS.: Co ważne całość procesu przeprowadzamy bez przestoju środowiska, co jest najwiekszą wartością dla naszego administratora.