Jak wdrożyć Listę Ostrzeżeń CERT Polska izabezpieczyć pracowników przedzagrożeniami?
Statystyki w2023r. napodstawie Listy Ostrzeżeń
Od1 stycznia do27 kwietnia 2023 roku, przestępcy, aby wzbudzić zaufanie Internautów ispróbować nanowo zanurzyć się woszustwach finansowych, najczęściej wykorzystywali wizerunek Poczty Polskiej, OLX, InPost, Allegro orazDHL. Łącznie zarejestrowali wtym celu ponad 27 000 domen, które były używane doataków socjotechnicznych, głównie zwykorzystaniem wizerunków sklepów internetowych orazfirm logistycznych.
Przestępstwa polegały głównie napodrobieniu strony internetowej instytucji publicznego zaufania bądź firmy prywatnej, podczas gdycelem nadrzędnym było wymuszenie danych logowania, kradzież środków pieniężnych zapośrednictwem szybkich płatności (BLIK, płatność kartą, przelew internetowy). Spośród zarejestrowanych domen użytych doprzestępstw, sporządzaliśmy listę podmiotów, podktóre najczęściej się podszywano:
Sporządzono napodstawie danych CERT Polska – ogólnopolskiej Listy Zagrożeń.
Aby przeciwdziałać podobnym oszustwom izminimalizować ryzyko ataku, powstała takzwana ogólnopolska Lista Zagrożeń.
Czym jest ówPOLSKA LISTA OSTRZEŻEŃ?
Podadresem lista.cert.pl została udostępniona strona, naktórejmożesz sprawdzić, czyTwójdostawca Internetu alboprzedsiębiorstwo, wdrożyło listę złośliwych domen odCERT Polska, aby lepiej przeciwdziałać atakom socjotechnicznym izłośliwemu oprogramowaniu wpierwszej fazie ataku.
Lista Zagrożeń powstała naskutek lawinowego rozprzestrzeniania się cyberataków socjotechnicznych zasprawą lockdownu wroku 2020. Zapoczątkowało tomasowe przechodzenie natryb pracy zdalnej, czego konsekwencją było ustalenie wspólnego porozumienia największych operatorów telekomunikacyjnych wPolsce, którzydołączyli dowalki zestronami internetowymi wyłudzającymi dane osobowe, dane uwierzytelniające dokont bankowych iserwisów społecznościowych.
Sojusz został podpisany pomiędzy ówcześnie istniejącym jeszcze Ministrem Cyfryzacji orazPrezesem Urzędu Komunikacji Elektronicznej, Orange Polska S.A., Polkomtel Sp. zo.o., P4 Sp. zo.o., T-Mobile Polska S.A., atakże Naukową iAkademicką Siecią Komputerową – Państwowym Instytutem Badawczym (NASK). Treść porozumienia została opublikowana nastronie Urzędu Komunikacji Elektronicznej.
Najakie zagrożenia się narażasz, nieposiadając integracji zlistą CERT Polska?
Przestępcy rozsyłają linki naportalach społecznościowych dopodrobionych stron orazwykupują reklamy wGoogle, aby dotrzeć dowiększej liczby użytkowników. Takie same linki URL (iskracane wusłudze np.bit.ly) niemogą być skanowane podkątem bezpieczeństwa przezoperatorów wSMS-ach, które niesąszyfrowane. Dlatego brak integracji ztaką listą niesie zesobą następujące zagrożenia:
- Wejście nazłośliwą stronę internetową.
- Narażenie pracownika iprzedsiębiorstwa nastraty finansowe.
- Wyłudzenie wrażliwych danych, takich jak: numery karty płatniczej, numeru PESEL, numeru telefonu, adresu e-mail iinnych informacji osobistych.
- Kradzież danych logowania dosystemu informatycznego wwyniku ataku socjotechnicznego.
Dlaczego warto wdrożyć Listę?
Dzięki społeczności internautów, którzymogą zgłaszać próby oszustwa (SMSem naspecjalny numer telefonu lub nastronie incydent.cert.pl), CERT Polska może aktualizować iudostępniać bazę adresów URL wszystkim zainteresowanym. Najbardziej korzystają natym klienci indywidualni orazklienci biznesowi usług telekomunikacyjnych, którzywykorzystują Internet dopracy, łącząc się zsiecią przezpołączenie GSM/LTE (2G, 3G, 4G, 5G) iprotokoły HTTP, HTTPS (WWW). Niestety Lista Zagrożeń niedziała dla protokołu komunikacyjnego, jakim jest SMS, MMS, ponieważ protokoły te, bardzo już stare, nigdy niebyły projektowane zmyślą oglobalnym bezpieczeństwie.
Zlisty zagrożeń korzystają producenci rozwiązań wchmurze ioprogramowania bezpieczeństwa. Każde przedsiębiorstwo zatrudniające pracowników, bezdodatkowych kosztów, może wdrożyć wswoich systemach informatycznych blokowanie złośliwych domen zuwzględnieniem tzw. Listy Zagrożeń, aby wchronić użytkowników przedwyłudzaniem poufnych danych np.dosystemu płatności online. Korzyści wynikające zużywania Listy Zagrożeń sąnastępujące:
- Lista jest dostępna bezżadnych opłat dla każdego.
- Aktualizacja złośliwych domen następuje co5 minut.
- Zagrożenia zlisty sązorientowane naataki naużytkowników zPolski.
- Każdy może zgłosić podejrzaną stronę dozablokowania .
- Zgłoszenia oceniane sąręcznie przezconajmniej dwóch analityków zagrożeń wCERT Polska.
- Zlisty korzystają operatorzy komórkowi: Orange, Play, Plus, T-Mobile, chroniąc automatycznie wszystkich klientów.
- Zlisty może skorzystać każda firma wPolsce izagranicą.
Jak sprawdzić, czyTwójkomputer albosieć, sąchronione przezlistę CERT Polska?
Przejdź nastronę https://lista.cert.pl izaczekaj nawynik skanowania.
Rezultat będzie zależał odtego, czyużywasz oryginalnych adresów IP serwerów DNS operatora telekomunikacyjnego. Przykładowo zmienione adresy serwerów DNS np.naGoogle (8.8.8.8, 8.8.4.4), niestety niebędą zabezpieczały użytkowników przedzagrożeniami zListy CERT. Jeżeli operator lub firma wdrożyły już tozabezpieczenie, tonatelefonie komórkowym oraznakomputerze powinien pojawić się komunikat wkolorze zielonym:
Wdrożenie Listy Zagrożeń dla całej sieci komputerów:
Skupimy się namożliwych dozastosowania wwiększych sieciach metodach blokowania ruchu dozłośliwych domen zwykorzystaniem listy CERT Polska. Wybór zależy odspecyfikacji środowiska.
Opisywane poniżej wpierwszym punkcie blokowanie napoziomie routera czyfirewall będzie skuteczne inajszybsze dozrealizowania, ponieważ bezpośrednio obejmuje całą sieć. Niestety ten proces może się znacząco różnić pomiędzy różnymi modelami czynawet wersjami oprogramowania.
(1) Dodawanie listy doPi-Hole
Dostępnych jest wiele różnych metod ochrony stacji roboczych wsieci lokalnej, leczjedną zpodstawowych jest korzystanie zrozwiązania, które pozwoli zabezpieczyć pracowników wich środowisku pracy napoziomie przeglądarki – czyli elementu ekosystemu, zktórymspędzają najwięcej czasu.
Wmałych firmach jedną znajlepszych dostępnych opcji będzie lokalny DNS (wpostaci Pi-hole), uruchomiony nabudżetowym serwerze lub maszynie wirtualnej alboteż Raspberry Pi. Wwiększej skali iprzy większej ilości urządzeń takie podejście niemazastosowania.
Wmniej złożonych środowiskach firmowych sprawdzi się zwykły lokalny serwer DNS. Jego główną zaletą jest łatwość konfiguracji. Przykładem jest Pi-hole, któryzainstalujemy jednym poleceniem. Pełna instrukcja instalacji została opisana wnaszym artykule.
Dodanie listy ogranicza się dowejścia wzakładkę Adlists, podaniu adresu listy ikliknięcia Add. Jeśli wkonfiguracji DHCP narouterze, jako primary DNS, podany jest adres serwera zPi-hole, adresy zlisty CERT Polska powinny być blokowane znatychmiastowym skutkiem. Pi-hole również posiada funkcjonalność serwera DHCP.
(2) Integracja listy zpfSense
Tobardzo efektywny sposób przy założeniu, żeużytkownicy niebędą mogli zestawić połączenia VPN iwkonsekwencji obejść lokalnych reguł.
Wykorzystamy pakiet pfBlockerNG, ponieważ umożliwia import listy domen dozablokowania, atojest naszym celem. Wchodzimy wSystem -> Package Manager -> Available Packages iinstalujemy pakiet widoczny naponiższym zrzucie.
Powejściu wFirewall -> pfBlockerNG przechodzimy przezkonfigurator zużyciem domyślnych ustawień, jakie sąproponowane. Iwteorii tojuż wystarczy, wiele domen zlisty CERT Polska znajduje się naliście StevenBlack.
Możemy jednak dodać tęlistę, wchodząc wzakładkę IP iIPv4. Klikamy Add, uzupełniamy nazwę listy ipodajemy jej adres (https://hole.cert.pl/domains/domains.txt). Jako Action wybieramy Deny Outbound zczęstotliwością aktualizacji listy Update Frequency np.cogodzinę Every hour. Lista zostanie dodana dosystemu popewnym czasie, alemożemy wymusić aktualizację wzakładce Update przyciskiem Run. Historię blokad możemy sprawdzimy wchodząc wReports.
(3) Lista CERT Polska dla Mikrotik RouterOS
Wprzypadku MikroTik niemamożliwości „natywnego” uruchomienia podobnego narzędzia jak opisywane powyżej. Może dotego posłużyć niewielki skrypt, którytowykonuje. Potrzebny będzie serwer WWW (wystarczy wsieci lokalnej), zktóregorouter każdego dnia pobierze zaktualizowaną listę reguł dododania.
Naserwerze WWW dodajemy skrypt routeros.sh:
#!/bin/bashwget https://hole.cert.pl/domains/domains.txtsed -i 's/^/add address=127.0.0.1 name=/' domains.txtsed -i 's/$/ ttl=86400s/' domains.txtsed -i '1 i\/ip dns static' domains.txtmv domains.txt add.rsc Wterminalu routera wykonujemy:
/system script add name="GetScript" source={/tool fetch url="http://<domena>/add.rsc" mode=http;/ip dns static remove [find where ttl=86400s];/import file-name=add.rsc;}</domena> Topolecenie dodaje skrypt onazwie GetScript pobierający kolejny skrypt add.rsc zinstrukcjami przypisania statycznych adresów rozwiązywania DNS. Usuwa też istniejące rekordy, ponieważ próba dodania identycznego wpisu zakończy się błędem failure: entry already exists.
Ustawiamy możliwość wykonania skryptu naserwerze WWW:
chmod +x routeros.sh Pobiera onlistę domen izużyciem sed odpowiednio formatuje zawartość, aby wynikowy plik mógł być użyty jako skrypt dla RouterOS. Dodatkowo musimy dodać zadanie cron:
@daily /sciezka/do/pliku/routeros.sh WRouterOS wmenu System -> Scheduler dodajemy następujące dane:
Zapierwszym razem możemy wykonać skrypt ręcznie, aby nieczekać do8:00 następnego dnia. Harmonogram wykonywania można dowolnie ustawić.
Przedstawiona metoda niejest najlepsza, ponieważ może obciążyć urządzenie, dlatego warto, aby doświadczony administrator monitorował router przezkilka dni. Pomimo żeRouterOS zapewnia szerokie możliwości dostosowania, kwestię masowego blokowania dostępu lepiej rozwiązać nalokalnym serwerze DNS, korzystając zinnych sposobów.
Wtejmetodzie sposób obsługi domen jest prawidłowy. Dodając statyczne wpisy doDNS, sprawiamy, żeużytkownik powejściu nazablokowaną domenę, niebędzie mógł się znią połączyć, ponieważ DNS rozwiąże jej adres na127.0.0.1. Zamiast localhost możemy ustawić inny lokalny adres zodpowiednią treścią, aby np.użytkownik dowiedział się, żepróbował odwiedzić złośliwą witrynę iskorzystał zedukacyjnego poradnika firmowego.
(4) Lista Zagrożeń wActive Directory
Active Directory dodziałania wymaga serwera DNS, dlatego najego poziomie możemy uniemożliwić połączenie dodanej domeny. Wpraktyce należy stworzyć nowy forward lookup zone (strefa wyszukiwania wprzód), aleniemamy wtedy możliwości łatwego importu listy domen dozablokowania, trzeba wykorzystać skrypt PowerShell zpoleceniem dnscmd. Pierwszym krokiem będzie ustalenie nazwy maszyny zActive Directory. Wystarczy uruchomić Wiersz polecenia iwykonać polecenie hostname.
Następnie wdowolnym folderze tworzymy plik, np.run.bat:
@echo offcurl http://<domena>/add.ps1 --output add.ps1powershell -File add.ps1</domena> Dodajemy doHarmonogramu zadań, aby uruchamiał ten skrypt każdego dnia odowolnej godzinie. Zkolei naserwerze WWW dodamy kolejny skrypt pobierający listę CERT Polska iformatujący każdą linię dopostaci:
dnscmd <hostname> /zoneadd <domena> /primary</domena></hostname> Realizacja może wyglądać wten sposób, analogicznie dopoprzedniego przykładu dla RouterOS:
#!/bin/bashwget https://hole.cert.pl/domains/domains.txtsed -i 's/^/dnscmd <hostname> \/zoneadd /' domains.txtsed -i 's/$/ \/primary/' domains.txtmv domains.txt add.ps1</hostname> Nadajemy skryptowi prawa wykonania (chmod +x) orazdodajemy zadanie cron, które codziennie uruchomi ten skrypt. Tametoda sprawia, żeserwer DNS nierozwiąże podanej domeny nażaden adres IP, coostatecznie uniemożliwi doniej dostęp.
(5) Konfiguracja Listy wZasadach Grupy dla Google Chrome Enterprise
Inną opcją jest skorzystanie zprzeglądarki Chrome dedykowanej dla środowisk zarządzanych. Pierwszym krokiem będzie pobranie iwypakowanie archiwów ZIP zawierających potrzebne składniki:
Wypakowujemy oba archiwa iwGroup Policy Management tworzymy nową politykę. Klikamy nowy obiekt prawym przyciskiem myszy iwybieramy Edit… Zostanie otwarte okno Group Policy Management Editor, gdzie wybieramy Computer Configuration -> Policies -> Administrative Templates iklikamy tępozycję prawym przyciskiem myszy, wybierając Add/Remove Templates. Wskazujemy szablon chrome.adm zfolderu windows\adm\en-US (wypakowany zpliku policy_templates.zip).
Potejoperacji pozostaje jeszcze wejść wComputer Configuration -> Policies -> Administrative Templates -> Classic Administrative Templates (ADM) -> Google -> Google Chrome -> Extensions.
Aktywujemy opcję Configure the list of force-installed apps and extensions.
Klikamy jeszcze przycisk Show…, gdzie wklejamy ciąg:
cjpalhdlnbpafiamejdnhcphjbkeiagm;https://clients2.google.com/service/update2/crx Pierwsza część toidentyfikator rozszerzenia uBlock Origin wChrome Web Store, zkolei widoczny adres URL służy m.in.doaktualizowania rozszerzenia.
Możemy też ustawić inne polityki, np.zablokować tryb incognito czywymusić czyszczenie danych przeglądania przy zamykaniu przeglądarki (iwiele innych ustawień związanych zsamym bezpieczeństwem). Łatwość centralnego zarządzania toogromna zaleta Active Directory.
Teraz wymuszamy instalację (np.zgodnie ztym opisem) prekonfigurowanej przeglądarki Chrome nahostach wdomenie. Wskazujemy wszystkie pliki MSI zudostępnionego folderu Installers. Pozakończeniu procesu może być konieczne wykonanie gpupdate /force.
Niemożemy globalnie wdrożyć dotego rozszerzenia listy CERT Polska, natomiast zawarte domyślnie wuBlock Origin listy potrafią skutecznie chronić przedodwiedzeniem złośliwej witryny. Jeśli jednak zależy nam nadodaniu listy, wystarczy wejść wpanel sterowania rozszerzenia (ikona kół zębatych nadole, pierwsza odprawej), potem Lista filtrów iwybrać Importuj. Wklejamy adres https://hole.cert.pl/domains/domains.txt iklikamy przycisk Zastosuj zmiany.
(6) Zasady grupy iFirefox ESR
Schemat jest podobny jak wprzypadku Google Chrome. Zestrony pobieramy wersję MSI instalatora istandardowo wymuszamy instalację tejprzeglądarki wdomenie. Pobieramy również szablony GPO zGitHub’a Mozilli jako najnowsze wydanie. Zwypakowanego archiwum przenosimy:
- windows\firefox.admx doC:\Windows\PolicyDefinitions
- windows\en-US\firefox.adml doC:\Windows\PolicyDefinitions\en-US
Następnie wGroup Policy Management tworzymy nowy Group Policy Object.
Wybieramy edycję obiektu iwnowym oknie przechodzimy doComputer Configuration -> Policies -> Administrative Templates -> Firefox -> Extensions.
Aktywujemy politykę Extensions toinstall ipokliknięciu Show… wklejamy adres dopliku XPI rozszerzenia uBlock Origin (Pobierz plik). Nakoniec wykonujemy gpupdate /force.
(7) Lista CERT Polska wrozwiązaniach bezpieczeństwa
Podobną konfigurację zapomocą linku https://hole.cert.pl/domains/domains.txt możesz dokonać wrozwiązaniach bezpieczeństwa typu UTM, Next-Gen Firewall np.Fortinet. Lista Ostrzeżeń jest wykorzystywana także wpolskim rozwiązaniu antywirusowym marki Arcabit orazmks_vir.
Podsumowanie
Każdy może zgłosić stronę, którapotencjalnie wyłudza dane osobowe, dane uwierzytelniające dokont bankowych lub serwisów społecznościowych, zapomocą formularza dostępnego nahttps://incydent.cert.pl. Wprzypadku, gdyźródłem podejrzanej strony jest wiadomość SMS, zachęcamy doprzesłania jej nanumer 799-448-084, wykorzystując funkcję „przekaż”, „kopiuj” albo„udostępnij”. Zgłoszenie trafi bezpośrednio doanalityków, którzyzdecydują odopisaniu podejrzanej domeny dolisty ostrzeżeń.
Lista ostrzeżeń zawierająca wykaz witryn stanowiących zagrożenie dostępna jest jako następujące pliki:
format tekstowy, tylko aktywne domeny, jedna domena per linia: https://hole.cert.pl/domains/domains.txtformat TSV (tab-separated values): https://hole.cert.pl/domains/domains.csvformat JSON: https://hole.cert.pl/domains/domains.jsonformat XML: https://hole.cert.pl/domains/domains.xmlformat kompatybilny z wtyczkami do przeglądarek: Adblock Plus, uBlock Origin, Adguard: https://hole.cert.pl/domains/domains_adblock.txtformat hosts: https://hole.cert.pl/domains/domains_hosts.txtformat .rsc, ograniczony do 4096 bajtów, dla systemów MikroTik/RouterOS: https://hole.cert.pl/domains/domains_mikrotik.rsc 