Miesięcznik informatyków i menedżerów IT sektora publicznego

Eryk Chilmon

DNS phishing w instytucjach publicznych

Fundacja Stratpoints opublikowała raport „DNS phishing w polskich instytucjach publicznych”. Wynika z niego, że phishing stanowi realne wyzwanie dla bezpieczeństwa państwa, gdyż dotyczy fundamentalnych struktur publicznych instytucji. W opracowaniu znalazł się wykaz podmiotów szczególnie narażonych na ten rodzaj ataku.

Agencja Bezpieczeństwa Wewnętrznego

Swój serwis główny ABW ma w domenie abw.gov.pl. Jednak większość użytkowników w pierwszej kolejności wprowadza adres abw.pl lub podobny, który szczęśliwie prowadzi na stronę firmową podmiotu zarejestrowanego w Polsce. Jednak już zupełnie inaczej wygląda sprawa subdomeny „abw” w przypadku domen wojewódzkich – część serwerów znajduje się na terenie Ukrainy i Federacji Rosyjskiej, a niektóre z nich zarejestrowane są w Holandii czy na Cyprze. Oczywiście, mało prawdopodobna jest sytuacja, by ktoś odwoływał się np. do serwisu abw.wolomin.pl, jednak subdomena abw.warszawa.pl jest już znacznie bardziej narażona na manipulacje.

Centralne Biuro Antykorupcyjne

W przypadku CBA, gdzie serwisem głównym jest cba.gov.pl, najczęściej wpisywaną nazwą jest cba.pl. Co ciekawe, niektóre adresy zarejestrowane w postaci subdomen w domenach regionalnych prowadzą np. do Holandii albo do innych lokalizacji poza granicami Polski. Pozostałe są w większości wolne do rejestracji. Nie wiadomo jednak, czy niektóre strony są tymczasowe oraz jaki ruch odbywa się na pozostałych portach i usługach poza HTTP.

Ministerstwo Obrony Narodowej

Dużą liczbą domen oficjalnych dysponuje MON. Należą do nich nie tylko subdomeny .gov.pl, ale również .mil.pl. Większość odbiorców nie jest jednak w stanie zorientować się, która nazwa jest właściwa – np. http://11ldkpanc.wp.mil.pl czy też http://11ldkpanc.zagan.pl – w sytuacji, gdy obie strony będą wyświetlać to samo. Nie istnieje również centralny, rządowy rejestr właściwych adresów stron internetowych jednostek wojskowych. Łatwo można zatem manipulować nie tylko korespondencją, ale również przepływającymi informacjami. Zupełnie niezrozumiała jest także praktyka prowadzenia blogów jednostek wojskowych i tworzenia stron struktur wojskowych na portalach społecznościowych. Polska jest chyba jedynym państwem NATO, gdzie kadra najwyższego stopnia prowadzi blogi i spiera się na Twitterze i Facebooku o koncepcje strategii obronnej. Te konta bardzo często powiązane są z telefonami oficerów, które łączą się z routerami znajdującymi się w jednostkach. Samo przełączenie się pomiędzy sieciami nie jest zabezpieczeniem, a telefony wniesione na teren jednostki wojskowej lub ministerstwa łączą się z innymi telefonami i sukcesywnie rozprowadzają mechanizmy ataku. Do zaatakowania innego urządzenia w ogóle nie musi być używana sieć IP – wystarczy Blue­tooth i odpowiednia odległość jednego urządzenia od drugiego. Należy dodać, że w grudniu resort obrony narodowej ogłosił przejęcie wszystkich domen, które mają w adresie mil.pl. Obecni właściciele takich adresów, którzy nie są związani z „obronnością Rzeczypospolitej Polskiej”, mają je oddać w ciągu trzech miesięcy.

Urzędy skarbowe

Zazwyczaj urzędy skarbowe mają krótkie adresy składające się z przedrostka „us” oraz nazwy lokalizacji. Większość tych adresów, które podpięte są pod wojewódzkie lub miejskie domeny regionalne, prowadzi donikąd. Przykładowo us.bialystok.pl prowadzi na serwer w Katowicach, a wynik wyszukiwania frazy „urząd skarbowy Białystok” prowadzi na szereg serwerów stron trzecich. Bardzo podobnie wygląda sytuacja w przypadku pozostałych kilkuset domen regionalnych. Nie ma jednego mechanizmu umożliwiającego jednoznaczne odróżnianie stron instytucji podległych Ministerstwu Finansów. Istnieje zatem szerokie pole do manipulacji w tym zakresie.

Zakład Ubezpieczeń Społecznych

W przypadku ZUS również mamy szereg domen zarejestrowanych na serwerach nienależących do tej instytucji. Przykładowo adres zus.bialystok.pl prowadzi do serwisu „Zdrowie, Uroda i Sport”, a jest to najczęściej wpisywany adres przy wyszukiwaniu ZUS-u w województwie podlaskim. Po prostu ten adres jest aktualnie lepiej wypozycjonowany w wyszukiwarkach. Niestety, nie każdy ma świadomość, że istnieje tylko jeden serwis główny. Bez problemu można zatem zarejestrować serwis w subdomenie regionalnej i wprowadzić innych użytkowników w błąd.

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej