cert.gov.ua или что за фигня?

[adeep 212]

Друзья, а никому не приходила такая хрень:

 

 

 

Шановні колеги!

З метою створення ефективного та дієвого механізму захисту від загроз інформаційній інфраструктурі України (мережі, веб-сайти, інформаційні/телекомунікаційні системи, інформаційні ресурси, активне мережеве та серверне обладнання, канали зв’язку тощо, що знаходяться на території України, або експлуатуються підприємствами, установами, організаціями, державними органами України; далі – елементи ІТ-інфраструктура України) Командою реагування на комп’ютерні надзвичайні події України CERT-UA ініційовано проект, присвячений визначенню/оновленню контактних даних осіб, відповідальних за адміністрування і технічне супроводження елементів ІТ-інфраструктури України (операторів/провайдерів телекомунікацій, хостерів, реєстраторів доменних імен, організацій та ін.).

Об’єктом відповідальності, про яку іде мова, обрано IP-адреси або діапазони IP-адрес (сутності: NETNAME, FIRST_IP-LAST_IP).
Основним засобом оперативного зв’язку визначено електронну пошту (сутність: EMAIL). Альтернативним/допоміжним засобом зв’язку може бути телефон.

Часткові завдання проекту:
1. Забезпечення можливості оперативного інформування відповідальних осіб про інциденти інформаційної безпеки (виявлені вразливості, факти компрометації даних/мереж, DDoS-атаки, фішинг, розповсюдження шкідливого програмного забезпечення тощо).
2. Налагодження ефективної співпраці між CERT-UA та операторами/провайдерами телекомунікацій України в частині, що стосується протидії кіберзагрозам та забезпечення кібербезпеки України. В цьому ж контексті буде запропоновано використовувати розроблену CERT-UA систему пасивного моніторингу загроз «IP Guard».
3. Уникнення випадків помилкового інформування про інциденти при використання зайвих/некоректних/неактуальних контактних даних.

В рамках реалізації проекту фахівцями CERT-UA вжито таких заходів.
1. Проведено аналіз інформації, а саме:
- бази даних регіонального Інтернет-реєстратора RIPE: ftp : / / ftp[.]ripe[.]net/ ripe/ stats/ delegated-ripencc-latest;
- баз даних сервісу MaxMind;
- даних CERT-UA, накопичених в процесу реагування на інциденти.
2. Наступним кроком зроблено вибірку діапазонів IP-адрес (FIRST_IP-LAST_IP) і NETNAME, які стосуються України (UA).
3. Для кожного NETNAME визначено електронну адресу (EMAIL), зазначену в розділі контактів.
4. По складеному переліку email-ів надіслано електронні листи.

Зважаючи на викладене, просимо перевірити актуальність контактних даних (додати, видалити, змінити), а також поінформувати CERT-UA щодо того, чи знаходяться у зоні вашої відповідальності зазначені NETNAME та діапазони IP-адрес (якщо ні – то просимо про це також зазначити). При формуванні відповіді на лист звертаємо увагу на доцільність зазначення актуальних контактних даних для телефонного зв’язку.
Усі отримані дані буде внесено до відповідної бази даних з метою їх використання у подальшому в процесі інформування про загрози та організації ефективного інформаційного обміну між CERT-UA та відповідальними особами.
За необхідності додаткового обговорення порушеного питання, з’ясування технічних деталей реалізації проекту, висловлення зауважень і пропозицій, а також з інших питань – просимо інформувати додатково.

Дані, що підлягають перевірці/уточненню наведено нижче.

 

А то я зашел к ним на сайт, а они считают что мой компьютер заражен и распространяет вирусы и просят фио и контакты на ип... Как-то доверие резко упало.

[UStas_rinet 43]

Мне  тоже пришло.

Домен подразумевает что контора ликвидная, просто пока малоопытная.

 

Что делать собираются понятно, но не понятно с помощью какой правовой базы ? 

[Den_LocalNet 1,474]

Было письмо сегодня на абузный ящик от них с таким же текстом.

Как в том анекдоте "штирлиц прочитал письмо ещё раз и снова не дошло)".

А еще в письме, в том месте где они спарсили контакты с райпа, появился какой-то левый ящик на гмейле. Я даже побежал в рай проверить - нет там этого ящика, только наш. Тоже походил по сайту, закрыл вкладку браузера, удалил письмо и забыл).

[adeep 212]

Мне  тоже пришло.

Домен подразумевает что контора ликвидная, просто пока малоопытная.

 

Что делать собираются понятно, но не понятно с помощью какой правовой базы ? 

На домене то все написано - это старая добрая спецсвязь. только нафига так разводить на контакты? непонятно.

[loki 86]

И нам приходило. Попросили подтвердить, что наши айпишники - наши.

[Alex_E 852]

Все нормально

Через неделю будет больше инфы

[Виктор Николаевич 94]

Собирают информацию "для створення ефективного та дієвого механізму захисту від загроз інформаційній інфраструктурі України" под любым предлогом на 100%, чтобы знать потом к кому идти с проверками и т.д.

Edited 2014-10-16 20:39:27 by Виктор Николаевич

[Abram 98]

Скорее создают видимость работы.

[ttttt 195]

 

В цьому ж контексті буде запропоновано використовувати розроблену CERT-UA систему пасивного моніторингу загроз «IP Guard».

Вот это, наверное, самое главное тут, но звучит как-то мутно. Можно только догадываться, что за чудо.

[CERT-UA 5]

Добрый вечер.

Меня зовут Николай Коваль, я работаю в CERT-UA.

Прошу ниже рассмотреть ответы на комментарии.

 

adeep:

[А то я зашел к ним на сайт, а они считают что мой компьютер заражен и распространяет вирусы и просят фио и контакты на ип... Как-то доверие резко упало.]

 

CERT-UA:

Мы ничего не считаем. Мы агрегируем информацию о скомпрометированных IP-адресах и, для повышения уровня защищенности Украинского Интернета, обращаем внимание посетителей нашего веб-сайта на наличие потенциальных проблем. Не хотите – не обращайте внимания.

 

adeep:

[…хрень:]

 

CERT-UA:

Зачем Вы так сразу? Мало кто сейчас что-либо просто так для других делает… после таких комментариев руки опускаются.

 

UStas_rinet:

[контора … малоопытная.]

 

CERT-UA:

Аргументируйте, пожалуйста.

 

[…но не понятно с помощью какой правовой базы?]

 

CERT-UA:

Существующей, а также той, которую будем создавать.

 

Den_LocalNet:

[Тоже походил по сайту, закрыл вкладку браузера, удалил письмо и забыл).]

 

CERT-UA:

Очень жалко, что Вы так поступаете.

 

adeep:

[На домене то все написано - это старая добрая спецсвязь. только нафига так разводить на контакты? непонятно.]

 

CERT-UA:

Мы никого не разводим. Мы хотим, чтобы Украина могла адекватно реагировать на угрозы ИБ. Для этого мы просим актуализировать адрес электронных почт чтобы было куда писАть… В чем развод и почему Вы так настроены (что нам надо кого-то разводить – не понятно).

 

Виктор Николаевич:

[Собирают информацию "для створення ефективного та дієвого механізму захисту від загроз інформаційній інфраструктурі України" под любым предлогом на 100%, чтобы знать потом к кому идти с проверками и т.д.]

 

CERT-UA:

Не манипулируйте общественным мнением. Ткните пальцем хоть на одного, к кому мы приходили с проверками! Вы нас пытаетесь ассоциировать с какими-то другими правоохранительными структурами…мнение о которых у Вас отрицательное. Мы если и приходим, то только тогда, когда зовут. И не для проверок, а чтобы помочь увидеть дыры в сети и закрыть их. При чем информация о выявленных уязвимостях НИКУДА кроме пригласившего нас не передается. И так уже около 9 лет. Так что пересмотрите свое отношение или дайте факты, подтверждающие Ваши слова/опасения

 

Abram:

[Скорее создают видимость работы.]

 

CERT-UA:

Ага, точно, особенно сейчас, отвечая на посты на форуме…

Создавать видимость работы?? Вы, скорее всего, путаете нас с кем-то. Нам за это даже спасибо не скажут, будьте уверены. Вот только на форумах гадости пишут.

 

ttttt:

 

[Вот это, наверное, самое главное тут, но звучит как-то мутно. Можно только догадываться, что за чудо. ]

 

CERT-UA:

Как раз это средство агрегации всех информации, полученной в результате пассивного мониторинга угроз. После введения в опытную эксплуатацию будут созданы соответствующие учетные записи и соответствующим людям будет предоставлен доступ. Опять таки, просто так…чтобы админы могли контролировать состояние защищенности своих сетей.

 

Мы хотим сделать что-то для страны. И делаем. А форумчане безосновательно пытаются «обос*ать» инициативу…вот только не понятно почему.

В любой момент можно написать и спросить. Или позвонить…

 

Вам же кажется, что кто-то к вам придет…

Не уподобайтесь закостенелым консерваторам – лучше помогите нам обезопасить Украинский Интернет и сделать так, чтобы информационные ресурсы страны были под защитой. Стереотипы, сложившиеся в отношении правоохранительных структур оставьте для них, ибо мы не правоохранительная структура.

 

Всем спасибо за внимание. Не пишите грязи… ни к чему это.

Edited 2014-10-16 21:55:22 by CERT-UA

[Виктор Николаевич 94]

.... помогите нам обезопасить Украинский Интернет и сделать так, чтобы информационные ресурсы страны были под защитой. 

 

Какими методами вы хотите это сделать/реализовать, прокомментируете?

Edited 2014-10-16 22:08:53 by Виктор Николаевич

[Den_LocalNet 1,474]

Прокомментируйте левый почтовый ящик на gmail вашем письме.

[Lynx100 90]

Как раз это средство агрегации всех информации, полученной в результате пассивного мониторинга угроз. После введения в опытную эксплуатацию будут созданы соответствующие учетные записи и соответствующим людям будет предоставлен доступ. Опять таки, просто так…чтобы админы могли контролировать состояние защищенности своих сетей.

можна детально о пассивном мониторинге ...

и кто получит доступ ?

[Kto To 602]

мне приходило - нажал "В спам" )

[ttttt 195]

можна детально о пассивном мониторинге ...

Ну наверное ж ханипоты, стандартно для такого. Может чего-то в вашей сети просканируют еще.

 

А вообще было бы неплохо не просить контакты на все те угрозы, которые можно и опубликовать. Многие будут бояться госструктуре их давать (и правильно).

Edited 2014-10-16 22:09:06 by ttttt

[CERT-UA 5]

Прокомментируйте левый почтовый ящик на gmail вашем письме.

 

Для этого мы и делали нашу рассылку, это может быть устаревшая информация, или в данном случае не актуальное, это нам и нужно просто ответить в письме что gmail почта не наша, просим ее удалить в замен можете писАть на эту почту.

[CERT-UA 5]

 

.... помогите нам обезопасить Украинский Интернет и сделать так, чтобы информационные ресурсы страны были под защитой. 

 

Какими методами вы хотите это сделать/реализовать, прокомментируете?

 

По нашим данным в Украинском Интернете около 1000000 скомпрометированных IP-адресов в среднем в месяц. Сколько за этими ИПам компьютеров и прочих средств вычислительной техники - неизвестно. Но цифра еще больше. Если у нас есть информация о проблеме, то почему бы нам ее не передать тем, кого эта проблема касается? Вот с этого мы и начали.

 

Для того, чтобы процесс был эффективным, мы хотим обновить контакты, чтобы была возможность написать ответственному человеку, который, в свою очередь, передаст эту информацию пользователя (если это провайдер), или же - примет меры в своей сети, если он админ.

 

После этого мы будем двигаться в сторону активного мониторинга угроз, чтобы детектить угрозы в режиме реального времени проактивно. Бета-версии мы уже отрабатываем с рядом провайдеров, анализируя мета-данные, информационные потоки на предмет наличия в них индикаторов компрометации (сигнатурным методом).

 

Примерно такое начало.

 

можна детально о пассивном мониторинге ...

Ну наверное ж ханипоты, стандартно для такого. Может чего-то в вашей сети просканируют еще.

 

А вообще было бы неплохо не просить контакты на все те угрозы, которые можно и опубликовать. Многие будут бояться госструктуре их давать (и правильно).

 

Не надо ничего боятся.. чего тут бояться - не понятно. Угрозы мы и так публикуем. Читайте сайт.

Edited 2014-10-16 22:25:44 by CERT-UA

[CERT-UA 5]

мне приходило - нажал "В спам" )

Теперь гордитесь этим. В один прекрасный момент либо Вы не получите информации об угрозе для своей сети, либо Ваши клиенты. Очень заботливо Вы поступаете. Главное с каким удовольствием Вы написали, что отправили письмо в СПАМ. Если умышленно так пишите - Вы тролль...так, по-моему, таких людей называют.

 

Как раз это средство агрегации всех информации, полученной в результате пассивного мониторинга угроз. После введения в опытную эксплуатацию будут созданы соответствующие учетные записи и соответствующим людям будет предоставлен доступ. Опять таки, просто так…чтобы админы могли контролировать состояние защищенности своих сетей.

можна детально о пассивном мониторинге ...

и кто получит доступ ?

 

Более детальную информацию мы постараемся дать уже в ближайшее время. Основная цель этой системы это агрегация информации о всех скомпрометированных айпи для диапазона адресов за который Вы (провайдер) ответственные, опять же не с целью выявить их и “инициировать проверку”, а наоборот указать на возможные проблемы в Вашей сети, не “создавая при этом видимость работы” а стараясь реально помочь. Доступ к этой системе получат все желающие, без каких либо скрытых обязательств или платных услуг.

[Виктор Николаевич 94]

 

 

.... помогите нам обезопасить Украинский Интернет и сделать так, чтобы информационные ресурсы страны были под защитой. 

 

Какими методами вы хотите это сделать/реализовать, прокомментируете?

 

По нашим данным в Украинском Интернете около 1000000 скомпрометированных IP-адресов в среднем в месяц. Сколько за этими ИПам компьютеров и прочих средств вычислительной техники - неизвестно. Но цифра еще больше. Если у нас есть информация о проблеме, то почему бы нам ее не передать тем, кого эта проблема касается? Вот с этого мы и начали.

 

Для того, чтобы процесс был эффективным, мы хотим обновить контакты, чтобы была возможность написать ответственному человеку, который, в свою очередь, передаст эту информацию пользователя (если это провайдер), или же - примет меры в своей сети, если он админ.

 

После этого мы будем двигаться в сторону активного мониторинга угроз, чтобы детектить угрозы в режиме реального времени проактивно. Бета-версии мы уже отрабатываем с рядом провайдеров, анализируя мета-данные, информационные потоки на предмет наличия в них индикаторов компрометации (сигнатурным методом).

 

Примерно такое начало.

 

можна детально о пассивном мониторинге ...

Ну наверное ж ханипоты, стандартно для такого. Может чего-то в вашей сети просканируют еще.

 

А вообще было бы неплохо не просить контакты на все те угрозы, которые можно и опубликовать. Многие будут бояться госструктуре их давать (и правильно).

 

Не надо ничего боятся.. чего тут бояться - не понятно. Угрозы мы и так публикуем. Читайте сайт.

 

 

Каким образом или какими средствами вы хотите получать эту информацию о проблеме(ах)?

Edited 2014-10-16 22:29:28 by Виктор Николаевич

[CERT-UA 5]

 

 

 

.... помогите нам обезопасить Украинский Интернет и сделать так, чтобы информационные ресурсы страны были под защитой. 

 

Какими методами вы хотите это сделать/реализовать, прокомментируете?

 

По нашим данным в Украинском Интернете около 1000000 скомпрометированных IP-адресов в среднем в месяц. Сколько за этими ИПам компьютеров и прочих средств вычислительной техники - неизвестно. Но цифра еще больше. Если у нас есть информация о проблеме, то почему бы нам ее не передать тем, кого эта проблема касается? Вот с этого мы и начали.

 

Для того, чтобы процесс был эффективным, мы хотим обновить контакты, чтобы была возможность написать ответственному человеку, который, в свою очередь, передаст эту информацию пользователя (если это провайдер), или же - примет меры в своей сети, если он админ.

 

После этого мы будем двигаться в сторону активного мониторинга угроз, чтобы детектить угрозы в режиме реального времени проактивно. Бета-версии мы уже отрабатываем с рядом провайдеров, анализируя мета-данные, информационные потоки на предмет наличия в них индикаторов компрометации (сигнатурным методом).

 

Примерно такое начало.

 

можна детально о пассивном мониторинге ...

Ну наверное ж ханипоты, стандартно для такого. Может чего-то в вашей сети просканируют еще.

 

А вообще было бы неплохо не просить контакты на все те угрозы, которые можно и опубликовать. Многие будут бояться госструктуре их давать (и правильно).

 

Не надо ничего боятся.. чего тут бояться - не понятно. Угрозы мы и так публикуем. Читайте сайт.

 

 

Каким образом или какими средствами вы хотите получать эту информацию о проблеме(ах)?

 

Мы эту информацию (если Вы про информацию об угрозах) и так УЖЕ получаем (множество подписок, сервисов, ИБ-ресерчеров со всего мира и т.п.). И хотим передавать "по адресу" (для этого нужно обновить контакты). Все просто.

Edited 2014-10-16 22:36:34 by CERT-UA

[CERT-UA 5]

Господа, давайте продолжим завтра с 9:00. Немного поздновато уже. Пишите вопросы/комментарии, будем рады ответить.

[blackjack 250]

Якісь загрози скомпроментовані айпі, що це взагалі таке? Можна прикладі пояснитит? Я не спецт в сфері інформбезпеки.

[anti-stels 21]

Такое впечатление что нам отвечает девочка менеджер по листочку.

[maxx 202]

Кароче все у нас в стране отлично. Условия для бизнеса как на мальдивах. Налогового прессина нету, Обэп не трогает. Кризиса нету. Свет не выключают. Арпу по 30 евро. Осталось вот только церт  что бы начал фунционировать, и заживем бл как в эмиратах. 

Edited 2014-10-17 05:48:18 by maxx

[CERT-UA 5]

Якісь загрози скомпроментовані айпі, що це взагалі таке? Можна прикладі пояснитит? Я не спецт в сфері інформбезпеки.

Ознака скмопрометованості це (список не є вичерпним, лише для прикладу):

- перебування засобу обчислювальної техніки у  складі бот-мережі

- використання засобу обчислювальної техніки для: проведення ДДоС атак, сканування, брут-форсу тощо (в принципі, здійснюється коли ПК уражений шкідливим ПЗ і входить до складу бот-мережі)

- наявність вразливостей/недоліків конфігурації, а саме: відкриті порти, некоректно налаштовані сервіси (NTP,SSDP,DNS,CHargen тощо)

- і т.п.