Alarmy bombowe i puste konta JST

Czy słyszeliście Państwo o alarmach bombowych w czasie matur? Na pewno tak. A o podszywaniu się pod osoby i firmy i wysyłaniu w ich imieniu maili? Jest to jeszcze bardziej częsta praktyka niż fałszywe alarmy bombowe, ale mniej medialna. Czy może się to wydarzyć w waszej gminie? Proszę zapisać odpowiedź a potem odpowiedzieć na to samo pytanie po przeczytaniu całego artykułu.

Spoofing
Proszę wyobrazić sobie sytuację, gdy ktoś wysyła e-maila z waszego adresu pocztowego z informacją o zmianie numeru konta bankowego i prośbą o przelewy na nowy numer. Wysyła tę informację do jednostek podległych, firm i mieszkańców gminy. A niczego nieświadomi odbiorcy robią przelewy. Niekoniecznie wszyscy. Wystarczy 1%. Proszę teraz policzyć jakie kwoty wpłyną na fałszywy rachunek. Oczywiście im większa gmina tym większe kwoty. Na pewno będzie dużo pretensji do banków, ale również do JST ponieważ znikną pieniądze.
Proszę wyobrazić sobie drugą sytuację, gdy ktoś wysyła e-maila z waszego adresu pocztowego z informacją o podłożonych bombach w szkołach, szpitalu i na dworcu PKP. Co wtedy robicie? Macie procedury antyterrorystyczne? Jeżeli tak to wiecie co robić. A będzie się działo. Jeżeli nie macie takich procedur to także będzie się działo tylko nikt nie będzie nad tym panował. A jeżeli na domenie waszego urzędu nie ma mechanizmu raportowania takich naruszeń, to nawet jeżeli ktoś się pod was podszyje to nie będziecie o tym wiedzieć dopóki poszkodowany nie zgłosi się do was albo nie napisze o tym prasa. W obu przypadkach na pewno padnie pytanie, dlaczego JST nie zabezpieczyło się przed takim działaniem.

X33fcon
Tydzień temu, podczas konferencji poświęconej cyberbezpieczeństwu w Gdyni – www.x33fcon.com – zostały zaprezentowane wyniki badania dotyczącego wyżej wspomnianych ryzyk w Wielkiej Brytanii. Nie znajdziecie go Państwo wśród materiałów wideo, ponieważ zostało „utajnione” na prośbę prelegenta. Okazuje się, że kilka lat temu większość domen brytyjskich samorządów była narażona na wcześniej opisane działania, czyli nie miała wdrożonej polityki DMARC.

Co to jest DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) umożliwia definiowanie sposobu obsługi podejrzanych wiadomości e-mail. Właściciel domeny informuje odbiorców poczty, czy dopuszcza, aby nieuprawnione serwery rozsyłały wiadomości z tej domeny. Odbiorca wiadomości powinien postępować zgodnie z intencją właściciela domeny i ma do wyboru 3 opcje, jeśli wiadomość nie przejdzie uwierzytelniania:
1. none—nie rób nic,
2. quarantine—oflaguj i przenieś do kwarantanny (np. katalog spam),
3. reject—nie dostarczaj wiadomości do skrzynki odbiorcy.
Weryfikowane są dwa mechanizmy: SPF (Sender Policy Framework) metoda zapobiegania podszywania się pod domenę oraz DKIM (DomainKeys Identified Emails)—metoda sprawdzania integralności wiadomości email. Właściciel domeny decyduje o wyborze mechanizmu. DMARC jest również mechanizmem raportowania podejrzanych wiadomości do właściciela domeny. Jeżeli ktoś się podszyje pod waszą domenę, przesyłany jest raport.

Jak to robią w Wielkiej Brytanii?
Brytyjski cyberurząd—Government Digital Service opublikował wskazówki co do implementacji DMARC dla domen, które korzystają z odpowiednika polskiego serwisu gov.pl. Do 1 października 2016 roku, wszystkie te domeny miały mieć ustanowioną najbardziej restrykcyjną politykę p=reject. Oznacza to, że właściciele tych domen za pośrednictwem systemu DNS mieli informować odbiorców swoich wiadomości, że każdą wiadomość, która nie przeszła autentykacji, należy odrzucać.
Brytyjskie GDS wskazało cztery najważniejsze korzyści z ustanowienia takiej polityki DMARC:
• Ochrona użytkowników, pracowników i reputacji przed cyberprzestępczością,
• Redukcja kosztu wsparcia związanego z oszukańczymi mailami,
• Poprawa zaufania do wiadomości, które dana instytucja wysyła,
• Obserwacja prawowitych i oszukańczych wykorzystań domeny w raportach DMARC.

Co więcej, żeby pomóc sektorowi publicznemu w implementacji i obsłudze DMARC, brytyjskie Krajowe Centrum Cyberbezpieczeństwa (ang. The National Cyber Security Centre), za pośrednictwem platformy Mail Check, pomaga sektorowi publicznemu w ochronie ich domen przed oszukańczymi wiadomościami. Jest to element programu Aktywnej Cyber Obrony (ang. The Active Cyber Defense program). Ochrona integralności e-maili jest wpisana również w Minimalne Standardy Cyberbezpieczeństwa, opublikowane przez brytyjskie NCSC. Wskazano, że wszystkie instytucje nią objęte mają stosować DKIM, SPF oraz DMARC żeby chociaż trochę utrudnić spoofowanie ich domen. Dla poczty przychodzącej mają respektować polityki nadawców.

Dodatkowo, NCSC przypomina, że nawet jeżeli z danej domeny nie jest obsługiwana poczta nie oznacza to, że nie może ona paść ofiarą spoofingu. Polityki DMARC mają być ustawione na każdej domenie. Brytyjskie NCSC otrzymuje raporty o wykorzystaniu 316 domen brytyjskich JST—ponad 70% domen, dla których ustanowiono politykę DMARC.

Obecnie w Wielkiej Brytanii, na 2105 zbadanych domen jednostek samorządu terytorialnego 1503 ma SPF, 434 ma DMARC. Spośród tych 434, które mają DMARC 73 ma p=reject, 206 ma p=quarantine, 155 ma p=none.

Sytuacja w Polsce
A teraz zagadka. Ile jednostek samorządu terytorialnego w Polsce i województwie pomorskim ma zabezpieczone domeny tak, aby znacznie utrudnić wysłanie oszukańczych wiadomości? A w przypadku, gdyby ktoś wpadł na taki pomysł, wiadomość ta nie została dostarczona, a urząd został powiadomiony o próbie podszycia się pod niego?
Niestety nie zgadli Państwo. W województwie pomorskim jest tylko jedna taka jednostka. I nie jest to Urząd Marszałkowski, nie jest Miasto Gdańsk ani Urząd Wojewódzki. Jest nią Gmina Jastarnia. W Polsce tylko 7 samorządów jest silnie zabezpieczonych przed spoofingiem. W przypadku pozostałych nawet niezbyt zaawansowana technicznie osoba może podszywać się pod urzędy i rozsyłać w ich imieniu wiadomości np. o zmianie rachunku bankowego lub o bombach, a urząd w ogóle tego nie zauważy. Zaskoczeni?

W Polsce, na 2807 sprawdzonych domen JST:
1. 1619 ma SPF,
2. 150 ma politykę DMARC, z czego:
– 1 jest źle skonfigurowana,
– 134 p=none,
– 8 p=quarantine,
– 7 p=reject.

Wśród 7 szczęśliwych JST (p=reject) znalazły się: umig.busko.pl, jastarnia.pl, lubuskie.pl, nowytomysl.pl, police.pl, csw.pl, milakowo.eu. Województwo Pomorskie reprezentuje tylko Jastarnia.
Powyższe dane są wynikiem badania zaprezentowanego na konferencji x33fcon w Gdyni.

Rekomendacje
Sprawa jest warta uwagi i szybkiego, najlepiej systemowego rozwiązania.
Rekomendujemy dwa działania:
1. Natychmiastowe zabezpieczenie domen polskich samorządów (i nie tylko ponieważ nawet ABW, csirt.gov.pl, cert.pl, nie mają wdrożonej polityki DMARC),
2. Przeniesienie domen polskich samorządów na serwery rządowe lub lepiej zabezpieczone.
W obu przypadkach włączymy się w działania wspierające bezpieczeństwo polskich samorządów i obywateli.

Polecamy raport NIK dotyczący cyberbezpieczeństwa JST – RAPORT.