0


TS-CERT (Telekom Slovenije – Computer Emergency Response Team) je odzivni center za kibernetsko varnost Telekoma Slovenije.

Cilj TS-CERT je razreševanje kibernetskih incidentov in izboljšanje kibernetske varnosti. Ekipa TS-CERT sprejema prijave kibernetskih incidentov ter spremlja incidente in kibernetske napade. Svojim strankam nudimo nasvete in opozorila, kako se odzvati in preprečiti tovrstne napade.

Ker imamo dostop do informacij o potencialnih ali dejanskih kibernetskih napadih v realnem času, nam to pomaga pri globalnih prizadevanjih za izboljšanje kibernetske varnosti. TS-CERT je sestavni del Operativnega centra kibernetske varnosti in ključni del strategije kibernetske varnosti Telekoma Slovenije.

TS-CERT sodeluje z drugimi organizacijami v kibernetskem varnostnem okolju tako v zasebnem kot tudi v javnem in neprofitnem sektorju. Sem spadajo: SI CERT, MNZ, MJU, MORS.

Prav tako pri preprečevanju in reševanju kibernetske kriminalitete tesno sodelujemo z mednarodnimi organizacijami.

Glavni cilj TS-CERT je izboljšati kibernetsko varnost v Sloveniji, kar pomeni:

  • večje razumevanje groženj,
  • boljše izogibanje incidentom in
  • zmanjševanje vpliva incidentov.
Da bi dosegli naš cilj, smo v TS-CERT vzpostavili 4 ključne storitve:
  1. Identifikacija nevarnosti: Analiziramo kibernetske nevarnosti v lastnem okolju in poročamo o grožnjah. Zbiramo informacije iz drugih CERT-ov in mednarodnih varnostnih virov visoke vrednosti in pripravljamo nasvete in opozorila ter druga poročila.

  2. Storitve poročanja o incidentih: O incidentih poročamo podjetjem, organizacijam in posameznikom:
    1. prek naše spletne strani ob vsaki novi grožnji,
    2. s klicem - naš klicni center, ki je na voljo 24/7.
  3. Služba za usklajevanje odzivov: Koordiniramo odziv na incidente, v katerih mora poročevalec sodelovati z več organizacijami, in tako podpiramo nacionalni postopek odzivanja na izredne razmere.

  4. Storitve za podporo pripravljenosti: Ozaveščamo o vplivih kibernetske varnosti v praksi. Sodelujemo s ključnimi partnerji in strankami na mednarodnih forumih ter podajamo posodobljene informacije o najboljši praksi kibernetske varnosti.


  • TS-CERT objave
  • Prijava incidenta
  • RFC 2350
TS-CERT objave

TS-CERT objave

Lažna e-sporočila, ki zahtevajo posredovanje uporabniškega imena in gesla

Uporabnike opozarjamo, da po spletu ponovno kroži lažno elektronsko sporočilo, ki uporabnike e-pošte Telekoma Slovenije nagovarja, naj zaradi spremenjenih pogojev poslovanja v roku 72 ur potrdijo svoj uporabniški račun, in sicer prek povezave, ki je priložena sporočilu. V Telekomu Slovenije nismo pošiljatelj tega e-sporočila, od uporabnikov tudi nikoli ne zahtevamo vpisovanja uporabniškega imena in gesla.
V navedenem primeru gre za zlorabo naše blagovne znamke. Čeprav je spletna stran, ki se pri tem uporabnikom odpre, vizualno podobna spletni strani za prijavo v e-pošto Telekoma Slovenije, je kar nekaj znakov, ki kažejo na to, da je stran lažna. Najočitnejši je ta, da se stran ne nahaja na naslovu https://prijava.siol.net/posta/, kot podpisnik e-sporočila pa je naveden »Servis Spletna Pošta« To ni naš podpis in ni naš način komuniciranja z uporabniki. Uporabnike, ki so e-sporočilo prejeli, pozivamo, da ne sledijo povezavi, ki je navedena v sporočilu, predvsem pa, da v nobenem primeru nikomur ne posredujejo svojih osebnih podatkov, uporabniških imen ali gesel. E-sporočilo naj izbrišejo in ga ne posredujejo drugim uporabnikom.
Za dodatne informacije in pomoč smo uporabnikom 24 ur na dan na voljo na brezplačni številki 080 1000.


Bad Neighbor

Razkrita je nova kritična ranljivost RCE (Remote Code Execution) poimenovane »Bad Neighbor«. Ta omogoča dostop do odjemalca, kadar Windows TCP/IP- sklad nepravilno obravnava ICMPv6 pakete. Napadalec, ki bi uspešno izkoristil ranljivost, bi pridobil možnost za izvajanje poljubne kode v ciljnem strežniku ali kateremkoli drugem odjemalcu.
Za odpravo ranljivosti je že pripravljena nova posodobitev, zato priporočamo takojšnjo namestitev. Več o ranljivosti najdete na tej povezavi.


Grožnje z DDoS-napadi so še vedno prisotne

Tako s strani naših strank, kot s strani partnerja Netscout (prej Arbor Networks) prejemamo obvestila o grožnjah z DDoS-napadi na večje organizacije v regiji in globalno. Napadalci trdijo, da so sposobni sprožiti napad velikosti 2Tb/s, vendar pa takšen napad še ni bil zaznan. Zabeležene velikosti napadov te skupine so do 300Gb/s. Kot smo zapisali v prejšnji objavi, je značilnost te serije napadov, da se napadalci nanj zelo dobro pripravijo, skrbno izberejo tarče napadov, tako na samo podjetje, kot na ostalo infrastrukturo (npr. DNS-strežnike), tako da kar najbolj prizadenejo storitve podjetja. Prav tako zelo dobro vedo komu poslati izsiljevalsko sporočilo, kar pomeni da so dobro raziskali kdo je kdo v podjetju. Zanimivo je, da se je število DDoS-napadov v Sloveniji v pomladanskih »korona« mesecih precej povečalo in se od marca do maja gibalo okoli 3.500 na mesec. Potem pa se je število jeseni spustilo na okoli 1.000. Obratno statistiko pa beležimo pri moči napadov, ki je septembra in oktobra močno poskočila pri posameznih napadih do 60-80Gb/s. Na slovenske tarče je bil, po nam dostopni statistiki, zabeležen največji napad velikosti okoli 75Gb/s, kar je v resnici zelo velik in resen napad.
Priložena sta grafa: prvi prikazuje število napadov dnevno in drugi največje dnevno zabeležene napade v mesecu septembru, letos.


DDos napadi

V zadnjem času smo prejeli obvestila iz več virov, da se aktivnost napadov onemogočanja ali DDoS napadov močno povečuje. O tem poročajo tudi nekateri tuji spletni mediji (primer: https://portswigger.net/daily-swig/ddos-extortionists-posing-as-cyberspies-to-run-blackmail-scam). Tarča napadov so predvsem organizacije iz finančne in turistične industrije, pa tudi drugi. Napadalci delujejo tako, da sprožijo opozorilni napad, nakar žrtvi pošljejo zahtevo za plačilo določene vsote v bitcoin valuti sicer grozijo z novim še hujšim napadom. V večini primerov se ponovni napad ne zgodi čeprav žrtev ni plačala zahtevanega zneska, v nekaterih primerih pa so napad ponovili. Napadalci običajno sebe poimenujejo z imeni zvenečih hekerskih skupin kot so ‘Fancy Bear,’ ‘Lazarus Group', ‘Armada Collective’, kar pa ne pomeni da so dejansko del teh skupin ali so z njimi povezani.
Napadi dosegajo kapaciteto do nekaj sto Gbps in so tipa DNS, ntp, ARMS, WS-DD, SSDP in CLDAP odboj in ojačitev, spoofed SYN-poplava, GRE in ESP poplava, TCP ACK-poplava, TCP odboj in ojačitev. Način izvedbe, ciljane skupine organizacij in tudi izbira e-mail naslovov kamor napadalci pošljejo izsiljevalsko pošto, po oceni virov, kaže na dobro pripravo napada.
Več o naši zaščiti pred DDoS napadi lahko izveste tukaj.


​​
Prijava incidenta

Prijava incidenta

Kontaktni podatki

Prijava incidenta: cert@telekom.si
Šifrirni ključ: PGP/GPG
Telefon: 01 234 16 90

Lokacija

Telekom Slovenije
OCKV TS-CERT Stegne 19
1000 Ljubljana

RFC 2350

RFC-2350

TS-CERT RFC 2350

1 Document Information

This document describes TS-CERT in accordance with RFC 2350.

1.1 Date of Last Update

Version 1.1, published on 05. October 2020.

1.2 Distribution List for Notifications

Changes to this document are not distributed by a mailing list.

1.3 Locations where this Document May Be Found

The document is located at the following address:
https://www.telekom.si/poslovni-uporabniki/ponudba/varnostne-resitve
The latest version is available also upon request to cert@telekom.si via electronic mail.

2 Contact Information

2.1 Name of the Team

TS-CERT: Telekom Slovenije Computer Emergency Response Team (English name)

TS-CERT: Telekom Slovenije odzivni center za kibernetsko varnost (Slovenian name)

2.2 Address

TS-CERT
Telekom Slovenije, Stegne 19
SI-1000 Ljubljana
Slovenia

2.3 Time Zone

  • CET, Central European Time
    (UTC+1, between last Sunday in October and last Sunday in March)
  • CEST (also CET DST), Central European Summer Time (UTC+2, between last Sunday in March and last Sunday in October)

2.4 Telephone Number

+386 1 234 16 80

2.5 Other Telecommunication

None.

2.6 Electronic Mail Address

TS-CERT uses different e-mail addresses for different purposes:

2.7 Public Keys and Encryption Information

TS-CERT uses PGP for digital signatures and to receive encrypted information. The key is available on PGP/GPG keyservers and at https://www.telekom.si/Documents/TS-CERT_public_key.asc. Information about the key:
pub 4096R/A800C0A8 2019-09-04
Fingerprint=0824 860C 3388 7CDC A0D8 51F5 878E 0AA5 A800 C0A8
uid TS-CERT cert@telekom.si

2.8 Team Members

Rok Peršak is the Team Manager of TS-CERT. A full list of other members of TS-CERT is not publicly available. Team members will identify themselves to the reporting party with their full name in an official communication regarding an incident.

2.9 Other Information

General information about TS-CERT is available at https://www.telekom.si/poslovni-uporabniki/ponudba/varnostne-resitve.

2.10 Points of Customer Contact

The preferred method of contacting TS-CERT is via e-mail at the following addresses:

Office hours for TS-CERT are 24/7/365. TS-CERT staff is available via e-mail.

3 Charter

3.1 Mission Statement

Primary goal is to ensure confidentiality, integrity and availability of data and assets owned by Telekom Slovenije d. d. and it's customers, by providing services that effectively identify, monitor, respond to and mitigate security incidents.

Cybersecurity incidents refer to errors or activities that are not part of a standard information technology service operation and pose a risk of compromise or loss of information. Discovering, monitoring and reacting to incidents as promptly as possible can minimaze overall damage and reduce the cost of incident handling.

3.2 Constituency

TS-CERT is established by Telekom Slovenije, Slovenian telecomunication and service provider company. It serves as CERT for subscribers to Telekom Slovenije communication and ICT services including security operations center service. TS-CERT respond to general public queries with advice and direct them to SI-CERT or other entity.

3.3 Sponsorship and/or Affiliation

TS-CERT is sponsored and operated by Telekom Slovenije.

3.4 Authority

TS-CERT corresponds to SOC and CSIRT of Telekom Slovenije. It's role is not bind to any specific regulation although TS-CERT provides SOC services to organizations liable under the Information Security Act. Telekom Slovenije is regulated under ZEKOM-1 act and TS-CERT reports relevant incidents to AKOS (Slovenian Telecommunication Regulator). TS-CERT cooperates actively with SI-CERT (national CSIRT of Slovenia) and law-enforcement bodies.

4 Policies

4.1 Types of Incidents and Level of Support

TS-CERT handles and responds to cybersecurity incidents for Telekom Slovenije, it's subscriers and customers with eligible contracts. Telekom Slovenije offer the same services for non-costumers against mutual agreement.

4.2 Co-operation, Interaction and Disclosure of Information

TS-CERT treats all information included in the correspondence with any party as confidential. Specific case information is disclosed only to parties involved in the investigation of the offense or incident. Personal identifiable information that is not crucial to the investigation by the party involved will be removed or anonymised. TS-CERT discloses specific information about certain case to other entities only in accordance with applicable Slovenian law. TS-CERT may include generalised and anonymised information for a case study.

4.3 Communication and Authentication

The preferred method of communication is via e-mail. When the content is deemed sensitive enough or requires authentication, TS-CERT PGP key is used for signing e-mail messages. All sensitive communication to TS-CERT should be encrypted by the team’s PGP key. Alternative methods can be agreed on case by case.

5 Services

5.1 Incident Response

TS-CERT provides security operations and incidents response to Telekom Slovenije and SOC and CSIRT customers.

  • Analysis and triage of security events at tier-1
  • Case management, assignement to other participants
  • Escalation to tier-2
  • Declaration of incident

5.1.2. Incident coordination and resolution

  • Incident investigation, remote or onsite
  • Containment of harmful effects
  • Remediation and recovery procedures
  • Communication activities

5.2 Proactive Activities

  • Security assessment and check
    Telekom Slovenije provides informatin security assessment service according to ISO 2700 and system security checks.
  • DDoS prevention
    Telekom Slovenije provides DDoS mitigation service to the customers.
  • Security system engineering
    Telekom Slovenije provides system integration and managed network and security services.
  • Training services
    Telekom Slovenije offers training and workshops on network and information security topics.
6 Incident Reporting Forms

Telekom Slovenije SOC customers has different ways of reporting incidents to TS-CERT according to contract. Reports may be sent to the e-mail address cert@telekom.si. Internally, Telekom Slovenije has additional options to report an incident.

7 Disclaimers

While every precaution will be taken in the preparation of information, notifications and alerts, TS-CERT assumes no responsibility for errors or omissions, or for damages resulting from the use of the information contained within.


Sledite nam na družbenih omrežjih

Ne zamudite novih ponudb in akcij prvega slovenskega operaterja.

Pišite nam

Prosimo, izberite vrsto sporočila: