0


TSLO-CERT (Telekom Slovenije – Computer Emergency Response Team) je odzivni center za kibernetsko varnost Telekoma Slovenije.


Cilj TSLO-CERT je razreševanje kibernetskih incidentov in izboljšanje kibernetske varnosti. Ekipa TSLO-CERT sprejema prijave kibernetskih incidentov ter spremlja incidente in kibernetske napade. Svojim strankam nudimo nasvete in opozorila, kako se odzvati in preprečiti tovrstne napade.

Ker imamo dostop do informacij o potencialnih ali dejanskih kibernetskih napadih v realnem času, nam to pomaga pri globalnih prizadevanjih za izboljšanje kibernetske varnosti. TSLO-CERT je sestavni del Operativnega centra kibernetske varnosti in ključni del strategije kibernetske varnosti Telekoma Slovenije.

TSLO-CERT sodeluje z drugimi organizacijami v kibernetskem varnostnem okolju tako v zasebnem kot tudi v javnem in neprofitnem sektorju. Sem spadajo: SI CERT, MNZ, MJU, MORS.

Prav tako pri preprečevanju in reševanju kibernetske kriminalitete tesno sodelujemo z mednarodnimi organizacijami.

Glavni cilj TSLO-CERT je izboljšati kibernetsko varnost v Sloveniji, kar pomeni:

  • večje razumevanje groženj,
  • boljše izogibanje incidentom in
  • zmanjševanje vpliva incidentov.
Da bi dosegli naš cilj, smo v TSLO-CERT vzpostavili 4 ključne storitve:
  1. Identifikacija nevarnosti: Analiziramo kibernetske nevarnosti v lastnem okolju in poročamo o grožnjah. Zbiramo informacije iz drugih CERT-ov in mednarodnih varnostnih virov visoke vrednosti in pripravljamo nasvete in opozorila ter druga poročila.

  2. Storitve poročanja o incidentih: O incidentih poročamo podjetjem, organizacijam in posameznikom:
    1. prek naše spletne strani ob vsaki novi grožnji,
    2. s klicem - naš klicni center, ki je na voljo 24/7.
  3. Služba za usklajevanje odzivov: Koordiniramo odziv na incidente, v katerih mora poročevalec sodelovati z več organizacijami, in tako podpiramo nacionalni postopek odzivanja na izredne razmere.

  4. Storitve za podporo pripravljenosti: Ozaveščamo o vplivih kibernetske varnosti v praksi. Sodelujemo s ključnimi partnerji in strankami na mednarodnih forumih ter podajamo posodobljene informacije o najboljši praksi kibernetske varnosti.


  • TSLO-CERT objave
  • Prijava incidenta
  • RFC 2350
TSLO-CERT objave

TSLO-CERT objave

17.9.2021

Ne Mirai, temveč Mēris!

Po krajšem zatišju na sceni DDoS se človek že boji slabih novic. Te prihajajo z vzhodne in zahodne poloble.

Junija letos je bila napadena finančna inštitucija v ZDA z zmogljivostjo 17,2 milijona zahtevkov na sekundo (RPS), 5. septembra infrastruktura podjetja Yandex v Rusiji z zmogljivostjo 21,8 milijona RPS. Cilj naj bi bila neka ruska banka.
Oba napada spadata med rekordne dosežke DDoS-industrije. Napadena je bila tudi spletna stran znanega raziskovalca kibernetskih nevarnosti Briana Krebsa, https://krebsonsecurity.com/.

Zakaj so ti napadi posebni? Pri DDoS-napadih večinoma uporabljamo merilo bitov na sekundo (bps) ali število paketov na sekundo (pps), ki velja pretežno za volumetrične napade. V tokratnih napadih je bilo uporabljeno merilo RPS (requests per second), ker gre za na videz legitimen promet vzpostavljanja HTTP-povezav, kar napad uvršča med aplikativne DDoS-napade.

Sprva so pojavnost napadov povezovali z botnetom Mirai, vendar se je izkazalo, da gre za ločeno botnet družino, ki so jo poimenovali Mēris. Raziskovalci podjetja Qrator Labs so skupaj z Yandexom ugotovili, da to družino sestavljajo kompromitirane naprave proizvajalca MikroTik po vsem svetu. Takšnih naprav naj bi bilo več kot 200.000 in njihovo število se še povečuje. Največ jih je v ZDA (42 %) in na Kitajskem (19 %).
Napadi izkoriščajo mehanizem HTTP pipelining, ki pri regularni uporabi pospeši odzivnost spletnih strani, žal pa jih pri zlorabi v DDoS-napadih še dodatno ojača.

Spodnja slika prikazuje izjemen porast prometa na infrastrukturi Yandexa v času napada glede na običajno stanje (RPS).

Meris


Napad na Yandex je trajal le nekaj minut in zastavlja se vprašanje, komu je bil namenjen. Verjetno so napadalci testirali zmogljivost v produkcijskem okolju oziroma »kazali mišice«. Kaj se bo iz tega izcimilo, bo pokazal čas.
V Telekomu Slovenije imamo zmogljiv sistem zaščite DDoS v lastnem omrežju in pri zaščiti sodelujemo tudi s ponudniki višjega nivoja. Kljub temu je napad DDoS v takšnih dimenzijah vsakič znova svojevrsten izziv.

Viri:


Zaradi bogatije zaprto!

Ena zanimivejših novic zadnje dni je, da zapira svoja vrata največja trgovina z ukradenimi podatki o bančnih karticah na temnem spletu, po imenu Joker's Stash. Zainteresiranim kupcem je še do 15. februarja letos ponujala svojo bazo z na desetine milijonov zbranih kartičnih podatkov. Vrednost, ki jo je s prodajo ukradenih podatkov v vsem času delovanja od leta 2014 pridobila, je ocenjena na več kot milijardo dolarjev. Nič čudnega, da se je Joker's Stash odločil za upokojitev. Kaj je pravi razlog, pa nihče zares ne ve. Oktobra lani je lastnik trgovine precej resno zbolel za covidom-19 in svoje okrevanje v bolnici tudi opisal, kar ni značilno za kriminalce takšnega kova. Kmalu zatem je organom pregona uspelo onemogočiti nekatere njegove strežnike, vendar jih je hitro nadomestil, in kot se za pravo trgovino spodobi, ni utrpel večje škode.

Vrednost njegovega premoženja je s strmo rastjo vrednosti kriptovalute bitcoin strmo narasla, hkrati pa so se njegovi odjemalci začeli pritoževati nad kakovostjo podatkov. Kaže, da mu je z rastjo bogastva vnema za zadovoljstvo strank pojenjala, in zaprtje bi lahko bila logična posledica. Joker's Stash ima veliko tekmecev in posnemovalcev, zato se ni bati, da bi posel z ukradenimi kartičnimi podatki zamrl. V praksi se izkaže, da je vsak novi ponudnik v tem poslu še inovativnejši in agilnejši. Zato še naprej pazite, kako ravnate s svojimi bančnimi podatki in karticami.

joker stash objava


Nenazadnje pa je Joker's Stash ob slovesu zapisal še to pomenljivo misel: »Ne pozabite, da vas niti ves denar na svetu ne bo osrečil in da so vse resnično dragocene stvari v tem življenju brezplačne.«

Viri:


Z mednarodno akcijo onemogočen najnevarnejši botnet na svetu

Preiskovalci so z operacijo na globalni ravni, prevzeli nadzor nad infrastrukturo najnevarnejšega botneta v zadnjem desetletju, imenovanega Emotet. Pri operaciji, so sodelovali organi pregona na Nizozemskem, v Nemčiji, ZDA, Veliki Britaniji, Franciji, Litvi, Kanadi in Ukrajini, s pomočjo sodelovanja Europola in Eurojusta. Operacija v kateri so zasegli več tisoč računalnikov, je bila izvedena v okviru EMPACT-a (multidisciplinarna platforma proti kriminalnim grožnjam). V akciji, ki je potekala v Ukrajini, so aretirali dva skrbnika Emotet infrastrukture.


Infrastuktura Emoteta (Vir: europol.europa.eu)


22. 12. 2020
V porastu zlonamerna programska oprema, ki okuži spletne brskalnike

Škodljiva programska oprema, ki spreminja nastavitve brskalnika ni novost. Gre za enega izmed najstarejših tipov spletnih groženj, ki se ga poslužujejo kibernetski kriminalci. Že od maja 2020 na spletu kroži vztrajna kampanja za zlonamerno programsko opremo, ki se aktivno širi in spreminja brskalnik. Na njenem vrhuncu (avgusta 2020) je bilo okuženih več kot 30.000 naprav dnevno.


Sončev veter prešel v orkan

Novica, ki se te dni prebija na naslovnice spletnih strani s področja tehnologije in kibernetske varnosti, zajema vrsto vdorov v mnoga podjetja in državne institucije s t. i. vdorom prek dobavitelja (supply-chain attack). Kaj se je zgodilo tokrat? Najprej je svetovno znano podjetje za kibernetsko varnost FireEye v torek, 8. 12., objavilo, da je bilo samo žrtev sofisticiranega napada, s katerim so napadalci pridobili dostop do orodij, ki jih FireEye uporablja pri varnostnih in penetracijskih testiranjih. FireEye trdi, da med temi orodji ni bilo novih in še neznanih, t. i. orodij za izvajanje vdorov »zero day«. Kako se je vdor zgodil, v podjetju FireEye niso pojasnjevali, trdijo pa, da je to delo visoko usposobljene in državno podprte hekerske skupine. V nedeljo, 13. 12., je podjetje SolarWinds, ki ponuja sisteme za nadzor IT-infrastrukture, objavilo, da se je med marcem in junijem letos po vsej verjetnosti zgodil vdor v njihovo programsko opremo SolarWinds Orion ter da so napadalci v programsko opremo vrinili škodljivo kodo, ki napadalcu omogoča dostop do sistemov. Dokaj kmalu so raziskovalci povezali ta dva dogodka in v podjetju FireEye so potrdili, da so bili sami napadeni ravno prek te programske opreme. Po poročanju portala bleepingcomputer.com si je okuženo verzijo programa naložilo približno 18.000 organizacij po vsem svetu. Za kampanjo sumijo ruske hekerje, kar pa ruski državni govorci kategorično zanikajo.

V ameriških državnih agencijah in podjetjih je to povzročilo velik alarm. V mnogih so ugotovili, da so bili hekerji v njihovih sistemih prisotni že dlje časa, in zato so sprožili takojšnjo in obsežno akcijo odkrivanja in zaustavitve aktivnosti vdiralcev. Napadi pa, čeprav so bili ciljani na določen krog organizacij, niso omejeni samo na ZDA, ampak o njih poročajo tudi iz drugih držav.

Vsem, ki uporabljate programsko opremo SolarWinds (in takih je tudi v Sloveniji kar nekaj), priporočamo takojšnjo nadgradnjo na verzijo, ki jo priporoča proizvajalec, ter izvedbo drugih zaščitnih in preprečevalnih ukrepov. Več informacij najdete na spodnjih spletnih straneh:


Lažna e-sporočila, ki zahtevajo posredovanje uporabniškega imena in gesla

Uporabnike opozarjamo, da po spletu ponovno kroži lažno elektronsko sporočilo, ki uporabnike e-pošte Telekoma Slovenije nagovarja, naj zaradi spremenjenih pogojev poslovanja v roku 72 ur potrdijo svoj uporabniški račun, in sicer prek povezave, ki je priložena sporočilu. V Telekomu Slovenije nismo pošiljatelj tega e-sporočila, od uporabnikov tudi nikoli ne zahtevamo vpisovanja uporabniškega imena in gesla.
V navedenem primeru gre za zlorabo naše blagovne znamke. Čeprav je spletna stran, ki se pri tem uporabnikom odpre, vizualno podobna spletni strani za prijavo v e-pošto Telekoma Slovenije, je kar nekaj znakov, ki kažejo na to, da je stran lažna. Najočitnejši je ta, da se stran ne nahaja na naslovu https://prijava.siol.net/posta/, kot podpisnik e-sporočila pa je naveden »Servis Spletna Pošta« To ni naš podpis in ni naš način komuniciranja z uporabniki. Uporabnike, ki so e-sporočilo prejeli, pozivamo, da ne sledijo povezavi, ki je navedena v sporočilu, predvsem pa, da v nobenem primeru nikomur ne posredujejo svojih osebnih podatkov, uporabniških imen ali gesel. E-sporočilo naj izbrišejo in ga ne posredujejo drugim uporabnikom.
Za dodatne informacije in pomoč smo uporabnikom 24 ur na dan na voljo na brezplačni številki 080 1000.


Bad Neighbor

Razkrita je nova kritična ranljivost RCE (Remote Code Execution) poimenovane »Bad Neighbor«. Ta omogoča dostop do odjemalca, kadar Windows TCP/IP- sklad nepravilno obravnava ICMPv6 pakete. Napadalec, ki bi uspešno izkoristil ranljivost, bi pridobil možnost za izvajanje poljubne kode v ciljnem strežniku ali kateremkoli drugem odjemalcu.
Za odpravo ranljivosti je že pripravljena nova posodobitev, zato priporočamo takojšnjo namestitev. Več o ranljivosti najdete na tej povezavi.


Grožnje z DDoS-napadi so še vedno prisotne

Tako s strani naših strank, kot s strani partnerja Netscout (prej Arbor Networks) prejemamo obvestila o grožnjah z DDoS-napadi na večje organizacije v regiji in globalno. Napadalci trdijo, da so sposobni sprožiti napad velikosti 2Tb/s, vendar pa takšen napad še ni bil zaznan. Zabeležene velikosti napadov te skupine so do 300Gb/s. Kot smo zapisali v prejšnji objavi, je značilnost te serije napadov, da se napadalci nanj zelo dobro pripravijo, skrbno izberejo tarče napadov, tako na samo podjetje, kot na ostalo infrastrukturo (npr. DNS-strežnike), tako da kar najbolj prizadenejo storitve podjetja. Prav tako zelo dobro vedo komu poslati izsiljevalsko sporočilo, kar pomeni da so dobro raziskali kdo je kdo v podjetju. Zanimivo je, da se je število DDoS-napadov v Sloveniji v pomladanskih »korona« mesecih precej povečalo in se od marca do maja gibalo okoli 3.500 na mesec. Potem pa se je število jeseni spustilo na okoli 1.000. Obratno statistiko pa beležimo pri moči napadov, ki je septembra in oktobra močno poskočila pri posameznih napadih do 60-80Gb/s. Na slovenske tarče je bil, po nam dostopni statistiki, zabeležen največji napad velikosti okoli 75Gb/s, kar je v resnici zelo velik in resen napad.
Priložena sta grafa: prvi prikazuje število napadov dnevno in drugi največje dnevno zabeležene napade v mesecu septembru, letos.


DDos napadi

V zadnjem času smo prejeli obvestila iz več virov, da se aktivnost napadov onemogočanja ali DDoS napadov močno povečuje. O tem poročajo tudi nekateri tuji spletni mediji (primer: https://portswigger.net/daily-swig/ddos-extortionists-posing-as-cyberspies-to-run-blackmail-scam). Tarča napadov so predvsem organizacije iz finančne in turistične industrije, pa tudi drugi. Napadalci delujejo tako, da sprožijo opozorilni napad, nakar žrtvi pošljejo zahtevo za plačilo določene vsote v bitcoin valuti sicer grozijo z novim še hujšim napadom. V večini primerov se ponovni napad ne zgodi čeprav žrtev ni plačala zahtevanega zneska, v nekaterih primerih pa so napad ponovili. Napadalci običajno sebe poimenujejo z imeni zvenečih hekerskih skupin kot so ‘Fancy Bear,’ ‘Lazarus Group', ‘Armada Collective’, kar pa ne pomeni da so dejansko del teh skupin ali so z njimi povezani.
Napadi dosegajo kapaciteto do nekaj sto Gbps in so tipa DNS, ntp, ARMS, WS-DD, SSDP in CLDAP odboj in ojačitev, spoofed SYN-poplava, GRE in ESP poplava, TCP ACK-poplava, TCP odboj in ojačitev. Način izvedbe, ciljane skupine organizacij in tudi izbira e-mail naslovov kamor napadalci pošljejo izsiljevalsko pošto, po oceni virov, kaže na dobro pripravo napada.
Več o naši zaščiti pred DDoS napadi lahko izveste tukaj.


​​
Prijava incidenta

Prijava incidenta

Kontaktni podatki

Prijava incidenta: cert@telekom.si
Šifrirni ključ: PGP/GPG
Telefon: 01 234 16 90

Lokacija

Telekom Slovenije
OCKV TSLO-CERT Stegne 19
1000 Ljubljana

RFC 2350

RFC-2350

TSLO-CERT RFC 2350

1 Document Information

This document describes TSLO-CERT in accordance with RFC 2350.

1.1 Date of Last Update

Version 1.1, published on 05. October 2020.

1.2 Distribution List for Notifications

Changes to this document are not distributed by a mailing list.

1.3 Locations where this Document May Be Found

The document is located at the following address:
https://www.telekom.si/poslovni-uporabniki/ponudba/varnostne-resitve
The latest version is available also upon request to cert@telekom.si via electronic mail.

2 Contact Information

2.1 Name of the Team

TSLO-CERT: Telekom Slovenije Computer Emergency Response Team (English name)

TSLO-CERT: Telekom Slovenije odzivni center za kibernetsko varnost (Slovenian name)

2.2 Address

TSLO-CERT
Telekom Slovenije, Stegne 19
SI-1000 Ljubljana
Slovenia

2.3 Time Zone

  • CET, Central European Time
    (UTC+1, between last Sunday in October and last Sunday in March)
  • CEST (also CET DST), Central European Summer Time (UTC+2, between last Sunday in March and last Sunday in October)

2.4 Telephone Number

+386 1 234 16 80

2.5 Other Telecommunication

None.

2.6 Electronic Mail Address

TSLO-CERT uses different e-mail addresses for different purposes:

2.7 Public Keys and Encryption Information

TSLO-CERT uses PGP for digital signatures and to receive encrypted information. The key is available on PGP/GPG keyservers and at https://www.telekom.si/Documents/TS-CERT_public_key.asc. Information about the key:
pub 4096R/A800C0A8 2019-09-04
Fingerprint=0824 860C 3388 7CDC A0D8 51F5 878E 0AA5 A800 C0A8
uid TS-CERT cert@telekom.si

2.8 Team Members

Rok Peršak is the Team Manager of TSLO-CERT. A full list of other members of TSLO-CERT is not publicly available. Team members will identify themselves to the reporting party with their full name in an official communication regarding an incident.

2.9 Other Information

General information about TSLO-CERT is available at https://www.telekom.si/poslovni-uporabniki/ponudba/varnostne-resitve.

2.10 Points of Customer Contact

The preferred method of contacting TSLO-CERT is via e-mail at the following addresses:

Office hours for TSLO-CERT are 24/7/365. TSLO-CERT staff is available via e-mail.

3 Charter

3.1 Mission Statement

Primary goal is to ensure confidentiality, integrity and availability of data and assets owned by Telekom Slovenije d. d. and it's customers, by providing services that effectively identify, monitor, respond to and mitigate security incidents.

Cybersecurity incidents refer to errors or activities that are not part of a standard information technology service operation and pose a risk of compromise or loss of information. Discovering, monitoring and reacting to incidents as promptly as possible can minimaze overall damage and reduce the cost of incident handling.

3.2 Constituency

TSLO-CERT is established by Telekom Slovenije, Slovenian telecomunication and service provider company. It serves as CERT for subscribers to Telekom Slovenije communication and ICT services including security operations center service. TSLO-CERT respond to general public queries with advice and direct them to SI-CERT or other entity.

3.3 Sponsorship and/or Affiliation

TSLO-CERT is sponsored and operated by Telekom Slovenije.

3.4 Authority

TSLO-CERT corresponds to SOC and CSIRT of Telekom Slovenije. It's role is not bind to any specific regulation although TSLO-CERT provides SOC services to organizations liable under the Information Security Act. Telekom Slovenije is regulated under ZEKOM-1 act and TSLO-CERT reports relevant incidents to AKOS (Slovenian Telecommunication Regulator). TSLO-CERT cooperates actively with SI-CERT (national CSIRT of Slovenia) and law-enforcement bodies.

4 Policies

4.1 Types of Incidents and Level of Support

TSLO-CERT handles and responds to cybersecurity incidents for Telekom Slovenije, it's subscriers and customers with eligible contracts. Telekom Slovenije offer the same services for non-costumers against mutual agreement.

4.2 Co-operation, Interaction and Disclosure of Information

TSLO-CERT treats all information included in the correspondence with any party as confidential. Specific case information is disclosed only to parties involved in the investigation of the offense or incident. Personal identifiable information that is not crucial to the investigation by the party involved will be removed or anonymised. TSLO-CERT discloses specific information about certain case to other entities only in accordance with applicable Slovenian law. TSLO-CERT may include generalised and anonymised information for a case study.

4.3 Communication and Authentication

The preferred method of communication is via e-mail. When the content is deemed sensitive enough or requires authentication, TSLO-CERT PGP key is used for signing e-mail messages. All sensitive communication to TSLO-CERT should be encrypted by the team’s PGP key. Alternative methods can be agreed on case by case.

5 Services

5.1 Incident Response

TSLO-CERT provides security operations and incidents response to Telekom Slovenije and SOC and CSIRT customers.

  • Analysis and triage of security events at tier-1
  • Case management, assignement to other participants
  • Escalation to tier-2
  • Declaration of incident

5.1.2. Incident coordination and resolution

  • Incident investigation, remote or onsite
  • Containment of harmful effects
  • Remediation and recovery procedures
  • Communication activities

5.2 Proactive Activities

  • Security assessment and check
    Telekom Slovenije provides informatin security assessment service according to ISO 2700 and system security checks.
  • DDoS prevention
    Telekom Slovenije provides DDoS mitigation service to the customers.
  • Security system engineering
    Telekom Slovenije provides system integration and managed network and security services.
  • Training services
    Telekom Slovenije offers training and workshops on network and information security topics.
6 Incident Reporting Forms

Telekom Slovenije SOC customers has different ways of reporting incidents to TSLO-CERT according to contract. Reports may be sent to the e-mail address cert@telekom.si. Internally, Telekom Slovenije has additional options to report an incident.

7 Disclaimers

While every precaution will be taken in the preparation of information, notifications and alerts, TSLO-CERT assumes no responsibility for errors or omissions, or for damages resulting from the use of the information contained within.




Sledite nam na družbenih omrežjih

Ne zamudite novih ponudb in akcij prvega slovenskega operaterja.

Pišite nam

Prosimo, izberite vrsto sporočila: