IT Security Portal

moje.cert.pl – DARMOWA platforma do ochrony Twojej firmy, bloga i portalu. Jak jej użyć?

Grzegorz Wróbel

Portal ZaufanaTrzeciaStrona.pl jako pierwszy poinformował dzisiaj o nowej platformie moje.cert.pl, która będzie umożliwiać monitorowanie zagrożeń bezpieczeństwa dla domen i adresów IP wskazanych przez użytkowników. Została stworzona przez CERT Polska i jest dostępna za… darmo i dla każdego! Przyjrzyjmy się czym jest wspomniana platforma w praktyce i jakie oferuje funkcjonalności.

  • Część ogólna – jakie możliwości oferuje moje.cert.pl?
  • Dlaczego warto uruchomić monitorowanie już dziś?
  • Część techniczna – jak to działa?
  • Dodajemy naszą domenę do platformy
    • Rejestracja i pierwsze kroki
    • Uruchamiamy monitoring dla naszej organizacji
    • Dodawanie domeny lub adresu IP do monitorowania
    • Dodawanie użytkowników w organizacji
  • Co dalej? Nasze pytania do CERT.pl

Część ogólna – jakie możliwości oferuje moje.cert.pl?

Platforma moje.cert.pl w założeniu ma zwiększyć bezpieczeństwo w polskim Internecie. Oferuje za darmo możliwość monitorowania domen i adresów IP celem przeprowadzenia ich skanowania pod kątem podatności, nieprawidłowości czy anomalii bezpieczeństwa. Wskazane wyniki mają pomóc administratorom w celu zidentyfikowania obszarów, które wymagają uwagi i naprawy. Z projektu może skorzystać każdy w tym także osoby prywatne. Nie ma limitów, pułapek czy ukrytych kosztów – jest za to gotowa do użycia platforma (choć jeszcze w wersji Beta).

Platforma powstała między innymi z połączenia systemów Artemis oraz n6. Pierwszy jest funkcjonującym od lat skanerem stworzonym przez zespół CERT Polska na potrzeby wykrywania podatności w systemach publicznie dostępnych. Odpowiada za wykrycie zagrożeń i poinformowanie o nich administratorów lub właścicieli podatnych serwerów. Z kolei n6 to usługa agregująca dane o podatnościach czy złośliwym oprogramowaniu, które pozyskiwane są zarówno od podmiotów komercyjnych jak i organizacji non-profit czy publicznie dostępnych źródeł.

Dodatkowo uzupełnieniem dla platformy jest także możliwość monitorowania naszych domen pod kątem wycieków danych. W praktyce gdy adresy e-mail z naszej domeny wyciekną, wówczas moje.cert.pl poinformuje nas o tym.

Dlaczego warto uruchomić monitorowanie już dziś?

Platforma oferuje możliwości, które w zintegrowanej formie nie są dostępne nigdzie indziej w jednym miejscu za darmo. Oczywiście istnieją zasłużone dla świata platformy jak HaveIBeenPwned, Shodan lub inne. Jednakże wymagają już drobnego wkładu pieniężnego aby móc wykorzystać je do monitorowania. Ponadto użytkownik szybko spotyka się z limitami, których ominięcie wymaga przejścia na wyższą subskrypcję.
Komercyjne platformy, które działają w sposób analogiczny jak moje.cert.pl wymagają znacznego wkładu finansowego na które może pozwolić tylko większe przedsiębiorstwa (oczywiście z wyjątkami).

Dlatego uważam (choć nie mam ku potwierdzenia tej tezy żadnych dowodów), że większość podmiotów publicznych czy prywatnych nie monitoruje swoich zasobów publicznie dostępnych w Internecie oraz nie rozważa tego w swoich budżetach. Wynika to zarówno z aspektu finansowego, ale także technicznego, funkcjonalnego czy po prostu ludzkiego.

W związku z tym bardzo ucieszyłem się, że CERT Polska stworzył taką platformę i mam nadzieję, że będzie ona szeroko wykorzystywana do zbierania informacji o zagrożeniach i szybkiego reagowania na nie przez działy IT czy Security. Póki co wygląda na to, że start platformy spotkał się z zainteresowaniem ponieważ już pierwszego dnia „zarejestrowało się 900 użytkowników i dodało 1,8 tysiąca domen„.

Kto w takim razie powinien skorzystać z platformy?

  • Administratorzy i działy IT w jednostkach publicznych i prywatnych takie jak szpitale, przychodnie,
  • Jednostki publiczne takie jak urzędy, szkoły, uczelnie i inne jednostki samorządowe
  • Firmy, które posiadają swoje strony lub sklepy internetowe
  • Firmy posiadające infrastrukturę, która udostępnia wybrane usługi sieciowe publicznie (np. serwery VPN, poczty, itp.)
  • Dostawcy usług, którzy podlegają bezpośrednio pod ustawę o Krajowym Systemie Cyberbezpieczeństwa
  • Pasjonaci homelabów jak również bardziej zaawansowani użytkownicy, którzy z różnych powodów chcą lub muszą wystawiać publicznie usługi ze swojej domowej sieci.

Część techniczna – jak realizowane jest skanowanie?

O kilka aspektów technicznych udało mi się podpytać pracowników zespołu CERT Polska na zaprzyjaźnionym, discordowym serwerze Zaufanej Trzeciej Strony (polecam dołączyć jeśli jeszcze Was tam nie ma!).

Tak jak wspomniałem wcześniej, do skanowania wykorzystywany jest Artemis (którego możecie też postawić samodzielnie), wykorzystujący pod spodem m. in. rozwiązanie w postaci Nuclei. Platforma ma realizować skanowanie, skupiając się nie tylko na wykrywaniu podatności w wersjach publicznie rozgłaszających się usług, ale także we wtyczkach popularnych platform CMS. Dokładniejsze sprawdzenia można podejrzeć w konfiguracjach w repozytorium Artemisa. Warto także rzucić okiem na inne repozytorium zespołu CERT Polska gdzie można znaleźć dodatkowe moduły możliwe do wykorzystania jak również możecie też stworzyć własne.

O Artemisie można też obejrzeć prezentację z konferencji Confidence 2023 gdzie pokazano jak projekt działa w praktyce i z czym się mierzy. Od tego czasu projekt cały czas rozwija się zarówno w kontekście optymalizacji template’ów skanowania jak również rozszerzaniu zakresu wyszukiwanych podatności czy tłumaczeniu rezultatów skanowania.

Wedle zapowiedzi, moje.cert.pl ma nie skupiać się wyłącznie na skanowaniu, a jedynie obierać tą funkcjonalność jako jeden z kierunków. Co tym bardziej uatrakcyjnia samą platformę do powszechnego wykorzystania przez firmy czy instytucje. Przyznam, że po cichu liczę na więcej newsów o Artemisie jak również samej platformie od zespołu CERT Polska na Confidence lub OHMyHack w 2025 roku… 🙂

Dodajemy naszą domenę do platformy

Rejestracja i pierwsze kroki

Po przejściu na platformę moje.cert.pl, w pierwszej kolejności należy wypełnić formularz rejestracyjny po którego wysłaniu otrzymamy link aktywacyjny na wskazany adres e-mail. Klikamy na potwierdzenie w otrzymanej wiadomości i możemy zalogować się do platformy. Pierwszym krokiem będzie aktywacja podwójnego uwierzytelnienia poprzez integrację np. z aplikacjami Google lub Microsoft Authenticator. Wystarczy zeskanować kod QR i tymczasowy kod wygenerowany w aplikacji.

W kolejnym oknie otrzymamy 10 kodów zapasowych do zalogowania się w platformie, które możemy wykorzystać w sytuacji gdy z jakiegoś powodu stracili dostęp do aplikacji z kodami 2FA. Warto je zapisać ponieważ wedle komunikatu na stronie, nie zobaczymy ich ponownie w platformie.

Po zapisaniu kodów przejdziemy do głównego panelu zarządzania w platformie. Z tego poziomu możemy skorzystać z następujących opcji:

  • Utworzyć organizacje, które będą monitorowane przez platformę 
  • Lista ostrzeżeń – sekcja ta informuje czy nasza sieć jest chroniona przed złośliwymi domenami, których dystrybucją zajmuje się CERT Polska – przeczytasz o nich tutaj (a jeśli jeszcze nie korzystasz, to koniecznie zacznij)
  • Zgłoś incydent – odnośnik do formularza zgłoszeń incydentów do zespołu CERT Polska
  • Sprawdź czy jesteś chroniony – odnośnik do serwisu bezpiecznapoczta.cert.pl, który umożliwia weryfikację mechanizmów bezpieczeństwa: SPF, DMARC i DKIM dla używanej przez nas usługi e-mail.

Uruchamiamy monitoring dla naszej organizacji

W platformie moje.cert.pl jest możliwość podpięcia domen i adresów IP, które są używane zarówno przez podmioty publiczne jak również prywatne. Mogą to być blogi, strony lub sklepy internetowe czy infrastruktura firmowa. Dzięki temu każdy może skorzystać z platformy przygotowanej przez CERT Polska aby monitorować bezpieczeństwo zasobów, publicznie dostępnych w Internecie.

Wystarczy w tym celu przejść do formularza tworzenia organizacji. Wymagane jest wyłącznie podanie pełnej nazwy organizacji, natomiast osobiście rekomendowałbym także określenie typu organizacji wg. Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Do wyboru są jedynie cztery opcje:

  • Inny podmiot, który nie został określony w Ustawie o Krajowym Systemie Cyberbezpieczeństwa
  • Instytucja publiczna
  • Operator Usług Kluczowych
  • Dostawca Usług Cyfrowych

Po przesłaniu formularza w głównym panelu platformy zobaczymy stworzona organizację, przejdźmy do niej aby dokonać dalszej konfiguracji. Wystarczy dodać domenę lub adres IP.

Dodawanie domeny lub adresu IP do monitorowania

Domeny i adresy IP można dodać bez limitu ilości, a także większymi partiami za jednym razem. Skanowanie odbywa się z wykorzystaniem systemu Artemis – autorskiego rozwiązania CERT Polska o których wspominaliśmy wcześniej w artykule. W obydwóch przypadkach procedura wygląda bardzo podobnie.

Poprzez kliknięcie na odnośnik „Pokaż opcje zaawansowane” możemy określić predkość skanowania (do wyboru 1 albo 5 żadań na sekundę lub brak limitu) i czas pomiędzy jego iteracjami (wybór pomiędzy 30/60/120 dniami od zakończenia ostatniego skanowania). Jeśli filtrujemy ruch przychodzący to warto dodać reguły z wyjątkami dla wskazanych adresów IP.

Po dodaniu domeny konieczne będzie przeprowadzenie weryfikacji poprzez dodanie wygenerowanej wartości dla rekordu TXT w strefie DNS naszej domeny. Alternatywną metodą weryfikacji jest umieszczenie pliku z określoną zawartością na serwerze webowym naszej domeny.

Nie jest to skomplikowana operacja, wystarczy zalogować się do panelu administracyjnego rejestratora domen gdzie kupiliśmy naszą domenę. Poniżej przykład dodania takiego rekordu na przykładzie platformy Cloudflare.

Po dodaniu rekordu odczekajmy kilka chwil, a następnie kliknijmy na odnośnik „Zweryfikuj” przy nazwie naszej domeny.

Efektem będzie status potwierdzonej weryfikacji i docelowa możliwość podejrzenia wyników skanowania, które właśnie rozpoczęło się. O jego zakończeniu zostaniemy poinformowami e-mailem, a wyniki możemy podejrzeć w platformie.

Dodawanie adresu IP do monitorowania wygląda bardzo podobnie choć różni się formą weryfikacji serwera, który chcemy dodać do skanowania.

Aby przejść weryfikację należy umieścić plik z odpowiednią wartością na serwerze webowym.

Ewentualnie można wysłać wniosek o weryfikację podsieci.

Z poziomu listy domen lub adresów IP można w każdej chwili podejrzeć aktualny status skanowania. Niestety nie mamy czym „pochwalić się” w kontekście naszej domeny w momencie publikacji artykułu 😁

Dodawanie użytkowników w organizacji

W ramach danej organizacji możecie także zapraszać innych użytkowników (np. kolegów ze swojego działu). Dzięki temu wyniki nie będą współdzielone w obrębie jednego konta. Wystarczy w tym celu zaprosić użytkownika poprzez podanie adresu e-mail, a po akceptacji – nadać odpowiednie uprawnienia.

Co dalej? Nasze pytania do CERT.pl

Niestety nie udało się zebrać wystarczającej liczby próbek na podstawie których mógłbym zaprezentować jak i co platforma moje.cert.pl znajduje w rzeczywistości, ale nic straconego. Pojawią się one w postaci kolejnego artykułu w najbliższym czasie.

W trakcie użytkowania platformy udało mi się wychwycić kilka zagadnień o które postanowiłem zapytać zespół CERT Polska. Wy również możecie wysłać swój feedback do autorów na adres: [email protected]

Uzyskane odpowiedzi zostały zamieszczone poniżed pod naszymi pytania.

  1. Czy zostanie opublikowane FAQ z informacjami, które będą na wejściu mogły doprecyzować
    • Kto i na jakich zasadach może korzystać z platformy?
      Projekt skierowany jest do właścicieli stron internetowych lub administratorów sieci – zarówno osób prywatnych, jak i małych firm czy dużych instytucji.
    • Czy istnieją jakieś ograniczenia i limity w użytkowaniu?
      Zastrzegamy sobie prawo do priorytetyzowania skanowania niektórych instytucji, zwłaszcza podmiotów będących członkiem krajowego systemu cyberbezpieczeństwa.
  2. Czy zostanie opublikowana lista jakich sprawdzeń oraz weryfikacji można spodziewać się dzięki skanerowi platformy moje.cert.pl?
    Skanowania są prowadzone za pomocą systemu Artemis, korzystającego z różnych narzędzi open source, m.in. Nuclei czy SQLmap, które odpowiednio dopasowujemy do otaczających nas realiów. Pełen kod narzędzia jest dostępny w serwisie Github: https://github.com/CERT-Polska/Artemis. Zawiera on kilkadziesiąt modułów sprawdzających różne aspekty bezpieczeństwa strony, od obecności mechanizmów SPF i DMARC, utrudniających wysyłanie fałszywych e-maili, aż po poważne podatności takie jak SQL Injection.
  3. Czy planowana jest rozbudowa platformy o możliwość dodawania kont dla dodatkowych użytkowników? Na przykład aby działy IT lub Security mogły w ten sposób korzystać ze wspólnej „subskrypcji” zamiast wspóldzielic dane logowania do jednego konta między sobą.
    Już jest taka możliwość – na stronie organizacji po prawej stronie jest dostępny przycisk „uprawnienia i użytkownicy”, który rozwija menu umożliwiające m.in. zaproszenie dodatkowych użytkowników, aby np. mogli obejrzeć wyniki skanowania.
  4. Czy planowana jest rozbudowa formy weryfikacji dla dodawanych adresów IP?
    Obecnie można weryfikować adresy IP na trzy sposoby:
    1. na podstawie wpisu w bazie RIPE
    2. na podstawie umowy z dostawcą
    3. pojedyncze adresy IP – automatycznie
    Na ten moment nie planujemy innych sposobów.
    • Co w sytuacji jeśli nie posiadamy lub nie chcemy aby na naszym serwerze działała usługa HTTP?
      Można zweryfikować adresy IP na podstawie wpisu w bazie RIPE lub na podstawie umowy z dostawcą.
    • Jak planują Państwo rozwiązywać problem adresów IP, które są dzierżawione przez użytkowników lub ukrywane za usługami typu Cloudflare/Akamai lub inne?
      Jeśli chodzi o adresy IP ukryte za usługami tego typu, to przy dodawaniu ich do skanowania, rekomendujemy dodanie naszych adresów IP (podanych w serwisie) do białej listy, aby skanowanie nie zostało zablokowane przez usługi pośredniczące – oprócz tego nie ma ograniczeń.
  5. Czy planowane jest dodanie funkcjonalności informującej o statusie skanowania, który informowałby także o przebiegu czasowym lub procentowym?
    To sensowny pomysł i rozważymy jego dodanie – nie możemy natomiast na ten moment zagwarantować, kiedy uda się go wdrożyć.
  6. Czy w przyszłości są planowane jakieś płatne funkcjonalności, które umożliwiałyby skorzystanie z dodatkowych mechanizmów platformy?
    Nie planujemy płatnych funkcjonalności serwisu – serwis jest i zawsze będzie bezpłatny.
  7. Czy platforma będzie umożliwiać integrację np. poprzez interfejs API celem agregowania wyników skanowania przez użytkowników? (np. zapewniając integrację z platformami SIEM)
    Prace nad API właśnie trwają 🙂
  8. Czy są już planowane nowe funkcjonalności w platformie w najbliższej przyszłości?
    Jak najbardziej! Oprócz wspomnianego wcześniej API, planujemy też m. in. dodać ostrzeżenia, aby móc łatwo powiadamiać instytucje o trwających kampaniach. Dodatkowo stale reagujemy na feedback użytkowników i np. poprawiamy miejsca w interfejsie, które były niejasne.
, , ,

Powiązane artykuły

ADS-B Homelab OSINT Poradniki Portal

Jak stworzyć domowy radar lotniczy?

Grzegorz Wróbel
ADS-B OSINT Portal

Czy domowy radar lotniczy udostępniony publicznie w Internecie to zły pomysł?

Grzegorz Wróbel

One thought on “moje.cert.pl – DARMOWA platforma do ochrony Twojej firmy, bloga i portalu. Jak jej użyć?

  1. U mnie znalazł brak rekordu dmarc, zakwalifikował jako średnią skalę zagrożenia i odesłał do artykułów z opisem, jak to poprawić.

    Odpowiedz

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *