Posłuchaj wersji podcastowej:
Z poniższego wpisu dowiesz się jak za darmo w kilka minut poprawić bezpieczeństwo domen i stron internetowych, którymi zarządzasz.
Nie musisz nikomu dawać dostępu do swoich zasobów, a wszystkim zajmą się skanery CERT Polska.
Bot będzie regularnie skanował twoje domeny pod kątem potencjalnych zagrożeń, a Ty dostaniesz maila z podsumowaniem, jeżeli coś zostanie wykryte.
Czym jest moje.cert.pl
CERT Polska to zespół działający w strukturach NASK - Państwowego Instytutu Badawczego, powołany w 1996 roku do reagowania na incydenty bezpieczeństwa komputerowego. Realizuje zadania CSIRT NASK, jednego z trzech takich zespołów działających na poziomie krajowym w ramach krajowego systemu cyberbezpieczeństwa.
― CERT.pl
Serwis moje.cert.pl, stworzony i utrzymywany przez CERT Polska pozwala między innymi na:
- skanowanie bezpieczeństwa domen,
- wykrywanie wycieków danych użytkowników domen.
Czego potrzebujesz?
Wystarczy:
- dostęp do panelu administracyjnego domeny i możliwość zarządzania rekordami DNS
- aplikacja typu Google Authenticator (uruchomienie 2FA jest wymagane)
Rejestracja i ustawienia
Rejestracja jest szybka i prosta, serwis jest dostępny zarówno dla osób prywatnych i firm.
Przy rejestracji tworzysz jedną (lub wiele) organizacji.
Dla każdej z organizacji możesz ustawić, czy system ma generować unikalny kod weryfikacyjny dla każdej z dodwanych domen, czy ma korzystać z tego samego.
Jeżeli chcesz uniknąć ujawnienia powiązań między domenami, zmień domyślne ustawienie na:
Wartość rekordu TXT różna dla każdej domeny
Dodawanie domen
Po rejestracji w serwisie możesz zacząć dodawać swoje domeny.
Serwis moje.cert.pl wymaga weryfikacji własności domeny poprzez dodanie rekordu TXT w ustawieniach serwera DNS.
Jeżeli ktoś ma z tym problem, może skorzystać z poradnika.
Zebrano w nim linki do konfiguracji u najpopularniejszych dostawców (m.in. home.pl, nazwa.pl, OVH, aftermarket.pl, Cloudflare).
System Artemis
System wykorzystywany do testów bezpieczeństwa (Artemis) zawiera kilkadziesiąt modułów sprawdzających różne aspekty bezpieczeństwa strony, od obecności mechanizmów SPF i DMARC, utrudniających wysyłanie fałszywych e-maili, aż po poważne podatności takie jak SQL Injection czy zdalne wykonanie kodu.
Wyniki
Na wyniki skanowania będziemy musieli zaczekać nawet kilka dni.
U mnie kolejnego dnia uruchomiły się Canary Tokens i inne mechanizmy zabezpieczeń, ale system informował, że skanowanie jest nadal w toku.
W kolejnym dniu, dla domen z proxy w Cloudflare, system zgłosił problem z dostępem ze względu na ustawienia zapory:
Dla domen technicznych, które nie mają konfiguracji poczty email, system zgłosił brak rekordu DMARC:
Na mailowy raport przyszło mi czekać dwa tygodnie:
Źródłowe adresy IP
Skany są wykonywane z kilku adresów IP, które zostały dedykowane tylko do tego celu:
- 195.164.49.68
- 195.164.49.69
- 195.164.49.70
- 195.164.49.71
- 195.164.49.72
Serwis moje.cert.pl sugeruje, żeby dodać te adresy do whitelisty zapory, aby wyniki skanowania były kompletne.
Co bardzo wygodne z punktu widzenia analizy logów, zapytania wykonywane przez skanery, w nagłówku User agent wskazują na źródło Mozilla/5.0 (compatible; Artemis; CERT PL; +https://cert.pl/skanowanie), więc łatwo odróżnić je od pozostałych.
Harmonogram skanowania
Domyślnie kolejne skanownia zostaną wykonane za dwa miesiące, ale można to zmienić w ustawieniach dla każdej z domen.
Podsumowanie
Serwis moje.cert.pl oferuje szybkie, bezkosztowe rozwiązanie do monitorowania bezpieczeństwa domen.
Konfiguracja jest prosta i przejrzysta, zadbano o wygodę i różne scenariusze wykorzystania.
Myślę, że warto skorzystać.