Darmowy sposób na test bezpieczeństwa strony internetowej ma już rok. Pojawiły się nowe funkcje

Jak chwalą się autorzy projektu z działającego w obrębie NASK Cert Polska, dzięki serwisowi moje.cert.pl udało się już znaleźć ponad pół miliona podatności na cyberatak, o których administratorzy stron nie mieli wcześniej pojęcia. Serwis sprawdził już ponad 3,3 mln domen, subdomen i adresów IP. Do tego dochodzą informacje o wycieku prawie 4 mln haseł.

Przeczytaj: Ruszyła rządowa strona dot. cyberbezpieczeństwa. Oferuje bezpłatne usługi ochronne

Po roku działania moje.cert.pl wdraża nowe funkcje i planuje kolejne

Z darmowego narzędzia korzysta już niemal 16 tys. użytkowników. Dzięki niemu 19 tys. administratorów stron podjęło działania na rzecz poprawy bezpieczeństwa – często nie tylko własnego, lecz także użytkowników i klientów.

To jednak wciąż niewielka część polskiego internetu.

Serwis moje.cert.pl – jak przypomina Marcin Dudek, kierownik CERT Polska – jest także miejscem, w którym można znaleźć informacje o aktualnych zagrożeniach. Wystarczy podać adres e-mail, by otrzymywać bieżące ostrzeżenia. 

W planach jest również udostępnienie narzędzia sprawdzającego, czy dany plik nie jest szkodliwy.

– Ma działać na podobnej zasadzie jak VirusTotal, narzędzie należące do Google. Różnica polega na tym, że my nie będziemy udostępniać nikomu przesyłanych plików. Google daje taką możliwość podmiotom trzecim, które mogą w ten sposób uzyskiwać np. dane o projektach konkurencji – podkreśla Marcin Dudek.

Jak zauważa Krzysztof Zając, ekspert CERT Polska, narzędzie stworzone przez CERT to ewenement w skali światowej, zwłaszcza dlatego, że jest darmowe. Każdy może więc sprawdzić bezpieczeństwo swojej strony. Porównywalna usługa komercyjna kosztuje 500–600 tys. zł rocznie – kwotę całkowicie poza zasięgiem małych firm, np. lokalnych wypożyczalni kajaków.

Tymczasem z moje.cert.pl może korzystać każdy właściciel strony. Wystarczy założyć konto i zweryfikować własność domeny – na podobnej, prostej zasadzie jak w narzędziach takich jak Google Analytics czy Google Ads.

Z okazji roku funkcjonowania systemu eksperci CERT Polska wprowadzili nową funkcjonalność pod nazwą „Infrastruktura organizacji”.

Dotychczas użytkownicy widzieli informacje o podatnościach wykrytych w konkretnych, wskazanych zasobach – takich jak domeny czy adresy IP.

Nowa funkcja moje.cert.pl umożliwia analizę infrastruktury

Nowa funkcja – analiza infrastruktury organizacji – oferuje szerszą perspektywę. Jak tłumaczy CERT Polska, pokazuje całą infrastrukturę widoczną z internetu, w tym elementy wcześniej niezidentyfikowane lub niezgłoszone, np. zapomniane subdomeny, dodatkowe usługi czy stare serwery.

– Im mniej publicznie dostępnych usług i paneli administracyjnych, tym mniejsze ryzyko wykorzystania znanych podatności lub haseł ujawnionych w wyciekach – podkreśla Krzysztof Zając.

W serwisie moje.cert.pl można teraz w przejrzysty sposób zobaczyć publicznie dostępną infrastrukturę swojej organizacji: subdomeny, wykorzystywane technologie, panele administracyjne czy otwarte porty. Pozwala to ocenić, które elementy warto ukryć lub dodatkowo zabezpieczyć.

Nowa funkcja umożliwia spojrzenie na infrastrukturę z perspektywy potencjalnego atakującego. Dzięki temu pomaga zrozumieć faktyczny poziom ekspozycji organizacji i ograniczyć liczbę publicznych punktów wejścia. Na stronie moje.cert.pl dostępne jest także interaktywne demo prezentujące działanie narzędzia.

Co daje korzystanie z moje.cert.pl?

Moje.cert.pl to bezpłatne rozwiązanie przygotowane z myślą o właścicielach domen oraz osobach odpowiedzialnych za utrzymanie infrastruktury teleinformatycznej. Korzystać z niego mogą zarówno właściciele niewielkich stron internetowych, administratorzy w małych firmach, jak i zespoły zarządzające rozbudowanymi systemami w instytucjach publicznych.

Użytkownicy prywatni mogą szybko sprawdzić, czy ich strony są bezpieczne. Małe przedsiębiorstwa zyskują dostęp do narzędzi, które do niedawna były zarezerwowane głównie dla dużych organizacji. Z kolei instytucje publiczne mogą monitorować bezpieczeństwo nawet bardzo złożonych środowisk – bez ponoszenia dodatkowych kosztów.

Przeczytaj: Cyberbezpieczeństwo: wyścig, w którym nie ma mety. Dlaczego polskie firmy wciąż są krok za atakującymi?

Artemis chroni Twoją domenę i sieć z moje.cert.pl

Skanowanie dostępne w serwisie moje.cert.pl działa w oparciu o narzędzie Artemis, które rozwijają eksperci CERT Polska. To zaawansowany system analizujący bezpieczeństwo domen i usług internetowych. Co ważne – jak zapewnia CERT Polska – Artemis działa w sposób całkowicie nieinwazyjny. Nie obciąża infrastruktury, nie testuje jej wydajności, nie przeprowadza ataków typu DDoS ani nie omija istniejących zapór sieciowych. Dzięki temu administratorzy mogą liczyć, że skanowanie nie wpłynie negatywnie na dostępność systemów ani ich stabilność.

Główne wnioski

1. Moje.cert.pl realnie zwiększa bezpieczeństwo polskich stron internetowych. Serwis umożliwił wykrycie setek tysięcy podatności, ujawniając zagrożenia, o których administratorzy wcześniej często nie mieli świadomości.
2. Narzędzie konsekwentnie się rozwija i zyskuje nowe funkcje. Po roku działania platforma została rozszerzona o analizę infrastruktury organizacji, a w planach znajduje się także skaner plików.
3. Platforma zapewnia dostęp do profesjonalnych usług bezpieczeństwa podmiotom, które w innym przypadku nie mogłyby sobie na nie pozwolić. Z moje.cert.pl mogą korzystać użytkownicy prywatni, małe firmy oraz duże instytucje, a narzędzia, które komercyjnie kosztują setki tysięcy zł rocznie, są dostępne bezpłatnie.