Hlavní navigace

Ondřej Filip: Nečekejme, že při útoku přiběhnou chlapíci z CSIRTu a vše vyřeší

12. 3. 2013
Doba čtení: 10 minut

Sdílet

Čím více Internet chráníte, tím víc zmenšujete svobodu uživatelů, varuje šéf CZ.NIC Ondřej Filip. Obrana proti útokům podle něj vždy bude hlavně na provozovatelích webů.

Včera jste na blogu CZ.NIC vyjádřil domněnku, že útoky na české servery z minulého týdne nebyly ve skutečnosti DDoS, ale DoS. Tedy že primární útočící síť byla poměrně geograficky omezená. Pokud by se opravdu jednalo o DoS útoky, jak naznačujete, měnilo by to něco na úvahách o tom, kdo za nimi stojí?

Ne. Je to spíše taková technická nuance. Na druhou stranu je větší šance dohledat, odkud útok pocházel. Ovšem za předpokladu, že by s námi dobře spolupracovaly sítě, ze kterých se útok šířil. Ale ani poté bychom nemuseli nutně najít konkrétní osobu, která si útok objednala. Ten, kdo takové útoky dělá či je za úplatu pronajímá, z pochopitelných důvodů s námi asi ochotný spolupracovat nebude.

Přijměme tedy domněnku, že se ve skutečnosti jednalo o DoS útok. Proč by ale někdo volil tento typ útoku namísto DDoS?

Mohl se rozhodovat podle ceny a tento typ útoku byl jednoduše levnější. Je ale také možné, že si to celé postavil sám. V té druhé variantě útoku totiž prokázal, že má určité technické znalosti.

Ondřej Filip je výkonným ředitelem správce domény .cz – sdružení CZ.NIC. To na základě dohody s Národním bezpečnostním úřadem provozuje a financuje CSIRT.CZ, což je národní bezpečnostní tým České republiky. Tým má čtyři členy – zaměstnance CZ.NIC, kteří v něm pracují na částečný úvazek.

Ze začátku se mluvilo o tom, že útok pochází z Česka, pak se zase dostala do popředí ruská stopa. Dá se usuzovat z toho, jak a na které firmy byl útok veden, že osoba, která za útokem stojí, měla velmi dobré povědomí o českém trhu?

Rozhodně to byl člověk, který znal síťové prostředí v České republice. Všimněte si, že ten útok byl často veden několika směry a v tu chvíli si útočník musel být jistý, že když rozdělí sílu útoku do více směrů, tak budou i jednotlivé parciální útoky úspěšné. Naopak když útočil na Seznam.cz, kde se dala očekávat největší míra obrany a robustnosti, tak použil pouze jeden proud. V případě telekomunikačních firem útočil na dva mobilní operátory ze tří. Zřejmě se obával, že další rozmělnění útoku by mohlo způsobit jeho neúspěšnost.

Zpočátku se jednalo o SYN Flood útoky s podvrženou zdrojovou adresou, později útočník změnil strategii a začal používat trochu jiný typ útoku. O co šlo?

V případě SYN Flood útoku útočníci emitují velmi rychle úvodní pakety TCP komunikace (SYN), které směřují přímo na cíl. Později během týdne se ale objevil tzv. odražený útok, při kterém útočníci emitovali SYN pakety se zdrojovou adresou cíle, které směřovaly na některé české servery s kvalitním připojením. Tyto servery odpovídaly druhým paketem úvodní TCP sekvence neboli SYNACK a tím zahlcovaly cíl, působily tedy jako jakýsi reflektor.

Které z firem tedy čelily jednotlivým druhům útoků?

SYN Flood útoky probíhaly v pondělí a úterý. Během středy se objevil již zmiňovaný odražený útok.

Proč změnil útočník taktiku?

Dobře si uvědomil, že komunita lidí, kteří se ve firmách a institucích věnují oblasti počítačové bezpečnosti, by mohla mít k dispozici charakteristiku útoku a sadu doporučení, jak se proti němu bránit. Proto zřejmě změnil taktiku, aby navržená obrana byla neúčinná. Myslím si ale, že bránit se odraženému útoku je ve finále jednodušší.

Dá se říci, že útočník zariskoval. Použil trochu složitější variantu útoku, která má ale nižší účinnost, jenom proto, že se bál toho, zda už jsme dostatečně nevybrousili techniky, jak se útokům ze začátku minulého týdne bránit.

Říkáte, že bránit se odraženému útoku je ve finále jednodušší. Když se v úterý stal terčem Seznam, odstřihl na určitou dobu zahraniční konektivitu. Takový postup ale v případě odražených útoků udělat nejde. Tento útok přece přichází jakoby z českých IP adres.

To je sice pravda, ale v případě odražených útoků nechodí SYN pakety, ale SYNACK pakety. Ty už jsou podezřelé už jen proto, že před nimi nešel SYN paket. Jde o to, že zdroj útoku se snaží někam připojovat a úplně se otočí směr, kterým SYNACK pakety běžně putují. Takové SYNACK pakety se tedy mnohem lépe filtrují. U exponovaných webserverů můžete SYNACK pakety v jednom směru zablokovat.

V případě odraženého útoku jde tedy na servery provoz, který není úplně běžný?

Pokud se jedná o exponovaný webserver, tak na něj chodí pakety SYN a on odpovídá SYNACK. V případě odraženého útoku se to ale otočí a pakety SYNACK chodí na webserver, což je netypické a nelogické. Pokud byste byl na tento typ útoku připravený a rychle udělal analýzu, tak se s tím lze vyrovnat v poměrně krátké době.

Je ale potřeba říci, že odražené útoky, kterých jsme byli svědky, v průběhu minulého týdne byly krátké, a proto nebyl dostatek času provést analýzu. Kdyby útoky trvaly delší dobu, tak by na ně správci dokázali mnohem rychleji odpovědět. Byla to mimochodem další chytrá taktika od původce útoku. Krátce na někoho zaútočil a šel dál. A tento postup opakoval ve vlnách.

Pokud se bavíme o SYN Flood útocích ze začátku minulého týdne, tak u nich bylo složitější poznat, že se jedná o útok, protože se tvářily jako běžný provoz?

Ano. Navíc chvíli trvalo, než lidem došlo, co se děje. Ještě v úterý se někteří domnívali, že se jednalo pouze o ojedinělý útok. Lze v tom vidět i určitou liknavost, způsobenou logicky tím, že podobně závažných útoků Česko zatím mnoho nezažilo.

Poté, co se objevila ruská stopa, mluvilo se o tom, že většina útoků přicházela z tamní sítě RETN. Zeptám se teď jako úplný laik. Proč se například někdo v NIXu nepokusil tuto síť nějak blokovat?

Úkolem NIXu je transportovat pakety na druhé síťové vrstvě, je to vlastně takový velký distribuovaný ethernetový switch. NIX nemá možnost zasahovat do třetí vrstvy, do IP paketů. A to je podle mě dobře. NIX tedy v tomto konkrétním případě nemohl nijak pomoci. Nicméně v rámci jednotlivých firem bylo možné na vstupy do této sítě nasadit určité filtry a to vedlo zřejmě k tomu, že došlo ke změně útočníkovy taktiky.

Vraťme se ale zpět k samotnému útočníkovi či útočníkům. Dokážeme tedy vůbec někdy zjistit, kdo za útoky stojí?

Útočník se dá najít i po čase. Většina linek se měří na dva parametry, kterými jsou datový tok a průtok paketů. Tento typ útoku se projevuje právě tím, že posílá obrovské množství malých krátkých paketů. Dojde tedy ke změně poměru mezi velikostí toků a počtem paketů. A to je vidět v grafech celkem dlouhou dobu. Dobře víme, že velké množství krátkých paketů odcházelo z ruské sítě RETN. A provozovatel této sítě musí zase mít ve svých grafech zaznamenáno, odkud ten tok do jejich sítě přicházel. Problém ale je, že RETN s námi zatím v této věci dostatečně nekomunikuje.

Co si představit pod tím, že s vámi „v této věci dostatečně nekomunikuje“?

Odpovídají nám sice na maily, ale zatím nebyli ochotni sdělit další podrobnosti, týkající se útoků.

Neměl by se do toho nyní vložit stát a zkusit se dostat k informacím, které po provozovatelích ruské sítě požadujete, nějakou jinou cestou?

To, že se to nepíše v médiích, ještě neznamená, že stát či zpravodajské služby v tomto nekonají. Obracíme se na ruskou stranu všemi možnými kanály.

Nejviditelnějším důsledkem útoků byly nedostupné či pomalu se načítající weby. Co mně ale přijde podstatně závažnější, je fakt, že například České spořitelně přestaly v souvislosti s útokem fungovat platební terminály a Telefónice zase dobíjení mobilů z bankomatů či služby jako je SMS jízdenka. Jak je možné, že spadne i služba, která by měla běžet na jiných serverech než samotný web?

Nejsem expert na platební terminály, ale myslím, že už dnes komunikují přes Internet. Pokud byl zahlcený segment sítě, kde je web a zároveň třeba nějaký VPN koncentrátor používaný právě pro tyto účely, tak se to stát může. Je to ale velké varování, že by tyto služby měly být pečlivě oddělovány a stavěny robustněji.

Neměla by skutečnost, že útok neshodil pouze weby, být dostatečným argumentem pro stát, aby se touto problematikou začal zabývat trochu aktivněji? Zatím to vypadá, že stát nemá příliš velký zájem podobné věci řešit do té doby, dokud se takový útok nedotkne přímo jeho vlastní infrastruktury či institucí.

Stát by se dle mého názoru měl věnovat především oblastem, které jsou přímo pod jeho kontrolou – státní správa apod. A dále pak systémům, které jsou pro chod státu kritické.

Jenže například někteří naši čtenáři si pak kladou otázku, k čemu vlastně CSIRT.CZ a Národní centrum kybernetické bezpečnosti při Národním bezpečnostním úřadu (NBÚ) jsou? Říkají, vždyť s těmi útoky nedokázali nic udělat. Jen je analyzují a nakonec řeknou, že dohledat původce útoků je velmi složité a tím jejich role skončí.

Může to na první pohled působit trochu frustrujícím dojmem, ale uvědomme si, jaké mají tyto týmy pravomoci. Jediný, kdo dokáže zabránit útoku a případně i stopovat útočníka, je člověk, který má ruce na klávesnici připojené k routeru. Sebelepší expert v jakémkoli týmu mimo budovu mu nepomůže.

CSIRT.CZ například zorganizoval telekonferenci, kde zástupci CSIRTu společně se zástupci postižených firem našli ad hoc řešení, jak útoku čelit a podstatně tak eliminovali jeho sílu. To je přesně role CSIRT.CZ. Nečekejme, že bude-li nějaký problém, tak jako v americkém akčním filmu přiběhnou chlapíci s nápisem CSIRT.CZ na zádech, obsadí terminály a začnou to řešit.

NBÚ chce prosazovat bezpečnostní standardy, které by pomohly podobné útoky řešit. Tyto standardy by samozřejmě neměly ukazovat na jednu konkrétní technologii. Plánuje také vybudovat komunikační infrastrukturu na sdílení dat o incidentech. Jak bude tato infrastruktura efektivní, ukáže samozřejmě až čas. Stát by tedy na základě připravovaného zákona měl tedy být prostředníkem v komunikaci mezi jednotlivými firmami a institucemi spravujícími kritickou infrastrukturu a zároveň by měl být garantem ochrany svých vlastních systémů.

Není přece chybou státu, že čtyři dny probíhaly v Česku útoky na počítačové sítě soukromých firem. Je to asi stejné, jako kdybyste říkal: někdo vykradl byt, protože byl na vchodových dveřích špatný zámek, a může za to stát. Soukromník se musí ochránit sám.

Faktem je, že se nejednalo o útoky na kritickou infrastrukturu. Ale přesto útok na banky a telekomunikační operátory, kdy nebyly dostupné i služby, které nesouvisejí přímo s webem, by asi stát nějakým způsobem řešit měl.

Stát určitě nezareaguje ve chvíli, kdy útok probíhá. Na to nemá pravomoc a vlastně ani prostředky. Ale domnívám se, že to bude mít určitě odezvu v pravidlech, která se připravují. Byl to první útok takového druhu, kterému Česko čelilo, a doufám, že povede k celé řadě pozitivních změn, díky kterým podobným útokům v budoucnu odoláme.

Nemůže to mít ale i negativní následky?

Vždy je samozřejmě ve hře otázka svobody Internetu. Čím více Internet chráníte, tím víc zmenšujete svobodu jeho uživatelů.

Zvenčí to vypadá, že stát zatím oblast internetové bezpečnosti příliš neřeší a neví si s ní moc rady.

Pravdou je, že stát v oblasti kybernetické bezpečnosti dost zaspal, alespoň pokud se bavíme o té civilní části. Na ministerstvu vnitra se toto téma dlouhou dobu přehazovalo jako horký brambor. Před rokem si tuto oblast vzal do gesce NBÚ a snaží se s tím něco udělat. NBÚ má určitou strategii a snaží se ji postupně naplňovat.

Informace o útocích, které jste dostávali v průběhu minulého týdne od postižených firem, vám byly poskytnuty z jejich vlastní vůle. Měla by existovat povinnost firem poskytnout data nějaké instituci typu CSIRT.CZ?

BRAND24

Připravovaný zákon o kybernetické bezpečnosti k tomu více méně směřuje. Neměli jsme problém s ochotou firem sdílet informace. Nedostali jsme se ale například k některým záznamům provozu, protože taková data už jsou brána jako odposlech. Potřebovali bychom sejmout odpovědnost z lidí, kteří mají ve firmách na starosti právě výměnu těchto dat. Ve chvíli, kdy někdo z firmy pošle paketový provoz, tak v podstatě posílá odposlech a ten podle zákona nikomu dát nemůže.

Nemyslím si ale, že je správná cesta nutit každého posledního provozovatele kabelového rozvodu v paneláku k nějakému reportingu, který navíc bude pravděpodobně ohlášen až ex-post a k vyřešení útoku samotného nijak nepřispěje.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).