Hlavní navigace

Vlastimil Pečínka (Seznam.cz): Anomálie v trafficu nás dovedly do Ruska

11. 3. 2013
Doba čtení: 9 minut

Sdílet

 Autor: Seznam.cz
Šéf provozu měl právě dovolenou, a tak obranu před DDoS útoky odřídil sám CTO Seznamu. Byla to cenná zkušenost, říká. Za týden ale může přijít odlišný typ útoku a vše bude jinak.

Jak velké nebezpečí s sebou podle vás DDoS útoky nesou? Nepůsobí přece žádné přímé škody, jen dočasně zablokují přístup k webovým stránkám.

Pod pojmem hackerský útok si lidé většinou představí, že se někdo nabourává do dat uživatelů, krade jejich údaje a podobně. To ale nebyl tento případ. Už podle názvu (DoS – Denial of Service) jde o odepření služby, takže „nebezpečnost“ takového útoku spočívá v tom, že lidé nemohou využívat některé služby. To samozřejmě může mít negativní vliv na pověst napadeného webu, ale uživatelé nepřicházejí o žádné údaje a nemusejí se bát, že internetem začnou putovat čísla jejich kreditních karet nebo další podobná data. Další rozdílem oproti závažnému hackerskému útoku je, že DDoS útok je jasně viditelný, kdežto na zcizení citlivých údajů se většinou přijde až se zpožděním. Síla DDoS útoku je v tom, že se dá velmi snadno zrealizovat. Existují k tomu připravené infrastruktury, útočník si koupí botnet a pak může útoky opakovat jindy a odjinud nebo libovolně zvyšovat jejich frekvenci. Zároveň ale účinek DDoS útoku nemůže trvat dlouho. I když IP adresy útočících serverů bývají zfalšované, můžete postupně hledat zdroje útoku a podnikat protiopatření.

Při útocích v minulém týdnu jsme ale kromě nepřístupných webů mohli vidět i další dopady DDoS útoků. Když byla pod útokem Česká spořitelna, nějakou dobu nefungovaly platební terminály u obchodníků. Když byli napadeni mobilní operátoři, nedaly se třeba v Praze koupit SMS jízdenky. Problémy měl údajně i Centrální registr vozidel, který byl napojený na infrastrukturu jednoho z operátorů.

Mě osobně překvapilo, že útoky tyto dopady měly – aspoň takto jsem o nich četl v médiích. Infrastruktura Seznamu je budována tak, aby se něco podobného minimalizovalo. Když útok směřoval na Novinky.cz, zbytek služeb bez problému fungoval. A pokud druhý den šel útok na Seznam.cz, tak ostatní služby také jely. Každý provozovatel si musí sáhnout do svědomí, jak má svou infrastrukturu vybudovanou. A pokud mají výpadek terminály, protože fungují přes stejnou infrastrukturu jako internetové bankovnictví, tak asi teď budou mít banky hodně co dělat. Obrana proti podobným útokům je v podstatě infrastrukturální. Samozřejmě existují výrobci různých „krabiček“, které můžete do své infrastruktury umístit, ale to je jen malá náplast na velkou ránu. Útočník obvykle disponuje větší silou, než jedna krabička. Účinná obrana spočívá v tom, že pokud mám více částí svého provozu, musím je oddělovat, aby útok na jednu část neovlivnil ty další. Je-li přímá souvislost mezi DDoS útokem na internetové bankovnictví a výpadkem terminálů u obchodníků, je myslím jednoznačně příčinou podceněná infrastruktura u dotyčné banky.

V Česku jsme dosud velké DDoS útoky nezaznamenali. Šlo o výjimku, nebo jejich počet začíná růst?

Nevybavuji si, že by v Česku takto dlouhotrvající systematický útok na vytipované cíle někdy dříve proběhl. V Seznamu zažíváme spíš „amatérské pokusy“ o útoky. Naše infrastruktura je na české podmínky dostatečně robustní a nějaké pokusy studenta, který si někde něco přečetl a zkouší to, nás nesloží. 

A bude podle vás podobných útoků přibývat? Sám mluvíte o tom, jak snadné a levné je koupit si botnet.

Hrozba samozřejmě větší je. U útoků z minulého týdne nám zatím chybí motiv. Kdyby šlo o napadení jen jedné konkrétní firmy, dalo by se o pohnutkách útočníků spekulovat. Můžeme ale obecně říct, že dnes už někomu stojí za to se na cíle v České republice zaměřovat, což jsme si ještě nedávno nemysleli. A z tohoto důvodu je pravděpodobnost, že se podobné útoky budou opakovat, podle mého názoru větší.

O motivech se spekuluje hodně. Mluví se i o tom, že si útoky objednal nějaký výrobce „krabiček“ nebo jiných zabezpečení proti podobným atakům, aby po nich povzbudil poptávku.

Ano, sám jsem s nadsázkou řekl, že si někdo dělá „pre-sales“. Nemyslím, že by to dělal někdo ze solidních výrobců, ale jsou i nesolidní firmy, takže to je jedna z možností. Samozřejmě teď budu velmi senzitivní k tomu, jaké nabídky do Seznamu přijdou. Už se dokonce nějaké objevily. (smích) Ale jak jsem říkal – tyto typy útoku nevyřeší nějaká jednoduchá krabička, obrana je v dobré infrastruktuře sítě. A případný útočník bude vždycky o krok napřed – je jednodušší podobný útok spáchat, než se proti němu bránit.


Autor: Seznam.cz

Technický ředitel Seznam.cz Vlastimil Pečínka

Jaká opatření tedy Seznam proti případným budoucím DDoS útokům přijme?

To samozřejmě nemůžu prozrazovat do detailů. Pro nás jsou poznatky, které jsme za ty dva dny načerpali, velmi cenné. Máme nápady, jak některé věci v naší infrastruktuře nastavit relativně jednoduše tak, abychom výrazně snížili dopad podobných útoků na české uživatele, kterých máme 99 %. Ale to je samozřejmě konkrétní poznatek z konkrétní situace. Příští týden však může přijít úplně jiná povaha útoku – co se týče jeho metody, ale také razance. V médiích proběhly informace o tom, že do útoků byly zapojeny statisíce počítačů. Myslím, že to bylo nejméně o řád níž, protože na tento typ útoku můžou stačit i jen tisícovky serverů. Pokud si dnes koupíte botnet o desetitisících počítačů a stojí vás třeba 10 dolarů na hodinu, tak vás sto tisíc počítačů může přijít na 100 dolarů, což pořád není suma, která by se někomu nevyplatila.

Neměli by v obraně proti těmto útokům více pomoci internetoví provideři? Jak podle vás zafungovali v případě DDoS z minulého týdne?

Četl jsem názory, že by s tím něco měl dělat NIX, ale ten ze své povahy nemůže dělat v podstatě nic. Odhalit, že traffic, který přes sítě jde, může být DDoS útokem, je v podstatě nemožné – jsou to pakety, které se od ostatního provozu nijak neodlišují. Sami provideři by podle mého názoru něco dělat měli, a nemůžu říct, že by nebyli ochotní, ale jejich možnosti jsou také omezené. Tento typ útoku přichází jako nějaká část trafficu ze zahraničí, jsou sice zfalšované zdrojové IP adresy, ale to v tu chvíli nikdo nepozná. Samozřejmě existují heuristické metody, které mohou pomoci. Slyšel jsem třeba variantu, že se útočníkům vyplatí používat falešné IP adresy počítačů, které jsou v dané chvíli vypnuté. Protože když nám přijde paket s falešnou adresou, a my na něj odpovíme protipaketem na počítač, který je online, tak se spojení resetuje. Zatímco když na druhé straně neodpoví nikdo, tak spojení time-outuje, což je pro útočníka výhodnější. Ale zpět k providerům. Pokud jde o koncové ISP, měli by samozřejmě být schopní udělat si u svých uživatelů pořádek a zakročit proti byť nevědomky napadeným počítačům. Ale pak máte velké tranzitní sítě, což je i případ ruského RETN, který má za sebou další a další sítě… Internet je už ve svém principu vymyšlený velmi dobře – když zablokujete jednu část sítě, stejně vám ten traffic přijde někudy jinudy. 

Vy jste původ útoků vystopovali právě do sítě ruského providera RETN. Jak se vám to podařilo?

Začali jsme blokováním zdrojových IP adres. To je to první, co v takovém případě uděláte: jsou tady nějaké požadavky, někdo napadl servery, nejjednodušší je blokovat IP adresy. To se ale ukázalo jako falešná stopa, takže jsme se soustředili na to, odkud ten traffic teče. A postupně jsme přes jisté charakteristiky anomálií zjistili, že zdrojem je ruská síť RETN. My s ní nepeerujeme, ale projevilo se nám to na tranzitu od Dial Telecomu, který nám posléze potvrdil, že tam taková anomálie je. Zároveň jsme na to v rozhovoru upozornili Mafru, která s RETN v NIXu peeruje. To byl vlastně důvod, proč si někteří poskytovatelé mysleli, že útok přichází z České republiky – protože to vypadalo, jako by ten traffic pocházel z NIXu a z Česka, ale to bylo jen díky tomu, že tranzitní operátor RETN má v NIXu peer. Když jsme věděli, odkud útok přichází, oslovili jsme přes Dial Telecom přímo RETN a také jsem se spojil s ruským Yandexem, se kterým máme dobré vztahy, s žádostí, aby nám pomohli. Nevím, který ten kanál nakonec zafungoval, nicméně nakonec se nám z RETN ozvali. Řekli, že by nám rádi pomohli, ale že sami netuší, odkud odevšad by to mohlo téct. Jediná jejich rada nakonec byla: zablokujte si nás. Což jsme v podstatě udělali.

Jak hodnotíte roli CSIRTu? Pomohl nějak? Nebyl příliš pasivní?

CSIRT v současné době nefunguje. Není to ale problém CSIRTu, jako spíš toho, že neexistuje síť jednotlivých pracovišť, která by byla do systému CSIRTu zapojena. V Seznamu jsem na konci loňského roku říkal, že vytvoříme vlastní CERT tým a do té sítě se zapojíme. Praxe nás bohužel předběhla. Ukázalo se, že velmi cenné je, když máte s kým sdílet informace. Minulý týden jsem byl v kontaktu s Mafrou a v době útoků na zpravodajské servery jsme si aspoň nějaké informace o tom, jak postupujeme, vyměňovali, a velmi nám to pomohlo. A teď si představte, že byste tyto informace měli v nějakém systému, mohli byste je sdílet, mohli byste se s někým radit, nechávat připomínkovat své hypotézy – to by vyřešilo mnoho věcí. Moje vize CSIRTu není v tom, že útokům zabrání, od toho tady není, ale měl by varovat další potenciální cíle a sdílet informace. Když nás v úterý CSIRT, se kterým nemáme žádný formální vztah, kontaktoval, poskytli jsme mu za Seznam naše data o tom, jak útoky proběhly, co jsme o nich zjistili a tak dále. A i když nemám žádnou zpětnou vazbu, co s nimi podnikli, tak pokud se dostaly k bankám a mobilním operátorům, mohly být tyto firmy na útoky lépe připraveny. Takové fungování CSIRTu dává smysl.

Jak tedy bude vypadat a co bude dělat CERT, který zřídíte v Seznamu?

Nebudeme přijímat žádné nové lidi, kteří budou v Seznamu 90 % svého času čekat na chvíli, kdy přijde útok, to vůbec ne. Spíš si pro takové situace předem připravíme nástroje a dohodneme interní postupy: kdo se v případě útoku postaví do jaké role, kam a jaké informace budeme posílat a jaké budeme žádat. Ukázalo se, že v takové situaci je velmi důležité mít připravená krizový management. Potřebujete nechat odborníky jejich práci, ale zároveň někdo musí umět komunikovat s tiskovou mluvčí, která předává informace novinářům a uživatelům, a někdo s dalšími partnery. 

Jaké šance dáváte tomu, že se podaří odhalit, kdo za útoky stál, a nějak ho potrestat?

Pokud se k nim nikdo sám nepřihlásí, tak nulové. Pokud se někdo přihlásí a bude z Česka, bude to tak 50 na 50, pokud bude ze zahraničí, vidím to tak na 20 ku 80.

BRAND24

A nevnímáte to jako problém? Netrestatelná počítačová kriminalita mimo jiné slouží jako argument k tomu, že je svoboda na Internetu příliš široká a že by stálo za to ji omezit, aby se například pachatelé podobných činů dali jednodušeji zjistit.

Před tím bych chtěl důrazně varovat, protože tím se nic nevyřeší, případná represe spíš uškodí a přitom podobné útoky nevymýtí. Nulová pravděpodobnost vypátrání původce útoku je dána tím, že Internet je prostě veliký. Je to jako kdybyste chtěli pátrat v globálním světě po pachateli drobné krádeže. Je to samozřejmě možné, ale prakticky je to spíš nereálné. Jistě, každý útočník po sobě zanechává digitální stopu, ale teď jde o to, jestli někdo má chuť, čas a motivaci po něm pátrat. A vůbec nevěřím tomu, že by to pomohla vyřešit nějaká regulace ze strany státu. Spíš naopak.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).