Cvičný útok na sítě EU očima CSIRT.CZ

Andrea Kropáčová 10. 10. 2012

Ve čtvrtek 4. října proběhl masivní kybernetický útok na sítě a internetové služby členských států EU. Do obrany bylo postupně zapojeno více než 300 odborníků na síťovou a počítačovou bezpečnost. Přesto došlo k přetížení mnoha sítí a řada důležitých služeb byla nedostupná. Naštěstí šlo jen o simulaci.

Některé státy vyhlásily krizový stav, informovaly své vlády a napříč Evropou se formovaly krizové štáby s cílem najít a eliminovat zdroje útoku. Přesto to vypadalo, že útočníci mají navrch – situace se dlouhé hodiny zhoršovala a stále více sítí se stávalo nedostupnými…

Naštěstí se jednalo pouze o simulovaný útok v rámci cvičení Cyber Europe 2012. Ten pořádaly členské státy Evropské unie a země Evropského sdružení volného obchodu (EVSO), za Českou republiku byli jeho organizátory členové týmu CSIRT.CZ, který provozuje sdružení CZ.NIC, správce domény .CZ. Koordinátorem cvičení Cyber Europe 2012 byla organizace ENISA (Evropská agentura pro bezpečnost sítí a informací) za podpory Společného výzkumného centra Evropské komise. Cvičení sledovalo tři základní cíle:

  1. vyzkoušet účinnost a pružnost stávajících mechanismů, postupů a výměnu informací nezbytných pro spolupráci veřejných úřadů v Evropě;
  2. přezkoumat možnosti spolupráce mezi veřejnými a soukromými subjekty v Evropě;
  3. odhalit trhliny a možnosti v oblasti zvyšování účinnosti zvládání rozsáhlých kybernetických incidentů v Evropě.

Scénář cvičení soustředil několik technicky reálných hrozeb do jednoho souběžně se stupňujícího útoku DDoS cíleného na internetové služby ve všech zúčastněných státech. Reálné naplnění tohoto scénáře by způsobilo výpadky služeb a způsobilo problémy milionům obyvatel po celé Evropě.

Účastníci cvičení (kterých bylo cca 300 z 25 zemí) se museli vypořádat s více než jednou tisícovkou tzv. „injects“, simulovaných hlášení incidentů zasílaných via e-mail organizátory cvičení a několika stovkami doprovodných informací zpřístupněných na webových portálech a šířených mezi účastníky cvičení. Cvičení tak probíhalo prostřednictvím klasických komunikačních kanálů a technik (e-mail, telefon, Jabber, Skype apod.), které bezpečnostní týmy a správci sítí obecně používají při své každodenní práci.

Cvičení Cyber Europe 2012 předcházela dlouhá a intenzivní rok trvající příprava za úzké spolupráce všech zúčastněných zemí. Každá zúčastněná země musela na počátku obsadit roli tzv. Národního Moderátora, který se podílel na přípravě cvičení na národní i mezinárodní úrovni, tzn. získal hráče v dané zemi, specifikoval jejich roli, seznámil je s pravidly, přibližným scénářem cvičení, podílel se na přípravě scénáře a datového zázemí pro cvičení, ale především definoval, čeho chce daná země svou účastní dosáhnout, co chce testovat.

Za Českou republiku plnil roli Národního Moderátora tým CSIRT.CZ (Národní CSIRT České republiky), který se rozhodl, že se soustředí na cíl „otestovat spolupráci veřejného a privátního sektoru při plošném útoku na IT infrastrukturu“. Proto se kromě pracoviště CSIRT.CZ do cvičení na žádost sdružení CZ.NIC zapojilo sdružení CESNET, registrátor Active24 a Policejní akademie ČR. Česká republika tak měla do hry zapojeny celkově čtyři hráče – dva reprezentující privátní sektor (CESNET a Active24) a dva reprezentující veřejný sektor (CSIRT.CZ a Policejní akademii ČR).

Celkově se této akce za Českou republiku zúčastnilo 6 lidí – po jednom za každou zapojenou organizaci (tzv. „hráče“), Národní Moderátor a tzv. Národní Monitor, což byl pracovník pověřený sledováním průběhu cvičení na národní úrovni a komunikací s Národním Moderátorem, který cvičení sledoval na mezinárodní úrovni z centra dění v Athénách.

Z mého pohledu se jednalo o výborně připravenou akci a hned na začátku je nutné říci, že je dobře, že jsme se zúčastnili už dvou předchozích ročníků – Cyber Europe 2010 a Cyber Atlantic 2011. Obě tyto akce byly při zpětném pohledu jakousi přípravou na to, co se dělo při Cyber Europe 2012. Jinak cvičení samotné bylo hodně náročné. Hráčům chodily desítky a desítky e-mailů, museli obhospodařovat telefonáty, zúčastňovat se telekonferencí a v rámci toho zpracovat obrovské množství informací. Při tom přebírali a oddělovali důležité od nedůležitého, reagovali na žádosti o spolupráci a výměnu informací. Navíc si museli zachovat chladnou hlavu a pevné nervy. Jejich cílem bylo dobrat se k seznamu všech zdrojů (simulovaného) útoku a ty postupně eliminovat. Každý ze zapojených účastníků zaujal roli, která mu byla přidělena, a která mu dovolovala maximálně využít odborné znalosti a komunikační dovednosti.

Pracoviště CSIRT.CZ plnilo roli National POC (Point of Contact) na výbornou, koordinovalo činnosti na národní úrovni a zajišťovalo mezinárodní komunikace. Zástupci privátního sektoru (CESNET a Active24) pátrali po zdrojích útoků a technických možnostech obrany vlastních sítí. Policejní akademie ČR se soustředila na definování informační činnosti v rámci státu. V průběhu cvičení tak došlo k informování vlády ČR, příslušných ministerstev, bezpečnostních složek, Národního bezpečnostního úřadu alias Vládního CERT ČR a dalších, samozřejmě pouze simulovaně, tzn. v rámci scénáře.

Celkově se dá říci, že Cyber Europe 2012 potvrdil závěry z dvou předchozích akcí – je potřeba být na podobnou událost připraven, mít k dispozici vhodné technické nástroje (pro komunikaci), jasné postupy, dokázat stanovit priority a vědět, koho všeho je do řešení problému potřeba zahrnout a koho informovat. Mně osobně se potvrdila jedna důležitá věc – privátní sektor je v případě ohrožení IT infrastruktur v zemi velmi důležitým hráčem, na jehož bedrech leží klíčové aspekty obrany. Obecně je odbornost správců sítí a služeb při podobném útoku nenahraditelná a měla by být neustále rozvíjena a zdokonalována.

Na závěr bych jménem pracoviště CSIRT.CZ, působícího v rámci sdružení CZ.NIC, chtěla poděkovat všem v ČR zapojeným hráčům – členům CSIRT.CZ, CESNET, Active24 a Policejní akademie ČR, za jejich aktivní a svědomité zapojení do cvičení. Odvedli opravdu nadlidský výkon a důstojně reprezentovali Českou republiku (jen pro srovnání – ČR měla čtyři „hráče“ a za každým jednu osobu; byly země, kde měli osm hráčů a za nimi schovaných 35 lidí).

P.S. Vím, že poté, co cvičení skončilo, hráči za ČR zhluboka vydechli, setřeli pot z čela, rozbili počítače a šli na pivo, šťastní, že se toho i přes počáteční obavy zúčastnili, že obstáli, a že to už skončilo…

DigiZone.cz: Budoucnost video služeb na internetu

Budoucnost video služeb na internetu

120na80.cz: Vyzrajte na návaly a pocení v přechodu

Vyzrajte na návaly a pocení v přechodu

Vitalia.cz: Syndrom PC vidění: stačí dvě hodiny denně

Syndrom PC vidění: stačí dvě hodiny denně

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Vitalia.cz: Sója a rakovina

Sója a rakovina

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

Vitalia.cz: Děti jsou sportem opotřebované

Děti jsou sportem opotřebované

Lupa.cz: Nová podoba Instagramu? Katastrofa

Nová podoba Instagramu? Katastrofa

DigiZone.cz: UPC umí televizi sedm dní nazpět

UPC umí televizi sedm dní nazpět

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

DigiZone.cz: ČT neskončí s nízkým rozlišením podle plánu

ČT neskončí s nízkým rozlišením podle plánu

DigiZone.cz: Konec geoblokace online médií?

Konec geoblokace online médií?

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

DigiZone.cz: DAB+ versus FM, ČRo a ČRa proti APSV

DAB+ versus FM, ČRo a ČRa proti APSV