Příchod hackerů: zrod CERT a CSIRT

Lukáš Erben 14. 10. 2014

Tento týden oslavíme 26 let od založení prvního CERT týmu na Carnegie-Mellonově univerzitě. Je překvapivé, jak málo se o jejich práci mluví, přestože fungování internetu by bez nich bylo dnes prakticky nemyslitelné. První CERT vznikl přitom během neuvěřitelných dvou týdnů od prvního útoku internetového červa.

Byla středa, 2. listopadu 1988, když internet zaplavil první červ. Nevydařený experiment třiadvacetiletého Roberta Tappana Morrise (jeho příběhu jsme věnovali samostatný díl seriálu) ukázal, jak zásadní dopad může mít sebe replikující a šířící škodlivý kód – dokonce i takový, který nebyl napsán s úmyslem škodit. Přestože červ byl navržen pro zmapování velikosti tehdejší internetové sítě a napsán tak, aby infikoval pouze některé počítače s konkrétním typem operačního systému a nešířil se nadměrně, podařilo se mu (i díky chybným předpokladům jeho autora) v řádu několika dnů nakazit plnou desetinu ze zhruba 60 tisíc počítačů připojených v roce 1988 k internetu.

Červ budiž požehnán

Nic lepšího Robert Tappan Morris pro zrod síťové bezpečnosti nemohl udělat. Byla to právě rychlost a rozsah nákazy, které přivolaly potřebnou pozornost. Díky tomu, že byl červ napsán jen nešikovně a nikoliv destruktivně, se jeho šíření podařilo během několika dnů zastavit a už 8. listopadu, tedy necelý týden poté, co se červ začal šířit, byla agenturou DARPA (Defense Advanced Research Projects Agency) svolána schůzka pro zhodnocení dopadů a vyvození závěrů z incidentu s prvním internetovým (respektive arpanetovým) červem.

Zástupci univerzit, výpočetních center a agentury se shodli, že hlavním problémem je neexistující koordinace a komunikace – chyběl varovný systém a pravidla, jak v případě podobného incidentu postupovat. DARPA se proto rozhodla, že poskytne finance na vytvoření koordinačního centra pro bezpečnostní incident. To vzniklo 17. listopadu 1988 v rámci institutu SEI (Software Engineering Institute) na Carnegie Mellonově univerzitě. Do vínku dostalo název, který se posléze rozšířil coby obecné označení podobných oddělení či skupin: Computer Emergency Response Team (CERT), posléze bylo označení koordinačního centra změněno na CERT/CC.

SEI na Carnegie-Mellonově univerzitě byl založen v roce 1984. O čtyři roky později zde vznikl první CERT.

Cenrum přešlo do “ostrého” provozu začátkem prosince – nejprve s “vypůjčenými” zaměstnanci SEI, postupně ale vybudovalo vlastní tým. Od začátku bylo jasné, že CERT nezůstane jediný – během roku 1989 byly založeny týmy CERT (byť se jim tak zpočátku ještě “standardně” neříkalo) či CSIRT (Computer Security Incident Response Team) na americkém Ministerstvu energetiky (DoE), v NASA, v národním Institutu pro standardy a technologie a v americké armádě – jednalo se o instituce a organizace, které měly nejvíc připojených počítačů a většina z nich (například DoE, NASA a armáda) patřila mezi první oběti cílených útoků malware.

Nápad vytvořit speciální týmy, které by se věnovaly bezpečnostním incidentům, nebyl v roce 1988 nový – diskutovalo se o něm už řadu let jako o možném rozšíření standardních struktur pro řízení bezpečnosti – zejména s ohledem na ochranu sítí a citlivých informací ve výpočetních systémech, nicméně neexistence incidentů vede už tradičně k neexistenci povědomí a potřeby a neexistence povědomí či potřeby znamená nedostupnost nezbytných prostředků a ochoty se problému věnovat. Proto byl Morrisův červ svým způsobem požehnáním – přišel včas a jeho útok byl dostatečně mohutný, aby probudil všechny z letargie (a zároveň relativně nedestruktivní, takže napáchané škody bylo možné poměrně snadno napravit). Spíše než tříletou podmínku, stovky hodin veřejných prací a pokutu deset tisíc dolarů by při pohledu zpět Robert Morris zasloužil poděkování.

Tento seriál se věnuje CERT/CSIRT hlavně z pohledu jejich historie. Pokud vás zajímá, jak CERT/CSIRT týmy fungují, naleznete to v článku Andrey Kropáčové, který vyšel na Rootu minulý rok.

FIRST a první zkouška ohněm

Necelý rok po “Morrisově červu” přišel další legendární útok – červ Wank (i jemu jsme se již v seriálu věnovali) začal 16. října 1989 napadat systémy v síti DECNET. Poprvé tak mohla být skutečně otestována koordinace bezpečnostních týmů mezi DoE, NASA a CERT/CC. Útok “hacktivistického” politického červa Wank, který mířil především na systémy NASA a Ministerstva energetiky (coby protest proti jaderné energii a využívání vesmíru pro zbraňové systémy) se podařilo zvládnout za jediný den – už 17. října byl k dispozici nástroj, který umožnil šíření Wanku zastavit a krátce na to byl (nikoliv ovšem v USA, ale ve Francii) vytvořen program na odstranění červa.

Problém byl ale v tom, že v řadě menších organizací a odlehlých pracovišť nevěnovali správci informacím, které CERT/CC rozesílal pozornost (případně je ani neodebírali), a i když se díky rychlému zásahu nákaze červem Wank vyhnuli, napadla některé z nich o dva týdny později jeho varianta OILZ, protože neopravili slabiny, které zneužíval Wank.

Počet počítačů připojených k internetu mezi tím rostl raketovým tempem. Zatímco v době útoku Morrisova červa jich bylo asi 60 tisíc, v době, kdy zaútočil Wank, se už jednalo o přibližně 170 tisíc systémů a o rok později, v listopadu 1990 340 tisíc. Bylo jasné, že počet bezpečnostních týmů poroste a budou vznikat i jinde než v USA. Bylo proto vytvořeno Forum of Incident Response and Security Teams (FIRST), jehož zakládajícím členem byla i francouzská SPAN (Space Physics Analysis Network), která také založila první CSIRT v Evropě.

Evropa a Asie se probouzí

Zatímco za oceánem se počet počítačů připojených k internetu blížil milionu, na starém kontinentě to počátkem 90. let byly tisíce či desetitisíce. S výjimkou SPAN (kde řádil v roce 1989 červ Wank a vznikl i program na jeho odstranění) tu platilo totéž, co o několik let dříve v USA – kde nejsou incidenty, není ani skutečná potřeba něco řešit. To se ale začalo měnit v roce 1992, kdy se poprvé začalo jednat o vytvoření národních CSIRT v rámci výzkumných a akademických sítí jednotlivých zemí. Mezi prvními byly holandský CERT-NL (1992) a německý DFN-CERT (1993). Co ale v Evropě chybělo, bylo centrální koordinační centrum podobné americkému CERT/CC. Obecně lze říci, že většina národních CERT a CSIRT týmů v Evropě, Asii a dalších částech světa vznikala nejprve na akademické půdě (případně v rámci sdružení spravujících páteřní sítě) a teprve později se etablovala coby skutečně národní organizace, napojená například na bezpečnostní složky státu.

Zatímco za oceánem uplynuly od prvního významného incidentu do založení CERT týdny a do jeho plného provozu měsíce, Evropa na své koordinační centrum čekala až do roku 1997, kdy se rozjel jeho projekt v rámci TERENA (Trans European Research and Networking Association), přejmenovaný v roce 1999 na EuroCERT (je zajímavé že EuroCERT byl do značné míry založen na dobrovolné podpoře a aktivitě ze strany národních CERT/CSIRT týmů a jejich členů, spíše než coby samostatně financovaný tým).

V asijsko-pacifické oblasti vytvořila jako první svůj vlastní tým Austrálie – AusCERt vznikl v roce 1993 jako společný projekt tří univerzit (QUT, GU, TUG). Další týmy byly vytvořeny v letech 96–97 v Koreji, Japonsku a Singapuru. Jejich regionální koordinaci se od roku 1997 věnovala pracovní skupina APSIRC WG a od roku 2003 pak APCERT (Asia Pacific Computer Emergency Response Team).

Za zmínku stojí, že mezi zeměmi, které měly své počítačové bezpečnostní týmy jako první, je i Mexiko, kde byl po bezpečnostním incidentu v roce 1993 založen první tým na institutu ITESM – z něj se posléze vyvinul Mx-CERT.

widgety


Obrázek: APCERT, 2010

Současnou strukturu zastřešujících organizací CERT/CSIRt nejlépe ilustruje mapka.

V Česku vznikl oficiální CERTS tým v lednu 2004 v rámci aktivit sdružení CESNET (aktivity v oblasti monitorování bezpečnosti probíhaly v rámci CESNET už od jeho vzniku v roce 1996). V rámci aktivit CESNETu vznikl i národní CSIRT.CZ, který zde byl provozován od roku 2008 a koncem roku 2010 přešel pod sdružení CZ.NIC a v současné době je provozován v součinnosti s NBÚ. Vedle CSIRT.CZ a CESNET-CIRTS jsou významné týmy u nás CZ.NIC-CSIRT, CSIRT-MU (Masarykova univerzita, založen 2009) nebo ACTIVE24-CSIRT. Své vlastní menší CERT či CSIRT týmy ale provozuje i řada firem a organizací.

Historie vzniku tuzemských CERT/CSIRT by si jistě zasloužila samostatný díl seriálu – podaří-li se nashromáždit dostatek materiálu, vrátíme se k ní.

Odkazy

Další zdroje

  • State of practice of CSIRTs. Carnegie Mellon Software Egineering Institute, 2003
  • Internet Security and CSIRTs Mission, Koichiro Kmiyama, JPCERT/CC
Našli jste v článku chybu?
Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Skylink Samsung EVO-S příští týden

Skylink Samsung EVO-S příští týden

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou