Hlavní navigace

CERT/CSIRT týmy a jejich role

6. 5. 2013
Doba čtení: 23 minut

Sdílet

S pojmy CERT a CSIRT se poslední dobou opět roztrhl pytel a jsou zmiňovány ve všech možných významech, situacích a rolích – připomeňme nedávné (D)DOS útoky na webové služby provozované v České republice, nebo zákon o kyberbezpečnosti připravovaný Národním bezpečnostním úřadem, o kterém se na Root.cz psalo nedávno.

Úvod

Internet zaznamenal v uplynulé dekádě masivní rozvoj a komercionalizaci. Dramaticky se zvýšil počet uživatelů a také počet provozovaných kritických služeb – jak ze sféry komerční (elektronické bankovnictví, e-shopy, el. aukce), tak ze sféry státní (policejní systémy, informační servis státní správy a samosprávy apod). Bezpečnostní incidenty, kybernetické útoky a trestná činnost páchaná prostřednictvím informačních a komunikačních technologií v reálném i virtuálním světě nabývají na stále větší intenzitě a závažnosti. Výraznou odlišností této (kyber)kriminality od ostatních druhů kriminality je její vysoká latentnost, vysoká míra tolerance společností (včetně lhostejnosti uživatelů), anonymita pachatele a jeho často obtížná identifikace. Vzrůstá tak potřeba tvořit, zformalizovat a zefektivnit obranu proti těmto útokům, zlepšit prostředí pro dohledání pachatelů a také vzdělávat uživatele, aby byli hrozby a rizikové situace schopni rozpoznat a vypořádat se s nimi.

Posun ve vnímání problému kyberkriminality je možné spatřit také v koncipování nových organizací, které se aktivně zabývají ochranou kyberprostoru. Jako příklady je možné uvést budování CERT/CSIRT (Computer Emergency Response Team/Computer Security Incident Response Team) týmů a Národních center kybernetické bezpečnosti (NCSC) po celém světě a snahu tyto útvary definovat po stránce obecného fungování (pole působnosti, poskytované služby, komunikační pravidla apod.) a vazeb, po stránce legislativní a zaintegrovat je do struktur pro krizové řízení v případě ohrožení státu.

Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního Internetu.

CSIRT týmy

Jedním z prvků boje proti kyberkriminalitě jsou bezpečnostní týmy typu CERT (Computer Emergency Response Team) nebo CSIRT (Computer Security Incident Response Team). Každá z těchto zkratek má trochu jiný význam a hlavně trochu jinou historickou genezi, ve skutečnosti je dnes za obě zkratkami možno chápat stejný typ týmu – tým, který je ve svém jasně definovaném poli působnosti zodpovědný za řešení bezpečnostních incidentů, z pohledu uživatelů nebo jiných týmů tedy místo, na které se mohou obrátit se zjištěným bezpečnostním incidentem nebo i jen podezřením.

CSIRT týmy vznikají na úrovni jednotlivých organizací, přičemž jde jak o organizace, které zprostředkovávají chod internetu (ISP, poskytovatelé služeb a obsahu), tak i o organizace, které prostředí internetu používají ke své hlavní činnosti (např. banky). Základní povinností každého CSIRT týmu je spolupráce při řešení incidentů („response“). Obvykle CSIRT tým řeší problém, který se vyskytne v rámci jeho pole působnosti (např. vlastní síťové infrastruktury), tedy tam, kde má reálné možnosti k zásahu.

Nejde o nic převratného a v praxi neexistujícího, každá větší organizace, poskytovatel připojení nebo poskytovatel služeb provozuje bezpečnostní tým. Rozdíl mezi běžným bezpečnostním týmem a týmem typu CSIRT je zejména v zapojení do světové bezpečnostní infrastruktury, sdílení informací s infrastrukturou a stanovení formálních postupů.

Základním požadavkem komunity je, aby CSIRT tým veřejně deklaroval své kontaktní informace a pravidla činnosti – kdo jsou jeho členové, způsob jak a kdy je možné tým zastihnout, jaké služby nabízí a zejména pak pole působnosti (AS, síť, domény, služby), ve kterém je tým způsobilý konat a jakým způsobem, tzn. definování jeho pravomocí a odpovědnosti. Na základě pole působnosti je potom tým kontaktován (např. napadenými) a řeší jemu příslušející problémy (incidenty).

Výraz řešit bezpečnostní incident přitom může mít různá specifika v závislosti na nastavení týmu a jeho interní politice – může to být prostá eliminace útoku (zneškodnění zdroje problému např. jeho odpojením od sítě), dohledání pachatele, rychlé obnovení provozu napadené služby/sítě apod. Právě v závislosti na činnosti týmu při řešení bezpečnostního incidentu je možné týmy označit jako interní (institucionální) nebo koordinační. Tým interního typu má obvykle možnost přímého zásahu (odpojit zdroj problému, zavést filtraci síťové provozu apod.), tým koordinačního typu možnost přímého zásahu nemá, jeho činnost se soustřeďuje na komunikaci, spolupráci a zprostředkování informací (v této roli jsou obvykle tzv. národní týmy, o kterých bude řeč dále).

V případě, že se řeší konkrétní incident, snaží se ho zúčastnění řešit přímo u zdroje, tzn. s tím, kdo má ke zdroji nebo cíli incidentu nejblíže a může co nejefektivněji zasáhnout (správce koncové sítě nebo služby). Ideální situace nastává, je-li zdroj i cíl v poli působnosti nějakého CSIRT týmu, protože je velmi jednoduché a rychlé najít konkrétního odborníka v místě problému. Ten potom také dokáže efektivně problém řešit a jeho reakce jsou předvídatelné – protože svá pravidla hry sám dobrovolně zveřejnil. Tento postup při komunikaci je velmi pružný – tím, že komunikace neprochází přes různé úrovně, je rychlá a přesná a stejná potom může být i reakce. Pokud však napadený nemůže nalézt odpovídající protějšek (ať už proto, že neexistuje, nedává o sobě žádné použitelné informace, odmítá problém řešit nebo prostě nereaguje), hodila by se nějaká „páka“. Tu jsou obvykle do jisté míry schopny poskytnout vrcholové týmy – národní a vládní.

Národní a vládní CSIRT týmy

Národní a vládní týmy jsou speciální formou CSIRT týmů. Jednají s ostatními CSIRTy jako rovný s rovnými, ale jejich role v celém systému je odlišná.

Národní CSIRT plní funkci jakéhosi last resort – poslední instance, u které je možné žádat o zásah a pomoc. Jeho cílem je v rámci státu, nebo oblasti kde působí, zprostředkovat kontakt mezi napadeným a původcem problému. Národní týmy (obvykle) nevládnou nad fyzickou infrastrukturou, takže nemají (na rozdíl od týmů interního/institucionálního typu) možnost přímého zásahu. Jejich role spočívá ve zprostředkování kontaktu, případně v koordinaci (odtud typ týmu koordinační) postupu jednotlivých řešitelů v případě, že problém je rozsáhlejší a jeho řešení vyžaduje spolupráci více složek.

Z principu fungování celé struktury jsou incidenty, které projdou přes systém národního CSIRTu, zpravidla jen zlomkem celkového počtu. Většina incidentů se vyřeší v rámci přímé komunikace, bez nutnosti eskalací a zprostředkování. K národnímu týmu se tak dostávají převážně incidenty, které nelze vyřešit jinak (zodpovědné osoby je řešit odmítají, není jednoduché identifikovat, kdo je za jejich řešení zodpovědný), velmi závažné nebo opakující se problémy apod.

Národní CSIRT má ve svém popisu práce vzdělávání a spolupráci. Jedná se jak o osvětu směrem k veřejnosti, tak o působení v rámci internetové infrastruktury. Cílem je podpora vytváření dalších CSIRT týmů v zemi, jejich uvádění na mezinárodní scénu a podpora při zavádění standardních postupů a procedur. To vše výrazně zvyšuje transparentnost prostředí a dává napadeným šanci efektivně se dobrat nápravy.

Vládní CSIRT se zaměřuje na oblast státní správy a samosprávy a na řešení incidentů, které ohrožují bezpečnost státu a jeho služeb. Vládní CSIRT může mít podobu týmu interního s možností přímého zásahu v případě problému. Jeho existence je obvykle podpořena legislativně.

Výše uvedené ale není dogma, situace v jednotlivých zemí se liší. Jsou země, kde funguje pouze národní tým (a plní funkci vládního), jsou země, kde funguje vládní (a plní roli národního), jsou země, kde existují oba, jsou země, kde není ani jeden a roli vrcholového týmu supluje jeden z existujících týmů a pod.

Hierarchie?

CERT/CSIRT týmy žádnou oficiální hierarchii, která by jeden tým činila nadřazeným jinému týmu, nemají. Všechny týmy jsou z hlediska komunikace, spolupráce a výměny informací rovnocenné a nejsou v těchto oblastech nijak limitovány. Je pravda, že existence národních a vládních týmů trochu evokuje, že nadřazenost mezi týmy existuje, ale není tomu tak. Jedinou „nadřazenost“, ale spíše by bylo na místě říci „větší akceschopnost“, může vrcholovému týmu dát legislativa, která upraví jeho pravomoci – třeba v oblasti požadované reakce ze strany provozovatelů sítí a služeb apod.

Ve světě CSIRT/CERT týmů je klíčová ochota sdílet důležité informace o incidentu a hrozbách. K tomu je nezbytné, aby si týmy navzájem důvěřovaly a také aby svým týmům věřili uživatelé. Získat důvěru uživatelů a komunity je běh na dlouhou trať, týmy musí své kvality ukazovat při všech aspektech svého fungování a důvěryhodnost si budovat postupně – nejen schopností pomoci, ale také schopností zajistit důvěrnost sdílených dat a korektní zacházení s nimi, transparentností chování a pod. Při misi budování důvěryhodnosti je nesmírně důležitý osobní kontakt a výměna zkušeností. Platformy, které rozvoj podobného prostředí a vztahů podporují, jsou:

  • Nadnárodní organizace TERENA (Trans-European Research and Education Networking Association )

  • FIRST (Forum of Incident Response and Security Teams)

Všechny organizace (TERENA, ENISA, FIRST) pracují na vývoji standardů, pravidel a doporučení, organizují osvětové akce (školení, tréninky), ale také umožňují pravidelná setkávání členů bezpečnostních týmů. V rámci organizace TERENA je možné se zapojit do aktivity TF-CSIRT (Task Force for CSIRT) a zúčastňovat se pravidelných setkání, která se konají třikrát ročně. Organizace FIRST kromě velké výroční konference pořádá řadu školení a spolupracuje s TF-CSIRT. Dalšími zajímavými aktivitami, které stojí za zmínku, jsou aktivity CSIRT Training a Trusted Introducer. CSIRT Training slouží pro vyškolení nových členů CSIRT/CERT týmů a je dobrým startem pro založení týmu tohoto typu. Všechny tři zmíněné organizace mají společnou ještě jednu funkci – shromažďují know-how z celé komunity a umožňují jeho sdílení (formulováním tzv. best-practices dokumentů, návodů, doporučení).

Platformy TERENA a FIRST navíc plní roli jakési „záruky”, že tým, který o sobě tvrdí, že je CSIRT/CERT týmem, jím opravdu je a že jím deklarovaný model chování je pravdivý. V případě organizace TERENA se tohoto stavu dosahuje tzv. akreditačním procesem v rámci úřadu TI (Trusted Introducer), v případě organizace FIRST se dosahuje statutu člena. Oba procesy mají jedno společné – jde o zjištění maximálního množství informací o daném týmu, popisu jeho chování a vnímání problematiky řešení bezpečnostních incidentů tak, aby to korespondovalo s požadavky komunity.

Situace ve světě a v České republice

V současné době je ve světě oficiálně konstituováno okolo 300 bezpečnostních týmů typu CERT/CSIRT, které jsou buď členy organizace FIRST, nebo evropské platformy TF-CSIRT (případně obou). V České republice je aktuálně oficiálně zřízeno a na světovou infrastrukturu napojeno pět bezpečnostních týmů typu CERT/CSIRT – dva působí v prostředí sítě národního výzkumu a vzdělávání CESNET2 (týmy CESNET-CERTS a CSIRT-MU), jeden provozuje sdružení CZ.NIC pro dohled nad sítí sdružení a DNS servery domény .cz (CZ.NIC-CSIRT) a zatím pouze jeden působí v komerčním prostředí – tým Active24-CSIRT provozovaný jedním z předních českých registrátorů společností Active24. Posledním týmem v tomto výčtu je CSIRT.CZ.

Tým CSIRT.CZ plní od roku 2011 roli Národního CSIRT České republiky. Je provozován sdružením CZ.NIC aktuálně na základě dohody (Memoranda) s Národním bezpečnostním úřadem. Tým se v současné době soustřeďuje na osvětovou a vzdělávací činnost, zpracování veřejně dostupných dat o bezpečnostních incidentech, které se dotýkající sítí provozovaných v České republice a rozvoj bezpečnostní infrastruktury.

V listopadu 2011 došlo rozhodnutím vlády České republiky k prohlášení Národního bezpečnostního úřadu gestorem za oblast kyberbezpečnosti. V rámci této gesce je úřad pověřen vytvořením zákona o kyberbezpečnosti a vybudováním tzv. Vládního CERT týmu. Do kompetence Vládního CERT by měly spadat sítě státní správy, samosprávy a kritické infrastruktury ČR.

Na který CSIRT tým se mám sakra obrátit?

Toto je časté postesknutí nebohého uživatele Internetu, který se dostal do problému – někdo na něj útočí, zcizil mu identitu, naboural Facebookový profil nebo e-mailový účet, nebo se stal svědkem ještě něčeho horšího – třeba dětské pornografie. Co má takový uživatel dělat? Obrátit se na PČR? Nebo na poskytovatele připojení, např. jeho helpdesk? Nebo na Národní bezpečnostní úřad, když je teď tím novým gestorem pro oblast kyberbezpečnosti? Na horkou linku Národního centra bezpečnějšího internetu? Nebo na nějaký CSIRT tým, když se o nich pořád mluví? Ale na který?

Na proces hlášení a řešení bezpečnostních incidentů (neboli opravdu „na koho se mám obrátit, když chci ohlásit nebo řešit zjištěný bezpečnostní incident“) je možné nahlížet ze dvou úhlů pohledu. Z pohledu techniků (správců sítí a služeb, členů bezpečnostních týmů) a z pohledu uživatelů.

Pro techniky (správce sítí a služeb, členy bezpečnostních týmů) je odpověď na otázku „na koho se mám se žádostí o akci vlastně obrátit“ celkem jasná, ale to je dáno drilem, zkušenostmi a především velmi dobrou znalostí prostředí Internetu a jeho základních principů, jakož i znalostí toho, kde jsou k mání kontaktní informace k jednotlivým existujícím sítím, službám, doménám apod.

Pro členy CERT/CSIRT týmů jsou základními zdroji kontaktních informací databáze RIRů, databáze provozovatelů domén nejvyšší úrovně a katalogy CERT/CSIRT týmů.

RIR (Regionální Internetový Registr) drží a zpřístupňují informace o tom, komu byl přidělen který blok IP adres. Svět je rozdělen na oblasti a každý RIR (aktuálně RIPE, ARIN, APNIC, LACNIC, AFRINIC) přiděluje IP adresy pro svoji oblast. Oblast Evropy, Blízkého východu a části Asie je pod správou organizace RIPE NCC (http://www.ripe.net). RIR provozují veřejně přístupné databáze, které obsahují údaje o přidělených internetových sítích a jejich správcích. Tyto databáze tak umožňuje í vyhledat údaje o tom, která organizace a kteří správci jsou zodpovědní za konkrétní IP adresy.

Dalším zdrojem užitečných informací jsou údaje o doménách, které provozují a zpřístupňují správci domén nejvyšší úrovně, pro TLD doménu .cz je to sdružení CZ.NIC.

A pak je zde oblast CERT/CSIRT týmů, které své pole působnosti obvykle definují pomocí internetových identifikátorů, jmenných domén, nebo klidně jen slovně. Vzhledem k jejich počtu, způsobu definování jejich pole působnosti a zejména rozdílům v jejich úrovni není vždy snadné najít tým, který je schopný pomoci. Pro usnadnění orientace mezi týmy vznikly jakési „katalogy“, o které se starají organizace FIRST a úřad TI (TERENA). Tyto katalogy obsahují základní informace o CSIRTech, kontaktech, jejich poli působnosti apod.

Proces hlášení a řešení bezpečnostních incidentů (odborně incident handling) není exaktní proces, právě naopak, a hodně je také v rukou člověka, který tento proces provádí. Výměna informací mezi týmy obvykle probíhá rychle a efektivně, i když ani to často nezaručuje vyřešení problému, protože na to je celá infrastruktura ještě stále poměrně „řídká“, a bohužel je nutné konstatovat, že i úroveň týmů je různá. Optimální stav infrastruktury by byl ten, kdyby se každá IP adresa vyskytovala v poli působnosti oficiálního CSIRT týmu. V této situaci ale infrastruktura CERT/CSIRT týmů zdaleka není.

Z pohledu normálního uživatele je situace značně nejasná a popravdě i matoucí. Co by tedy uživatel měl v případě zjištění bezpečnostního incidentu vlastně dělat a na koho by se měl obrátit? Těžko po uživateli chtít, aby se orientoval v problematice CERT/CSIRT týmů, dokázal si najít ten správný, nastudoval jeho politiku hlášení bezpečnostních incidentů a šel konat. Uživatel by se v první řadě měl obrátit na administrátora své sítě (pokud někoho takového má), případně by měl spolupracovat s poskytovatelem připojení, tzn. helpdeskem svého ISP nebo jeho uživatelskou podporou. Na straně poskytovatele připojení by měl pro jeho uživatele existovat jasně popsaný vstupní bod (kontakt), na který by se uživatelé mohli a měli obracet v případě, kdy se stanou cílem útoku, zjistí bezpečnostní incident, nebo mají pocit, že něco není v pořádku. To je důvod, proč je prostředí poskytovatelů připojení jednou z nejdůležitější oblastí, kde by měl být konstituován oficiální CSIRT tým a poskytovat služby z oblasti bezpečnosti uživatelům své sítě.

Samozřejmě může nastat situace, kdy jak technik, tak uživatel udělá všechno správně, a řešení problému stejně není v dohledu. Osoba/tým na hlášený problém nereaguje, nebo jej dokonce odmítá řešit (s tím, že to není jeho problém, nebo to není tak vážné) a pod. To je právě moment, kdy ke slovu přichází buď PČR, nebo vrcholový tým (národní nebo vládní) – uživatel se na něj může obrátit jako na poslední instanci, od které lze očekávat pomoc a reakci. V současné době je v ČR takovým týmem tým CSIRT.CZ. V brzké době ale přibude Vládní CERT a už dnes občas padají dotazy – až tedy v ČR budeme mít dva vrcholové týmy, na koho se případně máme obracet? Aktuální představa koexistence je následující – Vládní CERT bude pokrývat sítě státní správy, samosprávy a kritické infrastruktury státu, národní tým se stará o zbytek, tedy především o soukromý sektor a akademickou sféru. Pro normální smrtelníky i při této definici celkem nepřehledná situace, protože jak mají rozeznat, kdy a jestli konkrétní situace spadá do kompetence kterého z týmů? Je potřeba zdůraznit, že tímto by se člověk neměl příliš stresovat, v případě problému se prostě na jeden z týmů obrátit a zbytek nechat na nich. Mezi národním a vládním týmem by měla existovat velmi úzká spolupráce a výměna informací a relevantních dat a tedy i předání nahlášeného problému k řešení od jednoho týmu k druhému nebo přímo spolupráce na řešení.

Národní i Vládní tým by obecně pro provozovatele sítí, služeb (a v případě nutnosti i pro uživatele) měly být místem, kde je v případě problémů, nejasností apod. možné žádat o pomoc a konzultaci, např. dohledání vhodného protějšku ke komunikaci (zahraničního CSIRT týmu), zprostředkování komunikace (ano, někdy se páka vrcholového týmu hodí, protějšek je pak ochotnější), a zdrojem know-how a informací. Obecně by ale bylo žádoucí, aby správci sítí a služeb a členové bezpečnostních týmů zvládali a aplikovali principy procesu incident handling a maximum komunikace probíhalo přímo (ne přes vrcholové týmy). To činí proces IH rychlým a efektivním, další mezistupně do něj mohou vnášet nepříjemná zdržení a bohužel i zkreslení. Ale jak už bylo řečeno – záleží na závažnosti situace a řešeného problému.

Spolupráce Národního a Vládního týmu v ČR

V okamžiku, kdy v zemi existují dva vrcholové týmy (nutno zmínit, že jsou země, kde se titulem „národní“ tým pyšní tři týmy), je velmi nutné, aby oba týmy úzce spolupracovaly. I Česká republika bude zemí, kde vedle sebe budou existovat dva týmy – národní a vládní. Oba týmy už v současné době spolupracují, vyměňují si relevantní informace týkající se bezpečnostních hrozeb, spolupořádají zajímavé akce a spolupracují i v oblasti vědy a výzkumu.

Od roku 2015 by měl začít platit zákon o kyberbezpečnosti, který připravuje NBÚ. Tento zákon upravuje práva a povinnosti fyzických a právnických osob a působnost a pravomoc orgánů veřejné moci a jejich vzájemnou spolupráci v oblasti kybernetické bezpečnosti. V oblasti řešení BI tento zákon upravuje koexistenci a role Národního i Vládního týmu v České republice a definuje, které subjekty (dle dikce zákona „povinné osoby“) jsou povinny hlásit zjištěné bezpečnostní události a incidenty kterému týmu. Zákon také poměrně komplexně definuje, co by týmy měly s těmito informacemi (nahlášenými bezpečnostními incidenty) dělat, jak by s nimi měly nakládat, a jak by mělo vypadat prostředí pro jejich efektivní sběr (povinná výměna a uchování kontaktních informací).

Výše uvedené by mělo v budoucnu pomoci vybudovat zázemí pro efektivní a včasné řešení bezpečnostních incidentů, jejich vyhodnocování např. v tom smyslu, jaké bezpečnostní incidenty se nejvíce vyskytují v českém kyberprostoru a jakých se týkají služeb, jakými bezpečnostními incidenty jsou nejvíce ohroženi uživatelé v ČR a pod, což jsou informace, které následně mohou pomoci v oblasti prevence, osvěty a lepšího zacílení obrany.

Role CSIRT týmů při „velkém“ útoku

Série (D)DOS útoků ze začátku března namířená na www služby v České republice otevřela téma jaká je role CSIRT týmů v podobné situaci, tzn. při plošném nebo jiném závažném problému a co se od týmů CSIRT v podobné situaci dá očekávat. Pojďme se nad tím zkusit zamyslet.

Na začátku března proběhla série (D)DOS útoků na www služby provozované v České republice. První útok byl proveden v pondělí 4. března na uživatelsky populární zpravodajské www servery (což po zbytek týden zajistilo dostatečnou publicitu), v úterý 5. března mířily na seznam.cz, ve středu 6. března na www služby některých bank a ve čtvrtek na www služby dvou ze tří v ČR působících telekomunikačních operátorů. Byly vždy dvě vlny útoků – mezi 9 a 11 dopoledne a mezi 14 a 16 odpoledne. Po technické stránce útočník kombinoval metody SYN-flood, IP-spoofing a použil také metodu odražení paketů (pakety měly jako zdrojovou adresu nastavenu adresu skutečného atakovaného cíle). Útoky byly nesmírně mediálně úspěšné – psaly o tom prakticky každé noviny. Report shrnující dění z tohoto týdne útoků vydal CSIRT.CZ na svých stránkách [PDF].

Dva náhledy, které v souvislosti s CERT/CSIRT týmy a řešením bezpečnostních incidentů a kyberútoků často potkáváme a diskutujeme, jsou:

  • že CSIRT týmy obecně jsou jednotkou rychlého nasazení, jejichž členové v případě útoku, jako byly ty březnové, obléknou černou uniformu a jdou do pole likvidovat útočníky a chránit ohrožené,

  • a že problém (útok) se primárně řeší tak, že se nahlásí CSIRT týmu, a ten začne komunikovat se zdrojem problému (útočníkem) a dosáhne toho, aby útok přestal = byl eliminován na straně zdroje útoku.

CSIRT tým coby jednotka rychlého nasazení – ano, některé CSIRT týmy takto mohou fungovat. Jsou to především CSIRT týmy interního typu, tzn. týmy, které v oblasti svého působení mají reálnou možnost zasáhnout (týmy působící v organizaci, v prostředí univerzity, v bance, prostě v konkrétní síti) a např. odpojit zdroj útoku od sítě, zastavit službu, která je zdrojem problému, nebo naopak aplikovat funkční ochranu (filtraci, blokaci apod.). Národní týmy, jako je např. CSIRT.CZ, většinou reálnou možnost přímého zásahu nemají, nemohou vpadnout do sítí provozovaných soukromým subjektem a začít řešit – odpojovat sítě, síťové prvky, měnit jejich nastavení apod.

Nahlášení problému CSIRT týmu – tuto cestu lze brát jako komplexní řešení problému opět pouze v případě, že se problém omezuje na síť, ve které operuje CSIRT tým interního typu. Ten by se pak v takovém případě měl o řešení problému (zhodnocení situace a nalezení vhodné obrany), včetně komunikace se zdrojem útoku a nápravy situace na obou stranách, měl postarat kompletně. Obvykle ale platí: Nejdřív bráním a napravuji a pak jdu po útočníkovi. Mám-li kapacity dělat obojí najednou, dělám obojí najednou. Pouhým nahlášením útoku národnímu týmu (CSIRT.CZ) se řešení a nápravy situace napadená síť nedobere. CSIRT.CZ se může postarat o komunikaci se zdrojem útoku, doporučit řešení nebo konzultaci, ale obrana je na bedrech napadené sítě.

Je nutné zdůraznit, že v případě útoku hrají při obraně úlohu číslo jedna správci ohrožených služeb a sítí. Ti musejí usednout za páky a hledat, testovat a nasadit co nejefektivnější obranu, zhodnotit dopady útoku, rizika a znovuobnovení provozu služby a sítě. V takových momentech je řešení situace v rukou několika málo vysoce erudovaných odborníků, kteří se v maximální možné míře soustředí na problém a komunikovat jsou ochotní pouze v případě, že jim to něco přinese – např. se správcem o úroveň výš u ISP poskytujícího konektivitu, který může situaci pomoci nasazením obraných mechanismů na transportní úrovni a podobně. Přesto je potřeba zdůraznit, že v dané situaci je každá relevantní informace, kterou jsou tito odborníci ochotni sdílet, velmi cenná a přínosná a je samozřejmě žádoucí, aby se např. prostřednictvím CSIRT týmů, dostala „do oběhu“.

Jaká je tedy role CSIRT týmu v situaci podobné březnovým (D)DOS útokům? Závistí to na roli a typu bezpečnostního týmu – jinou možnost a povinnosti má tým interního typu a jiný koordinačního typu. Vezmeme to na příkladu – v průběhu březnových (D)DOS útoků byly v pohotovosti a do akce se zapojily všechny oficiální CSIRT týmy provozované v ČR; pojďme si stručně říci, co tyto týmy dělaly (a jaké měly možnosti).

Tým Active24-CSIRT byl v pohotovosti jako první – kromě aktivní obrany napadených www serverů a udržení provozovaných služeb v chodu se zapojil do hledání malware k analýze, komunikace se zdrojem útoku a obecně do distribuce informací a poznatků.

Tým CESNET-CERTS, který je v rámci sítě CESNET2 (síť národního výzkumu a vzdělávání provozovaná sdružením CESNET) týmem interního typu, tzn. má možnost přímého zásahu v síti CESNET2, se pustil do několika akcí. Jelikož se síť CESNET2 v průběhu středy 6. 3. stala díky metodě odražení zdrojem „útoku“ vůči jedné z bank, okamžitě, jakmile byl tento problém detekován, nasadila obrané mechanismy, aby „útoku“ vůči bance zamezila. Analýza síťového provozu prováděna týmem CESNET-CERTS ukázala jisté anomálie, které vedly k podezření, že útok může být generován i malwarem přímo z institucí připojených do sítě CESNET2. Pro ověření této hypotézy členové týmu CESNET-CERTS kontaktovali správce z institucí, odkud byl detekován tento podezřelý provoz a snažili se získat více informací o možném zdroji. Útok aktivně sledoval i CSIRT tým Masarykovy univerzity (CSIRT-MU), který monitoroval chování sítě MU a také detekoval stopy vedoucí k podezření na malware. V žádném ze zkoumaných případů však přítomnost malwaru bohužel nebyla prokázána.

Tým CZ.NIC-CSIRT se připravoval na možnost napadení autoritativních DNS serverů domény .cz a www služeb sdružení, plus se pustil do ověřování, jakou výpočetní silou je možné vygenerovat provoz (flow a paket rate), který byl při (D)DOS útocích pozorován. Došlo tak k vytvoření zajímavého nástroje, který je komunitě k dispozici pro otestování odolnosti jejich sítě.

Tým CSIRT.CZ byl v pohotovosti od prvních útoků – komunikoval s ostatními CSIRT týmy, se subjekty, které se na něj obrátily se žádostí informace, shromažďoval, vyhodnocoval a distribuoval informace, byl v kontaktu s dalšími potenciálními cíli útoku, zajišťoval komunikaci s médii, byl v kontaktu s NBÚ a bezpečnostními složkami. V následujících týdnech ještě komunikoval se zdrojem útoků (RETN) ve snaze zjistit skutečného původce útoku, což by mohlo vést k odhalení „pachatele“, apod.

Členové všech jmenovaných týmů byli v kontaktu, v průběhu týdne si vyměnili stovky e-mailů, uspořádali řadu telefonních hovorů, neustále byla k dispozici videokonferenční místnost, kde se scházeli a referovali o nových poznatcích. Týmy prováděly takové akce, jaké jim jejich role a organizace, ve kterých působí, dovolovaly. Týmy Active24-CSIRT a CESNET-CERST provedly akce typu „přímý zásah do chodu sítě a nasazení aktivní obrany, přesněji zamezení problému“ a „vyslání odborníka do sítě s problematickým projevem“ (čímž naplnily myšlenku jednotky rychlého nasazení), tým CSIRT.CZ se soustředil na koordinaci spolupráce a diseminaci informací, tým CZ.NIC-CSIRT se zaměřil na technické aspekty útoku a snažil se útok nasimulovat a zanalyzovat.

Myslím si, že výše uvedené je přesně to, co by CSIRT týmy v podobné situaci měly dělat a co se od nich očekává – podle možností v první řadě ochránit své pole působnosti, naplnit svou roli (interního/koordinačního týmu), maximálně využít svou oblast odbornosti a především si zkušenosti a výsledky předat a také se postarat o to, aby se dostaly k širší komunitě.

Dovětek k březnovým (D)DOS útokům

Březnové (D)DOS útoky pro členy CSIRT týmů (a věřím, že i pro ostatní zainteresované) neskončily ve čtvrtek 7. března, kdy byl zaznamenán poslední útok. Sběr dat a informací a jejich třídění, zpracování a vyhodnocení probíhalo ještě několik týdnů, spolu s komunikací směrem ke zdroji útoku, s mezinárodní bezpečnostní infrastrukturou, i zde na domácí půdě. Byla zformulována řada závěrů, ale především se všechny týmy z této situace poučily a zkušenosti z tohoto útoku jim daly námět pro další zlepšení a rozvoj.

V průběhu (D)DOS útoku se infrastruktura CSIRT týmů (ale nejen ona) musela samozřejmě vypořádat také s řadou nepříjemností, nedokonalostí a zanedbání. Leckde například nefungovaly zveřejněné kontakty (do budoucna oblast pro pravidelnou profylaxi formou testování), pozorovali jsme soustředění řešení do rukou jediné osoby, která se tak ocitala v situaci totálního přetížení, protože se od ní očekávalo jak řešení, tak komunikace (doporučení pro management, aby po správcích nechtěli nemožné :-). Občas se na CSIRT týmy obraceli lidé s požadavkem na eliminaci útoku, aniž by byli schopni sdělit jeho základní charakteristiky (zdroj útoku, cíl útoku, typ útoku …), což neumožňuje naprosto žádnou akci. Některé informace a žádosti o informace tekly naprosto bizarními cestami, protože část komunikace probíhala přes adresy osobní namísto adres týmových a dokonce i přes mezinárodní listy určené ke zcela jiným účelům apod. Všechny tyto aspekty efektivitu řešení snižovaly, bylo by proto záhodno věnovat jim do budoucna pozornost.

Globálně je ale potřeba všem zainteresovaným v březnových (D)DOS útocích nutno vyslovit pochvalu – za jejich odbornost, vstřícné jednání a ochotu komunikovat i v takto vypjaté situaci. Je nutné znova zdůraznit, že březnové (D)DOS útoky potvrdily, že jak na straně ISP, tak v koncových sítích jsou gramotní správci schopní si s podobnou situací poradit. To je pro české prostředí velmi důležité.

root_podpora

Posun v chápání problematiky bezpečnosti je od dob březnových (D)DOS útoků očima CSIRT.CZ vidět například v tom, že bezpečnostní infrastruktura daleko ochotněji sdílí relevantní informace o bezpečnostních incidentech a událostech, věnuje větší pozornost výstupům ze svých bezpečnostních nástrojů, má zájem tato data sdílet a korelovat s ostatními, je zde zájem otestovat architekturu sítí a služeb a jejich odolnost, je poptávka po doporučeném nastavení obranných mechanismů, zapojení do pracovních skupin a fór pro výměnu informací pod. A výsledky tohoto typu jsou nesmírně cenné.

Závěr

Týmy typu CERT/CSIRT a jejich infrastruktura obecně nejsou všespasitelné a neznamenají zajištění bezpečnosti „v kostce“. Jejich existence je jen jeden z kamínků v oblasti budování bezpečnosti internetu, ve kterém hrají svou důležitou roli všichni – správci sítí, služeb, manažeři, kteří rozhodují o zázemí pro efektivní zabezpečení sítí a služeb, ISP, provozovatelé kritických služeb, bezpečnostní složky, stát, a v neposlední řadě také my uživatelé.

Byl pro vás článek přínosný?

Autor článku

Andrea Kropáčová vede tým CESNET-CERTS, rozvíjí bezpečnostní služby ve sdružení CESNET a bezpečnostní strategii sítě CESNET2. Získané vědomosti a zkušenosti využívá pro osvětovou a vzdělávací činnost.