Hlavní navigace

Příchod hackerů: zrod CERT a CSIRT

Lukáš Erben 14. 10. 2014

Tento týden oslavíme 26 let od založení prvního CERT týmu na Carnegie-Mellonově univerzitě. Je překvapivé, jak málo se o jejich práci mluví, přestože fungování internetu by bez nich bylo dnes prakticky nemyslitelné. První CERT vznikl přitom během neuvěřitelných dvou týdnů od prvního útoku internetového červa.

Byla středa, 2. listopadu 1988, když internet zaplavil první červ. Nevydařený experiment třiadvacetiletého Roberta Tappana Morrise (jeho příběhu jsme věnovali samostatný díl seriálu) ukázal, jak zásadní dopad může mít sebe replikující a šířící škodlivý kód – dokonce i takový, který nebyl napsán s úmyslem škodit. Přestože červ byl navržen pro zmapování velikosti tehdejší internetové sítě a napsán tak, aby infikoval pouze některé počítače s konkrétním typem operačního systému a nešířil se nadměrně, podařilo se mu (i díky chybným předpokladům jeho autora) v řádu několika dnů nakazit plnou desetinu ze zhruba 60 tisíc počítačů připojených v roce 1988 k internetu.

Červ budiž požehnán

Nic lepšího Robert Tappan Morris pro zrod síťové bezpečnosti nemohl udělat. Byla to právě rychlost a rozsah nákazy, které přivolaly potřebnou pozornost. Díky tomu, že byl červ napsán jen nešikovně a nikoliv destruktivně, se jeho šíření podařilo během několika dnů zastavit a už 8. listopadu, tedy necelý týden poté, co se červ začal šířit, byla agenturou DARPA (Defense Advanced Research Projects Agency) svolána schůzka pro zhodnocení dopadů a vyvození závěrů z incidentu s prvním internetovým (respektive arpanetovým) červem.

Zástupci univerzit, výpočetních center a agentury se shodli, že hlavním problémem je neexistující koordinace a komunikace – chyběl varovný systém a pravidla, jak v případě podobného incidentu postupovat. DARPA se proto rozhodla, že poskytne finance na vytvoření koordinačního centra pro bezpečnostní incident. To vzniklo 17. listopadu 1988 v rámci institutu SEI (Software Engineering Institute) na Carnegie Mellonově univerzitě. Do vínku dostalo název, který se posléze rozšířil coby obecné označení podobných oddělení či skupin: Computer Emergency Response Team (CERT), posléze bylo označení koordinačního centra změněno na CERT/CC.

SEI na Carnegie-Mellonově univerzitě byl založen v roce 1984. O čtyři roky později zde vznikl první CERT.

Cenrum přešlo do “ostrého” provozu začátkem prosince – nejprve s “vypůjčenými” zaměstnanci SEI, postupně ale vybudovalo vlastní tým. Od začátku bylo jasné, že CERT nezůstane jediný – během roku 1989 byly založeny týmy CERT (byť se jim tak zpočátku ještě “standardně” neříkalo) či CSIRT (Computer Security Incident Response Team) na americkém Ministerstvu energetiky (DoE), v NASA, v národním Institutu pro standardy a technologie a v americké armádě – jednalo se o instituce a organizace, které měly nejvíc připojených počítačů a většina z nich (například DoE, NASA a armáda) patřila mezi první oběti cílených útoků malware.

Nápad vytvořit speciální týmy, které by se věnovaly bezpečnostním incidentům, nebyl v roce 1988 nový – diskutovalo se o něm už řadu let jako o možném rozšíření standardních struktur pro řízení bezpečnosti – zejména s ohledem na ochranu sítí a citlivých informací ve výpočetních systémech, nicméně neexistence incidentů vede už tradičně k neexistenci povědomí a potřeby a neexistence povědomí či potřeby znamená nedostupnost nezbytných prostředků a ochoty se problému věnovat. Proto byl Morrisův červ svým způsobem požehnáním – přišel včas a jeho útok byl dostatečně mohutný, aby probudil všechny z letargie (a zároveň relativně nedestruktivní, takže napáchané škody bylo možné poměrně snadno napravit). Spíše než tříletou podmínku, stovky hodin veřejných prací a pokutu deset tisíc dolarů by při pohledu zpět Robert Morris zasloužil poděkování.

Tento seriál se věnuje CERT/CSIRT hlavně z pohledu jejich historie. Pokud vás zajímá, jak CERT/CSIRT týmy fungují, naleznete to v článku Andrey Kropáčové, který vyšel na Rootu minulý rok.

FIRST a první zkouška ohněm

Necelý rok po “Morrisově červu” přišel další legendární útok – červ Wank (i jemu jsme se již v seriálu věnovali) začal 16. října 1989 napadat systémy v síti DECNET. Poprvé tak mohla být skutečně otestována koordinace bezpečnostních týmů mezi DoE, NASA a CERT/CC. Útok “hacktivistického” politického červa Wank, který mířil především na systémy NASA a Ministerstva energetiky (coby protest proti jaderné energii a využívání vesmíru pro zbraňové systémy) se podařilo zvládnout za jediný den – už 17. října byl k dispozici nástroj, který umožnil šíření Wanku zastavit a krátce na to byl (nikoliv ovšem v USA, ale ve Francii) vytvořen program na odstranění červa.

Problém byl ale v tom, že v řadě menších organizací a odlehlých pracovišť nevěnovali správci informacím, které CERT/CC rozesílal pozornost (případně je ani neodebírali), a i když se díky rychlému zásahu nákaze červem Wank vyhnuli, napadla některé z nich o dva týdny později jeho varianta OILZ, protože neopravili slabiny, které zneužíval Wank.

Počet počítačů připojených k internetu mezi tím rostl raketovým tempem. Zatímco v době útoku Morrisova červa jich bylo asi 60 tisíc, v době, kdy zaútočil Wank, se už jednalo o přibližně 170 tisíc systémů a o rok později, v listopadu 1990 340 tisíc. Bylo jasné, že počet bezpečnostních týmů poroste a budou vznikat i jinde než v USA. Bylo proto vytvořeno Forum of Incident Response and Security Teams (FIRST), jehož zakládajícím členem byla i francouzská SPAN (Space Physics Analysis Network), která také založila první CSIRT v Evropě.

Evropa a Asie se probouzí

Zatímco za oceánem se počet počítačů připojených k internetu blížil milionu, na starém kontinentě to počátkem 90. let byly tisíce či desetitisíce. S výjimkou SPAN (kde řádil v roce 1989 červ Wank a vznikl i program na jeho odstranění) tu platilo totéž, co o několik let dříve v USA – kde nejsou incidenty, není ani skutečná potřeba něco řešit. To se ale začalo měnit v roce 1992, kdy se poprvé začalo jednat o vytvoření národních CSIRT v rámci výzkumných a akademických sítí jednotlivých zemí. Mezi prvními byly holandský CERT-NL (1992) a německý DFN-CERT (1993). Co ale v Evropě chybělo, bylo centrální koordinační centrum podobné americkému CERT/CC. Obecně lze říci, že většina národních CERT a CSIRT týmů v Evropě, Asii a dalších částech světa vznikala nejprve na akademické půdě (případně v rámci sdružení spravujících páteřní sítě) a teprve později se etablovala coby skutečně národní organizace, napojená například na bezpečnostní složky státu.

Zatímco za oceánem uplynuly od prvního významného incidentu do založení CERT týdny a do jeho plného provozu měsíce, Evropa na své koordinační centrum čekala až do roku 1997, kdy se rozjel jeho projekt v rámci TERENA (Trans European Research and Networking Association), přejmenovaný v roce 1999 na EuroCERT (je zajímavé že EuroCERT byl do značné míry založen na dobrovolné podpoře a aktivitě ze strany národních CERT/CSIRT týmů a jejich členů, spíše než coby samostatně financovaný tým).

V asijsko-pacifické oblasti vytvořila jako první svůj vlastní tým Austrálie – AusCERt vznikl v roce 1993 jako společný projekt tří univerzit (QUT, GU, TUG). Další týmy byly vytvořeny v letech 96–97 v Koreji, Japonsku a Singapuru. Jejich regionální koordinaci se od roku 1997 věnovala pracovní skupina APSIRC WG a od roku 2003 pak APCERT (Asia Pacific Computer Emergency Response Team).

Za zmínku stojí, že mezi zeměmi, které měly své počítačové bezpečnostní týmy jako první, je i Mexiko, kde byl po bezpečnostním incidentu v roce 1993 založen první tým na institutu ITESM – z něj se posléze vyvinul Mx-CERT.


Obrázek: APCERT, 2010

Současnou strukturu zastřešujících organizací CERT/CSIRt nejlépe ilustruje mapka.

V Česku vznikl oficiální CERTS tým v lednu 2004 v rámci aktivit sdružení CESNET (aktivity v oblasti monitorování bezpečnosti probíhaly v rámci CESNET už od jeho vzniku v roce 1996). V rámci aktivit CESNETu vznikl i národní CSIRT.CZ, který zde byl provozován od roku 2008 a koncem roku 2010 přešel pod sdružení CZ.NIC a v současné době je provozován v součinnosti s NBÚ. Vedle CSIRT.CZ a CESNET-CIRTS jsou významné týmy u nás CZ.NIC-CSIRT, CSIRT-MU (Masarykova univerzita, založen 2009) nebo ACTIVE24-CSIRT. Své vlastní menší CERT či CSIRT týmy ale provozuje i řada firem a organizací.

Historie vzniku tuzemských CERT/CSIRT by si jistě zasloužila samostatný díl seriálu – podaří-li se nashromáždit dostatek materiálu, vrátíme se k ní.

Odkazy

Další zdroje

  • State of practice of CSIRTs. Carnegie Mellon Software Egineering Institute, 2003
  • Internet Security and CSIRTs Mission, Koichiro Kmiyama, JPCERT/CC
Našli jste v článku chybu?

15. 10. 2014 9:56

AlyOSHA (neregistrovaný)

Hej spominam si na tento clanok. Cital som ho kedysi davno. Pametam si ako som to "bastil". Dnes mi reci tych decak pridu smiesne. Take pubertalne.

15. 10. 2014 3:12

Drom (neregistrovaný)

Vidím tam červenou KLDR... Hic sunt leones?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme