Byla středa, 2. listopadu 1988, když internet zaplavil první červ. Nevydařený experiment třiadvacetiletého Roberta Tappana Morrise (jeho příběhu jsme věnovali samostatný díl seriálu) ukázal, jak zásadní dopad může mít sebe replikující a šířící škodlivý kód – dokonce i takový, který nebyl napsán s úmyslem škodit. Přestože červ byl navržen pro zmapování velikosti tehdejší internetové sítě a napsán tak, aby infikoval pouze některé počítače s konkrétním typem operačního systému a nešířil se nadměrně, podařilo se mu (i díky chybným předpokladům jeho autora) v řádu několika dnů nakazit plnou desetinu ze zhruba 60 tisíc počítačů připojených v roce 1988 k internetu.
Červ budiž požehnán
Nic lepšího Robert Tappan Morris pro zrod síťové bezpečnosti nemohl udělat. Byla to právě rychlost a rozsah nákazy, které přivolaly potřebnou pozornost. Díky tomu, že byl červ napsán jen nešikovně a nikoliv destruktivně, se jeho šíření podařilo během několika dnů zastavit a už 8. listopadu, tedy necelý týden poté, co se červ začal šířit, byla agenturou DARPA (Defense Advanced Research Projects Agency) svolána schůzka pro zhodnocení dopadů a vyvození závěrů z incidentu s prvním internetovým (respektive arpanetovým) červem.
Zástupci univerzit, výpočetních center a agentury se shodli, že hlavním problémem je neexistující koordinace a komunikace – chyběl varovný systém a pravidla, jak v případě podobného incidentu postupovat. DARPA se proto rozhodla, že poskytne finance na vytvoření koordinačního centra pro bezpečnostní incident. To vzniklo 17. listopadu 1988 v rámci institutu SEI (Software Engineering Institute) na Carnegie Mellonově univerzitě. Do vínku dostalo název, který se posléze rozšířil coby obecné označení podobných oddělení či skupin: Computer Emergency Response Team (CERT), posléze bylo označení koordinačního centra změněno na CERT/CC.
SEI na Carnegie-Mellonově univerzitě byl založen v roce 1984. O čtyři roky později zde vznikl první CERT.
Cenrum přešlo do “ostrého” provozu začátkem prosince – nejprve s “vypůjčenými” zaměstnanci SEI, postupně ale vybudovalo vlastní tým. Od začátku bylo jasné, že CERT nezůstane jediný – během roku 1989 byly založeny týmy CERT (byť se jim tak zpočátku ještě “standardně” neříkalo) či CSIRT (Computer Security Incident Response Team) na americkém Ministerstvu energetiky (DoE), v NASA, v národním Institutu pro standardy a technologie a v americké armádě – jednalo se o instituce a organizace, které měly nejvíc připojených počítačů a většina z nich (například DoE, NASA a armáda) patřila mezi první oběti cílených útoků malware.
Nápad vytvořit speciální týmy, které by se věnovaly bezpečnostním incidentům, nebyl v roce 1988 nový – diskutovalo se o něm už řadu let jako o možném rozšíření standardních struktur pro řízení bezpečnosti – zejména s ohledem na ochranu sítí a citlivých informací ve výpočetních systémech, nicméně neexistence incidentů vede už tradičně k neexistenci povědomí a potřeby a neexistence povědomí či potřeby znamená nedostupnost nezbytných prostředků a ochoty se problému věnovat. Proto byl Morrisův červ svým způsobem požehnáním – přišel včas a jeho útok byl dostatečně mohutný, aby probudil všechny z letargie (a zároveň relativně nedestruktivní, takže napáchané škody bylo možné poměrně snadno napravit). Spíše než tříletou podmínku, stovky hodin veřejných prací a pokutu deset tisíc dolarů by při pohledu zpět Robert Morris zasloužil poděkování.
Tento seriál se věnuje CERT/CSIRT hlavně z pohledu jejich historie. Pokud vás zajímá, jak CERT/CSIRT týmy fungují, naleznete to v článku Andrey Kropáčové, který vyšel na Rootu minulý rok.
FIRST a první zkouška ohněm
Necelý rok po “Morrisově červu” přišel další legendární útok – červ Wank (i jemu jsme se již v seriálu věnovali) začal 16. října 1989 napadat systémy v síti DECNET. Poprvé tak mohla být skutečně otestována koordinace bezpečnostních týmů mezi DoE, NASA a CERT/CC. Útok “hacktivistického” politického červa Wank, který mířil především na systémy NASA a Ministerstva energetiky (coby protest proti jaderné energii a využívání vesmíru pro zbraňové systémy) se podařilo zvládnout za jediný den – už 17. října byl k dispozici nástroj, který umožnil šíření Wanku zastavit a krátce na to byl (nikoliv ovšem v USA, ale ve Francii) vytvořen program na odstranění červa.
Problém byl ale v tom, že v řadě menších organizací a odlehlých pracovišť nevěnovali správci informacím, které CERT/CC rozesílal pozornost (případně je ani neodebírali), a i když se díky rychlému zásahu nákaze červem Wank vyhnuli, napadla některé z nich o dva týdny později jeho varianta OILZ, protože neopravili slabiny, které zneužíval Wank.
Počet počítačů připojených k internetu mezi tím rostl raketovým tempem. Zatímco v době útoku Morrisova červa jich bylo asi 60 tisíc, v době, kdy zaútočil Wank, se už jednalo o přibližně 170 tisíc systémů a o rok později, v listopadu 1990 340 tisíc. Bylo jasné, že počet bezpečnostních týmů poroste a budou vznikat i jinde než v USA. Bylo proto vytvořeno Forum of Incident Response and Security Teams (FIRST), jehož zakládajícím členem byla i francouzská SPAN (Space Physics Analysis Network), která také založila první CSIRT v Evropě.
Evropa a Asie se probouzí
Zatímco za oceánem se počet počítačů připojených k internetu blížil milionu, na starém kontinentě to počátkem 90. let byly tisíce či desetitisíce. S výjimkou SPAN (kde řádil v roce 1989 červ Wank a vznikl i program na jeho odstranění) tu platilo totéž, co o několik let dříve v USA – kde nejsou incidenty, není ani skutečná potřeba něco řešit. To se ale začalo měnit v roce 1992, kdy se poprvé začalo jednat o vytvoření národních CSIRT v rámci výzkumných a akademických sítí jednotlivých zemí. Mezi prvními byly holandský CERT-NL (1992) a německý DFN-CERT (1993). Co ale v Evropě chybělo, bylo centrální koordinační centrum podobné americkému CERT/CC. Obecně lze říci, že většina národních CERT a CSIRT týmů v Evropě, Asii a dalších částech světa vznikala nejprve na akademické půdě (případně v rámci sdružení spravujících páteřní sítě) a teprve později se etablovala coby skutečně národní organizace, napojená například na bezpečnostní složky státu.
Zatímco za oceánem uplynuly od prvního významného incidentu do založení CERT týdny a do jeho plného provozu měsíce, Evropa na své koordinační centrum čekala až do roku 1997, kdy se rozjel jeho projekt v rámci TERENA (Trans European Research and Networking Association), přejmenovaný v roce 1999 na EuroCERT (je zajímavé že EuroCERT byl do značné míry založen na dobrovolné podpoře a aktivitě ze strany národních CERT/CSIRT týmů a jejich členů, spíše než coby samostatně financovaný tým).
V asijsko-pacifické oblasti vytvořila jako první svůj vlastní tým Austrálie – AusCERt vznikl v roce 1993 jako společný projekt tří univerzit (QUT, GU, TUG). Další týmy byly vytvořeny v letech 96–97 v Koreji, Japonsku a Singapuru. Jejich regionální koordinaci se od roku 1997 věnovala pracovní skupina APSIRC WG a od roku 2003 pak APCERT (Asia Pacific Computer Emergency Response Team).
Za zmínku stojí, že mezi zeměmi, které měly své počítačové bezpečnostní týmy jako první, je i Mexiko, kde byl po bezpečnostním incidentu v roce 1993 založen první tým na institutu ITESM – z něj se posléze vyvinul Mx-CERT.
Současnou strukturu zastřešujících organizací CERT/CSIRt nejlépe ilustruje mapka.
V Česku vznikl oficiální CERTS tým v lednu 2004 v rámci aktivit sdružení CESNET (aktivity v oblasti monitorování bezpečnosti probíhaly v rámci CESNET už od jeho vzniku v roce 1996). V rámci aktivit CESNETu vznikl i národní CSIRT.CZ, který zde byl provozován od roku 2008 a koncem roku 2010 přešel pod sdružení CZ.NIC a v současné době je provozován v součinnosti s NBÚ. Vedle CSIRT.CZ a CESNET-CIRTS jsou významné týmy u nás CZ.NIC-CSIRT, CSIRT-MU (Masarykova univerzita, založen 2009) nebo ACTIVE24-CSIRT. Své vlastní menší CERT či CSIRT týmy ale provozuje i řada firem a organizací.
Historie vzniku tuzemských CERT/CSIRT by si jistě zasloužila samostatný díl seriálu – podaří-li se nashromáždit dostatek materiálu, vrátíme se k ní.
Odkazy
- CERT CC – Wikipedie
- US CERTT – Wikipedie
- CERT – Wikipedie
- CSIRT.cz – Wikipedie
- CSIRT.cz
- CESNET-CERTS
Další zdroje
- State of practice of CSIRTs. Carnegie Mellon Software Egineering Institute, 2003
- Internet Security and CSIRTs Mission, Koichiro Kmiyama, JPCERT/CC
