Hlavní navigace

TIB: provázanost, státní moc a Chuck Norris

Petr Krčmář

Další ročník konference Trendy v internetové bezpečnosti ukázal na nové hrozby, ale také na to, že jsou stále aktuální i ty staré. Upozornila na nepřehlednou propojenost všech částí infrastruktury a složitost řešení některých situací. Na řadu přišlo i odhalení linuxového botnetu zvaného Chuck Norris.

Čtvrtý ročník konference Trendy v internetové bezpečnosti se konal ve čtvrtek 1. března. Opět na něm vystoupila řada zajímavých osobností se svými přednáškami na široké téma bezpečnost. Protože zaznělo mnoho zajímavých informací, rozhodli jsme se přinést vám z konference dva články. Dnes tedy o hrozbách, o tom, kdo vlastně řídí internet a o napadání ADSL modemů se slabými hesly.

Andrea Kropáčová, CZ.NIC: neregulujeme a neřídíme internet

Andrea Kropáčová je členkou týmu CSIRT, který je od 1. ledna 2011 národním CSIRT týmem České republiky. Projekt je ale mnohem starší, vybudován byl už v dubnu 2008. Trvalo však ještě dva roky, než Ministerstvo vnitra uznalo CSIRT jako národní tým a než pro něj našel provozovatele, což je dnes CZ.NIC, řekla na začátku přednášky Kropáčová.

Mnoho lidí vlastně ani netuší, co takový CSIRT dělá a jaká je jeho úloha. Hraje roli point-of-contact, místo, na které je možné se obrátit v případě velkých bezpečnostních incidentů v České republice. Zároveň má zprostředkovávat komunikaci, spolupráci, podporovat tvorbu dalších bezpečnostních struktur a týmů.

Nejdůležitější je samotné hlášení incidentů jednotlivým týmům a správcům sítě. Důležitá je při tom co nejjednodušší cesta. Všechny incidenty by měly být hlášeny co nejkratší cestou k tomu, kdo může konkrétní problém vyřešit. Pokud tento postup selhává, přicházejí na řadu eskalační metody, kdy na vrcholu stojí národní CSIRT, vysvětluje úlohu národní skupiny Kropáčová.

Jednoduchý postup hlášení selhává například ve chvíli, kdy správce sítě nereaguje, nebo není možné určit, kdo je za incident zodpovědný. Může se také stát, že se některá firma nechce incidentem zabývat a vymlouvá se na to, že je jen provozovatelem a nezajímá ji to.

Možnosti a prostředky skupiny CSIRT při řešení incidentů jsou velmi skromné, nedisponuje žádnou výkonnou mocí. Máme jeden jediný prostředek, kterým je pozitivní motivace těch, kteří se mohou incidentem zabývat a něco s ním dělat. Nemáme žádnou legislativní oporu, nemůžeme odpojovat uživatele nebo celé sítě. Někdy je CSIRT dokonce označen za toho, kdo řídí český internet, což je podle Kropáčové absurdní. Stále častěji se nás na to někdo ptá, už jsme byli osočeni i z toho, že jsme regulátoři internetu a cenzoři. K ničemu takovému ale nemáme legislativní podporu. Celá naše práce je postavená na ochotě spolupracovat a komunikovat.

CSIRT si vede podrobné statistiky o hlášených incidentech, druhu problému i konečném řešení. Vypozorovat z těchto dat nějaké trendy ale není podle Andrey Kropáčové možné. To, co se do prostředí CSIRT dostává, je jen špička ledovce. Většina hlášení jde přímo do konkrétních sítí, které si je vyřeší. K nám se dostanou jen „bonbónky“, kterými stojí za to zabývat se na národní úrovni.

Dobrou zprávou ovšem je, že drtivou většinu nahlášených incidentů se podaří nějakým způsobem vyřešit. Za čtyři roky jsme obdrželi 2377 hlášení a jen 72 jsme označili jako neúspěšné. Jednalo se o sítě, kde se nám nepodařilo prokazatelně kontaktovat správce. Na druhou stranu to jsou události, které neohrožují český internet, ale jen konkrétní síť.

Dostalo se i na největší riziko sítí a internetu obecně, které se ovšem dlouhodobě nemění. Bohužel aktuální hrozbou internetu zůstává uživatel. Hrozivé na tom je, že se ale rizika zhoršují. Podle Kropáčové uživatelé čím dál méně chrání svou identitu a přístupové údaje ke kritickým službám jako internet banking, e-shopy a podobně.

Jaroslav Pejčoch, T-Soft: jsme jako žonglér, musíme zůstat ve střehu

Jaroslav Pejčoch ze společnosti T-Soft se věnoval problematice kritické infrastruktury a riziku jejího selhání. Dnešní svět připomíná žongléra, který se musí věnovat mnoha různým prvkům, které létají vzduchem. Je třeba se jimi stále zabývat, aby nespadly na zem, zahájil svou přednášku. Takový systém je velmi snadné rozbít, stačí větší rána nebo výpadek a katastrofa je na světě. Představte si, že takovému žonglérovi někdo zhasne a všechno se to sesype. Řada systémů, na kterých jsme dnes závislí, má podle Pejčocha charakter takového žonglování.

Za problémem stojí především komplexnost dnešního světa a provázanost mnoha různých prvků v něm. Dříve tvořil kritickou infrastrukturu jeden ponocný. Dnes jsme podstatně závislejší na mnoha různých částech infrastruktury. Vlastně už si ani neuvědomujeme, které systémy a jak konkrétně jsou provázané například na geografické úrovni. Pak stačí zasáhnout jediné místo a mnoho částí se zhroutí.

Zároveň jsou různé prvky infrastruktury provázané vlastnicky. Řada kritických systémů je vlastněna privátně, což může také znamenat velký bezpečnostní problém. Američané se před časem velmi snažili zabránit tomu, aby všechny jejich přístavy vlastnili Arabové a později Číňané, uvedl příklad z praxe Pejčoch. Takto vznikají jakési supersystémy, které jsou hluboce provázané a nikdo neví, jak a jak snadno je možné je zhroutit.

Podle Jaroslava Pejčocha začíná problém už u samotné energetiky, která je základem všech dalších technologií. V Česku máme jednu z nejlepších energetických sítí na světě a přesto nám hrozí blackout. Při takovém výpadku je nejdůležitější to, jak dlouho trvá. Krátký výpadek, který trvá den nebo dva, je běžný. Při něm si odpustíme třeba kafe a po rychlé opravě na to zapomeneme. Pokud ale výpadek trvá pět dní a více, dojde k rozpadu společnosti, přestane fungovat policie, začnou rabovat gangy, popsal Pejčoch výstižně naši totální závislost na elektřině.

Naše ekonomika se bez energetických sítí neobejde a ty se přitom stávají stále zranitelnějšími, jak roste jejich komplexnost. Zvyšuje se složitost sítí, jejich inteligence, rychlost reakce, což opět zvyšuje riziko blackoutu, vysvětluje Pejčoch. Řešením je tvorba soběstačných ostrovů, aby bylo možné v případě krize zrušit závislost a na ostatních částech sítě a udržovat v chodu alespoň samostatná města.

Součástí kritické infrastruktury je už dnes samozřejmě i internet. Dnes už nemůžeme internet vypnout. Občas se o tom mluví, ale vůbec to nepřipadá v úvahu. Naopak je třeba vytvořit takové prostředí, které dokáže běžet v nouzovém režimu, ale stále plnit svou funkci. Důležitá je proto diverzifikace prostředí, decentralizace a redundance zdrojů, což výrazně sníží riziko kolapsu celé sítě. Je třeba přemýšlet také nad rovnoměrným rozložením vlastníků jednotlivých částí.

Petr Koubský, Tuesday: internet je součástí reálného světa

Přestože se zdá, že různé problémy spojené s rychlou komunikací jsou velkou novinkou posledních let, Petr Koubský upozorňuje na to, že je to přesně naopak. Problémy s globálními telekomunikačními sítěmi tu byly vždycky, někdo jim prorokoval záchranu světa, jiný zase jeho zkázu. Kolem roku 1865 sázkové kanceláře přišly na to, že nemohou sázky na dostihy v jiných městech přijímat i po skončení závodu. Bylo to považováno za naprostou zkázu sázek. Za problémem stál samozřejmě drátový telegraf, který výrazně zrychlil komunikaci na velké vzdálenosti.

Problémy se sítěmi jsou tedy staré minimálně sto padesát let, jen ty dnešní jsou jiného rázu. V současné době se zase potýkáme s věcmi jako facebooková revoluce, smlouva ACTA, malware od hackerů i národních vlád a také se záležitostmi jako WikiLeaks, označil problémy dnešní doby Petr Koubský.

Internet původně vznikl neřízeně a neorganizovaně, nebyl to komplexně plánovaný projekt vytvořený jednou organizací. Pokud by jej vytvořila nějaká telekomunikační firma, bylo by do něj zabudováno účtování. Nic takového ale internet nemá, je to otevřené prostředí. Představa svobodného prostoru přilákala především romantiky. Lidi, kteří vymysleli pojem kyberprostor, kteří napsali deklaraci svobody kyberprostoru. Brzy ale přišli různí trollové, které admini vyhazovali, ale měli na to právo? Bylo třeba vytvořit pravidla.

Zároveň na internetu byli i realisté, kteří pokládali romantiky za naprosté magory, kteří ani neví, jak to uvnitř funguje. I tyhle realisty zajímala pravidla. Ta ale měla zajistit, aby byla zachována síťová neutralita, bezpečnost, aby bylo možné zavádět nové služby bez porušení zpětné kompatibility. To vše bylo relativně jednoduché, dokud byl internet akademickou záležitostí.

Pak ale do hry vstoupily peníze. Když se objevily osobní počítače, stal se z internetu trh. Internet vznikl na půdě Spojených států amerických za peníze daňových poplatníků. Najednou tu byl spor mezi původními tvůrci a těmi, kteří se dožadovali plné kontroly – americkým ministerstvem průmyslu. Spor se vedl přes kořenovou doménu a přidělování doménových jmen.

Na začátku devadesátých let do toho vstoupila první komerční registrace domén a omezila se práva původních tvůrců a správců. Ti si pak přesměrovali domény z vládních počítačů na sebe a získali nad sítí kontrolu. Clintonově vládě pak došlo, že je třeba jednat. Byla založena organizace ICANN a vše bylo tvrdě přebráno a svázáno, popsal Koubský stručně přerod z „nadšeneckého internetu“ do „internetu pravidel“.

V roce 2000 ale došlo k velkému precedenčnímu sporu, protože francouzský soud rozhodl, že Yahoo jedná protiprávně, když na svém aukčním serveru prodává historické předměty s hákovými kříži a dalšími nacistickými symboly. Zdálo se, že nadnárodní internetovou společnost takové lokální rozhodnutí nemůže ovlivnit, ale firma měla ve Francii pobočku, která musela dodržovat místní zákony. Nakonec tedy musel být nasazen „nacistický filtr“, který problémové zboží v této zemi blokoval.

Prostředníci se dají vždycky zmáčknout a přinutit lokálními zákony ke spolupráci. Svoboda internetu končí vždycky tam, kde jsou lokální pobočky, vysvětlil Koubský. Navíc tu probíhá nekonečná hra na lepšího. Jedni se vždy snaží vytvářet lepší pravidla a druzí se je snaží obejít. Tato situace přesně odpovídá tomu, jak to známe z běžného světa. Internet není vyjmut ze světa, je jeho součástí, řekl Koubský.

Představa, že moc národních vlád je na internetu omezená nebo by být omezená měla, je naivní. Realita je taková, že moc státu se dá téměř v plném rozsahu prosadit i v kybernetickém prostoru, upozornil Petr Koubský. To je také odpověď na to, komu patří internet. Tomu samému, komu patří zbytek světa.

Petr Špringl, INVEA-TECH: těžko budeme mít antivirus v topení

Že množství malware neustále roste, není asi žádným překvapením. Zajímavější je, že společnost McAfee má ve své databázi 75 milionů unikátních vzorků malware. Mění se motivace útočníků, důvody, proč to vlastně dělají, vysvětlil na začátku přednášky Petr Špringl.

Původně to byla jen hra na prověření vlastních schopností. Kolem roku 2001 začalo jít o vandalismus, dokázat si, že to dokážu. Později útočníci zjistili, že se na tom celém dá vydělat. Dnes jde hlavně o takzvaný hacktivismus, kdy jsou útoky používány k nátlaku a prosazování politických cílů, řekl Špringl a poukázal například na protesty okolo smlouvy ACTA.

Dříve byly pro ohromné útoky potřeba velké prostředky, dostatek času a především velmi bohaté znalosti a zkušenosti. Dnes je možné vše za pár dolarů pronajmout. Nejnovějším trendem je pronájem botnetu, kdy je síť napadených počítačů nabízena jako hotová služba. Dnes je botnet dostupný naprosto každému, uvedl Špringl.

Klasickým obranným mechanismem proti útokům zvenčí je firewall nebo IDS. Oba ale mají své slabé stránky a především nechrání před stále se množícími útoky z vnitřní sítě. Dříve se obrana nasazovala jen na perimetr sítě a také na koncové stanice. Předpokládalo se, že nebezpečné prostředí je venku a uvnitř jsme v bezpečí. Bohužel přibývá útoků i uvnitř sítě, protože existuje řada způsobů, jak zákeřný kód dostat dovnitř. Petr Špringl upozornil na mnohá mobilní zařízení, flash disky, kapesní přehrávače a další potenciálně nebezpečné přístroje.

Na řadu tedy přicházejí NetFlow systémy, které monitorují veškerý provoz na síti. Dokáží sledovat každý paket a zařazují jej do toků mezi jednotlivými počítači. Data pak tečou na centrální NetFlow kolektor, kde probíhá analýza provozu. Máme tak přehled o tom, co se nám na síti děje, a to typicky i několik měsíců zpět. V těchto datech pak dokážeme odhalovat nestandardní chování, hledat incidenty a odhalovat viníky až na úroveň jednotlivých stanic, popsal stručně vlastnosti systému.

Cílem je odhalit vnitřní útoky od vnitřního nepřítele. Navíc se monitoring pomocí NetFlow neomezuje jen na známé hrozby, které má v databázi, ale je výrazně pružnější a dokáže zareagovat i na úplně nové formy útoku. Takto je možné odhalit i sofistikované útoky psané na míru konkrétní sítě, vysvětlil Špringl.

Pomocí této techniky byl před časem na Masarykově univerzitě odhalen botnet Chuck Norris. Bylo jim podezřelé, že jim přichází tisíce požadavků na připojení k telnetu. Položili si otázku: Kdo dnes používá telnet? Správci pak začali sledovat, odkud požadavky přicházejí a objevili, že jde o ADSL modemy po celém světě. Podařilo se jim k některým modemům přihlásit a poté už analyzovali celý botnet a jeho činnost.

Zajímavé na něm bylo, že nenapadal koncové stanice, ale linuxové routery a modemy. Když se mu útok podařil, snažil se bot hledat další zařízení a šířit se. Používal k tomu slovníkový útok, který byl zajímavý svou jednoduchostí. Slovník obsahoval jen patnáct jednoduchých hesel. Operátoři dodávající tyto modemy naprosto podcenili takový typ hrozby a uživatele před ní neochránili, říká Špringl.

Pokusy o ukončení botnetu Chuck Norris trvaly dva roky. Později se objevily modifikace, například botnet AIDRA a další. Tyto botnety jsou stále ještě v činnosti a odhaduje se, že dnes je nakaženo na půl milionu zařízení. Zákeřné na nich je, že je není možné detekovat běžnými nástroji jako jsou antiviry.

Riziko podobného napadení se navíc zvyšuje s tím, jak přibývá různých zařízení, která jsou připojena k internetu. Různé tablety, telefony a později třeba i ledničky. A všechna tato zařízení jsou potenciálně napadnutelná a mohou se stát například součástí botnetu. Těžko budete mít v systému ovládajícím topení vlastní antivirus, uzavřel přednášku Petr Špringl.

Našli jste v článku chybu?

6. 3. 2012 12:43

Což o to, tato technologie může být pro sledování uživatelů použita velmi jednoduše. Stačí propojení s autentizačními servery a je to.

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Nestlé vyvinulo nový typ „netloustnoucího“ cukru

Nestlé vyvinulo nový typ „netloustnoucího“ cukru

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?