Odpovědi na otázky kolem aktuálních útoků, tzv. DDoS útoků, na české weby

O Vladimíru Brožovi
– v oboru počítačové bezpečnosti se pohybuje již 15 let
– cca 10 let na pozici regionálního šéfa společnosti McAfee (světová dvojka v oblasti bezpečnostního software)
– nyní ve společnosti Fortinet (jeden z předních dodavatelů řešení síťové bezpečnosti – UTM firewallů) na pozici Territory Managera pro ČR, SR a Maďarsko (TZ)

Český internet v křížové palbě

Až do tohoto týdne jsme se mohli tvářit, že je Česko na mapě světového internetu tak bezvýznamným hráčem, že se nás různé kybernetické šarvátky netýkají. „Pštrosí efekt“ zkrátka fungoval: stačilo se tvářit, že problém není a on tu „nebyl“. Už několik dní je ale naše země v křížové kybernetické palbě a její důsledky pocítil každý z nás.

Co se přesně stalo?

V pondělí byly napadeny servery českých zpravodajských webů, v úterý stránky největšího českého vyhledávače a některých státních úřadů, ve středu pak servery internetového bankovnictví. Útok byl přitom provedený velmi primitivní, ale účinnou metodou DDoS (Distribued Denial of Service, odepření služby provedené distribuovaným útokem).

Nutno podotknout, že podobným útokům čelily i nadnárodní firmy jako jsou Google, Microsoft, Apple, PayPal, Visa, MasterCard a další.

Co je DDoS útok

Útok DDoS je realizovaný tak, že směrem k napadanému serveru je vysláno obrovské množství požadavků např. o zobrazení webové stránky. K serveru, pokud přímo nezkolabuje, se pak nedostanou legitimní uživatelé (například uživatelé internetového bankovnictví). Útok DDoS je provedený z velkého množství míst, takže není možné útočníka snadno odříznout. A bohužel ani poznat: využívá „anonymitu davu“.
V podstatě jde o efekt záměrné blokády silnice. Z čistě technického hlediska je vše v pořádku, ale k cíli se nedostanete.

Úplně jednoduchým typem podobného útoku je, když někomu pošleme do e-mailové schránky velké množství zpráv. Pokud nemá schránka neomezenou kapacitu, naplní se  a přestane přijímat korektní e-maily.

Jedná se o novinku?

Útoky odepření služby byly popsané už počátkem devadesátých let a poprvé v praxi prokazatelně použité v roce 1995. Jedním z prvním nejširších útoků DDoS proběhla v roce 1999 a byl namířený na IRC server Minnesotské univerzity (University of Minnesota). Server univerzity byl vyřazen z provozu na celé dva dny. V únoru roku 2 000 bylo na několik hodin paralyzováno mnoho populárních stránek včetně Yahoo!, eBay, CNN, Amazon.com, ZDNet.com. Tenkrát stál za těmito útoky 15letý Kanaďan zvaný „Mafiaboy“, který byl za tyto útoky uvězněn. Jeho motivací bylo ukázat své dovednosti. Bohužel v současné době se jedná více o útoky cílené.

S tím, jak rostlo využití internetových služeb, stávaly se rozšířenější, účinnější a nebezpečnější. Dle statistik společnosti Fortinet roste množství těchto útoků meziročně o 25 až 40 procent!

O nebezpečnosti DDoS útoků se přesvědčilo například i Estonsko v dubnu 2007. Poté, co z centra Tallinu odstranilo pomník rudoarmějce, stalo se cílem bezprecedentního ataku. V zemi na několik dní prakticky přestal fungovat internet. Nefungovala burza, stát neplnil své základní funkce, nepracovaly internetové obchody, platby se prakticky zastavily. Přímé škody šly do mnoha desítek miliónů dolarů.
Musíme si uvědomit, že pro mnoho státních i podnikatelských aktivit je dnes internet alfou a omegou. Co by byl bez internetu takový Amazon, Google nebo PayPal? Nebo v Česku datové schránky, Seznam či právě hojně využívané služby internetového bankovnictví?

Kdo na nás vlastně útočí?

Správci postižených serverů hlásí, že útoky přicházejí tu ze Švýcarska, tu z Ruska, tu z Polska a dalších zemí. Ono to ale není vůbec podstatné a rozhodně současný stav neznamená, že by nám Švýcarsko, Rusko, Polsko či kdokoliv jiný vyhlásil válku. Jednak je možné adresu původce poměrně snadno zfalšovat (a zamést tak stopy), jednak se k útokům využívají sítě „unesených počítačů“ (zombie). To jsou počítače, do kterých útočníci pronikli, které využívají pro své nekalé rejdy, a jejichž majitelé zpravidla vůbec netuší, že se jejich počítač stal „sluhou dvou pánů“. Odhaduje se, že celosvětově je takto zneužíváno 80 až 150 miliónů domácích i firemních počítačů.

Takže se musíme smířit s tím, že útočníka takto přímo nevystopujeme. Podívejme se tedy na to, oč mu jde. Těžko půjde o výpalné, kvůli kterému se podobné útoky často dějí. Na to je ten aktuální zaměřený na mnoho serverů a rychle mění cíle. Pak je tu varianta, že někdo chce na něco upozornit: kybernetické útoky jsou čím dál oblíbenějším nástrojem aktivistů, jenž jim pomáhá ke zviditelňování se (viz aktivity skupiny Anonymous). K útokům se ale nikdo nepřihlásil a chybí jim jakýkoliv „podpis“. To ale neznamená, že se tak nestane, protože útok je evidentně dobře připravený a promyšlený. Stupňuje se a každý den přináší něco nového.

Možná, že někdo demonstruje svoji sílu a schopnosti. Otázkou pak ale je „proč?“ Leda že by se komunikace odehrávala na vyšší úrovni a ne všechno bylo zveřejněno.
Pak je tu možnost, že je útočníkovi nějaká Česká republika úplně ukradená a že si nás, obrazně řečeno, napíchl špendlíkem na mapě. Že si jen testuje své možnosti a schopnosti –  řízení počítačů, koordinace útoků, rychlé změny cílů, reakce na obranná opatření apod. Z toho by vyplývalo, že skutečný útok přijde později a jeho terčem bude někdo úplně jiný. V tom případě jsme jen jakýmsi „pískovištěm“, na kterém si útočník hraje.

Jak se máme bránit?

Čestně si musíme přiznat, že charakter útoků velmi znesnadňuje obranu. Nedá se nic vypnout, nic filtrovat, nic blokovat. Protože útočník se vmísí do běžného provozu, můžeme blokovat buď všechny (tedy i legitimní) uživatele nebo nikoho.

Dobré je každopádně mít komunikační linky a servery s dostatečnou kapacitou. Minimálně amatérské útoky si vylámou zuby.

Využívejte většího množství serverů, a to v různých lokalitách Útočník pak musí rozložit své zdroje do více směrů útoku. Už naše babičky říkávaly: „Nedávejte všechna vejce do jednoho košíku!“

Pravidelně aktualizujte a záplatujte své servery. Některé typy útoků odepření služby tím eliminujete.

Filtrujte provoz. Mnoho útoků se takto dá zastavit, protože někdy jsou nebezpečné požadavky snadno rozpoznatelné.

Univerzální všelék ale neexistuje. Využijme ale současnou situaci k tomu, abychom se zamysleli nad stavem informační bezpečnosti a co nejlépe se připravili na budoucí útoky, které bez diskuse přijdou. Dnešní dny nám připomínají, že nemá smysl strkat hlavu do písku a že jsme skutečně v první linii.

Zdroje Fortinet na webu:

Přihlášení k odběru zpráv: http://blog.fortinet.com/feed/
Twitter: www.twitter.com/fortinet
Facebook: www.facebook.com/fortinet
YouTube: http://www.youtube.com/user/SecureNetworks

O společnosti Fortinet www.fortinet.com

Společnost Fortinet (NASDAQ: FTNT) je celosvětovým poskytovatelem zařízení pro zabezpečení sítí a lídrem v oblasti řešení pro jednotné řízení hrozeb (UTM, unified threat management). Fortinet nabízí produkty a služby poskytované na základě modelu předplatného, které poskytují širokou, integrovanou a vysoce výkonnou ochranu proti dynamicky se vyvíjejícím hrozbám. Tato řešení zároveň zjednodušují infrastrukturu zabezpečení IT. K zákazníkům společnosti Fortinet patří podniky, poskytovatelé služeb i vládní subjekty po celém světě, a to včetně většiny společností z žebříčku 2012 Fortune Global 100. Vlajkovou lodí společnosti Fortinet je zařízení FortiGate, které poskytuje výkon akcelerovaný pomocí technologie ASIC (Application Specific Integrated Circuit) a integruje několik vrstev zabezpečení, čímž napomáhá chránit před hrozbami na úrovni sítí a aplikací. Komplexní portfolio produktů společnosti Fortinet pokrývá kromě UTM i další oblasti zabezpečení firemního IT, od koncových bodů přes perimetr (rozhraní sítě) po vnitrofiremní kritické aplikace včetně databází. Ústředí společnosti Fortinet se nachází v Sunnyvale (Kalifornie). Pobočky má firma po celém světě.