fbpx

Těžké naplňování nové doktríny USA pro kyberprostor

Na začátku června Spojené státy americké oznámily záměr vytvořit doktrínu, podle které by mohly reagovat na kybernetický útok pomocí konvenčních zbraní. Jak řekl tiskový mluvčí Pentagonu plk. Dave Lapan:

Odpověď na kybernetický incident nebo útok na spojené státy se nemusí nutně odehrávat v kyberprostoru. Všechny možnosti budou na stole.

Tato výzva zní poměrně přesvědčivě a sebejistě a jistě je v duchu s rezolucí z Lisabonského summitu z roku 2010 a s dlouhodobou diskuzí v NATO o tom, že by aliance měla mít možnosti, aby s podobnými situacemi naložila dle okolností podle vlastních potřeb. Toto sebevědomé konstatování však naráží na jeden velký problém, který jistě bude blízký všem novinářům a to určit kdo, co, kdy a kde udělal – k vedení útoku musíte mít cíl a ten cíl musíte být také schopni pojmenovat což v době, kdy NATO již skoro dvacet let postrádá oficiálního nepřítele, může být problém.

Pět minut po útoku – co se vlastně stalo?
Za prvé je nutné kybernetický útok detekovat a pochopit – představte si, že provozujete webovou službu, která z ničeho nic přestane fungovat. Zažitá představa „bezpečáka“ je taková, že se tým IT okamžitě začne věnovat útoku a zjištění kdo to udělal.

Ve skutečnosti první co budete řešit je příval telefonátů nespokojených zákazníků, narůstající provoz sítě způsobený opakovaným přístupem na stránky, dotazy novinářů a šéfů firmy, kteří pochopitelně chtějí vědět co se děje a hlavně obnovit službu, pokud možno co nejrychleji. V tomto zmatku budete hledat, zda problém je způsobený technickým selháním, chybou administrátora nebo prostě přetížeností služby. V případě kompromitace serveru problém můžete vyřešit přeformátováním serveru a obnovením zálohy (pokud ji máte), čímž, ale také přijdete o veškeré stopy, které hacker na serveru případně zanechal.

Hlavní veličinou zde je čas – pokud chcete hackera chytit, potřebujete zajistit důkazy dříve, než je stihne smazat a ocitáte se v situaci, kdy zápasíte s člověkem, který měl na přípravu měsíce, zatímco vy hrajete o každou minutu.

Řešením této situace, je provozování systému bezpečnostního monitoringu, který zaznamenává paralelně veškeré události na monitorované síti a tudíž nezávisle na postižených serverech uchovává veškeré stopy o tom, co hacker udělal. Navíc na anomální události umí i upozornit což umožňuje zachytit pokus o kybernetický útok dřív, než skutečně nastane.

Toto se pravděpodobně stalo v případě společnosti Lockheed Martin, která zřejmě na rozdíl od AČR podobný systém vlastní.

Cíl známý, původce neznámý
Zde se na rozdíl od předchozího bodu dostáváme na tenký led – pro pochopení situace se budeme muset podívat na malou exkurzi toho, jak internet vlastně funguje:

  1. Jakákoliv komunikace přes internet probíhá pomocí balíčků tzv. packetů, které si lze představit, jako malé obálky obsahující vzkaz který se snažíte někomu doručit. Každý packet, který odešlete, tedy bude mít na sobě jak adresu doručitele, tak odesilatele, aby byla možná reciproční komunikace mezi uživatelem a serverem, nebo v našem případě útočníkem a obětí. O něco konkrétněji tedy bude zde vaše „jméno“, resp. MAC adresa což je unikátní identifikační číslo vašeho počítače a vaše adresa v síti, což je vaše IP adresa, ze které lze vyčíst zemi a ve většině případů i město odkud odesílatel pochází. Kompletní popis hlavičky packetu lze nalézt například zde. Nalezení útočníka tedy vypadá jednoduše – stačí objevit komunikaci mezi hackerem a vámi, tu analyzovat a posléze odpálit slavnostně řízenou střelu na lokalitu odkud útok vyšel. Jednoduché? Nikoliv. Hackeři pochopitelně tato úskalí znají, takže využívají mnoha způsobů jak svoji identitu schovat.
  2. Využitím anonymních proxy serverů. Proxy server je počítač, který slouží jako prostředník při komunikaci mezi vámi a cílem Vaší komunikace. Tzv. transparentní proxy slouží většinou ve firmách jako dozorce nad provozem v síti, takže v AČR jej pravděpodobně důvěrně znáte jako službu, která blokuje nevhodné stránky. Zjednodušeně obálka vaších packetů bude vypadat takto: odesilatel: proxy.army.cz (uživatel voják) příjemce seznam.cz. Seznam tak bude vědět, že má posílat svou komunikaci zpátky proxy serveru a ten, že ji má přeposílat zpět vojákovi. Anonymní proxy funguje tak, že místo cílové IP adresy (voják), vloží identifikační číslo, které je anonymní. Pochopitelně proxy server si musí zaznamenat tabulku, kde přiřazuje anonymní ID ke skutečným IP adresám, takže majitel proxy serveru bude přesně znát, kdo a jakým způsobem přes danou proxy komunikuje.
  3. Používáním TOR networku resp. tzv. cibulové proxy. Na tomto odkazu lze nalézt jak TOR funguje. Velmi krátce si jej lze představit jako systém vnořených obálek. Představte si, že chcete předat zprávu a nechcete, aby někdo věděl, že je od vás. Vyberete tedy tři lidi a každému pouze sdělíte, od koho má přijímat a komu má informaci dále dávat. Celá zpráva je pak navíc zašifrovaná a počet prostředníků můžete libovolně zvýšovat jak potřebujete.
  4. Vytvořit si vlastní anonymní síť: v obou předchozích případech se spoléháte na cizího poskytovatele služby, který teoreticky by mohl prozradit vaší identitu nebo používat např. nedostatečné šifrování. Hacker nicméně se může rozhodnout jít po vlastní cestě, zavirovat nezabezpečené počítače uživatelů po celém světě a ty využít jako mosty, přes které provést útok. Po dokončení útoku stačí použít stejný software, který slouží k promazávání utajovaných dat z datových nosičů (tzv. wipe) a dokonale za sebou smazat stopy. Pro fajnšmejkry nabízím ještě několik odkazů na technologie používané v tomto smyslu jako je fast flux a reverse proxy.
  5. Schovat se za legislativní neschopnost státu. Informace o proběhnuvších komunikací se relativně v krátkých intervalech mažou, což je přesně důvod proč EU uvedla v život směrnici č. 2006/24/ES a posléze ČR zákon o elektronických komunikacích (č. 127/2005 Sb.), jehož základem je právě to, aby poskytovatelé internetových služeb registrovali data o komunikaci na síti a byli ji schopni sdílet se státními orgány. Vzhledem k tomu, že tato služba je kvůli rozhodnutí ústavního soudu pozastavena, ČR by v současné době z pohledu zvenčí musela připadat přinejmenším jako blackbox – bylo by zajímavé v tomto ohledu sledovat narůstající hackerské aktivity procházející přes české servery a také pravděpodobně klesající počet uživatelů různých anonymizérů. Podobnou slepou uličku pro mapování původu komunikace představují i další státy, jako například Írán nebo Rusko. Ty běžně nespolupracují s cizími bezpečnostními složkami při vyšetřování kybernetických zločinů a upřímně pochybuji, že spolupracovat budou v případě, kdy za útoky sami stojí.

Nakonec si představte, že mapujete cestu packetu, který rychlostí světla procestoval např. od zdroje, přes ČR, Bangladeš, Srí Lanku, Rusko a Mongolsko až do Spojených států. Už jenom pro lingvistické obtíže a pravděpodobnou absenci spolehlivých kontaktních míst by tato snaha i při existujícím systému data retention trvala pravděpodobně týdny, zatímco hacker má spoustu času modifikovat svou infrastrukturu a zahladit stopy.

Že toto není scifi dokládá i cvičení NATO v minulém roce, jehož jeden scénář se právě týkal mapování fast flux botnetu nalézajícího se v členských státech aliance. V českých podmínkách jsme měli veškeré nakažené počítače v ministerských sítích, protože jsme věděli, že dál nedosáhneme, nicméně přesto se nepodařilo všechny stanice odstranit. Doufejme, že v tomto roce zafunguje národní CSIRT a konečně budeme schopni zasahovat v plné míře.

Namiřte tu střelu na Dolní Počernice
Poslední poznámka se týká proliferace – přes veškerou tajuplnost a sofistikovanost, kterou kybernetické útoky v očích veřejného mínění a pravděpodobně v očích i politického vedení mají, se rozhodně nejedná o schopnost, kterou podobně jako jaderné zbraně má pouze pár států, na které lze snadno ukázat prstem.

Pominu-li extrémně zabezpečené sítě, stále platí, že na prolomení systému stačí telefon, tužka a papír. Ostatně jsme v situaci, kdy největší aplikace psaná v programovacím jazyce Ruby on Rails je právě framework na kybernetické útoky, živený celou komunitou bezpečnostních expertů a navíc je distribuován zcela zdarma. Cena devastujícího útoku na do databází bezpečnostních služeb tak zahrnuje počítač za sto dolarů, přístup k internetu, chybu administrátora, dávku štěstí a spoustu času.

Deterence kybernetického útoku v podobě prohlášení USA se tak dostává do trochu jiného světla – podobenství s jadernou deterencí padá a dostáváme se spíše do sféry boje proti terorismu. Bude potřeba mezinárodních úmluv, komplexního přístupu a hledáček nastavený na nejvyšší citlivost.

Škody budou reálně, ale budeme se pohybovat na tenkém ledě – těžko se bude rozlišovat organizovaný zločin od státních zájmů a bude pouze malá šance na zjištění skutečného viníka „kybernetického atentátu“. V případě USA ještě je nutné do hry zakomponovat veřejné mínění: riskovali byste válku kvůli nezabezpečenému serveru ve škole na druhé straně polokoule? Nebo zaútočíte na cizí stát, protože si není schopný ohlídat svou vlastní infrastrukturu (jako momentálně ČR)?

Budeme se pravděpodobně bavit o ekonomických sankcích možná i o odstřižení od internetu, ale ozbrojený útok? To pravděpodobně nenastane. Jediná šance, jak přistřihnout křídla hackerům, je výrazně zprůhlednit médium ve kterém se pohybují, a to vyžaduje soustředěnou snahu všech zemí včetně České republiky i jiných států, kterým však současný stav však zřejmě nadmíru vyhovuje.

6 comments

Ďalší články

Leave a Comment

Your email address will not be published. Required fields are marked with *

Cancel reply

6 Comments

  • Profilový obrázek
    Bohuslav Pernica
    16. 6. 2011, 20:58

    Vida, už i Němci mají své středisko: http://www.ceskenoviny.cz/zpravy/nemecko-uvedlo-do-provozu-stredisko-proti-kybernetickym-utokum/652365?utm_source=mozilla_cz&utm_medium=rss. Ochrání i podniky v německém vlastnictví na území ČR?:-)

    REPLY
  • Profilový obrázek
    Pavel
    16. 6. 2011, 22:14

    Budováním středisek se nic zásadního nevyřeší (tedy kromě relativně lukrativních šéfovských míst). Primárně jde o lidi, o kvalifikované (=dobře zaplacené) odborníky, specialisty, techniky. Pouze ti dokáží rozpoznat, o co jde a účinně zasáhnout. On je totiž ten kybernetický útok pokaždé unikátní a jak je známo, generální štáby jsou vždy perfektně připraveny … na minulou válku.

    REPLY
  • Profilový obrázek
    Bohuslav Pernica
    17. 6. 2011, 7:48

    To je technická stránka věci. Jakýkoliv státní orgán musí mít nějakou institucionální oporu, má-li podporovat státní moc, nebo se má jednat o uplatnění státní moci. To jsou právě ta střediska. Určitě se totiž bude někdy nějak zasahovat do „nestátních práv a věcí“:
    http://www.defensenews.com/story.php?i=6836089&c=POL&s=TOP a je třeba mít jasno alespoň v otázkám organizace, když se teprve bude právní stránka věci vytvářet.

    REPLY
  • Profilový obrázek
    Giuliano Giannetti
    17. 6. 2011, 12:34

    No a to už rok řešeno nemáme ačkoliv návrhy padly :-) nebo jsou v tom nějaké novinky?

    REPLY
  • Profilový obrázek
    Bohuslav Pernica
    17. 6. 2011, 23:27

    Připojím jeden postřeh. Nahlédněte do tohoto usnesení vlády: http://racek.vlada.cz/usneseni/usneseni_webtest.nsf/0/C94E8F831385066EC12571B6006D0A6A
    Muselo protéct ještě hodně vody v řece Moravě, než se IZS institucionalizoval. Zdá se, že se rádi učíme tou nejdražší metodou na „on trial and error.“

    REPLY

Nejnovější komentáře