Na začátku června Spojené státy americké oznámily záměr vytvořit doktrínu, podle které by mohly reagovat na kybernetický útok pomocí konvenčních zbraní. Jak řekl tiskový mluvčí Pentagonu plk. Dave Lapan:

Odpověď na kybernetický incident nebo útok na spojené státy se nemusí nutně odehrávat v kyberprostoru. Všechny možnosti budou na stole.

Tato výzva zní poměrně přesvědčivě a sebejistě a jistě je v duchu s rezolucí z Lisabonského summitu z roku 2010 a s dlouhodobou diskuzí v NATO o tom, že by aliance měla mít možnosti, aby s podobnými situacemi naložila dle okolností podle vlastních potřeb. Toto sebevědomé konstatování však naráží na jeden velký problém, který jistě bude blízký všem novinářům a to určit kdo, co, kdy a kde udělal – k vedení útoku musíte mít cíl a ten cíl musíte být také schopni pojmenovat což v době, kdy NATO již skoro dvacet let postrádá oficiálního nepřítele, může být problém.

Pět minut po útoku – co se vlastně stalo?
Za prvé je nutné kybernetický útok detekovat a pochopit – představte si, že provozujete webovou službu, která z ničeho nic přestane fungovat. Zažitá představa „bezpečáka“ je taková, že se tým IT okamžitě začne věnovat útoku a zjištění kdo to udělal.

Ve skutečnosti první co budete řešit je příval telefonátů nespokojených zákazníků, narůstající provoz sítě způsobený opakovaným přístupem na stránky, dotazy novinářů a šéfů firmy, kteří pochopitelně chtějí vědět co se děje a hlavně obnovit službu, pokud možno co nejrychleji. V tomto zmatku budete hledat, zda problém je způsobený technickým selháním, chybou administrátora nebo prostě přetížeností služby. V případě kompromitace serveru problém můžete vyřešit přeformátováním serveru a obnovením zálohy (pokud ji máte), čímž, ale také přijdete o veškeré stopy, které hacker na serveru případně zanechal.

Hlavní veličinou zde je čas – pokud chcete hackera chytit, potřebujete zajistit důkazy dříve, než je stihne smazat a ocitáte se v situaci, kdy zápasíte s člověkem, který měl na přípravu měsíce, zatímco vy hrajete o každou minutu.

Řešením této situace, je provozování systému bezpečnostního monitoringu, který zaznamenává paralelně veškeré události na monitorované síti a tudíž nezávisle na postižených serverech uchovává veškeré stopy o tom, co hacker udělal. Navíc na anomální události umí i upozornit což umožňuje zachytit pokus o kybernetický útok dřív, než skutečně nastane.

Toto se pravděpodobně stalo v případě společnosti Lockheed Martin, která zřejmě na rozdíl od AČR podobný systém vlastní.

Cíl známý, původce neznámý
Zde se na rozdíl od předchozího bodu dostáváme na tenký led – pro pochopení situace se budeme muset podívat na malou exkurzi toho, jak internet vlastně funguje:

1. Jakákoliv komunikace přes internet probíhá pomocí balíčků tzv. packetů, které si lze představit, jako malé obálky obsahující vzkaz který se snažíte někomu doručit. Každý packet, který odešlete, tedy bude mít na sobě jak adresu doručitele, tak odesilatele, aby byla možná reciproční komunikace mezi uživatelem a serverem, nebo v našem případě útočníkem a obětí. O něco konkrétněji tedy bude zde vaše „jméno“, resp. MAC adresa což je unikátní identifikační číslo vašeho počítače a vaše adresa v síti, což je vaše IP adresa, ze které lze vyčíst zemi a ve většině případů i město odkud odesílatel pochází. Kompletní popis hlavičky packetu lze nalézt například zde. Nalezení útočníka tedy vypadá jednoduše – stačí objevit komunikaci mezi hackerem a vámi, tu analyzovat a posléze odpálit slavnostně řízenou střelu na lokalitu odkud útok vyšel. Jednoduché? Nikoliv. Hackeři pochopitelně tato úskalí znají, takže využívají mnoha způsobů jak svoji identitu schovat.
2. Využitím anonymních proxy serverů. Proxy server je počítač, který slouží jako prostředník při komunikaci mezi vámi a cílem Vaší komunikace. Tzv. transparentní proxy slouží většinou ve firmách jako dozorce nad provozem v síti, takže v AČR jej pravděpodobně důvěrně znáte jako službu, která blokuje nevhodné stránky. Zjednodušeně obálka vaších packetů bude vypadat takto: odesilatel: proxy.army.cz (uživatel voják) příjemce seznam.cz. Seznam tak bude vědět, že má posílat svou komunikaci zpátky proxy serveru a ten, že ji má přeposílat zpět vojákovi. Anonymní proxy funguje tak, že místo cílové IP adresy (voják), vloží identifikační číslo, které je anonymní. Pochopitelně proxy server si musí zaznamenat tabulku, kde přiřazuje anonymní ID ke skutečným IP adresám, takže majitel proxy serveru bude přesně znát, kdo a jakým způsobem přes danou proxy komunikuje.
3. Používáním TOR networku resp. tzv. cibulové proxy. Na tomto odkazu lze nalézt jak TOR funguje. Velmi krátce si jej lze představit jako systém vnořených obálek. Představte si, že chcete předat zprávu a nechcete, aby někdo věděl, že je od vás. Vyberete tedy tři lidi a každému pouze sdělíte, od koho má přijímat a komu má informaci dále dávat. Celá zpráva je pak navíc zašifrovaná a počet prostředníků můžete libovolně zvýšovat jak potřebujete.
4. Vytvořit si vlastní anonymní síť: v obou předchozích případech se spoléháte na cizího poskytovatele služby, který teoreticky by mohl prozradit vaší identitu nebo používat např. nedostatečné šifrování. Hacker nicméně se může rozhodnout jít po vlastní cestě, zavirovat nezabezpečené počítače uživatelů po celém světě a ty využít jako mosty, přes které provést útok. Po dokončení útoku stačí použít stejný software, který slouží k promazávání utajovaných dat z datových nosičů (tzv. wipe) a dokonale za sebou smazat stopy. Pro fajnšmejkry nabízím ještě několik odkazů na technologie používané v tomto smyslu jako je fast flux a reverse proxy.
5. Schovat se za legislativní neschopnost státu. Informace o proběhnuvších komunikací se relativně v krátkých intervalech mažou, což je přesně důvod proč EU uvedla v život směrnici č. 2006/24/ES a posléze ČR zákon o elektronických komunikacích (č. 127/2005 Sb.), jehož základem je právě to, aby poskytovatelé internetových služeb registrovali data o komunikaci na síti a byli ji schopni sdílet se státními orgány. Vzhledem k tomu, že tato služba je kvůli rozhodnutí ústavního soudu pozastavena, ČR by v současné době z pohledu zvenčí musela připadat přinejmenším jako blackbox – bylo by zajímavé v tomto ohledu sledovat narůstající hackerské aktivity procházející přes české servery a také pravděpodobně klesající počet uživatelů různých anonymizérů. Podobnou slepou uličku pro mapování původu komunikace představují i další státy, jako například Írán nebo Rusko. Ty běžně nespolupracují s cizími bezpečnostními složkami při vyšetřování kybernetických zločinů a upřímně pochybuji, že spolupracovat budou v případě, kdy za útoky sami stojí.

Nakonec si představte, že mapujete cestu packetu, který rychlostí světla procestoval např. od zdroje, přes ČR, Bangladeš, Srí Lanku, Rusko a Mongolsko až do Spojených států. Už Zobrazit další »