Jak nebezpečný je internet?

Přinášíme vám výsledky testu internetové bezpečnosti. Závěry jsou jedním slovem děsivé. Skenování portů probíhalo neustále, útoky přicházely ze všech koutů světa a v každou denní dobu.

Jaké nebezpečí představuje internet? Všichni jsme četli o kyberteroristech, zlodějích identity, síťových sabotérech, podvodnících zneužívajících čísla kreditních karet, vandalech ničících webové stránky, hackerech, crackerech i o nezkušených hackerech známých jako „script kiddies“. Jak naléhavé nebezpečí tito lidé ale opravdu představují? A kdo je vlastně „tam venku“? Odkud tito lidé pocházejí a čeho chtějí dosáhnout?

Abychom mohli na výše položené otázky odpovědět, realizovali jsme test, v jehož rámci jsme pořídili záznam činnosti probíhající na internetu ve třech různých prostředích. Zaměřili jsme se na páteřní síť internetu, ale podívali jsme se také hned na hranice jedné univerzitní sítě a nakonec jsme se soustředili i na úroveň firewallů skupiny firemních zákazníků.
Než jsme přistoupili ke sledování přenosů škodlivých dat přímo na páteřní síti internet, konzultovali jsme náš záměr s odborníky ze společnost i-Trap Internet Security Services. Tato společnost po dva týdny sledovala a analyzovala vzorky nedovolené činnosti na internetu shromážděné na trojici senzorů Snort detekujících napadení regionálního ISP (Internet Service Provider). Tato data poskytují hloubkový pohled na útoky vedené na podnikové sítě poté, kdy hackeři dokončí průzkumnou činnost (scan) na síti a určí si cíle svých útoků.
Napojili jsme se rovněž na systém detekce a prevence napadení vyvinutý společností ForeScout Technologies, který je umístěn na okraji univerzitní informační sítě s deseti tisíci uzly, která slouží největší izraelské univerzitě. Z tohoto místa jsme mohli sledovat, jakým způsobem hackeři provádějí průzkum sítě a přesně určit, kteří z nich se k potenciálně zranitelným místům vracejí, aby napáchali škodu.
A také jsme sledovali záznamy firewallů 24 firemních zákazníků využívajících sítě společnosti i-Trap.

Napadané porty
Po 12 hodin jsme shromažďovali data na 24 firewallech umístěných mezi lokálními sítěmi 24 firem v Ohiu a páteřní sítí internet (připojení bylo poskytováno přes regionálního ISP). Během této doby bylo hlášeno 12 000 bezpečnostních incidentů, kdy hackeři podnikali útoky na blokované porty. Přehled portů, které byly nejčastěji zneužity, a informace o nich naleznete v tabulce.
To, co jsme zjistili, je jedním slovem děsivé. A to ať už jde o pouhý rozsah potenciálně nebezpečného skenování portů probíhajícího na každé z daných sítí, o rozmanité způsoby, které hackeři používají k průnikům, o vytrvalost, kterou při tom vykazovali nebo o skutečnost, že tyto útoky přicházely ze všech koutů světa a probíhaly ve dne i v nocí.
Zde jsou výsledky našeho pozorování v kostce:
* Jenom během posledních 6 měsíců se množství potenciálně nebezpečného provozu na internetu v některých případech až ztrojnásobilo.
* Na tvorbě šumu v pozadí vznikajícího při provozu na internetu měla hlavní podíl průzkumná činnost hackerů. Vzorky dat, které jsme shromáždili, ukazují, že 45 až 50 % podezřelé činnosti představuje průzkumná činnost hackerů.
* Většina pokusů o napadení je výsledkem automatizovaných, skriptovaných útoků podniknutých z již dříve kompromitovaných strojů.
* Důvodem hackerských útoků na sledované sítě bylo najít počítače, které by mohly být použity k rozesílání spamu, lokalizace paměťového prostoru vhodného pro umístění škodlivých souborů a získání kontroly nad počítači, ze kterých by bylo možné zahájit další útoky.

Tisíce útoků
Zajímavé výsledky dalo rovněž 14denní sledování provozu na okraji univerzitní sítě. Ta je tvořena více než 10 000 uzly, vlastní 128 00 veřejných IP adres a využívá 100Mb/s připojení k internetu.
Od časných ranních hodin prvního dne až do půlnoci 14. dne došlo na síti sloužící telavivské univerzitě k 96 000 případům vyhledávání otevřených portů a v této době síť odolala náporu 82 000 hackerů z 99 zemí, kteří se k těmto na první pohled otevřeným portům vrátili a pokusili se zjistit, zda je mohou využít k napáchání škody.
Lze tedy z těchto statistik usoudit, že  pro univerzitní IT manažery, jejichž úkolem je držet nežádoucí návštěvníky internetu v patřičných mezích, představovaly tyto týdny zvýšenou míru nebezpečí? „Tato čísla bohužel reflektují každodenní provoz,“ říká Oded Comay, CTO společnosti ForeScout Technologies, jejíž technologie ActiveScout pro prevenci napadení sítě pomáhá předejít útokům na síť univerzity. „Je to skutečně běžné,“ dodává Comay, „přinejmenším v dnešní době, kdy vzrůstá počet vysoce automatizovaných útoků a počítačových červů, kteří se do podnikových sítí dokáží zavrtat bleskovou rychlostí.“
Technologie ActiveScout vychází z předpokladu, že před zahájením útoku hackeři provádějí průzkumnou činnost zranitelných míst. Senzor ActiveScout je umístěn za hlavním firewallem univerzity, kde sleduje příchozí datový provoz a zjišťuje, zda neobsahuje podezřelé pokusy o sondáž sítě. Pokud senzor identifikuje průzkumnou činnost, poskytne jejímu původci falešné informace -- například falešné zdroje, služby, porty a IP adresy. Pokud se ten samý útočník pokusí využít získaných falešných informací k útoku, senzor ActiveScout mu přístup do sítě odepře.

Skenuji, tedy útočím
Kromě jednodenní výchylky zaznamenané v provozu UDP (User Datagram Protocol) naše pozorování ukázala, že v 96,3 % případů panovala shoda mezi scany a odhalenými útočníky. Po každém scanu tedy za nějaký čas následoval útok ze stejného zdroje.
Příčinou jsou počítačoví červi. Díky svému automatizovnému a rychlému mechanismu šíření mají obecně za následek nejméně 90 % útoků, kdy systematicky a synchronizovaně hledají slabá místa a vzápětí spouštějí útok.
Pokud se podíváme na seznam zemí, z nichž útoky přicházely nejčastěji, zjistíme mimo jiné, že většina pokusů pocházejících z Číny a USA probíhala formou automatizovaných útoků. Podle informací ActiveScoutu se tito červi šíří příliš rychle a časový interval mezi scanem a pokusem o útok je příliš krátký na to, aby člověk mohl zasáhnout. Navíc probíhají útoky červů opakovaně -– programy vyhledávají vhodné porty a v masovém měřítku na ně útočí.
Jak tvrdí představitelé ActiveScoutu, kteří již více než rok korelují data z množství různých systémů svých zákazníků, pomineme-li činnost červů, dostaneme asi 30% poměr průzkumné činnosti a skutečných pokusů o útok (scan-to-attack ratio). To znamená, že z deseti scanujících potenciálních útočníků se tři vrátí a skutečně zaútočí. Schopnost odlišit skutečné hackery od lidí, kteří si jen tak pro zábavu pohrávají se skripty, velmi záleží na tom, zda dokážeme filtrovat šum v pozadí internetu a odhalit skutečné hrozby.

Porty v ohrožení
Na prvním místě v seznamu průzkumných metod použitých útočníky při pokusech o průnik do univerzitní sítě bylo hledání otevřených portů. Skenování portů ve skutečnosti představovalo 96 % veškeré průzkumné činnosti hackerů. Následovalo skenování UDP služeb (3,7 % provedené průzkumné činnosti). Zbývajících 0,3% představovalo vyhledávání uživatelských jmen a hesel, informací NetBIOS Domain logon a SNMP management dat.
Je však důležité si uvědomit, že zaměstnanci oddělení zabezpečující univerzitní síť zavádějí přísná opatření, aby zamezili útokům červů a redukovali obrovské množství síťového provozu a také slabiny v protokolu NetBIOS, které by mohly umožnit infikování všech počítačů s operačním systémem Windows. Univerzita požádala svého ISP, aby filtroval veškerý provoz NetBIOS předtím, než bude vyslán na spoj propojující univerzitu s internetem, takže poměrně nízký počet NetBIOS scanů –- pouze 100 z celkového počtu –- je číslo poněkud zkreslené.
Abychom zjistili, jak velkou úlohu mohou na síti hrát scany NetBIOSu, napojili jsme se na uzel ForeScoutu, který chrání středně velkou firmu v Kalifornii disponující 255 veřejnými IP adresami a T-1 připojením na internet. Čtyři nejčastější scany měly stejné pořadí jako ve vzorku z izraelské univerzity, jejich procentuální reprezentace však byly více rozložené. Scany portů činily 50 %, UDP scany 20 %, NetBIOS scany a scany uživatelských jmen a hesel představovaly oba po 15 %.
Před šesti měsíci scany portů a NetBIOSu tvořily hlavní část průzkumné činnosti na tomto uzlu, přesněji 56 % a 43 % (v tomto pořadí). Je však třeba vzít v úvahu také skutečnost, že v období od ledna do července vzrostl celkový počet scanů cílených na tento uzel o 260 %.

Ohrožené služby
Technologie ActiveScoutu rovněž sleduje, na jaké služby se hackeři zaměřují z hlediska  počtu provedených útoků složených ze scanů a z vlastních útoků. Na univerzitní síti se hackeři snažili získat přístup ke službám přenosu webových stránek, které běží na univerzitních webových serverech na TCP portu 80. Na druhém místě byly síťové služby založené na Windows; k těm se hackeři snaží dostat přes porty 135, 139 a 445, kde mohou napadnout Microsoft DCE locator service, souborové a tiskové služby a SMB over TCP transport services (v tomto pořadí).
Mezi další důležité služby patří FTP služby probíhající přes port 21 –- pokud by se narušiteli podařilo získat k nim přístup, mohl by je například využít k ukládání nelegálních MP3 souborů. Dále sem patří Squid proxy služby probíhající přes port 3 128, které by při kompromitaci mohly sloužit pro rozesílání spamu, a Microsoft SQL Servery přístupné na portu 1 433. Bylo velkým překvapením, když byl port 1 433 v lednu napaden červem MS-SQL Slammer, a protože případy scanů cílených na tento port jsou dosud velmi časté, znamená to, že SQL červi jsou „venku“ stále připraveni, hledají a pravděpodobně také nacházejí stroje bez aplikovaných záplat, které následně napadají.

Co vlastně chtějí?
Průzkumy ukazují, že většina hackerů hledá místa vhodná pro rozesílání spamu; jiní pak chtějí šířit počítačové červy či získat kontrolu nad vaším počítačem. Uvedené skutečnosti dokazuje i náš test -- a analýza zaznamenaných výstražných hlášení.
Jeden milión sedm set tisíc výstrah v časovém období dvou týdnů v červenci vypadá jako velmi vysoké číslo. Johna Clarka, generálního manažera i-Trap Internet Security Services, však příliš neznepokojuje.
Clarke a jeho tým bezpečnostních analytiků monitorují tři senzory systému detekce napadení umístěných na páteřní síti regionálního ISP v Clevelandu a v šumu na pozadí internetového provozu, který denně proniká a zasahuje do běžného provozu sítě, identifikují a likvidují vážné pokusy o útok.
Podle Clarka při posuzování počtu alertů záleží na tom, z jakého úhlu se na celou věc díváme. Během kterýchkoliv dvou týdnů projde touto páteřní sítí nejméně 3,3 miliard paketů a pouze 0,052 % z tohoto množství je označeno jako potenciální bezpečnostní událost (security event), což není až tak znepokojivé. Počet alertů se však během posledních šesti měsíců ztrojnásobil, a to je děsivé.
Pohled zblízka ukáže, že z 1,7 miliónu alertů jich 120 000 bude s velkou pravděpodobností falešných (false positives), což je opatrný odhad založený na zkušenosti týmu společnosti i-Trap.
Dalších 765 000 alertů je vyvoláno operacemi průzkumné činnosti na síti spíše než skutečnými útoky. Počet potenciálně nebezpečných útoků se tedy redukuje na 800 000.
Chceme-li toto číslo ještě o trochu snížit, představme si, že průměrně velká společnost se středně velkou sítí obsluhovanou tímto ISP by v kterémkoliv dvoutýdenním období během nedávné doby zaznamenala 32 000 bezpečnostních hlášení. Třicet dva tisíc je rozhodně lepší než 1,7 miliónu, avšak k napáchání spouště na firemní síti postačí jeden nebezpečný útok. Je tedy třeba po určitou dobu pozorně sledovat hlášené události a zjišťovat, kdy se jedná o šum v pozadí a kdy o škodlivou činnost.
Vycházeli jsme z dlouhodobém náhledu na monitorovanou síť a požádali jsme Johna Clarka a jeho tým, aby prošel vzorek našich dat a určil 10 nejčastějších signálů nebezpečí. Zde jsou seřazeny podle četnosti výskytu:

1. Snort alert: Proxy rules -- počet alertů: 592 171. Záměr útoku: Použít proxy pro rozesílání spamu. Téměř vždy se jedná o příchozí scany. Pokud útočník najde otevřený proxy server, může jej využít pro předstírání cizí identity a spustit útok na další hostitelské systémy. Odlišný vzor provozu upozorní, že byl objeven otevřený proxy a je využíván k útoku.

2. Snort alert: MS-SQL Worm propagation attempt -- počet alertů: 373 107. Záměr útoku: Šíření počítačového červa.
Alert upozorňuje, že systém jednoho ze zákazníků napadl MS-SQL Slammer Worm, který se pokouší šířit dál. V tomto případě bylo z jedné zdrojové adresy sítě zasaženo 99,9 % cílových adres, což znamená, že červ adresy náhodně prohledával, avšak na každý cíl vyslal pouze jeden pokus o útok. ISP chce zabránit tomu, aby jeho zákazníci přispívali k šíření červů, proto informuje společnost vlastnící napadený stroj ještě předtím, než z ostatních sítí začnou přicházet stížnosti.

3. Snort alert: bad-traffic, loopback traffic -- počet alertů: 26 770. Záměr útoku: Spoofing. Pakety se zdrojovou IP adresou 127.0.0.1 signalizují takzvaný spoofed traffic (paket předstírá, že byl odeslán z jiné adresy než ve skutečnosti). Vysledovat skutečný zdroj tohoto paketu je velmi obtížné, či téměř nemožné. Na nesprávně nakonfigurovaném stroji (či na stroji s neaktuálními bezpečnostními záplatami) by tato metoda útoku mohla počítač přesvědčit o tom, že komunikuje sám se sebou, a poskytnout útočníkovi možnost šířit spam nebo z cílového počítače odcizit informace.

4. Snort alert: Telnet logon incorrect -- počet alertů: 20 874. Záměr útoku: Získat kontrolu nad zařízením. Když jsme se blíže podívali na řadu těchto alertů, zjistili jsme, že většina paketů byla odeslána pouze ze dvou zdrojových adres umístěných na síti ISP. V případě tohoto konkrétního vzoru senzor indikoval odchozí odezvy hostů, na které byly opakovaně cíleny pokusy o přihlášení (incorrect logon). To je důvod k obavám, protože tyto dva stroje byly pravděpodobně zasaženy slovníkovým útokem (dictionary attack), který –- pokud trvá dostatečně dlouhou dobu -– může způsobit kompromitaci.

5: Snort alert: ICMP ping rules -- počet alertů: 15 047. Záměr útoku: Útok typu DoS. Ping provoz je běžnou věcí. Příkaz ping se široce využívá jako nástroj odstraňování chyb a pro diagnostiku, ale také při skenování a k DoS útokům. Odlišný vzor by byl důvodem k obavám. V tomto případě však tým společnosti i-Trap využil statistiku provozu v reálném čase, aby vysledoval frekvenci výskytu těchto pingů. V relativně krátkém časovém úseku (5 až 60 minut) síť nezasáhly velké objemy ping provozu. Závěr: Nejde o pokus o DoS útok.

6. Snort alert: Formail rules -- počet alertů: 2 508. Záměr útoku: Poškození e-mailové služby. Formail je program, který se používá ke zpracování a posílání e-mailové pošty. Při nesprávné konfiguraci počítače jej útočník může použít jako zdroj pro rozesílání spamu. Během dvou týdnů našeho sledování alertů se žádnému útočníkovi takový počítač nepodařilo najít, podle odborníků ze společnosti i-Trap dochází obvykle k bezpečnostnímu incidentu tohoto druhu jednou do měsíce (je sledováno 1 500 webů zákazníků ISP), kdy je nalezen napadnutelný stroj a následně využit k rozesílání nevyžádané pošty.

7. Snort alert: NetBIOS IPC$ share access -- počet alertů: 1 139. Záměr útoku: Získat plná administrátorská práva.
IPC$ share je administrativní rys systému Windows, který –- pokud je zneužit hackerem -– mu poskytne administrátorská práva nad počítačem. Průlom IPC$ share vyžaduje znalost 3 informací: share name (které má každý systém Windows NT, 2000 a nový systém 2003 a které nelze odstranit nebo změnit), uživatelského jména správce (standardně nastaveno na Administrator, obvykle se nemění) a hesla. Tento rys by neměl být využitelný z prostředí vně lokální sítě, a pokud vidíme pokusy o jeho prolomení přicházející z internetu, je to neklamné znamení, že se někdo pokouší do těchto strojů proniknout.

8. Snort alert: RPC portmap rules -- počet alertů: 160. Záměr útoku: Získat administrátorská práva. Tyto alerty se objevují, pokud hackeři hledají počítače s operačními systémy Linux a Unix bez aplikovaných bezpečnostních oprav. Pokud je takový stroj objeven, zranitelná místa v modelu RPC hackerovi snadno umožní získat plnou kontrolu nad cílovým objektem. Po dobu našeho sledování se pokusy o prolomení RPC nevyskytly, avšak stojí za zmínku, že průzkum těchto zranitelných míst probíhal docela vytrvale a operátoři systémů by si měli dávat velký pozor, aby na slabá místa RPC aplikovali bezpečnostní záplaty.

9. Snort alert: SCAN SSH Version map attempt -- počet alertů: 13. Záměr útoku: Získat administrátorská práva.
Alerty představují průzkum zranitelných míst v Secure Shell (SSH) –- technice, která se používá k vzdálenému získání administrativních práv k Unix nebo systémům Linux. V SSH službě existují známá napadnutelná místa a uživatelé, kteří používají Linux, bývají obvykle s aplikacemi bezpečnostních záplat pozadu, jelikož tato opatření vyžadují na rozdíl od použití Windows Update manuální postup. Pokud je objeven zranitelný systém, trhliny v SSH umožní útočníkovi získat plnou kontrolu nad systémem. Během našeho dvoutýdenního sledování se neobjevil žádný doklad úspěšného útoku na SSH. Tyto pokusy se obvykle objevují ve skupinách, avšak v malém počtu, takže lze manuálním postupem zjistit, zda došlo ke kompromitaci.

10. Snort alert: Policy FTP rules -- počet alertů: 11. Záměr útoku: Ukládat zakázané soubory. Tyto alerty se objeví při úspěšném FTP přihlášení –- ať už přes anonymní účet či jiným způsobem –- a uživatel získá přístup k FTP serveru. Tato skupina pravidel pak obvykle umožňuje zjistit, že si někdo založil stránku pro distribuci pirátského softwaru. Indikuje, že se uživatel pokouší vytvářet skryté adresáře a získat přístup k úložným systémům na zařízeních, ke kterým by přístup mít neměl.

Kdy po vás jdou
Hackeři o víkendech rozhodně neodpočívají. Každý den v týdnu byl systém prevence napadení sítě univerzity v Tel Avivu zasažen stejným počtem případů jak průzkumné činnosti (scans), tak skutečných útoků (bites). Při našem testování nastala špička v předposlední den testů -- což bylo, patrně čistě náhodou, úterý. Obecně lze říci, že největší objem útoků je zaznamenán v okamžiku, kdy začne útočit nějaký nový červ a většina systémů ještě nemá aplikovány příslušné bezpečnostní záplaty.

Článek přinášíme ve spolupráci s týdeníkem Computerworld.

Autor:
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 20 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 20 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 33 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Jarní bouře ničila před 100 lety Prahu. Napáchala obří škody

v diskusi je 10 příspěvků

27. března 2024

Prahou prošla před 100 lety, 27. března 1924, neobvykle silná jarní bouřka. V části hlavního města...

Šárka Hamrusová: Díky laktační poradkyni jsem si přestala myslet, že je chyba ve mně
Šárka Hamrusová: Díky laktační poradkyni jsem si přestala myslet, že je chyba ve mně

Šárka chtěla kojit. Chvíli to ale vypadalo, že se jí to nepodaří. Díky správně zvolené laktační poradkyni nakonec dosáhla úspěchu. Poslechněte si...

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...