Český internet zažil na začátku března nebývalou vlnu kybernetických útoků. Pakety, kterými byly zahlceny servery dotčených společností, nejspíše pocházely ze stovek tisíc běžných počítačů, zotročených škodlivým kódem a zapojených do sítě zvané botnet.
Množství těchto "zombie" počítačů samozřejmě není přesně známé. Podle Vladimíra Brože, bezpečnostního experta společnosti Fortinet, je celosvětově takto zneužíváno odhadem 80 až 150 milionů domácích i firemních počítačů. Mezi nimi může teoreticky být i ten váš, aniž byste o tom měli tušení.
Právní odpovědnost za vlastní počítač
Zda z toho něco vyplývá pro majitele k trestné činnosti zneužitého počítače jsme se zeptali advokáta Martina Strnada ze společnosti Havel, Holásek & Partners.
Na vzestupuPodle statistik společnosti Fortinet roste množství DDoS útoků meziročně o 25 až 40 procent. |
Technet.cz: Je nějak postižitelný uživatel, jehož "zombie" počítač se na útoku podílel, byť bez jeho vědomí?
Strnad: Každý má povinnost předcházet hrozícím škodám. Pokud uživatel počítač rozumně zabezpečil a přesto byl tento počítač napaden zvenčí, povinnost k náhradě škody zde nejspíše nebude. Pokud uživatel počítač nezabezpečí a ten se stane účastníkem útoku, bude o případné odpovědnosti za způsobenou škodu rozhodovat soud. Jednou z proměnných v jeho rozhodování jistě bude i míra účasti počítače na útoku. V praxi si ale takový proces umím představit jen obtížně i z důvodu velmi vysokého počtu napadených počítačů.
Technet.cz: Obecně, je podle českých zákonů domácí uživatel IT zařízení zodpovědný za škodu (či trestný čin), která je prostřednictvím těchto zařízení spáchána? Například když laik nechá nezabezpečený wi-fi router a někdo přes tuto síť nelegálně uploaduje chráněné autorské dílo.
První DDoSPrvní velký zdokumentovaný DDoS útok byl proveden v roce 1999. Cílem byl komunikační (IRC) server univerzity v Minnesotě. Servery univerzity byly nedostupné dva dny. |
Strnad: Otázka je právně velmi složitá, ale v případě typického domácího uživatele bych se odpovědnosti za škodu spíše neobával. Situace ale bude jasnější až bude dostupná ustálená judikatura.
Vystopovat útočníka lze jen velmi těžko
Největší šanci na dopadení mají právě tyto "zombie" počítače, ze kterých fyzicky útok přichází. Původce útoku, tedy ten, kdo příkaz k útoku do botnetu poslal, nebo ten, kdo si tento útok objednal, nejspíše dopaden nebude. Může za to složitá struktura botnetu, jeho dynamicky se měnící podoba a také podvržené IP adresy, ze kterých pakety přicházejí. A také nutnost spolupráce s internetovými operátory, přes které je útočník připojen, což je u některých zemí obrovská překážka.
Více jsme se zeptali šéfa administrátorů společnosti Etnetera Martina Pohla, který se podílel například na minimalizaci následků útoku na servery společnosti O2.
2012Zlomový rok? Podle magazínu Infosecurity byly ve třetím čtvrtletí 2012 americké banky pod DDoS útoky s tokem balastních požadavků na úrovni 70 Gbit/s. Podle společnosti Gartner přitom datové toky při útocích v prvním pololetí stejného roku dosahovaly špiček "jen" kolem 5 Gbit/s. |
Technet.cz: Podle našich informací byly útoky prováděny z podvržených IP adres. Jak moc tento fakt ztíží vystopování původce útoku?
Pohl: Velmi. I když se podaří nějakým zázrakem identifikovat útočící počítač, tak je to pouze takový pěšák. Navíc obvykle jeho majitel ani netuší, že je účastníkem útoku. I tak je cenné takový počítač získat, jelikož obsahuje program, který jej připojuje do botnetu. Analýzou programu pak lze získat informace, kam konkrétně se počítač připojuje, a odkud je tedy ovládán. I tak není vyhráno, jelikož botnet se skládá z jednotlivých uzlů a aktivita v uzlu je pod přísnou kontrolou. Tedy pokud se do botnetu někdo připojí a začne se tam "rozhlížet" a zjišťovat třeba, které další počítače jsou tam připojeny, tak je obvykle rychle odhalen, odpojen a jeho přístup zrušen.
Technet.cz: Pokud by byl původce aktuálních DDoS útoků přesto vypátrán, jak bude dokazováno, že je opravdu útočníkem? Jaké stopy pro to budou klíčové?
Další cíl: aplikaceAž 25 procent DDoS útoků v roce 2013 bude vedeno proti aplikacím. Ty pak vytíží procesor a operační paměť napadeného systému a aplikace přestane reagovat. Ve své zprávě to uvádí společnost Gartner. |
Strnad: O tom rozhodují orgány činné v trestním řízení. Čekal bych, že půjde především o technické prostředky: záznamy provozu v telekomunikačních sítích a logy napadených společností, samozřejmě ve spojení s dalšími důkazy, jako je například výslech.
Technet.cz: Byl v České republice již někdy vynesen rozsudek právě v souvislosti s kybernetickým útokem?
Strnad: Ano, šlo například o útoky na elektronické bankovnictví, neoprávněný přístup do e-mailové schránky oběti či zneužití záznamů v informačních systémech banky.
Obrana proti útoku je velmi složitá a nikdy ne okamžitá
Charakter útoku, tedy zahlcení serverů ohromným množstvím nesmyslných požadavků, prakticky znemožňuje účinnou ochranu. Platí, že čím silnější servery a infrastrukturu napadený cíl má, tím lépe odolá útoku. Prostě stihne vyřídit požadavky útočníků i legitimních uživatelů. Pokud má útočník více výkonu než napadený, a to je u DDoS skoro pravidlo, je útok alespoň na určitou dobu úspěšný.
"Nedá se nic vypnout, nic filtrovat, nic blokovat. Protože se útočník vmísí do běžného provozu, můžeme blokovat buď všechny (tedy i legitimní) uživatele nebo nikoho," zjednodušil problematiku ve svém komentáři Vladimír Brož. "Ideální je mít více serverů v různých lokalitách, útočník pak musí rozložit své zdroje do více směrů útoku. Už naše babičky říkávaly: Nedávejte všechna vejce do jednoho košíku!" doplňuje Brož.
Normální TCP spojení mezi uživatelem a serverem. Uživatel pošle serveru paket s příznakem SYN, server odpoví paketem s příznakem SYN-ACK a uživatel (tj. jeho síťová karta) odpoví paketem s příznakem ACK. Říká se tomu třícestný handshake. (zdroj obrázků a části popisků: Wikipedia )
Narušená komunikace během DDoS útoku typu SYN flood. Útočník poslal mnoho paketů s příznakem SYN, ale už neposlal zpět žádný paket s příznakem ACK. Spojení jsou jen způli navázána a zabírají prostředky serveru. Jiný uživatel se zkouší připojit, ale server odmítá spojení - již na něj nemá kapacitu.
V případě útoku, který komplikoval český internetový život v prvním březnovém týdnu, situaci navíc komplikovaly již zmíněné podvržené IP adresy, ze kterých byly servery nesmyslnými požadavky bombardovány.
Technet.cz: Jak moc podvržené IP adresy ztěžují filtraci/blokování útoků?
Pohl: Opět velmi. V podstatě je filtrace podle zdrojové IP adresy spíše zoufalý pokus situaci nějak zvládnout. Reálně to problém s DoS útokem neřeší, jelikož pro část návštěvníků je prezentace stále nedostupná. Filtrace podle IP může být vhodná v případě, že je nutné na zařízení nastavit skutečně účinná pravidla a v daný okamžik to není možné kvůli extrémní zátěži, vyvolané obrovským množstvím dat, která musí dané zařízení zpracovat. Můžete tak na chvíli zařízení ulevit.
Byl to DDoS?komentář Ondřeje Filipa z CZ.NIC Je zajímavé, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí, a to silou v řádu stovek tisíc až milionů paketů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané. Při klasickém DDoS útoku, který používá botnet, přicházejí pakety z různých směrů a obvykle nejde žádný dominantní směr určit. Pokud by útočník využil takovýto botnet, jistě by měl největší zájem o zapojení uzlů právě z našeho území, které mají k cíli nejlepší spojení. Ale k tomu pravděpodobně (kromě toho odrazu z druhé fáze) nedošlo. Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť (nebo alespoň její dominantní část) poměrně geograficky omezená. |
Nejčastější reakcí síťařů je změna pravidel. Například zkrátí dobu, po kterou server čeká na odpověď druhé strany. Ta v případě požadavku útočícího "zombie" stroje nikdy nepřijde, a tak je čekání (které blokuje kapacitu serveru) zbytečné.
Cílům útoku unikají zisky. A co jejich zákaznici?
Zpravodajské weby přichází během útoků o čtenost a zobrazení reklamy. Bankám během útoku nefunguje on-line bankovnictví, a tak přicházejí o poplatky za transakce nebo objednané služby. Napadené subjekty mohou na policii podat trestní oznámení na neznámého pachatele. Ale co uživatelé těchto služeb?
Technet.cz: Má na náhradu škody nárok klient služby, kterému vznikla škoda v důsledku její nedostupnosti (např. nestihl odeslat včas platby v důsledku zablokování elektronického bankovnictví)?
Strnad: Nárok skutečně může vzniknout, ale pouze v případě, že škoda skutečně objektivně vznikla právě jako důsledek útoku a nebylo jí například možno zabránit uhrazením platby jinou formou apod. O odpovědnosti za škodu rozhoduje soud.
Závěr: o co komu jde?
Pokud bychom chtěli proběhlé DDoS útoky sumarizovat do jednoho výstižného výrazu, asi nejlépe by se hodilo slovo "opruz". Byly to v podstatě zbytečné hodiny práce administrátorů napadených systémů, zbytečně vynaložené prostředky za bezpečnostní konzultanty, zbytečně ušlé zisky z nedostupných služeb a především zbytečné komplikace pro klienty a uživatele nefunkčních služeb.
Radost z povedených útoků mohl mít jedině útočník. Mohl to být někdo, kdo si útoky zkoušel "nanečisto", než se pustí do nějakého většího cíle. Mohl to být provozovatel botnetu, který chtěl demonstrovat jeho sílu potenciálním klientům. Mohl to být někdo, kdo chtěl zaměstnat správce systémů hrubým útokem a mezitím nepozorovaně "hackovat" jinou část systému, třeba nějakou databázi. Co je však zatím zřejmé, o vydírání (zaplaťte a my toho necháme), nebo konkurenční boj (vaši klienti své požadavky zatím vyřídí u nás) tentokrát nešlo.
