Miliony webových kamer nakažených škodlivým kódem, které pak útočník ovládá z jednoho místa. Neuvěřitelné částky protelefonované po internetu na cizí účet prostřednictvím volání na placené linky kdesi v Africe. Nebo dva e-shopy, které proti sobě vedou útok hrubou silou s cílem zahltit síť protivníka. „Dá se říct, že v kyberprostoru probíhá permanentní válka. Zachytáváme i více než sto podezřelých událostí denně,“ říká Zbyněk Pospíchal, expert společnosti Quantcom. Ta je jedním ze čtyř největších tuzemských provozovatelů optických sítí, které slouží pro přenos dat. Firmy, hlavní terč, ale podle Pospíchala často vůbec nepočítají s tím, že nějaký útok může přijít.

zdroj: E15

Lidské aktivity se přesouvají do digitálního světa a pandemie koronaviru to jen urychlila. Co považujete za největší nebezpečí, která dnes v kyberprostoru číhají?

Největší hrozbou a největším možným zdrojem problémů je různě děravý software. Z toho se pak odvíjí, že se někdo s využitím nějaké bezpečnostní díry přihlásí někam, kam se přihlásit nemá, a spustí škodlivý kód. Konkrétně pak útočník může krást data nebo zneužívat cizí procesorový výkon k tomu, aby útočil někam dál. To jsou asi dva nejčastější případy, které připadají v úvahu. 

Co řeší z pohledu bezpečnosti provozovatel mezinárodní sítě, jako je Quantcom?

My jako telekomunikační operátor nemůžeme zasahovat do softwaru. My umíme pracovat s IP paketem, který spolu s námořním kontejnerem považujeme za dvě největší revoluce 20. století v doručování věcí a informací. IP paket je zjednodušeně řečeno balíček dat s nějakou hlavičkou, zdrojovou a cílovou adresou a dalšími náležitostmi. A to je základ veškeré digitální komunikace. My s IP paketem dokážeme mnoho, ale nikdy nedokážeme přesně určit, jestli o něj konkrétní adresát stojí nebo ne, protože tolik informací nemáme a nikdy z podstaty věci mít nebudeme.

Jaká je tedy vaše role v zabezpečení přenosové sítě a tím i jejích uživatelů? 

Pro nás je důležité, abychom data vůbec dokázali doručovat. K tomu potřebujeme zajistit, aby nám sítí neteklo nesmyslně velké množství dat, která v zásadě neslouží k ničemu jinému než k poškození nějakého cíle. V první řadě tedy řešíme DoS (denial of service) a DDoS (distributed denial of service) útoky, protože to vnímáme tak, že když neochráníme naši schopnost přenášet data, tak řešit veškeré další hrozby by bylo nepodstatné. Čili jedním z největších rizik jsou z našeho pohledu volumetrické útoky, jejichž cílem je způsobit přetížení sítě či koncových zařízení hrubou silou.

Logika je vždy taková, že útočník zahltí někomu přístupy k síti nebo jeho servery či jiná zařízení a pak požaduje „výkupné“?

Ty motivace mohou být různé – útočníci požadují protihodnotu nebo se jen chtějí předvést, že to dovedou, případně chtějí někoho prostě poškodit. Zaznamenali jsme třeba útoky mezi dvěma e-shopy navzájem. Obecně řečeno za tím mohou být důvody ekonomické, politické i třeba osobní. 

Způsobů, jak zahlcovat různé prvky sítí nebo různé linky, je celá řada. Koncovému stroji se vyčerpá počet spojení, která je schopen otevřít, případně se ta spojení drží dlouhodobě otevřená. Další variantou je posílat tolik dat, že se nevejdou do konkrétní linky, nebo se posílá velké množství malých paketů, aby to nějaký router či firewall nezvládl třídit a kontrolovat. Je dost běžné, že útoky bývají smíšené, tedy že se dějí několika způsoby zároveň. 

Jak často se takové útoky odehrávají? Zaregistroval jsem, že jen vy jich zachytíte třeba 100 denně.

Může jich být i více než 100 denně. Když se teď podívám na aktuální data, tak vidím za posledních 15 minut deset podezřelých událostí. Může jich být 30 nebo také žádná, ale to není moc běžné. Dlužno podotknout, že vše nemusí být nějaká nekalá činnost, může jít i o falešně pozitivní záchyty. Velkých útoků v řádu gigabitů za sekundu jsou jednotky týdně. Pak jsou útoky v řádu desítek až stovek gigabitů za sekundu a těch je podstatně méně, zhruba jeden na deset tisíc malých. Celkově je ale ten rozsah obrovský, útoky jsou automatizovány daleko víc, než si kdo dovede představit – víc než mají automatizovanou infrastrukturu operátoři, víc než mají automatizované operace konkrétní zákazníci. Dá se říct, že v kyberprostoru probíhá permanentní válka.

Zmínil jste falešně pozitivní záchyty. Podle čeho vlastně „zahlcovací“ útok rozeznáváte?

Falešně pozitivní záchyty jsou jeden z největších problémů, s nímž se setkáváme. My nějak reagujeme až na útoky, které jsou už poměrně velké a představují několikanásobek běžného provozu. Základem detekce je systém, který na perimetru sítě směrem k dalším operátorům sleduje datové toky, které mají významný podíl na provozu. Na základě dalších známek, třeba výrazných změn proti předchozímu stavu, tento systém analyzuje, zda se může jednat o „dosovský“ útok. Pokud je to dostatečně zjevné, zapojuje se nějaká forma ochrany. Ale protože existuje síťová neutralita, kterou EU vymáhá a podle níž se operátor nesmí vměšovat do provozu, zasahujeme jen v případech, které ohrožují naši síť jako celek, nebo pokud jsme se se zákazníkem na ochraně smluvně dohodli. 

Jak taková ochrana vypadá?

Možností je několik. Ta hlavní je, že se útok snažíme blokovat pomocí našich zařízení, například routerů, jimiž lze podle jistých pravidel některé toky zastavovat nebo brzdit. Ale zjednodušeně řečeno tohle síto často nemá potřebnou jemnost. Podezřelý tok dat také umíme pustit do zařízení, kterému se lidově říká pračka. Ta následně provoz na základě nějaké skupiny znaků propírá. Způsobů detekce a reakce je tam zabudovaných asi 30 a některé z nich jsou technicky velice zajímavé – IP pakety lze například zahazovat nikoli podle hlaviček, ale podle toho, co je v jejich obsahu. Tohle zařízení je poměrně chytré, ale obecně platí, že čím je síťové zařízení chytřejší, tím je pomalejší, tím menší zvládá kapacitu.

Existují vedle útoků směřujících k zahlcení sítě ještě jiné významné hrozby při přenosu dat?

Mohou se objevit nakažené „boty“ v sítích u zákazníků, kdy zjistíme, že nějaké jejich zařízení generuje provoz, který ten zákazník vytvářet nechce. Příkladem může být někdejší útok typu Mirai, v rámci něhož kdosi nakazil řádově miliony webových kamer a potom je z jednoho místa ovládal. „Nakažení“ ale může vypadat i tak, že útočník někam vsune kus závadného kódu, který jen čeká na rozkaz, a když rozkaz přijde, začne ho plnit. 

Pak jsou další varianty nežádoucího provozu, jako třeba spam.  

Jsou firmy jako hlavní terče na tuhle „válku“ připraveny? Jak velké škody jim působí?

My se obecně nebojíme nějakého zničeného hardwaru. To, co představuje při nedostupné službě největší problém, je ušlý zisk. Když si zákazník nemůže nakoupit v e-shopu, protože jeho web je nedostupný, nakoupí si jinde. Dost častým cílem jsou herní servery, kde hráči mohu přicházet o „investice“, které tam vložili, protože když je potřebují, server se stane nedostupným. Výsledkem útoku může být i poškození dobrého jména. My máme zkušenost, že ten, kdo si tím neprošel, kdo ten problém neměl, má tendence ho obrovsky podceňovat. 

Dá se říct, alespoň odhadem, kolik procent firem je takto lehkovážných? 

Minimálně 50 procent. To ale neznamená, že se tolik firem se síťovým útokem ještě nesetkalo. Mnoho z nich má však takovou zkušenost, že útok byl malý a způsobil jen drobné, zanedbatelné škody. Další firmy zase určité ztráty a třeba nefunkčnost nějaké služby mají jako předem plánovanou oběť. Což je jedna z možných strategií.

Když mluvíte o strategiích, na jakou nejčastější chybu v obranných postupech u firem narážíte?

Tou základní chybou je, že vůbec nepočítají s tím, že se něco takového může stát.  

Jeden z průzkumů amerického Ponemonova institutu ukázal, že i velké organizace s celými šiky IT odborníků mají informační systémy plné zranitelností. Ty se dají vyhledávat, upozorňují na ně výrobci softwaru. Jak ale může firma ověřit odolnost proti „zahlcovacímu“ útoku? 

My zákazníkovi umožňujeme představit si, jaký útok a jak velký dokáže zpracovat. Když mu aktivujeme přístup k ochrannému systému, kde si může útok sám blokovat, tak mu pak dokážeme paketovým generátorem posílat vzorky, s nimi se může učit dále pracovat a bránit se jim. 

Kybernetické hrozby jsou často skloňované téma, ale sám jste zmínil, že zůstávají hrubě podceňované. Pojďme tedy k velmi konkrétnímu příkladu, jaké následky může kyberútok mít. Ve Spojených státech, zejména na jihovýchodě země, loni nastala krize na trhu s pohonnými hmotami poté, co hackeři zablokovali systémy největšího provozovatele potrubí na přepravu ropných produktů Colonial Pipeline. Jak se něco takového mohlo stát? 

Podle našeho názoru je to kombinace příčin, podobně jako u leteckých nehod, které zpravidla také nezpůsobí jedna chyba. Hackeři museli velmi dobře znát způsob, jakým probíhalo řízení toho produktovodu, museli například umět ovládat jeho ventily. Podobné průmyslové aplikace v uzavřených sítích si často s bezpečností moc hlavu nelámou. Bývá tam zabezpečení nějakým jménem a heslem, které se dá triviálně odposlechnout, někdy ani to ne. Prostě se předpokládá, že se útočník do uzavřené sítě nemůže dostat, což je bohužel velký omyl, a když se dovnitř probourá, může prakticky všechno. Pak dává smysl použít vrstvený bezpečnostní model, který zabezpečuje všechno proti všemu, a to, že se zloděj dostal do předsíně, ještě nemusí znamenat, že se dostane do obývacího pokoje a do ložnice. Každý obranný systém jde nakonec nějak prolomit, ale jde vždy o to, kolik útočník musí investovat úsilí, aby ten útok provedl, a zda tomu bude odpovídat jeho odměna. V tomto případě se útočníci museli dostat k interním informacím.

Můžete zmínit nějaké zajímavé případy útoků z vlastní zkušenosti?

Dost časté jsou útoky proti operátorům, kteří poskytují hlasové služby po internetu. Buď jde o to, že se útočník snaží otevřít jednotlivé relace a drží jich co nejvíce otevřených, čímž znemožňuje provoz jejich hlasových serverů. Nebo se pokusí přímo o útok hrubou silou na přihlašovací údaje, a pokud uspěje, dokáže na cizí účet protelefonovat naprosto neuvěřitelné peníze třeba na placené linky v Kamerunu. Paradoxem je, že dostává peníze za příchozí minutu, třeba deset centů, ale poškozený platí třeba 3,3 dolaru, takže jeho škoda je naprosto nepřiměřená zisku útočníka. 

A příklad přímo ze zkušenosti Quantcomu? 

Měli jsme útok, který měl kolem 40 až 50 gigabitů za sekundu, což už může odpovídat internetovému provozu menšího, řekněme desetitisícového města. Ten byl zajímavý i tím, že nebylo možné najít společný znak provozu na úrovni hlaviček a nežádoucí pakety jsme rozpoznali a zahazovali až podle stejných útržků hodnot v jejich samotném obsahu (payload). Což je věc, která není běžná a zpravidla ji neumí ani firewally, které mají takzvaný paketový filtr.

Často se říká, že největší slabinou IT systémů jsou jejich uživatelé, v případě firem jejich zaměstnanci, kteří se mohou i nechtěně stát trojským koněm útočníka. Máte pro to nějaké řešení?

Tohle je problém, který leží za hradbou, kam my už nevstupujeme. Útoky směřující k zahlcení sítě jsou zpravidla dost tupé, a pokud by ten útočník měl dvířka, která zmiňujete, pravděpodobně by je využil a neútočil by hrubou silou.