Tomáš Pluhařík: březnové DDoS útoky musel koordinovat někdo přímo v Česku

Lukáš Erben , 08. duben 2013 08:00 3 komentářů
Tomáš Pluhařík: březnové DDoS útoky musel koordinovat někdo přímo v Česku

Série útoků DOS a DDOS, které na počátku března zahltily a odstavily řadu tuzemských mediálních, bankovních či telekomunikačních serverů byla pro Česko šokem. Podle Tomáše Pluhaříka ze společnosti Ebase by majitelé a provozovatelé online portálů a služeb měli očekávat, že podobné incidenty se budou objevovat častěji i jako součást nekalého konkurenčního boje a být na ně dobře připraveni.

Nedávné DDOS či DOS útoky se zjevně odehrávaly podle určitého scénáře. Co lze z jejich průběhu a intenzity odvodit?

Tomáš Pluhařík má dlouholetou zkušenost s vedením rozsáhlých IT/enterprise projektů a portfólií v korporátním a SME prostředí v ČR i zahraničí. V minulosti pracoval pro BSC, Alfa bank, Vodafone, HP, Tmobile, GE, Telefonica O2 a další společnosti. V současné době působí jako Business developmnet manager ve společnosti eBase Solutions a zaměřuje se mimo jiné na oblast IT security a Performance management.
Tomáš Pluhařík má dlouholetou zkušenost s vedením rozsáhlých IT/enterprise projektů a portfólií v korporátním a SME prostředí v ČR i zahraničí. V minulosti pracoval pro BSC, Alfa bank, Vodafone, HP, Tmobile, GE, Telefonica O2 a další společnosti. V současné době působí jako Business developmnet manager ve společnosti eBase Solutions a zaměřuje se mimo jiné na oblast IT security a Performance management.

Je jednoznačné, že útoky koordinoval někdo přímo v Česku, nebo přinejmenším někdo s výbornou znalostí našeho internetového prostředí, tedy propojení a připojení jednotlivých ISP i konkrétních cílů a jejich architektury či infrastruktury. Cíle, které se dokázaly efektivně bránit, přitom útok obvykle poměrně dobře přestály, naopak organizacím, které nebyly připravené, nebo neměly dostatečnou rezervní kapacitu, útoky jejich online služby položily. Nicméně i tak intenzita a způsob vedení naznačují, že šlo spíše o cvičný útok než o velký úder. O tom svědčí i to, že se podle všeho nejednalo o skutečný distribuovaný útok (DDOS), ale spíše o přímý nebo jen mírně distribuovaný útok (DOS).

Co si máme představit pod pojmem „cvičný útok“?

V podstatě jsou dvě možnosti. Buď kdosi testoval odolnost infrastruktury u různých provozovatelů online služeb v Česku, nebo si někdo testoval sílu a možnosti své „útočné“ farmy. Vzhledem k tomu, že byly postupně zasaženy všechny prvky klíčové infrastruktury od státní infrastruktury, přes média a mobilní operátory až po banky, se klidně mohlo jednat o cvičení na téma „jak stát střední velikosti se západním typem infrastruktury dokáže odolat podobnému útoku o určité síle“.

Jedná se o neobvyklý případ nebo se podobné věci dějí i jinde? A proč by v takovém případě byla vybrána jako cíl právě Česká Republika?

DOS a DDOS útoky jsou ve světě naprosto běžné – a vzhledem k tomu, že je lze realizovat na objednávku a jsou i poměrně levné se dnes stávají například součástí konkurenčního boje. Česká republika je navíc ideální cíl: jsme součástí západního světa a navíc i EU, máme poměrně moderní infrastrukturu západního typu a většina velkých nadnárodních firem tu má pobočky, které jsou opět standardně chráněny. Zároveň jsme dostatečně malí, aby podobný útok nevyvolal nebezpečně velkou zpětnou reakci. Myslím, že kdyby někdo zkusil podobným způsobem zaútočit například na Polsko, Francii nebo dokonce Německo, riskoval by podstatně více.

Kolik vlastně dnes stojí takový DDOS útok na objednávku? A kdy se začnou běžně používat i u nás?

Díky botnetům jsou velmi levné – menší útoky lze objednat řádově za stovky až tisíce dolarů, přičemž škoda, kterou mohou napáchat odstavením středního či většího e-shopu, je řádově větší. Určitě se takové případy objevují už i u nás, zatím ale v poměrně malém měřítku.

Jak už jsme naznačili, útok měl jasné pořadí cílů: v pondělí to byla média a někteří ISP, v úterý přišel na řadu coby největší portál Seznam, ve středu banky a nakonec ve čtvrtek operátoři. Je v tom nějaká logika nebo smysl?

To pořadí do jisté míry koreluje s rostoucí silou zabezpečení jednotlivých serverů. Média mají obvykle značné kapacitní rezervy, na druhou stranu samotné zabezpečení bývá nižší a odpovídá tomu, že na zpravodajských serverech obvykle nejsou příliš citlivá data. V případě bank nebo telekomunikačních operátorů je zabezpečení na výrazně vyšší úrovni. V jejich případě představuje větší riziko kombinace silových útoků typu DOS nebo DDOS, které zaměstnají infrastrukturu i její administrátory a poskytnou tak kouřovou clonu skutečnému sofistikovanějšímu útoku na systémy s citlivými daty. Nepřekvapilo by mne, kdyby někdo právě takové postupy testoval v „ostrém provozu“.

Momentální stopy vedou do Ruska, nicméně tam podle všeho i končí. Jaká je šance, že se podaří skutečný zdroj útoku vypátrat?

Jistá naděje, že dostaneme z Ruska podrobnější informace, pochopitelně existuje, nicméně v současné době uplynuly od útoků více než dva týdny a s ohledem na to jak profesionálně a koordinovaně byly provedeny bych řekl, že dnes už není šance dohledat jejich původce. Možná se podaří najít nějaké dílčí stopy, ale ti, kdo vše organizovali, patrně odhaleni nebudou. Je zajímavé, že se podle všeho skutečně jednalo o útok DOS, tedy koncentrovaný útok z jednoho nebo několika míst a nikoliv typický distribuovaný útok, který využívá tisíce „zombie“ počítačů nic netušících uživatelů. Takový útok zároveň vyžaduje velmi odlišnou obrannou strategii.

Který z cílů u nás nejlépe útoky zvládnul?

Komunikační infrastruktura jako taková zvládala situaci poměrně dobře, v případě jednotlivých portálů a serverů se výpadky objevily – obvykle se ale jednalo o omezení dostupnosti služeb v řádu několika hodin a následky tak rozhodně nebyly fatální. Mnohem větší riziko by nastalo v případě, že by paralelně došlo k úspěšnému prolomení systémů obsahujících citlivá data. Z operátorů si, pokud vím, nejlépe vedl Vodafone, který udržel své servery v provozu. U bank si nejsem úplně jist.

Pokud mám správné informace, tak například České Spořitelně vypadl e-commerce a platby kartou u obchodníků.

To samozřejmě může být problém, zejména pokud takový stav trvá několik hodin, nebo se trefí do špičky u obchodníků. Nicméně i tak platí, že se jednalo o útok malé až střední síly, který byl navíc časově omezený. Pokud se někdo rozhodne, že Českou republiku takříkajíc „vypne“ na dva dny a naplánuje adekvátně silnější útok z více směrů a s využitím botnetů, tak se mu může podařit zahltit celou komunikační infrastrukturu.

Takže před skutečně silným útokem se nelze bránit?

Typická ochrana se dnes děje na úrovni síťové infrastruktury. Buď pasivním navýšením ochranného valu, to ale chrání jen před menšími útoky, nebo inteligentním vyhledáváním potenciálních útoků a jejich blokováním nebo přesměrováním, což zas může vést k blokování skutečných uživatelů. Z jejich hlediska je pak situace stejná, jako v případě probíhajícího útoku DOS nebo DDOS.

Někteří ISP doporučují zákazníkům mít pro podobné menší útoky dostatečnou kapacitu výkonu a přenosového pásma v datovém centru. Může i to být řešení?

Jistá forma řešení to sice je, ale poměrně drahá, takže si je mohou dovolit jen větší zákazníci. Navíc proti skutečně silnému útoku neochrání. Může ovšem poskytnout cenný čas v počátcích útoku, aby bylo snazší se rozhodnout jak reagovat, nebo snáze zamezit sekundárním útokům v době, kdy probíhá DOS či DDOS.

A jiné alternativy?

V rámci našich služeb nabízíme řešení PerfAction, které využívá pronajatou kapacitu v cloudu podle preferenci zakaznika – to nám dává v případě potřeby možnost využít obrovské rezervy a zároveň topologickou distribuci trafficu. Navíc jsme naše řešení navrhli tak, aby nedošlo k odepření služby z pohledu zákazníka. Toho dosáhneme tak, že síťový provoz, který detekujeme jako problematický, přesměrujeme mimo infrastrukturu zákazníka. Na naší cloudové infrastruktuře provedeme dodatečnou identifikaci či ověření uživatele jako je třeba captcha, která umožní odlišit skutečného uživatele či návštěvníka – toho pak vrátíme zpět na vlastní server, zatímco veškeré závadné dotazy a provoz přesměrujeme do cloudové „černé díry“. Toto celé nabízíme společně s prověřením celé infrastruktury formou penetračních a výkonnostních testů a simulací.

Černou dírou je v tomto případě stále Amazon?

Standardně je to cloud Amazonu, ale může to být i libovolný jiný cloud dle zadání zákazníka. Výhodou našeho řešení ochrany před DDOS je, že zákazník platí za využívání kapacity podle potřeby a nikoliv pořád. V rámci testů a přípravy jsme schopni škálovat řešení podle potřeby.

Děkujeme za rozhovor.

Lukáš Erben

Autor je šéfredaktorem časopisu Inside.


Komentáře

Petr K. #1
Petr K. 09. duben 2013 09:00

po bitve je kazdy general ze?

e #2
e 09. duben 2013 20:41

>že zákazník platí za využívání kapacity podle potřeby a nikoliv pořád

V dobe kapitalisticke honby za ziskem si toto primo rika o to nejake DDOS utoky vytvorit, pokud zadne dlouho nebudou prichazet. Kdo vi jak to vsechno bylo. Takzvane dat zakaznikum zaminku k preventivnimu objednani sluzeb. No doba je divna a mozne je uplne vsechno. Navic lidi jsou v dnesni dobe strasne svine.

Prikladem budiz autoservis ve kterem jsem nedavno byl po predani opraveneho auta zjistil "profesionalne" prestrizeny kablik k palivomeru. Proc? No abych prisel jeste jednou a zaplatil za zjisteni zavady a nasledne prace 400/h. Hrozne co s lidma delaji penize.

Tomas Pluharik #3
Tomas Pluharik 10. duben 2013 17:41

Nase poznatky vychazeji z analyz toho co probehlo (ano nektere veci proste udelate az post mortem). Je spis s podivem, ze neco takoveho probehlo v takovem rozsahu a organizaci az ted. Lide v nasem tymu se problematikou zabyvaji velmi dlouho a celkove podceneni bezpecnostnich rizik v ceskem IT je bohuzel problem. Osobne jsem to zazil i jako manazer ve velkych firmach - security byva casto prvni obet snizovani nakladu. Situace se v posledni dobe zacina zlepsovat, ale uvidime jak se to bude vyvijet.

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů