Tomáš Pluhařík: březnové DDoS útoky musel koordinovat někdo přímo v Česku

Lukáš Erben , 08. duben 2013 08:00 3 komentářů
Tomáš Pluhařík: březnové DDoS útoky musel koordinovat někdo přímo v Česku

Série útoků DOS a DDOS, které na počátku března zahltily a odstavily řadu tuzemských mediálních, bankovních či telekomunikačních serverů byla pro Česko šokem. Podle Tomáše Pluhaříka ze společnosti Ebase by majitelé a provozovatelé online portálů a služeb měli očekávat, že podobné incidenty se budou objevovat častěji i jako součást nekalého konkurenčního boje a být na ně dobře připraveni.

Nedávné DDOS či DOS útoky se zjevně odehrávaly podle určitého scénáře. Co lze z jejich průběhu a intenzity odvodit?

Tomáš Pluhařík má dlouholetou zkušenost s vedením rozsáhlých IT/enterprise projektů a portfólií v korporátním a SME prostředí v ČR i zahraničí. V minulosti pracoval pro BSC, Alfa bank, Vodafone, HP, Tmobile, GE, Telefonica O2 a další společnosti. V současné době působí jako Business developmnet manager ve společnosti eBase Solutions a zaměřuje se mimo jiné na oblast IT security a Performance management.
Tomáš Pluhařík má dlouholetou zkušenost s vedením rozsáhlých IT/enterprise projektů a portfólií v korporátním a SME prostředí v ČR i zahraničí. V minulosti pracoval pro BSC, Alfa bank, Vodafone, HP, Tmobile, GE, Telefonica O2 a další společnosti. V současné době působí jako Business developmnet manager ve společnosti eBase Solutions a zaměřuje se mimo jiné na oblast IT security a Performance management.

Je jednoznačné, že útoky koordinoval někdo přímo v Česku, nebo přinejmenším někdo s výbornou znalostí našeho internetového prostředí, tedy propojení a připojení jednotlivých ISP i konkrétních cílů a jejich architektury či infrastruktury. Cíle, které se dokázaly efektivně bránit, přitom útok obvykle poměrně dobře přestály, naopak organizacím, které nebyly připravené, nebo neměly dostatečnou rezervní kapacitu, útoky jejich online služby položily. Nicméně i tak intenzita a způsob vedení naznačují, že šlo spíše o cvičný útok než o velký úder. O tom svědčí i to, že se podle všeho nejednalo o skutečný distribuovaný útok (DDOS), ale spíše o přímý nebo jen mírně distribuovaný útok (DOS).

Co si máme představit pod pojmem „cvičný útok“?

V podstatě jsou dvě možnosti. Buď kdosi testoval odolnost infrastruktury u různých provozovatelů online služeb v Česku, nebo si někdo testoval sílu a možnosti své „útočné“ farmy. Vzhledem k tomu, že byly postupně zasaženy všechny prvky klíčové infrastruktury od státní infrastruktury, přes média a mobilní operátory až po banky, se klidně mohlo jednat o cvičení na téma „jak stát střední velikosti se západním typem infrastruktury dokáže odolat podobnému útoku o určité síle“.

Jedná se o neobvyklý případ nebo se podobné věci dějí i jinde? A proč by v takovém případě byla vybrána jako cíl právě Česká Republika?

DOS a DDOS útoky jsou ve světě naprosto běžné – a vzhledem k tomu, že je lze realizovat na objednávku a jsou i poměrně levné se dnes stávají například součástí konkurenčního boje. Česká republika je navíc ideální cíl: jsme součástí západního světa a navíc i EU, máme poměrně moderní infrastrukturu západního typu a většina velkých nadnárodních firem tu má pobočky, které jsou opět standardně chráněny. Zároveň jsme dostatečně malí, aby podobný útok nevyvolal nebezpečně velkou zpětnou reakci. Myslím, že kdyby někdo zkusil podobným způsobem zaútočit například na Polsko, Francii nebo dokonce Německo, riskoval by podstatně více.

Kolik vlastně dnes stojí takový DDOS útok na objednávku? A kdy se začnou běžně používat i u nás?

Díky botnetům jsou velmi levné – menší útoky lze objednat řádově za stovky až tisíce dolarů, přičemž škoda, kterou mohou napáchat odstavením středního či většího e-shopu, je řádově větší. Určitě se takové případy objevují už i u nás, zatím ale v poměrně malém měřítku.

Jak už jsme naznačili, útok měl jasné pořadí cílů: v pondělí to byla média a někteří ISP, v úterý přišel na řadu coby největší portál Seznam, ve středu banky a nakonec ve čtvrtek operátoři. Je v tom nějaká logika nebo smysl?

To pořadí do jisté míry koreluje s rostoucí silou zabezpečení jednotlivých serverů. Média mají obvykle značné kapacitní rezervy, na druhou stranu samotné zabezpečení bývá nižší a odpovídá tomu, že na zpravodajských serverech obvykle nejsou příliš citlivá data. V případě bank nebo telekomunikačních operátorů je zabezpečení na výrazně vyšší úrovni. V jejich případě představuje větší riziko kombinace silových útoků typu DOS nebo DDOS, které zaměstnají infrastrukturu i její administrátory a poskytnou tak kouřovou clonu skutečnému sofistikovanějšímu útoku na systémy s citlivými daty. Nepřekvapilo by mne, kdyby někdo právě takové postupy testoval v „ostrém provozu“.

Momentální stopy vedou do Ruska, nicméně tam podle všeho i končí. Jaká je šance, že se podaří skutečný zdroj útoku vypátrat?

Jistá naděje, že dostaneme z Ruska podrobnější informace, pochopitelně existuje, nicméně v současné době uplynuly od útoků více než dva týdny a s ohledem na to jak profesionálně a koordinovaně byly provedeny bych řekl, že dnes už není šance dohledat jejich původce. Možná se podaří najít nějaké dílčí stopy, ale ti, kdo vše organizovali, patrně odhaleni nebudou. Je zajímavé, že se podle všeho skutečně jednalo o útok DOS, tedy koncentrovaný útok z jednoho nebo několika míst a nikoliv typický distribuovaný útok, který využívá tisíce „zombie“ počítačů nic netušících uživatelů. Takový útok zároveň vyžaduje velmi odlišnou obrannou strategii.

Který z cílů u nás nejlépe útoky zvládnul?

Komunikační infrastruktura jako taková zvládala situaci poměrně dobře, v případě jednotlivých portálů a serverů se výpadky objevily – obvykle se ale jednalo o omezení dostupnosti služeb v řádu několika hodin a následky tak rozhodně nebyly fatální. Mnohem větší riziko by nastalo v případě, že by paralelně došlo k úspěšnému prolomení systémů obsahujících citlivá data. Z operátorů si, pokud vím, nejlépe vedl Vodafone, který udržel své servery v provozu. U bank si nejsem úplně jist.

Pokud mám správné informace, tak například České Spořitelně vypadl e-commerce a platby kartou u obchodníků.

To samozřejmě může být problém, zejména pokud takový stav trvá několik hodin, nebo se trefí do špičky u obchodníků. Nicméně i tak platí, že se jednalo o útok malé až střední síly, který byl navíc časově omezený. Pokud se někdo rozhodne, že Českou republiku takříkajíc „vypne“ na dva dny a naplánuje adekvátně silnější útok z více směrů a s využitím botnetů, tak se mu může podařit zahltit celou komunikační infrastrukturu.

Takže před skutečně silným útokem se nelze bránit?

Typická ochrana se dnes děje na úrovni síťové infrastruktury. Buď pasivním navýšením ochranného valu, to ale chrání jen před menšími útoky, nebo inteligentním vyhledáváním potenciálních útoků a jejich blokováním nebo přesměrováním, což zas může vést k blokování skutečných uživatelů. Z jejich hlediska je pak situace stejná, jako v případě probíhajícího útoku DOS nebo DDOS.

Někteří ISP doporučují zákazníkům mít pro podobné menší útoky dostatečnou kapacitu výkonu a přenosového pásma v datovém centru. Může i to být řešení?

Jistá forma řešení to sice je, ale poměrně drahá, takže si je mohou dovolit jen větší zákazníci. Navíc proti skutečně silnému útoku neochrání. Může ovšem poskytnout cenný čas v počátcích útoku, aby bylo snazší se rozhodnout jak reagovat, nebo snáze zamezit sekundárním útokům v době, kdy probíhá DOS či DDOS.

A jiné alternativy?

V rámci našich služeb nabízíme řešení PerfAction, které využívá pronajatou kapacitu v cloudu podle preferenci zakaznika – to nám dává v případě potřeby možnost využít obrovské rezervy a zároveň topologickou distribuci trafficu. Navíc jsme naše řešení navrhli tak, aby nedošlo k odepření služby z pohledu zákazníka. Toho dosáhneme tak, že síťový provoz, který detekujeme jako problematický, přesměrujeme mimo infrastrukturu zákazníka. Na naší cloudové infrastruktuře provedeme dodatečnou identifikaci či ověření uživatele jako je třeba captcha, která umožní odlišit skutečného uživatele či návštěvníka – toho pak vrátíme zpět na vlastní server, zatímco veškeré závadné dotazy a provoz přesměrujeme do cloudové „černé díry“. Toto celé nabízíme společně s prověřením celé infrastruktury formou penetračních a výkonnostních testů a simulací.

Černou dírou je v tomto případě stále Amazon?

Standardně je to cloud Amazonu, ale může to být i libovolný jiný cloud dle zadání zákazníka. Výhodou našeho řešení ochrany před DDOS je, že zákazník platí za využívání kapacity podle potřeby a nikoliv pořád. V rámci testů a přípravy jsme schopni škálovat řešení podle potřeby.

Děkujeme za rozhovor.

Lukáš Erben

Autor je šéfredaktorem časopisu Inside.


Komentáře

Petr K. #1
Petr K. 09. duben 2013 09:00

po bitve je kazdy general ze?

e #2
e 09. duben 2013 20:41

>že zákazník platí za využívání kapacity podle potřeby a nikoliv pořád

V dobe kapitalisticke honby za ziskem si toto primo rika o to nejake DDOS utoky vytvorit, pokud zadne dlouho nebudou prichazet. Kdo vi jak to vsechno bylo. Takzvane dat zakaznikum zaminku k preventivnimu objednani sluzeb. No doba je divna a mozne je uplne vsechno. Navic lidi jsou v dnesni dobe strasne svine.

Prikladem budiz autoservis ve kterem jsem nedavno byl po predani opraveneho auta zjistil "profesionalne" prestrizeny kablik k palivomeru. Proc? No abych prisel jeste jednou a zaplatil za zjisteni zavady a nasledne prace 400/h. Hrozne co s lidma delaji penize.

Tomas Pluharik #3
Tomas Pluharik 10. duben 2013 17:41

Nase poznatky vychazeji z analyz toho co probehlo (ano nektere veci proste udelate az post mortem). Je spis s podivem, ze neco takoveho probehlo v takovem rozsahu a organizaci az ted. Lide v nasem tymu se problematikou zabyvaji velmi dlouho a celkove podceneni bezpecnostnich rizik v ceskem IT je bohuzel problem. Osobne jsem to zazil i jako manazer ve velkych firmach - security byva casto prvni obet snizovani nakladu. Situace se v posledni dobe zacina zlepsovat, ale uvidime jak se to bude vyvijet.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů