Série útoků DOS a DDOS, které na počátku března zahltily a odstavily řadu tuzemských mediálních, bankovních či telekomunikačních serverů byla pro Česko šokem. Podle Tomáše Pluhaříka ze společnosti Ebase by majitelé a provozovatelé online portálů a služeb měli očekávat, že podobné incidenty se budou objevovat častěji i jako součást nekalého konkurenčního boje a být na ně dobře připraveni.
Nedávné DDOS či DOS útoky se zjevně odehrávaly podle určitého scénáře. Co lze z jejich průběhu a intenzity odvodit?
Je jednoznačné, že útoky koordinoval někdo přímo v Česku, nebo přinejmenším někdo s výbornou znalostí našeho internetového prostředí, tedy propojení a připojení jednotlivých ISP i konkrétních cílů a jejich architektury či infrastruktury. Cíle, které se dokázaly efektivně bránit, přitom útok obvykle poměrně dobře přestály, naopak organizacím, které nebyly připravené, nebo neměly dostatečnou rezervní kapacitu, útoky jejich online služby položily. Nicméně i tak intenzita a způsob vedení naznačují, že šlo spíše o cvičný útok než o velký úder. O tom svědčí i to, že se podle všeho nejednalo o skutečný distribuovaný útok (DDOS), ale spíše o přímý nebo jen mírně distribuovaný útok (DOS).
Co si máme představit pod pojmem „cvičný útok“?
V podstatě jsou dvě možnosti. Buď kdosi testoval odolnost infrastruktury u různých provozovatelů online služeb v Česku, nebo si někdo testoval sílu a možnosti své „útočné“ farmy. Vzhledem k tomu, že byly postupně zasaženy všechny prvky klíčové infrastruktury od státní infrastruktury, přes média a mobilní operátory až po banky, se klidně mohlo jednat o cvičení na téma „jak stát střední velikosti se západním typem infrastruktury dokáže odolat podobnému útoku o určité síle“.
Jedná se o neobvyklý případ nebo se podobné věci dějí i jinde? A proč by v takovém případě byla vybrána jako cíl právě Česká Republika?
DOS a DDOS útoky jsou ve světě naprosto běžné – a vzhledem k tomu, že je lze realizovat na objednávku a jsou i poměrně levné se dnes stávají například součástí konkurenčního boje. Česká republika je navíc ideální cíl: jsme součástí západního světa a navíc i EU, máme poměrně moderní infrastrukturu západního typu a většina velkých nadnárodních firem tu má pobočky, které jsou opět standardně chráněny. Zároveň jsme dostatečně malí, aby podobný útok nevyvolal nebezpečně velkou zpětnou reakci. Myslím, že kdyby někdo zkusil podobným způsobem zaútočit například na Polsko, Francii nebo dokonce Německo, riskoval by podstatně více.
Kolik vlastně dnes stojí takový DDOS útok na objednávku? A kdy se začnou běžně používat i u nás?
Díky botnetům jsou velmi levné – menší útoky lze objednat řádově za stovky až tisíce dolarů, přičemž škoda, kterou mohou napáchat odstavením středního či většího e-shopu, je řádově větší. Určitě se takové případy objevují už i u nás, zatím ale v poměrně malém měřítku.
Jak už jsme naznačili, útok měl jasné pořadí cílů: v pondělí to byla média a někteří ISP, v úterý přišel na řadu coby největší portál Seznam, ve středu banky a nakonec ve čtvrtek operátoři. Je v tom nějaká logika nebo smysl?
To pořadí do jisté míry koreluje s rostoucí silou zabezpečení jednotlivých serverů. Média mají obvykle značné kapacitní rezervy, na druhou stranu samotné zabezpečení bývá nižší a odpovídá tomu, že na zpravodajských serverech obvykle nejsou příliš citlivá data. V případě bank nebo telekomunikačních operátorů je zabezpečení na výrazně vyšší úrovni. V jejich případě představuje větší riziko kombinace silových útoků typu DOS nebo DDOS, které zaměstnají infrastrukturu i její administrátory a poskytnou tak kouřovou clonu skutečnému sofistikovanějšímu útoku na systémy s citlivými daty. Nepřekvapilo by mne, kdyby někdo právě takové postupy testoval v „ostrém provozu“.
Momentální stopy vedou do Ruska, nicméně tam podle všeho i končí. Jaká je šance, že se podaří skutečný zdroj útoku vypátrat?
Jistá naděje, že dostaneme z Ruska podrobnější informace, pochopitelně existuje, nicméně v současné době uplynuly od útoků více než dva týdny a s ohledem na to jak profesionálně a koordinovaně byly provedeny bych řekl, že dnes už není šance dohledat jejich původce. Možná se podaří najít nějaké dílčí stopy, ale ti, kdo vše organizovali, patrně odhaleni nebudou. Je zajímavé, že se podle všeho skutečně jednalo o útok DOS, tedy koncentrovaný útok z jednoho nebo několika míst a nikoliv typický distribuovaný útok, který využívá tisíce „zombie“ počítačů nic netušících uživatelů. Takový útok zároveň vyžaduje velmi odlišnou obrannou strategii.
Který z cílů u nás nejlépe útoky zvládnul?
Komunikační infrastruktura jako taková zvládala situaci poměrně dobře, v případě jednotlivých portálů a serverů se výpadky objevily – obvykle se ale jednalo o omezení dostupnosti služeb v řádu několika hodin a následky tak rozhodně nebyly fatální. Mnohem větší riziko by nastalo v případě, že by paralelně došlo k úspěšnému prolomení systémů obsahujících citlivá data. Z operátorů si, pokud vím, nejlépe vedl Vodafone, který udržel své servery v provozu. U bank si nejsem úplně jist.
Pokud mám správné informace, tak například České Spořitelně vypadl e-commerce a platby kartou u obchodníků.
To samozřejmě může být problém, zejména pokud takový stav trvá několik hodin, nebo se trefí do špičky u obchodníků. Nicméně i tak platí, že se jednalo o útok malé až střední síly, který byl navíc časově omezený. Pokud se někdo rozhodne, že Českou republiku takříkajíc „vypne“ na dva dny a naplánuje adekvátně silnější útok z více směrů a s využitím botnetů, tak se mu může podařit zahltit celou komunikační infrastrukturu.
Takže před skutečně silným útokem se nelze bránit?
Typická ochrana se dnes děje na úrovni síťové infrastruktury. Buď pasivním navýšením ochranného valu, to ale chrání jen před menšími útoky, nebo inteligentním vyhledáváním potenciálních útoků a jejich blokováním nebo přesměrováním, což zas může vést k blokování skutečných uživatelů. Z jejich hlediska je pak situace stejná, jako v případě probíhajícího útoku DOS nebo DDOS.
Někteří ISP doporučují zákazníkům mít pro podobné menší útoky dostatečnou kapacitu výkonu a přenosového pásma v datovém centru. Může i to být řešení?
Jistá forma řešení to sice je, ale poměrně drahá, takže si je mohou dovolit jen větší zákazníci. Navíc proti skutečně silnému útoku neochrání. Může ovšem poskytnout cenný čas v počátcích útoku, aby bylo snazší se rozhodnout jak reagovat, nebo snáze zamezit sekundárním útokům v době, kdy probíhá DOS či DDOS.
A jiné alternativy?
V rámci našich služeb nabízíme řešení PerfAction, které využívá pronajatou kapacitu v cloudu podle preferenci zakaznika – to nám dává v případě potřeby možnost využít obrovské rezervy a zároveň topologickou distribuci trafficu. Navíc jsme naše řešení navrhli tak, aby nedošlo k odepření služby z pohledu zákazníka. Toho dosáhneme tak, že síťový provoz, který detekujeme jako problematický, přesměrujeme mimo infrastrukturu zákazníka. Na naší cloudové infrastruktuře provedeme dodatečnou identifikaci či ověření uživatele jako je třeba captcha, která umožní odlišit skutečného uživatele či návštěvníka – toho pak vrátíme zpět na vlastní server, zatímco veškeré závadné dotazy a provoz přesměrujeme do cloudové „černé díry“. Toto celé nabízíme společně s prověřením celé infrastruktury formou penetračních a výkonnostních testů a simulací.
Černou dírou je v tomto případě stále Amazon?
Standardně je to cloud Amazonu, ale může to být i libovolný jiný cloud dle zadání zákazníka. Výhodou našeho řešení ochrany před DDOS je, že zákazník platí za využívání kapacity podle potřeby a nikoliv pořád. V rámci testů a přípravy jsme schopni škálovat řešení podle potřeby.
Děkujeme za rozhovor.