Počátkem března zachvátila Česko dle médií bezprecedentní vlna kybernetických útoků. Z technického hlediska se jednalo vlastně spíš o drobné polechtání, nicméně s velkým veřejným ohlasem. Dva týdny poté má sice odborná veřejnost víceméně jasno v tom „co“ se stalo, odpověď na otázku „proč“ ale stále zůstává v rovině spekulací.
V pondělí 4. 3. padla velká internetová média (iDnes.cz, iHNed.cz, Novinky.cz), v úterý následoval opravdový šok, nešel Seznam.cz, [7] to pro část české populace znamenalo totéž jako by nefungoval Internet. Ve středu se zhroutil bankovní systém a odborná média vypsala anketu o tom, jaký bude další cíl útoků – vyhráli mobilní operátoři a skutečně: ve čtvrtek přestaly fungovat jejich weby. Komunita ajťáků tedy správně identifikovala vzorec útoku: cílem jsou známé a často využívané servery, každý den jiná „kategorie“. Na pátek komunita předpověděla útoky na servery státní správy, k nimž už nakonec nedošlo.
Ve skutečnosti to nebylo tak horké, jak líčily palcové titulky na titulních stránkách novin. Seznam.cz nefungoval jen malou chvíli, bankovní služby sice byly ledaskde nedostupné po dobu delší než krátkou (ajťáci ironicky glosovali, že to při kvalitě zdejších služeb není
Pravdou je, že podobě silný útok český Internet zatím nezažil. Ze začátku to vypadalo na techniku DDoS (Distributed Denial of Service), při kterém útočník zahltí zvolenou webovou stránku, resp. server, na kterém je stránka umístěna, požadavky na přístup. Navíc záludnější varianta takového kyberútoku, SYN Flood, využívá gentlemanské fungování protokolu, jímž si počítače mezi sebou povídají: každé spojení se navazuje delší výměnou úvodních informací a napadený server proto posílá odpověď na podvrženou adresu a je velmi obtížné útočníka stopovat a zablokovat.[8]
K takovému útoku bývá potřeba tzv. botnet, relativně velká síť počítačů (od desetitisíců po miliony strojů), které útočník ovládá. Počítače a jejich majitelé nevědí, že jsou součástí botnetu – pouze se jim do zařízení dostal virus či jiný malware, který obstarává komunikaci (přijímá rozkazy) i samotný útok (vysílá pakety, které v důsledku zahlcují síť).
S překvapujícím zjištěním přišel později CZ.NIC, správce domény .cz. V době probíhajícíh útoků spíchnul na koleni jejich simulátor, generátor SYN požadavků, jakýsi kybernetický kanón, aby mohl testovat vlastní infrastrukturu. [1] Překvapující na něm bylo to, že k provedení několikrát silnějšího útoku nebyl botnet zapotřebí, stačilo menší množství počítačů připojených do sítě dostatečně silným připojením. I takhle lokalizovaná kyberzbraň je tedy k dispozici a dá se jen spekulovat o tom, kdo všechno ji má připravenou v záloze.
Nicméně ta nejdůležitější a nejzajímavější otázka zůstává nezodpovězena – kdo a proč vlastně útočil. Představme si nejdiskutovanější možné odpovědi:
1) Osamělý střelec: Talentovaný informatik, který si stvořil vlastní botnet a zaútočil. Tato teorie působí pro mnohé nejspíš poněkud fantaskně. Podobné případy se ale už staly. Musíme si připustit, že minimálně krátkodobé znefunkčnění některých systémů je v možnostech osamělého profesionála. Vyloučit nelze ani téměř náhodné chování typu šikovného gymnazisty, který se vytahuje před svou holkou.
2) Hacktivismus: Širokou pozornost získaly hacktivistické skupiny Anonymous či LulzSec (viz Hactivismus na vzestupu, A2, 3/2012). Lze s vysokou mírou pravděpodobnosti předpokládat, že disponují prostředky pro provedení takového útoku. Ale k čemu by byla politickým aktivistům úspěšná akce bez příslušné politické deklarace? Tento druh útoků přece vždy provází nějaký pamflet, prohlášení, požadavky – zpráva, která se má šířit médii spolu s informacemi o útoku. Ale nic takového se nestalo. Ani zákulisní informace „z prostředí“ nenasvědčují tomu, že by čeští Anonymous útočili.
3) Komerční boj: Samozřejmě kyberútoky se používají i v rámci konkurenčního boje, avšak na to je zaměření tohoto útoku příliš široké. Kromě toho, že by se nenašel společný konkurent napadených subjektů, je tu i příliš velké riziko odhalení.
4) Komerční prezentace: Majitel botnetu či kyberzbraně prezentuje jeho sílu – takový Seznam.cz opravdu není bezbranný outsider a vyřadit ho i na pár minut je výkon vzbuzující respekt.
Tato teorie je jedna z nejoblíbenějších v odborných kruzích. Má ale zásadní trhlinu. Útok takovéhoto rozsahu a koncentrace vyvolá reakce. Po očekávatelném odhalení viru (malware) bude botnet do jisté – a to spíše značné – míry vyřazen ze hry. Samozřejmě tvůrce může mít další podobný v záloze. Ale dokázal by ho utajit?
5) Politický tlak: Teorie dosti paranoidní, ale stejně. Mnozí upozorňují na souvislost se založením Národního centra kybernetické bezpečnosti, které bylo odborným i laickým médiím představeno krátce předtím. Národní bezpečnostní úřad, třípísmenková agentura, jež bedlivě prověřuje mimo jiné adepty na práci s tajnými informacemi, převzala předloni agendu kybernetické bezpečnosti od ministerstva vnitra a chystá nový Zákon o kybernetické bezpečnosti. Jest pravděpodobno, že v okamžiku schvalování zákona budou panovat obavy o ohrožení svobody Internetu. Strach z opakování útoků a volání po větším zabezečení před nimi může pomoci odpor veřejnosti otupit. Této spekulaci by snad mohlo nahrávat nedávné vyjádření NBÚ o tom, že viníky posledních útoků je těžké vypátrat a že bude zapotřebí „drobná úprava návrhu zákona o kybernetické bezpečnosti, případně novelizace zákona o elektronických komunikacích“. [9]
Samotný věcný záměr zákona byl zpočátku hodně divoký, terminologicky nejasný a odhodlaný všechny informace utajovat – v připomínkovém řízení ale prošel velkými změnami mimo jiné i ze strany České pirátské strany [3] a současná podoba je odbornou veřejností vnímána jako schůdná a vlastně i potřebná. [4][10] O co v zákoně jde? Především o to, aby se státní správa o bezpečnost vůbec starala a definici toho, kdo je za ni odpovědný. Dále potom o stanovení způsobu, jakými budou postižené strany komunikovat se státním centrem kybernetické bezpečnosti a jaké informace mu budou povinny poskytovat. Centrum by pak mělo koordinovat obranu. V případě „kybernetického nebezpečí“ (musí schválit vláda a každých 7 dní toto rozhodnutí prodloužit) budou mít povinnost zavádět opatření nařízená NBÚ i poskytovatelé Internetu (nikoliv ale poskytovatelé obsahu). [5]
A zde je právě možný kámen úrazu: nemůže státní dozor nařídit například odstřižení celých webů? Je to sice nejfašističtější výklad jinak potřebného zákona, ale zákon sám proti němu nenabízí žádnou pojistku. [10] A scénář, kdy dojde například k pouličním nepokojům a DDoS útokům na vládu, ta vyhlásí kybernetické nebezpečí, a NBÚ nařídí providerům blokovat třeba Twitter, přes nějž se útoky organizují, je v extrémním výkladu možný. Zákon by měl cenzuru webu explicitně zakazovat.
6) Cvičení: Útok byl sice masivní co do razance, ale krátký, co se týče trvání, a v důsledku se dohromady nic nestalo. Některé z cílů si s ním poradily celkem snadno, jiné jej zvládaly hůře.
Cvičný útok by tedy mohl přitáhnout pozornost provozovatelů serverů k vyššímu zabezpečení proti tomuto typu útoků (lepší než stokrát opakovat fráze o tom, jak je podobná ochrana důležitá) a pomoci opevnit infrastrukturu dříve, než „půjde do tuhého“ a budeme čelit skutečné kyberválce. Podobnou pozitivní roli měli hackeři i jejich útoky v ekosystému Internetu odpradávna – když server banky nebo tajné služby hacknou vtipálci, kteří jen „přemalují“ titulní stránku, je to lepší, než když je hackne někdo se skutečně zlým úmyslem. Útočit lze jen tam, kde je špatně zabezpečeno. A výsledná ostuda (někdy) donutí správce systémů chytnout se za nos a napříště se ochránit lépe. Bez hackerů by většina administrátorů na bezpečnost kašlala a možnost kybernetického útoku považovala spíš za teoretickou. Je to jako očkování – tělu se vpíchnou oslabené bakterie a to si na ně samo vybuduje protilátky. Koneckonců, velké společnosti si k simulovaným hackerským útokům samy najímají „penetrační testery“. Některé zranitelnosti zkouška z počátku března skutečně odhalila, například to, že na webu závisejí platební terminály České spořitelny nebo SMS jízdenky MHD. [7] Neměly by.
Pozoruhodnou zkušenost s cvičením NATO v listopadu 2012 popisuje český informační publicista Jiří Peterka. Součástí kybernetického armádního cvičení byla i práce s vybranými novináři, kterým byly dávkovány informace ze simulovaných útoků a vyhodnocovány jejich (neveřejné) články. [6] Schopnost komunikace s médii a zvládání jejich reakcí je tedy součástí vojenských plánů.
O tom, co se o útocích ze začátku března podařilo zjistit, i detaily o jejich zvládání, jsme se dozvídali z médií celkem podrobně. I to by mohlo být – v lehce paranoidním uvažování – součástí „velkého testu“.
Ondřej Profant, Honza Šípek
Psáno pro časopis A2
9. 1. 2013, http://www.lupa.cz/clanky/zapisky-z-cviceni-co-budou-delat-media-az-skutecne-dojde-ke-kybernetickemu-utoku/
Zapomněli jsme na variantu sedmou, která se později vrací do hry: nepřítel testuje infrastrukturu druhé strany. Viz Bruce Schneier nedávno: https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html
Nebezpečná kniha je připravovaná kniha Shaddacka a Klokánka, kterou
připravuje k vydání nakladatelství Dokořán. Cílem tohoto blogu je ověřování a diskuse různých myšlenek a fragmentů textů, které chystáme do knihy, případně které vznikají jako její vedlejší produkt. Cílovou skupinou jsou chytří, kritičtí, nicméně ne-IT čtenáři, pročež některé texty mohou pro čtenáře roota zavánět banalitou, nicméně jsme zvědavi na kritické komentáře od odborné komunity.