Rozstřel
Sledovat další díly na iDNES.tvJen za říjen podle Národního úřadu pro kybernetickou a informační bezpečnost směřoval na Česko zhruba stejný počet hackerských DDoS (Distributed Denial of Service) útoků, jejichž cílem je zahlcení konkrétního serveru (znepřístupnění nějaké služby běžným uživatelům, třeba webové stránky, aplikace či e-shopu), jako za první tři letošní čtvrtletí dohromady. Hackeři se nedávno zaměřili i na systémy tuzemských operátorů.
V pondělí 24. října byl kvůli vysoce distribuovanému masivnímu DDoS útok, který ovlivnil B2B zákazníky pevných linek a později i mobilní síť, na několik desítek minut ochromen T-Mobile – jeho zákazníci napříč celou republikou nemohli volat, posílat textovky ani surfovat na internetu. Od stejného data evidovaly nezvykle silné a dlouhé DDoS útoky i sítě operátora O2. Útoky vedené ve velkém objemu pocházely ze zahraničí a směřovaly zejména na vybrané zákazníky v síti operátora.
Podle technického ředitele O2 Jana Hrušky je v současnosti již klid, v síti operátora se nic neděje, ale situaci nadále monitoruje. Není to však poprvé, co se O2 s DDoS útokem potýkal. Tento byl však jiný.
„Tenhle útok byl neobvyklý jednak tou silou a jednak i dobou trvání, protože se táhl přes dva dny,“ uvedl Hruška s tím, že většinou bývají takové útoky kratší. Nevylučuje možnost, že původcem je jediný člověk. DDoS útoky se totiž organizují přes síť počítačů, které pak směřují na vybrané cíle. Útoky tak pocházejí ze všech světových stran.
Při DDoS útocích vysílají počítače na internetové služby (například webovou stránku, e-shop) standardní požadavky, generují je však v obrovském množství. „Pokud je web připravený třeba na to, že obslouží sto tisíc zákazníků denně, tak ten útok jde silou, která odpovídá třeba milionu zákazníků denně, a tím páde ho totálně zahltí,“ upřesnil s tím, že pro běžné zákazníky kvůli tomu pak buď reaguje pomalu, nebo je zcela nedostupný.
Podle Hrušky vzniká v první fázi DDoS útoku síť počítačů, které jsou kvůli nedostatečné ochraně napadeny škodlivým softwarem, který ovšem vlastníkovi počítače nikterak neubližuje.
„Ale v momentě, kdy dostane pokyn, tak posílá přesně podle zadání dotazy na příslušný web, na příslušnou IP adresu. Těch počítačů v síti jsou miliony po celém světě, a když se koordinovaný útok tímhle způsobem spustí, tak web, který je terčem útoku, to nevydrží,“ vysvětlil technický ředitel O2.
Vystopovat konkrétního útočníka je nemožné
Zjistit, odkud byl útok veden, je prakticky nemožné. Útočník nejde totiž napřímo, ale přes již zmíněnou síť milionů počítačů.
„My vidíme, z kterých směrů, z kterých zemí ty jednotlivé požadavky, které zahltí daný web, jdou, ale z toho se nedá úplně vydedukovat, kdo stojí za tím v pozadí,“ zmínil Hruška s tím, že podle obecně komunikované informace se k nedávným útokům na zákaznické systémy v síti O2 přihlásila skupina Anonymous Russia. Nelze však s jistotou říct, že tomu tak bylo.
„Nedovedeme bohužel potvrdit ani vyvrátit, jestli za tím skutečně stojí. Je pravda, že velký podíl IP adres, ze kterých přicházely dotazy, byl v Rusku. Na druhou stranu to není nic neobvyklého, protože Rusko je velká země a je tam hodně počítačů. A je tam i hodně nakažených počítačů, protože je tam poměrně nízká ochrana antivirovými softwary,“ dodal s tím, že v tomto ohledu nebyl nedávný útok ve srovnání s jinými nikterak výjimečný.
Určit s jistotou původce útoku či potvrdit, že útočník je či byl v minulosti skutečně z Ruska, operátor nedokáže. Osobně však Hruška v kontextu se současnou bezpečnostní situací, ruskou agresí na Ukrajině i toho, do kterého tábora v tomto konfliktu Česká republika patří, věří, že nedávný útok pocházel právě z Ruska. Dodal však, že technicky to operátor potvrdit nedokáže.
Nedávný masivní útok byl podle technického ředitele O2 veden na firemní zákazníky. „To, že ti zákazníci mají služby na naší síti, znamená, že to šlo přes naši síť a nám (O2) to zároveň umožnilo těm zákazníkům pomoct a ochránit je,“ zmínil s tím, že útok byl veden na konkrétní zákazníky, konkrétní IP adresy. Z faktu, že šlo o celé rozsahy IP adres sedící na konkrétní zákazníky, usuzuje, že útok byl velmi dobře připraven.
DDoS útok si lze objednat, když víte kde
Předvídat DDoS útoky nelze. Nicméně zpětně operátoři v některých případech vidí, že masivnímu útoku předcházel výrazně menší. Útočníci si totiž podle Hrušky větší útoky dopředu testují na nějakém menším objemu. Až při vyhodnocení velkého útoku operátor pozná, že ze stejných zdrojů již dřív přicházel pokusný útok. To je i případ masivních útoků, které O2 ve své síti evidovalo od 24. října, o týden dřív jim totiž předcházel pokusný.
DDoS útoky nemusejí pocházet přímo od hackera, respektive on nemusí být jejich hlavním strůjcem. Prakticky kdokoli si je může objednat na darknetu, tedy sítích využívajících internet, které jsou však přístupné pouze prostřednictvím speciálního softwaru nebo konfigurace. Na tyto stránky se nelze dostat přes vyhledávače, je nutné znát přesné adresy a vědět, co hledat. Jde prakticky o odvrácenou stranu internetu, který se vyznačuje obrovskou svobodou, což s sebou přináší i takováto rizika.
Útoky v kyberprostoru podle Hrušky obecně rostou, jde o obecný trend patrný i před ruskou agresí na Ukrajině. O2 nicméně na vpád ruských vojsk reagovalo, dění na Ukrajině totiž vyhodnotilo jako rizikové a přijalo určitá opatření právě kvůli hrozbě vyššího rizika hackerských útoků na západní společnosti. Zvýšil se například interní stupeň varování bezpečnostního výboru a krizový štáb se začal preventivně scházet pravidelně.
„Jsme ve stavu takové trošku zvýšené pohotovosti už od února. Vnímáme i z informací, které dostáváme třeba přes NÚKIB a podobně, že intenzita (hackerských útoků) narostla. Nicméně je pravda, že ten nárůst je i součástí běžného trendu,“ dodal technický ředitel O2 Jan Hruška, podle kterého je na tom Česká republika, co se ochrany před DDoS útoky týče, ve srovnání se světem relativně dobře.
