Středa 2. prosince 2020, svátek má Blanka
  • schránka
  • Přihlásit Můj účet
  • Středa 2. prosince 2020 Blanka

Co vám hrozí, když se váš počítač zapojí do DDoS útoku třeba na banku

Nedávné útoky na banky a české zpravodajské servery byly vedeny z podvržených IP adres. Možná se na něm podílely běžné, špatně zabezpečené domácí počítače. Teoreticky třeba i ten váš. Hrozí vám jako majiteli nezabezpečeného stroje něco? Je možné vystopovat skutečného útočníka?

Takhle většina DDoS útočníků bohužel neskončí. | foto: Profimedia.cz

Český internet zažil na začátku března nebývalou vlnu kybernetických útoků. Pakety, kterými byly zahlceny servery dotčených společností, nejspíše pocházely ze stovek tisíc běžných počítačů, zotročených škodlivým kódem a zapojených do sítě zvané botnet.

Množství těchto "zombie" počítačů samozřejmě není přesně známé. Podle Vladimíra Brože, bezpečnostního experta společnosti Fortinet, je celosvětově takto zneužíváno odhadem 80 až 150 milionů domácích i firemních počítačů. Mezi nimi může teoreticky být i ten váš, aniž byste o tom měli tušení.

Právní odpovědnost za vlastní počítač

Zda z toho něco vyplývá pro majitele k trestné činnosti zneužitého počítače jsme se zeptali advokáta Martina Strnada ze společnosti Havel, Holásek & Partners.

Na vzestupu

Podle statistik společnosti Fortinet roste množství DDoS útoků meziročně o 25 až 40 procent.

Technet.cz: Je nějak postižitelný uživatel, jehož "zombie" počítač se na útoku podílel, byť bez jeho vědomí?

Strnad: Každý má povinnost předcházet hrozícím škodám. Pokud uživatel počítač rozumně zabezpečil a přesto byl tento počítač napaden zvenčí, povinnost k náhradě škody zde nejspíše nebude. Pokud uživatel počítač nezabezpečí a ten se stane účastníkem útoku, bude o případné odpovědnosti za způsobenou škodu rozhodovat soud. Jednou z proměnných v jeho rozhodování jistě bude i míra účasti počítače na útoku. V praxi si ale takový proces umím představit jen obtížně i z důvodu velmi vysokého počtu napadených počítačů.

Technet.cz: Obecně, je podle českých zákonů domácí uživatel IT zařízení zodpovědný za škodu (či trestný čin), která je prostřednictvím těchto zařízení spáchána? Například když laik nechá nezabezpečený wi-fi router a někdo přes tuto síť nelegálně uploaduje chráněné autorské dílo.

První DDoS

První velký zdokumentovaný DDoS útok byl proveden v roce 1999. Cílem byl komunikační (IRC) server univerzity v Minnesotě. Servery univerzity byly nedostupné dva dny.  

Strnad: Otázka je právně velmi složitá, ale v případě typického domácího uživatele bych se odpovědnosti za škodu spíše neobával. Situace ale bude jasnější až bude dostupná ustálená judikatura.

Vystopovat útočníka lze jen velmi těžko

Největší šanci na dopadení mají právě tyto "zombie" počítače, ze kterých fyzicky útok přichází. Původce útoku, tedy ten, kdo příkaz k útoku do botnetu poslal, nebo ten, kdo si tento útok objednal, nejspíše dopaden nebude. Může za to složitá struktura botnetu, jeho dynamicky se měnící podoba a také podvržené IP adresy, ze kterých pakety přicházejí. A také nutnost spolupráce s internetovými operátory, přes které je útočník připojen, což je u některých zemí obrovská překážka.

Více jsme se zeptali šéfa administrátorů společnosti Etnetera Martina Pohla, který se podílel například na minimalizaci následků útoku na servery společnosti O2.

2012

Zlomový rok?

Podle magazínu Infosecurity byly ve třetím čtvrtletí 2012 americké banky pod DDoS útoky s tokem balastních požadavků na úrovni 70 Gbit/s.

Podle společnosti Gartner přitom datové toky při útocích v prvním pololetí stejného roku dosahovaly špiček "jen" kolem 5 Gbit/s.

Technet.cz: Podle našich informací byly útoky prováděny z podvržených IP adres. Jak moc tento fakt ztíží vystopování původce útoku?

Pohl: Velmi. I když se podaří nějakým zázrakem identifikovat útočící počítač, tak je to pouze takový pěšák. Navíc obvykle jeho majitel ani netuší, že je účastníkem útoku. I tak je cenné takový počítač získat, jelikož obsahuje program, který jej připojuje do botnetu. Analýzou programu pak lze získat informace, kam konkrétně se počítač připojuje, a odkud je tedy ovládán. I tak není vyhráno, jelikož botnet se skládá z jednotlivých uzlů a aktivita v uzlu je pod přísnou kontrolou. Tedy pokud se do botnetu někdo připojí a začne se tam "rozhlížet" a zjišťovat třeba, které další počítače jsou tam připojeny, tak je obvykle rychle odhalen, odpojen a jeho přístup zrušen.

Technet.cz: Pokud by byl původce aktuálních DDoS útoků přesto vypátrán, jak bude dokazováno, že je opravdu útočníkem? Jaké stopy pro to budou klíčové?

Další cíl: aplikace

Až 25 procent DDoS útoků v roce 2013 bude vedeno proti aplikacím. Ty pak vytíží procesor a operační paměť napadeného systému a aplikace přestane reagovat. Ve své zprávě to uvádí společnost Gartner.

Strnad: O tom rozhodují orgány činné v trestním řízení. Čekal bych, že půjde především o technické prostředky: záznamy provozu v telekomunikačních sítích a logy napadených společností, samozřejmě ve spojení s dalšími důkazy, jako je například výslech.

Technet.cz: Byl v České republice již někdy vynesen rozsudek právě v souvislosti s kybernetickým útokem?

Strnad: Ano, šlo například o útoky na elektronické bankovnictví, neoprávněný přístup do e-mailové schránky oběti či zneužití záznamů v informačních systémech banky.

Obrana proti útoku je velmi složitá a nikdy ne okamžitá

Charakter útoku, tedy zahlcení serverů ohromným množstvím nesmyslných požadavků, prakticky znemožňuje účinnou ochranu. Platí, že čím silnější servery a infrastrukturu napadený cíl má, tím lépe odolá útoku. Prostě stihne vyřídit požadavky útočníků i legitimních uživatelů. Pokud má útočník více výkonu než napadený, a to je u DDoS skoro pravidlo, je útok alespoň na určitou dobu úspěšný.

"Nedá se nic vypnout, nic filtrovat, nic blokovat. Protože se útočník vmísí do běžného provozu, můžeme blokovat buď všechny (tedy i legitimní) uživatele nebo nikoho," zjednodušil problematiku ve svém komentáři Vladimír Brož. "Ideální je mít více serverů v různých lokalitách, útočník pak musí rozložit své zdroje do více směrů útoku. Už naše babičky říkávaly: Nedávejte všechna vejce do jednoho košíku!" doplňuje Brož.

Normální TCP spojení mezi uživatelem a serverem. Je proveden úspěšný, třícestný

Normální TCP spojení mezi uživatelem a serverem. Uživatel pošle serveru paket s příznakem SYN, server odpoví paketem s příznakem SYN-ACK a uživatel (tj. jeho síťová karta) odpoví paketem s příznakem ACK. Říká se tomu třícestný handshake. (zdroj obrázků a části popisků: Wikipedia )

Narušená komunikace během DDoS útoku typu SYN flood. Útočník poslal mnoho

Narušená komunikace během DDoS útoku typu SYN flood. Útočník poslal mnoho paketů s příznakem SYN, ale už neposlal zpět žádný paket s příznakem ACK. Spojení jsou jen způli navázána a zabírají prostředky serveru. Jiný uživatel se zkouší připojit, ale server odmítá spojení - již na něj nemá kapacitu.

V případě útoku, který komplikoval český internetový život v prvním březnovém týdnu, situaci navíc komplikovaly již zmíněné podvržené IP adresy, ze kterých byly servery nesmyslnými požadavky bombardovány.

Technet.cz: Jak moc podvržené IP adresy ztěžují filtraci/blokování útoků?

Pohl: Opět velmi. V podstatě je filtrace podle zdrojové IP adresy spíše zoufalý pokus situaci nějak zvládnout. Reálně to problém s DoS útokem neřeší, jelikož pro část návštěvníků je prezentace stále nedostupná. Filtrace podle IP může být vhodná v případě, že je nutné na zařízení nastavit skutečně účinná pravidla a v daný okamžik to není možné kvůli extrémní zátěži, vyvolané obrovským množstvím dat, která musí dané zařízení zpracovat. Můžete tak na chvíli zařízení ulevit.

Byl to DDoS?

komentář Ondřeje Filipa z CZ.NIC

Je zajímavé, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí, a to silou v řádu stovek tisíc až milionů paketů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané.

Při klasickém DDoS útoku, který používá botnet, přicházejí pakety z různých směrů a obvykle nejde žádný dominantní směr určit. Pokud by útočník využil takovýto botnet, jistě by měl největší zájem o zapojení uzlů právě z našeho území, které mají k cíli nejlepší spojení. Ale k tomu pravděpodobně (kromě toho odrazu z druhé fáze) nedošlo.

Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť (nebo alespoň její dominantní část) poměrně geograficky omezená.

Nejčastější reakcí síťařů je změna pravidel. Například zkrátí dobu, po kterou server čeká na odpověď druhé strany. Ta v případě požadavku útočícího "zombie" stroje nikdy nepřijde, a tak je čekání (které blokuje kapacitu serveru) zbytečné. 

Cílům útoku unikají zisky. A co jejich zákaznici?

Zpravodajské weby přichází během útoků o čtenost a zobrazení reklamy. Bankám během útoku nefunguje on-line bankovnictví, a tak přicházejí o poplatky za transakce nebo objednané služby. Napadené subjekty mohou na policii podat trestní oznámení na neznámého pachatele. Ale co uživatelé těchto služeb?

Technet.cz: Má na náhradu škody nárok klient služby, kterému vznikla škoda v důsledku její nedostupnosti (např. nestihl odeslat včas platby v důsledku zablokování elektronického bankovnictví)?

Strnad: Nárok skutečně může vzniknout, ale pouze v případě, že škoda skutečně objektivně vznikla právě jako důsledek útoku a nebylo jí například možno zabránit uhrazením platby jinou formou apod. O odpovědnosti za škodu rozhoduje soud.

Závěr: o co komu jde?

Pokud bychom chtěli proběhlé DDoS útoky sumarizovat do jednoho výstižného výrazu, asi nejlépe by se hodilo slovo "opruz". Byly to v podstatě zbytečné hodiny práce administrátorů napadených systémů, zbytečně vynaložené prostředky za bezpečnostní konzultanty, zbytečně ušlé zisky z nedostupných služeb a především zbytečné komplikace pro klienty a uživatele nefunkčních služeb.

Radost z povedených útoků mohl mít jedině útočník. Mohl to být někdo, kdo si útoky zkoušel "nanečisto", než se pustí do nějakého většího cíle. Mohl to být provozovatel botnetu, který chtěl demonstrovat jeho sílu potenciálním klientům. Mohl to být někdo, kdo chtěl zaměstnat správce systémů hrubým útokem a mezitím nepozorovaně "hackovat" jinou část systému, třeba nějakou databázi. Co je však zatím zřejmé, o vydírání (zaplaťte a my toho necháme), nebo konkurenční boj (vaši klienti své požadavky zatím vyřídí u nás) tentokrát nešlo.

  • Nejčtenější

Tahák: 20 klávesových zkratek, o nichž jste možná neměli ani potuchy

Uživatelé Windows jistě znají notoricky známé klávesové zkratky jako Alt + F4, Alt + Tab, Windows + E, Windows + C,...

Promoření? Odvážný sen, tragické následky. Stádní imunita funguje jinak

Jak se nejlépe zbavit covidu-19? Už od jara mluvili někteří odborníci o kontroverzní strategii známé jako „promořování“...

U nás je zeleno, zašpiní se jinde. Pařížská dohoda ignoruje obří problém

Jedním z nejvýraznějších nedostatků Pařížské dohody o klimatu je fakt, že neřeší přesun emisí mezi státy. To, že si...

Stíhačky na silnicích. České silnice a dálnice měly sloužit letectvu

Socialistické Československo má pro případ války málo letišť, zjistilo v 70. letech tehdejší ministerstvo obrany. A...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

TEST televizorů: Nevyznáte se v široké nabídce? Pomůže vám náš velký přehled

Premium Od 3 190 do 62 990 korun. Všechny zobrazovací technologie, všechny televizní operační systémy a jedenáct vybraných...

TEST televizorů: Nevyznáte se v široké nabídce? Pomůže vám náš velký přehled

Premium Od 3 190 do 62 990 korun. Všechny zobrazovací technologie, všechny televizní operační systémy a jedenáct vybraných...

Jak vydržet v ledové vodě? Finta je jednoduchá, popisují otužilci

Premium Klepat se zimou tak, že si nedokážete zavázat ani tkaničky u bot, a přitom se tomu smát? I to dokáže koupání v ledové...

Manažer postavil srub uprostřed chráněné oblasti. Tvrdí, že to je posed

Premium Nejprve tvrdil lidem, že je to seník. Když se o jeho stavbu začaly zajímat úřady, prezentoval ji jako posed. Ve...

  • Další z rubriky

Facebook pustil vlastní seznamku už i do Česka

Více než rok poté, co sociální síť Facebook zprovoznila svou seznamku, míří tato nová služba i do Česka. Facebook...

Facebook a Google zakazují v USA volební reklamy. Každý trochu jinak

Google a Facebook blokují nebo budou blokovat reklamní kampaně ve prospěch obou kandidátů na prezidenta Spojených...

Facebook v boji proti dezinformacím prodlouží zákaz politické reklamy

Facebook se rozhodl i nadále neposkytovat reklamní prostor pro politická sdělení týkající se amerických voleb. Důvodem...

Zastavte sčítání, žádá Trump. Ve zmatku se šíří „realita“ plná podvodů

Sčítání výsledků se vleče celé dny. Sebevědomý Biden vyzývá k trpělivosti, Trump se hlasitě dožaduje zastavení sčítání....

Svůj nový vztah jsem radši šla ohlásit řediteli, říká zamilovaná Witowská

Premium Její život se letos pořádně otočil. Možná ještě víc, než když předloni bravurně zvládla prezidentskou debatu. Aby měla...

Bahamské úřady zveřejnily příčinu smrti Seana Conneryho

Bahamské úřady zveřejnily oficiální pitevní zprávu k úmrtí herce Seana Conneryho. První a nejdéle sloužící James Bond...

Promoření? Odvážný sen, tragické následky. Stádní imunita funguje jinak

Jak se nejlépe zbavit covidu-19? Už od jara mluvili někteří odborníci o kontroverzní strategii známé jako „promořování“...

Kapitán je na tahu, bude šach mat, oznámil po líbánkách Pavel své ženě

Psycholožka, terapeut a genetička vybrali na základě testů i DNA mezi více než patnácti sty přihlášenými jednotlivci...

Tři nemoci, které ohrožují mladé lidi s hektickým životem

Začínají často nenápadně, ale jejich následky mohou být fatální. Nemoci, které mladým lidem mohou vzít i život. Prvotní...