Premium

Získejte všechny články
jen za 89 Kč/měsíc

Co vám hrozí, když se váš počítač zapojí do DDoS útoku třeba na banku

Nedávné útoky na banky a české zpravodajské servery byly vedeny z podvržených IP adres. Možná se na něm podílely běžné, špatně zabezpečené domácí počítače. Teoreticky třeba i ten váš. Hrozí vám jako majiteli nezabezpečeného stroje něco? Je možné vystopovat skutečného útočníka?

Takhle většina DDoS útočníků bohužel neskončí. | foto: Profimedia.cz

Český internet zažil na začátku března nebývalou vlnu kybernetických útoků. Pakety, kterými byly zahlceny servery dotčených společností, nejspíše pocházely ze stovek tisíc běžných počítačů, zotročených škodlivým kódem a zapojených do sítě zvané botnet.

Množství těchto "zombie" počítačů samozřejmě není přesně známé. Podle Vladimíra Brože, bezpečnostního experta společnosti Fortinet, je celosvětově takto zneužíváno odhadem 80 až 150 milionů domácích i firemních počítačů. Mezi nimi může teoreticky být i ten váš, aniž byste o tom měli tušení.

Právní odpovědnost za vlastní počítač

Zda z toho něco vyplývá pro majitele k trestné činnosti zneužitého počítače jsme se zeptali advokáta Martina Strnada ze společnosti Havel, Holásek & Partners.

Na vzestupu

Podle statistik společnosti Fortinet roste množství DDoS útoků meziročně o 25 až 40 procent.

Technet.cz: Je nějak postižitelný uživatel, jehož "zombie" počítač se na útoku podílel, byť bez jeho vědomí?

Strnad: Každý má povinnost předcházet hrozícím škodám. Pokud uživatel počítač rozumně zabezpečil a přesto byl tento počítač napaden zvenčí, povinnost k náhradě škody zde nejspíše nebude. Pokud uživatel počítač nezabezpečí a ten se stane účastníkem útoku, bude o případné odpovědnosti za způsobenou škodu rozhodovat soud. Jednou z proměnných v jeho rozhodování jistě bude i míra účasti počítače na útoku. V praxi si ale takový proces umím představit jen obtížně i z důvodu velmi vysokého počtu napadených počítačů.

Technet.cz: Obecně, je podle českých zákonů domácí uživatel IT zařízení zodpovědný za škodu (či trestný čin), která je prostřednictvím těchto zařízení spáchána? Například když laik nechá nezabezpečený wi-fi router a někdo přes tuto síť nelegálně uploaduje chráněné autorské dílo.

První DDoS

První velký zdokumentovaný DDoS útok byl proveden v roce 1999. Cílem byl komunikační (IRC) server univerzity v Minnesotě. Servery univerzity byly nedostupné dva dny.  

Strnad: Otázka je právně velmi složitá, ale v případě typického domácího uživatele bych se odpovědnosti za škodu spíše neobával. Situace ale bude jasnější až bude dostupná ustálená judikatura.

Vystopovat útočníka lze jen velmi těžko

Největší šanci na dopadení mají právě tyto "zombie" počítače, ze kterých fyzicky útok přichází. Původce útoku, tedy ten, kdo příkaz k útoku do botnetu poslal, nebo ten, kdo si tento útok objednal, nejspíše dopaden nebude. Může za to složitá struktura botnetu, jeho dynamicky se měnící podoba a také podvržené IP adresy, ze kterých pakety přicházejí. A také nutnost spolupráce s internetovými operátory, přes které je útočník připojen, což je u některých zemí obrovská překážka.

Více jsme se zeptali šéfa administrátorů společnosti Etnetera Martina Pohla, který se podílel například na minimalizaci následků útoku na servery společnosti O2.

2012

Zlomový rok?

Podle magazínu Infosecurity byly ve třetím čtvrtletí 2012 americké banky pod DDoS útoky s tokem balastních požadavků na úrovni 70 Gbit/s.

Podle společnosti Gartner přitom datové toky při útocích v prvním pololetí stejného roku dosahovaly špiček "jen" kolem 5 Gbit/s.

Technet.cz: Podle našich informací byly útoky prováděny z podvržených IP adres. Jak moc tento fakt ztíží vystopování původce útoku?

Pohl: Velmi. I když se podaří nějakým zázrakem identifikovat útočící počítač, tak je to pouze takový pěšák. Navíc obvykle jeho majitel ani netuší, že je účastníkem útoku. I tak je cenné takový počítač získat, jelikož obsahuje program, který jej připojuje do botnetu. Analýzou programu pak lze získat informace, kam konkrétně se počítač připojuje, a odkud je tedy ovládán. I tak není vyhráno, jelikož botnet se skládá z jednotlivých uzlů a aktivita v uzlu je pod přísnou kontrolou. Tedy pokud se do botnetu někdo připojí a začne se tam "rozhlížet" a zjišťovat třeba, které další počítače jsou tam připojeny, tak je obvykle rychle odhalen, odpojen a jeho přístup zrušen.

Technet.cz: Pokud by byl původce aktuálních DDoS útoků přesto vypátrán, jak bude dokazováno, že je opravdu útočníkem? Jaké stopy pro to budou klíčové?

Další cíl: aplikace

Až 25 procent DDoS útoků v roce 2013 bude vedeno proti aplikacím. Ty pak vytíží procesor a operační paměť napadeného systému a aplikace přestane reagovat. Ve své zprávě to uvádí společnost Gartner.

Strnad: O tom rozhodují orgány činné v trestním řízení. Čekal bych, že půjde především o technické prostředky: záznamy provozu v telekomunikačních sítích a logy napadených společností, samozřejmě ve spojení s dalšími důkazy, jako je například výslech.

Technet.cz: Byl v České republice již někdy vynesen rozsudek právě v souvislosti s kybernetickým útokem?

Strnad: Ano, šlo například o útoky na elektronické bankovnictví, neoprávněný přístup do e-mailové schránky oběti či zneužití záznamů v informačních systémech banky.

Obrana proti útoku je velmi složitá a nikdy ne okamžitá

Charakter útoku, tedy zahlcení serverů ohromným množstvím nesmyslných požadavků, prakticky znemožňuje účinnou ochranu. Platí, že čím silnější servery a infrastrukturu napadený cíl má, tím lépe odolá útoku. Prostě stihne vyřídit požadavky útočníků i legitimních uživatelů. Pokud má útočník více výkonu než napadený, a to je u DDoS skoro pravidlo, je útok alespoň na určitou dobu úspěšný.

"Nedá se nic vypnout, nic filtrovat, nic blokovat. Protože se útočník vmísí do běžného provozu, můžeme blokovat buď všechny (tedy i legitimní) uživatele nebo nikoho," zjednodušil problematiku ve svém komentáři Vladimír Brož. "Ideální je mít více serverů v různých lokalitách, útočník pak musí rozložit své zdroje do více směrů útoku. Už naše babičky říkávaly: Nedávejte všechna vejce do jednoho košíku!" doplňuje Brož.

Normální TCP spojení mezi uživatelem a serverem. Uživatel pošle serveru paket s příznakem SYN, server odpoví paketem s příznakem SYN-ACK a uživatel (tj. jeho síťová karta) odpoví paketem s příznakem ACK. Říká se tomu třícestný handshake. (zdroj obrázků a části popisků: Wikipedia )

Narušená komunikace během DDoS útoku typu SYN flood. Útočník poslal mnoho paketů s příznakem SYN, ale už neposlal zpět žádný paket s příznakem ACK. Spojení jsou jen způli navázána a zabírají prostředky serveru. Jiný uživatel se zkouší připojit, ale server odmítá spojení - již na něj nemá kapacitu.

V případě útoku, který komplikoval český internetový život v prvním březnovém týdnu, situaci navíc komplikovaly již zmíněné podvržené IP adresy, ze kterých byly servery nesmyslnými požadavky bombardovány.

Technet.cz: Jak moc podvržené IP adresy ztěžují filtraci/blokování útoků?

Pohl: Opět velmi. V podstatě je filtrace podle zdrojové IP adresy spíše zoufalý pokus situaci nějak zvládnout. Reálně to problém s DoS útokem neřeší, jelikož pro část návštěvníků je prezentace stále nedostupná. Filtrace podle IP může být vhodná v případě, že je nutné na zařízení nastavit skutečně účinná pravidla a v daný okamžik to není možné kvůli extrémní zátěži, vyvolané obrovským množstvím dat, která musí dané zařízení zpracovat. Můžete tak na chvíli zařízení ulevit.

Byl to DDoS?

komentář Ondřeje Filipa z CZ.NIC

Je zajímavé, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí, a to silou v řádu stovek tisíc až milionů paketů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané.

Při klasickém DDoS útoku, který používá botnet, přicházejí pakety z různých směrů a obvykle nejde žádný dominantní směr určit. Pokud by útočník využil takovýto botnet, jistě by měl největší zájem o zapojení uzlů právě z našeho území, které mají k cíli nejlepší spojení. Ale k tomu pravděpodobně (kromě toho odrazu z druhé fáze) nedošlo.

Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť (nebo alespoň její dominantní část) poměrně geograficky omezená.

Nejčastější reakcí síťařů je změna pravidel. Například zkrátí dobu, po kterou server čeká na odpověď druhé strany. Ta v případě požadavku útočícího "zombie" stroje nikdy nepřijde, a tak je čekání (které blokuje kapacitu serveru) zbytečné. 

Cílům útoku unikají zisky. A co jejich zákaznici?

Zpravodajské weby přichází během útoků o čtenost a zobrazení reklamy. Bankám během útoku nefunguje on-line bankovnictví, a tak přicházejí o poplatky za transakce nebo objednané služby. Napadené subjekty mohou na policii podat trestní oznámení na neznámého pachatele. Ale co uživatelé těchto služeb?

Technet.cz: Má na náhradu škody nárok klient služby, kterému vznikla škoda v důsledku její nedostupnosti (např. nestihl odeslat včas platby v důsledku zablokování elektronického bankovnictví)?

Strnad: Nárok skutečně může vzniknout, ale pouze v případě, že škoda skutečně objektivně vznikla právě jako důsledek útoku a nebylo jí například možno zabránit uhrazením platby jinou formou apod. O odpovědnosti za škodu rozhoduje soud.

Závěr: o co komu jde?

Pokud bychom chtěli proběhlé DDoS útoky sumarizovat do jednoho výstižného výrazu, asi nejlépe by se hodilo slovo "opruz". Byly to v podstatě zbytečné hodiny práce administrátorů napadených systémů, zbytečně vynaložené prostředky za bezpečnostní konzultanty, zbytečně ušlé zisky z nedostupných služeb a především zbytečné komplikace pro klienty a uživatele nefunkčních služeb.

Radost z povedených útoků mohl mít jedině útočník. Mohl to být někdo, kdo si útoky zkoušel "nanečisto", než se pustí do nějakého většího cíle. Mohl to být provozovatel botnetu, který chtěl demonstrovat jeho sílu potenciálním klientům. Mohl to být někdo, kdo chtěl zaměstnat správce systémů hrubým útokem a mezitím nepozorovaně "hackovat" jinou část systému, třeba nějakou databázi. Co je však zatím zřejmé, o vydírání (zaplaťte a my toho necháme), nebo konkurenční boj (vaši klienti své požadavky zatím vyřídí u nás) tentokrát nešlo.

  • Nejčtenější

Námořníci USA propašovali před 100 lety na palubu bitevní lodi prostitutku

v diskusi je 30 příspěvků

13. dubna 2024

V dubnu 1924 zažilo americké námořnictvo obrovský skandál, který se dostal na titulní stránky...

Uvidíme v budoucnu na obloze druhý Měsíc? Příčinou může být neobvyklá hvězda

v diskusi je 13 příspěvků

17. dubna 2024

Velmi neobvyklá hvězda éta Carinae v 19. století náhle zjasnila a stala se druhou nejjasnější...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Skvělý filmový zvuk bez velké instalace. Test nejzajímavějších soundbarů

v diskusi je 17 příspěvků

15. dubna 2024

Položíte jej na polici před televizor, propojíte kabelem, zapojíte do zásuvky a během pár chvil se...

OBRAZEM: Po zkušenostech s Moskvou neponechává Litva otázku výzbroje náhodě

v diskusi je 19 příspěvků

11. dubna 2024

Litva se stala členem obranné aliance NATO v roce 2004. Pro zajištění vlastní bezpečnosti v...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Dawesův plán na čas stabilizoval Německo, ale nástup Hitlera neodvrátil

v diskusi je 15 příspěvků

16. dubna 2024

Německá vláda přijala před 100 lety, v dubnu 1924, Dawesův plán. Byl to americký projekt na...

Lotyšská armáda je malá, materiálem nehýří, ale Ukrajině něco ze svého poslala

v diskusi je 5 příspěvků

18. dubna 2024

V roce 2004 vstoupilo Lotyšsko do NATO, přesto nemůže nechat svou případnou obranu pouze na bedrech...

Pes na Měsíci či Marsu už nemusí být fikce. NASA trénuje průzkumného robopsa

v diskusi jsou 2 příspěvky

17. dubna 2024  15:12

Vědci z projektu Lassie, sponzorovaném americkou NASA, zdokonalují robotického psa pro použití při...

Na dům mu spadl odpad z vesmíru. Nyní NASA potvrdila, že je to kus z baterie

v diskusi je 7 příspěvků

17. dubna 2024  11:50

Před několika týdny proběhla médii informace o varování německého Spolkového úřad pro civilní...

Uvidíme v budoucnu na obloze druhý Měsíc? Příčinou může být neobvyklá hvězda

v diskusi je 13 příspěvků

17. dubna 2024

Velmi neobvyklá hvězda éta Carinae v 19. století náhle zjasnila a stala se druhou nejjasnější...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Náhle zemřel zpěvák Maxim Turbulenc Daniel Vali, bylo mu 53 let

Ve věku 53 let zemřel zpěvák skupiny Maxim Turbulenc Daniel Vali. Letos by se svou kapelou oslavil 30 let na scéně....

Charlotte spí na Hlaváku mezi feťáky, dluží spoustě lidí, říká matka Štikové

Charlotte Štiková (27) před rokem oznámila, že zhubla šedesát kilo. Na aktuálních fotkách, které sdílela na Instagramu...

Vykrojené trikoty budí emoce. Olympijská kolekce Nike je prý sexistická

Velkou kritiku vyvolala kolekce, kterou pro olympijský tým amerických atletek navrhla značka Nike. Pozornost vzbudily...

Rohlík pro dítě, nákup do kočárku. Co v obchodě projde a kdy už hrozí právník?

V obchodech platí pravidla, která občas zákazník nedodržuje. Někdy se navoní parfémem, aniž by použil tester, nebo...

Ve StarDance zatančí Vondráčková, Paulová, hvězda Kukaček i mistryně světa

Tuzemská verze celosvětově mimořádně úspěšné soutěže StarDance britské veřejnoprávní televizní společnosti BBC se už na...