Neděle 2. října 2022, svátek má Olívie, Oliver
  • schránka
  • Přihlásit Můj účet
  • Neděle 2. října 2022 Olívie, Oliver

Co vám hrozí, když se váš počítač zapojí do DDoS útoku třeba na banku

Nedávné útoky na banky a české zpravodajské servery byly vedeny z podvržených IP adres. Možná se na něm podílely běžné, špatně zabezpečené domácí počítače. Teoreticky třeba i ten váš. Hrozí vám jako majiteli nezabezpečeného stroje něco? Je možné vystopovat skutečného útočníka?

Takhle většina DDoS útočníků bohužel neskončí. | foto: Profimedia.cz

Český internet zažil na začátku března nebývalou vlnu kybernetických útoků. Pakety, kterými byly zahlceny servery dotčených společností, nejspíše pocházely ze stovek tisíc běžných počítačů, zotročených škodlivým kódem a zapojených do sítě zvané botnet.

Množství těchto "zombie" počítačů samozřejmě není přesně známé. Podle Vladimíra Brože, bezpečnostního experta společnosti Fortinet, je celosvětově takto zneužíváno odhadem 80 až 150 milionů domácích i firemních počítačů. Mezi nimi může teoreticky být i ten váš, aniž byste o tom měli tušení.

Právní odpovědnost za vlastní počítač

Zda z toho něco vyplývá pro majitele k trestné činnosti zneužitého počítače jsme se zeptali advokáta Martina Strnada ze společnosti Havel, Holásek & Partners.

Na vzestupu

Podle statistik společnosti Fortinet roste množství DDoS útoků meziročně o 25 až 40 procent.

Technet.cz: Je nějak postižitelný uživatel, jehož "zombie" počítač se na útoku podílel, byť bez jeho vědomí?

Strnad: Každý má povinnost předcházet hrozícím škodám. Pokud uživatel počítač rozumně zabezpečil a přesto byl tento počítač napaden zvenčí, povinnost k náhradě škody zde nejspíše nebude. Pokud uživatel počítač nezabezpečí a ten se stane účastníkem útoku, bude o případné odpovědnosti za způsobenou škodu rozhodovat soud. Jednou z proměnných v jeho rozhodování jistě bude i míra účasti počítače na útoku. V praxi si ale takový proces umím představit jen obtížně i z důvodu velmi vysokého počtu napadených počítačů.

Technet.cz: Obecně, je podle českých zákonů domácí uživatel IT zařízení zodpovědný za škodu (či trestný čin), která je prostřednictvím těchto zařízení spáchána? Například když laik nechá nezabezpečený wi-fi router a někdo přes tuto síť nelegálně uploaduje chráněné autorské dílo.

První DDoS

První velký zdokumentovaný DDoS útok byl proveden v roce 1999. Cílem byl komunikační (IRC) server univerzity v Minnesotě. Servery univerzity byly nedostupné dva dny.  

Strnad: Otázka je právně velmi složitá, ale v případě typického domácího uživatele bych se odpovědnosti za škodu spíše neobával. Situace ale bude jasnější až bude dostupná ustálená judikatura.

Vystopovat útočníka lze jen velmi těžko

Největší šanci na dopadení mají právě tyto "zombie" počítače, ze kterých fyzicky útok přichází. Původce útoku, tedy ten, kdo příkaz k útoku do botnetu poslal, nebo ten, kdo si tento útok objednal, nejspíše dopaden nebude. Může za to složitá struktura botnetu, jeho dynamicky se měnící podoba a také podvržené IP adresy, ze kterých pakety přicházejí. A také nutnost spolupráce s internetovými operátory, přes které je útočník připojen, což je u některých zemí obrovská překážka.

Více jsme se zeptali šéfa administrátorů společnosti Etnetera Martina Pohla, který se podílel například na minimalizaci následků útoku na servery společnosti O2.

2012

Zlomový rok?

Podle magazínu Infosecurity byly ve třetím čtvrtletí 2012 americké banky pod DDoS útoky s tokem balastních požadavků na úrovni 70 Gbit/s.

Podle společnosti Gartner přitom datové toky při útocích v prvním pololetí stejného roku dosahovaly špiček "jen" kolem 5 Gbit/s.

Technet.cz: Podle našich informací byly útoky prováděny z podvržených IP adres. Jak moc tento fakt ztíží vystopování původce útoku?

Pohl: Velmi. I když se podaří nějakým zázrakem identifikovat útočící počítač, tak je to pouze takový pěšák. Navíc obvykle jeho majitel ani netuší, že je účastníkem útoku. I tak je cenné takový počítač získat, jelikož obsahuje program, který jej připojuje do botnetu. Analýzou programu pak lze získat informace, kam konkrétně se počítač připojuje, a odkud je tedy ovládán. I tak není vyhráno, jelikož botnet se skládá z jednotlivých uzlů a aktivita v uzlu je pod přísnou kontrolou. Tedy pokud se do botnetu někdo připojí a začne se tam "rozhlížet" a zjišťovat třeba, které další počítače jsou tam připojeny, tak je obvykle rychle odhalen, odpojen a jeho přístup zrušen.

Technet.cz: Pokud by byl původce aktuálních DDoS útoků přesto vypátrán, jak bude dokazováno, že je opravdu útočníkem? Jaké stopy pro to budou klíčové?

Další cíl: aplikace

Až 25 procent DDoS útoků v roce 2013 bude vedeno proti aplikacím. Ty pak vytíží procesor a operační paměť napadeného systému a aplikace přestane reagovat. Ve své zprávě to uvádí společnost Gartner.

Strnad: O tom rozhodují orgány činné v trestním řízení. Čekal bych, že půjde především o technické prostředky: záznamy provozu v telekomunikačních sítích a logy napadených společností, samozřejmě ve spojení s dalšími důkazy, jako je například výslech.

Technet.cz: Byl v České republice již někdy vynesen rozsudek právě v souvislosti s kybernetickým útokem?

Strnad: Ano, šlo například o útoky na elektronické bankovnictví, neoprávněný přístup do e-mailové schránky oběti či zneužití záznamů v informačních systémech banky.

Obrana proti útoku je velmi složitá a nikdy ne okamžitá

Charakter útoku, tedy zahlcení serverů ohromným množstvím nesmyslných požadavků, prakticky znemožňuje účinnou ochranu. Platí, že čím silnější servery a infrastrukturu napadený cíl má, tím lépe odolá útoku. Prostě stihne vyřídit požadavky útočníků i legitimních uživatelů. Pokud má útočník více výkonu než napadený, a to je u DDoS skoro pravidlo, je útok alespoň na určitou dobu úspěšný.

"Nedá se nic vypnout, nic filtrovat, nic blokovat. Protože se útočník vmísí do běžného provozu, můžeme blokovat buď všechny (tedy i legitimní) uživatele nebo nikoho," zjednodušil problematiku ve svém komentáři Vladimír Brož. "Ideální je mít více serverů v různých lokalitách, útočník pak musí rozložit své zdroje do více směrů útoku. Už naše babičky říkávaly: Nedávejte všechna vejce do jednoho košíku!" doplňuje Brož.

Normální TCP spojení mezi uživatelem a serverem. Uživatel pošle serveru paket s příznakem SYN, server odpoví paketem s příznakem SYN-ACK a uživatel (tj. jeho síťová karta) odpoví paketem s příznakem ACK. Říká se tomu třícestný handshake. (zdroj obrázků a části popisků: Wikipedia )

Narušená komunikace během DDoS útoku typu SYN flood. Útočník poslal mnoho paketů s příznakem SYN, ale už neposlal zpět žádný paket s příznakem ACK. Spojení jsou jen způli navázána a zabírají prostředky serveru. Jiný uživatel se zkouší připojit, ale server odmítá spojení - již na něj nemá kapacitu.

V případě útoku, který komplikoval český internetový život v prvním březnovém týdnu, situaci navíc komplikovaly již zmíněné podvržené IP adresy, ze kterých byly servery nesmyslnými požadavky bombardovány.

Technet.cz: Jak moc podvržené IP adresy ztěžují filtraci/blokování útoků?

Pohl: Opět velmi. V podstatě je filtrace podle zdrojové IP adresy spíše zoufalý pokus situaci nějak zvládnout. Reálně to problém s DoS útokem neřeší, jelikož pro část návštěvníků je prezentace stále nedostupná. Filtrace podle IP může být vhodná v případě, že je nutné na zařízení nastavit skutečně účinná pravidla a v daný okamžik to není možné kvůli extrémní zátěži, vyvolané obrovským množstvím dat, která musí dané zařízení zpracovat. Můžete tak na chvíli zařízení ulevit.

Byl to DDoS?

komentář Ondřeje Filipa z CZ.NIC

Je zajímavé, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí, a to silou v řádu stovek tisíc až milionů paketů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané.

Při klasickém DDoS útoku, který používá botnet, přicházejí pakety z různých směrů a obvykle nejde žádný dominantní směr určit. Pokud by útočník využil takovýto botnet, jistě by měl největší zájem o zapojení uzlů právě z našeho území, které mají k cíli nejlepší spojení. Ale k tomu pravděpodobně (kromě toho odrazu z druhé fáze) nedošlo.

Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť (nebo alespoň její dominantní část) poměrně geograficky omezená.

Nejčastější reakcí síťařů je změna pravidel. Například zkrátí dobu, po kterou server čeká na odpověď druhé strany. Ta v případě požadavku útočícího "zombie" stroje nikdy nepřijde, a tak je čekání (které blokuje kapacitu serveru) zbytečné. 

Cílům útoku unikají zisky. A co jejich zákaznici?

Zpravodajské weby přichází během útoků o čtenost a zobrazení reklamy. Bankám během útoku nefunguje on-line bankovnictví, a tak přicházejí o poplatky za transakce nebo objednané služby. Napadené subjekty mohou na policii podat trestní oznámení na neznámého pachatele. Ale co uživatelé těchto služeb?

Technet.cz: Má na náhradu škody nárok klient služby, kterému vznikla škoda v důsledku její nedostupnosti (např. nestihl odeslat včas platby v důsledku zablokování elektronického bankovnictví)?

Strnad: Nárok skutečně může vzniknout, ale pouze v případě, že škoda skutečně objektivně vznikla právě jako důsledek útoku a nebylo jí například možno zabránit uhrazením platby jinou formou apod. O odpovědnosti za škodu rozhoduje soud.

Závěr: o co komu jde?

Pokud bychom chtěli proběhlé DDoS útoky sumarizovat do jednoho výstižného výrazu, asi nejlépe by se hodilo slovo "opruz". Byly to v podstatě zbytečné hodiny práce administrátorů napadených systémů, zbytečně vynaložené prostředky za bezpečnostní konzultanty, zbytečně ušlé zisky z nedostupných služeb a především zbytečné komplikace pro klienty a uživatele nefunkčních služeb.

Radost z povedených útoků mohl mít jedině útočník. Mohl to být někdo, kdo si útoky zkoušel "nanečisto", než se pustí do nějakého většího cíle. Mohl to být provozovatel botnetu, který chtěl demonstrovat jeho sílu potenciálním klientům. Mohl to být někdo, kdo chtěl zaměstnat správce systémů hrubým útokem a mezitím nepozorovaně "hackovat" jinou část systému, třeba nějakou databázi. Co je však zatím zřejmé, o vydírání (zaplaťte a my toho necháme), nebo konkurenční boj (vaši klienti své požadavky zatím vyřídí u nás) tentokrát nešlo.

  • Nejčtenější

NASA testovala obranu Země před vesmírným tělesem, sonda zasáhla asteroid

Sonda DART americké vesmírné agentury NASA zasáhla v úterý podle plánu měsíc planetky Didymos. Šlo o první test obrany...

Tuto technologii nejspíš používáte, ale dost možná ne naplno. Co vše umí NFC

Premium Používá se denně k bezkontaktnímu placení, ale také k tisku, párování sluchátek, načtení jídelního lístku, otevření...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Nejblíž za 22 let. Vysloužilá sonda pořídila snímky Jupiterova měsíce Europa

Pět let letěla sonda Juno k Jupiteru, aby v roce 2016 u něj začala svou práci. Přestože již má své původní úkoly dávno...

Zabte je, než vylezou na břeh. I „hořící moře“ mělo zastavit německou invazi

Seriál Po neúspěšných diplomatických nabídkách se Hitler odhodlal k vypracování plánů na invazi do Británie. Britům bylo...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

POZOR VLAK: Papírová RC lokomotiva je světovým unikátem

Toto jste ještě neviděli, štáb magazínu POZOR VLAK natočil naprostý železniční unikát, zářivě žlutý model elektrické...

Sověti ozářili Richarda Nixona radioaktivitou. Jeho agenti to zastavili trikem

Premium Při návštěvě v Sovětském svazu Richard Nixon sice přátelsky hovořil se sovětským vůdcem Nikitou Chruščovem v takzvané...

Test kočičích kapsiček. I z krmiva za deset korun může zvíře dostat vše

Premium Kočky nám sice někdy připadají mlsné, ale ony jen v miskách hledají to, co jejich tělu prospívá nejvíc: maso plné...

Extra steh po porodu navíc? Rodičky děsí ponižující husband stitch

Premium Přivést dítě na svět znamená pro většinu žen prožít si mnoho vypjatých chvil. Vyrovnat se s průběhem porodu nemusí být...

Trendy forma videí dobyla Instagram. Může za to tlak konkurence

Sociální síť Instagram se chystá na zásadní změnu. Klasická videa totiž vystřídá modernější formát Reels. Více se tím...

Facebook se „zbláznil“. Ukazoval jen vzkazy celebritám, přátele skryl

Řada uživatelů ve středu dopoledne hlásila, že se jim „zbláznil“ Facebook. Sociální síť ukazovala náhodné vzkazy....

Google spouští v Česku navigaci pro úspornou jízdu. Ptá se i na pohon auta

Google mapy jsou často využívané jako navigace, která nabízí řadu funkcí. Nyní společnost spouští i v Evropě další...

Jak online a zdarma vydolovat text z obrázku či PDF

Optické rozpoznávání znaků (OCR) slouží nejen pro převod obrázků obsahujících texty do podoby umožňující pozdější...

Přístroje zjistily výbuchy u Nord Streamu. Úmyslný čin, tvrdí Švédsko

Švédské a dánské měřicí stanice v pondělí zaznamenaly masivní podmořské výbuchy, a to v místech, kde z plynovodu Nord...

Úmrtní list Alžběty II. odhalil příčinu i čas smrti královny

Britská královna Alžběta II. zemřela na stáří. Vyplývá to z jejího úmrtního listu, který ve čtvrtek zveřejnil skotský...

Příběh Marty: Syn si přivedl domů přítelkyni, je to líná špindíra

Se synem jsme měli vždycky hezký vztah. Naším společným plánem bylo, že jednou s námi zůstane žít v našem domě v...

Dcera Neumannové randí s modelem. V mém životě muž není, říká její matka

Dcera legendární lyžařky Kateřiny Neumannové, osmnáctiletá Lucie randí s úspěšným modelem Oliverem Průchou. Promluvili...

Slovensko vře kvůli cenám elektřiny. Největší výrobce hrozí bankrotem

Největšímu výrobci elektřiny na Slovensku, společnosti Slovenské elektrárne, se příčí dodávání elektřiny slovenským...