CSIRT.cz přichází. Kyberzločincům navzdory

Půjde-li vše dobře, bude mít Česko v roce 2011 svůj vlastní rozsáhlý Computer Security Incident Response Team pro boj s internetovou kriminalitou. Nový projekt získal grant ve výši 16 milionů korun a podporuje jej stát, akademická aktivita s podporou soukromého sektoru i státní správy už tu ale měla být dříve.

CSIRT (Computer Security Incident Response Team, www.csirt.cz) je jednou z praktických aktivit v oblastí počítačové bezpečnosti a boje proti kybernetické kriminalitě. V různých podobách existuje v různých zemích již poměrně dlouho (viz též ENISA CSIRT – How to set-up a CSIRT a CERT CSIRT FAQ).

A v dubnu 2008, dalo by se říci konečně, dorazila aktivita tohoto druhu i do České republiky. CSIRT.CZ je hlavně poradním a expertním orgánem, který se má věnovat řešení bezpečnostních incidentů, koordinace řešení i předcházení problemům. Součástí jeho činnosti by měly být i analytické a koncepční činnosti v oblasti ochrany proti útokům na síťově orientované systémy a řešení jejich případných následků.

CSIRT by měl fungovat jak v podobě orgánu, poskytujícího služby a podporu, tak v podobě infrastruktury, která slouží rychlejší a efektivnější reakci, prevenci i spolupráci.

V českém pojetí by CSIRT měl být reaktivní, ale i proaktivní, podobně jako v pojetí řady dalších obdobných institucí (po světě existují stovky podobných týmů). Své aktivity by měl vyvíjet i ve spolupráci s organizacemi TERENA (Trans-Europen Research and Education Networking Association) a FIRST (Forum for Incident Response and Security Team).

„Ustanovení zákona o placení za nenahrané nosiče dat vedlo k opačnému postoji uživatelů Internetu, než se původně zamýšlelo. Uživatelé jsou nově přesvědčení, že si zaplatili a mohou stahovat,“ uvedl Zdeněk Jírovský jako komentář účasti FSV UK v týmu coby odborníka na sociologii i průzkumy.

CSIRT dostal do svých počátků prostředky grantového programu Ministerstva vnitra ČR (MVČR) nazvaného Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů ČR (k nalezení například již v Národním akčním plánu boje proti terorismu z roku 2005) a bude tak pracovat na zvýšení schopnosti českého internetového prostředí řešit bezpečnostní incidenty (a možnosti, jak jim předcházet). K tomu by měly posloužit i další nově vznikající CSIRT týmy. Pro nejbližší období to pak v praxi znamená, že

  • dojde k vytvoření distribuované sítě pracovišť CIRT (do roku 2010 by měla vzniknout celá hierarchie týmů),
  • bude se pracovat na přípravě organizačních a legislativních podkladů pro provoz vrcholových týmů CSIRT a spolupráci s ostatními řešiteli grantového projektu a MVČR.

Z uvedeného je zřejmé, že CSIRT není nic malého. Cíle jsou velké, plány ještě větší. Nástroji by podle informací z tiskové konference měly být semináře, školení, konzultace, pomoc při řešení skutečných problémů. V působnosti CSIRTu bude i mezinárodní spolupráce a aktivity, zejména takové, které by měly umožnit aktivní reakci na napadení ze zahraničních zdrojů.

CSIRT 3. dubna 2008 vstoupil do pilotního provozu a bude se v něm nacházet do roku 2010 – na 1. ledna 2011 je plánováno faktické zřízení samotné organizace CSIRT.CZ.

Celý program je profesionálně zajišťován sdružením CESNET (metodika programu) a společností NESS Czech (provozní stránka), hlavním koordinátorem je Václav Jírovský, který zároveň zastupuje ČR v bruselském výboru pro „Security“ v rámci 7. rámcového výzkumného programu EU.

Co CSIRT nebude?

CSIRT naopak nebude poradní orgán pro veřejnost a firmy, který je volně dostupný a vyvíjí jakousi veřejnou či všeobecně dostupnou službu. S komerčním využitím se prozatím nepočítá, výstupy z činnosti CSIRTu a publikační aktivity nicméně veřejnosti sloužit budou.

Samotní organizátoři zdůrazňovali i to, že CSIRT není nástrojem ani prostředkem represe, kontroly a regulace. V souvislosti s tím je potřeba zdůraznit, že CSIRT nemá (a v dohledné době ani mít nebude) v tomto ohledu žádné pravomoci (a nemají je zpravidla ani zahraniční organizace podobného druhu). Což samozřejmě také znamená, že při případném řešení problémů s nebezpečnou aktivitou v českých sítích bude odkázán na ochotu spolupráce od zúčastněných subjektů.

CISRT aktivity mají svůj původ v původních CERT (Computer Emergeny Response Team Coordination Center) týmech (první vznikl v USA někdy v roce 1998 na Carnegie-Mellon University). První myšlenky na založení podobného týmu se objevily ale již v roce 2000 a český CERT ve skutečnosti vznikl v roce 2004 (coby CESNET-CERTS mající čtyři členy a skutečně fungující), v roce 2008 získal status akreditovaného týmu v rámci aktivit Terena TI. Čerstvě existující CSIRT je (nebo spíše bude) ve skutečnosti klonem CESNET-CERTS. 

CERT Evropa mapa

CERT aktivity v Evropě

V rámci tiskové konference byla Andreou Kropáčovou (CESNET-CERTS) citována jedna z kybernetických hrozeb – phishing – a uvedeny základní principy rozdílnosti obrany za předpokladu existence CSIRT. CSIRT by měl umožnit rychlejší detekci útoků a příjem hlášení, zajistit včasné varování zúčastněných, sdílet údaje o útocích a zveřejňovat informace o probíhajícím útoku.

Ani CSIRT se neubránil propagaci obecně oblíbených mýtů. Jedním z nich bylo doporučení používat certifikáty při přístupu na bankovní weby. Pro běžné uživatele jsou webové certifikáty stejně záhadné jako to, jak má vypadat webová adresa. A běžného uživatele není nejmenší problém oklamat. Je totiž potřeba si uvědomit, že absenci korektního certifikátu uživatel vůbec nepozná. Certifikát navíc nezabrání ve vstupu na phishingové weby ani vydávání se za nějaký jiný web.

Pokud ve „výhodách“ hledáte i něco podstatnějšího (než zvládnou média a antivirové firmy), tak hledáte a očekáváte správně. CSIRT například vyvine aktivity zamezující nekontrolovanému přitékání dalšího phishingu, bude kontaktovat správce a vlastníky IP adres použitých pro rozesílku i hosting, zajistí komunikaci s dalšími orgány státní správy a případně se také bude věnovat informování médií a veřejnosti.

Na tiskové konferenci byl uváděn i příklad DDoS útoku na český portál z brazilských IP adres – součástí subjektů podílejících se řešení problémů pak může být i například CSIRT.BR resp. CERT.BR. Je samozřejmě jasné, že DDoS útok probíha z řady míst na celém světě (při použití botnetu), takže ve skutečnosti by bylo nutné zapojit daleko více subjektů. Včetně možného zapojení bezpečnostních složek. V praxi Václav Jírovský přirovnal tuto aktivitu k nedávným útokům na Estonsko (kde bylo výrazně zapojeno i Finsko).

Jiřího Peterku na tiskovce zajímalo i to, jestli CSIRT bude mít přístup k údajům ISP, které udržují na základě požadavku státu. Odpověď byla logická a očekávatelná  – záleží na právních úpravách. Podobně je potřeba zdůraznit to, co už bylo naznačeno, totiž že CSIRT nemá a nejspíš ani nebude mít žádné pravomoce – je schopen pouze informovat, koordinovat. A pochopitelně na úrovni státu řešit principální otázky a doporučovat řešení. Osobně nicméně zcela vážně přemýšlím nad tím, zda stát někdy v budoucnu nebude chtít nějaké pravomoce tohoto druhu na podobný orgán delegovat, případně nějaký vlastní orgán vytvořit.

Jak je v tom vlastně zapojen stát? A co to bude stát?

Martin Linhart (pověřen řízením odboru bezpečnostní politiky ministerstva vnitra), informoval o tom, že MVČR nemá dostatek kapacit na aktivity, které CSIRT bude pokrývat – v roce 2006 tedy vzniklo výběrové řízení, které vedlo k tomu, že od července roku 2007 je za řešení zodpovědno konzorcium vedené Matematicko-fyzikální fakultou UK (členové MFF UK, PrF UK, FEL ČVUT, FSV UK, NESS Czech s.r.o a CESNET). Podle Martina Linharta jsou tyto společnosti „zárukou řešení v dostatečné šíři“. Na straně státní správy byl vytvořen expertní tým, který bude pravidelně komunikovat s CSIRTem. A až do roku 2010 bude pracovat na bezpečnostním výzkumu (softwarová řešení, profily kyberzločinců, právní nástroje k řešení problémů) – na konci roku 2010 bude výsledkem práce také model CSIRT pracovišť.

Zdroj financování je hlavně již zmíněná grantová podpora ve výši 16 milionů korun (část na vybudování pracoviště a zajištění školení je zhruba čvrtina) a v tuto chvíli se nepočítá s PPP (Public Private Partnership) ani jiným podílem soukromých subjektů (byť se to do budoucna může změnit). Uvedená částka by měla „vystačit“ až do roku 2011.  Jak velký bude CERTS v roce 2011, prozatím nikdo neví. Dnes je k dispozici šest lidí. Podle Andrey Kropáčové se prostě uvidí, co bude potřeba (zahraniční CSIRT mají až 20–25 lidí, čínský bezpečnostní tým, ehm, jich má více než 250).

Každopádně, stále zbývá ještě dořešit, který „CERT“ vlastně bude MVČR podporovat – jak na tiskové konferenci upozornil Jiří Peterka, již dříve vznikl „jiný“ CERT v rámci ministerstva informatiky a podle Martina Linharta z MVČR se teď „řeší“, jak to vlastně dopadne.

Pro rýpaly a pochybovače

Ano, CSIRT je „samozvaný“ tým, který se začlenil do dalších (podobně samozvaných) struktur, které svým dalším částem udělují akreditace a určují pravidla. Stejně tak je CSIRT zjevně rozsáhlým projektem se značnými náklady. Je plánován na dlouhou dobu a zapojení akademického světa od samého počátku napovídá, že se nikam spěchat nebude. A že se bude prostě zkoumat, přičemž je dost pravděpodobné, že se budou zkoumat věci, které někde jinde zkoumá někdo jiný. I to se dá samozřejmě namítnout. CSIRT je zároveň výsledkem výběrového řízení, je v něm jedna čistě soukromá firma, nejsou zde přítomny žádné velké bezpečnostní společnosti (na což nepochybně časem dojde a je nutné nezapomenout na to, že většina nadnárodních společností je zapojena právě na nadnárodní úrovni). A dosavadní činnost CSIRTu  zdánlivě nemá žádné viditelné výsledky.

Dá se namítnout určitě i řada dalších věcí. Osobně mám ale na CSIRT jasný názor – je dobře, že ČR konečně takový tým buduje, je na to nejvyšší čas. A je dobré, že jde o spolupráci řady akademických institucí, soukromého sektoru i státní správy. Je velká šance, že činnost CSIRTu bude mít hmatatelné a použitelné výsledky. Co navíc, v CERTs/CSIRT týmech najdete nejenom instituce, které již dlouho stojí za vznikem českého Internetu (a infrastruktury zejména), ale také řadu jmen, které mohou být dobrým základem pro skutečné výsledky.

EBF16

Na tiskové konferenci bylo dotazem z pléna ostře zpochybněno použití elektronické pošty jako komunikačního kanálu coby pomalého a nespolehlivého způsobu. Podle zkušeností CESNET.CERTS je tato komunikace efektivní, zejména proto, že jde o činnost zajišťovanou akreditovanými týmy, které musí splňovat určité požadavky. Přínosem takovéto akreditace je i to, že týmy mají přístup ke komunikacím či databázím incidentů, znalostním bázím, atd.

Jedno je ale asi důležité zdůraznit. CSIRT týmy by měly začít vznikat zejména u jednotlivých poskytovatelů internetového připojení, telekomunikačních společností, výrobců síťových prvků, software a možná i velkých poskytovatelů internetových služeb. CSIRT je potřeba si v tomto modelu představovat jako velkou síť propojených týmů, které mají k dispozici výzkumné a vývojové expertní zázemí. Řada dílčích týmů je ve skutečnosti zodpovědná hlavně za konkrétní aktivity, související s konkrétními incidenty. Všichni, u kterých by CSIRT tým měl smysl, by měli začít aktivně jednat.

Obranu Internetu je nutné určitým způsobem vzít do „vlastních“ rukou. A zároveň s tím uvítat, že stát má aktivní zájem se na této činnosti podílet a podporovat ji.

Anketa

Podaří se do roku 2011 uvést CSIRT do praxe v plném rozsahu?

34 názorů Vstoupit do diskuse
poslední názor přidán 8. 4. 2008 12:12

Školení SEO - jak na optimalizaci pro vyhledávače

  •  
    Analýza klíčových slov - jaká slova vybrat.
  • Metody linkbuildingu - jak získat zpětné odkazy.
  • Vyhodnocování SEO - nesledujte jen pozice.

Detailní informace o školení SEO »