Úspěšný útok na Internet - I ?

Mediální humbuk odezněl. Bílý dům připravuje útok na Irák, NATO a EU se rozšiřují. Možná je vhodný čas se podívat, jak je to vlastně horké s tím útokem na Internet.

První problém, který musíme vyřešit, je obsah pojmu Internet.

Lidé zevnitř za Internet považují soustavu sítí, která funguje na rodině protokolů TCP/IP a řídí se RFC (a pro globální směrování používá BGP-4). Neexistuje místo, na které by se dalo ukázat prstem a sdělit světu: Zde je začátek Internetu. Každá síť, která je k Internetu přímo připojena, se stává jeho součástí. Čím větší síť, tím větší část Internetu zabírá. Všechny další subjekty pouze poskytují služby.

Lidé zvenčí mají zvyk vidět Internet skrze poskytované služby. Internet je podle nich Seznam, Atlas, Lupa, Peníze.cz či iDNES. Jsou zvyklí dívat se na Internet skrze obrazovku webového prohlížeče (či klienta AOL). Není to nic nového, většina lidí si pod pojmem televize představí bedýnku s hlasatelem. Tyto lidi můžeme označit za spotřebitele.

Další rozlišení obou skupin může být například tím, že první skupina píše Internet (velké I), zatímco druhá internet (malé i).

Zkusme si popsat možné scénáře útoku na Internet (ano, správně, první skupina).

Vzhledem k tomu, že Internet představuje silně distribuovanou platformu, není možné efektivně zaútočit na jedno místo. Vzhledem ke geografické redundanci datových spojů není schopen Internet vyřadit z provozu ani útok na velkou aglomeraci ve vyspělém světě, jakou byl 11. září New York. Zóna zasažení sice zůstane bez připojení, nicméně zbytku Internetu se to prakticky netýká. I v případě, že by byly vyřazeny celé USA (například likvidací výstupů podmořských kabelů z oceánu), zbytek světa by i nadále Internetem komunikoval.

Samozřejmě, nemusí jít pouze o teroristický útok, může jít o regulérní válku, ale může jít také o živelnou katastrofu (pamatujete z hodin zeměpisu, že prostředek Atlantiku tvoří aktivní sopečné pohoří?) nebo může jít o zásah vlády na daném území. Prostě Internet zakáží. Vhodným důvodem může být ideologická diverze, ohrožení státu, potírání neřesti nebo dotace zemědělcům.

Ale i všechny tyto jevy se projeví pouze lokálně. Aby měly šanci prosadit se globálně, je třeba, aby jejich výskyt postihl velkou část internetového světa. A potom nepůjde pouze o problém přežití Internetu, ale o problém přežití Západní civilizace – takže se budeme především starat o naše civilizační přežití (budeme-li naživu).

Zkusme být ale kreativnější a podívejme se na základy toho, na čem Internet stojí. Ano, TCP/IP a směrovací protokol BGP-4 jsou to, na čem Internet stojí.

Přestože TCP/IP není věc, která by byla bez chyb, nepodařilo se zatím sestavit takový útok, který by měl skutečně globální dopad. Ano, lze útočit na jednotlivé uzly sítí, či servery poskytující služby, ale útok na celý Internet? Pokud se někde v dotyčných RFC skrývá Pandořina skříňka, ještě nebyla otevřena.

Hlavní nevýhodou pro útočníky je, že jak TCP/IP, tak BGP-4 jsou otevřené protokoly, takže obránci mají stejnou šanci najít mouchy jako útočníci. A obránci nakonec disponují větším intelektuálním potenciálem než útočníci (je jich zkrátka víc).

Kromě útoků založených na nedokonalosti protokolu, je možné zaútočit také na konkrétní implementaci. V našem případě by se jednalo na potřebu nalézt chybu nebo zadní vrátka v implementaci TCP/IP nebo BGP-4 ve směrovačích CISCO Systems nebo Juniper Networks, které jsou nasazeny na rozhodujících místech Internetu. Výhodou útočníka by bylo, že by soutěžil pouze s intelektuálním potenciálem programátorů a analytiků dotčených společností neboť jejich software není k dispozici ve zdrojovém kódu. Útočníkovi by jistě pomohlo, kdyby pracoval pro jednu (lépe pro obě) dotčené společnosti – nejlépe i v době útoku.

Přes vysokou nepravděpodobnost tu máme první scénář. Zhrzený (nejlépe geniální) zaměstnanec velkých koncernů vloží do jejich systémů buď trojského koně nebo logickou bombu a po aktivaci dané systémy zlikviduje (alespoň na čas).

K Internetu máme ale také připojenou spoustu výkonu, který se většinou fláká. Ano, jsou to počítače připojených spotřebitelů. Tento výkon je možné obrátit proti Internetu, hlavně z toho důvodu, že běžný uživatel počítače nemá žádnou povědomost, jak vlastně jeho systém funguje, či alespoň co mu v něm běží za software.

Problém nám tedy degraduje na to, jak dostat škodící software ke klientovi. Zde máme opět ulehčenou práci v tom, že většina uživatelů svoje počítače nijak nechrání a spoléhají na své administrátory, kteří spoléhají na dodavatele firewallů a na dodavatele operačních systémů, kteří spoléhají na to, že je nikdo nepožene k odpovědnosti (viz. licenční ujednání). Pro přátele tučňáků uvádím, že chování uživatelů je úplně stejné v obou světech a postoj „firewall nás zachrání od všeho zlého“ je rovnoměrně distribuován přes celé administrátorské spektrum. Nákazu můžeme ke klientovi dostat například CDčkem se skvělou hrou zadarmo.

Genialitu nebudeme potřebovat při distribuci a zabudovávání trojských koňů do systémů (to vyřeší jednoduchost uživatelů), ale pro vynalezení dostatečně generického útoku a hlavně koordinaci takového útoku. Není totiž v našem zájmu, aby se nakažený počítač nějak prozradil (nevěřte tomu, že někomu neběží systémový čas o měsíc napřed) – předčasné odhalení útoku zcela jistě povede k protiopatřením ze strany administrátorů velkých sítí. Dostatečnou generičnost útoku je podle mého názoru možné zajistit tak, že útočíme na stroj, který je o jeden skok blíže (viz. příkaz tracert či traceroute) než první, který neodpovídá. Prvním může být náhodně některý z kořenových nameserverů – můžeme plýtvat výkonem, počítačů máme dost.

Máme tedy i druhý scénář. Také málo pravděpodobný, ale třeba na něm již někdo pracuje.

Příště si ukážeme, že útoky na „internet“ jsou mnohem reálnější.