Hlavní navigace

Vlastimil Pečínka (Seznam.cz): Anomálie v trafficu nás dovedly do Ruska

 Autor: Seznam.cz
David Slížek

Šéf provozu měl právě dovolenou, a tak obranu před DDoS útoky odřídil sám CTO Seznamu. Byla to cenná zkušenost, říká. Za týden ale může přijít odlišný typ útoku a vše bude jinak.

Jak velké nebezpečí s sebou podle vás DDoS útoky nesou? Nepůsobí přece žádné přímé škody, jen dočasně zablokují přístup k webovým stránkám.

Pod pojmem hackerský útok si lidé většinou představí, že se někdo nabourává do dat uživatelů, krade jejich údaje a podobně. To ale nebyl tento případ. Už podle názvu (DoS – Denial of Service) jde o odepření služby, takže „nebezpečnost“ takového útoku spočívá v tom, že lidé nemohou využívat některé služby. To samozřejmě může mít negativní vliv na pověst napadeného webu, ale uživatelé nepřicházejí o žádné údaje a nemusejí se bát, že internetem začnou putovat čísla jejich kreditních karet nebo další podobná data. Další rozdílem oproti závažnému hackerskému útoku je, že DDoS útok je jasně viditelný, kdežto na zcizení citlivých údajů se většinou přijde až se zpožděním. Síla DDoS útoku je v tom, že se dá velmi snadno zrealizovat. Existují k tomu připravené infrastruktury, útočník si koupí botnet a pak může útoky opakovat jindy a odjinud nebo libovolně zvyšovat jejich frekvenci. Zároveň ale účinek DDoS útoku nemůže trvat dlouho. I když IP adresy útočících serverů bývají zfalšované, můžete postupně hledat zdroje útoku a podnikat protiopatření.

Při útocích v minulém týdnu jsme ale kromě nepřístupných webů mohli vidět i další dopady DDoS útoků. Když byla pod útokem Česká spořitelna, nějakou dobu nefungovaly platební terminály u obchodníků. Když byli napadeni mobilní operátoři, nedaly se třeba v Praze koupit SMS jízdenky. Problémy měl údajně i Centrální registr vozidel, který byl napojený na infrastrukturu jednoho z operátorů.

Mě osobně překvapilo, že útoky tyto dopady měly – aspoň takto jsem o nich četl v médiích. Infrastruktura Seznamu je budována tak, aby se něco podobného minimalizovalo. Když útok směřoval na Novinky.cz, zbytek služeb bez problému fungoval. A pokud druhý den šel útok na Seznam.cz, tak ostatní služby také jely. Každý provozovatel si musí sáhnout do svědomí, jak má svou infrastrukturu vybudovanou. A pokud mají výpadek terminály, protože fungují přes stejnou infrastrukturu jako internetové bankovnictví, tak asi teď budou mít banky hodně co dělat. Obrana proti podobným útokům je v podstatě infrastrukturální. Samozřejmě existují výrobci různých „krabiček“, které můžete do své infrastruktury umístit, ale to je jen malá náplast na velkou ránu. Útočník obvykle disponuje větší silou, než jedna krabička. Účinná obrana spočívá v tom, že pokud mám více částí svého provozu, musím je oddělovat, aby útok na jednu část neovlivnil ty další. Je-li přímá souvislost mezi DDoS útokem na internetové bankovnictví a výpadkem terminálů u obchodníků, je myslím jednoznačně příčinou podceněná infrastruktura u dotyčné banky.

V Česku jsme dosud velké DDoS útoky nezaznamenali. Šlo o výjimku, nebo jejich počet začíná růst?

Nevybavuji si, že by v Česku takto dlouhotrvající systematický útok na vytipované cíle někdy dříve proběhl. V Seznamu zažíváme spíš „amatérské pokusy“ o útoky. Naše infrastruktura je na české podmínky dostatečně robustní a nějaké pokusy studenta, který si někde něco přečetl a zkouší to, nás nesloží. 

A bude podle vás podobných útoků přibývat? Sám mluvíte o tom, jak snadné a levné je koupit si botnet.

Hrozba samozřejmě větší je. U útoků z minulého týdne nám zatím chybí motiv. Kdyby šlo o napadení jen jedné konkrétní firmy, dalo by se o pohnutkách útočníků spekulovat. Můžeme ale obecně říct, že dnes už někomu stojí za to se na cíle v České republice zaměřovat, což jsme si ještě nedávno nemysleli. A z tohoto důvodu je pravděpodobnost, že se podobné útoky budou opakovat, podle mého názoru větší.

O motivech se spekuluje hodně. Mluví se i o tom, že si útoky objednal nějaký výrobce „krabiček“ nebo jiných zabezpečení proti podobným atakům, aby po nich povzbudil poptávku.

Ano, sám jsem s nadsázkou řekl, že si někdo dělá „pre-sales“. Nemyslím, že by to dělal někdo ze solidních výrobců, ale jsou i nesolidní firmy, takže to je jedna z možností. Samozřejmě teď budu velmi senzitivní k tomu, jaké nabídky do Seznamu přijdou. Už se dokonce nějaké objevily. (smích) Ale jak jsem říkal – tyto typy útoku nevyřeší nějaká jednoduchá krabička, obrana je v dobré infrastruktuře sítě. A případný útočník bude vždycky o krok napřed – je jednodušší podobný útok spáchat, než se proti němu bránit.


Autor: Seznam.cz

Technický ředitel Seznam.cz Vlastimil Pečínka

Jaká opatření tedy Seznam proti případným budoucím DDoS útokům přijme?

To samozřejmě nemůžu prozrazovat do detailů. Pro nás jsou poznatky, které jsme za ty dva dny načerpali, velmi cenné. Máme nápady, jak některé věci v naší infrastruktuře nastavit relativně jednoduše tak, abychom výrazně snížili dopad podobných útoků na české uživatele, kterých máme 99 %. Ale to je samozřejmě konkrétní poznatek z konkrétní situace. Příští týden však může přijít úplně jiná povaha útoku – co se týče jeho metody, ale také razance. V médiích proběhly informace o tom, že do útoků byly zapojeny statisíce počítačů. Myslím, že to bylo nejméně o řád níž, protože na tento typ útoku můžou stačit i jen tisícovky serverů. Pokud si dnes koupíte botnet o desetitisících počítačů a stojí vás třeba 10 dolarů na hodinu, tak vás sto tisíc počítačů může přijít na 100 dolarů, což pořád není suma, která by se někomu nevyplatila.

Neměli by v obraně proti těmto útokům více pomoci internetoví provideři? Jak podle vás zafungovali v případě DDoS z minulého týdne?

Četl jsem názory, že by s tím něco měl dělat NIX, ale ten ze své povahy nemůže dělat v podstatě nic. Odhalit, že traffic, který přes sítě jde, může být DDoS útokem, je v podstatě nemožné – jsou to pakety, které se od ostatního provozu nijak neodlišují. Sami provideři by podle mého názoru něco dělat měli, a nemůžu říct, že by nebyli ochotní, ale jejich možnosti jsou také omezené. Tento typ útoku přichází jako nějaká část trafficu ze zahraničí, jsou sice zfalšované zdrojové IP adresy, ale to v tu chvíli nikdo nepozná. Samozřejmě existují heuristické metody, které mohou pomoci. Slyšel jsem třeba variantu, že se útočníkům vyplatí používat falešné IP adresy počítačů, které jsou v dané chvíli vypnuté. Protože když nám přijde paket s falešnou adresou, a my na něj odpovíme protipaketem na počítač, který je online, tak se spojení resetuje. Zatímco když na druhé straně neodpoví nikdo, tak spojení time-outuje, což je pro útočníka výhodnější. Ale zpět k providerům. Pokud jde o koncové ISP, měli by samozřejmě být schopní udělat si u svých uživatelů pořádek a zakročit proti byť nevědomky napadeným počítačům. Ale pak máte velké tranzitní sítě, což je i případ ruského RETN, který má za sebou další a další sítě… Internet je už ve svém principu vymyšlený velmi dobře – když zablokujete jednu část sítě, stejně vám ten traffic přijde někudy jinudy. 

Vy jste původ útoků vystopovali právě do sítě ruského providera RETN. Jak se vám to podařilo?

Začali jsme blokováním zdrojových IP adres. To je to první, co v takovém případě uděláte: jsou tady nějaké požadavky, někdo napadl servery, nejjednodušší je blokovat IP adresy. To se ale ukázalo jako falešná stopa, takže jsme se soustředili na to, odkud ten traffic teče. A postupně jsme přes jisté charakteristiky anomálií zjistili, že zdrojem je ruská síť RETN. My s ní nepeerujeme, ale projevilo se nám to na tranzitu od Dial Telecomu, který nám posléze potvrdil, že tam taková anomálie je. Zároveň jsme na to v rozhovoru upozornili Mafru, která s RETN v NIXu peeruje. To byl vlastně důvod, proč si někteří poskytovatelé mysleli, že útok přichází z České republiky – protože to vypadalo, jako by ten traffic pocházel z NIXu a z Česka, ale to bylo jen díky tomu, že tranzitní operátor RETN má v NIXu peer. Když jsme věděli, odkud útok přichází, oslovili jsme přes Dial Telecom přímo RETN a také jsem se spojil s ruským Yandexem, se kterým máme dobré vztahy, s žádostí, aby nám pomohli. Nevím, který ten kanál nakonec zafungoval, nicméně nakonec se nám z RETN ozvali. Řekli, že by nám rádi pomohli, ale že sami netuší, odkud odevšad by to mohlo téct. Jediná jejich rada nakonec byla: zablokujte si nás. Což jsme v podstatě udělali.

Jak hodnotíte roli CSIRTu? Pomohl nějak? Nebyl příliš pasivní?

CSIRT v současné době nefunguje. Není to ale problém CSIRTu, jako spíš toho, že neexistuje síť jednotlivých pracovišť, která by byla do systému CSIRTu zapojena. V Seznamu jsem na konci loňského roku říkal, že vytvoříme vlastní CERT tým a do té sítě se zapojíme. Praxe nás bohužel předběhla. Ukázalo se, že velmi cenné je, když máte s kým sdílet informace. Minulý týden jsem byl v kontaktu s Mafrou a v době útoků na zpravodajské servery jsme si aspoň nějaké informace o tom, jak postupujeme, vyměňovali, a velmi nám to pomohlo. A teď si představte, že byste tyto informace měli v nějakém systému, mohli byste je sdílet, mohli byste se s někým radit, nechávat připomínkovat své hypotézy – to by vyřešilo mnoho věcí. Moje vize CSIRTu není v tom, že útokům zabrání, od toho tady není, ale měl by varovat další potenciální cíle a sdílet informace. Když nás v úterý CSIRT, se kterým nemáme žádný formální vztah, kontaktoval, poskytli jsme mu za Seznam naše data o tom, jak útoky proběhly, co jsme o nich zjistili a tak dále. A i když nemám žádnou zpětnou vazbu, co s nimi podnikli, tak pokud se dostaly k bankám a mobilním operátorům, mohly být tyto firmy na útoky lépe připraveny. Takové fungování CSIRTu dává smysl.

Jak tedy bude vypadat a co bude dělat CERT, který zřídíte v Seznamu?

Nebudeme přijímat žádné nové lidi, kteří budou v Seznamu 90 % svého času čekat na chvíli, kdy přijde útok, to vůbec ne. Spíš si pro takové situace předem připravíme nástroje a dohodneme interní postupy: kdo se v případě útoku postaví do jaké role, kam a jaké informace budeme posílat a jaké budeme žádat. Ukázalo se, že v takové situaci je velmi důležité mít připravená krizový management. Potřebujete nechat odborníky jejich práci, ale zároveň někdo musí umět komunikovat s tiskovou mluvčí, která předává informace novinářům a uživatelům, a někdo s dalšími partnery. 

Jaké šance dáváte tomu, že se podaří odhalit, kdo za útoky stál, a nějak ho potrestat?

Pokud se k nim nikdo sám nepřihlásí, tak nulové. Pokud se někdo přihlásí a bude z Česka, bude to tak 50 na 50, pokud bude ze zahraničí, vidím to tak na 20 ku 80.

A nevnímáte to jako problém? Netrestatelná počítačová kriminalita mimo jiné slouží jako argument k tomu, že je svoboda na Internetu příliš široká a že by stálo za to ji omezit, aby se například pachatelé podobných činů dali jednodušeji zjistit.

Před tím bych chtěl důrazně varovat, protože tím se nic nevyřeší, případná represe spíš uškodí a přitom podobné útoky nevymýtí. Nulová pravděpodobnost vypátrání původce útoku je dána tím, že Internet je prostě veliký. Je to jako kdybyste chtěli pátrat v globálním světě po pachateli drobné krádeže. Je to samozřejmě možné, ale prakticky je to spíš nereálné. Jistě, každý útočník po sobě zanechává digitální stopu, ale teď jde o to, jestli někdo má chuť, čas a motivaci po něm pátrat. A vůbec nevěřím tomu, že by to pomohla vyřešit nějaká regulace ze strany státu. Spíš naopak.

Našli jste v článku chybu?
DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Máslo? Margarín? A co takhle sádlo?

Máslo? Margarín? A co takhle sádlo?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu