Hlavní navigace

Dvojitý plot, vlčáci a spousta konektivity. Jak se v Řitce za Prahou trénuje boj s hackery

Autor: Jan Sedlák
Jan Sedlák

V Řitce u Prahy stojí dům, kde CyberGym Europe trénuje obranu proti hackerům a dalším kybernetickým hrozbám.

Doba čtení: 7 minut

Asi za půl hodiny jízdy autem z centra Prahy se dostanete do tradiční české vesnice s názvem Řitka. Hned vedle staré zástavby hned u lesa postupně vyrostla nová část obce tvořená zejména z poměrně honosných vil s rozsáhlými zahradami.

Jedna taková vila zvenčí vyniká kamenným plotem, ovšem zaujme i uvnitř. Je to produkt takzvaného podnikatelského baroka devadesátých let, kdy podnikatelé disponovali penězi, ovšem už ne tolik vkusem. Původní majitel už ve vile nebydlí a také původní stavba byla upravena.

Po příchodu do budovy například jste dříve hned jako první věc uviděli bazén. Přes něj je dnes instalovaná dřevěná podlaha a z prosklené centrální auly s kuchyní jsou společenské a prezentační prostory.


Autor: Jan Sedlák

Pokud se ještě venku budete pozorně dívat, na střeše uvidíte sestavu prvků pro bezdrátovou komunikaci. Vila má také dvojitý plot, přičemž mezi nimi v noci pobíhají dva hlídací vlčáci. Bydlí zde také správce, který prostory pomáhá hlídat.

Mezi sousedy

„Už jsme si zvykli a příliš jejich přítomnost nevnímáme. Snad jen když sem míří početnější návštěvy,“ popisuje přes plot jedna ze sousedek. Řeč je o české společnosti CyberGym Europe, která si předělanou devadesátkovou vilu pronajímá a své zákazníky zde trénuje proti útokům hackerů a dalším prvkům kybernetické bezpečnosti.

Z počátku to ale na tak dobré soužití nevypadalo. Podnikatel a majitel firmy Best Tomáš Březina, který v Řitce rovněž bydlí, v roce 2016 přišel s tím, že výstavba kybernetické arény přinese pro okolí „bezprecedentní bezpečnostní riziko“. Přišla se i jiná, méně vyhrocená nedorozumění. Jednomu ze zdejších internetových poskytovatelů například někdo překopl kabel, kvůli čemuž v sousedství nebylo k dispozici připojení. Podezření obyvatel hned padlo právě na CyberGym.

Jak vypadá CyberGym Europe v Řitce u Prahy:

CyberGym si lokalitu zvolil jako kompromisní řešení. Vila je dostatečně blízko Prahy, ale zároveň ne přímo v metropoli. To přináší třeba dobrou možnost parkování, ale také to, že se zákazníci, kteří se sem dorazí trénovat, nerozprchnou za atrakcemi po okolí. Pohybovat se mohou mezi arénou a hotely v okolí, se kterými CyberGym spolupracuje. Objekt má také oddělený perimetr.

„Také je zde dostatečně kvalitní konektivita, máme připojení od čtyř různých poskytovatelů. Najdete zde jak metaliku od CETINu, tak optiku od jiného providera nebo bezdrátové spoje. Nedaleko je Cukrák,“ popisuje pro Lupu během návštěvy generální ředitel CyberGym Europe Martin Uher.

To by se u nás stát nemohlo

Pro domluvení prohlídky bylo nutné se trefit do okna, kdy zrovna v objektu nebyli žádní zákazníci. Výcviková aréna v ostrém provozuje funguje zhruba rok. Během něho údajně dorazila řada klientů, přičemž většina z nich byla ze zahraničí z různých částí Evropy.

Koncepci výcvikové arény CyberGym stvořila stejnojmenná izraelská společnost, která svůj komplex provozuje blízko elektrárny Orot Rabin poblíž Tel Avivu (viz naše reportáž). Česká společnost CyberGym Europe si od Izraelců řadu věcí licencuje, zároveň ale využívá také dalších koncepcí a celý svůj program výrazně upravila na míru evropské legislativě a specifikům evropských zákazníků z řad soukromé i státní sféry. Izraelci například mnohem vážněji berou podezření na útoky, kdežto v Evropě lze často narazit na přístup „to by se u nás stát nemohlo“.


Autor: Jan Sedlák

Základním principem kybernetické „tělocvičny“ je co nejvěrněji simulovat prostředí zákazníků a na něm pak provádět kybernetické útoky, kterým se firmy či státní instituce musí bránit a reagovat na ně. Používají se již známé útoky, ale také třeba teoretické scénáře. Na tréninku se podílí tři družstva – útočící Red Team, bránící se Blue Team a dohlížející White Team.

Každý z těchto týmů sedí v odlišné místnosti a není s tím dalším v kontaktu. Zatímco modrý tým se skládá ze zaměstnanců daného zákazníka, stejně jako například vedení firmy sleduje vše z prostředí bílého týmu, Red Team je poskládaný přímo ze zaměstnanců či spolupracovníků CyberGym.

Serverovny a SCADA systémy

Červený tým má za úkol provádět útoky na infrastrukturu, která je vždy vytvořená jako co nejvěrnější kopie reálného prostředí. CyberGym Europe má nespecifikovaný počet takových vlastních hackerů a další útočníky pak využívá pro specifické případy podle potřeby. „Celkově takových spolupracovníků máme asi 120,“ počítá Uher v místnosti pro White Team.

Součástí budovy jsou dvě oddělené serverovny, kam přístup není možný. Jedna z těchto serveroven každopádně slouží jako zázemí pro útočící tým, druhé je pak součástí infrastruktury pro trénink. CyberGym uvádí, že má k dispozici 85 procent bezpečnostních prvků, které se běžně na trhu používají. Zastoupen je třeba Check Point, Cisco a řada dalších.


Autor: Jan Sedlák

Stejně tak lze v jedné ze sklepních místností narazit na velký rozvaděč plný takzvaných SCADA prvků, tedy průmyslových počítačů. Zde má CyberGym k dispozici asi 80 procent běžného vybavení (Rockwell, Siemens a další) s tím, že další dokáže obstarat.

Průmyslové systémy lze sice virtualizovat a simulovat, to ale není úplně věrné realitě. Například nedávný útoky Black Energy na energetickou soustavu na Ukrajině přehrál firmware v těchto prvcích a „po drátech“ už k nim nebyl přístup. Technici tak museli fyzicky k systémům dojít a firmware opět přehrát. Takovéto scénáře lze díky fyzické instalaci realizovat i ve vesnici za Prahou.

Odstřihnuté sítě

Aréna má sice čtyři nezávislá internetová spojení se světem, uvnitř budovy ale vybudovala také trojitou síťovou infrastrukturu, která je od venku odstřihnutá (po budově jsou rozvedeny řádově desítky kilometrů ethernetové kabeláže). Lze na ní například simulovat internetové spojení, prostředí zákazníka a podobně. Trénovací Wi-Fi síť lze rozjet pouze ve sklepních prostorách, aby také byla izolovaná. Ve sklepě se řeší také útoky skrze věci, jako jsou bezdrátové klávesnice.

V Izraeli mě v CyberGym velice pobavil přichystaný bojler s vodou, který lze při útoku ovládnout a trénovaný tým tak vyplavit. Naleznete jej i v Řitce. Vedle je navíc přístroj, který začne vyfukovat neškodný kouř (takové to zařízení z diskoték a koncertů) a do toho začne řvát a svítit siréna. Vše má navodit pocit naléhavosti a opravdovosti. Podobně je možné pracovat třeba s hasícím alarmem.

Jak vypadá původní CyberGym v Izraeli:

To, kde CyberGym bere členy Red Teamu, přesně nespecifikuje. Často ale může jít o bývalé penetrační testery nebo o lidi z akademického prostředí, kteří se kybernetické bezpečnosti věnují. Připravený mimo jiné mají interně vyvinutý nástroj, pomocí kterého lze některé útoky částečně automatizovat. Vlastní systém je rovněž vyvinutý na nasazování image souborů operačních systémů, které se spouští na počítačích modrého týmu.

Platí, že těmto hackerům musí být možné věřit. Mají totiž přístup k informacím, které o své infrastruktuře a fungování kvůli účelům trénování poskytnou zákazníci. S určitými „bad guys“ konzultace mohou také probíhat, ale jde o izolované ad-hoc případy bez přístupu k dalším informacím. K těmto lidem se firma dostává nejčastěji přes různé kontakty.

Práce pro sociology a psychology

CyberGym má připraveny testovací scénáře, přičemž v nich lze operovat se 100 až 150 uzly, po kterých se v dané situaci vydat (něco jako rozhodovací strom). V průběhu tréninku je možné měnit tempo, náročnost a právě větvit scénář.

„Našim úkolem není zákazníka dehonestovat. Jsme na naší infrastruktuře, takže bychom ho vždy mohli jasně dostat. Ze cvičení odchází s tím, aby se začal chovat jinak. Třeba aby se díval na provozní dopady kybernetické bezpečnosti,“ vysvětluje Uher.

Výcvik v aréně zároveň není čistě o technických dovednostech. Jde o celý proces a chování organizace jako celku. V jednotlivých místnostech, které jsou pro výcvik používány, jsou rozmístěny kamery. Ty nejsou brány jako součást cvičení (hackeři je nesmí využít), ale slouží pro pozorování toho, jak se jednotlivé týmy chovají.

Přítomný sociolog a psycholog pak může na základě těchto údajů a pozorování podat závěry. Dá se zjistit, že ten, kdo by měl být team leader, v krizové situaci panikaří a neměl by tedy tuto roli zastávat. Mezi výsledky už je třeba to, že firma po cvičení přehazovala lidi na směnách, obměnila týmy a podobně. Jde o takzvaný sociální aspekt řešení krizí (jinak také „human-centric cyber security“).

Ne pouze války minulé

Výsledkem cvičení má být rovněž řada doporučení a metodik pro oddělení, jako jsou HR. CyberGym navrhne třeba vzdělávání pro celou firmu. Kybernetická bezpečnost totiž sahá do mnoha oblastí. Například tradiční bezpečnostní firmy, které se ve firmách starají o recepce a podobně, prakticky vůbec kyberbezpečnost neřeší.

Přípravy cvičení probíhají společně se zákazníky a prostředí, kde se pak bránící tým pohybuje, simuluje prostředí, které znají. Vytvořit lze třeba call centrum. „Nic, co se nepoužívá v běžné praxi u zákazníka, se nenasazuje,“ uvádí Uher.

MIF18_témata2

Cílem každopádně je připravit se také na scénáře, které mohou nastat, a ne pouze reagovat na to, co už bylo. „Někteří zákazníci chtějí útoky jen takové, které už se staly. Nebráníme jim v tom, ale jsou to přípravy na války minulé.“

Součástí procesu je také prověření zaměstnanců, kteří se mají cvičení účastnit. Díky tomu lze zjistit věci typu, že člověk, jenž se stará o databáze, je slabší složkou, a lze tak nastavit individuální plán vzdělávání.

Našli jste v článku chybu?