DDoS je zkratkou anglického Distributed Denial of Service, což je v otrockém překladu „distribuované odmítnutí služby“. Jak stručně vysvětlit běžnému uživateli internetu, co takový DDoS útok znamená?
Server, na který je útok prováděn, skutečně „odmítne“ poskytovat své služby poté, co ho zahltíte velkým množstvím dat či požadavků. Zdroje útoku si můžete představit jako počítače nebo servery, které jsou na dálku ovládány nějakým hackerem nebo skupinou hackerů. Jakýkoli počítač je schopen posílat určitá data na konkrétní místo v internetu, což mohou být různé webové servery či nějaká internetová brána banky, státní organizace nebo přístupový bod internetového poskytovatele služeb. Když poté zablokovaný systém znovu startuje, je zranitelný a útočníci jsou schopni pod rouškou DDoS útoku škodit jinak.
Co je potřeba k tomu, aby byl takový hacker úspěšný?
Software, kterým jsou počítače ovládané, v síti chytře mění zdroje útoků. Ty jsou nejdříve například v Pákistánu, poté v Africe, pak v Rusku, Číně atd. Principem je nevyužívat jediný zdroj, který se dá eliminovat. Máte spektrum IP adres, které nemůžete zakázat, protože jinak byste se odstřihli od internetu úplně. Další charakteristikou DDoS útoků dnešní doby je jejich razance a to, jak jsou rozsáhlé. Tento rok byl detekován útok, který měl 400 gigabitů za sekundu. To je obrovské množství dat, které nezvládne žádný operátor. Pokud tento objem pustíte do sítě, nemůžete se ubránit, jestliže nemáte potřebnou technologii.
Existují skutečně spolehlivé technologie, které tomu zabrání?
Všichni významní operátoři u nás a na Slovensku používají technologii od americké společnosti Arbor Networks, kterou v ČR a na Slovensku zastupujeme. Ta dokáže odlišit DDoS útok od běžného provozu. Funguje jako automatická pračka a odstraní to, co v síti nemá být. Na provozní anomálie systémy reagují téměř okamžitě a dokážou účinně oddělit či vyčistit nebezpečnou komunikaci z datových toků. Ostatní technologie většinou zvládají jen omezenou kapacitu dat, například jednotky gigabytů. Pokud je útok silnější, nemají šanci.
Co bývá nejčastějším cílem těchto kybernetických útoků?
Otázka je, co je účelem DDoS útoku. Může to být pouze manifestace nějakého názoru. Běžně se používají jako politický nátlak. Pokud máte ve společnosti nějakou radikální menšinu, tak dnes už to není jenom o radikálních názorech, které prezentují na internetu. Tito lidé používají DDoS nástroje k atakům na státní struktury nebo média, aby se zviditelnili.
DDoS útoky ovšem mohou být jen zástěrkou pro jiné nebezpečné aktivity, často i kriminální činnost…
Útok skutečně často zakrývá jiné hackerské aktivity, protože slouží k tomu, aby systém donutil ke kolapsu. Do vnitřní sítě poté dostanou hackeři nějaký malware, škodlivý software, který může sloužit i ke kriminálním účelům, například vykrádání citlivých dat. DDoS útok je nejnebezpečnější pro ty, kteří poskytují nějaký online obsah – typicky internetové bankovnictví či hosting. Další ohroženou skupinou jsou poskytovatelé připojení a jiných internetových služeb. Může jít i o to, že organizaci jen zablokujete její činnost. Interní systém centra se například nespojí s pobočkami, nemůžete telefonovat pomocí VoIP a firma de facto přestane fungovat. Skupina hackerů vás může jednoduše izolovat od světa, což vám způsobí finanční nebo komunikační problémy.
Můžete uvést konkrétní příklad?
V českém prostředí jsme se setkali s i tím, že si takto jednotlivé společnosti vyřizují účty nebo provádějí nekalou soutěž. Konkrétně: máte nějakou elektronickou aukci, kam můžete podat příslušnou nabídku jen elektronicky, a oni vám to znemožní. Nejste schopen ani posílat e-maily, protože vás někdo po určitou dobu blokuje pro tyto účely dostačujícím DDoS útokem, někdy i dost primitivním.
DDoS útoků přibývá. Podle vašich slov to vypadá, že není až takový problém si je objednat a pak je proti komukoli použít…
Jejich snadná dostupnost je dnes velkým problémem. V současnosti si lze na internetu úplně běžně koupit přes kreditní kartu jednodušší DDoS útok řádově za sto dolarů a můžete ho použít proti libovolnému cíli. Sofistikovanější útoky jsou samozřejmě dražší, ale toto je dnes součástí šedé ekonomiky. Pro ty, kteří útoky nabízejí, totiž jde o zajímavý byznys. Podle statistik už kybernetická kriminalita překonala svým rozsahem a finančním objemem ostatní druhy hospodářské kriminality.
V dnešní době již počítače řídí prakticky vše. Jsou tedy kybernetické útoky velkým lákadlem pro organizovaný zločin?
Jsou tu organizace, které mají obrovské prostředky na různé typy kybernetické kriminality. Jsou schopné pracovat s velkými týmy lidí. Mafie usilují o to, aby měly tento byznys pod kontrolou, protože je to trvalým zdrojem peněz. Poslední dobou se kybernetické útoky a „hackování“ systémů používají i v oblasti distribuce drog. Drogové kartely si najímají hackery, aby se dostaly například do policejních databází, ale především do systémů logistických společností.
V Česku se v poslední době objevily útoky na webové portály médií. V březnu 2013 vyřadil velký DDoS útok z provozu stránky českých zpravodajských serverů…
Při útocích na webové portály médií je škoda minimální. Je to čistě jen věc, které se dává velká publicita. Pokud se chce například někdo zviditelnit, tak zablokuje zpravodajský portál. Ten den dva nejede, velká škoda tam ale není. To ovšem neznamená, že by měla média rezignovat na svou ochranu proti kybernetickým útokům.
Firmy včetně médií tedy podle vás svou ochranu podceňují?
Oni o problému vědí, ale podceňují to. Tedy od doby, co se to děje i u nás, se vývoj posouvá pozitivním směrem, ale stále tu bohužel není platná legislativa, která by řešila povinnost ochránit firmu proti kybernetickým útokům. Dlouho jsme tu byli tak trochu za bukem a říkali jsme si: Dobře, útočí se na servery v USA, v Anglii, ale nás se to netýká. To je ale falešná představa. Svět je globální a fungují tady nadnárodní firmy, a když mají sídlo v České republice, proč na ně nezaútočit. Naopak je to v zemích jako Česko jednodušší.
O bezpečnostní technologie tedy stále není ze strany českých firem či místních poboček zahraničních společností potřebný zájem?
Bezpečnostní technologie se prodávají až v momentě, kdy má firma problém a zákazník je do toho doslova dotlačený. Prevence rizik tady existuje jen velmi málo a platí tu názor – a to je specialita střední Evropy – že pokud mám firewall, jsem chráněný, což je samozřejmě nesmysl. Vnímám to jako pouhý alibismus. Přesto máme klienty, kteří se s námi o tom baví, ale je tu minimum například bank a pojišťoven, které by měly tyto věci vyřešené. Spíše dosud měly štěstí. Naše systémy jsou poměrně drahé, a drahé jsou proto, že je v nich velmi zajímavé know-how a cena odpovídá kvalitě. Na druhé straně, pokud chcete minimalizovat rizika, musíte mít technologii, která něco umí.
Odrazuje je tedy i cena?
Samozřejmě. Do bezpečnosti se investuje až v poslední řadě. Menší firmy si naše špičkové technologie finančně nemohou dovolit. Od toho jsou tu provideři, aby jim poskytovali různé služby, které jsou pro ně z hlediska ochrany zajímavé, a ony si tu technologii nemuseli kupovat. Můžete si to představit jako službu, kdy provider k připojení jako nadstandard nabídne určitou ochranu za přijatelnou cenu.
Většina velkých společností a korporací má podrobně zpracovanou bezpečnostní politiku v této oblasti. Umějí ji ale i realizovat a převést do praxe?
Jedna věc je teoreticky mít zpracovanou bezpečnostní politiku a druhá věc, jak to opravdu funguje, a to je u nás tragédie. Jestliže máte bezpečnostní politiku jen na papíře, je vám to k ničemu. Nemáte-li nástroj, jak se kybernetickým útokům bránit, je to zbytečné. Společnosti nemají zabezpečené důležité servery, po firmě jim volně běhají citlivá data a citlivé dokumenty, zaměstnanci si je posílají dokonce i na svoje soukromé e-maily. Nikomu nedochází, že tam je bezpečnost dat nulová. Venku ale číhají ti, kteří „šmejdí“ po stránkách a hledají zajímavé informace. Druhá naše významná technologie Fidelis Security od americké firmy General Dynamics se zabývá detekcí neznámého malwaru, ale například i chováním uživatelů v síti. Nejde totiž jen o DDoS útoky. Kybernetická kriminalita je velmi rozsáhlá, a pokud se chcete bránit, musíte především vědět a rozumět tomu, co vám v síti běhá. Dokonce ani energetické firmy, které pracují s kritickou infrastrukturou, jako je plyn, elektřina, jaderná energie, nejsou dostatečně zajištěny.
Předpokládám, že firma typu ČEZ tato rizika rovněž podceňuje?
No comment, ale obecně platí, že pokud spravuji energetickou síť státu, musím mít toto pokryto. Jinak není pro útočníka, který má potřebné znalosti, problém vypnout elektřinu v celé zemi. Jde jen o to, jestli jste zajímavý cíl. Pokud ano, fungují veškeré bezpečnostní technologie jako zásadní pojistka.
To jste mě vyděsil. Je možné zaútočit tímto způsobem i na systémy v jaderných elektrárnách a například je vyřadit z provozu?
Existuje dokonce jeden publikovaný případ. Do systémů jaderné elektrárny v Íránu dostali hackeři šikovný malware. Jednoho dne zapnuli v elektrárně počítače a během půlhodiny jim „umřely“ všechny disky na tisících počítačů. Řízení reaktoru je odděleno, ale je tam spousta podpůrných systémů. Elektrárna, pokud nemá funkční počítačovou síť, de facto nefunguje. Přítomnost malwaru zjistili až povolaní specialisté na kybernetické útoky. Pokud totiž nemáte potřebné technologie, nevidíte, co se v síti děje – prostě jste slepí a veškeré antivirové a antimalwarové systémy vám nestačí. V tomto případě nešlo o teroristický útok, ale spíš o politický nátlak, za kterým mohl být nějaký nepřátelsky naladěný stát. Dostatečná ochrana je ovšem u takových společností nezbytností.