Několik tuzemských internetových služeb a poskytovatelů se stalo terčem silného DDoS útoku. Mohlo se jednat o test kybernetické války

Útoky pokračovaly i na Silvestra, stejným způsobem, ale s větší intenzitou. Prvního ledna si útočníci dali pauzu, ale v následujících dnech se útoky opakovaly.

Podobnou zkušenost má i významný hostingový poskytovatel ACTIVE24. I on první útok o rozsahu desítek Gbps a milionů paketů za sekundu zaznamenal 30. prosince a útoky na jejich hraniční routery pokračovaly v následujících dnech a bylo nutné je filtrovat v takzvaném scrubbing centru.

Výpadek však v těchto dnech zaznamenali i mnozí další operátoři a provozovatelé serverů.

Proč se to stalo?

Nezodpovězenou otázkou je důvod těchto útoků. Vesměs jsou současné útoky "saturační". Nejsou cíleny na konkrétní servery nebo služby, jejich cílem je prostě zahltit dostupné přenosové kapacity, routery a linky obrovským množstvím provozu. Cílem tedy není uškodit konkrétní firmě, ale útoky jsou vedené na různé subjekty v celé republice.

Jednou z teorií je "pomsta za Huawei". Česká republika je jednou z prvních zemí, která vydala formální varování před čínskými firmami Huawei a ZTE, když je koncem prosince Národní úřad pro kybernetickou a informační bezpečnost prohlásil za hrozbu.

Je pravda, že zdrojem útoků jsou vesměs čínské a ruské adresy, ale to v podstatě nic neznamená. Skutečný strůjce útoků může být kdekoliv a čínské a ruské sítě může využívat, protože tam najde spoustu nezabezpečených systémů pro způsobení a zesílení útoku.

DDoS útoky se také docela často používají jako "kouřová clona" pro zakrytí jiných útoků. Bezpečnostní mechanismy se zaměstnají řešením jednoduchého, ale na vyřešení náročného DDoS útoku a ve skrytu útoku na velké množství cílů pak lze podniknout sofistikovanější útoky na opravdu zajímavé subjekty.

Mohlo by se jednat i o jakýsi test kybernetické války. Česká republika je cíl relativně malý a bezbranný, přitom je ale součástí západních bezpečnostních a politických struktur. Že jsme předmětem zájmu čínských a ruských tajných služeb i v oblasti kybernetické, je očividné již několik let. A zejména cílem ruských útoků typicky není získat informace (na to jsou jiné, efektivnější metody), ale spíše rozsévat zkázu, nedůvěru a nespokojenost.

Cílem současných útoků tak může být otestovat schopnosti českých firem a hranice toho, co jsou schopny zvládnout. Jakýsi "průzkum bojem", který se může hodit pro případ, že by v budoucnosti bylo potřeba uškodit intenzivněji. Jedná se prostě o další bitvu v rámci kybernetické války, která se bojuje již několik let.

Řada významných operátorů a poskytovatelů služeb se sdružila do projektu Fénix na platformě sdružení NIX.CZ. Cíle projektu jsou v zásadě dvojí: jednak má sloužit jako nouzový prostředek rychlé a důvěryhodné komunikace v případě masivních útoků na internetovou infrastrukturu, jednak má svým členům umožnit nouzové (last resort) propojení sítí v případě takové krizové situace.

DDoS útoky jsou realitou kybernetické války a současného internetu a v určité míře probíhají prakticky neustále. Větší poskytovatelé připojení a služeb s nimi musí počítat a dimenzovat svoje sítě a servery tak, aby si s nimi dokázaly poradit. Jako každá válka, i tahle je obrovské plýtvání prostředky, které v konečném důsledku zaplatí zákazníci a uživatelé.

Smyslem války je - kromě přímých zisků - i vyčerpat zdroje protivníka. Finanční, lidské, technologické, surovinové... Účelem mnoha zbraní - například protipěchotních min - není vojáka pouze zabít, ale pokud možno jej zmrzačit tak, aby se pro svou stranu stal přítěží. DDoS útoky představují z tohoto pohledu ideální zbraň. Jsou extrémně asymetrické a zdrojů vyčerpávají obrovské množství.

Co je DoS a DDoS útok?

Denial of Service Attack (DoS) lze přeložit jako útok znepřístupněním služby. Jeho cílem není získat přístup k cílovému systému nebo datům, ale systém znefunkčnit, učinit nedostupným. Pokud je na začátku ještě jedno D (DDoS), jedná se o distribuovaný útok, který je veden z několika bodů.

Podstatě D/DoS útoků jsme se věnovali již v článku DDoS útoky: Primitivní zločin, který se dá pořídit na objednávku za několik tisíc korun v roce 2013, kdy byl jejich obětí mimo jiné i server Hospodářských novin.

DDoS útoky v nejprimitivnější podobě využívají botnety, sítě zavirovaných zařízení (nejenom počítačů, ale třeba i nezabezpečených domácích routerů a podobných zařízení). Vládce botnetu pak může jednotlivým členům vydat příkaz "dělejte opakovaně požadavky na tuto adresu". Cílová služba je pak bombardována požadavky z deseti nebo statisíců různých adres, ze zařízení jejichž provozovatelé většinou nemají ani tušení, že se stali zbraní proti někomu jinému.

Ještě většího efektu lze dosáhnout pomocí takzvané amplifikace, tedy zesílení útoku. To je i případ výše popisovaných útoků, které využívají nezabezpečené NTP servery.

NTP je zkratka pro Network Time Protocol. NTP servery slouží k přesné časové synchronizaci zařízení připojených k internetu a využívají je prakticky všechny v současnosti používané operační systémy. Protokol však obsahuje i jeden nebezpečný příkaz: pomocí instrukce monlist lze server vyzvat k tomu, aby poslal seznam posledních 600 klientů, které obsloužil. DoS útok probíhá tak, že útočník pošle uvedený příkaz s podvrženou adresou odesílatele – adresou oběti. NTP server pak pošle více než pětsetkrát delší odpověď se seznamem posledních klientů. Útok je tak NTP serverem 556,9x zesílen. Takový útok je velmi těžké blokovat, protože odpovědi přicházejí od běžného serveru, který je v tom vlastně nevinně.

Podobného efektu lze dosáhnout pomocí řady jiných běžných protokolů (DNS, SNMP a dalších). Obecně jim lze zabránit správnou konfigurací serverů tak, aby nemohly být použity jako "zesilovače" (např. nastavit, aby NTP server příkaz monlist z vnější sítě ignoroval). Nicméně řada serverů takto nastavená není a lze je zneužít k útokům.

Nevýhodou tohoto typu útoku je jeho extrémně asymetrická povaha z pohledu potřebné konektivity, nákladů, ale i potřebných dovedností. Zásluhou botnetů a zesilovačů stačí útočníkovi malé množství konektivity, aby vytvořil velký útok. A situace se zhoršuje. Podle Damira Špoljariče ze společnosti VS Hosting je dlouhodobý trend zvyšování objemu útoků. "Útok o síle 100 Gbps není dnes žádná vzácnost. Před rokem nebo dvěma to vzácnost byla. Je to dáno tím, že servery a další zařízení zneužitá k útoku jsou prostě na stále silnějších linkách, a jejich škodlivý potenciál je proto vyšší."

Zařídit nepříjemný DoS útok nevyžaduje žádné technické dovednosti. Stačí peníze. A nemusí jich být mnoho, stačí desítky nebo malé stovky dolarů. Osobně jsem si to vyzkoušel, za dvacet dolarů – necelých 500 Kč v aktuálním kurzu – jsem si objednal DoS útok na svůj vlastní server a na několik hodin bych ho vyřadil z provozu, kdybych neměl možnost zapnout příslušnou formu obrany.

Tuto zkušenost a rozšířenost útoků potvrzuje i Zdeněk Polách: "DDoS se ve větší či menší míře vyskytují v sítích běžně. Velké zkušenosti s nimi mají například poskytovatelé herního hostingu, provozovatelé on-line her, apod. Hráči si prostřednictvím DDoSů vyřizují účty jak mezi sebou, tak je v případě frustrace posílají i přímo na servery, kde hry běží."

Herní servery se tak trochu paradoxně řadí po bok zpravodajských serverů nebo webů politických stran do "rizikové" kategorie z hlediska bezpečnosti.

Obrana je drahá

Jak se tomuto typu útoků lze bránit? Špatně a draze. Existují komerční řešení, která jsou ale relativně drahá - vyjdou podle velikosti a povahy na deseti- až statisíce korun měsíčně. Z tohoto důvodu si je řada menších firem nemůže dovolit, resp. nedávají pro ně z obchodního hlediska smysl. "Ty útoky se dají odříznout i ručně, jen to není v řádu desítek vteřin nebo minut, ale desítek minut, a navíc je to jako válka, odříznete jeden typ útoku, přijde jiný a opět ho musíte zaříznout, tj. pro uživatele-laika se může jevit, že internet "pořád" nejde, byť on v mezičase chvíli fungoval," říká Polách.

Standardizovaná řešení ale automaticky zvládají jenom standardizované útoky, ty sofistikovanější stále vyžadují ruční zásah. Například Špoljaričův VS Hosting si proto vyvíjí vlastní řešení interně a upravuje ho průběžně podle aktuální situace a aktuálních útoků.

DDoS útok působí finanční škody i v případě, že se ho podaří zastavit na hranici sítě. Postižený operátor za nevyžádaná data musí zaplatit tranzitnímu operátorovi. Podle Polácha se v případě jeho firmy bavíme o několika tisících eur, o které se kvůli útokům zvýší platba za přenos dat do zahraničí. Kromě toho jde samozřejmě i o práci správců, dohledového centra a podpory.

Škoda vzniká také na reputaci firem. Většina uživatelů o povaze DDoS útoku nemá ponětí a vnímají jenom výpadek nebo zpomalení služby. Stovky zákazníků volajících na hotline nelze rozumně obsloužit a ti mají následně pocit, že se o ně jejich dodavatel nestará.