Zprávy o útocích na český web se čtou jako „kdo je kdo v českém internetu“. Firmy, které to nepostihlo, by mohly mít komplex, protože se na ně zapomnělo a nejsou tak důležité. V pondělí zpravodajské weby, v úterý Seznam, ve středu banky, ve čtvrtek mobilní operátoři a televize. Přece už musí být každému jasné, že si tady někdo hraje a zkouší, koho ještě může dostat do kolen.
Když ve středu řada čtenářů ve fórech tipovala, že příští den přijdou na řadu buď mobilní operátoři nebo vládní instituce (registr vozidel to naštěstí vynechalo, ten by to asi nepřežil), a pak se to skutečně vyplnilo, tipoval bych zase já, že pachatel ta fóra čte a nechal se inspirovat. Z toho vyplývá, že nemá žádný vlastní plán, ale že si jen tak zkouší, co se všechno dá s českým webem provést. Zkrátka si tu někdo hraje.
A otázky, odkud tyto útoky pocházejí, jsou také zcela zbytečné. Myslíte si, že někdo v Číně nebo v Rusku ví, co je Živě.cz, Mobilmania.cz nebo E15.cz? K útokům mohly sice být použity počítače kdekoli na světě, ale byly určitě řízeny z Česka.
Jako kamínky do oken
Nebudeme tu opakovat to, co už se všechno o těchto útocích napsalo, fundované detaily jsou k přečtení na Rootu nebo na Lupě. Považujeme za důležitější dát tyto události do celosvětového kontextu. Útoky na webové servery, které je vyřadí z provozu, anglicky nazývané „denial of service attacks“ (DoS), a jejich „distributed“ forma, při níž se k útoku použije celá síť infikovaných počítačů (DDoS), jsou ve skutečnosti nejstarší cílenou formou útoku na počítače připojené k internetu; první zmínka o nich je už z roku 1996.
To, že cílem tohoto konkrétního útoku není přímá škoda, nevylučuje, aby se nepoužil v kombinaci s jiným, mnohem škodlivějším útokemNa rozdíl od útoků cílených na konkrétní známá slabá místa v určitých programech nebo v operačním systému, které využívají k šíření hlavně počítačové viry nebo trojské koně a které jsou schopné dostat celý počítač do své moci, jsou útoky zaměřené na vyřazení z provozu relativně neškodné, ale o to těžší je jim zamezit. Můžeme si je představit jako házení kamínků do oken banky – je to nepříjemné, ale nic moc se tím neohrozí. Naproti tomu využívání chyb v programech už je jako použití paklíče a vrtačky, s nimiž se zloděj dostane až dovnitř do sejfu.
Cílem DDoS útoků není zmocnit se citlivých dat nebo je zničit, ani se jim nic takového nemůže podařit. Jediným jejich účelem je vyřadit daný server nebo i řadu serverů z provozu. A k tomu využívají slabá místa ne v určitých programech, ale v samém základu celého internetu – v protokolech, kterými spolu počítače komunikují.
Nebudeme se tu pouštět do technických detailů, ale je dobré uvést, že metoda útoku, která byla podle zpráv použita k vyřazení českých webů, je SYN flooding, tedy stejná metoda, kterou použili už v roce 1996 a která dodnes zůstává tou nejpoužívanější; letos je na ní založeno asi 25 až 35 procent všech útoků. To, že cílem tohoto konkrétního útoku není přímá škoda, ovšem nevylučuje, aby se DDoS nepoužil v kombinaci s jiným, mnohem škodlivějším útokem, například tím, že se jeden server vyřadí z provozu a místo něj útočník nasadí vlastní.
Ze zpráv různých bezpečnostních firem vyplývá, že s podobným útokem se už setkala většina společností a velké množství z nich se s nimi setkává opakovaně:
| nikdy | 34 procent |
| jednou nebo dvakrát za rok | 43 procent |
| jednou za měsíc | 11 procent |
| týdně | 6 procent |
| denně | 6 procent |
Pramen: Radware Global Application and Security Report 2012
Dosud byly české weby jen náhodou na okraji zájmu internetových útočníků. Firmy ale o podobných událostech jen nerady samy mluví, takže je docela dobře možné, že i české společnosti už něco podobného zažily, jen se to ale nedostalo na veřejnost.
Dalším zajímavým údajem je obvyklá délka internetových útoků. České weby byly většinou nepřístupné jen několik desítek minut, nejvýše pár hodin. Ve světě to vypadá o dost hůře, většina útoků trvá déle než celý den:
| 1 až 2 dny | 21 procent |
| 3 až 6 dní | 12 procent |
| týden a déle | 23 procent |
Pramen: Radware Global Application and Security Report 2012
Na to, kolik prostoru česká média těmto útokům věnovala, se tedy jednalo jen o takovou maličkost, nejspíš krátké povyražení pro nějakého teenagera. Ovšem čím větší ohlas v médiích, tím větší potěšení z toho musí mít. Jen si představte: pár kliknutí na počítači, a mluví a píše o vás celá země, a to dokonce v týdnu, kdy jeden prezident končí a druhý začíná, takže by bylo o čem psát i jinak! Obrovská moc, které se člověk jen tak nevzdá a nutí ho k pokračování. Skoro by bylo lepší tuto kauzu přejít mlčením.
Aktivisté na obou stranách
Když se podíváme na pohnutky, které vedou hackery k vyřazování webových serverů, vypadá to asi takto:
| neznámé | 57 procent |
| politický „hactivismus“ | 22 procent |
| naštvaní uživatelé | 10 procent |
| konkurence | 6 procent |
| výkupné | 5 procent |
Pramen: Radware Global Application and Security Report 2012
Největší skupinu tedy tvoří útoky, ke kterým se nikdo veřejně nepřihlásil a jimiž nikdo nic nepožadoval. Jelikož je dnes poměrně snadné stáhnout si z internetu nástroje na provedení útoku, je tato skupina zřejmě tvořena hackery, kteří se zaučují nebo zkoušejí, jak to celé funguje a co tím lze dokázat.
Takzvaný „hacktivismus“, neboli aktivismus hackerů, s oblibou používá DDoS útoky ze stejných důvodů jako všichni ostatní – jsou jednoduché a mají zaručený efekt. Zajímavé je, že při něm jednotliví aktivisté, dnes hlavně z hnutí Anonymous, dobrovolně nainstalují na vlastním počítači podobný program, jakým se infikují počítače nic netušících uživatelů, a ten je pak použit při útoku. Aktivisté přitom použijí takovou formu útoku, při které napadenému počítači posílají zprávu, jaký je důvod útoku, aby bylo jasné, že nejde jen o to způsobit nějakou škodu.
Když se vyřazení konkurenčních webových stránek dá pořídit za pár set dolarů, řada firem je ráda na tento účel vydáAnonymous už podnikli útoky proti Kolumbii, Bahrainu nebo Rusku. Ovšem i aktivisté z druhé strany používají stejné zbraně: Nejvýznamnější DDoS útok roku 2012 byl zřejmě v říjnu v Rusku, když opozice chtěla uspořádat internetovou volbu pro jednotný postup proti vládě. Jenže když přišla chvíle volby, nebylo kde volit – volební server byl zavalen útokem DDoS a zotavil se až po 36 hodinách. Vzkaz byl tedy jasný: kdokoli se bude stavět vládě na odpor, nebude mít v provozu žádný internetový server.
Nezřídka se internetové útoky používají k oslabení konkurence. Když se vyřazení konkurenčních webových stránek dá pořídit za pár set dolarů, řada firem je ráda na tento účel vydá, protože konkurence na webu je tuhá – když jeden link nefunguje, každý hned klikne na další. A někdy stačí pouhá výhrůžka takovým útokem, aby postižená firma zaplatila výkupné.
Falšovaná zpáteční adresa
Jak vlastně takový DDoS útok vypadá? Několik nebo i mnoho počítačů začne najednou posílat obrovské množství legálních dotazů na jednu internetovou adresu. Dotyčný server tento nápor nevydrží, zkolabuje a jeho administrátorům může trvat i několik hodin, než ho zase zprovozní.
Přitom není možné zjistit, odkud útok pochází, protože použité počítače většinou falšují „zpáteční adresu“ – odpověď je totiž vůbec nezajímá. Můžeme si to představit, jako když do naší poštovní schránky na domovních dveřích někdo začne sypat tisíce dopisů s fingovanou zpáteční adresou – tím se sice nedostane dovnitř a nic nám z domu nevezme, ale znemožní všem ostatním, aby nám poslali dopis a také na něj dostali odpověď. I tento nejstarší způsob útoku ovšem prošel vývojem:
- Na začátku byly k útokům používány jednotlivé servery. To mělo samozřejmě tu nevýhodu, že bylo možné postupně identifikovat, odkud útok pochází. První velký útok na známé weby Yahoo, ZDNet, Buy.com, CNN nebo Amazon v roce 2000 byl veden z jednoho počítače, i když se odborníci nejdřív domnívali, že je v něm zapojeno několik serverů, protože byl tak silný, že vyřadil z provozu tehdejší největší weby. Ukázalo se, že autorem útoku byl patnáctiletý Michael Calce, který vešel do dějin jako „Mafiaboy“. Už tenkrát byl ale dopaden jen proto, že se svým činem chlubil na internetu.
- Později začaly být k útokům využívány botnety – sítě počítačů, na kterých jejich uživatelé netuše nainstalovali virus, a ten začal plnit příkazy, které si vyžádá od řídícího C&C (Command and Control) serveru, dnes už nejčastěji pomocí normálního HTTP protokolu. Tyto botnety jsou pak komerčně nabízené zájemcům o využití, ať už na posílání spamu, nebo na DDoS útoky.
- Aktivisté na své počítače vědomě nainstalují podobný program, který také může přijímat příkazy od centrálního serveru, a ten celý útok řídí.
- V poslední době se začíná dostávat do popředí nový druh útočných počítačů: zatímco doposud byly k útokům využívány hlavně normální uživatelské počítače, na kterých běží Windows, daří se teď infikovat i velké servery. Ty mají proti uživatelským počítačům nesporné výhody: běží bez přestávky, nevypínají se na noc a jsou mnohem výkonnější, takže jich postačí zlomek. Odhaduje se, že jeden infikovaný server při DDoS vydá za stovky obyčejných počítačů.
Víc než polovina infikovaných serverů ale i normálních botnetů je v Číně. Odborníci se domnívají, že důvodem je celkové špatné zabezpečení čínských počítačů. Další země s vysokou aktivitou botnetů jsou Německo (9 %), Indie (9 %), Egypt (6 %) a Pákistán (4 %). Většina ostatních infikovaných počítačů je zřejmě ve východní Evropě a v Asii.
Nebezpečí na každém kliku
Nástroje DDoS jsou ke stažení na internetu. Dnes jich existuje řada, zde je ukázový přehled, jak vypadají. Je to jako v samoobsluze, stačí si navolit, jaký druh útoku se má použít (většina nástrojů jich ovládá více), kam se má směřovat a kdy začít. Ve výčtu jsou i programy, kterými je možné infikovat webové stránky tak, aby si je nic netušící uživatelé stáhli při navštívení této stránky, a proměnili tím svůj počítač na otroka botnetu.
DDoS si ovšem lze i objednat. V přítmí internetu jsou k dostání nejrůznější služby, tady je ukázkový ceník na ruském trhu:
- vniknutí do firemní poštovní schránky: 200 dolarů;
- vniknutí do účtu na Facebooku nebo Twitteru: 130 dolarů;
- vniknutí do účtu na Gmailu: 160 dolarů;
- balíček obyčejných návodů na využití slabých míst programů: 25 dolarů;
- balíček inteligentních využití slabých míst programů: až 3000 dolarů;
- SOCKS bot (na překonání firewallu): 100 dolarů;
- DDoS útok: 30 – 70 dolarů za den, 1200 dolarů za měsíc;
- Botnet: 2000 botů (infikovaných počítačů) za 200 dolarů;
- DDoS botnet: 700 dolarů;
- zdrojový program Zeusu (trojský kůň, který se specializuje na bankovní data): 200 – 250 dolarů;
- Windows rootkit (infikování Windows): 290 dolarů;
- rozesílání spamu: 10 dolarů za milion e-mailů.
Nakonec ještě časový rozvrh útoků: nejvíce jich začíná ve 12 až 13 hodin našeho času, může to sloužit jako indikace, odkud útoky pocházejí. A jedna zajímavost: v posledních dvou letech, kdy byl jejich největší nárůst, veškeré útoky od Vánoc až do Silvestra zcela ustaly.
Internetová krajina je na hony vzdálená růžové zahradě, nebezpečí tu číhá na každém kliku. Naše webové servery ale mohou zatím být docela klidné, protože to, co teď právě zažívají, pořád ještě procházkou růžovou zahradou je. To opravdu špatné teprve přijde.
