Praha - Již čtvrtý den je český internet pod nebývale rozsáhlým útokem typu DDoS zahlcujícím infrastrukturu. Zatím nebyl nalezen ani lék, ani důvod útoku, příští týden má zasednout Rada pro kybernetickou bezpečnost.
Po pondělku, kdy útočníci zacílili na velké zpravodajské servery, úterku, kdy se útok zaměřil na služby Seznamu, a středě, kdy útok postihl weby některých finančních institucí, se ve čtvrtek dostalo na weby telekomunikačních operátorů. Výpadky postihly T-Mobile i Telefónicu O2, naopak web Vodafonu útoku zřejmě unikl. Útok na infrastrukturu společnosti Telefónica měl ještě zajímavou dohru, kdy přetížená přípojka do serverovny v pražském Naganu omezila i služby, na které útok nebyl přímo cílen. Do potíží se tak dostal například web Dopravního podniku hlavního města Prahy.
Jaký je důvod útoků, se zatím neví. Na rozdíl od podobných (a menších) útoků v minulosti či v sousedních zemích se k útokům nikdo nepřihlásil a není ani známa žádná žádost o výkupné. Motiv tedy zatím zůstává velkou neznámou, stejně jako to, kdo bude dalším cílem nebo zda útoky končí.
Situace tak zůstává nadále vážnou a především nepředvídatelnou.
Příští týden v úterý se má na mimořádném zasedání sejít Rada pro kybernetickou bezpečnost, což je poradní orgán předsedy vlády pro oblast kybernetické bezpečnosti. Setkání se mají účastnit jak vládní tým GovCERT zajišťující kybernetickou bezpečnost státní a kritické infrastruktury, tak CSIRT, tým koordinující řešení bezpečnostních problémů v českých sítích a zaměřený především na komerční firmy. Setkání se mají také účastnit jak firmy, které byly pod útokem, tak zástupci státu, především policie, ČTÚ či ČNB. Budou chtít najít řešení, jak situaci řešit, ačkoliv již nyní je zřejmé, že bez důkladné prevence nebude snadné následkům útoků předcházet.
Podle poradce Národního bezpečnostního úřadu pro kybernetickou bezpečnost Radka Holého oslovil GovCERT okolní státy, z nichž pocházejí IP adresy útočících počítačů, se žádostí o spolupráci a zajištění údajů, které by mohly pomoci lepšímu pochopení podstaty útoku. V současné době je spolupráce navázána s polskou a rakouskou stranou, respektive s místními vládními kyberbezpečnostními týmy. Stejně tak CSIRT již aktivně spolupracuje s jednotlivými firmami: k ČSOB, Seznam.cz nebo GTS dnes přibyly T-Mobile, Telefónica O2 nebo složky kritické infrastruktury státu. GovCERT a CSIRT mezi sebou sdílejí informace.
Obrana? Prevence!
Jak se bránit? V momentě, kdy je server pod útokem, je na vymýšlení obrany již pozdě. Pokud technici již dříve nevyzkoušeli postupy pro identifikaci útočících počítačů a jejich blokování, nemají prakticky mnoho šancí během jedno- či dvouhodinového útoku nějak účinně zasáhnout.
Podle Viléma Sládka, mluvčího CSIRT.cz, je nejvhodnější obranou proti takovým typům útoku prevence: "Především je nutné být na takovou situaci připravený a mít technologie, nástroje a postupy, jak jednotlivé prvky obrany nasadit - kde, kdy, proč a s jakým cílem. V případě útoku není možné teprve začít obranu vymýšlet, případně testovat konfiguraci, ale její rámec je nutné předem znát a ideálně vyzkoušet. Důležité také je obranu "nepřehnat", protože ve výsledku může mít stejný efekt jako útok samotný (tedy nedostupnost služby/sítě). A samozřejmě klíčová je role správce - jeho znalosti a zkušenosti rozhodují."