Aktivní obrana nebo protiútok? – 1. díl

V tomto příspěvku se podíváme na některé obecné problémy spojené s operacemi v kyberprostoru.

Budeme předpokládat, že kybernetický útok přichází z jiného státu, a že je veden na naše systémy anebo se to tak alespoň jeví.

Předně je třeba uvést, že zjistit, odkud útočník útok skutečně realizuje, je velice obtížné a v praxi často zcela nemožné, protože pokud útočník vyloženě nechce, aby byl identifikován, tak útok realizuje z hacknutých serverů třetí strany a k nimi zase přistupuje přes další hacknuté systémy a síť anonymizačních proxy serverů.

Ve všech případech pak zpravidla máme k dispozici jen IP adresu koncového stroje, ze kterého útok probíhá, e-mailovou adresu, ze které přišel podvodný e-mail anebo škodlivý kód, který je v rámci kybernetického útoku šířen. Atribuce útočníka jest velice obtížná a z pohledu mezinárodního práva zde jednoduše není možná přičitatelnost kybernetického útoku konkrétnímu státu. Resp. ta přičitatelnost může být jen zdánlivá, rozuměj, někdo chce, aby to vypadalo, že za útokem stojí daný stát.

V okamžiku, kdy je útok veden z IP adresního rozsahu ČR, tak je poměrně velká šance, že se povede poměrně rychle zablokovat zdroj, ze kterého je tento útok veden. Zpravidla se však jedná jen o napadený počítač (zombii), který je součástí celosvětového botnetu, který je pronajímán za úplatu a ovládán útočníkem, který zpravidla operuje i ze zcela jiné země.

Díky spolupráci s ISP, poskytovateli hostingu a případně i rychlému rozhodnutí soudu a zásahu policie je možné takový útok zastavit, stroj který byl k útoku použit zabavit, podrobit forenzní analýze a případně i pachatele zadržet a odsoudit. V ideálním případě samozřejmě.

V případě, že je kybernetický útok veden z IP adresního rozsahu mimo ČR, což je drtivá většina případů, se kterými se ČR potýká, tak jsou šance na zablokování zdroje výrazně nižší, a šance na dopadení a odsouzení pachatele prakticky nulová. Je tomu tak hned z několika důvodů.

Pro určení zdroje útoku je nutné trasovat útočníka skrze jednotlivé body komunikace, a zde často narážíme na nepodepsané dohody o mezinárodní spolupráci, neochotu a neschopnost poskytovatelů a správců napadených systémů nebo systémů, které jsou k tomuto útoku využívány, spolupracovat.

Problém je, že tyto útoky dost často přicházejí ze zemí, kde existuje vysoká korupce a kybernetická kriminalita je zde tolerována, neboť tvoří značnou HDP a pro jejich obyvatele představuje cenný zdroj příjmů a tamější policie, vzhledem k tomu, že tyto organizované skupiny nenapadají jejich ekonomické subjekty a orgány, nemá důvod proti nim zakročovat. Jinými slovy, řídí se stále středověkým heslem, že z cizího krev neteče.

A i v případě, že se nějaká spolupráce povede navázat, tak čas hraje proti nám. Protistrana maximálně využívá zákonné limity, do kterých musí odpovědět, a to už je často dávno po útoku anebo je infrastruktura útočníka přesunuta jinam, a že útočníci dokáží svou infrastrukturu rozjet velice rychle v jiné zemi a mnozí manažeři by se mohli od nich učit, jsem psal zde.

V okamžiku, kdy se obracíme na provozovatele hacknutého serveru, který byl ke kybernetickému útoku použit napřímo, tak i v tomto případě je naše snažení zpravidla marné. Je zde jiné časové pásmo, existuje zde jazyková bariéra, ne každý správce ovládá anglický jazyk, a nadto má obavu, že bude mít problémy, když přizná, že jeho systém byl hacknut.

A hlavně, vzhledem k tomu, že zneužitím jeho systému k útoku zpravidla není ohrožen jeho vlastní business, tak první, co udělá, když jej požádáme o spolupráci, že okamžitě odstraní zranitelnost, a spolu s ní smaže i veškeré logy a data v drop zóně (což může někdy i pomoci, ale o tom příště). Rozuměj, kdyby kontaktoval policii, tak ta by mu server zabavila k forenzní analýze a přerušila jeho business a to on nechce.

Kromě toho je třeba si uvědomit, že mezinárodní právo i přes kodifikaci mezinárodních práv je spíše právem obyčejovým a spoléhá na vzájemnou mezinárodní spolupráci založenou spíše na reciprocitě suverénních států při vymáhání tohoto práva. A jsou prostě státy silnější a slabší.

Problém rovněž je, že kyberprostor není nikde exaktně definován a kybernetický útok může být veden prakticky kýmkoliv a odkudkoliv. Narážíme zde na problém teritoriality a personality, protože kybernetický útok může být realizován občanem určitého státu anebo i státem sponzorovanou skupinou, ale nacházející se v zemi A, veden proti serveru organizace v zemi B, která má sídlo v zemi C mimo území ČR.

Někteří odborníci na mezinárodní právo se snaží o analogii s klasickou válkou, a aplikovat na ní použití síly a vzniklé škody, což dost dobře není možné. Kybernetický útok může být celkem snadno veden i v rámci hybridní války, kdy je nejprve vyřazena infrastruktura protivníka, její operační a informační technologie a až následně je podniknut konvenční útok. V takovém případě je nutné reagovat hned a není možné čekat.

Problematická zde však je, jak již bylo řešeno, přičitatelnost daného útoku konkrétnímu státu. Dle talinského manuálu by totiž mělo být možné z pohledu mezinárodního práva veřejného požádat stát, ze kterého útok probíhá, aby konal, a útok který přichází z jeho výsostného území, zastavil, protože probíhající útok je možné vnímat i jako kybernetickou válku, ale pak je otázka, jaké stanovisko tento stát zaujme.

Podnikne daný stát kroky, aby útoku zabránil, začne vyšetřovat, odkud útok pochází anebo bude jen dělat, že se snaží, ale de facto nevyvine žádnou aktivitu, protože subjekt, který útok vede de iure vůbec neustavil, byť daný subjekt existuje a operuje v jeho zájmu a bude skrytě tolerovat, či podporovat tyto útoky anebo se dokonce rovnou přizná, že za nimi stojí.

Jak by měla ČR nebo její subjekty v takovém případě postupovat dál, pokud by útok probíhal, provést anonymně protiútok? A změnilo by se něco na tom, kdyby daný stát prohlásil, že s tím nic dělat nemůže, protože na to prostě nemá kapacity, což u některých států třetího světa může být i pravda.

Kromě toho je třeba si uvědomit, že dle mezinárodního práva není možné vést protiútok, pokud daný útok již skončil a kybernetický útok zpravidla bývá jednorázový, takže odvetný útok není možný. Jenže co když se takový útok bude opakovat, ale pokaždé z jiné IP adresy, ale dle Geo IP lokace pořád ze stejné země? Lze v takovém případě hovořit o tom, že daný útok nadále probíhá?

V případě protiútoku je třeba si klást otázku, zda by se dalo použít ustanovení § 28 TZ o krajní nouzi, kdy by protiútok provedl bezpečnostní expert nebo organizace za tímto účelem najatá či mající toto oprávnění ze zákona anebo ustanovení § 29 TZ o nutné obraně, kdy by protiútok provedl přímo napadený subjekt za předpokladu, že by byla vzhledem k povaze útoku zvolena přiměřená reakce na tento útok. Jak by taková přiměřená reakce mohla vypadat, bude uvedeno v dalšímu dílu a nebudou to mezi politiky tolik oblíbené retorze ani ekonomické represálie.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Aktivní obrana nebo protiútok? – 1. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: