Ne-viditelná kybernetická válka aneb jsme pod útokem

Pro mnoho lidí je kybernetická válka stále něco neuchopitelného a nepochopitelného. Když se v těchto dnech objevila informace o úspěšném útoku na FireEye, tak mě jako první napadlo, kteří jejich nestátní klienti to také odnesou.

Možná se ptáte, co má soukromá firma společného s kybernetickou válkou? Pokud se jakýkoliv subjekt zaplete, byť i jen do rozkrývání státních kyber útoků, musí vždy očekávat, že i on se stane cílem.

Problém je, že soukromá firma má i jiné nestátní klienty (stát takovéto firmy většinou „neuživí“) a ti se, chtě nechtě, mohou stát obětí kybernetického útoku. A není nic neobvyklého, že je hacknut hacker;). Vzpomeňme případ Hacking Team před 5 lety.

Pokusíme se tuto problematiku vzít trochu netechnicky, a soustředit se hlavně na věcnou stránku kybernetické války. Pokud je válka pokračováním politiky jinými prostředky, pak těmi prostředky mohou být i kybernetické útoky v rámci operací v kyberprostoru.

Náklady na vedení kybernetické války se zdají být na první pohled malé, a proto není překvapující, že menším zemím tento způsob boje přijde jako velice atraktivní. (Výjimkou není ani ČR, jak je ostatně zřejmé ze strategie kybernetické bezpečnosti a Zákona o vojenském zpravodajství, kterému se budu věnovat dále).

Ovšem, když se taková malá otevřená ekonomika pustí do budování vlastních kybernetických zbraní, tak záhy zjistí, že až tak jednoduché a laciné to zase není, obzvlášť když ty kybernetické zbraně mají často velice krátkou životnost. Ono mít bezpečnostní experty, kteří se budou v utajení na plný úvazek věnovat hledání zero day zranitelností a psát funkční exploity něco stojí, stejně jako ty exploity kupovat.

Otázka je, jak odlišit kybernetickou válku od běžné kyberkriminality. Je to těžké, ale občas to odlišit lze. Pomoci nám v tomto mohou cíle, na které bylo útočeno, modus operandi (postupy jsou často dány nástroji a nedají se úplně měnit) a sofistikovanost nástrojů, protože vytvořit nástroje stojí čas a tedy i peníze. V dnešní době, kdy řada malware je provozovaná jako “cyber crime as service, zkr. CaaS”, se tyto nástroje mohou vyrovnat svou kvalitou i těm “státním” vizte např. malware Trickbot v poslední době.

Trochu problém je, když “státní” hackerský subjekt zároveň pracuje pro kyberkriminální prostředí, kde je hlavní motivací finanční zisk. Zda to je kvůli tomu, že stát málo platí nebo jde jen o krytí, kdy si stát kupuje tyto služby přes prostředníka od kyberkriminálního podsvětí, těžko říci, ale možné je asi všechno.

První, co je potřeba si přiznat, a někomu se to asi nebude líbit, je, že kybernetická válka už tu dávno je. Za posledních 15-20 let se v této oblasti velmi pokročilo, ostatně to svým způsobem jen kopírovalo digitalizaci celé společnosti a významným hybatelem byla, je a bude kyberkriminalita, ze které i bezpečnostní složky státu vytěžovaly nástroje pro vedení kyberútoků. Zájemcům pro lepší představu doporučuji čtení na wikileaks, protože v této oblastí žádné oficiální veřejné zdroje nejsou.

Zkusme se podívat, jak to vypadá v ČR, např. na novelizaci zákona o VZ opakovaně předloženou PSP ČR zde a zde. Jen malá poznámka pod čarou, čím méně se problematice rozumí, míněno na všech stranách, tím déle trvá i schvalovací proces.

Pokud jde o to, že je nutné zajistit kybernetickou obranu státu, tak o tom není sporu, protože bez těchto schopností se žádný stát neobejde a dokonce si dovolím tvrdit, že tato schopnost by v budoucnu mohla být klíčovou v obraně státu. A že se této oblasti zhostilo VZ (vojenská rozvědka a kontrarozvědka) je také běžné i v jiných, v této oblasti vyspělejších zemích, protože je to oblast blízká SIGINTu.

Nechápu ale, proč je tak důležité, mít hned v úvodu, namísto vysvětlení o čem kybernetická obrana je „Odůvodnění hlavních principů navrhované úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen…“

Je to možná tím, že to jako problém nevnímám, naopak je lepší mít smíšené hacking týmy, a že jsou ženy schopné být i lepší v hackingu než někteří chlapi, je taky pravda. Pokud to znamená, že si chtějí dělat nějaké kvóty, tak to nedopadne dobře. Ostatně, vždy když vzniká takovýto nový subjekt s budoucí perspektivou, dostanou se tam i neschopní, ale zato ambiciózní lidé, kteří to pak táhnou dolů anebo brzdí svou neschopností.

Důležitou větou je: „Pro předkládanou úpravu pak bylo důležité vyhodnotit také to, že „kybernetická obrana“ v rámci zajišťování obrany (tedy vnější bezpečnosti) České republiky není specifická, souběžně působící struktura nad standardní obranou státu, ale její nedílná součást.“

Celá kybernetická obrana nemůže stát na jedné skupině, ale musí se to provázat. Jen pozor, aby z toho nevzniknul paskvil, že např. pozemní síly vyfasují mobily s DDoS aplikací, … to je vtip, ne návrh!

Důvodová zpráva je plná judikatur, ale zcela v ní chybí koncept řešení kybernetické obrany, a tím nemyslím obecné proklamace. Pokud je to obsaženo v nějaké utajované příloze a není to tedy veřejně dostupné, pak se předem omlouvám za tuto kritiku.

V ustanovení § 16c se píše, že: …stanoví nástroje detekce kybernetických útoků a hrozeb a podmínky jejich provozování… Z toho důvodu bude Vojenské zpravodajství disponovat pouze metadaty o probíhajícím, případně bezprostředně hrozícím kybernetickém útoku a žádná další data o komunikaci nebudou ukládána nebo archivována. Návrh nepřipouští použití nástrojů k jiným účelům než pouze k odhalení útoků, resp. ke kontrole, zda tato činnost je dodržována. Rozhodně se tedy nemůže jednat o plošný monitoring metadat, a už vůbec ne o sledování obsahu komunikace.

K tomu bohužel musím poznamenat, že toto nelze technicky zajistit, odposlech tam vždy bude možný, ale zato se VZ nemusí stydět, a řekl bych, že ten požadavek je oprávněný, pokud půjde o sondy předřazené sítím kritické infrastruktury státu, ale ne ve vnitřní síti těchto organizací a už vůbec ne v sítích ISP obsluhujících běžné občany a jiné nekritické subjekty.

Pokud mají tyto síťové sondy plnit detekci IoC, tak je potřeba si uvědomit, že takto to moc fungovat nebude. Nechci brát nikomu naději, ale tohle je věčný boj, jak sbírat logy ze všech vrstev: síťové, OS, aplikační, a tyto kvalitně korelovat a následně vyhodnocovat. Samotná síťová sonda bude často slepá a analýzu obsahu dokonce i včetně zašifrovaných spojení (SSL inspekce) je potřeba provádět, jinak to bude jen kyberbezpečnostní placebo.

Jestliže totiž má být detekce hrozby anebo probíhajícího kybernetického útoku ze zahraničí na nějaký subjekt detekována bez možnosti analýzy vlastního obsahu, jen na základě např. IP adresy a domény C&C serverů a chování, tak jsou možnosti VZ značně omezené.

V zásadě lze odhalit jen síťový sken spuštěný za účelem detekce a zneužití nějaké zranitelnosti, či komunikace škodlivého kódu ze sítě oběti (např. Cobalt Strike framework právě se simulací C&C cizího malware či legitimní služby přímo pracuje např. zde), případně pak počínající DDoS útok, ten ostatně v konečném důsledku detekujeme i bez sond;). To však již provádí stávající řešení (IDS, IPS, NGFW, různé SIEM produktové či univerzální), kterými operátoři disponují a mnohé z nich provádí nejen detekci, ale i na tyto útoky automaticky reagují.

Dále je třeba si uvědomit, že pokud by se jednalo o cílený útok na konkrétní subjekt nebo chráněné zájmy ČR, tak se bude jednat o útok zcela nový, kdy buď nebudou k dispozici žádné známé IoC  či IoA, protože to bude útok prostě nový, anebo se bude jednat o informace získané od jiných zpravodajských služeb o teprve připravovaném kybernetickém útoku a pak bude nutné sledovat nejen metadata, ale i obsah přenášených dat, a v některých případech bude účelné instalovat honeynet, honeypot a zaznamenávat veškerý obsah komunikace, jaké příkazy útočník posílá, o jaká data má zájem nebo jaká data chce modifikovat apod., ale to už by musely být aktivní sondy.

Druhou věcí, o které se také v důvodové zprávě nic nedočtete, je možnost zneužití těchto sond, a tím nemyslím ani tak ze strany VZ jako to, že je někdo cizí hackne. Proto, jak jsem už psal výše, sondy by měly být mimo infrastrukturu organizace, jednoduše odpojitelné a management rozhraní těchto sond by mělo minimálně být v dedikované VPN síti s interními neveřejnými IP adresami.

Třetí věcí, na kterou samo VZ upozorňuje ve výroční zprávě, ale v důvodové nikoliv, je, že i organizace kritické infrastruktury se přesouvají do cloudů. Co s tím pak budou dělat, kam pak umístí ony sondy?

Kladně lze hodnotit “Před vydáním rozhodnutí proto bude Vojenské zpravodajství povinno posoudit, zda připojení nástroje detekce samo o sobě není bezpečnostním rizikemto by měl být standard u všech takových aktivit.

Za to věta “Aktivně působit proti útoku bude moci Vojenské zpravodajství jen v krajním případě a za přísně stanovených zákonných podmínek.působí dost rozpačitě, ale jde-li o zahraničí, tak asi OK.

Ale nad § 16j, odstavec 1 a 2, kde se píše, že: „Návrhem zákona je zřizována funkce inspektora pro kybernetickou obranu…  Inspektora pro kybernetickou obranu bude jmenovat vláda České republiky.” už lze jen nevěřícně kroutit hlavou. Skutečně budujeme kybernetickou obranu anebo jen další nový úřad? To už jsme tu před 20 lety měli, když k NBÚ vzniklo VBÚ. Že by to teď byl VÚKIB s vládním zmocněncem pro evidenci sond?

Když to shrnu:

  1. Kybernetickou obranu potřebujeme.
  2. Sondy ano, ale jen tam, kde to je nezbytně nutné.
  3. Sondy bez SSL inspekce, tj. bez možnosti práce s obsahem ničemu nepomůžou, ale platí bod 2, protože IoC jsou komplexní záležitost.
  4. Nebudujme úřad, ale klíčovou schopnost státu bránit se kybernetickým útokům, protože s razítkem se toho moc vybojovat nedá.

I po novelizaci ZoVZ je nutné si klást otázku, zda je za současným zněním ZoVZ naivita ohledně toho, jakým způsobem plošné a cílené kybernetické útoky v kyberprostoru probíhají, anebo jen neschopnost jasně formulovat svou představu o tom, jaký podíl by VZ mělo na obraně kyberprostoru mít a tuto představu promítnout do konkrétních ustanovení ZoVZ a konečné znění zákona si prosadit v takové podobě, aby to mělo smysl a nevyvolávalo to zbytečné dohady.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Ne-viditelná kybernetická válka aneb jsme pod útokem” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: