Tým bezpečnostních expertů z Masarykovy univerzity, Univerzity obrany a Ministerstva obrany ČR odhalil nebezpečnou celosvětovou síť. Zásadní novinkou byla okolnost, že tato síť nebyla tvořena napadenými počítači, ale útočníci získali kontrolu nad účelovými zařízeními jako jsou ADSL modemy. Stalo se tak vložením viru pojmenovaného Chuck Norris.
Ani dosti zkušený uživatel nemá šanci toto napadení zjistit, neboť potřebná data prostě nevidí. Na odhalení sítě se podílel také podplukovník Ing. Josef Kaderka, Ph.D., z Katedry komunikačních a informačních systémů Fakulty vojenských technologií Univerzity obrany.
Jak jste se konkrétně podílel na odhalení nebezpečné sítě?
Jsem členem týmu, zabývajícím se projektem obranného výzkumu s názvem CYBER, jehož poskytovatelem je Ministerstvo obrany a příjemcem Masarykova univerzita, Fakulta informatiky (viz odkaz na konci článku). Zabývám se například analýzou některých druhů hrozeb a specifikacemi postupů a metodik, zjišťováním, jak naplnění těchto hrozeb odhalit a bránit se jim. Dále se podílím na ověřování možností využití pokročilých síťových sond při obraně datové sítě − jednu z těchto sond máme v rámci onoho projektu k dispozici i na naší škole.
Jak vzniklo podezření, že by se mohlo jednat o potenciální útok?
Na podzim minulého roku registrovaly zmíněné sondy na Masarykově univerzitě pokusy o navazování spojení s tamními počítači pomocí protokolu telnet. Tento protokol je již dnes velmi málo užívaný a v cílových počítačích nebyl zpravidla nikdy podporován. Za normálních okolností mohou být tyto pokusy hodnoceny jako pokusy o útok s minimální závažností a dají se snadno filtrovat (tak je tomu u naší školy). V daném případě ale upoutaly dvě věci. Především počet pokusů byl mimořádně vysoký, což svědčí o jejich strojovém generování, a dále pocházely z relativně malých oblastí světa. Bližším zkoumáním bylo zjištěno, že se jedná o přípravu potenciálního útoku; technické detaily jsou nyní již dostatečně publikovány.
Kdo zjistil, zaznamenal, že hrozí nebezpečí?
Takovýto objev je vždy dílem jednotlivce, zde jím byl Ing. Pavel Čeleda, Ph.D., z Ústavu výpočetní techniky MU, mimochodem náš absolvent, který do roku 2006 působil na naší katedře. Po potvrzení objevu jsme si na první schůzce úkoly rozdělili. Dohodli jsme například, že pokud možno, nebudeme autory útoku provokovat tím, že bychom se všichni připojovali na místa, kde se tito útočníci schází. Někteří tudíž pokračovali v aktivním průzkumu, jiní se zabývali analýzami získaných kódů programů, dalším monitorováním, přípravou návnad, ověřováním předpokladů, tvorbou textů pro publikace atd.
Jak dlouho se na projektu odhalení pracovalo?
První příznaky podezřelé aktivity se objevily kolem 10. října minulého roku, nicméně kdybych měl uvést konkrétní datum, pak asi 4. 12. 2009, kdy se konala zmíněná první schůzka. Od té doby nastala řada změn. Útočníci samozřejmě zjistili, že se o nich ví, a zpřísnili svá bezpečnostní opatření včetně automatického útoku na neopatrné zvědavce. Celá věc je stále živá; jen málo kdy se v oblasti počítačových věd povede sledovat něco podobného na vlastní oči.
Co vše by mohly viry způsobit?
Nejedná se o viry, ale spíše o červy; ještě přesněji o tzv. boty (toto pojmenování pochází od slova robot), jejich síť se pak označuje jako „botnet“. Domyslet dopady je dosti těžké, neboť se jedná o programy, jejichž chování lze dynamicky a na dálku změnit. V každém případě se ukázalo, že téměř každé moderní elektronické zařízení, zpravidla vybavené operačním systémem, může být jak cílem, tak i zdrojem útoku. Kvalitnější televizory nebo satelitní přijímače běžně disponují připojením k Internetu, v moderních domech lze na dálku zapínat topení nebo kamerovým systémem sledovat, zda je vše v pořádku. V průmyslu pak ovládat stroje, zapínat zařízení atd. Toto vše by mohli útočníci získat pod svoji kontrolu.
Ptala se: Mgr. Zdeňka Dubová, foto: mjr. Ing. Milan Jirsa
http://www.isvav.cz/projectDetail.do?rowId=OVMASUN200801
