Před rokem jsme se stali členem důvěryhodné sítě FENIX, která má prověřené operátory na českém internetu chránit před důsledky DDoS útoků. Podmínkou členství ve FENIXu je intenzivní dohled na bezpečností naší sítě, který také nabízí zajímavé statistiky: Největším lákadlem pro útočníky jsou SIP servery zajišťující telefonování přes internet.
Projekt FENIX je snahou o vytvoření chráněného kousku tuzemského internetu odolného proti masivním DDoS útokům. Vznikl na půdě českého peeringového uzlu NIX.CZ již v roce 2013 jako reakce na silné útoky, kterým v březnu 2013 čelila nejen internetová infrastruktura, ale také významná česká média, banky nebo operátoři. Smyslem FENIXu je zachovat v případě DDoS útoku dostupnost internetových služeb alespoň u zapojených subjektů, což znamená, že i u nás.
Jednou z podmínek členství v síti FENIX je existence kvalifikovaného týmu pro zjišťování a řešení bezpečnostních hrozeb CSIRT, a tím i důkladného monitoringu vlastní sítě. V této aktivitě jsme ale šli ještě dál a v září 2015 jsme zprovoznili vlastní scrubbing centrum, neboli místo v síti, které očistí příchozí komunikaci od celé řady různých známých i heuristicky detekovaných útoků.
Scrubbing centrum produkuje zajímavé statistiky: Velmi oblíbeným cílem kyberzločinců jsou servery provozující SIP služby, tj. internetovou telefonii, jako jsou pobočkové ústředny a podobná zařízení.
Jedná se o útoky známé jako „přátelské skenování“, které však ve skutečnosti přátelské nejsou ani v nejmenším. Útočník se totiž pokouší hrubou silou prolomit přístupové údaje k SIP serveru nejčastěji naslouchajícímu na portu 5060. Tato aktivita server neúměrně zatěžuje, čímž dochází k výpadkům služby nebo k výraznému zhoršení kvality hovoru. Pokud se navíc útočníkovi testováním náhodných kombinací podaří některý existující účet zpřístupnit, může server využít například k drahým mezinárodním telefonním hovorům a jeho majiteli tak způsobit nezanedbatelné finanční škody.
Pozadu ovšem nezůstávají ani útoky zaměřující se na slabiny webových aplikací či databázových serverů a pokouší se jejich prostřednictvím získat přístup k citlivým datům v databázích. Technika se nazývá SQL inject. Jde o pokus odeslat databázovému serveru příkaz, který by vyvolal útočníkem požadovanou (a pro provozovatele samozřejmě nežádoucí) odpověď, jíž může být například zobrazení soukromých údajů uživatelů, nahrazení dat v databázi či její poškození.
A není nezajímavé, že i téměř po dvou letech se v síti objevuje velké množství DDoS útoků pokoušejících se využít známé Heartbleed zranitelnosti v šifrování knihovny OpenSSL.
Obecně lze říci, že útoky jsou dobře cílené. Pokud útočník zjistí zranitelnost konkrétního serveru, neváhá ji příslušným způsobem využít. Scrubbing centrum v naší síti využívá síťových prvků Radware DefensePro, které vytváří tzv. šedou zónu, do níž útočník zjednodušeně řečeno nevidí. Umíme tak sice snížit pravděpodobnost zneužití bezpečnostní slabiny zákaznického serveru, to ale nijak nesnižuje nároky na péči o zabezpečení serveru ze strany vás, zákazníků.
Více informací o našem Scrubbing centru naleznete na https://www.coolhousing.net/cz/scrubbing-centrum.
Autor: Jirka Dvořák