Když vám budou v zimě dělat problémy vaše letní gumy, můžete si zajet třeba do školy smyku, kde si v bezpečných podmínkách vyzkoušíte všechny kritické situace. A když se budete hrozit masivních kybernetických útoků na rozsáhlou počítačovou síť, zatelefonujete do Brna a navštívíte KYPO.
KYPO, tedy plným názvem Kybernetický polygon, je jedním z největších počítačových trenažérů a forenzních kybernetických center v Česku, kde lze na obří síti virtuálních počítačů simulovat a zkoumat prakticky libovolnou současnou digitální hrozbu od primitivních DoS útoků po ransomware, krádeže dat a odposlech.
Cvičiště Kybernetického polygonu. Do místnosti velikosti menší školní tělocvičny zavřete partu ajťáků, kteří zde mohou na izolované síti od rána do večera útočit jeden na druhého.
KYPO sídlí na zdejší Fakultě informatiky Masarykovy univerzity a k dispozici má CERIT Scientific Cloud, což je systém 5 500 procesorových jader a 4PB úložiště. Stručně řečeno, je to trošku větší síť než vaše studentská LAN párty.
Cyber Czech 2018
Jednou z nejatraktivnějších simulací, kterou lze na KYPO uspořádat, je komplexní kyberbitva – rozsáhlý digitální útok na počítačovou infrastrukturu, kterou by si v reálných podmínkách mohl dovolit pouze státní hráč.
Dva klíčové dokumenty pro simulaci Cyber Zzech
A právě takový masivní útok se na Fakultě informatiky MU odehrál minulý týden, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zde totiž ve spolupráci s akademiky a složkami Integrovaného záchranného systému zorganizoval další ročník klání Cyber Czech 2018.
Modré týmy chrání Blondies, Novináři šíří paniku a Červený tým útočí
Jak něco takového vlastně vypadá a probíhá? Letos jsem se simulace sám zúčastnil v roli fiktivního novináře, který společně s dalšími kolegy referoval o útoku na smyšlenou zemi Pilsneria a testoval, jak s námi komunikuje jeho fiktivní státní správa.
Ale pěkně popořadě. V rámci cvičení jsou účastníci rozděleni do několika týmů.
Běžné pracovníky – oběti – tvoří tým tzv. Blondies. Během simulace sedí u svých počítačů, čtou poštu, klepají na odkazy atp. Pak tu máme šest Modrých týmů, což by měli být vlastně vcelku běžní správci státních i soukromých počítačových sítí. V tomto případě to byli ajťáci z integrovaného záchranného systému – tedy od policie, hasičů, rychlé záchranné služby apod.
V doupěti červených: „Nefoťte monitory a jmenovky,“ ozvala se slečna, která nás provedla. A tak pohleďte jen na záda jednoho z hackerů, který v následujících několika hodinách potrápí správce sítí ze státní správy.
Do třetice tu je ještě početný Červený tým – zlí útočníci, kteří se budou pokoušet prolomit ochranu Modrého týmu a zaútočit na Blondies. Třeba tak, že se jim pokusí dostat do elektronické pošty, zaútočí na ně podvodnými e-maily, ransomwarem… Budou prostě dělat přesně to, co by ve skutečné kyberválce prováděl i opravdový hacker z masa, kostí a kofeinu.
Chmelington Globe
O to, aby se celá simulace pod náporem mnohahodinového hackingu nezhroutila, se stará Zelený tým a nakonec tu je ještě Bílý tým, který dohlíží na organizační stránku cvičení a právě v jeho místnosti jsem seděl i já s kolegy ze studentského bezpečnostního magazínu Security Outlines, tvořili jsme totiž redakci fiktivního deníku Chmelington Globe.
Redakce Chmelington Globe a právně-analytický tým NÚKIB v bílých tričkách, jehož členové simulovali Policii Pilsnerie
Naší prací bylo referovat o tom, co se právě děje, k čemuž jsme měli svůj vlastní web chmelglobe.ex. Na ten odkaz ale neklikejte, pochopitelně jako vše ostatní fungoval jen v samotné simulaci, která byla striktně oddělená od veřejného internetu.
Mohlo by se zdát, že novinářský tým byl na místě spíše jen pro zpestření, ve skutečnosti jsme ale měli dát cvičení ještě větší punc věrohodnosti, testovali jsme totiž například to, jak s námi komunikují Modré týmy. Průběžně jsme je e-mailem bombardovali dotazy, co se děje, že prý máme z tajných zdrojů zprávy, že na infrastrukturu Pilsnerie kdosi útočí, načež jsme mohli dvakrát během dne vyzpovídat týmy přímo na jejich hřišti – ve velké simulační místnosti v suterénu fakulty.
Právně-analytický tým NÚKIB, který suploval Policii Pilsnerie, pak i na základě našich článků testoval, zdali nám reální počítačoví experti integrovaného záchranného systému nesdělují informace, ke kterým nemají oprávnění.
Sauronia
Suma sumárum, ano, byli jsme přesně ta příslovečná osina-víte-kde, která i ve skutečném světě svými vtíravými otázkami obtěžuje a zdržuje, ale přitom ji nemůžete ani v krizi ignorovat, neboť se špatnými informacemi dokáže vyvolat paniku, která by byla v důsledku ještě mnohem horší než útočící Sauronia.
Sauronia? A to je prosím zase kdo? Doposud jsme si vysvětlili všechny aktéry cvičení po organizační stránce, celá hra však byla zasazena do určitého geopolitického kontextu, který nebyl až tak vzdálený skutečnosti.
Celá simulace má propracovaný příběh a kontext, do kterého je zasazena
Jak už jsem napsal výše, ty hodné představovala Pilsneria. Pilsneria je mírumilovná demokratická země v srdci Heartlandu, který ji miluje především pro její pivo.
Ostatně název našeho skvělého deníku Chmelington Globe nebyl nikterak náhodný. Pilsneria má vřelé vztahy s Brotherlandem, Marketlandem a Happylandem, ovšem vztahy s politicky nestabilní Sauronií je dlouhodobě krajně problematický.
Aby toho nebylo málo, máme tu ještě hacktivistickou skupinu Fire Digital Army. Ačkoliv to nebylo nikdy spolehlivě prokázáno, Sauronia FDA nejspíše podporuje.
Na Pilsnerii se blíží hurikán Mozkyto. Využijí toho útočníci?
Tak, geopolitiku bychom měli a teď ještě aktuální události. Ministerstvo vnitra Pilsnerie letos začalo testovat nové výjezdové tablety, které usnadňují práci záchranářů. Aktuálně se to docela hodí, do země se totiž kvapem blíží hurikán Mozkyto, který největší silou zaútočí ve středu 17.10. (den konání simulace).
Nejčtenější deník Pilsnerie, Chmelington Globe, a jeho titulky, ve kterých kvůli nastalé krizi nesmějí chybět vykřičníky! Z jeho článků čerpá třeba zdejší policie.
Chmelington Globe referuje o škodách, které bouře napáchala v sousedním Happylandu, a varuje veřejnost před hrozícími výpadky elektrického proudu. A právě této krize dopoledne zneužívá zatím neznámý aktér, který na Pilsnerii zaútočil po internetové síti.
V místnosti, kterou sdílíme s Bílým týmem, to už víme, na velké obrazovce před námi totiž svítí aktuální děj minutu po minutě – kybernetické útoky Červených. Když se na displeji u jednotlivých týmů zabarví pole zeleně, víme, že se to Rudým povedlo. Pokud se naopak zabarví červeně, tleskáme Modrým, kteří útoku zabránili.
Aktuální průběh simulace. Zelené bloky představují úspěšný útok. Červené bloky pak funkční obranu Modrých týmů. NÚKIB nás požádal, ať samotnou posloupnost útoků nezveřejňujeme.
Pod útokem
Všechny operace jsou časově pečlivě naplánované od těch nejjednodušších po ty nejkomplexnější.
Podobný scénář cvičení se odehraje ještě několikrát, na žádost NÚKIB jsme tedy z článku dodatečně odstranili podrobný časový sled jednotlivých operací Červených i jakékoliv náznaky konkrétních technik. Děkujeme za pochopení.
Čtenáři naší rubriky Hacking a fanoušci Kali si detaily jistě domyslí.
Jelikož novináři znají podrobný scénář, brzy dle plánu píšeme Modrým první e-mail s otázkou: „Dobrý den, podle našich zdrojů čelí Pilsneria kybernetickým útokům, můžete to potvrdit?“
Ve skutečné krizi bychom kontaktovali tisková oddělení jednotlivých státních institucí, v tomto případě se však s našimi otázkami musejí vypořádat počítačoví experti, pro které jsme tak trochu bulvární škodná. Jenže když nám v časovém limitu neodpoví, přijdou o body.
S kolegy připravujeme první e-mail pro Modré týmy. Do deseti minut musejí potvrdit jeho přijetí, jinak přijdou o body. Stejně tak záleží, jak odpoví. Kdyby byly příliš otevření, případně nám sdělili něco, co neřekli fiktivní policii, budou mít problém.
Zároveň však musejí být ve své formulaci nanejvýš opatrní, jinak si na nich smlsne zmíněný právně-analytický tým, který musejí o všech zjištěných útocích průběžně informovat.
Cvičení tedy nehledá pouze případné technické slabiny státu, ale i koordinaci jednotlivých složek, legální postup hlášení kybernetických incidentů a tak dále.
Dobrý den, zaznamenali jsme asi patnáctiminutový útok
Za pár minut nám začínají přicházet první odpovědi: „Dobrý den, šetříme to. Dobrý den, žádný útok jsme nezaznamenali. Dobrý den, obraťte se na policii!“ – právní tým může být spokojený, my však nikoliv, z podobné vaty se totiž nedá napsat článek.
A pak, konečně něco: „Dobrý den, zaznamenali jsme nedostupnost služby, do 15 minut jsme ale vše opravili.“ Skvělé! Jakákoliv faktická informace, o kterou se můžeme opřít, je hotový dar z nebes, spojení „15 minut“ se tedy okamžitě stává kostrou celého článku, který obratem vydáváme.
Pochopitelně i s neověřenou spekulací, že útok je ve skutečnosti mnohem rozsáhlejší, protože letmým pohledem na obrazovku zjišťujeme, že většina Modrých v první fázi podlehla a v odpovědích buď fabuluje, nebo celou situaci zlehčuje.
Červení v přesile
Simulace probíhá už několik dlouhých hodin, přičemž Červení jsou jednoznačně úspěšnější než Modří. Není ale divu, jsou totiž zvýhodnění. Už na začátku měli k dispozici informace o počítačové infrastruktuře oběti a tedy i zranitelnostech, které mohou využít.
Jak je to možné? Při skutečném útoku by si mohl záškodník zjišťovat podobné informace o cíli třeba dlouhé týdny a měsíce drobnými a zdánlivě bezvýznamnými útoky, v rámci kterých by si jen připravoval půdu na hlavní operaci. Na něco takového ale během šestihodinového cvičení pochopitelně nebyl čas.
Modré týmy se postupně dostávají pod tlak Červených
Později se na ochozu nad velkou simulační místností KYPO začínají srocovat pozorovatelé. Jsou zde zástupci univerzity, nejrůznějších státních institucí, ale i armádní důstojníci v pečlivě vyžehlených uniformách, za chvíli se totiž uskuteční to, o čem my v zákulisí víme už od rána.
Hurikán Mozkyto způsobí rozsáhlý výpadek elektrického proudu, a jelikož se Červeným krátce před tím podařilo úspěšně zaútočit, některé týmy Modrých budou mít vážné problémy.
„Největší kybernetický útok mého života“
Rozdělujeme si s kolegy Modré týmy a vyrážíme mezi ně pro ústní odpovědi. Nejsou příliš sdílní, tu a tam se usmějí, ale téměř vše opět popírají, mlží a v nejlepším případě pouze naznačují.
Na obrazovce v místnosti Bílého týmu můžeme sledovat celkové skóre a statistiku.
Jsme zklamaní, avšak organizátoři mohou být spokojení, že z nitra státní správy neunikly do médií žádné citlivé informace. Jeden z expertů se však nakonec přeci jen nechá unést a sděluje nám, že „to byl největší kybernetický útok jeho života.“
Dost možná to nebyla hra, jeho tým totiž Červení drtí téměř dokonale a je opravdu možné, že ve skutečnosti se s něčím podobným nikdy nesetkal, co je však nejdůležitější, my máme nový titulek s tou nejlepší možnou citací!
Je konec, dobojováno
Je konec. Na cvičiště přicházejí Červení, zdraví se s Modrými a u jejich stolků probírají, jak útočili a na co si mají dát správci sítí z reálných českých institucí napříště pozor. A jaké konkrétní techniky útoku Červení vlastně použili?
To se veřejnost samozřejmě nedozví – ostatně nesmíme fotit ani jejich cedulky se jmény. O to více mě však potěšilo, když mi jeden z Červených poklepal na rameno a já uviděl našeho autora, který nám před pár lety psal bleskovky.
Je dobojováno. Na plac přicházejí Červení, hodnotí cvičení a pak už jdou ke konkrétním týmům a vysvětlují, co je třeba vylepšit, aby se nestali obětí útoků i v reálném provozu. Na závěr ještě hromadné foto a hurá domů.
Tak, už zbývá jen rozdat diplomy, pořídit pamětní fotografii Modrých a rozjet se zpět na svá pracoviště s novými zkušenostmi. NÚKIB nyní bude cvičení dlouhé dny a týdny analyzovat, přičemž výsledkem bude nejspíše nový sumář doporučení, jak zlepšit neduhy, a především vyšší kybernetická bezpečnost a připravenost České republiky. Tedy Pilsnerie, pochopitelně.
