Známe zbraně svých nepřátel? Část 2: Útoky na sítě a aplikace
Motto: „Jak odborníci na bezpečnost vyvíjejí proti novým útokům nové způsoby obrany, vyvíjejí hackeři nové nástroje, jak jejich protiopatřením čelit. Výsledkem je změť nejrůznějších typů útoků, jejichž popularita se mění dokonce i v průběhu roku.“ Volně podle Radware: „Pick Your Poison: The Most Popular Cyber Attacks in 2015.“
Známe zbraně svých nepřátel?
Část 2: Útoky na sítě a aplikace
Musím se dobrovolně přiznat, že klasifikace útoků mi dává docela zabrat. Je jich opravdu nepřeberné množství a útočníci je vzájemně kombinují a vytvářejí nové, komplexní formy. Navíc zde panuje poměrně velká míra „volnosti“ v jejich popisu, kategorizaci a zejména v používané terminologii. Neaspiruji proto na úplnost, tím méně na dokonalý, zejména terminologický, soulad se všemi autoritami, které v oblasti kybernetické bezpečnosti publikují. Pokusím se nicméně podat co nejúplnější a současně i co nejsrozumitelnější přehled současného stavu.
Síťové a aplikační útoky
Většina klasifikátorů dělí útoky do dvou základních skupin: útoky na síť a útoky na aplikace. Radware uvádí, že v roce 2015 bylo poměr mezi síťovými a aplikačními útoky zhruba 2:1. Ve skutečnosti se obě skupiny prolínají a útoky vzájemně doplňují. Síťové útoky nezřídka pouze otevírají dveře nebo s sebou nesou útoky namířené právě proti aplikacím. Abychom si ujasnili rozdíl mezi síťovými a aplikačními útoky, vezměme na pomoc referenční model propojování otevřených systémů, tzv. OSI model. Kdo ví, o čem budu mluvit, může příští odstavec přeskočit.
OSI Model
Open Systems Interconnection model, odtud zkratka OSI, popisuje obecně způsob, jakým probíhá komunikace mezi systémy. Model tvoří sedm vrstev. Zjednodušeně řečeno každá vrstva popisuje funkce přenosového systému, pravidla pro jejich vykonávání a způsob spolupráce se sousedními vrstvami, tj. definuje činnosti přenosového systému a vlastnosti použitých protokolů. Nižších pět vrstev se vztahuje k vlastnímu přenosu dat, nejvyšší, sedmá, zahrnuje komunikující aplikace. Nejnižší, fyzická vrstva popisuje vlastnosti média a přenosu dat po něm. Druhá, spojová vrstva popisuje základní datové rámce a fyzické adresování, třetí, síťová vrstva se stará o logické adresování paketů v síti. Úlohou čtvrté, transportní vrstvy, je spolehlivě dopravovat pakety mezi dvěma komunikujícími systémy. Pátá, relační vrstva navazuje, udržuje a ukončuje spojení mezi koncovými body, které mají komunikovat. Úlohou šesté, presentační vrstvy je zajistit vzájemnou srozumitelnost předávaných zpráv, například převod kódů různých znakových sad. Poslední vrstvu, označovanou jako aplikační, tvoří komunikující aplikace. K nejčastěji atakovaným patří například webové stránky, e-mailové systémy nebo DNS servery.
V reálném světě každé z vrstev odpovídá určitá skupina technických prostředků, zařízení či softwaru. Na ně lze samozřejmě podniknout útok a využít jej jak k narušení nebo znemožnění komunikace, tak k implantaci jiného, nezřídka ještě zákeřnějšího a nebezpečnějšího škůdce do sítě nebo do systému. Útoky, uskutečňované na úrovni nižších pěti vrstev OSI modelu tedy můžeme označovat primárně jako útoky na síť (Network Attacks), zatímco útoky odpovídající sedmé vrstvě jako útoky na aplikace (Application Attacks). Na fyzické vrstvě může útočník například přestřihnout komunikační vedení nebo připojit zařízení pro odposlech. Je možné napadnout a zneužít nebo vyřadit z činnosti směrovač, který je typickým zařízením pracujícím na síťové vrstvě. Mimochodem útoky na bídně konfigurované malé domácí routery jsou poslední dobou ve veliké oblibě. Člověk ani neví, že má do domácí sítě, a často tak i do sítě svého poskytovatele internetu, díru velikou jako vrata do stodoly a že se čas od času může podílet na nějakém tom DDoS útoku.
Pasívní a aktivní, externí a interní útoky
Jak jsme právě popsali, útoky na síť označují snahu proniknout do síťové infrastruktury. Je-li primární úlohou pouze rekognoskace terénu, aniž by byla činnost napadeného systému jakkoli negativně ovlivněna, ani nebyl nijak modifikován, hovoříme o pasívních útocích. V opačném případě je útok označován jako aktivní. Útoky uskutečněné zvnějšku pachatelem, který není autorizován k přístupu do napadeného systému, se nazývají externí. Útoky spáchané osobou, která má do systému nějaký oficiální přístup, jsou naopak označovány jako interní. Je zřejmé, že nejčastějším cílem útoku na síť je buď ji ochromit či vyřadit z činnosti, anebo zanést do systému, jehož je síť součástí, nějakého škůdce. Nejčastěji jde o škodlivý software, tzv. malware.
Jak se vetřelci chovají?
Dříve, než se začneme zabývat různými typy a vektory útoků, podívejme se, jak takový sofistikovaný útok obvykle probíhá. Především platí, že moderní kybernetické útoky jsou úspěšné, protože jsou pečlivě naplánované, metodicky organizované a především trpělivé. Zatímco způsoby průniku mohou být diametrálně odlišné, chování záškodníka v systému probíhá více méně podobně a podle jednoduchého scénáře. Jednotlivé části mohou chybět nebo probíhat poněkud odlišně, principy a cíle jsou však vždy stejné: získat to, co jejich vysílatel chce.
Útočník nejdříve hledá zranitelné místo. Jakmile je nalezne, pronikne jím do systému, kde se usadí nebo umožní se usadit škůdci, kterého nese či mu jen otevírá dveře. Aby na sebe příliš neupozorňoval, vetřelec se nejdříve co nejlépe zamaskuje. Poté nenápadně zahájí průzkum systému, a současně, pokud to jde, zneschopní, zablokuje či alespoň oslabí bezpečnostní opatření, která by jej mohla odhalit nebo zlikvidovat. Trpělivě vyhledává další zranitelnosti a pokouší se infikovat ostatní součásti systému. Jakmile dostatečně upevní svoje pozice, naváže spojení s tzv. řídícím centrem útoku, Command and Control nebo zkráceně CnC Server, a očekává další pokyny. Ty mohou přijít hned, ale také za několik měsíců. Později o nich ještě budeme hovořit podrobněji. Uživatel přitom nemusí mít vůbec tušení, že v jeho počítači nebo síti sedí záškodník a čeká jen na povel.
Příště: Přehled typů útoku na síť
Dag Jeger
