Jak jsou bezpečné české servery?

Pády nejnavštěvovanějších světových serverů ukázaly, že zkratky typu DDoS se nemusí týkat jen úzké skupiny odbo...


Pády nejnavštěvovanějších světových serverů ukázaly, že zkratky typu DDoS se
nemusí týkat jen úzké skupiny odborníků. Že hackeři jsou vlastně lidé, s
jejichž činností se může bezprostředně setkat každý z nás. Proto se dnes ptáme
(především) provozovatelů největších tuzemských serverů na to, zda se s
hackingem setkávají a co proti němu dělají. Zajímají nás samozřejmě i další
názory: je hacking záležitostí "těžkých profíků", nebo spíše neškodnou
folklórní výstředností?
Našim hostům jsme k vyjádření ponechali volné pole působnosti, od běžného
"publicistického" stylu až po terminologii blízkou profesionálnímu slangu.
Doufáme, že i kombinací různých stylů získá toto Téma týdne na zajímavosti.
Samozřejmě přikládáme průvodní článek, který vysvětlí některé termíny používané
správci serverů a programátory.
Setkali jste se již na Seznamu s hackerskými útoky?
S pokusy o průnik do systému nebo pokusy o narušení běhu služeb se na Internetu
není možné nesetkat. Ten, kdo by tvrdil opak, pravděpodobně pouze nemá právě
dokonalý přehled o svých systémech a nebo je opravdu výjimkou, která potvrzuje
pravidlo.
Služby, které Seznam provozuje, jsou na českém Internetu nejviditelnější a zná
je obrovské množství lidí, kteří je denně využívají. To samozřejmě znamená i
zvýšený zájem těch, kteří k nám nepřicházejí s příliš čistými úmysly.
Jakých výsledků dosáhli tito lidé? Byli hackeři na Seznamu úspěšní?
Před několika lety, kdy Internet u nás byl teprve v počátcích, se narušitelům
podařilo změnit hlavní stránku http://www.seznam. cz. To byl asi jediný vážný
incident, kdy se někomu podařilo proniknout do systému.
Dnes se lze setkat spíše s pokusy o zahlcení služby, a to v mnoha různých
kombinacích. Bohužel je třeba říci, že mnoho tzv. útoků bývá zcela neúmyslných
a v některých případech dokonce způsobených prostě špatnou konfigurací nějakého
počítače kdesi na Internetu.
Velice "oblíbeným" problémem je třeba takzvané cyklení pošty, při němž dochází
k výměně statisíců dopisů se serverem, jehož konfigurace odporuje některým
základním principům definovaným v příslušných specifikacích protokolu SMTP.
Bohužel, na Internetu není vůbec problém na takový poštovní server narazit.
Problémy také někdy působí nesprávné chování směrovačů některých ISP, k čemuž
sice výjimečně, ale přece jen občas dochází. U tak navštěvovaných služeb,
jakými je Seznam, se i takovéto zdánlivě nevýznamné věci, které se stanou mimo
autonomní systém našeho ISP, bohužel projeví.
Každopádně lze říci, že několikrát do týdne je možno detekovat minimálně pokusy
o zjištění dostupných služeb na našich serverech a nalezení nějakého
potenciálně nezabezpečeného místa ovšem bez nějakého dalšího efektu.
Co proti útokům děláte?
Veškerá komunikace mezi našimi systémy dnes probíhá šifrovaně. Kryptograficky
jsou chráněna nejen hesla, ale i samotná data. Na klíčových místech není
povolena ani autentizace heslem a je zde vyžadováno použití metody privátní a
veřejných klíčů. To značně znesnadňuje až zcela znemožňuje útočníkovi zjistit,
jakého charakteru přenášená data vůbec jsou, natožpak získání dat samotných a
jejich následného zneužití.
Mezi velice oblíbené metody, které samozřejmě používáme také, jsou paketové
filtry. Ty zamezí kontaktu s neveřejnou službou ještě před tím, než se
příslušné pakety dostanou na počítači k aplikační vrstvě, nebo dokonce ještě
před tím, než se vůbec dostanou k počítači. Jediné, k čemu dojde, je zalogování
základních informací pro případnou další analýzu. Pomocí této metody lze
zamezit přístupu i potenciálnímu útočníkovi, který se snaží opakovaně zneužít
našich služeb.
Jednou ze zajímavých metod, které se snaží narušit chod služeb, může být také
využití známých chyb v implementaci TCP/IP některých systémů, ale i zde je
řešení velice jednoduchou záležitostí, spočívající ve spojení s generickou nebo
aplikační proxy.
Metod je mnoho a to jak pokud jde o útok, tak i obranu před ním. Mnohé z nich
jsou obecného charakteru, ale některé chrání systém pouze před jedním
konkrétním typem útoku.
Snažíme se prostě být vždy o krok napřed a ochránit naše služby, jak nejlépe to
jde. V případě některých útoků to však může být velice problematické. Jedním z
takových je SYN flood, při němž útočník produkuje obrovské množství žádostí na
vytvoření spojení se serverem, ale s uvedením falešné a ještě k tomu nedostupné
adresy.
Zde je pak každá obrana velice těžká. Můžeme zasahovat, a také v některých
případech zasahujeme, do určitých charakteristik TCP, v některých případech se
můžeme dokonce pokusit lokalizovat útočníka vlastními silami nebo ve spolupráci
s naším ISP.
V každém případě se zde jedná o "souboj mozků" a my se všemožně snažíme, aby
ti, kdo pracují pro Seznam, byli těmi nejlepšími. Jedinou šancí, kterou máme,
je snažit se vyhrát každou bitvu, samotná válka, lze-li to tak vůbec nazvat,
nebude mít konce zřejmě nikdy.
Jak je vaše platforma obecně připravena na hackerské útoky?
Samozřejmě nejlépe, jak je to jen možné :-). Na straně aplikací a OS, na úrovni
aplikační, transportní i síťové vrstvy. Důležití jsou také lidé, kteří pracují
na administraci a vývoji služeb Seznamu.
Náš bezpečnostní model pak koncipujeme tak, aby selhání jednoho prvku
neohrozilo celý systém a pokud možno ani server, proti němuž je útok veden.
Případný útočník je nucen překonat několik v řadě za sebou následujících
úrovní, přičemž každá z nich je schopna jeho útok zcela zastavit nebo jeho
rozsah alespoň výrazně omezit.
Setkali jste se již s hackerskými útoky?
Ano, snahy o hackování našich serverů v minulosti byly a neustále jsou. Nikdy
však nedošlo k vyřazení serveru z provozu, k poškození nebo úpravě dat či k
získání důležitých dat.
Jaké měly tyto útoky výsledky? Byli hackeři úspěšní?
Ne. Většinou jde o primitivní hacking pomocí známých "děr" v systému, které
máme bezpečně zajištěny.
Co proti tomu děláte?
Chráníme se hardwarově i softwarově, samozřejmě sledujeme hackerské konference,
bezpečnostní konference a další zdroje a na případná nebezpečí reagujeme.
Podrobnosti pochopitelně nebudu sdělovat.
Jak je vaše platforma připravena na hackerské útoky?
Velmi dobře. NT 4.0 i námi používané Windows 2000 Advanced Server jsou velmi
dobře chráněny a obsahují poměrně malé množství "nebezpečných děr". Zatím se
nám nestal případ, kdy by nějaký průnik změnil jakákoliv data na serveru.
Většina útoků se snažila snížit výkon systému nebo systém zastavit (DoS útoky).
V poslední době došlo ke hroucení českých freemailů, proto bych uvítal
vyjádření k zajištění freemailu Atlasu.
Náš poštovní systém je postaven na MCIS 2.5 (Microsoft Commercial Internet
System), který je škálovatelný do milionů poštovních schránek.
Náš současný systém běží na 4 počítačích (1 počítač POP3, IMAP4, SMPT rozhraní,
1 počítač WWW rozhraní, 1 počítač SMTP relay, 1 počítač datastore) a je
připraven na 3-4násobnou zátěž oproti současnému stavu. Všechny systémy (celý
ATLAS i jeho jednotlivé služby) jsou monitorovány 24 hodin denně a běžné zásahy
jsou realizovány během 1-2 minut.
Nesetkáváme se díky výkonové rezervě s přetížením poštovního serveru pro
množství uživatelů, ale občas se nás někteří uživatelé snaží potrápit.
MAIL.ATLAS.CZ umožňuje každému uživateli nastavit si vlastní pravidla pro
manipulaci s doručenými maily. Tato pravidla jsou občas zneužívána k
"nekonečnému generování mailů", které poté generuje nadměrnou zátěž na serveru.
V takových případech server během jednoho dne doručí a přijme 1-1,5 milionu
zpráv. Náš poštovní systém je naštěstí na možnost takového chování uživatelů
připraven a dokáže drtivou většinu generátorů automaticky odhalit a
"zneškodnit".
Z hlediska zákonů v ČR je hacking trestným činem poškození a zneužití záznamu
na nosiči informací podle ustanovení ! 25 a trestního zákona. Trestné je podle
tohoto paragrafu mimo jiné kopírování, poškození nebo zničení informací na
nosiči informací až po získání přístupu k tomuto nosiči, kterým může být v
podstatě jakékoliv datové médium. Toto ustanovení zákona je jakoby "šité na
míru" hackerům, kteří ve své podstatě nic jiného nedělají.
Považuji za velmi důležité upozornit na skutečnost, že zákon nerozlišuje
pohnutky a cíle útoku. Je tedy velkým omylem, když si nějaký takový člověk
myslí, že když pozmění webovou stránku do žertovné úpravy, tak nic špatného
neudělal.
K veřejně deklarovaným útokům docházelo před několika lety, kdy absolutní
většina hackerů chtěla, aby následky jejich práce byly vidět a oni se jimi
mohli chlubit. Takové časy již pominuly a dnes se potýkáme s daleko
nebezpečnější trestnou činností, kdy hacker útočí skrytě s cílem kopírování dat
nebo jejich destrukce. Nejsou výjimkou útoky na objednávku jako řešení sporů
mezi komerčními subjekty.
Při současné úrovni ochrany dat na Internetu v komerčním sektoru jsou možnosti
hackerů velmi široké a mnoho firem zjistí, že došlo ke krádeži jejich důvěrných
dat až tehdy, kdy je zřejmé, že je má k dispozici jejich konkurence.
V současné době vzniká v ČR ekvivalent skupiny CERT v USA, která je zaměřena na
vyhodnocování bezpečnosti na Internetu a hackerských útoků. Existence takové
skupiny by mohla mít v našich podmínkách velký vliv na bezpečnost na Internetu
a měla by umožnit získat potřebné informace pro zabezpečení dat i takovým
subjektům, pro které jsou v současné době těžko dostupné.
Policie ČR je připravena řešit jakoukoliv trestnou činnost spojenou s útoky na
data a záleží jen na obětech trestné činnosti, zda budou o takovou pomoc stát,
nebo jako v minulých letech se naopak budou snažit utajit, že se staly cílem
úspěšného útoku.
Zaznamenáváte útoky typu DDoS nebo nějaké jiné?
DDoS útoky lze obecně poznat velmi těžce a efektivní obrana proti nim
neexistuje. Zatím jsme naštěstí nebyli napadeni.
Co proti nim děláte?
Proti klasickýcm DoS útokům jsme chráněni pomocí syncookies a horními limity
pro daemony. Často se objevuje nejprimitivnější forma portscanningu (tcp
connect, port scan a syn), méně často xmass a null. Proti všem těmto druhům
jsme chráněni. Útoky typu buffer overflow zatím nebyly zkoušeny, ale jsme
chráněni proti většině z nich. Sniffing zřejmě existuje, ale ten není možné
rozumně zjistit.
Celkově jsem přesvědčen, že elitní hackeři a crackeři dosáhnou nakonec čeho
budou chtít, protože znají do detailů funkčnost provedení routingu a
firewallové ochrany v kernelech různých operačních systémů. Totéž se týká
funkcí jednotlivých daemonů, protokolu IP atd. V poslední době populární metody
"division by zero" podle mého názoru těží především z neznalosti bezpečnostních
otázek u administrátorů úspěšně napadených serverů...
Problémy se nevyhýbají ani freemailům
V poslední době se objevily problémy i u řady českých webových freemailů.
Třebaže tato problematika s hackery bezprostředně nesouvisí, pro uživatele je
nedostupnost jeho e-mailové schránky samozřejmě obvykle bolestnější
záležitostí, než pád informačního či vyhledávacího serveru. Proto do našeho
Tématu týdne přidáváme i několik střípků týkajících se bezplatných webových
služeb.
Dne 1. 3. 2000 zhruba ve 13 hodin došlo k poruše jednoho disku v diskovém poli,
na kterém jsou uloženy zprávy uživatelů serveru EMAIL.CZ. Vzhledem k tomu, že
diskové pole je typu RAID 5 a porušený byl jeden disk, bylo možné provést
restaurování dat. K obnově dat došlo bez větších problémů, a to automaticky po
vložení nového disku. Po ukončení této obnovy vykazoval souborový systém
několik chyb.
Systém Email.cz ještě používal nový file systém REISERFS. Dle doporučení tohoto
systému byl automaticky spuštěn program "reiserfsck", který zcela poničil tuto
strukturu. I přes tyto nesnáze pracovali programátoři na tom, aby zachránili
alespoň část dat. V neděli večer bylo již jasné, že se nepodaří tato data
obnovit, a tedy byla definitivně ztracena. Z původního předpokladu 10 %
poničených dat se stala černá realita 100 %.
V úhrnu tedy bylo ztraceno 7 500 000 zpráv. Data z databáze (registrační údaje,
nastavení, apod.) kromě dat z dopoledne 1. 3. 2000 byla plně obnovena. Je
chybou firmy ATC, že nedokázala zajistit alespoň inkrementální zálohu dat tak
jako dříve. Z velké části to bylo způsobeno tím, že po rozběhnutí nového
serveru EMAIL.CZ se firma ATC zaměřila především na odladění systému a
efektivní zálohu odsunula na pozdější dobu.
Firma ATC je si velmi dobře vědoma, jaké problémy vznikly poškozeným
uživatelům, stejně jako prestiži serveru.
Ještě jednou se všem uživatelům velice omlouváme...
Setkali jste se již na Post.cz s hackerskými útoky?
Na POST.CZ, tedy na druhém nejnavštěvovanějším serveru v ČR, byla za 3 roky
fungovaní podniknuta řada útoků, z nichž snad pouze DoS v průběhu Invexu 1998
ochromil provoz serveru na zhruba jeden a půl dne.
A jak je na tom váš webový e-mail Post.cz z hlediska možného přetížení serveru?
V současnosti probíhá jednání o kompletní dodávce diskového pole pro POST.CZ.
Kapacita by měla být 500 GB, aby byla vyloučena možnost kolapsu databáze.
0 0862 / pah









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.