Skoči na vsebino

Kako lahko ponudnik brani svoje stranke

Ob napadih skupine Anonymous smo javno objavili nekaj osnovnih nasvetov, ki naj bi ponudnikom gostiteljstva, internet ponudnikom in morebitnim tarčam pomagala omiliti posledice napadov. Nasvete si lahko ogledate v našem obvestilu “SI-CERT 2012-03 / Napadi na slovenske spletne strani“. Menimo, da gre za vprašanja, povezana z upravljanjem omrežij in storitev, ki so hitro lahko razumljena narobe, zato smo se odločili, da vprašanje (ki se sklicuje na Zakon o medijih), kot tudi naš odgovor, javno objavimo tudi sami.

Vprašanje

Zadeva: Novinarsko vprašanje (ZMed)
Datum: 13. februar 2012 23:19:04

Spoštovani,

V zadnjih dneh ste bili opaženi (https://www.cert.si/obvestila/obvestilo/article/si-cert-2012-03-napadi-na-sl ovenske-spletne-strani.html) slovenske ISPje pozivati, da naj:

>Internetnim ponudnikom svetujemo spremljanje prometa v primeru napadov. Na usmerjevalnikih naj se beležijo podatki o izvornih naslovih, ki sodelujejo v napadih. Za nadaljnje informacije in pomoč naj se ponudniki obrnejo na SI-CERT (cert(at)www.cert.si).<

Ker gre v tem primeru za hud poseg v komunikacijsko zasebnost neznanih uporabnikov (predvsem vseh nedolžnih uporabnikov, katerih promet se preventivno prestreza, da se ugotovi, da ne počnejo nič takega), verjamem, da imate za tovrstno ukrepanje veljavno pravno podlago. Prosim, da mi jo (skupaj z morebitnim komentarjem) sporočite do jutri (14.2.2012) do 11:00 ure zjutraj, drugače bomo zgodbo objavili brez upoštevanja vaših stališč. Prosim tudi, da sporočite ali navedene ukrepe samo predlagate drugim ISPjem ali pa jih morda tudi sami izvajate nad svojim omrežjem.

Lep pozdrav,
Primož Bratanič Slo-Tech

Odgovor

Hvala za vprašanje. Nekoliko je sicer rok, s katerim ste “zagrozili”, omejujoč. Zahtevate namreč, da vam v parih urah odgovorimo, sicer boste interpretirali po svoje (iz tona vašega vprašanja sklepam, da ne ravno nam v prid). Seveda se bomo potrudili in vam razložili, zakaj smo ponudnikom svetovali omenjene ukrepe.

Najprej bi pojasnil, da napačno sklepate, da gre v predlaganem ukrepu za prestrezanje prometa. Niti ne gre za pregledovanje vsebine prometa. Tega noben ponudnik ne sme početi in tega tudi nikoli ne bi svetovali. Če smo stavek formulirali nespretno, se opravičujem za nesporazum, a nasvet je bil namenjen slovenskim ponudnikom, za katere smo prepričani, da so ga razumeli v pravilnem kontekstu, ki ga bom opisal tu.

Vsak ponudnik mora pri upravljanju svoje komunikacijske hrbtenice zagotavljati zanesljivost njenega delovanja in seveda odpravljati napake, kadar do njih pride (prekinjene povezave, preobremenjeni usmerjevalniki, napake v usmerjevalnih tabelah in tako dalje). V ta namen vsi usmerjevalniki beležijo izvorni in ciljni IP naslov, izvorna in ciljna vrata, ter količino prenešenih paketov in zlogov (pa še vrsto protokola in nekaj zastavic). Na podlagi tega ponudniki običajno rišejo grafe pretoka podatkov, ki hitro pokažejo anomalije, recimo izpad povezave (ali recimo napako v usmerjevalni tabeli), načrtujejo potrebne nadgradnje komunikacijskih vodov in opreme, ali zaznajo DDoS (distributed denial-of-service) – napad s poplavo podatkov.

Prav je, da se ustavimo pri slednjem, saj je naš nasvet v glavnem bil namenjen tej obliki napada.

Pri DDoS napadu storilec ustvari svoj “botnet” – omrežje zlorabljenih računalnikov, na katere namesti zlonamerni program (imenovan “bot”). Boti se mu javijo na nadzorni strežnik, preko katerega jim izda ukaz za napad na določeno tarčo. Takrat vsi boti začnejo pošiljati velike količine podatkovnih paketov na tarčo napada. Običajno gre za zelo velike pakete protokola UDP, ali pa SYN pakete protokola TCP. Ob napadu tarča postane nedosegljiva, del omrežne hrbtenice ponudnika, kjer je tarča locirana, pa postane zelo obremenjen, lahko tudi do stopnje nerabnosti. Ponudnik lahko reagira tako, da odklopi tarčo (na meji omrežja zavrže ves promet, namenjen spletnemu mestu, ki je na udaru, tako imenovani null-route), ali pa (bolj pametno) skuša zavreči ves promet, ki je del napada. To pa lahko stori tako, da na svojem nadzornem sistemu pogleda, ali lahko določi vzorec prometa, ki je del napada. Ta promet izloči in (če je pri tem uspešen) s tem doseže, da je spletno mesto za normalno uporabo spet na voljo.

Pozor: spet na podlagi zgoraj navedenih značilnosti prometa in NE na podlagi vsebine! Dostopa do te ponudnik na hrbtenici itak nima, razen če namesti specializirane naprave za prestrezanje. Nič od tega nam niti na pamet ne pride, da bi svetovali.

Takšne napade je Anonymous že izvedel: na NLB, ter na spletna mesta političnih strank. Naš nasvet je, da ponudniki v primeru napada spremljajo promet (res, bolje rečeno njegove značilnosti), povezan z napadom in na podlagi tega ustrezno odreagirajo z namenom zaščite svoje stranke. Nalašč nismo želeli dajati več podrobnosti v javnem sporočilu, zato tudi spremljujoč nasvet, naj se obrnejo za dodatne informacije na SI-CERT.

Naslednji primer napada z zavračanjem storitve (denial-of-service) je usmerjen na spletne strežnike. Običajno gre za napade, kjer s povečanim številom zahtev (in nekaterimi dodatnimi tehnikami časovnega zamika ipd.) prekomerno obremenite strežnik in tako povzročite, da storitev ni več na voljo.

Tudi spletni strežnik beleži podatke o prometu, lahko bi rekli, da zabeleži še bistveno več, kot usmerjevalnik. Zato menim, da vas bo zanimalo tudi, zakaj smo svetovali varno hrambo dnevniških datotek strežnikov. Vsak (ampak res vsak) spletni strežnik zabeleži IP naslov obiskovalca, datum in čas zahteve, spletni naslov zahtevka (URL), spletni naslov strani, na kateri se je uporabnik nahajal prej (referer URL), ter status zahteve (denimo: 200 – uspešna, 404 – strani ni). Zraven pa še velikost posredovane strani. Samo posebej nastavljeni spletni strežniki ne hranijo dnevnika obiskov, to si upam zagotoviti. Tudi na slo-tech.com nedvomno hranite prav vse IP naslove čisto vseh obiskovalcev.

Dnevniki spletnega strežnika se ponavadi uporabljajo za analizo obiskov (katere strani so bolj popularne, kako se gibljejo uporabniki po spletnem mestu), seveda pa tudi za odpravljanje napak. Takšno vlogo imajo vse dnevniške datoteke, te pa piše večina programov na računalnikih. Ob navedenih napadih skrbnik strežnika (oz. ponudnik, če je strežnik njegov) pogleda v dnevniške datoteke (loge) in iz oblike zahtevkov ugotovi nabor IP naslovov, ki ga napadajo (pri tem si lahko pomaga še s podatki z usmerjevalnika). Na strežniku (ali še bolje na usmerjevalniku nekje pred njim) namesti pravilo, ki začasno promet iz teh IP naslovov zavrže. S tem razbremeni strežnik in je tako storitev spet na voljo uporabnikom.

Vse zgoraj navedene ukrepe (in ustrezno beleženje nekaterih podatkov o prometu za namen zagotavljanja delovanja omrežja in storitev) v takšni ali drugačni obliki po mojem vedenju izvajajo slovenski ponudniki. Ne samo oni, delovanje omrežij instoritev na tak način zagotavljajo verjetno vsi ponudniki po celem svetu. Tudi na Arnesu uporabljamo nekatere zaščitne ukrepe, noben od teh pa ne posega v zasebnost komunikacije. Na pamet pa nam ne pride, da bi promet uporabnikov prestrezali! Tudi sami ste morda opazili, da smo tudi sami veliki zagovorniki zasebnosti elektronskih komunikacij in odločno nastopamo proti poseganju v njo.

Kar se tiče pravne podlage: 102. člen ZEKom določa, da izvajalci javnih komunikacijskih storitev sprejemajo ustrezne tehnične in organizacijske ukrepe, ki zagotavljajo varnost omrežja in storitev.

Vaše vprašanje in naš odgovor bi rad objavil tudi na našem blogu, SI-CERT Fokus (https://www.cert.si/fokus-blog.html). Če menite, da obstaja kakšen pravni oz. zakonski zadržek, mi to prosim nemudoma sporočite.

Gorazd Božič

PS: Lahko vam zagotovim, da bi na vaše vprašanje seveda odgovorili, tudi če se v zadevi elektronskega sporočila ne bi sklicevali na Zakon o medijih …

Preberite tudi

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA v partnerstvu s SI-CERT organizira prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek bo potekal 27. novembra 2024, v Klubu Cankarjevega doma, s …
Več

Statistika SI-CERT za prvo polovico leta 2024

Za trend prve polovice 2024 smo izbrali ciljanje na mobilne naprave, najbolj očitno gre za lažna SMS sporočila (smishing) v imenu bank in dostavnih služb. Na te se usmerjajo tudi vedno bolj napredni trojanci za krajo podatkov za dostop do mobilnih denarnic.
Več

CrowdStrike izpad in posledice v Sloveniji

Ob pospešeni digitalizaciji različnih vidikov družbe postajamo vedno bolj odvisni od informacijskih sistemov. Kako odporni so le-ti na izpade?
Več