Pomalé i nedostupné stránky. Jak fungují DDoS útoky, které vyřadily z provozu české weby?

Hackerský útok, ilustrační snímek

Výpadky webů státních složek

Zahltit, zpomalit a ideálně i vyřadit z provozu. České servery se už několik týdnů perou s tzv. DDoS útoky. Terčem ruských hackerů se staly nejen webové stránky policie, vlády i ministerstev, ale také banky či České dráhy. V principu jde o poměrně jednoduchou formu kybernetických útoků, které jsou ale překvapivě dostupné i komerčně. Navíc je zpravidla velice obtížné vystopovat původní zdroj útoků. Jak se proti nim bránit?

Cílem DDoS útoků („Distributed Denial of Service“, tedy „distribuované odepření přístupu“) je zahltit, znepřístupnit a vyřadit servery, které drží webové stránky, portály či aplikace v provozu. Toho útočníci dosáhnou tím, že v jednu chvíli nasměrují na dané servery enormní množství požadavků ze zahraničních počítačů, které systém nebude schopen efektivně zpracovávat. Výsledkem pak může být pomalejší načítání stránek, chybové hlášky, nefungující služby či rovnou nemožnost se dostat na web.

„Pokud se jedná o kritickou službu, např. callcentrum 112, vzniknou sekundární škody. Například sanitka nepřijede včas. Po technické stránce se toho moc neděje. Reálný problém je, že tyto útoky jsou dosti otravné a mnohdy se jimi maskuje mnohem závažnější útok – například takový, který ohrožuje data či cíleně poškozuje danou službu,“ přiblížil možné důsledky IT specialista Ondřej Profant (Piráti).

„Jde o nejběžnější typ hackerských napadení, během nichž se velké množství počítačů – tzv. botnetů – zaměří na jeden web a vytvoří na něj nápor požadavků. Namísto obvyklého počtu dotazů jich na server přijde několikanásobně více – v řádu milionů – až dojde k přetížení serveru a nedostupnosti služby,“ doplnil pro redakci Václav Svátek, CEO a zakladatel společnosti Českomoravské informační systémy (ČMIS).

Terčem DDoS útoků se nedávno staly nejen weby ministerstva vnitra, policie a hasičů, ale vládní stránky, krajské portály či Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). V souvislosti s kybernetickými útoky řešily České dráhy problém s výpadky mobilní aplikace Můj vlak. Dále nefungoval on-line nákup jízdenek ani vyhledávání spojů. Napadený byl rovněž portál veřejné správy portal.gov.cz, který byl ale znepřístupněn úmyslně.

„Šlo o preventivní odstávku s cílem ještě více posílit odolnost webu před případnými DDoS. Data uživatelů nebyla ohrožena,“ podotkl Jiří Korbel z tiskového oddělení ministerstva. Ministr vnitra Vít Rakušan (STAN) dříve sdělil, že na systémy českých státních i soukromých institucí vedli kybernetický útok ruští hackeři. Žádné informace a soukromá data občanů podle něj neunikly. K útokům se přihlásila hackerská skupina Killnet, která se útoky chlubila na svém Telegramu.

„Můžu jasně říct, že nedošlo k prolomení bezpečnosti těchto webů, byť analýzy potvrdily nějaké pokusy. Je to standardní věc, že se útočník snaží způsobit nedostupnost stránek a zároveň dělat na pozadí i jiné činnosti. Nedošlo k žádnému úniku dat, nastaly ale problémy s kapacitou. Útočník vyvinul tak velký počet dotazů na webu, že to infrastruktura neustála,“ upřesnil pro CNN Prima NEWS Vladimír Rohel, ředitel sekce Bezpečnost NAKIT.

Souboj výkonných strojů

Právě kapacita serverů a jejich výkon hrají v tomto hackerském souboji zásadní roli. Útočník musí mít dostatek počítačů, ze kterých může odesílat obří množství požadavků na servery své oběti. Pakliže cíl útoku disponuje dostatečnou kapacitou a vysokým výpočetním výkonem, jednoduše tyto předimenzované požadavky dokáže bez větších problémů odbavit.

Kdo zkrátka bude mít silnější infrastrukturu, vyhrává. Velké hostingové společnosti, které provozují například stránky bankovních institucí nebo technologických firem, se ve většině případů umí efektivně bránit i agresivnějším DDoS útokům.

Masivní koordinované kybernetické výpady tohoto formátu zpravidla využívají výkonu tisíců počítačů.  V některých případech ovšem bez vědomí jejich majitelů – jejich přístroje se mohly „nakazit“ malwarem nebo jiných virem, který počítač nenápadně zapojí do hackerské sítě pro následný DDoS útok.

Ten se přitom dá pořídit za několik málo dolarů a lze jej překvapivě jednoduše poptat na internetu. Zájemce si tak může vybrat počet strojů a dobu, po jakou bude kybernetický útok prováděn. Po DDoS tak nedosáhnou pouze IT experti a hackeři, ale také lidé, kteří se nebojí sáhnout si do peněženky. Ačkoliv většinou nejde o nejsilnější útoky, pro menší e-shopy nebo zájmové weby stále může jít o velkou hrozbu.

„Dnes si můžete objednat celou řadu útoků. DDoS patří k nejjednodušším, čili i nejpopulárnějším. Navíc se k útoku většinou zneužívají zařízení nic netušících lidí (např. domácí router), hůře se tak hledá viník,“ navázal Profant.

DDoS útokům se tak dá bránit sledováním aktivity na serveru a omezit ji ve chvíli, kdy začne být podezřelá či začne náhle a rapidně stoupat. „To dokáže vyřešit kvalitní analytika, která odhalí, že se jedná právě o hackerský útok. Existují i specializované služby, které útoky robotů identifikují a odvedou nápor mimo danou stránku,“ upozornil Václav Svátek.

„Obranou proti DDoS útoku je znemožnit útoku dosáhnout cíle, kterým je server oběti. A to může být i zablokováním zahraničních IP adres. U každé oběti je pak dopad jiný, podle toho, jak je oběť na webové prezentaci závislá a odkud její uživatelé přistupují,“ doplnila mluvčí NÚKIB Alena Minxová. Opravdový zdroj kyberútoků se ale hledá velice obtížně.

Přibývají i další kyberútoky z Ruska

Problém s hackery netrápí pouze veřejný sektor. Podle technologické společnosti Monstarlab se od začátku invaze na Ukrajinu razantně zvýšil počet kyberútoků z ruského prostředí.

„Nejvíce jsou to phishing útoky, které se z nás snaží vylákat informace a přístupy skrze falešné zprávy od institucí, jako jsou například banky. Snaží se působit jako naši zaměstnanci nebo vedení, kteří chtějí vědět některé informace, získat přístupy nebo poslat platby. Naštěstí jsme všechno zachytili, ale je to velmi těžké, protože jde o velmi promyšlené útoky,“ okomentoval situaci Hádl, CIO společnosti.

„Bohužel už neplatí, že vám píše arabský princ a ve větě má 10 gramatických chyb. Ty zprávy, které jsem viděl, jsou opravdu propracované. Bez speciálních informací už na první pohled není zcela patrné, zda se jedná o phishing útok, nebo opravdovou zprávu od kolegy,“ řekl redakci Hádl.

Tagy: