Dr Andrzej Kozłowski: Ataki Distributed Denial of Service (DDoS), skutkujące odmową dostępu do usług internetowych są stosowane od dawna i uchodzą za mało skomplikowane. Czy ich przeprowadzenie może mieć bezpośredni wpływ na bezpieczeństwo państwa?
Zbigniew Jabłoński, dyrektor Ośrodka Informatyki Kancelarii Sejmu.: Jeżeli chodzi o bezpieczeństwo samego państwa, wątpię. Natomiast w obszarze, którym zajmuje się Centralny Ośrodek Informatyki, ataki tego typu bywają dotkliwe. Dzisiaj już mniej, jednak w przeszłości sprawiały sporo kłopotów naszym rozwiązaniom.
Wszystko zaczęło się kilka lat temu podczas masowych protestów przeciwko projektowi ACTA. Wtedy zaczęliśmy odczuwać jako OI skutki ataków DDoS. Problem z czasem zaczął narastać, więc zaczęliśmy szukać rozwiązań, które będą umożliwiły walkę z tym zjawiskiem. Ze swojej strony mogę powiedzieć, że testowaliśmy kilka różnych pomysłów.
We wstępnych analizach założyliśmy, że idealną sytuacją byłoby przekonanie operatorów telekomunikacyjnych, aby to oni wzięli na siebie ciężar walki z atakami DDoS.
Ten proces już jest realizowany?
Tak zaczyna się dopiero dziać, kilka lat od momentu zauważenia problemu DDoS. Jednak podejście operatorów telekomunikacyjnych jest inne od naszych założeń. Z mojego punktu widzenia, dobrym rozwiązaniem byłoby, gdyby klient, jak np. Kancelaria Sejmu, informował operatora, że jest atakowany.
Jeszcze korzystniejsze byłoby, gdyby operator bądź operatorzy informowali Kancelarię Sejmu, że przy użyciu ich systemów, nad którymi utracono kontrolę rozpoczęto atak na Kancelarię Sejmu i oni właśnie uruchomili swoje własne mechanizmy obronne. Warto także wziąć pod uwagę i wdrożyć mechanizm informowania za pomocą miesięcznych zestawień o procencie ruchu sieciowego, który został odrzucony ze względu na to, że miał charakter ataku cybernetycznego.
Natomiast każdy z operatorów ma w tej chwili swój własny system, udostępniany usługowo. Alternatywą do tego, co zrobiliśmy, jest wykupienie tego rodzaju usługi u operatora telekomunikacyjnego. Naszą sytuacja jest nietypowa, bo korzystamy z trzech operatorów.
Którzy spośród operatorów dostarczają usługi COI?
Exatel, NASK i Orange. My korzystamy z rozwiązania, które optymalizuje ruch poprzez wykorzystanie protokołu BGP (Border Gateway Protocol - zewnętrzny protokół trasowania, routingu – przyp. red.). Stworzyliśmy z jednym z partnerów technicznych narzędzie, które służy do optymalizacji tego ruchu. Jednocześnie wykorzystujemy je do optymalizacji ruchu oraz wykrywania i sygnalizowania o tym, że nastąpił atak. Do momentu, kiedy nie poznaliśmy oferty Atende Software, wykorzystywaliśmy nasze narzędzie do informowania administratorów o sytuacji w sieciach.
Czym różni się wykorzystywane obecnie rozwiązanie w stosunku do poprzednich systemów?
Po pierwsze, jest znacznie tańsze, to był bardzo poważny argument przy podejmowaniu decyzji. Po drugie jest prawie w 100 proc. skuteczne, byliśmy w też stanie natychmiast je uruchomić.
Wcześniej czas pomiędzy atakiem a przywróceniem do normalnego funkcjonowania wyniósł około pół godziny. To było stanowczo za długo. W tej chwili ograniczyliśmy to do 40 sekund. W praktyce odbywa się to ten sposób, że system służący do optymalizacji ruchu informuje redGuardian firmy Atende Software, że jest atak. Następuje przekierowanie tego ruchu przez redGuardian, co jest równoznaczne z niemal natychmiastowym zakończeniem ataku. Możemy oczywiście ręcznie wyłączyć to narzędzie w dowolnym momencie, wymagaliśmy pozostawienia takiej funkcjonalności. Chcieliśmy zachować wpływ na płynność połączeń. Bywały sytuacje, kiedy pierwszy atak był bardzo krótki, a potem następowało jego ponowienie.
Jak wygląda sytuacja obecnie?
Obecnie DDoS jest znacznie mniej uciążliwy niż był kiedyś. Także z tego powodu, że dysponujemy rozwiązaniem likwidującym określony wolumen ataku. Jednocześnie wydaje się, że ci którzy próbują nas atakować, też się zorientowali, że jest to dla nas mało dotkliwe. Próby ataków, które zauważamy, nie są tak intensywne jak to było kiedyś.
Rok temu ataki DDoS były wręcz stałym zjawiskiem w naszych sieciach. Jedynie jego poziom był zróżnicowany, do mniej więcej 160 mb/s.
A w czasie protestów wokół ACTA?
ACTA było przełomem z kilku powodów. Wtedy zorientowaliśmy się, że musimy mieć znacznie większe pasmo niż do tej pory. Uzależnianie się tylko od jednego operatora telekomunikacyjnego jest niewystarczające i uznaliśmy, że musimy mieć nasz własny system obrony. Ten ostatni element niestety nie do końca udało nam się zrealizować.
W czasie protestów, atak sięgający 2 gb/s wydawał się czymś bardzo znaczącym. W czasie protestów wokół ACTA (początek 2012 roku – przyp. red.) te 2 gigabity na sekundę wydawały się nam górnym poziomem zagrożenia. Nasza sieć miała wtedy przepustowość sięgającą 320 mb/s i korzystaliśmy z usług firmy Orange. Poziom ataków przekraczał mniej więcej dziesięciokrotnie przepustowość łączy.
Wtedy zainwestowaliśmy w narzędzie, które w teorii broniło nas do poziomu dwóch gigabitów na sekundę. Nie byliśmy nim jednak usatysfakcjonowani. Stosowaliśmy je aż do momentu nawiązania współpracy z Atende Software, czyli około roku temu.
Ile udanych ataków na strony sejmowe odbyło się od momentu wdrożenia tego rozwiązania?
Jeżeli przez udany atak rozumie Pan zakłócenie pracy serwerów, to nie było takiej sytuacji. Jedyny przypadek, kiedy podobna sytuacja miała miejsce, to brak dostępu do serwerów przez około 4 godziny. przy okazji ataków wokół protestów ACTA. Wtedy zablokowano nam dostęp do sieci i systemów. Wszystko działo się w nocy, więc bardzo ograniczona liczba osób odczuła ten atak. Więcej osób się dowiedziało o samym cyberataku, niż odczuło dyskomfort z braku usługi. To jest jedyny przypadek związany z zaburzeniem działań usługi spowodowanej przez DDoS.
Z punktu widzenia napastników atak w nocy może wydawać się pozbawiony sensu.
Nienależnie od tego kiedy systemy sejmowe nie będą dostępne, to i tak zostanie to nagłośnione. Nie oszukujmy się. Skuteczniej można nas zaatakować wtedy, kiedy nas tu nie ma.
Co się zmieniło w obronie przed atakami DDoS?
Mamy więcej systemów, które nas bronią. Uruchomiliśmy również znacznie więcej mechanizmów. Nawet jeżeli administrator czy operator systemu, które dbają o bezpieczeństwo nie siedzą fizycznie przy komputerze i nie obserwują zagrożenia, one i tak są eliminowane.
W jaki sposób?
To zależy od zagrożenia.
Mam na myśli przede wszystkim zagrożenia typu DDoS.
Jeżeli chodzi o DDoSy, to są te zabezpieczenia o których już dziś wspomniałem, czyli redGuardian. Z naszego punktu widzenia jest to rozwiązanie absolutnie wystarczające. Administrator, jeżeli go nie ma przy komputerze, dowiaduje się po niedługim czasie, że atak był albo, że wciąż trwa albo został złagodzony.
Osoby przeprowadzające ataki zawsze biorą pod uwagę nowe narzędzia obrony, wdrażane na przykład przez państwo.
Można próbować budować rozwiązania, które będą nas mocniej atakować. Granicą jest tu przepustowość, który nas broni. Dziś załóżmy mamy 3 gb/s łącza. Żeby je wysycić to to trzeba przypuścić atak osiągający 3 gb/s. Ponieważ Atende Software, jest lepsze jeżeli chodzi o ten parametr niż my, to żeby ich zaatakować trzeba znacznie więcej niż 3 gb/s, ale taki atak też można przeprowadzić. To jest tylko kwestia chęci i kosztów.
Na razie nie było chętnych?
Atak na Sejm niewiele daje poza możliwością pochwalenia się, że się zaatakowało ważną instytucję. Atak na bank, przynosić może określone korzyści, np. finansowe. Nie jesteśmy w tym momencie celem dla hakerów. Atak tej wielkości, która miała miejsce podczas dyskusji wokół ACTA, dziś można zrobić za darmo. Przez 15 min, pół godziny czy przez nawet dłuższy czas, atak tego rodzaju i tej wielkości można uruchomić mając wiedzę i dostęp do określonych serwisów przez internet.
Przeprowadzenie ataku jest możliwe pomimo systemów ochronnych?
Tak, tylko że poziom kosztów, które trzeba ponieść nie jest wcale niski.
Jaka to jest kwota?
Tego nie mogę Panu powiedzieć, ponieważ nie posiadam takiego upoważnienia. Musi Pan się zgłosić do Atende Software, aby dowiedzieć się jakiej wielkości atak trzeba przeprowadzić, żeby pokonać ich zabezpieczenia.
Specjaliści wskazują, że na możliwość przeprowadzania ataków DDoS może wpłynąć rewolucja związana z Internetem Rzeczy (IoT).
Odsuwamy na razie tego typu zagrożenia. Internet Rzeczy (IoT) jest czymś, czego konsekwencji do końca nie poznaliśmy. Nie zastanawialiśmy się systemowo nad tym, jakie może mieć skutki dla bezpieczeństwa systemów sejmowych rozwój technologii IoT.
W Stanach Zjednoczonych notowano już przykłady wykorzystania IoT do przeprowadzenia ataku DDoS.
Znane są przypadki, kiedy atak przeprowadzono przez urządzenia typu czajnik do podgrzewania wody, który ma system informujący właściciela o tym, że woda się zagotowała.
Analizy na ten temat powinny być już prowadzone.
Moim zdaniem, jeżeli mamy system, w którym są certyfikowane urządzenia, to zagrożenie jest znacznie mniejsze, niż gdy nie filtrujemy tego, jaki sprzęt jest podłączany. System typu NAC (Network Access Control – przyp red.) jest w stanie radzić sobie z obcymi komputerami, ale także z np. ze spinką do krawata, która jest podłączona do sieci. Taki gadżet może w zależności od pogody pokazywać różne obrazki.
Inwestujemy dosyć mocno w tym obszarze. Wprowadzono ważną zmianę w prawie. Mówię o RODO (Rozporządzenie o Ochronie Danych Osobowych – przyp. red.), rozporządzeniu ogólnym, które reguluje sprawy ochrony danych osobowych. Za trochę więcej niż rok ta zmiana zacznie być odczuwalna i będzie obowiązywać. Zacznie także być egzekwowana.
Rozporządzenie jest dla nas podwójnie istotne, ponieważ zmienia zasady budowy systemów służących do ochrony danych osobowych, które są istotną częścią zasobów sejmowych. Dodatkowo spowoduje to konieczność zmiany ponad 640 ustaw. Z technicznego punktu widzenia jesteśmy w to, mniej więcej od roku, dosyć mocno zaangażowani i sam Sejm będzie zaangażowany w zmianę tych ustaw. To jest naprawdę bardzo duże wyzwanie, techniczne i nie tylko.
Dziękuję za rozmowę.