Na stopě hackerům. O bezpečnost sítí Akademie věd pečuje tým CAS-CSIRT

Moderní sítě jsou pravidelně cílem útoků. Své „zbraně“ ale nasazují naši IT specialisté nejen proti napadení zvenčí – řeší totiž i zranitelnost uživatelských počítačů a serverů uvnitř sítě AV ČR. Čím hackeři a hackivistické skupiny ohrožují sítě Akademie věd a jak s tím souvisí například úmrtí britské královny Alžběty II.?

O internetovou bezpečnost se v Akademii věd ČR starají odborníci ze Střediska společných činností AV ČR, Ústavu teorie informace a automatizace AV ČR a Fyziologického ústavu AV ČR. Tým CAS-CSIRT vznikl v roce 2018 a mezi jeho první úkoly patřilo eliminovat incidenty, jejichž zdrojem byl počítač nebo zařízení ze sítě Akademie věd ČR. „Na incidenty nás upozorňuje tým CESNET-CERTS, který koordinuje jejich řešení v síti CESNET. Do ní patří i naše, akademická,“ vysvětluje Miroslav Indra ze Střediska společných činností AV ČR. Všechny informace k incidentům se zasílají na abuse@cas.cz.

K incidentům typu „nestandardní aktivita“ zařízení uvnitř sítě, tedy například pokusům o neoprávněné připojení k cizím počítačům, přibyla upozornění na malware nebo spamy šířené zevnitř. V současnosti patří mezi řešené problémy i oznámení o různých zranitelnostech síťových zařízení, které zavinila např. jejich nesprávná konfigurace nebo zanedbání aktualizace. Objevují se i stížnosti na pokusy o napadení cizích zařízení strojem z naších sítí. Těchto případů je však málo.

„Vyčistit“ a poučit
Po přijetí informace o incidentu, který má původce uvnitř akademické sítě, se nejdůležitější parametry (IP adresa, cílová adresa, čas a délka trvání události, její popis a stupeň závažnosti) uloží do databázového systému týmu CAS-CSIRT. Následně se dohledá lokální síť, které IP adresa patří. Její správce získá potřebné údaje, aby mohl událost vyřešit – například „vyčistit“ napadený počítač, aktualizovat systém s bezpečnostní slabinou nebo upravit konfiguraci síťového zařízení.

Miroslav Indra doplňuje, že tým CAS-CSIRT přijímá také upozornění od autorských svazů nebo společností na porušení autorských práv. „Jde o stahování a následné šíření multimediálních souborů, převážně filmů prostřednictvím P2P sítí Bittorent.“

„Správce, kterého na porušení autorských práv upozorníme, musí pracovníka přihlášeného k zařízení poučit, že se dopustil nepřípustného jednání. Technickým zásahem se zamezí, aby se počítač mohl k sítí Bittorent dále připojovat,“ vysvětluje Jiří Janáček z Fyziologického ústavu AV ČR. V roce 2022 bylo zaznamenáno v sítích Akademie věd ČR celkem 48 takových případů. Ve všech šlo o neoprávněné šíření filmů – a i když je jejich samotné stažení legální a lze ho chápat jako tzv. volné užití, následné šíření již odporuje autorskému zákonu.

Jiří Janáček a Miroslav Indra (CC)

Miliony záznamů denně, terabajty dat
Tým CAS-CSIRT se zabývá také zpracováním a analýzou událostí za uplynulá období. Využívá k tomu databáze Mentat a Warden, matematickou podporu zajišťuje oddělení biomatematiky Fyziologického ústavu AV ČR.

Mentat slouží monitoringu sítí. Umožňuje příjem, ukládání, analýzu a zpracování velkého množství událostí, které pocházejí z nejrůznějších zdrojů. „Ze systému získáváme informace o incidentech nejen v síti CESNET, ale zejména o událostech souvisejících se síti Akademie věd,“ pokračuje Miroslav Indra. 

Warden zprostředkovává rychlé sdílení a využívání informací o anomáliích. Data ale uchovává jen krátkou dobu. Denně se tak musejí archivovat na tři miliony záznamů. „Velkou výhodou je fulltextové vyhledávání. Data, která jsme sesbírali za dva roky, totiž zabírají okolo osmi terabajtů dat,“ upozorňuje Jiří Janáček. Z databáze lze vypisovat informace o útocích, zkoumat jejich zdroje a určit nechráněné nebo napadené počítače. „Ze zdrojových databází navíc vytváříme i dílčí pro sítě Akademie věd, Českého vysokého učení technického v Praze a Univerzity Karlovy.“

Válka na Ukrajině, volby i úmrtí britské královny
Počet incidentů významně souvisí i s děním ve světě. Jak poukazuje Miroslav Indra, čím neklidnější je situace, tím větší neklid panuje i na internetu: „V minulém roce mezi události, které byly ‚turbulentní‘ také z hlediska počítačové bezpečnosti, respektive počtu zaznamenaných incidentů, patřilo zejména zahájení vojenských akcí na Ukrajině, komunální volby nebo, pro někoho možná překvapivě, úmrtí královny Alžběty II.“

Od 1. ledna 2022 do 31. prosince 2022 sítě CESNET zaznamenaly celkem 105 039 incidentů. Počet událostí přitom výrazně narostl v prvním čtvrtletí loňského roku. „Zvýšenou aktivitu v prvním čtvrtletí přičítáme ruskojazyčným haktivistickým skupinám Killnet a Anonymous Russia. Úřad pro kybernetickou a informační bezpečnost ve své Zprávě o stavu kybernetické bezpečnosti ČR za rok 2022 uvádí, že útoky obou skupin téměř jistě souvisely i českou s podporou Ukrajiny,“ doplňuje Miroslav Indra.

Studie týmu CAS-CSIRT navíc ukázala, že mnohé incidenty způsobují napadené a „infikované“ počítače v lokálních sítích Akademie věd ČR. „V poměru k intenzitě útoků můžeme ale škody považovat za zanedbatelné. Svědčí to o dobré úrovni bezpečnosti našich sítí,“ uzavírá Miroslav Indra a kolegům a kolegyním připomíná, aby i přesto dbali na dobře zabezpečený počítač firewallem a na pravidelnou aktualizaci antivirového programu i dalšího softwaru: „Důležité je, abychom nepodceňovali potenciální nebezpečí a nezapomínali na průběžnou kontrolu činnosti počítače a jeho pravidelné zálohování. Musíme být také obezřetní při otevírání e-mailových příloh, návštěvách podezřelých webových stránek nebo při přístupu ke sdíleným adresářům.“

Text: Luděk Svoboda, Divize vnějších vztahů SSČ AV ČR
Foto: Shutterstock; Jana Plavec, Divize vnějších vztahů SSČ AV ČR

Text a fotografie označená CC jsou uvolněny pod svobodnou licencí Creative Commons.

Přečtěte si také

• Akademický sněm: sporné body nového zákona o výzkumu se musejí ještě projednat
• Petr Baldrian: Grantová agentura ČR má za sebou pořádný kus cesty
• AMULET se zaměří na vývoj multiškálových materiálů, získal téměř půl miliardy
• Do češtiny přeložený cestopis z 10. století odkrývá málo známou minulost
• 10. ročník soutěže Věda fotogenická: železo, dračí krev a broučí predátor
• Aby data neskončila v šuplíku. Český sociálněvědní datový archiv slaví 25 let
• Lasery, města i léčiva. Konference o Strategii AV21 ukázala šíři programů
• Pracoviště představila na Týdnu Akademie věd zajímavosti z vědy a výzkumu
• Program PRAK spustil druhé kolo přihlášek, podpoří uplatnění dalších výzkumů
• Oslava 70 let Ústavu termomechaniky se nesla ve znamení energie a vzpomínek