Na stopě hackerům. O bezpečnost sítí Akademie věd pečuje tým CAS-CSIRT

Moderní sítě jsou pravidelně cílem útoků. Své „zbraně“ ale nasazují naši IT specialisté nejen proti napadení zvenčí – řeší totiž i zranitelnost uživatelských počítačů a serverů uvnitř sítě AV ČR. Čím hackeři a hackivistické skupiny ohrožují sítě Akademie věd a jak s tím souvisí například úmrtí britské královny Alžběty II.?

O internetovou bezpečnost se v Akademii věd ČR starají odborníci ze Střediska společných činností AV ČR, Ústavu teorie informace a automatizace AV ČR a Fyziologického ústavu AV ČR. Tým CAS-CSIRT vznikl v roce 2018 a mezi jeho první úkoly patřilo eliminovat incidenty, jejichž zdrojem byl počítač nebo zařízení ze sítě Akademie věd ČR. „Na incidenty nás upozorňuje tým CESNET-CERTS, který koordinuje jejich řešení v síti CESNET. Do ní patří i naše, akademická,“ vysvětluje Miroslav Indra ze Střediska společných činností AV ČR. Všechny informace k incidentům se zasílají na abuse@cas.cz.

K incidentům typu „nestandardní aktivita“ zařízení uvnitř sítě, tedy například pokusům o neoprávněné připojení k cizím počítačům, přibyla upozornění na malware nebo spamy šířené zevnitř. V současnosti patří mezi řešené problémy i oznámení o různých zranitelnostech síťových zařízení, které zavinila např. jejich nesprávná konfigurace nebo zanedbání aktualizace. Objevují se i stížnosti na pokusy o napadení cizích zařízení strojem z naších sítí. Těchto případů je však málo.

„Vyčistit“ a poučit
Po přijetí informace o incidentu, který má původce uvnitř akademické sítě, se nejdůležitější parametry (IP adresa, cílová adresa, čas a délka trvání události, její popis a stupeň závažnosti) uloží do databázového systému týmu CAS-CSIRT. Následně se dohledá lokální síť, které IP adresa patří. Její správce získá potřebné údaje, aby mohl událost vyřešit – například „vyčistit“ napadený počítač, aktualizovat systém s bezpečnostní slabinou nebo upravit konfiguraci síťového zařízení.

Miroslav Indra doplňuje, že tým CAS-CSIRT přijímá také upozornění od autorských svazů nebo společností na porušení autorských práv. „Jde o stahování a následné šíření multimediálních souborů, převážně filmů prostřednictvím P2P sítí Bittorent.“

„Správce, kterého na porušení autorských práv upozorníme, musí pracovníka přihlášeného k zařízení poučit, že se dopustil nepřípustného jednání. Technickým zásahem se zamezí, aby se počítač mohl k sítí Bittorent dále připojovat,“ vysvětluje Jiří Janáček z Fyziologického ústavu AV ČR. V roce 2022 bylo zaznamenáno v sítích Akademie věd ČR celkem 48 takových případů. Ve všech šlo o neoprávněné šíření filmů – a i když je jejich samotné stažení legální a lze ho chápat jako tzv. volné užití, následné šíření již odporuje autorskému zákonu.

Jiří Janáček a Miroslav Indra (CC)

Miliony záznamů denně, terabajty dat
Tým CAS-CSIRT se zabývá také zpracováním a analýzou událostí za uplynulá období. Využívá k tomu databáze Mentat a Warden, matematickou podporu zajišťuje oddělení biomatematiky Fyziologického ústavu AV ČR.

Mentat slouží monitoringu sítí. Umožňuje příjem, ukládání, analýzu a zpracování velkého množství událostí, které pocházejí z nejrůznějších zdrojů. „Ze systému získáváme informace o incidentech nejen v síti CESNET, ale zejména o událostech souvisejících se síti Akademie věd,“ pokračuje Miroslav Indra. 

Warden zprostředkovává rychlé sdílení a využívání informací o anomáliích. Data ale uchovává jen krátkou dobu. Denně se tak musejí archivovat na tři miliony záznamů. „Velkou výhodou je fulltextové vyhledávání. Data, která jsme sesbírali za dva roky, totiž zabírají okolo osmi terabajtů dat,“ upozorňuje Jiří Janáček. Z databáze lze vypisovat informace o útocích, zkoumat jejich zdroje a určit nechráněné nebo napadené počítače. „Ze zdrojových databází navíc vytváříme i dílčí pro sítě Akademie věd, Českého vysokého učení technického v Praze a Univerzity Karlovy.“

Válka na Ukrajině, volby i úmrtí britské královny
Počet incidentů významně souvisí i s děním ve světě. Jak poukazuje Miroslav Indra, čím neklidnější je situace, tím větší neklid panuje i na internetu: „V minulém roce mezi události, které byly ‚turbulentní‘ také z hlediska počítačové bezpečnosti, respektive počtu zaznamenaných incidentů, patřilo zejména zahájení vojenských akcí na Ukrajině, komunální volby nebo, pro někoho možná překvapivě, úmrtí královny Alžběty II.“

Od 1. ledna 2022 do 31. prosince 2022 sítě CESNET zaznamenaly celkem 105 039 incidentů. Počet událostí přitom výrazně narostl v prvním čtvrtletí loňského roku. „Zvýšenou aktivitu v prvním čtvrtletí přičítáme ruskojazyčným haktivistickým skupinám Killnet a Anonymous Russia. Úřad pro kybernetickou a informační bezpečnost ve své Zprávě o stavu kybernetické bezpečnosti ČR za rok 2022 uvádí, že útoky obou skupin téměř jistě souvisely i českou s podporou Ukrajiny,“ doplňuje Miroslav Indra.

Studie týmu CAS-CSIRT navíc ukázala, že mnohé incidenty způsobují napadené a „infikované“ počítače v lokálních sítích Akademie věd ČR. „V poměru k intenzitě útoků můžeme ale škody považovat za zanedbatelné. Svědčí to o dobré úrovni bezpečnosti našich sítí,“ uzavírá Miroslav Indra a kolegům a kolegyním připomíná, aby i přesto dbali na dobře zabezpečený počítač firewallem a na pravidelnou aktualizaci antivirového programu i dalšího softwaru: „Důležité je, abychom nepodceňovali potenciální nebezpečí a nezapomínali na průběžnou kontrolu činnosti počítače a jeho pravidelné zálohování. Musíme být také obezřetní při otevírání e-mailových příloh, návštěvách podezřelých webových stránek nebo při přístupu ke sdíleným adresářům.“

Text: Luděk Svoboda, Divize vnějších vztahů SSČ AV ČR
Foto: Shutterstock; Jana Plavec, Divize vnějších vztahů SSČ AV ČR

Text a fotografie označená CC jsou uvolněny pod svobodnou licencí Creative Commons.

Přečtěte si také

• Oldřich Tůma: Etický kodex AV ČR reaguje na aktuální výzvy a proměny světa
• Akademický sněm AV ČR zvolil Radomíra Pánka kandidátem na předsedu instituce
• Hodnocením projektů GA ČR získáte větší rozhled v oboru, shodují se panelisté
• Čtyři projekty z AV ČR získaly ERC grant, každý obdrží dva miliony eur
• Akademie věd chce podpořit uplatnění výsledků založením akciové společnosti
• Akademie věd rozšířila podporu pro zaměstnance, pořádá příměstské tábory
• Grantová agentura ČR hledá hodnotitele pro projekty základního výzkumu
• Věda může státu pomoct s řešením recidivy či korupce, ukázalo setkání CETAV
• Nadějní středoškoláci prezentovali vědecké projekty na konferenci Otevřené vědy
• Česká a Saská akademie věd chtějí rozvíjet spolupráci na důležitých tématech