Jak se bránit hackerům

Pro správce webu je to den jako každý jiný - sedíte za klávesnicí, pracujete, a náhle zazvoní telefon: „Nefunguje web, nedělali jste s tím něco?“ Uděláte pár jednoduchých testů a opravdu, chyba není v připojení. Podíváte se na jiné servery a zjistíte, že výpadek postihl i některé další. To vypadá na větší problém! A v tu chvíli se rozezní telefon znovu. Volá firma, která se stará o vaše servery: „Jedná se o útok, pracujeme na protiopatření.“

Takhle vypadal minulý týden začátek pracovního dne v největších internetových portálech v ČR. V pondělí nebyly dostupné webové stránky největších deníků. Výpadky postihly především tituly vydavatelství Mafra a Economia (iDnes.cz, iHNed.cz a další), v menší míře i vydavatelství Mladá fronta (například Živě.cz). O den později byl podobným způsobem napaden a na několik desítek minut vyřazen z provozu i největší tuzemský portál Seznam.cz. Ve středu se hroutily weby bank a některých státních instituce, paradoxně například Národního bezpečnostního úřadu, ve čtvrtek stránky mobilních operátorů.

Nešlo o žádné vrcholné dílo hackingu. Podobné útoky nevyžadují nějakou hlubokou znalost nebo IT dovednost, nevyužívají žádných „bezpečnostních děr“ ani zranitelností kdesi hluboko v operačním systému. Je to „jenom“ velký počet požadavků na server - v případě zmíněného útoku na česká média byl provoz cca desetinásobný oproti normálu.

Vypátrat pachatele je velmi obtížné. Není totiž problém „podvrhnout“ adresu odesilatele, takže útok může být ve skutečnosti veden odjinud, než se podle všech příznaků zdá. Existují určité indicie, například zvýšený tok z jedné sítě do jiné, které v tomto konkrétním případě naznačují, že atak mohl přijít z napadených počítačů v Rusku, ale s jistotou nelze v takovém případě tvrdit nic. Stejně tak jsou na vodě postavené odhady počtu použitých počítačů nebo velikosti skupiny, která za útoky stojí - technicky je zjistitelné pouze to, že tok požadavků byl zhruba desetinásobný oproti normálu. Například na server iHNed.cz přicházelo 400.000 požadavků každou sekundu.

Obrana proti útokům typu DDoS je možná, ale není stoprocentní. Preventivní ochrana je založená na několika úrovních. Ta nejjednodušší, účinná proti poměrně primitivnímu útoku typu DoS (vysvětlení níže), spočívá v zablokování přístupu z útočníkova počítače. Moderní routery (stroje, které se starají o přeposílání dat od návštěvníka k serveru a zpět) dokáží takový útok automaticky rozpoznat na základě statistické analýzy, a pokud zjistí, že z nějaké adresy jde nezvykle velký počet požadavků, mnohonásobně přesahující běžný provoz, zablokují z této adresy přístup. Stejná obrana je i v moderních webových serverech. Bohužel, útok pár dobrovolníků odstínit jde, ale u masové akce, jakou je koordinovaný útok DDoS, na němž se mohou koordinovaně podílet desítky tisíc počítačů ovládnutých hackery, je to složitější.

Co je DoS, DDoS?Útok DoS (z anglického Denial of Service - „odepření služby“) si lze představit jako zahlcení serveru požadavky. Serveru vyřízení každého z nich (na načtení webové stránky, obrázku atd.) nějaký čas trvá, a pokud je požadavků velké množství, nestíhá je obsloužit.  Útočník při útoku DoS posílá stovky takových požadavků za sekundu. Obrana je snadná - stačí zablokovat požadavky od daného útočníka. Druhá verze, nazývaná DDoS (Distributed DoS - distribuovaný DoS), využívá k útoku více počítačů naráz. U masivních útoků to jsou desítky tisíc počítačů, které posílají velké množství požadavků na cílový server, a takovou zátěž nejsou schopny zpracovat nejen servery, ale většinou ani další zařízení, které obsluhují síťový provoz. Výsledkem pak je, že cílový server pro většinu uživatelů není vůbec dostupný.

V případě DDoS útoků vedených z území jiného státu (nejčastěji přicházejí z Číny a Ruska), bývá někdy řešením zablokování přístupů z celé země. Stalo se to v dubnu 2007, kdy bylo podobnému útoku vystaveno Estonsko. Trval s přestávkami celkem 22 dní a ochromil tísňová telefonní čísla, státní správu i bankovnictví. Estonská vláda nakonec sáhla k radikálnímu řešení - odpojila Estonsko od okolního světa. Z útoku Estonci oficiálně obvinili Rusko, motivací byla podle nich pomsta za odsunutí památníku Rudé armády z centra Tallinu.

Další úrovní preventivní obrany je posílení výkonů serveru. Taková obrana je účinná proti menším útokům, ale bohužel - intenzita útoků v posledních letech roste a infrastruktura, která by zvládala takový nápor, je velmi drahá a její pořizování neefektivní. Je běžné, že firmy své servery a sítě dimenzují na dvoj či trojnásobek běžného provozu, aby zvládly výkyvy či excesivní nárůst návštěvnosti (zažívají například zpravodajské servery při výjimečných událostech; letos podobný nárůst návštěvnosti vyřadil z provozu web Václava Klause poté, co Klaus oznámil, že informace k amnestii jsou k dispozici na jeho stránkách). Ovšem udržovat infrastrukturu, připravenou na desetinásobný nárůst návštěvnosti, znamená, že udržujete infrastrukturu, která je po většinu času využitá pouze z desetiny.

Jistou výhodou je, že webový server zpravidla není jeden stroj. U malých webů tomu tak bývá, ale například weby velkých portálů či médií jsou obsluhovány řadou strojů, které posílají obsah návštěvníkům. Před těmito servery jsou zapojeny tzv. „load ballancery“, které se starají o rovnoměrné rozdělení přicházející zátěže a požadavky předávají tak, aby všechny servery byly vytížené rovnoměrně. Zátěž pomáhají zpracovat i takzvané proxy servery - jejich princip spočívá v tom, že nesestavují celou stránku, což nějaký čas trvá; místo toho si ukládají výsledky nejčastějších požadavků do paměti a jsou tak schopné zájemci poslat velmi rychle požadovaná data. Pomoci proti útokům DDoS tedy může posílení load ballancerů a proxy serverů.

Ve chvíli, kdy útok probíhá, sestává obrana z několika opatření, které většinou provádí poskytovatel konektivity v kooperaci s cílem útoku. Poskytovatel v takové chvíli dle svých možností přesměruje provoz přes záložní linky a posílí serverovou kapacitu. Load ballancery a firewally, běžně používané pro několik serverů najednou, vyhradí pouze pro provoz na napadeném serveru. Zároveň se snaží  detekovat zdroj útoku a zablokovat jej. V případě útoků ze zahraničí odpojí zahraniční linky. Během útoků minulý týden provideři sahali k většině těchto opatření.

Na straně provozovatele serveru je možné odpojit některé časově náročné části webu, posílat zákazníkům třeba ořezanou verzi pro mobilní telefony, nebo pouhou jednoduchou zprávu s textovým oznámením o nedostupnosti (to dělal například Seznam.cz). Cílem je urychlit odbavování požadavků a uvolnit tak kapacity serveru pro zvládnutí velkého počtu požadavků. Některé typy útoků jsou ale vedené tak, že zablokují server bez ohledu na to, jak rychle odpovídá.

Často se jako možná obrana zmiňují takzvané CDN, což jsou specializované sítě počítačů pro doručování obsahu (Content Delivery Network). Taková síť využívá mnoha datových center po celém světě, mezi nimiž rozkládá zátěž. Je to řešení, po kterém sahají velké společnosti (Microsoft, Google, Amazon a další) či sociální sítě (Facebook, Twitter), které musí zvládat obrovský datový provoz. Síť pomůže zvládnout velký datový tok, ale v případě DDoS útoku nemusí být vůbec účinná - útočník může vést útok na takovou část systému, která není obsluhována CDN. Je to řešení, které je pro určitý typ serverů vhodnější a mohlo by pomoci (třeba velké databáze typu Seznamu), a u jiných by jejich efekt nemusel být tak výrazný.

Další možnou obranou je využití cloudových služeb, které dokáží v případě zvýšené zátěže plynule škálovat svůj výkon a spouštět další a další servery. Menší a střední útoky mohou být tímto způsobem eliminovány, ovšem existují útoky, proti nimž ani cloudové řešení nepomůže.

Útoky DDoS jsou součástí digitálního světa. V zahraničí jim čelily banky, Mastercard a další společnosti zaměřené na bankovní operace, či zpravodajské servery New York Times a Wall Street Journal. Pachatelé obvykle zůstávají v anonymitě. Určitou výjimkou jsou akce sdružení Anonymous, které provedlo třeba zmíněný útok proti serverům platebních společností Mastercard, Visa a PayPal.  Šlo tehdy o „odvetu“ za to, že firmy zablokovaly platby portálu WikiLeaks.

Vyhnout se těmto akcím nelze, jejich počet a intenzita roste a zatím neexistuje žádná spolehlivá ochrana, která by zároveň drasticky neomezila fungování samotného internetu. 

Autor je programátor.

Více se o tématu dočtete v novém Respektu.