Pracoviště CSIRT.CZ bylo v polovině prosince roku 2010 Ministerstvem vnitra prohlášeno za Národní CSIRT České republiky a za jeho provozovatele určilo sdružení CZ.NIC, správce české národní domény. Stalo se tak podpisem Memoranda mezi MV ČR a sdružením CZ.NIC. Pracoviště CSIRT.CZ bylo vybudováno a v letech 2008 – 2010 provozováno sdružením CESNET v rámci plnění grantu Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky (VD20072010B13), který financovalo Ministerstvo vnitra České republiky, a který byl řešen od roku 2007 do roku 2010. Od podpisu Memoranda do ukončení grantu bylo cca 14 dní. 14 dní, v průběhu kterých musel být definován a nastartován plán přesunu ...

Úvod

Týmy označované jako vládní a národní mají v bezpečnostní infrastruktuře CERT/CSIRT týmů zcela specifickou roli. Týmy označované jako vládní jsou obvykle určené pro dohled nad sítěmi státní správy, samosprávy a tzv. kritické infrastruktury¹ země. Ve svém poli působnosti jsou chápány jako týmy interního typu – s možností a povinností v případě problému zasáhnout.

Národní týmy v prostředí svých zemí obvykle plní především roli národního PoC (Point of Contact), místa pro sdílení informací s ostatními světovými týmy a se subjekty a organizacemi země své působnosti. Na základě znalostí světové infrastruktury a vazeb udržovaných v domácím prostředí je primární rolí týmu efektivně nastavit a zprostředkovat komunikační kanály mezi zainteresovanými subjekty, například v okamžiku řešení vážného, často plošného, bezpečnostního incidentu, který ohrožuje počítačovou infrastrukturu země. Je nutné zdůraznit, že národní CERT/CSIRT není primárně určen k fyzickému řešení konkrétních zaznamenaných problémů (incidentů).

Ve světě je provozováno několik týmů, které jsou označené jako vládní nebo národní a vykonávají i roli toho druhého. Obdobný model je v současné době použit v České republice – tým CSIRT coby Národní CSIRT ČR plní, dočasně dle Memoranda do poloviny roku 2012, také roli vládního týmu.

Rok 2011 obecně

Na začátku roku 2011 jsme se soustředili na zajištění tří klíčových oblastí – udržení kontinuity provozu pracoviště CSIRT.CZ a jeho základní služby řešení a koordinace řešení bezpečnostních incidentů, převod technologického zázemí a agendy pracoviště od sdružení CESNET, a informování národních i mezinárodních struktur o změně mandátu týmu CSIRT.CZ na Národní CSIRT České republiky (navíc s časově omezenou rolí vládního CSIRT).

Udržení kontinuity provozu, transfer agendy a přesun technologického zázemí se povedlo provést zcela bezvýpadkově díky zkušeným pracovníkům na obou stranách. Proces převodu byl úspěšně ukončen v červnu 2011. Na setkání bezpečnostních týmů z celého světa, které proběhlo v lednu 2011 v Barceloně (Španělsko) jsme stručně informovali o aktuálním stavu budování bezpečnostní infrastruktury v České republice, změně provozovatele, ale především prohlášení CSIRT.CZ za Národní CSIRT České republiky.

Dále jsme se v roce 2011 věnovali především definování role a cílů CSIRT.CZ pro následující období, udržení a posílení pozice CSIRT.CZ v národní i mezinárodní infrastruktuře, a samozřejmě provozem a rozvojem služby řešení a koordinace řešení bezpečnostních incidentů (tzv. incident handling a incident response).

Tým CSIRT.CZ má v současné době oficiálně čtyři členy, kteří zajišťují provoz týmu a reprezentaci týmu ve světě. Na chodu týmu se ale podílí řada dalších zaměstnanců sdružení CZ.NIC – správci sítí a služeb, specialisté na právní otázky, odborníci na problematiku bezpečnosti, výzkumní a vývojoví pracovníci a další.

Řešení a koordinace řešení bezpečnostních incidentů V roce 2011 jsme vyřídili celkově 776 nahlášených/detekovaných bezpečnostních incidentů. Je nutné si uvědomit, že toto číslo z hlediska globálního internetu o stavu zabezpečení sítí a služeb v ČR nic moc nevypovídá, protože týmu CSIRT.CZ jsou reportovány pouze incidenty speciálního charakteru – přetrvávající, opakující se, ty, které nikdo neřeší, nechce řešit, nebo v případě, kdy se stěžovatel není schopen dohodnout s původcem incidentu nebo osobou v jejíž kompetenci odstranění problému je a pod. Tyto incidenty lze označit za „vrchol ledovce“, jsou to incidenty, které se z různých důvodů ocitly ve vakuu a není žádná jiná autorita, která by se jejich řešení ujala.

Pro celkové dokreslení, co proces řešení a koordinace řešení bezpečnostních incidentů v CSIRT.CZ obnáší, jsme se rozhodli zveřejnit následující čísla. Celkově bylo na adresu pro hlášení bezpečnostních incidentů abuse@csirt.cz zasláno cca 1655 zpráv. Za tohoto počtu bylo jako tzv. spam označeno automaticky cca 628 zpráv, v průběhu ručního zpracování bylo jako spam ohodnoceno dalších cca 199 zpráv. Zbytek, tzn. cca 1012 zpráv mělo korektní obsah i formu a ve výsledku představuje oněch 776 bezpečnostních incidentů. Rozdíl v počtu přijatých zpráv (1012) a počtu bezpečnostních incidentů (776) je způsoben tím, že často přijde hlášení týkající se stejného bezpečnostního incidentu z více než jednoho zdroje najednou. Počet zpráv odeslaných v rámci procesu řešení bezpečnostních incidentů je cca 1200.

Statistiky z provozu služby řešení bezpečnostních incidentů jsou generovány pravidelně a jsou veřejně dostupné zde Ve statistice označujeme za bezpečnostní incident jednu konkrétní událost, která nastala nebo se dotkla sítí provozovaných v ČR, a která byla ohlášena týmu CSIRT.CZ, např.:

• jedna zveřejněná phishingová stránka
• zavirovaný stroj (síť), který je zdrojem spamu
• jeden stroj se zjevně narušenou bezpečností (hack)
• jeden stroj, který je zdrojem DOS útoku, scanu

Tato událost (bezpečnostní incident) se vždy vztahuje na jednu konkrétní IP adresu, v ojedinělých případech na síť menšího rozsahu, ve které se problém rozšířil na okolní počítače.

CSIRT.CZ využívá při řešení nahlášených bezpečnostních incidentů své dobře nastavené vazby s provozovateli sítí a služeb a stávající legislativu. Z uveřejněné statistiky je vidět, že i použití pouze metod založených na komunikaci, pomoci a spolupráci, je CSIRT.CZ při řešení velice úspěšný.

Skladba zpracovaných incidentů je obvyklá jako v předchozích letech – hlavní podíl mají webové zranitelnosti a nevyžádaná pošta, tedy hlavní ingredience phishingu. Ten ale často není možné detekovat a sumarizovat jako kompletní případ, a jednotlivé části se do agendy dostávají zvlášť, jako spam, trojské koně, malwarem napadené koncové stanice nebo samostatné phishingové stránky.

Zaznamenáváme pokles sociálně inženýrského phishingu, snažícího se vylákat soukromé informace, ten je ale pravděpodobně nahrazen menším množstvím nebezpečnějšího spear phishingu, založeného na datech ze sociálních sítí (kam se také z běžného e-mailu posouvá a nedostává se tedy do agend veřejných bezpečnostních týmů), a také technického phishingu, který pouze láká uživatele na stránku s trojským koněm pro získání dalšího uživatelského PC do botnetu.

Proti předchozím letům z agendy prakticky mizí klasické viry/wormy a je zřejmý úbytek spamu – vzhledem k nízkým číslům ale nemůžeme mluvit o trendu. Důvody budou pravděpodobně dva – princip fungování týmu se dostává do stále širšího povědomí a do agendy se tedy dostávají spíše incidenty závažnějšího charakteru, a spamu sice neubývá, ale je už dnes považován prakticky za internetový šum a často není vůbec hlášen. Obzvláště ne vrcholových týmům.

Ve statistice nově obsadila velké místo položka IDS – v rámci posunu k proaktivním službám začal tým CSIRT.CZ ve spolupráci se sdružením CESNET detekovat pokusy o skenování z českých sítí. Obecně skenování a slovníkové útoky (tedy hledání potenciálních cílů) zůstávají na obvyklé výši. V kategorii nezařazených (Other) se objevuje také řádka upozornění na zranitelnosti ve SCADA systémech, což byly jedny z nejzajímavějších kauz, které jsme řešili. Dalším zajímavou kauzou byl bezpečnostní incident typu botnet, kdy o spolupráci a zajištění důležitých informací žádal prostřednictvím Ministerstva vnitra úřad FBI² apod.

Osvětová činnost a (mezi)národní spolupráce

Osvětová činnost, národní a mezinárodní spolupráce jsou nedílnou součástí činnosti každého pracoviště typu CERTS/CSIRT, obzvláště těch s národním nebo vládním mandátem, které hovoří za danou zemi na příslušných mezinárodních fórech a jsou také prvním logickým kontaktním místem pro získání informací o stavu bezpečnosti ICT dané země.

V rámci osvěty jsme se s příspěvky na téma činnost CERT/CSIRT týmů, Národní CSIRT ČR a zkušenosti z provozu týmu typu CERTS/CSIRT zúčastnili několika konferencí a workshopů.

V červenci 2011 jsme uspořádali pilotní školení „Světem Internetu a domén“. Školení je určené zaměstnancům státní správy a členům bezpečnostních složek, zejména složkám Policie ČR. Plníme tím závazek vzdělávat a spolupracovat s bezpečnostními složkami ČR a státní správou na poli zlepšování bezpečnostní situace v sítích provozovaných v ČR. Speciální pozornost je v kurzu věnována praktickým záležitostem, které by měly pomoci (zejména) vyšetřovatelům Policie ČR orientovat se v problematice základních typů počítačové kriminality a naučit je obracet se přímo na konkrétní subjekty, které mohou pomoci při jejich práci. Účastníky pilotního kurzu byli členové BIS (Bezpečnostní Informační Služba) a sloužil především k získání zpětné vazby od účastníků, kteří nám v závěrečné diskusi poskytli celou řadu cenných námětů pro zlepšení obsahu jednotlivých přednášek z oblasti organizace Internetu, provozu sítí a služeb, práva apod.

Spolupráce s bezpečnostními složkami probíhala také v oblasti řešení bezpečnostních incidentů a v oblasti výměny know-how.

V oblasti (mezi)národní spolupráce jsme v roce 2011 plynule pokračovali v již předchozím provozovatelem nastartovaných činnostech. V prostředí ČR to představuje především Pracovní skupina CSIRT.CZ, Pracovní skupina E-CRIME, spolupráce s bezpečnostními složkami a samozřejmě spolupráce s akademickým prostředím reprezentovaným sdružením CESNET.

Pracovní skupina CSIRT.CZ, jejímiž členy jsou zástupci významných ISP, bank, provozovatelé služeb, ČTU, MV ČR, MO ČR, NIX, CESNET, BIS, PČR a další, se v roce 2011 setkala jednou – 20. dubna 2011. Na tomto setkání byli členové informováni o aktuálním stavu budování bezpečnostní infrastruktury v ČR, stavu převodu CSIRT.CZ od sdružení CESNET ke sdružení CZ.NIC a byly prodiskutovány plány na další činnosti Pracovní skupiny. Dále proběhla diskuse nad materiálem „Strategie ČR pro oblast kybernetické bezpečnosti", kterou předložil ředitel odboru kybernetické bezpečnosti MV ČR Aleš Špidla.

V rámci mezinárodní spolupráce se prohlášení týmu CSIRT.CZ za Národní CSIRT ČR otevřela cesta do skupiny CERT/CSIRT týmů s národním nebo vládním mandátem, kterou zastřešuje CERT/CC³. Poprvé jsme se setkání této skupiny zúčastnili dne 19. června 2011 ve Vídni (Rakousko).

Ministerstvo vnitra svým prohlášením pracoviště CSIRT.CZ za Národní CSIRT České republiky a podpisem Memoranda odstranilo problém se vstupem CSIRT.CZ do akreditačního procesu u úřadu Trusted Introducer⁴ – úřad v roce 2008 po přidělení statusu „listed“ varoval před žádostí o akreditační proces z důvodů nejasné situace v České republice na poli budování a provozování národního/vládního pracoviště CSIRT. O vstup do akreditačního procesu bylo tedy možné požádat až v roce 2011. Proces byl nastartován v červenci a úspěšně jsme jej dokončili v říjnu 2011. Teď je na řadě proces získání členství v organizaci FIRST⁵, do kterého vstupujeme právě v těchto dnech ...

CSIRT.CZ, který byl mezinárodní infrastrukturou vnímán již od svého vzniku jako tzv. „v podstatě národní CSIRT tým“ (de facto national), se stal za Českou republiku už v roce 2010 spolupracovníkem organizace ENISA. V roce 2011 jsme na tuto spolupráci navázali – zúčastnili jsme přípravy cvičení Cyber Atlantic 2011 (které proběhlo 3. listopadu v Bruselu) a cvičení samotného. Také jsme se podíleli ve spolupráci s ENISA a Europol na organizaci mezinárodního workshopu zaměřeného na internetovou bezpečnost - 6th CERT/CSIRT workshop, který proběhl ve dnech 3. a 4. října 2011 v Praze.

V roce 2011 jsme byli vyzváni k účasti v expertní pracovní skupině ENISA zabývající se spoluprací mezi světem orgánů činných v trestním řízení (LEA, Law Enforcement Authorities) a světem CERT/CSIRT týmů v oblasti boje proti kyberkriminalitě. Výsledkem práce této expertní skupiny bude dokument mapující zkušenosti získané od existujících týmů na obou stranách (LEA a CERT/CSIRT), sada doporučení a především podklad pro další práci. Dokument bude zveřejněn na stránkách ENISA.

V listopadu 2011 jsme se aktivně zúčastnili ještě jedné zajímavé akce – cvičení SISE 2011. Toto cvičení uspořádal tým CSIRT.SK (vládní CSIRT Slovenska) s cílem ověřit schopnost spolupráce různých subjektů na Slovensku a požádal týmy CSIRT.CZ a CESNET-CERTS o spolupráci a zaujmutí role tzv. hráčů. Úkolem hráčů bylo spolupracovat, komunikovat a reagovat v intencích scénáře na akce ze strany zapojených subjektů.

Plány na rok 2012

V roce 2012 se chceme soustředit na vývoj v oblasti reaktivních a proaktivních služeb a lépe využít externí zdroje dat o detekovaných incidentech dotýkajících se sítí provozovaných v České republice, které nabízí organizace typu ShadowServer⁶, TeamCymru⁷ apod. V této oblasti bychom chtěli využít odborný potenciál našich laboratoří CZ.NIC Labs a již navázanou spolupráci s akademickým sektorem reprezentovaným sdružením CESNET. Předmětem spolupráce bude vyzkoušet na národní úrovni systém pro efektivní sdílení informací o detekovaných hrozbách mezi CSIRT týmy, s jehož vývojem začalo sdružení CESNET v roce 2011.

V oblasti národní a mezinárodní spolupráce budeme pokračovat ve všech činnostech zmíněných výše, tzn. na domácí půdě v rámci Pracovní skupiny CSIRT.CZ a Pracovní skupiny E-CRIME a rýsuje se i spolupráce při budování prvních oficiálních CSIRT týmů v prostředí soukromých komerčních subjektů. V rámci mezinárodních aktivit budeme pokračovat v pracovních skupinách organizace ENISA, zúčastníme se plánovaného cvičení Cyber Europe 2012 a na začátku dubna se budeme organizačně podílet ve spolupráci s TERENA na uspořádání školení TRANSITS II.

Stav v ČR

V současné době jsou v České republice oficiálně úřadem Trusted Introducer konstituovány čtyři týmy typu CERT/CSIRT – CESNET-CERTS, CSIRT-MU, CZ.NIC-CSIRT a CSIRT.CZ. Další funkční tým typu CSIRT, i když není oficiálně napojen na světovou infrastrukturu a konstituován v rámci úřadu Trusted Introducer nebo FIRST, je provozován také Ministerstvem obrany ČR – jedná se o vojenský CSIRT tým určený pro spolupráci s obdobnými týmy v rámci členských zemí NATO.

Výše uvedené samozřejmě neznamená, že v České republice existuje pouze 5 bezpečnostních týmů. Zkušenosti z procesu řešení nahlášených bezpečnostních incidentů ukazují, že ačkoliv v rámci soukromých komerčních organizací a především na půdě poskytovatelů připojení a služeb nejsou CERT/CSIRT týmy oficiálně ustaveny, existují zde oddělení a týmy, které se bezpečností sítí a služeb reálně zabývají a roli CERT/CSIRT týmu de facto plní. Erudici těchto bezpečnostních týmů ale považujeme za velmi vysokou, což reflektuje již zmíněná statistika, která ukazuje relativně malý podíl nevyřešených incidentů a naše zkušenosti z provozu ...

V roce 2011 došlo pro k nás coby Národní CSIRT ČR na úrovni vlády k jedné významné změně. Dne 19. října přijala vláda České republiky usnesení č. 781 o ustavení NBÚ (Národní bezpečnostní úřad) gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. V listopadu 2011 došlo k první schůzi pracovníků NBÚ a CZ.NIC. Obě strany na tomto setkání deklarovaly ochotu ke spolupráci, výměně informací a vzájemné pomoci v procesu budování Vládního CSIRT ČR a při rozvoji bezpečnostní infrastruktury v ČR. Tým CSIRT.CZ (který dle stávajícího mandátu vykonává také roli vládního CSIRT) ve vzniku Vládního CSIRT očekává spolupracujícího partnera na té nejvyšší odborné úrovni. Polem působnosti Vládního CSIRT České republiky by se dle původního záměru definovaného MV ČR měly stát sítě státní správy, samosprávy a kritické infrastruktury ČR.

Závěrem bychom chtěli poděkovat všem organizacím i jednotlivcům, se kterými jsme v průběhu roku 2011 přišli do kontaktu, a kteří byli týmu CSIRT.CZ v procesu řešení bezpečnostních incidentů nápomocni, za vstřícný přístup a spolupráci. Přejeme krásný a úspěšný rok 2012!

Dne 12. ledna 2012 Tým CSIRT.CZ

¹ Kritickou infrastrukturou se rozumí takové systémy a služby, jejichž nefunkčnost (nebo špatná funkčnost) by měla závažný dopad na bezpečnost státu, jeho ekonomiku, veřejnou správu a tím na zabezpečení základních životních potřeb obyvatelstva.
² FBI = Státní úřad pro vyšetřování Spojených států Amerických.
³ CERT/CC je první oficiálně ustanovený týmu typu CERT na světě, ten, který položil základ pro budování této bezpečnostní infrastruktury.
⁴ Trusted Introducer
⁵ First
⁶ nadace Shadowserver je americká nezisková organizace složená z dobrovolníků. Sbírá, sleduje a generuje hlášení o zločinném softwaru, aktivitě botnetů a elektronických podvodech. Snaží se informovat o zkompromitovaných strojích, o útocích a o šíření virů, a tím zlepšit bezpečnost sítě Internet.
⁷ Team Crymu