Dostal jsem poměrně unikátní nabídku účastnit se kybernetického cvičení NATO Cyber Coalition 2013. Jeho cílem bylo prověřit rozhodovací procesy a procedury uvnitř NATO, ale i komunikaci s dalšími orgány, zejména na národní úrovni. Umí všichni správně zareagovat, když se objeví problém? Jak dlouho trvá reakce? Kde se zasekne komunikace a kde je možné věci zjednodušit? To byly základní otázky, na které mělo dát cvičení odpovědi.
Byl jsem přizván jako jeden ze čtyř novinářů, kteří se letos měli v Česku „hry“ účastnit. Samozřejmě jsem hned souhlasil, taková nabídka nepřichází každý den. Byl jsem hned upozorněn, že naše účast je velkým experimentem. NATO si sice uvědomuje, že komunikace s vnějším světem a reakce veřejnosti je v podobných vypjatých situacích zásadní, zároveň ale naše účast nechává nahlížet zvědavce tam, kam se dřív podívat nemohli.
Cvičení samotné probíhalo v běžný pracovní týden od pondělí do čtvrtka. Náš úkol byl poměrně jednoduchý: jednat tak, jak bychom jednali v běžné situaci. Neupravujte si program, nedělejte nic výjimečného, když máte jít na pracovní oběd, jděte na oběd. Zareagujete později tak, jak byste to dělali mimo cvičení,
zněly úvodní instrukce.
Názvy vymyšlené, scénáře reálné
Kvůli cvičení byly vymyšleny nové státy, organizace a společnosti. To aby se nikdo necítil dotčený tím, že se jeho jméno objevilo v souvislosti s útoky, bezpečnostními incidenty či třeba terorismem.
Situace na začátku „hry“ byla následující: V oblasti zvané Cerasia probíhá humanitární krize způsobená ozbrojenými konflikty. Objevují se zde klasické prvky: humanitární tábory, síly NATO zajišťující bezpečnost a ozbrojenci nepřející těmto aktivitám a podnikající záškodnické akce.
Přestože jde o smyšlený scénář, bere NATO cvičení naprosto vážně a jednotlivé scénáře vycházejí z pravdivých základů a událostí, které se ve skutečnosti staly.
Aby mohly jednotlivé složky koordinovat svou činnost, vznikla na místě komunikační síť, do které je zapojené jak NATO, tak i mezinárodní a nevládní organizace. Místní mocnosti ovšem mají vlastní kvalitní odborníky v oblasti kybernetického boje, kteří jsou navíc podporováni fiktivními světovými velmocemi.
V takto nastaveném prostředí se pak procvičovaly jednotlivé scénáře. Do nich bylo zapojeno vedení NATO a národní složky jednotlivých zemí. V Česku to bylo Ministerstvo obrany, NBÚ, CZ.NIC, ČTÚ, Policie ČR, BIS, ale třeba i významní ISP. Jako novináři jsme byli součástí některých scénářů a našim úkolem bylo reagovat na přicházející informace, komunikovat s ostatními a případně připravovat články informující čtenáře o aktuálním dění. Ty samozřejmě doopravdy nevycházely, ale vracely se zpět, aby bylo simulováno, co a jak by se v reálné situaci dostalo ke čtenářům a jak by dále museli reagovat zúčastnění hráči.
Bezpečnostní díry i incidenty
Scénářů bylo celkem devět, jako novináři jsme se účastnili jen menší části z nich. Viděli jsme tedy skutečně jen malou špičku ledovce – informace, které by pronikly na veřejnost.
Pro vaši představu se cvičila například také analýza malware, který byl nalezen na souborovém serveru ozbrojených sil. Rovněž byla vytvořena virtuální síť se servery, na kterých byly hledány bezpečnostní problémy nebo byl prověřován průnik do centrální komunikační sítě NATO.
Zajímavé bylo také cvičení zaměřené na právní oddělení jednotlivých institucí. V jednom ze scénářů byly při zkoumání průniku do sítě zjištěny konkrétní IP adresy a bylo potřeba zjistit, za jakých okolností budou ISP schopni dodat informace o konkrétních serverech. Mimochodem byly použity reálné rozsahy českých ISP, kteří se na cvičení podíleli.
My jsme se účastnili scénářů, kde byly objeveny vážné zranitelnosti ve firewallu a velmi rozšířeném tabletu (obojí smyšlené), který údajně využívají mnozí uživatele zacházející s citlivými daty. Šlo o zranitelnosti nultého dne (0. day attack), které mohly potenciálně ohrozit tyto uživatele a jejich data. Kromě řešení jejich problémů se cvičila komunikace s výrobci a dodavateli, jejichž úkolem bylo rychle na podobný problém zareagovat, vydat doporučení či zařídit aktualizaci.
V těchto scénářích šlo o prověření kvality smluv a vyzkoušení podmínek pro řešení podobných situací. Samozřejmě není možné stoprocentně vyloučit všechna rizika, ale je dobré mít předem vyzkoušené možnosti k řešení. Daleko vepředu je v tomto ohledu automobilový průmysl, kde probíhají svolávací akce, konkrétní série automobilů jdou do servisu a mění se na nich vadná součástka.
Pro zajímavost, zranitelnost ve firewallu dovolovala v určité konfiguraci vyvolat přetečení paměti a vyvolat restart zařízení. V případě tabletu bylo možné upraveným kabelem prolomit bezpečnostní opatření.
Pár dní před zahájením cvičení se velmi podobná zranitelnost objevila u zařízení Nexus. Tolik k reálným základům jednotlivých scénářů. Tyhle věci se opravdu dějí.
Dostávali jsme tiskové zprávy, bezpečnostní analýzy, dokumentaci, interní informace i různé tipy od „nejmenovaných zdrojů“. Přicházely například zprávy od nezávislých bezpečnostních laboratoří:
Successful exploitation of the IPsec VPN Crafted ICMP Packet Denial of Service Vulnerability, SQL*Net Inspection Engine Denial of Service Vulnerability, HTTP Deep Packet Inspection Denial of Service Vulnerability, DNS Inspection Denial of Service Vulnerability, and Clientless SSL VPN Denial of Service Vulnerability may result in a reload of an affected device, leading to a denial of service (DoS) condition.
Případně také tiskové zprávy o nefunkčnosti klíčových technologií provozovaných NATO. Například systému pro zásobování jednotek palivem:
Belgium is currently working to restore a control system on its portion of the NATO Pipeline System (NPS), after a malfunction was discovered late last week. The NPS currently provides fuel delivery for the NATO NISFOR humanitarian mission in Cerasia, a critical service for the operation.
A spokesperson for the the Belgian Pipeline Organization (BPO) suggested that the malfunction may be the result of a cyber attack. „Our initial investigation has led us to believe that all components of the physical system are functioning as normal, so we are currently focusing on the software components that drive it.“
Psal jsem si s NBÚ, Ministerstvem obrany, CSIRT.CZ, NIX.CZ a dalšími organizacemi. Ti všichni poskytovali informace o nasazení děravých zařízeních v jejich organizaci a o opatřeních, která zavedli jako reakci na oznámení bezpečnostních chyb.
Hra s reálným základem
NATO provádí různá cvičení pravidelně a důkladně při nich cvičí reakce na humanitární krize, teroristické útoky a další problémy. Takovým je i cvičení Cyber Coallition, zaměřené speciálně na kybernetickou bezpečnost. Útoky na kybernetický prostor se totiž v poslední době stávají běžnou součástí válečných konfliktů. V případě cvičení jde sice jen o hru (jak tomu říkají sami organizátoři), ale tato hra má až nepříjemně reálné základy a velmi rychle se může stát realitou.
Ze strany organizátorů je celá věc brána smrtelně vážně a na kvalitu cvičení se klade velký důraz. Zajímavé je, že objevení chyby je považováno za pozitivní výsledek. Od toho cvičení přece je: odhalit chyby, dokud je to jenom „hra“.
Součástí této reality je laická i odborná veřejnost, která také chce a potřebuje být včas informována. Zranitelnost rozšířeného firewallu (například) musí být velmi rychle opravena a uživatelé (správci) se o ní musí včas dozvědět z odborných médií, od výrobců, dodavatelů a dalších relevantních zdrojů.
Je potřeba předcházet celé řadě dobře známých problémů, jako jsou protichůdné informace, neověřitelné údaje, mlčení ze strany důležitých orgánů, pomalé pronikání informací skrze bariéry kolem národních organizací a podobně. Především při takových cvičeních máme šanci naučit se poskytovat rychlé a věcné informace.