FINANCE.czFINANCE.cz

Vlákno názorů k článku Cvičný útok na sítě EU očima CSIRT.CZ od petr_p - Pokud dokázal veškerou práci (přijímat hlášení, získat doplňující...

  • Článek je starý, nové názory již nelze přidávat.
  • 10. 10. 2012 7:45

    petr_p (neregistrovaný)

    Pokud dokázal veškerou práci (přijímat hlášení, získat doplňující údaje, předat hlašení, kontaktovat dotčené sítě, ověřit nápravu, poslat zprávu nahoru) odvést jediný člověk v CSIRT, pak rozhodně cvičení mělo ke skutečnosti velmi daleko.

    Komunikace se soukromým sektorem je důležitá, ale podle mých zkušeností převážně marná. Pokud e-mail skončí v /dev/null, je to ta lepší možnost, často se vrátí zpráva o nedoručitelnosti. Úplně nejlepší jsou automatické odpovědi líčíci, jak berou bezpečnost vážně a to tak vážně, že vám ani nesmějí odpovědět. A telefon vezme pipina, které když dojde, že nejste zákazník, tak zavěsí a telefon na odpovědnou osobu samozřejmě zveřejnit nesmí.

  • 10. 10. 2012 8:19

    Tomáš Hála (neregistrovaný)

    Hezký den,
    cvičení jsem se účastnil za ACTIVE 24 a mohu Vám potvrdit, že člověk obsluhující národní CSIRT.CZ toho měl tak říkajíc "plné brýle" a v některých případech jsme mu v rámci cvičení s méně důležitou částí jeho agendy kolegiálně pomáhali, aby se z toho nezbláznil (což v reálu samozřejmě není dost dobře možné). Důvodem bylo mj. to, že oproti reálné situaci bylo v rámci tohoto cvičení požadováno, aby veškerá přeshraniční komunikace procházela skrz národní POC. Nám se ale potvrdilo, že je to v praxi neefektivní a jedním z mnoha výstupů tohoto cvičení je proto také potvrzení poznatku, že národní pracoviště je potřeba používat především až jako last-resort kontakt a zejména že v případě krizí je nutné, aby jeho agendu zajišťoval odpovídající počet fyzických osob.

  • 10. 10. 2012 9:51

    BobSinclair (neregistrovaný)

    Dobry den,

    mel bych na Vas jakozto ucastnika dotaz, ktery je uz zminen vyse.
    Jak by se takova obrana organizovala v pripade, ze by byl utok proveden primarne na komunikacni kanaly, servery a sluzby??
    Tj. bez dostupnych skype, ICQ, mobilnich siti, pevnych tlf. siti atd.??

    Uz se nekdo nad timto scenarem zamyslel??

    Diky za odpoved

  • 10. 10. 2012 10:29

    Tomáš Hála (neregistrovaný)

    Hezký den,
    já jsem se toho cvičení účastnil, ale na přípravě scénáře se nepodílím. Nicméně v rámci jednoho cvičení nikdy nenasimulujete všechny možné eventuality. Např. hasiči také vždy cvičí nějaký konkrétní zásah a příště zase jiný. Jinak to ani nejde. Pokud je mi známo, problémy s komunikací mezi jednotlivými participujícími subjekty se v nějaké menší míře testovaly na Cyber Europe 2010, kde ještě nebyl privátní sektor zastoupen. Je také možné, že se na to zaměří některé další cvičení - nevím. Pak by se musel vymyslet podrobný scénář pro takovou situaci. Jak sám píšete, komunikačních možností je mnoho, tedy pokud nefunguje jeden způsob, je potřeba být připraven použít jiný. Cyber Europe 2012 mělo ale jiné cíle, které popsala Andrea Kropáčová v článku a jak zmiňuje, i tak se v praxi otestovala celá řada na sobě nezávislých způsobů komunikace. A mimochodem, kdyby se útočníkům podařilo vyřadit z provozu služby jako ICQ nebo Skype, nebyl by to už jen útok v rámci EU. V tomto cvičení se simuloval velmi rozsáhlý a poměrně dost sofistikovaný útok, který ale cílil výhradně na instituce v EU a podle mého názoru to bylo připraveno velmi slušně. Samozřejmě se při té příležitosti objevilo množství podnětů, jak to příště zlepšit nebo co ještě procvičit a takové podněty se nyní zpracovávají a na jejich základě se bude připravovat cvičení další.

  • 10. 10. 2012 13:03

    euro-septik (neregistrovaný)

    Aha, takze nejdriv "odbornici" vymysli zcestny scenar (jedno zda vice ci mene, dulezite jsou nasledujici iterace) a na zaklade vyhodnoceni se udelaji jeste zcestnejsi scenare budouci a [rekurze ad infinitum] ...

    Jednim z problemu je, ze "BlackHat" uvazuje jinak a ma zkusenosti spis s uspesnymi aktivnimi pruniky nez s ubohym responzivnim "tak to zazaplatujeme takhle a uz se nam sem nikdo nedostane". Dale pak clovek ktery dany system nezna zevnitr k jeho zkoumani / napadeni pristupuje kreativneji nez typek ktery vi "ze tohle je bezpecny". Proste nevi ze "je to genialne -ehm- zabezpeceny" a diky tomu v tom najde tu stupidni chybu / slaby misto.

    A navic nema omezujici sadu pravidel a planu ktre musi dodrzet, nikdo na to neni pripraveny a zmatek ktery vznika ve chvili kdy nikdo nevi co se deje jen proste ruzne sluzby / stroje umiraji (nebo jeste lepe, vraci na prvni pohled korektni lec nespravne udaje, ustredny prepojuji jinam atd - zajimalo by me kteryho z tech genalnich scenaristu to napadlo) a teprve casem zacina tem rychlejsim dochazet ze asi o neco pujde ...

    Zkratka a jednoduse je to jeste min uzitecny nez pripravovat armadu na obranu poustniho statu v bazinach a pralesech. Jakykoli dobry pocity z toho pramenici jen posiluji falesny pocit bezpeci.

    A ted vsichni do demilitarizovany zony a strilejte teprve az budete moci precist hlavicky jejich paketu !!!!

    Ale co, kdyz nic jinyho, vysledky podobnejch vyhazovani penez / mrskani si e-Ptaka poslouzi ruznymi zpusoby: "Odbornici" se citi duleziti a ospravedlnili svou existnci, debil je ohromen neb nevi o cem se keca a proto je to spravne a dulezite a BlackHat je inspirovan k tomu jak jim lepe nasypat pisek do soustroji.

    Viva la inutile.

    PS: Cist podobny PR sracky je dalsi pobidka k tomu jit podrhnout nestabilni nohy hnijicimu systemu, jednak stejne stoji za picu a druhak si o to koledujete. Nicit je vzdycky jednodussi nez stavet a behem vasich ubohejch simulaci pravdepodne neberete v uvahu z krabicka s trhavinou celkem zanedbatelnych rozmeru nektera kriticka mista sejme bez ohledu na vase iluze o zabezpeceni a priprve. "Vetsi krabicka" pak i casti budov - neni pristup k serverum / svitchum / routerum ? - "zameteme" pulku patra, aspon to s lidma vic zahejba kdyz i nekdo zhebne. Kdyz uz blijete pojmy jako kyberterorismus, myslite si pri tom ze digitalni allah vzyva k ciste digitalnimu jihadu ??? Vsechno na se pripravujete je ze se domluvi velka banda amateru a pujdou si hrat na kyberdemonstraci.

  • 10. 10. 2012 13:40

    Karel (neregistrovaný)

    Tohle bylo cvičení chování a ne nácvik konkrétních opatření. V reálném útoku jsou získané zkušenosti asi tak platné, jako je veliteli tanku platných každodenních 100 kliků na jedné ruce. Je to spíš o tom, ověřit si práci ve stresu, efektivitu komunikace atd. Není to o tom, zkusit si nějaký konkrétnější problém, na to skutečně nejsou připraveni.

    Co já osobně považuji za největší prohřešek, je ignorování orgánů jako je policie, ministerstvo vnitra a vláda. Protože pokud k nějakému velkému útoku dojde, budou to tyhle orgány, kdo to bude řešit. A první co udělají je to, že "odstaví" odborníky, nasadí na to vlastní lidi a veškerá komunikace bude probíhat přes tiskové mluvčí. Jinými slovy, na téhle akci si zkoušela řešit problémy skupina lidí, kteří reálný problém takového rozsahu řešit nebudou.

  • 10. 10. 2012 14:05

    Andrea Kropáčová, CSIRT.CZ (neregistrovaný)

    > Tohle bylo cvičení chování a ne nácvik konkrétních opatření. V reálném útoku
    > jsou získané zkušenosti asi tak platné, jako je veliteli tanku platných
    > každodenních 100 kliků na jedné ruce. Je to spíš o tom, ověřit si práci ve
    > stresu, efektivitu komunikace atd. Není to o tom, zkusit si nějaký
    > konkrétnější problém, na to skutečně nejsou připraveni.

    Ano, přesně tak. Byl to test komunikačních dovedností, logického uvažování,
    schopnost práce ve stresu, ale také test nastavených procesů, pravidel a
    nekonec i efektivity některých nástrojů (např. 1 člověk posazený k vyřizování
    e-mail komunikace je po příjmu mailu č. 100 během 1h na zhroucení ;-).

    > Co já osobně považuji za největší prohřešek, je ignorování orgánů jako je
    > policie, ministerstvo vnitra a vláda.

    Zde mi bohužel není úplně jasné, jak to myslíte?

    > Protože pokud k nějakému velkému útoku dojde, budou to tyhle orgány, kdo
    > to bude řešit. A první co udělají je to,
    > že "odstaví" odborníky, nasadí na to vlastní lidi a veškerá komunikace bude > probíhat přes tiskové mluvčí. Jinými slovy, na téhle akci si zkoušela řešit > problémy skupina lidí, kteří reálný problém takového rozsahu řešit nebudou.

    ... ale minimálně by byli součástí týmu, který by se na řešení problému
    podílel.

    Zdravím

    Andrea Kropáčová

  • 10. 10. 2012 14:44

    D.A.Tiger

    Jestli Vás správně chápu, celá akce byla o tom, zda - laicky řečeno - to odpovídající lidé v takové situaci dají, zda nezačnou jančit a ustojí to. Pak by mě zajímalo jak to dopadlo nejen pro nás, ale jak na tom byly jednotlivé státy EU. Je někde taková statistika k dispozici?

  • 10. 10. 2012 16:18

    euro-septik (neregistrovaný)

    Akce zjistila, laicky receno, ze se jim lidi zacnou sypat i za relativne slusnych podminek, kdy na to byli pripraveni, komunikace fungovala a odpovidalo to situaci "lidi se nasrali a sli demonstrovat DDOSem".

    Pri skutecnem "utoku" by bylo hur, uz jen proto ze by toho neslo vic, lidi by vubec netusili ktera bije (zadna priprava a znamy termin pul roku predem ...) + pocit izolace (vyrazene komunikace). To pak ke kolapsu lidskeho materialu dochazi daleko driv.

    Jasne, jsem celou dobu silne negativni, nicmene to zdaleka neni adekvatni protivaha toho, jak ti tluchubove ohanejici se jejich slavnou masinerii defiluji a vyhlasuji uspech.

    To je jak kdyz clovek sedi na porade kde banda gum vydava rok plny pruseru, zbytecne vyhozenych penez (kulturni dedicti toho ze kdysi nepriznali prapuvodni pruser ale zacali na nem stavet) a vypadku za neuveritelny uspech (protoze "to zvladli za velice tezkych podminek"). A kdyz jim clovek rekne, ze tomu by nerikal uspech ani ve spatnym snu tak se hned ve strachu o sve prdele prijdou s ultimatni obranou "jak muze nekdo napadat usili a obetavost vsech nasich zamestnancu".

    Faktu ze to za "ucasti" tisicu zamestnancu (pulka jde vpravo, pulka vlevo a posouvaji to vzdycky ti co nahodou tahnou jinym smerem) podnik ustal _navzdory_ jejich vedeni se uspesne ubranili (problemy/selhani se nepriznavaji ale opakuji, prohlasi za uspech a stavi se na nich; nespolehlivi partneri se do prdele neposilaji, protoze dobre "plati" a konec koncu ti dalsi "dva az tri" mozni hraci jsou taky pekni zlodeji; udelat si to sami za zlomek ceny nemuzeme, protoze pani neznaji nic jineho nez slendrian a tudiz potrebuji nekoho na koho ten bordel muzou svadet).

    Tak tohle je to samy na Evropsky urovni. Vysledek relativne nevyznamny ale protoze velka akce a je tu spousta zainteresovanych eg i penezenek, neni mozne nez aby to byl obrovsky uspech. Asi jen o neco mensi nez privatizace, OpenCard atd.

  • 11. 10. 2012 14:51

    Andrea Kropáčová, CSIRT.CZ (neregistrovaný)

    Ano, bylo o tom, jestli to lidé, kteří se toho účastní (a kteří by se řešení
    podobné akce účastnili i v reálu) dají, kde jsou limity lidské, kde technické,
    jestli práci, jdoucí na jeden POC lze nějak rozdělit, aby se nerozbil smysl
    celé komunikace (např. jeden člověk nemá šanci gramotně reagovat na 30 mailů
    od 20 zdrojů, které dorazí během 5 minut) ... a to vše za účelem najít
    slabá místa a zlepšit. My jsme si své tímto potvrdili, našli další a budeme
    pracovat na zlepšení.

    Jak na tom byli ostatní se dozvíme se zpožděním, až ENISA vypracuje report.
    Z informací, které se šířily příslušnými listy víme, že v některých zemích
    označili toto cvičení za docela slušný "stress test" (např. Slovinsko). Zkusím
    příležitostně zjistit nějaká čísla, např. počty skutečně zapojených lidí, tzn.
    kolik lidí stálo za jedním "hráčem" (u nás to bylo 1:1), kolik bylo odeslaných
    a přijatých mailů/telefonů. Myslím si, že by to mohlo být zajímavé.

    Zdravím

    Andrea kropáčová

  • 10. 10. 2012 15:03

    euro-septik (neregistrovaný)

    > např. 1 člověk posazený k vyřizování e-mail komunikace je po příjmu mailu č. 100 během 1h na zhroucení ;-).

    BRAVO, kolik stalo obcany tohle SOKUJICI zjisteni ?

    >Ano, přesně tak. Byl to test komunikačních dovedností, logického uvažování,
    schopnost práce ve stresu, ale také test nastavených procesů, pravidel a
    nekonec i efektivity některých nástrojů

    Jaja, stres, viz predchozi komentar. A vysledky irelevantnich testu jsou stejne irelevantni. To ze jich mate tunu je neospravdlnuje.

    > Myslím si, že něco málo existuje, ale nerada bych zde dávala neúplné
    nebo mylně interpretované odpovědi. Nicméně toto je jeden z výstupů,
    které jsem si z toho cvičení odnesla já - zmapovat odpověď vpodstatě na
    Vaši otázku. Až budu mít nějaké výsledky, velmi ráda se o ně podělím.

    >... ale minimálně by byli součástí týmu, který by se na řešení problému podílel.

    Neco jineho nez frikulinske PR zvasty a z palce vycucace uvahy by nebylo ? Kdo je nominoval ? Nebo Vas poveril vyberem ? Kdo je bude shanet ve chvili kdy jim nejde zatelefonovat ani napsat, jak je dostat nekam k "centru deni" kdyz nam panika zablokovala mesta ? K cemu nam budou ve chvili kdy se net rozpadl na izolovane ostruvky protoze strategicke klicove body nekdo hacknul klasicky nebo "sekerou" ?

    Mate neco jineho nez pocit vlastni dulezitosti ? Dokazete se na to taky na chvili podivat z pohledu nezainteresovaneho cloveka ktery nepotrebuje chranit ego sebe a zbytku kolektivu, kteri se (nevedomky; pokud nemate doporucuji alespon zaklady psychologie) nemusi branit uvedomeni ze veskere to usili/cinnost byla na hovno ? Aneb obvykle duvody proc ani clovek ani kolektiv neni schopny akceptovat ze nepomaha, nebo ze mozna skodi - clovek tim ze chrani/odvolava se na kolektiv chrani/zastituje sam sebe a naopak; jedinci si ulitavaji na iluzi ze jsou soucasti veklych "efektivnich" ustroji atd.

    Ani dalsi faktor - obvykla obrana nechopnych nebo zkorumpovanych - argument "delat neco je lepsi nez nedelat nic" nepomuze. Plati pouze ve chvili kdy ono <neco> je alespon castecne konstruktivni.

  • 10. 10. 2012 16:14

    Michal Kára (neregistrovaný)

    Jen pro pořádek, můžete uvést, kolik takových útoků kdy "se net rozpadl na izolovane ostruvky protoze strategicke klicove body nekdo hacknul klasicky nebo sekerou" bylo zaznamenáno třeba za posledních pět let? Ať víme, o jak reálném scénáři se bavíme.

  • 12. 10. 2012 13:36

    euro-septik (neregistrovaný)

    TL;DR: Asi tolik, kolik bylo za poslednich 5 let plosnych utoku proti evropske unii.

    <HR>

    Ono nas s amerikou zase tolik dratu nespojuje, staci sejmout transatlanticky a zbytek bude pretizenej (to jen k jejich kydum o tom jak skype nam jede z ameriky a proto bude dostupnej - vocasove).

    Konec koncu je tu dost nezabezpecenejch systemu na to aby utok byl doprovazen zurivym DDOSem "vsech evropskych wokenic" podporovany stanicemi co je spravujou "jamamtakylinux-aci" atd.

    Stejne tak staci sejmout par mist (myslim v ze v praze a brne, ale vzhledem k tomu ze se na utok nepripravuju a kudy mi tecou data je problem providera a dohodnuteho penale ...) a ejhle, velka cast naseho uzemi (ne li cele, kolika misty se pojime se svetem, pane chytry ?) je izolovana, rozpadla do subnetu mistnich provideru.

    Zkratka a jednoduse jakekoli predpoklady o tom ze neco na netu pujde jsou zcestne.

    Jini zminovali ruseni dalsich komunikacnich kanalu. Osobne bych cekal ze "digitalni utok" bude pouze slouzit ke zvyseni zmatku, a tedy bych ocekaval mozna sem tam nejakou tu bombu pro prdel atd, sice me nenapada co by tim kdo chtel docilit - protoze na kolena to nikoho nesrazi, jen by chvili byl [vetsi] bordel, ale to urcite budou vedet placeni prisluhovaci danych "projektu", kteri tu fundovane podporuji tu hromadu euro-hnoje.

  • 11. 10. 2012 7:44

    b (neregistrovaný)

    pokud ze 100 malu je 80 spam, tak je jasne ze ho z toho jebne i driv nez za hodinu

  • 10. 10. 2012 14:20

    euro-septik (neregistrovaný)

    Jasne, zkouset efektivitu komunikace na ocividnych kanalech ktere [daloby se cekat] nebudou dostupne ?

    "Vyzkouseli si praci ve stresu" - heheheeeeeeee,dobry joke. "Hele, Jardo, az to zejtra v deset vypukne, tak musis bejt v praci a hned telefonovat ze <dohodnuta zprava>". "Zensky, zejtra zadny kafe a dorticky na stole, co kdyby nas nataceli ...". Tomuhle se rika prace ve stresu ? Kua, neni prace ve stresu spis snazit se nekoho vykopnout ze zivyho systemu kterej clovek "nesmi" otocit / odstrihnou od site, v casove tisni kdy clovek netusi co se to kurva deje ? Na mysl se derou 2 slova. "Hurvinek". A "valka" ...

    Bylo by lepsi kdyby se na to vysrali, vzhledem k nakladum, k tomu ze v podstate pomohli lip zmapovat teren pro utok a podporili falesny pocit bezpeci je cela akce kontraproduktivni.

    Jen se ted par "odborniku" - + vsichni ostatni co se okolo motali a prihrivali si polivcicku - citi dobre, protoze si "skutecne na urovni zakomunikovali", "pripravilili se".

    Jen priprava k drsnejsimu probuzeni po "nyni jeste mene pravdepodobnem" padu na drzku.

  • 10. 10. 2012 14:53

    D.A.Tiger

    No, s takovým přístupem se můžem vykváknout na všechno. Nemusí se dělat nácviky záchranných sborů, policajtů, hasičů, popřípadě koordinace jednotlivých složek (i s ochrankami), protože realná situace (hromadná bouračka, teroristický útok, přírodní katastrofa, požár obchodního domu s nábytkem či textiliemi)je naprosto o něčem jiném, než tyhle nácviky. Můžem sedět na prdeli a čekat až někde uhoříme, nebo zůstanem ležet pod nějakými troskami....

  • 12. 10. 2012 13:16

    euro-septik (neregistrovaný)

    Otazka je, zda uhori spis ti, co se spolehnou sami na sebe, nebo ti, co budou cekat az je zachrani eurokomise.

    Uz vidim ty titulky:
    Do zasahu eurokomisaru bylo jen par puchyru
    Europoslanec vysvetluje: Hasit pozar benzinem navrhl muj poradce
    Evropsky parlament rokuje: Po petiletem zasedani se jeste porad nevi, zda mezitim zesnuly komisar, ktery upalil obeti srazky, bude vydan soudnimu stihani

    Jak jsem psal vys, delat <neco> spis nez nic ma svysl jen pokud <neco> ma smysl samo o sobe. Jejich zkousky jsou irelevantni uz jen proto ze testuji odolnost vuci stresu zpusobeneho ostre sledovanym testovani a jejich metody jsou relevantni jen tim ze "se take zabyvaji" pocitaci.

    > Dont feed the troll

    Yum, Yum ;-)