Jak jsme již informovali, 6. a 7. října 2015 proběhl první ročník národního technického cvičení kybernetické bezpečnosti Cyber Czech 2015 s cílem procvičit obranu proti případným kybernetickým útokům, které pořádal Národní bezpečností úřad ve spolupráci s Ústavem výpočetní techniky Masarykovy univerzity v Brně pro dvacítku informatiků ze státní správy. Akce se konala ve speciálním prostředí Kybernetického polygonu a my jsme byli při tom.
Podle scénáře cvičení byla napadena fiktivní jaderná elektrárna Velký Hreháň, na kterou útočí kyberekoteroristická skupina Dark Hackers nepřímo podporovaná státem Bandistán. Do elektrárny byl poslán krizový modrý tým čtyř expertů, kteří měli za úkol situaci zvládnout.
Cvičení se zúčastnilo celkem pět modrých týmů, jejich úkolem bylo vzniklé krizové situace řešit, nebo jim v lepším případě i předcházet. Proti nim stál červený tým, Dark Hackers, který se snažil na počítače modrého týmu co nejlépe útočit, elektrárnu vyřazovat z provozu a diskreditovat ji v očích veřejnosti. Byl tu i bílý tým zaměstnanců elektrárny a média, která vydávala v průběhu cvičení zprávy jak na svém internetovém portálu, tak i na velké obrazovce.
Vlastní Kybernetický polygon byl otevřen 29. dubna letošního roku a je založen na cloudové výpočetní platformě pro heterogenní datacentra OpenNebula s KVM (Kernel-based Virtual Machine) hypervisory. V průběhu cvičení Cyber Czech 2015 bylo simulováno dohromady 110 počítačů s Linuxem (Debian 8) a Windows. Počítače byly rozděleny do pěti kontejnerů (sandboxů), každá elektrárna modrého týmu byla tedy oddělena. Zajímavé je, že všechny počítače měly, i když filtrovaný, přístup do reálného internetu. Jeden tým jsme kupříkladu „přistihli“ při četbě konkurenčního serveru o Linuxu. Nutno podotknout, že jim to ve výsledném pořadí nepříliš pomohlo.
Pohled na prázdný Kybernetický polygon.
Celá simulace běžela na 100 fyzických CPU jádrech v CERIT Scientific Cloudu. Vlastně nejsložitější částí cvičení je dlouhá příprava detailního scénáře útoků a instalace všech 22 (110/5) virtuálních počítačů. Jelikož bude tento scénář ještě znovu použit, nemůžeme zveřejnit všechny technické detaily. V budoucnosti se také počítá s rozšířením KYPO o takzvané ostrovy, které budou simulovat speciální hardware. Například se uvažuje, že bude možné simulovat spojení napadeného mobilního telefonu s vlastní BTS (Base Transceiver Station).
Příklad topologie sandboxu pro DDoS útok.
Průběh toku simulovaného DDoS útoku.
Modrý tým měl k dispozici tři terminály a přistupoval k administrátorským počítačům v elektrárně pomocí webového prohlížeče (VNC portlet v portálu Liferay). Přístup mohli též po bodové penalizaci získat na 10 minut na libovolný počítač, pokud si například hráči změnou konfigurace routeru „uřízli vlastní větev“ a router přestane odpovídat. Dva týmy toho simulovaného „fyzického přístupu do serverovny“ v průběhu cvičení využily. První den měli hráči k dispozici určitou dobu, aby se se svěřeným systémem seznámili. Druhý den ráno na ně začal červený tým útočit. Připravené útoky nepřišly všechny naráz, ale byly postupné, trvaly zhruba od 9. do 15. hodiny.
Modré týmy se seznamují se zadáním.
Červený tým nejprve skenoval síť v elektrárně, poté zaútočil na počítače v demilitarizované zóně, kde se například snažil změnit webovou stránku elektrárny. Poté útočil na klientské počítače a na závěr zaútočil na servery, kde na jednom stroji s Windows běžela pro elektrárnu kritická proprietární aplikace parogenerátoru. Nakonec se červeným podařilo vyřadit parogenerátor všech týmů a všech pět elektráren tedy vybouchlo. Dobře se bránily týmy číslo 3 a 5, které zabránily útočníkům průnik do Windows Domain Controlleru. Všem ostatním týmům útočníci počítače s Windows na závěr vypnuli.
Modré týmy expertů čelí útokům, každý ve své elektrárně.
Na začátku měl každý tým 10.000 bodů. Maximálně mohl tým ztratit 5.550 bodů za neodražené útoky. Za nedostupné služby nebo za špatnou komunikaci se zaměstnanci jim byly body taktéž odebírány. Naopak za správnou interakci s médii, policií nebo Vládním CERT bylo možné body získat. Přesvědčivě vyhrál tým číslo 3 (8315 bodů), kdežto na druhém až čtvrtém místě bylo velmi těsno. Umístili se zde týmy 5, 4 a 2 s (6892, 6541 a 6528 bodů). Na posledním čestném místě byl tým číslo 1 (5685 bodů). Vývoj bodového hodnocení v celém průběhu cvičení bylo možné sledovat na obrazovce.
Téměř závěrečné pořadí modrých týmů.
Výsledné pořadí však není až tak důležité. Hlavním úkolem bylo procvičit dovednosti při správě počítačové sítě, koordinaci v týmu i mezi týmy, spolupráci, kterou vyžaduje nový zákon o kybernetické bezpečnosti, a přitom všem dostat týmy expertů do situace, která je může v budoucnu potkat, a to včetně časového tlaku, mediálního tlaku a nespokojenosti zaměstnanců. To se myslím povedlo na výbornou díky detailní propracovanosti realistického scénáře. Nebýt fiktivních názvů, člověk by reflexivně hledal nejbližší atomový kryt.
ČLÁNKY DO MAILU