Osmého prosince 2020 vydala společnost FireEye prohlášení, ve kterém oznámila, že se stala terčem kybernetického útoku. Takové prohlášení se jistě nepsalo snadno, protože FireEye se sama specializuje na počítačovou bezpečnost, mimo jiné produkuje bezpečnostní hardware a software.

Terčem útoku se staly interní nástroje používané "red teamem", tedy týmem ofenzivních specialistů, kteří se snaží odhalit slabiny v zabezpečení zákazníků tím, že se do nich sami pokoušejí nabourat. O pět dní později se rozpoutalo peklo, když se ukázal skutečný rozsah celého problému. 

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Útok proběhl netypicky, prostřednictvím softwaru společnosti SolarWinds, který slouží pro správu informačních systémů. Používají ho tisíce velkých firem a organizací a útok ve svém důsledku zasáhl například i americké ministerstvo vnitřní bezpečnosti.

Útok přes důvěryhodné prostředníky

Šlo o takzvaný supply chain attack, což je typ kybernetického útoku, při němž útočník dokáže zasáhnout do "dodavatelského řetězce" oběti a modifikovat software (nebo vzácněji hardware), který si oběť v dobré víře nainstaluje. A nejde o nic překvapivě nového.

Poprvé se o tomto typu útoku začalo v mainstreamových médiích mluvit v souvislosti s americkou National Security Agency na základě úniků Edwarda Snowdena. Nicméně tento typ útoku je dostupný i menším hráčům.

Před třemi lety se hodně psalo o malwaru NotPetya, který likvidoval data zejména na Ukrajině. Šířil se pomocí podvržené aktualizace účetního softwaru, který používá 80 procent tamních firem. Podle Ukrajiny stálo za útokem Rusko. Jenom o pár měsíců později se totéž stalo české firmě Avast, kdy se útočníkům podařilo ovládnout distribuční proces aktualizací populárního programu CCleaner a vložit do něj malware.

Specifický typ tohoto útoku byl zaznamenán i letos, kdy firma Trustwave informovala o případu, kdy byla západní společnost podnikající v Číně donucena nainstalovat daňový program, který obsahoval spyware GoldenSpy. Nakolik se jednalo o záměr ze strany čínské banky, nebylo objasněno.

V případě SolarWinds útočníci vložili škodlivý kód do programů, které jsou součástí platformy Orion. To je velký softwarový balík, používaný pro správu, zabezpečení a výkonovou optimalizaci rozsáhlých počítačových sítí. Tedy software, který je velice obtížně nahraditelný a nedá se jen tak jednoduše vypnout nebo odinstalovat. Navíc musí běžet s poměrně vysokými oprávněními a má přístup skoro všude.

I vy jste obětí

Primární obětí útoku byla společnost SolarWinds. Zatím neznámí útočníci dokázali zasáhnout do platformy Orion od společnosti SolarWinds, mohli do instalačního balíku vložit vlastní kód, který pak firma digitálně podepsala svým klíčem a distribuovala zákazníkům. Sekundární obětí útoku pak byli tito zákazníci, v jejichž sítích útočníci vytvořili díry, které mohli zneužít ke konkrétním útokům. Terciální obětí pak jsou zákazníci a uživatelé těchto napadených firem.

První známou obětí je již zmíněná společnost FireEye, ale celkem je napadených organizací kolem osmnácti tisíc. Najdeme tam velké společnosti typu Microsoft a Cisco, ale i velké státní úřady, americká ministerstva zahraničí, financí, vnitra, zdravotnictví, obrany, vnitřní bezpečnosti nebo třeba tamní obdobu českého Úřadu pro jadernou bezpečnost (NNSA, National Nuclear Security Administration).

Solarwinds se chlubí tím, že jeho software používá 425 firem z Fortune 500, tedy seznamu pěti set největších amerických firem, který pravidelně sestavuje magazín Fortune. Jenom těžko bychom hledali někoho, kdo není tím či oním způsobem propojen s těmito firmami a kdo tedy nepatří mezi potenciální oběti, jehož data mohou být vyzrazena či poškozena dalším útokem.

David a Goliáš

Z několika známých útoků na dodavatelský řetězec jsou podezírány i státy, respektive jejich jednotky kybernetického boje. A jde o boj dosti asymetrický. Protože pokud proti někomu historicky stála armáda státu, byl to jiný stát nebo entita jemu na roveň postavená. Ale nyní může stát zaútočit na poměrně malou firmu a jejím prostřednictvím poškodit jiného protivníka, třeba i ten stát.

Firma SolarWinds má přes 3000 zaměstnanců a tržby okolo miliardy dolarů ročně. V podmínkách ČR by šlo o poměrně velkou firmu (srovnatelný počet zaměstnanců a obrat má třeba český T-Mobile), ale na americké či globální poměry jde o celkem malou společnost, která může jenom obtížně vzdorovat soustředěnému útoku armády kteréhokoliv kyberneticky kompetentního státu.

Kybernetický boj bývá často vnímán jako asymetrický na základě představy, že jeden geniální "superhacker" dokáže srazit na kolena velkou korporaci. Tato představa je v dnešních podmínkách spíše z rodu romantických snů o Jánošíkovi. Její realizaci sice nelze s naprostou jistotou vyloučit, ale současná situace ukazuje, že reálnou globální hrozbou se může stát i soustředěný útok státem podporované APT skupiny na relativně malou, leč klíčovou firmu.

Jak se bránit?

Obrana proti "supply chain" útokům je obecně extrémně obtížná, zejména v případě softwaru toho druhu, jaký produkuje SolarWinds. CCleaner stačí nepoužívat (ostatně, je venkoncem k ničemu a ani Microsoft jeho používání nedoporučuje), účetní či jiný podobný software lze izolovat do uzavřeného segmentu sítě a bránit tak dalšímu šíření. Ale systémy podobné Orionu vytvářejí onu síťovou izolaci a z hlediska bezpečnosti jsou stejně důležité a nenahraditelné jako třeba operační systém. Pokud je chcete používat, a jelikož ve velké síti se bez podobných řešení neobejdete, prostě jejich výrobcům musíte věřit.

Co nebude fungovat zcela jistě, je postup, jakým reagovaly americké federální úřady. Ty prohlásily, že bude nutné přísněji ověřovat důvěryhodnost dodavatelů takového softwaru.

V tomto okamžiku nevíme, jak přesně k útoku na primární oběť, SolarWinds, došlo. Nicméně ze zkušenosti lze odhadnout, že patrně nejde o pochybení, ke kterému by jinde dojít nemohlo a které by šlo nějakým předchozím prověřováním odhalit.

Problémem je koncept "checklist security", který je bohužel široce používán na celém světě. Toto označení znamená, že se neposuzuje reálná bezpečnost softwaru či procesů, ale jenom to, jestli jsou zaškrtané ty správné čtverečky v bezpečnostním auditu, které odpovídají uměle definovaným normám. Logicky pak dochází k tomu, že se postupuje cestou nejmenšího odporu a vývoj se optimalizuje na formální čtverečky a papírovou válku, nikoliv na skutečné zabezpečení celého procesu. Platí to zejména pro velké firmy a státní instituce, kde je hlavním cílem ochrana vlastního pozadí. Reálně pak i zákazníci, kteří mají potřebné prostředky na skutečný audit, tuto možnost nevyužijí. Menší firmy pak nemají ani zdroje.

Skutečná nezávislá auditovatelnost celého procesu vývoje a nasazení klíčového softwaru je přitom v podstatě jedinou obranou proti útoku skrz dodavatelský řetězec. Je bohužel také velice obtížné takové audity provádět, a to jak z důvodů technických, tak z důvodů organizačních a právních, jako je třeba ochrana obchodního tajemství. Jako možná obrana proti tomuto typu útoků se často zmiňuje open source software, u kterého je možné kontrolovat zdrojový kód. Ani to ale není tak jednoduché.

Obecná dostupnost zdrojových kódů není sama o sobě zárukou, že nebudou zranitelné, že budou zranitelné méně nebo že budou rychleji odhaleny. Chyby typu Heartbleed nebo Shellshock (které mohly a nemusely být záměrně vložené) v nich vydržely neobjevené docela dlouho. V prvním případě dva roky, ve druhém zhruba pětadvacet let.

Navíc se dostáváme k oblíbenému problému, že je extrémně obtížné nezávisle ověřit, zda je konkrétní výsledný program skutečně výsledkem kompilace zveřejněného zdrojového kódu, a není realistické předpokládat, že si budou zákazníci programy sami kompilovat.