Dne 15. března 2016 proběhla závěrečná konference projektu „Kybernetická bezpečnost v podunajském regionu“ (CS Danube). Hlavním cílem projektu, na kterém se vedle našeho CSIRT.CZ podíleli zástupci bezpečnostních týmů a organizací z Chorvatska, Rakouska, Slovenska, Srbska a Moldavska bylo především posílení kapacit jednotlivých týmů a spolupráce v oblasti kybernetické bezpečnosti.
V první části konference představili Ján Laštinec za slovenský CSIRT, Zuzana Duračinská za český CSIRT (sdružení CZ.NIC) a Miloš Kukoleča za akademickou síť AMRES nejvýznamnější bezpečnostní incidenty za uplynulý rok. Zástupci těchto týmů se shodli na tom, že k nejpočetnějším incidentům v tomto období patřilo infikování nezabezpečených počítačů malwarem, který takto napadené počítače připojil do některého z botnetů. Takto napadené počítače byly dále využívány například k provádění DoS a DDoS útoků. S velkým počtem těchto útoků se potýkaly všechny uvedené týmy a například slovenský CSIRT řešil v uplynulém roce o 12,5 % více útoků než v roce 2014. V souvislosti s botnety se pak díky součinnosti bezpečnostních týmů včetně CSIRT podařilo odhalit tři miliony počítačů infikovaných botnetem Ramnit.
Ján Laštinec, CSIRT.SK
Miloš Kukoleča vyzdvihl několik užitečných doporučení, která se týkala DoS a DDoS útoků. Příkladem těchto doporučení může být existence mechanismu v monitorovacím systému sítě, který v případě DoS či DDoS útoku spustí alert a automaticky vygeneruje report o DoS či DDoS útoku a odešle jej odpovědnému kontaktu. Předpokladem pro takovýto systém, jehož obdobu budujeme v České republice v rámci projektu PROKI, je podle zástupce ze Srbska především udržování dobrých vztahů s poskytovateli internetového připojení a vytvoření kvalitního komunikačního kanálu se zákazníky.
Další společný problém představují škodlivé kódy, kterými útočníci pozměňují či napadají obsahy stránek. K řešení tohoto problému přistoupilo proaktivně sdružení CZ.NIC se svým nástrojem Malicious Domain Manager (MDM), o kterém jsme již dříve informovali a který v rámci této problematiky představila Zuzana Duračinská. V této souvislosti stojí za zmínku především stále se objevující a čím dál tím sofistikovanější phishingové e-maily nebo útoky hrubou silou.
Druhá část konference byla věnována legislativním nástrojům a zvyšování povědomí v oblasti kybernetické bezpečnosti. Ředitel legislativního odboru Národního bezpečnostního úřadu Jiří Malý ve své prezentaci představil legislativní rámec, na jehož základě je zajišťována kybernetická bezpečnost v České republice. V rámci tohoto příspěvku byly představeny základní principy Zákona o kybernetické bezpečnosti, mezi které se řadí například minimalizace zásahů do práv na soukromí jednotlivců, individuální odpovědnost za bezpečnost sítě či povinnost hlášení bezpečnostních incidentů. V rámci daného příspěvku byly rovněž představeny klíčové body evropské Směrnice o síťové a informační bezpečnosti (NIS).
Na tento příspěvek, který přiblížil, proč je důležité mít kvalitní legislativu v rámci kybernetické bezpečnosti, navázala Zuzana Duračinská se svým druhým příspěvkem, ve kterém představila možnosti školení a projekty zaměřující se na zvýšení povědomí v oblasti kybernetické bezpečnosti, které veřejnosti nabízí sdružení CZ.NIC. Mezi tyto aktivity patří například školení na IPv6 či projekt Jak na Internet.
Zástupce slovenského CSIRT.SK Martin Jurčík potom na případové studii demonstroval, jak efektivně odhalit phishingovou stránku a v přímém přenosu účastníkům konference předvedl, jak snadné je takovou stránku vytvořit. Martin Jurčík zároveň prezentoval výsledky testů na rozeznávání phishingu, do kterých se zapojilo již více než 3 000 uživatelů, ale jen 18 z nich dokázalo správně rozeznat všechny phishingové stránky.
Brzké odpoledne bylo potom věnováno především DDoS útokům a analytickým nástrojům, o nichž ve svých příspěvcích velmi odborně hovořil Ondřej Caletka ze sdružení CESNET a Alexandr Golubev z moldavské akademické sítě RENAM.
Zástupci z Evropské agentury pro síťovou a informační bezpečnost (ENISA) Lauri Palkmets a Yonas Leguesse se v předposledním vystoupení věnovali pozornost rozšíření CSIRT týmů v rámci Evropy, informovali o cvičeních v oblasti kybernetické bezpečnosti, metodologických materiálech, které jsou k dispozici, a také stručně představili průběh školení, jehož popis lze vnímat jako best practice.
Lauri Palkmets a Yonas Leguesse, ENISA
Náročný a velmi přínosný den zakončil praktickou ukázkou hackerského útoku Robert Petrunic z chorvatské společnosti Eduron IS, díky kterému byli účastníci konference v přímém přenosu svědky toho, jak se lze dostat do zabezpečeného serveru a získat administrátorská oprávnění během pouhých třiceti minut.
Robert Petrunic, Eduron IS
O účast na závěrečné konferenci projektu CS Danube byl velký zájem, který je pro nás důkazem toho, že mezinárodní spolupráce v podobě výměny informací a zkušeností, tak jak proběhla v rámci projektu CS Danube, je přínosná nejen pro partnery takových projektů, ale i pro širokou veřejnost. Zvyšování efektivní spolupráce v oblasti kybernetické bezpečnosti v podobě sdílení nástrojů, které jsou budovány v rámci jednotlivých týmů lze také díky nastavené spolupráci efektivně implementovat napříč regionem.