Na konci předminulého roku se tým CSIRT.CZ zapojil do projektu CyberExchange. Jak už název napovídá, cíl projektu je motivovat pracovníky jednotlivých evropských kyberbezpečnostních týmů, aby podnikli výměnnou cestu k partnerům. Nejprve proběhla seznamovací fáze – každý tým vyslal zástupce, který prezentoval vyvíjené nástroje. Přestože se jako CSIRT.CZ s řadou ostatních týmů pravidelně setkáváme u jiných příležitostí, zde byl prostor představit všechny aktivity týmu naráz. Následovalo období zvažování a domlouvání, kterého experta kam pozvat. Každý subjekt by měl vyslat přibližně dva stážisty a dva další přijmout, přičemž výměny jsou myšleny jednostranně – málokdy se stane, že by tým stejnou zemi přijal i navštívil. Bylo třeba vyladit detaily, naplánovat rámcový rozvrh stáže, každá instituce zaslala partnerům svá očekávání, zřizovaly se vzdálené přístupy, aby při příjezdu pracovníka systémy běžely a neztrácel se čas čekáním na pracovní stanici nebo podpis certifikátu pro přístup do bezdrátové sítě. Pak už přichází na řadu samotná stáž – odlet, ubytování, nástup do cizí kanceláře. Za první rok se napříč Evropou realizovalo celkem 14 výměn, dvě z toho se týkaly CSIRT.CZ: CSIRTMalta a CERT.pl.
Během výměny panuje zvláštní atmosféra. Jednak se do hry dostávají subtilní rozdíly v denním fungování; zatímco CSIRT.CZ je provozován neziskovým českým NICem, CSIRTMalta spadá pod ministerstvo vnitra a bezpečnosti a CERT.pl pod výzkumný institut NASK ministerstva informatiky. A jednak je ve vzduchu zvláštní očekávání; stážista pořádně neví, kdy bude plnit roli učitele a kdy bude žákem. První den uběhne rychle – test pracovní stanice, seznámení s kolegy, představení firmy. Pak dojde na vzájemnou prezentaci znalostí a výměnu zkušeností z incident handlingu.
Je něco zcela jiného vidět cizí nástroje nejen z rychlíku (z prezentace), ale při jejich každodenním užívání. Mnohem snáze se pak rozhoduje, který nástroj či technika může být nasazena doma. Naopak svěží pohled externisty pomůže určit, zda ve workflow partnera není aspekt, na který se lze podívat ze zcela jiného úhlu, a díky tomu, že je člověk vytržen ze své denní agendy, může se zaměřit na konkrétní výzvy.
S maltskými kolegy jsme se zaměřili na vývoj IntelMQ; přáli si jej začít používat. Vzhledem k několikaletým znalostem získaným v projektu PROKI jsme mohli poskytnout bohaté zkušenosti. Nejprve jsme spolu prošli proces instalace software na čistý stroj. Což bylo překvapivě vysoce inspirativní, neboť zkušeného vývojáře netrknou do očí problémy, do nichž prvouživatel snadno zabředne. Dělali jsme poznámky o každém zaškobrtnutí a posléze do softwaru implementovali nový mechanismus zpracování chyb. Ten se snaží každou chybu kategorizovat a popsat s mnohem relevantnějšími informacemi než dříve. Pokud vyhodnotí, že se jedná o dobře známou past, přehledně vypíše tip, co se má udělat, a přímý odkaz na místo do dokumentace. Vždycky navíc vyprodukuje příkaz, s jehož využitím lze chybu přesně replikovat, aby si ji administrátor mohl snadno odladit a nemátlo ho např. nastavení uživatelů na vzdáleném serveru. Administrátor již nemusí marně koukat do zdrojového kódu programu a slepě zjišťovat, jak chybu nasimulovat, aby ji mohl vyřešit.Dále jsme poupravili proces nakládáním se zdroji ShadowServeru a navrhli čisté řešení pro přístup do relačních databází, abychom osvobodili IntelMQ od závislosti na PostgreSQL. Všechny změny jsme poskytli zpátky komunitě, takže jich využije každý uživatel software; včetně našich domácích kolegů.
Hlavní přínos stáže v CSIRTMalta je však dost možná knihovna Envelope, která začala jako malý skript umožňující jednosměrné GPG šifrování souborů, které by šly bezpečně zasílat partnerům. Řešení, které doposud CSIRTMalta používalo, bylo manuální; pátrali po automatizaci. Proč ale jenom šifrovat, když skript může přílohy rovnou rozeslat? Přestože na oficiálním repozitáři Pythonu PyPi existuje na 200 tisíc knihoven, žádná se nehodila na sto procent; některé byly nedotažené, některé byly skvělé, dělaly však jen část práce. A tak vznikla knihovna Envelope; jako vrstva nad několika specializovanými knihovnami týkajícími se e-mailu, podepisování a šifrování, s propracovaným programovacím rozhraním a dokumentací. Její cíl je sejmout z programátora tíži vědomostí, které chtě nechtě musí nasát, když chce udělat úkon, o němž by laik vůbec nepředpokládal, že je složitý. Například zašifrovat přílohu.
Polský kolega u nás objezdil hned tři různá oddělení. Kromě pražské centrály zajel na tři dny do pobočky v Českých Budějovicích a nakonec na vlastní žádost pracoval ještě s kolegy v týmu Turris. Dozvěděl se o interní infrastruktuře projektů jako HaaS a RPKISentry a podělil se s námi o přístup k některým polským interním systémům. Coby hmatatelná stopa po výměně zůstala aplikace Zone monitor, kterou jsme napsali a nasadili a s jejíž pomocí můžeme ohlídat, které domény se nově dožádaly HTTPS certifikátu a podle jména a screenshotu odhadnout, zda majitel domény hodlá provozovat phishing.
Výměny ještě nekončí, v tomto roce se za námi chystá řecký FORTH a náš zástupce pojede do chorvatského ISSB. Z anonymního jména spolupracovníka se stává další kolega a z e-mailové adresy konkrétní kancelář tisíc kilometrů daleko.