Poznáme štúdiu NBÚ na blokovanie "škodlivého" obsahu na internete. Pozrite si ju
08 | 03 | 2019 I Peter Králik

Škodlivej aktivity na Internete z roka na rok pribúda. Zároveň rastie sofistikovanosť útokov a s neustále prebiehajúcou informatizáciou spoločnosti aj riziká, spojené s úspešne vykonanými útokmi. Reakcia na rôzne typy škodlivej aktivity spadá do kompetencie rôznych štátnych orgánov.


Množstvo útokov je vykonávaných buď plošne (napríklad phishingové kampane, lákajúce veľké množstvo používateľov kliknúť na rozoslanú linku), alebo na svoju činnosť využíva identifikovateľný škodlivý obsah alebo sieťovú infraštruktúru (napríklad riadiace servery botnet sietí, DNS servery k nim smerujúce, zariadenia vykonávajúce DDOS útoky a podobne).


Z tohto dôvodu mnohé krajiny zavádzajú legislatívne podmienky a technické prostriedky na blokovanie nežiadúceho obsahu, IP adries, domén, URL, súborov a podobne, píše sa v správe Národného bezpečnostného úradu, ktorá dostala názov "Blokovanie útokov".


Podľa taxonómie, ktorú používa pri klasifikácii incidentov SK-CERT (Národná jednotka CSIRT), je možné škodlivý obsah a s ním spojenú infraštruktúru rozdeliť do týchto kategórií:





  • Škodlivý kód (vírus, malvér, ransomvér)




  • Infraštruktúra, umožňujúca





    • rozosielanie nevyžiadanej pošty




    • neoprávnené získavanie informácií: skenovanie sietí, odpočúvanie, sociálne inžinierstvo, phishing






  • Podporný software, údaje a infraštruktúra umožňujúca pokusy o prienik, DoS, DDoS útoky alebo iné aktívne útoky, vrátane





    • riadiacich serverov (command and control servery)




    • uzlov siete botnet




    • obsahu, zneužívajúceho prostriedky používateľov bez ich vedomia (crypto minery)






  • Verejne prístupné citlivé údaje ako sú heslá, šifrovacie kľúče, čísla kreditných kariet, osobné údaje




Národný bezpečnostný úrad  v súlade s Akčným plánom realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 a s Plánom práce Bezpečnostnej rady Slovenskej republiky na rok 2017 vypracoval materiál Pravidlá pre blokovanie útokov.


Vypracovanie materiálu úradu vyplynulo z úlohy č. 3.5. Tabuľky úloh Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020, ktorý bol schválený uznesením vlády Slovenskej republiky č. 93/2016 v znení uznesenia vlády Slovenskej republiky č. 62/2018. Rovnako z Plánu práce Bezpečnostnej rady Slovenskej republiky na rok 2017, schváleného uznesením vlády Slovenskej republiky č. 51 z 25. januára 2017, z ktorého vyplynula pre ministra financií úloha č. 8 - predložiť v mesiaci december 2017 na rokovanie Bezpečnostnej rady Slovenskej republiky materiál Pravidlá pre blokovanie útokov. Uznesením vlády Slovenskej republiky č. 62 z 31. januára 2018 k návrhu na zrušenie a zmenu niektorých úloh z uznesení vlády Slovenskej republiky bolo bodom B.14. zmenené gestorstvo predmetnej úlohy z ministra financií na riaditeľa úradu a bodom B.15. bol zmenený termín predloženia materiálu z mesiaca december 2017 na mesiac december 2018.



Potreba a dôvody blokovania


Ako vzrastá dôležitosť internetu a zariadení pripojených na internet, vzrastá aj miera počítačovej kriminality a objem škodlivého obsahu. Pre útočníkov sú zaujímavé citlivé či osobné údaje, ale aj výpočtová sila napadnutej techniky. Tak, ako rastie počet útokov, vyvíjajú sa aj spôsoby a sofistikovanosť ich prevedenia. Vystopovanie páchateľov, zabezpečovanie dôkazov či ohraničenie škodlivého následku je čoraz zložitejšie, tvrdí predkladaný materiál.


Blokovanie infikovaných domén a IP adries je nutné považovať za reaktívne opatrenie vedúce k zamedzeniu prístupu k škodlivému obsahu. Dôvody, prečo využiť tento prostriedok môžeme zhrnúť do niekoľkých bodov:





  1. Ochrana používateľov napadnutých služieb a nevedomých používateľov podvodných služieb - ak je na šírenie škodlivého obsahu, vylákanie údajov alebo na ilegálne aktivity zneužitá legitímna doména alebo služba, zablokovanie obsahu alebo konkrétneho URL zabezpečí ochranu používateľov, ktorí túto službu alebo doménu využívajú.




  2. Zmiernenie alebo zamedzenie škodlivých následkov - blokovaním domén a IP adries so škodlivým obsahom či phishingom je možné takisto dosiahnuť zmierňovanie následkov v podobe menšieho dopadu na potenciálne obete, resp. zasiahnutých používateľov. Takisto včasným blokovaním možno zabezpečiť úplné zamedzenie škodlivých následkov, pretože nemusí dôjsť napríklad k stiahnutiu škodlivého obsahu alebo k dokončeniu všetkých fáz phishingovej kampane.




  3. Zastavenie šírenia škodlivého obsahu - v tomto bode rozumieme najmä šírenie malvéru, existenciu riadiacich serverov pre botnety, phishingové stránky a podobne. Domény a IP adresy s takýmto obsahom sú využívané útočníkmi na nelegitímne ciele a ich blokovanie zamedzuje ďalšiemu šíreniu takéhoto škodlivého obsahu.




Téma blokovania internetového obsahu, domén a IP adries je citlivá a často spájaná s pojmom cenzúra. Je preto potrebné brať na zreteľ dôvody, ako aj spôsob či rozsah takéhoto blokovania. Hlavným dôvodom pre blokovanie by mala byť vždy ochrana záujmov a práv používateľov internetu, teda občanov, ktorých sloboda a práva by sa nemali obmedzovať ani vo virtuálnom priestore. Zamedzenie prístupu k škodlivému obsahu alebo na doménu, ktorá šíri škodlivý obsah, však nemožno považovať za zásah do práv a slobôd občanov, ale za nevyhnutné kroky, ktoré zamedzujú týmto používateľom prístup k obsahu, ktorý by im mohol škodiť alebo priamo škodí.


Ďalším dôležitým aspektom blokovania je ochrana zariadení a služieb, ktoré sú poskytované koncovým užívateľom. Ako je uvedené vyššie, útočníkovi nemusí ísť exaktne o údaje používateľa, ale aj o výpočtovú silu zariadenia, ktoré používateľ vlastní. Nejde však iba o osobné počítače či mobilné zariadenia. Zahrnúť sem môžeme podpornú infraštruktúru, ako aj celé spektrum internetu vecí, teda zariadení pripojených na internet poskytujúcich určitý druh služby, ktoré sa po infikovaní škodlivým kódom alebo prelomením ochrany zo strany útočníka môžu stať užitočným nástrojom na vykonávanie kybernetických útokov (DDoS útoky, šírenie malvéru, šírenie phishingových e-mailov a podobne).


Blokovanie útočníka alebo škodlivého obsahu je však len jedným z mnohých krokov v procese riešenia kybernetických bezpečnostných incidentov. Konkrétny proces je závislý od typu hrozby a viacerých faktorov, napríklad krajiny útočníka a obete. Blokovaniu môže napríklad predchádzať pokus o kontakt s prevádzkovateľom danej IP adresy alebo domény a odstránenie škodlivého obsahu, prípadne môže byť nasledované krokmi, vedúcimi k odstráneniu následkov, lepšiemu zabezpečeniu a obnove funkčnosti napadnutých systémov a podobne. Tieto úkony vykonávajú jednotliví prevádzkovatelia postihnutých služieb a zariadení, vrátane štátnej a verejnej správy, súkromného sektora a občanov.


Schopnosť efektívne blokovať, ako aj schopnosť efektívne vykonávať ďalšie kroky potrebné pre riešenie kybernetických bezpečnostných incidentov, si vyžaduje na národnej úrovni spoluprácu národnej autority pre kybernetickú bezpečnosť a sektorových autorít s poskytovateľmi hostingových a doménových služieb, s poskytovateľmi internetu a s ďalšími partnermi.


Vzhľadom ku globálnemu charakteru komunikačných sietí je potrebné pre ochranu kybernetického priestoru SR spolupracovať aj na nadnárodnej úrovni s partnermi, ktorí sú schopní zasiahnuť voči hrozbám pochádzajúcich z ich krajín, ktoré smerujú do kybernetického priestoru SR. Takáto spolupráca však predpokladá vysokú mieru reciprocity.


Keďže rôzne techniky, rozobrané podrobne v kapitole Analýza blokovacích techník, majú schopnosť blokovať jednotlivé typy hrozieb, ale neexistuje jedna technika, ktorá by naraz dokázala efektívne splniť všetky účely blokovania, je potrebné využiť kombináciu týchto techník, ktorá umožní:





  • blokovanie prístupu na škodlivý obsah nachádzajúci sa kdekoľvek na svete z kybernetického priestoru SR,




  • blokovanie prístupu na škodlivý obsah nachádzajúci sa v kybernetickom priestore SR z celého internetu,




  • blokovanie útokov smerujúcich odkiaľkoľvek do kybernetického priestoru SR,




  • blokovanie útokov smerujúcich z kybernetického priestoru SR kamkoľvek.




 

Súčasný stav blokovania v SR


V rámci slovenských reálií je blokovanie škodlivého obsahu, domén a IP adries v súčasnosti aplikované len na špecifické oblasti a prostredia. Jednotná koncepcia blokovania, aplikovateľná vo všetkých prípadoch a naprieč celým národným kybernetickým priestorom, však neexistuje.


Blokovanie domén v najväčšej miere a s jasne definovanou legislatívnou podporou využíva Finančná správa, ktorá blokuje webové stránky, ktoré poskytujú tzv. „zakázanú ponuku“ (§ 2 písm. u) zákona č. 171/2005 Z. z. o hazardných hrách a o zmene a doplnení niektorých zákonov - propagovanie hazardnej hry alebo prevádzkovanie hazardnej hry dostupnej na území SR bez licencie podľa tohto zákona prostredníctvom elektronickej komunikačnej siete). Využíva techniku blokovania konkrétnych doménových domén na úrovni ISP. Podľa § 15b ods. 7 a nasl. zákona č. 171/2005 Z. z. sú právnické alebo fyzické osoby, ktoré poskytujú elektronické komunikačné siete alebo služby povinné na základe príkazu súdu vydaného na základe žiadosti Finančného riaditeľstva SR zamedziť prístup k webovému sídlu, prostredníctvom ktorého sa poskytuje zakázaná ponuka, teda hazardné hry bez licencie.


Blokovanie škodlivého obsahu a indikátorov kompromitácie (IP adresy, domény, e-mailové adresy a podobne) prebieha aj na úrovni vládnej siete GOVNET, ktorú má v správe Národná agentúra pre sieťové a elektronické služby (NASES). Toto blokovanie je zamerané výlučne na ochranu vládnej siete a jej používateľov pred škodlivým obsahom a útokmi a prebieha na základe zistení z bezpečnostného monitoringu, ktorý vykonáva CSIRT jednotka NASES (GOV CERT SK). Na základe výstupov a odporúčaní tejto CSIRT jednotky sú jednotlivé škodlivé indikátory alebo obsah zablokované len na úrovni vládnej siete a ovplyvňujú komunikáciu z/do uzlov v sieti GOVNET. Podobné blokovanie prebieha na úrovni viacerých organizácií z rôznych sektorov.


Blokovanie škodlivého obsahu (malvér, vírusy) na úrovni koncových používateľov a pracovných staníc je široko dostupné a využívané, najčastejšie vo forme rôznych komerčných antivírusových produktov. Existujú však aj používatelia, ktorí antivírusové programy nepoužívajú a nezanedbateľná časť používateľov nemá nastavené automatické aktualizácie produktov a vzoriek. Táto oblasť nie je nijako harmonizovaná a regulovaná. Neexistuje mechanizmus ako túto infraštruktúru plošne využívať na adresné blokovanie škodlivej aktivity naprieč rôznymi výrobcami a produktami.


Blokovanie nevyžiadanej pošty je realizované na poštových serveroch a využíva kombináciu viacerých techník, vrátane reputačných databáz, signatúr a štatistických pravidiel. Blokovanie je vykonávané u poskytovateľov e-mailových služieb a slovenskí občania aj firmy často využívajú aj zahraničných poskytovateľov služieb, napríklad gmail. Táto oblasť nie je nijako harmonizovaná a regulovaná, pričom je nereálne predpokladať schopnosť vymôcť prípadné regulácie u zahraničných poskytovateľov.


Blokovanie DDoS útokov nie je široko rozšírené a využívajú ho prevažne veľké inštitúcie. Časť blokovania je riešená zariadeniami na sieťovom bezpečnostnom perimetri organizácií, prípadne u poskytovateľa pripojenia do internetu. Časť blokovania je realizovaná cloudovými službami. Táto oblasť nie je nijako harmonizovaná ani regulovaná.




Pravidlá pre blokovanie


Samotné pravidlá pre blokovanie musia spĺňať nasledujúce požiadavky:





  • Zákonné predpoklady - blokovanie musí mať oporu v legislatíve.




  • Jasná formulácia - pravidlá musia byť jasne formulované bez možnosti alternatívneho výkladu.




  • Jednoznačné právomoci - pravidlá musia obsahovať, kto má právomoc vydať rozhodnutie o blokovaní.




  • Adresnosť - z pravidiel musí byť jasne vymedzený subjekt, ktorý bude vykonávať blokovanie.




  • Jednoduchá implementácia - s blokovaním nesmú vzniknúť také náklady, ktoré by prevyšovali samotný účel blokovania.




V rámci jednotlivých techník sa pravidlá pre ich nasadenie líšia. Pre všetky pravidlá však platí, že blokovať možno:





  • IP adresu, doménu alebo URL, na ktorých sa nachádza:








    • phishingová stránka alebo server riadiaci phishingové aktivity,




    • škodlivý kód,




    • riadiaci server pre riadenie botnetovej siete.








  • IP adresu alebo doménu, prostredníctvom ktorej sa vykonáva:








    • DDoS útok,




    • skenovanie,




    • bruteforce útoky alebo pokusy,




    • pokusy o prienik.






V rámci pravidiel, platných pre celý národný kybernetický priestor nie je možné aplikovať všetky techniky blokovania škodlivého obsahu. Je potrebné určiť a vybrať techniky, ktoré sú najúčinnejšie a najľahšie implementovateľné so vzťahom na čo najvyššiu elimináciu rizík, spojenú s blokovaním domén.




Pravidlá pre blokovanie domén druhej úrovne na úrovni správcu národnej TLD


Subjekt, ktorý môže rozhodnúť o blokovaní: Úrad ako národná autorita pre kybernetickú bezpečnosť.


Podmienky





  • Blokovanie domény na úrovni správcu národnej TLD je krajným prostriedkom riešenia kybernetického bezpečnostného incidentu, najmä pri závažných kybernetických bezpečnostných incidentoch II. a III. stupňa a incidentoch s cezhraničným presahom.




  • Blokovaniu musí predchádzať:








    • po zistení škodlivého obsahu na dotknutej doméne informovanie Národnej jednotky CSIRT,




    • komunikácia Národnej jednotky CSIRT s majiteľom a prevádzkovateľom domény,




    • poskytnutie možnosti na odstránenie škodlivého obsahu z dotknutej domény,




    • ak škodlivý obsah nebol odstránený do určenej lehoty, úrad vydá rozhodnutie o blokovaní domény,




    • rozhodnutie úrad oznámi správcovi národnej TLD, ktorý je povinný blokovať doménu so škodlivým obsahom.








  • V prípade odstránenia škodlivého obsahu pred uplynutím lehoty úrad nevydá rozhodnutie o blokovaní a v súčinnosti s majiteľom a prevádzkovateľom domény pokračuje v ďalších fázach riešenia a koordinácie riešenia kybernetického bezpečnostného incidentu.




  • Ak prišlo k blokovaniu domény a škodlivý obsah bol z domény odstránený, majiteľ domény môže požiadať úrad o odblokovanie domény. Súčasťou takejto žiadosti musia byť dôkazy o odstránení škodlivého obsahu z domény. Úrad takejto žiadosti, na základe predložených dôkazov, môže vyhovieť alebo žiadosť zamietnuť. O vyhovení žiadosti alebo jej zamietnutí vydá rozhodnutie, ktoré zašle správcovi národnej TLD.




Legislatívne podmienky


Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o kybernetickej bezpečnosti“).


§ 5 ods. 1 písm. p) - úrad zabezpečuje a zodpovedá za koordinované riešenie kybernetických bezpečnostných incidentov na národnej úrovni,


§ 19 ods. 6 - Prevádzkovateľ základnej služby je ďalej povinný:





  1. riešiť kybernetický bezpečnostný incident,




  2. bezodkladne hlásiť závažný kybernetický bezpečnostný incident,




  3. spolupracovať s úradom a ústredným orgánom pri riešení hláseného kybernetického bezpečnostného incidentu a na tento účel im poskytnúť potrebnú súčinnosť, ako aj informácie získané z vlastnej činnosti dôležité pre riešenie kybernetického bezpečnostného incidentu,




§ 22 ods. 3 - Poskytovateľ digitálnej služby je povinný:





  1. hlásiť každý kybernetický bezpečnostný incident, ak disponuje informáciami, na základe ktorých je spôsobilý identifikovať, či má tento kybernetický bezpečnostný incident podstatný vplyv podľa osobitného predpisu,a to bezodkladne po jeho zistení,




  2. riešiť hlásený kybernetický bezpečnostný incident,




  3. spolupracovať s úradom pri riešení hláseného kybernetického bezpečnostného incidentu.




§ 27 ods. 1 - V prípade závažného kybernetického bezpečnostného incidentu alebo jeho hrozby môže úrad





  1. vyhlásiť výstrahu a varovanie pred závažným kybernetickým bezpečnostným incidentom,




  2. uložiť povinnosť riešiť kybernetický bezpečnostný incident,




  3. uložiť povinnosť vykonať reaktívne opatrenie,




  4. požadovať návrh opatrení a vykonanie opatrení určených na zabránenie ďalšieho pokračovania, šírenia a opakovaného výskytu závažného kybernetického bezpečnostného incidentu (ďalej len „ochranné opatrenie“).




§ 27 ods. 7 - Ochranné opatrenie prijíma prevádzkovateľ základnej služby na základe analýzy riešeného závažného kybernetického bezpečnostného incidentu.


§ 27 ods. 8 - Prevádzkovateľ základnej služby je na výzvu úradu v určenej lehote povinný predložiť navrhované ochranné opatrenie na schválenie. Úrad rozhodnutím navrhované opatrenie schváli a určí lehotu na jeho vykonanie. V prípade, ak prevádzkovateľ základnej služby nenavrhne ochranné opatrenie v určenej lehote alebo ak je navrhované ochranné opatrenie zjavne neúspešné, je prevádzkovateľ základnej služby povinný spolupracovať s úradom, ústredným orgánom a s tým, kto prevádzkuje jednotku CSIRT, na jeho návrhu.


Subjekt, ktorý môže rozhodnúť o blokovaní: Úrad ako národná autorita pre kybernetickú bezpečnosť.


Predkladaný materiál Národným bezpečnostným úradom tak prvý krát  v  histórii Slovenska prináša komplexné riešenie blokovania "škodlivého" obsahu na internete na národnej úrovni. Problém je však v tom, že hranica medzi kybernetickou bezpečnosťou a cenzúrou je v tomto materiály zmazaná.