Projekt Fenix, který má část tuzemské internetové infrastruktury chránit proti velkým DDoS útokům, už nějakou dobu funguje. Jak je na tom?
Tuzemští provozovatelé internetové infrastruktury o tom veřejně příliš mluvit nechtějí, mimo záznam ale přiznávají, že na jejich servery a datová centra míří početné DDoS útoky v podstatě každý den a že je velice těžké tomu vzdorovat. Ne vždy je takový útok probublá navenek a administrátoři se snaží dělat vše proto, aby zákazníci a uživatelé nic nepoznali.
DDoS útoky na sebe v Česku čas od času vedou i někteří konkurenti. Minimálně tedy o tom někteří z nich mluví, i když je samozřejmě těžké něco takového dokázat. Útoky lze jenom těžko vystopovat.
Hodně medializované DDoS útoky na weby tuzemských bank, médii či operátorů před měsíci ukázaly, že česká infrastruktura není na takové velké akce připravená. Tuzemský internetový uzel NIX.CZ tak přišel s projektem nazvaným FENIX. Jeho cílem je propojit bezpečné provozovatele tak, aby v případě DDoS útoků bylo možné se od zbytku odpojit a vyměňovat si data alespoň v rámci takto propojených sítí.
Možná také na Slovensko
Fenix už má určitou dobu hájení za sebou a je do něj zapojeno 10 velkých provozovatelů: Seznam, O2, Casablanca, Dial Telecom, CESNET, ČD-Telematika, Active24, NIX.CZ, CZ.NIC a Coolhousing. V přijímacím řízení jsou i další zájemci a NIX zvažuje také to, že projekt rozšíří na Slovensko. „Díky převzetí projektu SITELiX se nabízí rozšíření projektu Fenix na Slovensko. Ohledně této záležitosti jsme ale na začátku. Diskuse s tamními sítěmi nás teprve čeká,“ říká ředitel NIXu Martin Semrád.
Fenix je ve světě v podstatě první projekt svého druhu (po jeho vzniku se objevily dvě podobné zahraniční akce: Routing Resilience Manifesto a Trusted Networks Initiative), což v odborných kruzích vyvolává dvě reakce: buďto je to skutečně inovativní nový pokus, nebo pouhá teorie o bezpečném internetu, který prostě technicky úplně bezpečný být nemůže. O tom, že skutečně ultimátní ochrana neexistuje, ostatně mluví i současní členové Fenixu.
„Za nás mohu říci, že by nás vstup do Fenixu zajímal zejména kvůli propagaci a PR,“ říká například jeden z potenciálních nových členů. NIX totiž členům Fenixu uděluje „nálepky“ důvěryhodného operátora připojeného k důvěryhodné síti.
Tyto názory se vyskytují, další zkušenosti ale mluví v mnohem více pozitivních aspektech. Skutečná funkčnost ochrany proti DDoS útokům sice ještě reálně využitá být nemusela, současní členové se ale shodují v tom, že celý projekt do hry přináší minimálně nějaký řád a aktivitu. „Naštěstí jsme zatím nemuseli výhody Fenixu využít v praxi, pokud tedy nepočítám, že se řídíme danými pravidly,“ pokyvuje technický ředitel Seznamu Vlastimil Pečínka.
Bezpečnostní týmy a pravidla
Podle šéfa NIXu Martina Semráda reálné dopady Fenixu představují „založení bezpečnostních týmů, ustanovení postupů či třeba implementaci BCP 38 (filtrování)“. Ony bezpečnostní týmy mají hrát významnou roli. Fenix ve vstupních podmínkách (mimo zavádění technických opatření) nařizuje vytvoření takzvaných CERT/CSIRT týmů, které pak monitorují incidenty a provoz v síti a o výsledky se dělí s ostatními. Vzniká tak propojení vědomostní síť a známé postupy, jak v případě jednotlivých útoků postupovat.
Nálepky, které NIX.CZ členům Fenixu uděluje.
„Díky tomuto projektu se počet aktivních bezpečnostních týmů v ČR jen za poslední rok zdvojnásobil. Zástupci těchto týmů a zástupci členů projektu FENIX komunikují jednak operativně a vyměňují si informace o probíhajících hrozbách a zároveň se pravidelně setkávají, vyměňují si know-how a prohlubují vzájemnou spolupráci, což pak významně urychluje rychlost a účinnost reakce na bezpečnostní incidenty a omezuje se jejich počet přijatými preventivními opatřeními. V rámci těchto aktivit se zástupci bezpečnostních týmů účastní i různých cvičení kybernetické bezpečnosti, která pořádá EU, NATO i lokální autority. Tím se odhalují nedostatky v systému a prohlubuje se zkušenost zainteresovaných subjektů, aby zásahy proti předvídatelným hrozbám probíhaly pokud možno rychle a dle ověřených a procvičených rutinních postupů podobně, jako u cvičení bezpečnostních složek státu,“ vysvětluje Tomáš Hála ze společnosti Active24.
Hála zároveň upozorňuje, že Fenix není možné vnímat pouze jako nějakou „čističku“ na DDoS útoky, že nejde pouze o samotné technické řešení, ale o celou sadu procesů a podobně.
NIX chce v budoucnu do projektu také více vtáhnout národní bezpečnostní tým CSIRT.CZ, který funguje pod sdružením starající se o českou doménu CZ.NIC.
Co nejvíce členů a dat. Až na jednoho
Je tedy možné, že Fenix postupně v Česku buduje určitý bezpečnostní standard a pojmenovává a urychluje věci, které sice mnoho zapojených hráčů už v minulosti dělalo, ale ne s takovou razancí. „Díky projektu Fenix jsme některé procesy akcelerovali, jiné, které u nás běžely jako standard několik let, jsme pouze pojmenovali,“ popisuje Mikuláš Labský ze společnosti ČD-Telematika.
FENIX se v praxi prozatím ukazuje především tím, že urychluje vznik bezpečnostních týmů, standardů a postupů.
Fenix chce do budoucna nabírat další členy. „Smyslem projektu je, aby se do něj zapojilo co nejvíce českých sítí připojených do NIX.CZ,“ vzkazuje Martin Semrád. To dává jistou logiku – čím více sítí ve Fenixu bude, tím více dat bude možné vyměňovat v případě, že k DDoSu dojde. Fenix by v podstatě nebyl k mnoha věcem, kdyby do něj nevstoupili skutečně velcí hráči, kteří na své infrastruktuře obsah mají.
Takto se každopádně nestane v případě SuperHostingu. Významný tuzemský hostitel dat byl z NIXu vyloučen. Oficiálně kvůli střetu zájmů, protože Zdeněk Cendra zároveň provozuje první komerční peeringové centrum Peering.cz konkurující právě NIXu, neoficiálně se nicméně mezi některými členy mluví i o jiných vlivech. Samotný Peering.cz projekt podobný Fenixu nechystá.
Izrael, ČEZ a JIC chtějí v Česku kybervýcvikovou arénu
VUT v Brně otevře obor pro kybernetickou bezpečnost
