CSIRT, nebo CERT?

Ani po více jak roce se naše ministerstvo vnitra nedokázalo rozhodnout, které ze dvou větví boje proti bezpečnostním incidentům na internetu dá přednost. Zda celé hierarchii CSIRTů, která vzniká v rámci jeho vlastního výzkumného projektu, nebo osamocenému CERTCZ.ORG.

Pokud vám zkratky jako CERT či CSIRT nic neříkají, pak si z toho nic nedělejte. Zatím jste o nich – alespoň v našich zeměpisných šířkách – moc slyšet ani nemohli. Možná jste ale zaznamenali velmi podobně znějící jméno „CzERT“, o kterém se psalo i zde na DSL.cz, naposledy i v rubrice „IT nevážně“. Byla to skupina hackerů, kteří se v dřívějších dobách vyznamenali několika odvážnými kousky, od humorných „předělávek“ některých známých webů (jednu z nich můžete vidět zde) až po méně humorná „vloupání“

Své jméno CzERT odvozovali od anglického „Czech Emergency Response Team“. Jenže to byla spíše slovní hříčka či parodie, protože opravdový „Emergency Response Team“ stojí na opačné straně pomyslné barikády. Tedy řeší bezpečnostní incidenty a jejich následky místo toho, aby je sám vyvolával. A úvodní „C“ v jeho názvu (CERT) je z anglického „Computer“, což zdůrazňuje zaměření na eliminaci „počítačových“ bezpečnostních incidentů.

Úplně první CERT (Computer Emergency Response Team) na světě přitom vznikl již v roce 1988 v USA v reakci na známý incident s tzv. Morrisovým červem. Ten stihl napadnout většinu počítačů na internetu, dříve než se správci sítí vůbec dozvěděli, že se něco děje a bylo by vhodné přijmout určitá protiopatření. A právě proto vznikla skupina (Team), která měla za úkol reagovat (odpovědět, „Response“) na nenadálé situace („Emergency“), ohrožující počítače a počítačové sítě („Computer“). 

CERT jako CSIRT

Samotný termín „CERT“, znamenající právě „Computer Emergency Response Team“, je chráněnou značkou v držení Carnegie-Mellon University. A tak se v praxi lze setkat častěji i s jiným termínem: CSIRT, alias „Computer Security Incident Response Team“. Formálně je sice jiný a explicitně akcentuje bezpečnostní incidenty (Security Incident), ale fakticky je vnímán jako synonymum k CERTu.

Klasický CERT (CSIRT) ale není žádným represivním orgánem, který by fungoval jako nějaký policejní orgán a měl právo někomu něco nařizovat, zakazovat, někoho odpojovat atd. K tomu obvykle nemá žádné zmocnění. Jeho role je spíše koordinační a usiluje o to, aby se informace o potřebě podniknout určité kroky dostala k tomu, kdo už má možnost, právo a často i povinnost je provést.  Tedy k provozovatelům příslušných počítačových sítí, resp. jejich správcům, síťovým specialistům atd. A to jak v přímé a bezprostřední reakci na již nastálé hrozby s cílem zastavit jejich eskalaci, tak i v podobě prevence s cílem nedat prostor ke vzniku nových incidentů.

Za povšimnutí určitě stojí i to, že CERT či CSIRT není jeden, ať již na světě či v každém státě. Právě naopak. Provozovatelé větších sítí, ať již akademických, komerčních či jiných (například ve veřejné správě), si obvykle vytváří vlastní CERTy, a tyto mezi sebou úzce spolupracují. Fakticky tak vzniká celá komunita, pro kterou je vzájemná spolupráce naprosto nezbytným předpokladem úspěšné práce. Stejně jako vhodně nastavené mechanismy spolupráce při řešení konkrétních incidentů, včetně forem „krizové komunikace“ a znalosti vzájemných rolí, postavení, odpovědností, kompetencí atd. Jakékoli “hraní si na vlastním písečku“ či vzájemné soupeření by naopak šlo proti celému duchu toho, co a jak mají CERTy/CSIRTy dělat a jak mají fungovat.

Jen některé CERTy/CSIRTy mohou mít i určité pravomoci, pokud jde o možnost zásahů v sítích konkrétních vlastníků (jako je odpojování určitých uzlů, blokování určitého provozu atd.). To v případě, že se jejich existence a statut opírá o potřebné zákonné zmocnění, a samotné CERTy/CSIRTy jsou zřízeny a provozovány přímo orgány státu, či alespoň z jejich pověření. Mnohem častěji takovéto pravomoci nemají, konkrétní zásahy dokáží prosadit jen v rámci sítí svých zřizovatelů, a požadavky na zásahy v jiných sítích mohou pouze předávat dalším subjektům (vlastníkům příslušných sítí, resp. jejich správcům).

Co a jak mohou CERTy dělat?

Jak ale potom  mohou CERTy/CSIRTy fungovat a jak mohou čelit konkrétním incidentům, když jsou jejich přímé kompetence obvykle jen velmi omezené?

Ukažme si to na dvou příkladech. Pokud se například objeví nějaká nová vlna DOSových útoků, mohou CERTy v napadených oblastech identifikovat zdroj tohoto útoku a kontaktovat příslušné „místní“ CERTy se žádostí o zásah. Ty se pak snaží co nejrychleji upozornit provozovatele konkrétní sítě, že má ve své síti „škodnou“. A ten již může být oprávněn k zásahu vůči svému zákazníkovi, který porušuje závazná pravidla použití jeho sítě. 

Nebo jiný příklad - s phishingovými maily. Ty mohou přicházet z velkého počtu míst, které nemusí být možné nějak zablokovat. Ale už může být schůdné zablokovat přístup k podvodným stránkám, ke kterým mají být podvedení příjemci skrze phishing přesměrováni. Těch totiž bývá podstatně méně. Ovšem informace o tom, které stránky (resp. adresy) to jsou a jaké nebezpečí představují, se musí nejprve (a co nejdříve) dostat ke správcům sítí, kteří již mají možnost a právo je učinit nedostupnými.

I z těchto dvou příkladů je patrná nezbytnost toho, aby CERTy/CSIRTy vzájemně spolupracovaly, a aby s nimi spolupracovali i internetoví poskytovatelé jako provozovatelé konkrétních sítí (a jejich správci). Zkrátka aby šlo o komunitu, která teprve má šanci něčeho dosáhnout.

Vzájemné koordinaci a komunikaci CERTů/CSIRTů z celého světa pak pomáhají i nadnárodní platformy. Jako například FIRST (global „Forum for Incident Response and Security Teams“), či Task Force v rámci organizace TERENA (TF-CSIRT).

A co v ČR?

Česká republika pochopitelně nezůstává stranou snah o budování a fungování týmů typu CERT/CSIRT, a to na různých úrovních, včetně „národní“. Bohužel ale dlouhou dobu zůstávalo jen u snah, či spíše deklarovaných záměrů.

Například již v roce 2001 Ministerstvo vnitra připravilo dokument s názvem „Koncepce boje proti trestné činnosti v oblasti informačních technologií včetně Harmonogramu opatření“, a v něm si samo dalo úkol s termínem „do 30.6.2002“:

Vypracovat projekt hlásného systému pro trestnou činnost v oblasti informačních technologií. Iniciovat vznik a podporovat činnost skupiny typu CERT (Central Emergency Response Team) jako nevládního sdružení kvalifikovaných odborníků informujících ostatní profesionály o bezpečnostních problémech a reagujících na probíhající útoky.

Následně se obdobný záměr objevil i v dalších koncepcích – nicméně stále zůstávalo vše jen na papíře. A tak se první CERTy/CSIRTy zrodily nezávisle na záměrech státu, nejprve na akademické půdě a posléze i v rámci samosprávy. Na přelomu let 2003 a 2004 vzniká CESNET-CERTS v rámci celostátní akademické sítě CESNET, a své CERTy si následně vytváří i jednotlivá akademická centra (např. WEBnet Incident Response Team, v rámci sítě WEBnet na Západočeské univerzitě v Plzni). Příkladem z oblasti samosprávy může být vlastní CERT, který si v roce 2005 zřídila Správa informačních technologií města Plzně.

Aktivita na linii státu přichází teprve v roce 2006, kdy Ministerstvo vnitra vypisuje v rámci svého výzkumného programu čtyřletý projekt s názvem „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů ČR“. Jeho záběr je poněkud širší, ale zahrnuje i budování distribuované sítě pracovišť typu CSIRT a nastavování vazeb mezi těmito týmy. Vedle toho pak i „přípravu organizačních a legislativních podkladů pro provoz vrcholových týmů CSIRT v České republice“.

Ve výběrovém řízení na řešitele nakonec uspělo konsorcium vedené Matematicko-fyzikální fakultou UK v Praze a zahrnující mj. i sdružení CESNET a další fakulty a akademická pracoviště (Právnickou fakultu, Fakultu sociálních věd, Elektrotechnickou fakultu ČVUT) či firmu NESS Czech. V polovině roku 2007 bylo výběrové řízení uzavřeno a práce na řešení projektu mohly započít. Minulý týden, konkrétně 3.4.2008, pak byla zahájena pilotní fáze, v rámci které bude vybudován základ celé budoucí hierarchie CSIRTů, včetně „modelového pracoviště“ zastřešujícího CSIRT týmu.

Stavět se přitom bude zejména na zkušenostech CERTu Cesnetu (CESNET-CERTS), který za dobu své existence stihl získat potřebné zkušenosti a také se etablovat na mezinárodní úrovni v rámci celé komunity CERTů/CSIRTů. Součástí projektu pochopitelně je i navázání spolupráce s předními tuzemskými ISP a iniciování vzniku „dalších pater“ celé hierarchie CSIRTů. Průběh řešení celého projektu můžete sledovat i na jeho webových stránkách, na adrese http://www.csirt.cz/.

Na konci celého 4-letého projektu, v roce 2010, by vybudované a „zaučené“ modelové pracoviště, zastřešující celou hierarchii, mělo být předáno resortu vnitra, které jeho fungování  převede z pilotního do rutinního provozu.

Dvojkolejnost věci neprospívá

Nad tím, jak resort vnitra naloží s výsledky svého vlastního projektu, a zda bude vznikající hierarchii CERTů/CSIRTů dále rozvíjet či s ní udělá něco jiného, však stále visí podivný otazník.

Již v únoru 2007, a tedy v době, kdy resort vnitra teprve vyhodnocoval své výběrové řízení na  vybudování celé hierarchie CSIRTů, konstatoval jiný orgán státní správy, že vršek takovéto hierarchie, v podobě „národního CERTu“, již existuje. Jde konkrétně o tehdejší Ministerstvo informatiky ČR, které 1.2.2007 podepsalo memorandum se společností Relsie, a v něm konstatovalo, že:

Relsie provedla výstavbu národního CERTU …. a tento CERT zprovozní veřejnosti v prvním čtvrtletí 2007

Národní CERT bude provádět výměnu informací s jinými národními CERTy členských států ES

Ministerstvo přejímá záštitu nad činností národního CERTu …..

Na první pohled by se mohlo zdát, že jde o klasickou ukázku toho, jak jeden resort neví, co dělá druhý, a oba tak rozjíždí stejně zaměřené aktivity po vlastní linii. Tak tomu ale není. V době podpisu uvedeného memoranda, které fakticky pověřuje privátní subjekt zastupováním „počítačově-bezpečnostních zájmů státu“ i směrem do zahraničí, již bylo po parlamentních volbách v roce 2006, v čele ministerstev vnitra a informatiky stál stejný (dvoj)ministr Ivan Langer, a přípravy na zrušení resortu informatiky byly v plném proudu. Pod samotným memorandem pak je podepsán tehdejší 1. náměstek ministra informatiky Zdeněk Zajíček, který už v té době byl (a dodnes je) náměstkem téhož ministra i na ministerstvu vnitra. Takže představa, že jedna ruka nevěděla, co dělá druhá, zde skutečně nepřipadá v úvahu.

Pokud se podíváme na stránky samotného CERTCZ.ORG, jak se tento „národní CERT“ jmenuje, najdeme zde informace, které příliš nekorelují s obsahem citovaného memoranda. Například místo „zprovoznění veřejnosti v prvním čtvrtletí 2007“ se zde dozvíme, že začátek fungování tohoto CERTu se datuje až k 5.12.2007 místo k prvnímu čtvrtletí 2007. A to nejde o řádný provoz, ale pouze o provoz pilotní.

Dalším kuriózním rozdílem oproti memorandu je to, že nejde o žádný „Computer Emergency Response Team“, jak tuto zkratku rozepisuje memorandum a jak zní obvyklá praxe, nýbrž „Computer Emergency Readiness Team“. Tak se to alespoň uvádí v hlavním dokumentu CERTCZ.ORG, který se jmenuje (podle mého názoru pro daný účel neméně kuriózně) „Příručka jakosti CERTCZ.ORG“.

Ještě větší záhadou (alespoň pro mne) je zamýšlená působnost „národního CERTu“ CERTCZ.ORG. Jedna z mála stop po aktivitách CERTCZ.ORG, které se mi podařilo na internetu najít, vede k vystoupení zástupce CERTCZ.ORG doc. Sedláčka na zasedání task force TS-CSIRT (v rámci organizace TERENA) v Praze, v dubnu 2007. Z prezentace doc. Sedláčka, i ze zápisu tehdejšího jednání přitom jednoznačně vyplývá, že působnost CERTCZ.ORG zde byla prezentována jako omezená, jen na oblast veřejné správy (tj. státní správy a samosprávy). Dokonce to bylo rozvedeno až do představy, že celá veřejná správa bude připojena do uzavřeného intranetu, který bude propojen se zbytkem světa jen prostřednictvím jedné jediné IP adresy – a že CERTCZ.ORG bude zodpovědný právě za toto rozhraní s jednou jedinou adresou.

Ovšem obsah memoranda, uzavřeného ještě před zmiňovaným vystoupením, ani obsah webových stránek dnešního CERTCZ.ORG, žádné omezení jen na veřejnou správu neobsahují. Sám CERTCZ.ORG na svém webu vymezuje svou působnost ve smyslu „rozsahu IP adres specifikovaných … jako IP adresy pro Českou republiku a současně pro doménu .CZ“. 

Pokud jde o praktickou činnost CERTCZ.ORG, o té asi nejlépe svědčí obsah sekce jeho webu, popisující konkrétní akce:

Zde jsou umísťovány akce CERTCZ z oblasti bezpečnosti. V současné době nejsou plánovány žádné akce.

Nicméně už samotnou svou existencí tento „národní CERT“ nutně vznáší zmatek do celé oblasti. Nejde ani tak o to, že by v celé hierarchii CERTů/CSIRTů nebylo místo pro žádný další prvek s působností pro veřejnou správu. To vůbec ne, právě naopak. Problém je ale v neujasněnosti celé hierarchie. S kým mají komunikovat a na koho se obracet zahraniční subjekty, když potřebují naléhavě řešit nějaký incident, který se týká i České republiky? Mají si nejprve podat oficiální dotaz na ministerstvo vnitra, zda je „národním“ kontaktním místem CSIRT.cz, nebo CERTCZ.ORG?

No, asi by slyšeli stejně vyhýbavou odpověď, jakou jsem na svůj dotaz ohledně celé dvoukolejnosti dostal při prezentaci CSIRTu.cz minulý týden, od představitele resortu vnitra:

„...Musíme to teprve nějak vyřešit … “.

8. 4. 2008

Autor: Jiří Peterka