Reportáž: uvnitř atomového bunkru společnosti Symantec

Britské Bezpečnostní Operační Centrum společnosti Symantec se nachází v jednom z kopců nedaleko Winchesteru ve Velké Británii; firma si zde pronajímá atomový kryt, jenž byl postaven v devadesátých letech.

Avšak nenechte se mýlit - uvnitř bunkru to totiž vypadá jako v jakékoli jiné kanceláři. Konkrétně objekt obývá tým Managed Security Service (MSS), který se stará o filtrování a monitorování souborů, které jim uživatelé pošlou ze svých detektorů průniku a firewallů.
Za jeden den tým zanalyzuje na 1.5 miliardy řádků kódu.

Tým MSS se nachází ve velké místnosti bez oken v hlavní části bunkru; naleznete zde 15 pracovních stanic v řadách po pěti. Na pozadí pak běží britský zpravodajský kanál Sky News.

Přísná bezpečnost

Do bunkru nemá nikdo přístup - jakékoli návštěvy musí být nahlášeny alespoň jeden den předem. Zákazníci Symantecu pak před vstupem musí podepsat papír, ve kterém se zaručí, že neprozradí nic, co v bunkru spatřili.

Jakmile se pracovník dostane dovnitř, musí se přihlásit ke své pracovní stanici - při jakémkoli odchodu se zase odhlásí. Budovu také hlídají tři kamery, schopné otáčet se o 360 stupňů, a vše je nahráváno na digitální rekordér a uchováváno 30 dnů. Bunkr funguje 24 hodin denně, sedm dní v týdnu; minimálně zde pracují čtyři analytici, maximálně patnáct.

A že má tým co dělat - na celém světě využívá produkty Symantecu na 120 milionů desktopů, a většina z nic odesílá k rozboru různá data. Jakmile jsou tyto odeslána, jdou ihned k analýze, a pokud je zjištěno, že se jedná o nebezpečný soubor, či útok, je ihned odesláno upozornění zpátky k uživateli.

"Pokud je situace opravdu kritická, klidně zvedneme telefon a zavoláme uživateli 'Můžete být v nebezpečí'," dodává Jeff Ogden ze Symantecu.

Všechny informace od zákazníků jsou shromažďována centrálně a prochází dvěma filtry - první "progressive threat model", který rozhodne, zda je ten který kód nebezpečný, a druhý "expert query engine", jenž rozhodne, jaké nebezpečí hrozí a odkud přichází. Kód pak vyhodnotí specialista Symantecu a umístí jej do jedné následujících kategorií:

Informační - zákazníkův počítač byl skenován útočníkem, avšak žádné další nebezpečí nehrozí.
Varování   - uživatelův počítač byl skenován útočníkem, který v systému zjistil nějakou bezpečnostní chybu
Kritická   - zákazníkův počítač byl skenován útočníkem, jenž v systému zjistil bezpečnostní chybu, pomocí které na počítač útočí
Velmi naléhavá - útočník se pravděpodobně dostal do systému uživatele.

Celosvětová síť

Bezpečnostní Operační Centrum v Winchesteru je součást globální monitorovací sítě firmy Symantec - další centra se nacházejí v Sydney, Mnichově, Velké Británii a dvě také ve Spojených Státech.

Symantec také monitoruje viry, které byly nalezeny uživateli jejich produktů; firma také skenuje až 25 procent celosvětové emailové sítě - k tomuto účelu existují tzv. emailové schránky "honeypot", které společnost nepoužívá k ničemu jinému než k shromažďování spamu, virů, trojských koní atd., které analyzuje.

Nová nebezpečí

Nejnovějším "hitem" mezi útočníky se stávají tzv. botnety - sítě ovládnutých počítačů nic netušících lidí, které většinou bývají použity pro útoky typu DoS (počítače zahltí webový server, který se následně zhroutí). Podle Symantecu je nárůst botentů (např. ve Velké Británii tento rok o 100 procent) velkým problémem. Společnosti také dodává, že ve Velké Británii je nejvíce botnetů na světě.

"Více než třetina botnetů, které jsme viděli, se nachází v Británii," říká Ogden.

Podle Symantecu se počítač (bez antiviru a Service Packu 2) může do takové sítě dostat do osmi minut od vkročení na webovou stránku útočníků.

Avšak pokud Symantec zjistí, že se váš počítač nachází v některé s z těchto sítí (a nejste jejich zákazníkem), nebude vás o tom informovat.

"Takových PC jsou tisíce a my nemáme čas kontaktovat všechny uživatele. Prioritou jsou pro nás zákazníci. Spolupracujeme také s policií, avšak nechce-li zákazník poskytnout svá data úřadů, rozhodně ho k tomu nemůžeme nutit" ukončuje Ogden.

Zdroj: ZDNet.co.uk