Coolhousing: Největším lákadlem pro útočníky jsou SIP servery zajišťující VoIP
Každé významnější datacentrum či operátor, který je členem unikátního českého projektu FENIX, má v obecné rovině za povinnost intenzivně dohlížet na bezpečnost vlastní sítě. Poměrně zajímavá data a statistiky díky svému členství může nyní nabídnout i známé pražské datacentrum Coolhousing, a to přesně za rok svého působení ve FENIXu. Největším lákadlem jsou pro útočníky prý SIP servery zajišťující telefonování přes internet (VoIP).
Scrubbing centrum datacentra Coolhousing produkuje již nyní po ročním zapojení do bezpečnostního projektu FENIX zajímavé statistiky. Velmi oblíbeným cílem kyberzločinců jsou podle něj servery provozující zejména SIP služby, tedy internetovou telefonii. Jde především o pobočkové ústředny a podobná zařízení.
Když přátelské skenování způsobí škody
Jedná se o útoky známé jako „přátelské skenování“, které však ve skutečnosti přátelské nejsou ani v nejmenším. Útočník se totiž pokouší hrubou silou prolomit přístupové údaje k SIP serveru nejčastěji naslouchajícímu na portu 5060. Tato aktivita server neúměrně zatěžuje, čímž dochází k výpadkům služby nebo k výraznému zhoršení kvality hovoru. Pokud se navíc útočníkovi testováním náhodných kombinací podaří některý existující účet zpřístupnit, může server využít například k drahým mezinárodním telefonním hovorům a jeho majiteli tak způsobit nezanedbatelné finanční škody.
Útoky na slabiny webů a databáze
Pozadu ovšem nezůstávají ani útoky zaměřující se na slabiny webových aplikací či databázových serverů a pokouší se jejich prostřednictvím získat přístup k citlivým datům v databázích. Technika se nazývá SQL inject. Jde o pokus odeslat databázovému serveru příkaz, který by vyvolal útočníkem požadovanou (a pro provozovatele samozřejmě nežádoucí) odpověď, jíž může být například zobrazení soukromých údajů uživatelů, nahrazení dat v databázi či její poškození.
DDoS útoky stále aktuální
A není nezajímavé, že i téměř po dvou letech se v síti objevuje velké množství DDoS útoků pokoušejících se využít známé Heartbleed zranitelnosti v šifrování knihovny OpenSSL.
Obecně lze říci, že útoky jsou dobře cílené. Pokud útočník zjistí zranitelnost konkrétního serveru, neváhá ji příslušným způsobem využít. Scrubbing centrum v naší síti využívá síťových prvků Radware DefensePro, které vytváří tzv. šedou zónu, do níž útočník zjednodušeně řečeno nevidí. Umíme tak sice snížit pravděpodobnost zneužití bezpečnostní slabiny zákaznického serveru, to ale nijak nesnižuje nároky na péči o zabezpečení serveru ze strany zákazníků.
Bezpečnostní projekt FENIX
Coolhousing (www.coolhousing.cz) se stal členem důvěryhodné sítě FENIX přesně před rokem. Síť má prověřené operátory na českém internetu chránit před důsledky DDoS útoků. Projekt FENIX je snahou o vytvoření chráněného kousku tuzemského internetu odolného proti masivním DDoS útokům. Vznikl na půdě českého peeringového uzlu NIX.CZ již v roce 2013 jako reakce na silné útoky, kterým v březnu 2013 čelila nejen internetová infrastruktura, ale také významná česká média, banky nebo operátoři. Smyslem FENIXu je zachovat v případě DDoS útoku dostupnost internetových služeb alespoň u zapojených subjektů, což znamená, že i datacentra Coolhousing.
Jednou z podmínek členství v síti FENIX je existence kvalifikovaného týmu pro zjišťování a řešení bezpečnostních hrozeb CSIRT, a tím i důkladného monitoringu vlastní sítě. V této aktivitě šel Coolhousing ale ještě dál a v září 2015 zprovoznil vlastní scrubbing centrum, neboli místo v síti, jež očistí příchozí komunikaci od celé řady různých známých i heuristicky detekovaných útoků.
