Pochopení útoků na telekomunikační infrastrukturu.
Začněme příběhem, který se stal a jde o tvrdou realitu – žádná pohádka. Významnému operátorovi začala vypadávat infrastruktura, nešlo se přihlásit k síti. Pokud se podařilo přihlásit, některé typy služeb nefungovaly. Trvalo mnoho hodin, nežli administrátoři sítě přišli s řešením. Útočník získal metodami sociální inženýrství přihlašovací údaje jednoho ze správců serveru, ve kterém podnik provozoval platformu virtuálních serverů. Získal tak možnost ovlivňovat konfiguraci systému, a poškodil proces přihlášení k síti. Rychle došlo k identifikaci útočníka a jeho odpojení od systému. Poškozená konfigurace byla nahrazená ze záloh a postupným spouštěním služeb zmizela závada ze sítě.
Podobné následky měl útok z jiného směru. Útočník prostřednictvím sítě operátora transportoval velký DDOS útok na server třetí strany. Generovaný provoz jedním směrem byl pro prvky sítě natolik netypickou událostí, že jej považovali za vnitřní chybu a vyvolali vlastní restartování, mnoho v krátkém intervalu. Až po znuvobnovení služby sítě mohli technici odpojit zdroj útoku. Pár desítek minut byl jeden celý region bez kvalitního pokrytí.
U obou případů platí – přestože byl zásah profesionální a došlo k rychlému obnovení služby, z pohledu ekonomických důsledků nejsou škody malé. Proto jsou bezpečnostní události vždy důkladně vyšetřovány. Výsledky, analogicky třeba k leteckým nehodám, jsou zveřejňovány pro ostatní. Zveřejnění doprovází doporučení, jak se vektoru útoku v budoucnosti zcela vyhnout. Takové postupy jsou nutné, jsme v dlouhodobé, i když nevyhlášené kybernetické válce. Významnějších útoků proti nějakému cíli v našem kyberprostoru zaznamenáváme několik za minutu, těch inovativních je podstatně méně – o to jsou nebezpečnější. Proto musí být naše obrana proto špičková.
Popsání incidentů z úvodu článku, stejně jako dalších závažných útoků, a jejich zveřejňováním v odborné komunitě vzniká klíčová zpětná vazba pro širokou bezpečnostní komunitu. Protože národní úřady nemají dostatečně širokou odbornost a dosah, jako platforma pro vytváření bezpečnostní databáze slouží už dekády asociace GSMA. Tato oborová asociace sdružuje víceméně všechny mobilní operátory na světě, mezi přidruženými členy jsou prakticky všichni relevantní výrobci telekomunikačních technologií i mobilních telefonů, potažmo celý svět mobilních technologií. Znalosti z databáze útoků slouží operátorům stejně jako návrhářům hardwaru sítí a v neposlední řadě standardizačním orgánům organizace 3GPP, která komunikační protokoly navrhuje. GSMA tak má velmi dobrý vhled do celého ekosystému. Z pohledu aktuální bezpečnosti je však přínosem GSMA okamžité sdílení informací o bezpečnostních incidentech. Jakékoliv události, které směrovaly proti systémům jejích členů jsou v orgánech asociace popsané, a to včetně přijatých nápravných opatřeních a jejich účinnosti. GSM asociace pro své členy zveřejňuje celou soustavu dokumentů, doporučení a postupů, podle kterých svoji bezpečnost řídí.
Ve dvacátých letech 21. století už si neumíme představit svou existenci bez digitálních technologií. Požadavky na digitalizaci všech odvětví průmyslu i služeb už jsou tak samozřejmé, že jakékoliv narušení IT nebo komunikačních systémů vede nutně ke škodám. To znamená, že pro odborníky na informační a komunikační technologie (ICT) je důležité pochopit a reportovat, jak mohou útočníci jejich sítě ohrozit, jak komplexně zabezpečit systémy firem i úřadů tak, aby jakékoli ohrožení mělo co nejmenší vliv na fungování dané organizace. Týká se to pochopitelně i telekomunikačních operátorů.
Důležitosti bezpečnosti důležité ICT infrastruktury si je vědoma i Evropská unie a rozhodla se „rozprostřít“ všeobjímající křídla regulace na každý kout digitálního světa. Nedávno vrcholné orgány unie vydaly novou Směrnici o opatřeních vysoké společné úrovně zabezpečení kybernetické bezpečnosti v celé EU, která je známější pod zkratkou NIS 2. To ale není v kyberbezpečnostní legislativě zdaleka všechno. Politici a úředníci EU přichází s komplexní soustavou směrnic a nařízení. Tyto mají být propojenou soustavou, jež má komplexně řešit problematiku kybernetické bezpečnosti nejpozději od roku 2024, kdy má vše platit i být účinné na národní i evropské úrovni. Například s NIS 2 vydaná směrnice CER určená k posílení odolnosti kritické infrastruktury států EU a chystané nařízení CRA, Cyber Resilience Act, která zavede pravidla kybernetické bezpečnosti pro produkty s digitálními prvky. Tímto výrazem lze označit v zásadě jakékoli zařízení, které je připojeno k síti, ať už jde o hardware, software nebo nejčastěji kombinaci obojího. Výrobci takovýchto zařízení dostanou v rámci CRA závazná pravidla pro bezpečný design HW a SW. Kromě povinnosti dodávat výrobky posouzené s ohledem na známé kyberbezpečnostní hrozby jim vznikne i nová povinnost zabezpečovat prostřednictvím aktualizací systému kybernetickou bezpečnost po celou dobu bezpečnostního cyklu. Nařízení CRA zvyšuje ochranu uživatelských prvků sítí, v podstatě především spotřební elektroniky.
Proč zmiňujeme evropskou regulaci ve stejném článku s popisem procesů v GSMA? Ochrana konkrétních prvků infrastruktury, fyzická ochrana klíčových částí, ochrana koncových zařízení uživatele – evropští činovníci v podstatě převzali základní stavební prvky zabezpečení infrastruktury telekomunikačních sítí a rozšiřují je na obecnou kyberbezpečnost v digitálním světě.
Jak vypadá sdílená databáze znalostí GSMA?
Informační zdroj pro členy asociace má formu neustále doplňované databáze nazvané 5G Cybersecurity Knowledgebase. Znalostní báze samozřejmě neobsahuje toliko prostý popis incidentů, ale také zkušenosti různých týmů při aplikace bezpečnostních opatření. Tyto informace sdílí a konzultuje s akademickou sférou a tajnými službami, s veřejnou sférou a dalšími mezinárodními organizacemi jako je 3GPP, ENISA, NIST. Opatření přímo provazuje s procesy v certifikačních laboratořích, které provádí u konkrétních zařízení v síti test podle bezpečnostního schématu NESAS.
Operátoři a další firmy tak mají k dispozici komplexní kyberbezpečnostní „Wikipedii“, která se rozhodně neomezuje pouze na 5G sítě.
Schéma 5G KB Knowledgebase:
Jak to tedy funguje? Analogii najdete ve svém domácím počítači. Bezpečnostní experti softwarových firem analyzují hrozby zjištěné při útocích, při výzkumu a etickém hackingu. Zjišťují vektory útoků a nastavují opatření, které zpracovávají do bezpečnostních záplat. Váš počítač, pokud je správně nastavený, neustále přijímá nějaké bezpečnostní aktualizace. Ty vylepšují zabezpečení sytému, aktualizují firewall a antivirové prostředí. Podobné je to v sítích operátorů, i když ty jsou z podstaty architektury sítě mnohem bezpečnější nežli nějaké otevřené PC. Standardy telekomunikační infrastruktury jsou od základu stavěné jako extrémně bezpečné, uzavřené a nepřístupné pro zprávu zvenku. Kromě toho nové generace síťových standardů důsledně dbají na šifrování všech úrovní komunikace, a na oddělení uživatelské a řídící roviny. Pomáhá i oddělení jednotlivých částí sítě do jednotlivých segmentů a mikrosegmentů, což znemožňuje kybernetickým pirátům komunikovat mimo tu část sítě, kterou se jim mohlo podařit penetrovat.
Jaké jsou nejčastější směry útoků proti infrastruktuře telekomunikačních sítí?
Bezpečnostní experti, kteří participují na tvorbě 5G Cybersecurity Knowledgebase, se shodují na největších hrozbách pro bezpečnost kritické ICT infrastruktury. Co se týká následků a četnosti útoků, s přehledem vedou DDoS útoky, kdy se útočníci snaží narušit nebo poškodit cíl (například webovou stránku) tím, že k němu vyšlou nadměrné množství nevyžádaných požadavků. To má za důsledek selhání a výpadky dané služby, případně „pád“ webové stránky. Velmi podobně – co se závažnosti týče – vychází sociální inženýring. Tímto pojmem označujeme podvodné jednání, které má za cíl získat od oběti citlivé údaje – například osobní informace, údaje k platebním kartám nebo přístupová hesla. Z pohledu mobilních sítí bylo dlouhou dobu závažným problémem vytvoření falešné základnové stanice (BTS, eNodeB) útočníkem. Útoky typu MITM (man-in-the-middle) a rádiové rušení sítě hrozí především u starších generací mobilních sítí. Spolu se zvyšující se mírou zabezpečení sítí, které navíc evolučně přešly na paketové principy posílání dat, začínají útočníci preferovat útok prostřednictvím uživatelských terminálů, tj. koncových prvků sítě. Nad těmi totiž nemá bezpečnostní tým telekomunikačního operátora systémový dozor a systémový dohled. Narůstající hrozbu představují systémy také IoT – takzvaného „internetu věcí“, kdy spolu vzájemně komunikují propojená zařízení (vozidla, domácí spotřebiče, ale třeba také prvky zabezpečovacích systémů budov.
Z pohledu telekomunikační infrastruktury je tím „ohrozitelným“ místem jádro sítě, Core. V jádru se nachází procesy řízení, oprávnění přístupu a toku dat, ale také úplně „netechnické“ prvky. Účtování předplacených i tarifních služeb nebo omezení obchodního charakteru (FUP, omezení rychlosti) spravují samostatné moduly ve virtualizovaném prostředí. Část funkcionalit „běží“ na standardních databázových aplikacích a používá úplně stejné virtualizační platformy, které jsou užívány třeba v bankách. Jen část kapacity jádra souvisí se samotným provozem telekomunikační infrastruktury. Proto část bezpečnostních vážných bezpečnostních incidentů, popsaných v GSMA bezpečnostní databázi, řeší úplně stejné vektory útoků, jaké řeší v ostatních ICT infrastrukturách – bank, úřadů či v energetice.
Naopak komponenty telekomunikační sítě – vysílače, rádiové a optické přenosové prvky, nemají v žádném incidentu popsaném GSMA na svědomí ani jeden bezpečnostní záznam. GSMA nereportuje nic o kompromitaci funkční součásti telekomunikační sítě. Není se čemu divit, při dodržení i těch nejzákladnějších bezpečnostních zásad je hypotetické využití „backdooru“ v nějakém zařízení v podstatě nesmyslnou tezí. I kdyby bylo zabezpečení nedostatečné, což není, útočník mnohem snadněji zaútočí na ICT infrastrukturu z rozsáhlého prostředí kyberprostoru mimo přenosovou, telekomunikační část. Ano, častou hrozbou pro ICT sítě je malware a neoprávněný přístup třetích stran prostřednictvím „zadních vrátek“, jenomže ten přichází z prostoru za předávacím rozhraním pečlivě střežené sítě. Ochrana digitálního prostoru má v prostoru za telekomunikačním rozhraním řádově větší nedostatky, na které se musíme pečlivě zaměřit.
Zdroj: https://www.lupa.cz/clanky/jak-se-operatori-brani-utokum-na-telekomunikacni-infrastrukturu/