Spravuji menší počítačovou síť, jejíž součástí je i veřejný mailový server. V průběhu let se setkávám s různými typy útoků na tento server a kladu si otázku, co bychom ještě mohli udělat, aby útoků bylo méně. Ráda bych rozvířila diskusi na toto téma a přidala i pár svých podnětů.
Zaznamenávám tři typy pokusů o proniknutí do mailového serveru. První typ bych si tipla na jednotlivce, kteří zkouší hesla z různých úniků (HaveIBeenPwned.com). Takový uživatel typicky vyzkouší přihlášení několika způsoby (celá mailová adresa nebo jenom její část před zavináčem a jedno nebo dvě hesla). Pokud se mu přihlášení nezdaří tak odchází.
Druhý typ pokusu o průnik bych viděla už jako pokročilejšího „piráta“. Tyhle útoky jdou ve větší kadenci. Obvykle se jedná o pokusy o přihlášení z několika IP adres v krátkém časovém úseku. Dost často jsou to požadavky z jedné podsítě, typicky z Číny nebo Ruské federace. Zajímavostí byl takovýto útok z Itálie v době, kdy tam propukla první dramatická vlna nemoci COVID.
Třetí typ útoku jsem zaznamenala teprve nedávno a byl vysoce profesionální. Útok trval dva dny a byl vedený tak, aby nezahltil server. První den byly testována dvě přihlášení (mailové adresy), druhý den další dvě. Požadavky pocházely vždy jen z jedné (maximálně dvou) IP adresy a až po jejím zablokování při opakovaných neúspěšných přihlášeních se přesunuly požadavky na jinou IP adresu. Adresy byly rovnoměrně distribuovány z celého světa. Samozřejmě převládaly země jako je Čína, Ruská federace a Vietnam, ale poměrně dost požadavků bylo z Indie, Mexika, Brazílie a USA. Nebyly výjimkou ani požadavky z evropských států včetně jednoho ze Slovenska a čtyř z České republiky. Z výše uvedeného je zřejmé, že se jednalo o síť botnetů, napadených počítačů, které pro útočníky dělaly špinavou práci.
Co tedy můžeme udělat pro bezpečnější sítě? Samozřejmě můžeme nasazovat různá technologická řešení pro zabezpečení našich serverů. Můžeme analyzovat provoz v síti a při podezření na nekalou činnost takový provoz blokovat. To je to, co můžeme dělat my na naší infrastruktuře. Zásadní změna by ale měla nastat v tom, že do boje by se měli zapojit poskytovatelé internetu. Vždyť se jedná o jejich reputaci, když útoky pocházejí z jejich sítí. Vždyť i oni mohou být ohrožováni, pokud se v jejich síti nachází zotročené zařízení, která napadá jiné počítače.
Líbil by se mi systém, kde bych blokovala podezřelý provoz na základě reputace sítí. Líbila by se mi možnost jednoduchým způsobem nahlásit útok poskytovateli internetu, který by žádost prověřil a přijal příslušná opatření. To by šlo celkem slušně automatizovat.
Říkala jsem si, že začnu „v malém“ a pokusím se alespoň nahlásit ty čtyři české útoky. Dva pocházely ze sítě Tlapnet. Na jejich webu jsem našla mail podpory a zaslala informace o útoku. Druhý den jsem měla odpověď, že se jednalo o napadené mikrotiky (což by mohlo ukazovat na použití sítě botnetů Trickbot) a zařízení vyčistili. Další dva útoky pocházely ze sítí T-mobile a Vodafone. Na webu T-mobile jsem našla jen obecný mail info@t-mobile.cz a na stránkách Vodafone nebyl pro změnu žádný mailový kontakt.
Že je tu prostor pro změnu je jisté a je jen na nás, jak se s tím popereme. Zájem máme společný, jde jen o to lépe spolupracovat.