Internetové služby Ministerstva spravedlnosti, soudů, státních zastupitelství a veřejných rejstříků mají za sebou neradostné čtvrtletí plné výpadků. V některé únorové dny byly dokonce více nedostupné než dostupné. Resortu justice v danou dobu nefungoval ani jeden ze dvou doménových serverů.
Ministerstvo mluví o pokračujících kybernetických útocích, které nahlásilo Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), a podalo trestní oznámení na neznámého pachatele. Ukazuje se ale, že samo ministerstvo útočníkům situaci do značné míry usnadňuje tím, že se neřídí obecně uznávanými pravidly, jak klíčové systémy provozovat.
Že problémy justičních serverů zdaleka neskončily, byť budou zřejmě jiného charakteru než nedostupnost DNS, dokládají i zkušenosti uživatelů, o kterých píší na Twitteru:
💻 ... 🌐 ... 🏢 Zkuste se prosím vrátit později...
— Tomáš Nahodil (@T0MASNAH0DIL) March 27, 2023
Portál ministerstva @SpravedlnostCZ je nedostupný, na stránky veřejných rejstříků se ale jde dostat přímo přes Google. pic.twitter.com/19p5QRUNBH
Elektronické podatelny nedostávaly nová podání
Opakující se, někdy i šestnáctihodinové výpadky DNS služeb neměly vliv jen na web, ale dotkly se i e-mailové pošty, včetně elektronických podatelen, a dalších služeb. Velký problém to znamenalo především pro ty účastníky, kteří posílali těmto justičním orgánům podání v poslední den lhůty, a to v době výpadku.
Plénum Ústavního soudu se touto problematikou před dvěma lety detailně zabývalo a ve svém stanovisku Pl. ÚS-st. 53/21 dospělo k závěru, že v případě podání učiněných e-mailem (se zaručeným elektronickým podpisem) není rozhodující, kdy byl takový e-mail odeslán, ale kdy skutečně došel na elektronickou podatelnu soudu. Stanovisko ústavních soudců však připouští (v odst. 72), že v případě technických poruch na straně státu, se toto pravidlo posuzování včasnosti neuplatní bez dalšího. Stát má v případě fatálních výpadků svých systémů jen dvě možnosti: buď přimhouří oči a nad striktním posuzováním včasnosti došlé pošty podle okamžiku doručení k příjemci se povznese, anebo bude čelit oprávněným nárokům na náhradu škody způsobené v příčinné souvislosti s tím, že nedokázal udržet své systémy v chodu.
Zasažena přitom nebyla pouze doména justice.cz. Nedostupnost postihla i domény nsoud.cz a nssoud.cz, tedy Nejvyššího, resp. Nejvyššího správního soudu. Jedině Ústavní soud, který leží mimo soustavu obecných soudů a zachovává si svou nezávislost na ministerstvu i v rovině technického zabezpečení, má své jmenné servery provozovány jinde, a výpadky se ho proto netýkaly.
Co přesně se s dvojicí DNS serverů provozovaných resortem justice stalo, se můžeme zatím jen domnívat. Ministerstvo tvrdí, že opakovaná nedostupnost DNS serverů je důsledkem DDoS útoků vyhodnocených jako vážný bezpečnostní incident. „V souladu s ust. § 10a zák. č. 181/2004 Sb. jsme vázáni povinností mlčenlivosti o údajích z evidence incidentů. Vyšetřování zatím nebylo ukončeno a kybernetické útoky DDoS stále trvají,“ uvedla Marcela Nevšímalová z tiskového oddělení resortu.
Co lze zjistit ze smlouvy
Ze smlouvy zveřejněné v Registru smluv vyplývá, že dvojice jmenných serverů dns1.justice.cz (194.213.41.91) a dns2.justice.cz (194.213.41.92) jsou fyzicky umístěny přímo v budově ministerstva a v jeho správě. Outsourcována je však jejich servisní podpora. Má ji na starosti společnost Corpus Solutions a.s. Za to každý měsíc od státu vyinkasuje 48 279 Kč. Smlouva o servisní podpoře pamatuje i na výpadky a jejich odstraňování.
V příloze č. 1 je definováno, že na odstranění poruchy „s vysokou prioritou“ musí technik začít pracovat nejpozději do 8 hodin od nahlášení a nejpozději za dalších 8 hodin s tím musí být hotov. V případě, že by to nestihl, hrozí dodavateli smluvní pokuta za každou započatou hodinu prodlení nad tento limit ve výši 5 % z měsíční odměny. Jinými slovy, pokud DNS servery ministerstva nepoběží celý den (24 hodin), Corpus Solutions dostane ten měsíc zaplaceno od státu „jen“ 28 967 Kč. A nic jiného se nestane. Pravděpodobně se tak do toho limitu vešel i 16. února, kdy byly systémy nedostupné právě 16 hodin. Smlouva s takto velkoryse nastavenou odpovědností dodavatele pochází z 3. prosince 2019, kdy ministryní spravedlností byla Marie Benešová.
Justice jako dobrý příklad, jak DNS neprovozovat
Rozsah výpadků a jejich četnost by bylo možné výrazně omezit, pokud by se Ministerstvo spravedlnosti drželo při provozu DNS jako klíčové služby, bez níž nefungují ty ostatní, pravidel a doporučení dobré praxe zahrnující tři faktory: diverzita a redundance, kapacita a procesní a administrativní zajištění.
„Základním požadavkem na DNS službu je, aby dílčí poruchy jakékoliv komponenty nezapříčinily nedostupnost služby jako celku. Je potřeba počítat s tím, že jakýkoliv hardware nebo software může obsahovat chybu a jakákoliv komponenta může z různých příčin selhat. Z toho důvodu je vyžadována diverzita a redundance na všech možných úrovních,“ upozorňuje ředitel IT sdružení CZ.NIC Tomáš Hála. Je tak vhodné kombinovat různý síťový i serverový hardware, používat různé operační systémy i různé implementace DNS.
„Standardem pro běžné domény je provoz alespoň tří DNS serverů ze tří na sobě nezávislých sítí,“ říká Hála a dodává: „Pro domény kritického významu se využívá anycast architektura s lokalitami ve významných peeringových uzlech v ČR, Evropě a ještě minimálně v Americe a Asii. Pro sítě v ČR je pak vhodné využít těch, které jsou součástí projektu fe.nix.cz, což zajistí jejich dostupnost i v případě rozsáhlých DDoS útoků napříč operátory.“
Už prvnímu balíku kritérií provoz jmenných serverů pro celou justici nevyhoví. Ministerstvo provozuje DNS servery pro všechny své domény všehovšudy dva, oba jsou umístěné v jeho sídle a běží na sousedních IP adresách téže sítě (AS 13036). Jaký hardware a software pro DNS službu ministerstvo používá, je ve smlouvě anonymizováno a tiskové oddělení na náš dotaz nebylo o nic sdílnější. Tedy softwarovou a hardwarovou diverzitu a redundanci určit nedokážeme. Ale už jen to, co je zřejmé a ověřitelné, dokládá, že se příkladem dobré praxe úřad Pavla Blažka neinspiroval.
Dalším důležitým faktorem je kapacita. „Služba musí mít dostatečnou kapacitu jak po stránce konektivity, tak po stránce samotného výkonu DNS serverů. Častá chyba je dimenzování kapacity pouze na běžný provoz. Kapacita musí počítat s vysokou rezervou pro případy nestandardního chování, špiček provozu a možných DDoS útoků,“ upozorňuje Tomáš Hála s tím, že i v případě, kdy je na síti implementována AntiDDoS ochrana, je třeba počítat s tím, že část útoku projde i takovou ochranou, a zbytek infrastruktury musí mít dostatečnou kapacitu na to zvýšený provoz odbavit. „Rozumná kapacita DNS služby pro důležitou doménu začíná na několika desítkách Gbps a milionech QPS (dotazů za sekundu – pozn. red.), pro domény kritického významu by měla být o řád vyšší,“ vyjmenovává. V čase je pak potřeba kapacitu postupně navyšovat úměrně tomu, jak roste výkon hardwaru a schopnosti útočníků.
Když už DNS server běží, je potřeba mít zabezpečené nástroje a procesy manipulace s DNS službou a doménami samotnými. Typicky jde o hlídání expirace domény, přístupy s právy k manipulaci s doménou a obsahem DNS zóny. „Pro významné domény je standardem všechny přístupy zabezpečit dvoufaktorovou metodou autentizace, u těch kritických určitě pomocí metody odolné proti phishingu, například metodou založenou na standardu FIDO,“ připomíná Hála a dodává: „Mezi další důležité procesy patří pravidelná rotace DNSSEC klíčů, což je technologie, která zajišťuje důvěryhodnost DNS služby a u významných domén je standardem.“
Doména justice.cz sice DNSSEC technologii používá, je ale podepsána sadou klíčů s názvem JUSTICE-CZ-2019, kde se i bez velké představivosti lze dovtípit, že klíče z tohoto desetiletí zřejmě nepocházejí. Navíc k podpisu používají algoritmus RSA/SHA-1, který byl zastaralý už v roce 2019, kdy jej resort nasazoval.
Ministerstvo na přímý dotaz, zda u názvových serverů dodržuje standardní doporučení a pravidla (RFC 2182), zejména pak v částech 3.1 a 3.2, odpovědělo, že „pravidla jsou dodržena“.
ČLÁNKY DO MAILU