Dopad uvolňování opatření spojených s Covid-19 na RDP a další protokoly pro vzdálený přístup

11-07-2020 / V kategoriích: Novinky, 2020

COVID-19, RDP, SSH, SSL, Shodan

Opatření přijatá k omezení šíření Covid-19 vedla mnoho organizací k plošnému zavádění práce z domova a k souvisejícímu zpřístupnění některých služeb a protokolů z Internetu. Jedním z protokolů, který tuto skutečnost krásně demonstroval, byl i Remote Desktop Protocol. Počet veřejných IP adres, na nichž bylo RDP dostupné, se v ČR zvýšil jenom v průběhu března o více než 15 procent (viz graf věnovaný RDP zde - https://untrustednetwork.net/en/2020/04/02/open-ports-in-the-time-of-corona/#cz). Bylo by rozumné předpokládat, že postupné uvolňování zmíněných opatření by mělo mít opačné dopady, tedy že jednotlivé organizace začnou v rámci návratu do běžného režimu otevřené porty postupně uzavírat. V datech získaných ze služby Shodan se však v případě SSH a zejména Telnetu situace nijak skokově nezměnila a teprve na konci druhého kvartálu byl viditelný citelnější úytek veřejných IP adres, na nichž byly v ČR tyto protokoly dostupné.

SSH - ČR

Telnet - ČR

U opětovného zablokování RDP přístupů byla však reakce organizací podstatně rychlejší. Procento českých IP adres, na nichž byl tento protokol povolen, dosáhlo svého maxima krátce po 27. 4., kdy došlo k významnému omezení některých opatření. Viditelný „skok“ je v níže uvedeném grafu rovněž viditelný k 25. 5., kdy byla citelně omezena povinnost nošení roušek.

RDP - ČR

Je otázkou, zda je výše popsané omezení užívání RDP na veřejných IP adresách v ČR spojeno výhradně s návratem k běžnému pracovnímu režimu ve většině organizací, nebo zda do rozhodnutí o zablokování přímého přístupu ke vzdálené ploše z internetu částečně zasáhnuly i obavy z kybernetických útoků. Vzhledem k tomu, že RDP je jedním z dominantních vektorů průniku do sítí užívaných skupinami zaměřenými na cílenou distribuci ransomwaru, lze v každém případě popsaný vývoj situace okolo RDP považovat za pozitivní.