Embed Size (px)
Citation preview
ZAVOD ZA ELEKTRONIKU, MIKROELEKTRONIKU, RAČUNALNE I INTELIGENTNE SUSTAVE
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA SVEUČILIŠTE U ZAGREBU
DIPLOMSKI RAD br. 1578
SUSTAV ZA PRIVLAČENJE I DETEKCIJU NAPADAČA
Ivica Marić
Zagreb, srpanj 2006.
Zahvaljujem svima koji su mi na bilo koji način
pomogli u izradi ovog diplomskog rada. Posebice
prof. dr. sc. Leu Budinu, doc. dr. sc. Marinu
Golubu te mr. sc. Stjepanu Grošu na stručnom
vodstvu.
Sažetak
U ovom radu je opisana tehnologija sustava za privlačenje i detekciju napadača (honeypot).
Dana je definicija sustava, njegova povijest, opisane su vrste sustava za privlačenje i
detekciju napadača, njihova vrijednost za područje računalne sigurnosti, njihova primjena i
opisani su postojeći sustavi za privlačenje i detekciju napadača. Praktični rad uključuje
pokretanje jednog sustava za privlačenje i detekciju napadača.
Abstract
This work describes the technology of honeypots. It gives the definition of the system
itself, introduces its history and gives a description of different kinds of systems. It also
provides a description of the system’s application in the field of computer security and a
description of existing honeypot systems. Practical work includes setting up a honeypot
and interpreting results obtained by using the system.
Sadržaj1. Uvod........................................................................................................................................... 1 2. Podjela prijetnji sigurnosti informacijskih sustava .................................................................... 2
2.1. Namjerne prijetnje sigurnosti računalnih sustava............................................................. 3 2.2. Nenamjerne prijetnje sigurnosti računalnih sustava ......................................................... 7
3. Sustav za privlačenje i detekciju napadača ................................................................................ 9 3.1. Povijest sustava za privlačenje i detekciju napadača........................................................ 9 3.2. Podjela sustava za privlačenje i detekciju napadača....................................................... 13 3.3. Vrijednost sustava za privlačenje i detekciju napadača.................................................. 15
3.3.1. Prednosti sustava za privlačenje i detekciju napadača............................................... 15 3.3.2. Mane sustava za privlačenje i detekciju napadača..................................................... 16
3.4. Primjena sustava za privlačenje i detekciju napadača u računalnoj sigurnosti .............. 17 3.4.1. Sustavi za privlačenje i detekciju napadača u produkcijskom okruženju.................. 17 3.4.2. Sustavi za privlačenje i detekciju napadača u istraživačkom okruženju ................... 22
3.5. Postojeći sustavi za privlačenje i detekciju napadača..................................................... 23 3.5.1. BackOfficer Friendly ................................................................................................. 23 3.5.2. SPECTER .................................................................................................................. 25 3.5.3. Honeyd....................................................................................................................... 28 3.5.4. Sustavi za privlačenje i detekciju napadača iz kućne radinosti ................................. 30 3.5.5. nepenthes.................................................................................................................... 33 3.5.6. LaBrea........................................................................................................................ 34 3.5.7. Honeynet .................................................................................................................... 34 3.5.8. Virtualni honeynet sustavi ......................................................................................... 41
4. Praktični rad ............................................................................................................................. 43 4.1. Priprema praktičnog rada................................................................................................ 43
4.1.1. Roo............................................................................................................................. 43 4.1.2. Roo – alati .................................................................................................................. 44 4.1.3. Instalacija honeywall-a i pokretanje honeynet-a........................................................ 46 4.1.4. Uočeni problemi u radu s honeywall sustavom ......................................................... 48 4.1.5. Administracija honeywall sustava ............................................................................. 50 4.1.6. Analiza prikupljenih podataka ................................................................................... 53
4.2. Eksperimentalni rezultati uporabe honeynet-a ............................................................... 57 4.2.1. Rječnički napad na FTP poslužitelj ........................................................................... 57 4.2.2. Iskorištavanje propusta u PHP programskom paketu ................................................ 61 4.2.3. Napad na IIS preljevom spremnika............................................................................ 65
5. Zaključak.................................................................................................................................. 69 6. Popis literature ......................................................................................................................... 70
1
1. Uvod
Problemu računalne sigurnosti tradicionalno se prilazi na defenzivni način. Drugim riječima, osnovna namjena svih današnjih sigurnosnih koncepta kao, primjerice, sigurnosna stijena (firewall) ili sustavi za otkrivanje neovlaštenog pristupa (Intrusion Detection System) je obrana od potencijalnih napadača. Sigurnost sustava se povećava ispravljanjem uočenih propusta kako bi sustav bio što manje izložen riziku. Cilj svih dosadašnjih alata i tehnika iz područja računalne sigurnosti je zadržati prijetnju van produkcijskog sustava dok je sustavu za privlačenje i detekciju napadača cilj zadržati napadača što duže unutar samog sustava, u čemu je osnovna razlika između tih tehnologija. Napadač je onaj koji odlučuje zašto, kada, i na koji način će napasti ciljani sustav.
Primarni cilj tehnologije sustava za privlačenje i detekciju napadača je prikupiti podatke o prijetnjama – vidjeti na koji se način se one mijenjaju, kako evoluiraju i, naravno, kako im se što bolje suprotstaviti. Sustav za privlačenje i detekciju napadača pruža mogućnost otkrivanja novih alata koje koriste napadači, novih tehnika i novih načina napada. Znanje dobiveno korištenjem ovog sustava može biti odlučujuće u borbi protiv napadača i može u potpunosti promijeniti shvaćanje i odnos prema dugo zanemarivanom području računalne sigurnosti.
Cilj ovog diplomskog rada je predstaviti tehnologiju sustava za privlačenje i detekciju napadača. U drugom poglavlju je dana podjela i opisane su trenutno poznate prijetnje informacijskim sustavima. U trećem poglavlju je definirana tehnologija sustava za privlačenje i detekciju napadača, dan je pregled njezina povjesnog razvoja, podjela sustava za privlačenje i detekciju napadača, njena vrijednost i primjena u području računalne sigurnosti te su opisani postojeći sustavi za privlačenje i detekciju napadača. U četvrtom poglavlju je opisan praktičan rad. Rad završava s zaključkom i popisom literature.
2
2. Podjela prijetnji sigurnosti informacijskih sustava
Sigurnosti računalnih sustava se pridaje sve više značaja. Međutim u prošlosti to nije bio slučaj nego su proizvođači raznih računalnih sustava na prvo mjesto stavljali jednostavnost uporabe ili funkcionalnost. Dobar primjer takvog pristupa su proizvodi tvrtke Microsoft, posebice Windows operacijski sustav. Od kada je prvi puta predstavljen široj populaciji taj operacijski sustav je imao težište na funkcionalnosti i jednostavnosti uporabe dok je sigurnost bila u drugom planu. Zahvaljujući navedenim osobinama Windows operacijski sustav i danas drži ogroman dio tržišta, stoga se svaki sigurnosni propust reflektira na velik broj računalnih sustava diljem svijeta. Naravno Microsoft je samo jedna od kompanija kojima sigurnost proizvoda nije na prvom mjestu. No s obzirom na veliki broj otkrivenih i iskorištenih ranjivosti i sve veći broj različitih prijetnji sigurnosti na Internetu, sigurnost je postala jedan od prioriteta pri dizajnu svakog novog računalnog sustava.
Naravno sve prije navedeno je potrebno promatrati i s ekonomske strane. Šteta uzrokovana raznim zlućudnim programima svake godine se procjenjuje u milijunima dolara. Primjerice, epidemija Code Red crva je nanijela milijune dolara gubitaka napadnutim organizacijama. U današnje vrijeme aktualni su napadi na osobnost korisnika računalnog sustava (phishing, krađa identiteta) kod kojih se može vidjeti konkretna šteta (izravni financijski gubitci) učinjena korisnicima računalnog sustava.
Danas je prisutan veliki broj prijetnji koje iskorištavaju široki spektar ranjivosti koje su sastavni dio svih računalnih sustava.
Općenito prijetnje računalnoj sigurnosti prema napadačevoj namjeri se mogu podijeliti na dvije skupine [12]:
1) Namjerene prijetnje Zlonamjerne prijetnje su najčešće spominjan oblik prijetnji računalnoj sigurnosti. Općenito se radi o zlonamjernim programima koji su dizajnirani kako bi oštetili računalni sustav ili samog korisnika računalnog sustava.
2) Nenamjerne prijetnje
Nenamjerne prijetnje su najrašireniji oblik prijetnji računalnoj sigurnosti. Općenito se radi o ljudskim greškama (npr. kada korisnik nenamjerno obriše važan dokument, prolijevanje kave po tipkovnici itd.), ali i o greškama unutar samog računalnog sustava.
Svaka prijetnja je definirana, opisano je tipično ponašanje prijetnje ili sustava koji je ugrožen tom prijetnom te su navedeni ugroženi računalni sustavi.
3
2.1. Namjerne prijetnje sigurnosti računalnih sustava
Namjerne prijetnje su sve prijetnje napadača informacijskim sustavima kojima je cilj napasti integritet, dostupnost sustava ili povjerljivost podataka na njemu. Namjerne prijetnje se mogu podijeliti u nekoliko različitih kategorija:
a) Zloćudni programi (malicious software) Zloćudni program je svaki onaj program kojemu je svrha oštetiti računalni sustav. Unutar kategorije zloćudnih programa postoji nekoliko vrsta prijetnji:
1. Računalni virus (computer virus) Definicija: Zlonamjerni program koji sebe dodaje u postojeće programe. Osnovno mu je svojstvo mogućnost samoumnažanja. Može se pojaviti i kao vremenska (pokreće se u određenom vremenskom trenutku) ili logička bomba (pokreće se kada se ostvare definirani uvjeti), kao zec (nastoji potrošiti što više resursa sustava) ili bakterija (dizajniran da se „zakači“ za operacijski sustav žrtve kako bi iscrpljivao resurse).
Tipično ponašanje: Samoumnažanje, mogućnost zaraze svakog izvršnog programa, širenje preko zaraženih domaćinskih programa. Nekoliko različitih vrsta ponašanja: bezazleno, šaljivo, virusi usmjereni na modificiranje ili brisanje podataka, iznimno opasno.
Ranjivi računalni sustavi: svi računalni sustavi
2. Računalni crv (worm) Definicija: Računalni crv je vrlo sličan računalnom virusu – kao i računalni virus ima mogućnost samoumnažanja no razlika je u tome što crv ne zahtjeva program domaćina nego je u potpuno samostalan program. Može se pojaviti i kao vremenska (pokreće se u određenom vremenskom trenutku) ili logička bomba (pokreće se kada se ostvare definirani uvjeti) ili zec (nastoji potrošiti što više resursa sustava).
Tipično ponašanje: Češće usmjeren na širenje preko mreže, uglavnom iskorištava postojeće ranjivosti u operacijskim sustavima za svoje širenje.
Ranjivi računalni sustavi: sustavi koji obavljaju više zadataka odjednom u mrežnom okruženju (multitasking systems), sustavi koji se redovno ne održavaju itd.
3. Trojanski konj (trojan horse)
Definicija: Vrsta zloćudnog programa koja se predstavlja kao koristan program ili se nalazi skriven unutar nekog korisnog programa. Osnovna razlika u odnosu na virus i crv je u tome što je za instalaciju trojanskog konja potrebna korisnička intervencija.
Tipično ponašanje: Sve rečeno za crva i virus vrijedi i za trojanskog konja. No često trojanski konj ima ulogu napadačevih „stražnjih vrata“ što može dovesti do gubitka privatnosti, ali i gubitka podataka. Napadač preko stražnjih vrata može pristupati sustavu bez znanja korisnika, često s najvećim privilegijama.
Ranjivi računalni sustavi: S obzirom na tipično ponašanje trojanskog konja ranjivost se ne odnosi toliko na računalni sustav koliko ljudski faktor.
4
Neupućen ili nepažljiv korisnik računalnog sustava može biti odgovoran za zarazu trojanskim konjem.
b) Varanje (spoofing)
1. Varanje (spoofing) Definicija: U principu se radi o lažnom predstavljanju osobe ili računala kako bi se na taj način neovlašteno došlo do povjerljivih informacija žrtve.
Tipično ponašanje: Postoji nekoliko vrsta varanja. Prvi primjer se može pronaći u kriptografiji – napad čovjek-u-sredini. Naime napadač se može postaviti u sredinu komunikacije između dvije strane te se svakoj od strana predstaviti kao ona druga. Na taj način može doći do povjerljivih informacija. Drugi oblik ove prijetnje je u zadnje vrijeme sve popularniji phishing – napadač načini web stranicu identičnu web stranici najčešće neke financijske ustanove i na neki način (lažiranjem adrese prikazane u traci web preglednika, lažiranjem DNS tablice) dovede žrtvu na lažiranu stranicu kako bi ju zavarao i naveo da napadaču otkrije povjerljive podatke (npr. broj kreditne kartice).
Ranjivi računalni sustavi: Loše osmišljene kriptografske metode, web preglednici, automatizirani alati za rad na mreži i komunikaciju s drugim sustavima ili korisnicima, neoprezni i lakovjerni korisnici.
2. Krađa identiteta (masquerade) Definicija: Pristup računalnom sustavu koristeći tuđi korisnički identitet.
Tipično ponašanje: Napadač koji koristi tuđi identitet često pokušava dobiti još veće ovlasti na kompromitiranom sustavu (npr. želi administratorske ovlasti, pokušaj modificiranja ili krađe korisničkih podataka itd.).
Ranjivi računalni sustavi: Svi sustavi koji zahtijevaju od korisnika neki oblik identifikacije. Napadač može zavarati žrtvu lažnim prozorom za unos korisničkih podataka ili na neki drugi način kako bi došao do povjerljivih podataka.
c) Skeniranje (scanning)
1. Redno skeniranje (sequential scanning, brute force attack) Definicija: Napadač po nekom određenom redu pokušava neovlašteno pristupiti napadnutom sustavu. Često se to radi „na silu“ bez ugrađene posebne inteligencije.
Tipično ponašanje: Jedan ili više korisnika sustava pokušava velikom frekvencijom neuspješno pristupiti napadnutom sustavu. Kako često sustavi imaju određen način zaštite protiv ove vrste napada (određeni broj pokušaja pristupu sustavu nakon čega se račun zaključava) napadači, kako bi zaobišli navedenu zaštitu, preuzmu datoteku s skrivenim lozinkama i napad vrše lokalno, na svom računalu.
Ranjivi računalni sustavi: Svi sustavi koji zahtijevaju od korisnika neki oblik identifikacije.
5
2. Skeniranje uz korištenje rječnika (dictionary scanning) Definicija: Napadač koristi rječnik često izraza kako bi zadobio pristup napadnutom računalnom sustavu.
Tipično ponašanje: Vrijede isti oblici ponašanja kao i kod rednog skeniranja.
Ranjivi računalni sustavi: Oni računalni sustavi koji koriste često korištene riječi kao korisničko ime ili lozinku (Joe accounts).
d) Prisluškivanje (eavesdropping)
1. Elektroničko prisluškivanje (digital eavesdropping) Definicija: Napadač elektroničkim putem nadzire napadnuti računalni sustav kako bi došao do povjerljivih informacija (administratorska lozinka, povjerljive informacije organizacije).
Tipično ponašanje: Korisnici računalnog sustava ili čak administratori koji koriste sustav izvan radnog vremena, bilo koji oblik neobičnog ponašanja korisnika sustava. Moguće je i da napadač na neki način modificira bilo koji dio sustava kako bi mogao nesmetano prisluškivati stoga svako netipično ponašanje sustava može uputiti i na prisluškivanje.
Ranjivi računalni sustavi: Svi sustavi koji preko nekog medija prenose osjetljive informacije. Činjenica je da su u mreži na prisluškivanje daleko osjetljivije veze između računala nego sami čvorovi.
2. Prisluškivanje „preko ramena“ korisnika računalnog sustava (shoulder eavesdropping) Definicija: Za ovaj oblik prisluškivanja moraju biti ispunjeni određeni preduvjeti – napadač mora biti fizički biti u prilici doći do povjerljivih informacija. To može učiniti prisluškivanjem razgovora korisnika računalnog sustava žrtve ili nadgledanjem žrtvinog monitora.
Tipično ponašanje: Legalni korisnici koji koriste sustav u neuobičajeno vrijeme ili se neobično ponašaju (npr. pokušavaju doći do većih ovlasti).
Ranjivi računalni sustavi: U ovom slučaju napadač mora imati fizički pristup povjerljivim informacijama (npr. vizualni kontakt s monitorom korisnika sustava).
e) Iskorištavanje odbačenih podataka (scavening)
1. Kopanje po smeću (dumpster diving) Definicija: Pristup odbačenim (obrisanim) podacima s ciljem stjecanja povjerljivih informacija.
Tipično ponašanje: Kako se često radi o krađi identiteta pristup legalnih korisnika u neuobičajeno vrijeme (npr. van radnog vremena s neuobičajenih lokacija) može indicirati da se radi o ovoj prijetnji. Doslovno kopanje po smeću organizacije u potrazi za povjerljivim informacijama je također moguć postupak napadača.
Ranjivi računalni sustavi: Djelomično spada u područje fizičke sigurnosti pošto napadač mora imati fizički pristup odbačenim informacijama (često korisnici koriste ljepljive papiriće na kojima se nalaze povjerljive
6
informacije, razni otpadni papiri na kojima se mogu nalaziti povjerljive informacije).
2. Pretraživanje (browsing) Definicija: Najčešće automatsko pretraživanje svih dostupnih podataka u potrazi za potencijalno korisnim informacijama.
Tipično ponašanje: Ovlašteni ili neovlašteni korisnici pretražuju javno dostupne datoteke u potrazi za korisnim informacijama. Ukoliko pronađu korisnu informaciju moguća je krađa identiteta ili neki drugi oblik zloćudnog ponašanja.
Ranjivi računalni sustavi: Sve javno dostupne informacije mogu napadaču poslužiti kao informacije za daljnji napad. Stoga valja paziti koje su informacije dostupne kojoj skupini korisnika.
f) Neželjeni promet (spamming) Definicija: Zasipanje sustava s nepotrebnim prometom (porukama elektroničke pošte, drugim oblicima mrežnog prometa) s ciljem narušavanja ili potpunog dokidanja funkcionalnosti napadnutog sustava.
Tipično ponašanje: Napadač opterećuje računalni sustav velikom količinom nepotrebnog prometa. Uslijed napadačevih akcija sustav se može ponašati nestabilno ili se može čak u potpunosti urušiti. Jedan od primjera je DoS (Denial of Service) napad u kojemu napadač opterećuje mrežu ili poslužitelj velikom količinom prometa pa sustav više nije u mogućnosti pružati usluge valjanim korisnicima. Podvarijanta je DDoS (Distributed Denial of Service) napad u kojemu se napad vrši s više različitih računala ili lokacija.
Ranjivi računalni sustavi: Ranjivi su svi računalni sustavi koji su javno dostupni širokom broju korisnika. Posebice web poslužitelji i poslužitelji elektroničke pošte.
g) Tuneliranje (tunneling) Definicija: Svaki oblik pokušaja zaobilaženja bilo kojeg oblika sigurnosne zaštite računalnog sustava koristeći neki program ili uslugu niske razine (funkcije jezgre operacijskog sustava, pogonski program uređaja itd.).
Tipično ponašanje: Neobično ponašanje napadnutog računalnog sustava (pristup uređajima bez očitog razloga, neobjašnjivi kvarovi sustava i uređaja, kvar sigurnosnih mehanizama).
Ranjivi računalni sustavi: Računalni sustavi koji se sastoje od više slojeva i oni koji nisu dizajnirani od najniže razine na siguran način.
h) Namjerne fizičke prijetnje
1. Oštećenja uzrokovana vatrom (file damage) Definicija: Fizičko oštećenje računalnog sustava uzrokovano požarom.
Tipično ponašanje: Računalni sustav je oštećen uslijed požara nakon čega djelomično ili u potpunosti ne funkcionira.
Ranjivi računalni sustavi: Računalni sustavi bez protupožarne zaštite, sustavi blizu potencijalnih izvora topline.
7
2. Nestanak električne energije (power loss) Definicija: Računalni sustav nije funkcionalan uslijed nestanka električne energije.
Tipično ponašanje: Računalni sustav ili neki njegov dio nije u funkciji zbog nedostatka električne energije.
Ranjivi računalni sustavi: Svi sustavi koji nemaju neki oblik rezervnog napajanja.
3. Vandalizam/Civilni neredi (vandalism/civil disorder) Definicija: Fizička oštećenja nastala uslijed građanskih nemira ili vandalizma.
Tipično ponašanje: Oštećenje računalne opreme uzrokovano ljudskim faktorom – nemirima građana, terorističkom akcijom ili od strane vandala.
Ranjivi računalni sustavi: Sustavi koji su izloženi na javnom mjestu, na otvorenim lokacijama, fizički nedovoljno zaštićeni sustavi.
4. Ratne štete (battle damage) Definicija: Fizičko oštećenje sustava uzrokovano neprijateljskim ratnim djelovanjem.
Tipično ponašanje: Sustav je fizički oštećen i uslijed toga djelomično ili u potpunosti van funkcije.
Ranjivi računalni sustavi: Sustavi koji su se našli na izravnom neprijateljskom udaru, strateški sustavi.
2.2. Nenamjerne prijetnje sigurnosti računalnih sustava
Nenamjerne prijetnje su one koje nisu rezultat namjernog ljudskog djelovanja nego su posljedica greške u sustavu, ljudske pogreške ili utjecaja prirode se mogu podijeliti na:
a) Greške u funkcioniranju računalnog sustava (malfunctions)
1. Greške u sklopovlju
Definicija: Pogreške u funkcioniranju sklopovlja uzrokovane različitim vanjskim i unutrašnjim pojavama (fizičko oštećenje, zamor materijala, vremenske nepogode).
Tipično ponašanje: Sustav ne funkcionira na uobičajeni način ili ne funkcionira uopće sve dok se ne ustanovi i otkloni kvar sklopovlja.
Ranjivi računalni sustavi: Svi računalni sustavi.
2. Greške u programskoj podršci Definicija: Ponašanje programske podrške je u suprotnosti s očekivanim ponašanjem.
Tipično ponašanje: Gubitak podataka s obzirom na uočenu grešku. Moguće su konstantne pogreške u radu programa kao i u podacima koje program daje kao rezultat obrade.
8
Ranjivi računalni sustavi: Svi sustavi koji imaju neki oblik programske podrške.
b) Ljudske pogreške (human errors)
1. Zaboravljena „stražnja vrata“ (back door) Definicija: Pristup računalnom sustavu koji je ostao zaboravljen nakon isporuke računalnog sustava. Često proizvođači programske podrške tijekom njezine izrade i ispitivanja koriste jednostavniji način pristupa programu tzv. stražnja vrata (backdoor) kako bi si olakšali posao.
Tipično ponašanje: Pristup računalnom sustavu korištenjem ove ranjivosti omogućava napadaču modificiranje, dodavanje i brisanje podataka na napadnutom računalnom sustavu.
Ranjivi računalni sustavi: Računalni sustavi koji nisu napravljeni prema uvaženim standardima organizacije, proizvođača i međunarodnih standardizacijskih tijela.
2. Pogreške korisnika računalnog sustava (user/administrator error) Definicija: Nenamjerna izmjena, rukovanje, oštećivanje ili čak uništenje programske opreme ili sklopovlja.
Tipično ponašanje: Neispravan korisnički unos ulaznih podataka koji uzrokuje probleme u funkcioniranju računalnog sustava. Neispravno upravljanje sklopovljem računalnog sustava.
Ranjivi računalni sustavi: Računalni sustavi kojima upravljaju loše ili nikako trenirani korisnici, računalni sustavi s lošom ili nepostojećom dokumentacijom.
c) Utjecaj prirodnih nepogoda
1. Oštećenja uzrokovana poplavom (water damage) Definicija: Oštećenja uzrokovana prevelikom vlažnosti (prskanje vodom ili poplavom).
Tipično ponašanje: Fizičko oštećenje računalnog sustava uzrokovano prekomjernom vlažnosti.
Ranjivi računalni sustavi: Sustavi izloženi atmosferskim prilikama, sustavi koji se nalaze pod zemljom, nepravilno zaštićeni sustavi.
2. Oštećenja uzrokovana potresom Definicija: Oštećenja uzrokovana potresom.
Tipično ponašanje: Fizičko oštećenje računalnog sustava uzrokovano potresom.
Ranjivi računalni sustavi: Svi računalni sustavi koji nisu na neki način zaštićeni od utjecaja potresa.
Vidljivo je da postoji puno prijetnji sigurnosti računalnih sustava. No kao što prijetnje svakim danom evoluiraju i postaju sve sofisticiranije, sigurnost računalnih sustava se svakim danom sve više povećava. Jedan od alata kojima je cilj povećanje sigurnosti računalnih sustava je i sustav za privlačenje i detekciju napadača.
9
3. Sustav za privlačenje i detekciju napadača
Zbog same prirode sustava za privlačenje i detekciju napadača teško je dati jednostavnu definiciju. Sam sustav se ostvaruje na mnogo različitih načina što dodatno otežava njegovo definiranje. Zbog navedenih razloga na Internetu je dostupan velik broj definicija sustava, no valja izdvojiti jednu koja najbolje opisuje sustav:
Sustav za privlačenje i detekciju napadača (honeypot) je sigurnosni resurs čija vrijednost leži u mogućnosti da bude ispitan, napadnut ili kompromitiran. [8]
Ova definicija govori da što god se koristi kao sustav za privlačenje i detekciju napadača njegova svrha je da bude ispitan, napadnut ili kompromitiran. No potrebno je i znati da spomenuti sustav za privlačene i detekciju napadača ne rješava niti popravlja probleme u sustavu u kojemu se nalazi. On je alat i njegova uporaba mora biti u skladu s njegovim mogućnostima. Sustav za privlačenje i detekciju napadača može biti ostvaren na razne načine: kao sustav koji oponaša neki proces (npr. proces koji sluša na pristupu 445 koji napada poznati crv Sasser) ili aplikaciju (npr. Microsoft Internet Explorer koji je poznat po velikom broju sigurnosnih propusta), može stvoriti zatvoreno okruženje ili može biti standardni sustav (npr. Windows, Linux ili Unix operacijski sustav).
3.1. Povijest sustava za privlačenje i detekciju napadača
Iako je sam sustav za privlačenje i detekciju napadača relativno nova tehnologija osnovni principi su poznati još iz ranih devedesetih godina. Posebno značajno mjesto zauzimaju dva djela: Clifford Stoll - „The Cuckoos Egg“ te Bill Cheswick - „An evening with Berferd“.
1986. Clifford Stoll – „The Cuckoos Egg“ Clifford Stoll je astrofizičar koji je radio kao sistem inženjer u laboratoriju „Lawrence Berkley“ 1986. godine je slučajno, zbog greške u jednom Unix operacijskom sustavu (75 cent accounting error) koji je održavao otkrio nepoznati korisnički račun. Nakon konzultacija s kolegama utvrdio je da nikome nije poznato tko je i zašto otvorio taj račun niti tko se koristi njime. Nekoliko dana kasnije je dobio obavijest kako netko s tog računala pokušava provaliti na drugo računalo što ga je potaklo na daljnju istragu koja je rezultirala zaključkom da je netko neovlašteno priskrbio prava nad sustavom. Clifford je, umjesto da zaključa sporni račun i time onemogući daljnje akcije napadača, odlučio dopustiti napadaču da nastavi s svojim aktivnostima kako bi mu ušao u trag. Inicijalni kontakti s organima vlasti (policija, FBI) nisu urodili plodom tako da je Clifford sam nastavio daljnju istragu. U nekoliko mjeseci koji su uslijedili otkrio je da napadač posjeduje informacije o nekoliko vojnih projekata (tada je bio aktualan vojni projekt Star Wars, vrijeme hladnog rata), da je provalio na nekoliko stotina računala na Internetu i mreži TYMNET. TYMNET je bila međunarodna računalna mreža temeljena na X.25 protokolu koja je povezivala tisuće velikih kompanija, obrazovnih ustanova i vladinih agencija, no s porastom popularnosti Interneta nestala je potreba za ovom uslugom pa je mreža 2004. godine i službeno ugašena. S vremenom se za slučaj zainteresirao i agent FBI-a što je bilo ključno za razotkrivanje napadača koji se predstavljao kao Hunter, a poslije potragu su se uključili agenti američke obavještajne agencije (Central Intelligence Agency) te agenti NSA (National Security Agency). Kako bi uhvatili napadača Clifford i ostatak tima kreirali su
10
nepostojeću tajnu mrežu imena SDINET što je dovelo naposljetku do uhićenja napadača. Napadač je lociran u zapadnoj Njemačkoj i uz pomoć njemačke policije uhićen. Ispostavilo se da je napadač bio član udruge Chaos Computer Club koja je vjerovala da sve informacije moraju biti javno dostupne, no dio članova je dobivene vojne informacije prodavao KGB-u.
Iako je prethodna priča zvučala poput izvatka iz nekog kriminalističkog romana zanimljivo je primijetiti da su neki od uporabljenih koncepta uspješno primjenjeni i na sustave za privlačenje i detekciju napadača.
1990. Bill Cheswick – „An Evening with Berferd“ Bill Cheswick je poznati stručnjak iz područja računalne sigurnosti. U radu „An Evening with Berferd“ on opisuje svoj susret s napadačem, igru mačke i miša između napadača i napadnutog te načine kojim su napadača obmanjivali kako bi dobili vrijeme potrebno da nauče tehnike i prouče alate koje je napadač primjenjivao. Napadnuto računalo je služilo kao Internet pristupnik (gateway) pod Unix operacijskim sustavom. Billa je zanimalo koliko je često računalo bilo napadano. Stoga je na računalo bilo dodano nekoliko lažnih usluga i skripta koja je čitala dnevnike sustava (logs). Jednu večer napadač je pokušao dobiti root privilegije na napadnutom računalu koristeći poznati sigurnosni propust (sendmail DEBUG hole) što je bio početak utrke između napadača i napadnutog koja je trajala više mjeseci. Kako bi mogao u potpunosti kontrolirati napadačeve akcije Bill je došao na ideju da napadača odvede na drugo računalo u lokalnoj mreži i tamo ga „zatoči“. No kako nije imao niti jedno računalo koje bi glumilo žrtvu odlučio se koristiti chroot naredbu Unix operacijskog sustava kako bi na neki način ipak kontrolirao napadača. Napravio je sustav koji je nazvao Jail unutar kojega je izolirao sve aktivnosti računa pod imenom berferd i guest. Iako je sustav imao neke nedostatke (težak za pokretanje i održavanje, moguće ga je detektirati) uspio je zadržati napadača nekoliko mjeseci. Na kraju je sam napadač lociran u Danskoj no nije mu se moglo suditi zbog tadašnjeg zakona koji nije spominjao takove aktivnosti. Sam autor je iznio nekoliko zanimljivih zaključaka: iako je sustav Jail bio zanimljiv u edukacijske svrhe nije prikladan za ono za čega je bio korišten, bolji način je koristiti pravi sustav s pravim sigurnosnim propustima i promatrati napadačeve akcije s drugog sustava (ovdje je vidljiva jedna od ideja za sustav za privlačenje i detekciju napadača), kada napadač dobije pristup ciljanom računalu prije ili kasnije će dobiti i najviše privilegije što će mu omogućiti da čini bilo što s napadnutim računalom.
Navedena djela su imala velik utjecaj na ideju sustava za privlačenje i detekciju napadača. Nakon dugo godina pojavio se i prvi sustav za privlačenje i detekciju napadača. Točnije 1997. je Fred Cohen izdao Deception Toolkit. Deception Toolkit (skraćeno DTK) je prvi i originalni sustav za privlačenje i detekciju napadača. DTK je 1997. godine napravio Fred Cohen i u osnovi se radi o kolekciji skripti pisanih u programskom jeziku Perl za Unix operacijski sustav koje simuliraju razne poznate sigurnosne propuste. Sam način rada sustava predstavlja jedan od osnovnih principa sustava za privlačenje i detekciju napadača – odvraćanje napadača varkom. Napadač pokušavajući iskoristiti ranjivost DTK-a daje administratoru mreže dragocjeno vrijeme kako bi detektirao napad i u skladu s time reagirao prije nego napadač napadne neki drugi produkcijski sustav.
DTK je otvorio put prvom komercijalnom sustavu za privlačenje i detekciju napadača – CyberCop Sting koji je jedan član obitelji programskog paketa za zaštitu od neovlaštenog upada (intrusion detection system) tvrtke Network Associates Inc. Taj paket je namijenjen WindowsNT platformi i ponekad ga se naziva lažnim poslužiteljem (decoy server) jer ima mogućnost simulirati mrežu koja sadrži nekoliko različitih tipova mrežnih uređaja
11
uključujući i WindowsNT poslužitelje, Unix poslužitelje i usmjernike (routers). Svaki od simuliranih sustava je u mogućnosti pratiti, snimiti i dojaviti napadačeve aktivnosti nadležnim osobama. Unutar simuliranih sustava se može simulirati i određeni broj usluga (servisa) što ograničava napadačeve mogućnosti, a time i količinu informacija koju je moguće dobiti korištenjem ovog sustava.
NetFacade® Intrusion Detection je bio drugi komercijalni sustav za privlačenje i detekciju napadača koji je izdan 1998. godine. Kao i prethodno navedeni sustav i ovaj simulira mrežu računala. Na simuliranim računalima su pokrenute naoko ranjive usluge. NetFacade je bio u mogućnosti simulirati cijelu C klasu internet adresa (IP adresa) što znači da je bio sposoban simulirati po 254 različita računala na svakoj od mogućih 2000000 mreža. Na svakom računalu je moguće simulirati do 7 različitih operacijskih sustava s velikim brojem različitih usluga. No, nažalost, NetFacade nije u velikoj mjeri zaživio na tržištu, ali je ipak kao važna posljedica ovog projekta proizašao drugi sustav – Snort Intrusion Detection System koji će odigrati vrlo važnu ulogu u implementaciji sustava za privlačenje i detekciju napadača u godinama koje slijede. S vremenom su se počeli pojavljivati i drugi sustavi za privlačenje i detekciju napadača od kojih je posebno zanimljiv BackOfficer Friendly. BackOfficer Friendly je sustav za privlačenje i detekciju napadača dizajniran za Windows operacijski sustav. Njegovo ime se često miješa s BackOrifice programom za administriranje udaljenog računala koji je u to doba bio smatran zloćudnim programom. BackOfficer Friendly je dijelom nastao kao odgovor na BackOrifice. No BackOfficer Friendly je imao važnu ulogu u povijesti sustava za privlačenje i detekciju napadača jer je bio (i još je) u potpunosti besplatan za korištenje i to pod najraširenijim operacijskim sustavom – Windows i, iako se nije dičio velikom funkcionalnošću, to je ipak pridonijelo širenju spoznaje o konceptu sustava za privlačenje i detekciju napadača kod velikog broja korisnika.
S obzirom na porast interesa stručnjaka za računalnu sigurnost i javnosti za sustave za privlačenje i detekciju napadača bilo je pitanje vremena kada će netko osnovati zajednicu korisnika sustava za privlačenje i detekciju napadača. To je učinio 1999. godine Lance Spitzner koji je osnovao The Honeynet Project neprofitnu organizaciju kojoj je cilj poboljšanje sigurnosti na Internetu [1]. Njihov primarni fokus je na naprednim sustavima za privlačenje i detekciju napadača (honeynet). Nakon osnivanja The Honeynet Project-a u zajednici koja se bavila istraživanjem računalne sigurnosti pojavila se ideja o osnivanju udruženja koje bi okupljalo skupine širom svijeta koje se bave istraživanjem sustava za privlačenje i detekciju napadača. Tako je 2002. godine osnovan Honeynet Research Alliance. Na ovaj način je stvorena zajednica ljudi koji međusobno dijele znanje, informacije i alate kako bi ostvarili zadani cilj. Trenutno se savez sastoji od 17 geografski dislociranih članova te 4 pokusna člana. Geografska raspodjela je vidljiva na slici 3.1.
Puno alata je razvijeno unutar projekata The Honeynet Project i Honeynet Research Alliance i oni su predstavljeni široj publici. Neki od važnijih alata, koji su razvijeni unutar spomenutih projekata, su snort_inline, Sebek, te napredni virtualni sustavi za privlačenje i detekciju napadača.
Honeynet Research Alliance je 2003. godine predstavio Eeyore – prototip sustava za privlačenje i detekciju napadača. Eeyore je imao skromne mogućnosti no imao je značajnu ulogu u razvoju ideje o sustavima za privlačenje i detekciju napadača. 2005. godine ga je naslijedio Roo, druga inačica sustava za privlačenje i detekciju napadača koja je donijela mnoga poboljšanja i učinila implementaciju spomenute tehnologije pristupačnom širem broju korisnika. Eeyore je završio svoj životni ciklus i više nije podržan od strane Honeynet Research Alliance.
12
Slika 3.1: Honeynet Research Alliance
2005. godine je predstavljen Roo najnovija inačica sustava za privlačenje i detekciju napadača. Roo je najnovija inačica naprednog sustava za privlačenje i detekciju napadača (honeynet). Dolazi u obliku ISO slike CD-a koji se koristi pri pokretanju sustava (boot image) i temelji se na Fedora Core 3 distribuciji Linux operacijskog sustava s dodatnim alatima pomoću kojih se ostvaruje funkcionalnost sustava za privlačenje i detekciju napadača.
Vidljivo je da tehnologija sustava za privlačenje i detekciju napadača ima kratku, ali vrlo dinamičnu povijest. Iako je iza te tehnologije puno dostignuća ona nije dosegnula svoje vrhunce što najavljuje zanimljivu budućnost.
13
3.2. Podjela sustava za privlačenje i detekciju napadača
Sustavi za privlačenje i detekciju napadača postoje u raznim oblicima i mogu se sresti u različitim sredinama. Njihova raznolikost zahtjeva da se napravi podjela.
Prema vrsti okruženja u kojemu se primjenjuju sustavi za privlačenje i detekciju napadača mogu podijeliti na slijedeći način:
a) Produkcijski sustavi za privlačenje i detekciju napadača Ova vrsta sustava za privlačenje i detekciju napadača koristi se u produkcijskim mrežama kao pomoć drugim sigurnosnim mehanizmima. Ovu vrstu sustava za privlačenje i detekciju napadača obično ostvaruju komercijalne organizacije.
b) Istraživački sustavi za privlačenje i detekciju napadača Pomažu stručnjacima iz računalne sigurnosti da uoče i istraže prijetnje s kojima se susreće njihova organizacija. Na taj način dolaze do bitnih spoznaja koje se dalje koriste kako bi se što bolje zaštitili od uočenih prijetnji. Ovu vrstu sustava za privlačenje i detekciju napadača obično implementiraju sveučilišta, vojska, vladine organizacije te tvrtke koje se bave istraživanjem računalne sigurnosti.
Druga podjela sustava za privlačenje i detekciju napadača temelji se na razini interakcije s napadačem:
a) Sustavi za privlačenje i detekciju napadača niske interakcije Sustavi za privlačenje i detekciju napadača niske interakcije (low-interaction honeypots) oponašaju razne sustave, usluge unutar njih ili aplikacije. Napadačeve mogućnosti su ograničene na ono što se emulira što bitno umanjuje vrijednost informacija koje se mogu prikupiti, a ujedno znači i manji rizik za sustav u kojemu se sustav za privlačenje i detekciju napadača nalazi. Dakle moguće je da napadač ovom sustavu zada naredbu na koju on nije spreman (tj. nije programiran za situaciju u kojoj se našao) i u tom slučaju napadač ne dobiva odgovor koji je očekivao što može napadača upozoriti da se ne radi o pravom sustavu i odvratiti ga od daljnjih pokušaja. Primarna vrijednost sustava za privlačenje i detekciju napadača ove razine interakcije je detekcija neovlaštenog pokušaja pristupa ili detekcija neovlaštenog skeniranja računala ili mreže. Ovaj sustav je dizajniran kako bi hvatao poznate napade i tehnike i nije pravo rješenje za otkrivanje novih načina napada, novih zloćudnih programa ili novih tehnika napadača. Prednost je što je implementacija ovog tipa sustava za privlačenje i detekciju napadača manje zahtjevna te se uglavnom svodi na odabir unaprijed definiranih postavki kao i činjenica da je rizik za domaćina minimalan. Sve što administrator mora napraviti, u većini slučajeva, je redovno motriti alarme koje generira sustav ove razine. Zbog toga je ovaj tip sustava za privlačenje i detekciju napadača najprikladniji za početnike u ovom području.
b) Sustavi za privlačenje i detekciju napadača srednje interakcije Sustavi za privlačenje i detekciju napadača srednje interakcije (medium-interaction honeypots) donose nešto veću razinu interakcije u odnosu na prethodno opisane sustave niske interakcije. Obično je njihova implementacija vremenski zahtjevnija pošto je potrebno više vremena za konfiguriranje sustava i njegovo puštanje u rad. Kako ponekad organizacija ili pojedinac koji želi implementirati ovaj tip sustava za privlačenje i detekciju napadača želi dodati neke funkcionalnosti složenost sustava
14
se povećava u odnosu na sustav za privlačenje i detekciju napadača niske interakcije. S obzirom na činjenicu da napadač ima veću razinu interakcije veći je i rizik za sustav. Ukoliko se radi o loše napravljenom ili konfiguriranom sustavu napadač može ugroziti sustav domaćin i time načiniti puno veću štetu u odnosu sustav niže interakcije. Naravno s povećanjem razine interakcije povećava se i količina te vrijednost informacija do kojih se može doći. Tipičan primjer ostvarenja sustava za privlačenje i detekciju napadača ove razine interakcije je korištenje Unix naredbe jail (samo na FreeBSD operacijskom sustavu) ili chroot kojima se može načiniti unutar operacijskog sustava strogo kontrolirano okruženje. Cilj je dopustiti napadaču pristup strogo kontroliranom okruženju na operacijskom sustavu domaćinu te tada motriti svaki njegov korak. No, ovaj način ima i neke nedostatke: kompleksan je i ukoliko se nešto pogrešno podesi napadač može dobiti pristup pravom operacijskom sustavu (domaćinu); vrlo je teško dobiti punu funkcionalnost unutar kontroliranog okruženja zbog ograničenja stvarnog operacijskog sustava.
c) Sustavi za privlačenje i detekciju napadača visoke interakcije Sustavi za privlačenje i detekciju napadača visoke interakcije (high-interaction honeypots) su, trenutno, najviši stupanj razvoja ove tehnologije. Obično se radi o stvarnim operacijskim sustavima (npr. Windows, Linux, Unix) ili uslugama (npr. FTP, HTTP, SMB) koji se koriste kao sustavi za privlačenje i detekciju napadača. Ništa se ne emulira i ne postoje nikakva ograničenja koja bi sputavala napadača. Njihova je prednost što pružaju mogućnost za prikupljanje daleko više informacija u odnosu na druge sustave s manjim stupnjem interakcije pa je na taj način moguće otkriti nove tehnike i alate napadača i vidjeti koje ranjivosti napadač iskorištava kako bi bilo moguće otkloniti ih ili pronaći nove zloćudne programe. Mogućnosti ovog tipa sustava su neograničene što ga čini najboljim izborom za sigurnosne stručnjake i organizacije koje se bave područjem računalne sigurnosti. No, to donosi i određeni rizik. Moguć je scenarij u kojemu napadač kompromitira sustav za privlačenje i detekciju ovoga tipa te ga nakon toga iskoristi kao ulaznu točku u produkcijski dio sustava. Sustav ovog tipa interakcije se može implementirati na način da se uzme standardni operacijski sustav/usluga koji se ne razlikuje po ničemu od ostalih produkcijskih sustava osim po tome što nema nikakvu produkcijsku namjenu - njegova svrha je da bude ispitan, napadnut ili kompromitiran. Velika prednost sustava visoke interakcije je u tome što su iznimno skalabilni i fleksibilni te se mogu primijeniti upravo onako kako je organizaciji koja ih koristi i potrebno. Mana je, uz već navedeni sigurnosni rizike, velika složenost implementacije i održavanja samog sustava.
Treća podjela je po načinu implementacije:
a) Fizički sustavi za privlačenje i detekciju napadača Sustavi za privlačenje i detekciju napadača koji su implementirani kao fizički objekt (računalo, usmjernik, mreža računala).
b) Virtualni sustavi za privlačenje i detekciju napadača Ovaj tip sustava za privlačenje i detekciju napadača implementira se u virtualnoj okolini npr. unutar VMware virtualnog računala, User Mode Linux-a ili kao virtualne usluge na računalu domaćinu (npr. honeyd). Prednost ovakvih implementacija sustava za privlačenje i detekciju napadača je u tome što omogućava da se bez opasnosti za sustav domaćin pokrene sustav za privlačenje i detekciju napadača.
15
c) Hibridni sustavi za privlačenje i detekciju napadača Naravno, moguće je i kombinirati prethodno navedene načine implementacije i napraviti sustav koji se sastoji od nekoliko sustava za privlačenje i detekciju napadača unutar jednog fizičkog sustava.
Vidljivo je da postoje različite vrste sustava za privlačenje i detekciju napadača pa svaka organizacija koja želi primjeniti ovu tehnologiju može odabrati ono rješenje koje će najbolje odgovarati njihovim potrebama. Naravno potrebno je uzeti u obzir i povećanje rizika za samu organizaciju koju donosi implementacija sustava za privlačenje i detekciju napadača.
3.3. Vrijednost sustava za privlačenje i detekciju napadača
Pojam vrijednosti sustava za privlačenje i detekciju napadača označava sve elemente čime je ova tehnologija pridonijela računalnoj sigurnosti. Tehnologija sustava za privlačenje i detekciju napadača ima nekoliko prednosti u odnosu na druge tehnologije iz područja računalne sigurnosti. No, kao i sve druge tehnologije, ovi sustavi imaju i mane. U ovom odlomku će biti opisane prednosti i mane sustava za privlačenje i detekciju napadača.
3.3.1. Prednosti sustava za privlačenje i detekciju napadača
Sustav za privlačenje i detekciju napadača ima nekoliko prednosti nad klasičim rješenjima iz područja računalne sigurnosti. Te prednosti proizlaze iz same prirode sustava za privlačenje i detekciju napadača jer je njegova jedina svrha da bude ispitan, napadnut ili kompromitiran.
Prva prednost sustava za privlačenje i detekciju napadača je u načinu prikupljanja podataka.
Prikupljanje podataka je jedan od najvećih izazova s kojim se susreću stručnjaci za računalnu sigurnost. Dobivanje korisnih podataka iz ogromne količine podataka koja se dnevno generira u nadziranim sustavima (dnevnici sigurnosne stijene, dnevnici sustava, dnevnici sustava za detekciju napadača itd.) je pravi izazov. Sama količina podataka može zatrpati onoga koji nadzire sustav i može se dogoditi da zbog toga neki bitan podatak promakne. S druge strane sustav za privlačenje i detekciju napadača dnevno prikupi malu količinu podataka koji su zbog prirode sustava za privlačenje i detekciju napadača vrlo važni. Kako sustav za privlačenje i detekciju napadača nema nikakvu produkcijsku vrijednost svaki podatak koji je dobiven iz sustava za privlačenje i detekciju napadača smatra se dokazom zloćudnog prometa. U odnosu na dnevnike koji mogu dosegnuti veličinu od nekoliko gigabajta, dnevnici sustava za privlačenje i detekciju napadača dosegnu veličinu od nekoliko megabajta podataka dnevno. Dobiveni podaci su u formatu koji dopušta jednostavniju analizu što značajno ubrzava vrijeme odgovora na određenu prijetnju. Primjerice ukoliko neki napadač napravi skeniranje pristupa (portscan) sustava za privlačenje i detekciju napadača to će stručnjak zadužen za računalnu sigurnost puno ranije uočiti u odnosu na situaciju kada mora pregledavati tisuće redaka dnevnika sustava. Druga prednost sustava za privlačenje i detekciju napadača je svakako u njihovim malim zahtjevima za resurse.
Velik izazov svakom stručnjaku za računalnu sigurnost su svakako i ograničeni resursi ili čak njihovo potpuno iscrpljivanje. Primjerice ukoliko se zapuni tablica sigurnosne stijene
16
ili ostane bez resursa sustava, sigurnosna stijena naprosto prestane funkcionirati na očekivan način i odbija svaki daljnji pokušaj komunikacije (pa makar se radilo o legalnom pokušaju). Tada prestaje i komunikacija računala koja se nalaze iza sigurnosne stijene što se može smatrati napadom uskraćivanjem resursa. Sustav za otkrivanje neovlaštenog pristupa (Intrusion Detection System) zbog prevelikog prometa kojeg mora nadzirati se, također, može urušiti te zbog toga propustiti upozoriti na neki bitan događaj. No kako sustavi za privlačenje i detekciju napadača bilježe malu količinu podataka gotovo je nemoguće da se opisani problemi pojave i ovdje. Primjerice sustavi za detekciju neovlaštenog pristupa na mrežama brzine 1 Gb/s su gotovo beskorisni pošto ne mogu obraditi dovoljnom brzinom pakete na ovako brzoj mreži. S druge strane sustav za privlačenje i detekciju napadača koji bi radio na istoj mreži (naravno uz pretpostavku da napadač napadne ovaj sustav) ne bi imao takovih problema. Kako sam sustav za privlačenje i detekciju napadača ne zahtjeva velike resurse za svoj rad i troškovi nabave resursa su smanjeni u odnosu na druge tehnologije. Moguće je iskoristiti neka zastarjela računala i ostalu opremu bez gubitka na funkcionalnosti, a u svrhu svođenja troškova na minimum.
Treća prednost sustava za privlačenje i detekciju napadača je jednostavnost njihove uporabe.
Jednostavnost uporabe sustava je njegov najjači adut. Sam koncept sustava koji ne služi ničemu osim da bude ispitan, napadnut i kompromitiran dopušta da se taj sustav stavi bilo gdje i nakon toga samo čeka i promatra što će se s njime dogoditi.
Četvrta prednost je to što se korištenjem ove tehnologije vrlo brzo vide rezultati njene uporabe (povrat ulaganja).
Za razliku od drugih tehnologija (sigurnosna stijena, enkripcija, jaka autentifikacija korisnika, sustavi za detekciju napadača itd.) koje se koriste u računalnoj sigurnosti sustav za privlačenje i detekciju napadača dokazuje svoju vrijednost s prvim pokušajem spajanja na njega. Dok se kod ostalih sustava obrana temelji na prevenciji napadača i većina pokušaja ostanu samo pokušaji kod sustava za prevenciju napadača se mogu vidjeti konkretni rezultati. Tehnologija sustava za privlačenje i detekciju napadača omogućava zainteresiranim stranama učenje kako o samom sustavu, tako i o prijetnjama koje se pojavljuju.
Istraživački sustavi za privlačenje i detekciju napadača imaju veliku ulogu u otkrivanju novih zloćudnih programa i tehnika napada.
3.3.2. Mane sustava za privlačenje i detekciju napadača
Iako bi se prema prethodno navedenim prednostima sustava za privlačenje i detekciju napadača moglo pomisliti da je on savršen alat, stvari ipak ne stoje tako sjajno jer sustav ima i određene nedostatke. Zbog toga sustav za privlačenje i detekciju napadača ne može zamjeniti niti jedan drugi sigurnosni mehanizam nego u sprezi s ostalim sigurnosnim mehanizmima pridonosi općenitoj sigurnosti cjelokupnog sustava.
Najveća mana sustava za privlačenje i detekciju napadača u tome što ima ograničen doseg.
Sustav za privlačenje i detekciju napadača može „vidjeti“ samo onu aktivnost koja se tiče direktno njega. Ukoliko napadač napadne produkcijski sustav, bez ikakve interakcije s sustavom za privlačenje i detekciju napadača, sam sustav za privlačenje i detekciju napadača to neće otkriti. Dokle god napadač izbjegava sustav za privlačenje i detekciju napadača on neće ništa detektirati te je u tim situacijama potpuno beskoristan.
17
Velika mana, posebice komercijalnih sustava za privlačenje i detekciju napadača, je u tome što oni mogu biti otkriveni.
Napadač može otkriti sustav za privlačenje i detekciju napadača na način da se sam sustav razotkrije jer se ne ponaša na isti način kao i pravi sustav za kojeg se izdaje ili kada mu nedostaju neke funkcionalnosti pravog sustava. Kao primjer se može uzeti usluga standardnog web poslužitelja koju emulira sustav za privlačenje i detekciju napadača. Loše napravljena emulacija može sadržavati neku grešku koja otkriva da se radi o sustavu za privlačenje i detekciju napadača i na taj način ta greška ga jednoznačno identificira. Ako napadač zbog propusta u samoj izvedbi sustava za privlačenje i detekciju napadača bude u mogućnosti taj sustav jednoznačno prepoznati tada postoji mogućnost da napadač napadne sustav za privlačenje i detekciju napadača s računala koja se nalaze u mreži kako bi time stvorio pomutnju te odvukao pažnju administratoru. Napadač bi u tom slučaju dalje mogao nesmetano kompromitirati neko drugo, produkcijsko, računalo. Istraživački sustavi za privlačenje i detekciju napadača su posebno osjetljivi na otkrivanje pošto napadač, kada uspješno identificira sustav za privlačenje i detekciju napadača, može sustav obmanjivati lažnim podacima što može stručnjake navesti na krive zaključke. Općenito se može zaključiti da organizacija ili pojedinac koji se odluče na implementaciju sustava za privlačenje i detekciju napadača svakako ne žele da prava namjena sustava bude otkrivena.
I na kraju nipošto se ne smije zanemariti činjenica da sustav za privlačenje i detekciju napadača unosi dodatni rizik u sustav unutar kojega se nalazi. Jednom kompromitirani sustav za privlačenje i detekciju napadača može biti iskorišten za napad na druge sustave. Rizik je povezan s razinom interakcije sustava za privlačenje i detekciju napadača – što napadač ima veću mogućnost interakcije, to je veći rizik za ostatak sustava.
Sve navedeno upućuje na oprez pri korištenju sustava za privlačenje i detekciju napadača. Potrebno je da korisnik sustava bude svjestan njegovih mogućnosti, a posebice ograničenja sustava.
3.4. Primjena sustava za privlačenje i detekciju napadača u računalnoj sigurnosti
Kako zapravo sustav za privlačenje i detekciju napadača pridonosi povećanju sigurnosti sustava u kojemu se nalazi? Na ovo pitanje će biti odgovoreno u ovom poglavlju. Sustav za privlačenje i detekciju napadača se može koristiti u dvama različitim okolinama – produkcijskoj i istraživačkoj pa valja promotriti koje specifične vrijednosti ima u njima.
3.4.1. Sustavi za privlačenje i detekciju napadača u produkcijskom okruženju
Produkcijski sustavi za privlačenje i detekciju napadača mogu pomoći u smanjivanju stupnja rizika u produkcijskom okruženju. Vrijednost sustava za privlačenje i detekciju napadača u produkcijskom okruženju će biti promatrana na tri polja od kojih se sastoji računalna sigurnost: prevencija (prevention), otkrivanje (detection) i reakcija (response).
Prevencija U računalnoj sigurnosti prevencija znači zadržati prijetnje izvan sustava. To se postiže na razne načine, primjerice, korištenjem sigurnosne stijene koji kontrolira sav ulazni i izlazni promet, raznim načinima autentifikacije korisnika (pametne kartice, digitalni certifikati, stroga politika lozinki) ili pak korištenjem jake enkripcije. U području prevencije sustav za
18
privlačenje i detekciju napadača nema veću ulogu jer ne odvraća napadača od njegove namjere. Ukoliko je sustav za privlačenje i detekciju napadača loše konfiguriran, može čak i povećati rizik za organizaciju otvarajući napadaču vrata u njen informacijski sustav. Iako manji dio stručnjaka smatra da sustav za privlačenje i detekciju napadača ima ulogu odvraćanja napadača što argumentiraju s tezom – napadač neće napasti organizaciju unutar koje se nalazi sustav za privlačenje i detekciju napadača, činjenica je da se njihovi argumenti temelje na ljudskoj psihologiji. Ukoliko se radi o nekom obliku automatiziranog napada onda navedena teza nema previše smisla. Ograničeno vrijeme i resurse je bolje potrošiti na ojačavanje svih elemenata postojećeg sustava kako bi se napadaču otežao napad jer koja je korist od korištenja sustava za privlačenje i detekciju napadača kao sredstva odvraćanja ako u sustavu postoje razne ranjivosti. Većina današnjih napada je automatizirano i temelje se na taktici u kojoj se nastoji kompromitirati što više računala u što kraćem vremenu. Takvi se sustavi za privlačenje i detekciju napadača pokazuju krajnje nekorisni u području prevencije.
Slučaj u kojemu bi se sustav za privlačenje i detekciju napadača mogao smatrati oruđem odvraćanja je situacija u kojoj organizacija želi zaštititi vrlo važne podatke (npr. poslovne tajne) jer se tada može susresti s stvarnim napadačem koji pažljivo bira i proučava sustav koji želi napasti. Jedino u tom slučaju se može govoriti o ulozi u odvraćanju napadača sustava za privlačenje i detekciju napadača.
Općenito se može zaključiti da sustav za privlačenje i detekciju napadača nema neku bitnu ulogu u prevenciji. Zbog toga resurse i dragocjeno vrijeme koje bi bilo utrošeno na implementaciju ovog sustava je bolje potrošiti na smanjivanje rizika u postojećem sustavu.
Otkrivanje napadača Koliko god organizacija uloži truda u prevenciju ipak će se dogoditi da napadač zaobiđe preventivne mehanizme i upadne u sustav. Bez obzirana trud uložen u prevencju napada time se samo može smanjiti rizik, no ne može ga se i u potpunosti ukloniti. Kada napadač jednom uđe u sustav mora postojati način da se to i otkrije. Sigurnosni stručnjaci imaju nekoliko načina otkrivanja napadača, od kojih je posebno zanimljiv mrežni sustav za detekciju napadača (Network Intrusion Detection System) koji je namijenjen otkrivanju zloćudnih aktivnosti na mreži. Sustav upozorava administratora ukoliko otkrije nekakvu zloćudnu aktivnost na mreži, no njegova svrha nije prevencija. Za mnoge organizacije detekcija je najveći problem budući da se mogu suočiti s tri problema vezana uz detekciju: lažno-pozitivna detekcija, lažno-negativna detekcija te problem sakupljanja podataka.
Lažno-pozitivna detekcija se događa kada sustav podigne alarm zbog valjanog prometa. To može biti vrlo velik problem jer, ukoliko je sustav za detekciju napadača osjetljiv na valjani promet, on može generirati velik broj lažno-pozitivnih alarma što može zatrpati administratora i na taj način smanjiti vjerojatnost otkrivanja pravog alarma. Jedino rješenje ovog problema je prilagoditi sustav (ukloniti pravila koja generiraju lažne uzbune ili ukloniti promet koji generira lažnu uzbunu) na način da ne podiže alarm za valjani promet, no to je vremenski zahtjevno i potrebno je specifično znanje o samoj strukturi nadzirane mreže, o vrsti prometa u njoj te o uključenim objektima.
Ukoliko se uklone pravila koja stvaraju lažne alarme moguća je pojava lažno-negativne detekcije (tj. sustav ne prepozna stvarni zloćudni promet) što dozvoljava napadaču da neometano napadne mrežu bez znanja sustava za detekciju napadača. Većina sustava za detekciju napadača koristi bazu potpisa (signatures) i ukoliko se neki oblik nadziranog prometa pokopi s određenim potpisom generira se alarm. Tu postoji problem novih načina napada jer ukoliko napadač koristi novi način napada sustav za detekciju napadača s starom bazom potpisa nije u mogućnosti detektirati napadača. Ukoliko sustav ne obnovi
19
bazu potpisa ili i dalje ne postoji potpis za taj način napada, napadač može bezbrižno činiti što ga je volja. Napadač čak može iskoristiti neki od dostupnih alata (npr. ADMmutate) kako bi promijenio potpis poznatog napada i time zavarao mrežni sustav za detekciju napadača.
Treći problem je problem prikupljanja podataka sustava za detekciju napadača. Moderna tehnologija je u mogućnosti riješiti problem prikupljanja ogromne količine podataka koja se dobiva od mrežnih dnevnika, dnevnika operacijskog sustava ili dnevnika pojedinih programa ili usluga. Problem je od izdvojiti korisne podatke – one podatke koji mogu pomoći u otkrivanju zloćudnih aktivnosti.
S druge strane sustav za privlačenje i detekciju napadača uspješno rješava navedena tri problema otkrivanja napadača. Lažno-pozitivni alarmi ne postoje jer svaki promet usmjeren prema sustavu za privlačenje i detekciju napadača smatra se zloćudnim. Sustav za privlačenje i detekciju napadača je također imun i na lažno-negativne alarme jer pojava novog napada ne može zavarati sustav. Jedna od najvećih mogućnosti sustava za privlačenje i detekciju napadača je otkrivanje novih tehnika napada, novih alata ili novih zloćudnih programa. To se može vidjeti na primjeru ADMmutate programa koji promjenom potpisa poznatog napada uspijeva zavarati mrežni sustav za detekciju napadača, no ne uspijeva zavarati i sustav za privlačenje i detekciju napadača koji će alarmirati administratora sustava. Sustav za privlačenje i detekciju napadača nije ovisan o redovnom osvježavanju baze potpisa i kod otkrivanja novih napada jednostavno rješava problem prikupljanja podataka – sustav dnevno prikupi malu količinu vrlo bitnih podataka jer se sav promet prema njemu smatra sumnjivim.
Kao primjer uporabe sustava za privlačenje i detekciju napadača u produkcijskom okruženju se može uzeti njegovo korištenje u tzv. „demilitariziranoj“ zoni (DMZ). DMZ je mreža sustava koji pružaju usluge (web poslužitelj, poslužitelj elektroničke pošte, poslužitelj baze podataka) dostupne na Internetu pa je velika vjerojatnost napada na takve poslužitelje. Otkrivanje napadača u toj zoni je od velike važnosti. Ukoliko se koristi sustav za otkrivanje napadača moguće je da on, zbog velike količine produkcijskog prometa, generira velik broj lažno-pozitivnih alarma. Prikupljanje podataka je, također, veliki problem pošto se nadzire ogromna količina prometa.
Primjena sustava za privlačenje i detekciju napadača u „demilitariziranoj“ zoni je vidljiva na slci 3.2.
Kako nema produkcijsku svrhu broj lažno-pozitivnih alarma će biti značajno smanjen, ako ne i potpuno uklonjen. Bilo koja veza usmjerena prema sustavu za privlačenje i detekciju napadača se smatra sumnjivom. Primjerice, ukoliko netko pokuša uspostaviti TCP vezu na pristup 80 znači da traži propust u web poslužitelju (HTTP protokol) ili ukoliko pokuša uspostaviti vezu s TCP pristupom 25 znači da traži ranjivost poslužitelja elektroničke pošte (sendmail). Još zanimljivija situacija je kada se poslužitelj koji se nalazi u „demilitariziranoj“ zoni pokuša spojiti na sustav za privlačenje i detekciju napadača jer je tada sustav vrlo sumnjiv (vjerojatno i kompromitiran).
Kako sustav za privlačenje i detekciju napadača bilježi samo neovlaštene pokušaje (ili uspješna spajanja) nestaje problem prikupljanja podataka koji se pojavljuje kod sustava za detekciju napadača. Ukoliko se primjeti da se netko s određene IP adrese pokuša spojiti na sustav za privlačenje i detekciju napadača tada se može iskoristiti tu spoznaju kako bi se potanko istražilo ostale izvore podataka (dnevnike sustava, dnevnike sigurnosne stijene, dnevnike sustava za detekciju napadača) što može pomoći u usmjeravanju pažnje na stvarne probleme i time općenito povećati sigurnost cjelokupnog sustava.
20
Slika 3.2: Primjena sustava za privlačenje i detekciju napadača u „demilitariziranoj“ zoni
kao alata za otkrivanje napadača
Broj lažno negativnih detekcija je također značajno umanjen pošto će sustav za privlačenje i detekciju napadača detektirati sav promet usmjeren prema njemu. Primjerice, ranije spomenuti ADMmutate bi mogao zavarati sustav za detekciju neovlaštenog pristupa, no sustav za detekciju i privlačenje napadača će uspješno detektirati takav napad.
Potrebno je napomenuti da sustav za privlačenje i detekciju napadača nije cjelovito rješenje za problem računalne sigurnosti jer uz sve nabrojane prednosti sustav za privlačenje i detekciju napadača ima i poznatu manu: detektira samo ono što je usmjereno prema njemu i ukoliko napadač kompromitira bilo koji drugi sustav unutar „demilitarizirane“ zone, bez prometa prema sustavu za privlačenje i detekciju napadača, sustav neće detektirati napad.
Reakcija Jednom kada je napad otkriven mora postojati mogućnost odgovora na njega. Odgovor se općenito svodi na prikupljanje podataka o napadima i o kontroli štete.
Prikupljanje podataka o napadu je bitno ne samo kako bi se moglo eventualno kazneno goniti napadača, nego i kako bi se uvidjelo razmjere počinjene štete – da li je neki drugi sustav kompromitiran, je li napadač ostavio neki drugi ulaz u sustav (backdoor) ili neki oblik zamke i jesu li na bilo koji način ugrozili privatne podatke od korisnika kompromitiranog sustava. Kada se dogodi i naposljetku otkrije sigurnosni incident dužnost organizacije je prikupiti podatke o samom incidentu – kako je napadač upao u kompromitirani sustav, koji su mu bili koraci na kompromitiranom računalu i na kraju tko je napadač. To su vrlo bitni dokazi i bez njih se ne može valjano odgovoriti na incident. Čak i ako napadač pokuša prikriti tragove na kompromitiranim sustavima, primjerice modificiranjem dnevnika sustava, napredne tehnike računalne forenzike omogućavaju da budu otkrivene gotovo sve napadačeve akcije. Najpoznatiji alat razvijen u tu svrhu je Coroner's Toolkit.
Problem je što se napadačevi tragovi lako mogu izgubiti u mnoštvu drugih, legalnih, akcija ovlaštenih korisnika napadnutog računalnog sustava jer se ipak radi o produkcijskom sustavu i njegova svrha je da bude korišten. Čak i uz korištenje najboljih alata i najmodernijih tehnika, ponekad, zbog količine prometa na takvom sustavu nije moguće otkriti napadačeve tragove. Općenito vrijedi pravilo – što je veći promet na sustavu, to je
21
manja vjerojatnost otkrivanja napadačevih tragova. Otkrivanje „nezagađenih“ podataka je jedan od najvećih izazova koji se postavljaju pred stručnjake za računalnu forenziku.
Drugi problem koji se može pojaviti u produkcijskim sustavima nakon uspješnog napada je činjenica da se napadnuti sustav ponekad ne može ukloniti s mreže. Kako bi bilo moguće prikupiti cjelovite podatke o incidentu sustav se mora maknuti s mreže i mora biti analiziran s drugih sustava tj. mora se napraviti slika (image) čvrstog diska napadnutog sustava kako bi se mogla provesti potpuna računalna forenzika. Organizacija kojoj se dogodio računalni incident si najčešće ne može dopustiti da napadnuti sustav stavi van pogona jer se često radi o nekom ključnom sustavu (npr. baza podataka, web poslužitelj) pa nastoje provesti kontrolu štete dok je sustav istovremeno na mreži. Kontrola štete se najčešće svodi na „krpanje“ uočenih propusta (onih koji je napadač iskoristio za uspješan napad na sustav) te se nakon toga ne poduzimaju nikakve daljnje akcije kojima bi se došlo do spoznaje kako je napadač kompromitirao sustav i što je napadača zanimalo. Napadnuta organizacija ne može, zbog prirode napadnutog sustava, valjano obraditi sigurnosni incident i tu stupa na scenu sustav za privlačenje i detekciju napadača.
Kako sustav za privlačenje i detekciju napadača, po definiciji, nema produkcijsku svrhu nema ni problema koji stvara legalni (produkcijski) promet. Kada je sustav za privlačenje i detekciju kompromitiran jedini promet je onaj između napadača i kompromitiranog sustava. Drugi problem, s raspoloživošću sustava, je također uklonjen jer sustav za privlačenje i detekciju napadača nema produkcijsku svrhu pa može u bilo kojem trenutku biti uklonjen s mreže kako bi se detaljno analizirao.
Primjer navedenih tvrdnji je tvrtka koja je u svom poslovanju snažno oslonjena na Internet. Kako bi smanjila opterećenje web poslužitelja posao posluživanja zahtjeva iz cijeloga svijeta se obavlja na više fizičkih poslužitelja. U navedenom okruženju sustav za privlačenje i detekciju napadača se može primijeniti ne samo za detekciju napadača, kako je navedeno ranije, nego i kao alat koje će omogućiti bolji odgovor na incident. Za tri „prava“ poslužitelja će biti dodani unosi u DNS (Domain Name Service) dok za sustav za privlačenje i detekciju napadača to neće biti učinjeno. To znači da će sustav za privlačenje i detekciju napadača biti „nevidljiv“ za produkcijski promet i legalne korisnike. Sustav za privlačenje i detekciju napadača će biti u potpunosti jednako postavljen kao i produkcijski poslužitelji i nalaziti će se, prema IP adresi, između produkcijskih poslužitelja kao što se može vidjeti na slici 3.3.
Ukoliko napadač napadne ovako složenu mrežu poslužitelja, na način da slijedno pretražuje prostor IP adresa, velika je vjerojatnost da će i sustav za privlačenje i detekciju napadača biti napadnut. U tom slučaju organizacija može iskoristiti podatke s sustava za privlačenje i detekciju napadača kako bi bolje, učinkovitije i brže reagirala na sigurnosni incident.
Sustav za privlačenje i detekciju napadača nije i ne smije biti jedini alat koji se koristi u odgovoru na računalni incident. Najvažniji korak u odgovoru na računalni incident je biti pripremljen za njega što znači da treba imati unaprijed pripremljen plan odgovora na sigurnosni incident, potrebne alate kojima bi se izvukli i sačuvali dokazi te se nakon incidenta moraju sačuvati svi podaci o tome kako je do incidenta došlo kako bi se moglo valjano zaštititi. Sustav za privlačenje i detekciju napadača, ukoliko se dobro poznaju njegove mogućnosti i ograničenja, može biti moćan alat pri odgovoru na sigurnosni incident.
22
Slika 3.3: Primjena sustava za privlačenje i detekciju napadača kao alata za odgovor na
napad
3.4.2. Sustavi za privlačenje i detekciju napadača u istraživačkom okruženju
Najveći problem koji se postavlja pred zajednicu stručnjaka za računalnu sigurnost je nedostatak informacija o „drugoj strani“. Pitanja o prirodi napadača i napada, njihovim motivima, načinima napada, alatima koji se koriste u napadima i o potencijalnim metama su često ostavljena bez odgovora. Velika količina energije i novca se troši kako bi se došlo do nekih odgovora na postavljena pitanja. Kako bi bilo moguće obraniti se od neke prijetnje prvi korak je znati za postojanje iste. No, u svijetu računalne sigurnosti postoji malo informacija o prijetnjama. Problem je pronaći pravi izvor podataka. Najčešće stručnjaci za računalnu sigurnost informacije o napadačima dobivaju na osnovu alata koje koriste. Primjerice, kada napadač kompromitira neki računalni sustav administrator sustava najčešće može pronaći napadačeve alate i na taj način doznati neke informacije o napadaču. Može se povući analogija s arheologijom – uvježbani profesionalci pokušavaju saznati nešto o davno iščeznulim kulturama na osnovu tragova koji su ostali iza njih. Iako je ova metoda dosta učinkovita postoji još mnogo stvari koje bi se moglo naučiti o zajednici napadača (blackhat). U tome je svakako pomoć sustav za privlačenje i detekciju napadača.
Istraživački sustavi za privlačenje i detekciju napadača imaju posebnu vrijednost jer pružaju način za proučavanje prijetnji za računalnu sigurnost. Nema boljeg načina za učenje od promatranja napadača u akciji, snimanja svakog njegovog poteza i analize njegovih koraka. Sustav za privlačenje i detekciju napadača omogućava praćenje cijelog tijeka napada. Umjesto samostalne analize napadačevih alata moguće je vidjeti na koji način ih napadač koristi pri stvarnom napadu na sustav. Vrijednost informacija dobivenih korištenjem sustava za privlačenje i detekciju napadača je neprocjenjiva i mogu se iskoristiti na mnogo različitih načina.
Neke od primjena istraživačkih sustava za privlačenje i detekciju napadača su:
• Bolje razumijevanje napadačevih motiva i same zajednice napadača. Pregledom aktivnosti napadača, nakon što je kompromitirao računalni sustav, moguće je doći do međusobne komunikacije s napadačima i tako bolje razumjeti odakle prijetnje dolaze i što motivira napadače.
• Moguće je otkriti nove alate i do tada nepoznate tehnike napada. • Sustav za privlačenje i detekciju napadača može poslužiti kao mehanizam za rano
23
upozoravanje pomoću kojega je moguće procijeniti kada bi se mogao dogoditi napad. Mrežom sustava za privlačenje i detekciju napadača koji se nalaze na različitim mjestima i unutar različitih organizacija moguće je dobiti podatke koji se mogu iskoristiti za modeliranje korištenjem statistike i za predviđanje budućih napada. Na taj način se napadi mogu spriječiti i prije nego se dogode.
• Za automatizirano prikupljanje zloćudnih programa. Prikupljanjem i analizom zloćudnih programa se smanjuje vrijeme reakcije na napad te se brže neutralizira prijetnja.
• Za prikupljanje informacija o naprednim zajednicama napadača (advanced blackhats). Ova mogućnost sustava za privlačenje i detekciju napadača je posebno zanimljiva jer se radi o malim, no vrlo sposobnim zajednicama stručnjaka koji koriste svoje umijeće kako bi napadali razne računalne sustave i u tome su često vrlo uspješni. Sustav za privlačenje i detekciju napadača može biti postavljen kao mamac vrlo privlačan napadačima (npr. kao web trgovina). Ukoliko napadači napadnu tako složen sustav za privlačenje i detekciju napadača moguće je otkriti njihove alate i tehnike i na taj način spriječiti neku veću štetu u produkcijskom okruženju.
Korištenje istraživačkih sustava za privlačenje i detekciju napadača ne smanjuje rizik za organizaciju koja ga koristi, ali informacije dobivene iz ovog sustava mogu biti iskorištene kako bi pomogle u prevenciji, otkrivanju ili odgovoru na napade. Ukoliko se sustav za privlačenje i detekciju napadača želi koristiti za smanjivanje rizika za organizaciju svakako je bolji izbor implementacija produkcijskog sustava za privlačenje i detekciju napadača. No, za istraživačke svrhe korištenje istraživačkih sustava za privlačenje i detekciju je jedini izbor.
3.5. Postojeći sustavi za privlačenje i detekciju napadača
Nakon što je općenito objašnjeno što je, čemu služi i kako se koristi sustav za privlačenje i detekciju napadača bit će navedeno i opisano nekoliko dostupnih sustava za privlačenje i detekciju napadača.
3.5.1. BackOfficer Friendly
BackOfficer Friendly spada u sustave za privlačenje i detekciju napadača niske interakcije. Dostupan je u inačicama za Unix i Windows operacijski sustav što ga čini idealnim izborom za kućne korisnike i za one koji se tek upoznaju s konceptom sustava za privlačenje i detekciju napadača.
BackOfficer je razvio Marcus Ranum iz tvrtke Network Flight Recorder 1998. godine kao odgovor na specifičnu prijetnju – BackOrifice. BackOrifice je vrlo moćan trojanski konj koji je razvila skupina Cult of the Dead Cow's i predstavila svijetu na DefCon 6 konferenciji 1998. godine. Kada se BackOrifice instalira na žrtvino računalo (pod Windows operacijskim sustavom) trojanski konj se u potpunosti „sakrije“ od korisnika, a napadaču omogućava potpunu kontrolu nad žrtvinim računalom, čak i veći stupanj upravljivosti nego što obični korisnik ima. Zbog toga je izazvao mnogo kontroverzi od samog predstavljanja. Jednostavnost tog alata omogućava njegovo korištenje širokom krugu korisnika. Kada bi se jednom BackOrifice instalirao na korisnikovo računalo napadač bi dobio jednostavno korisničko sučelje (slika 3.4) kojim bi mogao upravljati žrtvinim računalom. Jednostavno korisničko sučelje je omogućilo napadačima jednostavno upravljanje napadnutim računalima što je pridonijelo velikoj popularnosti BackOrifice programa.
24
Slika 3.4: BackOrifice korisničko sučelje
Sučelje, iako jednostavno, napadaču daje mnogo mogućnosti što se vidi iz izbornika Command s desne strane na slici 3.4 (od promjene lozinke pa sve do ponovnog pokretanja računala). Drugi uzrok velike popularnosti alata je činjenica da je program iznimno fleksibilan – njegov je izvorni kod bio javno dostupan, programeri diljem svijeta su neprestano poboljšavali njegovu funkcionalnost izradom raznih dodataka. Najpoznatiji dodatak je onaj pod imenom SilkRope koji je dodavao BackOrifice u bilo koju izvršnu datoteku koja se ne bi po svojim svojstvima razlikovala od originalne te nakon što bi korisnik pokrenuo legitimnu datoteku on bi, nesvjesno, instalirao BackOrifice na svoje računalo. Drugi dodatak bi to elektroničkom poštom dojavljivao napadaču na njegovu adresu. To je dovelo do velikog broja zaraza po cijelom svijetu što je alarmiralo centre za računalnu sigurnost da izdaju upozorenje u vezi BackOrifice trojanskog konja. Kako bi situacija bila gora, nakon što bi se BackOrifice instalirao na žrtvino računalo na njemu bi bio otvoren UDP pristup 31337 i sve što bi netko mogao napraviti bilo je skenirati računala u potrazi za spomenutim pristupom koji je bio otvoren ukoliko je na tom računalu instaliran BackOrifice. Sveopća raširenost BackOrifice trojanskog konja je potakla Marcusa Ranuma da razvije BackOfficer Friendly kako bi žrtve imale način za obranu od BackOrifice trojanskog konja.
BackOfficer Friendly radi na vrlo jednostavan način – on osluškuje određene pristupe na računalu i otkriva svaki pokušaj spajanja na nadzirane pristupe. Kada se napadač uspješno spoji program uspostavi s njim vezu, spremi podatke o događaju u svoj dnevnik, alarmira žrtvu te ovisno o postavkama programa zatvori otvorenu vezu. Korisnik može odrediti na kojim pristupima će BackOfficer Friendly osluškivati pokušaje spajanja (npr. HTTP pristup 80, POP3 pristup 110, FTP pristup 21itd.) i o tome obavještavati korisnika.
Vrijednost ovog programa je prvenstveno u otkrivanju mogućih napada i alarmiranju korisnika. BackOfficer Friendly može osluškivati do 7 različitih, unaprijed postavljenih, usluga (tj. pristupa). Iako sam program ima mogućnost emulacije podržanih usluga, to je
25
vrlo ograničena mogućnost. Kako ne postoji mogućnost dodavanja drugih usluga sam program ima ograničenu mogućnost kao sustav za privlačenje i detekciju napadača i nema vrijednosti u odvraćanju napadača.
BackOfficer Friendly je prvenstveno alat vezan za BackOrifice koji se danas vrlo rijetko ili nikako koristi sam BackOfficer Friendly u ulozi sustava za privlačenje i detekciju napadača nema prevelikog smisla zbog ograničenih mogućnosti. No, svakako može poslužiti kao uvod u tehnologiju sustava za privlačenje i detekciju napadača zainteresiranim korisnicima.
3.5.2. SPECTER
SPECTER, kao i prethodno opisani BackOfficer Friendly, spada u sustave za privlačenje i detekciju napadača niske interakcije. Radi se o komercijalnom sustavu za privlačenje i detekciju napadača koji je razvila tvrtka Network Security Software iz Švicarske i trenutno je dostupna verzija SPECTER 8.0.
SPECTER je konceptom sličan BackOfficer Friendly jer napadač ne napada stvarni operacijski sustav, nego simulirane usluge. To znači da je napadač ograničen funkcionalnošću samog programa što ograničava i količinu informacija koju je moguće dobiti od ovog sustava.
Kako se radi o komercijalnom proizvodu on posjeduje veći broj mogućnosti u odnosu na prethodno navedeni sustav za privlačenje i detekciju napadača. Prva razlika je u broju usluga koji se mogu simulirati – SPECTER može simulirati 14 različitih operacijskih sustava, 14 različitih mrežnih usluga i zamki te 11 različitih inteligentnih usluga. Shematski prikaz sustava SPECTER je prikazan na slici 3.5.
SMTP
TELN
ET
FTP
HTT
P
PO
P3
FIN
GER
IMA
P4
RPC
SSH
DN
S
BO
2K
SUB
-7
NE
TBU
S
Gen
eric
FIN
GER
TRA
CE
R
TRA
CE
RO
UTE
DN
SP
OR
T SC
AN
FTP
BAN
NER
TELN
ET
BAN
NER
SM
TP B
AN
NE
R
HTT
P H
EAD
ER
HTT
P D
OC
Slika 3.5: Shematski prikaz sustava SPECTER
Druga razlika je u tome da SPECTER može emulirati i razne aplikacije (čak 250 različitih aplikacija prema proizvođačevim specifikacijama) što proširuje njegove mogućnosti, a time i količinu dostupnih informacija. Osim što simulira razne aplikacije, simulirane su i njihove ranjivosti tako da napadač može napasti simuliranu aplikaciju što dodatno
26
povećava korisnost ovog sustava. Osim toga, SPECTER je u mogućnosti generirati posebna obilježja na napadačevom računalu (markers) što može poslužiti organima vlasti kao dokaz u postupku protiv napadača. Uz svaki od simuliranih operacijskih sustava ili usluga dolazi i velik broj pretpostavljenih korisničkih imena i lozinki (moguće je dodati korisnička imena stvarnih korisnika što povećava realističnost sustava za privlačenje i detekciju napadača). Ističe se i mogućnost dodavanja specifičnih, korisničkih podataka (primjerice ukoliko SPECTER simulira web poslužitelj moguće je dodati korisničke stranice koje bi taj poslužitelj prikazivao), lažne datoteke s lažnim lozinkama koje se šalju na napadačev zahtjev, tip ovisi o operacijskom sustavu i o načinu na koji napadač zatraži datoteku (postoji 7 različitih tipova datoteka s lozinkom i može se odabrati koji će se tip koristiti), sustav za obranu od napada na raspoloživost (DoS, DDoS) s automatskim protumjerama, automatsko osvježavanje podataka sustava itd. Prikaz sučelja za upravljanje SPECTER sustavom za privlačenje i detekciju napadača je na slici 3.6.
Slika 3.6: Prikaz kontrolnog sučelja SPECTER-a
SPECTER posjeduje mogućnost prikupljanja detaljnijih podataka o svakom incidentu. U tu svrhu je napravljena komponenta Log Analyzer (slika 3.7) koja ima napredne mogućnosti istraživanja svakog pojedinog incidenta.
Kako je ranije navedeno SPECTER može simulirati 14 različitih operacijskih sustava, a svaki od njih može imati jedan od 5 različitih identiteta:
1. Otvoreni (Open) – sustav izgleda napadaču kao da je loše konfiguriran sustav u smislu računalne sigurnosti te se čini se kao laka meta.
2. Osigurani (Secure) – sustav izgleda napadaču kao dobro konfiguriran sustav u smislu računalne sigurnosti.
3. Oštećen (Failing) – sustav se ponaša kao da ima raznih programskih i sklopovskih problema i kvarova.
27
4. Neobičan (Strange) – sustav se ponaša neobično i time zbunjuje napadača.
5. Agresivan (Agressive) – komunikacija s napadačem traje dokle god ga sustav ne identificira nakon čega otkriva svoju pravu prirodu ( predstavi se kao sustav za privlačenje i detekciju napadača) i prekida vezu s napadačem. Cilj ovog identiteta je prestrašiti napadača.
Ukoliko je sustav konfiguriran na načine „Otvoren“, „Neobičan“ ili „Oštećen“ u simuliranom operacijskom sustavu ili usluzi se pojavljuju slučajno odabrane ranjivosti kako napadači ne bi mogli identificirati sustav za privlačenje i detekciju napadača na osnovu ranjivosti.
Slika 3.7: Log Analyzer SPECTER sustava za privlačenje i detekciju napadača
Što se tiče uzbunjivanja SPECTER je i na tom polju vrlo napredno rješenje pošto se alarmi mogu slati na ekran sustava koji pogoni SPECTER ili se pak mogu slati preko elektroničke pošte što uvelike pomaže administratoru sustava u nadzoru sustava za privlačenje i detekciju napadača. Ovakvu fleksibilnost u izvještavanju nije posjedovao niti jedan do sada opisani sustav.
Radi se o razrađenom i vrlo fleksibilnom sustavu za privlačenje i detekciju napadača koji se može iskoristiti za razne uloge u produkcijskim sustavima. Primarna uloga ovog sustava je otkrivanje napadača, no zahvaljujući velikoj fleksibilnosti u mogućnosti je napadaču pružati veliku količinu lažnih informacija pa ima ulogu sredstva obmane i odvraćanja. No, SPECTER je, zbog svoje prirode, ograničen u mogućnosti prikupljanja informacija i kao takav ima malu vrijednost kao alat za odgovor na sigurnosni incident.
28
3.5.3. Honeyd
Honeyd je, kao i prethodno opisani sustavi, sustav za privlačenje i detekciju napadača niske interakcije. Razvio ga je Niels Provos, tada student University of Michigan, danas zaposlen kao razvojni inženjer u tvrtki Google. Izdan je pod GNU General Public License i svatko je u mogućnosti koristiti ga bez ikakve naknade u skladu s licencom te smije dostupni izvorni kod mijenjati po potrebi. Prethodno navedena činjenica je honeyd učinila vrlo popularnim među svima koje zanima koncept sustava za privlačenje i detekciju napadača. Najčešće se koristi kao produkcijski sustav za privlačenje i detekciju napadača.
Honeyd kao sustav za privlačenje i detekciju napadača ima napredne mogućnosti. Prva mogućnost je simuliranje identiteta nekoliko različitih operacijskih sustava (treba zamijetiti da se ne simuliraju stvarni operacijski sustavi nego samo njihovo ponašanje) te nekolicine standardnih usluga i moguće je simulirati nekoliko sustava ili usluga istovremeno što je svakako novina u odnosu na prethodno navedene sustave za privlačenje i detekciju napadača. Naravno, zbog otvorenog koda, svatko može dodati nove identitete operacijskih sustava ili nove usluge. To znači da honeyd može slušati na kojem god pristupu je potrebno s željenom razinom interakcije (korisnik sam može proširiti funkcionalnost i time povećati razinu interakcije). Druga zanimljiva mogućnost honeyd sustava za privlačenje i detekciju napadača je mogućnost „zauzimanja“ neiskorištenih IP adresa unutar dostupnog adresnog prostora što znači da se sva komunikacija prema neiskorištenim IP adresama preusmjerava prema honeyd sustavu za privlačenje i detekciju napadača. Honeyd može podržati mrežu koja se sastoji od milijuna simuliranih računala (tj. milijuna neiskorištenih IP adresa). Također je moguće neku uslugu preusmjeriti na drugo računalo koje pruža stvarnu uslugu tog tipa. Svaku od simuliranih usluga je moguće postaviti preko jednostavne datoteke s postavkama što značajno olakšava korištenje ovog sustava za privlačenje i detekciju napadača. Shematski prikaz honeyd sustava je vidljiv na slici 3.8.
Na krajnje lijevoj strani se vidi shematski prikaz mreže koju honeyd „pokriva“, dakako radi se o neiskorištenim IP adresama. Kada se pojavi bilo kakav paket usmjeren prema nekoj od IP adresa za koju je zadužen honeyd on pristiže u komponentu koja se bavi upravljanjem paketima (packet dispatcher). Upravljač paketa za primljeni IP paket provjerava njegovu duljinu (length) i računa njegovu kontrolnu sumu (checksum). Ukoliko se radi o jednom od tri podržana protokola (ICMP, UDP, TCP) paket se dalje obrađuje inače se tiho odbacuje. Prije daljnje obrade paketa upravljač paketa šalje upit u bazu podataka u kojoj se nalaze informacije o identitetu simuliranog računala na odredišnoj IP adresi. Ukoliko takve informacije ne postoje u bazi podataka o identitetima sustav primjenjuje pretpostavljeni (default) identitet. Paket se s svim prikupljenim informacijama šalje odgovarajućem upravljaču podržanih protokola (protocol handler).
ICMP (Internet Control Message Protocol) je jedan od temeljnih protokola na Internetu i najčešće ga koriste operacijski sustavi računala na mreži kako bi njime neku upravljačku informaciju vezanu za IP sloj. Upravljač ICMP paketa trenutno podržava samo ICMP_ECHO request paket na koji odgovara s ICMP_ECHO reply paketom.
Upravljač TCP ili UDP protokola može primljeni paket preusmjeriti u proizvoljnu vanjsku uslugu. Vanjska usluga je program koji prima ulaz preko standardnog ulaza (stdin), a izlaz daje preko standardnog izlaza (stdout). Kada novi paket dođe do honeyd-a otpremnik paketa provjerava je li paket dio aktivne komunikacije ili se radi o novom paketu. Ukoliko se radi o paketu koji je dio aktivne komunikacije otpremnik paketa prosljeđuje paket već pokrenutoj vanjskoj usluzi. Ukoliko se pristiglim paketom započinje nova komunikacija (tj. sadrži zahtjev za uspostavljanje nove veze) otpremnik paketa pokreće novu vanjsku
29
uslugu koja će obrađivati sve pakete vezane uz upravo započetu komunikaciju. Honeyd sadržava pojednostavljen model konačnog stroja TCP protokola i podržane su jednostavnija svojstva TCP protokola (npr. rukovanje u tri koraka) dok neka naprednija svojstva nisu podržana (npr. upravljanje zagušenjem). Na UDP paket poslan na nepostojeći pristup će biti valjano odgovoreno (s ICMP port unreachable paketom) što sprječava moguće probleme s alatima kao traceroute. No honeyd pruža i drugu mogućnost – paketi se mogu preusmjeriti na stvarne usluge (primjerice HTTP zahtjev umjesto da ide na simulirani web poslužitelj prosljeđuje se na pravi) što čini ovaj sustav za privlačenje i detekciju napadača krajnje zanimljivim i flekisibilnim.
Nezauzete IP adrese
Komponenta za usmjeravanje
(Routing)
Otpremnik paketa(Packet dispatcher)
ICMP TCP UDP
Vanjske usluge(services)
Komponenta za usmjeravanje
(Routing)
Sustav za upravljanje identitetima(Personality engine)
Konfiguracija identiteta(Configuration
personality)
Upit u bazu identiteta
Slika 3.8: Shematski prikaz honeyd sustava za privlačenje i detekciju napadača
Nadalje, svaki pristigli paket se prosljeđuje sustavu za upravljanje identitetima (personality engine) koji preinačuje paket tako da izgleda kao da ga je generirao zadani operacijski sustav. Razlog tome leži u želji da se honeyd kao sustav za privlačenje i detekciju napadača ne otkrije kao takav napadaču ukoliko on koristi alate poput Xprobe ili nmap kako bi doznao više informacija o mreži od interesa. Svakom od simuliranih sustava za privlačenje i detekciju napadača se može dati vlastiti identitet tj. može se ponašati kao pravi sustav. Upravitelj identitetima postiže taj učinak na način da modificira zaglavlje svakog paketa koji se šalje na mrežu tako da on izgleda kao da je poslan s pravog sustava.
Honeyd ima mogućnost simuliranja proizvoljne topologije mreže što može biti korisno kako bi se zavarali razni alati koje koriste napadači, a svrha im je otkrivanje topologije mreže. Ovdje je bitno spomenuti razliku u odnosu na druge alate koji se koriste u istu svrhu jer honeyd ne simulira vjerno proizvoljnu topologiju nego samo onoliko koliko je dovoljno za zavaravanje znatiželjnika. Trenutno je ograničenje u topologiji na usmjereni graf s jednim izdvojenim čvorom (rooted tree) gdje je korijen grafa točka u kojoj paketi ulaze u virtualnu mrežu. Svaki čvor, koji nije krajnji, predstavlja točno jedan usmjernik
30
(router), a svaka poveznica predstavlja vezu koja kao svojstvo ima kašnjenje (latency) i omjer uspješno i neuspješno prenesenih paketa (packet loss). Svaki krajnji čvor predstavlja jednu mrežu. Ukoliko se honeyd koristi na ovaj način i primi paket za određenu IP adresu u virtualnoj mreži paket započinje putovati od korijena mreže pa sve do čvora tj. mreže u kojoj se nalazi ciljna IP adresa. Kašnjenje i omjer uspješno i neuspješno prenesenih paketa utječu na to hoće li ili pak neće paket stići do svog odredišta i sve u svrhu što realnije simulacije stvarne mreže. Kao i u pravoj mreži paketu se prolaskom kroz svaki usmjernik smanjuje vrijeme života (TTL - Time to live) i čim to vrijeme dođe do 0 paket se odbacuje i o tome se ICMP time exceeded porukom obavještava pošiljatelja.
Sada kada je izgled honeyd sustava za privlačenje i detekciju napadača i njegov način rada opisan potrebno je evaluirati njegovu vrijednost. Vidljivo je da honeyd ima dvije prednosti nad prethodno opisanim sustavima – kao prvo honeyd je u mogućnosti je „pokriti“ bilo koji TCP pristup, kao drugo moguće je za svaku simuliranu uslugu odrediti koje će pristupe slušati i željenu razinu interakcije. Kako se radi o proizvodu koji ima otvoreni izvorni kod za pretpostaviti je da će pojedinci ili organizacije svakim danom sve više pridonositi funkcionalnosti honeyd sustava za privlačenje i detekciju napadača. Najveća vrijednost honeyd sustava leži u činjenici da je u mogućnosti istovremeno pratiti milijune različitih IP adresa što proporcionalno povećava njegovu korisnost. Ta tehnika se naziva tehnika „crne rupe“ (blackholing) i u biti se radi o primjenjivanju tehnologije sustava za privlačenje i detekciju napadača na čitave blokove IP adresa. Centralna ideja tehnike „crne rupe“ je korištenje neiskorištenog adresnog prostora kao oruđa u prikupljanju pogrešno usmjerenog ili slučajnog prometa pošto je on najčešće posljedica zloćudnih aktivnosti.
Rizik koji unosi honeyd se može promatrati na dva različita gledišta. Ukoliko se govori o riziku za samo računalo na kojemu se nalazi honeyd, za ovaj sustav, kako i za sve sustave za privlačenje i detekciju napadača niske interakcije, vrijedi pretpostavka o vrlo malenom ili nepostojećem riziku jer je napadač ograničen samo na ono što sustav za privlačenje i detekciju napadača niske interakcije nudi tj. na one usluge koji su simulirani. S druge strane postoji velik rizik za mrežu u kojoj se honeyd nalazi jer ukoliko je pogrešno konfiguriran postoji velika mogućnost da to uzrokuje probleme na mreži. Najočitiji primjer je situacija u kojoj je honeyd konfiguriran da preusmjerava promet s produkcijskih sustava k sebi (ukoliko administrator pretpostavi da neka adresa nije zauzeta od strane produkcijskog sustava) što može dovesti do drastičnih posljedica. Zbog toga potrebna je doza opreza pri implementaciji honeyd sustava za privlačenje i detekciju napadača.
3.5.4. Sustavi za privlačenje i detekciju napadača iz kućne radinosti
U dosadašnjem tekstu su opisani gotovi sustavi za privlačenje i detekciju napadača. Bez obzira je li se radilo o komercijalnim sustavima (SPECTER) ili pak o sustavima za koje je dostupan izvorni kod (honeyd, BackOfficer Friendly) stoji činjenica da su to gotovi proizvodi koje je netko dizajnirao i razvio. Iako je kod sustava kojima je dostupan izvorni kod moguće prilagoditi svojim potrebama ponekad niti to nije dovoljno za potrebne pojedinih korisnika. Svaki korisnik može uvijek krenuti iz početka i skrojiti sustav za privlačenje i detekciju napadača po svojoj mjeri. Posljedica toga je i činjenica da će na taj način daleko više naučiti o samom konceptu nego u slučaju korištenja gotovog sustava za privlačenje i detekciju napadača. Sustavi za privlačenje i detekciju napadača iz kućne radinosti se mogu pojavljivati u raznim oblicima i mogu imati bezbroj primjena. Jedino ograničenje je mašta onoga koji dizajnira i implementira ovaj tip sustava za privlačenje i detekciju napadača. Sustavi ovog tipa su obično u rasponu od jednostavnih sustava koji
31
slušaju određene pristupe na računalu i bilježe aktivnost na njima (sustavi niske interakcije) pa sve do složenih sustava koji mogu u kontroliranom okruženju simulirati čitave operacijske sustave i usluge na njima (sustavi visoke interakcije). U ovoj skupini sustava za privlačenje i detekciju napadača izdvajaju se dva sustava: sustav za nadzor pristupa i sustav zatvorenih okruženja.
Sustav za nadzor pristupa (port monitoring) Sustav za nadzor pristupa spada u sustave za privlačenje i detekciju napadača niske interakcije. Kako je sustav ovog tipa krajnje jednostavan za dizajnirati i implementirati čini se kao dobra početna točka za svakoga koga zanima ovo područje računalne sigurnosti. Najjednostavniji oblik ovog sustava je onaj koji samo sluša zadane pristupe i bilježi podatke za svaku uspostavljenu vezu. Vidljivo je da ovaj sustav ne posjeduje nikakav oblik inteligencije i stoga nije zahtjevan za implementaciju. No i količina informacija koja se može dobiti na ovaj način je skromna zbog prirode samog sustava. Drugi, složeniji sustav, bi bio onaj koji sadrži dozu inteligentnog ponašanja jer može simulirati određenu uslugu koja se inače može pronaći na tom pristupu (npr. pristup 80 za HTTP promet).
Općenito govoreći sustavi ovog tipa su vrlo fleksibilni u svojim mogućnostima. Najočitija primjena im je pri otkrivanju napadača i idealni su za detekciju automatiziranih napada koji su česta pojava na današnjem Internetu. Kako mogu slušati proizvoljan broj različitih pristupa sustavi ovog tipa se mogu koristiti kao dopuna uz druge sustave (SPECTER, BackOfficer Friendly) jer mogu motriti one pristupe koje ne motre drugi sustavi. Ovi sustavi imaju i veliku ulogu u istraživanju aktualnih trendova automatiziranih zloćudnih programa. Automatizirani zloćudni programi imaju zajednički način ponašanja: nakon što kompromitiraju jedno računalo automatski ispituju veliki broj drugih računala u potrazi za istom ranjivosti koju su iskoristili na kompromitiranom računalu (obično se radi o skeniranju računala za jednim ili više pristupa koji su povezani s ciljanom ranjivosti) nakon čega ponovno iskorištavaju pronađenu ranjivost. Korištenje sustava za nadzor pristupa može rano upozoriti na postojanje nekog automatiziranog zloćudnog alata i snimiti uzorak takvog oblika prijetnje. Sustav ovog tipa je jednostavan za ostvariti i ne zahtjeva puno resursa, a opet iznimno je koristan za ranu detekciju što organizaciji koja primjenjuje ovaj jednostavan sustav može uštediti značajna materijalna sredstva.
Kako zapravo napraviti sustav za nadzor pristupa? Implementacija sustava za nadzor pristupa ovisi o onome što se želi s njim postići. Ukoliko je zanimljiva samo detekcija onda je dovoljno implementirati sustav koji samo sluša željene pristupe na računalu no ako se želi detektirani zloćudni promet lokalno snimiti potrebno je implementirati određenu inteligenciju u sustav za nadzor pristupa (tj. potrebno je na pristupima od interesa simulirati usluge koje se uobičajeno tamo nalaze). Za puku detekciju aktivnosti dovoljno je instalirati i pokrenuti neki program koji motri zadane pristupe. Kao primjer sustava za nadzor pristupa se može uzeti sustav koji je prvi koristio Ryan Russell s SecurityFocus.com. On je uzeo dobro poznati alat netcat (poznat i pod imenom TCP/IP Swiss Army knife) koji je razvijen za Unix operacijski sustav, a kasnije prilagođen i za Windows operacijski sustav. netcat je alat koji omogućava kreiranje TCP/UDP veza između računala te čitanje i pisanje iz stvorenih ili postojećih veza. Njegova najzanimljivija, barem u kontekstu izrade sustava za nadzor pristupa, je slušanje bilo kojeg TCP/UDP pristupa na računalu i mogućnost spremanja bilo kakve komunikacije na tom pristupu. Russell je iskoristio netcat alat kako bi došao do primjerka CodeRed II crva koji je izazvao pravu uzbunu 2001. godine kada se prvi puta pojavio. Kada bi spomenuti crv kompromitirao sustav zadržao bi se u radnoj memoriji računala i ne bi zapisao ništa na disk
32
pa kasnijom analizom ne bi moglo ništa biti otkriveno. netcat je korišten kako bi se došlo do kopije crva. Naredba koju je Russell iskoristio je:
$ nc –l 80 > worm.txt (3.1)
Pojedini dijelovi naredbe znače:
- nc – alat koji omogućava čitanje iz TCP/UDP veza
- -l – listen, kaže alatu da samo sluša
- 80 – TCP pristup koji će netcat osluškivati, u ovom slučaju radi se o HTTP pristupu
- > - znak kojim se sve što netcat uhvati na zadanom pristupu preusmjerava u datoteku
- worm.txt – ime datoteke u koju će biti spremljeno sve što je netcat uhvatio
Ukoliko se napadač spoji na pristup 80 što god on napravio bit će zabilježeno u navedenoj datoteci. Naravno koristeći netcat alat moguće je nadzirati pristup po želji.
Dakako postoje prijetnje koje zahtijevaju više interakcije pa je stoga potrebno implementirati sustav s više inteligencije. Svaki korisnik može sam odrediti koju razinu interakcije želi i u skladu s time implementirati sustav za nadziranje pristupa.
Nakon što je opisano što je sustav za nadzor pristupa i na koji način ga je moguće implementirati potrebno je prokomentirati rizik koji donosi ostvarivanje tog sustava. Kako sustavi za nadzor pristupa spadaju u sustave za privlačenje i detekciju napadača niske interakcije sve rečeno za njih jednako vrijedi i za sustave za nadzor pristupa. Jedina razlika je u tome što se na gore opisani način sprema izvršni kod zloćudnog programa na disk samog računala što donosi određeni rizik no ako se to valjano izvede rizik je sveden na minimum.
Sustav zatvorenih okruženja (jailed enviroments) Sustav zatvorenih okruženja je kompliciraniji oblik sustava za privlačenje i detekciju napadača iz kućne radinosti. U stručnoj literaturi ih se često referencira kao chroot ili change root okruženja. To su sustavi za privlačenje i detekciju napadača srednje interakcije koji mogu donijeti mnogo više informacija u odnosu na sustave niže interakcije.
Tehnologija zatvorenih okruženja prvenstveno nije bila namijenjena korištenju pri implementaciji sustava za privlačenje i detekciju napadača nego joj je primarna namjena bila omogućiti korisniku kreiranju kontroliranog okruženja. U kontroliranom okruženju je moguće pokrenuti ranjive usluge čijom uspješnom kompromitacijom napadač ne bi bio u mogućnosti naštetiti operacijskom sustavu domaćinu. Primjer usluga koje moraju biti dostupne svima na Internetu su DNS poslužitelj i web poslužitelj. Kako su navedene usluge često složene zbog kompleksnog načina postavljanja, lako je moguće da se pojavi neki sigurnosni propust. Pošto usluge moraju, zbog svoje prirode, biti dostupne svima svaki napadač na Internetu bi, ukoliko usluge nisu pokrenute unutar zatvorenog okruženja, mogao kompromitirati čitav sustav.
Sustav zatvorenog okruženja je vrlo fleksibilan i omogućuje administratoru fino upravljanje stupnjem interakcije takvog okruženja. Obično se napadaču, ukoliko se ne radi o primjeni zatvorenog okruženja kao sustava za privlačenje i detekciju napadača, daje na raspolaganju što manje mogućih usluga i podataka kako bi se minimizirao rizik.
33
Prva primjena sustava zatvorenog okruženja kao sustava za privlačenje i detekciju napadača je opisana u već spomenutom članku Billa Chewsicka „An Evening with Berferd“. Autor je koristio sustav zatvorenog okruženja kako bi napadaču dao prostor za manevriranje bez ugrožavanje ostalih resursa.
Sustav zatvorenih okruženja se može na opisani način izvesti samo pod Unix/Linux operacijskim sustavima. Chroot naredbu je moguće pronaći na gotovo svim Unix/Linux operacijskim sustavima dok je jail naredba specifična za FreeBSD operacijski sustav.Postoje i određene razlike u funkcionalnosti između chroot i jail naredbe; jail naredba je daleko sofisticiranija i ima veću funkcionalnost.
Sustav zatvorenih okruženja kao sustav za privlačenje i detekciju napadača ima nekoliko prednosti. Prva leži u činjenici da je sama tehnologija vrlo fleksibilna i omogućava korisniku da sustav zatvorenih okruženja u potpunosti prilagodi svojim potrebama. Zahvaljujući tome može se koristiti u produkcijske ili istraživačke svrhe. Druga prednost je veća razina interakcije u odnosu na sustave za privlačenje i detekciju napadača niske interakcije što omogućava prikupljanje većeg broja korisnih informacija. No s povećanjem stupnja interakcije nužno se povećava i rizik za cjelokupan sustav. Napadač vrlo lako može otkriti da se radi o zatvorenom okruženju čime se gubi na kvaliteti i količini korisnih informacija. Jednom kad napadač shvati da je napao sustav za privlačenje i detekciju napadača on svoju energiju može preusmjeriti na iznalaženje načina da zaobiđe zatvoreni sustav i time dođe do pravog sustava, sustava domaćina. Primjerice naredba chroot je u početku imala puno sigurnosnih propusta što je s vremenom ispravljeno no nije ispravno je tvrditi da se radi o, u smislu računalne sigurnosti, savršenom proizvodu. Ukoliko je napadač dovoljno uporan i tehnički potkovan za pretpostaviti je da će nakon nekog vremena uspjeti izići iz zatvorenog okruženja i na taj način otvoriti vrata u realno okruženje.
3.5.5. nepenthes
nepenthes spada u sustave za privlačenje i detekciju napadača niske interakcije. Za njegovo održavanje je zadužena organizacija mwcollect.org kojoj je primarni cilj automatizirano prikupljanje zloćudnih programa i izdan je pod GNU licencom. Primarna zadaća nepenthes sustava za privlačenje i detekciju napadača je automatizirano prikupljanje zloćudnih programa.
nepenthes simulira poznate ranjivosti koje koriste različiti zloćudni programi (najčešće se radi o crvim) kako bi prikupio primjerke svakog od tih programa.
Sam sustav se sastoji od nekoliko različitih modula:
• modul za asinkrono dohvaćanje imena s DNS poslužitelja (resolve dns asynchronous) - sinkrono dohvaćanje imena s DNS poslužitelja znači da kada neki program zahtjeva dohvaćanje nekog podatka od DNS poslužitelja taj program mora čekati ili dok DNS poslužitelj odgovori ili dok ne istekne odgovarajuće vrijeme kako bi mogao nastaviti s svojim radom. Asinkrono dohvaćanje imena s DNS poslužitelja znači da program može nastaviti dalje raditi kada pošalje zahtjev DNS poslužitelju što je puno bolje rješenje od prethodnog.
• modul za simuliranje ranjivosti (emulate vulnerabilities)
• modul za dohvaćanje datoteka (download files)
• modul za unošenje dohvaćenih datoteka u bazu podataka
34
• modul za pokretanje događaja (trigger events)
• modul za upravljanje shellcode-om (shellcode handler)
nepenthes radi na slijedeći način: modul za simuliranje ranjivosti ima informaciju (tzv. Dialog) o tome na koji će način zloćudni program pokušati iskoristiti simuliranu ranjivost pa modul može zloćudnom programu poslati sve potrebne informacije kako bi ga uspješno prevario. Kada zloćudni program „pomisli“ da je sve u redu modul za dohvaćanje datoteka dohvati zloćudni program i proslijedi ga modulu za unošenje dohvaćenih datoteka u centralnu bazu podataka gdje se vrši daljnja analiza.
Ukoliko sustav za simuliranje ranjivosti nema informacija o zloćudnom programu s kojim komunicira (znači radi se o novom načinu eksploatacije poznate ranjivosti) situacija će biti zabilježena u dnevniku nepenthes sustava te će se kasnijom analizom doći do novih spoznaja.
Kao što je vidljivo primarna vrijednost nepenthes sustava za privlačenje i detekciju napadača leži u mogućnosti automatiziranog prikupljanja zloćudnih programa. Rizik za sustav domaćin je vrlo malen uz pretpostavku da se oprezno upravlja s skinutim zloćudnim programima.
3.5.6. LaBrea
LaBrea (tarpit, sticky honeypot) je program koji kreira „ljepljivi“ sustav za privlačenje i detekciju napadača. Sam program radi na način da zauzme neiskorištene IP adrese unutar određenog raspona i na njih postavi virtualna računala koja odgovaraju na određene oblike pokušaja komunikacije. Program je nastao kao odgovor na pošast Code Red crva. LaBrea nastoji maksimalno usporiti ili čak zaustaviti komunikaciju druge strane (potencijalni napadač) s virtualnim računalom. Kada program uoči nekoliko ARP upita unutar nekoliko sekundi, bez valjanog odgovora, pretpostavi da je prozvana IP adresa slobodna te kreira ARP odgovor s lažnom MAC adresom koji šalje izvoru upita. Program dalje motri sav promet koji je upućen na poslanu MAC adresu i kada primi TCP SYN paket on odgovara s SYN/ACK paketom čime napadača usporava ili čak u potpunosti zaustavlja. Vidljivo je da je osnovna ideja preuzeti komunikaciju prema svim neiskorištenim IP adresama, a kako se sva komunikacija s neiskorištenim adresama smatra zloćudnom LaBrea pokušava zaustaviti daljnju komunikaciju kako bi usporio ili zaustavio daljnje napade. Cilj je napadača što duže zadržati u komunikaciji s lažnim sustavima kako bi se smanjila opterećenost stvarnih i na taj način minimizirao rizik.
3.5.7. Honeynet
Honeynet je sustav za privlačenje i detekciju napadača visoke interakcije. On je nastao u okviru The Honeynet Project organizacije. Primarni cilj te organizacije je podizanje razine svijesti svih korisnika Interneta o postojanju prijetnji i ranjivosti. Sekundarni cilj je pružanje dodatnih informacija o motivima napadača, njihovoj međusobnoj komunikaciji, koracima nakon uspješnog napada, organizaciji napadača itd.
Honeynet je, trenutno, vrhunac razvoja tehnologije sustava za privlačenje i detekciju napadača i obuhvaća sve prije navedene vrijednosti sustava za privlačenje i detekciju napadača. Kao sustav za privlačenje i detekciju napadača visoke interakcije honeynet nudi napadaču stvarni operacijski sustav, stvarne programe na njemu i stvarne usluge. Honeynet se razlikuje od drugih sustava za privlačenje i detekciju napadača i po tome što omogućava korisniku izgradnju čitave mreže (net) sustava za privlačenje i detekciju napadača.
35
Honeynet je čitava arhitektura i ne radi se o samo jednom proizvodu kojega je dovoljno instalirati na računalo i pokrenuti. Arhitektura se sastoji od strogo kontrolirane mreže računala u kojoj se mogu nadzirati i upravljati svima aktivnostima. U toj mreži se nalaze objekti kojima je jedina svrha da budu ispitani, napadnuti i na kraju kompromitirani.
Kako je honeynet vrlo moćan alat on se može prilagoditi svim potrebama organizacije – od jednostavnog alata za detekciju napadača do kompleksnog sustava koji je u potpunosti identičan nekom stvarnom sustavom. No ne koristi se često u produkcijske svrhe pošto se ipak radi o vrlo kompleksnoj arhitekturi koja zahtjeva mnogo utrošenog vremena i resursa za implementaciju i kasnije održavanje. Moguća korist honeynet-a u produkcijskoj okolini u odnosu na utrošeno vrijeme i resurse nije velika stoga je bolje razmotriti neko od prethodno opisanih rješenja. Bolje je utrošiti jednako vrijeme i resurse na povećanje sigurnosti ostalih sustava jer svaki je sustav jak koliko i njegova najslabija karika.
S druge strane korištenje honeynet-a u istraživačke svrhe itekako ima smisla. Sama tehnologija je prvenstveno zamišljena za istraživanje prijetnji na Internetu i otkrivanje motiva napadača. Kao alat za istraživačke svrhe honeynet ima visoku vrijednost.
Prva vrijednost ove tehnologije je svakako mogućnost otkrivanja više informacija o napadačima. Kako se radi o strogo kontroliranoj mreži računala korisnik je u mogućnosti motriti svaki napadačev pokret – svaki unos s tipkovnice nakon što je sustav kompromitiran, oblik komunikacije s drugim napadačima ili sustavima, korištene alate itd. Posebno je značajno što se sve radi „u divljini“ dakle napadači su stvarni poput napadnutih sustava pa postoji mogućnost otkrivanja novih alata i tehnika koje napadači rabe.
Druga vrijednost je mogućnost analize stvarnih podataka u cilju predviđanja mogućih napada. Kako honeynet radi u stvarnom okruženju moguće je njegovim korištenjem dobiti bolji uvid u trenutno stanje računalne sigurnosti na Internetu. Podaci dobiveni na ovaj način mogu poslužiti za predviđanje mogućeg napada i pomoći u njegovoj prevenciji. Novi alati i tehnike napadača se jedino na ovaj način mogu otkriti pošto su drugi alati (antivirusni program, sustav za otkrivanje napadača) nemoćni pred tim izazovom jer uglavnom koriste bazu „potpisa“ poznatih napada i zloćudnih programa.
Treća vrijednost se ogleda u činjenici da honeynet značajno pomaže pri odgovoru na sigurnosni incident. Istraživačke organizacije poput The Honeynet Project sve dobivene informacije javno objavljuju i na taj način omogućavaju zainteresiranim stranama da iz tuđih iskustava steknu novo znanje i na taj način brže reagiraju na incident ili ga u potpunosti izbjegnu. Koristeći znanje dobiveno na ovaj način moguće je izgraditi nove alate i otkriti nove tehnike korištenjem kojih bi se smanjio rizik.
Četvrta vrijednost je korištenje honeynet tehnologije kao ispitnog poligona za nove tehnologije. Koliko god da je uloženo truda u novu tehnologiju moguće je postojanje vrlo kritičnih propusta koji bi mogli ugroziti sigurnost onoga koji tu tehnologiju koristi. Zbog toga je zgodno takovu tehnologiju pokrenuti u strogo kontroliranom okruženju kakvo pruža honeynet i vidjeti što će se dogoditi. Na taj način je moguće otkriti sigurnosne propuste unutar nove tehnologije bez stvarnog rizika.
Kao što je ranije navedeno kada se spomene honeynet ne misli se na određeni proizvod koji se instalira na računalo nego se radi o čitavoj arhitekturi. Kako bi neki sustav bio honeynet mora imati tri osnovna elementa: nadzor podataka (data control), prikupljanje podataka (data capture), upravljanje podacima (data collection). Svaki sustav za privlačenje i detekciju napadača koji posjeduje navedene elemente se smatra honeynet-om.
36
Nadzor podataka (data control) Nadzor podataka je element koji omogućava smanjenje rizika za organizaciju. Svrha nadzora nad podacima je ograničiti napadačevu aktivnost prema i od samog sustava za privlačenje i detekciju napadača. Cilj je napadaču onemogućiti daljnje aktivnosti usmjerene prema vanjskim sustavima, onima koji se ne nalaze unutar honeynet-a, kako bi se smanjio ili u potpunosti uklonio rizik za iste. Izazovi koji se stavljaju pred ovaj proces su svakako automatizirani način odgovora na napad te nadzor napadača bez da on to zamijeti.
Postoji nekoliko zahtjeva koji se stavljaju pred onoga koji se odluči implementirati honeynet:
• automatsko i ručno nadziranje podataka. To znači da se napadača mora moći nadzirati automatski, ali i ručno, ukoliko se ukaže potreba za time
• najmanje dva sloja nadzora nad podacima kako bi se smanjila vjerojatnost pogreške
• mogućnost nadzora nad svim dolaznim i odlaznim vezama
• mogućnost kontrole nad svim neovlaštenim aktivnosti. To su one aktivnosti koje definira administrator honeynet-a. Ovdje je uključena i kontrola napadača kako ne bi naštetio vanjskim sustavima.
• element nadzora nad podacima mora biti podesiv od strane administratora u svako doba
• način upravljanja honeynet-om mora biti što bolje zaštićen od napadača. Najbolje bi bilo da napadač nema načina za otkrivanje načina upravljanja honeynet-om.
• mora postojati barem dva načina uzbunjivanja ukoliko napadač kompromitira neki od sustava za privlačenje i detekciju napadača
• daljinsko upravljanje procesom nadzora nad podacima. Administrator mora moći upravljati ovim procesom s bilo koje lokacije.
Postoji mnogo zahtjeva koji se postavljaju pred sustav koji bi imao ulogu honeynet-a što znači da takav sustav mora biti iznimno kompleksan.
Prikupljanje podataka (data capturing) Prikupljanje podataka je drugi izazov koji se stavlja pred dizajnera honeynet-a. Prikupljanje podataka se svodi na prikupljanje informacija o svim napadačevim aktivnostima bez njegovog znanja. Komponenta za prikupljanje podataka mora zadovoljiti slijedeće zahtjeve:
• podaci o aktivnosti napadača ni u kom slučaju ne smiju biti pohranjeni lokalno na sustavu za privlačenje i detekciju napadača. Ukoliko bi to bio slučaj napadač bi mogao kompromitirati podatke što je nedopustivo.
• podaci ni u kom slučaju ne smiju biti „zagađeni“ od strane onih koji nisu napadači. Primjer bi bio ispitivanje određenih alata na sustavu za privlačenje i detekciju napadača od strane legalnih korisnika (administratora).
• aktivnosti na mreži, aktivnost sustava, aktivnost pripadajućih programa te aktivnost korisnika sustava za privlačenje i detekciju napadača mora biti arhivirana na razdoblje od barem jedne godine.
37
• administrator mora biti u mogućnosti nadgledati prikupljene podatke u realnom vremenu s udaljene lokacije.
• standardizirani dnevnik svakog sustava za privlačenje i detekciju napadača mora postojati.
• administrator sustava mora voditi standardizirani dnevnik za svaki sustav za privlačenje i detekciju napadača koji je kompromitiran.
• ono što senzori unutar honeynet-a zabilježe mora biti u GMT vremenskoj zoni. Pojedini sustavi za privlačenje i detekciju napadača mogu koristiti lokalnu vremensku zonu no svi podaci koji se šalju na analizu moraju biti konvertirani u GMT vremensku zonu.
• resursi koji se koriste za skladištenje podataka moraju biti propisno osigurani kako podaci ne bi bili kompromitirani.
Uz nadzor nad podacima prikupljanje podataka je drugi kritični kriterij koji mora ispuniti honeynet.
Upravljanje podacima (data collection) Upravljanje podacima je zahtjev koji se stavlja jedino pred organizacije koje imaju nekoliko honeynet-a u svojem vlasništvu. Smisao ovog elementa je u centraliziranom prikupljanju podataka koje sakupi više honeynet-a. Centraliziranim prikupljanjem podataka i njihovom kasnijom analizom organizacija može povećati vrijednost implementiranih honeynet-a.
Nekoliko se zahtjeva postavlja kako bi uspješno bio ostvaren ovaj element:
• imenovanje i mapiranje sustava za privlačenje i detekciju napadača mora postojati za svaki implementirani honeynet. To uglavnom znači da mora postojati baza podataka s IP adresama i imenima svih sustava za privlačenje i detekciju napadača koji se nalaze unutar implementiranih honeynet-a.
• prijenos podataka od svakog pojedinog honeynet-a prema centralnom poslužitelju mora biti siguran. Kriteriji povjerljivosti podatka, integriteta i neporecivosti moraju biti zadovoljeni.
• organizaciji se mora ostaviti mogućnost da prikrije osjetljive podatke ukoliko ih smatra povjerljivima.
• svi udaljeni honeynet sustavi moraju biti sinkronizirani. To znači da svi moraju preko NTP (Network Time Protocol) protokola biti sinkronizirani s istim NTP poslužiteljem.
Honeynet prve generacije (GenI honeynet) Honeynet je prvi puta predstavljen 1999. godine. Iako je postojalo već nekoliko rješenja s ovog područja honeynet je donio dvije potpuno nove stvari: zbog svoje prirode honeynet je u mogućnosti priskrbiti mnogo zanimljivije podatke o napadačima, može uhvatiti nove tehnike napadača i njihove alate. Honeynet prve generacije je bio prvi pravi sustav za privlačenje i detekciju napadača visoke interakcije.
Honeynet prve generacije je bio ograničen u svojim mogućnostima kontrole nad napadačem. Zbog svoje implementacije uglavnom je služio kao alat za otkrivanje automatiziranih napada kao i napada koji su djelo početnika. Napredniji napadač je mogao na jednostavan način otkriti pravu svrhu ovog sustava jer je na lagan način bilo moguće
38
otkriti alate korištene za nadzor podataka. Tipičan primjer honeynet-a prve generacije je prikazan na slici 3.9.
Honeynet prve generacije, kako se vidi i s same slike, je vrlo jednostavan. Izolirana mreža sustava za privlačenje i detekciju napadača se nalazi iza sigurnosne stijene koji onemogućava napad na sustave izvan honeynet-a. Sigurnosna stijena i usmjernik se brinu o nadzoru podataka i omogućavaju sve dolazne veze, ali ograničavaju odlazne, posebice one usmjerene prema produkcijskim sustavima. Sigurnosna stijena ograničava broj dozvoljenih odlaznih veza prema administratorovoj želji. Što je veći broj dozvoljenih veza veća je i količina informacija koju je moguće dobiti no povećava se i rizik stoga je potrebno pažljivo odvagnuti rizik i želju za prikupljanjem informacija. Kako je jedan od zahtjeva pri nadzoru podataka dva sloja nadzora ovdje je implementiran drugi sloj koristeći usmjernik koji se nalazi između prespojnika i sigurnosne stijene. Uloga usmjernika je dvojaka – skrivanje sigurnosne stijene od napadača te drugi kontrolni mehanizam u nadzoru podataka. Kada napadač kompromitira jedan od sustava za privlačenje i detekciju napadača on će na izlazu vidjeti usmjernik, a ne sigurnosna stijena koji ga kontrolira što će smanjiti njegovu sumnju u napadnuti sustav. Usmjernik također služi kako bi spriječio napade na određene pristupe (zatvaranjem istih) i općenito kako bi umanjio opasnost od zloćudnih napada. Uzbunjivanje administratora obavlja sigurnosna stijena koji šalje administratoru poruku svaki puta kada se nešto dogodi s sustavima za privlačenje i detekciju napadača.
Za prikupljanje podataka su namijenjena tri različita uređaja – dnevnik sigurnosne stijene, sustav za otkrivanje napadača i dnevnik sustava (log server). Kako sav promet prema i od sustava za privlačenje i detekciju napadača mora proći kroz sigurnosnu stijenu on je idealan za prikupljanje podataka o sustavima. No podaci koje je u mogućnosti isporučiti sigurnosna stijena su ograničeni jer ona ne može dati podatke, primjerice, o onome što napadač tipka na sustavima, niti može vidjeti sadržaj paketa koje napadač šalje. Ono što sigurnosna stijena vidi, i prikuplja, je datum i vrijeme kada je određeni paket poslan, izvorišnu i odredišnu IP adresu te izvorišni odredišni pristup. Drugi mehanizam je sustav za otkrivanje napadača. Na slici 6.6 je vidljivo da sustav za otkrivanje napadača ima dva različita mrežna sučelja – jedno (puna crta) je spojeno na produkcijski dio mreže i preko njega se administrira sustav, dok je drugo (isprekidana crta) spojeno na honeynet te ne posjeduje IP adresu nego samo pasivno sluša sav promet u honeynet-u. Prva funkcija ovog sustava je bilježenje cjelokupnog prometa na honeynet-u. Obično se sva aktivnost bilježi na samom sustavu za otkrivanje napadača u obliku prikladnom za kasniju analizu. Druga funkcija je alarmiranje administratora ukoliko se pojavi bilo kakav sumnjiv promet. Sustav za otkrivanje napadača koristi bazu potpisa za otkrivanje sumnjivog prometa što ukazuje na veliki nedostatak – sustav nije u mogućnosti otkriti nove alate i tehnike napadača. Dnevnik sustava bilježi sve što se događa na sustavima za privlačenje napadača i to se čini lokalno, unutar honeynet-a, ali i na udaljeni server. Bilježe se napadačeve akcije i sve što on napiše na tipkovnici sustava se šalje na udaljeni poslužitelj.
Honeynet prve generacije je imao i određene nedostatke. Prvi problem je u nadzoru podataka – ukoliko je napadaču dozvoljen određeni broj odlaznih veza on može lansirati određeni broj napada na vanjske sustave. Drugi problem je postojanje mogućnosti da napadač otkrije pravu prirodu honeynet-a te nakon toga lažira podatke kako bi administratora naveo na krivi put. Ovaj problem je posebno postao izražen kako je tehnologija honeynet-a postala popularna. Treći problem je problem s načinom prikupljanja podataka pošto svi sustavi koji se nalaze u honeynet-u prve generacije rade na mrežnom sloju pa ih je moguće prevariti korištenjem nekog oblika enkripcije. Svi navedeni problemi su otklonjeni u honeynet-u druge generacije.
39
Dnevnik sustava(log server)
Sigurnosna stijena(firewall)
Solaris
Preklopnik(switch)
Windows Linux
Usmjernik(router)
Sustav za otkrivanje napadača(Intrusion Detection System)
Dnevnik sustava/alarma(alarm/log server)
Produkcijska m
režaInternet
Slika 3.9: Honeynet prve generacije
Honeynet druge generacije (GenII honeynet) Honeynet druge generacije se pojavio 2002. godine kao poboljšani nasljednik honeynet-a prve generacije. Autori su nastojali olakšati samu izgradnju honeynet-a i otežati otkrivanje njegove prave svrhe napadačima. Uklanjanje određenih nedostataka iziskivalo je izmjenu same arhitekture. Izgled nove arhitekture je prikazan na slici 3.10.
Osnovna razlika je u tome što se za nadzor podataka ne koristi sigurnosna stijena nego je dodan novi uređaj koji se naziva honeywall. Uloga honeywall-a je dvojaka – on ima funkciju sustava za otkrivanje napadača i sigurnosne stijene koji su postojali u honeynet-u prve generacije. Inače honeywall radi na drugom, podatkovnom, sloju OSI modela dakle radi kao premosnik (bridge) između honeynet-a i ostatka svijeta. To donosi određene prednosti u odnosu na prijašnju implementaciju honeynet-a - omogućava implementaciju honeynet-a kao dijela produkcijske mreže koji je odvojen od nje samo honeywall-om dok se s druge strane napadaču značajno otežava otkrivanje samog honeywall-a.
Kako je honeywall jedini ulaz i izlaz iz honeynet-a na njemu se vrši nadzor podataka korištenjem dviju metoda – ograničavanjem odlaznih veza i korištenjem mrežnog sustava za prevenciju napadača (Network Intrusion Prevention System) koji ima ulogu sprječavanja poznatih napada. Nadzor podataka je još veći izazov kada se ima na umu da to treba obaviti na način da napadač ne bude svjestan da je nadziran.
40
Honeywall
Internet
Sustav za privlačenje idetekciju napadača
(honeypot)
Sustav za privlačenje idetekciju napadača
(honeypot)
Sustav za privlačenje idetekciju napadača
(honeypot)
Produkcijski sustav Produkcijski sustav Produkcijski sustav
eth1
eth0eth2
Slika 3.10: Honeynet druge generacije
Za ograničavanje odlaznih veza u honeynet-u druge generacije se koristi alat pod imenom IPtables. IPtables je alat koji služi za upravljanje netfilter komponentom operacijskog sustava. On dolazi standardno uz sve modernije Linux jezgre. Kod honeywall-a IPtables služi za ograničavanje prometa u četiri različite kategorije: TCP, UDP, ICMP i OTHER. Za svaki od navedenih protokola se može podesiti željeni broj veza u željenom vremenu. Naravno broj odlaznih veza ovisi o tome koliki rizik se može preuzeti. Samo ograničavanje veza se provodi zbog raznih automatiziranih alata koje bi napadač mogao pokrenuti jednom kada kompromitira jedan ili više sustava za privlačenje i detekciju napadača unutar honeynet-a. Kada napadač iscrpi sve raspoložive veze IPtables zaustavlja svaki daljnji pokušaj stvaranja veze dok ne istekne vremenski limit broja veza. Zanimljiva mogućnost IPtables alata je da može blokirati veze za svaki pojedini protokol pa tako primjerice ako se iscrpi broj TCP veza moguće je raditi nove veze drugim protokolima.
Druga komponenta namijenjena nadzoru podataka je mrežni sustav za sprječavanje neovlaštenih aktivnosti – NIPS. Namjena ovog sustava je otkrivanje poznatih napada i, ukoliko je na taj način postavljen sustav, blokiranje napada. Sustav za otkrivanje napadača pregledava svaki odlazni paket i ukoliko se radi o poznatom napadu moguće ga je blokirati. Na ovaj način se značajno smanjuje mogućnost uspješnog napada na sustave koji su izvan honeynet-a. No postoji i mana ovog sustava – on je u mogućnosti otkriti samo poznate napade. Mrežni sustav za sprječavanje neovlaštenih aktivnosti u honeynet-u druge generacije je snort_inline, posebna inačica poznatog alata za otkrivanje napadača Snort.
41
Prikupljanje podataka je jedna od najvažnijih aktivnosti honeynet-a i bez ovog elementa honeynet nema smisla. Ključ dobrog prikupljanja podataka je prikupljanje svih dostupnih podataka s što više različitih slojeva. Primjerice ukoliko se podaci prikupljaju s samo jednog sloja (npr. samo ono što napadač piše na tipkovnici) moguće je da se izgubi cjelokupna informacija (npr. što se dogodilo kada je pokrenuo određenu naredbu). Stoga se podaci u honeynet-u druge generacije prikupljaju na tri različite razine: dnevnik sigurnosne stijene, mrežni promet te dnevnik sustava.
Dnevnik sigurnosne stijene već postoji pošto je za ograničavanje broja veza odabran je dio jezgre operacijskog sustava – netfilter.. Dnevnik sigurnosne stijene se može pronaći u /var/log/messages datoteci. Ovo je kritična informacija jer govori o napadačevim aktivnostima. Osim toga koristeći dnevnik sigurnosne stijene moguće je otkriti nove, do tada nepoznate načine napada.
Hvatanje cjelokupnog mrežnog prometa također ima veliku ulogu pri prikupljanju podataka. Na osnovu uhvaćenog prometa kasnije se može konstruirati napadačeve akcije i potanko istražiti njegove motive. Kod honeynet-a druge generacije se u tu svrhu koristi program imena Snort. Iako bi se isti učinak dobio korištenjem snort_inline komponente to nije preporučljivo zbog samih performansi sustava.
Treći element, hvatanje napadačevih akcija na samom sustavu, se pokazao kao najteži za ostvariti. Napadači danas često koriste enkripciju kako bi zaštitili komunikaciju s napadnutim računalom stoga prikupljanje podataka direktno „s žice“ nema smisla. Stoga je bilo potrebno razviti sustav koji prikuplja podatke o napadaču s samog napadnutog računala, ali, da izazov bude veći, bez napadačevog znanja. Kako se informacije prikupljaju s samog napadnutog računala uspješno je riješen problem enkripcije. U tu svrhu se u honeynet-ima druge generacije koristi alat imena Sebek. Sebek je dodatak jezgri operacijskog sustava i omogućava praćenje i bilježenje svih napadačevih aktivnosti.
Naravno potrebno je i implementirani neki oblik obavještavanja administratora sustava o aktivnostima na sustavu za privlačenje i detekciju napadača. Idealna situacija je ona u kojoj postoji osoba koja je zadužena za nadzor nad cjelokupnim honeynet-om. No kako je to vrlo zahtjevno i često nije praksa potrebno je implementirati i sustav za automatizirano uzbunjivanje. U sustavima druge generacije se koristi automatizirani alat za uzbunjivanje pod imenom Swatch. Swatch je program za automatizirano nadziranje raznih dnevnika. On se može postaviti na način da uzbunjuje administratora u određenim situacijama koje se mogu detaljno navesti u programu.
Eeyore je prvi alat koji je omogućavao stvaranje honeynet-a druge generacije. Eeyore je izdala organizacija The Honeynet Project u svibnju 2003. godine. Glavni cilj pri izdavanju ovog alata je bio omogućiti automatiziranu instalaciju honeywall-a i pružiti korisnicima sve alate potrebne za izradu honeynet-a na jednom fizičkom mediju (CD). No Eeyore je danas zastario alat i više se ne održava niti razvija. Može ga se smatrati više prototipom tehnologije honeynet-a nego pravim produkcijskim rješenjem.
3.5.8. Virtualni honeynet sustavi
Virtualni honeynet sustavi su jedna inačica honeynet sustava. Razlikuju se od prethodno opisanih sustava samo po implementaciji sustava za privlačenje i detekciju napadača – kod virtualnih honeynet-a je jedan ili čitav honeynet implementiran u virtualnom okruženju. Takav način implementacije uvelike smanjuje potrebne resurse kao i napore koji se moraju uložiti u održavanje honeynet-a.
42
Za implementaciju virtualnih honeynet-a se najčešće koriste dva programska rješenja: VMware i User Mode Linux.
VMware je komercijalni proizvod i već je dugo godina prisutan na tržištu virtualizacijskih programa. Moguće ga je kupiti u tri različite verzije, Workstation, GSX, ESX, u ovisnosti o potrebama. Njegova najveća prednost je u tome što postoje inačice za Windows i Linux operacijski sustav. Također podržan je velik spektar različitih operacijskih sustava koji se mogu pokrenuti unutar virtualnog okruženja. Nedostatak je svakako to što se radi o komercijalnom proizvodu pa cijena može biti previsoka za istraživače ili početnike, vrlo je zahtjevan za računalo na kojemu su pokrenuti virtualni sustavi unutar VMware-a. Jedan nedostatak samog VMware-a je posebno kritičan ukoliko se taj sustav primjenjuje za implementaciju honeynet-a – naime napadač vrlo lako može otkriti da se nalazi u virtualnom okruženju zbog čega može posumnjati da se radi o sustavu za privlačenje i detekciju napadača.
User Mode Linux je specijalni dodatak jezgri operacijskog sustava Linux koji omogućava pokretanje nekoliko operacijskih sustava Linux odjednom na istom računalu. Njegova glavna prednost je činjenica da se radi o alatu otvorenog izvornog koda pa je svatko u mogućnosti prilagoditi ga vlastitim potrebama. Osim toga radi se o alatu koji nije vrlo zahtjevan za resurse stoga može izvoditi velik broj operacijskih sustava istovremeno, unutar njega je moguće simulirati čitave mreže virtualnih računala, automatski se spremaju sve akcije unutar simuliranih operacijskih sustava što olakšava izgradnju honeynet-a te je svakom od simuliranih sustava moguće pristupiti na velik broj različitih načina. No ipak sustav ima određene nedostatke – sustav trenutno omogućava pokretanje isključivo Linux operacijskih sustava, kako se radi o relativno novoj tehnologiji postoji i određeni broj sigurnosnih nedostataka, postupak postavljanja je relativno složen, kako se radi o alatu otvorenog izvornog koda ne postoji službena korisnička podrška što može smanjiti broj potencijalnih korisnika.
Općenito velik nedostatak oba alata je mogućnost simuliranja ograničenog broja različitih operacijskih sustava (npr. niti jedan od navedenih alata ne podržava Cisco IOS ili Sun) što ograničava njihovu primjenu.
43
4. Praktični rad
Cilj praktičnog rada je upoznati se s tehnologijom sustava za privlačenje i detekciju napadača te stjecanje praktičnog znanja o ovoj tehnologiji. Kao sustav za privlačenje i detekciju napadača visoke interakcije honeynet bi trebao pokazati svoju prednost nad klasičnim rješenjima koja se koriste u području računalne sigurnosti. Kao model je odabran suvremeni sustav za privlačenje i detekciju napadača – honeynet. Razlog izbora baš ovog sustava za privlačenje i detekciju napadača je u činjenici da se radi o besplatnom alatu koji omogućava relativno bezbolno pokretanje vlastitog honeynet-a dok s druge strane predstavlja vrhunac razvoja ove tehnologije.
Tehnologija honeynet-a je detaljno opisana u prethodnom poglavlju stoga teorijska podloga ovdje neće biti ponovno opisana. Organizacija koja se bavi razvojem i održavanjem honeynet-a, The Honeynet Project Alliance, je izdala do danas dvije inačice alata za implementaciju honeynet-a, specifično honeywall komponente, pod imenima: Eeyore i Roo. Treća inačica, Roo2, bi trebala biti puštena u javnost tijekom ove godine.
4.1. Priprema praktičnog rada
Priprema praktičnog rada je uključivala odabir sustava za privlačenje i detekciju napadača, osiguravanje potrebnih resursa te stavljanje u pogon ispitnog honeynet-a.
4.1.1. Roo
Roo je nasljednik Eeyore alata i smatra se prvim produkcijskim rješenjem za implementaciju honeynet tehnologije. U odnosu na prethodnu inačicu Roo donosi radikalne promjene u određenim segmentima.
Prva razlika je u tome što se Roo instalira na čvrsti disk korisnika za razliku od prethodne inačice koja je bila distribuirana u obliku CD-a s kojega se, bez instalacije na čvrsti disk, moglo pokrenuti honeywall. Prelazak na inačicu koja se mora instalirati na čvrsti disk je učinjeno kako bi korisnik mogao dodavati funkcionalnosti po svojim potrebama što kod ranije inačice nije bilo moguće. Također je omogućeno lakše korištenje automatiziranih alata za obnavljanje (update) baznog operacijskog sustava. Kako se CD instalira na čvrsti disk računala moguće je prilagoditi instalaciju na CD-u potrebama organizacije čime se omogućava lagan način instaliranja velikog broja honeywall-a.
Druga razlika je u samom operacijskom sustavu koji se koristi. Dok se kod Eeyore koristila posebna inačica Linux-a, Fire Forensics CD, Roo koristi Fedora Core 3 Linux. Iako je jedan od glavnih ciljeva daljnjeg razvoja da on bude neovisan o operacijskom sustavu na kojemu se nalazi to zasada nije ostvareno. Stoga je kao operacijski sustav izabran Fedora Core 3 Linux koji je dodatno ojačan i minimiziran kako bi se smanjio rizik, dok je s druge strane ostavljeno dovoljno funkcionalnosti kako bi sustav bio upotrebljiv (web poslužitelj, baza podataka, podrška za internacionalne rasporede slova na tipkovnici). Također je ostavljen standardni upravitelj paketima – yum korištenjem kojega se mogu na lagan način dodati nove funkcionalnosti te osvježavati operacijski sustav, ali i specifične alate.
Treća bitna stavka koja je unaprijeđena je administracija sustava koja je sada značajno olakšana jer korisnik ima više različitih načina administriranja koje može izabrati. Cilj je olakšati administraciju i upravljanje honeywall-om što je više moguće. Posebno imajući na umu distribuirane honeynet-e. Ti alati su:
44
a) HWCTL HWCTL je moćan alat koji se koristi u konzoli, a omogućava administraciju kako lokalnog, tako i udaljenih honeywall-a. Korištenjem ovog alata moguće je mijenjati razne varijable koje koriste programi, pokretati i zaustavljati usluge itd. Prednost ovog alata je očita jer omogućava brz i jednostavan način za administraciju sustava u lokalnoj konzoli, ali i s udaljenog računala koristeći SSH što je značajno za distribuirane honeynet-e.
b) Dialog Menu Dialog Menu se prvi puta koristio u Eeyore inačici i omogućava administriranje sustava korištenjem grafičkog okruženja. Mogućnosti su mu ograničene stoga nije prikladan za naprednije administriranje.
c) Walleye Walleye je grafičko sučelje koje administratoru omogućava upravljanje sustavom korištenjem podržanog internetskog preglednika (Internet Explorer i Mozilla Firefox). Druga funkcija mu je pomoć pri analizi prikupljenih podataka. Na honeywall-u je podignut web poslužitelj kojemu se može pristupiti preko sigurne veze (ostvarena korištenjem SSL protokola) te se na taj način može administrirati sustav na jednostavan i intuitivan način korištenjem grafičkog sučelja. Za korištenje ovog načina pristupa potrebno imati opcionalnu, treću, mrežnu karticu u honeywall-u.
Naglasak je stavljen na segment analize podataka jer je to i najvažniji segment honeynet-a. Autori su nastojali analizu podataka učiniti što jednostavnijom, ali i što učinkovitijom. Stoga Roo ima ugrađene alate za analizu podataka u samom Walleye sučelju što omogućava intuitivan i za uporabu lagan način analize prikupljenih podataka.
4.1.2. Roo – alati
Kao što je istaknuto prije Roo je skup alata koji zajedno čine honeywall. Svaki od korištenih alata ima svoju svrhu i zajedno čine vrlo moćan sustav.
Nadzor podataka je jedan od elemenata koji mora imati implementiran svaki honeynet sustav. Za nadzor podataka u Roo honeywall-u se koriste slijedeći alati:
• snort_inline
snort_inline je alat koji je nastao iz sustava za detekciju napadača po imenu Snort. snort_inline se razlikuje u namjeni od Snort alata po tome što je cilj snort_inline alata spriječiti poznate napade na vanjske sustave.
• SnortConfig Radi se o skripti napisanoj u programskom jeziku Perl, a osnovna joj je namjena konverzija Snort pravila u pravila koja razumije snort_inline alat. Sama skripta je vrlo fleksibilna i moguće ju je prilagoditi vlastitim potrebama.
45
• Ograničavanje broja sjednica (session limiting) Za ograničavanje broja sjednica koristi se alat pf koji je originalno došao iz FreeBSD operacijskog sustava. Sjednice se ograničavaju u odnosu na neki vremenski interval. To vrijedi jednako za mrežni kao i za podatkovni sloj OSI modela.
• Ograničavanje količine prometa (honeypot bandwith rate limitation) Za ograničavanje količine prometa se koristi nekoliko alata i oni su na različite načine postavljeni. Osnovni cilj je ograničiti napadaču broj paketa koje može poslati van kontroliranog okruženja.
Prikupljanje podataka je još jedan od bitnih elemenata svakog honeynet sustava. Za prikupljanje podataka u Roo distribuciji se koriste slijedeći alati:
• Sebek Sebek je primarni alat kojem je cilj prikupljanje podataka o napadačevim akcijama unutar honeynet projekta. Sebek se sastoji od dvije komponente – klijenta i poslužitelja. Klijent se nalazi na sustavu za privlačenje i detekciju napadača i on prikuplja što je moguće više podataka o napadačevim akcijama koje dalje, bez napadačevog znanja, šalje poslužitelju. Poslužitelj se obično nalazi na honeywall-u te on prikuplja podatke od više klijenata.
Slika 4.1: Shematski prikaz rada Sebek alata
Na slici 4.1 je prikazan način rada Sebek alata. Klijent šalje kopiju svih napadačevih akcija poslužitelju gdje se one spremaju za daljnju analizu. Postoje Windows, Linux te *BSD inačice Sebek klijenata koje je potrebno instalirati na sustav za privlačenje i detekciju napadača.
46
• MWcollect 3.0 Radi se o sustavu za privlačenje i detekciju napadača niske interakcije i osnovna namjena, unutar honeywall-a, je automatizirano prikupljanje zloćudnih programa.
• pcap_api pcap je sučelje pomoću kojega je moguće pristupati podatkovnom sloju računalne mreže. Roo koristi ovo sučelje kako bi mogao pristupiti .pcap datotekama.
Analiza podataka je bitan element svakog honeynet sustava. Analiza prikupljenih podataka mora biti jednostavna, funkcionalna i svrsishodna. Stoga se za analizu podataka koristi nekoliko različitih alata:
• Privmsg Radi se o skripti napisanoj u Perl programskom jeziku kojoj se osnovna namjena dobivanje podataka o IRC (Internet Relay Chat) komunikaciji iz tcpdump binarnih datoteka.
• HoneyInspector Starije sučelje koje je korišteno u demonstraciji mogućnosti samog honeynet sustava. Danas se više ne koristi jer ga je zamijenio Walleye.
• The Sleuth Kit The Sleuth Kit je moćan alat otvorenog izvornog koda koji se koristi u računalnoj forenzici *nix operacijskih sustava.
• WinInterrogate Alat koji se koristi za analizu Windows operacijskih sustava.
Nabrojani alati se nalaze na Honeywall CDROM-u i instalacijom honeywall-a moguće ih je koristiti pri nadzoru, prikupljanju i analizi podataka. Naravno svatko može instalirati i druge alate koji će mu olakšati rad s honeynet-om.
4.1.3. Instalacija honeywall-a i pokretanje honeynet-a
Prvi korak je bio dohvat dostupne verzije Roo honeywall CDROM-a. Roo CDROM je javno dostupan na adresi http://www.honeynet.org/tools/cdrom/roo/download.html u obliku ISO slike. Trenutna inačica je roo-1.0.hw-189.
Drugi korak je bio osigurati potrebne resurse – barem jedno računalo koje bi služilo kao sustav za privlačenje i detekciju napadača, jedno računalo na kojem bi bio instaliran honeywall te preklopnik na koji bi spojio sustav za privlačenje i detekciju napadača s honeywall-om. U IBM laboratoriju su stavljena na raspolaganje tri računala na kojima je uspostavljen honeynet.
Honeywall ima slijedeće sklopovske zahtjeve:
CPU: bilo koji 64-bitni ili 32-bitni procesor
Memorija: 256 MB (minimalno), 512 MB (preporučeno)
Čvrsti disk: 4 GB (testna konfiguracija), 10 GB (produkcijska konfiguracija)
47
Mrežne kartice: minimalno 2, ukoliko korisnik želi pristupati honeywall-u preko Interneta potrebno je instalirati i treću mrežnu karticu.
Instalacija honeywall-a Dostupno računalo zadovoljava navedene kriterije pa je slijedeći korak bila instalacija honeywall-a na željeno računalo. Nakon umetanja CDROM-a u računalo i ponovnog pokretanja računala sustav obavještava korisnika da će svi podaci na čvrstom disku biti uništeni. Pritiskom na tipku Enter započinje instalacija honeywall-a. Kada instalacija uspješno završi sustav se ponovno pokreće.
Nakon što se računalo ponovno pokrene korisnik dobije mogućnost prijave na sustav. Pri prvom pokretanju sustava njega mogu koristiti dva korisnika – roo i root, pri čemu je korisniku root onemogućena prijava na sustav iz sigurnosnih razloga. Do root ovlasti moguće je doći su - naredbom kada se korisnik s manjim pravima prijavi na sustav. Dakle prvi puta se korisnik mora prijaviti na sustav kao roo s unaprijed postavljenom lozinkom honey. Nakon prijave na sustav korisnik dobiva pristup ljusci (shell) operacijskog sustava.
Slijedeći logični korak je podešavanje samog sustava. Podešavanje sustava je moguće izvesti na dva načina:
1. honeywall.conf
Korisnik može ručno prepraviti honeywall.conf datoteku koju će sustav iskoristiti pri prvom podizanju. Također korisnik može naknadno iskoristiti priređenu datoteku.
2. Dialog Menu
Korištenje Dialog Menu-a je najčešći izbor pri prvoj konfiguraciji sustava. Dialog Menu je naslijeđe iz Eeyore prototipa i olakšava konfiguraciju honeywall-a. Dialog Menu je moguće koristiti lokalno, iz konzole, ali i s udaljenog računala preko sigurne veze (no ne i za re-konfiguraciju sustava). Korištenjem Dialog Menu-a korisniku se pruža mogućnost konfiguracije na tri različita načina:
a) Floppy
U ovoj metodi sustav čita honeywall.conf datoteku s diskete i na taj način se sustav može prvi puta konfigurirati ili kasnije re-konfigurirati. Ova metoda je prikladna u slučaju kada korisnik ima unaprijed izrađenu honeywall.conf datoteku i kada želi uspostaviti velik broj honeywall-a.
b) Defaults
Sustav je konfiguriran s pretpostavljenim vrijednostima.
c) Interview
Ovaj način omogućava konfiguraciju sustava preko niza pitanja na koje korisnik mora odgovoriti. Dobro je imati unaprijed pripremljene odgovore na pitanja koje će sustav postaviti kako bi se maksimalno olakšala konfiguracija sustava.
Instalacija operacijskih sustava na sustave za privlačenje i detekciju napadača Preostala dva računala su predviđena kao sustavi za privlačenje i detekciju napadača. Na njima su instalirani kompletni operacijski sustavima s svim programima i uslugama koje pružaju produkcijski sustavi. Na jedno računalo je instaliran Windows XP Professional operacijski sustav dok je na drugo instaliran Red Hat Linux 7.3. Na računalo s Windows
48
operacijskim sustavom je instaliran Service pack 2, dok je računalo s Linux operacijskim sustavom ostavljeno bez daljnjih osvježavanja.
Povezivanje sustava Računalo na kojemu je instaliran honeywall ima tri mrežne kartice koje je potrebno odgovarajuće povezati. Sučelje eth0 je sučelje prema Internetu, eth1 je povezano s preklopnikom i sustavima za privlačenje i detekciju napadača, dok je eth2 sučelje povezano također direktno na Internet, a namjena mu je omogućiti udaljenu administraciju sustava (pristup honeywall-u je moguć jedino preko ovog sučelja). Trenutna konfiguracija honeynet-a je prikazana na slici 4.2.
Windows XP ProIP: 161.53.65.14
Red Hat Linux 7.3IP: 161.53.65.15
Preklopnik(switch)
Honeywall
eth1
Internet
eth0eth2
IP: 161.53.65.37
Usmjernik(router)
Zavodska mreža
Slika 4.2: Shematski prikaz testnog honeynet-a
Sučelja eth1 i eth0 nemaju IP adresu jer honeywall funkcionira kao premosnik (bridge) na podatkovnom sloju OSI modela. Sučelje eth2 se koristi za pristup honeywall-u s udaljenog računala (SSH pristup ili pristup Walleye sučelju).
4.1.4. Uočeni problemi u radu s honeywall sustavom
Iako je sam honeywall već u drugoj generaciji stabilan i dobro izveden alat ipak postoje određeni problemi koji su uočeni pri uporabi ovog sustava. Srećom, radi se o alatu otvorenog izvornog koda za kojega postoji vrlo dobra podrška zajednice korisnika i većina informacija se može dobiti preko raznih foruma slične tematike ili „mailing“ liste koja je vezana uz temu sustava za privlačenje i detekciju napadača.
Riješeni problemi Prvi problem koji se pojavio već pri stavljanju sustava u pogon je bio veliki broj alarma oblika „UPnP service discover attempt“ koji su se pojavljivali od prve sekunde kada je
49
honeynet stavljen u funkciju. UPnP (Universal Plug and Play) tehnologija omogućava raznim uređajima na mreži da se s lakoćom međusobno povežu što bi trebalo olakšati umrežavanje u malim, kućnim, ali i u velikim, korporacijskim, mrežama. Ova tehnologija je implementirana u Windows Millenium Edition i Windows XP operacijskim sustavima i uključena je ukoliko korisnik eksplicitno ne navede drugačije što objašnjava velik broj alarma u malom vremenskom intervalu. No i napadači mogu iskoristiti ovu tehnologiju kako bi otkrili postojanje računala koje podržava ovaj protokol. Stoga Snort, kao sustav za otkrivanje neovlaštenog pristupa, smatra pokušaj otkrivanja postojanja ovog usluga potencijalno opasnom akcijom. Istraživanje na Internetu je pokazalo da se uglavnom radi o lažnoj uzbuni te se pravilo koje generira ovaj alarm može sigurno isključiti ili prepraviti na način da ne podiže alarm za promet s mreže koju smatramo sigurnom (u ovom primjeru 161.53.65.0/24). Nakon toga pravilo je uklonjeno iz grupe aktivnih pravila što je riješilo problem.
Drugi problem se pojavio pri prvom pokušaju ažuriranja sustava. Kako je honeywall izgrađen na Fedora Core 3 operacijskom sustavu za ažuriranje se koristi dobro poznati alat – yum. Yellow dog Updater (yum) je upravitelj paketima dobro poznat iz mnogo inačica Linux operacijskog sustava. Njegovim se korištenjem značajno olakšava ažuriranje sustava. Ažuriranje sustava se obavlja slijedećom naredbom:
$ yum update (4.1)
No nakon ažuriranja sustava, koje je proteklo u najboljem redu, Snort i snort_inline se više nisu mogli nikako pokrenuti, dakle sustav više nije bio funkcionalan. Pokazalo se da je to poznata greška kod honeywall sustava korištene verzije. Uz sam projekt je pokrenut i poslužitelj (Bugzilla Server) na kojemu korisnici honeywall sustava mogu prijavljivati uočene greške (bug). Opisana greška ima redni broj 423 i njen opis, zajedno s privremenim rješenjem, moguće je pronaći na web adresi https://bugs.honeynet.org/show_bug.cgi?id=423. Greška nastaje jer alat za ažuriranje sustava (yum) ažurira sustav iz pogrešnog (fc3-extras.repo) umjesto iz valjanog repozitorija (honeynet.repo). Kako se alati Snort i snort_inline razlikuju u navedenim repozitorijima sama funkcionalnost honeywall-a je narušena nakon ažuriranja. Privremeno rješenje se sastoji u izdavanju slijedeće naredbe prije naredbe (4.1):
$ yum update roo-base (4.2)
Nakon ovog slijeda naredbi ((4.1), (4.2)) opisani problem je otklonjen i više se ne pojavljuje pri slijedećim ažuriranjima.
Ažuriranje sustava je iznjedrilo i jedan drugi problem. Nakon ažuriranja sustava korisnik više nije u mogućnosti odabirom „Packet Decode“ ili „Rule Evaluation“ (slika 6, Dodatak A) na pripadajućoj stranici dobiti željene informacije. Uzrok tome leži u ovlastima nad direktorijem koji je potreban za prikaz stranice. Nakon ažuriranja sustava direktoriji images i icons koji se nalaze u direktoriju /var/www/html/walleye promijene vlasnika – nakon ažuriranja je vlasnik root pa Apache, web poslužitelj koji je odgovoran za prikazivanje svih stranica unutar Walleye sustava, nije u mogućnosti pročitati potrebne elemente kako bi ispravno prikazao traženu stranicu. Očito potrebno je dopustiti poslužitelju (tj. korisniku pod kojim je pokrenut poslužitelj - apache) da pročita direktorije
50
kako bi ispravno prikazao tražene stranice. Promjena vlasnika direktorija i njegovog cjelokupnog sadržaja se radi na korištenjem slijedeće naredbe:
$ chown -R apache:apache /images /icons (4.3)
Nakon promjene vlasnika spomenutih direktorija sve se vraća u normalu te korisnik može pristupiti podacima unutar navedenih direktorija.
Neriješeni problemi Prvi problem koji je ostao neriješen je onaj s Sebek klijentom na računalu s Windows operacijskim sustavom. Naime, nakon instalacije Sebek klijenta i njegovog postavljanja (sve što je potrebno postaviti je MAC adresa lokalnog gateway računala te ime pod kojim će se prikazivati aktivni Sebek klijent) s računala na kojemu je instaliran klijent više nije moguće uspostaviti niti jednu odlaznu vezu. Uklanjanjem Sebek klijenta spomenuti problem nestaje i računalo normalno može pristupiti mreži. Problem se, vjerojatno, pojavljuje u komunikaciji s DNS poslužiteljem, pošto računalo šalje pogrešne DNS upite no kako se problem, uz sav trud, pokazao nerješivim (u smislu da se zadrži Sebek) jedino preostalo rješenje je ne koristiti Sebek klijent na Windows operacijskom sustavu. Na računalu s Linux operacijskim sustavom se opisani problem nije pojavljivao.
Drugi problem koji više djeluje kao mogućnost sustava nego kao greška je činjenica da honeywall kao sustave za privlačenje i detekciju napadača prepoznaje sva računala na 161.53.65.0/24 pod-mreži što, dakako, nije u potpunosti istinito jer se jedini sustavi za privlačenje i detekciju napadača nalaze na adresama 161.53.65.14 te 161.53.65.15. Razlog tome leži u načinu na koji je postavljen honeywall – u konfiguracijskoj datoteci (honeywall.conf) stoji da unutrašnja mreža (ona u kojoj se nalaze sustavi za privlačenje i detekciju napadača) ima raspon IP adresa 161.53.65.0/24 što svakako jeste istina, ali to upućuje honeywall na promatranje čitavog raspona adresa, iako se u čitavom rasponu adresa, osim na navedene dvije, ne nalaze sustavi za privlačenje i detekciju napadača. Moguće rješenje je izdvojiti sustave za privlačenje i detekciju napadača u poseban adresni prostor tj. posebnu pod-mrežu.
4.1.5. Administracija honeywall sustava
Sustav je moguće administrirati na nekoliko različitih načina. Svaki od načina ima svoje prednosti i mane. Odabir načina administracije sustava ovisi o onome što je administratoru u određenom trenutku najviše odgovara. Dostupni su slijedeći načini administracije:
hwctl alat hwctl omogućava administraciju sustava iz konzole i jedini je način upravljanja honeywall-om iz konzole. Njegovim korištenjem moguće je promijeniti varijable honeywall sustava, spremiti i učitati honeywall.conf datoteku te pokrenuti i zaustaviti procese vezane uz neku varijablu. Zbog toga je hwctl alat posebno pogodan za administraciju sustava s udaljenog računala preko sigurne veze.
Svi ostali alati koriste hwctl za mijenjane parametara sustava, dakle on je temeljni alat za upravljanje honeywall-om.
Kao primjer je uzeta izmjena vrijednosti jednog parametra sustava. HwTCPRATE varijabla određuje maksimalan broj izlaznih TCP veza sustava.
51
Trenutnu vrijednost ove varijable se može vidjeti korištenjem slijedeće naredbe iz konzole:
$ hwctl HwTCPRATE (4.4)
Ukoliko je potrebno promijeniti navedeni parametar, to se može učiniti korištenjem slijedeće naredbe:
$ hwctl -r HwTCPRATE="60" (4.5)
Sustav automatski ponovno pokreće sve usluge kojima je izmijenjeni parametar bitan. Ispis svih parametara sustava se dobije unosom slijedeće naredbe:
hwctl –A (4.6)HwHONEYWALL_RUN = yes HwDOMAIN = zemris.fer.hr HwSEBEK = yes HwSEBEK_FATE = DROP HwFENCELIST_ENABLE = no HwSEBEK_DST_IP = HwOTHERRATE = 10 HwHPOT_PUBLIC_IP = 161.53.65.14 161.53.65.15 HwMANAGE_GATEWAY = 161.53.65.1 HwHWPARMOPTS = HwHFLOW_DB = 1.1 HwMANAGER = 161.53.65.0/24 193.198.17.121 HwFWWHITE = /etc/whitelist.txt HwFWFENCE = /etc/fencelist.txt HwLAN_IFACE = eth1 HwNICMODLIST = HwMANAGE_STARTUP = yes HwSCALE = hour HwSSHD_PORT = 22 HwWALLEYE = yes HwMANAGE_NETMASK = 255.255.255.0 HwLAN_IP_RANGE = 161.53.65.0/24 HwSEBEK_DST_PORT = 1101 HwDNS_SVRS = 161.53.65.11 161.53.65.12 HwTIME_SVR = zg1.ntp.carnet.hr HwSWAP_CAPSLOCK_CONTROL = no HwLAN_BCAST_ADDRESS = 161.53.65.255 HwSEBEK_LOG = yes HwALERT = yes HwQUEUE = yes HwINET_IFACE = eth0 HwHEADLESS = no HwTCPRATE = 60 HwRESTRICT = yes HwALLOWED_UDP_OUT = 53 123 HwMANAGE_DNS = 161.53.65.11 161.53.65.12 HwDNS_HOST = 161.53.65.14 161.53.65.15 HwFWBLACK = /etc/blacklist.txt HwMANAGE_IFACE = eth2 HwALLOWED_TCP_IN = 22 443 HwMANAGE_IP = 161.53.65.37 HvALERT_EMAIL = [email protected] HwSSHD_STARTUP = yes HwICMPRATE = 60 HwSEBEK_log = yes HwBWLIST_ENABLE = no HwSUMNET = 161.53.65.0/24
52
HwSSHD_REMOTE_ROOT_LOGIN = no HwALERT_EMAIL = [email protected] HwUDPRATE = 60 HwHOSTNAME = hw HwALLOWED_TCP_OUT = 22 25 43 80 443 HwROACHMOTEL_ENABLE = no HwMANAGE_DIALOG = yes
Vidljivo je da je hwctl alat namijenjen naprednim korisnicima kojima se druge metode iz nekog razloga ne sviđaju ili pak nisu prikladne.
Dialog Menu Dialog Menu je drugi alat za administraciju sustava. Naslijeđen je iz prethodne inačice honeywall-a, uz neka manja poboljšanja i dodane funkcionalnosti. Početni izbornik Dialog Menu-a je prikazan na slici 1 u Dodatku A.
Korištenje Dialog Menu-a je omogućeno lokalno, iz konzole, ali i s udaljenog računala. Izbornik je vrlo intuitivan i daje korisniku na izbor mnogo opcija – od trenutnog stanja honeywall-a, preko administracije samog baznog operacijskog sustava do opcija za konfiguraciju i administraciju honeywall-a. Do samog Dialog Menu-a se može doći ukoliko se s root ovlastima upiše menu u konzolnu liniju. No ovaj način ima i manu – korisnik je ograničen samo na ono što mu pruža Dialog Menu što ponekad predstavlja velik problem (ukoliko korisnik ima želju izmijeniti parametre sustava koji se ne nalaze unutar Dialog Menu-a).
Walleye Walleye je web sučelje koje ima višestruku ulogu – omogućava analizu podataka i administriranje sustava. Jednostavnom uporabom miša korisnik je u mogućnosti pratiti honeywall i, po potrebi, administrirati ga. Walleye je izrađen kako bi bio primarni alat za administraciju sustava s udaljenog računala. Walleye nije pokrenut automatski, osim ako to korisnik nije eksplicitno naveo. Uz to u računalu mora biti prisutna i funkcionalna treća mrežna kartica (eth2) kojoj se mora dodijeliti dostupna IP adresa. Administrator se spaja na Walleye preko HTTPS protokola korištenjem SSL-a zbog sigurnosnih razloga. Konkretno, ispitni honeywall ima slijedeću adresu: https://161.53.65.37. Kada se administrator po prvi puta spoji na Walleye on mora iskoristiti unaprijed postavljeno korisničko ime – roo i lozinku – honey kako bi pristupio sustavu. Odmah na slijedećoj stranici se od njega traži izmjena unaprijed postavljene (visokorizične) lozinke. Svaka lozinka za Walleye sustav mora biti dugačka minimalno 6 znakova od kojih jedan mora biti veliko slovo, a minimalno jedan znak mora biti specijalan. Nakon izmjene lozinke administrator može pristupiti sustavu. Kada administrator jednom pristupi sustavu on je u mogućnosti analizirati prikupljene podatke i administrirati sustav. Sučelje za administraciju sustava je vidljivo na slici 2 u Dodatku A. S lijeve strane se nalazi izbornik u kojemu korisnik može izabrati jednu od mnogo opcija za administraciju sustava. Desno od izbornika se pojavljuju opcije vezane uz izabrane stavke. Na početnoj stranici za administraciju je prikazano općenito stanje samog sustava (zauzeće sustava, aktivno vrijeme sustava, broj korisnika na sustavu, zauzeće memorije, procesora, čvrstog diska itd.). Odabirom neke od stavki za administraciju korisnik je u mogućnosti promijeniti parametre sustava na lagan i intuitivan način. U odnosu na Dialog Menu administrator ima mnogo više mogućnosti upravljanja samim sustavom, a i samo upravljanje je znatno lakše.
53
4.1.6. Analiza prikupljenih podataka
Svrha honeynet-a je svakako prikupljanje podataka. Sve prikupljene podatke se mora nekako moći analizirati. Kako bi se ostvario cilj što lakšeg korištenja honeywall-a njegovi autori su zamislili Walleye sučelje kao alat koji omogućava laganu, ali detaljnu, analizu prikupljenih podataka. Iako je moguće status honeywall-a vidjeti i korištenjem Dialog Menu-a to je teži način. Izgled prve stranice za analizu podataka je vidljiv na slici 3 u Dodatku A. Prva stranica koju korisnik vidi nakon što se prijavi na sustav je upravo stranica na kojoj se vidi sažetak dnevnih događanja (analiza podataka). U prvoj polovici stranice se nalazi dnevni sažetak prometa i grafički prikaz broja alarma sustava za prevenciju napadača (slika 4.3).
Slika 4.3: Analiza podataka – dnevni sažetak prometa i grafički prikaz
U donjem dijelu početne stranice nalazi se eksperimentalna tražilica koja omogućava pretraživanje podataka po raznim kriterijima. Tražilica je trenutno eksperimentalne prirode i bolje rješenje se razvija. Tražilica je prikazana na slici 4.4.
Slika 4.4: Tražilica prikupljenih podataka
Odabirom jednog sustava za privlačenje i detekciju napadača ili pretraživanjem po određenom kriteriju se dolazi do stranice koja detaljnije prikazuje tokove podataka (Flows). Cijelu stranicu s tokom podataka se nalazi na slici 4 u Dodatku A. U gornjem lijevom uglu nalazi se kalendar (slika 4.5) korištenjem kojega je moguće pregledavati tokove podataka po danima i mjesecima aktualne godine.
54
Slika 4.5: Kalendar
Ispod kalendara je smješten pregled tokova podataka po satima u danu (slika 4.6). Korisnik može izabrati interesantne tokove podataka jednostavno klikom na link. Sama tablica ima tri stupca: sat, broj veza i broj alarma sustava za detekciju napadača. Klikom na link u stupcu s brojem veza dobiva se cjelokupni detaljan pregled tokova podataka za određeni sat. Link u stupcu s brojem alarma sustava za detekciju napadača vodi do prikaza tokova podataka koji su uzrok alarmima.
Slika 4.6: Dnevni pregled tokova podataka
Ispod dnevnog pregleda tokova podataka se nalaze daljnje opcije filtriranja trenutno prikazanih tokova podataka (slika 4.7). Korisnik je u mogućnosti odabrati način pregleda (sažet ili detaljan), smjer protoka podataka (ulazni, izlazni ili obostrani tok podataka), tok podataka po protokolu (TCP, UDP, ICMP ili pak sve protokole) – dvosmjerne ili jednosmjerne, te tokove podataka koji imaju neku informaciju od Sebek alata.
Stranicom dominira prikaz izabranih tokova podataka. U ovisnosti o kriterijima koji su postavljeni u izbornicima s lijeve strane, desno se pojavljuje sažet ili detaljan prikaz tokova podataka (slika 4.8). Korisnik odabirom nekog od prikazanih tokova podataka dobiva detaljniji uvid.
55
Slika 4.7: Filtriranje tokova podataka po raznim kriterijima
Slika 4.8: Prikaz tokova podataka u ovisnosti o odabranim kriterijima
Korisnik i na ovom dijelu ima mogućnost određenog sortiranja (prema izvorišnoj ili odredišnoj adresi ili pristupu), te u svakom od stupaca uzlazno ili silazno je moguće sortirati vrijednosti. Iznad naziva stupaca postoji navigacija po stranicama (ukoliko ih ima više).
Odabirom jednog od sažeto prikazanih tokova podataka (klikom na IP adresu jednog sustava za privlačenje i detekciju napadača) korisniku se otvara detaljan prikaz povezanih tokova podataka (slika 5 u Dodatku A). Lijevi stupac ima identičan oblik kao onaj prikazan na slikama 4.5, 4.6 i 4.7 dok se središnji prozor malo razlikuje od onoga prikazanog na slici 4.8 u tome što je sada dan detaljan prikaz svakog od tokova podataka. Primjer detaljnog prikaza jednog toka podataka je prikazan na slici 4.9.
56
Slika 4.9: Primjer detaljnog prikaza jednog toka podataka s objašnjenjem značenja
pojedinih polja
Vidljivo je da se iz slike se može iščitati mnoštvo informacija. Značenje pojedinih polja je također moguće vidjeti na slici 4.9.
Odabirom gumba za snimanje toka podataka korisnik može snimiti aktualni tok podataka na lokalno računalo u svrhu daljnje analize pomoću specijaliziranih alata (Ethereal, tcpdump itd.).
Odabirom gumba u obliku povećala korisniku se otvara detaljniji prikaz samog toka podataka. Taj prikaz je vidljiv na slici 6 u Dodatku A.
Walleye sučelje također služi za analizu podataka koje šalje Sebek klijent instaliran na sustav za privlačenje i detekciju napadača. Prikaz jednog toka podataka koji je povezan s Sebek-om je prikazan na slici 4.10.
Slika 4.10: Dodatne ikone na tokovima vezanim uz Sebek
Klikom na gumb za detaljniju analizu prikazuje se nova stranica (slika 7, Dodatak A) na kojoj se nalazi detaljan prikaz svih aktivnosti sustava za privlačenje i detekciju napadača (popis svih procesa, otvorenih datoteka i ostalih relevantnih podataka). Posebno je informativan grafički prikaz procesa (visual graph tree, slika 4.11) i njihove djece na kojemu korisnik može odabrati svaki od prikazanih čvorova i na taj način dobiti detaljniji prikaz svih aktivnosti tog čvora (tj. procesa).
Odabirom opcije „View Details for this Process“ korisnik može vidjeti sve datoteke koje je odabrani proces otvorio i sve aktivnosti čvrstog diska povezane s odabranim procesom.
Gumb za detaljniji prikaz povezanih tokova služi upravo ono što mu ime i govori – klikom na gumb otvara se prozor (slika 8, Dodatak A) u kojemu su izlistani tokovi podataka povezani s promatranim tokom podataka.
57
Slika 4.11: Grafički prikaz procesa (visual graph tree)
4.2. Eksperimentalni rezultati uporabe honeynet-a
Honeynet je pokrenut u ožujku 2006. godine u prostoru IBM laboratorija na 3. katu D zgrade Fakulteta elektrotehnike i računarstva. Iako je na početku bilo manjih problema (prethodno opisani) kasnije je sustav funkcionirao bez nekih većih ispada.
Tijekom testnog razdoblja sustavi za privlačenje i detekciju napadača su imali dnevno određeni broj dolaznih i odlaznih veza. Zanimljiva je činjenica da je sustav za privlačenje i detekciju napadača s instaliranim Windows operacijskim sustavom prednjačio kako po broju veza tako i po ukupnom prometu. Navedena činjenica i nije toliko čudna s obzirom koliko je taj operacijski sustav zastupljen na Internetu pa i na količinu zloćudnih programa koji su izrađeni specifično za ovaj operacijski sustav. Kako se svaka veza prema i od sustava za privlačenje i detekciju napadača smatra sumnjivom (zbog same prirode sustava) valjalo je svakodnevno pratiti stanje na samom honeynet-u. U testnom razdoblju dogodilo se nekoliko zanimljivih situacija koje će biti u daljnjem tekstu podrobnije opisane.
4.2.1. Rječnički napad na FTP poslužitelj
Prema opisanoj podjeli (poglavlje 2) radi se o zloćudnom programu koji spada u podrazred varanja (spoofing). Osnovna ideja napadača je korištenjem na neki način odabranih riječi zadobiti pristup FTP (File Transfer Protocol) poslužitelju s administratorskim ovlastima. Dobivanjem administratorskih ovlasti napadač bi mogao koristiti resurse bez ikakvih ograničenja.
Honeywall sustav je upozorio na napad preko adrese elektroničke pošte koja je definirana pri samoj konfiguraciji honeywall-a ([email protected]). Nakon upozorenja, korištenjem Walleye sustava, vidljivi su svi bitni podataci o napadu. Na slici 4.12 je prikazan sporni tok podataka.
Slika 4.12: Upozorenje o napadu prikazano u Walleye sustavu
58
Klikom na gumb za snimanje aktualnog toka podataka na lokalni disk računala na jednostavan način se dolazi do .pcap datoteke u kojoj su pohranjene informacije o spornom toku podataka. Daljnja analiza skinute datoteke se može provoditi prikladnim alatom (tcpdump, Ethereal itd.). Alat korišten u analizi je Ethereal.
Prvi korak u analizi napada je saznati sve relevantne podatke vezane uz napad. To je za početak vrijeme napada.
Napad je započeo 6. lipnja 2006 godine u 08:46:17 i trajao je do 09:12:46 dakle ukupno 26 minuta i 29 sekundi. Napadač je došao s IP adrese 210.172.87.130. U navedenom vremenu i s navedene adrese napadač je pokušao 2282 različite lozinke kako bi se domogao administratorskih ovlasti. Za adresu s koje je napadač došao usluga whois (integrirana u Walleye) je vratila rezultate koji se mogu pronaći u Dodatku A. Iz dobivenih rezultata vidljivo je da napadač dolazi iz Japana i da navedena IP adresa pripada tvrtki DataStadium Co.Ltd. Ukoliko bi se radilo o napadu na produkcijski sustav obveza administratora bi bila prijaviti napad na navedenu kontakt adresu ([email protected]).
Napad je tekao na slijedeći način:
1. Napadač šalje zahtjev da se prijavi na sustav kao korisnik „Administrator“.
Tablica 4.1Napadačev zahtjev za prijavu na sustav - izvadak iz .pcap datoteke
Broj paketa Vrijeme Izvorišni IP Odredišni IP Protokol Informacija
6 0.677907 210.172.87.130 161.53.65.14 FTP Request: USER Administrator
Frame 6 (86 bytes on wire, 86 bytes captured)
Ethernet II, Src: Cisco_6a:c2:ff (00:09:b7:6a:c2:ff), Dst: AcctonTe_aa:98:65 (00:10:b5:aa:98:65)
Internet Protocol, Src: 210.172.87.130 (210.172.87.130), Dst: 161.53.65.14 (161.53.65.14)
Transmission Control Protocol, Src Port: 60416 (60416), Dst Port: ftp (21), Seq: 1, Ack: 28, Len: 20
File Transfer Protocol (FTP)
USER Administrator\r\n
Request command: USER
Request arg: Administrator
59
2. Sustav od napadača traži lozinku za korisnika „Administrator“.
Tablica 4.2 Sustav traži lozinku od napadača
3. Napadač šalje lozinku (koja u niti jednom slučaju nije bila valjana).
Tablica 4.3 Napadač šalje lozinku
Broj paketa Vrijeme Izvorišni IP Odredišni IP Protokol Informacija
7 0.686132 161.53.65.14 210.172.87.130 FTP
Response: 331 Password required for Administrator.
Frame 7 (108 bytes on wire, 108 bytes captured)
Ethernet II, Src: AcctonTe_aa:98:65 (00:10:b5:aa:98:65), Dst: Cisco_6a:c2:ff (00:09:b7:6a:c2:ff)
Internet Protocol, Src: 161.53.65.14 (161.53.65.14), Dst: 210.172.87.130 (210.172.87.130)
Transmission Control Protocol, Src Port: ftp (21), Dst Port: 60416 (60416), Seq: 28, Ack: 21, Len: 42
File Transfer Protocol (FTP)
331 Password required for Administrator.\r\n
Response code: User name okay, need password (331)
Response arg: Password required for Administrator.
Broj paketa Vrijeme Izvorišni IP Odredišni IP Protokol Informacija
8 1.023845 210.172.87.130 161.53.65.14 FTP Request: PASS
Frame 8 (73 bytes on wire, 73 bytes captured)
Ethernet II, Src: Cisco_6a:c2:ff (00:09:b7:6a:c2:ff), Dst: AcctonTe_aa:98:65 (00:10:b5:aa:98:65)
Internet Protocol, Src: 210.172.87.130 (210.172.87.130), Dst: 161.53.65.14 (161.53.65.14)
Transmission Control Protocol, Src Port: 60416 (60416), Dst Port: ftp (21), Seq: 21, Ack: 70, Len: 7
File Transfer Protocol (FTP)
PASS \r\n
Request command: PASS
60
4. Sustav obavještava napadača o pogrešnoj lozinci.
Tablica 4.4 Sustav obavještava napadača o unosu pogrešne lozinke
Ovaj oblik komunikacije se ponavlja sve dok napadač na kraju ne odustane od pokušaja pogađanja lozinke. Cjelokupan popis lozinki se može pronaći na popratnom CD-u ovog rada.
Zanimljivo je primjetiti tip riječi koje je napadač iskoristio za pogađanje lozinke – radi se o riječima koje se mogu opisati kao loš izbor za lozinku.
Lošom lozinkom se smatra:
• Lozinka kraća od 8 znakova
• Riječ iz stranog ili domaćeg rječnika
• Lozinka je riječ koja se često sreće u stvarnom životu:
o Ime neke osobe iz obitelji, kućnog ljubimca, prijatelja, kolege, najdražeg lika iz filma, računalne igre, itd.
o Računalni termini i imena iz područja informatike (imena programa, sklopovlja, informatičkih tvrtki)
o Riječi oblika „<ime_tvrtke>“, sanjose, sanfran i njihove kombinacije s brojevima
o Rođendani (vlastiti, poznanika), broj telefona, kućna adresa i sve kombinacije navedenog
o Riječi i brojevi oblika aaabbb, qwerty, 123321 itd.
o Bilo koja od navedenih riječi okrenuta naopako
o Bilo koja od navedenih riječi uz dodatak broja na kraju (digit, digit1 itd.)
Broj paketa Vrijeme Izvorišni IP Odredišni IP Protokol Informacija
9 1.023845 161.53.65.14 210.172.87.130 FTP
Response: 530 User Administrator cannot log in.
Frame 9 (105 bytes on wire, 105 bytes captured)
Ethernet II, Src: AcctonTe_aa:98:65 (00:10:b5:aa:98:65), Dst: Cisco_6a:c2:ff (00:09:b7:6a:c2:ff)
Internet Protocol, Src: 161.53.65.14 (161.53.65.14), Dst: 210.172.87.130(210.172.87.130)
Transmission Control Protocol, Src Port: ftp (21), Dst Port: 60416 (60416), Seq: 70, Ack: 28, Len: 39
File Transfer Protocol (FTP)
530 User Administrator cannot log in.\r\n
Response code: Not logged in (530)
Response arg: User Administrator cannot log in.
61
Opisani napad zorno prikazuje potrebu postojanja sigurnosne politike koja propisuje izgled lozinke (password policy) kako bi se smanjila mogućnost uspješnog rječničkog napada, a samim tim i rizik za organizaciju. Posebno su ugroženi javno dostupni sustavi (web, ftp poslužitelji, baze podataka, poslužitelji elektronske pošte itd.) s loše odabranim lozinkama.
Potrebno je reći i nešto o motivima napadača. Kako je napadač napao FTP poslužitelj automatiziranim alatom pretpostavka je da mu je osnovna namjera bila uspostaviti poslužitelj za programe kojima su povrijeđena autorska prava (warez). Ukoliko bi napadač na ovaj način uspio kompromitirati neki produkcijski sustav organizacija bi mogla imati velike probleme jer u krajnjoj liniji tvrtka kojoj su povrijeđena autorska prava može tužiti organizaciju za povredu autorskih prava.
4.2.2. Iskorištavanje propusta u PHP programskom paketu
Slijedeći napad koji će biti opisan ima veze s programskim jezikom PHP. PHP (rekurzivni akronim od Hypertext Preprocessor) je skriptni programski jezik otvorenog koda. Dizajniran je kao alat visoke razine za izradu dinamičkih web stranica uglavnom na strani poslužitelja. Kao takav često se koristi na Internetu stoga je svaki sigurnosni propust potencijalno vrlo opasan. U ovom napadu napadač očito želi iskoristiti sigurnosni propust u PHP-u koji je možda instaliran na ciljano računalo. Kao i u prethodnom napadu napadač najvjerojatnije koristi neki alat kako bi kompromitirao sustav za privlačenje i detekciju napadača.
Na slici 4.13 je prikazana obavijest sustava o napadu.
Slika 4.13: Izgled obavijesti o napadu u Walleye sučelju
Napad se dogodio 7. lipnja 2006 godine u 9:16:58 i trajao je 1 sekundu. Napadač je došao s IP adrese 213.60.56.216. Napadač dolazi iz Španjolske, a sama adresa pripada tvrtki R Cable y Telecomunicaciones Galicia S.A. Kontakt adresa je [email protected].
Na slici 4.13 je vidljivo da je sustav generirao tri različita alarma: 1. WEB-ATTACKS wget command attempt
Ovaj alarm govori da je napadač pokušao iskoristiti wget alat kako bi došao do povjerljivih podataka ili kako bi na žrtvu postavio zloćudne datoteke. wget je vrlo popularan alat kojemu je osnovna namjena dohvaćanje raznih sadržaja korištenjem HTTP, HTTPS ili FTP protokola i nalazi se na Linux operacijskim sustavima (dostupna je i Windows inačica). Napadač može posebno oblikovanim zahtjevom napadnutom web poslužitelju dobiti mogućnost izvršavanja wget alata na sustavu. Konkretno napadač pokušava izvršiti slijedeće naredbe (tablica 4.5):
1. cd /tmp
Ovim bi se napadač premjestio u /tmp direktorij.
2. wget 72.18.195.161/lnikon
Izvršavanjem ove naredbe napadač bi skinuo dokument pod imenom lnikon s IP adrese 72.18.195.161. Prema whois-u navedena IP adresa pripada tvrtki A+Hosting Inc. smještenoj u SAD-u. Vjerojatno se radi o zloćudnom programu koji je postavljen na poslužitelj na navedenoj adresi kako bi bio javno dostupan.
62
3. chmod 744 lnikon
Ovime bi napadač promijenio dozvole za datoteku lnikon tako da bi sebi dao pravo na čitanje, pisanje i izvršavanje dok bi svima ostalima dozvolio samo čitanje. Ovim potezom bi onemogućio drugim korisnicima da modificiraju i pokreću datoteku.
4. ./lnikon
Ovim unosom bi napadač pokrenuo prethodno skinutu datoteku. Kako se vjerojatno radi o zloćudnom programu izvršavanjem lnikon datoteke sustav bi vjerojatno bio kompromitiran.
5. echo YYY
echo je naredba koja vraća ono što joj se da kao argument (u ovom slučaju YYY).
6. echo | HTTP/1.1
Ovom naredbom, uz prethodnu, napadač vjerojatno šalje sebi odgovor u slučaju uspješnog napada na računalo. No kako napad nije mogao biti uspješan sustav odgovara napadaču s pretpostavljenom porukom.
2. WEB-PHP remote include path
Ovaj alarm se generira kada sustav uoči napadačev pokušaj iskorištavanja ranjivosti unutar PHP programskog paketa. Napadač je korištenjem navedenog URL oblika vjerojatno pokušao iskoristiti ranjivost PHP-a kako bi mogao izvršiti gore navedeni slijed naredbi. Cijeli URL se može vidjeti u tablici 4.5.
63
3. unknown signature
Sustav je prepoznao određeni potpis no kako nema naziva za njega u bazi pravila on ga navodi kao nepoznati potpis.
Napad je tekao na slijedeći način:
1. Napadač šalje posebno skovani URL internetskom poslužitelju na sustavu za privlačenje i detekciju napadača
Tablica 4.5 Prikaz napadačevog paketa
Broj paketa Vrijeme Izvorišni IP Odredišni IP Protokol
4 0.086251 213.60.56.216 161.53.65.14 HTTP
Informacija
GET /index.php?option=com_content&do_pdf=1&id=1index2.php?
_REQUEST[option]=com_content&_REQUEST[Itemid]=1
&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?
&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;
./lnikon;echo%20YYY;echo| HTTP/1.1
Detaljniji prikaz paketa
Frame 4 (418 bytes on wire, 418 bytes captured)
Ethernet II, Src: Cisco_6a:c2:ff (00:09:b7:6a:c2:ff), Dst: AcctonTe_aa:98:65 (00:10:b5:aa:98:65)
Internet Protocol, Src: 213.60.56.216 (213.60.56.216), Dst: 161.53.65.14 (161.53.65.14)
Transmission Control Protocol, Src Port: 33680 (33680), Dst Port: http (80), Seq: 1, Ack: 1, Len: 352
Hypertext Transfer Protocol
GET (istovjetno polju Informacija)
Request Method: GET
Request URI: (istovjetno polju Informacija, bez prefiksa GET)
Request Version: HTTP/1.1
Host: 161.53.65.14\n
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)\n
\n
64
2. Sustav napadaču šalje informaciju o pogrešnom URL-u
Tablica 4.6 Odgovor sustava na napadačev zahtjev
Istovjetan napad se dogodio još 7. i 12. lipnja 2006 godine s dviju različitih IP adresa. Ova činjenica navodi na zaključak da se radi o poznatoj ranjivosti u PHP programskom paketu. Ukoliko bi unutar organizacije postojali potencijalno ranjivi sustavi napad uhvaćen na sustavu za privlačenje i detekciju napadača bi bio izvrsno rano upozorenje administratoru ranjivih sustava. Korektivne akcije bi bile: nadogradnja PHP programskog paketa na najsvježiju inačicu te zabrana izvršavanja naredbi izvan dopuštenih direktorija (cgi-bin itd.). Naravno uvijek je dobra praksa ukloniti s poslužitelja sve one usluge i alate koji nisu potrebni za samo funkcioniranje poslužitelja.
Nakon uočenog napada pokušaj dohvata spomenute potencijalno zloćudne datoteke s navedenog poslužitelja je bio neuspješan. Čini se da je datoteka uklonjena. Svakako bi bilo zanimljivo provesti njenu daljnju analizu.
Broj paketa Vrijeme Izvorišni IP Odredišni IP Protokol
9 0.170478 161.53.65.14 213.60.56.216 HTTP
Informacija
HTTP/1.1 404 Object Not Found (text/html) (u dodatku se nalazi standardna html datoteka s porukom o grešci)
Detaljniji prikaz paketa
Frame 9 (1349 bytes on wire, 1349 bytes captured)
Ethernet II, Src: AcctonTe_aa:98:65 (00:10:b5:aa:98:65), Dst: Cisco_6a:c2:ff (00:09:b7:6a:c2:ff)
Internet Protocol, Src: 161.53.65.14 (161.53.65.14), Dst: 213.60.56.216 (213.60.56.216)
Transmission Control Protocol, Src Port: http (80), Dst Port: 33680 (33680), Seq: 2921, Ack: 353, Len: 1283
Reassembled TCP Segments (4203 bytes): #5(1448), #6(1448), #7(24), #9(1283)
Hypertext Transfer Protocol
HTTP/1.1 404 Object Not Found\r\n
Request Version: HTTP/1.1
Response Code: 404
Server: Microsoft-IIS/5.1\r\n
Date: Wed, 07 Jun 2006 07:14:19 GMT\r\n
Connection: close\r\n
Content-Length: 4040\r\n
Content-Type: text/html\r\n
\r\n
Line-based text data: text/html
65
4.2.3. Napad na IIS preljevom spremnika
IIS (Internet Information Services) je skup k Internetu orjentiranih usluga koje su namijenjene implementaciji poslušitelja na Microsoft Windows operacijskom sustavu. To je drugi poslužitelj po popularnosti (prvi je Apache HTTP server) na Internetu. IIS donosi podršku za nekoliko protokola: HTTP/HTTPS, FTP, SMTP, NNTP. Prva verzija IIS-a, IIS 1.0, se pojavila kao dodatak WindowsNT 3.51 operacijskom sustavu. Trentuno akualna verzija je IIS 5.1 za WindowsXP, te IIS 6.0 za Windows Server 2003. Na testnom sustavu za privlačenje i detekciju napadača je pokrenut IIS 5.1 kojega je zapravo napadač napao. Zapravo napadač nije napao izravno IIS nego jednu njegovu komponentu – Microsoft FrontPage Server Extensions (FPSE). FPSE je opcionalni dio IIS-a koji proširuje mogućnosti samog poslužitelja tako što omogućava udaljenu administraciju poslužitelja, upravljanje sadržajem te razne druge mogućnosti (pretraživanje sadržaja, upravljanje formama itd.). Konkretno, unutar FPSE paketa nalazi se dinamička datoteka fp30reg.dll koja je ranjiva na preljev spremnika. Prema obavijesti iz Microsoft-a ranjive su IIS 4.0, IIS 5.0 te IIS 5.1 verzije ovog poslužitelja. Ranjivost je otkrio Brett More iz tvrtke Security-Assessment.com u studenom 2003. godine. Napadač može izvesti napad na ranjive verzije IIS-a postavljajući posebno kreirani HTTP POST zahtjev datoteci fp30reg.dll. U HTTP protokolu, kod POST zahtjeva u samom Content-Length zaglavlju je zapisano kolika je veličina (u byte-ovima) podataka koji slijede. Drugo bitno zaglavlje je Transfer-Encoding, u kojemu je zapisana vrijednost koja određuje je li s podacima učinjena neka transformacija kojom bi se podaci zaštitili u prijenosu između pošiljatelja i primatelja. U ovom slučaju napadač postavlja Transfer-Encoding zaglavlje u vrijednost chunked što znači da će se podaci prenosti u komadima (chunks). Ranjivost postoji u načinu na koji datoteka fp30reg.dll upravlja s ovim tipom zahtjeva – naime datoteka uzima vrijednost zapisanu u Content-Length polju HTTP zahtjeva kako bi zauzela mjesta u spremniku (buffer) te nakon toga na zauzeto mjesto sprema dobivene podatke bez daljnjeg provjeravanja hoće li primljeni podaci doista stati u unaprijed zauzeti prostor. Ukoliko je duljina podataka veća od alociranog prostora unutar spremnika dio sadržaja spremnika se prepisuje (dolazi do „preljeva“ podataka) pa napadač, neopaženo, može izvršiti proizvoljan kod pod ovlastima korisnika pod kojim je pokrenut napadnuti IIS. Uspješan napad rezultira izvršavanjem napadačevog koda što dovodi do kompromitiranja sustava.
Konkretan slučaj se dogodio 10. lipnja 2006 godine u 18:44:22. Napad je trajao 3 sekunde i došao je s IP adrese 212.33.58.100 (slika 4.14).
Slika 4.14: Walleye upozorenje na napad preljevom spremnika
Sustav je generirao nekoliko različitih alarma:
1. SHELLCODE x86 NOOP
Alarm se podiže kada sustav uoči nekoliko NOP naredbi zaredom. NOP (No OPeration) instrukcija je dio asemblerskog jezika govori procesoru da ne radi baš ništa. Napadači često koriste čitav niz ovih naredbi u napadima na ranjiva udaljena računala. Ukoliko je napadnuta usluga (u našem slučaju se radi o fp30reg.dll) sadrži operacije koje upravljaju podacima bez provjere granica u spremniku napadač je u mogućnosti zapisati proizvoljne podatke u adresni prostor napadnute usluge. U normalnim slučajevima ovo bi uzrokovalo kolaps napadnute usluge. No ukoliko
66
napadač uspije dobiti adresu upisanih, novih, podataka on je u mogućnosti izvršiti. Uvjet da bi napadač mogao izvršiti upisane podatke je da sustav dopušta njihovo izvršavanje. Kako je računanje adrese početka novo-upisanih podataka iznimno kompleksan i zahtjevan posao popularna tehnika napadača je ispuniti prostor ispred koda koji želi izvršiti s NOP naredbama. Ukoliko sustav skoči na neku od NOP naredbi izvršavanje će jednostavno „odklizati“ do napadačevog koda (shellcode). Ovaj alarm naprosto govori da se unutar paketa nalazi velik broj NOP instrukcija (nizovi 90 unutar paketa).
2. WEB-FRONTPAGE /_vti_bin/ access
Alarm se generira u slučajevima kada napadač pokuša iskoristiti poznatu ranjivost u IIS-u. Inače ovaj alarm se, također, generira i u slučaju da netko pokuša pristupiti _vti_bin direktoriju koji sadrži osjetljive podatke koji bi mogli biti iskorišteni u drugim napadima na sustav.
3. WEB-MISC Chunked-Encoding transfer attempt
Ovaj alarm se generira uvijek kada se u zaglavlju paketa pod Transfer-Encoding poljem pojavi kategorija chunked. Kako je ovaj način prijenosa podataka povezan s velikim brojem napada na udaljena računala sustav jednostavno upozorava na ovaj tip prijenosa podataka.
4. WEB-FRONTPAGE rad fp30reg.dll access
Ovo je zapravo najvažniji alarm koji je generiran. Alarm se generira kada napadač pokuša iskoristiti poznatu ranjivost u FPSE komponenti IIS-a. Ranjivost je opisana u uvodnom tekstu stoga ovdje neće biti dalje opisivana.
5. unknown signature
Sustav je prepoznao određeni potpis no kako nema naziva za njega u bazi pravila on ga navodi kao nepoznati potpis.
67
Scenarij napada je bio slijedeći:
1. Napadač sustavu šalje posebno konstruirani HTTP POST zahtjev (vidljiv u tablici 4.6)
Tablica 4.7 Prikaz napadačevog paketa
Broj paketa Vrijeme Izvorišni IP Odredišni IP Protokol
5 0.296293 212.33.58.100 161.53.65.14 HTTP
Informacija
POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1[Malformed Packet]
Detaljniji prikaz paketa
Frame 5 (223 bytes on wire, 223 bytes captured)
Ethernet II, Src: Cisco_6a:c2:ff (00:09:b7:6a:c2:ff), Dst: AcctonTe_aa:98:65 (00:10:b5:aa:98:65)
Internet Protocol, Src: 212.33.58.100 (212.33.58.100), Dst: 161.53.65.14 (161.53.65.14)
Transmission Control Protocol, Src Port: 2655 (2655), Dst Port: http (80), Seq: 1461, Ack: 1, Len: 169
Hypertext Transfer Protocol
POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1\r\n
Request Method: POST
Request URI: /_vti_bin/_vti_aut/fp30reg.dll
Request Version: HTTP/1.1
Host: 161.53.65.14\r\n
Transfer-Encoding: chunked\r\n
Content-Length: 1499\r\n
\r\n
HTTP chunked response
[Malformed Packet: HTTP]
0000 00 10 b5 aa 98 65 00 09 b7 6a c2 ff 08 00 45 80 .....e.. .j....E.
0010 00 d1 ab f6 40 00 75 06 67 e7 d4 21 3a 64 a1 35 [email protected]. g..!:d.5
0020 41 0e 0a 5f 00 50 15 e9 31 32 8f d1 77 32 50 18 A.._.P.. 12..w2P.
0030 fa f0 5b b9 00 00 90 90 90 90 90 90 90 90 90 90 ..[..... ........
0040 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
0050 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
0060 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
0070 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
0080 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
0090 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
00a0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
00b0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
00c0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ........ ........
00d0 90 90 90 90 90 90 90 90 0d 0a 30 0d 0a 0d 0a ........ ..0....
68
Kako se na na napadnutom sustavu za privlačenje i detekciju napadača nalazi Windows XP s Service Pack-om 2, u kojemu se nalazi zakrpa za ranjivost koju je napadač pokušao iskoristiti, napad je bio neuspješan i napadač nije uspio kompromitirati sustav. Vjerojatno se radi o automatiziranom alatu koji pokušava dalje kompromitirati napadnute sustave. Ukoliko bi se radilo o inteligentnom napadaču ovom napadu bi vjerojatno prethodilo ispitivanje terena tj. aktivno ili pasivno skeniranje samog sustava u potrazi za otvorenim ranjivostima. Pokušaj iskorištavanja zakrpane ranjivosti svakako nije djelo inteligentnog napadača.
Do sada opisani napadi nisu bili posebno uspješni što zbog pogrešnog pristupa, što zbog činjenice da su ranjivosti, koje je napadač htio iskoristiti, jednostavno uklonjene.
Zanimljivo je primjetiti da je sustav za privlačenje i detekciju napadača s Linux operacijskim sustavom cijelo vrijeme ostao netaknut. To se djelomično može objasniti činjenicom da sam Linux operacijski sustav daleko manje rasprostranjen u odnosu na Windows operacijski sustav pa postoji i daleko manje napada na njega. Drugi opisani napad, pokušaj iskorištavanja ranjivosti u PHP programskom paketu, bi vjerojatno bio uspješan iz dva razloga: 1. napadač pokušava iskoristiti ranjivost u PHP paketu koji se, doista, nalazi na ovom sustavu za privlačenje i detekciju napadača, 2. naredbe koje napadač izdaje su naredbe iz Linux operacijskog sustava. Stoga bilo bi zanimljivo vidjeti što bi se dogodilo da se istovjetan napad dogodio na sustavu za privlačenje i detekciju napadača s Linux operacijskim sustavom.
69
5. Zaključak
Tehnologija sustava za privlačenje i detekciju napadača je donijela revolucionarni koncept u područje računalne sigurnosti – napadaču staviti na raspolaganje sustav istovjetan produkcijskom i nakon toga vidjeti što će napadač uraditi. Sustav za privlačenje i detekciju napadača nema nikakvu produkcijsku svrhu što donosi određene prednosti u odnosu na druge alate iz područja računalne sigurnosti. No, taj koncept ima i određene mane, a najveća je svakako činjenica da se ostvarenjem sustava za privlačenje i detekciju napadača unutar produkcijskog sustava povećava rizik za cijeli sustav. Loše postavljen sustav za privlačenje i detekciju napadača može biti najslabija karika u sigurnosti čitavog sustava. Stoga svatko tko želi implementirati sustav za privlačenje i detekciju napadača u produkcijskoj okolini mora biti svjestan njegovih ograničenja.
Honeynet kao sustav za privlačenje i detekciju napadača visoke interakcije predstavlja trenutni vrhunac razvoja ove tehnologije i pruža uvid u sve mogućnosti ovog sustava. Središnja komponenta honeynet sustava je honeywall – hibridna tehnologija koja kombinira zadaće nadzora, prikupljanja i upravljanja podacima. Rješenje korišteno u ovome radu je besplatan alat pod imenom Roo kojega je dizajnirala i izdala organizacija The Honeynet Project. Roo je skup alata koji zajednički daju funkcionalnost honeywall-a i njegovim korištenjem je uspostavljen ispitni honeynet koji se sastojao od dva sustava za privlačenje i detekciju napadača (jedan s Microsoft Windows, jedan s Linux operacijskim sustavom) i jednog računala s funkcionalnošću honeywall-a. Implementacija honeynet-a je prošla s manjim problemima (neki su, nažalost, ostali i dalje neriješeni) no sustav je, nakon što je jednom uspješno pokrenut, besprijekorno funkcionirao. U ispitnom razdoblju, koje je trajalo više od 4 mjeseca, sustavi za privlačenje i detekciju napadača su privukli nekoliko napadača koji su izvršili tri različita napada. Na taj način je dobivena određena količina visoko kvalitetnih podataka koji mogu biti iskorišteni kako bi se smanjio rizik za cjelokupni informacijski sustav unutar kojega se nalazio honeynet. Nažalost tijekom ovog testnog razdoblja nije se dogodio niti jedan novi, do sada nepoznati, napad koji bi dodatno pokazao vrijednost tehnologije sustava za privlačenje i detekciju napadača. No, činjenica je da proizvođači, ali i korisnici informacijskih sustava sve više stavljaju naglasak na povećanje sigurnosti informacijskih sustava što značajno otežava posao napadačima, stoga je bilo pretjerano se nadati nekom velikom otkriću.
70
6. Popis literature
[1] The Honeynet Alliance, Know Your Enemy Whitepapers, URL: http://www.honeynet.org/papers/kye.html (28/5/2006)
[2] Hadjina N., Zaštita i sigurnost informacijskih sustava, Zagreb, 2004.
[3] Budin L., Predavanja iz predmeta Operacijski sustavi 2, Fakultet elektrotehnike i računarstva Sveučilišta u Zagrebu, Zagreb 2003.
[4] The Honeynet Alliance, Roo CDROM User's Manual, dostupan na adresi URL: http://www.honeynet.org/tools/cdrom/roo/manual/index.html (28/5/2006)
[5] Wikipedia, the free encyclopedia, razni članci, URL: http://en.wikipedia.org/wiki/Main_Page (5/6/2006)
[6] Schneier, B., Secrets and Lies, John Wiley & Sons, 2000
[7] Rehman, R., Intrusion Detection Systems with Snort, Prentice Hall PTR, 2003.
[8] Spitzner, L., Honeypots: Tracking hackers, Addison Wesley, 2002.
[9] Endorf C., Schultz E., Mellander J., Intrusion Detection & Prevention, McGraw-Hill, 2004.
[10] Chirillo J., Hack Attacks Revealed – A Complete Reference with Custom Security Hacking Toolkit, John Wiley & Sons, 2001.
[11] SANS, Password Policy, http://www.sans.org/resources/policies/Password_Policy.pdf
[12] CACI International Inc, Computer Security Threats Table, URL: http://www.caci.com/business/ia/threats.html (2/7/2006)
I
Dodatak A
U ovom dodatku bit će navedeni materijali koji su vezani uz tekst diplomskog rada, ali iz nekog razloga nisu mogli biti uz tekst s kojim su povezani.
Slika 1: Početni izbornik Dialog Menu-a
Slika 2: Sučelje za administraciju sustava
II
Slika 3: Stranica za analizu podataka (Data Analysis)
Slika 4: Prikaz stranice s tokovima podataka (flows)
III
Slika 5: Detaljan prikaz tokova podataka
Slika 6: Detaljan prikaz jednog toka podataka¸
IV
Slika 7: Detaljniji prikaz toka podataka povezanog s Sebek-om
Slika 8: Detaljniji prikaz tokova podatka povezanih s određenim tokom podataka (Sebek)
V
honeywall.conf honeywall.conf je jedina datoteka za konfiguraciju honeywall sustava i ovdje je dana u trenutnom obliku kako bi se u potpunosti prikazala testna konfiguracija samog sustava. ##################################################################### # # $Id: honeywall.conf,v 1.14 2005/08/17 06:24:23 patrick Exp $ # ############################################# # # Copyright (C) <2005> <The Honeynet Project> # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2 of the License, or (at # your option) any later version. # # This program is distributed in the hope that it will be useful, but # WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU # General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; if not, write to the Free Software # Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 # USA # ############################################# # # This file is the Honeywall import file (aka "honeywall.conf"). # It is a list of VARIABLE=VALUE tuples (including comments as # necessary, # such as this) and whitespace lines. # # note: DO NOT surround values in quotation marks # ##################################################################### ############################ # Site variables that are # # global to all honeywalls # # at a site. # ############################ # Specify the IP address(es) and/or networks that are allowed to connect # to the management interface. Specify any to allow unrestricted access. # [Valid argument: IP address(es) | IP network(s) in CIDR notation | any] HwMANAGER=161.53.65.0/24 193.198.17.121 # Specify the port on which SSHD will listen # [Valid argument: TCP (port 0 - 65535)] HwSSHD_PORT=22 # Specify whether or not to start SSHD at startup. # [Valid argument: yes | no] HwSSHD_STARTUP=yes # Specify whether or not root can login remotely over SSH # [Valid argument: yes | no] HwSSHD_REMOTE_ROOT_LOGIN=no # NTP Time server(s) # [Valid argument: IP address] HwTIME_SVR=zg1.ntp.carnet.hr
VI
############################ # Local variables that are # # specific to each # # honeywall at a site. # ############################ # Specify the system hostname # [Valid argument: string ] HwHOSTNAME=hw # Specify the system DNS domain # [Valid argument: string ] HwDOMAIN=zemris.fer.hr #Start the Honeywall on boot # [Valid argument: yes | no] HwHONEYWALL_RUN=yes # To use a headless system. # [Valid argument: yes | no] HwHEADLESS=no # This Honeywall's public IP address(es) # [Valid argument: IP address | space delimited IP addresses] HwHPOT_PUBLIC_IP=161.53.65.14 161.53.65.15 # DNS servers honeypots are allowed to communicate with # [Valid argument: IP address | space delimited IP addresses] HwDNS_SVRS=161.53.65.11 161.53.65.12 # To restrict DNS access to a specific honeypot or group of honeypots, list # them here, otherwise leave this variable blank # [Valid argument: IP address | space delimited IP addresses | blank] HwDNS_HOST=161.53.65.14 161.53.65.15 # The name of the externally facing network interface # [Valid argument: eth* | br* | ppp*] HwINET_IFACE=eth0 # The name of the internally facing network interface # [Valid argument: eth* | br* | ppp*] HwLAN_IFACE=eth1 # The IP internal connected to the internally facing interface # [Valid argument: IP network in CIDR notation] HwLAN_IP_RANGE=161.53.65.0/24 # The IP broadcast address for internal network # [Valid argument: IP broadcast address] HwLAN_BCAST_ADDRESS=161.53.65.255 # Enable QUEUE support to integrate with Snort-Inline filtering # [Valid argument: yes | no] HwQUEUE=yes # The unit of measure for setting oubtbound connection limits # [Valid argument: second, minute, hour, day, week, month, year] HwSCALE=hour # The number of TCP connections per unit of measure (HwScale) # [Valid argument: integer] HwTCPRATE=50 # The number of UDP connections per unit of measure (HwSCALE) # [Valid argument: integer] HwUDPRATE=50 # The number of ICMP connections per unit of measure (HwSCALE)
VII
# [Valid argument: integer] HwICMPRATE=60 # The number of other IP connections per unit of measure (HwSCALE) # [Valid argument: integer] HwOTHERRATE=30 # Enable the SEBEK collector which delivers keystroke and files # to a remote system even if an attacker replaces daemons such as sshd # [Valid argument: yes | no] HwSEBEK=yes # Enable the Walleye Web interface. #[Valid argument: yes | no] HwWALLEYE=yes # Specify whether whether to drop SEBEK packets or allow them to be sent # outside of the Honeynet. # [Valid argument: ACCEPT | DROP] HwSEBEK_FATE=DROP # Specify the SEBEK destination host IP address # [Valid argument: IP address] HwSEBEK_DST_IP= # Specify the SEBEK destination port # [Valid argument: port] HwSEBEK_DST_PORT= # Enable SEBEK logging in the Honeywall firewall logs # [Valid argument: yes | no] HwSEBEK_LOG=yes # Specify whether the dialog menu is to be started on login to TTY1 # [Valid argument: yes | no ] HwMANAGE_DIALOG=yes # Specify whether management port is to be activated on start or not. # [Valid argument: yes | no ] HwMANAGE_STARTUP=yes # Specy the network interface for remote management. If set to br0, it will # assign MANAGE_IP to the logical bridge interface and allow its use as a # management interface. Set to none to disable the management interface. # [Valid argument: eth* | br* | ppp* | none] HwMANAGE_IFACE=eth2 # IP of management Interface # [Valid argument: IP address] HwMANAGE_IP=161.53.65.37 # Netmask of management Interface # [Valid argument: IP netmask] HwMANAGE_NETMASK=255.255.255.0 # Default Gateway of management Interface # [Valid argument: IP address] HwMANAGE_GATEWAY=161.53.65.1 # DNS Servers of management Interface # [Valid argument: space delimited IP addresses] HwMANAGE_DNS=161.53.65.11 161.53.65.12 # TCP ports allowed into the management interface. If SSH is used this list # must include the port SSHD is listening on. # [Valid argument: space delimited list of TCP ports] HwALLOWED_TCP_IN=22 443
VIII
# Specify whether or not the Honeywall will restrict outbound network # connections to specific destination ports. When bridge mode is utilized, # a management interface is required to restrict outbound network connections. # [Valid argument: yes | no] HwRESTRICT=yes # Specity the TCP destination ports Honeypots can send network traffic to. # [Valid argument: space delimited list of UDP ports] HwALLOWED_TCP_OUT=22 25 43 80 443 # Specity the UDP destination ports Honeypots can send network traffic to. # [Valid argument: space delimited list of UDP ports] HwALLOWED_UDP_OUT=53 123 # Specify whether or not to start swatch and email alerting. # [Valid argument: yes | no] HwALERT=yes # Specify email address to use for email alerting. # [Valid argument: any email address] [email protected] # NIC Module List - Set this to the number and order you wish # to load NIC drivers, such that you get the order you want # for eth0, eth1, eth2, etc. # [Valid argument: list of strings] # # Example: eepro100 8139too HwNICMODLIST= # Blacklist, Whitelist, and Fencelist features. # [Valid argument: string ] HwFWBLACK=/etc/blacklist.txt # [Valid argument: string ] HwFWWHITE=/etc/whitelist.txt # [Valid argument: string ] HwFWFENCE=/etc/fencelist.txt # [Valid argument: yes | no] HwBWLIST_ENABLE=no # [Valid argument: yes | no] HwFENCELIST_ENABLE=no # The following feature allows the roo to allow attackers into the # honeypots but they can't send packets out... # [Valid argument: yes | no] HwROACHMOTEL_ENABLE=no # This capability is not yet implemented in roo. The variable # has been commented out for this reason. dittrich - 02/08/05 # Options for hard drive tuning (if needed). # [Valid argument: string ] # Example: -c 1 -m 16 -d HwHWPARMOPTS= # Should we swap capslock and control keys? HwSWAP_CAPSLOCK_CONTROL=no ########################################################################## # NAT mode is no longer supported. # Don't mess with anything below here unless you know what you're # doing! Don't say we didn't warn you, and don't try logging a bugzilla # request to clean up the mess! ##########################################################################
IX
# Space delimited list of Honeypot ips # NOTE: MUST HAVE SAME NUMBER OF IPS AS PUBLIC_IP VARIABLE. # [Valid argument: IP address] #HwHPOT_PRIV_IP_FOR_NAT= # Specify the IP address of the honeywall's internal (i.e. gateway # IP for NAT) IP address. This is only used in NAT mode. # [Valid argument: IP address ex: 192.168.10.1] #HwPRIV_IP_FOR_NAT= # Specify the IP netmask for interface alises. One aliases will be created # on the external interface for each Honeypot when in NAT mode only. # [Valid argument: IP netmask] #HwALIAS_MASK_FOR_NAT=255.255.255.0 # End of honeywall.conf parameters # # Newly defined variables as of Thu Jun 1 21:15:56 GMT 2006 # [email protected] HwHFLOW_DB=1.1 HwSEBEK_log=yes HwSUMNET=161.53.65.0/24
X
Primjer rezultata upita whois poslužitelju
Adresa: 210.172.87.130
source JPNIC
status ALLOCATED PORTABLE
nic-hdl JNIC1-AP
tech-c YM5609JP
address Chiyoda-ku, Tokyo 101-0047, Japan
country JP
mnt-by MAINT-JPNIC
netname DATASTADIUM
inetnum 210.172.87.128 - 210.172.87.135
phone +81-3-5297-2311
descr DataStadium Co.Ltd
fax-no +81-3-5297-2312
e-mail [email protected]
changed [email protected] 20050310
admin-c YM5609JP
role Japan Network Information Center
