Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Honeypot – pasca na útočníkov 2. časť

V pokračovaní nadviažeme na predchádzajúcu časť a pozrieme sa na problematiku honeynetov a projektov, ktoré zdieľajú isté výstupy verejne a zároveň sú ľahko dostupné online. Tiež sa zmienime o projekte nášho honeynetu, ktorý plánujeme spustiť v blízkej dobe.

Honeynety

Honeynetom rozumieme zvyčajne sieť honeypotov, najčastejšie ide o typy s vysokou mierou interakcie avšak pokojne môže ísť i o nízkointeraktívne honeypoty, ktoré sú zabezpečené honeywallom (špeciálnym firewallom) a slúžia na analýzu počínania útočníkov v oveľa vyššej miere ako by to dokázal samostatný honeypot.

Ich silnou stránkou je teda možnosť zbierania obrovského množstva dát. Honeynet môže taktiež poskytnúť pre útočníka oveľa rozmanitejšie prostredie ako by poskytli samostatne jednotlivé honeypoty. Tieto siete honeypotov sú zvyčajne prevádzkované v akademickom prostredí, prípadne v rámci výskumných inštitúcií, čo je i celkom logické, keďže v drvivej väčšine prípadov neposkytujú žiadnu, alebo len minimálnu produkčnú hodnotu.

V poslednej dobe sú však honeynety obľúbené i u bezpečnostných tímov (CERT/CSIRT) jednotlivých krajín, prípadne u rôznych organizácií, ktoré zabezpečujú bezpečnostné povedomie pre väčšie spoločenstvá a koordinujú jednotlivé tímy napr. ENISA. Honeynety sú však prevádzkované, i keď v oveľa menšej miere, i privátnymi prípadne komerčnými organizáciami, alebo neziskovými združeniami. Zaujímavé je, že jednotliví prevádzkovatelia týchto sieti medzi sebou často nespolupracujú a získané dáta spravidla veľmi často nie sú verejné, prípadne sú zverejňované len štatistické údaje vo veľmi úzkom rozsahu. Tieto organizácie tak chránia dáta, ktoré neľahkým spôsobom získajú pred prípadným zneužitím (napr. zo strany útočníkov, alebo konkurenčných tímov, ak ide o komerčné aktivity), prípadne im to ich zverejnenie vo vyššej miere nedovoľuje legislatíva, či použitie komerčnej implementácie. Tieto informácie tak ostávajú plne dostupné len pre úzky okruh internej komunity. Niektoré výstupy sú však často zdrojom pre vedecké práce, či publikácie a samozrejme pre bezpečnostné spoločnosti skúmajúce nové trendy v oblasti IT hrozieb. Svoje informácie zbierajú rovnako najčastejšie výhradne pre svoje použitie i vyššie spomínané štátne a medzinárodné inštitúcie.

Komponenty honeynetu

Základnou časťou každého honeynetu je honeywall - špecializovaný firewall, ktorý filtruje prevádzku v oboch smeroch k honeypotom. Zvyčajne používa špecifický IPS modul, ktorý dokáže útoky identifikovať no neblokovať ich. Najčastejšie ich len obmedzí napr. - určitý počet paketov za istý časový úsek, alebo čiastočne modifikuje pakety, dotýkajúce sa útoku. Ďalšou dôležitou časťou, niekedy sa priamo prekrývajúcou i s činnosťou honeywallu je kontrola dát - Data control. Jej úlohou je udržať útočnícke aktivity v rámci vymedzeného priestoru a v prípade zlyhania opatrení na to určených ukončiť všetky aktivity, ktoré by mohli ohroziť cieľový systém. Následne je potrebné zaznamenávať aktivitu útočníka na honeypote - Data capture. Jedná sa napr. o záznam stlačených kláves, či sieťové spojenia. Na túto časť logicky nadväzuje modul, ktorý získané dáta analyzuje a spracuje podľa požiadaviek prevádzkovateľa - data analysis. V konečnom dôsledku je potrebné získané výsledky a nahromadené dáta i uchovať, najčastejšie sa tak deje centrálne a dáta zo všetkých senzorov putujú do jedenej databázy. Nad ňou možno následne vykonávať ďalšie analýzy.

Generácie honeynetov

Honeynety sa formovali postupne v určitých generáciách. Ich históriu začal písať zakladateľ projektu The Honeynet Project - Lance Spitzner. Definoval honeynet prvej generácie s vysokou slobodou pre útočníka, na rozdiel od klasických nízkointeraktívnych honeypotov. Tento honeynet pozostával z honeypotu (počítača) s plnohodnotným operačným systémom a z firewallu.

Pri prvej generácií honeypotov sa ako brána zaisťujúca prístup a výstup z honeynetu a zároveň i limity pre sieťovú prevádzku používal firewall pracujúci na sieťovej vrstve ISO/OSI modelu. Tento firewall zvyčajne bežal na Iptables. Pri druhej generácií honeynetov získal firewall výstižnejšie pomenovanie - honeywall. Hlavným rozdielom oproti prvej generácií je beh na linkovej vrstve ISO/OSI modelu, a teda správanie sa ako bridge (most). Tým sa stáva pre útočníka prakticky neviditeľným. Pre manažment poskytuje osobité rozhranie so špecifickou IP adresou, kde môže byť striktne definovaná IP adresa pre správu a tiež povolené len určité porty. Tretia a zároveň na teraz posledná generácia honeynetov, využíva aj naďalej metódu bridga, avšak získané dáta vzťahujúce sa k útočníkovi dokáže identifikovať na základe ich vzájomných vzťahov. Všetko je tak prehľadne spracovávané a logované do databázy. Zlepšil sa i interný spôsob monitoringu útočníka a možnosti spracovania výstupu, napr. prostredníctvom webového rozhrania.


obrazok
Model honeypotu tretej generácie

V súčasnosti sú však metódy monitoringu používané v honeynetoch tretej generácie útočníkom pomerne často známe. Keďže vývoj monitorovacích implementácií sa väčšinou zastavil je potrebné hľadať ďalšie možnosti. Tie spočívajú v implementácií riešení tretích strán a tiež smerujú stále viac k virtualizácii a emulácií. Súčasným trendom teda je, že honeynety dneška nemožno považovať v pravom slova zmysle za honeynety tretej generácie. Záleží však ako sa na danú problematiku nahliadame. Honeynet v ponímaní honeywallu a jedného, či niekoľkých honeypotov sa vzťahuje na definíciu tretej generácie z väčšej miery. Avšak ako monitorovacie nástroje sú často použité techniky sandboxov, či emulácie, čo už presne do tretej generácie nezapadá. Honeynet môže dnes pozostávať i z nízkointeraktívnych honeypotov. V tomto prípade nemožno vôbec hovoriť o generáciách, takáto sieť si de facto prepožičiava len názov. Najčastejšie nestojí za centrálnym prvkom - honeywallom. Jednotlivé senzory sú umiestnené v rôznych lokalitách a spája ich len centrálny databázový bod, ktorý sumarizuje a vyhodnocuje zachytené dáta. Navyše útočníkovi nie je poskytnutý celý systém daného senzoru.

Projekty využívajúce honeypoty

V súčasnosti existuje niekoľko projektov, ktoré zdieľajú isté výstupy verejne.

projects.webappsec.org

Ide o zoskupenie ľudí so záujmom o IT bezpečnosť. Hlavným zámerom je vystopovať šíriteľov spamu. Združenie zastrešuje niekoľko projektov zaoberajúcich sa hlavne webovou bezpečnosťou. K dispozícií sú analýzy, články, či štatistiky vo forme tabuliek a grafov.

ShadowServer

Bezpečnostná komunita zaoberajúca s a najmä mapovaním, či stopovaním botov a botnetov. Za cieľ si dáva pomôcť relevantným organizáciám ako ISP, poskytovateľom DNS služieb a pod. Vydáva články a podieľa sa rôznych konferenciách. Produkuje tiež štatistiky a grafické výstupy, ktoré sú veľmi podrobné. Zamerané sú na rôzne oblasti malware, botnety, zero-day hrozby, či DDoS útoky.

TEAM CYMRU Darknet

Je v pozícií akoby nezávislého CSIRT/CERT tímu. Ponúka profesionálne služby pre bezpečnostné inštitúcie, od analýz botnetov cez správu BGP, DNS až po analýzy malware a pod. Darknet je vlastne veľký honeynet, umelo routovaná sieť, kde sú spustené fiktívne služby. Poskytuje obrovské možnosti pre analýzu možných útokov.

Project Honey Pot

Plne sa venuje spamerom. Väčšina služieb je dostupná len pre registrovaných účastníkov. Zapojiť sa do projektu je možné inštaláciou špecifického honeypotu. Získané dáta, ako IP adresy spambotov sú následne poskytované výrobcom ati-spamových riešení.

DenyHOSTS

Cieľom je budovanie blacklistov pre SSH servery. Projekt vychádza z logov neúspešných pripojení. Na stránkach sú prezentované štatistiky a grafy poukazujúce na aktivitu jednotlivých útočníkov. Pre užívateľov a administrátorov je to najjednoduchšia forma tvorby blacklistov pre SSH servery.

DShield

Pointa spočíva v zasielaní logov firewallov do centrálnej databázy. Ak teda niektorý z členov identifikuje útok, projekt ho pridá do centrálnej databázy. Na základe tejto databázy vznikajú blacklisty útočníckych IP adries. Následne si takéto blacklisty môžu stiahnuť ostatní členovia. Na stránkach sú k dispozícií tiež štatistické informácie až do hĺbky pre jednotlivé krajiny a grafické znázornenie.

The Honeynet project

Je najznámejšia medzinárodná, nezisková a dá sa povedať, že i najerudovanejšia organizácia v oblasti honeypotov a honeynetov. Bola založená v roku 1999 a funguje ako neformálny koordinátor všetkých známejších honeynet projektov. Vyvíja mnoho nástrojov a zastrešuje mnoho projektov v tejto oblasti. Z jej dielne vyšlo mnoho doteraz hojne používaných, úspešných open-source nástro-ov. Je zárukou istého know-how v danej problematike.

HoneyMap

Slúži na sledovanie útokov v reálnom čase na globálnej mape. Zbiera informácie od honeypotov zapojených do hpfeeds. Projekt sa momentálne nachádza vo fáze beta verzie, preto možno ešte očakávať rôzne zlepšenia.

MalwareZ

MalwareZ je nový projekt vizualizácie útokov v reálnom čase. Pokrýva v podstate celú planétu. V súčasnosti sa nachádza v štádiu alfa verzie, no i tak sa ho rozhodne oplatí navštíviť. Dáta o útokoch sú zbierané so siete spájajúcej senzory honeypotov založených na riešení Dionaea. Zobrazované sú IP adresy útočníkov, porty a ich aktivita, to všetko na prehľadnej mapke. Na projekte sa ďalej aktívne pracuje, a tak sa čoskoro snáď dočkáme nových funkcií.


obrazok

Projekt honeynetu SecIT.sk

V blízkej dobe spustíme projekt, ktorý bude mať za cieľ sledovať aktuálne sa šíriace hrozby a analyzovať získané výsledky. Pôjde o náš honeynet, ktorý bude spracovávať dáta získané zo senzorov rozmiestnených na rôznych miestach v rámci internetu. Projekt sa bude rozbiehať postupne a zo začiatku budeme spracovávať výhradne dáta získané nízkointeraktívnymi honeypotmi. Postupne by sme radi pridali i analýzu dát získavaných vysokointeraktívnymi honeypotmi. Okrem spracúvania štatistických informácií o aktuálne sa šíriacich hrozbách plánujeme prevádzať i čiastočný výskum útokov a vzoriek, ktoré zatiaľ nie sú rozpoznané žiadnymi antivírusovými programami resp. neexistujú pre ne patričné signatúry napr. v rámci IPS nástrojov. Keďže sme žiaľ obmedzení časovo, no najmä finančne a projekt je úplne neziskový, realizovaný hlavne pre akademické prostredie, rozvoj bude napredovať pomalšie a postupne. Všetky verejné informácie a výstupy budeme už onedlho publikovať na stránke honeynet.secit.sk. V prípade, že by ste mali záujem poskytnúť priestor pre senzor - nízkointeraktívny honeypot vo vašej sieti, (napr. firma, škola, ale za istých okolností i domáce pripojenie), ozvite sa nám prosím na e-mail honeynet(at)secit(dot)sk. Prevádzka takéhoto honeypotu má veľmi nízke požiadavky na výkon a nepredstavuje najčastejšie žiadne nové finančné náklady ani žiadne iné riziká. Systém sa dá prispôsobiť presne na podmienky, ktoré je možné z vašej strany poskytnúť. Ozvite sa i v prípade, že by ste mali záujem o spoluprácu akýmkoľvek iným spôsobom.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info