Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri Hosting zadarmo od WebSupport.sk

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Prihlásenie

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Rozhovor so zakladateľom HoneyNet.cz: Význam honeypotov i súčasné IT hrozby

Pozvanie na rozhovor prijal zakladateľ a hlavný administrátor projektu HoneyNet.cz - David Vorel. V rozhovore je veľa informácií o projekte, jeho činnosti a cieľoch, ale aj o IT hrozbách.

Honeypoty jsou jednoduše řečeno systémy určené k lapení útočníka a zaznamenání průběhu jeho útoku...

Mohol by si menej znalým čitateľom v stručnosti objasniť, čo je honeypot?

Honeypoty jsou jednoduše řečeno systémy určené k lapení útočníka a zaznamenání průběhu jeho útoku. Honeypoty se pak na základě jejích použitého vybavení dělí na nativní/nenativní, s nízkou/vysokou mírou dle jejich interakce vůči okolí a výzkumné/produkční dle typu jejich nasazení.

Nativní - Jsou systémy s vysokou interakcí a je využit celý hostitelský OS a aplikace jím přimo podporované. Nativní honeypoty dokážou při správném nasazení odhalit i "0 day" útoky.

Nenativní - Jsou systémy s nízkou nebo omezenou interakcí kde se nepředpokládá kompromitace hostitelského OS. Tento typ se zaměřuje pouze na konkrétní aplikaci.

S vysokou interakcí – jsou to většinou nativní honeypoty založené na reálném systému a OS se standartním programovým vybavením rozšiřeným o aplikační nebo systémové zadní vrátka, která slouží k ukládání aktivit nevítaných návštěvníků. Vzhledem k možnosti, že útočník bude šifrovát síťovou komunikaci po ovládnutí systému, je nutné připravit systém tak, abychom se dostali ke komunikaci před jejím samotným zašifrováním, nebo získali heslo/certifikát použitý pro přenos dat.

S nízkou interakcí – jsou to většinou emulované aplikace nebo služby s omezenou sadou instrukcí určené ke konkrétnímů účelu. Pomáhají identifikovat především známé a automatizované útoky. Po kompromitaci systému logují události pro následnou analýzu.

Produkční – Jsou systémy s nízkou i vysokou interakcí, integrované do prostředí produkčních systémů, ve většíně případech nenativní. Tyto honeypoty jsou většinou zaměřené na konkrétní aplikaci a to výhradně s použitím osvědčených a otestovaných postupů. Nevhodná integrace může ve vysoce citlivých produkčních podmínkách způsobit velké množství problémů, proto je třeba dobře zvážit všechny okolnosti a dopady nasazení. Cílem těchto honeypotů je sledování abnormálních aktivit s konkrétním zaměřením a připadně integrace se systémy detekce či prevence průniku.

Vyzkůmné – jsou většinou nativní a složitější systémy s vysokou interakcí určené převážně k testování nových metod a postupu při tvorbě honeypotů. Tyto systémy je dobré umístit do oddělených segmentů sítě chráněného FW a dálé upevnit zabezpečení třeba použitím L2 bridge, na kterém lze provádět dodatečný monitoring (lze vyžít např. Ourmon http://ourmon.sourceforge.net/) a korigovat provoz z honeypotu (QoS, aktivní FW např. pomocí Snort-inline http://snort-inline.sourceforge.net/). Možné je switche nebo TAPu s nakonfigurovaným "mirror" portem, na kterém lze provádět pasivní monitoring. Tento typ honeypotů používají většinou organizace nebo jednotlivci s velkou dávkou motivace. Cílem je získat nové informace o technikách těch „zlých“ a to do maximální možné hloubky. Při vytváření těchto systému se meze nekladou, pouze je nutné dodržovat určíté morální zásady a samožrejmě neporušovat zákony.

Činnosť projektu

Ako projekt HoneyNet.cz vznikol?

Nápad k založení v ČR vznikl někdy před třemi roky. Popud k založení jsem dostal při zkoumání stále většího množství anomálií (jakožto i hacknutých serverů) na sítích a serverech, které jsem v té době spravoval a kde jsem měl také možnost ve větší míře testovat ruzné HP techniky. Získaných poznatků jsem měl stale víc a víc a chtěl jsem je nějakým způsobem prezentovat. Po ověření dostupnosti domény honeynet.cz bylo rozhodnuto ;]. Dalším krokem byla integrace s Honeynet.org, na to jsme bohužel museli čekat další rok, jelikož v HN.ORG zrovna probíhala úprava interních stanov a celková restrukturalizace.

Kto stál okrem teba pri jeho vzniku, našiel si ľahko spolupracovníkov, ktorí sa pridali?

Hned ze začátku se mi podařilo touto myšlenkou nadchnout Aleše H. Po spuštění webu se ozvalo pár dalších nadšenců, někteří spolupracují dodnes. Kupodivu většina lidí, co se ozvala, nebyla z ČR. Převážně s námi jedinci i společnosti spolupracují formou poskytování prostoru pro sensor, nebo zasíláním logů z honeypotů v jejich správě, případně my zasílame logy a zajímavé události jim. Po pravdě řečeno myšlenka jako taková je zajímavá pro mnoho lidí, ale ne každý ma ve finále čas a potenciál aktivně spolupracovat. Tím chci říct, že schopných lidí není nikdy dost.

Kupodivu většina lidí, co se ozvala, nebyla z ČR.

Spolupracujete aj s antivírusovými spoločnosťami, prípadne s ISP, majú záujem aj firmy vstúpiť do takéhoto projektu?

Co se týká AV, tak ty zájem mají a dle mého názoru si obdobné projekty i sami vyhledávají a navazují s nimi spolupráci. My v současnosti spolupracujeme s "několika" českými AV a cca pěti zahraničními a dle přístupů k balíku nedetekovaných virů na našem webu soudím, že k nám pravidelně chodí i další.
Co se týká ISP a třeba i správců lokálních sítí, tak problém je spíš najít kompetentního a schopného člověka, co se případně sám aktivně zapojí (to platí jak u těch menších/středních, tak u těch větších). Jinak můžu říct, že s kýmkoliv jsem se na toto téma bavil, tak vždy bral myšlenku použití honeypotů velice pozitivně.

Co se týká AV, tak ty zájem mají a dle mého názoru si obdobné projekty i sami vyhledávají a navazují s nimi spolupráci.

Je možné, aby sa zapojili do projektu aj jednotlivci? Čo je pre účasť vo vašom projekte potrebné?

Určitě, jedinci s pozitivním přístupem k věci jsou vítáni. V nejnižší fázi je potřebný opravdu jenom ten pozitivní přístup a vůle chtít se něco dozvědet. V další fází jsou potřebné chuť, čas a prostředky ke spuštění dedikovaného stroje/ů s přístupem na lokální síť nebo internet (Pokuď opravdu víte co dělate, mužete si některý z HP spustit i na vlastním PC. Dbejte ale na to, o jaky typ HP se jedna a jaký může mít vliv na další funkcí OS). Schválně říkám na síť, protože některé honeypoty jsou přímo určené k tomu, umístit je do vnitřních LAN pro odhalení lokálních poměrů. Samozřejmě každá dostupná veřejná IP je vítána a platí čím víc IP tím lip ;]. Pokuď má kdokoliv zájem dozvedět se další informace o možnostech spolupráce, múže nás samožřejmě kontaktovat, třeba emailem na info@honeynet.cz.

Mohol by si čitateľom stručne objasniť ako funguje vaša činnosť?

Tak to je docela záludná otázka, popis by vydal na menší knihu, ale ve stručnosti:

Naše činnosti můžu rozdělit na "produkční", "ve vývoji" a "v testování".

Produkční je už v podstatě ucelené řešení, které jednotně nasazujeme na dalších sensorech. Hlavní moduly se dají rozdělit na:
- Sběr/archivace/analýza win malware prostřednictvím Nepenthes nebo Honeytrap.
- Sběr/archivace/analýza http malware prostřednictvím skriptů z (zjednodušená obdoba PHP HoP)
- Generovaní "blacklistů" www spam botů z nastrčených webových fór a analýza vložených url pomocí Honeyclient, HoneyMonkey nebo Capture-HPC (interakce stále ve vývoji)
- Nasazení honeypotů postavených na Kojoney, které emulují prostředí SSH serveru a umožňují připojení útočníků a automatizovaných skriptů.

Ve vývoji jsou systémy a postupy dlouhodobě vyvíjené některým z členů HN.CZ, to jsou hlavně:
- Systémy pro monitoring botnetů pomocí automatizovaných skriptů.
- ICQpot pro simulování uživatele vůči automatizovaným botům (ano snažíme se učit komunikovat našeho bota s cizím ;]). Dále umí například i navštívít zaslanou url a stahnout zaslaný malware.
- Systémy pro nejrůznější vizualizace výstupů a korelace získaných dat (napr. s posledním návrhém vizualizace botnetů jsme dosáhli velké vlny zájmu z nejrůznějších stran).

V testování jsou veškeré dostupné systémy a postupy vyvíjené některým z členů Honeynet.org, nebo členů z obdobně smýšlejících projektů.

V súčasnosti je hlavnou úlohou projektu zachytávať malware a sumarizovať štatistické údaje, určite sa zaoberáte okrem toho aj ďalšími úlohami, ako analýza. Môžeš nám o analýze malware povedať viac, prípadne aké ďalšie činnosti v súčasnosti vykonávate?

Ono to tak na první pohled asi vypadá, ale toho co děláme je mnohem víc. Ty automatizované výstupy jsou nejvíc vidět, tak to asi svádí k tomu myslet si, že se zabýváme "jenom" sběrem a kolekcí virů a malware. Všechno se snažíme co nejvíc automatizovat, při našem počtu to ani jinak nejde. S analýzou malware je to obdobné, snažíme se využívat všech dostupných prostředků pro automatizovanou analýzu jako například sandboxy pro windows malware, nebo vlastní nástroje pro unix/linux malware. Když je to nezbytné, přijdou na řadu debugery a dissasamblery.
K sandboxům bych ještě mohl dodat, že v současností spolupracujem s jedním partnerem, chystajícím vlastní verzi sandboxu pro windows malware. Také v současnosti testujeme dva druhy sandboxů s možností "lokálního" nasazení. Jeden je založen na Vmware Serveru a API pro perl s možností skriptování obsluhy virtuálních strojů.Druhý je založen na MS Virtual PC a pomocných skriptech.
Další činnosti, jak jsem již zmínil v předchozím dotazu, jsou různé činnosti spojené s monitoringem nebo identifikai botnetů a jiných c&c kanálů určených k nekalým činnostem. Dálé aktivně spolupracujeme s řadou vládních i nevládních organizací v nejrůznějších formách. Dále se mimo jíné snažíme aktivně reportovat hacknuté servery na území ČR/SK a upozorňujeme ISP a lokální správce na útoky z jejich IP rozsahů.

Všechno se snažíme co nejvíc automatizovat, při našem počtu to ani jinak nejde.

Čo sa týka botnet sieti, do akej miery ich skúmate? Snažíte sa do niektorej z týchto sieti aj infiltrovať?

Asi bych začal menším popisem a rozdělením. Botnety jsou všeobecně považovány za pilíře c&c sítí (command & control) a říká se tak společenstvím zombie PC, které jsou připojené do stejného řídícího kanálu. Vetšinou je stále využíváno IRC protokolu, ale objevují se i botnety na bázi sofistikovanějších protokolu, např botnety komunikující čistě pomocí HTTP, nebo botnety postavené na specificky vytvořeném komunikačním protokolu, někdy i za použití šifrování. Základní rozdělení botnetů lze provést dle zaměření na cílový OS (Windows vs Linux/BSD). Do Linuxových botnetů je jednodušší se infiltrovat a bývá tam většinou celkově více dostupných informací. Naopak botnety vytvářené pro Windows obsahují celkově větší počet zombie a jsou od základu upraveny pro další šíření a útoky s větší mírou krytí stop a výstupu na daném serveru i v okolním prostředí.

Z typu botnetu vychází i další možnosti monitoringu, v současné době vyvíjeme vlastního bota (obecně se nazýva drone). Drone je program schopný simulovat chování infikovaného hosta čistě ve vlastním prostředí a to včetně jeho odezev. Při zapojení omezené vyšší interakce lze dosáhnout toho, že drone poběží v botnetu i delší dobu, bez toho aniž by byl detekován. Obdobný již hotový program se nazývá Infiltrator a je možné ho volně stáhnout. Informace získane na cílových serverech skladujeme pro další použití a botnety se v rámci možností snažíme co nejdéle monitorovat, zároveň tyto c&c kanály reportujem ruzným autoritám (Shadowserver, lokálním CERT/CSIRT/CIRT, ISP správcům.. ). Pokuď se ale naskytne možnost, dokážeme také cely botnet odstavit vlastní silou. Většinou tak, že převezmeme roli "pasáčka" a nařídíme zombiem odpojení, nebo zastavíme proces daného programu a tím bota odpojíme. Na toto téma existuje vřelá věřejná debata, zda botnety aktivně čistit, či nikoliv. Osobně jsem zastáncem čištění, ale před tim je nutné botnet nějaky čas monitorovat a zkolektovat co nejvíce možných informací pro odpovídající autority.

Pokuď se ale naskytne možnost, dokážeme také cely botnet odstavit vlastní silou.

Botnety sú v súčasnosti veľmi rozšírené, ako sa podľa teba budú vyvíjať ďalej?

Na té nejnižší úrovní "pasáčků" (tj. script kiddie) se nic moc nezmění, stálé se budou využívat hacknuté servery a uzpůsobené hostingy a společně s použitím C&C postaveném na IRC protokolu se budou dál vesele šířit. Na střední úrovní se budou více využívat ruzné P2P a fast-flux techniky pro krytí původních zdrojů. Ve vyšších ligách se dá očekavat stále větší využití šifrování, maskování spojení za různé jíné komunikační protokoly, připadně stálé zesložiťování C&C umožňující větší maskování. Také čekám větší rozšíření různých výpočetních gridů s využitím distribuovaných výpočtů v rámci vytvářených botnetů.

V čom spočíva analýza http malware?

HTTP malware je v podstatě vše, co se útočníci snaží dostat skrz některou z chyb v aplikacích web serveru. Můžou to být ruzné bind i reverzní shelly, jednoúčelové skripty v perlu, nebo celé rootkity a backdoory koncipované jako instalační balíček, nebo samozřejmě různé pomůcky pro zapojení do botnetů. Tj. analýza je otázkou rozboru nahraných dat a nalezení zajímavých funkcí, připadně jmen C&C kanálů. Nejzajímavější a podezřelý malware pouštíme v kontrolovaném prostředí nějakého z našich nativních honeypotů a monitorujem jeho následné akce.

Môžeš naším čitateľom priblížiť ako prebieha reportovanie hacknutých CZ/SK serverov?

Vetšinou píšeme na dostupný kontakt uvěřejněný na webu, v kopii na registrátora domény, nebo lokálního správce ISP. V emailu uvádíme popis incidentu a připadně i další informace o utočnících. Někdy využíváme i kontaktních telefonů, ale to se leckdy dočkáme i nemilých odezev, proto radějí email. ;] Zkušenosti s českým CSIRTem nemáme žádné, ale v připadě nějaké specifické události bychom se ho nejspíš pokusil také kontaktovat. Český CERT je zatím spíše statutární organ a nevypadá to, že se bude v nejbližší době dále profylovat.

Někdy využíváme i kontaktních telefonů, ale to se leckdy dočkáme i nemilých odezev, proto radějí email.

Keďže ste analyzovali už veľké množstvo malware, boli medzi nimi aj nejaké obzvlášť zaujímavé "kúsky," ktoré "vyčnievali z radu"?

Zajímavé bylo sledovat postupný nárůst krypto virů během minulého roku. A dobrý úlovek byl také HTTP botnet, ve kterém byly přístupy do emailů na doméně army.mil nebo nasa.gov.

A dobrý úlovek byl také HTTP botnet, ve kterém byly přístupy do emailů na doméně army.mil nebo nasa.gov.

Čo plánujete do budúcnosti, aké máte ďalšie ciele?

Tak hlavním plánem je přitáhnout pár nadšenců a vytvořit komunitu s širokým potencionálem a zaměřením na nejrůznější obory činností týkající se IT bezpečnosti. Prostě víc hlav víc ví ;].

Další cíle jsou:
- integrace do plnohodnotného člena Honeynet.org (zátím jsem kapitola v testovací období)
- vytvoření občanského sdružení a tvorba interních stanov (rádi býchom vylepšili naše financování a třeba se pokusili získat nějaky grant z přidělovaných prostředku EU/státu, přece jenom všechno něco stojí o/)
- rozvíjet stávajících techniky a použivané postupy
- lépe se veřejně prezentovat (v současné době pracujeme na spuštění nového webu a zprovoznění nových modulů ve statistikách)
- s lepší prezentací souvisí i pořádání nejrůznějších sezení a workshopů (nejdříve spíše sezení pro určení směru zájmu na následných workshopech)

Ako vyzerá budúcnosť vo využívaní honeypotov a budúcnosť ohľadne ich vývoja?

Myslím si, že bude přibývat specifických honeypotů zaměřených na konkrétní aplikace a jejich prostředí se bude stále více virtualizovat.

Malware - je to hlavně o penězích...

Do popredia sa dostáva 64 bit. architektúra, akým spôsobom to podľa teba ovplyvní malware? Čo sa s jej postupným rozširovaním v oblasti infiltrácií zmení?

Myslím, že z toho pohledu, jakým nahlížíme na malware my, se toho moc nezmění. Malware se bude více segmentovat, ale bude se stále nejvíce zaměřovat na nečastěji používané OS a HW platformy.

Myslíš si, že autorom pôjde do budúcna skôr o biznis plynúci z malware, alebo môžeme očakávať "zákerný" malware?

Je to hlavně o penězích, tj. spíš malware snažící se nepozorovaně udržet mimo pozornost uživatele a to co nejdéle. "Zákeřný" malware je již v čilém vývoji a par let se úspěšně šíří. Dle mého názoru je to spíš o podmínkách na černém trhu, pokuď někdo vyvine nějaky záludný malware a prodá ho vhodným způsobem, dokáže se udržet mimo hledáček AV společností i delší čas.

Nedávno sa rozpútala na viacerých odborných fórach diskusia o tzv. "phantom rootkite", ktorý by teoreticky mohol napadnúť firmware nejakého HW, alebo sa nachádzať na čipe základnej dosky. Nejakým spôsobom by mohol "prežiť" formát disku a nebolo by sa ho možné tak ľahko zbaviť. Toto tvrdenie však nebolo podložené, myslíš si, že niečo podobné existuje? Napríklad existenciu rootkitu Rustock.C dlhú dobu antivírusové spoločnosti popierali.

Osobně si myslím, že s rozvojem architektury PC lze očekávat i obdobné druhy útoků. Není tak dávno co Microsoft vyhrožoval přídavným čipem na MB s možností ověření pravosti software, to se k obdobným útokům při aktuálním směru zájmu přimo vybízí. Možná se oproti tomu dočkáme i sofistikovaných firmware honeypotů.

Ako to vidíš s bezpečnostným softvérom v súčasnosti a s pohľadom na budúcnosť?

S vývojem OS se budou vývíjet i AV produkty a společně s ními i malware, vše se bude postupně zlepšovat. ALL-in-ONE nebo UTM (Unified Threat Management) řešení se budou otevírat integracím s produkty třetích stran. Bude stále více přibývat ruzných NAC řešení, které budou proaktivně reagovat na vzniklé bezpečnostní incidenty v rámcí LAN/WAN/VPN. Bezpečnost je konečně jednou z priorit bezproblémového chodu všech IS a bude tomu tak i v budoucnu.

Aký máš názor na mobilné hrozby? Môžeme v budúcnosti očakávať ich rozšírenie a nebezpečenstvo z toho plynúce? Mal by sa antivírus stať povinnou súčaťou mobilného telefónu?

Použití mobilních zařízení se stále víc podobá klasickému používání PC, tj. v tomto směru bude nutné používat i více prostředku k jejich zabezpečení, stejně jako u běžných PC. Například lze zmínit poslední informace o možném bugu v Java ME u Nokia S40 a obdobných typů (miliony mobilů). Celé je to samozřejmě také o výrobcích, pokuď někdo preferuje určitý OS, měl by znát všechny jeho pro a proti, leckdy tomu tak nebývá. Myslím si tedy, že bez antiviru se v budoucnosti v určitých typech mobilů neobejdem. A kdoví jestli se jim jěště bude říkat mobil. ;]

Myslím si tedy, že bez antiviru se v budoucnosti v určitých typech mobilů neobejdem. A kdoví jestli se jim jěště bude říkat mobil.

Čomu sa venuješ okrem projektu honeynet.cz?

Oficiálně jsem zaměstnanec nejmenované pražské společnosti, ve které působím jako bezpečnostní konzultant. Dále mimopracovně podnikám jako správce/architekt IS nebo IT konzultant. Dále spravuji několik nejrůznějších serverů, čí pomáham se správou sítí nějakým dalším osobám nebo společnostem bez nároků na honorář, či jako protislužbu za využití prostředků dané společnosti pro nasazení některého z HP. Dále se věnuji přitelkyni a našemu psovi. Rád chodim relaxovat do přírody, nejraději do lesů, pomáhá mi to srovnat si myšlenky.

David Vorel

je zamestnancom istej pražskej bezpečnostnej spoločnosti, okrem toho pracuje ako bezpečnostný konzultant. Spolupracoval a v súčastnosti i spolupracuje v oblasti sieťovej bezpečnosti a správy systémov s rôznymi privátnymi, či štátnymi subjektmi. Je zakladateľom a hlavným správcom projektu Honeynet.cz. Tento projekt prevádzkuje celú sieť honeypotov, vyhodnocuje získané dáta, reportuje objavené hrozby a prevádza celý rad výskumnej činnosti.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Spamy.cz PHP Fushion Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info SPYEMERGENCY.com