IDS. Honeypots, honeynets e honeytokens.

Transcrição

1 Honeypots, honeynets e honeytokens

2 Motivação O meu comandante costumava dizer que para se defender do inimigo primeiro é preciso conhecer o inimigo, ou seja, conhecer seus métodos de ataque, suas ferramentas, táticas e objetivos. Essa doutrina militar se aplica facilmente à segurança de rede, assim como foi aplicada ao exército. A comunidade blackhat é o adversário. Nós precisamos nos defender dessa ameaça. Entretanto, para ter sucesso, primeiro temos de conhecer o nosso inimigo. LANCE SPITZNER Know Your Enemy - Revealing The Security Tools, Tactics And Motives Of The Blackhat Community

3 Histórico Clifford Stoll The Cuckoo's Egg LBL - Lawrence Berkeley Laboratory Monitoração das atividades do invasor Bill Cheswick / Steven M. Bellovin Gateway preparado para ser comprometido Bell Labs AT&T Aplicações Falsas (FTP, Telnet, SMTP, Finger,...) Fred Cohen Ferramenta Deception Toolkit (DTK) Emular diversas vulnerabilidades Honeynet Project Grupo de pesquisadores e profissionais da área de segurança Revelar ferramentas, táticas e motivações dos invasores

4 Definições Honeypot: recurso de segurança criado para ser sondado, atacado e comprometido Um sistema conectado a uma rede de produção pode ser uma máquina real ou uma máquina ou um conjunto de serviços emulados Honeynet: rede de sistemas e aplicativos múltiplos, projetada para ser comprometida e observada Rede altamente controlada Todo o tráfego é monitorado, capturado e analisado Honeytoken: informação projetada para ser comprometida e observada Pode ser um falso endereço de , um falso número de cartão de crédito, um falso arquivo, uma falsa entrada em uma base de dados, etc

5 Definições Objetivos: Prevenção Detecção Resposta Funcionalidades: Identificação de varreduras e ataques Acompanhamento de vulnerabilidades Descobrir as motivações dos atacantes Auxílio aos Sistemas de Detecção de Intrusão Coleta de códigos maliciosos Manter atacantes afastados de sistemas importantes

6 Definições Vantagens: Fluxo de informações para análise é pequeno comparado com a uma rede de produção e conhecidamente malicioso Permite minimizar os falso positivos gerados pelos IDSs Capaz de lidar com conteúdo cifrado Descoberta de novas ferramentas, táticas, comportamentos e motivos Desvantagens: Visão limitada do tráfego de rede Risco de ser invadido e utilizado para atacar outros sistemas Ausência de tráfego implica em gastos sem retorno, já que nada foi monitorado Possibilidade de identificação por parte do atacante

7 Definições Níveis de interatividade: Número e tipo de funcionalidades que o honeypot provê maior interação maior aprendizado maior interação maior complexidade e risco Honeypots de baixa interatividade: Serviços emulados Sem o acesso a um sistema operacional informações limitadas: interação com serviços Honeypots de alta interatividade: Sistemas operacionais e serviços reais Risco de uso do sistema fonte de informações completa: interação com o sistema

8 Definições Baixa Interatividade Emulam sistemas e serviços Simples. Fácil gerenciamento Atacante não tem controle Ações limitadas, captura de tráfego Difíceis de iludir atacantes avançados/determinados Alta Interatividade Executam as versões reais Cuidados na instalação e configuração Controle total Captura de mais informações, incluindo ferramentas e comandos Difícil de distinguir de um sistema de produção

9 Definições Tipos: Honeypot de produção: servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta em uma rede (sensor) normalmente de baixa interatividade Honeypot de pesquisa: servem para monitorar e estudar o comportamento dos atacantes normalmente de alta interatividade

10 Honeypots BackOfficer Friendly SPECTER Honeyd ManTrap (Decoy Server) Honeynets Baixa interatividade Alta interatividade

11 Honeypots BackOfficer Friendly

12 Honeypots SPECTER

13 Honeypots Honeyd create default set default personality "FreeBSD STABLE" set default default action open add default tcp port 80 "sh /usr/local/honeyd/scripts/web.sh" add default tcp port 22 "sh /usr/local/honeyd/scripts/test.sh" add default tcp port 113 reset add default tcp port 1 reset create windows set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default action reset add windows tcp port 80 "sh /usr/local/honeyd/scripts/web.sh" add windows tcp port 25 block add windows tcp port 23 proxy real-server.trackinghackers.com:23 add windows tcp port 22 proxy $ipsrc:22 set template uptime bind windows

14 Honeypots ManTrap (Decoy Server)

15 Honeypots Honeynets

16 Honeynets Honeynets Objetivo: Conhecer o inimigo, suas ferramentas, suas táticas e suas motivações Coletar dados e analisar ferramentas para aperfeiçoamento de sistemas de detecção de intrusão Controle das ações intrusivas Componentes: Componentes alvos: honeypots Componentes de interconexão e contenção de fluxo Componentes de captura, armazenamento e análise

17 Honeynets Honeynets Honeynet Clássica Uso de sistemas reais Honeynet Virtual Uso de máquinas virtuais

18 Honeynets Organização voluntária formada por profissionais de segurança Utilizam honeynets para pesquisa de ameaças cibernéticas Início em 1999 com listas de , evoluindo em junho de 2000 para nome atual

19 Honeynets Honeynet Research Alliance Fórum de organizações ao redor do mundo que compartilham suas pesquisas sobre as tecnologias da Honeynet, criado em Norwegian Honeynet UK Honeynet French Honeynet Project Italian Honeynet ProjectSouth Florida Honeynet Project Georia Technical Institute Azusa Pacific University Paladion Networks Honeynet Project (India) Internet Systematics Lab Honeynet Project (Grécia) Mexico Honeynet (México) Honeynet.BR (Brasil) Irish Honeynet

20 Honeynets Honeynet.BR Mantida por especialistas do INPE e do NBSO Fase de projeto em dezembro de 2001 entrando em operação em março de 2002 Junho de 2002: o projeto Honeynet.BR foi adicionado à Honeynet Research Alliance

21 Honeynets Brazilian Honeypots Alliance Objetivo: aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques na Internet brasileira

22 Honeynets Brazilian Honeypots Alliance Ações: Implantar uma rede distribuída de honeypots de baixa interatividade (Honeyd) Cobrir a maior parte do espaço de endereços IP da Internet no Brasil Montar um sistema de análise de dados que permita o estudo de correlações e tendências de ataques Atuar conjuntamente com Grupos de Resposta a Incidentes de Segurança de Computadores (CSIRTs) na difusão destas informações

23 Honeynets Brazilian Honeypots Alliance

24 Honeynets Brazilian Honeypots Alliance

25 Honeynets Brazilian Honeypots Alliance

26 Honeynets Brazilian Honeypots Alliance

27 Honeynets Brazilian Honeypots Alliance

28 Honeynets Brazilian Honeypots Alliance

29 Honeynets Brazilian Honeypots Alliance

30 Honeynets Brazilian Honeypots Alliance

31 Honeynets Brazilian Honeypots Alliance

32 Honeynets Brazilian Honeypots Alliance

33 Honeytokens Honeytokens Objetivo: Detectar acessos não-autorizados Ex: Inserção do número de cartão de crédito em uma base de dados, servidor de arquivos ou outro tipo de repositório Assinatura do Snort para detectar o acesso ao honeytoken: alert ip any any -> any any (msg:"acesso ao Honeytoken Atividade Não Autorizada"; content:" ";)

34 Referências An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied, by Bill Cheswick, 1991 The Cuckoo's Egg, by Clifford Stoll, Honeynet Research Alliance, a community of organizations actively researching, developing and deploying Honeynets and sharing the lessons learned. Hackers caught in security 'honeypot', By Keith Johnson, The Wall Street Journal Online, December 18, Fighting the new electronic war, By Robert Lemos, CNET News.com, May 1, Know Your Enemy: Honeynets, by Honeynet Project, April 23, To Trap A Thief, by Mathew Schwartz, April 02, 2001.