UNIVERSIDADE FEDERAL DA BAHIA

Transcrição

1 UNIVERSIDADE FEDERAL DA BAHIA INSTITUTO DE MATEMÁTICA DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO Thiago Lima Bomfim de Jesus Honeypot de alta-interatividade para detecção e contenção de botnets: caso UFBA Salvador

2 Thiago Lima Bomfim de Jesus Honeypot de alta-interatividade para detecção e contenção de botnets: caso UFBA Anteprojeto da monografia a ser apresentada ao Curso de graduação em Ciência da Computação, Departamento de Ciência da Computação, Instituto de Matemática, Universidade Federal da Bahia, como requisito parcial para obtenção do grau de Bacharel em Ciência da Computação. Orientador: Prof o Dr o Luciano Porto Barreto Co-Orientador: Jerônimo Aguiar Bezerra Salvador

3 "Prepara-se o cavalo para o dia da batalha, porém do SENHOR vem a vitória." (Bíblia Sagrada - Provérbios 21;31)

4 LISTA DE ABREVIATURAS E SIGLAS C & C Command and Control, p. 12 CERT.Bahia Grupo de Resposta à Incidentes de Segurança da Bahia, p. 7 DDoS Distributed Denial of Service, p. 6 FTP File Transfer Protocol, p. 9 HTTP Hypertext Transfer Protocol, p. 13 IDS Intrusion Detection System, p. 8 IP Internet Protocol, p. 6 IPS Intrusion Prevent System, p. 8 IRC Internet Relay Chat, p. 13 OSI Open Systems Interconnection, p. 12 RNP Rede Nacional de Pesquisa e Ensino, p. 6 UFBA Universidade Federal da Bahia, p. 6

5 SUMÁRIO 1 Objetivos geral 4 2 Objetivos específicos 5 3 Justificativa 6 4 Revisão da literatura Honeypot Honeypot de baixa interatividade Honeypot de alta interatividade Honeynet Bots e Botnets Conceito Formação e comunicação da botnet Metodologia 14 6 Resultados esperados 15 7 Cronograma para conclusão do trabalho 16 Referências Bibliográficas 17

6 4 1 OBJETIVOS GERAL A proposta desse trabalho consiste em implementar honeypots de alta-interatividade na rede da Universidade Federal da Bahia para detecção botnets, realizando uma estudo que viabilize contenção e prevenção desse tipo ameaça, visando gerar resultados para a comunidade de segurança, em particular, o Grupo de Resposta à Incidentes de Segurança da Bahia (CERT.Ba).

7 5 2 OBJETIVOS ESPECÍFICOS Colocar em produção na rede da Universidade Federal da Bahia(UFBA) um sistema de honeypot de alta interatividade para participar da formação de botnets; Análise de artefatos coletados nos honeypots; Estudo das formas de ataques e vulnerabilidades exploradas, para tomada de medidas de contenção das botnets; Publicar relatório do aprendizado, para servir a comunidade de segurança, para execução de medidas preventivas e/ou corretivas (criação de regras em firewall, atualizações de segurança, bloqueio de IPs, etc.); Gerar gráficos, estatísticas e documentação, atuando em parceria com Grupo de Resposta à Incidentes de Segurança da Bahia (CERT.Bahia); Fomentar o interesse na área de segurança da informação, a partir dos resultados obtidos, através de divulgação no sítio do CERT.Bahia;

8 6 3 JUSTIFICATIVA Uma botnet é uma rede de máquinas comprometidas que podem ser controladas remotamente por um atacante. Devido ao seu tamanho (dezenas de milhares de sistemas que podem ser interligados), oferecem grande ameaça para a comunidade (BäCHER et al., 2005). Essa ameaça é das uma grandes preocupações na área da segurança da informação, pois uma vez infectadas essas máquinas, conhecidas também por bots 1, podem oferecer níveis de riscos variados, tais como: captura não autorizada informações, ataques volumosos de negação de serviço (DDoS), repositórios de malwares, armazenamento de conteúdos ilegais, envio de spams e anonimato dos atacantes. Segundo estudo da Panda Security (SECURITY, 2010), 90% dos spams da Internet são enviados a partir de botnets. Esta mostrou a existência de uma das maiores botnets conhecidas da história (conhecida como Mariposa), formada por 12 milhões de endereços IP, e desses 7,75% eram de bots espalhados pelo Brasil. As vítimas eram formadas por usuários domésticos, empresas privadas, agências do governo e universidades em mais de 190 países, e os danos causados são estimados em vários milhões de dólares. Outra ameaça de destaque ficou conhecida como Conficker. Em 2009, o Brasil foi um dos países que continham os maiores números de máquinas infectadas por alguma de suas variantes. Esta fez com que o volume de tráfego na rede aumentasse, levando em alguns casos a indisponibilidade do serviços, além de bloquear o acesso a sites de segurança, impedindo atualizações do sistema ou softwares de anti-vírus. Na rede acadêmica da Rede Nacional de Pesquisa (RNP), nos 2 primeiros meses de 2009, das notificações de incidentes cerca de 70% estavam relacionados ao Conficker(CAIS/RNP, 2009). Na rede da Universidade Federal da Bahia (UFBA), a qual faz parte da rede da RNP, foram registrados centenas de casos diários de infecção. Entretanto, o fator que mais impressiona é saber que as ameaças existem mas, na maioria 1 A palavra "bot"provém de "robot"(robô) e se refere ao fato de que uma máquina comprometida por um desses programas pode ser controlada a distância e receber comandos de terceiros. Os computadores infectados por bots são chamados de zumbis, e as redes formadas por vários zumbis coordenados são chamadas de botnets (redes de robôs).(cais/rnp, 2005)

9 7 das vezes, não é possível mensurar as proporções que elas podem alcançar ou os autores que estão por detrás daquela ação(runald, 2009), sendo apenas tomadas medidas defensivas ou corretivas. A proposta desse trabalho é colaborar com a comunidade de segurança, em particular, com Grupo de Resposta à Incidentes de Segurança da Bahia (CERT.Bahia) através da realização de um estudo de caso na rede da Universidade Federal da Bahia (UFBa), detectando bots e botnets, aprendendo suas ferramentas, táticas e se possível, suas motivações, para que haja uma melhoria no entendimento e nas técnicas de contenção dessas atividades hostis nas redes de computadores.

10 8 4 REVISÃO DA LITERATURA Neste capítulo apresentaremos os principais conceitos relacionados a detecção e estudo de botnets, objetivo principal desse trabalho. Esses possuem relevante importância, pois permitirão obter fundamentação teórica para melhor compreensão dos assuntos que serão futuramente abordados. 4.1 HONEYPOT Com o crescimento e a diversificação dos ataques as redes de computadores conectadas à internet, membros das equipes de segurança têm tido a necessidade adotar ferramentas, além das tradicionais (firewalls 1, anti-vírus, proxies 2, IDS/IPS 3 ), que possam entender e acompanhar esses ataques, o perfil dos atacantes e as ferramentas que esses utilizam. Um dos métodos empregados para monitoração e entendimento são os honeypots. De acordo com Lance Spitzner, membro-fundador do Projeto Honeynet 4, um honeypot é um recurso de segurança, cujo valor reside em serem sondados, atacados ou comprometidos.(spitzner, 2003) Numa rápida e primeira impressão, a definição parece ser o oposto do que se quer alcançar, mas observando com mais atenção, os honeypots apresentam um comportamento diferente das demais ferramentas de segurança, que comumente são voltadas a resolver problemas bastante específicos. Por exemplo, IDS são voltados a detectar ataques, monitorando a rede ou algum sistema; firewalls podem controlar acesso (autorizado ou não) e bloquear alguns serviços: em 1 Combinação de hardware e software que isola a rede interna de uma organização da Internet em geral, permitindo que alguns pacotes passem e bloqueando outros.permite que um administrador de rede controle o acesso entre o mundo externo e os recursos da rede que administra gerenciando o fluxo de tráfego para esses recursos.(kurose; ROSS, 2006) 2 Recurso computacional adicional em um ponto da rede de computadores que age como um intermediário, fazendo as requisições no lugar do cliente. 3 Têm o objetivo de identificar as tentativas de ataque em uma rede ou localmente. Feito a identificação, podese ainda aplicar um IPS para tomar contra medidas relacionadas a determinado ataque, que pode ser de uma notificação por ou até mesmo o bloqueio do IP atacante. 4

11 9 outras palavras, são ferramentas de escopo bastante limitado (não desmerecendo suas importâncias no cenário de segurança da informação). Diferentemente, os honeypots não são destinados a resolver um problema único ou isolado, sendo amplamente flexíveis. Podem ser empregados para impedir ataques (agindo cooperativamente com firewalls), podem ser usados para detectar ataques (funcionalidade dos IDS), conter e analisar ataques automatizados, ainda serem ferramentas de auditoria, capturando conversas e atividades dos atacantes. Observamos que a flexibilidade oferecida, se molda as diferentes necessidade das equipes de segurança,sendo que estas não substituem as demais ferramentas existentes, agindo cooperativamente, cada uma executando seu papel no contexto de segurança. Diante das diferentes formas de aplicação e implementação de honeypots, a escolha dependerá do que esperasse obter, utilizando-se o conceito de nível de interação, que determinará a forma com que o honeypot irá interagir com os atacantes. De acordo com (SPITZNER, 2003), esses são classificados em 2 níveis de interação, que serão abordados nas subseções à seguir HONEYPOT DE BAIXA INTERATIVIDADE Um honeypot de baixa interatividade é um recurso de segurança que simula apenas serviços que não podem ser explorados de forma a obter acesso total ao honeypot, dessa maneira, o atacante fica limitado a interagir apenas com serviços previamente designados. Nesse tipo, não existe um sistema operacional real para o atacante interagir. Por exemplo, o honeypot poderia emular um serviço de FTP 5, onde o atacante poderia obter login anônimo dentro do honeypot, e baixar uma cópia do arquivo do sistema de senha, uma tática usada por muitos atacantes. No entanto, a conta anônima seria o único com acesso, e o arquivo de senhas não teria validade porque seria um arquivo falso plantado no honeypot e usado para iludir o atacante. Nesse e em outros casos, o nível de interação é limitada apenas tentativas de login, acesso anônimo, e a capacidade de baixar o arquivo de senhas falsas. Devido a baixa interatividade, poucas são as funcionalidades oferecidas e as chances de ocorrer erros é bastante reduzida. Com a inexistência de um sistema real para o atacante interagir, o honeypot não pode ser usado como ferramenta de ataque a outros sistemas. Esse tipo de honeypot são fáceis de implantar e manter, porque eles têm capacidades limitadas de interação, o que também reduz os riscos de comprometimento, entretanto as informações que poderiam ser obtidas do atacante é bastante reduzida, tais como, hora e data do ataque, fonte do endereço IP e porta de origem do ataque. 5 É um protocolo da Internet para transferência de arquivos entre computadores.

12 10 Esse modelo de honeypot não é recomendado para estudo comportamento do atacante, e realizar descobertas de novas técnicas que estão sendo empregadas, dado o conjunto preterminado de ações possíveis. É recomendado que esse tipo de honeypot seja utilizado por pessoas ou empresas que não possuem experiência, levando-os a melhor compreensão desse tipo de tecnologia (SPITZNER, 2003) HONEYPOT DE ALTA INTERATIVIDADE Honeypot de alta interatividade é um recurso de segurança que fornece ao atacante acesso a um sistema operacional real, onde nada é emulado ou restrito, fornecendo grande quantidade de informações sobre atacantes, sendo esta a principal diferença entre os honeypots de baixa interatividade. Nesse modelo, as oportunidades de aprendizado são superiores, onde podemos descobrir novas ferramentas, identificar novas vulnerabilidades em sistemas operacionais ou aplicativos, aprender como os invasores, conhecidos também como blackhats 6, e saber como funciona a comunicação entre eles. Por esses motivos, adotamos esse modelo para realização desse trabalho. A criação desse tipo de ambiente faz com que exista poucas diferenças de sistemas reais. Na maioria das vezes, esses não diferem dos sistemas em produção, a diferença está no propósito cujo objetivo está em serem sondados, atacados ou comprometidos. Dado o nível de interação, exite um nível maior de risco, uma vez que os blackhats tendo controle um destes honeypot, podem ter total liberdade de fazer o que quiserem, como por exemplo, atacar outros sistemas ou capturar a atividade de produção. Nessa questão, há certo trabalho de análisar os riscos e projetá-los de forma segura. Geralmente, são colocados dentro de um ambiente controlado, por detrás de um firewall, sendo normalmente aqui, o único controle realizado, trazendo certa complexidade em fazer com que o atacante não perceba que está sendo monitorado. A depender da segurança envolvida, esse tipo honeypot pode ser difícil de manter, e demorado para instalar e configurar, envolvendo um série de outros mecanismos tais como firewall e IDS, que deverão ser bem configurados, visando minimizar os riscos que possam ser oferecidos. Esse modelo é recomendado para pessoas ou organizações que tenham maior experiência na área de segurança, e que desejam apreender sobre o comportamento do atacante e suas ferramentas, descobrindo novas táticas que estão sendo empregadas. 6 Vilão ou bandido, especialmente em um filme em que um personagem usaria um chapéu preto, em contraste com o chapéu branco do herói ou moçinho. Em computação, a expressão é frequentemente utilizada no sentido figurado,referindo-se a um hacker que invade computadores ou redes, ou cria vírus.

13 11 Figura 4.1: Arquitetura da Honeynet (PROJECT, 2006) 4.2 HONEYNET Honeynet é um tipo de honeypot, especificamente de alta interatividade, projetado para capturar grande volume de informações das ameaças. Essse nada mais é do que uma rede que contém um ou mais honeypots(spitzner, 2003). Na honeynet não há nenhum sistema ou serviço da rede de produção, assim, toda e qualquer interação com um honeypot implica atividade maliciosa ou não autorizada. Desta forma, toda tentativa de conexão de entrada é caracteriza por sondagem, scan ou ataque. Semelhantemente, tentativas de conexões de saídas a partir da honeynet implica que algum sistema já foi comprometido. A arquitetura da honeynet faz com que o processo de análise e monitoramento seja simplificado, uma vez que todo tráfego capturado é proveniente de atividade maliciosa, fato que seria muito complexo, se os honeypots estivesse no meio de uma rede de produção. Esta arquitetura define uma rede altamente controlada, que pode controlar e monitorar toda a atividade que acontece dentro dela. Essa pode ser ilustrada como na figura 4.1. Nesse ilustração, temos um dispositivo central chamado honeywall. Este dispositivo é um

14 12 gateway que separa a rede de honeypots, das demais. Qualquer tráfego indo ou partindo do honeypots deve passar pelo honeywall. Tradicionalmente de camada de 2 (modelo OSI), esse deve ser invisível para que haja interação com o honeypots. O honeywall possui 3 interfaces, sendo as interfaces eth0 e eth1 são o que separam os honeypots das demais, e são interfaces do tipo briged, não possuindo IP. A interface eth2 que é opcional, possuindo um IP para permitir administração remota. O processo de criação da honeynet deve atender a três elementos críticos, que estão contidos especificamente no honeywall, que segundo (SPITZNER, 2003) são: Controle de Dados: controla as atividades dos atacantes (blackhat); Captura de Dados: captura todas as atividades que ocorrem dentro da honeynet; Coletor de Dados: faz a agregação de todos os dados capturados em todos os honeypot; O modo de implementar a honeynet é bastante flexível, não havendo uma maneira específico de implementá-lo, entretanto, é fundamental que ele cumpra os requisitos que estão relacionados as dados dos honeypots. 4.3 BOTS E BOTNETS CONCEITO A cada ano, novos métodos de ataques surgem comprometendo sistemas computacionais. Uma dessas técnicas utilizam bots. Um bot (conhecido como zumbi ou robô) são pequenos programas que fornecem mecanismos de controle remoto para comandar as máquinas infectadas. Através de comandos remotos, o atacante poderá ter controle total sobre o computador da vítima, sendo esta técnica utilizada para formar a redes de máquinas comprometidas (botnets), sob a infra-estrutura de Comando e Controle (C & C) 7. Por intermédio de uma botnet, atacantes podem controlar milhares máquinas (mostrado em (PANDALABS, 2009)) simultaneamente, potencializando a capacidade do ataque FORMAÇÃO E COMUNICAÇÃO DA BOTNET A estrutura de comunicação das botnets, em termos de arquitetura é bastante simples, sendo composto basicamente pelas máquinas compromentidas (bots), servidor de comunicação central 7 do inglês, Command and Control(C & C)

15 13 Figura 4.2: Estrutura de comunicação das botnets (PROVOS; HOLZ, 2007) (C & C), vítima, e o próprio atacante. Para formar essa estrutura, o controlador da botnet (atacante) compromete vários sistemas, executando diferentes tipos de ataque. Em seguida ele instala um bot para permitir o controle remoto do computador, e utiliza comumente o IRC 8 ou HTTP como protocolos para comunicação entre os bots. Esses se conectam ao servidor central e se associam a um canal específico (no caso do IRC), por meio do qual o atacante poderá emitir comandos. Esses comandos são enviados através do servidor C & C para os bots, que em seguida, executam os comandos. O cenário da figura 4.2 ilustra essa estrutura, podendo por exemplo, um atacante instruir os bots para atacar um determinado servidor, enviando muitos pacotes, levando a indisponibilidade deste, ataque conhecido como DDoS. 8 Internet Relay Chat

16 14 5 METODOLOGIA Preparar, instalar e configurar o sistema de honeypot de alta-interatividade para participar da formação de botnets, na rede da UFBA; Gerar espelhos dos discos das máquinas dos honeypot, para reparos em causa de danos físicos ou comprometimento; Desenvolver scripts para coleta artefatos e tratamento de logs do sistema de honeypot; Gerar gráficos, estatísticas e documentação das vulnerabilidades detectadas; Disponibilizar o projeto do sistema de honeypots, documentação e resultados para uso CERT.Ba;

17 15 6 RESULTADOS ESPERADOS Ao final deste trabalho, espera-se ter implantados honeypots de alta-interatividade para detecção e contenção de botnets, gerando documentação sobre o aprendizado das ferramentas, táticas e motivações dessas atividades hostis. Espera-se também, como os dados e aprendizados obtidos, colaborar e fortalecer a comunidade de segurança, em particular com o CERT.Ba.

18 16 7 CRONOGRAMA PARA CONCLUSÃO DO TRABALHO Jul Ago Set Out Nov Dez Implantação dos honeypots de alta-interatividade x Coleta de dados sobre os bots e botnets x x x x x Desenvolvimento de scripts para tratamentos dos dados coletados x Geração de gráficos e estatísticas sobre atuação das botnets x x x Escrita da monografia x x x x x Leitura e revisão da monografia x

19 17 REFERÊNCIAS BIBLIOGRÁFICAS BäCHER, P. et al. Know your Enemy:Tracking Botnets - Using honeynets to learn more about Bots. [S.l.], CAIS/RNP. O perigo das botnets. Rede Nacional de Ensino e Pesquisa, Disponível em: < Acesso em: 04 de julho CAIS/RNP. Alerta do CAIS O worm Conficker e o dia 1 o de abril Disponível em: < Acesso em: 04 de julho KUROSE, J.; ROSS, K. W. Redes de Computadores e a Internet. [S.l.]: Pearson Addison Wesley, PANDALABS. Seis porcento dos computadores analisados pela Panda Security infectados pelo worm Conficker. Panda Security Portugal, Disponível em: < Acesso em: 04 de julho PROJECT, H. Know Your Enemy: Honeynets) Disponível em: < Acesso em: 06 de julho PROVOS, N.; HOLZ, T. Virtual Honeypots: From Botnet Tracking to Intrusion Detection. 1st. ed. [S.l.]: Addison-Wesley, ISBN RUNALD, P. News from the Lab Disponível em: < Acesso em: 04 de julho SECURITY, P. Quarterly Report PandaLabs (January-March 2010) Disponível em: < Acesso em: 04 de julho SPITZNER, L. Honeypots: Tracking Hackers. 1st. ed. [S.l.]: Addison-Wesley, ISBN