Detecção de Intrusão IBTA Pós!Graduação e" Segurança d# Sistemas Prof. Andr$ Grégio, M.Sc. 27/06/2009
Roteiro Manhã: Projeto Honeynet Honeypots Novas tendências de honeypots
Th# Honeyne% Projec% Veio a público em 1999; Grupo de analistas de segurança interessados em aprender mais sobre criminosos digitais; Como agem os atacantes. Como desenvolver ferramentas para monitorálos de maneira oculta.
Antes das Honeynets Pouca informação sobre os atacantes. Ênfase nas vulnerabilidades e em como os exploits tiravam vantagem destas. Via-se superficialmente o mecanismo do ataque, mas não se levava em conta a motivação do atacante: Ataques direcionados ou não.
Antes das Honeynets Artigo do Aleph One: Smashing the Stack for Fun and Profit. Estudo da vulnerabilidade, não do atacante. Em uma rede comprometida, quem poderia obter este tipo de informação era o administrador: Conhecimento técnico para entender o ataque. Falta de tempo e recursos para analisar, aprender e documentar o ataque.
Conheça seu inimigo! Conheça seu inimigo e conheça a si mesmo, em cem batalhas, nunca correrá perigo. (Su& Tzu ' A Art# da Guerra)
Que entre o Honeypo% Aprendendo sobre ameaças: The Cuckoo s Egg (1989), Cliff Stoll. An Evening with Berferd (2001), Bill Cheswick. Grupo informal (THP): Marty Roesch. Ed Skoudis. Lance Spitzner.... Computador boi de piranha.
2002. Th# Honeyne% Research A(ianc# Suporte da comunidade de segurança. Membros de diversos países: Range variado (universidades à business). Perspectiva global das atividades na Internet. Implementação utilizando diferentes tecnologias.
Ferramentas geradas Snort-Inline -> Bloqueia/desabilita ataques em tempo real. Sebek -> Captura atividades de atacantes (ferramentas reconstruídas do tráfego, keystrokes). rc.firewall (script) -> permite implantação simplificada de gateways honeynet.
Ferramentas geradas Honeynets virtuais avançadas com instalação simples. Interfaces gráficas para ferramentas. Extratores de tráfego IRC. Honeytokens.
Projeto Honeynet.BR Membro da Honeynet Alliance desde 2002. Surgiu como parte das atividades de pesquisa em Segurança de Sistemas de Informação no INPE, em conjunto com o CERT.br. Objetivo de colaborar com o esforço internacional de coleta de inteligência => atividades da comunidade blackhat.
Aliança Nacional de Honeypots Projeto Honeypots Distribuídos: aumentar a capacidade de detecção de incidentes, correlação de eventos e análise de tendências no ciberespaço brasileiro. Rede de honeypots de baixa interatividade cobrindo a maior parte do espaço de endereçamento IP do Brasil; Construção de um sistema de análise de dados para estudo de tendências de ataques e correlacionamentos; Trabalho em conjunto com CSIRTs para disseminar a informação.
Localização de Honeypots http://www.honeypots-alliance.org.br/
Membros da Aliança ANSP, POP-PR Brasil Telecom, CTBC Telecom Embratel Fiocruz CTI, IME, INPE, ITA CERT.br, CERT-RS Ministério da Justiça, TCU UFPA, UFRJ, UFRN, UFSC, UNESP, UNICAMP, UNITAU, USP, Unisinos, PUC-PR, PUC-RJ UOL VIVAX
Ferramentas geradas cmdexe.pl HOACD honeydsum.pl kuang2.pl mydoom.pl Sessionlimit SMaRT
Honeypots A honeypot is an information system resource whose value lies in unauthorizes or illicit use of that resource. (Definição desenvolvida por membros da Honeypot mail list, um fórum composto por mais de 5000 profissionais de segurança.)
Vantagens Coleta de pequenos conjuntos de dados; Redução de falsos positivos Obtenção de falsos negativos Captura de atividade cifrada Flexíveis (várias utilizações) Necessidade de recursos mínimos
Desvantagens Campo de visão limitado Riscos diversos Os aplicativos que fazem o honeypot funcionar podem ser atacados; Realização de ataques a outras redes; Exposição da rede real.
Tipos de honeypots Duas categorias gerais: Honeypots de baixa interatividade Honeypots de alta interatividade Interação: quantidade de atividade que um honeypot permite a um atacante realizar. >interação => +atividades => +conhecimento => >risco!
Honeypots de baixa interatividade Trabalham principalmente através da emulação de sistemas e serviços. Atividades de atacantes são contidas ao que os serviços emulados permitem. Fáceis de instalar e manter. Uma máquina pode representar diversos sistemas operacionais e serviços em diferentes endereços de rede.
Exemplo: Honeyd Desenvolvido por Niels Provos e lançado em 2002: solução free e open source. Windows/Unix. Emula-se serviços e sistemas operacionais de baixa interatividade através da edição de um arquivo de configuração: Determina-se a faixa de IP; Perfil do S.O.; Aplicativos.
Exemplo: honeyd.conf create windowsxp-mydoom set windowsxp-mydoom personality "Microsoft Windows XP Professional SP1" set windowsxp-mydoom uptime 2314219 set windowsxp-mydoom default tcp action reset set windowsxp-mydoom default udp action reset set windowsxp-mydoom default icmp action open set windowsxp-mydoom uid 32767 gid 32767 add windowsxp-mydoom tcp port 1080 "perl scripts/mydoom.pl -l /root/logs-honeypot/mydoom/mydoom.log" add windowsxp-mydoom tcp port 3127 "perl scripts/mydoom.pl -l /root/logs-honeypot/mydoom/mydoom.log" add windowsxp-mydoom tcp port 3128 "perl scripts/mydoom.pl -l /root/logs-honeypot/mydoom/mydoom.log" add windowsxp-mydoom tcp port 10080 "perl scripts/mydoom.pl -l /root/logs-honeypot/mydoom/mydoom.log" bind 192.168.0.1
Honeypots de alta interatividade Provêem sistemas operacionais e aplicações por inteiro para os atacantes interagirem. Não emulam, são S.O. e serviços reais! Capturam informações muito valiosas: Rootkits de atacantes; Malware em geral; Análise de pressionamentos de teclas; Monitoração de comunicações.
Vantagens Como não há emulação, são projetados para capturar: Ataques novos; Atividades desconhecidas; Comportamentos inesperados. Ex.: protocolos IP não padrão usados para canais dissimulados; Ex.: tunelamento de Ipv6 em Ipv4 para esconder comunicações.
Desvantagens Preço a se pagar: Honeypots de alta interatividade podem ser utilizados para comprometer outros hosts. Complexidade para implementar e manter: Ativação de licenças; Uso de endereços de rede; Instalação de serviços; Minimização dos riscos; Mecanismos para captura de informações.
Baixa )s. Alta Facilidade de instalação e manutenção vs. Complexidade e poder computacional. Risco mínimo (serviços emulados controlam o que atacantes podem e não podem fazer) vs. Risco aumentado (sistemas reais para o atacante interagir). Captura limitada de informações, principalmente dados de transações vs. Captura de ferramentas, comunicações e teclas de atacantes.
Uso de Honeypots Prevenção de ataques: Monitoração de espaço IP não utilizado; Torna varreduras lentas através de truques do TCP, como Window size 0 => coloca o atacante em um padrão de espera; Atrapalha a propagação de worms; Confunde (e alarma) atacantes.
Uso de Honeypots Detecção de ataques: Detecção é crítica uma vez que identifica uma falha ou brecha na prevenção e permite reação rápida para diminuir ou evitar o dano. Honeypots tratam de problemas da detecção de intrusão tradicional: Reduz falsos positivos; Captura dados de valor; Captura novos ataques (falsos negativos).
Uso de Honeypots Resposta a ataques: Desafio das organizações (pouca informação) Quem atacou? Como atacou? Quanto dano foi feito? Como meu sistema ficará offline para perícia? Honeypots podem ser retirados rapidamente para uma análise forense completa sem impactar as operações habituais. Provêem muito conhecimento.
Honeypots de Pesquisa Estudo de caso: Eficácia de honeypots no combate a worms em Instituições. Luiz Otávio Duarte, André Ricardo Abed Grégio, Antonio Montes e Adriano Mauro Cansian. Reunião do Grupo de Trabalho de Segurança do Comitê Gestor da Internet no Brasil, São Paulo, julho/2005.
Honeynets Honeynets são nada mais que honeypots de alta interatividade provendo sistemas reais para atacantes interagirem. Arquitetura: Data Control; Data Capture; Data Collection.
Tópicos Atuais Artigo da ;login; Advanced Honeypot-Based Intrusion Detection. Jan Göbel, Jens Hektor and Thorsten Holz. December 2006.