Honeypotok & Honeynetek Dr. Dr Unicsovics György e-mail:
[email protected]
HTE elĘadás, Budapest
2008. 2008. november 3.
Áttekintés:: Áttekintés - Mi is az a Honeypot és a Honeynet? - Kereskedelmi K k d l i forgalomban f l b elérhetĘ lé h Ę alkalmazások. lk l á k - Honeypotok és az igazságügyi vizsgálatok. - Honeypotok detektálása detektálása.. - A jövĘ.
Mi a Honeypots? A honeypot egy IT eszköz, eszköz melynek elsĘdleges értéke a törvény és más felhasználói jogok által nem engedélyezett rendszerhozzáférések f megakadályozásában g y található . - Nincs produktív értéke értéke;; minden ami ki /be érkezika honeypotba yp az egy gy p próba és a támadások kiszĦrésére, kompromittálására szolgál; szolgál; - Támadások monitorozására, detektálására és elemzésére használatos; használatos; - Nem old meg speciális problémákat, flexibilis eszköz, amely együttmĦködik különbözĘ biztonsági alkalmazásokkal.. alkalmazásokkal
Miért Honeypots? Mert ez egy nagyszerĦ eszköz az IT biztonsági szakemberek és magának az IT világ számára. számára.
Honeypots:: Honeypots - Beépített anti anti--virus aláírások aláírások.. - Beépített SPAM aláírások és filterek filterek.. - ISP ISP--ka kompromittálódott megállapítására megállapítására.. - KellĘ segítség az igazságügyi szakértĘk részére részére.. - Botnetek vadászata vadászata.. - Malware gyĦjtés és elemzés elemzés..
A probléma! Az Internet és az IT hálózatokbiztonsága g komplex p és bonyolult kérdés - Naponta új támadási formák; - Az IT hálózatok statikus célpontot jelentenek; -Mit tehetünk?
Minél jobban megismerjük ellenségeinket, ellenségeinket annál jobban építhetjük ki védelmi rendszerünket!!! - Hamis célpontok alkalmazása alkalmazása? ?
A Honeypotok osztályozása osztályozása:: Interakció szintje j alapján: alapján pj : - Magas Magas;; - Alacsony Alacsony;; - Közepes Kö ? Megvalósítás g alapján alapján: pj : - Virtuális; Virtuális; - fizikai fizikai;; Célok alapján alapján:: - Termék Termék;; - Forrás Forrás..
Kereskedelmi forgalomban hozzáférhetĘ Honeypotok:: Honeypotok Alacsony interakció BackOfficer DTK HOACD Honeynets
Magas interakció
Mi a Honeynet? Magas interakciójú Honeypot oneypot:: - Mélységi információk gyĦjtésére szolgál szolgál;; - figyeli, ki mikor és hogyan akar a rendszer felhasználójává válni a rendszergazdák engedélye nélkül. nélkül.
- Ez E architektúra!!! hit ktú !!! - nem egy termék vagy egy szoftver. szoftver.
- ÉlĘ rendszerre települ települ;; - Kinézhet, úgy mint egy aktuális termék. termék.
Mi a különbség a Honeypot és a között Honeynet? • Honeypot Honeypoto o sérülékenységek felderítésére. felderítésére. - EgyszerĦ E Ħ konfigurácó, k fi á ó speciális iáli szoftverrel, ft l vagy emulációval emulációval; lá ió l; - ki, mikor és hogyan támadja a rendszerünket; rendszerünket; •Honeynet o a hálózat megnyitása támadások indikálása céljából - Rendszer szoftverrel együtt, alapértelmezésben telepítve telepítve;; - TĦzfal mögött mögött;; - Jobb J bb ha h a honeynet h t megy tönkre, tö k mint i t az élĘ rendszer rendszer. d .
Hogy mĦködik? • Szigorúan ellenĘrzött hálózat, ahol gy csomag g függetlenĦl gg annak minden egyes irányától, vizsgálatra kerül; kerül; – EllenĘrzés EllenĘrzés;; – Elfogás Elfogás;; – Elemzés Elemzés;;
• Minden csomag amely érinti a Honeynetet Honeynetet, természeténél fogva gyanusnak tekintendĘ tekintendĘ;;
Honeynet y diagramm g
Honeynet y diagramm g
Honeypot yp és az igazságügyi g g gy vizsgálatok g • Azt igazságügyi szakértĘk bíróság elĘtt megálló bizonyítékokat keresnek.... keresnek....,, ilyenek a különbözĘ számítógépes rendszerekbĘl kinyert adatok (azonosítók, dokumentumok és a meta adatok, adatok stb stb..); •A honeypot technológia legbonyolultabb része, ez sokszor több mint tudományos próba; próba; • Jegyezzük meg! Mindig tartsuk evidenciában a vonatkozó jogszabályokat amikor Honeypotot telepítünk telepítünk;; • Engedély nélküli felhasználás; felhasználás; • BĦnözés elĘsegítése; elĘsegítése; • Magántulajdon és az adatvédelmi törvény megsértése. megsértése. •…
Honeypot yp és az igazságügyi g g gy vizsgálatok g folyt folyt. y. • Világos Vilá é jól behatárolt és b h tá lt metódus tód a vizsgálatok i ál t k során; során á ; Eredeti bizonyítékok minden változtatás nélkül (lehetĘleg elfedve minden adatszerzésre irányuló tevékenységünket!) tevékenységünket!) - A megszerzett adatok integritásának ellenĘrzése ellenĘrzése;; - Az elemzés értékelés végrehajtása az eredeti dokumentum módosítása nélkül nélkül;; • Minden vizsgálat g kulcsa: kulcsa: - alternatív dokumentációk készítése (fotók, jelentések). jelentések).
Honeypot yp és az igazságügyi g g gy vizsgálatok g folyt folyt. y. (eltünĘ és maradandó információk)
• EltünĘ információk információk:: RAM RAM--ban tárolt infók (futó alkalmazások,, memória tartalmak alkalmazások tartalmak,, nyitott fájlok, fájlok, hálózati kapcsolatok,, jelszavak, stb. kapcsolatok stb.) eltĦnnek amikor a gép kikapcsolásra kerül; kerül; • Maradandó információk: információk:A számítógép kikapcsolása után is megmaradó dó információk i f á iók (HDD tárolt tá lt adatok adatok) d t k) k); • A lényeges lé ké dé : Mi a helyzet kérdés: kérdés h l az eltünĘ l ü Ę információkkal i f á iókk l az igazságügyi vizsgálatok során?
Honeypot yp és az igazságügyi g g gy vizsgálatok g folyt folyt. y. (eszközök az eltünĘ információk kinyerésére)
• Biztonságos média felhasználása (hordozható eszközök eszközök)) a bizonyítékok begyĦjtése során; során; Unix/Linux:: Unix/Linux - ps, netstat, ifconfig, date, grep, last, cat, ls, lsof, mount, ou t, dd, fdisk, ds ,… Microsoft Windows Windows:: - netstat, ipconfig, VICE, diskmon, filemon, handle, listdlls, process explorer, pstools, regmon, tcpview, tdimon, tokenmon, livekd, dir, … Soha ne tároljuk rendszerünkön!!!!
a
kinyert
információkat
a
lokális
Honeypotok yp detektálása - Technica Technicaii tulajdonságok – VálaszidĘ VálaszidĘ,, banners, registry bejegyzések, bejegyzések, inkonzisztens paraméterek;; paraméterek - “Social” tulajdonságok tulajdonságok,, felhasználói interakció – Nem tipikus (pl pl.. nincs új file a rendszerben heteken k keresztül keresztül… tül…); - Network sniffing – Csomagok C ki/be i/ a rendszerben (a szimatolás i á végrehajtását a hálózat egy másik rendszerébĘl tegyük) tegyük); - Nyomok N k keresése k é a Vmware V Vmware-ben b – A Vmware népszerĦ alap, bár lokálisan könnyen detektálható;; detektálható
Honeypotok yp detektálása folyt. folyt y. - Honeypot Hone pot eszközök es kö ök nyomainak n omainak keresése keresése:: Temp mappák mappák,, kernel dumps, backdoors (sebek etc. etc.) - History analízise N Nem csak k a „rossz fiúk” követnek kö t k ell hibákat hibák t -A Honeypotnak magának á a sérülékenysége é é é (alacsony, vagy közepes interakciójú honeypot esetén) esetén) - KREATIVITÁS!!!
Honeypotok yp jjövĘje j
-Honeytokens Honeytokens;; -Wireless honeypots honeypots;; -SPAM honeypots honeypots;; -Honeypot farms farms;; - Search Search--engine honeypots. honeypots.
Honeypotok yp jjövĘje j
-Új honeypot detektálási technológiák; -Automatizált honeypot scannerek scannerek és és““zavarók” zavarók”; - Anti Honeypot Technológiák Technológiák;; - Honeypot exploits. exploits.
Konklúzió • Honeypot nem egy probléma megoldás, hanem egy flexibilis eszköz, amely különbözĘ alkalmazásokkal együtt szolgálja az IT rendszerek biztonságát biztonságát;; • ElsĘdleges értéke az információgyĦjtés területén van van;; • MegfelelĘ
idĘ a mĦködéshez; mĦködéshez;
• Soha ne töltsünk fel valós adatokat adatokat;; • Soha ne kapcsolódjunk amikor Honeypotunk aktív!!!
További információk információk:: - http http:://www. //www.honeynet. honeynet.org/ - http http:://www //www..honeynet honeynet..org/book