Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

Projekt obranného výzkumu „CYBER“ bezpečnost informačních a komunikačních systémů AČR Vojtěch Krmíček [email protected]

Josef Kaderka

[email protected]

Masarykova univerzita

Pavel Čeleda

[email protected]

Ústav výpočetní techniky

Bezpečnostní konference KIS, Černá Hora, 22. dubna 2010

Část I Projekt „CYBER“

V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR

2 / 25

Základní informace o projektu Bezpečnost informačních a komunikačních systémů AČR – online monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. Program: 907 980 – Rozvoj dosažených operačních schopností ozbrojených sil České republiky Priorita: 2 – systémová podpora konceptu NEC Doba řešení: 5 let (2008–2012) Řešitelé: ÚVT MU, FI MU Podpořeno: MO ČR


3 / 25

Odborné cíle projektu Analýza moderních síťových hrozeb a obrana proti nim. Automatická reakce na bezpečnostní hrozby.

Ověření možností využití pokročilé síťové sondy při aktivní obraně datové sítě. Praktické využití a nasazení výstupů projektu na CIRC MO a CSIRT-MU. V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR

4 / 25

Vybrané výsledky projektu Detekce slovníkových útoků na službu SSH admin/1234

Detekce infiltrace cizích zařízení do sítě

petr/qwerty

lucie/lucie guest/guest root/password

Server

test/test

Server

root/root jindra/heslo

admin/1234Admin

Inteligentní profilování síťových zařízení

Odhalení nového botnetu Chuck Norris


5 / 25

Část II Detekce infiltrovaného zařízení v počítačové síti


6 / 25

Infiltrované zařízení v počítačové síti Hrozba vnitřního útočníka N70

2 5

#

Velmi častý typ incidentu. Únik citlivých informací. Neřešíme fyzický únik dat (USB klíčenka, mobil, CD, ap.).

Neukázněný zaměstnanec Chce připojit PDA/mobil.

cingular

SMS Text

9:41

cingular Tuesday

SMS

9 9

Tuesday

YouTube

Clock

AM 9:41 AM

Calendar

Text

Calendar

Photos

Camera

Photos

YouTube

Clock

Camera

Stocks

+ Stocks x ÷ + x

-

Calculator

Calculator

÷

-

Notes Notes

Maps Maps

73°

Weather

73°

Weather

Settings Settings

Phone Phone

Mail Mail

Web Web

iPod iPod

Přidá do sítě WIFI router. Vzniká bezpečnostní díra. Internet


7 / 25

Překlad síťových adres – NAT Překlad síťových adres Mapování síťových adres.

vnitřní�IP 10.0.0.2




Umožňuje skrýt za jednou IP adresou celou podsíť. Běžně implementováno v HW. vnitřní�IP 10.0.0.1

Zařízení provádějící NAT

vnější�IP 147.251.13.95

NAT�zařízení

Má přidělenu jednu vnější IP adresu. Může být zneužito k infiltraci. Např. WIFI router zapojený do sítě.

Internet


8 / 25

Systém pro detekci NAT zařízení Využívá monitorování IP toků (NetFlow). Metody založené na otiscích OS a chování NAT zařízení. Pouze pasivní sledování sítě. Windows IP�1,�IP�2

IP�3

IP�4

MacOS

IP�3

Linux

IP�4

NAT�mix IP�5

cingular

SMS Text

9:41

cingular Tuesday

SMS

9 9

Tuesday

YouTube

Clock

AM 9:41 AM

Calendar

Text

Calendar

Photos

Camera

Photos

YouTube

Clock

Camera

Stocks Maps

+ Stocks x ÷ + x ÷

-

Calculator

Calculator

Maps

-

Notes Notes

73°

Weather

73°

Weather

Settings Settings

Phone Phone

Mail Mail

Web Web

iPod iPod

Internet IP�5 NetFlow data (IP�5) IP�1

IP�2


9 / 25

Architektura systému pro detekci NAT zařízení Detekční modul

Metoda�1

Metoda�2

Metoda�3

Metoda�4

Metoda�5

Agregátor

Detekční vrstva WWW�

Kolektorová vrstva

NetFlow kolektor

FlowMon sonda

FlowMon sonda

TAP

FlowMon sonda

Monitorovací vrstva

TAP

TAP

Síťová vrstva

Schéma propojení vrstev systému pro detekci NAT zařízení V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR

10 / 25

Testování a výsledky systému Dvě sady experimentů V síťové laboratoři. Na reálné síti MU. Nasazení v rámci CIRC MO Prototyp úspěšně nasazen do sítě MO. Pozitivní identifikace NAT zařízení. Rozšiřitelnost systému Modulární rozšiřitelný systém. Např. kontrola IP adres v síti.


11 / 25

Zranitelnost NAT zařízení Zabezpečení počítačů na straně uživatelů je řešeno.

Internet


12 / 25

Zranitelnost NAT zařízení Zabezpečení počítačů na straně uživatelů je řešeno. Co když je napadena přímo infrastruktura?

Napadení�botnetem� Chuck�Norris Internet

Internet


12 / 25

Část III Odhalení a analýza botnetu Chuck Norris


13 / 25

Co se skrývá za botnetem Chuck Norris Botnet botnet = (ro)bot + net Síť napadených počítačů. Zneužití pro nelegální činnost. Vzdáleně ovládaná útočníkem. Čím se liší botnet Chuck Norris Napadá infrastrukturu – síťová zařízení. Uživatel neví, že je napaden. Zařízení trvale připojeno k Internetu.


14 / 25

Odhalení botnetu Chuck Norris na MU

Bezpečnostní sledování sítě Masarykovy univerzity V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR

15 / 25

Analýza botnetu Chuck Norris - I

Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR

16 / 25


Útočník

IRC�server


16 / 25


Útočník

IRC�server

boti


16 / 25


Útočník

IRC�server

boti

WAN�port

ASUS�WL-500gP (agent�provokatér)


16 / 25


Útočník

IRC�server

boti

TAP

CSIRT-MU

FlowMon, tcpdump

WAN�port

ASUS�WL-500gP (agent�provokatér)


16 / 25

Analýza botnetu Chuck Norris - II

nakažené zařízení


17 / 25

Analýza botnetu Chuck Norris - II seznam�IP�prefixů zranitelných�sítí

203.223. ...

217.236. 88.253. ...

85.174. 222.215. ...

nakažené zařízení 201.1. 200.121. ...

IP rozsah 217.236.0.0/16 87.22.0.0/16 85.174.0.0/16 201.1.0.0/16

Vlastník Deutsche Telekom

58.6. 220.240. ...

IP rozsah 88.253.0.0/16

Vlastník TurkTelekom

Telecom Italia

220.240.0.0/16

Comindico Australia

Volgograd Electro Svyaz

222.215.0.0/16

China Telecom

Telecomunicacoes de Sao Paulo

200.121.0.0/16

Telefonica del Peru

Tab. 1: Příklady prohledávaných sítí. V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR

17 / 25

Analýza botnetu Chuck Norris - II seznam�IP�prefixů zranitelných�sítí pnscan (port�23)

203.223. ...

217.236. 88.253. ...

85.174. 222.215. ...


IP rozsah 217.236.0.0/16 87.22.0.0/16 85.174.0.0/16 201.1.0.0/16


58.6. 220.240. ...

IP rozsah 88.253.0.0/16


Telecom Italia

220.240.0.0/16

Comindico Australia


222.215.0.0/16

China Telecom


200.121.0.0/16

Telefonica del Peru


17 / 25

Analýza botnetu Chuck Norris - II seznam�IP�prefixů zranitelných�sítí pnscan (port�23)

203.223. ...

217.236. 88.253. ...

85.174. 222.215. ...


58.6. 220.240. ...

seznam�IP�adres zranitelných�zařízení

IP rozsah 217.236.0.0/16 87.22.0.0/16 85.174.0.0/16 201.1.0.0/16


IP rozsah 88.253.0.0/16


Telecom Italia

220.240.0.0/16

Comindico Australia


222.215.0.0/16

China Telecom


200.121.0.0/16

Telefonica del Peru


17 / 25

Aktivity botnetu Chuck Norris - I

Botnetem realizované hrozby Útoky odepření služby - DoS a DDoS. Podvržení DNS serverů a odpovědí. Přenastavení napadeného zařízení.

Následky pro napadeného uživatele Napadené zařízení zahltí linku pro nelegální aktivity. Riziko ekonomických škod a právních postihů pro uživatele.


18 / 25

Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com

Spuštění škodlivého kódu. primární DNS�server

sekundární DNS�server


19 / 25


řídicí�centrum�botnetu

OpenDNS.com



nakažený modem www.facebook.com

oběť


19 / 25



OpenDNS.com




oběť


19 / 25



OpenDNS.com

www.seznam.cz




www.seznam.cz

oběť


19 / 25

Aktivity botnetu Chuck Norris - III

Unikátní útočníci

2000

500000

Pokusy o připojení na službu Telnet v síti MU Unikátní útočníci

odhalení botnetu 2.12.2009

400000

vypnutí botnetu 23.2.2010

1500

300000

1000

200000

500

100000

0 Říjen

Listopad

Prosinec

Leden

Únor

Březen

Duben

Pokusy o připojení na službu Telnet v síti MU

2500

0

33000 unikátních útočníků v období říjen 2009 - únor 2010. V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR

20 / 25

Odezvy na botnet Chuck Norris Média

Antivirové firmy

ČTK

AVG

Česká televize

Kaspersky Lab

Český rozhlas

Bezpečnostní komunita

Lidové noviny

NATO CIRC

iDnes.cz

TF-CSIRT

New York Times

Shadowserver.org

Computerworld


21 / 25

Část IV Závěr


22 / 25

Potřeba nových technologií a schopností CIRC Moderní počítačové hrozby se neustále vyvíjí. Jakékoliv zařízení připojené k síti je potenciálně nebezpečné. Jsme obklopení čím dál tím víc síťovými technologiemi. Schopnost čelit těmto hrozbám je neustále důležitější.

Pozor při zapojování!

Bezp. dohledové centrum


23 / 25

Výstupy projektu a jejich použití Prvotní výzkum a vývoj Výzkum a vývoj na reálném provozu sítě MU. Testování a používání výsledků v CSIRT-MU – akademické prostředí. Praktické ověřování zadavatelem

IR C MO

Computer Incident Response Capability

Nasazení výstupů v rámci CIRC MO – prostředí AČR. Využití pro návrh bezpečnostních zařízení pro zahraniční mise (expediční schopnosti CIRC).


24 / 25

Děkujeme za pozornost! Projekt obranného výzkumu „CYBER“ bezpečnost informačních a komunikačních systémů AČR Vojtěch Krmíček [email protected]

Josef Kaderka [email protected]

Pavel Čeleda [email protected]


25 / 25

Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

Recommend Documents