Projekt obranného výzkumu „CYBER“ bezpečnost informačních a komunikačních systémů AČR Vojtěch Krmíček
[email protected]
Josef Kaderka
[email protected]
Masarykova univerzita
Pavel Čeleda
[email protected]
Ústav výpočetní techniky
Bezpečnostní konference KIS, Černá Hora, 22. dubna 2010
Část I Projekt „CYBER“
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
2 / 25
Základní informace o projektu Bezpečnost informačních a komunikačních systémů AČR – online monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. Program: 907 980 – Rozvoj dosažených operačních schopností ozbrojených sil České republiky Priorita: 2 – systémová podpora konceptu NEC Doba řešení: 5 let (2008–2012) Řešitelé: ÚVT MU, FI MU Podpořeno: MO ČR
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
3 / 25
Odborné cíle projektu Analýza moderních síťových hrozeb a obrana proti nim. Automatická reakce na bezpečnostní hrozby.
Ověření možností využití pokročilé síťové sondy při aktivní obraně datové sítě. Praktické využití a nasazení výstupů projektu na CIRC MO a CSIRT-MU. V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
4 / 25
Vybrané výsledky projektu Detekce slovníkových útoků na službu SSH admin/1234
Detekce infiltrace cizích zařízení do sítě
petr/qwerty
lucie/lucie guest/guest root/password
Server
test/test
Server
root/root jindra/heslo
admin/1234Admin
Inteligentní profilování síťových zařízení
Odhalení nového botnetu Chuck Norris
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
5 / 25
Část II Detekce infiltrovaného zařízení v počítačové síti
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
6 / 25
Infiltrované zařízení v počítačové síti Hrozba vnitřního útočníka N70
2 5
#
Velmi častý typ incidentu. Únik citlivých informací. Neřešíme fyzický únik dat (USB klíčenka, mobil, CD, ap.).
Neukázněný zaměstnanec Chce připojit PDA/mobil.
cingular
SMS Text
9:41
cingular Tuesday
SMS
9 9
Tuesday
YouTube
Clock
AM 9:41 AM
Calendar
Text
Calendar
Photos
Camera
Photos
YouTube
Clock
Camera
Stocks
+ Stocks x ÷ + x
-
Calculator
Calculator
÷
-
Notes Notes
Maps Maps
73°
Weather
73°
Weather
Settings Settings
Phone Phone
Mail Mail
Web Web
iPod iPod
Přidá do sítě WIFI router. Vzniká bezpečnostní díra. Internet
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
7 / 25
Překlad síťových adres – NAT Překlad síťových adres Mapování síťových adres.
vnitřní�IP 10.0.0.2
vnitřní�IP 10.0.0.3
vnitřní�IP 10.0.0.4
vnitřní�IP 10.0.0.5
Umožňuje skrýt za jednou IP adresou celou podsíť. Běžně implementováno v HW. vnitřní�IP 10.0.0.1
Zařízení provádějící NAT
vnější�IP 147.251.13.95
NAT�zařízení
Má přidělenu jednu vnější IP adresu. Může být zneužito k infiltraci. Např. WIFI router zapojený do sítě.
Internet
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
8 / 25
Systém pro detekci NAT zařízení Využívá monitorování IP toků (NetFlow). Metody založené na otiscích OS a chování NAT zařízení. Pouze pasivní sledování sítě. Windows IP�1,�IP�2
IP�3
IP�4
MacOS
IP�3
Linux
IP�4
NAT�mix IP�5
cingular
SMS Text
9:41
cingular Tuesday
SMS
9 9
Tuesday
YouTube
Clock
AM 9:41 AM
Calendar
Text
Calendar
Photos
Camera
Photos
YouTube
Clock
Camera
Stocks Maps
+ Stocks x ÷ + x ÷
-
Calculator
Calculator
Maps
-
Notes Notes
73°
Weather
73°
Weather
Settings Settings
Phone Phone
Mail Mail
Web Web
iPod iPod
Internet IP�5 NetFlow data (IP�5) IP�1
IP�2
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
9 / 25
Architektura systému pro detekci NAT zařízení Detekční modul
Metoda�1
Metoda�2
Metoda�3
Metoda�4
Metoda�5
Agregátor
Detekční vrstva WWW�
Kolektorová vrstva
NetFlow kolektor
FlowMon sonda
FlowMon sonda
TAP
FlowMon sonda
Monitorovací vrstva
TAP
TAP
Síťová vrstva
Schéma propojení vrstev systému pro detekci NAT zařízení V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
10 / 25
Testování a výsledky systému Dvě sady experimentů V síťové laboratoři. Na reálné síti MU. Nasazení v rámci CIRC MO Prototyp úspěšně nasazen do sítě MO. Pozitivní identifikace NAT zařízení. Rozšiřitelnost systému Modulární rozšiřitelný systém. Např. kontrola IP adres v síti.
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
11 / 25
Zranitelnost NAT zařízení Zabezpečení počítačů na straně uživatelů je řešeno.
Internet
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
12 / 25
Zranitelnost NAT zařízení Zabezpečení počítačů na straně uživatelů je řešeno. Co když je napadena přímo infrastruktura?
Napadení�botnetem� Chuck�Norris Internet
Internet
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
12 / 25
Část III Odhalení a analýza botnetu Chuck Norris
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
13 / 25
Co se skrývá za botnetem Chuck Norris Botnet botnet = (ro)bot + net Síť napadených počítačů. Zneužití pro nelegální činnost. Vzdáleně ovládaná útočníkem. Čím se liší botnet Chuck Norris Napadá infrastrukturu – síťová zařízení. Uživatel neví, že je napaden. Zařízení trvale připojeno k Internetu.
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
14 / 25
Odhalení botnetu Chuck Norris na MU
Bezpečnostní sledování sítě Masarykovy univerzity V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
15 / 25
Analýza botnetu Chuck Norris - I
Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
16 / 25
Analýza botnetu Chuck Norris - I
Útočník
IRC�server
Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
16 / 25
Analýza botnetu Chuck Norris - I
Útočník
IRC�server
boti
Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
16 / 25
Analýza botnetu Chuck Norris - I
Útočník
IRC�server
boti
WAN�port
ASUS�WL-500gP (agent�provokatér)
Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
16 / 25
Analýza botnetu Chuck Norris - I
Útočník
IRC�server
boti
TAP
CSIRT-MU
FlowMon, tcpdump
WAN�port
ASUS�WL-500gP (agent�provokatér)
Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
16 / 25
Analýza botnetu Chuck Norris - II
nakažené zařízení
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
17 / 25
Analýza botnetu Chuck Norris - II seznam�IP�prefixů zranitelných�sítí
203.223. ...
217.236. 88.253. ...
85.174. 222.215. ...
nakažené zařízení 201.1. 200.121. ...
IP rozsah 217.236.0.0/16 87.22.0.0/16 85.174.0.0/16 201.1.0.0/16
Vlastník Deutsche Telekom
58.6. 220.240. ...
IP rozsah 88.253.0.0/16
Vlastník TurkTelekom
Telecom Italia
220.240.0.0/16
Comindico Australia
Volgograd Electro Svyaz
222.215.0.0/16
China Telecom
Telecomunicacoes de Sao Paulo
200.121.0.0/16
Telefonica del Peru
Tab. 1: Příklady prohledávaných sítí. V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
17 / 25
Analýza botnetu Chuck Norris - II seznam�IP�prefixů zranitelných�sítí pnscan (port�23)
203.223. ...
217.236. 88.253. ...
85.174. 222.215. ...
nakažené zařízení 201.1. 200.121. ...
IP rozsah 217.236.0.0/16 87.22.0.0/16 85.174.0.0/16 201.1.0.0/16
Vlastník Deutsche Telekom
58.6. 220.240. ...
IP rozsah 88.253.0.0/16
Vlastník TurkTelekom
Telecom Italia
220.240.0.0/16
Comindico Australia
Volgograd Electro Svyaz
222.215.0.0/16
China Telecom
Telecomunicacoes de Sao Paulo
200.121.0.0/16
Telefonica del Peru
Tab. 1: Příklady prohledávaných sítí. V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
17 / 25
Analýza botnetu Chuck Norris - II seznam�IP�prefixů zranitelných�sítí pnscan (port�23)
203.223. ...
217.236. 88.253. ...
85.174. 222.215. ...
nakažené zařízení 201.1. 200.121. ...
58.6. 220.240. ...
seznam�IP�adres zranitelných�zařízení
IP rozsah 217.236.0.0/16 87.22.0.0/16 85.174.0.0/16 201.1.0.0/16
Vlastník Deutsche Telekom
IP rozsah 88.253.0.0/16
Vlastník TurkTelekom
Telecom Italia
220.240.0.0/16
Comindico Australia
Volgograd Electro Svyaz
222.215.0.0/16
China Telecom
Telecomunicacoes de Sao Paulo
200.121.0.0/16
Telefonica del Peru
Tab. 1: Příklady prohledávaných sítí. V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
17 / 25
Aktivity botnetu Chuck Norris - I
Botnetem realizované hrozby Útoky odepření služby - DoS a DDoS. Podvržení DNS serverů a odpovědí. Přenastavení napadeného zařízení.
Následky pro napadeného uživatele Napadené zařízení zahltí linku pro nelegální aktivity. Riziko ekonomických škod a právních postihů pro uživatele.
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
18 / 25
Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com
Spuštění škodlivého kódu. primární DNS�server
sekundární DNS�server
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
19 / 25
Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com
řídicí�centrum�botnetu
OpenDNS.com
Spuštění škodlivého kódu. primární DNS�server
sekundární DNS�server
nakažený modem www.facebook.com
oběť
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
19 / 25
Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com
řídicí�centrum�botnetu
OpenDNS.com
Spuštění škodlivého kódu. primární DNS�server
sekundární DNS�server
nakažený modem www.facebook.com
oběť
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
19 / 25
Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com
řídicí�centrum�botnetu
OpenDNS.com
www.seznam.cz
Spuštění škodlivého kódu. primární DNS�server
sekundární DNS�server
nakažený modem www.facebook.com
www.seznam.cz
oběť
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
19 / 25
Aktivity botnetu Chuck Norris - III
Unikátní útočníci
2000
500000
Pokusy o připojení na službu Telnet v síti MU Unikátní útočníci
odhalení botnetu 2.12.2009
400000
vypnutí botnetu 23.2.2010
1500
300000
1000
200000
500
100000
0 Říjen
Listopad
Prosinec
Leden
Únor
Březen
Duben
Pokusy o připojení na službu Telnet v síti MU
2500
0
33000 unikátních útočníků v období říjen 2009 - únor 2010. V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
20 / 25
Odezvy na botnet Chuck Norris Média
Antivirové firmy
ČTK
AVG
Česká televize
Kaspersky Lab
Český rozhlas
Bezpečnostní komunita
Lidové noviny
NATO CIRC
iDnes.cz
TF-CSIRT
New York Times
Shadowserver.org
Computerworld
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
21 / 25
Část IV Závěr
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
22 / 25
Potřeba nových technologií a schopností CIRC Moderní počítačové hrozby se neustále vyvíjí. Jakékoliv zařízení připojené k síti je potenciálně nebezpečné. Jsme obklopení čím dál tím víc síťovými technologiemi. Schopnost čelit těmto hrozbám je neustále důležitější.
Pozor při zapojování!
Bezp. dohledové centrum
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
23 / 25
Výstupy projektu a jejich použití Prvotní výzkum a vývoj Výzkum a vývoj na reálném provozu sítě MU. Testování a používání výsledků v CSIRT-MU – akademické prostředí. Praktické ověřování zadavatelem
IR C MO
Computer Incident Response Capability
Nasazení výstupů v rámci CIRC MO – prostředí AČR. Využití pro návrh bezpečnostních zařízení pro zahraniční mise (expediční schopnosti CIRC).
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
24 / 25
Děkujeme za pozornost! Projekt obranného výzkumu „CYBER“ bezpečnost informačních a komunikačních systémů AČR Vojtěch Krmíček
[email protected]
Josef Kaderka
[email protected]
Pavel Čeleda
[email protected]
V. Krmíček et al. Projekt obranného výzkumu „CYBER“ – bezpečnost informačních a komunikačních systémů AČR
25 / 25