Wczesne ostrzeganie, czyli jak przewidywa ataki komputerowe

Transkrypt

1 Wczesne ostrzeganie, czyli jak przewidywa ataki komputerowe Piotr Kijewski, CERT Polska piotr.kijewski (at) cert.pl Wstp Rosnca liczba ataków komputerowych, ich rozszerzajcy si zasig i stopie skomplikowania sprawia, e coraz wiksz warto w ochronie informacji maj wczesne informacje o potencjalnym zagroeniu dla zasobów komputerowych. Dziki takim informacjom, moliwe staje si wczeniejsze przygotowanie si do ochrony przed atakiem i uniknicie jego potencjalnych skutków. Powstaje pytanie, jakie informacje maj znaczenie w przewidywaniu nadchodzcego ataku. Oczywicie, mona sobie wyobrazi, e rocznice pewnych wydarze czy na przykład sytuacja geopolityczna na wiecie, sprawi, e niektóre organizacje czy pastwa stan si bardziej zagroone atakiem ni inne. Rozwaania tego typu s jednak poza zakresem tego artykułu. Zamiast tego, warto si skupi na samym mechanizmie ataków komputerowych i tego, co tkwi u ich podstawie, czyli luk. Cykl ycia ataku komputerowego Proces zaistnienia danej luki składa si z kilku etapów. Pierwsze etap to opublikowanie danej luki, drugi to opublikowanie exploita na t luk, nstepnie luka zaczyna by wykorzystywana w atakach, a na koniec pojawia si samo-propagujcy kod, który w sposób zautomatyzowany wykorzystuje luk. Podczas kadego z etapów pojawia si inny charakter informacji, które mog by wykorzystane do wczesnego ostrzegania. Mona wyróni trzy podstawowe rodzaje informacji zwizanych z powyszym cyklem ycia ataku komputerowego : informacje o podatnociach, informacje o zagroeniach, informacje o incydentach. Poprzez zagroenie rozumiane jest narzdzie umoliwiajce wykorzystanie danej luki (podatnoci) do ominicia zabezpiecze. Incydent to z kolei efekt wykorzystania tego narzdzia.

2 PODATNOCI ZAGROENIA EXPLOIT INCYDENTY SYGNAŁY WYKORZYSTANIA ROBAK Rysunek 1. Obieg informacji zwizanych z wykorzystaniem podatnoci Na rysunku odzwierciedlono przebieg rozwoju zdarze zwizanych ze sposobem wykorzystania wikszoci luk. Obecnie dosy typowy jest fakt dotarcia do robaka dopiero po zaobserwowaniu sygnałów wykorzystania luki. Exploity zazwyczaj s publikowane wczeniej. Nie jest to jednak jedyny moliwy scenariusz. Coraz czciej zdarzaj si przypadki, kiedy pojawiaj si sygnały wykorzystania zupełnie nowej, wczeniej nie opublikowanej luki. W takiej sytuacji obieg informacji jest odwrócony pierwsze informacje dotycz sygnałów włamania, dopiero na samym kocu dochodzimy do informacji o luce. W skrajnym przypadku sygnały włamania mog by efektem propagacji nowego robaka. Wczesne ostrzeganie - informacje o podatnociach Na etapie analizy podatnoci moliwe jest okrelenie jej skali zagroenia. Oczywicie niektóre luki, których waga zostanie okrelona jako niska mog dla niektórych organizacji okaza si gro ne ze wzgldu na specyfik wykorzystania bd konfiguracji podatnej aplikacji. Moliwe jest rozpoznanie cech podatnoci pod ktem zakresu jej skutecznego wykorzystania do uzyskania zdalnego dostpu, a nawet okrelenia niektórych cech przyszłego robaka, który tak luk by wykorzystywał. Na przykład luka w aplikacji osigalnej na porcie UDP bdzie sprzyjała raczej błyskawicznemu robakowi o profilu Slammer a ni luka, która moe by wykorzystana przez protokół TCP. Okrelenie wszystkich potencjalnych scenariuszy ataku 1 pozwala na zidentyfikowanie metod propagacji poprzez okrelenie, jakie numery portów bd najprawdopodobniej atakowane. 1 ang. attack vectors

3 Warto zauway, e dotychczas prawie wszystkie masowe infekcje hostów zdarzały si dopiero po opublikowaniu - przez danego producenta - informacji o luce. Jednake reakcja wielu administratorów jest wci zbyt wolna. Według bada [1], czas od opublikowania informacji o istnieniu łaty na dan luk do czasu załatania połowy systemów podatnych na t luk wynosi 21 dni (w ubiegłym roku czas ten wynosił 30 dni). Zdarza si te, e po kilku takich cyklach ilo podatnych systemów w sieci ronie. Wczesne ostrzeganie - informacje o zagroeniach Drugim sygnałem ostrzegawczym o moliwym ataku jest opublikowanie exploita na dan luk. Zazwyczaj oznacza to, e luka ta ju jest wykorzystywana w sieci. Jest to ostatni sygnał dla administratorów do podjcia działania. Nastpnym etapem jest (zaley to oczywicie od cech danej luki) ju zagroenie w postaci robaka lub wirusa. Biorc pod uwag szybko propagacji współczesnych zagroe, informacje o tym fakcie to najczciej przysłowiowa musztarda po obiedzie, jeeli chodzi o jej przydatno we wczesnym ostrzeganiu. Oczywicie zdarzaj si wyjtki, np. jeeli wykorzystywany jest 0-day exploit 2. Wczesne ostrzeganie - informacje o incydentach Informacje o incydentach pozwalaj na wczesne ostrzeenie o nowych rodzajach ataków. Incydenty mog by bardzo róne np. informacje o włamaniu, log z systemu IDS, z dziwnym załcznikiem (co sugeruje nowy rodzaj wirusa, niewykrywalnego przez oprogramowanie antywirusowe), lub przypadek phishingu. Powysze informacje s przydatne w okreleniu, w jakiej fazie zaawansowania jest dana luka, a take do wykrywania zupełnie nowych, wczeniej nie znanych i nigdzie nie opisanych ataków i zagroe. Szczególnym przypadkiem informacji o incydentach s informacje uzyskiwane w wyniku monitorowanie sieci rozległej pod ktem wystpujcych w niej anomalii i nowych, charakterystycznych wzorców zachowa. W wyniku takich obserwacji czsto moliwe jest rozpoznanie ataków o charakterze zautomatyzowanym, zanim stan si powszechne i podjcie próby zablokowania ich. Zrozumie zagroenia Wyłamywanie si zagroe z tradycyjnego cyklu (przedstawionego na Rysunku 1) sprawia, e coraz wiksze znaczenie w procesie wczesnego ostrzegania nabiera informacja o sygnałach wykorzystania danej luki (czyli incydentów) dotychczas domen głównie firm antywirusowych. W artykule tym skupimy si na specyficznych sygnałach wykorzystania danej luki, wynikajcych przede wszystkim z propagacji zautomatyzowanych zagroe takich jak robaki. W tym celu konieczne jest wyjanienie dotyczce mechanizmów propagacji robaków, co wie si sposobem ich wykrywania i potencjaln prób zahamowania tej propagacji. 2 Czyli exploit na wczeniej nie-opublikowan luk

4 Mechanizmy propagacji zautomatyzowanych zagroe Dwa najwaniejsze czynniki, które decyduj o wykrywaniu zautomatyzowanych zagroe to wybór celu (target selection) i metoda propagacji. W taksonomii robaków 3 [2] zidentyfikowano nastpujce sposoby wyboru celu: skanowanie, wczeniej przygotowana lista celów, zewntrznie generowana lista celów, wewntrznie generowana lista celów, pasywny wybór celu. Skanowanie jest najczciej stosowan metod wyboru celu (czsto rónicych si samym algorytmem). Jest ono wykorzystywane przez wiele najsłynniejszych robaków, w tym Code Red, Nimda, MS Blaster, Sasser czy wspominany ju wczeniej Slammer. Poniewa skanowanie wie si z generacj duej iloci nietypowego ruchu, propagacja takich zagroe jest stosunkowo prosta do wykrycia. Wczeniejsze przygotowanie listy celów - do wykorzystania przez zagroenie - jest moliwe przez atakujcego. Istniej pewne przesłanki, które wiadcz o tym, e tak mogło by w przypadku robaka Witty [3]. Zewntrzne generowanie listy celów przez zagroenie jest równie moliwe na przykład robak wykorzystuje wyszukiwark Google do wyszukania podatnych komputerów przykładem moe by wirus mydoom.o. Z kolei wewntrznie generowana lista celów to przypadek, w którym zagroenie, na podstawie danych zebranych z ju zainfekowanych komputerów, identyfikuje dalsze obiekty ataku. Tak działał pierwszy słynny robak Internet Worm z Tak działa te wikszo obecnie spotykanych wirusów pocztowych. Natomiast pasywny wybór celu to metoda zupełnie inna od pozostałych. Tutaj wyzwalaczem jest uytkownik, komunikujcy si z aplikacj, w której zaszyte jest zagroenie i dziki temu je aktywuje. Najczciej dzieje si tak za porednictwem aplikacji WWW. Przykładem takiego zagroenia jest wirus Download.ject. Wany do lepszego zrozumienia zagroenia, jest jego sposób transmisji: samonioscy, drugi kanał, embedded. Duo zagroe transmituje pełny złoliwy kod jako cz procesu infekcji (przykładem moe tutaj by Slammer). Inne otwieraj drugi kanał do transmisji złoliwego kodu np. robak Blaster wykorzystywał exploit na RPC DCOM do włamania si do systemu, nastpnie otwierał kanał TFTP do ródła ataku aby cign swoj kopie. Mona sobie te wyobrazi zagroenia, które bd si maskowa jako cz normalnego kanału komunikacyjnego, sprawiajc powane trudnoci w wykryciu propagacji. Wybrane praktyczne podejcia do wczesnego ostrzegania Najbardziej znanym systemem wczesnego ostrzegania jest Internet Storm Center [4] prowadzony przez SANS Institute. System korzysta z rónych ródeł informacji - 3 Chocia w taksonomii tej skupiono si na robakach, to mona j zastosowa do rónych zautomatyzowanych zagroe

5 podatnoci, incydenty, zagroenia czsto zgłaszanych przez uytkowników z zewntrz. Informacje przetwarzane s przez człowieka, jednak jedn z podstaw systemu jest rozproszony IDS o nazwie DSHIELD. DSHIELD zbiera informacje o pakietach odrzucanych przez firewalle i informacje o skanowaniu portów z systemów IDS z rónych ródeł na wiecie. Pozwala to na uzyskanie obrazu nielegalnej aktywnoci na portach, która moe by spowodowana propagujcym si zagroeniem. Dostarczycielem danych do systemu moe by kady, kto dysponuje firewallem lub systemem IDS. Analiza ruchu na portach jest podstaw wielu projektów, których celem jest wczesne ostrzeganie o atakach komputerowych. Róni si one ródłami z jakich korzystaj. Organizacja CAIDA (Cooperative Association for Internet Data Analysis) korzysta z teleskopu sieciowego (ang. network telescope) do monitorowania ataków sieciowych na du skal. Teleskop sieciowy to obszar przestrzeni rutowalnej IP, do której nie ma adnego legalnego ruchu [5]. Umoliwia on obserwacje nie tylko zagroe, które korzystaj ze skanowania jako metody znalezienia ofiary ale take obserwacje ataków DDoS, w sytuacji, w której ataki te przeprowadzane bd ze sfałszowanym ródłowym numerem IP pochodzcym z zakresu nalecego do teleskopu. Podobnie czyni te inne organizacje: przykładowo, SWITCH-CERT wykorzystuje nieprzydzielon przestrze adresow szwajcarskiej sieci akademickiej SWITCH. Dane pochodzce z systemu s udostpniane na stronie projektu Internet Background Noise ( w postaci wykresów iloci pakietów napływajcych na poszczególne porty w czasie [6]. Podobne podejcia czynione s te za pomoc honeypotów [7]. W tym wypadku dodatkow zalet jest fakt, e zyskuje si zdolno obserwacji wikszej interakcji z atakowanym systemem, co pozwala na lepsze zrozumienie ataków. W efekcie mona próbowa ataki opisa lub wyrazi w postaci sygnatury, jak w przypadku narzdzia honeycomb [8]. Jakie s ograniczenia obecnych systemów wczesnego ostrzegania? Charakterystyczne dla wikszoci powyszych projektów jest fakt, e ilo typów ródeł z jakich korzystaj jest ograniczona. Tym samym ograniczona jest moliwo wykrywania rónych typów ataków. Dodatkowo przeprowadzana automatyczna analiza jest czsto bardzo podstawowa w systemie DSHIELD jest to jedynie prosta analiza trendów. Wynika to w duej mierze z faktu, e monitorowane s tylko dane dotyczce ruchu na poziomie portów. W takiej sytuacji prawdopodobne jest wykrycie anomalii, ale nie wiadomo, czym anomalia jest tak naprawd spowodowana i czy rzeczywicie jest objawem ataku. Reszta wymaga zastosowania innych ródeł i rcznych analiz. Próby uycia zautomatyzowanych analiz podjto w projekcie e-csirt.net 4 [9]. Tutaj, jako ródła wykorzystano systemy IDS w rodowisku honeypotów, oraz ARGUS - pakiet netflow. Pierwsze miały posłuy do wykrywania ataków znanych, drugie do wykrywania ataków nieznanych. Jednake wikszo analiz to analizy statystyczne za dane okres. Wyniki tej czci projektu dostpne s publicznie pod adresem 4 W projekcie e-csirt.net prowadzonym w ramach 5 Programu Ramowego UE uczestniczył take zespół CERT Polska

6 Jedn z bardziej wyszukanych metod stosowanych w praktyce do wykrywania zautomatyzowanych zagroe jest technika estymacji Bayesowskiej wykorzystywana w projekcie WCLSCAN [10]. Obserwowana jest rónica pomidzy czstotliwoci skanowa na porty i ich trendów, na bazie których liczone jest prawdopodobiestwo, e stan sieci jest krytyczny bd nie. Interesujc prób przewidywania trendów w atakach podjto równie w projekcie Honeynet [11]. Na podstawie danych zbieranych w ramach projektu, postanowiono sprawdzi za pomoc modeli statystycznych ARIMA 5 i SPC 6, czy moliwe jest przewidzenie, kiedy nastpi atak na system na podstawie skanowa, którym wczeniej system został poddany. Według wstpnych wyników, okazało si to w pewnym stopniu moliwe. ARAKIS projekt zespołu CERT Polska ARAKIS (Agregacja, Analiza, i Klasyfikacja Incydentów Sieciowych) jest projektem zespołu CERT Polska, który ma na celu wykrywanie i opisywanie zagroe sieciowych (w szczególnoci zautomatyzowanych). Aby rozszerzy moliwoci wykrywania nowych zagroe w stosunku do rozwiza przedstawianych powyej, system ma korzysta z wielu ródeł, w tym firewalli, honeypotów, darknetów 7, ruterów w sieci rozległej, systemów IDS i systemów antywirusowych. System ma za zadanie opisa zagroenie na dwa sposoby: poprzez wygenerowanie opisu zachowania zagroenia (np. sekwencje wymiany pakietów, wykorzystywanych portów, nastpujcych po sobie połcze czy flow ów), a take poprzez wygenerowanie jednoznacznej sygnatury zagroenia bd ataku przez nie wykorzystywanego. Sygnatury takie mog by nastpnie wykorzystane w klasycznych systemach IDS. Wan czci prac nad systemem stanowi badania nad algorytmami i metodami sztucznej inteligencji, które mog wspomóc tego typu analizy. Na stronie udostpniane s wybrane analizy dotyczce systemów firewall, w tym analiza trendów ataków na porty oraz analiza ródeł ataków. Opracowywany jest nowy engine, który ma pozwoli na znacznie bardziej zaawansowane analizy i korelacje zdarze. Jaka jest przyszło wczesnego ostrzegania? Przyszło wczesnego ostrzegania wie si przede wszystkim z dalsz automatyzacj i próbami wykorzystywania technik sztucznej inteligencji (w tym data mining) do efektywniejszej korelacji zdarze i wnioskowania. Trwaj prace nad stworzeniem standardów wymiany informacji o incydentach (IODEF) [12], wspólnym formatem dotyczcym zalece (jak np. CAIF) [13], a take wspólnym formatem dotyczcym opisu podatnoci (VEDEF) [14]. Standardy te maj na celu midzy innymi ułatwienie procesu automatyzacji. Trwaj równie badania nad wczesnym ostrzeganiem na podstawie zdarze sieciowych. Ewolucja zagroe jak i samego Internetu moe w przyszłoci znaczco wpłyn na podejcia do wczesnego ostrzegania. Przykładowo, w IPv6 skanowanie jest mało 5 Autoregressive Integrated Moving Average 6 Statystyczne sterowanie procesem (Statistical Process Controls) 7 Darknet to inne okrelenie na opisywany wczeniej teleskop sieciowy

7 praktycznym podejciem do zagadnienia wyboru celu ze wzgldu na znacznie rozszerzon - w stosunku do IPv4 - przestrze adresow. Coraz wiksze znaczenie bd miały ataki na poziomie aplikacji i zagroenia propagujce si za pomoc pasywnej metody wyboru celu. Naley pamita, e zjawisko zautomatyzowanych zagroe jest zjawiskiem stosunkowo nowym, wynikajcym te z faktu dominacji jednego typu systemu operacyjnego. Nowe technologie, jak w przypadku Microsoft, Windows XP SP2 a take inne próby zwalczania monokultury systemowej mog wpłyn na zmian obrazu zagroe w przyszłoci. Literatura [1] Qualys, Inc, The Laws of Vulnerabilities [2] Nicholas Weaver, Vern Paxson, Stuart Staniford, Robert Cunningham, A Taxonomy of Computer Worms, October 2003, [3] Colleen Shannon, David Moore, The Spread of the Witty Worm, CAIDA, 2004, [4] SANS Internet Storm Center, [5] David Moore, Colleen Shannon, Geoffrey M. Voelker, Stefan Savage, Network Telescopes: Technical Report, CAIDA, July [6] Peter Haag, Internet Background Noise, Workshop on Detection of Security Anomalies, Hamburg, May 2004 [7] Honeynet Project, [8] Christian Kreibich, Jon Crowcroft, Honeycomb - Creating Intrusion Detection Signatures Using Honeypots, [9] e-csirt.net The European CSIRT Network (5 th European Framework Program), [10] Masaki Ishiguro, Hironobu Suzuki, Ichiro Murase, Hiroyuki Ohno, Internet Threat Detection System Using Bayesian Estimation, FIRST 16 th Annual Conference, Budapest, June 2004 [11] Honeynet Project, Know Your Enemy: Statistics, July [12] Incident Object Description and Exchange Format (work in progress), [13] Common Announcement Internet Format (work in progress) [14] Vulnerability and Exploit Description Exchange Format (work in progress),