OBRONA
EDDIE SCHWARTZ,
PRZEMYSA
AW KREJZA
Monitoring
zabezpieczeń
Stopień trudności
Współczesne firmy i organizacje skupiają się na stosowaniu
tradycyjnych form obrony przed wzrastającą falą ataków
sieciowych, typu IDS/IPS, SIM itd. Coraz większa liczba
incydentów dowodzi jednak, że rozwiązania te nie są w pełni
skuteczne.
ncydent Titan Rain i kolejne publicznie Technologia nie
ujawnione przypadki penetracji sieci jest zaawansowana
Irządowych Stanów Zjednoczonych, Wielkiej Skala zagrożeń istotnie zwiększyła się w ostatnich
Brytanii i Niemiec obnażają rzeczywiste  dziury latach jednak systemy bezpieczeństwa sieci
w systemach i małą sprawność ich właścicieli tak naprawdę nie stały się znacznie bardziej
w rozpoznawaniu zagrożeń. Powtarzające się, zaawansowane. Od czasu gdy wprowadzono
specyficzne przypadki nieautoryzowanego na rynek pierwsze systemy IDS, podejście
dostępu do informacji wskazują na istnienie grup do bezpieczeństwa wcale się nie zmieniło,
działających w sposób zorganizowany i celowy. wzrosły jedynie nakłady i pojawiły kolejne
W międzyczasie w międzynarodowym wersje oprogramowania. Pierwotne założenie
sektorze prywatnym rosną nakłady na systemów wykrywania włamań utrzymuje się
infrastrukturę i procesy bezpieczeństwa. Okazuje do tej pory, choć było odpowiednie dla tamtych
się jednak, że nakłady te nie są z jakiegoś powodu czasów: aby incydent został wykryty, atak
skuteczne. W 2005 roku amerykańska firma musi być udokumentowany i wprowadzony do
TJX stała się publicznym przykładem błędów i monitoringu, jako wzór sygnatur lub zachowań,
zaniedbań bezpieczeństwa. Analizując informacje najczęściej na zasadzie zewnętrznych definicji
prasowe z ostatnich lat jasno wynika, że nie firm dostarczających dane rozwiązanie.
jest to przykład odosobniony. W ciagu ostatnich Sensory IDS wymagają wielu wyjątków w celu
dwóch lat niemal 1000 innych organizacji zostało eliminacji błędnych alarmów z właściwego ruchu
Z ARTYKUA
U
zmuszone do przyznania się do włamań głównie sieciowego. Ponadto zastosowanie IDS na dużą
DOWIESZ SI

powiązanych ze stratami danych osobowych skalę generuje tak dużo zdarzeń, że wyłonienie ich
o słabych punktach dzisiejszych
zabezpieczeń systemowych,
klientów. z poziomu szumów jest bardzo trudne, w związku
co to jest total network Jeśli kluczowe dane mogą być kradzione z czym administratorzy bezpieczeństwa uznają
knowledge,
z taką łatwością przez zorganizowane konieczność wprowadzenia oprogramowania do
jak wygląda spojrzenie śledcze
grupy przestępcze, stwierdzenie, że wyniki zarządzania wyjątkami (SIEM) w celu poprawienia
na incydenty.
najcenniejszych badań i inne wartościowe poziomu szumów. Jednak cała ta infrastruktura
CO POWINIENEŚ
ekonomicznie informacje we wszystkich sektorach ciągle bazuje na kilku niekompletnych i wadliwych
WIEDZIEĆ
gospodarki również mogą zostać przejęte przez założeniach, ugruntowując następujące poglądy
powinieneś znać podstawy
opłaconych bądz
przypadkowych sprawców, na zagrożenia:
zasad bezpieczeństwa
nie jest nadużyciem. Dlaczego zatem nie mamy
informacji,
bardziej gruntownej wiedzy na temat tych " Przeciwnik atakuje używając znanych metod,
powinieneś znać podstawy
reakcji na incydenty. zagrożeń? które są udokumentowane i skatalogowane w
70 HAKIN9 6/2008
MONITORING ZABEZPIECZEC

bibliotece systemu IDS/IPS lub innym. ulepszone spojrzenie na problemy od razu, organizacji i zawiera prośbę o wypełnienie
" Logi z firewalli, serwerów i innych gdy wystąpią pozwalając równocześnie ankiety na fałszywej stronie WWW.
urządzeń zawierają wystarczające na remediacjię. Zaawansowane platformy Strona ta zawiera niebezpieczny
informacje pozwalające wykryć i śledcze dają takie możliwości. kod zawarty w pliku  update443.exe ,
usunąć problem, jeśli wystąpi. Aby lepiej zrozumieć możliwości który zostaje uruchomiony bez wiedzy
monitoringu sieciowego opartego o użytkownika. Kod modyfikuje plik
Oba te założenia są niebezpiecznie platformę śledczą, spróbujmy sobie IEXPLORE.EXE, dając przeciwnikowi
wadliwe i uosabiają krytyczne luki we wyobrazić, że posiadamy rozbudowane ścieżkę komunikacyjną do sieci
współczesnych możliwościach technologii rozwiązanie do przechwytywania i analizy użytkownika poprzez port TCP 443
bezpieczeństwa stosowanych w większości pakietów na poziomie całej sieci. Załóżmy  typowo otwarty w większości sieci i
organizacji. następujący przypadek: pewna grupa generalnie nie monitorowany szczegółowo,
otrzymała zlecenie kradzieży danych oprócz wyjątkowo dziwnych zachowań.
Krok do przodu osobowych naszych klientów. Ponieważ Ten przykład ma na celu wyłącznie
 platformy śledcze jedną z najbardziej skutecznych metod ataku pokazanie możliwości obejścia
total network knowledge jest phishing, przygotowano dedykowanego hipotetycznego systemu wyposażonego
Aby uniknąć tych błędów, organizacje exploita i skonstruowano odpowiedni mail w oprogramowanie rozpoznające wzorce
powinny uzupełnić realizowane inwestycje w skierowany do managementu naszej firmy. i korelujące zdarzenia. W normalnych
bezpieczeństwo i procedury bezpieczeństwa Spreparowany mail pochodzi od zaufanej warunkach zapewne konieczne byłoby
o odpowiednią infrastrukturę zdolną
do głębokiej identyfikacji zagrożeń,
umożliwiającą również gromadzenie
dowodów. Taka platforma śledcza
musiałaby działać ponad szacunkami i
zgadywaniem związanym z analizą logów
oraz bezpieczeństwie bazującym na
sygnaturach i musiałaby mieć poniższe
możliwości:
" Dogłębne przechwytywanie i
rekonstrukcja ruchu sieciowego we
wszystkich sesjach.
" Profilowanie i wizualizacja
charakterystyk ruchu sieciowego
w oparciu o warstwę aplikacji i z
możliwością rozkładu oraz analizy
ruchu. Rysunek 1. Spojrzenie śledcze na exploit  update443.exe
" Posiadanie możliwości analitycznych
i narzędzi umożliwiających dostęp
Fakty dzisiejszego dnia:
do tych informacji również innym
" Ataki przypadkowe zamieniły się w celowe, precyzyjne działanie;
klientom  interaktywnie i w sposób
" Ugruntował się podziemny rynek programistyczny;
automatyczny.
" Przemysł przestępczy rośnie logarytmicznie  w latach 1997-2004 odnotowano 100 tys.
ataków on-line a w kolejnych dwóch już dwa razy więcej;
Koncepcja sniffingu pakietów i ruchu
"  Robak na zamówienie kosztuje od $10,000 - $100,000;
sieciowego nie jest niczym nowym dla
" Hakerzy  ideologiczni przestali się liczyć;
administratorów sieciowych zajmujących
Cele działań zorganizowanych:
się problemami i wydajnością sieci.
To właśnie ruch sieciowy, a nie logi
" Zysk;
czy zdarzenia na końcówkach IDS,
" Kradzież informacji (tajemnica państwowa, własność intelektualna, tożsamość);
zawiera wszystko, co dzieje się w sieci.
Złośliwe oprogramowanie:
Z perspektywy bezpieczeństwa właśnie
na tym poziomie należałoby kontrolować
" Zaawansowane i skomplikowane o niespodziewanych możliwościach;
incydenty. Zrozumienie tej tezy i
" Przetestowane i wysokiej jakości.
wykorzystanie możliwości monitoringu sieci " Stabilne,
" Wyprodukowane za pomocą profesjonalnych narzędzi;
bazujące na przechwytywaniu pakietów
" Finansowane przez bogate organizacje.
prowadzi do koncepcji następnej generacji
narzędzi bezpieczeństwa oferując nowe i
6/2008 HAKIN9 71
OBRONA
spełnienie większej ilości założeń, aby atak " pojawienie się w sieci pliku może pomóc obsłudze firewalli np. w
nie został zatrzymany przez IDS czy system update443.exe. zaimplementowaniu odpowiedniego
antywirusowy. Niemniej ich spełnienie zakazu.
przy ataku celowym jest możliwe. W Na przedstawionym zrzucie ekranu " Dokładniejsza analiza ruchu
przeciwieństwie do tych systemów, z platformy NetWitness NextGen, wychodzącego z komputera-ofiary
platforma śledcza niczego nie zakłada z zgromadzone są wszystkie informacje o pozwoli określić prawdziwą naturę
góry  dając pełne możliwości analityczne. bieżącym ruchu sieciowym. Możliwa jest problemu.
Dzięki temu analityk sieciowy ma też ich głębsza analiza, pozwalająca na
możliwość błyskawicznego rozpoznania analityczne spojrzenie na skalę zagrożeń: Rysunek 2. obrazuje zapis ruchu
zagrożenia. Kiedy nasz użytkownik został wychodzącego z komputera-ofiary. Wynika
nabrany i uruchomił exploita, w ruchu " Rozwinięcie informacji o sesjach z niego, że co 8 sekund poprzez port
sieciowym zobaczymy: związanych z plikiem update443.exe TCP 443 zostaje wysłana informacja o
może wskazać analitykowi, które wielkości 366 bitów. Stosując narzędzie
" nieproporcjonalnie duży ruch na port komputery dotknął problem oraz jak do dekodowania pakietów, możemy
TCP 443, którego wcześniej nie było, plik wędrował w sieci. zobaczyć treść tego ruchu (nawet, jeśli
" pojawienie się ruchu do " Zrozumienie wektorów ruchu jest szyfrowany).
graceofholland.org (host z malware), związanych z graceofholland.org
Krok następny  reakcja
Co zatem powinno się zdarzyć teraz?
Dysponując wiedzą przedstawioną w
zarysie powyżej, możemy podjąć działania
w celu przywrócenia odpowiedniego
poziomu bezpieczeństwa sieci.
" Analiza skali w celu upewnienia się,
że inne stacje nie są zainfekowane
przykładowym malware oraz usunięcie
go z sieci.
" Głębsza analiza sieci z użyciem
pełnego przechwytywania pakietów w
celu upewnienia się, że przedstawiona
metoda jest jedyną metodą
ataku w danej chwili, np. poprzez
bardziej szczegółowe spojrzenie
na niestandardowy ruch w sieci, na
portach 80, 443, 53, 25 itd.
" Zmiana konfiguracji firewalli i/lub
wzbogacenie IDS o nową sygnaturę.
Rysunek 2. Spojrzenie śledcze na ruch wychodzący z zaatakowanego komputera
" Skierowanie bezpośrednio do winnego
użytkownika komunikatu o złamaniu
Wirus Pierwszy Antywirus
IR & Informatyka
1969 ARPANET
zasad bezpieczeństwa i narażeniu
1986 CERT Forensics 1991
IPS HIPS Śledcza
organizacji.
" Zmiana polityk w zakresie otwartości
1967 Platformy
Snifery IDSy 1987 Host SIM
portu TCP 443.
Dziś
1998
Szyfrowane Śledcze
? 1983 Firewall IDS/IPS
hasło " Remediacja.
Zaprezentowane tu reakcje są w
Rysunek 3. Historia zagrożeń i rozwiązań bezpieczeństwa.
znacznym stopniu manualne, jednak
Ewolucja narzędzi bezpieczeństwa
W Sieci:
Bezsporne fakty:
" http://www.mediarecovery.pl,
" Luka czasu pomiędzy nieznanym incydentem a lekarstwem jest na ogół duża;
" http://www.forensictools.pl,
" Narzędzia powstają by walczyć z konkretnymi problemami, na zasadzie: wirus -> antywirus;
" http://www.netwitness.com,
" Rozwiązania nie chronią przed nieznanym;
" http://www.guidancesoftware.com.
72 HAKIN9 6/2008
MONITORING ZABEZPIECZEC

zaawansowane platformy śledcze Podsumowanie wydatków na te cele. W efekcie niespełna 30
typu Netwitness NextGen czy Encase Większość  nawet dużych  organizacji, procent badanych przeznacza jakiekolwiek
Enterprise oferują również mechanizmy planując nakłady na bezpieczeństwo nie środki na monitorowanie i mechanizmy
automatycznej reakcji i jej powiązania zakłada, że systemy  przedincydentalne pozwalające wyjść poza incydent. Problem
z innymi istniejącymi systemami, przygotowują organizację wyłącznie na ten nie występuje przy budżetowaniu zakupów
rozszerzając znacznie ich możliwości i znane zagrożenia. Równocześnie, wg. typu antywirus. Tymczasem możliwość
pozwalając na odpowiednie zarządzanie ankiety przeprowadzonej przez Forrester spojrzenia na sieć niejako z góry i absolutna
incydentem. Nawet zagrożenia typu Research, jedną z największych na świecie wiedza o wszystkim, co się w niej dzieje,
zero-day czy zachowania szpiegowskie firm zajmujących się badaniem rynku, 60 nawet w skali przedsiębiorstwa daje zupełnie
lub kryminalne mogą być obsłużone procent menadżerów bezpieczeństwa nie inne możliwości ochrony również przed
natychmiast. Dla przykładu  w sytuacji potrafi odpowiedzieć na pytanie: ile kosztują nieznanym. Takie podejście do incident
wykrycia nienormalnego ruchu sieciowego moją organizacje incydenty bezpieczeństwa. response pozwala uchronić się przed
na porcie 53 (DNS), w czasie gdy ruch ten Okazuje się, że w większości przypadków nie stratami, a w każdym razie z całą pewnością
jest obserwowany pod kątem kontekstu istnieją w firmach i instytucjach mechanizmy je minimalizować. Analiza ruchu na poziomie
i zawartości, platforma śledcza pozwala szacowania skali, a kosztów tych nie da się sieci uniemożliwia ukrycie w niej czegokolwiek.
analitykom bezpieczeństwa reagować policzyć. Duża część incydentów nie jest Narzędzie typu Netwitness, pozwalając na
na bieżąco i nie odwracać uwagi od nawet poznana. W związku z tym nie potrafią pełne przechwytywanie pakietów i analizę
rzeczywistego problemu. oni uzasadnić zarządom uzasadnienia sieci, daje nowe spojrzenie na przyszłość
ułomnych systemów bezpieczeństwa.
Znane incydenty bezpieczeństwa
Eddie Schwartz
Titan Rain (2003) CISP, CISA, jest szefem bezpieczeństwa korporacji
NetWitness, lidera rynku systemów monitoringu następnej
Był jednym z pierwszych dużych skoordynowanych ataków na duże sieci rządowe, którego ofiarą padły
generacji. Ma za sobą 25 lat doświadczeń w dziedzinie
NASA, rządowe laboratoria USA a nawet Locheed Martin. Winą za działania obciążono chińczyków
bezpieczeństwa i zarządzania bezpieczeństwem
jednak ich rzeczywista natura (opłacone działania szpiegowskie?) pozostała nieznana. Dopiero w
w organizacjach finansowych i rządowych Stanów
Zjednoczonych. Swoją wiedzę koncentruje na
2005 roku dyrektor jednego z instytutów zajmujących się bezpieczeństwem s Stanach Zjednoczonych
poszukiwaniu nowoczesnych metod incident response.
przyznał, że istnieją dowody na to, że działania te były koordynowane przez wywiad chiński.
Przemysław Krejza
dyrektor ds. badań i rozwoju w Mediarecovery,
TJX (ok. 2005)
największej polskiej firmie świadczącej profesjonalne
Firma TJX była przykładem poważnych zaniedbań bezpieczeństwa, dzięki którym zorganizowana
usługi informatyki śledczej (computer forensics). Prawnik,
grupa przestępcza wykradła około 50 mln kart kredytowych i ok. 500 tys. danych osobowych informatyk. Wcześniej 8 lat na stanowisku zarządzania
działem odzyskiwania danych w firmie Ontrack. Autor
klientów TJX. Proceder kradzieży danych trwał co najmniej kilkanaście miesięcy a, wg. niektórych
publikacji na tematy związane z informatyką śledczą
informacji, nawet lat. Działania finansowane były prawdopodobnie przez rosyjską mafię a straty
i odzyskiwaniem danych. Prelegent wielu konferencji i
korporacji szacuje się na ponad miliard dolarów.
seminariów.
Kontakt z autorem: biuro@mediarecovery.pl
R E K L A M A
6/2008 HAKIN9 73