Nejen o forenzní laboratoři FLAB organizace CESNET jsme si povídali s bezpečnostními experty Alešem Padrtou a Andreou Kropáčovou.
Plzeňská forenzní laboratoř není nový projekt, že?
AK: Oficiálně byla založena v roce 2011, ale kořeny sahají ještě dále. Je to logické pokračování toho, co CESNET dělal v oblasti bezpečnosti vlastně od počátku svého vzniku.
Kolik lidí v ní v současné době pracuje?
AP: Základem jsou čtyři lidi. Komunikujeme ovšem s mnoha dalšími kolegy z celé organizace. Nejsme uzavřená skupina.
Pro koho laboratoř především pracuje?
AK: Úplně původním impulzem bylo to, že bezpečnostní tým CESNET-CERTS chtěl mít nějakou jednotku rychlého zásahu, která by byla schopna analyzovat závažné bezpečnostní incidenty. Mělo jít o servisní službu pro rozvoj bezpečnosti.
Uvnitř sítě CESNET?
AK: Původně ano. V průběhu let jsme došli k tomu, že aby byla životaschopná a soběstačná, nesmí se omezit jen na servisní činnost pro bezpečnostní tým. Začali jsme ji proto budovat tak, aby byla samonosná a dokázala by poskytovat služby i dalším organizacím.
AP: Stále fungujeme primárně jako podpora pro CESNET-CERTS a další bezpečnostní týmy působící v síti CESNET2, ale když máme čas, věnujeme se i dalším věcem. Například malé univerzity nemají šanci si vychovat odborníky, kteří by se těmto problémům mohli věnovat. Obvykle se tam celému IT věnují dva tři lidé a ti se pak v případě problému obrátí na nás a my jim pomůžeme s analýzou.
AK: Deklarujeme do bezpečnostní komunity, že jsme ochotni pomáhat s většími problémy v rámci neformální spolupráce. Nejsme uzavření jen pro CESNET.
Čemu se věnujete nejvíce?
AP: Nejčastěji je to analýza malware. Do nějaké instituce dorazí infikovaný e-mail, oni nám ho přepošlou a my uděláme základní rozbor – včetně toho, jak odhalit nakažené počítače. Sledujeme, jak se malware chová na síti a oni pak z logů netflow toto chování ve své síti detekují a odhalí napadené stroje. Zároveň dokážeme popsat třeba to, jaké soubory malware mění a jak ho odhalit přímo v počítači.
Tohle testujete v nějakém sandboxu?
AP: Ano, základní analýzu je potřeba udělat velmi rychle. Obvykle do dvou hodin posíláme základní informace o malware. K jeho analýze používáme kontrolované prostředí, ke kterému jsou připojené nástroje sledující chování neznámého kódu. Můžeme mu třeba podvrhnout virtuální síť včetně falešného internetu. Poté zkoumáme vnější projevy. Pokud chceme udělat reverzní analýzu, zabere nám to řádově týdny.
Kdo je kdo?
Aleš Padrta
Aleš Padrta v současné pracuje ve sdružení CESNET, z. s. p. o. jako vedoucí forenzní laboratoře FLAB. Vystudoval kybernetiku se zaměřením na umělou inteligenci, kde se věnoval rozpoznávání obrazu a expertním systémům pro rozpoznávání řečníka. Bezpečnosti v IT se věnuje od roku 2005, kdy začínal na pozici bezpečnostního správce a správce služby DNS na Západočeské univerzitě v Plzni. Zde také zakládá bezpečnostní tým WEBnet Incident Response Team a následně zahajuje spolupráci s CESNET-CERTS, která jej zanedlouho přivádí do sdružení CESNET, z. s. p. o. Kromě vedení forenzní laboratoře a řešení analýz se také věnuje výzkumné, vzdělávací a publikační činnosti.
Andrea Kropáčová
Andrea Kropáčová začínala svou profesní kariéru jako správce sítí, síťových služeb a příležitostný programátor ve sdružení CESNET. Odtud byl už jen krok k oblasti bezpečnosti sítí a služeb a následně k problematice CERT/CSIRT týmů. V roce 2004 vybudovala tým CESNET-CERTS, první CSIRT tým, který byl v České republice etablován a uznán světovou bezpečnostní infrastrukturou. Zkušenosti z vybudování tohoto akademického týmu uplatnila v letech 2007 až 2010 při budování pracoviště CSIRT.CZ, dnes Národního CSIRT České republiky. V současné době se nadále věnuje vedení týmu CESNET-CERTS, rozvoji bezpečnostních služeb ve sdružení CESNET a bezpečnostní strategii sítě CESNET2 a reprezentaci sdružení CESNET v národních i mezinárodních bezpečnostních infrastrukturách. Získané vědomosti a zkušenosti využívá pro osvětovou a vzdělávací činnost.
Jak často se zabýváte podobným malware? Jak běžná je to pro vás věc?
AP: Zatím se o téhle službě příliš neví, ale intenzivně spolupracujeme třeba se Západočeskou univerzitou, která nám pravidelně dodává data. Jen z tohoto jednoho zdroje máme jeden malware za čtrnáct dní. A to nám dávají jen to opravdu zajímavé – nové věci nebo takové, které spustilo hodně uživatelů.
Je uživatel největší slabinou?
AP: Nejčastěji se malware šíří mailem, ve kterém je třeba odkaz na stažení a instalaci. Pak nastupuje sociální inženýrství, které cílí na slabiny uživatelů a přesvědčuje je k chybnému jednání čím dál drsnějším způsobem. Začalo to úsměvným „Miláček zákazník, kontaktujte banka“, ale pokračuje to „dlužíte“, později „zaplaťte“ a dnes už po vás jde exekutor. Tlak se stupňuje a málokdo to ustojí. Já sám vím, o co jde, ale stejně ve mně vždycky hrkne a mám nutkání to otevřít.
AK: Od loňského roku pozorujeme stupňující se kampaň phishingových útoků, jejichž cílem je infikovat malwarem počítače uživatelů. Zmiňované stupňování nátlaku má přesvědčit uživatele k otevření přílohy. Je to ovšem také výborný zastírací manévr, protože uživatel je tak vystresovaný, že když přílohu otevře a najde tam dokument nepotvrzující původní hrozbu, uleví se mu tak výrazně, že celou věc hodí za hlavu a zapomene na ni. Nepřemýšlí pak nad tím, proč někomu stálo za to připravit takhle dokonalý mail.
Pozorujete u malware nějaký vývoj?
AP: Původně se posílaly exe soubory, pak se zipovaly a pak vícenásobně zipovaly. To proto, aby malware prošel kontrolou. Teď se začaly posílat Java Archive soubory, protože ten se spustí na libovolné platformě s nainstalovanou Java VM – ať už na Windows, Linuxu nebo OS X. Kód se spustí a pak teprve stáhne správný malware pro vaši platformu.
Je to tím, že mnoho administrátorů blokuje posílání exe souborů?
AP: Přesně tak, dřív se zakazovaly exe, pak scr a pak další přípony, ale na Javu se často zapomíná. Brzy ji ale budou správcové přidávat do zakázaných přípon. Stále se utahují šrouby a časem se dostaneme do stavu, kdy se přílohy zakáží úplně, protože se malware bude cpát do všech formátů.
A uvnitř samotného malware?
AP: Jasným trendem je, že už se neposílá samotný malware. Posílá se jen dropper, který pak teprve malware sám stáhne. Ten se v počítači uhnízdí, připojí se k botnetu a čeká na to, co má dělat dál. Teprve později se rozhodne o tom, jestli se stáhne modul pro spamování, lámání šifer nebo jinou činnost. Můžeme tedy analyzovat to, jak se na začátku malware šíří, ale už nezjistíme, co všechno může v koncové síti dělat.
Vytváříte na základě svých analýz veřejné výstupy? Varování, doporučení a podobně?
AP: Pokud děláme bezpečnostní audit serverů, pak samozřejmě nemůžeme zveřejňovat detaily o objevených problémech. Ale v případě malware to není problém, takže zajímavé novinky posíláme do bezpečnostního fóra CESNET, aby to věděli další správci. Velmi zajímavé kousky pak prezentujeme třeba na různých konferencích.
AK: Směrem nahoru pak jako bezpečnostní tým sdílíme informace například s národním týmem CSIRT.CZ a mezinárodními kanály do celé komunity. Stali jsme se členy projektu MISP, což je platforma pro sdílení informací o malware běhajícím po světě.
Předpokládám, že nepracujete jen s malware?
AP: Analýza malware je vlastně jen jednou z částí toho, čemu říkáme analýza incidentu. Když zjišťujete informace o nějaké bezpečnostní události, musí být věrohodné, aby se na nich dalo stavět. Když je někdo podezřelý z porušení zákona, k nám se dostane jeho počítač a je na nás zjistit z něj informace. Na základě nich se pak postupuje dále, koreluje se třeba s netflow a podobně.
Stejně tak, pokud jde třeba o útok zvenčí…
AP: Ano, pokud se k nám dostane napadený server, musíme určit, kudy se útočník dostal dovnitř. Jestli šlo o nezáplatovanou bezpečnostní díru, chybu v konfiguraci a podobně. Stejně tak zjišťujeme, jaké nástroje útočník použil, co všechno mohl dále napáchat a tak dále. Cílem je zjistit, jak to napříště zabezpečit tak, aby se incident neopakoval.
Máte nějaký konkrétní příklad?
AP: Nedávno jsme analyzovali web server, na který se útočník dostal skrz špatně nastavený uživatelský účet s administrátorskými právy. Protože šlo o velmi naivního script kiddie, nainstaloval si na server různé webové nástroje a zkoušel zadávat příkazy. Pletl si ale operační systémy Windows a Linux, takže spouštěl špatné nástroje a zadával nesmyslné příkazy, které nefungovaly. Protože ale neuměl smazat Apache log, měli jsme krásně dokumentovaný celý jeho postup, co ho zajímalo, co zadával a co získal.
Umíte podobným problémům i předcházet?
AP: Na základě požadavků jsme začali dělat i penetrační a zátěžové testy. Pokusíme se prolomit do daného stroje nebo ho maximálně vytížit a zkoušíme, kolik vydrží. Výsledkem je pak report, který odhaluje slabiny nebo uvádí, jak velkému provozu server odolá. Správce pak může učinit kroky potřebné ke zlepšení situaci.
AK: Při designování podobných testů hraje roli celá řada různých faktorů – packet rate, propustnost linek, předřazené bezpečnostní prvky, mechanismy na koncovém zařízení a podobně. Na tohle všechno je možné útok zacílit, je potřeba ušít ho na míru. Nestačí jen postavit velké dělo a začít bezhlavě pálit.
AP: Cílem penetračních testů je najít slabiny a chyby. Jsou určeny pro organizace, které chtějí zjistit, jak zdravé jsou jejich systémy. Penetrační testy ale nedokáží potvrdit bezpečnost v síti – není to audit.
Jak jsou dále výsledky používány?
AP: Nechceme nikoho konkrétního obviňovat z nedbalosti nebo neschopnosti. Často je problém třeba v tom, že na jednoho správce připadá sto serverů a on pak některé věci nestíhá. My tedy dodáme podklady a je už na provozovateli, jak s nimi naloží. Výsledkem může být třeba manažerské rozhodnutí o přijetí dalších lidí.
AK: Členové forenzní laboratoře odpovídají na položené dotazy.
AP: Pokud mají být výsledky analýzy nějak použitelné, musí být jasné, jak se k nim došlo. Dokumentujeme svou práci tak, aby ji kdokoliv mohl zopakovat a ověřit. Některé incidenty mohou dojít až k soudu, takže je potřeba, aby nikdo nemohl naše výsledky zpochybnit.
Děkuji za rozhovor.
ČLÁNKY DO MAILU