Bezpečnost síťové části e-Infrastruktury CESNET
Infrastruktura CESNET má cca šest tisíc kilometrů tras a je složená převážně z optických vláken. Agregovaná kapacita zahraničních linek pak činí kolem 120 Gbps. Tomáš Košňar účastníkům vyložil, jak se takový síťový „kolos“ hlídá a reguluje z hlediska bezpečnosti. Základní východisko je, že se neomezuje žádný legitimní provoz,
říká. Samotný CESNET tedy zasahuje až v případě závažných anomálií nebo tehdy, kdy se na něj nějaký člen sdružení obrátí s žádostí o pomoc. O vhodném nastavení regulace a kritérií se obvykle diskutuje v různých skupinách jako např. CSIRT.CZ nebo FENIX.
Monitoring probíhá na třech úrovních. Tou nejvyšší je systém G3 monitorující aktivní prvky v síti. Je postavený primárně na bázi SNMP, ale sběr dat může probíhat i dalšími protokoly,
říká Košňar. Systém vyhodnocuje a vhodně vizualizuje výtěžnost, chybovost, anomálie apod. Právě vizualizace je důležitá, protože systém sesbírá přesná syrová data, která je ale potřeba lidsky interpretovat. Automaty jsou hezká věc, ale je potřeba ta inteligence za tím.
Systém G3 měří cca 220 zařízení a na nich 780 tisíc údajů, v průměru jednou za 430 sekund. K jeho provozu slouží asi 20 procesorových jader.
Tomáš Košňar
Ještě detailnější měření zajistí hardwarově akcelerované sondy na perimetru sítě, jejichž výhodou je volitelná úroveň přesnosti. V současné době CESNET provozuje osm produkčních sond a pro tento systém je vyhrazeno 136 procesorových jader. Sondy poskytnou ideální základ pro ruční analýzu a učení se nových jevů. A nakonec se monitoruje i IP provoz na bázi toků, což je z hlediska výpočetního výkonu nejnáročnější – využívá 460 jader. Pro tyto účely CESNET používá FTAS, další systém vlastní výroby, který zpracovává IP provoz a zpřístupňuje informace o provozu
.
FTAS praktikuje dva základní typy vyhodnocení. Tzv. semi-real time, kdy se analyzuje a vyhodnocuje krátký časový interval v řádech sekund, a to pouze jednorázově. Tento typ poskytne rychlý, ale jen povrchní výstup. Víc poví analýza ex-post. Tady nás zajímá delší časové okno a soustavnost nějakého jevu,
vysvětluje Košňar. Tento způsob analýzy se v zásadě nijak neliší od toho prvního, jen jsou nastaveny měkčí limity. FTAS také umožňuje nastavit detekci anomálií na míru.
Svou přednášku Košňar zakončil shrnutím aktuálních trendů. Asi nejzajímavější je zkracování doby DDoS útoků z jednotek minut i na pouhé jednotky sekund. Takové útoky často cílí např. na herní serverová centra, kde i kratičký výpadek způsobuje velké problémy. A co útoky na IPv6?
zní jedna z nejčastějších otázek. Sice existují, ale je jich málo a jsou tak slabé, že nestojí za řeč. Mezi další trend patří spektrální rozmanitost útoků – multi i single flow.
Sběr a zpracování dat z bezpečnostních nástrojů: Systémy Warden a Mentat
Pavel Kácha na semináři představil systémy Warden a Mentat, další řešení z vlastní dílny CESNETu. Jejich cílem je sběr a následně distribuce informací o různých incidentech nebo jevech v sítích. Mailové reportování příliš nelze škálovat,
vysvětluje Kácha, proč jsou tyto systémy vlastně třeba. Reportovací systémy už sice existují, ale fungují různě a často spolu nekomunikují, což je problém. Ztrácí se tak velké množství dat, které by mohly poskytnout zajímavé informace.
Proto postupně vznikl systém Warden. Teď už je v třetí iteraci, začínali jsme před lety ve spolupráci s kolegy Masarykovy univerzity.
Od první a druhé verze se sice hodně změnil, ale pointa zůstává stejná. Je to chytřejší fronta, kam z jedné strany události strkáte a z druhé strany vám vypadávají,
říká Kácha. Se získanými daty pracuje CESNET-CERTS. Warden byl vydán pod BSD licencí, takže si zájemci mohou hrát se zdrojovými kódy. Další informace o fungování systému jsou k dispozici na webu wardenw.cesnet.cz.
Pavel Kácha
Jedním z důležitých kroků byla specifikace formátu, ve kterém se informace o incidentech budou reportovat/sdílet. Vzhledem k jednoduchosti a rozšiřitelnosti byl zvolen formát JSON. Pokud někdy bude potřeba, je možné specifikaci rozšířit. Ale co se jednou kodifikuje, tak už se měnit nebude,
ujišťuje Kácha. Specifikace se nazývá IDEA, což je zkratka pro Intrusion Detection Extensible Alert. Systém Warden pak funguje na komunitní bázi, což znamená, že všechny zúčastněné organizace mají přístup ke všem přijatým informacím.
Mladším bratříčkem Wardenu je Mentat (mentat.cesnet.cz) – systém ukládající události z Wardenu, který má rozhraní s nejrůznějšími možnostmi filtrace apod. Tento projekt zatím není open-source, ale otevření je v plánu. U Mentatu se ale narazilo na praktický problém: nejsou lidé, kteří by informace zpracovávali. Vývojáři proto Mentat naučili generovat e-mailové reporty. Pro představu, z průměrně miliónu událostí denně vzejde přibližně šedesát reportů.
Stále je ale na čem pracovat. O některých incidentech jsou informace nedostatečné,
říká Kácha. Mezi další problémy patří absence kontextu nebo různá kvalita reportů. Poučení tedy zní: informace nestačí jen přebalit a rozeslat. Do systému proto bylo implementováno třeba zamezení opakování oznámení nebo stanovení závažnosti incidentu. Také bylo vytvořeno rozhraní pro správce, kde si účastníci projektu mohou zobrazovat podrobné informace o reportech včetně grafů apod.
Sběr a zpracování dat z bezpečnostních nástrojů: quo vadis CESNET?
Andrea Kropáčová uvedla SABU (Sdílení a analýza bezpečnostních událostí), což je nejnovější projekt CESNETu, který financuje Ministerstvo vnitra. V projektu je zapojena také Masarykova univerzita. Cílem je kromě analýzy bezpečnostních událostí také najít nové zdroje dat a zjistit, jak je co nejlépe klasifikovat. Jak už z předchozího textu možná tušíte, základním kamenem projektu je právě Warden. V roce 2017 se chystá testovací nasazení, produkční nasazení na národní úrovni je pak plánováno na rok 2019. Ideální by ale samozřejmě bylo navázání spolupráce na mezinárodní úrovni.
Andrea Kropáčová
Jako další si vzal slovo Václav Bartoš, který ukázal zajímavé statistiky o bezpečnostních incidentech z Wardenu. Velkou většinu bezpečnostních událostí představuje skenování portů, dál jsou to pokusy o přihlášení. Další události už mají podstatně menší zastoupení. Asi nepřekvapí, že mezi nejčastější země původu patří Čína, Rusko či Indie. Zdroj v ČR má jen asi jedno procento událostí, přičemž nejčastěji je to od poskytovatelů jako Wedos, UPC a O2. Podle Bartoše má smysl se podrobněji zabývat adresami, které jsou velmi aktivní – 3,5 % adres totiž má na svědomí téměř polovinu událostí.
Aby těch projektů nebylo málo, přišel Pavel Bašta představit ještě jednu novinku – PROKI (Predikce a ochrana před kybernetickými incidenty). I tentokrát je potřeba informace incidentech nejprve posbírat. Část informací bude zcela veřejná, k části budou mít přístup jen subjekty splňující některé požadavky. Cílem projektu je ale hlavně umožnění pokročilého prohledávání incidentů, nalézání souvislostí apod. Právě tato část přispěje k prevenci. Pro sběr incidentů se bude používat modulární open-source software IntelMQ, vyhledávání zajistí Elasticsearch. Data obohatí také databáze jako VirusTotal a další.
Forenzní laboratoř sdružení CESNET
Andrea Kropáčová dál představila Forenzní laboratoř sdružení CESNET, neboli FLAB. Laboratoř původně měla sloužit jako podpůrné pracoviště pro bezpečnostní tým CESNET-CERTS, ale časem se rozrostla.Nabízí komplex služeb od analýzy bezpečnostního incidentu, penetračních testů přes zátěžové testy a odbornou analýzu,
říká Kropáčová. Přestože laboratoř stále spolupracuje hlavně s bezpečnostním týmem, který do ní např. posílá malware k analýze apod., tak si její služby mohou objednat i externí subjekty. Nejčastěji jde o penetrační testy, jejichž cílem je odhalit zranitelná místa dřív než útočník. Výstupem je závěrečná zpráva a většinou i workshop s klientem.
Vedoucí laboratoře Aleš Padrta pak popsal jeden konkrétní případ, na kterém se svým týmem pracoval. Jednalo se o malware Houdini, který minulý podzim terorizoval studenty Západočeské univerzity v Plzni. Studenti za administrátory chodili s tím, že se jim špatně kopírují soubory z USB flash disků. Flash disk totiž obsahoval zástupce i původní soubory, které byly skryté,
vysvětluje Padrta. Otevření zástupce nejenže otevře vyžadovaný soubor, ale zároveň spustí skript ve formátu .wsf (Visual Basic), který malware zkopíruje do počítače a upraví registry, aby si zajistil své spuštění při každém spuštění počítače.
Aleš Padrta
A takto se malware šíří dál. Když zjistí, že je k počítači připojeno zapisovatelné USB zařízení, tak schová původní soubory na něm a nahradí je zástupci s odkazem na skript. Antiviry tehdy skript nedokázaly rozeznat, takže jediným efektivním způsobem ochrany bylo blokování spouštění .wsf skriptů. Padrtra upozorňuje i na to, že kdybychom před uživateli nezatajovali důležité informace jako přípony souborů, možná by se na malware přišlo dřív. Kód skriptu byl mnohokrát obfuskovaný, ale to zásadní se krývalo v cca pětisetřádkovém, tedy relativně krátkém, kódu.
Houdini (někdy také Dinihou) kromě už popsané funkcionality také komunikuje s C&C serverem, takže se umí aktualizovat nebo i odinstalovat. Také zvládá stahování i odesílání souborů. Vzhledem ke komunikaci se serverem lze přítomnost malwaru odhalit i analýzou síťového provozu. Nakonec se zjistilo, že lokálním epicentrem bylo plzeňské copycentrum, ale malware se jistě šířil i v dalších koutech světa. Pracovníci laboratoře vyvinuli skript, se kterým lze malware z počítače kompletně odstranit. A dnes? Dnes už ho zablokuje drtivá většina antivirových programů.
Fotografie poskytlo sdružení CESNET, autorkou je Klára Thomasová.
ČLÁNKY DO MAILU