Hlavní navigace

Recenze knihy "Know Your Enemy"

4. 9. 2003
Doba čtení: 6 minut

Sdílet

Honeypot je systém využívající "jail-technology" přitahující potencionální útočníky. Jediný systém zpravidla imituje produkční systém či dokonce celou produkční síť. Primárním úkolem je poučit se od nepřítele. Kniha "Know Your Enemy" popisuje zákulisí a princip fungování tohoto projektu.

Přesně si vzpomínám na rozhovor se zahraničním kolegou v Novoměstském pivovaru v Praze LP 2002. Probíhal vcelku normálně. Rozebírali jsme detaily našeho společného projektu a hovor se postupně uvolňoval. Témata se střídala a najednou vyšlo najevo, že se kolega zúčastnil konference Defcon v Las Vegas. Byl jsem u vytržení. Vyptával jsem se na detaily nadšen představou osobního setkání s kouzelníky typu rain forest puppy apod. Proč ale píši tento článek? Důvodem bylo několik závěrečných vět našeho, pro mne tak zajímavého, rozhovoru. Poté, co mi nastínil všemožné podrobnosti o konferenci, přešel bez varování k projektu Honeynet. Tvrdil, že už dlouho neviděl něco tak zajímavého. A měl pravdu :-).

obálka Na tento rozhovor jsem si vzpomněl v okamžiku, kdy se mi do rukou dostala kniha „Know Your Enemy“, která nese podtitul „Revealing the security tools, tactics, and motives of the blackhat community“, což snad lze volně přeložit jako „odhalení bezpečnostních nástrojů, taktiky a motivů společenstva černokloboučníků“. Autoři jsou členové projektu The Honeynet. Jedná se o velice zajímavé dílo, které přináší zcela unikátní pohled na hacking jako takový.

Na začátku, jak už to tak bývá, byl jednoduchý nápad. Kdy je obrana nejúčinnější? Když vím, kdo na mne útočí, znám jeho taktiku a důvody. A jak se dozvědět co nejvíce o tom proč, jakými způsoby, kdo a kdy se pokouší dostat do cizích počítaců? Odpovědí je Projekt Honeynet. A jsme zpět u knihy „Know Your Enemy“, která je o tomto projektu. Jako autor knihy je uveden celý tým project Honeynet, takže není jasné, co kdo napsal. V rámci projektu se ale můžeme setkat se zvučnými jmény jako Dug Song, Stuart McClure, Ofir Arkin, Marty Roesch, Mike Schiffman a dalšími.

Úvod knihy tvoří vyčerpávající popis příčin vzniku projektu. Napsal ho Lance Spitzner, dnes již slavné jméno a jeden ze zakladatelů celého projektu. Předmluvu má zase na svědomí Bruce Schneier, autor kultovní Aplikované kryptografie. Dále je kniha rozdělena na tři části: honeynet (The Honeynet), analýza (The Analysis) a nepřítel (The Enemy).

The Honeynet

Tato část nás seznámí se způsobem, jakým honeynet pracuje a co se za tímto názvem „skrývá“. Nejprve je nutné si uvědomit fakt, že honeynet není honeypot. Honeypot neboli vábnička je systém využívající „jail-technology“ přitahující potencionální útočníky. Jediný systém zpravidla imituje produkční systém či dokonce celou produkční síť. Honeynet je síť za firewallem s většinou implicitně nainstalovanými počítači, tj. bez jakýchkoliv bezpečnostních opatření. Na začátku to byly operační systémy Windows NT, Solaris 2.6 a Linux Redhat 6.2. Později ještě také Windows 98. Cílem sítě je zachytit a monitorovat veškerou komunikaci směřující k systémům uvnitř sítě nebo od nich. Jedná se tedy o reálné produkční systémy. Funkcionalita je obdobná jako u honeypotu, ale primárním úkolem je poučit se od nepřítele. Honeynet je nástroj k učení nebo také architektura vysoce kontrolované sítě. Abychom se co nejvíce dozvěděli, musíme zalogovat co nevíce informací (data capture). Logování musí být v některých případech rendundatní, protože jednou z prvních akcí v případě kompromitace systému je vyřazení systémového logování. Na straně druhé musíme honeynet zabezpečit tak, aby útočník nemohl vašich systémů zneužít pro páchání dalších nekalostí (data control). Je to ošemetná věc, protože útočník musí věřit, že vše pracuje tak, jak si představuje, i když ve skutečnosti se nesmí téměř nic stát. Nastavení firewallu, předsunutého routeru a vytvoření vícevrstevnatého modelu, který umožní monitoring, abych tak řekl do posledního dechu, je důkladně popsáno v rámci této úžasné knihy. Jedná se o užitečný návod pro vytvoření vlastní varianty honeynetu. V rámci projektu byly často vytvořeny nové nástroje speciálně určené pro honeynet. Jedná se například o systémové keyloggery nebo úpravy Snortu, který se výborně osvědčil zejména jako zachytávač dat (data capturing).

Analýza

Druhá část popisuje proces proměny megabytů zachycených nebo chcete-li zalogovaných dat a podává informace o použitých nástrojích, taktice a motivech. Z tyglíku zbytečných dat je extrahován cenný kámen mudrců. Bohužel se nejedná o jednoduchou cestu. Její obtížnost roste se stupněm znalostí útočníka a je velmi závislá na zkušenostech posuzovatele. Analýza je v zásadě totožná s častou praxí každého administrátora. Spočívá v kontrole logu firewallu (zde byl použit Checkpoint FW-1), systému IDS (Snort) a systémového logu. Na všechny tyto logy jsou aplikovány mechanismy, okamžitě informující v případě výskytu podezřelých údálostí. A podezřelé je vše.

Další kapitoly potom rozebírají konkrétní příklad analýzy kompromitovaného systému. Postupně sledujeme logický sled událostí. Nejprve útok. Na DNS port 53 je detekován Snortem buffer overflow útok. Vzápětí nás firewall uvědomuje o existenci spojení na portu 23 z neznámého zdroje. Systémový log potvrzuje korektní otevření sezení. Vypadá to, že útok byl úspěšný. Začíná pitva napadení. Snort jej detekuje jako hlášení IDS278. V databázi arachNIDSnebo aktuálněji přímo na stránkách nástroje Snort pak k němu najdeme bližší vysvětlení. Jedná se o Bind NXT Exploit. A pokračujeme dále. Analýza jde hlouběji a hlouběji. Z jednotlivých diskových oddílů jsou pomocí nástroje dd vytvářeny obrazy (image), které se pak kopírují pomocí nc na stroj, určený pro forenzní (hloubkovou) analýzu. Zjištujeme, co se na systému událo, jak si útočník připravuje backdoor, které soubory a logy maže a další informace. Samozřejmě včetně odkazů na místa, kde se o daných technikách dozvíte více, a nástrojů, které se osvědčily, jako např. The Coroner's Toolkit. Vše je přehledné a dostatečně ilustrativní.

Nepřítel

Třetí a závěrečná část knihy shrnuje informace o útočnících, které se pomocí tohoto projektu už podařilo nashromáždit. Dozvíme se zde o taktice a motivech těch, kteří útoky podnikají. Jedna kapitola je věnována červům. Popsána je zkušenost s analýzou červa, napadajícího systémy Windows. Byl nedestruktivního charakteru, uzurpující „pouze“ CPU pro distribuované hledání klíče algoritmu, na jehož prolomení byla vypsána odměna.

Další kapitola nese název „Jejich vlastními slovy“ (In their own words) a obsahuje zachycenou IRC komunikaci hackerů, tvořících dohromady skupinu. Komunikace je komentována a dále analyzována psychologem, který je členem projektu. Jedná se o naprosto unikátní autentické texty, se kterými jsem se osobně doposud nesetkal. Lehce si můžeme vytvořit představu o tom, kdo je útočník a proč to asi dělá.

root_podpora

Zdá se vám to málo? Závěrečná kapitola pojednává o ambiciózní budoucnosti projektu. Cílem je další vývoj technik zachytávání dat, jejich analýzy a vytvoření distribuovaného modelu sítě honeynetů, umožňujícího zjišťování trendů.

Shrnutí

Knihu určitě doporučuji všem správcům sítí, bezpečnostním administrátorům a architektům. Text je velice čtivý a čas od času v něm lze najít skutečně zajímavé postřehy. Svým záběrem i obsahem se řadí mezi originální knihy, patřící do knihovny všech, kteří to s bezpečností myslí vážně. Pro ty, které článek zaujal, odkazuji na webové stránky projektu, kde je možné stáhnout vybrané kapitoly knihy nebo jejich aktualizace. Vývoj jde dále, takže zde můžeme nalézt návody na tvorbu honeypotů druhé generace (genII) s využitím nástrojů jako VMware nebo User-Mode Linuxu (UML). Také jsou zde už návody na distribuované řešení tj. Honeypot farmu. Tato témata ve vydání z roku 2001 bohužel zahrnuta nejsou.

Byl pro vás článek přínosný?