Hlavní navigace

Recenze knihy Honeypots, Tracking hackers

16. 10. 2003
Doba čtení: 8 minut

Sdílet

Váš server byl kompromitován a vy jste pocítili silnou potřebu zatočit s těmi grázly? Pak jste tady správně, protože tato kniha Vám k tomu nesporně pomůže. Ale pozor! Tak jako vše, má i tato technologie své odvrácené strany. Jak se s nimi vypořádat, čemu se vyhnout a jak zvolit optimální cestu, nám poradí Lance Spitzner.

Myslím, že ho můžeme s klidným svědomím označit za průkopníka technologie vábniček nebo, chcete-li, honeypotů. Knihu vydalo v roce 2002 nakladatelství Addison-Wesley a má 452 stran. Soukromě ji považuji za volné pokračování knihy “Know Your Enemy” (KYE), která se zabývá projektem Honeynet. Je vidět, že Spitzner se problematikou velmi intezivně zabývá. Nahromaděné zkušenosti spolu s naprostým nedostatkem odborné literatury pak vyústily k vydání díla, které jako první řadí vábničky do rodiny seriozních bezpečnostních nástrojů. Ale nyní už k vlastnímu obsahu.

Předmluvu napsal Marcus J. Ranum, známý odborník na firewally. Je legrační ji číst, ale podstatné je, že docela vystihuje smysl Lanceho práce a potvrzuje jeho výsledky. Říká, že už chápe, k čemu všemu lze vábničky využít, a dostává při čtení další nové nápady. (Osobně jsem se setkal se skeptickým přístupem odborníků.) Kniha se člení na 16 kapitol, které metodicky pokrývají vznik technologie vábniček, její klasifikaci, uvádí konkrétní příklady z komerční i nekomerční sféry, řeší implementační problémy, správu vábniček, právní problémy a nakonec po vzoru Libuše i možnou budoucnost celé technologie. Zkrátka shrnuje dosavadní zkušenosti a současný stav.

Na začátku autor popisuje své první krůčky a zkušenosti s vábničkami. Líčí zmatení veřejnosti a falešná očekávání. Nebylo ale čemu se divit, protože nikdo vlastně nevyřkl definici této technologie. Proč a k čemu vábničky slouží? To je další kapitola. Připomíná mi knihu Know Your Enemy, vlastně ji tak trochu shrnuje. Cílem napadení můžete být i vy, kteří se připojujete pouze vytáčenou linkou! Automaty (červy, worms) si nevybírají. Jednoho dne se ucho přece jen utrhne. Na zavěr každé kapitoly jsou uvedeny relevantní odkazy na knihy nebo webové stránky, což je bezva.

Když jsme se dozvěděli, proč jsou vábničky odbornou veřejností akceptovány s jistými rozpaky, je čas s tím něco udělat. Takže od začátku. Ten je datován do roku 1990/1991. První zmínky jsou v knize Kukaččí vejce od pana Stolla a v dokumentu pana Cheswicka “An Evening with Berferd”. Jestli jste ještě nečetli Kukaččí vejce, tak to běžte napravit. Vyšlo v českém překladu a ještě donedávna bylo k sehnání ve zlevněných knihách. Strhující četba. Pak už přišly na řadu první praktické aplikace. Deception Toolkit (DTK) Freda Cohena, komerční CyberCop Sting, NetFacade od tvůrce Snortu Martyho Roesche a další. Následně je obecně popsán funkční princip a je konečně definován termín vábnička. Uf, tak teď už v tom nebude chaos. V těsném závěsu následuje kategorizace vábniček a na celou kapitolu vydající výčet jejich výhod a možných rolí v oblasti síťové bezpečnosti. Další kapitola zavádí klasifikaci vábniček dle možného stupně interakce útočníka. Definuje tři stupně: nízký, střední a vysoký, které samozřejmě detailně popisuje. Až do tohoto okamžiku se autor pohybuje na dosti obecné úrovni, na řadu tedy přijde praxe. Následuje průřez současnou “vábící” scénou. Autor se odhodlal poměrně detailně popsat šest současných řešení včetně jejich způsobu práce. Řešení řadí podle definované nomenklatury a hodnotí jejich klady a zápory. Přiznám se, že tato část knihy, ačkoliv se to možná zpočátku nezdálo, byla docela rozvláčná.

Back Officier Friendly (BOF)

Jednoduchá bezplatná vábnička s nízkým stupněm interakce pro platformu Windows s velmi omezenou funkčností. Nemůžete nic zkazit, ale ani příliš mnoho získat. Optimální pro počáteční pokusy na jediném stroji bez možnosti vzdálené správy. Dokáže poslouchat na omezeném počtu portů a také simulovat úvodní sekvence odpovědí aplikací (fake replies), které tradičně na těchto portech pracují. Na TCP jsou to porty 21 (FTP), 23 (Telnet), 25 (SMTP), 80 (HTTP), 110 (POP3) a 143 (IMAP). Na UDP pak port 31337 (Back Orifice) – prapůvodní důvod vzniku tohoto nástroje. BOF je také schopen poměrně komfortně logovat zachycené události. Na 98 kB velkou aplikaci je to skvělý poměr cena/výkon, nemyslíte?

Specter

Komerční řešení s nízkým stupněm interakce, vhodné do firemního prostředí. Podporované platformy jsou Windows NT/2000/XP. Na rozdíl od předchozího řešení je doporučen dedikovaný stroj. Umožňuje vzdálenou správu a emulaci 13 předdefinovaných portů (služeb) a jednoho volitelného. Emulace je mnohem vyspělejší, protože napodobuje úplné chování démona (služby), dokonce včetně předstírané slabiny! Jsou tu ale ještě další vychutnávky. Specter umí napodobovat 13 operačních systémů včetně Solarisu, AIXu, Linuxu a Windows XP Serveru. Bohužel se nemění IP stack, který zůstává stále stejný, a tak můžete například pomocí Nmapu zjistit, že Solaris je identifikován jako OS Windows. Specter na rozdíl od BOF lze personalizovat, takže několik instancí téhož produktu působí unikátním dojmem. Co také stojí za zmínku, je možnost ovlivnit chování v okamžiku detekce útoku. Pomocí Specteru lze útočníka zastrašit zobrazením informace o nelegálnosti jeho počínání apod. Což sice neodradí automaty, ale na lidské útočníky to určitě může zapůsobit. Na bližší popis zde nemáme místo, takže ještě alespoň telegraficky – logování je samozřejmostí, součástí je také analyzátor logů, nadstandardní možnosti alertace. Celkově vzato – vhodné řešení pro firemní prostředí, které určitě nalezne své příznivce.

Honeyd

Nyní se přenesme do světa opensource software na platformu Unix a Linux. Máme zde stále ještě intenzivně se vyvíjející řešení, jež přináší celou řadu zcela nových nápadů. Autor řadí honeyd mezi vábničky s nízkým stupněm interakce, vhodné do firemního prostředí. Je to ale silně relativní, protože funkcionalita se určitě bude dále vyvíjet. Již nyní zde nalezneme několik unikátních nápadů. Honeyd dokáže monitorovat pokusy o přístup k neaktivním systémům naší sítě, a to může být velký počet systémů. Byla testována konfigurace, kdy vábnička simulovala 60000 IP adres v jediném okamžiku! Port zvolený pro komunikaci nehraje roli. Podporované protokoly jsou TCP, UDP a ICMP. Míra konfigurovatelnosti je v honeyd velmi vysoká. Uživatel si může například zvolit veledůležitý parametr, jako je míra interakce. Chcete komunikaci přesměrovat na existující stroj nebo si napsat vlastní způsob reakce? Žádný problém. Pomocí tohoto přístupu je honeyd schopen realisticky emulovat komplikované aplikace, jako např. IIS web server nebo další. Emulace jde dokonce až na úroveň IP stacku! Implementována je podpora 13 operačních systémů. Unikátní je také způsob, jakým vábnička simuluje neaktivní IP adresy. Lze využít tradiční tzv. “blackholing”, tj. přesměrování pomocí externího routeru. Inovativnější je však využití ARP spoofingu, podobně jako LaBrea. Souhrnně lze tedy říci, že se jedná o výborné řešení vhodné do produkční sféry. Mezi nevýhody patří neexistence vestavěného alertačního mechanismu a chybějící podpora.

Domácí vábničky

Zvláštní kategorií jsou vábničky vyrobené vlastními silami pro speciální potřeby. Kniha by nebyla úplná, kdyby se tomuto tématu zcela vyhnula. Vysvětluje potřebu “domácích” řešení a samozřejmě uvádí také příklady. V rámci výkladu proniknete do problematiky monitorování portů a také je vysvětlen provoz vábniček ve vězení, pardon, v prostředí chroot nebo jail na BSD. Zajímavé a poučné.

Mantrap

A nyní přejdeme k řešením s vysokým stupněm interakce. Jedná se o komerční řešení firmy Recourse Technologies. Velmi vyspělé řešení využitelné jak v produkčním prostředí, tak pro výzkumné účely. Podobně jako honeyd lze i zde objevit několik původních nápadů. Mantrap vytváří plně funkční virtuální operační systémy, jakési “klece”, ze kterých útočník nemá možnost atakovat hostitelský systém. Tyto virtuální “klece” jsou zcela autonomní s vlastní konfigurací, vlastními uživateli atd. Z pohledu útočníka se vše jeví jako samostatný systém. Na jednom fyzickém stroji lze vytvořit až čtyři virtuální systémy. Výborná věc je Content Generation Modul, který unikátně personalizuje jednotlivé virtuální systémy. Mezi další klady patří grafické GUI pro konfiguraci “klecí” a využití iButtonu, tj. hardwarové komponenty, jež je nositelem licence a opatřuje logovaná data digitálním časovým razítkem, čímž zajišťuje jejich integritu a dodává právní hodnověrnost. Dalšími klady jsou vestavěný sniffer, široké alertační možnosti, výborné logování a možnost logování šifrované komunikace přes SSH v čitelném stavu. Mezi nevýhody jednoznačně patří jednostranná vazba na Solaris. Jiný operační systém není možné využít.

Honeynet

Zde autor shrnuje zkušenosti z Honeynet Projectu, který popisuje kniha Know Your Enemy. Jde však dále. Popisuje filozofii návrhu honeynetu první generace (kterou známe z knihy) a generace druhé (genII). Jedná se o velmi komplexní nekomerční řešení s vysokým stupněm interakce, určené pro výzkumné účely, a s potenciálně vysokým bezpečnostním rizikem.

Dozvěděli jsme se vše podstatné o šesti současných řešeních vábniček a pro ty, kteří pochopili jejich výhody a chtějí si vybrat a nakonfigurovat optimální řešení pro vlastní situaci, přichází kapitola “Implementace vaší vábničky”. Představuje souhrn dosavadních autorových zkušeností a rad k výběru vhodného řešení. Lance nám ale pomůže nejen s výběrem typu řešení, ale také s jejich počtem a umístěním. Zároveň poradí, jak snížit potenciální nebezpečí plynoucí z vlastních chyb.

root_podpora

Jestliže jsme si vybrali a naimplementovali vábničkovou technologii, přichází fáze reálného provozu, které je věnována kapitola o správě nebo spíše údržbě. Opět zde můžeme nalézt souhrn praktických doporučení pokrývajících alertaci útoků, naše reakce, analýzy nashromážděných dat a samozřejmě potřeby aktualizace vlastních systémů. Následují kapitoly o právních problémech spojených s implementací vábničkové technologie a na úplný závěr zamyšlení nad budoucností vábniček. Bohužel právní problematika je zasazena do právního řádu USA, takže pro naše podmínky zřejmě nepříliš použitelná.

Shrnutí

Myslím, že se jedná o úžasnou knihu, která stojí za přečtení. Nesporně jde o průkopnické dílo, které odhaluje novou bezpečnostní technologii široké veřejnosti a přibližuje všechny aspekty jejího využití. Avšak úvod do technologie není vše, co kniha přináší. Čtenáři mají možnost pochopit zásady správné implementace vábniček, princip jejich fungování, a mohou si tak vybrat nejvhodnější řešení. Najdou zde současný (v roce 2002) přehled technologických řešení včetně podrobného funkčního popisu a celkového zhodnocení. Od vydání knihy už uplynul jistý čas a vábničky mají dnes své místo na slunci. Dozajista se o to zasloužila také tato kniha. Vřele doporučuji.

Byl pro vás článek přínosný?