Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Transkript

1 Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat Václav Bartoš Seminář o bezpečnosti sítí a služeb,

2 Monitorování sítě CESNET2 Monitorování na bázi IP toků (flow) pomocí dedikovaných sond Všechny linky vedoucí z/do sítě CESNET2 (10x 10 Gb/s) 4x

3 Monitorovací sondy Založeny na síťových kartách s HW akcelerací Propustnost plných 10Gb/s (bez vzorkování) Exportér FlowMon od INVEA-TECH Podpora pluginů Možnost extrahovat data i z payloadu paketů Umíme parsovat DNS, HTTP, SMTP a SIP protokoly Export dat ve formátu IPFIX

4 Monitorovací infrastruktura IPFIX ipfixcol

5 Monitorovací infrastruktura IPFIX Nemea framework ipfixcol preproc. alert aggreg. logging

6 Monitorovací infrastruktura Nemea Modulární systém pro automatickou analýzu síťových dat Umožňuje snadno a rychle implementovat nové detekční moduly IPFIX Nemea framework ipfixcol preproc. alert aggreg. logging

7 Monitorovací infrastruktura Warden alert sharing system Attack reports IPFIX Nemea framework ipfixcol preproc. alert aggreg. logging

8 Monitorovací infrastruktura Warden alert sharing system Warden Systém IPFIX pro sdílení bezpečnostních Nemea hlášení framework mezi zapojenými organizacemi preproc. Attack reports Operátoři tak mohou být upozorněni na bezpečností problémy ipfixcol v jejich sítích, i když třeba sami síť nemonitorují alert aggreg. logging

9 Zranitelnost Heartbleed

10 Heartbleed Heartbleed Chyba v OpenSSL umožňující vzdáleně číst data z paměti serveru Zveřejněno 7. dubna 2014, současně s opravenou verzí knihovny Jeden z problémů útok nezanechává žádné stopy Založeno na speciálně upraveném heartbeat paketu Heartbeat Rozšíření TLS protokolu, které poskytuje keep-alive funkcionalitu Požadavek-odpověď, vrací se stejný payload Detekce ve flow datech? Žádné zvláštní charakteristiky na úrovni flow dat Umíme sice parsovat pakety a rozšířit flow záznamy o data z aplikační vrstvy, ale SSL/TLS = šifrování Ale podívali jsme se na to blíže

11 Útok na Heartbleed TLS record: 24 for heartbeat msg. Message length type Message SSL ver. up to 16kB

12 Útok na Heartbleed TLS record: 24 for heartbeat msg. Message length type Message SSL ver. up to 16kB Nikdy není šifrováno!

13 Útok na Heartbleed TLS record: 24 for heartbeat msg. Message length type Message SSL ver. up to 16kB Nikdy není šifrováno! Zbytek zprávy může být šifrovaný. V případě Heartbleed útoků většinou není.

14 Útok na Heartbleed Normální heartbeat záznam: type = heartbeat req./resp. 16B Message length Payload length Payload Padding SSL ver. up to 16kB

15 Útok na Heartbleed Odpověď na heartbeat požadavek nese stejný payload Request: Message length Payload length Payload Padding Reply: Message length Payload length Payload Padding

16 Útok na Heartbleed Heartbleed záznam: Request: Payload

17 Útok na Heartbleed Heartbleed záznam: Request: Payload Reply (OpenSSL): Random chunk of memory

18 Útok na Heartbleed Jak detekovat Heartbleed: 1B 16B Message length Payload length Payload Padding 20 and 16kB

19 Útok na Heartbleed Jak detekovat Heartbleed: 1B 16B Message length Payload length Payload Padding 20 and 16kB message_length payload_length + 16

20 Útok na Heartbleed Jak detekovat Heartbleed: 1B 16B Message length Payload length Payload Padding 20 and 16kB message_length payload_length + 16 message_length 20

21 Útok na Heartbleed Jak detekovat Heartbleed: 1B 16B Message length Payload length Payload Padding 20 and 16kB message_length payload_length + 16 message_length 20 reply size = request size

22 Detekce Heartbleed útoků v CESNETu

23 Monitorovací infrastruktura Warden alert sharing system Attack reports IPFIX Nemea framework ipfixcol preproc. alert aggreg. logging

24 Monitorovací infrastruktura Exporter plugin Warden alert sharing system Attack reports IPFIX (flow + HB info) ipfixcol Nemea framework preproc. alert aggreg. logging

25 Monitorovací infrastruktura Exporter plugin Warden alert sharing system IPFIX (flow + HB info) ipfixcol Heartbleed Nemea framework preproc. Attack reports alert aggreg. logging

26 Plugin pro exportér Napsali jsme plugin pro exportér FlowMon Rozpoznává heartbeat pakety na základě: TCP port 443 HTTPS tcp_payload[0] = 24 heartbeat message type tcp_payload[1] = 3 major version tcp_payload[2] = 0..3 minor version tcp_payload[5] = 1 2 request / response Pro každý heartbeat paket je vytvořen speciální flow záznam Nové položky v IPFIX: Message size Direction (request / response) Payload size Nemusí být validní, pokud je použito šifrování

27 Plugin pro exportér Rozpoznávání není dokonalé: TLS záznam nemusí začínat na začátku TCP segmentu Jediné řešení by bylo rekonstruovat TCP stream Prakticky nemožné na 10Gb/s Některé záznamy nám uniknou Filtru mohou odpovídat náhodná data Pravděpodobnost: Na portu 443 pozorujeme cca 25 milionů paketů za minutu -> Jedna falešná detekce průměrně každých 20 minut Ve skutečnosti o něco méně, protože na začátku paketu je častěji skutečně hlavička, ne data

28 Detekční modul Přijímá záznamy o heartbeat paketech Používá 4 pravidla pro detekci Heartbleed útoku: 1. message length < payload length + 19 Neodpovídající políčka velikosti 2. message length < 20 Požadavek menší než minimální velikost 3. size of request packet!= size of reply packet Různá velikost požadavku a odpovědi 4. message length 8kB Neobvykle velká odpověď Každému páru zdrojová/cílová IP adresa je počítáno skóre Každé pravidlo přidává určitý počet bodů Pokud skóre překročí určitou mez, je nahlášen útok Vše je lokálně logováno funguje i při použití šifrování

29 Časový průběh 7. dubna (pondělí) Zveřejněny informace o zranitelnosti Heartbleed 8. dubna (úterý) Všimli jsme si, že se něco děje, a začali útok studovat 10. dubna (čtvrtek) Začali jsme implementovat plugin pro exportér a detekční modul 11. dubna (pátek) Dokončen plugin pro exportér 14. dubna (pondělí) Dokončen detekční modul První výsledky hlášeny ručně em Automatické hlášení do Wardenu až od 25. dubna

30 Výsledky

31 Heartbeat pakety Běžné heartbeat pakety se téměř nevyskytují V prvních dnech bylo 99,75% heartbeat požadavků rozpoznáno jako Heartbleed útok Většina útoků je neúspěšná Počet heartbeat paketů za den Requests Heartbleed req. (size<20) Replies

32 Počet požadavků/odpovědí Počet Heartbleed požadavků a odpovědí za den Požadavky Odpovědi Špičky způsobeny jen 4 zdrojovými adresami

33 Počet útoků 7000 Počet párů IP adres za den Alespoň 1 požadavek Alespoň 1 odpověď Obojí

34 Počet útoků 7000 Počet párů IP adres za den Alespoň 1 požadavek Alespoň 1 odpověď Obojí

35 Počet útoků 500 Počet párů IP adres za den Alespoň 1 požadavek Alespoň 1 odpověď Obojí

36 Množství přečtených dat Množství dat přečtené útočníkem / z cíle from target by attacker Ve skutečnosti jde jen o minimální množství dat (nevidíme vše)

37 Shrnutí Metoda: Pasivní monitorování perimetru sítě CESNET2 Flow + Deep packet inspection Detekovány desetitisíce útoků denně Většina neúspěšná, servery byly rychle záplatované Detekováno a nahlášeno mnoho zranitelných strojů ~550 přes Warden ~500 předtím ručně em Zpětná vazba od správců Některé servery nepotřebovaly HTTPS Našli jsme několik zapomenutých nepoužívaných serverů

38 CESNET2 (AS2852) /16 (VŠE) /16 (ZČU) /15 (TUL) /16 (MUNI) /15 (ČVUT) /16 (UPOL) /16 (VŠB) /15 (UNOB) /23 (CAS) /20 (UJV Řež) /19 (SLU) /20 (ČZU) /24, /24 (CUNI) /21 (CUNI) / / / /22

39 Test HB v CESNET2 # testovaných adres # zranitelných Síť Síť Síť Síť Síť Síť Síť Síť Síť Síť Síť Síť Síť

40 Děkuji za pozornost Dotazy?