Výzkum v oblasti kybernetické bezpečnosti

Výzkum v oblasti kybernetické bezpečnosti na Masarykově univerzitě od roku 2008 Jan Vykopal Oddělení bezpečnosti datové sítě Ústav výpočetní techniky Masarykova univerzita vykopal@ics.muni.cz

Část I Časové milníky J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 2 / 28

Před rokem 2008 2004 CESNET, Masarykova univerzita a Vysoké učení technické postavili první 10gigabitovou kartu na světě v akademickém prostředí. 2005 2007 Snahy o transfer technologie do praxe a založení prvních dvou univerzitních spin-offů. 2007 Projekt CAMNEP, Cooperative Adaptive Mechanism for Network Protection, pro americkou armádu. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 3 / 28

Po roce 2008 2008 Zahájení řešení projektu CYBER pro českou armádu. 2008 2009 Pokračování projektu CAMNEP. 2009 Založen univerzitní bezpečnostní tým CSIRT-MU. 2010 Objevení botnetu Chuck Norris. 2011 Navázání spolupráce s NBÚ. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 4 / 28

Část II Projekt CYBER J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 5 / 28

Cíle projektu CYBER (OVMASUN200801) Analýza moderních síťových hrozeb a obrana proti nim. Automatická reakce na bezpečnostní hrozby. Ověření možností využití pokročilé síťové sondy při aktivní obraně datové sítě. Praktické využití a nasazení výstupů projektu na CIRC MO a CSIRT-MU. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 6 / 28

Vybrané výsledky projektu I Detekce slovníkových útoků na službu SSH admin/1234 peter/qwerty lucy/lucy Server test/test guest/guest root/password Detekce infiltrace cizích zařízení do sítě Server root/root henry/passwd admin/1234admin Inteligentní profilování síťových zařízení J. Vykopal Odhalení nového botnetu Chuck Norris Výzkum v oblasti kybernetické bezpečnosti 7 / 28

Vybrané výsledky projektu II Testování různých bezpečnostních vrstev a produktů zaměřené srovnání různých detekčních paradigmat (statistické metody vs. vzory chování) Objevení a podrobná analýza chování další mutace botnetu Chuck Norris. Ověření scénářů aktivní obrany (blokování, filtrování, omezení provozu, karanténa, protiútok). Attack HAMOC Command NetFlow data HAMOC Attack NetFlow data NetFlow data NetFlow collector and control center Command HAMOC Command Attack Protected network J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 8 / 28

Část III Detekce infiltrovaného zařízení v počítačové síti J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 9 / 28

Infiltrované zařízení v počítačové síti Hrozba vnitřního útočníka Velmi častý typ incidentu. Únik citlivých informací. Neřešíme fyzický únik dat (USB klíčenka, mobil, CD, ap.). Neukázněný zaměstnanec Chce připojit PDA/mobil. Přidá do sítě WIFI router. Vzniká bezpečnostní díra. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 10 / 28

Překlad síťových adres NAT Překlad síťových adres Mapování síťových adres. Umožňuje skrýt za jednou IP adresou celou podsíť. vnitřní IP 10.0.0.2 Běžně implementováno v HW. vnitřní IP 10.0.0.3 vnitřní IP 10.0.0.4 vnitřní IP 10.0.0.1 vnitřní IP 10.0.0.5 Zařízení provádějící NAT Má přidělenu jednu vnější IP adresu. Může být zneužito k infiltraci. Např. WIFI router zapojený do sítě. NAT zařízení Internet vnější IP 147.251.13.95 J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 11 / 28

Systém pro detekci NAT zařízení Využívá monitorování IP toků (NetFlow). Metody založené na otiscích OS a chování NAT zařízení. Pouze pasivní sledování sítě. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 12 / 28

Architektura systému pro detekci NAT zařízení Detekční modul Metoda 1 Metoda 3 Metoda 5 Metoda 2 Metoda 4 Agregátor WWW Detekční vrstva NetFlow kolektor Kolektorová vrstva FlowMon sonda FlowMon sonda FlowMon sonda Monitorovací vrstva TAP TAP TAP Síťová vrstva Schéma propojení vrstev systému pro detekci NAT zařízení J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 13 / 28

Testování a výsledky systému Dvě sady experimentů V síťové laboratoři. Na reálné síti MU. CIR MO Computer Incident Response Capability Nasazení v rámci CIRC MO Prototyp úspěšně nasazen do sítě MO. Pozitivní identifikace NAT zařízení. Rozšiřitelnost systému Modulární rozšiřitelný systém. Např. kontrola IP adres v síti. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 14 / 28

Zranitelnost NAT zařízení Zabezpečení počítačů na straně uživatelů je řešeno. Internet J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 15 / 28

Zranitelnost NAT zařízení Zabezpečení počítačů na straně uživatelů je řešeno. Co když je napadena přímo infrastruktura? Napadení botnetem Chuck Norris Internet Internet J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 15 / 28

Část IV Odhalení a analýza botnetu Chuck Norris J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 16 / 28

Co se skrývá za botnetem Chuck Norris Botnet botnet = (ro)bot + net Síť napadených počítačů. Zneužití pro nelegální činnost. Vzdáleně ovládaná útočníkem. Čím se liší botnet Chuck Norris Napadá infrastrukturu síťová zařízení. Uživatel neví, že je napaden. Zařízení trvale připojeno k Internetu. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 17 / 28

Odhalení botnetu Chuck Norris na MU Bezpečnostní sledování sítě Masarykovy univerzity J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 18 / 28

Analýza botnetu Chuck Norris - I Sledování činnosti botnetu J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 19 / 28

Analýza botnetu Chuck Norris - I Útočník IRC server Sledování činnosti botnetu J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 19 / 28

Analýza botnetu Chuck Norris - I Útočník IRC server boti Sledování činnosti botnetu J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 19 / 28

Analýza botnetu Chuck Norris - I Útočník IRC server boti WAN port ASUS WL-500gP (agent provokatér) Sledování činnosti botnetu J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 19 / 28

Analýza botnetu Chuck Norris - I Útočník IRC server boti TAP CSIRT-MU FlowMon, tcpdump WAN port Sledování činnosti botnetu ASUS WL-500gP (agent provokatér) J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 19 / 28

Analýza botnetu Chuck Norris - II nakažené zařízení J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 20 / 28

Analýza botnetu Chuck Norris - II seznam IP prefixů zranitelných sítí nakažené zařízení 203.223.... 201.1. 200.121.... 217.236. 88.253.... 85.174. 222.215.... 58.6. 220.240.... IP rozsah Vlastník IP rozsah Vlastník 217.236.0.0/16 Deutsche Telekom 88.253.0.0/16 TurkTelekom 87.22.0.0/16 Telecom Italia 220.240.0.0/16 Comindico Australia 85.174.0.0/16 Volgograd Electro Svyaz 222.215.0.0/16 China Telecom 201.1.0.0/16 Telecomunicacoes de Sao Paulo 200.121.0.0/16 Telefonica del Peru Tab. 1: Příklady prohledávaných sítí. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 20 / 28

Analýza botnetu Chuck Norris - II seznam IP prefixů zranitelných sítí nakažené zařízení pnscan (port 23) 203.223.... 201.1. 200.121.... 217.236. 88.253.... 85.174. 222.215.... 58.6. 220.240.... IP rozsah Vlastník IP rozsah Vlastník 217.236.0.0/16 Deutsche Telekom 88.253.0.0/16 TurkTelekom 87.22.0.0/16 Telecom Italia 220.240.0.0/16 Comindico Australia 85.174.0.0/16 Volgograd Electro Svyaz 222.215.0.0/16 China Telecom 201.1.0.0/16 Telecomunicacoes de Sao Paulo 200.121.0.0/16 Telefonica del Peru Tab. 1: Příklady prohledávaných sítí. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 20 / 28

Analýza botnetu Chuck Norris - II seznam IP prefixů zranitelných sítí nakažené zařízení seznam IP adres zranitelných zařízení pnscan (port 23) 203.223.... 201.1. 200.121.... 217.236. 88.253.... 85.174. 222.215.... 58.6. 220.240.... IP rozsah Vlastník IP rozsah Vlastník 217.236.0.0/16 Deutsche Telekom 88.253.0.0/16 TurkTelekom 87.22.0.0/16 Telecom Italia 220.240.0.0/16 Comindico Australia 85.174.0.0/16 Volgograd Electro Svyaz 222.215.0.0/16 China Telecom 201.1.0.0/16 Telecomunicacoes de Sao Paulo 200.121.0.0/16 Telefonica del Peru Tab. 1: Příklady prohledávaných sítí. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 20 / 28

Aktivity botnetu Chuck Norris - I Botnetem realizované hrozby Útoky odepření služby - DoS a DDoS. Podvržení DNS serverů a odpovědí. Přenastavení napadeného zařízení. Následky pro napadeného uživatele Napadené zařízení zahltí linku pro nelegální aktivity. Riziko ekonomických škod a právních postihů pro uživatele. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 21 / 28

Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com Spuštění škodlivého kódu. primární DNS server sekundární DNS server J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 22 / 28

Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com Spuštění škodlivého kódu. řídicí centrum botnetu primární DNS server OpenDNS.com sekundární DNS server nakažený modem www.facebook.com oběť J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 22 / 28

Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com Spuštění škodlivého kódu. řídicí centrum botnetu primární DNS server OpenDNS.com sekundární DNS server nakažený modem www.facebook.com oběť J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 22 / 28

Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com řídicí centrum botnetu OpenDNS.com www.seznam.cz Spuštění škodlivého kódu. primární DNS server sekundární DNS server nakažený modem www.facebook.com www.seznam.cz oběť J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 22 / 28

Aktivity botnetu Chuck Norris - III 2500 Pokusy o připojení na službu Telnet v síti MU Unikátní útočníci 500000 Unikátní útočníci 2000 1500 1000 500 odhalení botnetu 2.12.2009 vypnutí botnetu 23.2.2010 400000 300000 200000 100000 Pokusy o připojení na službu Telnet v síti MU 0 0 Říjen Listopad Prosinec Leden Únor Březen Duben 33 000 unikátních útočníků v období říjen 2009 únor 2010. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 23 / 28

Odezvy na botnet Chuck Norris Média Bezpečnostní komunita ČTK, ČR, ČRo AVG Lidové noviny, idnes.cz Kaspersky Lab New York Times NATO CIRC Computerworld TF-CSIRT Přesto se v dalších letech objevila další mutace... J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 24 / 28

Část V Závěr J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 25 / 28

Potřeba nových technologií Moderní počítačové hrozby se neustále vyvíjí. Jakékoliv zařízení připojené k síti je potenciálně nebezpečné. Jsme obklopení čím dál tím víc síťovými technologiemi. Schopnost čelit těmto hrozbám je neustále důležitější. Pozor při zapojování! Bezp. dohledové centrum J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 26 / 28

Výstupy projektu a jejich použití Prvotní výzkum a vývoj Výzkum a vývoj na reálném provozu sítě MU. Testování a používání výsledků v CSIRT-MU akademické prostředí. Praktické ověřování CIR MO Computer Incident Response Capability Nasazení výstupů v rámci CIRC MO prostředí AČR. Transfer technologií do praxe. J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 27 / 28

Dotazy? Výzkum v oblasti kybernetické bezpečnosti Jan Vykopal vykopal@ics.muni.cz http://www.muni.cz/ics/cyber http://www.muni.cz/csirt J. Vykopal Výzkum v oblasti kybernetické bezpečnosti 28 / 28