Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR Vojtěch Krmíček Josef Kaderka Pavel Čeleda xkrmicek@fi.muni.cz josef.kaderka@unob.cz celeda@ics.muni.cz Masarykova univerzita Ústav výpočetní techniky Bezpečnostní konference KIS, Černá Hora, 22. dubna 2010
Část I Projekt CYBER V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 2 / 25
Základní informace o projektu Bezpečnost informačních a komunikačních systémů AČR online monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. Program: 907 980 Rozvoj dosažených operačních schopností ozbrojených sil České republiky Priorita: 2 systémová podpora konceptu NEC Doba řešení: 5 let (2008 2012) Řešitelé: ÚVT MU, FI MU Podpořeno: MO ČR V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 3 / 25
Odborné cíle projektu Analýza moderních síťových hrozeb a obrana proti nim. Automatická reakce na bezpečnostní hrozby. Ověření možností využití pokročilé síťové sondy při aktivní obraně datové sítě. Praktické využití a nasazení výstupů projektu na CIRC MO a CSIRT-MU. V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 4 / 25
Vybrané výsledky projektu Detekce slovníkových útoků na službu SSH admin/1234 Detekce infiltrace cizích zařízení do sítě petr/qwerty lucie/lucie guest/guest root/password Server test/test Server root/root jindra/heslo admin/1234admin Inteligentní profilování síťových zařízení Odhalení nového botnetu Chuck Norris V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 5 / 25
Část II Detekce infiltrovaného zařízení v počítačové síti V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 6 / 25
Infiltrované zařízení v počítačové síti Hrozba vnitřního útočníka N70 2 5 # Velmi častý typ incidentu. Únik citlivých informací. Neřešíme fyzický únik dat (USB klíčenka, mobil, CD, ap.). Neukázněný zaměstnanec Chce připojit PDA/mobil. cingular SMS Text 9:41 cingular Tuesday SMS 9 9 Tuesday YouTube Clock AM 9:41 AM Calendar Text Calendar Photos Camera Photos YouTube Clock Camera Stocks + Stocks x + x - Calculator Calculator - Notes Notes Maps Maps 73 Weather 73 Weather Settings Settings Phone Phone Mail Mail Web Web ipod ipod Přidá do sítě WIFI router. Vzniká bezpečnostní díra. Internet V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 7 / 25
Překlad síťových adres NAT Překlad síťových adres Mapování síťových adres. Umožňuje skrýt za jednou IP adresou celou podsíť. vnitřní IP 10.0.0.2 Běžně implementováno v HW. vnitřní IP 10.0.0.3 vnitřní IP 10.0.0.4 vnitřní IP 10.0.0.1 vnitřní IP 10.0.0.5 Zařízení provádějící NAT Má přidělenu jednu vnější IP adresu. Může být zneužito k infiltraci. Např. WIFI router zapojený do sítě. NAT zařízení Internet vnější IP 147.251.13.95 V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 8 / 25
Systém pro detekci NAT zařízení Phone Phone Mail Clock Mail Web x + Calculator Clock Calculator Web Text x SMS SMS - ipod cingular 9:41 AM cingular 9:41 AM 9 9 Calendar Text + - ipod Notes Calendar Tuesday Tuesday Settings Photos YouTube Stocks Maps Weather Settings Notes Camera Photos Camera 73 73 Využívá monitorování IP toků (NetFlow). Metody založené na otiscích OS a chování NAT zařízení. Pouze pasivní sledování sítě. Windows MacOS Linux IP 1, IP 2 IP 3 IP 4 IP 3 IP 4 NAT mix IP 5 YouTube Stocks Maps Weather Internet IP 5 IP 1 IP 2 NetFlow data (IP 5) V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 9 / 25
Architektura systému pro detekci NAT zařízení Detekční modul Metoda 1 Metoda 3 Metoda 5 Metoda 2 Metoda 4 Agregátor WWW Detekční vrstva NetFlow kolektor Kolektorová vrstva FlowMon sonda FlowMon sonda FlowMon sonda Monitorovací vrstva TAP TAP TAP Síťová vrstva Schéma propojení vrstev systému pro detekci NAT zařízení V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 10 / 25
Testování a výsledky systému Dvě sady experimentů V síťové laboratoři. Na reálné síti MU. Nasazení v rámci CIRC MO Prototyp úspěšně nasazen do sítě MO. Pozitivní identifikace NAT zařízení. Rozšiřitelnost systému Modulární rozšiřitelný systém. Např. kontrola IP adres v síti. V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 11 / 25
Zranitelnost NAT zařízení Zabezpečení počítačů na straně uživatelů je řešeno. Internet V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 12 / 25
Zranitelnost NAT zařízení Zabezpečení počítačů na straně uživatelů je řešeno. Co když je napadena přímo infrastruktura? Napadení botnetem Chuck Norris Internet Internet V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 12 / 25
Část III Odhalení a analýza botnetu Chuck Norris V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 13 / 25
Co se skrývá za botnetem Chuck Norris Botnet botnet = (ro)bot + net Síť napadených počítačů. Zneužití pro nelegální činnost. Vzdáleně ovládaná útočníkem. Čím se liší botnet Chuck Norris Napadá infrastrukturu síťová zařízení. Uživatel neví, že je napaden. Zařízení trvale připojeno k Internetu. V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 14 / 25
Odhalení botnetu Chuck Norris na MU Bezpečnostní sledování sítě Masarykovy univerzity V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 15 / 25
Analýza botnetu Chuck Norris - I Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 16 / 25
Analýza botnetu Chuck Norris - I Útočník IRC server Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 16 / 25
Analýza botnetu Chuck Norris - I Útočník IRC server boti Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 16 / 25
Analýza botnetu Chuck Norris - I Útočník IRC server boti WAN port ASUS WL-500gP (agent provokatér) Sledování činnosti botnetu V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 16 / 25
Analýza botnetu Chuck Norris - I Útočník IRC server boti TAP CSIRT-MU FlowMon, tcpdump WAN port Sledování činnosti botnetu ASUS WL-500gP (agent provokatér) V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 16 / 25
Analýza botnetu Chuck Norris - II nakažené zařízení V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 17 / 25
Analýza botnetu Chuck Norris - II seznam IP prefixů zranitelných sítí nakažené zařízení 203.223.... 201.1. 200.121.... 217.236. 88.253.... 85.174. 222.215.... 58.6. 220.240.... IP rozsah Vlastník IP rozsah Vlastník 217.236.0.0/16 Deutsche Telekom 88.253.0.0/16 TurkTelekom 87.22.0.0/16 Telecom Italia 220.240.0.0/16 Comindico Australia 85.174.0.0/16 Volgograd Electro Svyaz 222.215.0.0/16 China Telecom 201.1.0.0/16 Telecomunicacoes de Sao Paulo 200.121.0.0/16 Telefonica del Peru Tab. 1: Příklady prohledávaných sítí. V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 17 / 25
Analýza botnetu Chuck Norris - II seznam IP prefixů zranitelných sítí nakažené zařízení pnscan (port 23) 203.223.... 201.1. 200.121.... 217.236. 88.253.... 85.174. 222.215.... 58.6. 220.240.... IP rozsah Vlastník IP rozsah Vlastník 217.236.0.0/16 Deutsche Telekom 88.253.0.0/16 TurkTelekom 87.22.0.0/16 Telecom Italia 220.240.0.0/16 Comindico Australia 85.174.0.0/16 Volgograd Electro Svyaz 222.215.0.0/16 China Telecom 201.1.0.0/16 Telecomunicacoes de Sao Paulo 200.121.0.0/16 Telefonica del Peru Tab. 1: Příklady prohledávaných sítí. V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 17 / 25
Analýza botnetu Chuck Norris - II seznam IP prefixů zranitelných sítí nakažené zařízení seznam IP adres zranitelných zařízení pnscan (port 23) 203.223.... 201.1. 200.121.... 217.236. 88.253.... 85.174. 222.215.... 58.6. 220.240.... IP rozsah Vlastník IP rozsah Vlastník 217.236.0.0/16 Deutsche Telekom 88.253.0.0/16 TurkTelekom 87.22.0.0/16 Telecom Italia 220.240.0.0/16 Comindico Australia 85.174.0.0/16 Volgograd Electro Svyaz 222.215.0.0/16 China Telecom 201.1.0.0/16 Telecomunicacoes de Sao Paulo 200.121.0.0/16 Telefonica del Peru Tab. 1: Příklady prohledávaných sítí. V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 17 / 25
Aktivity botnetu Chuck Norris - I Botnetem realizované hrozby Útoky odepření služby - DoS a DDoS. Podvržení DNS serverů a odpovědí. Přenastavení napadeného zařízení. Následky pro napadeného uživatele Napadené zařízení zahltí linku pro nelegální aktivity. Riziko ekonomických škod a právních postihů pro uživatele. V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 18 / 25
Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com Spuštění škodlivého kódu. primární DNS server sekundární DNS server V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 19 / 25
Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com Spuštění škodlivého kódu. řídicí centrum botnetu primární DNS server OpenDNS.com sekundární DNS server nakažený modem www.facebook.com oběť V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 19 / 25
Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com Spuštění škodlivého kódu. řídicí centrum botnetu primární DNS server OpenDNS.com sekundární DNS server nakažený modem www.facebook.com oběť V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 19 / 25
Aktivity botnetu Chuck Norris - II DNS Spoofing - podvržení DNS serverů Přesměrování stránek: www.facebook.com www.google.com řídicí centrum botnetu OpenDNS.com www.seznam.cz Spuštění škodlivého kódu. primární DNS server sekundární DNS server nakažený modem www.facebook.com www.seznam.cz oběť V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 19 / 25
Aktivity botnetu Chuck Norris - III 2500 Pokusy o připojení na službu Telnet v síti MU Unikátní útočníci 500000 Unikátní útočníci 2000 1500 1000 500 odhalení botnetu 2.12.2009 vypnutí botnetu 23.2.2010 400000 300000 200000 100000 Pokusy o připojení na službu Telnet v síti MU 0 0 Říjen Listopad Prosinec Leden Únor Březen Duben 33000 unikátních útočníků v období říjen 2009 - únor 2010. V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 20 / 25
Odezvy na botnet Chuck Norris Média Antivirové firmy ČTK AVG Česká televize Kaspersky Lab Český rozhlas Bezpečnostní komunita Lidové noviny NATO CIRC idnes.cz TF-CSIRT New York Times Shadowserver.org Computerworld V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 21 / 25
Část IV Závěr V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 22 / 25
Potřeba nových technologií a schopností CIRC Moderní počítačové hrozby se neustále vyvíjí. Jakékoliv zařízení připojené k síti je potenciálně nebezpečné. Jsme obklopení čím dál tím víc síťovými technologiemi. Schopnost čelit těmto hrozbám je neustále důležitější. Pozor při zapojování! Bezp. dohledové centrum V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 23 / 25
Výstupy projektu a jejich použití Prvotní výzkum a vývoj Výzkum a vývoj na reálném provozu sítě MU. Testování a používání výsledků v CSIRT-MU akademické prostředí. Praktické ověřování zadavatelem CIR MO Computer Incident Response Capability Nasazení výstupů v rámci CIRC MO prostředí AČR. Využití pro návrh bezpečnostních zařízení pro zahraniční mise (expediční schopnosti CIRC). V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 24 / 25
Děkujeme za pozornost! Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR Vojtěch Krmíček xkrmicek@fi.muni.cz Josef Kaderka josef.kaderka@unob.cz Pavel Čeleda celeda@ics.muni.cz V. Krmíček et al. Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR 25 / 25