Jeden z nejkomplexnějších open source systémů detekce průniků do sítí (IDS) Suricata pořádal svou letošní výroční konferenci v Praze. A protože Suricatu v CZ.NIC intenzivně používáme v routerech Turris pro ochranu uživatelů, stali jsme se hrdým partnerem celé akce. S ostatními uživateli Suricaty jsme tak sdíleli zkušenosti a ukazovali technologické řešení routeru Turris Omnia, kde lze Suricatu komforntě provozovat.
Účastníkům konference se líbilo celé technické řešení, u kterého si v routeru mohou rozchodit kompletní Suricatu a spravovat si ji podle svého uvážení. S velkým zájmem se setkal i návrh rodičovské a firemní kontroly přístupu do sítě PaKon, který je nad Suricatou postaven a který se chystá do releasu pro běžné uživatele routerů ve verzi 3.9 koncem roku 2017.
Pro Turris tým bylo velmi důležité vyměnit si zkušenosti s ostatními účastníky a týmy. Celá řada zajímavých přednášek zprostředkovávala jak zkušenosti, tak konkrétní řešení.
Jedním z velkých témat, které se na Suriconu řešilo hned v několika přednáškách, bylo, jak chránit uživatele ve vnitřní síti a detekovat různé spammery, ransomware, malware obecně a pokusy o phishing.
Jak rozpoznat phishingové pokusy?
Například je možné hledat v provozu podezřelé domény a ty izolovat. Jde typicky o jednorázové domény určené čistě k šíření a ovládání malwaru. Taková doména se dá docela dobře poznat podle toho, že je levná a vznikla nedávno. Její jméno většinou také nedává žádný smysl, jelikož je náhodně vygenerované.
Jeden ze zajímavých způsobů, jak detekovat podezřelé domény, je zkoušet počítat jejich entropii. Jelikož jsou náhodně generované, jejich entropie bude výrazně vyšší, než u domén skládajících se z normálních slov.
Tento přístup samozřejmě není stoprocentní, jako vždy je třeba nastavit rozumný práh, použít vhodný korpus slov pro výpočet a i tak člověk naráží na nové cool značky startupů, které mohou snadno připomínat nesmyslná jména domén pro šíření malwaru.
Co ovšem způsobuje výrazné problémy, jsou CDNky. Ty se z principu chovají úplně stejně a jsou tedy nerozlišitelné od těchto podezřelých domén. Částečně je možné problém řešit naopak whitelisty pro známé CDN, jenže k false-positive reakcím z předchozího případu přibývají ještě false-negative. Celý takovýto detekční systém je náročný na údržbu a aktuálnost, protože jen tak může dobře sloužit uživatelům.
Hledáme malware
I hledání a studium malwaru přináší mnoho zajímavých problémů. Existují celé kity pro výrobu malwaru i ransomewaru, které si mohou „zákazníci“ koupit a modifikovat podle svého. Když si nachystáte napadnutelný počítač a připojíte ho na Internet, za chvíli se nakazí a můžete pak sledovat co všechno se děje. Problematiku ve své přednášce „Like Sigging Phish in a Barrel“ podrobně rozebíral Jason Williams, Emerging Threats/Proofpoint/OISF.
Ani autoři malware kitů to totiž nemají se svými zákazníky jednoduché. Typická začátečnická chyba rádoby útočníka je, že stáhne od „dodavatele malware“ .zip soubor s malwarem, nahraje ho na server odkud ho chce šířit, tam ho rozbalí a zapomene původní soubor s instrukcemi smazat. Bojovníci s malwarem pak mají o to snazší život. Stačí za poslední adresář v URL přidat příponu .zip a často se jim podaří stáhnout celý kit včetně instrukcí a mohou tak lépe analyzovat, co kit dělá a co mají „zákazníci“ modifikovat a do čeho naopak sahat nemají a podle čeho se dá tedy daný malware kit detekovat.
Zajímavý způsob, jak detekovat phishingovou stránku Je, když někdo přistoupí na web, na němž je redirect na nějakou legitimní službu (Facebook nebo třeba Gmail) a pak na ní pošle login a heslo. Tohle se detekuje už trochu složitěji, je třeba si poznačit, že tento interní klient přistoupil na podezřelou stránku s podezřelým redirectem, i když toto samo o sobě může být stále nezávadné. Ale pak pokud ten samý klient přistoupí do pěti minut na ten samý http server a postuje tam username a password, tak je třeba spustit poplach, uživateli sebrat práva, náležitě ho poučit a zabývat se kompromitací jeho účtu. Trochu problém tohoto přístupu je, že dnes díky Letsencrypt i spammeři používají https, a to je potom třeba dále řešit.
Jiným přístupem ve výzkumu phisingu jsou boty, které prochází došlé e-maily a hledají podezřelé stránky. Na ty se snaží posílat podvržené údaje a sledují, co se s těmito údaji děje a kde se posléze vynoří či použijí. Z toho pak vytvářejí záznamy a z nich odvozují pravidla pro firewall a Suricatu.
Dalším zajímavým problém je detekce nakažených počítačů v rámci lokální sítě. Zde se osvědčují techniky machine learning. Lze si vyextrahovat informace o chování uživatelů/počítačů v síti, natrénovat na to nějakou formu umělé inteligence a pak detekovat, kdy se daný uživatel nechová podle natrénovaného modelu. To zní složitě a zavání to magií nevyzkoušené umělé inteligence. Jenže v konečném důsledku se ukazuje, že už i jednoduchý poměr počtu odeslaných a přijatých bytů poslouží velmi dobře.
Typický uživatel Internetu je totiž hlavně konzumentem obsahu a tudíž výrazně více stahuje, než odesílá. Naproti tomu nakažený počítač má nutkavou potřebu nákazu dále šířit. Proto bude vidět spousty snah o připojení se na Internet a samozřejmě snahy rozesílat spamy.
Průmysl pod útokem
Zastavme se u další přednášky „Current & Future Industrial Detections in Suricata“ od Gene Stevense & Danny Browninga ze společnosti ProtectWise, která se týkala bezpečnosti průmyslových řídících systémů a aplikace Suricaty v tomto prostředí. První útoky už známe: Stuxnet nebo Duqu. Bereme si z nich ovšem pro bezpečnost výroby ponaučení?
Zajímavý je v tomto ohledu právě kompetenční spor mezi „OT vs. IT“, tedy spor mezi lidmi, kteří mají na starost řízení továrny a lidmi, kteří se starají (nejen) o bezpečnost informačních systémů ve výrobě i firmě. Zatímco první skupina chce mít možnost co nejsnáze továrnu ovládat, aby byli v případě problémů schopni rychle reagovat, druhá skupina chce zavádět bezpečnostní opatření, která chrání továrnu před útoky zvenčí. Tím však nutně komplikují řízení výroby.
Suricata již dnes rozumí nejběžněji používaným protokolům Modbus a DNP3 ze SCADA systémů. Díky tomu lze psát pravidla přímo, aniž by se člověk musel zabývat tím, jak vypadají jednotlivé zprávy tohoto protokolu. Výrazně to zjednodušuje přehled o tom, co se ve výrobní infrastruktuře děje, jenže v obezřetnosti by správci takové sítě rozhodně neměli polevovat.
Suricon 2018
Příští podzim bude Suricon poněkud dále, v kanadském Vancouveru. To už nám pravděpodobně neumožní vyrazit na akci v tak hojném počtu jako letos, ani tam mít stánek. Jenže dění kolem Suricaty nabývá na dynamičnosti, s rostoucím zájmem o detekci bezpečnostních průniků se stává stále populárnější a v jejím používání a šíření osvěty o ní budeme pokračovat.
Michal Hrušecký, Jan Bodnár