IDS: Trends und Herausforderungen 2007
Transcrição
IDS: Trends und Herausforderungen 2007
Zürcher Tagung für Informationssicherheit IDS: Trends und Herausforderungen 2007 Bernhard Tellenbach Überblick Gegenwärtige Sicherheitslage Herausforderungen an IDS/IPS Das EU Projekt NoAH: Ein Entwurf für ein EU-weites “IDS“ 2 Beurteilung der aktuellen Sicherheitslage Internet PC heute: Firewall, Virenscanner ev. Intrusion Detection/Prevention Systems (IDS/IPS) Betriebssysteme werden sicherer: Windows XP SP2: Firewall standardmässig aktiviert Data Execution Prevention (DEP) in Windows XP SP2 Bsp. : Erfolgreich gegen WMF Exploit Kein Allheilmittel: Es gibt Wege, diesen Schutz zu umgehen [1] Vergleich zu 2004: Nur noch geringe Population an schlecht geschützten (techn.!) Systemen 3 Reaktion der Angreifer auf die veränderte Sicherheitslage Evasion: Angriff auf IDS/IPS zuschneiden um Detektion zu entgehen Schutzsysteme angreifen: Ausnutzen von Schwachstellen in den Schutzsystemen (grosse Vielfalt an Schutzsystemen). Social Engineering: Umgehen der technischen Schutzsysteme >Vortrag von Dr. R. Rytz . Folge: Ein erfolgreicher Angriff auf technisch gut gesicherte Systeme ist mit hohem Zeitaufwand verbunden und erfordert oft ein hohes Level an technischem Wissen sowie viel Erfahrung. 4 Beispiele für Schwachstellen in Schutzsystemen: 21.02.2007: Löcher im Snort IDS (auch in der kommerziellen Version): Erlaubt das Ausführen von Code via einem Buffer Overflow im Präprozessor zur Verarbeitung des DCE/RPCProtokolls 21.09.2006 : Cisco IPS: Per Fragmentierung die Filter umgehen DoS: 21.09.2006: Cisco IDS: mainApp SSLv2 HELLO Denial of Service Schwachstelle 28.02.2007: CA eTrust Intrusion Detection System: Key Exchange Denial of Service Vulnerability 5 Weitere Einflussfaktoren Erhöhte Anstrengungen von Forschung/Industrie und Regierung im Aufspüren und Verfolgen von Angreifer. Konsequenzen: Angreifer müssen Spuren gut verwischen. Bsp. Botnetze: Bots werden vermehrt über verschlüsselte Meldungen gesteuert Weg von der Kommunikation über IRC Channels Verteilter Bot-Master 6 Angreifer werden smarter Stark gestiegener Aufwand führte zu deutlicher Verschiebung der Motive für einen Angriff: Spass, Geltungsdrang, Ansehen, Langweile, Neugierde, … Publizieren neuer Sicherheitslücken Verwundbare Computer werden für spektakuläre Aktionen verwendet (DoS, selbstverbreitende Würmer,…) Finanzielle Interessen, Macht Geheimhalten neuer Sicherheitslücken Verstecktes Agieren/Ausnutzen infizierter Computer (SPAM, SpyWare,…) 7 Verordnete Unsicherheit? Der Bundestrojaner [2] Schlagzeile: Das unbemerkte Durchsuchen von PCs durch Ermittlungsbehörden soll gesetzlich geregelt und anschließend auch technisch umgesetzt werden. Interessenskonflikt: Fordern und fördern von Sicherheitsmaßnahmen <> Forderung und Förderung der Umgehbarkeit dieser Massnahmen. Konsequenzen sind nicht absehbar: Verordneter Einbau von künstlichen “Schwachstellen“ in IDS/IPS? Einfluss auf die Sicherheit? Rechtslage? 8 Herausforderungen an (zukünftige) IDS/IPS Aus der Bedrohungslage abgeleitete Herausforderungen: Detektionsmethoden müssen resistent sein gegen Evasion Die IDS/IPS selbst darf nicht verwundbar sein Das IDS/IPS sollte kein Eingreifen der Benutzer des beschützten Systems erfordern (>Social Engineering) Die Systeme müssen auch mit Angriffen über verschlüsselte Verbindungen zurecht kommen. Welche IDS/IPS Typen können diese Herausforderungen am ehesten annehmen? 9 Herausforderung: Verschlüsselte Verbindungen Bei echter End-To-End Verschlüsselung: Zentrales (z.B. auf Gateway), Netzwerk IDS nicht geeignet Aber: Erfolge bei der Identifizierung von Applikationen [4] z.B Bit-Torrent clients, die SSL benutzen Ein paar wenige Pakete reichen aus Vorhandene Auswege: Ein Netzwerk IDS pro Host Prinzip: Daten liegen irgendwann in entschlüsselter Form vor Bspl: Kapersky Internet Security Host basierte IDS/IPS sind hier im Vorteil 10 Herausforderung: Resistenz gegen Evasion IDS/IPS erkennt Abweichungen vom normalen Verhalten Vorteil: Erkennen von unbekannten(!) Angriffen Nachteil: Kann oft durch Imitierung umgangen werden. - [5] ist zeigt dies für ein IDS/IPS, das Abfolgen von Systemaufrufen auf Applikationsbasis verwendet ([6] zeigt mögl. Automatisierung) IDS/IPS erkennt Gefahren mit Hilfe von Signaturen für bekannte Schwachstellen Vorteil: Kaum zu umgehen bei genauen Schwachstellensignaturen Nachteil: Signatur für Zero-Day Exploits? Zielrichtung: Gefahren-Signaturen + Schutz gegen 0-Day Exploits 11 Herausforderung: Social Engineering IDS/IPS verwendet Gefahren-Signaturen: Gefahren-Signaturen: Charakterisieren gefährliches/verdächtiges Verhalten (Applikation/System) Vorteil: Potentielle Lösung für das Zero-Day Exploit Problem Nachteil: Tendenz, dass Benutzer mit einbezogen wird Entscheid durch Social Engineering Massnahmen beeinflussen! - Bsp. : Extrusion Prevention bei Host basierten Firewalls Fragen vom Typ: Wollen Sie die Aktion XXX zulassen? - Bsp. : Einsatz von Farbcodes bei User Account Control (UAC) in Windows Vista. Farbcode suggeriert „Vertrauen“ Symantec: Farbe manipulierbar [3] 12 Taint-Analyse: Der heilige Gral gegen 0-Day Angriffe von aussen? Prinzip: 1. Markiere über das Netzwerkinterface in das System gelangende Daten 2. Bei Manipulierung: Vererbe die Markierung nach bestimmten Regeln 3. Löse Alarm aus falls: - Code ausgeführt werden soll, der eine Markierung trägt - kritische Daten (z.B. Benutzer-ID,..) auf nicht vorgesehene Weise mit Daten mit Markierung überschrieben werden Fazit: Interessante Technik, (bisher) nicht in Produktivsystemen Problem: Hohe Einbussen bei der Performance (~ Faktor 20!) Korrektur: Einsatz z.T. bei interpretierten Sprachen (Bspl.: PERL) 13 NoAH 14 EU Projekt NoAH: Ein Entwurf für ein EU-weites “IDS“ NoAH = Network of Affined Honeypots [7] Ziele: Früherkennung von bisher unbekannten Schwachstellen/Angriffen, die keine Interaktion mit dem Benutzer erfordern Architektur, die einem Sensorbetreiber minimalen Aufwand verursacht Eingesetzte Technologien: Taint-Analyse basiertes “IDS“ Argos Connection Tracker: Erfassen und verfolgen der Kommunikation zwischen Angreifer und Honeypot. Signaturgenerator: Identifizierung des zum Code gehörenden Netzwerkverkehrs zur automatischen Erstellung einer einfachen Signatur für das Snort IDS. 15 NoAH Architektur Address space provider Attacker Home User •Firmen, Regierungen,… 2.20 2 1 . 2 3 1 129. .122.28 2 3 1 . 9 12 Redirector (tunnel) (129.132.122.) … … Honey @Home Low-Interaction Honeypots (Services werden simuliert) (falls „notwendig“) NoAH Kern (Vom NoAH Projekt verwaltet) … High-Interaction Honeypots Reale Services, geschützt durch Argos 16 ENDE Fragen? 17 Bibliografie [1] Bypassing Windows Hardware-enforced Data Execution Prevention skape, http://www.nologin.org/ [2] Bundestrojaner: Geht was – was geht J. Schmidt, http://www.heise.de/security/artikel/86415/0 [3] An Example of Why UAC Prompts in Vista Can’t Always Be Trusted http://www.symantec.com/enterprise/security_response/weblog/2007/02/ an_example_of_why_uac_prompts.html [4] Early Recognition of Encrypted Applications Laurent Bernaille and Renata Teixeira, PAM 2007 http://rp.lip6.fr/site_npa/site_rp/_publications/785-pam.pdf [5] A Practical Mimicry Attack Against Powerful System-Call Monitors C. Parampalli, R. Sekar, R. Johnson, TR Stony Brook University, 2007 http://seclab.cs.sunysb.edu/seclab/pubs/papers/mimicry.pdf [6] Automating mimicry attacks using static binary analysis. C. Kruegel, E. Kirda, D. Mutz, W. Robertson, and G. Vigna, USENIX Security Symposium, 2005 http://www.cs.wisc.edu/wisa/papers/raid06/GJM06.pdf [7] EU Projekt NoAH http://www.fp6-noah.org/ 18