IDS: Trends und Herausforderungen 2007

Zürcher Tagung für Informationssicherheit
IDS: Trends und Herausforderungen 2007
Bernhard Tellenbach
Überblick
ƒ Gegenwärtige Sicherheitslage
ƒ Herausforderungen an IDS/IPS
ƒ Das EU Projekt NoAH: Ein Entwurf für ein EU-weites “IDS“
2
Beurteilung der aktuellen Sicherheitslage
ƒ Internet PC heute:
ƒ
Firewall, Virenscanner
ƒ
ev. Intrusion Detection/Prevention Systems (IDS/IPS)
ƒ
Betriebssysteme werden sicherer:
ƒ
Windows XP SP2: Firewall standardmässig aktiviert
ƒ
Data Execution Prevention (DEP) in Windows XP SP2
ƒ
Bsp. : Erfolgreich gegen WMF Exploit
ƒ
Kein Allheilmittel: Es gibt Wege, diesen Schutz zu umgehen [1]
Vergleich zu 2004: Nur noch geringe Population an schlecht
geschützten (techn.!) Systemen
3
Reaktion der Angreifer auf die veränderte Sicherheitslage
ƒ Evasion: Angriff auf IDS/IPS zuschneiden um Detektion zu
entgehen
ƒ Schutzsysteme angreifen: Ausnutzen von Schwachstellen in den
Schutzsystemen (grosse Vielfalt an Schutzsystemen).
ƒ Social Engineering: Umgehen der technischen Schutzsysteme
>Vortrag von Dr. R. Rytz .
Folge: Ein erfolgreicher Angriff auf technisch gut gesicherte
Systeme ist mit hohem Zeitaufwand verbunden und
erfordert oft ein hohes Level an technischem Wissen
sowie viel Erfahrung.
4
Beispiele für Schwachstellen in Schutzsystemen:
ƒ 21.02.2007: Löcher im Snort IDS (auch in der kommerziellen
Version): Erlaubt das Ausführen von Code via einem Buffer
Overflow im Präprozessor zur Verarbeitung des DCE/RPCProtokolls
ƒ 21.09.2006 : Cisco IPS: Per Fragmentierung die Filter umgehen
DoS:
ƒ 21.09.2006: Cisco IDS: mainApp SSLv2 HELLO Denial of
Service Schwachstelle
ƒ 28.02.2007: CA eTrust Intrusion Detection System: Key
Exchange Denial of Service Vulnerability
5
Weitere Einflussfaktoren
ƒ Erhöhte Anstrengungen von Forschung/Industrie und Regierung im
Aufspüren und Verfolgen von Angreifer.
ƒ Konsequenzen: Angreifer müssen Spuren gut verwischen.
Bsp. Botnetze:
ƒ
Bots werden vermehrt über verschlüsselte Meldungen gesteuert
ƒ
Weg von der Kommunikation über IRC Channels
ƒ
Verteilter Bot-Master
6
Angreifer werden smarter
ƒ Stark gestiegener Aufwand führte zu deutlicher Verschiebung der
Motive für einen Angriff:
Spass, Geltungsdrang, Ansehen,
Langweile, Neugierde, …
ƒ Publizieren neuer Sicherheitslücken
ƒ Verwundbare Computer werden für
spektakuläre Aktionen verwendet (DoS,
selbstverbreitende Würmer,…)
Finanzielle Interessen, Macht
ƒ Geheimhalten neuer Sicherheitslücken
ƒ Verstecktes Agieren/Ausnutzen
infizierter Computer (SPAM,
SpyWare,…)
7
Verordnete Unsicherheit? Der Bundestrojaner [2]
ƒ Schlagzeile: Das unbemerkte Durchsuchen von PCs durch
Ermittlungsbehörden soll gesetzlich geregelt und anschließend
auch technisch umgesetzt werden.
ƒ Interessenskonflikt: Fordern und fördern von
Sicherheitsmaßnahmen <> Forderung und Förderung der
Umgehbarkeit dieser Massnahmen.
ƒ Konsequenzen sind nicht absehbar:
ƒ
Verordneter Einbau von künstlichen “Schwachstellen“ in IDS/IPS?
ƒ
Einfluss auf die Sicherheit?
ƒ
Rechtslage?
8
Herausforderungen an (zukünftige) IDS/IPS
Aus der Bedrohungslage abgeleitete Herausforderungen:
ƒ Detektionsmethoden müssen resistent sein gegen Evasion
ƒ Die IDS/IPS selbst darf nicht verwundbar sein
ƒ Das IDS/IPS sollte kein Eingreifen der Benutzer des beschützten
Systems erfordern (>Social Engineering)
ƒ Die Systeme müssen auch mit Angriffen über verschlüsselte
Verbindungen zurecht kommen.
Welche IDS/IPS Typen können diese
Herausforderungen am ehesten annehmen?
9
Herausforderung: Verschlüsselte Verbindungen
ƒ Bei echter End-To-End Verschlüsselung:
ƒ Zentrales (z.B. auf Gateway), Netzwerk IDS nicht geeignet
ƒ
Aber: Erfolge bei der Identifizierung von Applikationen [4]
ƒ
z.B Bit-Torrent clients, die SSL benutzen
ƒ
Ein paar wenige Pakete reichen aus
ƒ Vorhandene Auswege: Ein Netzwerk IDS pro Host
ƒ
Prinzip: Daten liegen irgendwann in entschlüsselter Form vor
ƒ
Bspl: Kapersky Internet Security
Host basierte IDS/IPS sind hier im Vorteil
10
Herausforderung: Resistenz gegen Evasion
ƒ IDS/IPS erkennt Abweichungen vom normalen Verhalten
ƒ
Vorteil: Erkennen von unbekannten(!) Angriffen
ƒ
Nachteil: Kann oft durch Imitierung umgangen werden.
- [5] ist zeigt dies für ein IDS/IPS, das Abfolgen von Systemaufrufen
auf Applikationsbasis verwendet ([6] zeigt mögl. Automatisierung)
ƒ IDS/IPS erkennt Gefahren mit Hilfe von Signaturen für bekannte
Schwachstellen
ƒ
Vorteil: Kaum zu umgehen bei genauen Schwachstellensignaturen
ƒ
Nachteil: Signatur für Zero-Day Exploits?
Zielrichtung: Gefahren-Signaturen + Schutz gegen 0-Day Exploits
11
Herausforderung: Social Engineering
ƒ IDS/IPS verwendet Gefahren-Signaturen:
ƒ
Gefahren-Signaturen: Charakterisieren gefährliches/verdächtiges
Verhalten (Applikation/System)
ƒ
Vorteil: Potentielle Lösung für das Zero-Day Exploit Problem
ƒ
Nachteil: Tendenz, dass Benutzer mit einbezogen wird
Entscheid durch Social Engineering Massnahmen
beeinflussen!
- Bsp. : Extrusion Prevention bei Host basierten Firewalls
Fragen vom Typ: Wollen Sie die Aktion XXX zulassen?
- Bsp. : Einsatz von Farbcodes bei User Account Control (UAC) in
Windows Vista. Farbcode suggeriert „Vertrauen“
Symantec: Farbe manipulierbar [3]
12
Taint-Analyse: Der heilige Gral gegen 0-Day Angriffe
von aussen?
ƒ Prinzip:
1.
Markiere über das Netzwerkinterface in das System gelangende Daten
2.
Bei Manipulierung: Vererbe die Markierung nach bestimmten Regeln
3.
Löse Alarm aus falls:
-
Code ausgeführt werden soll, der eine Markierung trägt
-
kritische Daten (z.B. Benutzer-ID,..) auf nicht vorgesehene Weise
mit Daten mit Markierung überschrieben werden
ƒ Fazit: Interessante Technik, (bisher) nicht in Produktivsystemen
ƒ
Problem: Hohe Einbussen bei der Performance (~ Faktor 20!)
ƒ
Korrektur: Einsatz z.T. bei interpretierten Sprachen (Bspl.: PERL)
13
NoAH
14
EU Projekt NoAH: Ein Entwurf für ein EU-weites “IDS“
ƒ NoAH = Network of Affined Honeypots [7]
ƒ Ziele:
ƒ
Früherkennung von bisher unbekannten Schwachstellen/Angriffen, die
keine Interaktion mit dem Benutzer erfordern
ƒ
Architektur, die einem Sensorbetreiber minimalen Aufwand verursacht
ƒ Eingesetzte Technologien:
ƒ
Taint-Analyse basiertes “IDS“ Argos
ƒ
Connection Tracker: Erfassen und verfolgen der Kommunikation
zwischen Angreifer und Honeypot.
ƒ
Signaturgenerator: Identifizierung des zum Code gehörenden
Netzwerkverkehrs zur automatischen Erstellung einer einfachen
Signatur für das Snort IDS.
15
NoAH Architektur
Address space provider
Attacker
Home User
•Firmen, Regierungen,…
2.20
2
1
.
2
3
1
129.
.122.28
2
3
1
.
9
12
Redirector (tunnel)
(129.132.122.)
…
…
Honey
@Home
Low-Interaction Honeypots
(Services werden simuliert)
(falls „notwendig“)
NoAH Kern
(Vom NoAH Projekt verwaltet)
…
High-Interaction Honeypots
Reale Services, geschützt
durch Argos
16
ENDE
Fragen?
17
Bibliografie
[1] Bypassing Windows Hardware-enforced Data Execution Prevention
skape, http://www.nologin.org/
[2] Bundestrojaner: Geht was – was geht
J. Schmidt, http://www.heise.de/security/artikel/86415/0
[3] An Example of Why UAC Prompts in Vista Can’t Always Be Trusted
http://www.symantec.com/enterprise/security_response/weblog/2007/02/
an_example_of_why_uac_prompts.html
[4] Early Recognition of Encrypted Applications
Laurent Bernaille and Renata Teixeira, PAM 2007
http://rp.lip6.fr/site_npa/site_rp/_publications/785-pam.pdf
[5] A Practical Mimicry Attack Against Powerful System-Call Monitors
C. Parampalli, R. Sekar, R. Johnson, TR Stony Brook University, 2007
http://seclab.cs.sunysb.edu/seclab/pubs/papers/mimicry.pdf
[6] Automating mimicry attacks using static binary analysis.
C. Kruegel, E. Kirda, D. Mutz, W. Robertson, and G. Vigna,
USENIX Security Symposium, 2005
http://www.cs.wisc.edu/wisa/papers/raid06/GJM06.pdf
[7] EU Projekt NoAH
http://www.fp6-noah.org/
18