IDS: Trends und Herausforderungen 2007

Transkript

1 Zürcher Tagung für Informationssicherheit IDS: Trends und Herausforderungen 2007 Bernhard Tellenbach

2 Überblick Gegenwärtige Sicherheitslage Herausforderungen an IDS/IPS Das EU Projekt NoAH: Ein Entwurf für ein EU-weites IDS 2

3 Beurteilung der aktuellen Sicherheitslage Internet PC heute: Firewall, Virenscanner ev. Intrusion Detection/Prevention Systems (IDS/IPS) Betriebssysteme werden sicherer: Windows XP SP2: Firewall standardmässig aktiviert Data Execution Prevention (DEP) in Windows XP SP2 Bsp. : Erfolgreich gegen WMF Exploit Kein Allheilmittel: Es gibt Wege, diesen Schutz zu umgehen [1] Vergleich zu 2004: Nur noch geringe Population an schlecht geschützten (techn.!) Systemen 3

4 Reaktion der Angreifer auf die veränderte Sicherheitslage Evasion: Angriff auf IDS/IPS zuschneiden um Detektion zu entgehen Schutzsysteme angreifen: Ausnutzen von Schwachstellen in den Schutzsystemen (grosse Vielfalt an Schutzsystemen). Social Engineering: Umgehen der technischen Schutzsysteme >Vortrag von Dr. R. Rytz. Folge: Ein erfolgreicher Angriff auf technisch gut gesicherte Systeme ist mit hohem Zeitaufwand verbunden und erfordert oft ein hohes Level an technischem Wissen sowie viel Erfahrung. 4

5 Beispiele für Schwachstellen in Schutzsystemen: : Löcher im Snort IDS (auch in der kommerziellen Version): Erlaubt das Ausführen von Code via einem Buffer Overflow im Präprozessor zur Verarbeitung des DCE/RPC- Protokolls : Cisco IPS: Per Fragmentierung die Filter umgehen DoS: : Cisco IDS: mainapp SSLv2 HELLO Denial of Service Schwachstelle : CA etrust Intrusion Detection System: Key Exchange Denial of Service Vulnerability 5

6 Weitere Einflussfaktoren Erhöhte Anstrengungen von Forschung/Industrie und Regierung im Aufspüren und Verfolgen von Angreifer. Konsequenzen: Angreifer müssen Spuren gut verwischen. Bsp. Botnetze: Bots werden vermehrt über verschlüsselte Meldungen gesteuert Weg von der Kommunikation über IRC Channels Verteilter Bot-Master 6

7 Angreifer werden smarter Stark gestiegener Aufwand führte zu deutlicher Verschiebung der Motive für einen Angriff: Spass, Geltungsdrang, Ansehen, Langweile, Neugierde, Publizieren neuer Sicherheitslücken Verwundbare Computer werden für spektakuläre Aktionen verwendet (DoS, selbstverbreitende Würmer, ) Finanzielle Interessen, Macht Geheimhalten neuer Sicherheitslücken Verstecktes Agieren/Ausnutzen infizierter Computer (SPAM, SpyWare, ) 7

8 Verordnete Unsicherheit? Der Bundestrojaner [2] Schlagzeile: Das unbemerkte Durchsuchen von PCs durch Ermittlungsbehörden soll gesetzlich geregelt und anschließend auch technisch umgesetzt werden. Interessenskonflikt: Fordern und fördern von Sicherheitsmaßnahmen <> Forderung und Förderung der Umgehbarkeit dieser Massnahmen. Konsequenzen sind nicht absehbar: Verordneter Einbau von künstlichen Schwachstellen in IDS/IPS? Einfluss auf die Sicherheit? Rechtslage? 8

9 Herausforderungen an (zukünftige) IDS/IPS Aus der Bedrohungslage abgeleitete Herausforderungen: Detektionsmethoden müssen resistent sein gegen Evasion Die IDS/IPS selbst darf nicht verwundbar sein Das IDS/IPS sollte kein Eingreifen der Benutzer des beschützten Systems erfordern (>Social Engineering) Die Systeme müssen auch mit Angriffen über verschlüsselte Verbindungen zurecht kommen. Welche IDS/IPS Typen können diese Herausforderungen am ehesten annehmen? 9

10 Herausforderung: Verschlüsselte Verbindungen Bei echter End-To-End Verschlüsselung: Zentrales (z.b. auf Gateway), Netzwerk IDS nicht geeignet Aber: Erfolge bei der Identifizierung von Applikationen [4] z.b Bit-Torrent clients, die SSL benutzen Ein paar wenige Pakete reichen aus Vorhandene Auswege: Ein Netzwerk IDS pro Host Prinzip: Daten liegen irgendwann in entschlüsselter Form vor Bspl: Kapersky Internet Security Host basierte IDS/IPS sind hier im Vorteil 10

11 Herausforderung: Resistenz gegen Evasion IDS/IPS erkennt Abweichungen vom normalen Verhalten Vorteil: Erkennen von unbekannten(!) Angriffen Nachteil: Kann oft durch Imitierung umgangen werden. - [5] ist zeigt dies für ein IDS/IPS, das Abfolgen von Systemaufrufen auf Applikationsbasis verwendet ([6] zeigt mögl. Automatisierung) IDS/IPS erkennt Gefahren mit Hilfe von Signaturen für bekannte Schwachstellen Vorteil: Kaum zu umgehen bei genauen Schwachstellensignaturen Nachteil: Signatur für Zero-Day Exploits? Zielrichtung: Gefahren-Signaturen + Schutz gegen 0-Day Exploits 11

12 Herausforderung: Social Engineering IDS/IPS verwendet Gefahren-Signaturen: Gefahren-Signaturen: Charakterisieren gefährliches/verdächtiges Verhalten (Applikation/System) Vorteil: Potentielle Lösung für das Zero-Day Exploit Problem Nachteil: Tendenz, dass Benutzer mit einbezogen wird Entscheid durch Social Engineering Massnahmen beeinflussen! - Bsp. : Extrusion Prevention bei Host basierten Firewalls Fragen vom Typ: Wollen Sie die Aktion XXX zulassen? - Bsp. : Einsatz von Farbcodes bei User Account Control (UAC) in Windows Vista. Farbcode suggeriert Vertrauen Symantec: Farbe manipulierbar [3] 12

13 Taint-Analyse: Der heilige Gral gegen 0-Day Angriffe von aussen? Prinzip: 1. Markiere über das Netzwerkinterface in das System gelangende Daten 2. Bei Manipulierung: Vererbe die Markierung nach bestimmten Regeln 3. Löse Alarm aus falls: - Code ausgeführt werden soll, der eine Markierung trägt - kritische Daten (z.b. Benutzer-ID,..) auf nicht vorgesehene Weise mit Daten mit Markierung überschrieben werden Fazit: Interessante Technik, (bisher) nicht in Produktivsystemen Problem: Hohe Einbussen bei der Performance (~ Faktor 20!) Korrektur: Einsatz z.t. bei interpretierten Sprachen (Bspl.: PERL) 13

14 NoAH 14

15 EU Projekt NoAH: Ein Entwurf für ein EU-weites IDS NoAH = Network of Affined Honeypots [7] Ziele: Früherkennung von bisher unbekannten Schwachstellen/Angriffen, die keine Interaktion mit dem Benutzer erfordern Architektur, die einem Sensorbetreiber minimalen Aufwand verursacht Eingesetzte Technologien: Taint-Analyse basiertes IDS Argos Connection Tracker: Erfassen und verfolgen der Kommunikation zwischen Angreifer und Honeypot. Signaturgenerator: Identifizierung des zum Code gehörenden Netzwerkverkehrs zur automatischen Erstellung einer einfachen Signatur für das Snort IDS. 15

16 NoAH Architektur Address space provider Firmen, Regierungen, Redirector (tunnel) ( ) Attacker Home User (falls notwendig ) Low-Interaction Honeypots (Services werden simuliert) NoAH Kern (Vom NoAH Projekt verwaltet) High-Interaction Honeypots Reale Services, geschützt durch Argos 16

17 ENDE Fragen? 17

18 Bibliografie [1] Bypassing Windows Hardware-enforced Data Execution Prevention skape, [2] Bundestrojaner: Geht was was geht J. Schmidt, [3] An Example of Why UAC Prompts in Vista Can t Always Be Trusted an_example_of_why_uac_prompts.html [4] Early Recognition of Encrypted Applications Laurent Bernaille and Renata Teixeira, PAM [5] A Practical Mimicry Attack Against Powerful System-Call Monitors C. Parampalli, R. Sekar, R. Johnson, TR Stony Brook University, [6] Automating mimicry attacks using static binary analysis. C. Kruegel, E. Kirda, D. Mutz, W. Robertson, and G. Vigna, USENIX Security Symposium, [7] EU Projekt NoAH 18