Tagesordnung Security

Transkript

1 14.30 Uhr Uhr Neues aus dem DFN-CERT (Andreas Bunten, DFN-CERT) Tagesordnung Security 43. BT- Dienstag, 18. Oktober 2005 Der neue DFN-PKI Dienst, mit Vorführung der DFN Test-PKI (Mitarbeiter der DFN-PCA und Marcus Pattloch, DFN-Verein) Honeypots im praktischen Einsatz (Stefan Kelm, Secorvo) Weitere aktuelle Themen und Diskussion

2 Neues aus dem DFN-CERT Oktober 2005 Arbeitskreis Security auf der 43. DFN Betriebstagung Andreas Bunten, 18. Oktober 2005

3 Agenda Aktuelle Angriffe Speziell: SSH Bruteforce Angriffe Praxisbeispiel: Bot-Netze aus Sicht des Administrators 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 2

4 Neues aus dem DFN-CERT Aktuelle Angriffe

5 Aktuelle Angriffe Aktuelle Wege für die Angreifer auf unsere Systeme: Windows Arbeitsplatz Systeme: Verschiedene neue Windows Viren bzw. Varianten: Sober, Troj, Zotob, Nopir,... Webserver (oft UNIX / Linux, aber nicht nur): Schwachstellen in PHP-Skripten bzw. Bibliotheken Server / Workstations unter UNIX / Linux: SSH Bruteforce Passwort-Rate-Angriffe 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 4

6 Aktuelle Angriffe SSH Bruteforce: Scans nach aktiven SSH-Servern (auf Std. Port) Auf gefundene Server wird Lise mit Passwörtern und Namen von Benutzern angewandt Verschiedene Tools, die wenige User mit 10 bis ~50 Passwörtern bei jedem SSH-Server ausprobieren: sshd[5458]: Connection from **.** port sshd[5458]: Illegal user webadmin from **.** sshd[5458]: error: Could not get shadow information for NOUSER sshd[5458]: Failed password for illegal user webadmin from **.** port ssh2 Manche Admins schicken uns Daten aus Logfiles: Das scannende System ist praktisch immer kompromittiert Für einen erfolgreichen Angriff muss sehr schlechtes Passwort genommen worden sein (z.b. 'root:root' oder 'admin:test123') 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 5

7 SSH Bruteforce Accounts / Passwörter - Beispiel 1: snobody patrick qwerty compas sniper rolo66 iceuser horde cyrus www wwwrun matt teste test2 test23 test123 www-data mysql operator adm apache irc test 123 switch c43vr013t 1gcec19v8yz jane pamela shadow eegch11 qwerty r00t abcd1234 ctxmonitor %username% %null% qwer apache apollo passwor passion passwd redhat people qwaszx qwert tester zxcvbnm zxcvb zorro e4k1mo0$ f4r6k2g7t9q3 w5n8o7t9i6x3 o6v9z3d8y7m9 k1u7r1t2r1t8 w5u6s9v7k5t4 linux stones yellow cooling b bash cmcnew kh9dzv toor actros pharma spyder test bk123qwe Lex1c0n3 bk123qwe 1q2w3e webmaster data user01 user1 user02 web webmaster oracle sybase master account backup server adam alan frank george henry john love loveyou hate iloveyou present test Beispiel 2: test guest admins admin user password root DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 6

8 SSH Bruteforce Was machen die Angreifer auf dem System? Die Angreifer nutzen Informationen in ~/.ssh/known_hosts und in /etc/passwd für weitere Angriffe Durch lokale Sicherheitslücken können Rechte von root erlangt werden passiert oft aber nicht Wenn Rechte von root erlangt werden: Sniffing bzgl. Passwörtern im lokalen Netz Abhören des SSH Daemon bzgl. anderer Accounts Das System wird oft für ein Bot-Netz, Warez-Server, ddos, SPAM und anderes verwendet Natürlich werden auch weitere Systeme angegriffen DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 7

9 SSH Bruteforce Wie kann man sich schützen? Für ausreichenden Schutz müssen die Passwörter nicht gut sein - sie dürfen nur nicht trivial zu erraten sein Wirksamer Schutz ist trotzdem schwierig, da dem Angreifer ein einziger Account ausreicht Maßnahmen: Erreichbarkeit der SSH-Server einschränken Einer Person nur Login von außen erlauben, wenn Passwort einen (einfachen!) Test bestanden hat Limitierung der Verbindungsaufbauten pro Minute von außen zu SSH-Server pro IP an der Firewall Verwendung von Hashes in ~/.ssh/known_hosts (OpenSSH) Vorbereitung auf den Notfall, um schnell reagieren zu können 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 8

10 Neues aus dem DFN-CERT Praxisbeispiel: Bot-Netze aus Sicht des Administrators

11 Heise News am 10. Okt DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 10

12 Definition: Bot-Netz Ein Bot-Netz ist eine Menge von kompromittierten Systemen, die sich unter der gemeinsamen Kontrolle eines Angreifers befindet. Details: Die Systeme sind i.d.r. Büro-PCs oder Heim-Rechner Die Kompromittierung kann stattfinden über Viren, Trojaner, manipulierte Webseiten,... Dem Angreifer bietet das Bot-Netz viele Möglichkeiten: Denial of Service Angriffe Verschicken unerwünschter Werb (SPAM) Datendiebstahl (z.b. Registrierungsdaten, Online-Banking) Hosting / Vertrieb illegaler Inhalte 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 11

13 Ein Bot-Netz in Aktion (I) Angreifer 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 12

14 Ein Bot-Netz in Aktion (II) Angreifer Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 13

15 Ein Bot-Netz in Aktion (III) IRC-Server Angreifer Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 14

16 Ein Bot-Netz in Aktion (III) IRC-Server Angreifer IRC-Relay Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 15

17 Ein Bot-Netz in Aktion (IV) IRC-Server Angreifer IRC-Relay Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 16

18 Ein Bot-Netz in Aktion (V) IRC-Server Command & Control Angreifer Botnet-Hirte Bot Herder IRC-Relay Bouncer Kompromittierte Systeme Drones Zombies Bots 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 17

19 Bot-Netze Statistik: Im besagtem Bot-Netz aus der Heise-Meldung befanden sich tatsächlich > Systeme unter Kontrolle der Angreifer Maximale beobachtete Größe > Systeme (2005) Durchschnittliche Größe viel kleiner, weil handlicher Bot-Netze werden dann eher über C&C-Server gekoppelt Aktuelle Schätzungen: Es befinden sich 1 bis 6 Mio. Hosts unter Kontrolle von Angreifern als Mitglied von Bot-Netzen 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 18

20 Bot-Netze Wo kommen wir in Kontakt mit Bot-Netzen? DFN-Einrichtungen manchmal Ziel von DoS Angriffen, die mit Hilfe von Bot-Netzen ausgeführt werden Im Vergleich mit Providern wenig Bots im DFN; diese sind aber immer wieder vorhanden Besonders interessant für uns: Command & Control Server IRC-Relays 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 19

21 Bot-Netze Command & Control Server: Fallen leicht auf: Viele Verbindungen zu einzelnen Diensten: I.d.R. einige tausend Systeme gleichzeitig zu typ. IRC Ports Bot-Software wird analysiert und der Control Channel wird gefunden - z.b. mit Hilfe von Honeypots Häufig UNIX oder Linux Systeme z.b. über SSH und schwaches Passwort kompromittiert Angreifer benötigen nicht Rechte von root; ein normaler Account reicht zum Betrieb des IRC-Servers Hinter jeder Verbindung zum IRC-Server steckt ein kompromittiertes System! 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 20

22 Bot-Netze IRC-Relays: Fallen kaum auf: Wenige IRC-Verbindungen, die auch legitim sein könnten Informationen über Relays oft nur von IRC-Ops nach Analyse von Missbrauch Oft UNIX oder Linux Systeme mit Software 'psybnc' Rechte von root werden nur zur Tarnung z.b. mit Hilfe eines Rootkits benötigt Logfiles der Relays geben Aufschluss über die tatsächlichen Angreifer (bzw. den nächsten Relay) 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 21

23 Bot-Netze Was kann getan werden? C&C Server fallen durch Art der Verbindungen auf: langlebig mehrere tausend gleichzeitig oft zu typischen IRC-Ports Manchmal fallen hohes Datenvolumen zu untypischen Zeiten oder über untypische Dienste auf Vorbereitet sein! (z.b. durch Notfallpläne) Schnelle Reaktion im Ernstfall: u.a. Alamierung der betroffenen Sites 43. DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 22

24 Vertrauen im Netz Beispiel: Angreifer rekrutiert neuen IRC-Relay PRIVMSG #sum41 : [20:22:11] * Dns resolved ***.***.***.62 to johannes@s1:~$ uptime 20:22:35 up 13 days, 10:19, 1 user, load average: 0.00, 0.00, 0.00 johannes@s1:~$ uname -a Linux s bf2.4 #1 Son Apr 14 09:53:28 CEST 2002 i686 GNU/Linux nice :> [...] :SuM41[quand]!~sum41@ JOIN :#sum DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 23

25 Bot-Netze Vielen Dank für Ihre Aufmerksamkeit! Fragen? DFN Betriebstagung, 18. Oktober DFN-CERT Services GmbH Folie 24