Darknet / Dark Cloud

Transkript

1 Darknet / Dark Cloud SE für Informatik O. Janner, J. Reissig 24. Mai 2013 O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

2 Inhaltsverzeichnis 1 Allgemein 2 Cybercrime 3 Cloud Browser 4 Amazon EC2 5 BitTorrent Darknets 6 Angriffsszenario 7 Abwehrsystem 8 Quellen O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

3 Allgemein Begriffe Was ist Cloud? Darknet als medialer Begriff Dark Cloud vom wissenschaftlichen Aspekt Zusammenhang: Cloud - P2P (Torrent) Verteilt Vernetzt Autarke Systeme O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

4 Geschichte Netzwerke Einzelne Rechnerverbunde (ARPANET) Globale Vernetzung (Telefonnetz) Globale Vernetzung (Internet) Cybercrime Spaßlastig (Kann man s?) Finanzielle Vorteile (Telefon-Hack) Offenliegende, finanziell lukrative Daten O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

5 Vorgehensweise der Angreifer Vorgehensweise der Angreifer Spam an den Benutzer Angriff auf Rechner des Benutzers direkt Angriff auf Webserver O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

6 Angriff auf Benutzer Drive-By-Download Lücke im Browser des Benutzers Lücke in externem Plugin (zb.: Flash oder Java) Social-Engineering Drive-By-Download fehlgeschlagen Benutzer soll Malware selbstständig installieren Populäre Videoplayer + Missing-Codec Meldung Fake-Antivirus-Security-Scan O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

7 Angriff auf Benutzer Malwareaktivität Profitmache Keylogger Backdoor Bot (Botnetz lauschend auf Befehle) (Cloudaspekte da Verteilt und/oder zentral Steuerbar) Sammeln von Daten Senden von Spam O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

8 Angriff auf Webserver Ziele Zugriff möglichst geheim halten Inhalt der Seite ändern Weiterleitung auf kompromitierte oder eigene Webseite O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

9 Angriff auf Webserver SQL-Injection Exploit einer Lücke in Kommunikation des Webservers mit SQL-Instanz Durch weite Verbreitung von OpenSource-Software einfach zu Exploiten Gegebene Inputfelder verwenden und missbrauchen O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

10 SQL-Injection Ziele Login übergehen Unauthorisierten Zugriff als User Zugriff als Administrator Inhalt der Datenbank ändern O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

11 SQL-Injection Beispiel VARCHAR(255) DECLARE Table Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype= u AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN Table Cursor FETCH NEXT FROM Table Cursor WHILE(@@FETCH STATUS=0) BEGIN EXEC( UPDATE [ +@T+ ] SET [ +@C+ ]=RTRIM(CONVERT(VARCHAR(4000),[ +@C+ ]))+ ) FETCH NEXT FROM Table Cursor END CLOSE Table Cursor DEALLOCATE Table Cursor O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

12 Angriff auf Webserver Forwarding Seite selbst wird nicht geändert Veränderung kann vor Besitzer verborgen werden Durch ständiges ändern der Weiterleitungsadresse erweist sich die Verfolgung als schwierig O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

13 Forwarding Beispiel RewriteEngine On RewriteCond %{HTTP REFERER}. google. $ [NC,OR] RewriteCond %{HTTP REFERER}. aol. $ [NC,OR] RewriteCond %{HTTP REFERER}. msn. $ [NC,OR] RewriteCond %{HTTP REFERER}. altavista. $ [NC,OR] RewriteCond %{HTTP REFERER}. ask. $ [NC,OR] RewriteCond %{HTTP REFERER}. yahoo. $ [NC] RewriteRule. [R,L] O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

14 Gegenmaßnahmen Webserver / Browser Automatischen patchen Security updates Neustart nicht aufschieben Social Engineering Filtern der Suchergebnisse (Google): Simulationen auf preparierten virtuellen Rechnern Benutzerverhalten simulieren (beinahe nicht möglich) O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

15 Cloud Browser Allgemein Rendern von Webseiten und Ausführen von Javascript in der Cloud Im Zuge der Smartphone-Verbreitung entstanden z.b.: Amazon Silk, Opera Mini, Cloud Browse, Puffin Lässt sich ein Cloud Browser als kostenloser Cloud Dienst für Berechnungen missbrauchen? O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

16 Cloud Browser Browser MapReduce (BMR) Architektur: O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

17 Cloud Browser Einschränkungen Speicherzuweisung und Rechenzeit eines Skripts sind begrenzt Jede Anwendung benötigt unterschiedlich komplexe Mapper und Reducer Mapper können Zwischenergebnisse nicht über lokalen Speicher austauschen O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

18 Cloud Browser Evaluation Word count (zählen) Distributed grep (finden) Distributed sort (sortieren nach TeraSort) O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

19 Amazon EC2 Allgemein Cloud Computation Kosten pro stündlicher Nutzung einer VM VM ist abhängig von CPU, Speicher und Netzwerk Gleiche VMs auf unterschiedlicher zugrundeliegender Hardware O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

20 Amazon EC2 Vergleich gleicher VMs Starke Unterschiede durch Netzwerktopologie, CPU-Architektur, Mehrfachnutzung, etc. Ausnutzung der Unterschiede möglich? O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

21 Amazon EC2 Performanceberechnung Blackbox: Historie betrachten Graybox: Wissen über Infrastruktur, Verteilung von Prozessortypen, Netzwerktopologie, Schedulingmechanismen verwenden O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

22 Amazon EC2 Ausnutzung up-front exploration : Erstellen von mehr Instanzen als benötigt, Beibehalten der als am schnellsten Vorhergesagten opportunistic replacement : Wahl zwischen Beibehalten oder Neueröffnen der Instanz basierend auf Projektionen auf die zukünftige Performance Performanceerhöhung von bis zu 34% O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

23 BitTorrent Darknet Allgemein Client / Peer Server / Tracker Peer Exchange (PEX) Distributed Hash Table (DHT) Fakten Trotz existenz von Youtube wächst der Torrent-Traffic Beispiel Mininova 2008: Verdoppelung auf 7 millionen Downloads innerhalb eines Jahres O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

24 BitTorrent Darknet Allgemein Betreiber der Webseite meist auch Betreiber des Trackers meist OpenSource Implementierung für Tracker/Webseite O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

25 Privat vs. Öffentlich Öffentliche Tracker Öffentliche Suche Jeder kann Torrent hochladen Account nicht zwingend Notwendig PEX und DHT erlaubt Privater Tracker (Darknet) Torrentsuche nur mit Account auf Webseite möglich Ein eingehender Port muss offen sein Passkey erforderlich um Peers zu erhalten PEX und DHT nicht erlaubt O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

26 BitTorrent Darknet Erhalt von Accounts Registrierung Invite (Einladung) Closed Gespeicherte Daten IP Adresse bei Login auf Webseite und während des Downloads Traffik (Up-/Download) bei einzelnen Torrents Aktivität des Nutzers (Seedzeit der Torrents, Suchen, vergebene Invites,...) Passkey O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

27 BitTorrent Darknet Policies Eine bestimmte Up-/Download-Ratio muss eingehalten werden Minimum von meist 0.9 um Aktivität zu erhalten Bei nichteinhalten wird Account gedrosselt Bei einhalten der Policies hat man Vorteile (Schnellere Anzeige neuer Torrents, bessere Oberfläche,...) O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

28 BitTorrent Darknet Standorte der Accounts Land Accounts Land Accounts Russia 30.7% Bulgaria 3.8% USA 17.4% Greece 2.9% India 8.3% UK 2.6% Ukraine 4.9% Turkey 2.3% Japan 4.1% Romania 2.2% Gesamt ca. 3.5 Millionen Accounts O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

29 BitTorrent Darknet Standorte der Webserver Land Accounts Land Accounts USA 194 Malaysia 15 Netherlands 107 Luxembourg 14 Germany 83 Ukraine 10 Sweden 58 Thailand 9 France 50 Bulgaria 8 Canada 46 Denmark 8 Hungary 44 China 8 Romania 36 Czech Republic 7 UK 36 Slovenia 7 Russia 16 Others 117 Gesamt +900 Seiten O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

30 Angriffsszenario /0-Scan Sality: new-generation P2P Botnet /8 Darknet Anzahl an Bots größer als je zuvor (3 Mio. Sourceadressen) Ziel sind SIP-Server Gesamtes IPv4-Netz adressiert (20 Mio. Targetadressen) Fein abgestimmte Scanstrategie mit geringer Überlagerung Kompletter Scan in 12 Tagen O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

31 Abwehrsystem DAEDALUES-VIZ Alarmsystem zur Erkennung von Darknets durch Echtzeit-Visualisierung O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

32 Danke für die Aufmerksamkeit! Danke für die Aufmerksamkeit! Fragen? O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

33 Quellen I More for Your Money: Exploiting Performance Heterogeneity in Public Clouds; Farley, Benjamin and Juels, Ari and Varadarajan, Venkatanathan and Ristenpart, Thomas and Bowers, Kevin D and Swift, Michael M; Proceedings of the Third ACM Symposium on Cloud Computing; ACM; 2012 BitTorrent Darknets; Dhungel, P and Wu, D and Liu, Z and Ross, K; Proc. IEEE INFOCOM; 2010 Analysis of a /0 Stealth Scan from a Botnet; Papale, Ferdinando and Pescapé, Antonio; 2012 O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34

34 Quellen II Cybercrime When the Cloud Turns Dark; Provos, Niels and Rajab, Moheeb Abu and Mavrommatis, Panayiotis; Communications of the ACM; ACM; 2009 Abusing Cloud-Based Browsers for Fun and Profit; Tendulkar, Vasant and Snyder, Ryan and Pletcher, Joe and Butler, Kevin and Shashidharan, Ashwin and Enck, William; Proceedings of the 28th Annual Computer Security Applications Conference; ACM; 2012 DAEDALUS-VIZ: novel real-time 3D visualization for darknet monitoring-based alert system.; Inoue, Daisuke, et al.; Proceedings of the Ninth International Symposium on Visualization for Cyber Security. ACM, O. Janner, J. Reissig Darknet / Dark Cloud 24. Mai / 34