Bezpečnost v rukou adminů i tajných služeb (zápisky z IT 14)

2. 6. 2014
Doba čtení: 12 minut

Sdílet

Nedávno proběhl další ročník konference Internet a Technologie, na které znovu proběhla řada zajímavých přednášek. Tentokrát se většina z nich více či méně točila kolem bezpečnosti. Tajné služby, nové bezpečnostní díry, ale i hlídání provozu na vlastní síti. To byla nejzajímavější témata letošního ročníku.

Pavel Satrapa: IPv6 – už tam budeme?

Přednáška Pavla Satrapy se netýkala přímo bezpečnosti, ale úzce souvisela s principem fungování celého internetu. Podle původních předpokladů už jsme teď měli mít všichni IPv6 a měly existovat jen poslední ostrůvky jedoucí jen na IPv4, řekl na začátku přednášky Pavel Satrapa. Podle odvážných odhadů se mělo jednat jen o sítě velmi konzervativních správců nebo ty v procesu přechodu. Současná situace ovšem vypadá jinak.

Čísla AMS-IX ukazují, že uzlem teče 10 Gbit/s provozu přenášeného po IPv6. To vypadá jako poměrně vysoké číslo, ale v porovnání s celkovým tokem jde jen o 0,5 % provozu. Zajímavá čísla má i Google. Je vidět, že poměr utěšeně roste. V září 2013 přicházelo na Google 1,87 % po IPv6, v květnu 2014 už jsou to 3,05 %. To podle Satrapy znamená, že nic nebrání v dalším růstu a Google je připraven. Když je služba udělaná poctivě oběma protokoly, přijde na ni po šestce poměrně dost uživatelů.

Zajímavé je, že podle statistik Google navíc o víkendu stoupá počet IPv6 uživatelů asi o 0,5 %. Vypadá to, že domácí sítě jsou na tom lépe než firemní sítě, ze kterých se komunikuje o víkendech. Podle Satrapy jsou na tom tedy zřejmě v tuto chvíli lépe přípojky uživatelů než poskytovatelé obsahu.


Autor: Igor Kytka, CZ.NIC

Pavel Satrapa

V doméně .cz je v současné době registrováno zhruba 1,1 milionů domén, z čehož asi 231 000 má také IPv6 adresu. Celkem 164 000 domén má také IPv6 mail. Pořád jsme také světovou jedničkou ve webovém obsahu. Z nejnavštěvovanějších webů v Česku má 61 % k dispozici IPv6 konektivitu, řekl Satrapa s odkazem na statistiky 6lab Cisco.

V poslední době se objevují snahy řešit nejvážnější bezpečnostní nedostatky nového protokolu. Vyšlo důležité RFC 7112, které omezilo rozšiřující hlavičky. Ty se musí nově vejít do prvního fragmentu. Rozšiřující hlavičky jsou totiž velkým zdrojem problémů, protože informace o transportním protokolu se mohou ukrývat až v některém pozdějším fragmentu, takže firewall nemá podle čeho rozhodnout, zda paket pustí nebo ne. Obvykle je proto raději pustí. Více se tomu tématu věnoval Matěj Grégr na loňském LinuxAltu.

Podle Satrapy je v tuhle chvíli největším problémem nekompatibilita se světem IPv4. Změnit by to podle něj mohl NAT64, který byl na konferenci přístupný pomocí jedné z WiFi sítí a účastníci si mohli vyzkoušet celý svět přístupný pouze po IPv6. Satrapa ale věří, že se situace bude zlepšovat, i s tím, jak nedostatek IPv4 adres zkomplikuje život řadě firem a administrátorů. Zůstávám optimistou. Internet se čím dál víc ‚zanatovává‘ a poskytovatele to časem přestane bavit. Jen to možná ještě chvíli potrvá.

Ondřej Surý: Soukromí na internetu, a co dál?

Bezpečnost je v poslední době velké téma, největší bouři spustil Edward Snowden, který na světlo vynesl praktiky velkých bezpečnostních agentur. Nejčastěji je v tomto ohledu skloňována NSA, která má údajně sbírat data z celého internetu, monitorovat i řadu zabezpečených kanálů a provádět rozsáhlé analýzy. NSA samozřejmě nikdy nic oficiálně nepotvrdila, takže jde o spekulace, řekl na začátku přednášky Ondřej Surý. Přesto se uživatelé začali o bezpečnost výrazně více zajímat, což je zcela jistě pozitivní efekt.


Autor: Igor Kytka, CZ.NIC

Ondřej Surý

Největším nebezpečím je podle Surého takzvaný pervasive monitoring, tedy všudypřítomné sledování veškerého provozu na síti. Jde o využívání různých chyb v protokolech a jejich implementacích. Mluví se nejvíc o Heartbleed, ale jsou i mnohé další. IETF vydalo RFC 7258, ve které se postavila tak, že všudypřítomné sledování je vlastně útok. Útok na soukromí, na podstatu internetu. Všechna nová RFC už musí být delší dobu psána s ohledem na tento problém.

Ondřej Surý se samozřejmě zabýval především bezpečnosti a soukromí v DNS. Autenticitu je možné zajistit pomocí DNSSEC, který podepisuje DNS záznamy. Další možností je TSIG respektive SIG0, které podepisují DNS zprávy posílané mezi servery. DNS protokol samotný zatím není šifrování, ale existuje návrh dnscrypt, který je ovšem velmi kontroverzní.

Soukromí v doménách je ovšem možné zajistit i bez šifrování. V současné době se posílá celý DNS dotaz na všechny servery po cestě. Ovšem kořenový server ani servery CZ.NIC nepotřebují vědět, na jakou doménu se ptám. DNS komunita se už delší dobu baví o tom, že by bylo možné dotaz rozkouskovat a každého serveru se ptát jen na minimální část informace. CZ.NICu bych se zeptal třeba jen na doménu druhého řádu. Podle Surého by bylo možné to udělat bez zásahu do protokolu.

Proti tomu šifrování v DNS by vyžadovalo změny v samotném protokolu. V zásadě jde ale o hrozný hack nad stávajícím protokolu. Veřejný klíč je zakódován do jména serveru a data jsou šifrována do TXT záznamu. Servery by pak měly velmi kryptická jména, která by se nedala pamatovat. Systém DNS byl ale vytvořen proto, aby se jména dobře pamatovala. Největším problémem je ale podle Surého fakt, že dnscrypt má v sobě „natvrdo“ zakódovaný algoritmus, který by pak už nebylo možné změnit. Proto prosím dnscrypt ne.

V Londýně na IETF 89 se sešla skupina DNSE, která se zatím snaží definovat celý současný problém. Zatím se jen diskutuje, což je ale na začátku potřeba. Už vznikly první popisy problémů. Existuje několik možných řešení: je možné šifrovat na nižší vrstvě (DTLS), nebo je možné šifrovat přímo v DNS zprávě. To by opět vyžadovalo přepracovat DNS protokol, což přináší mnoho problémů třeba na firewallech.

Šifrování samotné ovšem nestačí, protože i z metadat je možné zjistit spoustu zajímavých informací. Pokud předpokládáme, že tajné služby mají zaznamenané ohromné množství informací, můžeme předpokládat, že dokáží dělat i statistickou analýzu. Například z délky dotazu je možné odhadnout, na jakou doménu jsem se ptal. Totéž platí o odpovědích. Navíc čím je méně domén na autoritativním serveru, tím je jednodušší odhadnout, na kterou z nich se uživatel ptá.

Podle Surého je potřeba nyní začít nad věcmi přemýšlet úplně jiným způsobem. Pokud má útočník všechna data, umí je korelovat s dalšími informacemi, musíme postupovat úplně jinak. Bude to bolet, ale musíme to tak udělat. Navíc je potřeba zabezpečit nejen DNS, ale i ostatní protokoly, zmíněn byl například protokol SNI, který vyzrazuje doménová jména v otevřeném textu.

Ondřej Caletka: Passive DNS

Ondřej Caletka na své přednášce představil projekt Passive DNS, který nedávno ve své síti nasadilo sdružení Cesnet. Začal konkrétním příkladem spamu šířícího malware, který nedávno obíhal českými e-mailovými schránkami. Kolegové z forenzní laboratoře zkoumali přílohu a zjistili, že jde o node botnetu, který je řízený z domény picapicachu.net. Bohužel v tu dobu už doména přestala existovat a v registrech proto o ní není možné zjistit víc. V tu chvíli máte problém, protože máte v síti určitě nakažené počítače, ale podrobnosti už nezjistíte.

V takové situaci právě pomáhá projekt Passive DNS. Myšlenka zní: sbírejme veřejná data na rekurzivních DNS serverech a zjišťujme, na co se lidé ptají. Caletka uklidňuje, že nejde o žádné sledování uživatelů, protože se ukládají pouze veřejné údaje z DNS. DNS je pouze tady a teď. Za hodinu se může situace změnit a vy nemáte možnost podívat se do historie. Proto se tedy pomocí projektu vytváří archiv s historií DNS. Ondřej Caletka to přirovnal k Web Archive pro DNS.


Autor: Igor Kytka, CZ.NIC

Ondřej Caletka

Z existující databáze je pak možné zjišťovat odpovědi k reverzním dotazům. Za normálních okolností není možné zjistit, která doménová jména se překládají na konkrétní IP adresu. Z databáze Passive DNS to možné je. Data je možné zachytávat před rekurzivním serverem, ale tam putují i potenciálně citlivá data o tom, který uživatel se ptal na co. Tohle bych třeba na svém počítači mít nainstalované nechtěl. Druhou možností je dotazování až na veřejné straně, tedy za rekurzivním serverem. Sbírány jsou tedy jen odpovědi autoritativního serveru směrem k rekurzivnímu. Toto řešení máme právě nasazené v Cesnetu. Už z principu je takto chráněno soukromí uživatelů, protože dotazy jsou anonymní. Navíc čím víc uživatelů daný rekurzivní resolver používá, tím lépe, protože není možné párovat dotazy s konkrétním uživatelem.

Vlastní sběr dat probíhá pomocí knihovny PCAP. Sniffujeme na síťovém rozhraní, takže to není závislé na konkrétním DNS serveru, který používáte. Sběr může probíhat přímo na serveru nebo je možné na switchi zařídit klonování portu a posílat data na vedlejší server. Data se po zachycení přesouvají na centrální server, kde se ukládají pro zpracování.

Myšlenka Passive DNS vznikla už v roce 2005 a vznikly tři hlavní implementace: ISC/Farsight, BFK a CERT.at. Poslední variantu právě používá i český Cesnet. Data putují do centrální PostgreSQL databáze, ve které je už miliarda položek. Server má 100 GB RAM a data ukládá na SSD disky. Přístup k systému je možný například přes webové rozhraní, na kterém zadáme konkrétní doménu a server vydá všechny informace, které k ní má.

Když se vrátíme k příkladu s botnetem, je možné v Passive DNS databázi dohledat, na jaké IP adresy se doména resolvovala. Asi vás nepřekvapí, že IP adres bylo hodně a často se měnily s tím, jak se řídicí server stěhoval. Ve spolupráci s daty z NetFlow je možné zjistit, kdo ze sítě s konkrétními IP adresami komunikoval. Snadno tak zjistíte, které počítače jsou infikované a je potřeba je odvirovat.

Podobně je možné zkoumat phishingové stránky. Když najdete phishingové stránky z podivné IP adresy někde z východu, ptáte se, zda jde o zneužití legitimní služby web hostingu nebo jde o notorického podvodníka. Pokud se na stejné adrese vyskytují jen další phishingové domény, je možné adresu zablokovat na firewallu. Pokud tam jsou legitimní domény, vyplatí se nahlásit zneužití web hosterovi, který obvykle velmi rychle zasáhne.

Kromě toho jde o dobrý zdroj dat pro různé výzkumy. Prováděl se například výzkum toho, které domény přestanou fungovat v případě výpadku připojení na území jednoho státu. Tento problém se nedávno týkal například Turecka, které se na čas odpojilo od internetu a vypadly všechny domény, které měly autoritativní servery na jeho území.

Databáze není otevřená veřejnosti, ale je možné se k ní dostat, pokud chcete provádět výzkum, chcete data využít k řešení bezpečnostních incidentů nebo sami provozujete senzory. Pokud jste například ISP, má to pro vás smysl. U domácího připojení bych to nedělal, protože budete mít málo dat a z nich je možné odvodit spoustu informací o konkrétních lidech. Naopak čím více namíchaných dat, tím lépe. Podle Caletky je stále zájem o připojení dalších českých sítí.

Viktor Puš: Softwarově definované monitorování 100Gb sítí

Do sítě Cesnet je připojeno mnoho různých organizací a uživatelů a místní administrátoři se snaží udržet síť bezpečnou. Do infrastruktury byly investovány poměrně velké peníze, takže se také snažíme tuto investici chránit, vysvětlil Viktor Puš. Součástí bezpečnostních ochran je také monitoring provozu, který pomáhá odhalovat například bezpečnostní incidenty.

Ukládají se jen obecné informace o TCP spojení jako jsou IP adresy, číslo protokolu, časová značka, počty paketů a podobně. Jde o ukládání informací o síťové vrstvě, o ničem jiném. V poslední době se ukazuje, že je potřeba přejít na aplikační vrstvu. Správci musí mít přehled o jednotlivých protokolech jako DNS, HTTP či SIP. Například Heartbleed v NetFlow prostě neuvidíte, v monitoringu SSL už ale snadno.


Autor: Igor Kytka, CZ.NIC

Viktor Puš

Monitoring probíhá na páteřních linkách Cesnetu, které běží rychlostí 100Gb/s tedy asi 150 milionů paketů za sekundu. Monitorování na této rychlosti je poměrně velkou technologickou výzvou. Na běžném procesoru je možné monitorovat asi 20 milionů paketů za sekundu, ovšem jen v základním NetFlow. Je možné vytvořit specializovaný hardware na zpracování toků, ale v něm se velmi špatně dělají změny. Objeví se nějaká novinka, kterou jste ještě do čipu nezapekli a vy musíte vyrábět nový.

Řešením je spojení obou způsobů do Software Defined Monitoringu (SDM). Většinu provozu tvoří malé množství velkých toků a navíc většina provozu je nezajímavá a stačí u něj jen NetFlow. V hardwarové FPGA kartě tedy zpracováváme NetFlow a zajímavé toky pak podrobněji analyzuje procesor. Statisticky jedno procento největších toků znamená 85 % paketů, takže pokud se podaří tyto toky převést na hardwarový NetFlox, zůstane na procesoru jen 15 % paketů.

O způsobu zpracování konkrétního toku rozhoduje procesor, který posoudí každý nový neznámý tok. Pokud jde o zajímavý nebo podezřelý provoz, začne softwarové zpracování. Nezajímavé velké toky jsou předány hardwarovému akcelerátoru, který pak další pakety ze stejného provozu zpracuje. Většina provozu tak procesor vůbec nezatěžuje a končí v jednoduché NetFlow analýze.

Analýza je už nasazena na zahraničních linkách Censetu a linkách do peeringového centra NIX.CZ. Cílem je takto zajistit celý perimetr, na kterém je největší riziko bezpečnostních incidentů, uzavřel přednášku Puš.

Pavel Bašta: (Ne)bezpečné USB?

Pavel Bašta se věnoval úplně jiné úrovní bezpečnosti: útokům na koncové uživatele pomocí upravených USB zařízení. Šikovným pomocníkem je v tomto případě miniaturní deska Teensy, které se v praxi používá k penetračnímu testování. Uživatelé obvykle USB hodně podceňují a mají pocit, že když to do USB pasuje, můžeme to tam dát. Bez ohledu na to, jaké to je zařízení.

Pavel Bašta zmínil několik klasických zneužití USB. Tradiční je problém z Windows, který automaticky spouští to, co je uvedeno v souboru autorun.inf. Často se tak dříve šířily například počítačové viry, například virus Stuxnet. Dnes je tato funkce na flash discích vypnutá, stále je to ale možné využití u CD/DVD. Existují ovšem takzvané U3 Flash disky, které zobrazují část disku jako CD-ROM a opět je možné tento způsob použít a bez zásahu uživatele spouštět cizí software.


Autor: Igor Kytka, CZ.NIC

Pavel Bašta

Dalším způsobem zneužití je takzvaný Evil Maid Attack, kdy je možné přes USB zavést operační systém, který dokáže například pozměnit zavaděč TrueCryptu a zachytit zadávané heslo. Je třeba ale získat fyzický přístup k napadenému počítači. Při příští návštěvě si pak můžete heslo odnést.

Nejnověji je při zneužívání USB používán univerzální protokol HID (Human Interface Device), který umožňuje odstranit ovladače pro konkrétní zařízení. Je pak možné simulovat například klávesnici a počítač pak netuší, zda na druhé straně kabelu sedí skutečný uživatel nebo nějaký útočný hardware. Takto je při zapojení neznámého zařízení provést sadu akcí, kterých si uživatel obvykle ani nevšimne. Rychle se například spustí naskriptovaná akce, vysvětlil Bašta a dodal, že uživatelé jsou k podobným zásahům překvapivě slepí.

ict ve školství 24

Existuje několik zařízení, například USB Rubber Ducky, což je hotové zařízení, které je možné koupit. Používá jednoduchý programovací jazyk a je možné získat mnoho hotových útočných aplikací. Pavel Bašta se ovšem věnoval zařízení Teensy, což je vlastně osmibitový AVR jednočip, který je možné pořídit za 24 dolarů. Je to miniaturní deska, která se dá schovat například do krabičky místo flash disku. Jakmile uživatel toto zařízení někde najde a připojí, zdánlivě se nic nestane, ale může se spustit automatický postup, který například vytvoří nového uživatele a dá mu přístup do počítače. Záleží pak na právech konkrétního uživatele, co může v počítači nastavit.

Přednáška byla ještě doplněna odpoledním workshopem, na kterém bylo možné si prakticky vyzkoušet některé schopnosti destičky Teensy. Společně s Pavlem Baštou jsme si ve vývojovém prostředí pro Arduino vytvořili několik krátkých programů, které se pak přímo po USB přenesly do desky. Po připojení se zařízení přihlásilo jako klávesnice a bylo schopné například otevřít terminál a rychle do něj nasypat řadu příkazů. Je možné to například zabudovat do klávesnice nebo myši. Zařízení pak sice z pohledu uživatele nefunguje, ale ten obvykle nepojme podezření, vysvětlil zajímavou praktickou ukázku Pavel Bašta. Pokud se útočník předem nechá ve firmě zaměstnat, jen v klidu na uživatelovu žádost vymění „nefunkční zařízení“ za funkční. Kukaččí vejce už se ale vylíhlo.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.