Οικονομικό Πανεπιστήμιο Αθηνών Τμήμα Πληροφορικής

Transcript

1 Οικονομικό Πανεπιστήμιο Αθηνών Τμήμα Πληροφορικής Εκπόνηση πτυχιακής εργασίας από την Αρέθα Χριστίνα ( ) υπό την επίβλεψη του καθηγητή κ.πολύζου ΑΘΗΝΑ 2009

2 ΠΕΡΙΕΧΟΜΕΝΑ ΠΕΡΙΕΧΟΜΕΝΑ ΠΕΡΙΛΗΨΗ ABSTRACT ΕΙΣΑΓΩΓΗ ΣΤΟΧΟΣ ΕΡΓΑΣΙΑΣ CAPTURE HPC CLIENT HONEYPOT/ HONEYCLIENT Αρχιτεκτονική σχεδίαση του Capture-HPC Χαρακτηριστικά σχεδίασης των προγραμμάτων του Capture-HPC Πρόγραμμα του Capture Server Πρόγραμμα του Capture Client Πρωτόκολλο επικοινωνίας μεταξύ των Capture Server και Capture Client Έρευνα με τη χρήση του Capture-HPC και αποτελέσματα ΣΧΕΤΙΚΗ ΕΠΙΣΤΗΜΟΝΙΚΗ ΔΡΑΣΤΗΡΙΟΤΗΤΑ ΣΤΟ ΠΕΔΙΟ ΤΩΝ CLIENT HONEYPOTS MITRE s HoneyClient Web Exploit Finder Shelia ΥΛΟΠΟΙΗΣΗ ΔΙΕΠΑΦΗΣ ΤΟΥ CAPTURE-HPC ΜΕ ΠΡΟΓΡΑΜΜΑΤΑ ΕΦΑΡΜΟΓΩΝ Αρχιτεκτονική σχεδίαση διεπαφής Αναγκαιότητα προσαρμογής και επέκτασης του κώδικα του Capture Server Ευχρηστία και αποδοτικότητα συστήματος Χαρακτηριστικά υλοποίησης διεπαφής Πρωτόκολλο επικοινωνίας μεταξύ των server και client Επέκταση και προσαρμογή του κώδικα του Capture Server ΧΡΗΣΗ ΤΟΥ API ΣΤΗΝ ΥΛΟΠΟΙΗΣΗ ΜΙΑΣ ΑΡΧΙΤΕΚΤΟΝΙΚΗΣ ΕΛΕΓΧΟΥ S Περιγραφή και αρχιτεκτονικό σχέδιο συστήματος Λεπτομερής σχεδίαση συστήματος Mozilla Thunderbird client Apache HTTP Server ΑΠΟΤΕΛΕΣΜΑΤΑ ΕΞΕΤΑΣΗΣ WEB SITES ΜΕ ΤΗ ΧΡΗΣΗ ΤΟΥ CAPTURE- HPC ΕΠΕΚΤΑΣΗ ΤΟΥ ΑΡΧΙΤΕΚΤΟΝΙΚΟΥ ΜΟΝΤΕΛΟΥ ΚΑΙ ΜΕΛΛΟΝΤΙΚΗ ΔΡΑΣΤΗΡΙΟΤΗΤΑ ΒΙΒΛΙΟΓΡΑΦΙΑ ΠΑΡΑΡΤΗΜΑ Εγκατάσταση του λογισμικού Capture-HPC Εγκατάσταση του Capture Server Εγκατάσταση του Capture Client Χρήση του Capture-HPC

3 ΠΕΡΙΛΗΨΗ Οι επιθέσεις σε χρήστες του Διαδικτύου (Internet) είναι ένα πρόβλημα που οξύνεται διαρκώς τα τελευταία χρόνια. Αντικείμενο της εργασίας αποτελεί η μελέτη και η επέκταση της λειτουργικότητας ενός λογισμικού εντοπισμού κακόβουλων εξυπηρετητών σε ένα δίκτυο και η χρήση του σε μία αρχιτεκτονική ασφάλειας, η οποία παρέχει ένα επίπεδο προστασίας στους χρήστες του Internet. Το λογισμικό αναγνώρισης κακόβουλων εξυπηρετητών που μελετήθηκε και επεκτάθηκε είναι το Capture-HPC Client Honeypot/Honeyclient [1] και η υλοποίηση της αρχιτεκτονικής πραγματοποιήθηκε σε δύο διακριτά στάδια. Αρχικά, σχεδιάστηκε και υλοποιήθηκε μία διεπαφή (API) με την οποία καθίσταται δυνατή η επικοινωνία μεταξύ του Capture-HPC και διάφορων προγραμμάτων εφαρμογών. Ο τύπος αλληλεπίδρασης των συνεργατικών εφαρμογών είναι το μοντέλο πελάτη-εξυπηρετητή (client-server) και η υλοποίηση στηρίζεται στην ιδέα της παροχής των υπηρεσιών του Capture-HPC στους χρήστες μέσω διάφορων client εφαρμογών. Ο χρήστης έχει τη δυνατότητα να προωθήσει τα επιθυμητά URLs στο Capture-HPC, ώστε να εξεταστεί το περιεχόμενο των αντίστοιχων ιστοσελίδων και να ενημερωθεί αν κάποια από αυτές ενδέχεται να παραβιάσει το σύστημά του. Στη διαδικασία της επεξεργασίας των URLs από το Capture-HPC συμπεριλήφθηκε και ένας Web crawler, ο οποίος αναγνωρίζει τα links μίας ιστοσελίδας και προσθέτει στο σύνολο των προς εξέταση URLs τα internal links. Στη συνέχεια, η εφαρμογή που υλοποιεί τη διεπαφή χρησιμοποιήθηκε στην ανάπτυξη μίας αρχιτεκτονικής ασφάλειας, η οποία δίνει τη δυνατότητα στους χρήστες του Mozilla Thunderbird client να εξετάσουν τα URLs που εμπεριέχονται σε ένα και να ενημερωθούν αν η πρόσβαση στις αντίστοιχες ιστοσελίδες εγκυμονεί κινδύνους επίθεσης. Η αρχιτεκτονική που υλοποιήθηκε αποτελεί ένα παράδειγμα χρήσης της διεπαφής. Μέσω του συγκεκριμένου παραδείγματος κατανοείται το πρωτόκολλο, το οποίο διαχειρίζεται και ελέγχει τη σύνδεση, την επικοινωνία και την ανταλλαγή δεδομένων μεταξύ του Capture-HPC και διάφορων άλλων λογισμικών. Ως διαφορετικά παραδείγματα χρήσης της διεπαφής αναφέρονται η επικοινωνία του Capture-HPC με mail servers και με proxy servers

4 ABSTRACT One of the most serious challenges that the computer science community faces is the Internet security. The threats over the Internet affect not only the server-side but also the client-side. In recent years, malicious Web servers that launch client-side attacks have become an increasing problem. The attackers purpose is to deploy malware on a victim s machine in order to collect sensitive data and/or gain the complete control of the system. This thesis deals with a security architecture for protecting the end users against servers attacks using a client honeypot. Clients honeypots are security devices that detect malicious Web pages on a network. This study focuses on Capture-HPC Client Honeypot/Honeyclient and its aim is to extend Capture-HPC functionality so that it can be used as a component of a security architecture model. Capture-HPC allows users to specify a list of URLs and identifies malicious Web servers by interacting with them using a dedicated system and observing the state changes that occur during the interaction. The development of the security architecture relies on the idea that users can access Capture-HPC service via client applications. In the first stage of the development process, Capture-HPC is modified and extended to accommodate the needs of the security architecture model. An API is designed and implemented so that Capture-HPC can communicate with other application programs. The model of the software architecture is the client-server model. The client sends URL inspection requests to the server. The server accepts the requests, processes them using Capture-HPC and returns the classifications of the URLs (benign/malicious) to the client. The communication between the client and the server is performed according to a protocol. The protocol consists of text messages that are passed between the client and the server over a simple TCP connection. In addition, Capture-HPC integrates with a Web crawler that extracts all valid links from a Web page and adds the internal links to Capture-HPC queue in order to be examined. In the next stage, the API is used to develop a security architecture that provides the Capture-HPC service for the users of Mozilla Thunderbird client. So, the users can examine the URLs that are included in an and be informed if the corresponding Web pages are malicious. The specific security architecture is an example of using the API to build security infrastructures. This example illustrates how third-party application communicate with Capture-HPC. In other cases, the functionality of Capture-HPC could be incorporated to proxy servers or mail servers

5 1. ΕΙΣΑΓΩΓΗ Στη σύγχρονη εποχή, η ασφάλεια των δικτύων αποτελεί ένα από τα σημαντικότερα θέματα της επιστήμης των υπολογιστών. Η ιλιγγιώδης ανάπτυξη του Διαδικτύου συνοδεύτηκε, δυστυχώς, από την εκθετική αύξηση του αριθμού των επιθέσεων. Κύριος στόχος των επιτιθέμενων ( black hats ) είναι να εγκαταστήσουν κακόβουλο λογισμικό (malware) σε υπολογιστές ανυποψίαστων χρηστών και να αποκτήσουν πρόσβαση σε ευαίσθητα και προσωπικά δεδομένα. Συνεπώς, παρουσιάστηκε η ανάγκη μελέτης και επινόησης μεθοδολογιών οι οποίες θα συντελούσαν στην αντιμετώπιση του προβλήματος. Η χρήση των honeypots είναι μία αποτελεσματική μέθοδος, η οποία παρέχει τη δυνατότητα συγκέντρωσης και επεξεργασίας δεδομένων που αφορούν τη δραστηριότητα των επιτιθέμενων. Σύμφωνα με τον ορισμό του Lance Spitzner «ένα honeypot αποτελεί έναν πόρο πληροφοριακών συστημάτων, του οποίου η αξία έγκειται στην μη εξουσιοδοτημένη ή παράνομη χρήση του συγκεκριμένου πόρου» [1], [2]. Τα δεδομένα συλλέγονται παρακολουθώντας τον επιτιθέμενο και εξετάζοντας τις ευπάθειες του πληροφοριακού συστήματος, τις οποίες εκμεταλλεύεται. Η ιστορία των honeypots αρχίζει στα μέσα της δεκαετίας του 1980 και παρουσιάζει ιδιαίτερο ενδιαφέρον. Η ιδέα ενός συστήματος, το οποίο προσελκύει τους επιτιθέμενους των δικτύων εξελισσόταν για περισσότερο από μία δεκαετία. Σημαντικές ερευνητικές και αναπτυξιακές δραστηριότητες πραγματοποιήθηκαν από στρατιωτικούς, κυβερνητικούς και επιχειρηματικούς οργανισμούς. Ωστόσο, ελάχιστες πληροφορίες κοινοποιήθηκαν πριν το 1990 και μόλις πρόσφατα δημοσιεύθηκαν άρθρα και αναπτύχθηκε λογισμικό, τα οποία υποστηρίζουν τη συγκεκριμένη ιδέα. Στα τέλη του 20 ου αιώνα, δημοσιεύσεις σχετικές με γεγονότα, ιδέες και έννοιες έθεσαν τα θεμέλια για την ανάπτυξη των honeypots. Στη συνέχεια, παρουσιάζονται οι δύο πρώτες δημοσιεύσεις, οι οποίες στηρίζονται σε πραγματικά γεγονότα. Ο αστρονόμος Clifford Stoll στο βιβλίο του The Cuckoo s Egg: Tracking a Spy Through the Maze of Computer Espionage [3] διηγείται, πώς αντιλήφθηκε την ύπαρξη ενός επιτιθέμενου σε σύστημα της αστρονομικής κοινότητας κατά τη διάρκεια της εργασίας του. Επικεντρώθηκε στη συστηματική παρακολούθησή του και στη συγκέντρωση στοιχείων ικανών για την αναγνώριση της ταυτότητάς του, προστατεύοντας συγχρόνως το σύστημα. Ο Clifford Stoll δε δημιούργησε ένα honeypot. Χρησιμοποίησε παραγωγικά συστήματα της ακαδημαϊκής και ερευνητικής κοινότητας με στόχο να δελεάσει τον επιτιθέμενο με τρόπο που προσέγγιζε την τεχνολογία των honeypots. Η ιδιαιτερότητα του βιβλίου του και επίσης η συμβολή του στην ιστορία των honeypots έγκειται στις ιδέες τις οποίες ανέπτυξε. Ο Bill Cheswick στο άρθρο του An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied [4] περιγράφει τη δημιουργία ενός εξειδικευμένου συστήματος προσέλκυσης επιτιθέμενων. Στην ουσία, το άρθρο του αποτελεί την πρώτη τεκμηριωμένη παρουσίαση ενός πραγματικού honeypot. Ο Bill Cheswick δεν αναλύει αποκλειστικά τεχνολογικά θέματα που αφορούν τη δημιουργία ενός honeypot αναφέρεται διεξοδικά στην μελέτη της δραστηριότητας του επιτιθέμενου και επίσης στις συνέπειες της δραστηριότητάς του στο σύστημα

6 Οι εξελίξεις στο πεδίο της ασφάλειας των δικτύων συνεχίστηκαν με έντονο ρυθμό στη διάρκεια της δεκαετίας του 90. Ιδιαίτερα σημαντική υπήρξε η πραγμάτωση του Honeynet Project από τον Lance Spitzner το 1999 [5]. Ο Lance Spitzner συντέλεσε στη συγκρότηση μίας ομάδας επαγγελματιών της ασφάλειας, οι οποίοι επικεντρώθηκαν στην μελέτη και τη συγκέντρωση εξαιρετικά χρήσιμων πληροφοριών με στόχο τη γνωστοποίησή τους στους ενδιαφερόμενους. Το 2001 δημοσίευσαν το βιβλίο Know Your Enemy: Learning about Security Threats [6], του οποίου το περιεχόμενο αναφέρεται στην έρευνά τους και τα αποτελέσματά της. Η ερευνητική δραστηριότητα στα πλαίσια του Honeynet Project υποστηρίχθηκε από ένα βελτιωμένο και εξελιγμένο είδος honeypot, το οποίο αποτελεί ένα δίκτυο honeypots, ένα honeynet. Η ανάπτυξη των honeypots συνεχίζεται τον 21 αιώνα με γνώμονα τις εξειδικευμένες γνώσεις που αποκτούνται σταδιακά από την παρακολούθηση των επιτιθέμενων. Ο σχεδιασμός και η υλοποίησή τους απαιτούν ιδιαίτερη προσοχή, ώστε να συντελέσουν αποτελεσματικά στην προστασία των πληροφοριακών συστημάτων. Τα honeypots διακρίνονται σε χαμηλής αλληλεπίδρασης (low interaction honeypots) και υψηλής αλληλεπίδρασης honeypots (high interaction honeypots), ανάλογα με το επίπεδο της δραστηριότητας του επιτιθέμενου. Η διαφορά τους έγκειται στο ότι ενώ τα χαμηλής αλληλεπίδρασης honeypots εξομοιώνουν συστήματα και υπηρεσίες, τα υψηλής αλληλεπίδρασης honeypots αποτελούν πραγματικά πληροφοριακά συστήματα, στα οποία ενεργούν οι επιτιθέμενοι. Ενδιαφέρουσα είναι και η διάκριση των honeypots σε server και client honeypots. Η παραδοσιακή τεχνολογία των server honeypots (Σχήμα 1-1) εστιάζει αποκλειστικά στην προστασία των εξυπηρετητών από τις επιθέσεις των εισβολέων ( black hats ) που, εκμεταλλευόμενοι τις ευπάθειες των υπηρεσιών των εξυπηρετητών, προσπαθούν να παραβιάσουν το σύστημά τους. Τα client honeypots (Σχήμα 1-2) αποτελούν μία σύγχρονη τεχνολογία ασφάλειας, η οποία επιτρέπει την αναγνώριση κακόβουλων εξυπηρετητών που επιτίθενται εναντίον των χρηστών (client-side attacks). Ένα σύστημα του συγκεκριμένου είδους απαιτεί ενεργητική αλληλεπίδραση με έναν εξυπηρετητή. Τα client-honeypots επικοινωνούν με διάφορους εξυπηρετητές και τους διακρίνουν ανάλογα με τη φύση της δραστηριότητάς τους σε καλόβουλους και κακόβουλους (benign/malicious servers). Η αρχιτεκτονική ενός client honeypot διαμορφώνεται από τρία βασικά συστατικά στοιχεία [7]: Μία οντότητα που είναι υπεύθυνη για τη δημιουργία μίας λίστας εξυπηρετητών με τους οποίους πρόκειται να επικοινωνήσει ένας πελάτης Τον πελάτη που επικοινωνεί με τους εξυπηρετητές Έναν μηχανισμό ανάλυσης των γεγονότων του συστήματος του πελάτη στη διάρκεια της αλληλεπίδρασης που διακρίνει τους εξυπηρετητές σε καλόβουλους και κακόβουλους Επίσης, στα client honeypots εφαρμόζεται κάποια στρατηγική προστασίας, η οποία αποτρέπει οποιαδήποτε επίθεση εκτός των ορίων του. Συνήθως, αυτό επιτυγχάνεται με τη χρήση ενός τοίχους προστασίας (firewall) ή ενός εξειδικευμένου εικονικού συστήματος (virtual machine)

7 Σχήμα 1-1 Server honeypot Σχήμα 1-2 Client honeypot - 6 -

8 2. ΣΤΟΧΟΣ ΕΡΓΑΣΙΑΣ Το θέμα που πραγματεύεται η συγκεκριμένη εργασία αφορά την τεχνολογία ασφάλειας των client honeypots και εστιάζει στο Capture-HPC υψηλής αλληλεπίδρασης client honeypot. Στόχος της είναι η δημιουργία μίας υποδομής για την επικοινωνία μεταξύ του Capture-HPC και διάφορων προγραμμάτων εφαρμογών. Η σχεδίαση και η υλοποίηση ενός ευέλικτου και προσιτού στη χρήση του και διαμόρφωσή του API εξυπηρετεί το στόχο της αλληλεπίδρασης. Ουσιαστικά, υλοποιείται ένα πρωτόκολλο μέσω του οποίου διάφορες εφαρμογές επικοινωνούν με το Capture-HPC. Το client honeypot αντιμετωπίζεται ως ένα black box σύστημα. Τις εφαρμογές αφορούν αποκλειστικά τα δεδομένα εισόδου και εξόδου και όχι τα εσωτερικά χαρακτηριστικά της λειτουργίας του

9 3. CAPTURE HPC CLIENT HONEYPOT/ HONEYCLIENT Το Capture-HPC αποτελεί ένα υψηλής αλληλεπίδρασης και ανοιχτού κώδικα client honeypot, το οποίο αναπτύχθηκε στο Victoria University του Wellington από τους Ramon Steenson και Christian Seifert. Το λογισμικό προστατεύεται από την GNU General Public License. Το συγκεκριμένο client honeypot σχεδιάστηκε, ώστε να αναγνωρίζει κακόβουλους εξυπηρετητές ιστοσελίδων εξομοιώνοντας πλήρως τη συμπεριφορά ενός πελάτη (για παράδειγμα, του Web browser). Για κάθε URL προς εξέταση, εκκινεί ένα εξειδικευμένο εικονικό σύστημα, το οποίο θα αλληλεπιδράσει με τον αντίστοιχο εξυπηρετητή ιστοσελίδων. Προκειμένου να εξακριβωθεί, αν ο εξυπηρετητής που ελέγχεται είναι κακόβουλος ή όχι, εξετάζονται οι μεταβολές που προκλήθηκαν στο εικονικό σύστημα στη διάρκεια της αλληλεπίδρασης. Το Capture-HPC διακρίνεται μεταξύ των client honeypots, καθώς χαρακτηρίζεται από υψηλή σχετικά ταχύτητα και ευελιξία. Το μοντέλο ελέγχου του Capture-HPC είναι ένα μοντέλο καθοδηγούμενο από γεγονότα (event-based model) που επιτρέπει την άμεση ανταπόκρισή του στις μεταβολές του εικονικού συστήματος. Επίσης, το Capture-HPC παρέχει τη δυνατότητα εκκίνησης και διαχείρισης περισσότερων από ένα εικονικών συστημάτων, τα οποία θα αλληλεπιδράσουν με τους υποψήφιους κακόβουλους εξυπηρετητές. Αρχιτεκτονική σχεδίαση του Capture-HPC Η αρχιτεκτονική του Capture-HPC, όπως φαίνεται και στο παρακάτω σχήμα, ορίζει δύο περιοχές λειτουργίας: Το πρόγραμμα του Capture Server Το πρόγραμμα του Capture Client Ευθύνη του Capture Server είναι η διαχείριση των Capture Clients, οι οποίοι αποτελούν τα εικονικά συστήματα που αλληλεπιδρούν με τους διαδικτυακούς εξυπηρετητές. Αναλυτικότερα, εκκινεί και διακόπτει τη λειτουργία των Capture Clients και αποστέλλει σε αυτούς εντολές επίσκεψης ιστοσελίδων και πληροφορίες σχετικές με τον τρόπο λειτουργίας τους στη διάρκεια της αλληλεπίδρασής τους με τους αντίστοιχους εξυπηρετητές. Επιπλέον, συγκεντρώνει και οργανώνει τα αποτελέσματα ελέγχου των εξυπηρετητών, τα οποία λαμβάνει από τους Capture Clients. Ο Capture Client εκτελεί τις ενέργειες ελέγχου των εξυπηρετητών. Δέχεται εντολές εκκίνησης και διακοπής της λειτουργίας του και εντολές επίσκεψης διάφορων ιστοσελίδων από τον Capture Server. Στη διάρκεια της επικοινωνίας του με έναν εξυπηρετητή, παρακολουθεί την κατάσταση του συστήματος αρχείων (file system) και του μητρώου (registry) καθώς επίσης και τις διεργασίες (processes) που είναι σε εξέλιξη, προκειμένου να ανιχνευθούν μη επιτρεπτά γεγονότα. Ο Capture Client αγνοεί τα γεγονότα που συμβαίνουν στα πλαίσια φυσιολογικής λειτουργίας. Τα συγκεκριμένα - 8 -

10 γεγονότα υπάρχουν σε ειδικές λίστες (exclusion lists), τις οποίες συμβουλεύεται. Αν στο χρονικό διάστημα της αλληλεπίδρασης συμβεί ένα γεγονός που δε συμπεριλαμβάνεται στις λίστες, ο Capture Client χαρακτηρίζει τον εξυπηρετητή με τον οποίο επικοινωνεί κακόβουλο και ενημερώνει τον Capture Server. Σημειώνεται ότι ο Capture Client έχει τη δυνατότητα να προωθήσει στον Capture Server και τα τμήματα ανεπιθύμητου λογισμικού που προσκομίστηκαν από τον κακόβουλο εξυπηρετητή. Στη συνέχεια, το σύστημα του Capture Client, εφόσον έχει παραβιαστεί, αποκαθίσταται, ώστε να δεχθεί μία νέα εντολή ελέγχου εξυπηρετητή από τον Capture Server. Στην περίπτωση που δεν έχουν συμβεί μη επιτρεπτές μεταβολές στo σύστημα του Capture Client, δεν εκτελείται η διαδικασία της αποκατάστασης. Σχήμα 3-1 Αρχιτεκτονικό σχέδιο του Capture-HPC Χαρακτηριστικά σχεδίασης των προγραμμάτων του Capture-HPC Πρόγραμμα του Capture Server Ο Capture Server αποτελεί έναν εξυπηρετητή TCP. Έχει τη δυνατότητα να διαχειρίζεται το πρόγραμμα VMware Server με του οποίο δημιουργείται το εικονικό περιβάλλον όπου ενεργούν οι Capture Clients. Ο Capture Server ακούει για εισερχόμενες συνδέσεις σε μία συγκεκριμένη γνωστή θύρα (port) και διανέμει τα URLs προς εξέταση - 9 -

11 στους Capture Clients σύμφωνα με τον αλγόριθμο round robin (RR) [8]. Το πρόγραμμα του Capture Server έχει γραφεί σε Java και η διαχείριση των VMware servers πραγματοποιείται με τη χρήση του VMware C API και μέσω του JNI (Java Native Interface). Πρόγραμμα του Capture Client Το πρόγραμμα του Capture Client τρέχει σε Microsoft Windows XP SP2 και αποτελείται από δύο συστατικά στοιχεία: Ένα σύνολο οδηγών που λειτουργούν σε επίπεδο πυρήνα (kernel drivers) Μία διεργασία που εκτελείται σε επίπεδο εφαρμογών χρήστη (user space process) Οι οδηγοί παρακολουθούν τις μεταβολές του συστήματος, ενώ η διεργασία είναι υπεύθυνη για την προώθηση των σχετικών με τις μεταβολές πληροφοριών στον Capture Server. Οι συγκεκριμένες πληροφορίες ανακτώνται από τους οδηγούς και εξετάζονται με κριτήριο τις ειδικές λίστες των επιτρεπτών γεγονότων. Το πρόγραμμα του Capture Client είναι γραμμένο σε C. Πρωτόκολλο επικοινωνίας μεταξύ των Capture Server και Capture Client Στη συγκεκριμένη υπό-ενότητα περιγράφεται αναλυτικά το πρωτόκολλο επικοινωνίας μεταξύ των Capture Server και Capture Client και απεικονίζεται το σχετικό διάγραμμα ακολουθίας (Σχήμα 3-2). Η επικοινωνία μεταξύ του Capture Server και του Capture Client διεξάγεται σύμφωνα με ένα πρωτόκολλο ασύγχρονων μηνυμάτων XML, τα οποία ανταλλάσσονται στα πλαίσια μίας σύνδεσης TCP. Αρχικά, εγκαθιδρύεται η σύνδεση μεταξύ του Capture Server και του Capture Client (μήνυμα 1) και ο Capture Server ενημερώνει τον Capture Client ποιές ενέργειες πρέπει να πραγματοποιήσει στη διάρκεια της λειτουργίας του (μήνυμα 2). Συγκεκριμένα, στην έκδοση 2.0 του Capture-HPC ο Capture Client έχει τη δυνατότητα να παρακολουθεί την κίνηση του δικτύου και επίσης να προωθεί στον Capture Server τα αρχεία των οποίων το περιεχόμενο έχει μεταβληθεί στη διάρκεια της αλληλεπίδρασής του με έναν εξυπηρετητή ιστοσελίδων. Επιπλέον, ο Capture Server έχει τη δυνατότητα να στείλει στον Capture Client τις λίστες που περιέχουν τις επιτρεπτές μεταβολές του συστήματος αρχείου και του μητρώου και τη λίστα των διεργασιών που εκτελούνται στα πλαίσια της φυσιολογικής λειτουργίας του συστήματος του Capture Client. Οι λίστες θα αποτελέσουν το κριτήριο στη διάκριση των μεταβολών του συστήματός του σε επιτρεπτές και μη επιτρεπτές (μηνύματα 3, 4, 5). Τα σχετικά με τη λειτουργικότητα του Capture Client μηνύματα ακολουθεί η εντολή επίσκεψης μίας ιστοσελίδας του Capture Server στον Capture Client (μήνυμα 6)

12 Στη συνέχεια, ο Capture Client ενημερώνει τον Capture Server ότι έχει αρχίσει η επικοινωνία του με τον αντίστοιχο εξυπηρετητή (μήνυμα 7). Αν στο χρονικό διάστημα που έπεται ανιχνευθούν μη επιτρεπτές μεταβολές στο σύστημά του, ο Capture Client ειδοποιεί τον Capture Server (μήνυμα 8). Αν επίσης, ο Capture Client χαρακτηρίσει τον εξυπηρετητή με τον οποίο επικοινωνεί κακόβουλο και οι ρυθμίσεις λειτουργίας του το ορίζουν, ο Capture Client στέλνει στον Capture Server ένα αρχείο, το οποίο περιέχει αναλυτικές πληροφορίες για τις μεταβολές του συστήματός του και την κίνηση στο δίκτυο (μηνύματα 9, 10, 11). Όταν ο Capture Client ολοκληρώσει την αλληλεπίδρασή του με τον εξυπηρετητή, ενημερώνει τον Capture Server, με ένα μήνυμα στο οποίο συμπεριλαμβάνεται και το αποτέλεσμα του ελέγχου (μήνυμα 12). Στην περίπτωση που ένας διαδικτυακός εξυπηρετητής χαρακτηριστεί κακόβουλος, ο Capture Server πρέπει να αποκαταστήσει το σύστημα του Capture Client και να επαναλάβει τη συνολική διαδικασία. Αντίθετα, αν ο εξυπηρετητής είναι καλόβουλος, ο Capture Server επαναλαμβάνει τη διαδικασία από το σημείο της αποστολής της εντολής επίσκεψης μίας ιστοσελίδας στον Capture Client (μήνυμα 6)

13 Σχήμα 3-2 Διάγραμμα ακολουθίας της επικοινωνίας μεταξύ του Capture Server και του Capture Client

14 Έρευνα με τη χρήση του Capture-HPC και αποτελέσματα Το Capture-HPC χρησιμοποιήθηκε σε μία έρευνα εντοπισμού κακόβουλων εξυπηρετητών HTTP, η οποία διεξάχθηκε από τον Christian Seifert και την ερευνητική ομάδα του Honeynet Project [9]. Οι κακόβουλοι εξυπηρετητές HTTP αποκτούν τον έλεγχο της λειτουργίας των υπολογιστών ανυποψίαστων χρηστών και παραβιάζουν το συστήματα εκμεταλλευόμενοι τις αδυναμίες των Web browsers. Στα πλαίσια της έρευνας, εντοπίστηκαν εκατοντάδες κακόβουλοι εξυπηρετητές και εξετάστηκαν τμήματα κώδικα που στάλθηκαν από τους εξυπηρετητές (attack code/exploit) και ανεπιθύμητο λογισμικό που εγκαταστάθηκε αυτόματα στους υπολογιστές των χρηστών. Ωστόσο, προέκυψαν ορισμένα ερωτήματα, τα οποία παρέμειναν αναπάντητα. Παρατηρήθηκε ότι η συμπεριφορά των κακόβουλων διαδικτυακών εξυπηρετητών μεταβάλλεται. Όταν ένας πελάτης αλληλεπιδρά με έναν κακόβουλο εξυπηρετητή πρώτη φορά, ενδέχεται να παραβιαστεί το σύστημά του. Αντίθετα, στη συνέχεια, επανειλημμένες αλληλεπιδράσεις με τον συγκεκριμένο εξυπηρετητή δεν έχουν αρνητικές επιπτώσεις στο σύστημα. Επίσης, προβληματισμό προκάλεσε το γεγονός ότι δέχτηκε επιθέσεις μόνο ο Internet Explorer Web browser. Τα προγράμματα ανάπτυξης κακόβουλου για τους χρήστες του Internet λογισμικού (Web exploitation kits), τα οποία εμφανίστηκαν και εξελίχθηκαν ραγδαία το χρονικό διάστημα , επέτρεψαν την προσέγγιση των κακόβουλων εξυπηρετητών HTTP και την μελέτη της συμπεριφοράς τους. Ένα εργαλείο του συγκεκριμένου είδους επιτρέπει στον επιτιθέμενο εξυπηρετητή να αποκτήσει τον πλήρη έλεγχο του συστήματος του πελάτη. Ο επιτιθέμενος εξυπηρετητής έχει ως πρωταρχικό στόχο την εκτέλεση ενός κακόβουλου προγράμματος στο σύστημα του πελάτη, εν αγνοία του χρήστη (Σχήμα 3-3). Στη συνέχεια, οποιαδήποτε επίθεση είναι πλέον τεχνικά εφικτή (Σχήμα 3-4). Η αλληλεπίδραση ενδεχομένως να συνεχιστεί και ο κακόβουλος εξυπηρετητής έχει τη δυνατότητα να παραβιάσει το σύστημα του πελάτη με διάφορους τρόπους, όπως ανακτώντας ευαίσθητα και προσωπικά δεδομένα ή εντάσσοντας τον πελάτη σε ένα botnet. Η συγκεκριμένη τεχνική επίθεσης των κακόβουλων εξυπηρετητών HTTP (drive-by-download attack) είναι ιδιαίτερα διαδεδομένη, καθώς οι ενέργειές τους δεν είναι αντιληπτές από τους πελάτες. Στις περισσότερες περιπτώσεις, ο κακόβουλος κώδικας δε συμπεριλαμβάνεται στην αρχική ιστοσελίδα που επισκέπτεται ο πελάτης. Μία από τις δημοφιλέστερες μεθόδους είναι η ανακατεύθυνση του πελάτη στον κακόβουλο διαδικτυακό εξυπηρετητή (Σχήμα 3-5)

15 Σχήμα 3-3 Αποστολή κακόβουλου κώδικα Σχήμα 3-4 Εγκατάσταση ανεπιθύμητου λογισμικού Σχήμα 3-5 Ανακατεύθυνση στον κακόβουλο εξυπηρετητή

16 Ο Christian Seifert και η ερευνητική του ομάδα χρησιμοποίησαν συγκεκριμένα εργαλεία ανάπτυξης λογισμικού παραβίασης των πελατών ως μέσο κατανόησης της συμπεριφοράς των κακόβουλων εξυπηρετητών HTTP. Τον Νοέμβριο του 2007 δημοσιεύθηκε το άρθρο του Behind the Scenes of Malicious Web Servers [10], στο οποίο περιγράφει συνοπτικά τη λειτουργία των Webattacker [11], MPack [12] και Ice pack [13] Web exploitation kits και τον τρόπο χρησιμοποίησης τους από τους κακόβουλους εξυπηρετητές και επίσης δίνει απαντήσεις στα ερωτήματα που προέκυψαν από την αρχική έρευνα. Τα Webattacker, MPack και Ice pack επιτρέπουν στον επιτιθέμενο εξυπηρετητή να δημιουργήσει downloaders, οι οποίοι ανακτούν και εγκαθιστούν ανεπιθύμητο λογισμικό σε ανυποψίαστους χρήστες. Σε ορισμένες περιπτώσεις, οι downloaders παρέχουν τη δυνατότητα κρυπτογράφησης, ώστε να μην ανιχνευθεί η δραστηριότητά τους από τα συστήματα ανίχνευσης εισβολών (IDS). Αρχικά, το ενδιαφέρον επικεντρώθηκε στο γεγονός ότι συνεχόμενες αλληλεπιδράσεις με έναν κακόβουλο εξυπηρετητή HTTP δεν καταδεικνύουν ότι ο συγκεκριμένος εξυπηρετητής είναι πράγματι κακόβουλος. Η ανάλυση των MPack και Ice pack συντέλεσε στην εξήγηση της μεταβαλλόμενης συμπεριφοράς των κακόβουλων εξυπηρετητών. Το MPack παρέχει έναν μηχανισμό, ώστε ο εξυπηρετητής να επιτίθεται αποκλειστικά σε πελάτες με τους οποίους δεν έχει αλληλεπιδράσει στον παρελθόν (IP tracking). Διατηρεί μία βάση δεδομένων στην οποία αποθηκεύονται η διεύθυνση IP και το αναγνωριστικό του Web browser που χρησιμοποιείται από κάθε πελάτη, με τον οποίο έχει αλληλεπιδράσει, σύμφωνα με μία συνάρτηση κατακερματισμού. Όταν ένας πελάτης διατυπώσει μία αίτηση στον εξυπηρετητή, ελέγχεται αν στη βάση δεδομένων συμπεριλαμβάνεται η τιμή που παράχθηκε από τον κατακερματισμό των στοιχείων του (hash). Αν η τιμή υπάρχει, ο εξυπηρετητής δεν παραβιάζει το σύστημα του πελάτη. Αντίστοιχη μέθοδος διαθέτει και το Ice pack. Ωστόσο, ο συγκεκριμένος τρόπος χρήσης των MPack και Ice pack από τους κακόβουλους διαδικτυακούς εξυπηρετητές δε δικαιολογεί γιατί διάφορα κακόβουλα URLs «αδρανοποιούνται» για σύντομο χρονικό διάστημα και στη συνέχεια συμπεριφέρονται πάλι ως κακόβουλα. Προκειμένου να δοθεί απάντηση και σε αυτό το ερώτημα, εξετάστηκε και η τεχνική επίθεσης των ταχύτατων αλλαγών διευθύνσεων διαδικτύου (fast-flux). Το συγκεκριμένο είδος επίθεσης αναφέρεται σε μία DNS μέθοδο, η οποία χρησιμοποιείται σε κακόβουλα διαδικτυακά συστήματα με στόχο τη δυσκολία εντοπισμού τους. Όταν ένα client honeypot έχει επανειλημμένα πρόσβαση σε μία ιστοσελίδα του διαδικτύου, ενδέχεται να αλληλεπιδρά με περισσότερους από έναν εξυπηρετητές σε ένα διαρκώς μεταβαλλόμενο διαδίκτυο. Η συστηματική παρακολούθηση των επιθέσεων που υποστηρίζουν τα Webattacker, MPack και Ice pack Web exploitation kits εξήγησε και το φαινόμενο των επιθέσεων μόνο στον Internet Explorer Web browser. Τα συγκεκριμένα εργαλεία αξιολογούν το σύστημα του πελάτη (λειτουργικό σύστημα, Web browser) και εκμεταλλεύονται τις αδυναμίες του Web browser καθώς επίσης και την ύπαρξη των προγραμμάτων πρόσθετης λειτουργικότητας (plug-ins). Αναλυτικότερα, διαπιστώθηκε ότι οι κακόβουλοι εξυπηρετητές HTTP ευνοούνται από τις αδυναμίες του Internet Explorer Web browser, ενώ στην περίπτωση των Mozilla Firefox και Opera Web browsers ευνοούνται από την ύπαρξη των προγραμμάτων πρόσθετης λειτουργικότητας. Το εικονικό σύστημα του Capture-HPC που χρησιμοποιήθηκε στη διάρκεια της έρευνας

17 χρησιμοποιούσε τον Internet Explorer Web browser και δεν είχαν εγκατασταθεί προγράμματα επέκτασης της λειτουργικότητας του. Αξιολογώντας τα αποτελέσματα που προέκυψαν από την έρευνα των Webattacker, MPack και Ice pack εξάγεται το παρακάτω συμπέρασμα. Ο εντοπισμός κακόβουλων διαδικτυακών εξυπηρετητών με τη χρήση της υπάρχουσας τεχνολογίας των υψηλής αλληλεπίδρασης client honeypots, όπως το Capture-HPC, παρουσιάζει αδυναμίες. Οι τεχνικές επίθεσης που αναφέρθηκαν μειώνουν την αξιοπιστία των client honeypots, ενώ ενισχύεται η τάση των κακόβουλων εξυπηρετητών να εκμεταλλεύονται τις αδυναμίες διάφορων εφαρμογών χρήστη και ιδιαίτερα των προγραμμάτων πρόσθετης λειτουργικότητας. Εκτός από τις αδυναμίες που προσδιορίστηκαν από τη συγκεκριμένη έρευνα, η ερευνητική κοινότητα των client honeypots αντιμετωπίζει και ορισμένες άλλες προκλήσεις. Πρώτον, τα client honeypots απαιτούν την ύπαρξη ενός εξειδικευμένου συστήματος - είτε πραγματικού είτε εικονικού - γεγονός που έχει αρνητική επίδραση στην αποδοτικότητά τους. Δεύτερον, τα client honeypots, συνήθως, δεν αναγνωρίζουν κακόβουλες ιστοσελίδες, οι οποίες απαιτούν την ενεργητική αλληλεπίδραση του χρήστη. Η ιδέα των client honeypots εστιάζει στον εντοπισμό κακόβουλων ιστοσελίδων που παραβιάζουν το σύστημα του χρήστη αμέσως όταν τις επισκέπτεται. Το 2008 στο συνέδριο Telecommunication Networks and Applications, που διεξάχθηκε στην Αδελαΐδα, οι Christian Seifert, Ian Welch και Peter Komisarczuk παρουσίασαν μία νέα μέθοδο κατηγοριοποίησης των εξυπηρετητών HTTP σε καλόβουλους και κακόβουλους, η οποία περιγράφεται στο άρθρο τους Identification of Malicious Web Pages with Static Heuristics [14]. Η συγκεκριμένη μέθοδος, σε αντίθεση με τα client honeypots, δεν απαιτεί την ύπαρξη ενός ειδικού περιβάλλοντος και την ανάκτηση ολόκληρης της ιστοσελίδας. Η ιδέα είναι η αναλυτική εξέταση των συστατικών στοιχείων της αρχικής απάντησης του εξυπηρετητή στην αίτηση του πελάτη (HTTP response) και του αντίστοιχου κώδικα (HTML code). Δεδομένου ότι τα περισσότερα κακόβουλα προγράμματα διαθέτουν μηχανισμούς απόκρυψης των πραγματικών τους λειτουργιών, τα χαρακτηριστικά των συγκεκριμένων ενεργειών μπορούν να χρησιμοποιηθούν για τον εντοπισμό των κακόβουλων εξυπηρετητών. Ωστόσο, σύμφωνα με σχετική έρευνα, η μεμονωμένη χρήση της ευριστικής μεθόδου παρουσιάζει υψηλό ποσοστό λανθασμένων θετικών αποτελεσμάτων (false positives). Οι ερευνητές πρότειναν, συνεπώς, να χρησιμοποιηθεί σε συνδυασμό με ένα υψηλής αλληλεπίδρασης client honeypot διαμορφώνοντας ένα υβριδικό σύστημα (Σχήμα 3-6). Αρχικά, τα URLs διακρίνονται σε ασφαλή και μη ασφαλή σύμφωνα με την ευριστική συνάρτηση. Στη συνέχεια, τα κακόβουλα URLs προωθούνται στο client honeypot, το οποίο, αφού χαρακτηρίζεται από μηδενικό ποσοστό λανθασμένων θετικών αποτελεσμάτων, αξιολογεί τα σχετικά αποτελέσματα. Ο συνύπαρξη και η συνεργασία των υψηλής αλληλεπίδρασης client honeypots και της συγκεκριμένης ευριστικής μεθόδου σε ένα υβριδικό σύστημα οδήγησε σε σημαντική βελτίωση της αξιοπιστίας και της αποδοτικότητας

18 Σχήμα 3-6 Υβριδικό σύστημα

19 4. ΣΧΕΤΙΚΗ ΕΠΙΣΤΗΜΟΝΙΚΗ ΔΡΑΣΤΗΡΙΟΤΗΤΑ ΣΤΟ ΠΕΔΙΟ ΤΩΝ CLIENT HONEYPOTS Το Capture-HPC δεν αποτελεί το μοναδικό υψηλής αλληλεπίδρασης client honeypot που χρησιμοποιείται, προκειμένου να εντοπιστούν κακόβουλοι διαδικτυακοί εξυπηρετητές και να αποτραπούν επιθέσεις σε συστήματα πελατών. Έχουν αναπτυχθεί εξίσου σημαντικά client honeypots, τα οποία εξελίσσονται συνεχώς, όπως και το Capture-HPC. Χαρακτηριστικό στοιχείο των υψηλής αλληλεπίδρασης client honeypots είναι ότι η συνολική δομή τους ακολουθεί το ίδιο μοντέλο αρχιτεκτονικής. Όπως αναφέρθηκε και στην ενότητα 1, η αρχιτεκτονική των client honeypots δομείται από τρία βασικά συστατικά στοιχεία, στα οποία προστίθεται και μία στρατηγική προστασίας των συστημάτων εκτός των ορίων των client honeypots. Η πιο αποτελεσματική και συνηθισμένη προσέγγιση είναι η δημιουργία ενός εικονικού περιβάλλοντος στο οποίο ενεργούν οι επιτιθέμενοι. Στη συνέχεια, περιγράφονται εν συντομία τα δημοφιλέστερα υψηλής αλληλεπίδρασης client honeypots. Το ενδιαφέρον επικεντρώνεται στις μεθόδους ελέγχου του συστήματος του πελάτη που αλληλεπιδρά με τους εξυπηρετητές και σε ορισμένα ιδιαίτερα χαρακτηριστικά τους. MITRE s HoneyClient Το HoneyClient [15] είναι το πρώτο υψηλής αλληλεπίδρασης και ανοιχτού κώδικα client honeypot που αναπτύχθηκε και έχει γραφεί σε Perl. Σχεδιάστηκε από την Kathy Wang το 2004 και υλοποιήθηκε από την MITRE. Ανιχνεύει τις επιθέσεις στο εικονικό σύστημα του πελάτη εξετάζοντας συγκεκριμένα αρχεία, καταλόγους και τις μεταβολές του μητρώου. H τελευταία έκδοση του HoneyClient ενσωματώνει τον μηχανισμό ελέγχου πραγματικού χρόνου του συστήματος του Capture Client του Capture-HPC. Επίσης, το HoneyClient διαθέτει έναν Web crawler, ο οποίος προσθέτει URLs στην αρχική λίστα των URLs προς εξέταση, επεκτείνοντας με αυτό τον τρόπο την αναζήτηση κακόβουλων εξυπηρετητών ιστοσελίδων. Το διάγραμμα που ακολουθεί επεξηγεί την αρχιτεκτονική του HoneyClient

20 Σχήμα 4-1 Αρχιτεκτονικό σχέδιο του HoneyClient Web Exploit Finder Το Web Exploit Finder (WEF) υψηλής αλληλεπίδρασης client honeypot [16] σχεδιάστηκε και αναπτύχθηκε από τους Thomas Müller, Benjamin Mack και Mehmet Arziman στο Stuttgard Media University (HdM). Ιδιαίτερο χαρακτηριστικό του είναι ότι έχει υλοποιηθεί, ώστε να ανιχνεύει τις επιθέσεις αξιολογώντας τις μεταβολές του λειτουργικού συστήματος. Ο μηχανισμός ελέγχου συμπεριλαμβάνει την παρακολούθηση και την εξέταση των κλήσεων του συστήματος. Το WEF μπορεί να αποτελέσει ένα honeynet στην αρχιτεκτονική του οποίου συμπεριλαμβάνεται ένα εικονικό επίπεδο, όπου οι επιτιθέμενοι ενεργούν χωρίς να παραβιαστεί πραγματικά το client honeypot. Στη συνέχεια, απεικονίζονται η αρχιτεκτονική του WEF και ο τρόπος λειτουργίας του συστήματος