Dr. Brute Force -- oder wie ich lernte SSH-Angriffe zu lieben.

Wenn man ein UNIX-basiertes System am Internet betreibt, sieht man viele SSH-Anmeldeversuche von fremden Systemen. Verbindet man versehentlich ein Test-System mit schwachem Root-Passwort mit dem Netz, findet man schnell heraus, dass die Anmeldeversuche keine Versehen sind, sondern konkrete Angriffe.

Bären fängt man mit Honig. Hacker kann man mit sogenannten Honeypot-Systemen anlocken, die Sicherheitslücken lediglich vortäuschen. Die Autoren verwendeten über mehrere Jahre hinweg drei verschiedene Typen von Honeypots, um mehr über die SSH-Hacker herauszufinden: Welche Werkzeuge werden benutzt, wie wird vorgegangen und von wo kommen die Angreifer? Und vor allem: Wie kann man sich effektiver schützen?

Aktuell wird gegen SSH-Angriffe vor allem mit Hilfe von Sperren auf IP-Basis vorgegangen. Die zu sperrende IP-Adresse ist entweder lokal durch vielfache Anmeldeversuche aufgefallen oder die Adresse wurde innerhalb einer Community als Angreifer gemeldet (z.B. DenyH0st). Dieser Ansatz ist einfach und effektiv.

Die Analyse mehrerer tausend Angriffe ergab allerdings, dass praktisch alle angreifenden Systeme selbst kompromittiert wurden und dass ein Teil dieser Systeme regelmäßig die eigene IP-Adresse wechselt. Diese Angriffe können nicht mit IP-basierten Sperrlisten gestoppt werden.

Die Autoren schlagen daher alternative Merkmale vor anhand derer Angreifer frühzeitig erkannt werden können. Zum einen können die gängigen Angriffswerkzeuge teilweise schon beim Aufbau der SSH-Verbindung erkannt werden noch bevor ein Authentifikationsversuch stattfindet. Weiterhin können bekannte angreifende Systeme anhand ihres Dienste-Profils wiedererkannt werden. Die verschiedenen Merkmale werden statistisch verglichen und der IP-Wechsel der angreifenden Systeme im Allgemeinen untersucht.

Der Vortrag stellt die Ergebnisse und Rückschlüsse vor, die aus dem mehrjährigen Betrieb von Honeypots gezogen werden konnten. Es wird erläutert, wie die Angreifer im Detail vorgehen und was passiert, sobald sie Zugang zu einem System erlangt haben. Schließlich werden neue Methoden vorgestellt, um die angreifenden Systeme effektiver zu erkennen und so die eigenen Server besser zu schützen. Die Autoren möchten weiterhin mit dem Publikum diskutieren, ob die vorgeschlagenen Schutzmaßnahmen – wie z.B. Port Scans gegen unbekannte Systeme von denen Anmelde-Versuche kommen – zur Angriffsabwehr praktikabel oder zu invasiv sind.

Referenten:

Andreas Bunten war seit 1996 als UNIX Administrator tätig und 8 Jahre lang Mitglied des Incident Response Team des DFN-CERT. Seit 2009 berät er im Competence Center Security die Kunden der Controlware GmbH zur Reaktion auf und Vermeidung von Sicherheitsvorfällen.

Torsten Voss studierte technische Informatik und arbeitet rund 7 Jahre beim DFN-CERT im Incident Response Team des Deutschen Forschungsnetzes. Sein Schwerpunkt ist die Aufklärung von Sicherheitsvorfällen.

Externes Video