System wczesnego ostrzegania
- 09.03.2010
Mniej znanym atakiem, o którym Arakis informował, były próby przełamania zabezpieczeń nieprawidłowo skonfigurowanych routerów Linksys. Cyberprzestępcy poszukują publicznie dostępnych serwerów web proxy i ruch związany z takimi działaniami był dość często rejestrowany przez sensory Arakisa. Do poszukiwań wykorzystywane są automaty skanujące szeroki zakres portów (od 1 czy 12 aż do 56670/TCP; nie ograniczają się do standardowych portów 8080, 8000 i 3128 TCP). Najprostszym sposobem jest żądanie połączenia poprzez GET z wybraną stroną, taką jak yahoo.com, lub na numeryczne adresy IP.
Najciekawszym raportem zgłaszanym przez Arakisa były echa ataków odmowy obsługi przeprowadzanych przeciw serwerom w innych krajach, przykładem może być DDoS przeciw dwóm chińskim serwerom, którego ślady obserwowano w maju 2008r. Efekt ataku zaobserwowano, gdyż część adresów używanych przy spoofingu IP przypadkowo pokrywało się z adresami sond systemu i zarejestrowano odpowiedzi SYN+ACK z atakowanych serwerów na atak TCP SYN flood.
W ciągu kilku lat pracy, system Arakis sprawdził się w zadaniach, które przed nim były stawiane. Już w pierwszym roku operatorzy obsłużyli ponad 10 tysięcy alarmów, średnio 26 na dzień. Dzięki informacjom, których dostarczał, na pewno umożliwił lepsze zrozumienie wielu ataków internetowych i usprawnił naprawę niektórych ludzkich błędów, popełnianych czasami przez administratorów. Doświadczenie zdobyte przy Arakisie umożliwiło utworzenie systemu Arakis-gov, który chroni instytucje państwowe.
Instytucje państwowe posiadają system wczesnego ostrzegania Arakis-gov, opracowany przez specjalistów z Departamentu Bezpieczeństwa Teleinformatycznego ABW oraz zespołu CERT Polska. Arakis-gov powstał przez rozszerzenie systemu Arakis o dodatkową funkcjonalność. Może uzupełnić istniejące systemy zapór sieciowych, antywirusowe oraz IPS, dostarczając informacji na temat zagrożeń globalnych i lokalnych.
Typowymi zagrożeniami globalnymi, o których informuje Arakis-gov są:
- świeżo wykryte, samoczynnie propagujące się robaki sieciowe;
- nowe typy ataków obserwowane z większej liczby lokalizacji;
- zmiany i trendy aktywności ruchu sieciowego na poszczególnych portach sieciowych;
- trendy aktywności wirusów rozsyłanych pocztą elektroniczną.
Są to jednak informacje, które dotyczą wielu obiektów, niekoniecznie są związane z daną lokalizacją. Arakis-gov może dostarczyć także informacji lokalnych, takich jak:
- problem z aktualizacją oprogramowania antywirusowego skutkujący nieaktualnymi sygnaturami;
- obecność zainfekowanych hostów w sieci wewnętrznej organizacji;
- błędy w konfiguracji lub awaria zapór sieciowych;
- próby skanowania sieci organizacji, zarówno z Internetu, jak i z sieci wewnętrznej.
Szczególnie silną stroną systemu Arakis-gov są narzędzia statystyczne, które umożliwiają porównanie parametrów ruchu obserwowanego w danej lokalizacji z obrazem globalnym, rejestrowanym przez wszystkie zainstalowane sensory. Dostępne opcje zawierają także geokodowanie, co umożliwia obrazowanie geograficznej lokalizacji podejrzanego ruchu.