Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Eventlog

10-11-2010, 18:28 door Anoniem, 19 reacties
Beste,

Ik vroeg mij af, hoe je forensische kunt aantonen dat het event log wel/ niet is aangepast.
Tevens vroeg ik mij af, op welke manier je de event log kan aanpassen en op welke manier je events kan verwijderen.

Groet,
Mathijs
Reacties (19)
11-11-2010, 09:19 door SirDice
Door Anoniem: Tevens vroeg ik mij af, op welke manier je de event log kan aanpassen en op welke manier je events kan verwijderen.
Niet. Althans, dat is de bedoeling. Ik meen me te herinerren dat er wel ergens wat code rondzwerft die losse entries kan verwijderen. Dat lukt echter niet met een draaiend systeem.
11-11-2010, 13:26 door Anoniem
Je zou het kunnen zien aan de datums waarop het eerste event is toegevoegd. Als dat de datum van gisteren is dan is de kans groot dat iemand gisteren je logbestand heeft leeggegooid. Het probleem wordt dan om uit te zoeken door wie en te bewijzen dat deze persoon het gedaan heeft.
11-11-2010, 14:00 door SirDice
Door Anoniem: Je zou het kunnen zien aan de datums waarop het eerste event is toegevoegd. Als dat de datum van gisteren is dan is de kans groot dat iemand gisteren je logbestand heeft leeggegooid. Het probleem wordt dan om uit te zoeken door wie en te bewijzen dat deze persoon het gedaan heeft.
Het legen van een eventlog wordt gelogd. Het is niet zo heel moeilijk om uit te vinden welk account het is geweest.
11-11-2010, 15:30 door ej__
Door SirDice:
Door Anoniem: Je zou het kunnen zien aan de datums waarop het eerste event is toegevoegd. Als dat de datum van gisteren is dan is de kans groot dat iemand gisteren je logbestand heeft leeggegooid. Het probleem wordt dan om uit te zoeken door wie en te bewijzen dat deze persoon het gedaan heeft.
Het legen van een eventlog wordt gelogd. Het is niet zo heel moeilijk om uit te vinden welk account het is geweest.

Tsss, nog nooit een goede hack gezien blijkbaar. ;)

@Matthijs: Op dezelfde computer kun je forensisch NIET aantonen dat het eventlog niet is veranderd, dat zul je met remote logging moeten doen. SIEM is een toverwoord.
11-11-2010, 18:47 door Anoniem
@ej,

Het is Mathijs ;)
Zou je wat meer kunnen vertellen over SIEM ?
Ik heb gekeken op het web en kwam het volgende tegen:
security information and event management

http://www.rsa.com/node.aspx?id=3182
12-11-2010, 11:16 door Prlzwitsnovski
Winzapper was jaren geleden koning in event logs editen.
12-11-2010, 11:51 door Anoniem
Hangt ervanaf welk bestandssysteem je gebruikt.
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)
12-11-2010, 11:52 door ej__
Matthijs: Siem is een uitgebreidere vorm van remote logging. Remote logs zijn per definitie veel moeilijker (zo niet onmogelijk) te veranderen. Alles tot op het moment van stilleggen van de remote logging wordt gelogd, en afwijkingen daarna van de lokale logs zijn eenvoudig aan te geven. Siem biedt daarnaast ook de mogelijkheid tot integratie en analyse van de diverse logs van de verschillende machines, alsmede event correlatie. Inmiddels is het min of meer verplicht gesteld bij omgevingen zoals banken.

In mijn opinie heeft Siem meer te bieden dan bijvoorbeeld ips, ips is vreselijk moeilijk, zo niet onmogelijk, goed in te stellen. Het een sluit het ander echter niet uit.

Er is voldoende te vinden op het web over Siem.
12-11-2010, 13:54 door Anoniem
Staar je niet blind op RSA. ArcSight is de bom.
12-11-2010, 14:04 door ej__
Door Anoniem: Hangt ervanaf welk bestandssysteem je gebruikt.
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)

En jij dent dat een computer (althans de timestamps) niet kunnen liegen? Ook ext3 of welk willekeurig filesystem dan ook laat het gewoon toe.
12-11-2010, 14:38 door SirDice
Door ej__:
Door Anoniem: Hangt ervanaf welk bestandssysteem je gebruikt.
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)

En jij dent dat een computer (althans de timestamps) niet kunnen liegen? Ook ext3 of welk willekeurig filesystem dan ook laat het gewoon toe.
Dat was ook mijn idee.

Verder zou ik graag van bovenstaande Anoniem willen weten wat de argumenten zijn waarop de uitspraak "Los daarvan is NTFS qua security natuurlijk niet bepaald de koning." is gebaseerd.
12-11-2010, 14:46 door Jos Buurman
Oplossing: oude matrix printer op de kop tikken en je vreselijk belangrijke logregels regel voor regel laten printen.
Prima aantoonbaar dat het log al dan niet is aangepast, alleen moet je niet al te veel events op deze manier willen loggen (of een enorme stapel papier gebruiken).

Iets eenvoudiger: een sluitend proces waarop de logging regel voor regel wordt weggeschreven naar een remote systeem waarbij wijziging niet mogelijk is en uit te sluiten is dat log regels niet aankomen op het remote systeem.

Nog een stap eenvoudiger: log is alleen maar te schrijven door 1 proces (append) en te lezen door ander proces (read-only). Overige processen kunnen er nooit bij. Deze processen zijn secure, auditable en niet wijzigbaar.

De meeste systemen zullen niet aan deze voorwaarden voldoen, het wordt dan lastig om sluitend aan te tonen dat een log al dan niet gecompromiteerd is, tenzij er heel duidelijke indicaties zijn dat dit wel het geval is.
12-11-2010, 15:02 door Anoniem
Het eventlog systeem van MS is zo gammel als wat. Je kand idd entries via bepaalde code verwijderen. Daar kwam ik tijdens de NT tijd al achter, door een bug in mijn C source.

Yep die code is van mij lol.
12-11-2010, 15:24 door ej__
Door Jos Buurman: Oplossing: oude matrix printer op de kop tikken en je vreselijk belangrijke logregels regel voor regel laten printen.
Prima aantoonbaar dat het log al dan niet is aangepast, alleen moet je niet al te veel events op deze manier willen loggen (of een enorme stapel papier gebruiken).

Niet (meer) realistisch.


Iets eenvoudiger: een sluitend proces waarop de logging regel voor regel wordt weggeschreven naar een remote systeem waarbij wijziging niet mogelijk is en uit te sluiten is dat log regels niet aankomen op het remote systeem.

syslogNG bijvoorbeeld.


Nog een stap eenvoudiger: log is alleen maar te schrijven door 1 proces (append) en te lezen door ander proces (read-only). Overige processen kunnen er nooit bij. Deze processen zijn secure, auditable en niet wijzigbaar.

Op 1 systeem? Geen schijn van kans dat je dat ooit kunt aantonen. Niet auditable, wel wijzigbaar. Rootkits anyone? Tenzij je dit op de loghost doet, maar dan is je beveiliging op andere gronden goed gerealiseerd. Niet op basis van ro en scheiding van processen.


De meeste systemen zullen niet aan deze voorwaarden voldoen, het wordt dan lastig om sluitend aan te tonen dat een log al dan niet gecompromiteerd is, tenzij er heel duidelijke indicaties zijn dat dit wel het geval is.

Alle _veilige_ systemen of beter gezegd: omgevingen voldoen wel degelijk aan de voorwaarden. Een systeem is niet veilig te krijgen, een omgeving wel.
12-11-2010, 16:37 door Anoniem
In mijn opinie heeft Siem meer te bieden dan bijvoorbeeld ips, ips is vreselijk moeilijk, zo niet onmogelijk, goed in te stellen. Het een sluit het ander echter niet uit.
Dat kan ik niet volgen. Een SIEM en een IPS zijn niet te vergelijken. Een IPS houdt het verkeer (real-time) in de gaten en grijpt al da niet in (tuning kan in derdaad lastig zijn bij zo'n apparaat, terwijl een SIEM juist gebeurde zaken rapporteert/correleert (achteraf) waarbij (veel) meer informatie van verschillende systemen gebruikt wordt. Een SIEM is overigens ook lastig goed in te richten, omdat iedereen andere wensen heeft mbt de output.
12-11-2010, 18:25 door ej__
Door Anoniem:
In mijn opinie heeft Siem meer te bieden dan bijvoorbeeld ips, ips is vreselijk moeilijk, zo niet onmogelijk, goed in te stellen. Het een sluit het ander echter niet uit.
Dat kan ik niet volgen. Een SIEM en een IPS zijn niet te vergelijken. Een IPS houdt het verkeer (real-time) in de gaten en grijpt al da niet in (tuning kan in derdaad lastig zijn bij zo'n apparaat, terwijl een SIEM juist gebeurde zaken rapporteert/correleert (achteraf) waarbij (veel) meer informatie van verschillende systemen gebruikt wordt. Een SIEM is overigens ook lastig goed in te richten, omdat iedereen andere wensen heeft mbt de output.
IPS werkt uiteindelijk gewoon niet. Siem wel.
13-11-2010, 16:13 door Anoniem
@ej

Het voordeel van een IPS is mijn inziens dat deze reactief is en een aanval kan voorkomen/beperken. Je SIEM is leuk voor achteraf maar je bent dan al wel je gegevens/whatever kwijt. Jammer als je daarna je logging volgt en op een open Wifi uitkomt....

Anti-forensics voor remote logging:
- DoS de remote logging server
- Flood de logging service met een hoop legitieme log berichten (Effect: computer logging: kost meer tijd om te achterhalen wat de aanvaller heeft gedaan / printer logging: papier of inkt zal op raken)
- Onderschep de communicatie tussen computer en remote logging op de host (slaat een SIEM alarm als het een x aantal minuten niks ontvangt?)
14-11-2010, 22:44 door ej__
Door Anoniem: @ej

Het voordeel van een IPS is mijn inziens dat deze reactief is en een aanval kan voorkomen/beperken.

Probeer het maar eens in te regelen, je komt voor aardige verrassingen te staan, zeker bij geavanceerde aanvallen.


Je SIEM is leuk voor achteraf maar je bent dan al wel je gegevens/whatever kwijt. Jammer als je daarna je logging volgt en op een open Wifi uitkomt....

So? Your point being? Dan heb je in ieder geval wel aan de vraagstelling voldaan.


Anti-forensics voor remote logging:
- DoS de remote logging server
Jammer, maar bij een goed ingerichte omgeving zal de ddos je niet helpen. Want tot op het moment van de DoS is alles keurig gelogd en makkelijk terug te vinden.

Probeer daarna maar eens een goede loghost te ddossen. Kon je ook nog wel eens tegenvallen. Idealiter heb je te maken met bijvoorbeeld een OpenBSD loghost (met pf enabled). Veel succes met je DoS.


- Flood de logging service met een hoop legitieme log berichten (Effect: computer logging: kost meer tijd om te achterhalen wat de aanvaller heeft gedaan / printer logging: papier of inkt zal op raken)

Zelfde als hierboven.


- Onderschep de communicatie tussen computer en remote logging op de host (slaat een SIEM alarm als het een x aantal minuten niks ontvangt?)

Ja dus.
17-11-2010, 15:47 door Anoniem
"Matthijs: Siem is een uitgebreidere vorm van remote logging. Remote logs zijn per definitie veel moeilijker (zo niet onmogelijk) te veranderen. Alles tot op het moment van stilleggen van de remote logging wordt gelogd, en afwijkingen daarna van de lokale logs zijn eenvoudig aan te geven. "

Hoe er wel rekening mee dat een SIEM oplossing tien- tot honderdduizenden euro's kost, en dat een SIEM oplossing dus niets is voor thuisgebruikers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.