image

Nederlander bouwt hacker-detectie met hulp van VS (Interview)

donderdag 25 oktober 2012, 15:29 door Redactie, 7 reacties

De Nederlander Victor Julien, bekend van de open source firewall Vuurmuur, heeft een nieuw project dat door het Amerikaanse ministerie van Homeland Security gesponsord wordt. Het gaat om het open source intrusion detection systeem (IDS) Suricata, wat tevens de naam van de altijd oplettende stokstaart is. Aangezien een IDS ontwikkeld is om indringers en aanvallers te detecteren, is het niet verwonderlijk dat het kleine diertje ook de mascotte van de beveiligingssoftware is.

Security.nl sprak met Julien, die het project, waar ook andere open source programmeurs aan meewerken, leidt.

Voor wie is Suricata bedoeld, wie is jullie doelgroep?
Julien: Suricata is een IDS/IPS engine en is als zodanig bedoeld voor netwerkbeheerders, incident responders, IDS-onderzoekers en andere professionals in de beveiligingsindustrie. Maar zoals de meeste open source projecten, ook voor thuisgebruikers en enthousiastelingen. Eigenlijk iedereen die geïnteresseerd is in wat er op een netwerk gebeurt en in wat de firewall noodgedwongen allemaal moet doorlaten.

Hoeveel ontwikkelaars zijn erbij betrokken?
Julien: Momenteel werken we met zes mensen vanuit de Open Information Security Foundation (OISF) aan het ontwikkelen van Suricata. Vanuit de verschillende marktpartijen die ons steunen zijn er verschillende programmeurs bezig. Daarnaast zijn er verschillende vrijwilligers die helpen bij het ontwikkelen, QA, documenteren, support, etc..

We hebben onlangs ook de stap naar Github gemaakt [een hostingplatform voor softwareprojecten – red.], en zien sindsdien een behoorlijke toename in patches. In onze git-geschiedenis zijn zo'n 30 mensen opgenomen. Meer dan genoeg om ervoor te zorgen dat ik structureel achterloop met de github pull requests.

Wat doet Suricata van andere open source / gesloten IDS verschillen?
Julien: De twee bekendste open source IDS engines zijn Snort en Bro. Ondanks dat we veel overeenkomsten hebben met Snort, zijn er natuurlijk ook flinke verschillen. Om een paar te noemen: veel betere schaalbaarheid door gebruik maken van multi threading, HTTP (en binnenkort SMTP) file extraction en MD5 matching en automatische protocol detectie.

Aan Snort heb ik zelf indirect meegewerkt. Ik ben jaren lang betrokken geweest bij het Snort_inline project. Dit project had als doel de Snort IDS om te vormen naar IPS. Hierbij liep ik tegen verschillende problemen aan:
1) het beheren van een "fork" is nogal pijnlijk. In ons geval ging veruit de meeste tijd zitten in het up to date houden van onze code. Vaak zorgden "upstream" veranderingen voor problemen in onze eigen code.
2) een 'business model' was niet echt te vormen. Iedereen werkte eraan in z'n vrije tijd, maar dat was niet genoeg. Ik heb wel een paar kleine freelance klusjes eromheen kunnen doen, maar niet echt iets structureels. Aangezien we veruit de meeste code niet zelf bezaten, konden we ook geen dual license support model opzetten.
3) de code was toen al zo'n 10 jaar oud en een ratjetoe van stijlen. Grote delen waren moeilijk te doorgronden.

Daar is bijgekomen dat sinds de beursgang in 2007 Sourcefire zich steeds meer heeft teruggetrokken uit het open source proces. Er zijn geen publieke bugtrackers meer, geen roadmap, er worden nauwelijks contributies geaccepteerd, er is geen tot nauwelijks invloed van de community, geen publieke source code repository, etc. Er zijn af en toe releases gedekt door een (gemodificeerde) GPLv2, maar dat is het dan ook. Dit alles is trouwens hun goed recht, maar het is niet bevredigend voor open source hippies zoals ik

Verschillende mensen hebben weleens gevraagd waarom we Snort niet "geforked" hebben [eigen tak van het programma ontwikkelen]. Redenen zijn bovenstaand, maar er zijn er meer. Een belangrijk uitgangspunt van Suricata is multi-threading. We wilden op deze manier gemakkelijker meer uit de moderne hardware halen. Er zijn verschillende pogingen gedaan om Snort multi threaded te maken, maar zonder veel succes.

Bro zien we als meer aanvullend dan vervangend. Bro is meer een netwerk scripting of query engine waarmee je zeer complexe scripts kunt schrijven. Een probleem van Bro is dat de leercurve nog veel steiler is die van tools als Snort en Suricata. Bovendien is de performance ondanks clustermogelijkheden redelijk problematisch voor high speed omgevingen. Een ruleset zoals ET of VRT mist ook. Traditioneel was Bro ook meer een research tool waarin veel nieuwe dingen worden uitgeprobeerd. Pas de laatste jaren is er (door specifieke financiering hiervoor) veel gedaan aan het bruikbaarder maken van Bro voor een groter publiek.

Wat betreft commerciële IDS/IPS engines, weet ik dat er veel producten zijn die onder de motorkap (vaak verouderde versies van) Snort gebruiken. Verder spendeer ik niet veel tijd aan andere producten. Als er een is die iets heel bijzonders kan, zie ik vanzelf wel een feature request in onze trackers verschijnen

Waarom sponsort het ministerie van Homeland Security (DHS) dit project?
Julien: DHS was geinteresseerd in security projecten die iedereen in staat stellen zichzelf beter te beschermen, inclusief de verschillende afdelingen van de overheid. Daarbij was één van hun doelstellingen om er een "multi-vendor" draai aan te geven, mede om het risico van "vendor lock-in" te verkleinen. Een andere doelstelling is in het algemeen innovatie in IDS bevorderen. DHS was ontevreden met wat zij zagen als een gebrek aan innovatie van de bestaande IDS-leveranciers.

Hoe hebben jullie dit voor elkaar gekregen?
Julien: Eind 2007 ben ik begonnen met het bouwen van Suricata. Het begon als een simpele multi threaded packet forwarder. Begin 2008 heb ik mijn eerste code in Californië gedemonstreerd aan Matt Jonkman en William Metcalf. Matt leidt het Emerging Threats project, Will was de maintainer van Snort_inline. Ze waren heel enthousiast. Toen ontmoetten we in een Denny's, een nogal ranzig fast food restaurant, Bothunter auteur Phil Phorras die het erg interessant vond en ons heeft verbonden met de juiste persoon binnen DHS. Suricata heeft dus de huidige vorm te danken aan ons ontbijt "moons over my hammies" van Denny's

Uiteraard heeft het vanaf dat moment voor wel even geduurd voordat we daadwerkelijk geld ontvingen, maar in 2009 was het dan zover. Sindsdien hebben we meerdere programmeurs aan het werk kunnen houden. Eind 2009 hebben we de eerste publieke release gedaan, midden 2010 onze versie 1.0.

Wat zou je tegen mensen zeggen die wantrouwig zijn als de Amerikaanse overheid beveiligingssoftware financiert?
Julien: Dat wantrouwen zou dan denk ik moeten gaan over backdoors, manieren om de IDS te ontwijken, enzovoorts. Als hoofdontwikkelaar ben ik de enige met 'commit-rechten'. Dus geen enkele code komt binnen zonder dat ik er naar heb gekeken.

De mensen die verantwoordelijk zijn voor onze financiering hebben ook nooit iets anders uitgedragen dan een wens om de beveiliging werkelijk te verbeteren. Dus zelf ben ik er totaal niet bang voor dat er intenties zouden zijn die het daglicht niet kunnen verdragen. Sterker, de opdracht die onze financiers ons meegaven was 'go do something good with it'.

Daarbij is het project zeer internationaal. Huidige en vorige ontwikkelaars komen uit Nederland, Frankrijk, India, Mexico, Brazilië, Spanje, Engeland, VS, Nieuw Zeeland, Canada, Engeland, Duitsland, Tsjechië, Bulgarije en Zuid-Korea. Kortom, ondanks financiering uit de VS is het zeker niet een Amerikaans overheidsproject.

Maar niemand hoeft mij op m'n woord te geloven. De belangrijkste 'garantie' is dat alle code open source is. Dus iedereen kan zelf de code bekijken en beoordelen of laten beoordelen. De code die je gebruikt heb je zelf in de hand.

Het tweede deel van het interview met Victor Julien staat nu online

Reacties (7)
26-10-2012, 09:16 door Anoniem
Wanneer is deze software beschikbaar? En is deze ook geschikt voor Windows? Ik zie namelijk dat het het andere project"vuurmuur" alleen voor Linux geschikt is?
26-10-2012, 09:17 door Anoniem
Toch jammer dat z'n beide windows versies (stable en beta) niet te downloaden zijn wegens een '404 - not found' error...
26-10-2012, 09:37 door Anoniem
is dit de goeie::: http://www.openinfosecfoundation.org/download/suricata-1.3.2.tar.gz
26-10-2012, 09:42 door yobi
Een IDS is mooi, als er iets met de detectie gedaan wordt. Veel bedrijven zetten een dergelijk apparaat neer, maar er wordt dan niets gedaan met een eventuele detectie.
26-10-2012, 10:29 door VictorJ
Door Anoniem: Toch jammer dat z'n beide windows versies (stable en beta) niet te downloaden zijn wegens een '404 - not found' error...

Ah dank, we hadden de msi's opnieuw gebouwd maar ik was vergeten links te updaten. Zou nu goed moeten zijn!
26-10-2012, 18:34 door Anoniem
28-10-2012, 11:44 door Anoniem
@yobi: Klopt helemaal. Alleen een apparaat neerzetten om wat te gaan monitoren heeft geen zin. Als je dat goed wilt doen, en opvolging aan gebeurtenissen wilt geven, moet je daar bovenop zitten en voldoende tijd en aandacht voor vrijmaken. En dat is wat er nog als eens bij inschiet.

Het enige wat je bereikt als je die tijd er dus niet in steekt is dat je terug kunt vallen op logging die achteraf te benaderen is mocht dat nodig zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.