Tripwire - ¿Es un teatro de seguridad?

18

Los sistemas de detección de intrusos de tipo Tripwire supuestamente protegen su sistema de los rootkits, al monitorear las sumas de verificación de los binarios importantes para detectar cambios.

Digamos que he configurado Tripwire para ejecutarse cada noche y lo instalé en un nuevo sistema no rootkited.
Luego, al mediodía de hoy, un intruso experto instala un rootkit en mi sistema.

¿Cómo puedo saber que su rootkit no ha reemplazado mi tripwire con un imitador de tripwire? usando un conjunto diferente de claves públicas / privadas (y binarios de autenticación falsos) que más o menos reproducen los últimos archivos (legibles con una clave pública) para asegurarme de que no haya cambios en las sumas de comprobación (esencialmente solo la reproducción de archivos de registro conocidos). Supongo que podría notar que mi contraseña privada ya no funciona para abrir la clave privada; pero no creo que sea tan difícil dejar que funcione una contraseña (o solo la primera que se teclea). Supongo que debería verificar los tamaños de archivo / shasum / md5sum de tripwire con valores conocidos, pero en mi sistema rootkitted todas esas utilidades podrían verse comprometidas.

Estoy viendo la documentación de enlace y no veo cómo tripwire proporciona seguridad adicional, además de hacer que los desarrolladores de rootkit tengan que trabajar un poco más (para imitar una utilidad adicional configurada por el usuario).

En la práctica, dudo que alguna vez arranque un CD en vivo para verificar los hashes de forma segura; así que me pregunto si proporciona alguna seguridad o si solo es un teatro de seguridad.

    
pregunta dr jimbob 04.01.2012 - 00:16
fuente

7 respuestas

16

Creo que hay algo que decir para establecer una barra, independientemente de lo bajo que sea. ¿Se puede pasar por alto a Tripwire? Por supuesto. ¿Atrapará cosas que de otra forma no? Sí lo hará.

El principal problema que he visto en una instalación de Tripwire es sintonizarlo donde no está cargado de falsos positivos hasta el punto de ignorarlo. Si explota cada vez que alguien cambia algo en el directorio de su casa, lo ignorará. Si explota cada vez que la gente de tu web cambia tu sitio, lo ignorarás. Si explota cada vez que alguien actualiza un paquete, lo obtendrás. Sin embargo, si tiene un buen flujo de trabajo a su alrededor donde solo se queja cuando ocurre algo anormal, le prestará atención, y eso ciertamente tiene valor.

    
respondido por el Bill Weiss 04.01.2012 - 17:13
fuente
9

Los tripwires son muy útiles para defenderse contra rootkits de usuario> . Los rookits de Kernelland no necesitan reemplazar los binarios para subvertir el comportamiento del sistema, por lo general estos rootkits son solo un Módulo de Kernel de Linux (LKM). De hecho, cuando controlas el kernel de esta manera, se puede influir en el comportamiento de cualquier ejecutable sin necesidad de modificar el binario en sí mismo. (Aunque esto generalmente no es necesario).

Los rootkits de Kerneland para Linux son muy poco frecuentes en estos días, ya que los desarrolladores del kernel son rápidos para parchear estas vulnerabilidades. Estoy seguro de que alguien tiene un rootkit de kernel de Linux de 0 días, pero es más probable que encuentre un rootkit de usuario en la naturaleza.

El rootkit de Linux más reciente Kbeast que se lanzó en 2012 y afecta hasta Linux 2.6.32 (lanzado en 2009), actualizado al momento de escribir la última versión, es 2.6.39. No sé cuántos de ustedes realmente aprecian este evento porque el último rootkit de LKM fue el Eyne LKM rookit lanzado en 2009. No hace falta decir que tales ataques son pocos y distantes entre sí.

    
respondido por el rook 04.01.2012 - 02:00
fuente
7

Además de las respuestas de Rook y Jeff, Tripwire y soluciones similares también tienen un valor de alerta en tiempo real. Para subvertir un sistema Tripwire que también está monitoreando sus propios archivos, debe evitar que se generen alertas durante el proceso de subversión.

Ya no es un ataque tan sencillo.

En resumen, puede sortear cualquier control si se le da suficiente tiempo / esfuerzo / habilidad, pero Tripwire ayuda a hacerlo mucho más difícil para un atacante.

    
respondido por el Rory Alsop 04.01.2012 - 08:38
fuente
3

Como dijo Rook, Tripwire ayuda a los compromisos de los usuarios. También requiere que algunos ataques del kernel tengan en cuenta este método de detección, elevando un poco la barra. Vemos de aquí donde los sitios web están comprometidos, pero es probable que no sean sistemas completos. Tripwire también proporcionaría un método de detección y una recuperación más rápida allí.

Las comparaciones fuera de línea son los métodos de detección más confiables, pero las comparaciones en línea son una gran herramienta en la recopilación de cosas que ayudan a hacer que uno esté seguro.

    
respondido por el Jeff Ferland 04.01.2012 - 03:28
fuente
1

Como experimento, instalé tripwire y luego instalé un rootkit (KBeast) para ver si Tripwire lo atraparía. De hecho, Tripwire se queja:

-------------------------------------------------------------------------------
# Section: Unix File System
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
Rule Name: Other configuration files (/etc)
Severity Level: 66
-------------------------------------------------------------------------------

Modified:
"/etc"
"/etc/resolv.conf"

-------------------------------------------------------------------------------
Rule Name: Devices & Kernel information (/dev)
Severity Level: 100
-------------------------------------------------------------------------------

Modified:
"/dev/.udev/queue.bin"

El /etc/resolv.conf modificado no es muy sospechoso (es fácil de verificar) pero la cola.bin es visible:

mhaase@debian:~$ cat /dev/.udev/queue.bin
??9/devices/pci0000:00/0000:00:11.0/0000:02:02.0/sound/card0??/devices/virtual/v
c/vcs2?/devices/virtual/vc/vcsa2???/devices/virtual/vc/vcs3?/devices/virtual/vc/
vcsa3???/devices/virtual/vc/vcs4?/devices/virtual/vc/vcsa4???/devices/virtual/vc
/vcs5?/devices/virtual/vc/vcsa5???/devices/virtual/vc/vcs6?/devices/virtual/vc/v
csa6???I/devices/pci0000:00/0000:00:10.0/host2/target2:0:0/2:0:0:0/block/sda/sda
1??/module/loop??/devices/virtual/block/loop0?/devices/virtual/bdi/7:0??/devices
/virtual/block/loop1?/devices/virtual/bdi/7:1??/devices/virtual/block/loop2?/dev
ices/virtual/bdi/7:2??/devices/virtual/block/loop3?/devices/virtual/bdi/7:3??/de
vices/virtual/block/loop4?/devices/virtual/bdi/7:4??/devices/virtual/block/loop5
?/devices/virtual/bdi/7:5??/devices/virtual/block/loop6?/devices/virtual/bdi/7:6
??/devices/virtual/block/loop7?/devices/virtual/bdi/7:7??????????/module/ipsecs_
kbeast_v1?

Esta es una advertencia bastante efectiva. Estoy seguro de que hay otros kits de raíz por ahí que son mejores para evadir la detección, y estoy seguro de que un atacante más hábil podría configurar KBeast para que sea más evasivo, pero creo que esta es una buena indicación de que Tripwire definitivamente complica el trabajo del atacante y levanta el listón al menos un poco.

    
respondido por el Mark E. Haase 19.08.2012 - 18:52
fuente
0

Creo que el valor de los monitores de seguridad es más que forman parte de un proceso que conduce a mejores prácticas de seguridad. Si un tripwire te alerta de una intrusión real, ya has perdido el juego. Lo habría descubierto, tarde o temprano, por lo que el beneficio es marginal. Por otro lado, si un monitor le alerta sobre un ataque real que no tuvo éxito, o un falso positivo debido a una práctica de seguridad que es cuestionable, está en aviso para verificar su software y mejorar sus prácticas.

    
respondido por el ddyer 07.02.2012 - 19:18
fuente
-3

Mi experiencia al tratar con rootkits que comprometen la seguridad es que el usuario la coloca en el registro de arranque maestro de la unidad. Otro concepto erróneo que debe abordarse es que el propio firewall no proporciona seguridad para el sistema host. Una función primaria de los firewalls es dirigir el tráfico. Eso significa que hay menos seguridad cero para los archivos que administran el firewall en sí. Recuerde que siempre habrá puertas traseras y contraseñas en blanco. Los rootkits más inteligentes que he visto tienen una partición cifrada en el espacio de intercambio, identificada como .gvfs para la carpeta. En una máquina con Windows, vaya a las opciones de carpeta en el panel de control y seleccione Mostrar archivos y carpetas ocultos. Vaya a c: \ y busque archivos .DAT ocultos que tengan aproximadamente el mismo tamaño que el archivo de caché pagefile.sys.

    
respondido por el Shawn Knight 05.02.2012 - 23:53
fuente

Lea otras preguntas en las etiquetas