Se você ainda não viu o Cliff Stoll, vale a pena - ele fala de vários assuntos durante esta palestra no TED de 2006 - e sim, ele é o esteriótipo de cientista maluco.. =) Afinal ele era um astrônomo trabalhando em um grande laboratório americano quando acabou tendo que "responder ao incidente" relatado no livro The Cucko´s Egg.
O Richard Bejtlich - já citado tantas vezes aqui no blog - recentemente utilizou o assunto para uma apresentação em um evento no Departamento de Defesa Norte-Americano e extraiu algumas lições importantes do livro - todas muitos úteis para times de resposta a incidentes de segurança.
Pra quem já leu ou não vai ler o livro, vale a pena ver a apresentação dele - tem um ótimo resumo (60 slides) da história (obviamente contém 'spoilers') (PDF). Além disto, vale a pena conferir os vídeos no Youtube que contam a história.. (The KGB, The Computer, and Me)
Seguem as lições extraídas do PDF linkado acima:
"Lessons: Monitoring and Analysis
• “Build visibility in” with local accounting application
• Don’t rely on a single “source of truth”
• Centralized logging defeats intruders deleting local logs
• Passive full content monitoring captures all details
without alerting intruder
• Document analysis in log book
• Key questions: scope of intrusion, depth of intrusion?
• Monitoring using discarded gear is better than nothing
• Writing custom tools for monitoring and alerting
• Someone cares: analysis by a person who took the
intrusion personally!
Lessons: Nature of the Intrusion
• Intruder exploits weak credentials to gain access
• Intruder leverages local privilege escalation vulnerability
• Intruder exploits trust relationships
• Intruder exploits poor configurations deployed by vendor
• Intruder exploits system monoculture (Unix in the ’80s!)
• Sensitive data accessible from normal network, e.g.,
cancer treatment equipment
• Systems owners repeatedly told Stoll an intrusion was
“impossible – our systems are secure!”
• Recover by reimaging, rebuilding, restore backup?
• External notification is most common detection method
Lessons: Enduring Truths
• Of at least 80 victims, only 2 noticed (LBNL, NSA)
• Agencies ask for information but provide little back
• Users communication about intrusion compromise opsec
• Intruders violate assumptions held by network owners
• When to monitor intruder, and when to contain him?
• How much is stolen data worth? What is incident cost?
• A variety of analysis techniques provides best results
• Cannot trust endpoints to defend themselves nor report
their security state
• Intruders can be creative and persistent"
A propósito, no início deste ano, o Renato Maia - Sócio Diretor da Techbiz Forense - publicou um excelente artigo sobre o livro no blog da empresa. Reproduzo-o abaixo:
O Ovo do Cuco (por Renato Maia)
Em Agosto de 1986, Clifford Stoll recebeu sua primeira tarefa como administrador de sistemas no laboratório Lawrence Berkeley na Califórnia, EUA. Clifford deveria investigar uma discrepância de U$ 0,75 (75 centavos de dólar) no relatório gerado pelo software que controlava e contabilizava o uso dos sistemas (Unix e VAX) pelos seus usuários. Um detalhe interessante: Clifford, um astrônomo e pesquisador por formação, estava temporariamente trabalhando como administrador de sistemas na área de informática do laboratório devido a um erro na renovação da sua bolsa de pesquisador. Talvez por isto tenha recebido esta tarefa, a princípio, tão pouco relevante.
O que então parecia ser um erro de relatório do sistema era na verdade um usuário não autorizado com 9 segundos de uso não pagos. Surpreendentemente, o usuário não autorizado era um “hacker” que obteve acesso ao sistema explorando uma vulnerabilidade no software GNU Emacs.
Clifford acompanhou e monitorou este hacker durante 10 meses, em uma operação que é considerada por muitos a primeira resposta a um incidente e investigação publicamente documentada. Este é um breve resumo do livro “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage”. Estes 9 segundos de uso não autorizados levaram a descoberta de uma série de intrusões e acessos não autorizados em sistemas de universidades, de bases militares e do governo americano. Com objetivos claros de espionagem e ganhos financeiros.
Através de conexões discadas oriundas da Alemanha, utilizando modem de 1200 bps, o hacker mantinha e ampliava seu acesso em várias redes explorando falhas conhecidas em softwares da época. As informações e arquivos obtidos eram comercializados pelo hacker para a KGB da extinta União Soviética. Após várias tentativas frustradas Cliff conseguiu obter apoio para conduzir a monitoração e investigação com o FBI e a NSA – uma passagem interessante relata seu encontro com Robert Morris, cientista chefe do centro de segurança em computadores da NSA e pai do autor do Worm Morris (um dos primeiros Worms com grande impacto a proliferarem e atacarem a Internet).
Com este apoio e com o uso de técnicas criativas como a produção de documentos falsos referentes a um fictício projeto militar (Cliff Stoll pode ser considerado um dos “pais” do conceito de Honeypot/HoneyNet), a identidade do hacker – Markus Hess – foi descoberta e sua prisão efetivada em Hannover, na Alemanha. O detalhado registro gerado durante a investigação, bem como os documentos falsos usados como isca foram determinantes para a condenação de Markus Hess.
Este livro, que considero leitura mais do que recomendada, faz parte da história da TechBiz Forense Digital. O livro foi, juntamente com uma conversa casual de elevador (outra história interessante… Mas esta fica para outra oportunidade), uma das principais fontes de inspiração para criação da empresa e a determinação do seu foco.
Mais interessante é como o seu conteúdo se mantém cada vez mais atual. Stuxnet, Wikileaks, crimes digitais, roubos de identidade, Cyber Warfare e os vários relatos recentes de espionagem via Internet são situações modernas que encontram paralelos na história relatada em “The Cuckoo’s Egg”, ocorrida há 25 anos.
É exatamente para debater temas como esses que pretendo usar este espaço, no blog da TechBiz Forense Digital.
O que então parecia ser um erro de relatório do sistema era na verdade um usuário não autorizado com 9 segundos de uso não pagos. Surpreendentemente, o usuário não autorizado era um “hacker” que obteve acesso ao sistema explorando uma vulnerabilidade no software GNU Emacs.
Clifford acompanhou e monitorou este hacker durante 10 meses, em uma operação que é considerada por muitos a primeira resposta a um incidente e investigação publicamente documentada. Este é um breve resumo do livro “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage”. Estes 9 segundos de uso não autorizados levaram a descoberta de uma série de intrusões e acessos não autorizados em sistemas de universidades, de bases militares e do governo americano. Com objetivos claros de espionagem e ganhos financeiros.
Através de conexões discadas oriundas da Alemanha, utilizando modem de 1200 bps, o hacker mantinha e ampliava seu acesso em várias redes explorando falhas conhecidas em softwares da época. As informações e arquivos obtidos eram comercializados pelo hacker para a KGB da extinta União Soviética. Após várias tentativas frustradas Cliff conseguiu obter apoio para conduzir a monitoração e investigação com o FBI e a NSA – uma passagem interessante relata seu encontro com Robert Morris, cientista chefe do centro de segurança em computadores da NSA e pai do autor do Worm Morris (um dos primeiros Worms com grande impacto a proliferarem e atacarem a Internet).
Com este apoio e com o uso de técnicas criativas como a produção de documentos falsos referentes a um fictício projeto militar (Cliff Stoll pode ser considerado um dos “pais” do conceito de Honeypot/HoneyNet), a identidade do hacker – Markus Hess – foi descoberta e sua prisão efetivada em Hannover, na Alemanha. O detalhado registro gerado durante a investigação, bem como os documentos falsos usados como isca foram determinantes para a condenação de Markus Hess.
Este livro, que considero leitura mais do que recomendada, faz parte da história da TechBiz Forense Digital. O livro foi, juntamente com uma conversa casual de elevador (outra história interessante… Mas esta fica para outra oportunidade), uma das principais fontes de inspiração para criação da empresa e a determinação do seu foco.
Mais interessante é como o seu conteúdo se mantém cada vez mais atual. Stuxnet, Wikileaks, crimes digitais, roubos de identidade, Cyber Warfare e os vários relatos recentes de espionagem via Internet são situações modernas que encontram paralelos na história relatada em “The Cuckoo’s Egg”, ocorrida há 25 anos.
É exatamente para debater temas como esses que pretendo usar este espaço, no blog da TechBiz Forense Digital.
Post Update [23:00]: O meu amigo de além-mar Miguel Almeida acaba de publicar um artigo sobre o assunto em seu excelente blog na língua de Camões: http://miguelalmeida.pt/2011/04/clifford-stoll-e-a-persegui%C3%A7%C3%A3o-ao-hacker-astuto.html
Sandrão,
ReplyDeletesabia do livro e da história do elevador, mas não sabia que o início da conversa foi sobre o conteúdo do livro ... interessante ... rsrsrs
abs