Opsporing verzocht

Honeypot-software van VU-onderzoeker Herbert Bos stelt aanvalsprofiel zelfstandig vast

Sinds eind vorig jaar is de open source Argos-software van de VU beschikbaar. Het spoort computervirussen en wormen op om zelfstandig een accuraat profiel van de aanval op te stellen. Het onderzoek verloopt voorspoediger dan verwacht.

De honeypot-software Argos van VU-onderzoeker Herbert Bos en zijn aio’s Georgios Portokalidis en Aisa Slowinska kijkt op de pc waarop het is geïnstalleerd of de instructies die het binnenkrijgt afwijkingen bevatten. Als er sprake is van een afwijking stelt het systeem zelfstandig een signalement van de aanval samen. Dit signalement wordt vergeleken met al het verkeer dat de machine ontvangen heeft. Als er een bruikbaar signalement is, wordt het doorgesluisd aan de indringersdetectiesoftware Snort, die het aanvalsverkeer vervolgens aan kan pakken. De software houdt zich in de praktijk goed, zegt Bos. “De aanvallen uit het Metasploit-project zijn allemaal goed gedetecteerd zonder een valse melding.” Dit project verzamelt kwaadaardige code om het goed functioneren van beveiligingsproducten te testen.

De Argos-aanpak lijkt op de methode van Microsoft om de eigen software te beschermen. Ook deze software controleert eerst of de code van buiten geen onrechtmatigheden bevat en laat deze dan pas door. Het grote verschil met deze commerciële software is dat Argos als een emulator het gedrag van een hele Windows of Linux-machine inclusief netwerkkaart kan nabootsen en kan nakijken op rechtmatigheid van instructies. De Microsoft-oplossing kijkt alleen naar afzonderlijke applicaties. Argos kijkt daarbij naar het besturingssysteem, de kernelsoftware én applicaties. Als er bijvoorbeeld code van buitenaf uitgevoerd moet worden slaat het apparaat aan. “Beheerders kunnen Argos zo gebruiken om in een vroeg stadium een signalement door te spelen naar antivirussoftware of een systeem voor indringersdetectie.” Het open source systeem is niet bedoeld voor eindgebruikers.

Volop in gebruik

Bos heeft geen idee hoeveel mensen op dit moment met Argos werken. Hij weet dat Surfnet Argos getest heeft en het inmiddels geïntegreerd heeft met de eigen software voor indringersdetectie Surf ids. Ook de calamiteitendienst van de rijksoverheid Govcert.nl, dat dezelfde detectiesoftware als Surfnet gebruikt overweegt met Argos te gaan werken. Verder hebben een aantal teams die ook honeypot-software schrijven enthousiast op de software gereageerd.

De automatische detectie door Argos is sneller en succesvoller verlopen dan Bos verwacht had. Inmiddels werkt hij aan een veel ambitieuzer plan om een compleet beschermingssysteem voor internet op te zetten. De huidige reactie op aanvallen is volgens de onderzoeker teveel ad hoc. Het ene virus werkt met encryptie, waardoor je het netwerkverkeer in de analyse moet betrekken, zoals het ‘Throttling’-systeem van serverfabrikant HP dat doet. Bij een andere aanval vormen andere eigenschappen de basis van de remedie. Er moet volgens Bos één infrastructuur komen die alle vormen van narigheid op een standaard manier aan kan pakken. “Bij een ziekte ga je ook eerst naar de huisarts en dan naar de specialist in het ziekenhuis. Zo’n procedure is bij internet ook haalbaar”, aldus Bos. De aanvraag voor het nieuwe onderzoek ligt inmiddels op de mat van NWO.