GlasBlog

Miguel Cabrerizo hat ein Glastopf init Script für Debian geschrieben. Das Script ist im Repository verfügbar. Vielen Dank Miguel!

Die Bewerbung des Honeynet Project für den diesjährigem Google Summer of Code wurde akzeptiert! Die vom Honeynet Projekt vorgeschlagenen Projekte kann man hier einsehen. Ich empfehle jedem interessierten Studenten sich das auf jeden Fall an zu sehen und falls man ein passendes Thema findet, Kontakt mit den Mentoren auf zu nehmen, oder eigene Ideen vorschlagen.

GSoC bietet eine hervorragende Möglichkeit Erfahrungen in einem Open Source Project zu sammeln. Hierzu gehört auch die Zusammenarbeit mit Menschen die sehr viel Erfahrung in diesem Gebiet haben. Für das Glastopf Projekt war es ein außerordentlicher Schub nach vorne und die geknüpften Kontakte eine große Bereicherung.

Heute möchte ich einen kurzen Ausblick geben, wohin das Glastopf Projekt die nächsten Monate gehen wird.

Glastopf:
Letzten Freitag (22.01.) habe ich mit Sven getroffen. Sven ist Bachelor Student an der Fachhochschule Bern und wird seine Thesis über den Glastopf schreiben. In diesem Zuge wird es am Glastopf selber zu sehr vielen Veränderungen kommen, wobei jedoch die bisherige Funktionalität mindestens erhalten bleibt. Folgende Ziele sind geplant: Der Glastopf wird insgesamt weitaus modularer aufgebaut werden. Dies bedeutet, wir haben einen Kern der sich um die Annahme der Anfrage und Übergabe an die Module kümmert. Diese legen die Daten in beliebiger Art ab, emulieren die Schwachstelle und formen die Antwort dir der Kern dann wieder an den Angreifer zurück gibt. Weiterhin wird die Klassifikation des Angriffs verfeinert und vom Sourcecode selber losgelöst. Details hierzu wird es geben sobald mit der Arbeit begonnen wurde. Dies bedeutet auch, das die Entwicklung an der aktuellen unstable Version vorerst ruhen wird. Sämtliche Neuerungen werden schon mit dem neuen Glastopf im Hinterkopf entwickelt und dann dort implementiert.

PHP Sandbox:
Ich arbeite an einer Anbindung an eine PHP Sandbox zur Klassifikation der gesammelten Files. Weiterhin besteht die Möglichkeit sich wiederholende Anfragen an den Glastopf mit den selben sehr guten Antworten aus der Sandbox zu beantworten. Die gesammelten Bots bieten großes Potential die Webserver Botnets zu untersuchen. Weitere Berichte zu diesem Thema werden folgen.

Projekt:
Das Glastopf Projekt wird weiter die Zusammenarbeit mit interessierten Universitäten und Unternehmen vorantreiben. Im Kern befindet sich hierbei 1und1 und die Fachhochschule Bern. Des weiteren werden weitere Personen in das Projekt integriert die bereits im Hintergrund beitragen.

Meeting:
Ende März wird es in Karlsruhe ein weiteres Treffen der am Glastopf interessierten Personen stattfinden. Ziel ist es die Diskussion voran zu treiben, den Wissensaustausch zu fördern, die Personen kennen zu lernen und gemeinsam etwas zu trinken. Es wird einige kurze Vorträge geben wohin sich das Projekt entwickeln möchte und was die Personen damit anstellen. Weitere Informationen, und in naher Zukunft auch zum Ablauf, hierzu findet man in unserem Wiki: GlasCon-3-2010

Um den Support etwas vom Datennirwana IRC Chat weg zu bekommen, haben wir vom Honeynet Project eine Mailingliste für den Glastopf bekommen. Eintragen kann man sich über das Webinterface: Mailman. Das aktuell sehr glorreiche Archiv ist hier zu finden: Pipermail. Ich freue mich auf Feedback und Fragen.

Seit wenigen Tagen ist der erste Release Candidate der Version 0.0.1 des Webinterfaces für den Glastopf verfügbar. Die nötigen Informationen und Dateien findet man in unserem Repository. Das neue Webinterface ermöglicht es die mit dem Glastopf gesammelten Daten zu visualisieren und erste Schlüsse zu ziehen.

Wer den Glastopf verwendet hat sich bestimmt schon Gedanken gemacht, wie man die gesammelten Daten auswerten oder weiter verwenden könnte. Zum einen haben wir das SURFids plug-in. Damit lässt sich das Webinterface des SURFids zur Auswertung der Daten verwenden. Wer es sich einfach machen möchte, sendet die Daten an die zentrale Datenbank. Zu guter Letzt gibt es da noch das Glastopf eigene Webinterface. Es wurde in den ersten Monaten entwickelt und seit dem hat sich so gut wie nichts getan. Marcel Koßin hat dies bemerkt und sich sehr viel Mühe bei der Überarbeitung gemacht. Sobald Marcel so weit ist, werden wir die genaueren Details und die Source veröffentlichen.

Seit einem Jahr ist der Glastopf für die Öffentlichkeit verfügbar. Es hat sich viel getan das letzte Jahr. Der Glastopf hat sich in vielen Bereichen weiter entwickelt, ich habe jede Menge Personen gefunden (oder sie mich) die sich für das Projekt interessieren und mit mir zusammenarbeiteten. Das kommende Jahr bringt vieles mit sich, unter anderem eine verbesserte Klassifizierung der Angriffe, Integration einer PHP Sandbox, Verfeinerung des Vulnerability Emulators, Entwicklung der Webinterfaces und vieles mehr. Wenn alles gut geht, komme ich sogar endlich dazu unsere Dokumentation zu verbessern.

Konrad Rieck bemerkte zu Recht, dass der Glastopf keinerlei Möglichkeit besitzt die rohen Daten eines Angreifers abzulegen. Er hat ein Plug-in geschrieben das eben diese Aufgabe erfüllt.
Ich habe es ein wenig angepasst und in den Glastopf eingepflegt. Nun wird täglich ein File angelegt das sämtliche Daten der an diesem Tag registrierten Events enthält.

Ich bin ein gutes Stück weiter gekommen mit meiner Arbeit am neuen Vulnerability Emulator. Einen Ausschnitt daraus findet man im neuen Wiki: Glastopf Vulnerability Emulator. Ich bin nun in der Lage die gängigsten aufgerufenen Befehle bei der Variablendefinition zu emulieren. Beim Ausgeben der echo Zeilen, also eben jenen die der Angreifer wieder zu sehen bekommt, füge ich sobald eine Variablen aufgerufen wird, die zuvor von mir emulierten Werte auf. Hierdurch wird der Glastopf weitaus unabhängiger von aufwendig erstellten reguläre Ausdrücke Muster.
Aktuell arbeite ich daran dem Glastopf ein wenig Verständnis für vom Angreifer definierte Funktionen ein zu hauchen. Ein Beispiel dafür ist das umwandeln von Bytes in z.B. Gigabyte.

ConvertBytes(diskfreespace(@getcwd()));

ConvertBytes ist keine “Built-in” Funktion und muss also vom Emulator erkannt werden, da das Resultat unbekannt ist. Es geht dabei weniger um exaktes Verstehen der PHP Befehle, der Emulator muss vielmehr wissen was für ein Ergebnis von der Funktion erwartet wird.

Gestern Abend wurde ich überraschend von Kelly Jackson Higgins von darkREADING angeschrieben. Sie wollte mehr über den Glastopf erfahren, also habe ich sie mit Informationen gefüttert und heute hat sie einen, in meinen Augen gut gelungenen, Artikel veröffentlicht: New Honeypot Mimics The Web Vulnerabilities Attackers Want