wtorek, 21 lutego 2017

IPS / IDS w Synology RT2600ac, czyli jak niebezpieczny może być Jailbreak iPhone'a

Synology RT2600ac
Synology RT2600ac. Lepiej mieć go po swojej stronie ;)
Mniej więcej miesiąc temu opublikowałem tekst pt. Synology RT2600ac - podstawowy opis + testy prędkości. Był to, w gruncie rzeczy, jedynie przegląd funkcji, które wydawały mi się w tamtym czasie najistotniejsze z punktu widzenia zwykłego użytkownika. Pominąłem kwestie systemu IPS oraz IDS, które obecnie - poprzez sytuację jaka się mi przytrafiła - chciałbym Wam przybliżyć.
Ale najpierw. Co kryją za sobą akronimy IPS i IDS?

IPS (Intrusion Prevention System)
IPS analizuje ruch sieciowy i na podstawie zdefiniowanych działań lub wbudowanych sygnatur (podobnie jak w oprogramowaniu antywirusowym) wykonuje odpowiednie działania. Na ogół jest to jeden ze stanów:
  • brak zagrożenia - ruch przepuszczany dalej
  • zagrożenie średnie - ruch przepuszczany, ale następuje zapisanie zdarzenia w logach
  • zagrożenie wysokie - ruch blokowany oraz zapisanie informacji w logach
IDS (Intrusion Detection System)
W gruncie rzeczy niemal to samo co powyżej z tym, że służy jedynie detekcji niechcianych zachowań oraz ich rejestrowaniu. 

A opisując to, co doprowadziło do powstania niniejszego tekstu.

Mój syn posiada iPhone'a 5s. Około miesiąc otrzymał dwa e-maile z powiadomieniem o tym, że ktoś logował się na innych urządzeniach Apple'a przy użyciu jego Apple ID.

E-mail z informacją o wykorzystaniu Apple ID na innym urządzeniu Apple
E-mail z informacją o wykorzystaniu Apple ID na innym urządzeniu Apple
Oczywiście standardowo zmieniliśmy hasło do konta, aby uniemożliwić dalszą penetrację danych, jednak hasło hasłem, ale skoro ktoś już raz je posiadł, to bez aktywnego przeciwdziałania z naszej strony będzie w stanie zrobić to kolejny raz.

Podejrzenie padło na jailbreak, który syn wykonał w telefonie. Pomyślałem, żeby odpalić jakiś sniffer i całą komunikację podsłuchać, ale ten kto kiedykolwiek to robił, wie że nie jest to przyjemna praca. Analiza takich połączeń bywa bardzo uciążliwa i wyłapać z nich coś nietypowego bywa bardzo ciężko.
Postanowiłem więc zacząć od doinstalowania na routerze pakietu Intrusion Prevention, który jest niczym innym jak właśnie systemem IPS / IDS. Pomyślałem, że będzie to świetna okazja, aby go przetestować i sprawdzić, czy przy jego pomocy uda się coś ustalić.
Jak widać na poniższym screenie, od razu dało się zauważyć podejrzany ruch pomiędzy iPhonem (IP: 192.168.1.43), a innymi adresami.

Screen ze zdarzeniami wykrytymi przez Intrusion Prevention w Synology RT2600ac
Screen ze zdarzeniami wykrytymi przez Intrusion Prevention w Synology RT2600ac
Nie znam się na architekturze iOS'a, ale drugi od góry wpis informujący o wycieku UDID z aplikacji SpringBoard, służącej do zarządzania ekranem, był dla mnie bardzo niepokojący.
Pytanie zasadnicze, czym jest UDID w iPhonie oraz czy ten identyfikator (bo zakładam, że jest to rodzaj identyfikatora) powinien być udostępniany na zewnątrz. Intrusion Prevention zakwalifikował go jako średnie zagrożenie, więc z jednej strony nie jest to coś bardzo poważnego, ale z drugiej, nie jest to też coś co można zignorować.

Inną kwestią jest komunikacja przez NAT z wykorzystaniem protokołu STUN. Nie wiem w jakim celu telefon (lub ktoś z zewnątrz) ma posiadać informacje, które ten protokół oferuje...

Mapa adresów IP powodujących alarmy w systemie Intrusion Prevention
Mapa adresów IP powodujących alarmy w systemie Intrusion Prevention

Przeglądając mapę adresów IP powodujących alarmy w systemie zauważyłem, że najpoważniejsze zagrożenia generowane były z USA, ale także znalazło się kółeczko z kolorem pomarańczowym w Chinach oznaczające, że stamtąd rejestrowane są zdarzenia o takiej właśnie dotkliwości (dla przypomnienia wyciek UDID też był klasyfikowany jako średnia dotkliwość).

Klamka zapadła.

Tyle informacji było dla mnie wystarczających: iPhone wrócił do zwykłego iOSa. Od tamtej pory ruch pomiędzy telefonem, a Internetem się uspokoił. Nie było żadnych niepokojących objawów ze strony routera czy też informacji e-mailowych od Apple'a o wykorzystaniu naszego Apple ID.

Podsumowując

Niniejszym wpisem nie chcę nikogo straszyć, że jailbreak iPhone'a musi skończyć się kradzieżą Waszych danych identyfikacyjnych. Nie mam wiedzy na temat tego, czy w naszym wypadku było to spowodowane samą instalacją jailbreak'a, czy też zainstalowaniem przez syna innej aplikacji, która to spowodowała. Tego nie wiemy.

Dzięki funkcji Intrusion Prevention wiemy natomiast, że wcześniej telefon generował podejrzany ruch, a teraz tego nie robi. Ten fakt, razem z brakiem e-maili o nieprawidłowym wykorzystaniu Apple ID, pozwalają nam przypuszczać, że urządzenie jest już bezpieczne. 

Jeżeli powyższy tekst przeczyta osoba, która będzie mogła wnieść więcej wiedzy do tego tematu, to chętnie zapoznam się z oceną powyższej analizy. 

Na koniec zaś napisze, że mam nadzieję, że na powyższym przykładzie wiecie już do czego może przydać się system IPS / IDS w routerze i jak dzięki niemu można monitorować bezpieczeństwo Waszej sieci i urządzeń, które się w niej znajdują. 

Ps. Zdjęcie routera z początku tekstu zrobiłem na konkurs. Mam nadzieję, że się Wam podoba :)

2 komentarze:

  1. Kurde a na moim routerze, który otrzymałem od Synology do testów nie mam takich fajnych "ficzerów" na antenach. ;)

    OdpowiedzUsuń
    Odpowiedzi
    1. He, he, he ;)

      Bo mój to jest wersja premium napędzana ciekłym azotem :D

      Pozdrawiam Cię serdecznie :)

      Usuń

Bardzo proszę o zachowanie netykiety.