ARAKIS

1.	Co to jest ARAKIS?
2.	Z jakich źródeł korzysta ARAKIS?
3.	W jaki sposób ARAKIS wykrywa nowe zagrożenie?
4.	Czy ARAKIS korzysta z systemów antywirusowych?
5.	Jakie alarmy sygnalizuje ARAKIS?
6.	Czy można wykorzystać proponowane przez system regułki snort do wykrywania lub ochrony przed atakami?
7.	Gdzie można się dowiedzieć więcej na temat ARAKISa?
8.	Kto korzysta z projektu ARAKIS?

1.	Co to jest ARAKIS?
ARAKIS (Agregacja Analiza i Klasyfikacja Incydentów Sieciowych) jest projektem zespołu CERT Polska działającego w ramach NASK, mający na celu stworzenie systemu wczesnego ostrzegania o zagrożeniach w sieci. Tworzony system ukierunkowany jest na wykrywanie i opis nowych zautomatyzowanych zagrożeń, ze szczególnym naciskiem na nowe exploity wykorzystywane w sieci. W obecnej fazie projektu, system ma na celu wykrywanie zagrożeń propagujących się w sposób aktywny, poprzez skanowanie. Na stronach publicznych prezentowany jest okresowy obraz sytuacji w sieci widzianej przez system. Projekt rozwijany jest we współpracy z Zespołem Projektów Informatycznych oraz z działem naukowym NASK.
2.	Z jakich źródeł korzysta ARAKIS?
Do wykrywania zagrożeń ARAKIS korzysta z czterech typów źródeł: - rozproszonej sieci honeypotów, - firewalli, - systemów antywirusowych - sieci darknet. (czyli bloki adresów IP należące do operatorów, ale nie przydzielone żadnemu podmiotowi) Każde z tych źródeł daje nieco inny punkt widzenia na to, co dzieje się w sieci.
3.	W jaki sposób ARAKIS wykrywa nowe zagrożenie?
Najważniejszą rolę w wykrywaniu nowych zagrożeń odgrywają honeypoty. Każdy przepływ danych do honeypotów poddawany jest mechanizmowi przesuwającego się okna, na którym obliczana jest funkcja skrótu (funkcja Rabina). (więcej na temat algorytmu Karpa-Rabina: http://pl.wikipedia.org/wiki/Algorytm_Karpa-Rabina) Następnie wszystkie przepływy widziane przez honeypoty są grupowane względem ich podobieństwa w sensie podobieństwa zestawów odcisków Rabina. W ten sposób system próbkuje ruch, szukając często pojawiających się podobnych wzorców. Kiedy dany honeypot wykryje odpowiednio duża podobną grupę przepływów, przekazuje je do procesu, który oblicza na tych przepływach najdłuższy wspólny podciąg (Longest Common Substring - LCS). Najdłuższe wspólne podciągi stają się sygnaturami zagrożenia. Sygnatury są przekazywane przez wszystkie honeypoty do centralnego repozytorium, gdzie następuje proces ich klasteryzacji, na podstawie odległości edycyjnej pomiędzy sygnaturami. Każdy klaster posiada własną zbiorczą sygnaturę ("super sygnatura"), która identyfikuje jakąś charakterystykę zagrożenia. Pojawienie się w sieci nowego rodzaju ataku oznaczać może pojawienie się zupełnie nowej zawartości pakietu. Poprzez powyższy proces fakt pojawienia się nowej zawartości zostanie odnotowany - pojawi się nowy klaster dla tego ataku - i zaproponowana zostanie sygnatura lub zestaw sygnatur opisujących dane zagrożenie (obecnie w postaci reguł dla systemu wykrywania włamań snort). Należy podkreślić, że w całym procesie system nie posiada wiedzy o tym, co jest atakiem. Wyszukuje on jedynie nowe, często pojawiające się wzorce. Z kolei firewalle oraz sieci darknet służą przede wszystkim do wykrywania anomalii poprzez obserwacje wzrostu bądź spadku ruchu na danym porcie, lub faktu pojawienia się aktywności na wcześniej nieatakowanym porcie.
4.	Czy ARAKIS korzysta z systemów antywirusowych?
Systemy antywirusowe służą jako uzupełnienie pozostałych informacji, jako jedyne dostarczając informacji o już znanych zagrożeniach (wirusach) w sieci.
5.	Jakie alarmy sygnalizuje ARAKIS?
ARAKIS ma szerokie możliwości sygnalizowania o nowych rodzajach ataków, z czego publicznie udostępniane są cztery. Alarm NCLUS (nowy klaster) sygnalizuje fakt pojawienia się nowego rodzaju ruchu w sieci honeypotowej wyrażanej w postaci nowo pojawiającego się klastra. Ruch ten może, ale nie musi, być związany z wystąpieniem w sieci nowego zagrożenia. Wykaz alarmów NCLUS z ostatnich 24 godzin prezentowany jest na stronie głównej serwisu ARAKIS, gdzie czas wystąpienia alarmów zaokrąglany jest do godziny w którym wystąpił. Do każdego alarmu NCLUS dołączana jest regułka snort opisująca zagrożenie. Poprzez "Tabele Klastrów" uzyskać można listę sygnatur wszystkich zagrożeń obserwowanych przez system przez ostatnie 24 godziny. Alarm NPORT sygnalizuje fakt pojawienia się portu na ktorym po raz pierwszy zauważono payload. System trzyma listę takich portów przez tydzień. Jeżeli w ciągu tygodnia nie zostanie zauważony żaden ruch z payloadem na tym porcie, port wypada z listy. Jeżeli ruch z payloadem ponownie zostanie dla tego portu wykryty pojawi się alarm NPORT. Na podobnej zasadzie działa trzeci alarm, NSNORT, który sygnalizuje nie porty ale nowe regułki snort. Z kolei alarm SWEEP sygnalizuje fakt przeskanowania nowego portu z niewielkiej liczby źródeł. Alarm jest "pamiętany" na podobnej zasadzie co NPORT i NSNORT.
6.	Czy można wykorzystać proponowane przez system regułki snort do wykrywania lub ochrony przed atakami?
Należy pamiętać, że jakość wytwarzanych sygnatur jest w pełni zależna od przepływów które system obserwuje. W szczególności może się zdarzyć, że ruch obserwowany przez system wcale atakiem nie jest. W związku z tym istnieje ryzyko fałszywych alarmów w przypadku wykorzystania tych sygnatur do obserwacji ruchu produkcyjnego. Dodatkowo sygnatura może być zbyt precyzyjna, efektem czego niewielka modyfikacja ataku może pozostać niezauważona przez instancje snorta obserwującego ruch produkcyjny. NASK i CERT Polska nie bierze żadnej odpowiedzialności za sposób wykorzystania informacji z systemu.
7.	Gdzie można się dowiedzieć więcej na temat ARAKISa?
Projekt ARAKIS był wielokrotnie prezentowany na krajowych i międzynarodowych konferencjach i spotkaniach. Poniższe odnośniki zawierają artykuły dotyczące projektu: 1. Piotr Kijewski, Automated Extraction of Threat Signatures from Network Flows, 18th Annual FIRST Conference, Baltimore, Maryland, June 2006 2. Piotr Kijewski, Metody automatycznego wytwarzania sygnatur zagrożeń sieciowych , CERT Polska SECURE Conference, October 2005 3. Poster opisujący projekt 4. Tomasz Grudziecki, Projekt ARAKIS - doświadczenia z obserwacji zagrożeń w sieci, Konferencja SECURE 2008, październik 2008
8.	Kto korzysta z projektu ARAKIS?
System ARAKIS stał się podstawą rozwinięcia rozwiązania ARAKIS-GOV przeznaczonego dla wsparcia ochrony zasobów teleinformatycznych Administracji Państwowej. System ARAKIS-GOV został wypracowany we współpracy z Departamentem Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego. W chwili obecnej sondy ARAKIS-GOV są zainstalowane w blisko 40 instytucjach Administracji.