TF2013: Varnost in forenzika

Na letošnjem Tehničnem forumu EGI je bila varnost mrežne računalniške infrastrukture in varnost centrov, ki podpirajo distribuirano računanje in obdelavo podatkov, ena ključnih tem. Doslej je bilo omrežje izjemno varno, vendar predstavlja hitro naraščanje uporabnikov in širitev v nova okolja velik izziv za varnostne sisteme.

Kljub hitremu razvoju je očitno, da sta tehnologija in infrastruktura dozoreli do te mere, da je mogoče tudi najbolj zahtevne varnostne probleme sistematizirati in pripraviti praktične delavnice za izobraževanje.Delavnice z varnosti in forenzike ter druge praktične delavnice  je

Delavnica “Site Security Challenge

Delavnica, ki jo je pripravil CSIRT, je predstavila ogrodje njihove varnostne vaje, s katero je mogoče preveriti način in hitrost ukrepanja centra grid v primeru varnostnega incidenta. Cilj takšne vaje je preverjanje zanesljivosti in optimiziranje postopkov odkrivanja in reševanja posledic incidenta.

Varnostne vaje potekajo tako, da varnostni center nacionalne iniciative (NGI security office) organizira nazarovan napad na enega centrov grid med oganizacijami članicami ali pa na gruče v centru pošljejo  naloge z zlonamerno kodo. V okrviru naloge se preverja, ail skrbniki gruče  incident zaznajo dovolj hitro, kako ga analizirajo in v kakšni meri lahko preprečijo škodo. Med vajo morajo skrbniki redno obveščati varnostni center NGI, saj se preverja tu

di sistem obveščanja, ki je bistveni element varnostnega sisteme omrežja distribuiranih računskih centrov v EGI.

Delavnica “Training on security system logging and auditing

Storitve in operacijski sistemi proizvajajo veliko količino dnevniških zapisov, ki jih sistemi shranjujo predvsem zato, da jih lahko uprabijo sistemski administrarji in razvijalci programske opreme pri  razhroščevanju in reševanju težav. Vendar je teh podatkov toliko, da jih je treba ustrezno razčleniti in kategorizirati, da so uporabni, zl

asti kadar gre za zapletene sisteme, ki uporabljajo več med seboj povezanih komponent. Na gručah grid, ki sodijo med takšne primere, je treba opazovati običajne aktivnosti uporabnikov (kaj, kdo, kdaj, koli), da  hitreje opazimo anomalije in zagotovimo zanesljivo delovanje gruče.
CESNET je predstavil njihovo rešitev zbiranja in razčlenjevanja dnevniških datotek. Poudarjajo, da mora imeti vsak center zagotovljeno centralno zbiranje datotek. Njihova predlagana rešitev je uporaba Logstasha, v kombinaciji z aplikacijama Elasticsearch in Kibano (ta omogoča pregled razčlenjenih podatkov prek spletnega vmesnika, prikazuje grafe statistik ipd). Prikazali so primer dnevniških zapisov vmesne programske opreme gLite, kjer je v dnevniških zapisih mnogo manj zanimivih podatkov, ki otežujejo odpravljanje napak.

Delavnica “Hands-on Training in Security Forensics

EGI CPSIRT Operation Procedure

Pravila igre (EGI CPSIRT kot ZF bitka)

Praktična forenzična delavnica, ki je potekala ves dan v torek, je bila vrhunec varnostnega programa. V prvem delu so udeležnci svoje znanje dopolnili z vrsto pomembnih pristopov za razumevanje dogajanja v zapletenih distribuiranih sistemih. Praktični del pa je bil organiziran kot turnir (z določeno mero geekovskega humorja preoblečen v znanstveno-fantastično bitko): vsaka skupina udeležencev je dobila skrbniški nadzor nad virtualiziranim centrom grid in ga je morala braniti pred vdori. Pri tem je morala čim bolj podrobno dokumentirati vdore, za dodatne toče in pot do zmage pa je lahko še v malignem materialu indetificirala tri varnostne šifre.

Tekmovanje (vodili so ga Leif Nixon, Bruce Becker in Sven Gabriel) je potekalo do poznega popoldneva, zmagovalna skupina pa je bila ekipa “Aldebaran”. Preizkušeni format forenzičnega tekmovanja se je ponovno močno izkazal, tako da lahko pričakujemo ponovitve.