Shell activity logging and auditing in exercise environments of security Lectures using OSS

Abstract

Ein Aktivitätsaudit ist ein Untersuchungsverfahren, bei dem Aktivitäten auf einem System aufgezeichnet und später hinsichtlich Missbrauch des Systems oder unautorisierte Aktivitäten untersucht werden. Solche Audits werden teilweise von Zertifizierungen und gesetzlichen Verordnungen verlangt, wobei durch diese oft eingeschränkt wird, wie Systeme einer Organisation bzw. deren Daten genutzt werden dürfen. Ein Auditor kann Audit-Logs nutzen, um zu verifizieren, dass die Systeme einer Organisation bzw. deren Daten den Anforderungen der jeweiligen Zertifizierungen oder Verordnungen genügen. Durch solch eine Überprüfung können Aktivitätsaudits nicht nur helfen, Missbrauch zu erkennen, sondern zusätzlich kann dadurch belegt werden, dass eine Organisation verantwortungsvoll agiert und sich an strikte Richtlinien hält. Ein Beispiel, in dem Systemnutzung mit Hilfe von Aktivitätsaudits überwacht werden kann, findet sich in Übungsumgebungen von Universitäten. Unterschiedliche IT-Sicherheitslehrveranstaltungen bieten Studierenden Übungsumgebungen an, in denen diese sicherheitsrelevante Aufgaben auf (virtuellen) Maschinen lösen müssen und dabei mit Sicherheitswerkzeugen in einer kontrollierten Umgebung experimentieren können. Studierende erreichen diese Übungsumgebung über das Internet mit Hilfe von Secure Shell (SSH). Die Übungsumgebung enthält für Lehrzwecke absichtlich angreifbare Dienste und Programme, allerdings dürfen Studierende die Umgebung nicht missbrauchen, indem sie zum Beispiel die Umgebung selbst oder das Internet darüber angreifen. Das Ziel dieser Diplomarbeit ist die Erstellung eines Aktivitätsauditkonzeptes, mit dessen Hilfe die Lehrveranstaltungsleitung Missbrauch erkennen und zu einem Angreifer zurückverfolgen kann. Um dieses Ziel zu erreichen, werden die Anforderungen an eine Aktivitätsauditlösung mit Hilfe von Expertenbefragungen sowie einer Bedrohungsanalyse und einem darauf aufbauendem Risikomanagement ermittelt. Weiters wird eine Literaturrecherche durchgeführt, um das Anforderungsprofil zu ergänzen. Das identifizierte Anforderungsprofil wird mit publizierten Lösungen abgeglichen und auf Basis des gewonnenen Gesamtbildes ein adäquates Lösungskonzept erstellt. Dieses Konzept wird als Prototyp implementiert und diese Implementierung wird anschließend evaluiert und getestet um zu prüfen, ob die Anforderungen tatsächlich erfüllt werden. Kernelement des Konzepts ist die ausnahmslose Aufzeichnung aller Aktivitäten durch Protokollierung sämtlicher Eingabeund Ausgabedaten, die mittels SSH übertragen wurden. Die daraus entstehenden Aktivitätslogs können anschließend forensisch untersucht und zum Erkenntnisgewinn zusätzlich auch neuerlich abgespielt werden. Schlußendlich wird in der Arbeit dargestellt, ob und inwieweit die konzipierte Lösung für den Einsatz in anderen Umgebungen geeignet ist.

Activity auditing is the practice of recording activities on a system and later analysing them regarding abuse of the system or for unauthorized activity. Being able to audit a system is also necessary to comply with certain regulations and certifications that restrict system and information usage. An auditor can use the audit log data to verify that the organisations systems, and the information that is stored on them, were used in accordance with the requirements of the relevant regulations. By proving such compliance, auditing not only allows detection of abuse, but also allows the organisation to prove their accountability by showing that they adhere to strict standards. An example where auditing system usage is useful can be found in exercise environments at universities. Various security courses provide exercises where students can try security related tasks on (virtual) machines and experiment with security tools in a controlled environment. Students reach this environment from the internet by using Secure Shell (SSH). This environment may deliberately contain vulnerable services or software for teaching purposes, but students are not allowed to misuse the environment by attacking it or other hosts on the internet. The purpose of this thesis is to develop an activity auditing concept that allows the course administration to track abuse of the environment back to an attacker. To achieve this goal, this thesis uses expert interviews, threat modelling techniques and risk management methods to determine the requirements for an activity auditing solution. It further performs a literature review to supplement the requirements profile. The identified requirements profile is compared with published solutions and, based on the obtained overall picture, an adequate solution concept is created. This concept is then implemented as a proof of concept implementation. The implementation is evaluated and tested to show that the identified requirements are fulfilled. A central element of the concept is the recording of all activities without exception by logging all inand output data that is being transfered via Secure Shell (SSH). The concept records all student activity by recording all inand output data sent over the encrypted SSH connection. The resulting activity audit logs can then be forensically examined and they can be replayed for additional insights. Finally, the work shows if and to what extent the solution concept is fit for use in different environments.