Κρυπτογραφία
Download
Report
Transcript Κρυπτογραφία
Ιόνιο Πανεπιστήμιο
Τμήμα Πληροφορικής
Ακαδημαϊκό Έτος 2011-2012
Εξάμηνο: Δ’
Ασφάλεια Υπολογιστών και
Προστασία Δεδομένων
Ενότητα E: Κακόβουλο Λογισμικό (Computer Malware
Εμμανουήλ Μάγκος
0. Motivation &
Definitions
Κακόβουλο λογισμικό (Malicious Software – Malware)
1. Ορισμοί & Ταξινομία
Κώδικας που δημιουργήθηκε με σκοπό την πραγματοποίηση ενός η
περισσοτέρων εκ των παρακάτω:
αλλοίωση δεδομένων ή προγραμμάτων
υποκλοπή δεδομένων
διαγραφή δεδομένων ή προγραμμάτων
παρεμπόδιση λειτουργίας ή υποβάθμιση συστήματος
Γενικά, επιθέσεις εναντίον
Εμπιστευτικότητας (C)
Ακεραιότητας (I)
Διαθεσιμότητας (A)
CIA
Κακόβουλο λογισμικό - Ταξινομία
1.
Ιοί (Viruses)
Μολυσματικό λογισμικό με ικανότητα
αυτό-αναπαραγωγής
2.
Άλλες κατηγορίες – συχνά
συνδυάζονται με προηγούμενες
Spyware & Adware
«Σκουλήκια» (Worms)
χρηστών
Μολυσματικό λογισμικό. Αυτoμεταδίδεται μέσω δικτύων
3.
4.
Μη μολυσματικό λογισμικό. Εκτελεί κάτι
Rootkits – back doors
«άλλο» αντί (ή, παράλληλα) αυτό για το
Χαρακτηριστικά stealth,
οποίο προορίζεται
«Κερκόπορτες» για σύνδεση με
προνόμια διαχειριστή
Bots - zombies
Αποστολή μη ζητηθεισών
διαφημίσεων
Δούρειοι Ίπποι (Trojan Horses):
Υποκλοπή στοιχείων και
Χρήση ξενιστή για κατανεμημένες
επιθέσεις (π.χ. DDOS, spam, phishing)
…
…
Κακόβουλο λογισμικό
Κύκλος Ζωής (1)
1.
2.
Δημιουργία
Περιέχει ένα σύνολο εντολών προς τον Η/Υ
Δεν απαιτούνται ιδιαίτερες τεχνικές γνώσεις
Αρχική Μόλυνση
3.
Εκμετάλλευση ευπαθειών προγραμμάτων ή ανθρώπινου παράγοντα
Εγκατάσταση ώστε το φορτίο να εκτελείται συχνά ή πάντα π.χ. :
ΗKLM\Software\Microsoft\Windows\CurrentVersion\Run
Εγκατάσταση ώστε η ανίχνευση & η αφαίρεση να είναι δύσκολες
Ενεργοποίηση (έκρηξη) του φορτίου (payload) - Παρενέργειες
Επιθέσεις Υποκλοπής, Διακοπής, Αλλοίωσης ή Εισαγωγής
Δεδομένα, προγράμματα, αρχεία συστήματος, τομείς εκκίνησης
Δημιουργία «κερκόπορτας»
Επιθέσεις εναντίον της διαθεσιμότητας (μνήμη, bandwidth, DDOS)
Κακόβουλο λογισμικό
Κύκλος Ζωής (2)
4.
Αναπαραγωγή & Μετάδοση
5.
Ανίχνευση (detect)
6.
Kατά την εκτέλεση του φορτίου γίνεται προσπάθεια να μολυνθούν άλλα
υποκείμενα (προγράμματα ή Η/Υ)…
Ανίχνευση βλαβερού κώδικα/συμπεριφοράς
Εξάλειψη – Μετάλλαξη (π.χ. πολυμορφικοί ιοί)
Το κακόβουλο λογισμικό εξαλείφεται.
Σε αρκετές περιπτώσεις, μια επανέκδοση παραλλαγμένη
Κακόβουλο Λογισμικό –
Aναπαραγωγή & Μετάδοση
1.
Μέσω ηλεκτρονικής αλληλογραφίας
2.
Μέσω Web (κακόβουλος κώδικας ενσωματωμένος σε σελίδες html)
3.
4.
π.χ. Drive-by downloads, ενεργός κώδικας, ασφάλεια browsers και web servers, ..
Μέσω άλλων διαδικτυακών υπηρεσιών
Chat (IRC, Instant Messengers - IM), newsgroups …
Δίκτυα ανταλλαγής αρχείων (P2P file sharing)
Μέσω αφαιρούμενων αποθηκευτικών μέσων
5.
π.χ. Εκτέλεση συνημμένων αρχείων
USB, optical, floppy, zip,..
Μέσω Δικτύων Μεταγωγής
Σάρωση δικτύου για εντοπισμό ευπαθειών εφαρμογών & υπηρεσιών
LAN, WLANs: κοινή χρήση αρχείων, μετάδοση μέσω Bluetooth,…
…
Symantec Internet Security Threat Report - 2010
1. Old times
Κακόβουλο λογισμικό
2. Ιστορικά στοιχεία
F. Cohen, “Computer Viruses”, ASP Press, 1985
…. «program that can 'infect' other programs by modifying them to include a ...
version of itself»…
1986: Brain
1987: Christmas Card, Jerusalem
1988: The Internet Worm
1992: Michelangelo
1994: Good times (hoax)
1995: Μακρο-ιοί
1999: Melissa
http://www.f-secure.com/weblog/archives/maldal.jpg
1998: Chernobyl
2000: ILOVEYOU
2003: Slammer, Blaster,…
… 2006: Botnets, Wikipedia attack, Myspace/XSS, Storm worm
«Κλασσικοί» Ιοί (Viruses)
Κακόβουλο – παρασιτικό λογισμικό που αποτελείται από:
Το “Φορτίο” (payload): κώδικας που όταν εκτελείται έχει
παρενέργειες: π.χ. Παραβίαση της εμπιστευτικότητας ή/και
ακεραιότητας ή/και διαθεσιμότητας των δεδομένων-συστημάτων
Το Μηχανισμό Αναπαραγωγής (propagation, replication): κώδικας
για την αντιγραφή σε άλλα προγράμματα (αναπαραγωγή) στον Η/Υ
Αναπαραγωγή: Οι ιοί (συνήθως) σχεδιάζονται ώστε να
αναπαράγονται μόνοι τους σε έναν Η/Υ
Π.χ. Μολύνοντας διαδοχικά τα εκτελέσιμα αρχεία του Η/Υ
Μετάδοση (σε άλλον-ους Η/Υ): απαιτείται (σε μικρό ή μεγάλο
βαθμό) η συμμετοχή του ανθρώπινου παράγοντα
«Κλασσικοί Ιοί»
Παρασιτικοί Ιοί (parasitic, file-infecting)
Δημοφιλείς μέχρι την έλευση των Win 3.1
Οι ιοί αυτής της κατηγορίας «μολύνουν» άλλα προγράμματα
Μόλυνση: Εκτέλεση του προγράμματος που «περιέχει» τον Ιό
Αναπαραγωγή: Όταν εκτελεστεί o «ξενιστής», ο ιός συχνά παραμένει
στην κύρια μνήμη και μολύνει άλλα προγράμματα που εκτελούνται
Μετάδοση: μέσω αποσπώμενων αποθηκευτικών μέσων ή μέσω δικτύου
Memory-resident
Εισαγωγή του κώδικα του ιού στον κώδικα εκτελέσιμων προγραμμάτων
(..EXE, .COM, .BAT, .SYS, .BIN, .PIF,...)
Μελέτη Περίπτωσης: Jerusalem (1987)
Non-resident (direct action)
Μελέτη Περίπτωσης: ο ιός Vienna
Παρασιτικοί Ιοί (parasitic, file-infecting)
H διαδικασία της Αναπαραγωγής
http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/Fall_2004/slides/MaliciousLogic.ppt
integrate
A V
Pre-pend
A
V
Append
A
V
A
Overwrite
V
A
Μελέτη περίπτωσης: Jerusalem
(memory resident)
Ανακαλύφθηκε: 10-1-1987
1.
Όταν εκτελεστεί το μολυσμένο αρχείο, ο ιός παραμένει στην
κύρια μνήμη του Η/Υ
2.
Φορτίο (payload)
3.
Παρασκευή και 13: ο ιός σβήνει όλα τα προγράμματα που θα
εκτελέσει ο χρήστης
Αναπαραγωγή
Μολύνει εκτελέσιμα αρχεία με επέκταση (COM, .EXE, .SYS,
.BIN, .PIF, .OVL) όταν αυτά εκτελούνται
Ιός - Ψευδοκώδικας
http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/Fall_2004/slides/MaliciousLogic.ppt
«Κλασσικοί Ιοί»
Ιοί Boot sector
Δημοφιλείς μέχρι την έλευση των Win 95
1.
Ο ιός «μολύνει» εκτελέσιμο κώδικα συστήματος που εντοπίζει σε
συσκευές βοηθητικής μνήμης (π.χ. δίσκος, δισκέτα,..)
π.χ. Τομέας Εκκίνησης (boot sector) ή MBR (Master Boot Record).
Ως αποτέλεσμα, o ιός φορτώνεται στη μνήμη κατά την εκκίνηση (boot)
του συστήματος
2.
Αναπαραγωγή: ο ιός μολύνει κάθε δίσκο ή δισκέτα που θα
χρησιμοποιηθεί τοπικά στον Η/Υ.
3.
Μετάδοση: Ένας Η/Υ μολύνεται με τον ιό όταν προσπαθεί να
εκκινήσει το σύστημα π.χ. με «μολυσμένη» δισκέτα
Μελέτη Περίπτωσης: Michelangelo (1992), Brain (1986)
Κλασσικοί ιοί –
Υβριδικοί Ιοί (Multi-partite, ή Hybrid)
Συνδυάζουν χαρακτηριστικά δύο κατηγοριών
Περίπτωση: ιοί “Boot and file”
Ο ιός Ghostball (1989) ο πρώτος multipartite ιός
Περίπτωση: ο ιός Melissa (1999)
Mολύνουν τομείς εκκίνησης (π.χ. MBR) & εκτελέσιμα αρχεία (.exe)
Συνδυάζει χαρακτηριστικά Μακρο-ιού και Worm
Σύγχρονο κακόβουλο λογισμικό
Σύνοψη χαρακτηριστικών δύο ή περισσότερων κατηγοριών
π.χ. Virus και trojan, trojan worms κ.λ.π
Άλλοι «Κλασσικοί Ιοί»
Ιοί Companion
Εκμεταλλεύονται μια ευπάθεια του DOS
Αν υπάρχουν δύο προγράμματα με το ίδιο όνομα σε έναν κατάλογο, το
Λ.Σ. θα εκτελέσει πρώτα το αρχείο .com
Ο ιός δεν μολύνει το αρχείο .exe, αλλά δημιουργεί ένα αντίγραφο
με την κατάληξη .com το οποίο περιέχει το «φορτίο» του ιού
Συχνά το αρχείο αυτό μπορεί να είναι «κρυφό» (hidden)
Ομοιότητα με τους ιούς file system: δε μολύνουν τα αρχεία καθ’ αυτά
Τρόποι Μετάδοσης
Με αποθηκευτικά μέσα (μαγνητικά-οπτικά) ή μέσω δικτύου
Άλλοι «Κλασσικοί Ιοί»
Ιοί Συστήματος Αρχείων και Flash Bios
Ιοί Συστήματος Αρχείων (file system virus). Τροποποίηση του
Πίνακα Καταχώρησης Αρχείων (FAT -File Allocation Table)
Γνωστοί και ως (link virus), (cluster virus), (FAT virus)
Αλλαγή του συνδέσμου που «δείχνει» προς ένα πρόγραμμα, ώστε να
«δείχνει» στη συστοιχία (cluster) όπου αρχίζει ο κώδικας του ιού
Δεν μολύνεται το πρόγραμμα καθ’ αυτό
Πρόδρομοι των σημερινών ιών τύπου rootkit - stealth
Εκτελείται ο ιός αντί για το πρόγραμμα
Μελέτη περίπτωσης: DIR-II
Flash Bios. Αντικατάσταση (ovewriting) του BIOS
Απρόβλεπτες συνέπειες ή/και αδυναμία εκκίνησης του Η/Υ
Μελέτη Περίπτωσης: CIH/Chernobyl (1999)
Μακρό - Ιοί (Macro viruses)
Δημιουργούνται με γλώσσες σεναρίων (scripting languages)
Χρήση διερμηνέα (interpreter) αντί για μεταγλωττιστή (compiler)
Τα σενάρια (scripts) συχνά ονομάζονται μακρο-εντολές (macros)
Αυτοματοποίηση ενεργειών & αποθήκευση με τα αρχεία
Αφορούν: Επεξεργαστές κειμένου, DBMS, υπολογιστικά φύλλα
Μολύνουν αρχεία δεδομένων (και όχι προγράμματα)
Ανεξαρτησία από πλατφόρμα (platform independent)
Μεταδίδονται πιο εύκολα, αφού τα έγγραφα ανταλλάσσονται
συχνότερα σε σχέση με τα προγράμματα
Μελέτη περίπτωσης: Melissa (1999)
O ιός Melissa (1999)
http://www.heise.de/ct/99/08/017/bild.gif
O ιός Melissa (1999)
Mακρο-ιός με στοιχεία Worm.
Όταν το θύμα ανοίγει το .doc ο
ιός μολύνει το πρότυπο
normal.dot
Μόλυνση μελλοντικών
εγγράφων word.
στους mail servers.
O Melissa στέλνει τον εαυτό
του (e-mail) στις πρώτες 50
διευθύνσεις του address book.
Ο ιός είχε ως στόχο επίθεση
άρνησης εξυπηρέτησης (DOS)
O ιός δε μόλυνε προγράμματα
(όπως οι file-infecting ιοί)
αλλά μόνο έγγραφα κειμένου
2. Worms & Bots
1. «Σκουλήκια» (Worms) -Γενικά
Αρχική Μόλυνση
Εκμετάλλευση ανθρώπινου παράγοντα ή ευπαθειών προγραμμάτων
Αυτό-μεταδιδόμενος κώδικας
(συνήθως μικρού μεγέθους) με
σκοπό τη γρήγορη εξάπλωση
Μικρή ή μηδενική ανάμειξη
ανθρώπινου παράγοντα κατά
τη μετάδοση
Εξάπλωση & Μετάδοση
Συνήθως αυτόματα, μέσω δικτύου
Mail worms, Scanning Worms,..
«Σκουλήκια» (Worms)
Ένα πρόγραμμα που προσκολλάται σε
άλλα προγράμματα, θεωρείται ιός.
Όταν ταξιδεύει μόνο του,
θεωρείται σκουλήκι..
Διαφορές με ιούς
1.
Ένα worm είναι αυτόνομος κώδικας (stand-alone app),
2.
Δεν μολύνει προγράμματα ή αρχεία, αλλά Η/Υ
3.
Δεν προσκολλάται σε άλλα προγράμματα (ξενιστές) για να επιβιώσει
Στέλνει αντίγραφα του εαυτού του για να εκτελεστεί σε άλλους Η/Υ
Διαθέτει ικανότητες αυτομετάδοσης από Η/Υ σε Η/Υ
Οι ιοί αυτό-αναπαράγονται από πρόγραμμα σε πρόγραμμα, ωστόσο για τη
μετάδοση τους σε άλλους Η/Υ απαιτείται ανθρώπινη παρέμβαση
Κυρίως επιθέσεις στη Διαθεσιμότητα των συστημάτων
The Internet Worm (1988)
ILOVEYOU (2000), ANNAKOURNIKOVA.JPG.VBS (2001),
Code Red (2001), Blaster, Slammer (2003), MyDoom (2004)
«Σκουλήκια» (Worms)
Φορτίο (Payload)
Φορτίο
Άρνηση εξυπηρέτησης (π,χ,
bandwidth, υπολογιστικών πόρων
φόρτος σε mail servers)
Δημιουργία κερκόπορτας με σκοπό
την εξ’ αποστάσεως διαχείριση
Δημιουργία δικτύων Botnets
Κακόβουλο φορτίο
(π.χ. αλλοίωση, διαγραφή)
Περίπτωση: Witty, Nyxem,…
Ψευδοκώδικας του Witty worm
http://www.usenix.org/events/imc05/tech/full_papers/kumar/kumar_html/index.html
«Σκουλήκια» (Worms)
Μετάδοση
Αυτό-μεταδιδόμενα (self-replicating) προγράμματα
π.χ. στέλνοντας e-mail σε όσους βρίσκουν στο βιβλίο επαφών
Επιτίθενται σε ευπαθείς δικτυακές εφαρμογές ή ευπαθείς υπηρεσίες &
πρωτόκολλα Λειτουργικών Συστημάτων
Επιθέσεις σε hosts στο LAN ή σε απομακρυσμένους Η/Υ στο Internet
Π.χ. Επιθέσεις Υπερχείλισης - buffer overflow
(Περιπτώσεις blaster, Slammer, Code red…)
Χρήση κοινόχρηστων αρχείων και φακέλων στο LAN
Χρήση λειτουργιών προγραμμάτων συνομιλίας (IRC ή IΜ)
Χρήση προγραμμάτων ανταλλαγής αρχείων P2P
2. E-Mail Worms
Μολυσμένος Η/Υ
mail
server
Από x προς a
Από x προς b
Χρήστης:
Ανοίγει συνημμένο
αρχείο
Από x προς c
c
b
a
infected
infected
computer
computer Η/Υ
Μολυσμένοι
ANNAKOURNIKOVA.JPG.VBS (2001),
http://www.f-secure.co.jp/v-descs/v-descs2/onthefly.htm
Τοπολογία Δικτύου Εξάπλωσης: Οι γείτονες του δικτύου είναι οι «διευθύνσεις»
ηλεκτρονικής αλληλογραφίας στο βιβλίο διευθύνσεων του θύματος…
http://www.acims.arizona.edu/PUBLICATIONS/Presentations/VirusProp.ppt
Μελέτη Περίπτωσης:
«Σκουλήκι» ILOVEYOU
1.
Μόλυνση: εκτέλεση συν. αρχείου
2.
Αναπαραγωγή:
Εντοπίζει αρχεία .JPG, JPEG, MP3,
MP2, VBS, JS, και τα αντικαθιστά με
www.caj.co.jp/tec/ tec_n/f_il0005iloveyou.htm
αντίγραφο του, με κατάληξη .vbs
Προσθέτει την ακόλουθη εγγραφή στο Μητρώο του συστήματος
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32DLL=WINDOWS\Win32DLL.vbs
3.
Μετάδοση
Το worm στέλνει τον εαυτό του στις επαφές του βιβλίου διευθύνσεων
Επίσης χρησιμοποιεί λογισμικό IRC client (εάν είναι εγκατεστημένο)
Εξάπλωση: 45 εκ. χρήστες έλαβαν το email σε μία ημέρα (2000)
3. Scanning Worms
Random Scanning
Το σκουλήκι επιλέγει
τυχαία μια διεύθυνση IP
από το εύρος των πιθανών
διευθύνσεων
Περιπτώσεις: Slammer,
Code Red Ι,…
Local Preference
IPv4
space
Το σκουλήκι επιλέγει με
μεγαλύτερη πιθανότητα μια
διεύθυνση από το ίδιο
δίκτυο (π.χ. /16 ή /32)
Περιπτώσεις: Blaster,
Code Red II,…
Ένα «Μελλοντικό» worm
Εφοδιασμένο με λίστα (hitlist)
από «γνωστές» διευθύνσεις
κόμβων με ευπαθές λογισμικό
Flash Worm
[Staniford et al 2002]
Μελέτη Περίπτωσης: The Internet Worm (1988)
Μόλυνση & Μετάδοση: Εκμετάλλευση ευπάθειας των
προγραμμάτων fingerd & sendmail σε συστήματα UNIX
Π.χ. Επίθεση στο fingerd
Επίθεση υπερχείλισης καταχωρητή (buffer overflow) στο σύστημα
που «τρέχει» το fingerd
Το worm εκτελείται ως root και εγκαθίσταται στο σύστημα
Στη συνέχεια επιτίθεται σε άλλα συστήματα
Από λάθος, το worm επιτιθόταν σε Η/Υ που είχαν ήδη μολυνθεί!
6.000 υπολογιστές (10% του Internet) κατέρρευσαν
www.ciac.org/ciac/ bulletins/l-117.shtml
www.ciac.org/ciac/ bulletins/l-117.shtml
Μελέτη Περίπτωσης:
Code Red I και ΙΙ (2001)
1.
Μόλυνση
2.
Μετάδοση
3.
359.000 μολύνσεις- 14 ώρες ( CERT)
Δημιουργία λίστας τυχαίων IP
διευθύνσεων και απόπειρα
μόλυνσης
Φορτίο
Υπερχείλιση καταχωρητή (IIS
Web server 4.0)
Επίθεση στο whitehouse.gov
(Code Red I)
Slammer (Sapphire) Worm- January 25, 2003
74855 μολυσμένοι κόμβοι μέσα σε 30 λεπτά !!
– Το πλέον «γρήγορο» σκουλήκι μέχρι σήμερα
http://www.caida.org/analysis/security/sapphire/
Slammer Worm
1.
Μόλυνση
2.
Υπερχείλιση (SQL server)
Μετάδοση
Δημιουργία λίστας τυχαίων IP
διευθύνσεων
Αποστολή ενός πακέτου 376bytes στην θύρα UDP/1434 για
κάθε διεύθυνση IP της λίστας
3.
Χρήση πρωτοκόλλου UDP στο
επίπεδο μεταφοράς
Φορτίο
Όχι κακόβουλο
Ταχύτατη εξάπλωση
55.000.000 ανιχνεύσεις το
δευτερόλεπτο !!
Ο μολυσμένος πληθυσμός
διπλασιάζεται κάθε 8.5 ’’
90% των ευπαθών συστημάτων
μολύνθηκαν σε 10’ από την
εμφάνιση του worm
Blaster (worm) – Αύγουστος 2003
http://www.upenn.edu/computing/virus/03/w32.blaster.worm.html
Μελέτη Περίπτωσης:
Blaster (worm)
1.
Μόλυνση & Μετάδοση: Αυτόματη (μέσω δικτύου)
Λ.Σ.: Windows 2000 & Windows XP
Ευπάθεια: υπηρεσία RPC (135 TCP)
Λήψη και εκτέλεση του worm (msblast.exe)
2.
3.
Υπερχείλιση καταχωρητή (buffer overflow)
Υπηρεσία tftp – (69 UDP)
Φορτίο (Payload)
Αλλαγή του Μητρώου..
Λογική Βόμβα: Επίθεση (DDOS) στο windowsupdate.com στις 16–08-2003
Μήνυμα σφάλματος στην υπηρεσία RPC Επανεκκίνηση
Αντιμετώπιση
Απαιτείται και ενημέρωση του Λ.Σ. (patch)
Ωστόσο το ευπαθές σύστημα που συνδέεται στο δίκτυο υφίσταται (από
γειτονικούς, μολυσμένους κόμβους) επιθέσεις υπερχείλισης επανεκκίνηση
MyDoom (worm) - 2004
vil.nai.com/vil/ content/v_131868.htm
Μελέτη Περίπτωσης: MyDoom (worm) - 2004
Μόλυνση: λήψη παραπλανητικού e-mail και εκτέλεση συν. αρχείου
Μετάδοση: μέσω e-mail ΚΑΙ μέσω δικτύων P2P
1.
Αποστολή e-mail στις επαφές του βιβλίου διευθύνσεων
2.
Αντιγραφή του worm στο διαμοιραζόμενο φάκελο του KAZAA
Φορτίο (Payload)
Αλλαγή στο Μητρώο…
«Κερκόπορτα» (backdoor) – στη θύρα 3127 (TCP)
Επίθεση (DDOS) στον δικτυακό τόπο www.sco.com (στις 1 ΦΕΒ 2004)
Παραλλαγές του worm: Επίθεση σε μηχανές αναζήτησης (26 ΙΟΥΛ)
Περίπτωση: Το Σκουλήκι Nimda (2001)
To Σκουλήκι
QuickTime - XSS
Κατηγορία: XSS
(Cross-Site Scripting)
Το σκουλήκι εκμεταλλεύεται
1.
Ευπάθεια στην εφαρμογή
QuickTime
2.
Ευπάθεια στην εφαρμογή
Web (MySpace)
Αρχική Μόλυνση: Αναπαραγωγή
του «κακόβουλου» αρχείου video
Φορτίο: Αλλαγή προφίλ χρήστη
Οι σύνδεσμοι στη σελίδα του
παραπέμπουν στο phishing site
Αντίγραφο κακόβουλου αρχείου
video ενσωματώνεται στη σελίδα
του χρήστη
To Σκουλήκι
Warezov (2006)
«Κλασσική» εξάπλωση
Μετά την αρχική μόλυνση,
στέλνει τον εαυτό του σε
χρήστες του address book
Μετάλλαξη:
Συνδέεται σε απομακρυσμένο
server και «κατεβάζει» μια
ενημέρωση του κώδικά του
http://www.f-secure.com/weblog/archives/archive-092006.html
Πολυμορφικές Ιδιότητες !
Server-side polymorphism
Ανήκει στη λεγόμενη «νέα γενιά»
(Feily et al, 2009) * (Bailey et al, 2009)*
(Giu et al, 2007) *(Liu et al, 2009)*
Bots & Botnets
Introduction
Bots
Self-propagating application that
infects hosts through direct
exploitation or Trojans…
Initial Infection: How?
What makes them special?
Bots then run as an automated
*
task over the Internet (“robot”)
Infected hosts: “zombies”
Botnets
Establish Command & Control channel (C&C) for updates & direction
Many bots under control of a C&C
server form a botnet *
Difference with worms: bots cooperate towards a common purpose
Similar to other malware classes
Scanning for vulnerabilities
(like scanning worms)
Send E-mail with attachments
(like mail worms)
File sharing, P2P networks, IM,…
Drive-by downloads,
Social engineering,…
Combination of the above !
Other features
Some bots try to evade detection
like rootkits
Thousands of variants
Bots & Botnets
How it works: (Case) A Spamming Botnet *
1.
A botnet operator unleashes some
malware (viruses, worms or trojans)
The bot is their payload !
2.
The bot logs into a particular C&C
server (e.g., IRC or Web server).
3.
A spammer purchases the services
of the botnet from the operator &
provides spam messages to operator
4.
Operator instructs compromised
machines via the control panel on
C&C server, to send out spam msgs
Botnet Attacks (Liu et al, 2009) *
Economics *
€
Collection of slave computing to
be sold for illicit activities
Spamming: About 70%-90% of
spam today is due to botnets*
Phishing: Zombies may be used as
web hosts for phishing attacks *
Mounting DDOS attacks: *, *
TCP SYN, UDP flooding,…
Information leakage: retrieve
(& sell) usernames & passwords
Click Fraud: promote CTR *
(clickthrough rate) artificially
€
Bots & Botnets
Life cycle of a Bot
Cycle
1.
Target scanning
2.
infection exploit
3.
binary egg
download & exec
4.
C&C channel
establishment
5.
outbound scanning
(Giu et al, 2007) *
Bots & Botnets
Life cycle of a Bot
Cycle
1.
Target scanning
2.
infection exploit
3.
binary egg
download & exec
4.
C&C channel
establishment
5.
outbound scanning
(Giu et al, 2007) *
Bots & Botnets
Life cycle
(Liu et al, 2009) *
Taxonomy(Liu et al, 2009)*
(Zhu et al, 2006)*
A. IRC-based botnets *
Client-server model
Centralized architecture
*
Agobot* (2002), SDBot (2002),
SpyBot*(2003), GT bot* (2004)
B. Peer-to-Peer botnets
Decentralized architecture
More difficult to detect
No central server to shut down
C. Other
*
Slaper (2002)
Sinit (2003)* (PKC for update auth)
(2004),*
Phatbot
Storm worm (2007)
Conficker E (2009) *
*
HTTP-based (Rustock,*
*, * )
Blackenergy,* Conficker,…
DNS-based (Fast-flux)*
Types of Bots
(Liu et al, 2009) *
IRC-based Botnets
The IRC Network
(Cooke et al, 2005)*
(Puri, 2003)*
IRC
Internet protocol for (one to
many) real-time chat
Follows the client-server model
(Legitimate) IRC-based bot♪
Scripts that perform automated
actions in response of an event
Support IRC channel operations
Managing access lists, moving
files, sharing clients, channel
information etc...
IRC-based Botnets♪
(Puri, 2003) *
(Cooke et al, 2005)*
IRC-based Botnets
Mitigating IRC-based botnets
Botnet tracking*
1.
, *,
*
Step 1: Acquire and analyze
a copy of a bot
Use Honeypots* &
,
special analysis software* *
2.
Step 2: Connect to IRC channel,
infiltrate & collect data from botnet
3.
Use a specially crafted IRC client
Step 3: Central IRC server is
taken offline by law enforcement
Hint: Use same strategy
for HTTP-based botnets
(Holz et al, 2008) *
P2P-based Botnets
(Holz et al, 2008) *
P2P network architecture
«Τύπου» Napster
All network nodes are both
clients and servers
Any node can provide & retrieve information at same time
Resilience
Network robust against node
failures
«Τύπου» Kazaa
Loosely-coupled communication
No consumer knows who
published information they get
No provider knows who gets
published information
«Τύπου» Gnutella
P2P-based Botnets
Case: Storm Worm
*, ♪, ♪
http://www.commtouch.com/downloads/Storm-Worm_MOTR.pdf
Propagation mechanism
E-mail: body contains a varying
English text (soc. engineering)
Binary installation:
1.
User opens attachment or
2.
User clicks link that exploits
a browser’s vulnerability or
P2P characteristics
suggests a download !
Polymorphic features
Binary is always different
(even from same web site)
Goal: hide presence on host
Each peer is identified via a
hash value and IP address/port
Each infected machine has an
accurate clock
Rootkit features
File contains info on other peers
System time is synchronized via
Network Time Protocol (NTP)
Kademlia-based* DHT routing for
finding other bots & controller
Wikipedia*
HTTP-based Botnets
Case: Conficker Bot (SRI, 2009)*
Case: Conficker Bot
(SRI, 2009) *
Case: Conficker Bot
(SRI, 2009) *
Case: Conficker Bot
(SRI, 2009) *
Botnets
Detection and Analysis
Detection & Analysis
1.
Traffic analysis
(at network perimeter)
2.
Monitor in-bound AND
out-bound flows
Signature-based ,* anomaly-*
based, behavior-based *
Honeypots & Honeynets *
Computing “baits” attract malware for analysis & detection
Goal: identify and take down
controlling nodes
(Liu et al, 2009) * (Feily et al, 2009)
3.
* (Cooke et al, 2005) *
Other Techniques
Mining-based detection
*
(Machine learning,* clustering,…
Source-code analysis *
,
DNS Tracking * *
Botnets
Detection and Analysis (Feily et al, 2009)*
Botnets
Prevention and Response
(Liu et al, 2009) * (Puri, 2003) *
Botnets
Research challenges
(Aviv & Haeberlen, 2011) *
Challenges & Future research
Challenges & Future research
Arms race between controllers
& researchers
Uneven playing field *
Encrypted C&C channels *
Obfuscation* (e.g., alter
traffic patterns) *
Botnets are global
Adaptive botnets *
Detectors should be global
The untraceable feature of
(not easy: privacy issues)
Thus detectors are small-scale
(not representative)
coordinated attacks *
Detection of P2P botnets
Rootkits
Introduction
(Arnold, 2011) * (Levine et al, 2005)*
*
(Levine et al, 2005)*
(Shields , 2008)*
Rootkits
Introduction
(Arnold, 2011) *
(Joy et al, 2011)*
(Wang et al, 2009)*
Original Infection
Goal
Hiding the existence and
actions of the malware
History
Brain* * (1986): stealth code
created to hide its presence *
,
Botnet by Rustock: 50% of
total spam detected (30 bpd) ♥
Today
Many worms, viruses & bots include rootkits in their payload!!
(to hide themselves)
Rootkits typically need rootlevel (administrative) privileges
Trojan-like: e.g., replace a
program but keep functionality
Functionality (after infection)
Opening system backdoors
Stealing private information
Escalating privileges of
malicious processes
Disabling defense mechanisms
Hide, delete logs,…
Kernel-level Rootkits
Functionality
1.
Hiding (HID)
Conceal info that may indicate
the presence of the attacker
2.
Files, connections, processes,…
Privilege Escalation (PE)
3.
(Petroni, 2008) *
Change the user ID of process
to “root” or “administrator”
Add capabilities to a process,
change entries in ACLs,…
4.
Reentry (REE)
Insert an alternate access
path (backdoor)
e.g., command & control
(botnets)
5.
Reconnaissance (REC)
Gather info from target system
Key-logging, packet sniffing,…
Defense neutralization (NEU)
Disable security and/or safety
features of target system
Kernel-level Rootkits
Mechanism
1.
Kernel’s Machine code (TXT)
Overwrite a portion of kernel’s
machine instructions
2.
e.g., insert direct jumps
Processor registers (REG)
Manipulate registers used to
control processor’s execution
3.
(Petroni, 2008) *
cs, eip, esp, idtr, sysenter,
dr0-dr3
Kernel control-flow data (FP)
Modify kernel function pointers
Statically or dynamically
allocated kernel memory
4.
Kernel non-control data (NCD)
e.g. value changes to critical
kernel identifiers
Process ids, user ids
Kernel-level Rootkits
HowTo: Hide a Process (Control flow) (Petroni, 2008) *
Kernel-level Rootkits
HowTo: Hide a Process (Non-Control data) (Petroni, 2008) *
Rootkits
Taxonomy
(Shields , 2008)*
(Arnold, 2011) *
(Joy et al, 2011)*
1st Generation:
User-land
2nd
Modified system binaries, log
cleaning, library-level rootkits
Generation
3rd Generation
Kernel-land
Modify OS at low level to evade user-land based detection
Kernel-mode hooking
Virtualization
Inject stealth system at a SW
layer lower than kernel
Direct Kernel Object
Manipulation (DKOM)
Manipulate kernel data
structures
Application-level Rootkits
(Shields , 2008)*
(user-mode) (Ries, 2006) *
*
Techniques
1.
File Masquerading
2.
Malicious binaries that replace
or modify user-level programs
Malicious DIR, netstat, ps, ls,…
Userland Hooks
*
Patch, hook or replace calls to
system libraries (API calls)
Difference with masquerading
Affect large number of
binaries without modifying
more than just a few libraries
Userland Hooking Mechanisms
A.
IAT Hooking
B.
Modify a program’s IAT table
Inline Hooking
1.
Replace original system libraries with modified versions
2.
Intercept request for the
library API
3.
Call the original API and filter
responses to hide
Also known as run-time library patching *
Application-level Rootkits (user-mode)
Inline Hooking (Ries, 2006) *
(Ries, 2006) *
(Shields , 2008)* (Arnold, 2011) * (Petroni, 2008) *
*
(Joy et al, 2011)* (Levine et al, 2005)
Kernel-level Rootkits
“Patching the Kernel”
Loadable Kernel Modules (Unix)
1.
Extend functionality without
re-compiling the kernel
Added / removed on the fly
Hijack kernel control flow
1.
2.
2.
3.
This gate can be hooked to
point to malicious code
Rootkit can execute its
subversion code before SSDT
Virtual File System (VFS)
4.
Redirection of system calls to
rootkit-defined code
Interrupt Descriptor Table (IDT)
Requests for kernel resources
pass through a gate
System Call Table (SSDT)
Load device drivers (Windows)
Kernel-mode Hooking
Hooking Targets
…
Overwrite handler routines,
which provide directory listings
Kernel-level Rootkits (Kozyrakis, 2009) *
Kernel-level Rootkits
System Call Τable Ηooking
Three approaches
System Call Table modification
Redirect a sys_call away from
legitimate sys_call
2.
System Call Target modification
Overwrite legitimate sys_call
targets with malicious code
3.
e.g., Knark rootkit
*
1.
*
e.g., a jmp instruction
System Call Table Redirection
Redirect reference to the call
table to a new system call table
(Joy et al, 2011)* (Levine et al, 2005)*
Kernel-level Rootkits
System Call Τable Ηooking (Levine et al, 2005)*
Kernel-level Rootkits
System Call Τable Ηooking (Kozyrakis, 2009) *
Kernel-level Rootkits
System Call Table Redirection (Kozyrakis, 2009) *
Kernel-level Rootkits
Hooking Interrupt Descriptor Table (IDT) (Kozyrakis, 2009) *
Kernel-level Rootkits
Hooking Virtual File System (VFS) (Kozyrakis, 2009) *
Kernel-level Rootkits
DKOM (Arnold, 2011) *
Direct Kernel Object
Modification (DKOM)
Direct modification of
dynamic kernel data
objects in memory
Case: FU Rootkit *
(Windows)
(Shields , 2008) * (Joy et al, 2011) *
(King et al, 2006)* (Wang & Jiang, 2010) *
Virtualized
Rootkits
VMM (Hypervisor)
*
Visualization platform that
allows multiple OS to run
Hypervisor rootkits
Subvert user-land AND kernelbased detection engines
e.g., BluePill,* SubVirt *
Load host OS as guest and can
monitor all host OS activities
Intercept the calls from the
kernel to the HW itself
… even without requiring a
reboot!
*
(Kozyrakis, 2009)
*
Research challenges *
,
*
How to trust the Hypervisor
Rootkits
Detection (Shields , 2008)* (Arnold, 2011) * (Joy et al, 2011)*
Host-based Intrusion Detection
1.
Signature-based techniques
2.
3.
Analyze the byte pattern to
identify a unique fingerprint
Integrate the fingerprint
“signature” into a DB
Hooking detection *
4.
Scan the system
Detect modification of
sensitive binaries & libraries
User and/or kernel-level
Defeat user-or-kernel land
rootkits that modify binaries
Tripwire, Samhain, AIDE,…
*
*
5.
*
Classify malicious behavior based on pre-determined rules
Goal: detect zero-day malware
Drawback: false positives
Signed Kernel Modules
6.
Tools: GMER,* Rootkit Unhooker
Heuristics-Based detection
(or, behaviour-based) *
File integrity monitoring *
Define “normal” memory range
for function pointers
…
*
Verify signatures before install
(Arnold, 2011) *
(Shields , 2008)*
Rootkits
(Joy et al, 2011)*
Detection
Questions & Answers
If detection routine is run at kernel level,
how to detect kernel-level rootkits?
Virtualization techniques
Hardware-based (e.g., TPM* )
*, *
Answer 2: Cross-View Analysis
Some questions are asked to
the OS on the host system
Answer 1: Move at lower level
Answer 3: Differential approach *
Then, the system is rebooted
to a secure read-only OS
*
Statically compiled tools: directly review kernel mem & HW*, *
Booting from a safe medium
DKOM: Thread analysis, direct
heuristic memory searching
Network-based detection, also
using an external gateway
Typically located on a CD
.. same questions are asked,
look for differences (e.g., time)
Answer 4: Secure Logging *
Case: Sleuthkit
*
Rootkits
Detection
(Arnold, 2011) *
*
*
Rootkits
Detection
(Arnold, 2011) *
Rootkits
Challenges (Shields , 2008)*
Challenges
Migrate detection software to
lower (-st) abstraction level
How to trust the core of OS
Εφαρμογή
Χρήστη
Anything in the kernel can be a
target of kernel-level rootkits
Kernel-level & VM rootkits
always difficult to detect
What about firmware-level
rootkits *, *
Rootkit
Λειτουργικό
Σύστημα
http://www.inacom.com/resources/security/symantec.ppt
Δούρειοι Ίπποι (Trojan Horses)
Κακόβουλο λογισμικό, ενσωματωμένο σε
φαινομενικά «ακίνδυνο» (benign) λογισμικό
… που όμως «κρύβει» ανεπιθύμητες παρενέργειες
π.χ. Screensaver, freeware-shareware, games,…
Adware, Browser Hijackers…
Spyware, Keyloggers, dialers, bots, downloaders,
rootkits, back doors
Διαφορά με ιούς
Τα trojans συνήθως δεν έχουν μηχανισμούς αναπαραγωγής & μετάδοσης
Ωστόσο συχνά αναφέρονται-αντιμετωπίζονται ως ιοί
Trojans - Backdoors
Αρχική μόλυνση
Τρόπος Α: το «φορτίο»
περιέχεται σε ένα χρήσιμο
πρόγραμμα
Τρόπος Β: Οι χρήστες
εξαπατώνται νομίζοντας ότι
είναι το εν λόγω πρόγραμμα
είναι χρήσιμο, και το εκτελούν
http://cse.stanford.edu/class/sophomore-college/projects-01/distributed-computing/assets/images/trojan-horse.gif
Λειτουργικότητα
Τα Trojans συχνά περιλαμβάνουν μηχανισμούς διατήρησης της πρόσβασης
Backdoors
Περιπτώσεις
Tini
Netbus, Netcat
Back Orifice 2000,
Subseven
Trojan Horses
Back Orifice 2000
♪
Trojan Horses
SubSeven ♪
Trojan Horses
Wrappers
Wrappers
SW που αναλαμβάνει να συνενώσει
τον κακόβουλο κώδικα με ένα
χρήσιμο πρόγραμμα (π.χ. παιχνίδι
Στο θύμα, το αρχείο εκτελείται ως
δύο processes (μια «κρυφή» και μια
«φανερή» εφαρμογή)
Γνωστοί και ως
http://www.informit.com/articles/article.asp?p=102181&seqNum=2&rl=1
wrappers, binders, packers
Εργαλεία
One file exe maker
Yet another binder (YAB)
Διατήρηση της Πρόσβασης (Backdoors) (Kozyrakis, 2009)
1.
Δαίμονας telnet ή κέλυφος
συνδεδεμένο με θύρα TCP
2.
3.
π.χ. χρησιμοποιώντας το
εργαλείο Netcat
Δαίμονας SSH συνδεδεμένος
με θύρα TCP
To θύμα είναι διακομιστής Web
Ανάποδο Κέλυφος
(reverse shell)
5.
Μυστικότητα &
αυθεντικοποίηση
Κέλυφος CGI ή PHP
4.
Το σύστημα συνδέεται πίσω
στον εισβολέα
Ανάποδο κέλυφος με συρράγωση (reverse tunneled shell)
6.
*
Παράκαμψη firewall όταν έστω
μία θύρα είναι ενεργοποιημένη!
Κερκόπορτα βασισμένη σε παρακολούθηση πακέτων δικτύου
Παρακολούθηση & ενεργοποίηση με το «κατάλληλο» πακέτο
Backdoors
Netcat ♪
VICTIM
Backdoors
Reverse shell
Επίθεση trojan μέσω HTTP
To trojan ανοίγει ανά τακτά
χρονικά διαστήματα συνδέσεις
στο port 80 του server (hacker)
Παράκαμψη firewall
O server «απαντά» με την
εντολή που θέλει να εκτελεστεί
Η επίθεση είναι γνωστή και ως
HTTP reverse shell
Άλλα Θέματα
Τεχνικές απόκρυψης –
Stealth
Παράδειγμα ιού stealth
1.
O ιός παραμένει ενεργός στη μνήμη (memory resident)
2.
Μολύνει όσα προγράμματα τροποποιούν τον κώδικα τους κατόπιν μιας καθ’
όλα νόμιμης εντολής του χρήστη ή του προγράμματος
π.χ. λήψη και εγκατάσταση μιας επιδιόρθωσης (patch)
Κατ’ αυτόν τον τρόπο ο ιός «ξεγελάει» τα προγράμματα anti-virus που
εκτελούν έλεγχο ακεραιότητας (integrity checking)
Ειδική περίπτωση: ΡΕΤΡΟ- ΙΟΙ (retrovirus)
Ιοί που επιτίθενται σε προγράμματα antivirus, προσπαθώντας να τα
απενεργοποιήσουν ή να τα υπονομεύσουν
Αλλαγή αρχείου \etc\hosts για την παρεμπόδιση της ενημέρωσης
Τερματισμός σχετικού process (π.χ. navapw32.exe, vsmon.exe) &κατάργηση από
τη λίστα αρχείων αυτόματης εκκίνησης από το Μητρώο
Τεχνικές Απόκρυψης
Πολυμορφικοί Ιοί (polymorphic, self-mutating)
Ο ιός δημιουργεί αντίγραφα του εαυτού του, τα οποία διαφέρουν
… με ωστόσο τα ίδια καταστροφικά αποτελέσματα
1.
Ο ιός κρυπτογραφεί τον εαυτό του με ένα κλειδί που αλλάζει
Εναλλακτικά: συμπίεση (compression)
2.
O ιός εισάγει «θόρυβο» (noise) στα αντίγραφα του, π.χ. αλλάζοντας
τη σειρά των εντολών ή εισάγοντας στον κώδικα άσκοπες εντολές
3.
Τεχνικές μετάλλαξης ιών (virus mutation techniques)
Mutation Engines ή polymorphic engines
Μελέτη περίπτωσης: Whale virus
Παράδειγμα Πολυμορφικής Συμπεριφοράς- 1
http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt
Παράδειγμα Πολυμορφικής Συμπεριφοράς - 2
http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt
Παράδειγμα Πολυμορφικής Συμπεριφοράς - 3
http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt
Παράδειγμα Πολυμορφικής Συμπεριφοράς - 4
http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt
Λογισμικό Spyware
Παρακολούθηση συμπεριφοράς χρήστη
ή υποκλοπή προσ. δεδομένων
Προσωπικά στοιχεία, Usernames,
Passwords, TAN, κλειδιά,
Aριθμοί πιστωτικής κάρτας,
λεπτομέρειες συναλλαγών
Σχόλιο: Συσχέτιση ή συνεργασία
Spyware & Adware
Περίπτωση: καταγραφή αγοραστικής
συμπεριφοράς χρήστη και αποστολή
στοιχείων σε εταιρίες (tracking
companies), που με τη σειρά τους
προωθούν την πληροφορία σε
διαφημιστές ή παροχείς υπηρεσιών
Σχετιζόμενα Εργαλεία:
keyloggers, sniffers, cookies
http://www.codeproject.com/system/KeyLogger.asp?df=100&forumid=177768&exp=0&select=1425820
Τρόποι Μόλυνσης
Το λογισμικό spyware είναι το
φορτίο (payload) ενός trojan
Εγκατάσταση ως συνέπεια μιας
επίθεσης phishing, π.χ. εκτέλεση
συνημμένου ή επιλογή συνδέσμου
που παραπέμπει σε site με
κακόβουλο ενεργό κώδικα
Εγκατάσταση κατά την πλοήγηση στο
Web (π.χ. ActiveX)
Λογισμικό Spyware
German Law Enforcement to Use
Custom Malware.
(27 February 2007)
German law enforcement agencies are
pushing for a legal basis to be able
to use malware and spyware in
investigations. The malware will be
used to "bug" suspect's computers. In
addition to collecting information from
the computer itself, cameras and
microphones connected to these
computers could be used to monitor
conversations.
http://www.theregister.com/2007/02/27/
german_state_hackers/
--Proposed Swedish Wiretapping Law Met
with Criticism
(March 7 & 8, 2007)
Proposed legislation in Sweden would give
the National Defense Radio Establishment
(FRA) the power to tap cross-border Internet
traffic and phone calls without a court
order. Current law allows FRA to monitor
military radio communications; police may
monitor communications only if they believe
there is a crime being committed and they
obtain a court order. The law would allow
FRA to use data mining software to ferret out
communications containing keywords.
Communications within Sweden would be
unaffected by the law. If the law is approved,
it would go into effect on July 1.
http://www.thelocal.se/6619/20070307/
Λογισμικό Adware
Λογισμικό που μπορεί να
σχετίζεται με:
1.
Ζητηθείσα διαφήμιση
Συγκατάθεση του χρήστη (π.χ.
κατά την εγκατάσταση δωρεάν
λογισμικού)
2.
Μη ζητηθείσα διαφήμιση
Χωρίς τη συγκατάθεση του
χρήστη
Π.χ. παράθυρα Pop-up κατά
την περιήγηση στο Web
Τρόποι Μόλυνσης
Παρόμοιοι με τα προγράμματα
τύπου spyware
Επιπλέον: Αυτόματη
εγκατάσταση ως πρόσθετο στο
πρόγραμμα περιήγησης
Περίπτωση: Browser Helper
Objects στον Internet
Explorer
Spyware - Adware
http://en.wikipedia.org/wiki/Image:Benedelman-spyware-blogspot-2a.png
Λογισμικό Adware
The AP recently ran a story about a substitute
teacher who was convicted of exposing students
to pornography. Her contention that it was
inadvertent because she couldn't keep up with
pop-ups seems plausible, but the equally nontech-savvy jury didn't buy it (despite the fact that
the prosecution never even made a reasonable
case by checking for spyware). What seems
particularly Kafka-esque is the potential 40-year
sentence she faces.
http://www.courant.com/news/local/statewire/hc14013002.apds.m0230.bc-ct-teacfeb14,0,7509985.story
Hoax - Φάρσες
Subject: FW: VIRUS
IMPORTANT, URGENT - ALL SEEING EYE VIRUS! PASS THIS ON TO ANYONE
YOU HAVE AN E-MAIL ADDRESS FOR. If you receive an email titled "We Are
Watching You!" DO NOT OPEN IT! It will erase everything on your hard drive. This
information was announced yesterday morning from IBM, FBI and Microsoft states
that this is a very dangerous and malicious virus, much worse than the "I Love You,"
virus and that there is NO remedy for it at this time.
Some very sick individual has succeeded in using the reformat function from Norton
Utilities causing it to completely erase all documents on the hard drive. It has been
designed to work with Netscape Navigator and Microsoft Internet Explorer. It
destroys Macintosh and IBM compatible computers. This is a new, very malicious virus
and not many people on your address book will know about it. Pass this warning along to
EVERYONE in it and please share it with all your online friendsASAP so that this
threat may be stopped.
Προστασία από Κακόβουλο λογισμικό
Άλλα θέματα
Εκπαίδευση – Ενημέρωση των χρηστών
Κοινή λογική (Common Sense)
Ποιόν εμπιστευόμαστε;
Είναι ασφαλές το λογισμικό που «κατεβάζουμε» από το Internet;
Εμπιστεύομαι το αρχείο που έχει επισυναφθεί στο e-mail;
Οργανισμοί για την ασφάλεια και προστασία από κακόβουλο
λογισμικό
CERT (Computer Emergency Response Team)
OECD (Organisation for Economic Co-operation and Development)
…
Πολιτικές Ασφάλειας
1.
Εγκατάσταση και λειτουργία ενός Προσωπικού Firewall
2.
Λήψη Ενημερώσεων Ασφάλειας και Επιδιορθώσεων
3.
Εγκατάσταση και λειτουργία (στο παρασκήνιο) προγράμματος Anitvirus
4.
Περιοδικός Έλεγχος με τη χρήση προγραμμάτων AntiRootkit,
Antispyware
5.
Ρυθμίσεις Ασφάλειας στα προγράμματα περιήγησης στο web,
ηλεκτρονικής αλληλογραφίας και εφαρμογών γραφείου
6.
Εκτέλεση με ελάχιστα προνόμια (π.χ. σύνδεση στο Internet ως χρήστης
χαμηλών δικαιωμάτων)
7.
Δυσπιστία κατά τη λήψη συνημμένων ή/και επίσκεψη δικτυακών σελίδων
8.
Φυσική ασφάλεια στο χώρο λειτουργίας του Η/Υ
Κακόβουλο Λογισμικό: Κίνητρα και Αιτίες…
Κίνητρα
Διασκέδαση, Περιέργεια, Μίσος, εκδίκηση, ακτιβισμός,…
Χρήμα, Βιομηχανική κατασκοπία
Φήμη-Δόξα (Κοινωνίες Hakers)
Αιτίες
Ανεπαρκής Έλεγχος Πρόσβασης στα σύγχρονα Λ.Σ
Απροσεξία χρηστών, Ελλιπής εκπαίδευση
Π.χ. εφαρμογή που εκτελείται με δικαιώματα administrator
Π.χ. επιθέσεις κοινωνικής μηχανικής
Σχεδίαση εφαρμογών και Λ.Σ. χωρίς έμφαση στην ασφάλεια
Ασφάλεια: ένα χαρακτηριστικό που προστίθεται στην πορεία…
Μύθοι και Πραγματικότητα…
Μύθος 1
Αλήθειες 2
Στόχος είναι τα
προγράμματα της XXX διότι
είναι τα πλέον δημοφιλή…
Μύθος 2
Τα κινητά τηλέφωνα είναι
πιο ασφαλή…
Τα τηλέφωνα γίνονται ολοένα και πιο
«έξυπνα», και οι συνδέσεις πιο γρήγορες
Αλήθεια 1
Στόχος είναι τα
προγράμματα της ΧΧΧ διότι
είναι περισσότερο ευπαθή…
Οι ιοί κινητών τηλεφώνων σήμερα
μοιάζουν με τους ιούς τα πρώτα χρόνια
του Internet
Διαβλέπετε τις προοπτικές;
Hobbyist, amateurs
Σε αντίθεση με τους Η/Υ, τα κινητά
έχουν ενσωματωμένο σύστημα χρέωσης !!!
Φαντάζεστε ένα worm-dialer σε
συσκευές κινητής τηλεφωνίας
Μέλλον: Botnets από κινητά (?)
Συμπεράσματα
«Three basic things allow viruses to spread: sharing,
programming, and changes. All we have to do is eliminate those
three things and we will be perfectly free of viruses.»
Fred Cohen, Short Course on Computer Viruses, 2nd Edition
«There is no such thing as absolute security. Whether a host is
penetrated depends on the time, money and risk that an
attacker is willing to spend, compared with the time, money,
and diligence we are willing to commit to defending a host»
Cheswick et al. 2003