Μοντελοποίηση Ταχέως Εξαπλούµενου Κακόβουλου Λογισµικού σε Μεγάλης Κλίµακας ίκτυα

Transcript

1 Μοντελοποίηση Ταχέως Εξαπλούµενου Κακόβουλου Λογισµικού σε Μεγάλης Κλίµακας ίκτυα Υπ. ιδάκτορας: Βασίλης Βλάχος ) Επιβλέπων Καθηγητής: Επ. Καθ.. Σπινέλλης Τµήµα ιοικητής Επιστήµης & Τεχνολογίας Οικονοµικό Πανεπιστήµιο Αθηνών Ηµερίδα Ερευνητικών ραστηριοτήτων.ε.τ Α Συνεδρία,

2 Περιεχόµενα Παρουσίασης Ιστορική ανασκόπηση Ταχέως Εξαπλούµενο Κακόβουλο Λογισµικό (Rapid Spread Malcode) Προτεινόµενη Έρευνα (Research Gap) Ερευνητική Μεθοδολογία Ερευνητικοί Στόχοι

3 Ιστορική ανασκόπηση (1/2) Μη ύπαρξη ευρείας κλίµακας δικτύων. Καµία απολύτως δραστηριότητα κακόβουλου λογισµικού Έως το 1970 Λειτουργία του Internet για στρατιωτικούς κυριώς σκοπούς. Εµφάνιση των πρώτων υπολογιστικών ιών (X mmas Tree) Έως το 1980 Χρησιµοποίηση του Internet και για εκπαιδευτικούς σκοπούς. Θεωρητική τεκµηρίωση του προβλήµατος του κακόβουλου λογισµικού (F. Cohen 1984). Πρώτη εµφάνιση ταχέως εξαπλώµενου κακόβουλου λογισµικού (The Internet worm 1988) Έως το 1990 Χρησιµοποίηση του Internet και για επιχειρηµατικούς, ψυχαγωγικούς σκοπούς. Αύξηση του αριθµού των κακόβουλων εφαρµογών και της πολυπλοκότητας τους καθώς και ανάπτυξη νέων τεχνικών από τους συγγραφείς κακόβουλου λογισµικού (κρυπτογράφηση, πολυµορφισµός) Έως το 2000 Όλες οι κρίσιµες υποδοµές (νοσοκοµεία, τράπεζες, αεροδρόµια κλπ) εξαρτώνται και από το Internet

4 Ιστορική ανασκόπηση (2/2) Συµβατικός τρόπος αντιµετώπισης κακόβουλου λογισµικού: 1. Εντοπισµός ύποπτου λογισµικού 2. Συλλογή ύποπτου λογισµικού 3. Ανάλυση ύποπτου λογισµικού 4. Εξαγωγή υπογραφής κακόβουλου λογισµικού 5. Έλεγχος εγκυρότητας της υπογραφής 6. Ενηµέρωση προγραµµάτων προστασίας (Firewalls, Intrusion Detection Systems, Anti-Virus)

5 Ταχέως εξαπλούµενο κακόβουλο λογισµικό (1/6 ) Θεωρητική προσέγγιση* Εµπειρικά αποτελέσµατα Hit-list scanning Permutation scanning Topological scanning Random scanning Warhol worms <15 Flash worms <1 Code Red (12/07/2001) Code Red v2 (19/07/2001) Code Red II (04/08/2001) Nimda (18/09/2001) Saphire/Slammer(25/01/2003) *Vern Paxson, Stuart Staniford, and Nicholas Weaver, How to 0wn the Internet in Your Spare Time, Proceedings of the 11th USENIX Security Symposium (Security '02)

6 Ταχέως εξαπλούµενο κακόβουλο λογισµικό (2/6 ) Code Red v1 Εξαπέλυσε DDOS επίθεση κατά του δικτυακού τόπου του Λευκού Οίκου Λόγω προβλήµατος στην γεννήτρια ψευδοτυχαίων αριθµών εξαπλώθηκε περιορισµένα Code Red v2 Προσέβαλε συστήµατα σε 14 ώρες Μέγιστος ρυθµός επιτυχούς προσβολής στόχων 2000 συστήµατα ανά Ρυθµός ανίχνευσης νέων στόχων από κάποιο προσβεβληµένο σύστηµα είναι 11 ανιχνεύσεις (probes) ανά Μη καταστροφικό φορτίο Ο µολυσµένος πληθυσµός διπλασιάζεται κάθε 37

7 Ταχέως εξαπλούµενο κακόβουλο λογισµικό (3/6 )

8 Ταχέως εξαπλούµενο κακόβουλο λογισµικό (4/ 6) Nimda Προσβάλει εξυπηρετητές δικτύου (web servers) Εξαπλώνεται µέσω ηλεκτρονικού ταχυδροµείου Χρησιµοποιεί κοινόχρηστα δίκτυα (network shares) Τοποθετεί κακόβουλο κώδικα στις σελίδες των εξυπηρετητών που έχει προσβάλλει Χρησιµοποιεί κερκόπορτες άλλων εφαρµογών (Code Red)

9 Ταχέως εξαπλούµενο κακόβουλο λογισµικό (5/ 6) Saphire/Slammer Τα περισσότερα ευπαθή συστήµατα (90%) µολύνθηκαν τα πρώτα 10 από την εµφάνιση του worm Ο µολυσµένος πληθυσµός διπλασιάζεται κάθε 8.5 Μέγιστος ρυθµός ανιχνεύσεων (scans) ανά και 4000 ανά ανά worm Τουλάχιστον συστήµατα µολύνθηκαν ακυρώνοντας πτήσεις, διακόπτοντας την λειτουργία ATM και τµηµάτων του Internet. εν µετέφερε καταστροφικό φορτίο

10 Ταχέως εξαπλούµενο κακόβουλο λογισµικό (6/6 )

11 Προτεινόµενη Έρευνα Συµπέρασµα: Oαναµενόµενος χρόνος απόκρισης καθώς και οι διαθέσιµοι πόροι σε αυτού του είδους τις επιθέσεις δεν είναι σε καµία περίπτωση επαρκείς για την αντιµετώπιση τους µε συµβατικούς τρόπους Ερώτηµα: Ποιες εναλλακτικές στρατηγικές αντίδρασης µπορούν να καταστούν αποτελεσµατικές σε επιθέσεις ταχέως εξαπλούµενου κακόβουλου λογισµικού?

12 Προτεινόµενη Έρευνα Βέλτιστος τοπολογικός σχεδιασµός και θωράκιση κρίσιµων δικτυακών υποδοµών C. Wang, J.C. Knight, M. Elder, On Viral Propagation and the Effect of Immunization, Ιn Proceedings of the Annual Computer Security Applications Conference (ACSAC), New Orleans, Louisiana, USA Βέλτιστη στρατηγική ενηµέρωσης προγραµµάτων προστασίας (Firewalls, Intrusion Detection Systems, Anti- virus) και εφαρµογής διορθωτικού κώδικα (patching) Jeffrey O. Kephart, Gregory B. Sorkin, Morton Swimmer, and Steve R. White, Blueprint for a Computer Immune System, Ιn Proceedings of the Virus Bulletin International Conference in San Francisco, California, October 1-3, 1997 Ταχύς εντοπισµός των πηγών προέλευσης των επιθέσεων και περιορισµού τους David Moore, Colleen Shannon, Geoffrey Voelker and Stefan Savage, Internet Quarantine: Requirements for Containing Self-Propagating Code, Ιn Proceedings of the 2003 IEEE Infocom Conference, San Francisco, CA, April 2003

13 Προτεινόµενη Έρευνα Πρόβλεψη της εξάπλωσης κακόβουλου λογισµικού και αξιολόγηση του κίνδυνου της εκάστοτε απειλής Συνεργατικές στρατηγικές για την αντιµετώπιση του κακόβουλου λογισµικού D. Nojiri and J. Rowe and K.Levitt, Cooperative Response Strategies for Large Scale Attack Mitigation, Ιn Proceedings of the 3rd DARPA Information Survivability Conference and Exposition (DISCEX-III 2003), Washington DC April 2003 Vasilis Vlachos and Stefanos Androutsellis-Theotokis and Diomidis Spinellis, Security Applications of Peer-to-Peer Networks, submitted to Elsevier Computer Networks Journal

14 Ερευνητική µεθοδολογία (1/3 ) Μαθηµατική Επιδηµιολογία: Βέλτιστες στρατηγικές εµβολιασµού (Bernoulli 1760) Εντοπισµός πρωτογενών αιτιών επιδηµιών (Snow 1854) Περιγραφή της εξάπλωσης λοιµωδών νοσηµάτων (Kermack και McKendrick 1927)

15 Ερευνητική µεθοδολογία (2/3 ) S I dy dt y( t) = = βχy = βy( N y) y o y o + ( N N y o ) e βnt Όλος ο πληθυσµός τελικά καθίσταται µολυσµένος dy dt S I R = βxy γy dx dt = βxy dz dt = γy Το ποσοστό του πληθυσµού που θα µολυνθεί εξαρτάται από το επιδηµικό όριο (epidemic threshold) Αλλά και SIS, MSEIR, MSEIRS, SEIR, SEIRS, SIR, SIRS

16 Ερευνητική µεθοδολογία (3/3 ) Θεωρητική προσέγγιση: Μαθηµατικά επιδηµιολογικά µοντέλα Προσοµοιώσεις Πρακτική προσέγγιση: Οµότιµα (Peer-to-Peer) ίκτυα Vasilis Vlachos and Stefanos Androutsellis-Theotokis and Diomidis Spinellis, Security Applications of Peer-to-Peer Networks, submitted to Elsevier Computer Networks Journal ικτυακά Τηλεσκόπια (Network Telescopes) David Moore, Network Telescopes: Observing Small or Distant Security Events, Invited presentation at the 11th USENIX Security Symposium. HoneyNets (

17 Ερευνητικοί Στόχοι Ερευνητικοί στόχοι διδακτορικής διατριβής: 1. ιερεύνηση της αποτελεσµατικότητας υπαρχόντων µαθηµατικών επιδηµιολογικών µοντέλων κατά την εφαρµογή τους στην εξάπλωση του κακόβουλου λογισµικού (Σε εξέλιξη) 2. Βελτίωση και τροποποίηση υπαρχόντων µοντέλων για την καλύτερη εφαρµογή τους σε κακόβουλο λογισµικό (Από 04/2004) 3. Χρησιµοποίηση µαθηµατικών επιδηµιολογικών µοντέλων που θα προκύψουν από την διδακτορική διατριβή για την προστασία και αντιµετώπιση του κακόβουλου λογισµικού (Από 11/2003) 4. Ανάπτυξη συνεργατικών στρατηγικών βασισµένων σε επιδηµιολογικά µοντέλα (Σε εξέλιξη)