Κακοβουλο Λογισμικο & Επιθέσεις. Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Transcript

1 Κακοβουλο Λογισμικο & Επιθέσεις Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων

2 Περίληψη Inside Intruders Code Bugs Malware

3 Inside Intruders Logic Bombs Job protection Time bombs (virus) Trap Door System programmer Code review

4 Inside Intruders Login Spoofing Pubic computers (ex. university!) Fake login interface Special login sequence start (ex. CTRL-ALT- DEL). Logs out last user

5 Code Bugs

6 Code Bugs Buffer Overflow Format string attacks Return to libc attack Code Injection Privilege Escalation OS specific

7 Buffer overflow C language programming No array bounds checking Example int i; char c[1024]; i=120000; c[i]=0;

8 Buffer overflow

9 Buffer overflow Too many programs use C language Detecting: Test for very long file names Unexpected core dump Usually it is too late..

10 Format String Attack The lazy attack Example char *s= Hello World ; printf( %s,s); The lazy programmer char *s= Hello World ; printf(s);

11 Format String Attack Another programmer comes to the scene.. char s[100],g[100]= Hello ; gets(s); strcat(g,s); printf(g); Several string formats %d,%s,%n

12 Format String Attack

13 Integer overflow Adding or multiplying result bigger than max C cannot detect that Example: 16-bit 40000x40000=4096

14 Code Injection Example copy a file to another using a system call

15 Code Injection Three cases Good: cp abc xyz Bad: cp abc xyz;rm rf/ Ungly: Cp abc xyz; mail

16 Κακόβουλο Λογισμικό

17 Η έννοια του Κακόβουλου Λογισμικού Το Λογισμικό διαθέτει βούληση; Το Λογισμικό χαρακτηρίζεται με βάση την πρόθεση του προγραμματιστή; Παράδειγμα 1: Προγραμματιστής παράγει λογισμικό με επιβλαβείς συνέπειες έχοντας γνώση των πράξεών του (δόλιοι σκοποί) Παράδειγμα 2: Προγραμματιστής παράγει λογισμικό με επιβλαβείς συνέπειες μη έχοντας γνώση των πράξεών του. Ενδεχόμενη άγνοια όσον αφορά στον τρόπο παραγωγής ασφαλούς λογισμικού.

18 Εννοιολογική θεμελίωση Κακόβουλο Λογισμικό: το λογισμικό που περιέχει τις απαιτούμενες εντολές για μία επίθεση σε ένα υπολογιστικό σύστημα. επίθεση: η παραβίαση (ή η απόπειρα παραβίασης) της εμπιστευτικότητας, ακεραιότητας ή διαθεσιμότητας του συστήματος.

19 Κριτήρια κατηγοριοποίησης 1) Αυτονομία ύπαρξη ανάγκης (ή μη) για λογισμικό-ξενιστή 2) Αναπαραγωγή δυνατότητα αυτό-αναπαραγωγής (ή μη), όταν οι συνθήκες το επιτρέπουν

20 Κατηγοριοποίηση Κακόβουλο Λογισμικό Απαιτεί ξενιστή Δεν απαιτεί ξενιστή Κερκόπορτες Λογικές Βόμβες Δούρειοι Ίπποι Ιοί Βακτήρια Αναπαραγωγοί Rootkits Βots zombies Κατασκοπευ τικό λογισμικό Δεν αναπαράγονται Αναπαράγονται

21 Είδη Κακόβουλου Λογισμικού Μόνιμη ζημιά στο σύστημα Μηχανισμός αναπαραγωγής Επεισόδια μεγάλης κλίμακας Ιομορφικό Κακόβουλο Λογισμικό Χαμηλή πιθανότητα Αναπαραγωγή χωρίς ανθρώπινη παρέμβαση Υψηλή πιθανότητα Μη Ιομορφικό Κακόβουλο Λογισμικό Υψηλή πιθανότητα Αναπαραγωγή με ανθρώπινη παρέμβαση Χαμηλή πιθανότητα, με εξαιρέσεις Δυσκολία εντοπισμού Χαμηλή Υψηλή Στοχευμένη απόπειρα επίθεσης Χαμηλή πιθανότητα Υψηλή πιθανότητα

22 ΙΟΜΟΡΦΙΚΟ ΛΟΓΙςΜΙΚΟ

23 Ιομορφικό Λογισμικό Ιός: τμήμα λογισμικού που: ενσωματώνει τον κώδικά του σε ένα πρόγραμμα ξενιστή, αναπαράγεται με την αντιγραφή του εαυτού του σε άλλα προγράμματα ξενιστές και εκτελείται στο παρασκήνιο.

24 Ιομορφικό Λογισμικό: Κύκλος ζωής Φάση επώασης ο ιός παραμένει ανενεργός στο υπολογιστικό σύστημα και ενεργοποιείται από κάποιο γεγονός (π.χ. έλευση χρονικής στιγμής, παρουσία κάποιου αρχείου) Φάση αναπαραγωγής δημιουργία αντιγράφων και ενδεχόμενη ενσωμάτωση σε ξενιστές Φάση ενεργοποίησης και εκτέλεσης εκτέλεση σειράς ενεργειών (payload) με πιθανές επιβλαβείς συνέπειες για το υπολογιστικό σύστημα που φιλοξενεί το ιομορφικό λογισμικό

25 Ιομορφικό Λογισμικό: Βασικές υπορουτίνες Υπορουτίνα αναζήτησης αναζήτηση νέων ξενιστών Υπορουτίνα αντιγραφής δημιουργία αντιγράφου του ιού και ενσωμάτωση σε νέο ξενιστή Υπορουτίνα κατά του εντοπισμού Παραμετροποίηση τρόπου λειτουργίας υπορουτίνας αναζήτησης και υπορουτίνας αντιγραφής, με σκοπό την αποφυγή εντοπισμού του ιού από αντιβιοτικό λογισμικό

26 Είδη Ιομορφικού Λογισμικού Ιοί Τομέα Εκκίνησης Παρασιτικοί Ιοί Πολυμερείς Ιοί Ιοί Διαμένοντες στην Κύρια Μνήμη Κρυφοί Ιοί Κρυπτογραφημένοι ιοί Πολυμορφικοί ιοί Ρετρο-Ιοί Ιοί που διαγράφουν τμήμα του ξενιστή Μακρο-Ιοί

27 Ιοί Τομέα Εκκίνησης Τομέας Εκκίνησης (Boot Sector): Ο τομέας του δίσκου που χρησιμοποιείται για την εκκίνηση του λειτουργικού συστήματος Ο εκτελέσιμος κώδικας που περιέχεται στον τομέα εκκίνησης εκτελείται μόλις το υπολογιστικό σύστημα εντοπίσει την ύπαρξη δίσκου σε κάθε εκκίνηση του συστήματος Οι ιοί τομέα εκκίνησης Εγκαθίστανται στον τομέα εκκίνησης αντικαθιστώντας τις υπάρχουσες ρουτίνες, τις οποίες τοποθετούν σε άλλο τμήμα του δίσκου και τις καλούν αφού εκτελεστούν οι ίδιοι πρώτα.

28 Παρασιτικοί Ιοί Ένας παρασιτικός ιός προσαρτάται σε ένα εκτελέσιμο πρόγραμμα και μολύνει άλλα προγράμματα Το μέγεθος του εκτελέσιμου αρχείου αυξάνεται Η θέση του ιού μέσα στον κώδικα του εκτελέσιμου αρχείου μπορεί να είναι: Στην αρχή του εκτελέσιμου αρχείου (Βλ. Σχήμα) Στο τέλος του εκτελέσιμου αρχείου Στη μέση του εκτελέσιμου αρχείου

29 Παρασιτικοί Ιοί

30 Πολυμερείς ιοί Οι πολυμερείς ιοί (multipartite viruses) είναι ιοί που έχουν δύο τμήματα: Όταν μολύνουν ένα εκτελέσιμο αρχείο ενεργούν ως Παρασιτικοί Ιοί Όταν μολύνουν έναν τομέα εκκίνησης ενεργούν ως Ιοί Τομέα Εκκίνησης Παράδειγμα: Ghostball (1989) ο οποίος προκαλούσε μόλυνση σε αρχεία.com και σε τομείς εκκίνησης.

31 Ιοί Διαμένοντες στην Κύρια Μνήμη Οι Ιοί Διαμένοντες στην Κύρια Μνήμη (resident viruses) μετά την εκτέλεση του ξενιστή (εκτελέσιμο πρόγραμμα ή τομέας εκκίνησης δίσκου) αποκολλώνται από τον ξενιστή και τοποθετούνται στην Κύρια Μνήμη μέχρι τον τερματισμό της λειτουργίας του υπολογιστικού συστήματος Σκοπός της παραμονής τους στην κύρια μνήμη: Αποκτούν έλεγχο του συστήματος προσθέτοντας τον εκτελέσιμο κώδικά τους στον κώδικα συχνά εκτελούμενων διακοπών λογισμικού Μολύνουν άλλους ξενιστές

32 Κρυφοί ιοί (1/2) Οι κρυφοί ιοί (stealth viruses) αποκρύπτουν τη μόλυνση των αρχείων Κάθε ιός κάνει αλλαγές στα αρχεία ή τομείς εκκίνησης που προσβάλλει Τα αντιβιοτικά προγράμματα τηρούν μητρώο με αθροίσματα ελέγχου των αρχείων για ανίχνευση ιών Οι κρυφοί ιοί αποκτούν έλεγχο των κλήσεων συστήματος που αφορούν στην πρόσβαση σε αρχεία.

33 Κρυφοί ιοί (2/2) Όταν ένα πρόγραμμα ζητήσει, μέσω κλήσης συστήματος, για ένα μολυσμένο αρχείο: Τις ιδιότητες: ο κρυφός ιός επιστρέφει τις ιδιότητες του αρχείου πριν μολυνθεί Την ανάγνωση: ο κρυφός ιός επιστρέφει τα δεδομένα του αρχείου πριν μολυνθεί Την εκτέλεση του αρχείου: ο κρυφός ιός εκτελεί το μολυσμένο αρχείο Παράδειγμα: Natas virus(1994). Γνωστός από προβλήματα δικτύου που προκάλεσε στην Κεντρική Υπηρεσία Πληροφοριών των Ηνωμένων Πολιτειών

34 Κρυπτογραφημένοι ιοί Ένας κρυπτογραφημένος ιός (encrypted virus) κρυπτογραφεί όλο το τμήμα του κώδικά του εκτός από μία μικρή ρουτίνα αποκρυπτογράφησης Αποφεύγει την ανίχνευση από αντιβιοτικά προγράμματα που προσπαθούν να ανιχνεύσουν ιούς συγκρίνοντας τον κώδικα του αρχείου που ελέγχουν με ακολουθίες κώδικα ήδη ταυτοποιημένων ιών. Παράδειγμα: Cascade, W95/Mad και W95/Zombie

35 Κρυπτογραφημένοι ιοί

36 Πολυμορφικοί ιοί Τα αντιβιοτικά προγράμματα μπορούν να ανιχνεύσουν ένα κρυπτογραφημένο ιό ελέγχοντας ένα αρχείο σε σχέση με ταυτοποιημένες ρουτίνες αποκρυπτογράφησης. Οι πολυμορφικοί ιοί (polymorphic viruses) μεταβάλουν τη μορφή τους κάθε φορά που προσβάλουν ένα αρχείο. Αποτελούνται από κρυπτογραφημένους ιούς που μεταβάλουν τη ρουτίνα αποκρυπτογράφησης, με εισαγωγή εντολών που δεν επηρεάζουν την αποκρυπτογράφηση, μετά από κάθε προσβολή αρχείου. Παράδειγμα: Virut, W32.Zelly

37 Πολυμορφικοί ιοί

38 Ρετρο-ιοί (1/2) Οι ρετρο-ιοί (retro-virus ή antivirus virus) προσπαθούν να ανιχνεύσουν την ύπαρξη αντιβιοτικών προγραμμάτων και να τα καταστήσουν αναποτελεσματικά. Εκμεταλλεύονται συγκεκριμένες στιγμές κατά τις οποίες τα αντιβιοτικά προγράμματα είναι «ευάλωτα» (π.χ. κατά την ενημέρωσή τους).

39 Ρετρο-ιοί (2/2) Η ονομασία τους αντανακλά την ομοιότητά τους με βιολογικούς ιούς που μολύνουν τα κύτταρα ενός οργανισμού, ενσωματώνοντας το γενετικό τους υλικό σε αυτά και τα χρησιμοποιούν για τον πολλαπλασιασμό τους. Παραδείγματα: Cybertech, Firefly, Goldbug

40 Ιοί που διαγράφουν τμήμα του ξενιστή Συνήθως οι ιοί διατηρούν την αρχική λειτουργικότητα των εκτελέσιμων αρχείων που προσβάλουν για να μην γίνουν αντιληπτοί Οι Ιοί που διαγράφουν τμήμα του ξενιστή (overwriters) ή όλα τα περιεχόμενα του ξενιστή Αυτό τους καθιστά ιδιαίτερα ανιχνεύσιμους. Παράδειγμα: Grog.202/456, Loveletter

41 Μακρο-ιοί (1/2) Οι μακρο-ιοί αποτελούνται από ακολουθία εντολών η οποία διερμηνεύεται αντί να εκτελείται Οι προηγούμενοι ιοί χρησιμοποιούν ως ξενιστές εκτελέσιμα αρχεία. Οι μακρο-ιοί εκμεταλλεύονται προγράμματα (όπως Microsoft Office) που επιτρέπουν στο χρήστη την αποθήκευση εντολών (μακροεντολές) σε αρχεία δεδομένων. Οι μακροεντολές αυτοματοποιούν πολύπλοκες και επαναλαμβανόμενες εργασίες.

42 Μακρο-ιοί (2/2) Οι μακροεντολές ενεργοποιούνται είτε με παρέμβαση του χρήστη ή με την έλευση κάποιου γεγονότος (π.χ. άνοιγμα του αρχείου) Όταν ενεργοποιηθεί η μακροεντολή έχει τη δυνατότητα να αντιγραφεί σε αρχεία δεδομένων ίδιου τύπου, να διαγράψει αρχεία ή να προκαλέσει άλλη μεταβολή στο σύστημα αρχείων. Οι μακρο-ιοί: Είναι ανεξάρτητοι από το Λειτουργικό Σύστημα και το Υλικό Αναπαράγονται πολύ εύκολα

43 ΜΗ ΙΟΜΟΡΦΙΚΟ ΚΑΚΟΒΟΥΛΟ ΛΟΓΙςΜΙΚΟ

44 Κερκόπορτες Οι κερκόπορτες (backdoors ή trapdoors) είναι σημεία εισόδου που επιτρέπουν την πρόσβαση σε ένα σύστημα, παρακάμπτοντας τη συνηθισμένη διαδικασία ελέγχου πρόσβασης Χρησιμοποιούνται από προγραμματιστές για νομότυπους σκοπούς κατά τον έλεγχο και την αποσφαλμάτωση εφαρμογών Επίσης, τοποθετούνται από εισβολείς συστημάτων (hackers) μετά από επιτυχημένη απόπειρα μη εξουσιοδοτημένης πρόσβασης

45 Rootkits Ένα λογισμικό rootkit συνήθως δημιουργεί κερκόπορτες (backdoors) που θα επιτρέψουν τη μετέπειτα απομακρυσμένη διαχείριση του ξενιστή από κάποιον τρίτο Λειτουργεί σε πολύ χαμηλό επίπεδο στο Λ.Σ., και συνήθως ενσωματώνει λειτουργίες απόκρυψης - stealth ώστε να παρακάμπτει τους μηχανισμούς πρόληψης και ανίχνευσης.

46 Βots zombies Κακόβουλο λογισμικό που προσβάλλει Η/Υ καθιστώντας τους μέλη ενός δικτύου Η/Υ (botnet) που ελέγχεται εξ αποστάσεως από τρίτους Ένας Η/Υ που έχει μολυνθεί από ένα bot συχνά αναφέρεται ως «zombie». Οι Η/Υ zombies μπορεί να χρησιμοποιηθούν για επιθέσεις DDOS σε εξυπηρετητές Web, για την αποστολή μηνυμάτων spam, για την πραγματοποίηση επιθέσεων παραπλάνησης (phishing) κ.λ.π.

47 Λογικές βόμβες Μία λογική βόμβα (logic bomb) είναι κώδικας που εσκεμμένα τοποθετείται στο λογισμικό και εκτελεί μία ενέργεια, η οποία παραβιάζει την πολιτική ασφαλείας ενός συστήματος, όταν πληρείται κάποια λογική συνθήκη στο σύστημα. Όταν η συνθήκη αναφέρεται σε συγκεκριμένη χρονική στιγμή αναφερόμαστε σε χρονικές βόμβες.

48 Δούρειοι ίπποι (1/2) Οι Δούρειοι ίπποι (trojan horses) είναι φαινομενικά χρήσιμα προγράμματα που περιλαμβάνουν κρυφές λειτουργίες, οι οποίες μπορούν να εκμεταλλευτούν τα δικαιώματα του χρήστη που εκτελεί το πρόγραμμα, με συνέπεια μια απειλή στην ασφάλεια του συστήματος. Εκτελεί λειτουργίες που ο χρήστης του δε σκόπευε.

49 Δούρειοι ίπποι (2/2) Δεν αναπαράγονται μόνοι τους. Βασίζονται στο χρήστη για την εγκατάσταση και εκτέλεσή τους. Παράδειγμα: Έστω ένας δικτυακός χώρος όπου κάθε χρήστης έχει αρχεία που μπορεί να προσπελάσει. Ένας δούρειος ίππος με τη μορφή μιας χρήσιμης εφαρμογής που θα μπορούσε (εφόσον εκτελεστεί από ένα χρήστη του δικτύου) να αλλάξει τα δικαιώματα προσπέλασης των αρχείων του χρήστη και να επιτρέπει και σε άλλους χρήστες να τα επεξεργαστούν.

50 Αναπαραγωγοί Οι αναπαραγωγοί (worms) είναι προγράμματα που μεταδίδονται από έναν υπολογιστή σε έναν άλλο, δημιουργώντας αντίγραφα του εαυτού τους. Δεν απαιτούν ξενιστή. Έχει τον ίδιο κύκλο ζωής με έναν ιό: Αναζητά συστήματα που μπορεί να εξαπλωθεί Δημιουργεί σύνδεση με το σύστημα αυτό Δημιουργεί κλώνο του στο απομακρυσμένο σύστημα

51 Morris Worm (1988) Damage: 6000 computers in just a few hours What: just copied itself; didn t touch data Exploited: buffer overflow in finger (UNIX) sendmail debug mode (exec arbitrary cmds) dictionary of 432 frequently used passwords

52 Morris Worm (1988) Lessons Learned from Morris Diversity is good. Big programs have many exploitable bugs. Choose good passwords. Don t shut down mail servers: did prevent worm from spreading but also shut down defense Computer Emergency Response Team

53 Βακτήρια Τα βακτήρια (bacteria) αναπαράγονται όπως οι ιοί, αλλά δεν απαιτούν ξενιστή. Δεν αλλοιώνουν δεδομένα σκόπιμα. Μοναδικός σκοπός τους είναι να αναπαραχθούν σε ένα ή περισσότερα αντίγραφα. Δεν εκτελούν κάποια επιζήμια ενέργεια, αλλά καταναλώνουν πόρους του συστήματος, προσβάλλοντας τη διαθεσιμότητά του.

54 Παραπλανητική πληροφόρηση Είναι η διάδοση ψευδούς φήμης σχετικά με την ύπαρξη κακόβουλου λογισμικού (hoaxes) Παράδειγμα: Good times Κυκλοφόρησε μέσω ηλεκτρονικού ταχυδρομείου Διέδωσε την ψευδή είδηση ενός νέου ιού με το όνομα Good Times Οδήγησε σε επάλληλη αποστολή του από αποδέκτη σε αποδέκτη, προσπάθεια ανεύρεσης αντιβιοτικού προγράμματος

55 Κατασκοπευτικό λογισμικό Το κατασκοπευτικό λογισμικό έχει σκοπό την παρακολούθηση - υποκλοπή ευαίσθητων δεδομένων (spyware), ή την αποστολή ανεπιθύμητων διαφημιστικών μηνυμάτων (adware). Συνήθως το λογισμικό παρακολούθησης συνεργάζεται με το λογισμικό ανεπιθύμητης διαφήμισης, π.χ παρακολούθηση της αγοραστικής συμπεριφοράς στο διαδίκτυο και στη συνέχεια αποστολή/εμφάνιση διαφημιστικών μηνυμάτων.

56 ΑΝΤΙΜΕΤΩΠΙςΗ ΚΑΚΟΒΟΥΛΟΥ ΛΟΓΙςΜΙΚΟΥ

57 Ιδιαιτερότητες των απειλών από Κακόβουλο Λογισμικό Γενικότητα απειλών: Το Κακόβουλο Λογισμικό δεν εκμεταλλεύεται συγκεκριμένα ελαττώματα των Λειτουργικών Συστημάτων που προσβάλλει. Έκταση απειλών: Μία απειλή προερχόμενη από Κακόβουλο Λογισμικό μπορεί να επεκταθεί από ένα υπολογιστικό σύστημα σε ένα άλλο. Αναποτελεσματικότητα εφεδρικών αντιγράφων ασφαλείας: Το αντίγραφο μπορεί να περιέχει αντίγραφο του Κακόβουλου Λογισμικού.

58 Εξάπλωση Κακόβουλου Λογισμικού Η αυξανόμενη εξάπλωση οφείλεται: στην εξάπλωση της χρήσης των δικτύων δεδομένων στην έλλειψη διαχωρισμού μεταξύ αρχείων δεδομένων και εκτελέσιμων αρχείων (π.χ.μακρο-εντολές σε αρχεία δεδομένων) στην έλλειψη επίγνωσης από τελικούς χρήστες και διαχειριστές συστημάτων στην αναποτελεσματικότητα παραδοσιακών μηχανισμών ελέγχου πρόσβασης

59 Τρόποι εξάπλωσης Μέσω ηλεκτρονικής αλληλογραφίας Μέσω αφαιρούμενων αποθηκευτικών μέσων Μέσω Web Μέσω άλλων υπηρεσιών διαδικτυακής επικοινωνίας Μέσω Δικτύων (LAN, WAN)

60 Κύριες επιπτώσεις Υποκλοπή δεδομένων και πληροφοριών ή κλήσεις (dialers) με υπεραστική χρέωση Ενοχλητικά μηνύματα, διαφημίσεις Διαγραφή ή αλλοίωση δεδομένων, εφαρμογών και αρχείων συστήματος Αναστολή λειτουργίας ή δυσλειτουργία του Λ.Σ. Καταστροφή των τομέων εκκίνησης Απώλεια διαθεσιμότητας πόρων του συστήματος

61 Αντίμετρα κατά Κακόβουλου Λογισμικού Κατηγορίες αντίμετρων: Πρόληψη Ανίχνευση Επανόρθωση Η συνδυασμένη χρήση των τριών κατηγοριών αντίμετρων οδηγεί σε: Ελαχιστοποίηση των προσβολών από Κακόβουλο Λογισμικό, ή Ελαχιστοποίηση της ζημίας που μπορεί να επιφέρει η προσβολή από Κακόβουλο Λογισμικό

62 Επιλογή αντίμετρων κατά Κακόβουλου Λογισμικού Η επιλογή αντίμετρων (οφείλει να) είναι το τελικό στάδιο της Ανάλυσης Επικινδυνότητας Η αυθαίρετη επιλογή αντιμέτρων ενδέχεται να οδηγήσει: σε κενά ασφαλείας (μη αναγνωρισμένες ευπάθειες του συστήματος), ή σε σπατάλη πόρων, χωρίς αντίστοιχο όφελος για την Ασφάλεια του Πληροφοριακού Συστήματος που προστατεύεται

63 ΚΑΤΗΓΟΡΙΕΣ ΑΝΤΙΜΕΤΡΩΝ ΚΑΤΑ ΤΟΥ ΚΑΚΟΒΟΥΛΟΥ ΛΟΓΙςΜΙΚΟΥ Με κριτήριο τον τρόπο δράσης του κακόβουλου λογισμικού

64 Κατηγοριοποίηση Αντιμέτρων (1/5): Κακόβουλο λογισμικό ως δεδομένα και ως εντολές Στηρίζεται στην ιδιότητα του κακόβουλου λογισμικού κατά την εισαγωγή του να αποτελεί δεδομένο και κατά την εκτέλεσή του εντολή. Τρόπος αντιμετώπισης: όλα τα αρχεία θεωρούνται δεδομένα έως το αίτημα εκτέλεσης Έλεγχος και πιστοποίηση (από το διαχειριστή συστήματος) για να επιτρέπεται η εκτέλεση Οποιαδήποτε μεταβολή σε πιστοποιημένο εκτελέσιμο αρχείο πρέπει να το καθιστά μη εκτελέσιμο, έως ότου ο διαχειριστής πιστοποιήσει εκ νέου το αρχείο αυτό ως εκτελέσιμο

65 Κατηγοριοποίηση Αντιμέτρων 2(5) Κακόβουλο Λογισμικό που εκμεταλλεύεται τα δικαιώματα του χρήστη Ελαχιστοποίηση των αντικειμένων του συστήματος στα οποία έχουν πρόσβαση οι χρήστες: Μετρικές Ροής Πληροφορίας: μία πληροφορία είναι διαθέσιμη σε μία διεργασία μόνον όταν η απόστασή της είναι μικρότερη από κάποια τιμή Μείωση των δικαιωμάτων του χρήστη: δυναμική μείωση των ενεργών δικαιωμάτων ενός ύποπτου εκτελέσιμου, με πρωτοβουλία του χρήστη Εκτέλεση σε περιορισμένο περιβάλλον: στατικός και δυναμικός έλεγχος ύποπτων προγραμμάτων (sandboxing)

66 Κατηγοριοποίηση Αντιμέτρων 3(5) Διάσχιση Τομέων Προστασίας Όταν εφαρμόζεται Υποχρεωτικός Έλεγχος Προσπέλασης (Mandatory Access Control MAC) και Πεδία Προστασίας (Protection Domains) Τα υπό προστασία προγράμματα τοποθετούνται στο χαμηλότερο επίπεδο της Πολιτικής Ασφαλείας Το συγκεκριμένο αντίμετρο ελαχιστοποιεί παράλληλα και τη δυνατότητα διαμοιρασμού προγραμμάτων από τους χρήστες Έλεγχος Ακεραιότητας Αρχείων Κωδικοί Ανίχνευσης Παραβίασης: Κρυπτογραφικά αθροίσματα ελέγχου για τον έλεγχο της ακεραιότητας των αρχείων

67 Κατηγοριοποίηση Αντιμέτρων 4(5) Έλεγχος ενεργειών που δεν αναφέρονται στις προδιαγραφές Εκ των προτέρων υπολογισμός κρυπτογραφικού αθροίσματος ελέγχου για κάθε ακολουθία μη διακλαδωμένων εντολών σε ένα πρόγραμμα Υπολογισμός των κρυπτογραφικών αθροισμάτων ελέγχου κατά την εκτέλεση. Σε περίπτωση διαφορών, η ακεραιότητα του προγράμματος έχει παραβιασθεί. Απαιτεί ιδιαίτερες διαδικασίες για τη διαχείριση των κλειδιών και πιθανόν μειώνει την απόδοση του υπολογιστικού συστήματος σε μεγάλο βαθμό.

68 Κατηγοριοποίηση Αντιμέτρων 5(5) Κρυπτογραφικός έλεγχος ασφάλειας κώδικα Διαπίστευση εκτελέσιμου προγράμματος ως προς την ασφάλεια εκτέλεσής του Ο καταναλωτής του κώδικα (χρήστης) προσδιορίζει απαιτήσεις ασφάλειας ενός προγράμματος Ο παραγωγός του κώδικα (προγραμματιστής) παράγει κρυπτογραφική απόδειξη ότι ο κώδικας ικανοποιεί αυτές τις απαιτήσεις Η διαπίστευση είναι δυνατόν να επαληθευθεί κρυπτογραφικά από τον καταναλωτή του κώδικα (χρήστη του προγράμματος). Σε περίπτωση μη επαλήθευσης, ο χρήστης δεν εκτελεί το πρόγραμμα

69 ΤΕΧΝΙΚΕΣ ΑΝΤΙΜΕΤΩΠΙςΗΣ ΚΑΚΟΒΟΥΛΟΥ ΛΟΓΙςΜΙΚΟΥ

70 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού 1(4) Επίγνωση σε θέματα ασφαλείας επίγνωση σε θέματα Κακόβουλου Λογισμικού γνώση χειρισμού εφαρμογών κατά Κακόβουλου Λογισμικού αποφυγή μεταφόρτωσης και εγκατάστασης μη ελεγμένων προγραμμάτων ή προγραμμάτων από άγνωστες ή μη έμπιστες πηγές Αντιβιοτικό Λογισμικό εφαρμογές που ανιχνεύουν την ύπαρξη ιών και τους αφαιρούν από τα αρχεία ξενιστές, ή απομονώνουν τα αρχεία ξενιστές Αρχεία Ελέγχου του Λειτουργικού Συστήματος εξέταση των Αρχείων Ελέγχου για δραστηριότητα που προδίδει Κακόβουλο Λογισμικό

71 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού 2(4) Αυστηρά μέτρα ασφαλείας αυστηρά δικαιώματα πρόσβασης εκτέλεση εφαρμογών με τα ελάχιστα δικαιώματα που απαιτούν (least privilege) Απαγόρευση μεταφόρτωσης εκτελέσιμου κώδικα έλεγχος και περιορισμός του κώδικα που είναι δυνατόν να μεταφορτωθεί Απομόνωση δικτυακή απομόνωση τμημάτων Πληροφοριακών Συστημάτων που περιέχουν διαβαθμισμένες πληροφορίες, από άλλα τμήματα που περιέχουν μη διαβαθμισμένες πληροφορίες απομόνωση τμημάτων Πληροφοριακών Συστημάτων που επικοινωνούν με εξωτερικά ΠΣ, από τα υπόλοιπα τμήματα του ΠΣ ενός οργανισμού (Demilitarised Zone)

72 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού 3(4) Αναχώματα Ασφαλείας (firewalls) περιορισμός της δυνατότητας του Κακόβουλου Λογισμικού να εξαπλωθεί σε περισσότερα συστήματα ενός ΠΣ Εργαλεία Ανίχνευσης Εισβολών ανίχνευση Κακόβουλου Λογισμικού με βάση γνωστές συμπεριφορές τυπικών προγραμμάτων Κακόβουλου Λογισμικού Ανίχνευση Κακόβουλου Λογισμικού με βάση συμπεριφορές που διαφέρουν από τις τυπικές συμπεριφορές έγκυρων χρηστών Συνεργασία με τους οργανισμούς που προσφέρουν προϊόντα υλικού και λογισμικού για προστασία από Κακόβουλο Λογισμικό ενημέρωση των οργανισμών αυτών σε περίπτωση εμφάνισης προγράμματος που ενδέχεται να συνιστά Κακόβουλο Λογισμικό άλλα δεν έχει ήδη καταγραφεί

73 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού 4(4) Διατυπωμένη διαδικασία ανάνηψης από προσβολή, και περιορισμού Κακόβουλου Λογισμικού Απομόνωση προσβεβλημένων συστημάτων Απομάκρυνση Κακόβουλου Λογισμικού από προσβεβλημένο σύστημα Αποκατάσταση ακεραιότητας προσβεβλημένου συστήματος Η διαδικασία πρέπει να είναι τεκμηριωμένη και γνωστή εκ των προτέρων σε όσους οφείλουν να την ακολουθήσουν Ενημέρωση τελικών χρηστών σχετικά με ενδεχόμενες ενέργειες που οφείλουν να κάνουν οι ίδιοι σε περίπτωση εμφάνισης εφαρμογών που ενδέχεται να συνιστούν Κακόβουλο Λογισμικό

74 ΑΝΤΙΒΙΟΤΙΚΟ ΛΟΓΙςΜΙΚΟ

75 Αντιβιοτικό Λογισμικό Το αντιβιοτικό λογισμικό διεξάγει: ανίχνευση Κακόβουλου Λογισμικού σε ένα σύστημα ταυτοποίηση του Κακόβουλου Λογισμικού που έχει προσβάλλει το σύστημα αφαίρεση των τμημάτων κώδικα του Κακόβουλου Λογισμικού από τα αρχεία, ή (αν η αφαίρεση δεν είναι δυνατή) απομόνωση ή οριστική διαγραφή των προσβεβλημένων αρχείων

76 Αντιβιοτικό Λογισμικό: Κατηγοριοποιήσεις Τεχνικών Ανάλογα με τη Σειρά Εκτέλεσης (Order of Play) Εκτέλεση Πρώτου Επιπέδου: ανίχνευση ιομορφών προτού διεισδύσουν στο σύστημα Εκτέλεση Δευτέρου Επιπέδου: ανίχνευση ιομορφών που έχουν ήδη διεισδύσει το σύστημα Σύμφωνα με το Χρόνο Εκτέλεσης (Time of Play) Κατά την Πρόσβαση: όλα τα αρχεία που προσπελαύνονται από οποιαδήποτε εφαρμογή ελέγχονται, χωρίς μεσολάβηση του χρήστη Κατά τη Ζήτηση: ο χρήστης διενεργεί έλεγχο των αρχείων ενός συστήματος σε χρόνο της επιλογής του

77 Αντιβιοτικό Λογισμικό: Τεχνικές 1(2) Ανιχνευτές Πρώτης γενεάς: ανίχνευση ιομορφών με χρήση υπογραφών (ακολουθίες κώδικα) ταυτοποιημένων ιομορφών Δεύτερης γενεάς: χρήση ευριστικών μεθόδων Ελεγκτές Ακεραιότητας Αποθηκεύουν δεδομένα ακεραιότητας για κάθε αρχείο και τομέα του συστήματος, παρέχοντας έτσι τη δυνατότητα στο διαχειριστή να γνωρίζει ποια αρχεία έχουν τροποποιηθεί, από το χρονικό σημείο της τελευταίας καταγραφής δεδομένων ακεραιότητας. Η τροποποίηση ορισμένων αρχείων (π.χ. εκτελέσιμα) πρέπει να εξετάζεται περαιτέρω από τους διαχειριστές

78 Αντιβιοτικό Λογισμικό: Τεχνικές 2(2) Αντιβιοτικό Λογισμικό Ελέγχου Συμπεριφοράς Εντοπίζει συγκεκριμένες ύποπτες ενέργειες λογισμικού (π.χ. εγγραφή δεδομένων σε ένα εκτελέσιμο αρχείο) Ανιχνευτές Εικονικής Μηχανής Εξομοίωση της εκτέλεσης ενός προγράμματος σε ελεγχόμενο περιβάλλον με σκοπό τον εντοπισμό ιομορφικής συμπεριφοράς

79 Οι πιο γνωστοί Ιοί Morris (1988) I love U (2000) Melissa ( ) Code Red (2001) Slammer (2003) Sasser (2004) Nimda (2001) Blaster (2003) Storm (2007) Conficker (2008) STUXNET(2010)