VoIP Infrastructures: The SPIT threat Dimitris Gritzalis



Σχετικά έγγραφα
Εύρωστες Ψηφιακές Υπoδομές και Υπηρεσίες: Διάκριση ανθρώπου ή bot

2o INFOCOM SECURITY: Οικονοµία σε κρίση - Τεχνολογία σε έξαρση Αθήνα, 5 Αϖρίλη 2012

ασφάλεια υϖοδοµών VoIP: αϖειλές και ϖιθανές λύσεις

Spam over Internet Telephony (SPIT): An emerging threat. Dimitris Gritzalis

SPIT: Still another emerging Internet threat

ΣΦΙΓΞ: Εύρωστες ιαδικτυακές Υϖηρεσίες ιάκριση Ανθρώϖου ή Μηχανής µε ιαδραστικά Ηχητικά Μέσα ΝΟΗΣΙΣ, Σάββατο, 19 Γενάρη 2013

The SPHINX project report Dimitris Gritzalis

ΥΙΓΞ: Εύρωστες Διαδικτυακές Τπηρεσίες Διάκριση Ανθρώπου ή Μηχανής με Διαδραστικά Ηχητικά Μέσα

Threats and vulnerabilities in Internet Telephony: Focusing on the SPIT phenomenon

Security in the Cloud Era

The IT Security Expert Profile

Cyberwar ante portas : The role and importance of national cyber-defense exercises

Online Social Networks: Posts that can save lives. Dimitris Gritzalis, Sotiria Giannitsari, Dimitris Tsagkarakis, Despina Mentzelioti April 2016

From Secure e-computing to Trusted u-computing. Dimitris Gritzalis

Digital signatures in practice in Greece: Capabilities and limitations. Dimitrios Lekkas, Dimitris Gritzalis

Online Social Networks: Posts that can save lives. Sotiria Giannitsari April 2016

From Information Security to Cyber Defense. Dimitris Gritzalis

Secure Cyberspace: New Defense Capabilities

Critical Infrastructure Protection: A Roadmap for Greece D. Gritzalis

Critical ICT Infrastructure Protection: Overview of the Greek National Status

Discussing Security and Privacy Issues in the Age of Surveillance Dimitris Gritzalis

Critical Infrastructures: The Nervous System of every Welfare State. G. Stergiopoulos, D. Gritzalis

The Inherently Hybrid Nature of Online Social Networks. Dimitris Gritzalis April 2016

Legal use of personal data to fight telecom fraud

Security and Privacy: From Empiricism to Interdisciplinarity. Dimitris Gritzalis

Security and Privacy in the Age of Surveillance. Dimitris Gritzalis

Everything can be hacked in the Internet-of-Things. Dimitris Gritzalis March 2017

Towards a more Secure Cyberspace

Organizing the Protection of Critical ICT Infrastructures. Dimitris Gritzalis

Protecting Critical Public Administration ICT Infrastructures. Dimitris Gritzalis

Ανεπιθύµητη Τηλεφωνία µέσω ιαδικτύου. Μια νέα απειλή που αναζητά λύσεις.

The Greek Data Protection Act: The IT Professional s Perspective

Used to be Information Security - Now is Critical ICT Infrastructure Protection Dimitris Gritzalis

Critical ICT Infrastructures Protection: Trends and Perspectives. Dimitris Gritzalis

Antonis Stamatopoulos Commercial Director. AI Attacks & Incident Lifecycle Management

Protecting Critical ICT Infrastructures

National Critical Telecommunication Infrastructure Protection: Towards an Holistic Strategy. PanosKotzanikolaou June 2016

Online Social Networks: Enhancing Social Welfare and Supporting National Defense. Dimitris Gritzalis April 2016

ICT provide options and threats. Dimitris Gritzalis February 2016

The Brave New World of Social Media Kandias Miltos

From e-health to u-health: A semantic - and not syntactic - change

STORM-RM: A Collaborative Risk Management Methodology. T. Ntouskas, D. Gritzalis

Selecting Essential IT Security Projects. Dimitris Gritzalis

From IT Security to Critical Infrastructure Protection: From the past to the future. Dimitris Gritzalis

Παρουσίαση της μεθοδολογίας Octave

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

Transport Resilience Georgia Lykou

Η ΤΑΥΤΟΤΗΤΑ ΜΑΣ. Αναλαμβάνουμε τη μελέτη, εγκατάσταση και υποστήριξη όλων των τηλεπικοινωνιακών συστημάτων VοIP.

Ασύρµατη ευρυζωνικότητα µέσω τεχνολογίας Wimax

Ερευνητική+Ομάδα+Τεχνολογιών+ Διαδικτύου+

National Critical Telecommunication Infrastructure Protection: An Identification and Assessment Methodology. Georgia Lykou June 2016

From Computer Security to Critical ICT Infrastructure Protection. Dimitris Gritzalis

ΔΙΠΛΩΜΑΤΙΚΕΣ ΕΡΓΑΣΙΕΣ

Medical Information Systems Security: Memories from the Future. Dimitris Gritzalis

AN IMPLEMENTATION OF THE CLOUD BASED SCHOOL

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

ΕΠΛ202:'Η'επιστημονική'δημοσίευση

Αγ. Μαρίνα, Μυτιλήνη, 81100, Λέσβος, Ελλάδα Ημερομηνία γέννησης 21/01/1970 ΕΚΠΑΙΔΕΥΣΗ

Without You it s just a Tube, with you it becomes a profiling database. Dimitris Gritzalis October 2014

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον. Υπηρεσίες Διαδικτύου

ΠΤΥΧΙΑΚΗ. Θέμα πτυχιακής: Voice over IP. Ονοματεπώνυμο: Κόκκαλη Αλεξάνδρα

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Συνεργασία PRIORITY & INTERAMERICAN:

On the way from e- Health to u-health: Is there a real difference? Dimitris Gritzalis

Επικοινωνιών στην Εκπαίδευση. Τεχνολογίες Πληροφορίας & (ΤΠΕ-Ε)

Ηλεκτρονικό Επιχειρείν & Νέες Τεχνολογίες για Επιχειρηματικότητα ΔΕΟ45

Oλοκληρωμένες λύσεις Πληροφορικής και Τηλεπικοινωνιών στην υπηρεσία της Ναυτιλίας

ERMIS PORTAL Evaluation and new directions

ΒΙΟΓΡΑΦΙΚΟ ΣΗΜΕΙΩΜΑ ΠΡΟΣΩΠΙΚΕΣ ΠΛΗΡΟΦΟΡΙΕΣ. Ελληνική ΕΚΠΑΙ ΕΥΣΗ ΚΑΙ. Ονοµατεπώνυµο ΜΕΝΝΗΣ ΕΥΑΓΓΕΛΟΣ. ιεύθυνση ΚΟΡΑΗ 2Α, 82100, ΧΙΟΣ - ΕΛΛΑ Α

DECO DECoration Ontology

Ready Business Secure Business

Εφαρμογή Υπολογιστικών Τεχνικών στην Γεωργία

SPIT: Spam over Internet Telephony. Stelios Dritsas

Τμήμα Τηλεπικοινωνιακών Συστημάτων και Δικτύων. Εξάμηνο E

Ψηφιακός Μετασχηµατισµός

Ο ΚΙΝ ΥΝΟΣ από τις συνδυασµένες απειλές

New Technologies in Security and Citizens Rights. Λίλιαν Μήτρου Αναπληρώτρια Καθηγήτρια Πανεπιστήμιο Αιγαίου

11/8/18. Κεφάλαιο 3. Συνεργασία και εργασία στο web. Χρήση του Internet: Πώς θα εκμεταλλευτούμε καλύτερα τους πόρους του web.

Wiley, USA, , D. Gollmann, Computer Security, pp , J. Wiley, USA, 1999.

Σχετικά με την CBS εκ. Κύκλος εργασιών. Partners. 165 εργαζόμενοι. Μηχανικοί. Developers. Sales & Consultants. 34 Συνεργασίες.

Hackers - Hacking Hacktivism: From Morris to Chiapas. Dimitris Gritzalis


Υπέρτιτλος. Ονομα. ιδιότητα Αθήνα, Ημ/νια

3 Διάλεξη R. Anderson, Security Engineering, Wiley (2 nd

Ανάλυση σχημάτων βασισμένη σε μεθόδους αναζήτησης ομοιότητας υποακολουθιών (C589)

2016 IEEE/ACM International Conference on Mobile Software Engineering and Systems

Αναβαθμίστε την ΙΤ υποδομή της επιχείρησής σας

Τεχνολογίες Πληροφορίας & Επικοινωνιών στην Εκπαίδευση (ΤΠΕ-Ε)

Υπηρεσίες Διαχείρισης Τηλεφωνικού Κέντρου. «Αποτελεσματικότητα και οικονομία»

Αυτόματη Ανακατασκευή Θραυσμένων Αντικειμένων

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

Wiley, USA, D. Gollmann, Computer Security, pp , J. Wiley, USA, Δικτύων Υπολογιστών, σελ , Εκδό-

Ηλεκτρονικό εμπόριο. HE5 Ηλεκτρονικό κατάστημα Σχεδιασμός και λειτουργίες

Connected Threat Defense

Open Source Collaboration Platform

GDPR Από τη Θεωρία στην Πράξη Μύθοι και Πραγματικότητα Κώστας Παπαχριστοφής (MSc, MBA)

Security Project, Athens 26 May 2017

ΠΡΟΓΡΑΜΜΑ ΚΑΡΑΘΕΟΔΩΡΗΣ 2008

Εισαγωγή στα Πληροφοριακά Συστήματα. Ενότητα 11: Αρχιτεκτονική Cloud

Transcript:

VoIP Infrastructures: The SPIT threat Dimitris Gritzalis February 2012

11 ο Συνέδριο για θέματα Ασφάλειας και Άμυνας Αθήνα, 28-29 Φεβρουαρίου 2012 Υποδομές Διαδικτυακής Τηλεφωνίας: Η απειλή του SPIT Καθηγητής Δημήτρης Γκρίτζαλης (dgrit@aueb.gr, www.cis.aueb.gr) Διευθυντής Διαπανεπιστημιακής Ερευνητικής Ομάδας Ασφάλειας Πληροφοριών & Προστασίας Κρίσιμων Υποδομών Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών

Διαδικτυακή Τηλεφωνία (Voice-over-IP) Σύγκλιση δικτύων δεδομένων και δικτύων φωνής. Οι τεχνολογίες Voice-over-IP (VoIP) αποτελούν υποδομή για την πραγματοποίηση τηλεφωνικών κλήσεων μέσω Διαδικτύου. Βασίζονται σε πρωτόκολλα, όπως το Session Initiation Protocol (SIP) για τη σηματοδοσία και το RTP για τη μεταφορά φωνής ή πολυμεσικού περιεχομένου. 3

SPam over Internet Telephony (SPIT) Μαζική αποστολή Κλήσεων απρόσκλητων Μηνυμάτων Αιτημάτων παρουσίας User A User C User B Spitter 4

email spam (spam) vs. voice spam (spit) Συγκλίσεις Κοινά κίνητρα, πχ. αναζήτηση οικονομικού κέρδους ή άσκηση επιρροής. Κοινές τεχνικές δημιουργίας, πχ. αυτόματη παραγωγή μαζικών μηνυμάτων/κλήσεων χαμηλού κόστους, χρήση πραγματικών διευθύνσεων τελικών χρηστών, συλλογή διευθύνσεων κλπ. Αποκλίσεις Η επικοινωνία με email είναι ουσιαστικά ασύγχρονη, ενώ η VoIP επικοινωνία είναι κυρίως σύγχρονη. Στο περιβάλλον VoIP μη εύλογες καθυστερήσεις δεν είναι (ούτε) τεχνικά αποδεκτές. Το email spam αποτελείται κυρίως από κείμενο (ίσως και εικόνες), ενώ το SPIT κυρίως από ήχο και εικόνα (πολύ λιγότερο από κείμενο). Μια SPIT κλήση συνήθως δημιουργεί εντονότερη ενόχληση στο χρήστη. 5

Τεχνολογίες αντιμετώπισης SPIT 1. Ανάλυση περιεχομένου (Content Filtering) 2. Μαύρες ή/και λευκές λίστες (Black-White Lists) 3. Επικοινωνία βασισμένη στη Συγκατάθεση (Consent-based com s) 4. Συστήματα Εμπιστοσύνης (Reputation Systems) 5. Απόκρυψη Διεύθυνσης (Address Obfuscation) 6. Διευθύνσεις Περιορισμένης Χρήσης (Limited-use Addresses) 7. Τεχνικές Απόκρισης (Turing Tests, Computational Puzzles) 8. Τεχνικές Εισαγωγής Κόστους (Payments at Risk) 9. Νομοθετικές ή κανονιστικές δράσεις (Legal Action) 10. Κύκλοι Εμπιστοσύνης μεταξύ Παρόχων (Circles of Trust) 11. Κεντρικοί Πάροχοι (Centralized SIP Providers) 6

Σήμερα (2012): Ανεπαρκής αντιμετώπιση, γιατί οι υπάρχοντες μηχανισμοί κατά κανόνα αποπειρώνται να υιοθετήσουν αντίστοιχες μεθόδους αντιμετώπισης του email spam. αντιμετωπίζουν περιορισμένο υποσύνολο απειλών και αδυναμιών του SIP. εστιάζουν στο εκάστοτε τεχνολογικό περιβάλλον (ad-hoc προσέγγιση). δεν μπορούν να αντιμετωπίσουν επαρκώς καινούργια σενάριο SIP επιθέσεων. απαιτούν συνδυασμό τεχνικών (πολυπαραγοντικότητα) σε κάθε στάδιο μιας SIP κλήσης. δεν μπορούν να προσφέρουν δυνατότητες πρόληψης, ανίχνευσης και αντιμετώπισης του SPIT. δεν μπορούν να αξιολογηθούν, ακόμη, σε πραγματικές συνθήκες. 7

Ηχητικά CAPTCHA * Ψηφία/ χαρακτήρες Διάστημα μεταξύ χαρακτήρων Συνολική Διάρκεια Γλώσσα Παρασκήνιο Μεταβλητός αριθμός χαρακτήρων Λεξιλόγιο Ηχητικό CAPTCHA Θόρυβος Πεδίο δεδομένων Διαδικασία παραγωγής Ενδιάμεσος Αυτόματη παραγωγή Χρήση ήδη υπαρχόντων * CAPTCΗA: Completely Automated Public Turing test to tell Computers and Humans Apart 8

Υλοποιήσεις ηχητικών CAPTCHA Recaptcha 1 7 0 8 6 6 1 1 0 Google 2 3 1 2 2 0 4 5 7 0 MSN 3 6 7 9 9 8 1 3 2 1. http://recaptcha.net (Carnegie Mellon and Intel, 2007) 2. http://gmail.com (Google, 2008) (Vorm bot access rate: 33%) 3. https://accountservices.passport.net/reg.srf (Microsoft, 2008) (Vorm bot access rate: 75%) 9

Σύγκριση διαθέσιμων λύσεων ηχητικών CAPTCHA Χαρακτηριστικά Ηχητικό CAPTCHA Google MSN Recaptcha ebay Secure image captcha Mp3Captcha Captchas. net bokehman slashdot Authorize AOL Digg Ποσοστό επιτυχίας χρήστη Background θόρυβος 60% 80% 50% 95% 98% 98% 98% 98% 95% 95% 95% 95% Φωνές, ήχος Φωνές, ήχος Ήχος Φωνές, ήχος Ήχος Όχι Όχι Όχι Όχι Όχι Φωνές Ήχος Ενδιάμεσος θόρυβος Ήχος Ήχος Όχι Όχι Όχι Όχι Όχι Όχι Όχι Όχι Ήχος Όχι Πεδίο δεδομένων 0-9 0-9 Λέξεις 0-9 Πλήθος χαρακτήρων στιγμιότυπου A-Z, a-z, 0-9 A-Z, a-z, 0-9 a-z, 0-9 A-Z, a-z, 0-9 Λέξεις A-Z, a-z, 0-9 A-Z, a-z, 0-9 5-10 10 10-20 6 4 4 6 4 <9 5 8 5 Σπάνια επανεμφάνιση Ναι Ναι Ναι Ναι Ναι Ναι Ναι Ναι Όχι Ναι Ναι Ναι Διαδικασία παραγωγής Άγνωστη Άγνωστη Άγνωστη Άγνωστη Aυτόματη Αυτόματη Aυτόματη Αυτόματη Άγνωστη Άγνωστη Άγνωστη Άγνωστη Γλώσσες εκφώνησης Διαφορετικοί εκφωνητές Πολλές γλώσσες Πολλές γλώσσες en Πολλές γλώσσες en en, fr, it, de en, de, it, nl, fr A-Z, a-z, 0-9 en en en en en Ναι Όχι Ναι Όχι Ναι Όχι Όχι Όχι Όχι Όχι Ναι Όχι Διάρκεια (sec) 0:10-0:15 0:05-0:09 ~0:04 ~0:04 ~0:04 ~0:04 ~0:08 0:04-0:05 0:03-0:04 0:05 0:10 0:08 10

Αρχιτεκτονική νέου * ηχητικού CAPTCHA Πλήθος εκφωνητών Χρονική υστέρηση Ενδιάμεσος θόρυβος Θόρυβος στο παρασκήνιο Πλήθος στιγμιότυπων εκπαίδευσης Στάδιο 1 1 20 Στάδιο 2 3 50 Στάδιο 3 5 100 Στάδιο 4 7 100 Στάδιο 5 7 100 * Soupionis J., Gritzalis D., ASPF: An adaptive anti-spit policy-based framework, in Proc. of the 6 th International Conference on Availability, Reliability and Security (ARES-2011), Per nul G. (Ed.), pp. 153-160, Austria, August 2011. 11

Κατευθυντήρια συμπεράσματα Η εξάπλωση της χρήσης του VoIP εισαγάγει νέες επιχειρηματικές δραστηριότητες και εφαρμογές, αλλά και νέες απειλές. Η επαρκής αντιμετώπιση του SPIT απαιτεί πολυ-παραγοντική προσέγγιση - δεν επαρκούν μόνο υπάρχουσες anti-spam τεχνικές. Οι τεχνικές anti-spit πρέπει να στοχεύουν στην αντιμετώπιση περισσότερων και νέων ειδών επιθέσεων απ ότι οι υπάρχουσες. Το audio CAPTCHA που αξιοποιεί χροιά εκφώνησης, τυχαίους ενδιάμεσους ήχους και διασπορά τους μέσα στο μήνυμα, παρέχει ενθαρρυντική ανθεκτικότητα απέναντι σε bots. 12

Από τη θεωρία στην πράξη ΣΦΙΓΞ Consortium (sphinx.vtrip.net) 1. Virtual Trip 2. Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης 3. Δημοκρίτειο Πανεπιστήμιο Θράκης 4. Οικονομικό Πανεπιστήμιο Αθηνών Χρηματοδότηση Γενική Γραμματεία Έρευνας & Τεχνολογίας Ε.Π. Ανταγωνιστικότητα & Επιχειρηματικότητα Δράση Εθνικής Εμβέλειας ΣΥΝΕΡΓΑΣΙΑ 13

ΣΦΙΓΞ: Αναμενόμενα αποτελέσματα - Αξιοποίηση τεχνολογιών αιχμής Ανάπτυξη υπηρεσίας πρόληψης αυτοματοποιημένων επιθέσεων SPIT Ενσωμάτωση της υπηρεσίας σε υπάρχουσες εταιρικές υπηρεσίες Αποτίμηση απόδοσης και αξιολόγηση αποτελεσματικότητας της υπηρεσίας Τεχνολογίες αιχμής Audio CAPTCHA Formal Model Checking Privacy Enhancing Technologies (PET) Μελέτη οικονομικών και κοινωνικών επιπτώσεων και ανάλυση απαιτούμενου κανονιστικού πλαισίου 14

Μεταβαίνοντας, συνεργατικά, από τη θεωρία στην πράξη, για την ανάπτυξη εύρωστων ψηφιακών υποδομών και διαδικτυακών υπηρεσιών 15

References 1. Dritsas S., Tsoumas B., Dritsou V., Konstantopoulos, P., Gritzalis D., OntoSPIT: SPIT Management through Ontologies, Computer Communications, Vol. 32, No. 2, pp. 203-212, 2009. 2. Gritzalis D., Katsaros P., Basagiannis S., Soupionis Y., Formal analysis for robust anti-spit pro tec tion using model-checking, International Journal of Information Security, Vol. 11, No. 2, pp. 121-135, 2012. 3. Soupionis Y., Basagiannis S., Katsaros P., Gritzalis D., A formally verified mechanism for countering SPIT, in Proc. of the 5th International Conference on Critical Information Infrastructure Security (CRITIS-2010), pp. 128-139, LNCS-6712, Springer, Greece, September 2010. 4. Gritzalis D., Mallios J., A SIP-based SPIT management framework, Computers & Security, Vol. 27, No. 5-6, pp. 136-153, 2008. 5. Gritzalis D., Marias G., Rebahi Y., Soupionis Y., Ehlert, S., SPIDER: A platform for managing SIP-based spam over Interent Telephony, Journal of Computer Security, Vol. 19, No. 5, pp. 835-867, 2011. 6. Kandias M., Virvilis N., Gritzalis D., The insider threat in Cloud Computing, Proc. of the 6 th International Workshop on Critical Infrastructure Security, pp. 93-103, Springer (LNCS 6983), Switzerland, 2011. 7. Kandias M., Mylonas A., Virvilis N., Theoharidou M., Gritzalis D., An Insider Threat Prediction Model, Proc. of the 7 th International Conference on Trust, Privacy and Security in Digital Business, pp. 26-37, Springer (LNCS 6264), Spain, 2010. 8. Soupionis Y., Gritzalis D., ASPF: An adaptive anti-spit policy-based framework, Proc. of the 6 th In ternational Conference on Availability, Reliability and Security, pp. 153-160, Austria, 2011. 9. Soupionis Y., Tountas G., Gritzalis D., Audio CAPTCHA for SIP-based VoIP, Proc. of the 24 th International Information Security Conference, pp. 25-38, Springer (IFIP AICT 297), Cyprus, 2009. 10. Soupionis Y., Dritsas S., Gritzalis D., An adaptive policy-based approach to SPIT management, Proc. of the 13 th European Symposium on Research in Computer Security, pp. 446-460, Springer, Spain, 2008. 11. Soupionis Y., Gritzalis D., Audio CAPTCHA: Existing solutions assessment and a new implementation for VoIP telephony, Computers & Security, Vol. 29, Νο. 5, pp. 603-618, 2010. 12. Stachtiari E., Soupionis Y., Katsaros P., Mentis A., Gritzalis, D., Probabilistic model checking of CAPTCHA admission control for DoS resistant anti-spit protection, Proc. of the 7 th In ter na tio nal Con ference on Critical Information Infrastructures Security, Springer (LNCS 7722), Norway, 2012. 13. Tassidou A., Efraimidis P., Soupionis Y., Mitrou L., Katos V., "User-centric privacy-preserving a dap tation for VoIP CAPTCHA challenges", Proc. of the 6 th International Symposium on Hu man Aspects of Information Security and Assurance, Greece, 2012. 16

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια