ΕΦΑΡΜΟΓΕΣ ΑΣΦΑΛΕΙΑΣ ΣΕ ΠΕΡΙΒΑΛΛΟΝ ΟΜΟΤΙΜΩΝ ΙΚΤΥΩΝ

ΕΦΑΡΜΟΓΕΣ ΑΣΦΑΛΕΙΑΣ ΣΕ ΠΕΡΙΒΑΛΛΟΝ ΟΜΟΤΙΜΩΝ ΙΚΤΥΩΝ Βασίλης Βλάχος ιατριβή για την απόκτηση διδακτορικού διπλώµατος Οικονοµικό Πανεπιστήµιο Αθηνών Τµήµα ιοικητικής Επιστήµης και Τεχνολογίας 2007

2

Περιεχόµενα Περίληψη 13 ηµοσιεύσεις 15 Ευχαριστίες 17 1 Εισαγωγή 19 2 Παράγοντες που επηρεάζουν την εξάπλωση του κακόβουλου λογισµικού και τεχνικές περιορισµού του 31 2.1 Βασικοί τύποι κακόβουλου λογισµικού............... 32 2.2 Παράγοντες που επηρεάζουν την εξάπλωση του κακόβουλου λογισµικού................................ 35 2.2.1 Πύλη εισόδου κακόβουλου λογισµικού............ 36 2.2.2 Επιλογή νέων στόχων..................... 42 2.2.3 Μολυσµατικότητα....................... 49 2.2.4 Επιδηµιολογία υπολογιστών................. 52 2.3 Μοντελοποίηση του κακόβουλου λογισµικού και συστήµατα περιο- ϱισµού του.............................. 56 2.3.1 Μοντελοποίηση........................ 57 2.3.2 Κατανεµηµένα συνεργατικά συστήµατα περιορισµού.... 65 2.4 Σύνοψη................................ 77 3 Αρχιτεκτονική της προτεινόµενης προσέγγισης 79 3.1 Συνεισφορά του αλγορίθµου promis................. 79 3.2 Οµότιµα δίκτυα............................ 80 3.2.1 Πλήρως αποκεντρωµένο µοντέλο............... 85 3.2.2 Μερικώς αποκεντρωµένο µοντέλο............... 87 3.3 Ο αλγόριθµος promis......................... 89 3

3.4 Ερευνητικές υποθέσεις........................ 100 3.5 Σύνοψη................................ 101 4 Μεθοδολογία 103 4.1 Επιλογή ερευνητικού προβλήµατος................. 103 4.2 Τεκµηρίωση των αποτελεσµάτων................... 105 4.3 Αναλυτικές µέθοδοι.......................... 106 4.4 Υλοποίηση του συστήµατος..................... 107 4.5 Προσοµοίωση............................. 108 4.6 Τοπολογίες.............................. 112 4.6.1 Οµογενείς γράφοι....................... 113 4.6.2 Τυχαίοι γράφοι........................ 114 4.6.3 Τυχαίοι γράφοι µε σταθερή συνδεσιµότητα.......... 114 4.6.4 Γράφοι ελεύθερης κλίµακας................. 114 4.7 Επιλογή γράφων για την διεξαγωγή προσοµοιώσεων........ 116 4.8 Σχεδιασµός και υλοποίηση πρωτότυπων συστηµάτων λογισµικού. 119 4.9 Σχεδιασµός προσοµοιώσεων..................... 120 4.10Σύνοψη................................ 126 5 Υλοποίηση της ερευνητικής υποδοµής 127 5.1 NetBiotic............................... 129 5.2 mspromis............................... 133 5.3 ngce.................................. 137 5.3.1 Οµογενείς γράφοι....................... 142 5.3.2 Τυχαίοι γράφοι........................ 142 5.3.3 Ειδικά διαµορφωµένοι τυχαίοι γράφοι............ 145 5.3.4 Γράφοι µε σταθερή συνδεσιµότητα.............. 145 5.3.5 Γράφοι ελεύθερης κλίµακας κατά Barabási Albert..... 147 5.3.6 Ειδικά διαµορφωµένοι γράφοι ελεύθερης κλίµακας..... 150 5.4 promissim............................... 155 5.5 Σύνοψη................................ 161 6 Αξιολόγηση αποτελεσµάτων 163 6.1 Συνολικός αριθµός µελών του promisgroup............. 165 6.2 Μέγιστος και ελάχιστος αριθµός επικοινωνούντων κόµβων..... 169 6.3 Παρελθούσες µετρήσεις....................... 177 4

6.4 Ορια αλλαγής των επιπέδων ασφαλείας............... 181 6.5 Περιβάλλον προσοµοιώσεων..................... 185 6.6 Σύνοψη................................ 186 7 Συµπεράσµατα και µελλοντικές επεκτάσεις 189 7.1 Συµπεράσµατα............................ 190 7.1.1 Παράγοντες που επηρεάζουν την εξάπλωση του κακόβουλου λογισµικού και τεχνικές περιορισµού του.......... 190 7.1.2 Υλοποιήση πρωτοτύπων συστηµάτων............. 190 7.1.3 Ανάπτυξη εργαλείων υποστήριξης.............. 191 7.1.4 ιεξαγωγή προσοµοιώσεων και πειραµατικά αποτελέσµατα. 193 7.2 Μελλοντική έρευνα.......................... 195 7.3 Γράφοι για επιδηµιολογική έρευνα................. 195 7.4 Επεκτάσεις στις υπάρχουσες τοπολογίες............... 197 7.4.1 Οµογενείς γράφοι....................... 198 7.4.2 Τυχαίοι γράφοι........................ 199 7.4.3 Γράφοι ελεύθερης κλίµακας................. 199 7.4.4 Άλλες τοπολογίες....................... 200 7.4.5 Προβλήµατα µε τις υπάρχουσες τοπολογίες......... 200 7.4.6 Γράφοι µε περιορισµένο εύρος Ϲώνης............. 204 7.4.7 Αλγόριθµος για την κατασκευή γράφου µε περιορισµένο εύ- ϱος Ϲώνης........................... 205 7.4.8 Συµπεράσµατα και µελλοντικές επεκτάσεις για τους γράφους µε περιορισµένο εύρος Ϲώνης................. 208 7.5 Επεκτάσεις στον αλγόριθµο promis................. 211 Bibliography 213 5

6

Κατάλογος Πινάκων 2.1 Μέθοδοι µοντελοποίησης της εξάπλωσης του κακόβουλου λογισµικού 62 2.2 Ταξινόµηση των κατανεµηµένων συνεργατικών συστηµάτων περιορισµού του κακόβουλου λογισµικού.................. 76 6.1 Παράµετροι µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για την συσχέτιση του µεγέθους του οµότιµου δικτύου και των επιβιωσάντων κόµβων σε οµογενή γράφο...................... 166 6.2 Παράµετροι µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για την συσχέτιση του µεγέθους του οµότιµου δικτύου και των επιβιωσάντων κόµβων σε τυχαίο γράφο....................... 167 6.3 Παράµετροι µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για την συσχέτιση του µεγέθους του οµότιµου δικτύου και των επιβιωσάντων κόµβων σε γράφο ελεύθερης κλίµακας............... 168 6.4 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις σε οµογενή γράφο για τη συσχέτιση του µέγιστου ελάχιστου αριθµού επικοινωνούντων κόµβων και επιβιωσάντων κόµβων170 6.5 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις σε γράφο ελεύθερης κλίµακας για τη συσχέτιση του µέγιστου ελάχιστου αριθµού επικοινωνούντων κόµβων και επιβιωσάντων κόµβων............................ 174 6.6 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις σε γράφο ελεύθερης κλίµακας για τη συσχέτιση του µέγιστου ελάχιστου αριθµού επικοινωνούντων κόµβων και επιβιωσάντων κόµβων............................ 176 6.7 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις σε τυχαίο γράφο για τη συσχέτιση του µέγιστου ελάχιστου αριθµού επικοινωνούντων κόµβων και επιβιωσάντων κόµβων177 7

6.8 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για το µέγεθος του χρονοπαραθύρου σε οµογενή γράφο178 6.9 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για το µέγεθος του χρονοπαραθύρου σε τυχαίο γράφο 179 6.10 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για το µέγεθος του χρονοπαραθύρου σε γράφο ελεύ- ϑερης κλίµακας........................... 180 6.11 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για τη συσχέτιση του ορίου αλλαγής των επιπέδων ασφαλείας και των επιβιωσάντων κόµβων σε οµογενή γράφο.... 183 6.12 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για τη συσχέτιση του ορίου αλλαγής των επιπέδων ασφαλείας και των επιβιωσάντων κόµβων σε τυχαίο γράφο..... 184 6.13 Παράµετροι του συστήµατος promis µε τις οποίες διεξήχθησαν οι προσοµοιώσεις για τη συσχέτιση του ορίου αλλαγής των επιπέδων ασφαλείας και των επιβιωσάντων κόµβων σε γράφο ελεύθερης κλί- µακας................................. 185 6.14 Παράµετροι του εργαλείου ngce για την κατασκευή του οµογενούς γράφου................................ 186 6.15 Παράµετροι του εργαλείου ngce για την κατασκευή του τυχαίου γρά- ϕου.................................. 186 6.16 Παράµετροι του εργαλείου ngce για την κατασκευή του γράφου ελεύθερης κλίµακας......................... 187 8

Κατάλογος Σχηµάτων 2.1 Αντιµετώπιση του κακόβουλου λογισµικού (διάγραµµα καταστάσεων σε uml)................................ 39 2.2 Οι παράγοντες που επηρεάζουν την εξάπλωση του κακόβουλου λογισµικού............................... 51 3.1 Αναζήτηση αρχείων στο υβριδικό µοντέλο.............. 83 3.2 Μεταφόρτωση αρχείων στο υβριδικό µοντέλο............ 84 3.3 Αναζήτηση αρχείων στο πλήρως αποκεντρωµένο µοντέλο...... 86 3.4 Μεταφόρτωση αρχείων στο πλήρως αποκεντρωµένο µοντέλο.... 86 3.5 Αναζήτηση αρχείων στο µερικώς αποκεντρωµένο µοντέλο...... 87 3.6 Μεταφόρτωση αρχείων στο µερικώς αποκεντρωµένο µοντέλο.... 88 3.7 Η αρχιτεκτονική του αλγορίθµου promis............... 92 3.8 ιαγράµµατα δραστηριότητας των Handler και Notifier....... 96 4.1 Σύγκριση των ϑεωρητικά αναµενόµενων αποτελεσµάτων µε τα πει- ϱαµατικά δεδοµένα που προκύπτουν από τον προσοµοιωτή.... 121 4.2 Πολλαπλές εκτελέσεις του πειράµατος για την απάληψη στοχαστικών διακυµάνσεων.......................... 122 4.3 Ο µέσος όρος των πολλαπλών εκτελέσεων του πειράµατος..... 123 4.4 Προβολή αποτελεσµάτων σε µεγέθυνση µε και χωρίς διακριτικοποιήση124 5.1 Το γραφικό περιβάλλον του εργαλείου ngce............. 138 5.2 Το UML διάγραµµα ανάπτυξης (deployment) του ngce....... 140 5.3 Το UML διάγραµµα κλάσεων του ngce............... 141 5.4 Απεικόνιση οµογενούς γράφου µε 16 κόµβους........... 142 5.5 Κατανοµή πιθανοτήτων συνδεσιµότητας σε οµογενή γράφο..... 143 5.6 Απεικόνιση τυχαίου γράφου κατά Erdős Rény µε 1000 κόµβους 143 5.7 Κατανοµή πιθανοτήτων συνδεσιµότητας σε τυχαίο γράφο κατά Erdős Rény................................ 144 9

5.8 Απεικόνιση ειδικά διαµορφωµένου τυχαίου γράφου µε 500 κόµβους 145 5.9 Κατανοµή πιθανοτήτων συνδεσιµότητας σε ειδικά διαµορφωµένο τυχαίο γράφο.............................. 146 5.10 Απεικόνιση σταθερής συνδεσιµότητας γράφου µε 16 κόµβους και 4 ακµές ανά κόµβο........................... 148 5.11 Κατανοµή πιθανοτήτων συνδεσιµότητας σε γράφο µε σταθερή συνδεσιµότητα.............................. 148 5.12 Απεικόνιση γράφου ελεύθερης κλίµακας µε 500 κόµβους..... 149 5.13Κατανοµή πιθανοτήτων συνδεσιµότητας σε γράφο ελεύθερης κλίµακας150 5.14 Απεικόνιση ειδικά διαµορφωµένου γράφου ελεύθερης κλίµακας µε προτιµησιακή συνδεσιµότητα µε 200 κόµβους........... 152 5.15 Κατανοµή πιθανοτήτων συνδεσιµότητας σε ειδικά διαµορφωµένο γρά- ϕο ελεύθερης κλίµακας µε προτιµησιακή συνδεσιµότητα...... 153 5.16 Απεικόνιση ειδικά διαµορφωµένου γράφου ελεύθερης κλίµακας µε σταδιακή ανάπτυξη µε 1000 κόµβους................ 154 5.17 Κατανοµή πιθανοτήτων συνδεσιµότητας σε ειδικά διαµορφωµένο γρά- ϕο ελεύθερης κλίµακας µε σταδιακή ανάπτυξη........... 154 5.18Η έξοδος του προσοµοιωτή promis.................. 159 5.19 Οι αλλαγές στα επίπεδα ασφάλειας των κόµβων του promisgroup κατά την διάρκεια της επιδηµίας κακόβουλου λογισµικού..... 160 6.1 Συσχέτιση µεταξύ του µεγέθους του οµότιµου δικτύου και των επι- ϐιωσάντων κόµβων σε οµογενή γράφο................ 167 6.2 Συσχέτιση µεταξύ του µεγέθους του οµότιµου δικτύου και των επι- ϐιωσάντων κόµβων σε τυχαίο γράφο................. 168 6.3 Συσχέτιση µεταξύ του µεγέθους του οµότιµου δικτύου και των επι- ϐιωσάντων κόµβων σε γράφο ελεύθερης κλίµακας......... 169 6.4 Συσχέτιση µέγιστου ελάχιστου αριθµού επικοινωνούντων κόµβων και επιβιωσάντων κόµβων σε οµογενή γράφο............ 170 6.5 Συσχέτιση µέγιστου ελάχιστου αριθµό επικοινωνούντων κόµβων και επιβιωσάντων κόµβων σε γράφο ελεύθερης κλίµακας...... 174 6.6 Συσχέτιση µεταξύ του µέγιστου ελάχιστου αριθµού επικοινωνούντων κόµβων και επιβιωσάντων κόµβων σε γράφο ελεύθερης κλίµακας 175 6.7 Συσχέτιση µεταξύ του µέγιστου ελάχιστου αριθµού επικοινωνούντων κόµβων και επιβιωσάντων κόµβων σε τυχαίο γράφο....... 176 10

6.8 Συσχέτιση µεταξύ παρελθουσών µετρήσεων και επιβιωσάντων κόµ- ϐων σε οµογενή γράφο........................ 178 6.9 Συσχέτιση µεταξύ παρελθουσών µετρήσεων και επιβιωσάντων κόµ- ϐων σε τυχαίο γράφο......................... 179 6.10 Συσχέτιση µεταξύ παρελθουσών µετρήσεων και επιβιωσάντων κόµ- ϐων σε γράφο ελεύθερης κλίµακας................. 180 6.11 Συσχέτιση µεταξύ του ορίου αλλαγής των επιπέδων ασφαλείας και των επιβιωσάντων κόµβων σε οµογενή γράφο............ 182 6.12 Συσχέτιση µεταξύ του ορίου αλλαγής των επιπέδων ασφαλείας και των επιβιωσάντων κόµβων σε τυχαίο γράφο............. 183 6.13 Συσχέτιση µεταξύ του ορίου αλλαγής των επιπέδων ασφαλείας και των επιβιωσάντων κόµβων σε γράφο ελεύθερης κλίµακας...... 184 7.1 Παράδειγµα γράφου µε περιορισµένο εύρος Ϲώνης σε δύο κύκλους προσοµοίωσης. Κάθε κόµβος επικοινωνεί µε περιορισµένο αριθµό άλλων κόµβων σε κάθε κύκλο (κόκκινη γραµµή), παρότι παραµένει συνδεδεµένος µε κάθε άλλο κόµβο (µπλε γραµµή)......... 206 7.2 Παράδειγµα γράφου µε περιορισµένο εύρος Ϲώνης σε δύο κύκλους προσοµοίωσης σε τρισδιάστατη προβολή. Κάθε κόµβος επικοινωνεί µε διαφορετικό σύνολο κόµβων σε κάθε κύκλο, σχηµατίζοντας τοπολογία γράφου ελεύθερης κλίµακας............... 207 11

12

Περίληψη Στα πλαίσια αυτής της διδακτορικής διατριβής παρουσιάζονται ϑεωρητικά και εµπειρικά δεδοµένα, τα οποία τεκµηριώνουν τους λόγους για τους οποίους οι υπάρχουσες εφαρµογές ασφαλείας αδυνατούν να περιορίσουν τις σύγχρονες επιδηµίες κακόβουλου λογισµικού. Στη συνέχεια αναλύονται ευρέως χρησιµοποιούµενα µαθηµατικά επιδηµιολογικά µοντέλα, τα οποία µπορούν περιγράψουν επαρκώς την εξέλιξη ανάλογων ϕαινοµένων. Το κύριο αντικείµενο της διδακτορικής διατριβής είναι ο προτεινόµενος Συνεργατικός Αλγόριθµος Περιορισµού PROMIS (PROactive Malware Identification System). Ο αλγόριθµος promis δηµιουργεί ένα οµότιµο δίκτυο, τα µέλη του οποίου ανταλλάσσουν πληροφορίες σχετικά µε περιστατικά ασφαλείας που παρατηρούν τοπικά, προκειµένου να εξαχθεί η γενικότερη κακόβουλη δραστηριότητα του ιαδικτύου. Κάθε κόµβος του οµότιµου δικτύου καταγράφει διαφορετικά πε- ϱιστατικά ασφάλειας και επικοινωνεί µε ένα πεπερασµένο αριθµό άλλων κόµβων. Στόχος του συστήµατος promis δεν είναι να προστατεύσει το σύνολο των µελών του από συγκεκριµένες απειλές, όπως πραγµατοποιείται σε άλλες ερευνητικές προσπάθειες. Αντίθετα, εισάγοντας την έννοια της Υγιεινής των Υπολογιστών τα µέλη του οµότιµου δικτύου απενεργοποιούν αυτόµατα όλες τις χρήσιµες αλλά όχι κρίσιµες εφαρµογές τους, κατά την διάρκεια που µια επιδηµία κακόβουλου λογισµικού ϐρίσκεται σε έξαρση. Αργότερα, όταν το ϕαινόµενο παρουσιάσει ύφεση, οι συγκεκριµένες υπηρεσίες επαναενεργοποιούνται. Συνεπώς, µια επιπλέον δια- ϕοροποίηση του συστήµατος promis είναι ότι απευθύνεται σε τελικούς χρήστες σε αντίθεση µε τις περισσότερες άλλες υλοποιήσεις, που εγκαθίστανται σε δικτυακές υποδοµές (π.χ δροµολογητές). Επιπρόσθετα, επειδή όλη η διαδικασία είναι αυτοµατοποιηµένη, µπορεί να χρησιµοποιηθεί και από οικιακούς χρήστες που δεν διαθέτουν τις απαιτούµενες τεχνικές γνώσεις για να αυτοπροστατευθούν επαρκώς. Η δυνατότητα υλοποίησης ενός ανάλογου συστήµατος τεκµηριώθηκε µε την κατασκευή δύο πρωτοτύπων. Για την κατασκευή τους αξιοποιήθηκαν ευρέως 13

χρησιµοποιούµενες και ώριµες τεχνολογίες στις πιο δηµοφιλείς πλατφόρµες. Οι παραπάνω κατασκευές πιστοποίησαν την εφικτότητα της προσέγγισης που ακολουθεί ο αλγόριθµος promis. Προκειµένου να ελεγχθεί και να καταγραφεί η αποτελεσµατικότητα του αλγορίθµου, πραγµατοποιήθηκε µεγάλος αριθµός προσοµοιώσεων, ούτως ώστε να προκύψουν και να αναλυθούν τα απαραίτητα πειρα- µατικά δεδοµένα. Περαιτέρω ϐιβλιογραφική έρευνα κατέδειξε την σηµασία που έχει η επιλογή της κατάλληλης υποκείµενης δικτυακής τοπολογίας κατά την διάρκεια των προσοµοιώσεων, για την εξαγωγή ϱεαλιστικών αποτελεσµάτων. Για την δηµιουργία των κατάλληλων γράφων που ϑα προσεγγίζουν όσο τον δυνατόν πιστότερα τις υπάρχουσες δικτυακές τοπολογίες, κατασκευάστηκε το εργαλείο ngce (Network Graphs for Computer Epidemiologists). Το ngce διατίθεται µε άδεια χρήσης ανοικτού λογισµικού και χρησιµοποιείται από διάφορους ερευνητές παγκοσµίως, αρκετοί εκ των οποίων ασχολούνται σε τελείως διαφορετικά επιστηµονικά πεδία. Η κατασκευή του εργαλείου ngce επέτρεψε την παραγωγή των κατάλληλων γράφων, για την πραγµατοποίηση των πειραµάτων. Για την διεξαγωγή των προσοµοιώσεων υλοποιήθηκε ο προσοµοιωτής promissim, µε τον οποίο έγιναν όλες οι πειραµατικές µετρήσεις. Τα αποτελέσµατά του υποστηρίζουν την χρησιµότητα του αλγορίθµου promis. Τα πειραµατικά αποτελέσµατα συγκλίνουν στο ότι ο αλγόριθµος promis είναι σε ϑέση να προστατέψει ικανοποιητικό αριθµό συστηµάτων από επιδηµίες ταχέως εξαπλούµενου κακόβουλου λογισµικού. Η αποτελεσµατικότητα του αλγο- ϱίθµου εξαρτάται από διάφορους εγγενείς και περιβαλλοντολογικούς παράγοντες, οι οποίοι εξετάστηκαν ενδελεχώς, ωστόσο ιδιαίτερα επιθετικές πολιτικές ασφάλειας µπορούν προφυλάξουν το σύνολο σχεδόν των µελών του οµότιµου δικτύου. Στο τέλος αυτής της διδακτορικής διατριβής παρουσιάζεται ένα εναλλακτικό µοντέλο για την κατασκευή γράφων αποκλειστικά στοχευµένο στην προσοµοίωση ταχέως εξαπλούµενου κακόβουλου λογισµικού. 14

ηµοσιεύσεις Vasileios Vlachos, and Diomidis Spinellis, A PRoactive Malware Identification System based on the Computer Hygiene Principles, Information Management & Computer Security (Emerald), August 2007 (forthcoming) Vasileios Vlachos, Stefanos Androutsellis-Theotokis and Diomidis Spinellis, Security Applications of Peer-to-peer Networks, Computer Networks (Elsevier Science), Volume 45, Issue 2, pp 195-205, June 2004 Panagiotis Louridas, Diomidis Spionellis and Vasileios Vlachos, Power Laws in Software, ACM Transactions on Software Engineering and Methodology (forthcoming) Vasileios Vlachos and Diomidis Spinellis, On the Effectiveness of Worm Propagation Strategies, Journal in Computer Virology (accepted with revisions) Vasileios Vlachos, Eirini Kalliamvakou, and Diomidis Spinellis. Simulating bandwidth-limited worms: One graph to rule them all? In Theodore S. Papatheodorou, Dimitris N. Christodoulakis, and Nikitas N. Karanikolas, editors, Current Trends in Informatics: 11th Panhellenic Conference on Informatics, PCI 2007, volume B, pages 151-162, Athens, May 2007. New Technologies Publications Georgios Gousios, Vassilios Karakoidas, Konstantinos Stroggylos, Panagiotis Louridas, Vasileios Vlachos, and Diomidis Spinellis. The Software quality assessment of open source software. In Theodore S. Papatheodorou, Dimitris N. Christodoulakis, and Nikitas N. Karanikolas, editors, Current Trends in Informatics: 11th Panhellenic Conference on Informatics, PCI 2007, volume A, pages 303-315, Athens, May 2007. New Technologies Publications 15

Stephanos Androutsellis-Theotokis, Diomidis Spinellis, and Vasileios Vlachos. The MoR-Trust distributed trust management system: Design and simulation results. In proceedings of the 2nd International workshop on security and trust management (STM 06), September 2006 Vasileios Vlachos, Andreas Raptis, and Diomidis Spinellis PROMISing steps towards computer hygiene, In Steven Furnell, editor, International Network Conference (INC2006), pages 229-236, July 2006, Plymouth, UK Vasileios Vlachos, Vassiliki Vouzi, Damianos Chatziantoniou, and Diomidis Spinellis, NGCE Network Graphs for Computer Epidemiologists, In Panagiotis Bozanis and Elias N. Houstis, editors, Advances in Informatics: 10th Panhellenic Conference on Informatics (PCI 2005), pages 672-683, Springer-Verlag, November 2005 Lecture Notes in Computer Science 3746 Georgia Vassilopoulou, Vasileios Vlachos, Anastasia Gavreliatou, Ioanna- Agathi Mantzouratou and Maria Spyropoulou, Studying Complex Technological Systems using Graph Theory, In Department of Management Science & Technology (DMST) 3rd Conference, May 2006, Athens Vasileios Vlachos, Vassiliki Vouzi and Diomidis Spinellis, PROMIS: PROactive Malware Identification System, In Department of Management Science & Technology (DMST) 2nd Conference, May 2005, Athens 16

Ευχαριστίες Ολοκληρώνοντας την διπλωµατική µου εργασία στο Πολυτεχνείο Κρήτης, µου ϕάνηκε πολύ δύσκολο να ξεχωρίσω κάποιους από όλους τους ανθρώπους που µε ϐοήθησαν τότε, για να τους αναφέρω στο σχετικό εδάφιο. Το ίδιο πρόβληµα αντιµετώπισα στη συγγραφή της µεταπτυχιακής µου διατριβής στο Πανεπιστήµιο Πατρών. Και στις δύο περιπτώσεις χρειάστηκα περίπου 6-8 µήνες για την διεξαγωγή και παρουσίαση της διπλωµατικής µου εργασίας και της µεταπτυχιακής µου διατριβής αντίστοιχα. Με ϐάση τα παραπάνω, αναρωτιέµαι πως ϑα µπορούσα να ευχαριστήσω πραγµατικά όλους αυτούς που µε ϐοήθησαν µε τον ένα ή τον άλλο τρόπο καθ όλη την διάρκεια των 4 1/2 µε 5 χρόνων που απαιτήθηκαν για αυτή τη διδακτορική διατριβή. Είµαι σίγουρος ότι ϑα παραλείψω ορισµένους, που η ϐοήθεια και χρόνος τους, αξίζουν πολύ περισσότερο από τις όποιες ευχαριστίες σε µια διδακτορική διατριβή και για αυτό οφείλω να Ϲητήσω εκ των προτέρων συγγνώµη. Για όσους αναφέρονται στην συνέχεια αυτού του κειµένου, οι ϑερµές ευχαριστίες µου είναι το ελάχιστο που µπορώ να προσφέρω. Πρωτίστως ϑέλω να ευχαριστήσω τους γονείς µου για την αµέριστη συµπα- ϱάσταση που µου προσέφεραν καθ όλη την διάρκεια αυτής της προσπάθειας και ειδικότερα για την ϐοήθεια τους σε στιγµές όπου τα πράγµατα δεν πήγαιναν πάντα καλά. Χωρίς τη ϐοήθεια τους ίσως να µην έφτανα ποτέ να γράψω αυτήν την ενότητα. Στη συνέχεια αισθάνοµαι υποχρεωµένος να ευχαριστήσω τους Καθηγητές µου για την συνεργασία που είχαµε και όσα προσπάθησαν να µε διδάξουν. Ειδικότερα, τον Καθηγητή κ. Κώστα Καλαϊτζάκη που επέβλεψε την διπλωµατική µου εργασία στο Πολυτεχνείο Κρήτης και µου έδειξε πως πρέπει να σκέφτεται και να εργάζεται ένας µηχανικός. Τον Καθηγητή κ. Γκούτη του Πανεπιστηµίου Πατρών, που επιβλέποντας την µεταπτυχιακή διατριβή µου, µου µετέδωσε την αγάπη του και το πάθος για την επιστήµη και τον επιβλέποντα Καθηγητή αυτής της εργασίας κ. ιοµήδη Σπινέλλη, όπου αποτέλεσε για µένα το καλύτερο παράδειγµα για την πειθαρχία και το χαρακτήρα που απαιτεί η σοβαρή επιστηµονική έρευνα. 17

Σε προσωπικό επίπεδο ϑέλω να ευχαριστήσω ιδιαίτερα τους συναδέλφους µου Στέφανο Ανδρουτσέλλη-Θετοκή, Βασίλη Καρακόιδα, Γιώργο Γούσιο και Κώστα Στρογγυλό για την άριστη συνεργασία που είχαµε και το κυριότερο για τη πολύ καλή παρέα που κάναµε. Γνωρίζοντας πόσο δύσκολες είναι εργασιακές σχέσεις σε άλλους χώρους, η ευκαιρία που είχα να εργάζοµαι σε ένα χώρο µόνο µε πραγµατικούς ϕίλους αποτέλεσε τεράστια τύχη. Φυσικά, ϑα ήταν άδικο να µην αναφερθώ και στην ϐοήθεια και την ϕιλία που µου πρόφεραν ο Σταύρος Γρηγορακάκης, η Βάσω Ταγκαλάκη, η Μαρία Τσαούσογλου και ϐέβαια ο Γιώργος Ζουγανέλης. Κλείνοντας, ϑα ήθελα να ευχαριστήσω όλους τους παλιούς και νέους ϕίλους όλα αυτά τα χρόνια, που µε ανέχτηκαν και µε την καλή τους παρέα ξεπεράστηκαν και οι πιο δύσκολες στιγµές της διδακτορικής διατριβής. Ας µου επιτραπεί µια εξαίρεση για να αναφέρω δύο µόνο ονοµαστικά. Τον Κώστα Φούσκα που µε ϐοήθησε αφάνταστα µε τις ϐαθιά ϕιλοσοφηµένες απόψεις του και την Ελευθερία για το ενδιαφέρον της. Τέλος ϑα ήθελα να ευχαριστήσω τα µέλη της συµβουλευτικής και εξεταστικής επιτροπής κ. κ. Γκρίτζαλη, Ταραντίλη, Κάτσικα, Μαγείρου, Αποστολόπουλο, Γιαγλή και την κ. Πουλούδη για την συνεργασία τους, το ενδιαφέρον τους και τις χρήσιµες παρατηρήσεις τους. 18

Κεφάλαιο 1 Εισαγωγή Το εισαγωγικό κεφάλαιο περιλαµβάνει µια πολύ σύντοµη ιστορική αναδροµή του κακόβουλου λογισµικού. Σκοπός του συγγραφέα δεν είναι σε καµία περίπτωση η αναλυτική παρουσίαση της εξέλιξής του, αφού αυτό ϑα απαιτούσε ένα εξολοκλήρου ξεχωριστό σύγγραµµα [84, 59], προκειµένου να συµπεριλάβει σωρεία σηµαντικών γεγονότων και περιστατικών που διαµόρφωσαν αυτόν τον χώρο. Αντίθετα, στόχος είναι να παρουσιαστούν επιγραµµατικά, ορισµένα χαρακτηριστικά στιγµιότυπα στην ιστορία του κακόβουλου λογισµικού, τα οποία επιλέχθηκαν γιατί περιγράφουν παραστατικά τις σηµαντικές αλλαγές που συντελέσθηκαν τις τελευταίες δεκαετίες. Οι ιοί, και οι άλλες µορφές κακόβουλου λογισµικού που εξετάζονται, αποτυπώνουν τις αλλαγές στον τρόπο σκέψης και στα κίνητρα των συγγραφέων τους [100, 99, 98] και συνεπακόλουθα στα τεχνικά χαρακτηριστικά και την επικινδυνότητα των δηµιουργηµάτων τους. Μετά την αναφορά αυτών των ενδεικτικών παραδειγµάτων, ϑα ακολουθήσει µια πιο αναλυτική συζήτηση, όπου ϑα δοθεί έµφαση στους παράγοντες που επηρεάζουν την εξάπλωση του κακόβουλου λογισµικού. Θεωρείται αναγκαίο, πριν γίνει οποιαδήποτε απόπειρα για την επίλυση ενός τόσο σύνθετου προβλήµατος, όπως η εξάπλωση του κακόβουλου λογισµικού, να εκτιµηθεί κατά το δυνατόν το µέγεθος αυτής της απειλής, άλλα και να προσδιοριστούν τα κίνητρα αυτών που το αναπτύσσουν, ώστε να καταστεί δυνατή η ανάπτυξη των ϐέλτιστων αµυντικών στρατηγικών. Παράλληλα, ϑα δοθεί η ανάλογη έµφαση στις συνθήκες που ευνοούν την διάδοση του, καθώς πρέπει να ληφθούν υπόψη στον σχεδιασµό των κατάλληλων περιοριστικών µέτρων. Οι ιοί, τα δικτυακά σκουλήκια (network worms), αλλά και όλες οι άλλες µορ- ϕές κακόβουλου λογισµικού, δεν αποτελούν σε καµία περίπτωση µια πρωτοεµ- ϕανιζόµενη απειλή. Ο λόγος ενασχόλησης µαζί τους µπορεί να γίνει καλύτερα 19

κατανοητός, εάν περιγραφεί πολύ σύντοµα η ιστορική εξέλιξη τους και οι αιτίες που τους καθιστούν ακόµα και σήµερα εξαιρετικά ενδιαφέρον ερευνητικό ϑέµα. Η ύπαρξη τους ανάγεται αρκετές δεκαετίες παλιότερα, όταν µεταπτυχιακοί ϕοιτητές κατασκεύαζαν προγράµµατα που αναπαράγονταν διαρκώς σε κάποιο υπολογιστικό σύστηµα µέχρι να εξαντλήσουν όλη τη διαθέσιµη µνήµη του και να το οδηγήσουν σε κατάρρευση. Τα προγράµµατα αυτά ονοµάστηκαν περιγρα- ϕικά κουνέλια (rabbits) και ο στόχος των συγγραφέων τους ήταν προφανώς να διασκεδάσουν. Λίγο αργότερα εµφανίσθηκε λογισµικό το οποίο πληρούσε τα κριτήρια [57, 58] για να ϑεωρηθεί ιοµορφικό (το Pervading Animal για υπολογιστές Univac 1108 και το Christmas tree για συστήµατα IBM 360/370). Ο πρώτος ιός όµως που έγινε πραγµατικά γνωστός στους κύκλους των ανθρώπων που ασχολούνταν µε την πληροφορική, ήταν ο Elk Cloner για υπολογιστές Apple το 1982, που προγραµµατίστηκε από τον Rich Skrenta [212]. Ο Elk Cloner είχε και αυτός ψυχαγωγικό στόχο, καθώς την 50η εκτέλεση ενός µολυσµένου προγράµµατος εµφάνιζε ένα ποιηµατάκι. Σηµαντική στιγµή στη ιστορία των ιών για υπολογιστές υπήρξε ο ιός Brain [59], που ήταν ο πρώτος που µόλυνε προσωπικούς υπολογιστές (PC). Ενα άλλο σηµαντικό περιστατικό που πέρασε τότε απαρατήρητο, ήταν τα πειράµατα τα οποία διεξήγαγαν οι ερευνητές John F. Shoch και John A. Hupp [210, 59], στα ϕηµισµένα εργαστήρια της Xerox στο Palo Alto, προσπαθώντας να αναπτύξουν αυτο-αναπαραγόµενο λογισµικό προκειµένου να αξιοποιήσουν καλύτερα τους διαθέσιµους υπολογιστικούς πόρους του δικτύου τους. Γρήγορα το λογισµικό τους ϐγήκε εκτός ελέγχου και αναγκάστηκαν να το σταµατήσουν γιατί δηµιούργησε σηµαντικά προβλήµατα στα δίκτυα και τους υπολογιστές της Xerox. Οι ενδείξεις αυτές πέρασαν απαρατήρητες από την επιστηµονική κοινότητα, η οποία αντιµετώπισε αρχικά το πρόβληµα µε σκεπτικισµό και αδιαφορία. Ενας από τους γνωστότερους προγραµµατιστές, ο Peter Norton, παροµοίαζε τους ιούς υπολογιστών σαν τους αλιγάτορες των υπονόµων της Νέας Υόρκης, ότι δηλαδή όλοι τους έχουν ακούσει, αλλά κανένας δεν τους έχει δει και συνεπώς αποτελούν ένα κοινά αποδεκτό µύθο. Τον Peter Norton διέψευσε µε τον πλέον κατηγορη- µατικό τρόπο ο νεαρός τότε ερευνητής Fred Cohen, ο οποίος τεκµηρίωσε µαζί µε τον επιβλέποντα του Καθηγητή Leonard Adleman [57, 58, 59], τόσο ϑεωρητικά όσο και πειραµατικά, την ύπαρξη του κακόβουλου λογισµικού και εισήγαγε στην επιστηµονική κοινότητα τον όρο ιός για να περιγράψει τον επιζήµιο κώδικα. Σε πρακτικό επίπεδο, τα πρώτα µέτρα αντιµετώπισης των ιών υπήρξαν adhoc εφαρµογές που διέγραφαν µόνο τον συγκεκριµένο ιό που είχε δηµιουργήσει 20

πρόβληµα. εδοµένου ότι ο αριθµός των ιών εκείνη την εποχή ήταν αρκετά µικρός και η χρήση των υπολογιστών γινόταν από καθαρά εξειδικευµένο προσωπικό, το πρόβληµα του κακόβουλου λογισµικού περιορίστηκε σε ακαδηµαϊκό επίπεδο και ίσως στις περιθωριακές κοινότητες των hackers. Τα κίνητρα των πρώτων συγγραφέων κακόβουλου λογισµικού υπήρξαν προφανώς αθώα, αφού ο στόχος τους ήταν κυρίως ψυχαγωγικός, ενώ δεν έλειψαν και οι περιπτώσεις όπου ιοί αναπτύχθηκαν, για να καλύψουν την περιέργεια των συγγραφέων τους για το πως ακριβώς λειτουργούν οι υπολογιστές [101]. Εκτοτε εµφανίστηκαν χιλιάδες νέοι ιοί, καθώς σήµερα ο συνολικός αριθµός τους ξεπερνά τις 100.000 [224]. Το πρώτο περιστατικό που αφύπνισε τον επιστηµονικό κόσµο σχετικά µε την επικινδυνότητα του επιζήµιου κώδικα, ήταν η επιδηµία κακόβουλου λογισµικού που δηµιούργησε το δικτυακό σκουλήκι Morris το 1988 [215, 79, 192, 104]. Συγγραφέας του σκουληκιού υπήρξε ο Robert Tappan Morris, γιος του επιφανούς στελέχους της Αµερικανικής Εθνικής Υπηρεσίας Ασφάλειας NSA (National Security Agency) Robert Morris, ο οποίος χρησιµοποιώντας εξαιρετικά εξελιγµένες τεχνικές για την εποχή του, κατάφερε να µολύνει περίπου 6000 συστήµατα ή αλλιώς γύρω στο 10% του τότε ιαδικτύου. Ο αντίκτυπος που προκλήθηκε σε όλη την ακαδηµαϊκή κοινότητα, αλλά περισσότερο στις υπηρεσίες ασφαλείας, ήταν τεράστιος αφού έγιναν εµφανή τα κενά ασφαλείας που παρουσίαζαν οι κρίσιµες τεχνολογικές υποδοµές των Η.Π.Α, σε µια περίοδο που ο ψυχρός πόλεµος ϐρισκόταν σε πλήρη εξέλιξη. Τα µέτρα που ελήφθησαν, οδήγησαν στην δηµιουργία του πρώτου Κέντρου Αντιµετώπισης Επειγουσών Ψηφιακών Απειλών (Computer Emergency Responce Team) στο Πανεπιστήµιο του Carnegie Mellon και στην αναµόρφωση του νοµικού συστήµατος που αφορούσε την ϐαριά τιµωρία ανάλογων πράξεων [80, 214, 82]. Επίσης, σηµαντική ήταν η αφύπνιση της πλειονότητας των επιχειρήσεων και των χρηστών για την αναγκαιότητα αντιµετώπισης του κακό- ϐουλου λογισµικού. Αποτέλεσµα του αυξηµένου ενδιαφέροντος που προκλήθηκε για τους υπολογιστικούς ιούς και τα δικτυακά σκουλήκια, ήταν η γέννηση ενός αριθµού εταιριών που παράγουν αντιικά προγράµµατα. Η µέθοδος που χρησι- µοποιούν τα προγράµµατα αυτά, εστιάζεται στην ανάπτυξη αλγορίθµων για τον εντοπισµό του κακόβουλου κώδικα σε διάφορα αρχεία του συστήµατος, ή στις εκτελέσιµες εφαρµογές. Οι υπάρχοντες αλγόριθµοι, προσπαθούν να αναγνωρίσουν το επιζήµιο λογισµικό µε τεχνικές ανάλυσης υπογραφής (signature analysis) και αναγνώρισης προτύπων (pattern recognition) [212, 224, 128]. Οι αλγόριθµοι αυτοί, επιχειρούν να εντοπίσουν τα µολυσµένα προγράµµατα, ελέγχοντας αν ο 21

εκτελούµενος κώδικάς τους παρουσιάζει οµοιότητες µε γνωστά πρότυπα ιών, τα οποία διατηρούν σε ενσωµατωµένες ϐάσεις δεδοµένων. Από την άλλη πλευρά, οι συγγραφείς ιών εξέλιξαν τεχνικές µη ανιχνευσι- µότητας (stealth techniques), πολυµορφισµού (polymorphism), µεταµορφισµού (metamorphism) και κρυπτογράφησης (encryption) [225, 147, 224]. Επίσης, ένα άλλο πρόβληµα, που αν και αρχικά δεν ϑεωρήθηκε ιδιαίτερα σοβαρό, στην συνέχεια αποδείχτηκε καθοριστικό, είναι ο χρόνος που απαιτείται για την ολοκλήρωση της παραπάνω διαδικασίας. Συγκεκριµένα, τα στάδια που απαιτούνται για την εξαγωγή της υπογραφής µιας µορφής κακόβουλου λογισµικού είναι τα εξής : 1. Αναγνώριση κάποιας εφαρµογής ή λογισµικού µε ύποπτη συµπεριφορά 2. Συλλογή και αποστολή του ύποπτου λογισµικού σε ερευνητές και σε ειδικά εργαστήρια, για την αποφυγή της περαιτέρω ακούσιας διάδοσής του. 3. Ανάλυσή του και εξαγωγή της κατάλληλης υπογραφής 4. Ελεγχος για την εγκυρότητα της υπογραφής και ειδικότερα διασφάλιση του ότι δεν αναγνωρίζει νόµιµες εφαρµογές ως κακόβουλες. 5. Ενηµέρωση των αντιικών προγραµµάτων των χρηστών. Προκειµένου να αντιµετωπιστούν οι δυσκολίες αυτές, αναπτύχθηκαν ευρετικοί (heuristic) αλγόριθµοι που αναλύουν την συµπεριφορά των εφαρµογών (behaviour-based analysis και algorithm-based analysis) [147, 224] και επιχειρούν να αναγνωρίσουν σε αυτή ύποπτες αλληλουχίες εντολών. Οι ευρετικοί αλγόριθµοι αντιµετωπίζουν αποτελεσµατικότερα άγνωστους ιούς, από ότι οι αλγόριθµοι που κάνουν χρήση ανάλυσης υπογραφής και αναγνώρισης προτύπων. Εµφανίζουν ωστόσο το µειονέκτηµα ότι δεν είναι σε ϑέση να προσδιορίσουν επακριβώς την ύπαρξη ή όχι κακόβουλου λογισµικού και ϐασίζονται σε ορισµένα στοχαστικά (probability based) µοντέλα, για να λάβουν την σχετική απόφαση. Εάν οι ευρετικοί αλγόριθµοι ϱυθµιστούν µε αυστηρά κριτήρια, προκειµένου να ακολουθηθεί επιθετική πολιτική ασφαλείας, το ϕυλασσόµενο σύστηµα ϑα είναι επαρκώς προστατευµένο, ωστόσο πολλά ωφέλιµα προγράµµατα είναι δυνατόν να αναγνωριστούν ως επιβλαβή, µε αποτέλεσµα να προκληθεί εσφαλµένος συναγερ- µός. Επιπρόσθετα, η αυστηρή πολιτική ασφαλείας συνεπάγεται ότι πολλές από 22