Giannis F. Marias 1
Εισβολείς Τεχνικές εισβολής Προστασία µε συνθηµατικό Στρατηγικές επιλογής συνθηµατικών Εντοπισµός εισβολών Προτεινόµενες ιστοσελίδες Giannis F. Marias 2
Τρεις κατηγορίες εισβολέων: Μεταµφιεσµένος (masquerader) Ένα άτοµο µη εξουσιοδοτηµένο να χρησιµοποιεί τον πόρο διαπερνά τους ελέγχους πρόσβασης ενός πόρους µε τον να εκµεταλλευτεί το νόµιµο λογαριασµό ενός χρήστη Παράνοµος (misfeasor) νόµιµος χρήστης που προσπελάζει δεδοµένα ή πόρους για τα οποία δεν έχει εξουσιοδότηση για τέτοιου είδους πρόσβαση Κρυφός χρήστης (clandestine user) αποκτά γενικό έλεγχο εποπτείας συστήµατος (supervisor), και τον χρησιµοποιεί για να αποφύγει την παρακολούθηση και τους ελέγχους πρόσβασης, ή για να εµποδίσει τη συλλογή δεδοµένων παρακολούθησης Giannis F. Marias 3
Το σύστηµα τηρεί ένα αρχείο το οποίο συσχετίζει ένα συνθηµατικό µε κάθε πιστοποιηµένο χρήστη. Το αρχείο συνθηµατικών µπορεί να προστατεύεται µε: Μονόδροµη κρυπτογράφηση Έλεγχο πρόσβασης Giannis F. Marias 4
Τεχνικές πρόβλεψης συνθηµατικών: οκιµή συνηθισµένων. οκιµή όλων των µικρών λέξεων, µε 1 µέχρι 3 χαρακτήρες. οκιµή όλων των λέξεων από ηλεκτρονικό λεξικό (60.000) Συλλογή πληροφοριών για την οικογένεια, τα χόµπι, τα γενέθλια, κ.λπ. του χρήστη. οκιµή του αριθµού τηλεφώνου, του αριθµού ταχυδροµικής διεύθυνσης, κ.λπ. του χρήστη. οκιµή όλων των αριθµών κυκλοφορίας. Χρήση ούρειου ίππου. Παρακολούθηση της γραµµής µεταξύ χρήστη και συστήµατος. Giannis F. Marias 5
Social engineering Μελέτη έδειξε 2/3 χρηστών θα αποκάλυπταν το password αν τους δίναµε ένα εκπτωτικό κουπόνι µερικών $ 75% χρηστών αποκάλυψαν ότι διαθέτουν το ίδιο password για περισσότερα από ένα συστήµατα Απρόσεκτη Χρήση Αφηρηµάδα: passwords είναι καταγεγραµµένα σε κινητά, flash/memory sticks etc. Συνηθισµένο: my password is x, get the file yourself. Giannis F. Marias 6
Αδύναµες επιλογές Μελέτη σε 3829 passwords Πρόσθετα (Egg on-line UK bank): 23% όνοµα παιδιού 19% όνοµα συζύγου ή συντρόφου 9% ίδιο µε το όνοµα κατόχου -------- σύνολο 50% -------- 8% όνοµα κατοικίδιου 9% όνοµα διάσηµου Users Password Choices. C. Pfleeger and S. Pfleeger Security in Computing, 4th edition, Prentice Hall Giannis F. Marias 7
Exhaustive attacks Έστω passwords µήκους έως 8 χαρακτήρων από τα κεφαλαία λατινικά (Α-Ζ, 26 χαρακτήρες) Υπάρχουν 26 1 passwords µήκους 1 χαρακτήρα 26 2 passwords µήκους 2 χαρακτήρων 26 3 passwords µήκους 3 χαρακτήρα.. Σύνολο 26 1 + 26 2 +. + 26 8 = 5*10 12 πιθανά passwords Έστω επεξεργαστής µε δοκιµή ενός pass/milisec Passwords µήκους 3 ή less = 26 1 +26 2 +26 3 =18.278, άρα 18.278 msecs Passwords µήκους 4 ή less = 475 seconds (8min) Passwords µήκους 5 ή less = 3,5 hours Giannis F. Marias 8
Φόρτωση νέου συνθηµατικού Giannis F. Marias 9
Επαλήθευση αρχείου συνθηµατικών Giannis F. Marias 10
Τα συνθηµατικά UNIX αποθηκεύονταν σε ένα κοινό αρχείο, το etc/password. Πλέον αποθηκεύονται σε έναν κρυφό κατάλογο (shadow) και µπορεί τα να δει µόνο ο χρήστης root. Giannis F. Marias 11
Η τιµή «salt» έχει τρεις σκοπούς: Αποτρέπει τα διπλά συνθηµατικά. Αυξάνει ουσιαστικά το µέγεθος του συνθηµατικού. Προστατεύει από υλοποιήσεις του DES σε υλικό Giannis F. Marias 12
Εκπαίδευση χρηστών Παραγωγή από υπολογιστή Αντιδραστικός έλεγχος το σύστηµα εκτελεί περιοδικά το δικό του πρόγραµµα σπασίµατος συνθηµατικών για να εντοπίσει αδύναµα συνθηµατικά. Προληπτικός έλεγχος επιτρέπεται στο χρήστη να επιλέξει το δικό του συνθηµατικό. την ώρα της επιλογής το σύστηµα ελέγχει αν αυτό το συνθηµατικό είναι επιτρεπτό Αν δεν είναι το απορρίπτει. Giannis F. Marias 13
µοντέλο Markov για την παραγωγή προβλέψιµων συνθηµατικών το µοντέλο δείχνει µια γλώσσα που αποτελείται από αλφάβητο 3 χαρακτήρων. κατάσταση συστήµατος σε οποιαδήποτε στιγµή είναι η ταυτότητα του πιο πρόσφατου γράµµατος. Η τιµή µετάβασης από µία κατάσταση σε άλλη είναι ηπιθανότητα να ακολουθείται ένα γράµµα από κάποιο άλλο. Giannis F. Marias 14
1. Καθορίζουµε τον πίνακα συχνοτήτων f, όπου f(i, j, k) είναι το πλήθος των εµφανίσεων της τριάδας γραµµάτων που αποτελείται από τους χαρακτήρες i, j, και k. 2. Για κάθε δυάδα γραµµάτων ij, υπολογίζουµε το f(i, j, ) ως το συνολικό αριθµό των τριάδων που ξεκινούν µε ij. 3. Υπολογίζουµε τις καταχωρίσεις του T ως εξής: T ( i, j, k) = f ( i, j, k) f ( i, j, ) Giannis F. Marias 15
H i όπου ( X ) = y 1 i k; 1 j D; 0 y N 1 i Χ i = η i λέξη στο λεξικό συνθηµατικών D = το πλήθος των λέξεων στο λεξικό συνθηµατικών 1. Ορίζεται πίνακας κατακερµατισµού από N bit, και όλα τα bit έχουν αρχικά την τιµή 0. 2. Για κάθε συνθηµατικό υπολογίζονται οι k τιµές κατακερµατισµού του, και τα αντίστοιχα bit στον πίνακα παίρνουν την τιµή 1. Giannis F. Marias 16
Σχεδιασµός του συστήµατος κατακερµατισµού ώστε να ελαχιστοποιούνται τα ψευδή θετικά. Πιθανότητα ψευδούς θετικού: P (1 e kd/n ) k = (1 e k/r ) k,, R ~ k ln(1 1/ k P ) k = N = D = R = N/D, bit ( ) (bit) Giannis F. Marias 17
1 0,01. 6, R = 9,6. 9,6 10 6 bit, (~1,2 MByte ),, 8 MByte. Giannis F. Marias 18 7
1. Ανίχνευση του δικτύου για: Χρησιµοποιούµενες διευθύνσεις IP, Λειτουργικό σύστηµα που χρησιµοποιείται, ανοιχτές θύρες TCP ή UDP (στις οποίες ακούνε οι διακοµιστές). 2. Εκτέλεση σεναρίων εκµετάλλευσης για αυτές τις θύρες 3. Πρόσβαση σε πρόγραµµα κελύφους το οποίο είναι υπερχρήστης (έχει δικαιώµατα root ). 4. Απόκτηση ειδικών εκδόσεων αρχείων συστήµατος από ιστοσελίδες των hacker, τα οποία επιτρέπουν στον cracker την ελεύθερη πρόσβαση χωρίς να εντοπίζεται από τα προγράµµατα παρακολούθησης η χρήση CPU ή χώρου στους δίσκους. 5. Χρήση του IRC (Internet Relay Chat) για πρόσκληση φίλων στο. Giannis F. Marias 19 19
Ο εισβολέας µπορεί να αναγνωριστεί και να αποκλειστεί από το σύστηµα. Ο αποτελεσµατικός εντοπισµός αποτρέπει εισβολές. Ο εντοπισµός εισβολών επιτρέπει τη συλλογή πληροφοριών για τις τεχνικές εισβολής, οι οποίες µπορούν να χρησιµοποιηθούν για βελτίωση της αποτρεπτικής ικανότητας. Giannis F. Marias 20
Giannis F. Marias 21
Εντοπισµός στατιστικών ανωµαλιών Εντοπισµός µε βάση κατώφλια Εντοπισµός µε βάση προφίλ Ανίχνευση µε βάση κανόνες Ανίχνευση ανωµαλιών Αναγνώριση διεισδύσεων Giannis F. Marias 22
Συχνότητα σύνδεσης κατά ηµέρα και ώρα. Συχνότητα σύνδεσης σε διαφορετικές θέσεις. Χρονικό διάστηµα από την τελευταία σύνδεση. Αποτυχίες συνθηµατικού κατά τη σύνδεση. Συχνότητα εκτέλεσης. Αρνήσεις εκτέλεσης. Συχνότητα ανάγνωσης, εγγραφής, δηµιουργίας, και διαγραφής. Καταµέτρηση αποτυχιών για ανάγνωση, εγγραφή, δηµιουργία, και διαγραφή. Giannis F. Marias 23
Αναπτύχθηκε στο Κολέγιο Davis του Πανεπιστηµίου της California Giannis F. Marias 24
Giannis F. Marias 25