8. vbill@aueb.gr, vavouzi@dmst.aueb.gr, dds@aueb.gr

Σχετικά έγγραφα
Εφαρμογές Ασφαλείας σε Περιβάλλον Ομότιμων Δικτύων

Μοντελοποίηση Ταχέως Εξαπλούµενου Κακόβουλου Λογισµικού σε Μεγάλης Κλίµακας ίκτυα

Τεχνολογίες & Εφαρμογές Πληροφορικής

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

Πρακτικά όλα τα προβλήματα ασφαλείας οφείλονται σε λάθη στον κώδικα

Αναβάθμιση ασφάλειας πρωτοκόλλου κρυπτογράφησης διακινούμενων δεδομένων αποκλειστικά σε TLS 1.2 στις διαδικτυακές υπηρεσίες της ΗΔΙΚΑ

Η αξία της έρευνας ευπαθειών στις δοκιμές παρείσδυσης. Δρ Πάτροκλος Αργυρούδης / Ερευνητής Ασφάλειας Η/Υ

«Εξαιρετική δουλειά, ευχαριστώ»: Μπορεί να μην μάθετε ποτέ τα περιστατικά ψηφιακής ασφάλειας που έχουν προκληθεί από τους υπαλλήλους σας

F-Secure Anti-Virus for Mac 2015

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ.

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Κάποια ransomware μπορεί να είναι μεταμφιεσμένα. Να σας εμφανίζονται για παράδειγμα ως προειδοποιητικά μηνύματα του τύπου "Ο υπολογιστής σας έχει

Managing Information. Lecturer: N. Kyritsis, MBA, Ph.D. Candidate Athens University of Economics and Business.

Υλοποίηση Συστήματος Ανίχνευσης Εισβολών σε Περιβάλλον Android για Ασύρματα Δίκτυα Πρόσβασης

ΈΦΗ ΑΠΟΣΤΟΛΑΚΟΥ ΤΜΗΜΑ: Α1

Πως μπορούν τα μέρη του υλικού ενός υπολογιστή να επικοινωνούν και να συνεργάζονται μεταξύ τους; Επειδή ακολουθούν συγκεκριμένες οδηγίες (εντολές).

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

Βελτιωμένη Εφαρμογή. Νέες δυνατότητες. Νέα Ιστοσελίδα

Κλέτσας Αλέξανδρος Τεχνικός ΚΕ.ΠΛΗ.ΝΕ.Τ. Σερρών 24/10/2014 ΚΕ.ΠΛΗ.ΝΕ.Τ. ΣΕΡΡΩΝ 1

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

Παραθέτουμε τις παρακάτω διευκρινήσεις βάση των ερωτημάτων που υποβλήθηκαν από τους υποψηφίους αναδόχους μετά την δημοσίευση του διαγωνισμού.

Ενσωματωμένα controls τα οποία προσαρμόζονται και χρησιμοποιούνται σε οποιαδήποτε ιστοσελίδα επιλέγει ο φορέας.

Περίληψη ιπλωµατικής Εργασίας

Γκέγκα Ευρώπη Κωστοπούλου Ειρήνη

Υπηρεσίες Ιστού (Web Services) ΜΙΧΑΛΗΣ ΜΑΛΙΑΠΠΗΣ

Διατίθεται εφαρμογή για κινητά τηλέφωνα android και ios. Γενική Αρχιτεκτονική Συστήματος

Οδηγός γρήγορης εκκίνησης

F.A.Q. (ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ)

Τ.Π.Ε. στον Τουρισμό. Τ.Ε.Ι. Ιονίων Νήσων Σχολή Διοίκησης και Οικονομίας - Λευκάδα

Κεφάλαιο 1.10: Προστασία και ασφάλεια δεδομένων

Σχεδιάζοντας Εφαρμογές για το Διαδίκτυο

1 Συστήματα Αυτοματισμού Βιβλιοθηκών

Speed-0 WMP: Web and Mobile Platform Software Requirements Specification

Δικτύωση με τα Windows Vista

Λογισμικό για το Σχολικό εργαστήριο

Πολιτική Cookies. Τι είναι τα cookies;

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

Εφαρμογή Διαχείρισης Στόλου Οχημάτων «RouteΤracker»

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

Εισαγωγή 6. Tα πολλά πρόσωπα των απειλών για το PC 8. Οι βασικές ρυθμίσεις ασφαλείας στα Windows 18. Προστασία από το Malware με το Avast Antivirus 34

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΑΠΟΡΡΗΤΟΥ

ΑΝΑΚΟΙΝΩΣΗ ΔΙΑΔΙΚΑΣΙΑΣ ΑΠΕΥΘΕΙΑΣ ΑΝΑΘΕΣΗΣ. Αριθμ. Πρωτ.: /2017 Ο ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ

Λογισμικό. Αντωνακάκης Αντώνιος Δήμος Ευάγγελος Χορόζογλου Γεώργιος

ΔΙΑΔΥΚΤΙΟ ΤΟ ΔΙΑΔΥΚΤΙΟ ΚΑΙ Η ΕΠΙΚΟΙΝΩΝΙΑ

ΟΛΟΚΛΗΡΩΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ ΕΝΙΣΧΥΣΗΣ ΨΗΦΙΑΚΗΣ ΕΜΠΙΣΤΟΣΥΝΗΣ

Γενικά Μέτρα Προστασίας. Πληροφοριακών Συστημάτων. από Ηλεκτρονικές Επιθέσεις

Επιχειρησιακά Πληροφοριακά Συστήματα. Site: Στόχος Σκοπός μαθήματος

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

ΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ. Ενότητα 1: Εισαγωγή στις Βάσεις Δεδομένων. Αθανάσιος Σπυριδάκος Διοίκηση Επιχειρήσεων

ΑΘΑΝΑΣΟΠΟΥΛΟΣ 30ο ΛΥΚΕΙΟ ΑΘΗΝΩΝ. Της μαθήτριας : ΦΩΤΑΚΟΠΟΥΛΟΥ ΝΙΚΗΣ Τάξης A4

Σύστημα Αναθέσεων. Σχεδιασμός Υποσυστημάτων

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Τεχνική Οδηγία. Εγκατάσταση & ρύθμιση MS ISA Server 2000 στο περιβάλλον των σχολικών εργαστηρίων. Έκδοση 1.0. Ιανουάριος 2005

Οι ιοί των υπολογιστών αποτελούν πλέον ένα διαδεδομένο, καθημερινό φαινόμενο. Η γρήγορη εξάπλωση των ιών τα τελευταία χρόνια οφείλονται στο διαδίκτυο

ΚΕΦΑΛΑΙΟ 10. Υπηρεσίες και εφαρμογές Διαδικτύου. ΚΕΦΑΛΑΙΟ 10 Υπηρεσίες και εφαρμογές Διαδικτύου. Α Γενικού Λυκείου

Ο ηλεκτρονικός υπολογιστής µπορεί να επεξεργάζεται δεδοµένα βάσει ενός συνόλου προκαθορισµένων οδηγιών Το κυριότερο πρόβληµα που αντιµετωπίζουν οι

Το λογισµικό εκπόνησης οικονοµοτεχνικών µελετών COBA. Η δυνατότητα εφαρµογής του στην Ελλάδα.

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

Σύστημα Ηλεκτρονικού Πρωτοκόλλου. Σχεδιασμός Υποσυστημάτων

ΥΠΗΡΕΣΙΑ «ALPHA ALERTS» ΛΟΓΑΡΙΑΣΜΩΝ

«Εμπειρία ανάπτυξης συστημάτων βιβλιοθηκών Συνεργασίες με βιβλιοθήκες ββ Εξέλιξη ξη ΑΒΕΚΤ»

EΠΙΣΗΜΑΝΣΗ ΑΠΟΡΡΗΤΟΥ (PRIVACY NOTICE)

ΕΝΗΜΕΡΩΤΙΚO - ΑΝΑΚΟΙΝΩΣΗ

Πολιτική Απορρήτου (07/2016)

Λειτουργικές - Τεχνικές Προδιαγραφές για το σύστημα Πρωτοκόλλου

ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ ΔΙΕΥΘΥΝΣΗ ΕΠΟΠΤΕΙΑΣ ΠΙΣΤΩΤΙΚΟΥ ΣΥΣΤΗΜΑΤΟΣ

Εισαγωγικό Μάθημα Βασικές Έννοιες - Ανάλυση Απαιτήσεων

Λογισμικό διδασκαλίας των μαθηματικών της Γ Τάξης Γυμνασίου

Epsilon Cloud Services

διάρκεια του ψυχρού πολέµου. Θέλοντας

ΤΜΗΜΑ ΠΟΛΙΤΙΚΩΝ ΜΗΧΑΝΙΚΩΝ Α.Π.Θ.

Μέρος 3 ο : Βασικές Έννοιες για δυναμικές ιστοσελίδες

ΙΤ Infrastructures. Cyber Security Presentation

Εργαστήριο Βάσεων Δεδομένων. Εισαγωγικό Φροντιστήριο Βασικές Έννοιες - Ανάλυση Απαιτήσεων

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Μάθημα 4: Πρότυπα, Πρωτόκολλα & Υπηρεσίες

Κεντρική Υπηρεσία Καταλόγου Πανεπιστημίου Κρήτης

Δεδομένα Προσωπικού Χαρακτήρα ( δπχ) σε συμμόρφωση με τον Κανονισμό ΕΕ 2016/679 ΓΚΠΔ ( GDPR )

Ασφάλεια στο ιαδίκτυο

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

ΓΕΝΙΚΗ ΠΕΡΙΓΡΑΦΗ ΕΡΓΟΥ

Όροι χρήσης Πολιτική Προστασίας Προσωπικών Δεδομένων

ΟΔΗΓΟΣ ΕΠΕΝΔΥΣΗΣ ΣΕ ΚΡΥΠΤΟΝΟΜΙΣΜΑΤΑ ΓΝΩΡΙΣΕ ΤΟΥΣ ΚΑΝΟΝΕΣ ΓΙΑ ΕΠΙΤΥΧΗΜΕΝΕΣ ΕΠΕΝΔΥΣΕΙΣ

Linux Terminal Server Project

Q&R 1.(Αριθμός Πρωτοκόλλου 52385)

Διαφορές single-processor αρχιτεκτονικών και SoCs

Στρατηγική Επιλογή Capital B.O.S. Capital B.O.S.

ΕΝΤΥΠΟ ΔΗΜΟΣΙΑΣ ΔΙΑΒΟΥΛΕΥΣΗΣ ΤΕΧΝΙΚΩΝ ΠΡΟΔΙΑΓΡΑΦΩΝ

Αξιολόγηση - Τεκμηρίωση

Τμήμα Λογιστικής. Εισαγωγή στους Ηλεκτρονικούς Υπολογιστές. Μάθημα Στέργιος Παλαμάς

Τεχνικές αλλαγές στις εκδόσεις

Ενημέρωση σε Windows 8.1 από τα Windows 8

Σκοπιµότητα των firewalls

Εργαστήριο Βάσεων Δεδομένων. Εισαγωγικό Φροντιστήριο Βασικές Έννοιες - Ανάλυση Απαιτήσεων

SingularLogic Σεπτέμβριος 2014

Οδηγός Εγκατάστασης και Χρήσης του Arebas Easy

Transcript:

1. ΣΥΓΓΡΑΦΕΙΣ 2. Βασίλειος Βλάχος, Βασιλική Βούζη και Διομήδης Σπινέλλης 3. ΠΑΝΕΠΙΣΤΗΜ 4. Οικονομικό Πανεπιστήμιο Αθηνών ΙΟ 5. ΤΜΗΜΑ 6. Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας 7. E-MAIL 8. vbill@aueb.gr, vavouzi@dmst.aueb.gr, dds@aueb.gr ΤΙΤΛΟΣ ΕΡΓΑΣΙΑΣ: PROMIS- PROactive Malware Identification System ΠΕΡΙΛΗΨΗ Η έξαρση κακόβουλης δραστηριότητας τα τελευταία χρόνια εξαιτίας της ραγδαίας εξάπλωσης του Internet καθώς και η εμφάνισης μια νέας γενιάς ταχέως εξαπλώμενου ιογενούς λογισμικού, έχει καταστήσει ανεπαρκή τη χρήση συμβατικών προγραμμάτων προστασίας. Η εφαρμογή PROMIS που προτείνουμε έχει σαν σκοπό την αναγνώριση της κακόβουλης δραστηριότητας στο Διαδίκτυο χρησιμοποιώντας μια αρχιτεκτονική βασισμένη σε ομότιμα δίκτυα και την λήψη των κατάλληλων περιοριστικών μέτρων ασφαλείας για την προστασία υπολογιστικών συστημάτων. ΛΕΞΕΙΣ ΚΛΕΙΔΙΑ: ομότιμα δίκτυα, κακόβουλο λογισμικό ΕΙΣΑΓΩΓΗ Η μείωση του κόστους των προσωπικών υπολογιστών καθώς και η ευκολία χρήσης που προέκυψε από την χρησιμοποίηση φιλικών προς τον χρήστη προγραμμάτων προκάλεσε την ραγδαία εξάπλωση τους και τους κατέστησε προσιτούς σε ένα ευρύ αριθμό ανθρώπων που δεν διαθέτουν ιδιαίτερο τεχνολογικό υπόβαθρο. Οι χρήστες αυτοί επιτελούν σημαντικό μέρος, αν όχι το σύνολο των καθημερινών εργασιών τους, άλλα και πολλών ψυχαγωγικών δραστηριοτήτων με αυτούς. Επιπρόσθετα η ταχύτατη εξάπλωση του Internet και ιδιαίτερα η ύπαρξη ευροζωνικών συνδέσεων σε προσιτό κόστος, άλλα και η κατακόρυφη αύξηση των ασύρματων συνδέσεων επέτρεψε σε ένα μεγάλο ποσοστό των χρηστών να είναι καθολικά συνδεδεμένοι. Τα οφέλη από τις εξελίξεις αυτές είναι εμφανή. Παρά ταύτα η εξάρτηση της κοινωνία μας σε τόσο μεγάλο βαθμό από τα υπολογιστικά συστήματα την καθιστά ευπαθή σε απειλές που προέρχονται από το κακόβουλο λογισμικό. Ειδικότερα τα τελευταία τέσσερα χρόνια η εξάπλωση του κακόβουλου λογισμικού σε πέντε τουλάχιστον περιπτώσεις (Code Red - Code Redv2, Code Red II, Nimda, Slammer, Blaster, Witty) [-] έλαβε επιδημικές διαστάσεις θέτοντας σε δοκιμασία κρίσιμα υποσυστήματα της κοινωνίας μας με ιδιαίτερα σοβαρές οικονομικές επιπτώσεις. Μεγάλες εταιρίες άλλα και οικονομικοί οργανισμοί υπέστησαν σοβαρές δυσλειτουργίες και οικονομικό κόστος και απαιτήθηκαν πολλές ανθρωπομέρες προκειμένου τα υπολογιστικά τους συστήματα να επανέλθουν πλήρως. Τα παραπάνω είναι ιδιαίτερα ανησυχητικά εάν αναλογιστεί κανείς ότι τέτοιου μεγέθους οργανισμοί διαθέτουν εξειδικευμένο προσωπικό για την υποστήριξη και προφύλαξη των πληροφοριακών τους συστημάτων. Αντίθετα, οι απλοί χρήστες δεν έχουν την δυνατότητα ούτε τις γνώσεις για να προστατεύσουν τα συστήματά τους επαρκώς. Επιπρόσθετα, επιστημονικές μελέτες αποδεικνύουν ότι είναι απόλυτα εφικτή η κατασκευή κακόβουλου κώδικά ικανού να πλήξει το σύνολο των ευπαθών συστημάτων σε χρόνο σίγουρα μικρότερο των 15 λεπτών και ίσως και του ενός λεπτού [-]. Τα εν λόγω είδη κακόβουλου λογισμικού φέρουν τα άκρως περιγραφικά ονόματα Warhol worms και Flash worms αντίστοιχα. Οι χρόνοι αυτοί είναι πέρα από κάθε ανθρώπινη αντίδραση ακόμα για τους πλέον ειδικούς επιστήμονες σε θέματα ασφαλείας. Εάν προστεθεί και ο απαιτούμενος χρόνος για την συλλογή και απομόνωση του κακόβουλου κώδικα καθώς και η εξαγωγή υπογραφών για τα αντι-ιοικά προγράμματα, η δοκιμή τους καθώς και ο χρόνος για να λάβουν τις ενημερωμένες αναβαθμίσεις οι χρήστες γίνεται αντιληπτό το μέγεθος της απειλής. Από την άλλη πλευρά η απενεργοποίηση για λόγους ασφαλείας πολλών χρήσιμων και ευχάριστων εφαρμογών και υπηρεσιών θα προκαλούσε έντονη δυσαρέσκεια σε μεγάλη μερίδα χρηστών οι οποίοι επιθυμούν την χρησιμοποίηση τους. Με στόχο την προστασία των υπολογιστικών συστημάτων απλών κυρίως χρηστών προτείνουμε μια εφαρμογή η οποία μπορεί να εκτιμήσει την εξελισσόμενη κακόβουλη δραστηριότητα στο Internet, να προειδοποιήσει τον χρήστη και να λάβει αντί αυτού τα απαραίτητα προστατευτικά μέτρα, εάν το επιθυμεί. Στις ενότητες που ακολουθούν αναφέρεται λεπτομερώς η αρχιτεκτονική της εφαρμογής, απαριθμούνται οι λειτουργίες της, και περιγράφεται η διαδικασία υλοποίησής της. ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΦΑΡΜΟΓΗΣ Θεωρούμε ότι η πληροφορία που μπορεί να έχει ένας χρήστης παρακολουθώντας τοπικά το σύστημα του είναι ανεπαρκής για να συμπεράνει, ακόμα και αν είναι ιδιαίτερα έμπειρος σε θέματα ασφαλείας, εάν κάποια επιδημία κακόβουλου λογισμικού λαμβάνει χώρα. Αντίθετα, είναι σαφώς ευκολότερο και εφικτό να διαπιστωθεί η ύπαρξη

επιδημίας κακόβουλου λογισμικού εάν συγκριθούν τα αρχεία καταγραφής περιστατικών ασφαλείας μεγάλου αριθμού χρηστών. Ωστόσο, είναι εξαιρετικά δύσκολο οι χρήστες ενός ομότιμου δικτύου ειδικά δημιουργημένου για αυτό το σκοπό να ανταλλάσσουν συνεχώς τα αρχεία καταγραφής περιστατικών τους, λόγω του φόρτου που θα εισαγάγανε στο διαδίκτυο, καθώς και γιατί θα απαιτείτο σημαντική επεξεργαστική ισχύ από κάθε κόμβο για να αναλύσει όλα τα αρχεία αυτά. Επιπρόσθετα, τα αρχεία αυτά εμπεριέχουν αρκετά δεδομένα τα οποία θεωρούνται εμπιστευτικά. Στην δική μας προσέγγιση αντίθετα μεταδίδουμε σε όλα τα μέλη του ομότιμου δικτύου ανά τακτά μικρά χρονικά διαστήματα μόνο το ρυθμό μεταβολής περιστατικών που καταγράφεται τοπικά σε κάθε σύστημα, δηλαδή το ποσοστό αύξησης ή μειώσης περιστατικών ασφαλείας σε κάθε σύστημα τοπικά (Εξίσωση 1). Δεδομένου ότι παρακολουθούμε το σύστημα μας ανά τακτά μικρά χρονικά διαστήματα (μικρότερα των 15 λεπτών), μπορούμε να εξάγουμε το ρυθμό μεταβολής των περιστατικών ασφαλείας για τα τελευταία χρονικά διαστήματα (το ενδέχεται να πάρει οποιαδήποτε τιμή θεωρηθεί πιο κατάλληλη). Παράλληλα, κάθε κόμβος της εφαρμογής μας συγκεντρώνει όλους τους ρυθμούς μεταβολής των λοιπών κόμβων του ομότιμου δικτύου και υπολογίζει το μέσο συνολικό ρυθμό μεταβολής του ομότιμου δικτύου (Εξίσωση 2). h n t p n t = h n i i =t h n i i=t Εξίσωση 1 :Τοπική κακόβουλη δραστηριότητα p avg = n i =1 P t i Εξίσωση 2 : Συνολική κακόβουλη δραστηριότητα του ομότιμου δικτύου n Πίνακας 1: Σημασιολογία Μεταβλητών Εξισώσεων 1 και 2 t h p n l high l low Χρονικό Διάστημα Αριθμός Επιθέσεων Αθροιστικό ποσοστό επιθέσεων σε ένα σύνολο χρονικών διαστημάτων ID κόμβου Αριθμός τελευταίων χρονικών διαστημάτων Προκαθορισμένο άνω όριο ασφαλείας Προκαθορισμένο κάτω όριο ασφαλείας Η εφαρμογή μας αποτελείται από δυο διακριτές υπηρεσίες την Handler και την Notifier. Η υπηρεσία Notifier έχει σαν σκοπό την παρακολούθηση του αρχείου καταγραφής του τοπικού συστήματος ανά τακτά χρονικά διαστήματα και την εξαγωγή του ρυθμού μεταβολής τους με βάση την Εξίσωση 1. H Handler λαμβάνει τον ρυθμό μεταβολής των περιστατικών ασφαλείας από όλα τα μέλη του ομότιμου δικτύου και εν συνεχεία υπολογίζει τον μέσο συνολικό ρυθμό μεταβολής περιστατικών ασφαλείας του ομότιμου δικτύου μέσω της Εξίσωσης 2. Εάν ο μέσος ρυθμός μεταβολής επιθέσεων του ομότιμου δικτύου υπερβεί το προκαθορισμένο όριο επικινδυνότητας τότε ακολουθείται η αυστηρή πολιτική ασφαλείας, αντίθετα, αν ο μέσος ρυθμός μεταβολής επιθέσεων βρίσκεται κάτω από το όριο εφησυχασμού τότε επιλέγεται η μη αυστηρή πολιτική ασφάλειας Η αρχιτεκτονική του συστήματος φαίνεται στο Σχήμα 1 ενώ οι επιμέρους λειτουργίες των υπηρεσιών Handler και Notifier στο Σχήμα 2. Γνωρίζοντας κάθε στιγμή το μέσο ρυθμό μεταβολής του ομότιμου δικτύου είμαστε σε θέση να συμπεράνουμε εάν κάποια επιδημία κακόβουλου λογισμικού βρίσκεται σε εξέλιξη και να προσαρμόσουμε κατάλληλα την πολιτική ασφαλείας ή αν μεμονωμένα το σύστημα του χρήστη εμφανίζει δυσλειτουργίες οφειλόμενες είτε σε στοχευόμενη επίθεση προς τον συγκεκριμένο χρήστη είτε λόγω κάποιου τεχνικού προβλήματος. Σε περίπτωση επιδημίας κακόβουλου λογισμικού, εάν δηλαδή ο μέσος ρυθμός περιστατικών ασφαλείας ξεπεράσει κάποιο προκαθορισμένο

όριο ασφαλείας, δηλαδή αν p > ang l high, τότε αυξάνεται η πολιτική ασφαλείας του συστήματος, ενώ αν l low < p avg < l high δεν πραγματοποιείται καμία αλλαγή στην πολιτική ασφαλείας του συστήματος, ενώ αν p < avg l low η πολιτική ασφαλείας μειώνεται. Η πολιτική ασφαλείας του συστήματος μεταβάλλεται με την εφαρμογή προκαθορισμένων αντιμέτρων. Τα αντίμετρα περιλαμβάνουν την αλλαγή του επιπέδου ασφαλείας δημοφιλών εφαρμογών όπως ο Internet Explorer και το Microsoft Outlloo άλλα και την παύση ορισμένων μη κρίσιμων υπηρεσιών. Μόλις ο μέσος ρυθμός μεταβολής των περιστατικών ασφαλείας εμφανίσει κάμψη σύμφωνα με τις παραπάνω εξισώσεις οι υπηρεσίες αυτές επαναενεργοποιούνται. Πεποίθηση μας είναι ότι αριθμός των περιστατικών ασφαλείας σε ένα δίκτυο υπολογιστών δεν είναι αντιπροσωπευτικός της επικινδυνότητας που επικρατεί συνολικά στο διαδίκτυο διότι όταν ένας Server που καταγράφει καθημερινά 1000 περιστατικά ασφαλείας καταγράψει 1100 τότε με βάση την εξίσωση 1 θα έχει μεταβολή 10%, αντίθετα ένας άλλος κόμβος που καταγράφει 50 εάν καταγράψει 150 θα έχει μεταβολή 200%, συνεπώς ενώ και στις δύο περιπτώσεις υπάρχει μια αύξηση των περιστατικών ασφαλείας κατά 100, η ποσοστιαία μεταβολή είναι μόνο 10% στην πρώτη περίπτωση, ενώ στην δεύτερη περίπτωση είναι 2 φορές μεγαλύτερη ήτοι 200%. Για το λόγο προτιμούμε να χρησιμοποιήσουμε αντί για τον αριθμό των περιστατικών ασφαλείας ως ενδεικτικό στοιχείο ύπαρξης ή μη επιδημίας κακόβουλου λογισμικού τον ρυθμό μεταβολής των περιστατικών ασφαλείας. Σχήμα 1.Αρχιτεκτονική Συστήματος Τα απαραίτητα προστατευτικά μέτρα προφανώς εξαρτώνται από πολλούς παράγοντες. Είναι σαφές ότι οι ανάγκες για την προστασία του υπολογιστή ενός απλού χρήστη διαφέρουν από αυτές ενός Server μιας μεγάλης εταιρίας. Η προτεινόμενη αρχιτεκτονική σαφέστατα δεν σκοπεύει σε καμία περίπτωση να αντικαταστήσει τα παραδοσιακά συστήματα προστασίας (Συστήματα Ανίχνευσης Εισβολέων, αντι-ιοικά προγράμματα, τοίχοι ασφαλείας κλπ.) και συνιστούμε αν υπάρχει η δυνατότητα να εγκατασταθούν. Στόχος μας είναι να δώσουμε μια εποπτική εικόνα της συνολικής κατάστασης του Διαδικτύου και στην περίπτωση που υπάρχουν ενδείξεις για κάποια επιδημία ταχέως εξαπλώμενου κακόβουλου λογισμικού ή κάποιων άλλων περιέργων φαινόμενων να ληφθούν τα απαραίτητα και στοιχειώδη προστατευτικά μέτρα. Η αρχιτεκτονική της συγκεκριμένης εφαρμογής δεν είναι σε θέση να προστατεύσει απέναντι σε συγκεκριμένο τύπο κακόβουλου λογισμικού άλλα αντίθετα να περιορίσει υπηρεσίες που σε γενικές γραμμές είναι βολικές και εύχρηστες άλλα παράλληλα αποτελούν συνήθη τρόπο προσβολής ενός συστήματος. Χαρακτηριστικά παραδείγματα τέτοιων υπηρεσιών είναι η προεπισκόπηση HTML, η χρησιμοποίηση Active X controls, η ενεργοποίηση των μακρο-εντολών και άλλα.

NOTIFIER HANDLER Αναμονή εισερχόμενου μηνύματος Υπολογισμός μέσου ρυθμού μόλυνσης Έλεγχος log files Υ Μικρότερο του κάτω ορίου Ν Υπολογισμός ρυθμού μόλυνσης Μεγαλύτερο του κάτω ορίου Ν Υ Αύξηση επιπέδου ασφαλείας Αποστολή προειδοποιητικού μηνύματος Μείωση επιπέδου ασφαλείας Σχήμα 2. Ροή Εργασιών των Handler και Notifier Είμαστε πεπεισμένοι ότι η πλειοψηφία των χρηστών θα επικροτούσε μια περιορισμένη στέρηση κάποιων δημοφιλών υπηρεσιών, όπως πχ η συμμετοχή σε δικτυακά παιχνίδια ή η προβολή μηνυμάτων ηλεκτρονικού ταχυδρομείου σε μορφή HTML αντί απλού κειμένου για περιορισμένο χρονικό διάστημα (όσο δηλαδή η επιδημία κακόβουλου λογισμικού βρίσκεται σε έξαρση) προκειμένου να προστατευθεί από κάποιο ιό ή δικτυακό σκουλήκι. Επιπρόσθετα, η ενημέρωση του χρήστη για την έξαρση επιδημιών επιζήμιου κώδικα τον καθιστά ιδιαίτερα επιφυλακτικό σε επιθέσεις κοινωνικής μηχανικής (social engineering), η οποία χρησιμοποιείται ευρύτατα για να πείσει χρήστες είτε να εκτελέσουν στον υπολογιστή τους ιομορφικό λογισμικό είτε να εισάγουν σε ψεύτικους ιστότοπους εμπιστευτικά προσωπικά τους στοιχεία (αριθμούς πιστωτικών καρτών κλπ). ΥΛΟΠΟΙΗΣΗ Στην υλοποίηση της εφαρμογής PROMIS χρησιμοποιήσαμε ένα σύνολο διαφορετικών εργαλείων και διεπαφών προγραμματιστικών εφαρμογών (API Application Programming Interfaces) την περιγραφή και λειτουργικότητα των οποίων παραθέτουμε στη συνέχεια. 9. Windows XP Peer-to-Peer API Η παρούσα εφαρμογή χρησιμοποιεί το Windows XP Peer-to-Peer API που αναπτύσσεται πάνω στο πρωτόκολλο δικτύου IPv6. Κάθε κόμβος του δικτύου χαρακτηρίζεται από μία μοναδική ταυτότητα η οποία αποθηκεύεται τοπικά σε κάθε υπολογιστή. Ένας κόμβος δύναται να είναι ιδιοκτήτης μιας ομάδας κόμβων και να στέλνει προσκλήσεις σε άλλους κόμβους με σκοπό να προστεθούν στην ομάδα του. Ο ιδιοκτήτης ομάδας χρησιμοποιεί το Peer-to-Peer Grouping API για τη δημιουργία προσκλήσεων με βάση μια συγκεκριμένη ταυτότητα δικτύου και στη συνέχεια αποστέλει την πρόσκληση στο χρήστη που ζήτησε άδεια εισόδου στην ομάδα του. Η πρόσκληση είναι ένα XML αλφαριθμητικό που προκύπτει από την μοναδική ταυτότητα του κάθε χρήστη. Για να εισέλθει ένας χρήστης σε κάποια ομάδα θα πρέπει να κατέχει μια μοναδική ταυτότητα καθώς και το αρχείο της πρόσκλησης που αντιστοιχεί στη συγκεκριμένη ταυτότητα. Από τη στιγμή που ο χρήστης εισέλθει στην ομάδα έχει τη δυνατότητα να στείλει την απαραίτητη πληροφορία (Τοπική Δραστηριότητα Κακόβουλου Λογισμικού) στην ομάδα. 10. Microsoft LogParser Ο LogParser είναι ένα εργαλείο που προσφέρεται μαζί με την οικογένεια προϊόντων εργαλείων του IIS (Internet Information Services). Η πρώτη ουσιαστική και κρίσιμη λειτουργία της παρούσας εφαρμογής είναι η ανάλυση των αρχείων καταγραφής του ICF. Η ανάλυση αυτή πραγματοποιείται περιοδικά σε διάστημα 150 λεπτών (900 δευτερόλεπτα) και υπολογίζει αθροιστικά τον αριθμό των επιθέσεων που δέχτηκε ο υπολογιστής σε κάθε χρονικό διάστημα. Η καινοτομική αρχή που προσδίδει η χρήση του LogParser είναι η γέφυρα SQL (SQL Bridge) που δημιουργείται μεταξύ αυτού και του αρχείου του τοίχου ασφαλείας (firewall) καθιστόντας την μεταβολή του χρονικού διαστήματος ανάλυσης εύκολη μέσω παραμετροποιημένων ερωτημάτων (parameterized queries).

Log Parser.dll FROM TO SQL Command SELECT QUANTIZE() pfirewall.log LocalStatus.log Application Interface Other Peers Status Networ Status.log Σχήμα 3. Λειτουργία Log Parser ΣΥΜΠΕΡΑΣΜΑΤΑ H εφαρμογή PROMIS μπορεί να συμβάλλει σημαντικά στην περαιτέρω αύξηση της ασφάλειας του λειτουργικού συστήματος Windows XP. H μεγάλη εγκατεστημένη βάση των Windows XP μας προσφέρει την δυνατότητα να αναγνωρίσουμε έγκαιρα απόπειρες εξάπλωσης κακόβουλου λογισμικού βασιζόμενοι σε ένα κοινό πλαίσιο χωρίς να αντιμετωπίζουμε προβλήματα σχετιζόμενα με το πλήθος των διαφορετικών αρχιτεκτονικών και υλοποιήσεων άλλων λειτουργικών συστημάτων. Επιπρόσθετα, πιστεύουμε ότι η λειτουργία του συστήματος PROMIS θα καταστήσει και τους πλέον άπειρους χρήστες πιο προσεκτικούς και ενεργούς σε ζητήματα ασφαλείας. Ειδικότερα επιθέσεις που κάνουν χρήση κοινωνικής μηχανικής θα αντιμετωπίσουν δυσκολίες στο να πείσουν τους χρήστες να εκτελέσουν επιζήμιο λογισμικό εάν είναι ήδη πληροφορημένοι ότι εκτεταμένη κακόβουλη δραστηριότητα βρίσκεται σε εξέλιξη. Πρέπει να τονίσουμε ότι η ενεργοποίηση και απενεργοποίηση των διαφόρων προστατευτικών μέτρων είναι προσωρινή (μόνο όταν υπάρχει ραγδαία αύξηση ή μείωση του ρυθμού μεταβολής περιστατικών ασφαλείας) και λαμβάνει χώρα μόνο αν ο χρήστης επιλέξει την αυτόματη λειτουργία της. Παράλληλα, τα όρια μεταβολής των καταστάσεων, παρ ότι αυτά είναι ήδη προκαθορισμένα, είναι στην διακριτική ευχέρεια του χρήστη να τα τροποποιήσει. Η μέχρι τώρα εμπειρία μας έχει δείξει ότι οι χρήστες επιθυμούν να κάνουν χρήση των πλούσιων δυνατοτήτων που τους παρέχουν οι σύγχρονες εφαρμογές, ωστόσο ορισμένες από τις προσφερόμενες δυνατότητες είναι δυνατόν να αποτελέσουν σημείο εισόδου κακόβουλου λογισμικού. Με την εφαρμογή PROMIS επιτρέπουμε στον χρήστη να απολαύσει όλα τα πλεονεκτήματα και την ευκολία χρήσης των παραπάνω εφαρμογών στερώντας του τη δυνατότητα αυτή για συγκεκριμένα και περιορισμένα χρονικά διαστήματα μόνο όταν αυτό κρίνεται απαραίτητο για λόγους ασφαλείας. ΕΥΧΑΡΙΣΤΙΕΣ Ευχαριστούμε ιδιαίτερα τους Νικόλαο Κορφιάτη και Μάρτιν Παπαδάτο για την εξαιρετική συνεργασία που είχαμε κατά την ανάπτυξη του συστήματος PROMIS, τον Ανδρέα Ράπτη για τα εποικοδομητικά σχόλιά του κατά τη συγγραφή της εργασίας, καθώς και την Microsoft Hellas η οποία μας τίμησε επιλέγοντας το σύστημα μας ως το τρίτο καλύτερο στα πλαίσια του εθνικού διαγωνισμού Imagine Cup 2004. Μέρος της έρευνας αυτής υποστηρίζεται από το πρόγραμμα «ΗΡΑΚΛΕΙΤΟΣ Υποτροφίες Έρευνας στο Οικονομικό Πανεπιστήμιο Αθηνών» που συγχρηματοδοτείται κατά 75% από το Ευρωπαϊκό Κοινωνικό Ταμείο. ΒΙΒΛΙΟΓΡΑΦΙΑ 1.David Moore, Colleen Shannon, and Jeffery Brown. Code-red: a case study on the spread and victims of an internet worm. In Proceedings of the Internet Measurement Worshop, 2002. 2.D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaver. Inside the slammer worm. IEEE Security & Privacy, pages 33 39, July 2003 2003. 3.C. Shannon and D. Moore. The spread of the witty worm. IEEE Security & Privacy, 2(4):46 50, July 2004. 4.A. Macie, J. Roculan, R. Russell, and M. VanVelzen. Nimda worm analysis - incident analysis report version ii. Technical report, Security Focus, September 2001. 5.S. Staniford, V. Paxson, and N. Weaver. How to 0wn the internet in your spare time. In Proceedings of the 11th USENIX Security Symposium, pages 149 167, August 2002. 6.N. Weaver, V. Paxson, S. Staniford, and R. Cunningham. Large scale malicious code: A research agenda. Darpa sponsored report.

7.N. Weaver, V. Paxson, and S. Staniford. A worst-case worm. In Proceedings of the Third Annual Worshop on Economics and Information Security (WEIS04), May 2004. 8.Vasileios Vlachos, Stefanos Androutsellis-Theotois and Diomidis Spinellis, "Security Applications of Peer-to-peer Networs", Computer Networs (Elsevier Science), Volume 45, Issue 2, pp 195-205, June 2004

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια