ΣΦΙΓΞ: Εύρωστες ιαδικτυακές Υϖηρεσίες ιάκριση Ανθρώϖου ή Μηχανής µε ιαδραστικά Ηχητικά Μέσα ΝΟΗΣΙΣ, Σάββατο, 19 Γενάρη 2013



Σχετικά έγγραφα
ασφάλεια υϖοδοµών VoIP: αϖειλές και ϖιθανές λύσεις

2o INFOCOM SECURITY: Οικονοµία σε κρίση - Τεχνολογία σε έξαρση Αθήνα, 5 Αϖρίλη 2012

Εύρωστες Ψηφιακές Υπoδομές και Υπηρεσίες: Διάκριση ανθρώπου ή bot

Spam over Internet Telephony (SPIT): An emerging threat. Dimitris Gritzalis

SPIT: Still another emerging Internet threat

VoIP Infrastructures: The SPIT threat Dimitris Gritzalis

The SPHINX project report Dimitris Gritzalis

ΥΙΓΞ: Εύρωστες Διαδικτυακές Τπηρεσίες Διάκριση Ανθρώπου ή Μηχανής με Διαδραστικά Ηχητικά Μέσα

Threats and vulnerabilities in Internet Telephony: Focusing on the SPIT phenomenon

Ανεπιθύµητη Τηλεφωνία µέσω ιαδικτύου. Μια νέα απειλή που αναζητά λύσεις.

Legal use of personal data to fight telecom fraud

Security in the Cloud Era

Digital signatures in practice in Greece: Capabilities and limitations. Dimitrios Lekkas, Dimitris Gritzalis

From Secure e-computing to Trusted u-computing. Dimitris Gritzalis

From Information Security to Cyber Defense. Dimitris Gritzalis

National Critical Telecommunication Infrastructure Protection: Towards an Holistic Strategy. PanosKotzanikolaou June 2016

Towards a more Secure Cyberspace

The IT Security Expert Profile

Critical Infrastructure Protection: A Roadmap for Greece D. Gritzalis

ΕΠΛ202:'Η'επιστημονική'δημοσίευση

Critical Infrastructures: The Nervous System of every Welfare State. G. Stergiopoulos, D. Gritzalis

Secure Cyberspace: New Defense Capabilities

ΠΤΥΧΙΑΚΗ. Θέμα πτυχιακής: Voice over IP. Ονοματεπώνυμο: Κόκκαλη Αλεξάνδρα

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον. Υπηρεσίες Διαδικτύου

Antonis Stamatopoulos Commercial Director. AI Attacks & Incident Lifecycle Management

The Greek Data Protection Act: The IT Professional s Perspective

Ο ΗΓΟΣ ΕΠΙΜΟΡΦΩΤΗ. ηµοτικό ιαδικτυακό Ραδιόφωνο και Τηλεόραση. Y4 ηµιουργία διαδικτυακής ραδιοφωνικής εκποµπής µε τα εργαλεία

Συνεχής ροή πολυµέσων

Organizing the Protection of Critical ICT Infrastructures. Dimitris Gritzalis

Cyberwar ante portas : The role and importance of national cyber-defense exercises

Online Social Networks: Posts that can save lives. Dimitris Gritzalis, Sotiria Giannitsari, Dimitris Tsagkarakis, Despina Mentzelioti April 2016

Online Social Networks: Posts that can save lives. Sotiria Giannitsari April 2016

Voice over IP: Απειλές, Ευπάθειες και Αντίµετρα

Ασφαλή Συστήματα Μέθοδοι ελέγχου και εξακρίβωσης ορθής λειτουργίας

ΑΝΑΠΤΥΞΗ ΕΦΑΡΜΟΓΗΣ ΠΡΑΓΜΑΤΙΚΟΥ ΧΡΟΝΟΥ ΓΙΑ ΕΠΙΚΟΙΝΩΝΙΑ ΠΕΛΑΤΩΝ ΜΕΣΩ ΙΑ ΙΚΤΥΟΥ

SPIT: Spam over Internet Telephony. Stelios Dritsas

Security and Privacy: From Empiricism to Interdisciplinarity. Dimitris Gritzalis

Ο ΚΙΝ ΥΝΟΣ από τις συνδυασµένες απειλές

Ο ΗΓΟΣ ΕΠΙΜΟΡΦΩΤΗ. ηµοτικό ιαδικτυακό Ραδιόφωνο και Τηλεόραση. Y4 ηµιουργία διαδικτυακής ραδιοφωνικής εκποµπής µε το εργαλείο

ΘΕΜΑΤΑ ΙΠΛΩΜΑΤΙΚΩΝ ΕΡΓΑΣΙΩΝ 2006 / 2007

Πλαίσιο Εργασιών. Στρατηγικές Ευκαιρίες

Επικοινωνιών στην Εκπαίδευση. Τεχνολογίες Πληροφορίας & (ΤΠΕ-Ε)

Η ΤΑΥΤΟΤΗΤΑ ΜΑΣ. Αναλαμβάνουμε τη μελέτη, εγκατάσταση και υποστήριξη όλων των τηλεπικοινωνιακών συστημάτων VοIP.

Ηλεκτρονικό εμπόριο. HE5 Ηλεκτρονικό κατάστημα Σχεδιασμός και λειτουργίες

Τμήμα Τηλεπικοινωνιακών Συστημάτων και Δικτύων. Εξάμηνο E

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Σχεδίαση & Υλοποίηση Ασύρµατων ικτύων Εσωτερικού Χώρου Τεχνολογίας WiFi

ΜΑΘΗΜΑ: Εισαγωγή στις Αρχές της Επιστήμης των Η/Υ. 1 η ΘΕΜΑΤΙΚΗ ΕΝΟΤΗΤΑ: ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ

Selecting Essential IT Security Projects. Dimitris Gritzalis

Ασύρµατη ευρυζωνικότητα µέσω τεχνολογίας Wimax

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

Everything can be hacked in the Internet-of-Things. Dimitris Gritzalis March 2017

Critical ICT Infrastructure Protection: Overview of the Greek National Status

Discussing Security and Privacy Issues in the Age of Surveillance Dimitris Gritzalis

PAVIRO 1. PAVIRO Σύστημα ανακοινώσεων και εκκένωσης χώρων μέσω φωνητικής αναγγελίας με επαγγελματική ποιότητα ήχου Ευελιξία από την πρώτη στιγμή

Εισαγωγή στην Τεχνολογία Λογισμικού

Περιεχόµενα. Μέρος I Βασικά στοιχεία των Microsoft Windows XP Professional. Ευχαριστίες Εισαγωγή... 19

Protecting Critical ICT Infrastructures

Περιεχόµενα. Επικοινωνίες εδοµένων: Τρόποι Μετάδοσης και Πρωτόκολλα. Εισαγωγή

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

ΠΡΑΞΗ: Κωδικός MIS ΥΠΟΕΡΓΟ: «Δομή Απασχόλησης και Σταδιοδρομίας (Δ.Α.ΣΤΑ.) Πανεπιστημίου. και α/α «01» ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΠΡΟΓΡΑΜΜΑ:

Τα εµπλουτισµένα ηλεκτρονικά βιβλία Πληροφορικής Γυµνασίου και η ένταξή τους στην εκπαιδευτική πρακτική

Δράση Α8. Πρακτική εκπαίδευση του προσωπικού ενδοσχολικής τεχνικής υποστήριξης. Υπηρεσίες Πανελλήνιου Σχολικού Δικτύου

Τεχνολογία Ηλεκτρονικού Εμπορίου

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

Protecting Critical Public Administration ICT Infrastructures. Dimitris Gritzalis

Συστήματα Πολυμέσων. Ανάπτυξη Πολυμεσικών Εφαρμογών Ι

Ανοικτά Ακαδηµα κά Μαθήµατα

Open Source Collaboration Platform

Τεχνολογία Πολυμέσων. Ενότητα # 2: Εφαρμογές πολυμέσων Διδάσκων: Γεώργιος Ξυλωμένος Τμήμα: Πληροφορικής

Ασφάλεια Υπολογιστικών Συστηµάτων

Open Text edocs Records Management

ΣΥΜΠΛΗΡΩΜΑΤΙΚΟ ΥΠΟΜΝΗΜΑ ΜΕ ΝΕΟ ΕΡΓΟ ΑΠΟ ΤΟΝ ΙΟΥΝΗ 2013

Security and Privacy in the Age of Surveillance. Dimitris Gritzalis

Τείχος Προστασίας Εφαρμογών Διαδικτύου

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

ΒΙΟΓΡΑΦΙΚΟ ΣΗΜΕΙΩΜΑ ΠΡΟΣΩΠΙΚΕΣ ΠΛΗΡΟΦΟΡΙΕΣ. Ελληνική ΕΚΠΑΙ ΕΥΣΗ ΚΑΙ. Ονοµατεπώνυµο ΜΕΝΝΗΣ ΕΥΑΓΓΕΛΟΣ. ιεύθυνση ΚΟΡΑΗ 2Α, 82100, ΧΙΟΣ - ΕΛΛΑ Α

Πρότυπο Αναφοράς Open Systems Interconnection (OSI) Επικοινωνίες Δεδομένων Μάθημα 5 ο

Θέση ΣΕΒ: Ευρωπαϊκές προτεραιότητες της Ελληνικής Προεδρίας

Ερευνητική+Ομάδα+Τεχνολογιών+ Διαδικτύου+

Εφαρμογές των πολυμέσων

Ο ΗΓΟΣ ΕΠΙΜΟΡΦΩΤΗ. Το εκπαιδευτικό υλικό υπόκειται σε Άδεια Χρήσης Creative Commons Αναφορά Μη-Εµπορική Χρήση Όχι Παράγωγο Έργο v. 3.

Οδηγός Διαχείρισης Telephony Small Business μέσω της ιστοσελίδας My Cyta

H Epsilon Net A.E. είναι ένας ταχύτατα αναπτυσσόμενος Όμιλος Εταιριών, που δραστηριοποιείται από το 1999 στους τομείς της πληροφορικής (Epsilon

Εκπαιδευτικά Περιβάλλοντα Διαδικτύου

Voip Εφαρμογές και Ποιότητα Υπηρεσιών. Κεφαλέας Νικόλαος Μανικάκης Ιωάννης

Mobile Marketing: Οι Παράγοντες Αποδοχής του SMS των Ελλήνων Καταναλωτών

Σκοπιµότητα των firewalls

SiEBEN Innovative Solutions Μαρίνου Αντύπα 28, , Ν. Ηράκλειο, Aθήνα Τηλ: , Fax:

ΠΕΡΙΕΧΟΜΕΝΑ 1. ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ 2. ΕΙΣΑΓΩΓΗ ΣΚΟΠΟΣ ΤΟΥ ΠΑΡΟΝΤΟΣ 3. ΑΝΑΛΥΣΗ ΥΠΑΡΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ 3.1 ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΚΑΙ ΠΑΡΕΧΟΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ

Μάθηµα 3. Τµήµα Αρχειονοµίας - Βιβλιοθηκονοµίας

Υπηρεσίες Ψηφιακής Βιβλιοθήκης Ανοικτής Πρόσβασης Ε.Μ.Π.

Υπηρεσίες Πολυµέσων στο ιαδίκτυο

Υποδείγµατα ωριµότητας. Παραδείγµατα Υποδειγµάτων Ωριµότητας

Τεχνολογίες Φωνής στο Ηλεκτρονικό Εμπόριο και τις Υπηρεσίες Διαμεταγωγής. ΕΥΤΕΧΝΟΣ, Εθνικό Καποδιστριακό Πανεπιστήμιο Αθηνών

ΣΧΕΔΙΟ ΕΚΘΕΣΗΣ. EL Eνωμένη στην πολυμορφία EL. Ευρωπαϊκό Κοινοβούλιο 2016/2225(INI)

Συντακτική ή σηµαντική διαφοροποίηση; (ή, µήπως, εµπειρίες από το...µέλλον;)

«Εξαιρετική δουλειά, ευχαριστώ»: Μπορεί να μην μάθετε ποτέ τα περιστατικά ψηφιακής ασφάλειας που έχουν προκληθεί από τους υπαλλήλους σας

ΛΥΣΕΙΣ ΗΛΕΚΤΡΟΝΙΚΗΣ ΤΙΜΟΛΟΓΗΣΗΣ

Transcript:

ΣΦΙΓΞ: Εύρωστες ιαδικτυακές Υϖηρεσίες ιάκριση Ανθρώϖου ή Μηχανής µε ιαδραστικά Ηχητικά Μέσα ΝΟΗΣΙΣ, Σάββατο, 19 Γενάρη 2013 Καινοτόµες τεχνολογίες για τη διάκριση ανθρώϖου ή µηχανής σε συστήµατα VoIP: Ηχητικά CAPTCHA και Model Checking Επίκουρος Καθηγητής Παναγιώτης Κατσαρός (katsaros@csd.auth.gr, delab.csd.auth.gr/~katsaros) Τµήµα Πληροφορικής, Αριστοτέλειο Πανεπιστήµιο Θεσσαλονίκης Καθηγητής ηµήτρης Γκρίτζαλης (dgrit@aueb.gr, www.cis.aueb.gr) ιευθυντής ιαπανεπιστηµιακής- ιεπιστηµονικής Ερευνητικής Οµάδας Ασφάλειας Πληροφοριών & Προστασίας Κρίσιµων Υποδοµών Τµήµα Πληροφορικής, Οικονοµικό Πανεπιστήµιο Αθηνών

ιαδικτυακή Τηλεφωνία (Voice-over-IP) Σύγκλιση δικτύων δεδοµένων και δικτύων φωνής. Οι τεχνολογίες Voice-over-IP (VoIP) αποτελούν υποδοµή για την πραγµατοποίηση τηλεφωνικών κλήσεων µέσω ιαδικτύου. Βασίζονται σε πρωτόκολλα, όπως το Session Initiation Protocol (SIP) για τη σηµατοδοσία και το RTP για τη µεταφορά φωνής ή πολυµεσικού περιεχοµένου. 2

Η διαφαινόµενη αϖειλή: SPam over Internet Telephony (SPIT) Μαζική αϖοστολή Κλήσεων αϖρόσκλητων Μηνυµάτων Αιτηµάτων ϖαρουσίας User A User C User B Spitter 3

email spam (spam) vs. voice spam (spit) Συγκλίσεις Κοινά κίνητρα, πχ. αναζήτηση οικονοµικού κέρδους ή άσκηση επιρροής. Κοινές τεχνικές δηµιουργίας, πχ. αυτόµατη παραγωγή µαζικών µηνυµάτων/κλήσεων χαµηλού κόστους, χρήση πραγµατικών διευθύνσεων τελικών χρηστών, συλλογή διευθύνσεων κλπ. Αϖοκλίσεις Η επικοινωνία µε email είναι ουσιαστικά ασύγχρονη, ενώ η VoIP επικοινωνία είναι κυρίως σύγχρονη. Στο περιβάλλον VoIP µη εύλογες καθυστερήσεις δεν είναι (ούτε) τεχνικά αϖοδεκτές. Το email spam αποτελείται κυρίως από κείµενο (ίσως και εικόνες), ενώ το SPIT κυρίως από ήχο και εικόνα (πολύ λιγότερο από κείµενο). Μια SPIT κλήση συνήθως δηµιουργεί εντονότερη ενόχληση στο χρήστη. 4

Τεχνολογίες αντιµετώϖισης SPIT 1. Ανάλυση ϖεριεχοµένου (Content Filtering) 2. Μαύρες ή/και λευκές λίστες (Black-White Lists) 3. Εϖικοινωνία βασισµένη στη Συγκατάθεση (Consent-based com s) 4. Συστήµατα Εµϖιστοσύνης (Reputation Systems) 5. Αϖόκρυψη ιεύθυνσης (Address Obfuscation) 6. ιευθύνσεις Περιορισµένης Χρήσης (Limited-use Addresses) 7. Τεχνικές Ανταϖόκρισης (Turing Tests, Computational Puzzles) 8. Τεχνικές Εισαγωγής Κόστους (Payments at Risk) 9. Νοµοθετικές ή κανονιστικές δράσεις (Legal Action) 10. Κύκλοι Εµϖιστοσύνης µεταξύ Παρόχων (Circles of Trust) 11. Κεντρικοί Πάροχοι (Centralized SIP Providers) 5

Σήµερα (2012): Ανεϖαρκής αντιµετώϖιση, γιατί οι υϖάρχοντες µηχανισµοί κατά κανόνα αποπειρώνται να υιοθετήσουν αντίστοιχες µεθόδους αντιµετώπισης του email spam. αντιµετωπίζουν περιορισµένο υποσύνολο αϖειλών και αδυναµιών του SIP. εστιάζουν στο εκάστοτε τεχνολογικό περιβάλλον (ad-hoc προσέγγιση). δεν µπορούν να αντιµετωπίσουν επαρκώς καινούργια σενάριο SIP επιθέσεων. απαιτούν συνδυασµό τεχνικών (πολυπαραγοντικότητα) σε κάθε στάδιο µιας SIP κλήσης. δεν µπορούν να προσφέρουν δυνατότητες ϖρόληψης, ανίχνευσης και αντιµετώϖισης του SPIT. δεν µπορούν να αξιολογηθούν, ακόµη, σε ϖραγµατικές συνθήκες. 6

Ηχητικά CAPTCHA * Ψηφία/ χαρακτήρες ιάστηµα µεταξύ χαρακτήρων Συνολική ιάρκεια Γλώσσα Παρασκήνιο Μεταβλητός αριθµός χαρακτήρων Λεξιλόγιο Ηχητικό CAPTCHA Θόρυβος Πεδίο δεδοµένων ιαδικασία παραγωγής Ενδιάµεσος Αυτόµατη παραγωγή Χρήση ήδη υπαρχόντων * CAPTCΗA: Completely Automated Public Turing test to tell Computers and Humans Apart 7

Βασικά γενικά συµϖεράσµατα Η εξάπλωση της χρήσης του VoIP εισαγάγει νέες εϖιχειρηµατικές δραστηριότητες και εφαρµογές, αλλά και νέες αϖειλές. Η επαρκής αντιµετώπιση του SPIT απαιτεί ϖολυ-ϖαραγοντική προσέγγιση - δεν επαρκούν µόνο υπάρχουσες anti-spam τεχνικές. Οι τεχνικές anti-spit πρέπει να στοχεύουν στην αντιµετώπιση ϖερισσότερων και νέων ειδών εϖιθέσεων απ ότι οι υπάρχουσες. Το audio CAPTCHA που αξιοποιεί χροιά εκφώνησης, τυχαίους ενδιάµεσους ήχους και διασϖορά τους µέσα στο µήνυµα, παρέχει ενθαρρυντική ανθεκτικότητα απέναντι σε bots. 8

Κύριες λειτουργίες της υϖηρεσίας ΣΦΙΓΞ ιάκριση ανθρώπου ή µηχανής σε συστήµατα VoIP Αξιοποίηση ηχητικών διαδραστικών µέσων (audio CAPTCHA) ιαχείριση και παραµετροποίηση της εφαρµοζόµενης ϖολιτικής ασφάλειας ηµιουργία κατάλληλου µορφότυπου («προφίλ») των χρηστών της υπηρεσίας 9

Αϖαιτήσεις σχεδίασης της ΣΦΙΓΞ Θεµελίωση της ευρωστίας της υπηρεσίας µε αυστηρή σχεδίαση και επαλήθευση της συµπεριφοράς της µε τυπικές µεθόδους ανάλυσης Ανθεκτικότητα της υπηρεσίας σε αυτοµατοποιηµένες επιθέσεις (bots) Καταλληλότητα της υπηρεσίας για χρήση µε συσκευές επικοινωνίας χαµηλού κόστους (αϖοδοτικότητα) 10

Ευρωστία της ΣΦΙΓΞ Η ΣΦΙΓΞ θεωρείται εύρωστη αν παρέχει προστασία αποφεύγοντας παρενέργειες που παρεκτρέπουν το σύστηµα VoIP σε µη αναµενόµενη συµπεριφορά. Μελετάµε τη συµπεριφορά της ΣΦΙΓΞ σε σενάρια λειτουργίας µε παράλληλες συνόδους VoIP Αϖουσία αδιεξόδων (deadlocks) Αϖουσία κύκλων χωρίς ϖρόοδο (livelocks) Αϖουσία υϖερφόρτωσης µηνυµάτων ϖου υϖονοµεύει την εµϖρόθεσµη αϖοκατάσταση συνόδου (call establishment) Αµεροληψία (fairness) στην εξυϖηρέτηση των χρηστών 11

Αυτόµατος Έλεγχος Μοντέλων (Model Checking) Μοντέλο Μ Πεϖερασµένο Μοντέλο Καταστάσεων Χώρος Καταστάσεων Ιδιότητα φ έκρηξη χώρου καταστάσεων: µεγαλώνει εκθετικά ως ϖρος τον αριθµό συστατικών του µοντέλου ΝΑΙ, η ιδιότητα ικανοϖοιείται ΟΧΙ, ίχνος λάθους 12

Αϖοδοτική χρήση και µε συσκευές εϖικοινωνίας χαµηλού κόστους Αρχιτεκτονική σχεδίαση µε προτεραιότητα στην επεκτασιµότητα και την ευκολία προσαρµογής της υπηρεσίας 13

Η ΣΦΙΓΞ συνδυάζει καινοτοµίες... ιάκριση ανθρώϖου ή µηχανής µε χρήση ϖολιτικών ασφαλείας και ηχητικών διαδραστικών µέσων (CAPTCHAs) Θεµελίωση της ευρωστίας της και της αντοχής της σε εϖιθέσεις µε ϖροηγµένες τεχνικές τυϖικής εϖαλήθευσης (model checking) Εϖεκτασιµότητα, ευκολία ϖροσαρµογής και αϖοδοτική χρήση µε συσκευές εϖικοινωνίας χαµηλού κόστους 14

Σχετικές δηµοσιεύσεις Deshpande, T., Katsaros, P., Basagiannis, S., Smolka, S. Formal analysis of the DNS Bandwidth Amplification Attack and its countermeasures using probabilistic model checking, in Proc. of the 13th IEEE Int. High Assurance Systems Engineering Symposium (HASE), Boca Raton, Florida, pp. 360-367, 2011 Gritzalis D., Katsaros P., Basagiannis S., Soupionis Y., Formal analysis for robust anti-spit protection using model-checking, International Journal of Information Security, Vol. 11, No. 2, pp. 121-135, 2012. Stachtiari E., Soupionis Y., Katsaros P., Mentis A., Gritzalis D., Probabilistic model checking of CAPTCHA admission control for DoS resistant anti-spit protection, in Proc. of the 7th Int. Conf. on Critical Information Infrastructures Security (CRITIS-2012), Springer, Norway, September 2012. katsaros@csd.auth.gr delab.csd.auth.gr/~katsaros http://sphinx.vtrip.net/ dgrit@aueb.gr www.cis.aueb.gr 15

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια