ΣΦΙΓΞ: Εύρωστες ιαδικτυακές Υϖηρεσίες ιάκριση Ανθρώϖου ή Μηχανής µε ιαδραστικά Ηχητικά Μέσα ΝΟΗΣΙΣ, Σάββατο, 19 Γενάρη 2013 Καινοτόµες τεχνολογίες για τη διάκριση ανθρώϖου ή µηχανής σε συστήµατα VoIP: Ηχητικά CAPTCHA και Model Checking Επίκουρος Καθηγητής Παναγιώτης Κατσαρός (katsaros@csd.auth.gr, delab.csd.auth.gr/~katsaros) Τµήµα Πληροφορικής, Αριστοτέλειο Πανεπιστήµιο Θεσσαλονίκης Καθηγητής ηµήτρης Γκρίτζαλης (dgrit@aueb.gr, www.cis.aueb.gr) ιευθυντής ιαπανεπιστηµιακής- ιεπιστηµονικής Ερευνητικής Οµάδας Ασφάλειας Πληροφοριών & Προστασίας Κρίσιµων Υποδοµών Τµήµα Πληροφορικής, Οικονοµικό Πανεπιστήµιο Αθηνών
ιαδικτυακή Τηλεφωνία (Voice-over-IP) Σύγκλιση δικτύων δεδοµένων και δικτύων φωνής. Οι τεχνολογίες Voice-over-IP (VoIP) αποτελούν υποδοµή για την πραγµατοποίηση τηλεφωνικών κλήσεων µέσω ιαδικτύου. Βασίζονται σε πρωτόκολλα, όπως το Session Initiation Protocol (SIP) για τη σηµατοδοσία και το RTP για τη µεταφορά φωνής ή πολυµεσικού περιεχοµένου. 2
Η διαφαινόµενη αϖειλή: SPam over Internet Telephony (SPIT) Μαζική αϖοστολή Κλήσεων αϖρόσκλητων Μηνυµάτων Αιτηµάτων ϖαρουσίας User A User C User B Spitter 3
email spam (spam) vs. voice spam (spit) Συγκλίσεις Κοινά κίνητρα, πχ. αναζήτηση οικονοµικού κέρδους ή άσκηση επιρροής. Κοινές τεχνικές δηµιουργίας, πχ. αυτόµατη παραγωγή µαζικών µηνυµάτων/κλήσεων χαµηλού κόστους, χρήση πραγµατικών διευθύνσεων τελικών χρηστών, συλλογή διευθύνσεων κλπ. Αϖοκλίσεις Η επικοινωνία µε email είναι ουσιαστικά ασύγχρονη, ενώ η VoIP επικοινωνία είναι κυρίως σύγχρονη. Στο περιβάλλον VoIP µη εύλογες καθυστερήσεις δεν είναι (ούτε) τεχνικά αϖοδεκτές. Το email spam αποτελείται κυρίως από κείµενο (ίσως και εικόνες), ενώ το SPIT κυρίως από ήχο και εικόνα (πολύ λιγότερο από κείµενο). Μια SPIT κλήση συνήθως δηµιουργεί εντονότερη ενόχληση στο χρήστη. 4
Τεχνολογίες αντιµετώϖισης SPIT 1. Ανάλυση ϖεριεχοµένου (Content Filtering) 2. Μαύρες ή/και λευκές λίστες (Black-White Lists) 3. Εϖικοινωνία βασισµένη στη Συγκατάθεση (Consent-based com s) 4. Συστήµατα Εµϖιστοσύνης (Reputation Systems) 5. Αϖόκρυψη ιεύθυνσης (Address Obfuscation) 6. ιευθύνσεις Περιορισµένης Χρήσης (Limited-use Addresses) 7. Τεχνικές Ανταϖόκρισης (Turing Tests, Computational Puzzles) 8. Τεχνικές Εισαγωγής Κόστους (Payments at Risk) 9. Νοµοθετικές ή κανονιστικές δράσεις (Legal Action) 10. Κύκλοι Εµϖιστοσύνης µεταξύ Παρόχων (Circles of Trust) 11. Κεντρικοί Πάροχοι (Centralized SIP Providers) 5
Σήµερα (2012): Ανεϖαρκής αντιµετώϖιση, γιατί οι υϖάρχοντες µηχανισµοί κατά κανόνα αποπειρώνται να υιοθετήσουν αντίστοιχες µεθόδους αντιµετώπισης του email spam. αντιµετωπίζουν περιορισµένο υποσύνολο αϖειλών και αδυναµιών του SIP. εστιάζουν στο εκάστοτε τεχνολογικό περιβάλλον (ad-hoc προσέγγιση). δεν µπορούν να αντιµετωπίσουν επαρκώς καινούργια σενάριο SIP επιθέσεων. απαιτούν συνδυασµό τεχνικών (πολυπαραγοντικότητα) σε κάθε στάδιο µιας SIP κλήσης. δεν µπορούν να προσφέρουν δυνατότητες ϖρόληψης, ανίχνευσης και αντιµετώϖισης του SPIT. δεν µπορούν να αξιολογηθούν, ακόµη, σε ϖραγµατικές συνθήκες. 6
Ηχητικά CAPTCHA * Ψηφία/ χαρακτήρες ιάστηµα µεταξύ χαρακτήρων Συνολική ιάρκεια Γλώσσα Παρασκήνιο Μεταβλητός αριθµός χαρακτήρων Λεξιλόγιο Ηχητικό CAPTCHA Θόρυβος Πεδίο δεδοµένων ιαδικασία παραγωγής Ενδιάµεσος Αυτόµατη παραγωγή Χρήση ήδη υπαρχόντων * CAPTCΗA: Completely Automated Public Turing test to tell Computers and Humans Apart 7
Βασικά γενικά συµϖεράσµατα Η εξάπλωση της χρήσης του VoIP εισαγάγει νέες εϖιχειρηµατικές δραστηριότητες και εφαρµογές, αλλά και νέες αϖειλές. Η επαρκής αντιµετώπιση του SPIT απαιτεί ϖολυ-ϖαραγοντική προσέγγιση - δεν επαρκούν µόνο υπάρχουσες anti-spam τεχνικές. Οι τεχνικές anti-spit πρέπει να στοχεύουν στην αντιµετώπιση ϖερισσότερων και νέων ειδών εϖιθέσεων απ ότι οι υπάρχουσες. Το audio CAPTCHA που αξιοποιεί χροιά εκφώνησης, τυχαίους ενδιάµεσους ήχους και διασϖορά τους µέσα στο µήνυµα, παρέχει ενθαρρυντική ανθεκτικότητα απέναντι σε bots. 8
Κύριες λειτουργίες της υϖηρεσίας ΣΦΙΓΞ ιάκριση ανθρώπου ή µηχανής σε συστήµατα VoIP Αξιοποίηση ηχητικών διαδραστικών µέσων (audio CAPTCHA) ιαχείριση και παραµετροποίηση της εφαρµοζόµενης ϖολιτικής ασφάλειας ηµιουργία κατάλληλου µορφότυπου («προφίλ») των χρηστών της υπηρεσίας 9
Αϖαιτήσεις σχεδίασης της ΣΦΙΓΞ Θεµελίωση της ευρωστίας της υπηρεσίας µε αυστηρή σχεδίαση και επαλήθευση της συµπεριφοράς της µε τυπικές µεθόδους ανάλυσης Ανθεκτικότητα της υπηρεσίας σε αυτοµατοποιηµένες επιθέσεις (bots) Καταλληλότητα της υπηρεσίας για χρήση µε συσκευές επικοινωνίας χαµηλού κόστους (αϖοδοτικότητα) 10
Ευρωστία της ΣΦΙΓΞ Η ΣΦΙΓΞ θεωρείται εύρωστη αν παρέχει προστασία αποφεύγοντας παρενέργειες που παρεκτρέπουν το σύστηµα VoIP σε µη αναµενόµενη συµπεριφορά. Μελετάµε τη συµπεριφορά της ΣΦΙΓΞ σε σενάρια λειτουργίας µε παράλληλες συνόδους VoIP Αϖουσία αδιεξόδων (deadlocks) Αϖουσία κύκλων χωρίς ϖρόοδο (livelocks) Αϖουσία υϖερφόρτωσης µηνυµάτων ϖου υϖονοµεύει την εµϖρόθεσµη αϖοκατάσταση συνόδου (call establishment) Αµεροληψία (fairness) στην εξυϖηρέτηση των χρηστών 11
Αυτόµατος Έλεγχος Μοντέλων (Model Checking) Μοντέλο Μ Πεϖερασµένο Μοντέλο Καταστάσεων Χώρος Καταστάσεων Ιδιότητα φ έκρηξη χώρου καταστάσεων: µεγαλώνει εκθετικά ως ϖρος τον αριθµό συστατικών του µοντέλου ΝΑΙ, η ιδιότητα ικανοϖοιείται ΟΧΙ, ίχνος λάθους 12
Αϖοδοτική χρήση και µε συσκευές εϖικοινωνίας χαµηλού κόστους Αρχιτεκτονική σχεδίαση µε προτεραιότητα στην επεκτασιµότητα και την ευκολία προσαρµογής της υπηρεσίας 13
Η ΣΦΙΓΞ συνδυάζει καινοτοµίες... ιάκριση ανθρώϖου ή µηχανής µε χρήση ϖολιτικών ασφαλείας και ηχητικών διαδραστικών µέσων (CAPTCHAs) Θεµελίωση της ευρωστίας της και της αντοχής της σε εϖιθέσεις µε ϖροηγµένες τεχνικές τυϖικής εϖαλήθευσης (model checking) Εϖεκτασιµότητα, ευκολία ϖροσαρµογής και αϖοδοτική χρήση µε συσκευές εϖικοινωνίας χαµηλού κόστους 14
Σχετικές δηµοσιεύσεις Deshpande, T., Katsaros, P., Basagiannis, S., Smolka, S. Formal analysis of the DNS Bandwidth Amplification Attack and its countermeasures using probabilistic model checking, in Proc. of the 13th IEEE Int. High Assurance Systems Engineering Symposium (HASE), Boca Raton, Florida, pp. 360-367, 2011 Gritzalis D., Katsaros P., Basagiannis S., Soupionis Y., Formal analysis for robust anti-spit protection using model-checking, International Journal of Information Security, Vol. 11, No. 2, pp. 121-135, 2012. Stachtiari E., Soupionis Y., Katsaros P., Mentis A., Gritzalis D., Probabilistic model checking of CAPTCHA admission control for DoS resistant anti-spit protection, in Proc. of the 7th Int. Conf. on Critical Information Infrastructures Security (CRITIS-2012), Springer, Norway, September 2012. katsaros@csd.auth.gr delab.csd.auth.gr/~katsaros http://sphinx.vtrip.net/ dgrit@aueb.gr www.cis.aueb.gr 15