Ασφάλεια Πληροφοριακών Συστημάτων Δρ. Γιώργος Αγγελινός Κακόβουλο λογισμικό.

Παρουσίαση με θέμα: "Ασφάλεια Πληροφοριακών Συστημάτων Δρ. Γιώργος Αγγελινός Κακόβουλο λογισμικό."— Μεταγράφημα παρουσίασης:

1 Ασφάλεια Πληροφοριακών Συστημάτων Δρ. Γιώργος Αγγελινός gaggelinos@ssl-unipi.gr Κακόβουλο λογισμικό

2 Η έννοια του Κακόβουλου Λογισμικού  Το Λογισμικό διαθέτει βούληση;  Το Λογισμικό χαρακτηρίζεται με βάση την πρόθεση του προγραμματιστή;  Σενάριο 1: Προγραμματιστής παράγει λογισμικό με επιβλαβείς συνέπειες έχοντας γνώση των πράξεών του (δόλιοι σκοποί)  Σενάριο 2: Προγραμματιστής παράγει λογισμικό με επιβλαβείς συνέπειες μη έχοντας γνώση των πράξεών του. Ενδεχόμενη άγνοια όσον αφορά στον τρόπο παραγωγής ασφαλούς λογισμικού. 2 Τμήμα Ψηφιακών Συστημάτων

3 Οριοθέτηση εννοιών  Κακόβουλο Λογισμικό  το λογισμικό που περιέχει τις απαιτούμενες εντολές για μία επίθεση σε ένα υπολογιστικό σύστημα.  …επίθεση: η παραβίαση (ή η απόπειρα παραβίασης) της εμπιστευτικότητας, ακεραιότητας ή διαθεσιμότητας του συστήματος 3 Τμήμα Ψηφιακών Συστημάτων

4 Κριτήρια κατηγοριοποίησης  Αυτονομία  ύπαρξη ανάγκης (ή μη) για λογισμικό-ξενιστή  Αναπαραγωγή  δυνατότητα αυτό-αναπαραγωγής (ή μη), όταν οι συνθήκες το επιτρέπουν 4 Τμήμα Ψηφιακών Συστημάτων

5 Κατηγοριοποίηση 5 Τμήμα Ψηφιακών Συστημάτων 5 Κακόβουλο Λογισμικό Απαιτεί ξενιστήΔεν απαιτεί ξενιστή Κερκό- πορτες Λογικές Βόμβες Δούρειοι Ίπποι ΙοίΒακτήρια Αναπα- ραγωγοί Δεν αναπαράγονταιΑναπαράγονται

6 Είδη Κακόβουλου Λογισμικού 6 Τμήμα Ψηφιακών Συστημάτων Ιομορφικό Κακόβουλο Λογισμικό Μη Ιομορφικό Κακόβουλο Λογισμικό Μόνιμη ζημιά στο σύστημαΧαμηλή πιθανότηταΥψηλή πιθανότητα Μηχανισμός αναπαραγωγής Αναπαραγωγή χωρίς ανθρώπινη παρέμβαση Αναπαραγωγή με ανθρώπινη παρέμβαση Επεισόδια μεγάλης κλίμακας Υψηλή πιθανότηταΧαμηλή πιθανότητα, με εξαιρέσεις Δυσκολία εντοπισμούΧαμηλήΥψηλή Στοχευμένη απόπειρα επίθεσης Χαμηλή πιθανότηταΥψηλή πιθανότητα

7 Ιομορφικό Λογισμικό Ιός: τμήμα λογισμικού που:  ενσωματώνει τον κώδικά του σε ένα πρόγραμμα ξενιστή,  αναπαράγεται με την αντιγραφή του εαυτού του σε άλλα προγράμματα ξενιστές και  εκτελείται στο παρασκήνιο. 7 Τμήμα Ψηφιακών Συστημάτων

8 Ιομορφικό Λογισμικό: Κύκλος ζωής  Φάση επώασης  ο ιός παραμένει ανενεργός στο υπολογιστικό σύστημα και ενεργοποιείται από κάποιο γεγονός (π.χ. έλευση χρονικής στιγμής, παρουσία κάποιου αρχείου)  Φάση αναπαραγωγής  δημιουργία αντιγράφων και ενσωμάτωση σε ξενιστές  Φάση ενεργοποίησης και εκτέλεσης  εκτέλεση σειράς ενεργειών (payload) με πιθανές επιβλαβείς συνέπειες για το υπολογιστικό σύστημα που φιλοξενεί το ιομορφικό λογισμικό 8 Τμήμα Ψηφιακών Συστημάτων

9 Ιομορφικό Λογισμικό: Βασικές υπορουτίνες  Υπορουτίνα αναζήτησης  αναζήτηση νέων ξενιστών  Υπορουτίνα αντιγραφής  δημιουργία αντιγράφου του ιού και ενσωμάτωση σε νέο ξενιστή  Υπορουτίνα κατά του εντοπισμού  Παραμετροποίηση τρόπου λειτουργίας υπορουτίνας αναζήτησης και υπορουτίνας αντιγραφής, με σκοπό την αποφυγή εντοπισμού του ιού από αντιβιοτικό λογισμικό 9 Τμήμα Ψηφιακών Συστημάτων

10 Είδη Ιομορφικού Λογισμικού (1/4)  Ιοί Τομέα Εκκίνησης  εγκαθίστανται στον τομέα εκκίνησης ενός δίσκου, μετατοπίζοντας τις υπάρχουσες ρουτίνες  Παρασιτικοί Ιοί  ενσωματώνουν τον κώδικα του ιού στον κώδικα εκτελέσιμων αρχείων  Πολυμερείς Ιοί  μολύνουν είτε εκτελέσιμα αρχεία (Παρασιτικοί Ιοί) είτε τομείς εκκίνησης (Ιοί Τομέα Εκκίνησης) 10 Τμήμα Ψηφιακών Συστημάτων

11 Είδη Ιομορφικού Λογισμικού (2/4)  Ιοί Διαμένοντες στην Κύρια Μνήμη  μετά την εκτέλεση του ξενιστή τοποθετούνται στην Κύρια Μνήμη μέχρι τον τερματισμό της λειτουργίας του υπολογιστικού συστήματος  Κρυφοί Ιοί  αποκρύπτουν τη μόλυνση των αρχείων που έχουν προσβάλει, αποκτώντας έλεγχο των κλήσεων συστήματος που αφορούν στην πρόσβαση σε αρχεία 11 Τμήμα Ψηφιακών Συστημάτων

12 Είδη Ιομορφικού Λογισμικού (3/4)  Κρυπτογραφημένοι ιοί  αποφεύγουν την ανίχνευση, κρυπτογραφώντας το μεγαλύτερο τμήμα του ιού, εκτός από μία ρουτίνα αποκρυπτογράφησης και το αντίστοιχο κλειδί  Πολυμορφικοί ιοί  κρυπτογραφημένοι ιοί, που μεταβάλλουν τη ρουτίνα αποκρυπτογράφησης μετά από κάθε προσβολή αρχείου- ξενιστή 12 Τμήμα Ψηφιακών Συστημάτων

13 Είδη Ιομορφικού Λογισμικού (4/4)  Ρετρο-Ιοί  ανιχνεύουν την ύπαρξη αντιβιοτικών προγραμμάτων και τα καθιστούν αναποτελεσματικά  Ιοί που διαγράφουν τμήμα του ξενιστή  Μακρο-Ιοί  αποτελούνται από ακολουθία εντολών η οποία διερμηνεύεται (interpreted) αντί να εκτελείται (executed), ενώ χρησιμοποιούν συνήθως αρχεία δεδομένων ως ξενιστές 13 Τμήμα Ψηφιακών Συστημάτων

14 Μελέτη περίπτωσης – Melissa (1/3)  Μακρο-ιός, που εμφανίστηκε αρχικά σε newsgroups του Internet, το 1999.  Παραλλαγές: W97M/Melissa.o, W97M/Melissa.gen@MM, W97M/Melissa.bp@MM.  Τρόποι μετάδοσης: Προσβάλλει αρχεία δεδομένων (Microsoft Word). Μεταδίδεται με μαζική αποστολή μέσω e-mail, χρησιμοποιώντας την εφαρμογή Outlook. 14 Τμήμα Ψηφιακών Συστημάτων

15 Μελέτη περίπτωσης – Melissa (2/3)  Είναι γραμμένος σε κώδικα Visual Basic Scripting, που εκτελείται από το Outlook όταν ανοιχτεί το μήνυμα.  Ο ιός ανακτά τις πρώτες 50 διευθύνσεις του address book του outlook και στέλνει σ’ αυτές ένα μήνυμα με θέμα «Important message from application.username…», όπου application.username το όνομα του χρήστη.  Ο ιός απενεργοποιεί την προστασία από μακροεντολές του Word και αναπαράγεται, εγκαθιστώμενος στο normal template του Word. 15 Τμήμα Ψηφιακών Συστημάτων

16 Μελέτη περίπτωσης – Melissa (3/3)  Κακόβουλες ενέργειες: Δεν υπάρχουν  Τρόποι ενεργοποίησης: Δεν υπάρχουν 16 Τμήμα Ψηφιακών Συστημάτων

17 Μελέτη περίπτωσης – ILoveYou (1/4)  Μακρο-ιός που εμφανίστηκε αρχικά στις Φιλιππίνες, το 2000.  Παραλλαγές: VBS/Loveletter.*, όπου *=b,c,d,af,ag,ah,ae,ai,be, LoveBug, Very Funny, Love Letter, Mothers Day.  Τρόποι μετάδοσης: Είναι γραμμένος σε κώδικα Visual Basic Scripting. Χρησιμοποιεί τις εφαρμογές e-mail που υποστηρίζουν VBS και στέλνει μηνύματα, με θέμα «ILOVEYOU» σε όλες τις διευθύνσεις του address book, επισυνάπτοντας αρχείο με τον κώδικά του. 17 Τμήμα Ψηφιακών Συστημάτων

18 Μελέτη περίπτωσης – ILoveYou (2/4)  Επηρεάζει συστήματα Windows 9x/NT με ενεργοποιημένη τη δυνατότητα εκτέλεσης scripts.  Μεταδίδεται πολύ γρήγορα. Ελέγχει όλες τις δευτερεύουσες μονάδες αποθήκευσης του προσβεβλημένου συστήματος και διασχίζει όλους τους υποκαταλόγους για να βρει ξενιστές. 18 Τμήμα Ψηφιακών Συστημάτων

19 Μελέτη περίπτωσης – ILoveYou (3/4)  Μολύνει αρχεία.vbs,.vbe,.js,.jse,.css,.wsh,.sct,.hta,.jpg,.jpeg,.mp3,.mp2, επανεγγράφοντας το αρχείο με τον δικό του κώδικα.  Δημιουργεί αντίγραφα του εαυτού του στον ριζικό κατάλογο του συστήματος και στον υποκατάλογο SYSTEM. 19 Τμήμα Ψηφιακών Συστημάτων

20 Μελέτη περίπτωσης – ILoveYou (4/4)  Κακόβουλες ενέργειες: Μεταφορτώνει και εγκαθιστά το εκτελέσιμο WIN-BUGSFIX.EXE από το διαδίκτυο. Το πρόγραμμα ανιχνεύει αποθηκευμένα συνθηματικά χρηστών και τα στέλνει στη διεύθυνση mailme@super.net.ph  Τρόποι ενεργοποίησης: Ο ιός τοποθετεί τη διαδρομή καταλόγου προς το εκτελέσιμο WIN-BUGSFIX.EXE στο κλειδί HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run\WIN-BUGSFIX του register, ενεργοποιώντας τον ιό σε κάθε επανεκκίνηση του συστήματος. 20 Τμήμα Ψηφιακών Συστημάτων

21 Είδη Μη Ιομορφικού Λογισμικού (1/3)  Κερκόπορτες  σημεία εισόδου που επιτρέπουν την πρόσβαση σε ένα σύστημα, παρακάμπτοντας τη συνηθισμένη διαδικασία ελέγχου πρόσβασης  Λογικές Βόμβες  προγράμματα που εκτελούν μία ενέργεια, η οποία παραβιάζει την πολιτική ασφαλείας ενός συστήματος, όταν πληρείται κάποια λογική συνθήκη στο σύστημα 21 Τμήμα Ψηφιακών Συστημάτων

22 Είδη Μη Ιομορφικού Λογισμικού (2/3)  Δούρειοι Ίπποι  φαινομενικά χρήσιμα προγράμματα που περιλαμβάνουν κρυφές λειτουργίες οι οποίες μπορούν να εκμεταλλευτούν τα δικαιώματα του χρήστη που εκτελεί το πρόγραμμα, με συνέπεια μια απειλή στην ασφάλεια του συστήματος  Αναπαραγωγοί (worms)  προγράμματα που μεταδίδονται από έναν υπολογιστή σε έναν άλλο, δημιουργώντας αντίγραφα του εαυτού τους 22 Τμήμα Ψηφιακών Συστημάτων

23 Είδη Μη Ιομορφικού Λογισμικού (3/3)  Βακτήρια  αναπαράγονται όπως και οι ιοί και δεν απαιτούν την ύπαρξη ξενιστή. Δεν αλλοιώνουν δεδομένα σκόπιμα.  Παραπλανητική Πληροφόρηση (Hoax)  διάδοση ψευδούς φήμης σχετικά με την ύπαρξη νεοεμφανιζόμενου Κακόβουλου Λογισμικού 23 Τμήμα Ψηφιακών Συστημάτων

24 Internet worm (1/4)  Σχεδιασμένο να εξαπλώνεται σε συστήματα UNIX  Ανακαλύπτει άλλους hosts γνωστούς στον host που έχει προσβάλει  system tables με hosts που εμπιστεύεται ο προσβεβλημένος host  Αρχεία προώθησης ηλεκτρονικού ταχυδρομείου χρηστών  Πίνακες χρηστών για άδεια πρόσβασης σε άλλους λογαριασμούς  Πρόγραμμα που αναφέρει την κατάσταση δικτυακών συνδέσεων 24 Τμήμα Ψηφιακών Συστημάτων

25 Internet worm (2/4)  Για κάθε νέο host  Προσπάθεια σύνδεσης ως νόμιμος χρήστης  Προσπαθώντας να σπάσει το αρχείο συνθηματικών που δοκίμαζε Το όνομα χρήστη και απλούς αναγραμματισμούς του Ένα κατάλογο με built-in passwords Όλες τις λέξεις του τοπικού λεξικού  Εκμεταλλευόταν μια κερκόπορτα στην debug option του sendmail 25 Τμήμα Ψηφιακών Συστημάτων

26 Internet worm (3/4)  Αν κάποια απ’ αυτές τις επιθέσεις πετύχαινε,  Ο αναπαραγωγός πετύχαινε επικοινωνία με τον command interpreter,  Του έστελνε ένα μικρό πρόγραμμα bootstrap,  Έστελνε μια εντολή εκτέλεσης του προγράμματος αυτού,  Αποσυνδεόταν. 26 Τμήμα Ψηφιακών Συστημάτων

27 Internet worm (4/4)  Το πρόγραμμα bootstrap,  Καλούσε το parent program,  Φόρτωνε τον υπόλοιπο αναπαραγωγό (σε κρυπτογραφημένη μορφή),  Αποκρυπτογραφούσε τον αναπαραγωγό,  Ζητούσε την εκτέλεσή του. 27 Τμήμα Ψηφιακών Συστημάτων

28 Άλλοι αναπαραγωγοί (1/4)  13/07/2001: Code Red (http://en.wikipedia.org/wiki/Code_Red_(computer_w orm) )http://en.wikipedia.org/wiki/Code_Red_(computer_w orm)  04/08/2001: Code Red II (http://en.wikipedia.org/wiki/Code_Red_II)http://en.wikipedia.org/wiki/Code_Red_II  18/9/2001: Nimda (http://en.wikipedia.org/wiki/Nimda)http://en.wikipedia.org/wiki/Nimda 28 Τμήμα Ψηφιακών Συστημάτων

29 Άλλοι αναπαραγωγοί (2/4)  25/01/2003: Slammer (http://en.wikipedia.org/wiki/SQL_Slammer)http://en.wikipedia.org/wiki/SQL_Slammer  11/08/2003: Blaster (http://en.wikipedia.org/wiki/Blaster_(computer_worm )http://en.wikipedia.org/wiki/Blaster_(computer_worm )  18/08/2003: Welchia (http://en.wikipedia.org/wiki/Welchia)http://en.wikipedia.org/wiki/Welchia 29 Τμήμα Ψηφιακών Συστημάτων

30 Άλλοι αναπαραγωγοί (3/4)  19/03/2004: Witty worm (http://en.wikipedia.org/wiki/Witty_(computer_worm)http://en.wikipedia.org/wiki/Witty_(computer_worm)  20/04/2004: Sasser (http://en.wikipedia.org/wiki/Sasser_(computer_worm) )http://en.wikipedia.org/wiki/Sasser_(computer_worm)  13/08/2005: Zotob (http://en.wikipedia.org/wiki/Zotob)http://en.wikipedia.org/wiki/Zotob 30 Τμήμα Ψηφιακών Συστημάτων

31 Άλλοι αναπαραγωγοί (4/4)  17/01/2007: Storm (http://en.wikipedia.org/wiki/Storm_Worm)http://en.wikipedia.org/wiki/Storm_Worm  Ιούνιος 2010: Stuxnet (http://en.wikipedia.org/wiki/Stuxnet)http://en.wikipedia.org/wiki/Stuxnet  … 31 Τμήμα Ψηφιακών Συστημάτων

32 Γενική δομή αναπαραγωγών  Ανακάλυψη στόχων  Διάδοση μόλυνσης  Ενεργοποίηση  Payload 32 Τμήμα Ψηφιακών Συστημάτων

33 Ανακάλυψη στόχων (1/2)  Scanning  Τυχαίο (CodeRed, Sasser, Slammer, Witty)  Τοπικό τυχαίο (CodeRed II)  Γραμμικό subnet scanning (Blaster)  Hit-list (Witty (?))  Συνδυαστικό (Slapper, Welchia) 33 Τμήμα Ψηφιακών Συστημάτων

34 Ανακάλυψη στόχων (2/2)  E-mail address harvesting  Address books, files, web crawling, monitoring SMTP activity  Network share enumeration/topology  Network neighborhood, /etc/hosts, known_hosts…  Άλλα μέσα  P2P shared folders, Google… 34 Τμήμα Ψηφιακών Συστημάτων

35 Διάδοση μόλυνσης  Μεταφορά του ίδιου του αναπαραγωγού (CodeRed, Slammer, Witty)  Δεύτερος δίαυλος (Blaster)  TFTP, FTP, HTTP 35 Τμήμα Ψηφιακών Συστημάτων

36 Ενεργοποίηση  Αυτο-ενεργοποίηση  Εκμετάλλευση ευπάθειας σε τρέχουσα υπηρεσία  Ενεργοποίηση από άνθρωπο  Κοινωνική μηχανική  Ενεργοποίηση από ανθρώπινη δραστηριότητα  Reboot, user login,… 36 Τμήμα Ψηφιακών Συστημάτων

37 Payload  Κανένα/μη λειτουργικό  Επιπτώσεις (traffic/machine load) υπάρχουν  DDoS  Remote control  Backdoors, botnets  Spam relay  Συλλογή δεδομένων/παρακολούθηση  Πρόκληση ζημιάς 37 Τμήμα Ψηφιακών Συστημάτων

38 Botnets (1/3)  Δίκτυα υπολογιστών που έχουν παραβιασθεί και ελέγχονται από τον επιτιθέμενο  Συνήθως δημιουργούνται χρησιμοποιώντας ιούς και αναπαραγωγούς 38 Τμήμα Ψηφιακών Συστημάτων

39 Botnets (2/3)  >1 εκ. Zombies  70%-80% των spam φεύγει από zombies  Honeynet project: 226.585 μοναδικές διευθύνσεις IP logging σε ένα IRC botnet C&C κανάλι  13 zombies αρκούν για να εξαπολύσουν επίθεση DDoS σε γραμμή Τ1 (1,544 Mbit), αν καθένα έχει σύνδεση 128 Kbit 39 Τμήμα Ψηφιακών Συστημάτων

40 Botnets (3/3)  Γιατί;  Διάδοση spam  DDoS  Εκβιασμός  Διασπορά νέου malware  Επίθεση κατά δικτύων IRC  Χειραγώγηση online δημοσκοπήσεων ή παιχνιδιών  Προγράμματα adware  Phishing web servers  Μαζική κλοπή ταυτότητας 40 Τμήμα Ψηφιακών Συστημάτων

41 Ιδιαιτερότητες των απειλών από Κακόβουλο Λογισμικό  Γενικότητα απειλών: Το Κακόβουλο Λογισμικό δεν εκμεταλλεύεται συγκεκριμένα ελαττώματα των Λειτουργικών Συστημάτων που προσβάλλει.  Έκταση απειλών: Μία απειλή προερχόμενη από Κακόβουλο Λογισμικό μπορεί να επεκταθεί από ένα υπολογιστικό σύστημα σε ένα άλλο.  Αδυναμία εφεδρικών αντιγράφων ασφαλείας: Το αντίγραφο μπορεί να περιέχει αντίγραφο του Κακόβουλου Λογισμικού. 41 Τμήμα Ψηφιακών Συστημάτων

42 Εξάπλωση Κακόβουλου Λογισμικού  Η αυξανόμενη εξάπλωση οφείλεται:  στην εξάπλωση της χρήσης των δικτύων δεδομένων  στην έλλειψη διαχωρισμού μεταξύ αρχείων δεδομένων και εκτελέσιμων αρχείων (π.χ.μακρο-εντολές σε αρχεία δεδομένων)  στην έλλειψη επίγνωσης από τελικούς χρήστες και διαχειριστές συστημάτων  στην αναποτελεσματικότητα παραδοσιακών μηχανισμών ελέγχου πρόσβασης 42 Τμήμα Ψηφιακών Συστημάτων

43 Αντίμετρα κατά Κακόβουλου Λογισμικού  Κατηγορίες αντίμετρων:  Πρόληψη  Ανίχνευση  Επανόρθωση Η συνδυασμένη χρήση των τριών κατηγοριών αντίμετρων οφείλει να οδηγεί σε:  Ελαχιστοποίηση των προσβολών από Κακόβουλο Λογισμικό, ή  Ελαχιστοποίηση της ζημίας που μπορεί να επιφέρει η προσβολή από Κακόβουλο Λογισμικό 43 Τμήμα Ψηφιακών Συστημάτων

44 Επιλογή αντιμέτρων κατά Κακόβουλου Λογισμικού  Η επιλογή αντιμέτρων (οφείλει να) είναι το τελικό στάδιο της Ανάλυσης Επικινδυνότητας  Η αυθαίρετη επιλογή αντιμέτρων ενδέχεται να οδηγήσει:  σε κενά ασφαλείας (μη αναγνωρισμένες ευπάθειες του συστήματος), ή  σε σπατάλη πόρων, χωρίς αντίστοιχο όφελος για την Ασφάλεια του Πληροφοριακού Συστήματος που προστατεύεται 44 Τμήμα Ψηφιακών Συστημάτων

45 Κατηγοριοποίηση Αντιμέτρων (1/5)  Κακόβουλο λογισμικό που εμφανίζεται ως δεδομένα και ως εντολές  Έλεγχος και πιστοποίηση (από το διαχειριστή συστήματος) των αρχείων που έχουν δικαίωμα εκτέλεσης  Οποιαδήποτε μεταβολή σε πιστοποιημένο εκτελέσιμο αρχείο πρέπει να το καθιστά μη εκτελέσιμο, έως ότου ο διαχειριστής πιστοποιήσει εκ νέου το αρχείο αυτό ως εκτελέσιμο 45 Τμήμα Ψηφιακών Συστημάτων

46 Κατηγοριοποίηση Αντιμέτρων (2/5)  Διάσχιση Τομέων Προστασίας  Υποχρεωτικός Έλεγχος Προσπέλασης (Mandatory Access Control – MAC) και Πεδία Προστασίας (Protection Domains)  Τα υπό προστασία προγράμματα τοποθετούνται στο χαμηλότερο επίπεδο της Πολιτικής Ασφαλείας  Το συγκεκριμένο αντίμετρο ελαχιστοποιεί παράλληλα και τη δυνατότητα διαμοιρασμού προγραμμάτων από τους χρήστες  Έλεγχος Ακεραιότητας Αρχείων  Κρυπτογραφικά αθροίσματα ελέγχου για τον έλεγχο της ακεραιότητας των αρχείων 46 Τμήμα Ψηφιακών Συστημάτων

47 Κατηγοριοποίηση Αντιμέτρων (3/5)  Κακόβουλο Λογισμικό που εκμεταλλεύεται τα δικαιώματα του χρήστη  Ελαχιστοποίηση των αντικειμένων του συστήματος στα οποία έχουν πρόσβαση οι χρήστες:  Μετρικές Ροής Πληροφορίας: μία πληροφορία είναι διαθέσιμη σε μία διεργασία μόνον όταν η απόστασή της είναι μικρότερη από κάποια τιμή  Μείωση των δικαιωμάτων του χρήστη: δυναμική μείωση των δικαιωμάτων ενός ύποπτου εκτελέσιμου, με πρωτοβουλία του χρήστη  Εκτέλεση σε περιορισμένο περιβάλλον: στατικός και δυναμικός έλεγχος ύποπτων προγραμμάτων (sandboxing) 47 Τμήμα Ψηφιακών Συστημάτων

48 Κατηγοριοποίηση Αντιμέτρων (4/5)  Έλεγχος ενεργειών που δεν αναφέρονται στις προδιαγραφές  Εκ των προτέρων υπολογισμός κρυπτογραφικού αθροίσματος ελέγχου για κάθε ακολουθία μη διακλαδωμένων εντολών σε ένα πρόγραμμα  Υπολογισμός των κρυπτογραφικών αθροισμάτων ελέγχου κατά την εκτέλεση. Σε περίπτωση διαφορών, η ακεραιότητα του προγράμματος έχει παραβιασθεί.  Απαιτεί ιδιαίτερες διαδικασίες για τη διαχείριση των κλειδιών και πιθανόν μειώνει την απόδοση του υπολογιστικού συστήματος σε μεγάλο βαθμό. 48 Τμήμα Ψηφιακών Συστημάτων

49 Κατηγοριοποίηση Αντιμέτρων (5/5)  Κρυπτογραφικός έλεγχος ασφαλείας κώδικα  Διαπίστευση εκτελέσιμου προγράμματος ως προς την ασφάλεια εκτέλεσής του, σύμφωνα με συγκεκριμένες απαιτήσεις/προδιαγραφές του χρήστη  Η διαπίστευση προέρχεται από τον παραγωγό του κώδικα  Η διαπίστευση είναι δυνατόν να επαληθευθεί κρυπτογραφικά από το χρήστη του προγράμματος. Σε περίπτωση μη επαλήθευσης, ο χρήστης δεν εκτελεί το πρόγραμμα 49 Τμήμα Ψηφιακών Συστημάτων

50 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού (1/5)  Επίγνωση σε θέματα ασφαλείας  επίγνωση σε θέματα Κακόβουλου Λογισμικού  γνώση χειρισμού εφαρμογών κατά Κακόβουλου Λογισμικού  αποφυγή μεταφόρτωσης και εγκατάστασης μη ελεγμένων προγραμμάτων ή προγραμμάτων από άγνωστες ή μη έμπιστες πηγές  Αντιβιοτικό Λογισμικό  εφαρμογές που ανιχνεύουν την ύπαρξη ιών και τους αφαιρούν από τα αρχεία ξενιστές, ή απομονώνουν τα αρχεία ξενιστές 50 Τμήμα Ψηφιακών Συστημάτων

51 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού (2/5)  Αρχεία Ελέγχου του Λειτουργικού Συστήματος  εξέταση των Αρχείων Ελέγχου για δραστηριότητα που προδίδει Κακόβουλο Λογισμικό  Αυστηρά μέτρα ασφαλείας  αυστηρά δικαιώματα πρόσβασης  εκτέλεση εφαρμογών με τα ελάχιστα δικαιώματα που απαιτούν (least privilege)  Απαγόρευση μεταφόρτωσης εκτελέσιμου κώδικα  έλεγχος και περιορισμός του κώδικα που είναι δυνατόν να μεταφορτωθεί (πιθανό σημείο ελέγχου: οι Πληρεξούσιοι) 51 Τμήμα Ψηφιακών Συστημάτων

52 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού (3/5)  Απομόνωση  απομόνωση τμημάτων Πληροφοριακών Συστημάτων που περιέχουν διαβαθμισμένες πληροφορίες, από άλλα τμήματα που περιέχουν μη διαβαθμισμένες πληροφορίες  απομόνωση τμημάτων Πληροφοριακών Συστημάτων που επικοινωνούν με εξωτερικά ΠΣ, από τα υπόλοιπα τμήματα του ΠΣ ενός οργανισμού (Demilitarised Zone)  Αναχώματα Ασφαλείας  περιορισμός της δυνατότητας του Κακόβουλου Λογισμικού να εξαπλωθεί σε περισσότερα συστήματα ενός ΠΣ 52 Τμήμα Ψηφιακών Συστημάτων

53 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού (4/5)  Εργαλεία Ανίχνευσης Εισβολών  ανίχνευση Κακόβουλου Λογισμικού με βάση γνωστές συμπεριφορές τυπικών προγραμμάτων Κακόβουλου Λογισμικού  Ανίχνευση Κακόβουλου Λογισμικού με βάση συμπεριφορές που διαφέρουν από τις τυπικές συμπεριφορές έγκυρων χρηστών  Συνεργασία με τους οργανισμούς που προσφέρουν προϊόντα υλικού και λογισμικού για προστασία από Κακόβουλο Λογισμικό  ενημέρωση των οργανισμών αυτών σε περίπτωση εμφάνισης προγράμματος που ενδέχεται να συνιστά Κακόβουλο Λογισμικό άλλα δεν έχει ήδη καταγραφεί 53 Τμήμα Ψηφιακών Συστημάτων

54 Τεχνικές Αντιμετώπισης Κακόβουλου Λογισμικού (5/5)  Διατυπωμένη διαδικασία ανάνηψης από προσβολή και περιορισμού Κακόβουλου Λογισμικού  Απομόνωση προσβεβλημένων συστημάτων  Απομάκρυνση Κακόβουλου Λογισμικού από προσβεβλημένο σύστημα  Αποκατάσταση ακεραιότητας προσβεβλημένου συστήματος  Η διαδικασία πρέπει να είναι τεκμηριωμένη και γνωστή εκ των προτέρων σε όσους οφείλουν να την ακολουθήσουν  Ενημέρωση τελικών χρηστών σχετικά με ενδεχόμενες ενέργειες που οφείλουν να κάνουν οι ίδιοι σε περίπτωση εμφάνισης εφαρμογών που ενδέχεται να συνιστούν Κακόβουλο Λογισμικό 54 Τμήμα Ψηφιακών Συστημάτων

55 Αντιβιοτικό Λογισμικό  Το αντιβιοτικό λογισμικό διεξάγει:  ανίχνευση Κακόβουλου Λογισμικού σε ένα σύστημα  ταυτοποίηση του Κακόβουλου Λογισμικού που έχει προσβάλει το σύστημα  αφαίρεση των τμημάτων κώδικα του Κακόβουλου Λογισμικού από τα αρχεία, ή (αν η αφαίρεση δεν είναι δυνατή) απομόνωση των προσβεβλημένων αρχείων 55 Τμήμα Ψηφιακών Συστημάτων

56 Αντιβιοτικό Λογισμικό: Κατηγοριοποίηση Τεχνικών  Ανάλογα με τη Σειρά Εκτέλεσης (Order of Play)  Εκτέλεση Πρώτου Επιπέδου: ανίχνευση ιομορφών προτού διεισδύσουν στο σύστημα (Συμπεριφορά)  Εκτέλεση Δευτέρου Επιπέδου: ανίχνευση ιομορφών που έχουν ήδη διεισδύσει το σύστημα (Ανιχνευτές)  Σύμφωνα με το Χρόνο Εκτέλεσης (Time of Play)  Κατά την Πρόσβαση: όλα τα αρχεία που προσπελαύνονται από οποιαδήποτε εφαρμογή ελέγχονται, χωρίς μεσολάβηση του χρήστη  Κατά τη Ζήτηση: ο χρήστης διενεργεί έλεγχο των αρχείων ενός συστήματος σε χρόνο της επιλογής του 56 Τμήμα Ψηφιακών Συστημάτων

57 Αντιβιοτικό Λογισμικό: Τεχνικές (1/2)  Ανιχνευτές  Πρώτης γενεάς: ανίχνευση ιομορφών με χρήση υπογραφών (ακολουθίες κώδικα) ταυτοποιημένων ιομορφών  Δεύτερης γενεάς: χρήση ευριστικών μεθόδων  Ελεγκτές Ακεραιότητας  Αποθηκεύουν δεδομένα ακεραιότητας των αρχείων ενός συστήματος, παρέχοντας έτσι τη δυνατότητα στο διαχειριστή να γνωρίζει ποια αρχεία έχουν τροποποιηθεί, από το χρονικό σημείο της τελευταίας καταγραφής δεδομένων ακεραιότητας. Η τροποποίηση ορισμένων αρχείων (π.χ. εκτελέσιμα) πρέπει να εξετάζεται περαιτέρω από τους διαχειριστές 57 Τμήμα Ψηφιακών Συστημάτων

58 Αντιβιοτικό Λογισμικό: Τεχνικές (2/2)  Αντιβιοτικό Λογισμικό Ελέγχου Συμπεριφοράς  Εντοπίζει συγκεκριμένες ύποπτες ενέργειες λογισμικού (π.χ. εγγραφή δεδομένων σε ένα εκτελέσιμο αρχείο)  Ανιχνευτές Εικονικής Μηχανής  Εξομοίωση της εκτέλεσης ενός προγράμματος σε ελεγχόμενο περιβάλλον με σκοπό τον εντοπισμό ιομορφικής συμπεριφοράς 58 Τμήμα Ψηφιακών Συστημάτων

59 59 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!