Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2011-2012 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα E: Κακόβουλο Λογισμικό.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2011-2012 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα E: Κακόβουλο Λογισμικό."— Μεταγράφημα παρουσίασης:

1 Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα E: Κακόβουλο Λογισμικό (Computer Malware Εμμανουήλ Μάγκος

2 0. Motivation & Definitions

3 Κακόβουλο λογισμικό (Malicious Software – Malware) 1. Ορισμοί & Ταξινομία  Κώδικας που δημιουργήθηκε με σκοπό την πραγματοποίηση ενός η περισσοτέρων εκ των παρακάτω:  αλλοίωση δεδομένων ή προγραμμάτων  υποκλοπή δεδομένων  διαγραφή δεδομένων ή προγραμμάτων  παρεμπόδιση λειτουργίας ή υποβάθμιση συστήματος  Γενικά, επιθέσεις εναντίον  Εμπιστευτικότητας (C)  Ακεραιότητας (I)  Διαθεσιμότητας (A) CIA

4 Κακόβουλο λογισμικό - Ταξινομία 1. Ιοί (Viruses)  Μολυσματικό λογισμικό με ικανότητα αυτό-αναπαραγωγής 2. «Σκουλήκια» (Worms)  Μολυσματικό λογισμικό. Αυτo- μεταδίδεται μέσω δικτύων 3. Δούρειοι Ίπποι (Trojan Horses):  Μη μολυσματικό λογισμικό. Εκτελεί κάτι «άλλο» αντί (ή, παράλληλα) αυτό για το οποίο προορίζεται 4. Bots - zombies  Χρήση ξενιστή για κατανεμημένες επιθέσεις (π.χ. DDOS, spam, phishing) …  Άλλες κατηγορίες – συχνά συνδυάζονται με προηγούμενες  Spyware & Adware  Υποκλοπή στοιχείων και χρηστών  Αποστολή μη ζητηθεισών διαφημίσεων  Rootkits – back doors  Χαρακτηριστικά stealth,  «Κερκόπορτες» για σύνδεση με προνόμια διαχειριστή ……

5 Κακόβουλο λογισμικό Κύκλος Ζωής (1) 1. Δημιουργία  Περιέχει ένα σύνολο εντολών προς τον Η/Υ  Δεν απαιτούνται ιδιαίτερες τεχνικές γνώσεις 2. Αρχική Μόλυνση  Εκμετάλλευση ευπαθειών προγραμμάτων ή ανθρώπινου παράγοντα  Εγκατάσταση ώστε το φορτίο να εκτελείται συχνά ή πάντα π.χ. : ΗKLM\Software\Microsoft\Windows\CurrentVersion\Run  Εγκατάσταση ώστε η ανίχνευση & η αφαίρεση να είναι δύσκολες 3. Ενεργοποίηση (έκρηξη) του φορτίου (payload) - Παρενέργειες  Επιθέσεις Υποκλοπής, Διακοπής, Αλλοίωσης ή Εισαγωγής  Δεδομένα, προγράμματα, αρχεία συστήματος, τομείς εκκίνησης  Δημιουργία «κερκόπορτας»  Επιθέσεις εναντίον της διαθεσιμότητας (μνήμη, bandwidth, DDOS)

6 Κακόβουλο λογισμικό Κύκλος Ζωής (2) 4. Αναπαραγωγή & Μετάδοση  Kατά την εκτέλεση του φορτίου γίνεται προσπάθεια να μολυνθούν άλλα υποκείμενα (προγράμματα ή Η/Υ)… 5. Ανίχνευση (detect)  Ανίχνευση βλαβερού κώδικα/συμπεριφοράς 6. Εξάλειψη – Μετάλλαξη (π.χ. πολυμορφικοί ιοί)  Το κακόβουλο λογισμικό εξαλείφεται.  Σε αρκετές περιπτώσεις, μια επανέκδοση παραλλαγμένη

7 Κακόβουλο Λογισμικό – Aναπαραγωγή & Μετάδοση 1. Μέσω ηλεκτρονικής αλληλογραφίας  π.χ. Εκτέλεση συνημμένων αρχείων 2. Μέσω Web (κακόβουλος κώδικας ενσωματωμένος σε σελίδες html)  π.χ. Drive-by downloads, ενεργός κώδικας, ασφάλεια browsers και web servers,.. 3. Μέσω άλλων διαδικτυακών υπηρεσιών  Chat (IRC, Instant Messengers - IM), newsgroups …  Δίκτυα ανταλλαγής αρχείων (P2P file sharing) 4. Μέσω αφαιρούμενων αποθηκευτικών μέσων  USB, optical, floppy, zip,.. 5. Μέσω Δικτύων Μεταγωγής  Σάρωση δικτύου για εντοπισμό ευπαθειών εφαρμογών & υπηρεσιών  LAN, WLANs: κοινή χρήση αρχείων, μετάδοση μέσω Bluetooth,…  …

8 Symantec Internet Security Threat Report

9 1. Old times

10 Κακόβουλο λογισμικό 2. Ιστορικά στοιχεία F. Cohen, “Computer Viruses”, ASP Press, 1985 …. «program that can 'infect' other programs by modifying them to include a... version of itself»…  1986: Brain  1987: Christmas Card, Jerusalem  1988: The Internet Worm  1992: Michelangelo  1994: Good times (hoax)  1995: Μακρο-ιοί  1999: Melissa  1998: Chernobyl  2000: ILOVEYOU  2003: Slammer, Blaster,…  … 2006: Botnets, Wikipedia attack, Myspace/XSS, Storm worm

11 «Κλασσικοί» Ιοί (Viruses)  Κακόβουλο – παρασιτικό λογισμικό που αποτελείται από:  Το “Φορτίο” (payload): κώδικας που όταν εκτελείται έχει παρενέργειες: π.χ. Παραβίαση της εμπιστευτικότητας ή/και ακεραιότητας ή/και διαθεσιμότητας των δεδομένων-συστημάτων  Το Μηχανισμό Αναπαραγωγής (propagation, replication): κώδικας για την αντιγραφή σε άλλα προγράμματα (αναπαραγωγή) στον Η/Υ  Αναπαραγωγή: Οι ιοί (συνήθως) σχεδιάζονται ώστε να αναπαράγονται μόνοι τους σε έναν Η/Υ  Π.χ. Μολύνοντας διαδοχικά τα εκτελέσιμα αρχεία του Η/Υ  Μετάδοση (σε άλλον-ους Η/Υ): απαιτείται (σε μικρό ή μεγάλο βαθμό) η συμμετοχή του ανθρώπινου παράγοντα

12 «Κλασσικοί Ιοί» Παρασιτικοί Ιοί (parasitic, file-infecting) Δημοφιλείς μέχρι την έλευση των Win 3.1  Οι ιοί αυτής της κατηγορίας «μολύνουν» άλλα προγράμματα  Μόλυνση: Εκτέλεση του προγράμματος που «περιέχει» τον Ιό  Αναπαραγωγή: Όταν εκτελεστεί o «ξενιστής», ο ιός συχνά παραμένει στην κύρια μνήμη και μολύνει άλλα προγράμματα που εκτελούνται  Εισαγωγή του κώδικα του ιού στον κώδικα εκτελέσιμων προγραμμάτων (..EXE,.COM,.BAT,.SYS,.BIN,.PIF,...)  Μετάδοση: μέσω αποσπώμενων αποθηκευτικών μέσων ή μέσω δικτύου  Memory-resident  Μελέτη Περίπτωσης: Jerusalem (1987)  Non-resident (direct action)  Μελέτη Περίπτωσης: ο ιός Vienna

13 Παρασιτικοί Ιοί (parasitic, file-infecting) H διαδικασία της Αναπαραγωγής Pre-pendAppendOverwrite AVAVAVAVA integrate

14 Μελέτη περίπτωσης: Jerusalem (memory resident) Ανακαλύφθηκε: Όταν εκτελεστεί το μολυσμένο αρχείο, ο ιός παραμένει στην κύρια μνήμη του Η/Υ 2. Φορτίο (payload)  Παρασκευή και 13: ο ιός σβήνει όλα τα προγράμματα που θα εκτελέσει ο χρήστης 3. Αναπαραγωγή  Μολύνει εκτελέσιμα αρχεία με επέκταση (COM,.EXE,.SYS,.BIN,.PIF,.OVL) όταν αυτά εκτελούνται

15 Ιός - Ψευδοκώδικας

16 «Κλασσικοί Ιοί» Ιοί Boot sector Δημοφιλείς μέχρι την έλευση των Win Ο ιός «μολύνει» εκτελέσιμο κώδικα συστήματος που εντοπίζει σε συσκευές βοηθητικής μνήμης (π.χ. δίσκος, δισκέτα,..)  π.χ. Τομέας Εκκίνησης (boot sector) ή MBR (Master Boot Record).  Ως αποτέλεσμα, o ιός φορτώνεται στη μνήμη κατά την εκκίνηση (boot) του συστήματος 2. Αναπαραγωγή: ο ιός μολύνει κάθε δίσκο ή δισκέτα που θα χρησιμοποιηθεί τοπικά στον Η/Υ. 3. Μετάδοση: Ένας Η/Υ μολύνεται με τον ιό όταν προσπαθεί να εκκινήσει το σύστημα π.χ. με «μολυσμένη» δισκέτα  Μελέτη Περίπτωσης: Michelangelo (1992), Brain (1986)

17 Κλασσικοί ιοί – Υβριδικοί Ιοί (Multi-partite, ή Hybrid)  Συνδυάζουν χαρακτηριστικά δύο κατηγοριών  Περίπτωση: ιοί “Boot and file”  Mολύνουν τομείς εκκίνησης (π.χ. MBR) & εκτελέσιμα αρχεία (.exe)  Ο ιός Ghostball (1989) ο πρώτος multipartite ιός  Περίπτωση: ο ιός Melissa (1999)  Συνδυάζει χαρακτηριστικά Μακρο-ιού και Worm  Σύγχρονο κακόβουλο λογισμικό  Σύνοψη χαρακτηριστικών δύο ή περισσότερων κατηγοριών  π.χ. Virus και trojan, trojan worms κ.λ.π

18 Άλλοι «Κλασσικοί Ιοί» Ιοί Companion  Εκμεταλλεύονται μια ευπάθεια του DOS  Αν υπάρχουν δύο προγράμματα με το ίδιο όνομα σε έναν κατάλογο, το Λ.Σ. θα εκτελέσει πρώτα το αρχείο.com  Ο ιός δεν μολύνει το αρχείο.exe, αλλά δημιουργεί ένα αντίγραφο με την κατάληξη.com το οποίο περιέχει το «φορτίο» του ιού  Συχνά το αρχείο αυτό μπορεί να είναι «κρυφό» (hidden)  Ομοιότητα με τους ιούς file system: δε μολύνουν τα αρχεία καθ’ αυτά  Τρόποι Μετάδοσης  Με αποθηκευτικά μέσα (μαγνητικά-οπτικά) ή μέσω δικτύου

19 Άλλοι «Κλασσικοί Ιοί» Ιοί Συστήματος Αρχείων και Flash Bios  Ιοί Συστήματος Αρχείων (file system virus). Τροποποίηση του Πίνακα Καταχώρησης Αρχείων (FAT -File Allocation Table)  Γνωστοί και ως (link virus), (cluster virus), (FAT virus)  Αλλαγή του συνδέσμου που «δείχνει» προς ένα πρόγραμμα, ώστε να «δείχνει» στη συστοιχία (cluster) όπου αρχίζει ο κώδικας του ιού  Εκτελείται ο ιός αντί για το πρόγραμμα  Δεν μολύνεται το πρόγραμμα καθ’ αυτό  Πρόδρομοι των σημερινών ιών τύπου rootkit - stealth  Μελέτη περίπτωσης: DIR-II  Flash Bios. Αντικατάσταση (ovewriting) του BIOS  Απρόβλεπτες συνέπειες ή/και αδυναμία εκκίνησης του Η/Υ  Μελέτη Περίπτωσης: CIH/Chernobyl (1999)

20 Μακρό - Ιοί (Macro viruses)  Δημιουργούνται με γλώσσες σεναρίων (scripting languages)  Χρήση διερμηνέα (interpreter) αντί για μεταγλωττιστή (compiler)  Ανεξαρτησία από πλατφόρμα (platform independent)  Τα σενάρια (scripts) συχνά ονομάζονται μακρο-εντολές (macros)  Αυτοματοποίηση ενεργειών & αποθήκευση με τα αρχεία  Αφορούν: Επεξεργαστές κειμένου, DBMS, υπολογιστικά φύλλα  Μολύνουν αρχεία δεδομένων (και όχι προγράμματα)  Μεταδίδονται πιο εύκολα, αφού τα έγγραφα ανταλλάσσονται συχνότερα σε σχέση με τα προγράμματα  Μελέτη περίπτωσης: Melissa (1999)

21 O ιός Melissa (1999)

22 O ιός Melissa (1999)  Mακρο-ιός με στοιχεία Worm.  Όταν το θύμα ανοίγει το.doc ο ιός μολύνει το πρότυπο normal.dot  Μόλυνση μελλοντικών εγγράφων word.  O Melissa στέλνει τον εαυτό του ( ) στις πρώτες 50 διευθύνσεις του address book.  Ο ιός είχε ως στόχο επίθεση άρνησης εξυπηρέτησης (DOS) στους mail servers.  O ιός δε μόλυνε προγράμματα (όπως οι file-infecting ιοί) αλλά μόνο έγγραφα κειμένου

23 2. Worms & Bots

24 1. «Σκουλήκια» (Worms) -Γενικά  Αυτό-μεταδιδόμενος κώδικας (συνήθως μικρού μεγέθους) με σκοπό τη γρήγορη εξάπλωση  Μικρή ή μηδενική ανάμειξη ανθρώπινου παράγοντα κατά τη μετάδοση Αρχική Μόλυνση  Εκμετάλλευση ανθρώπινου παράγο- ντα ή ευπαθειών προγραμμάτων Εξάπλωση & Μετάδοση  Συνήθως αυτόματα, μέσω δικτύου  Mail worms, Scanning Worms,..

25 «Σκουλήκια» (Worms)  Διαφορές με ιούς 1. Ένα worm είναι αυτόνομος κώδικας (stand-alone app),  Δεν προσκολλάται σε άλλα προγράμματα (ξενιστές) για να επιβιώσει 2. Δεν μολύνει προγράμματα ή αρχεία, αλλά Η/Υ  Στέλνει αντίγραφα του εαυτού του για να εκτελεστεί σε άλλους Η/Υ 3. Διαθέτει ικανότητες αυτομετάδοσης από Η/Υ σε Η/Υ  Οι ιοί αυτό-αναπαράγονται από πρόγραμμα σε πρόγραμμα, ωστόσο για τη μετάδοση τους σε άλλους Η/Υ απαιτείται ανθρώπινη παρέμβαση  Κυρίως επιθέσεις στη Διαθεσιμότητα των συστημάτων  The Internet Worm (1988)  ILOVEYOU (2000), ANNAKOURNIKOVA.JPG.VBS (2001),  Code Red (2001), Blaster, Slammer (2003), MyDoom (2004) Ένα πρόγραμμα που προσκολλάται σε άλλα προγράμματα, θεωρείται ιός. Όταν ταξιδεύει μόνο του, θεωρείται σκουλήκι..

26 «Σκουλήκια» (Worms) Φορτίο (Payload) Φορτίο  Άρνηση εξυπηρέτησης (π,χ, bandwidth, υπολογιστικών πόρων φόρτος σε mail servers)  Δημιουργία κερκόπορτας με σκοπό την εξ’ αποστάσεως διαχείριση  Δημιουργία δικτύων Botnets  Κακόβουλο φορτίο (π.χ. αλλοίωση, διαγραφή)  Περίπτωση: Witty, Nyxem,… Ψευδοκώδικας του Witty worm

27 «Σκουλήκια» (Worms) Μετάδοση  Αυτό-μεταδιδόμενα (self-replicating) προγράμματα  π.χ. στέλνοντας σε όσους βρίσκουν στο βιβλίο επαφών  Επιτίθενται σε ευπαθείς δικτυακές εφαρμογές ή ευπαθείς υπηρεσίες & πρωτόκολλα Λειτουργικών Συστημάτων  Επιθέσεις σε hosts στο LAN ή σε απομακρυσμένους Η/Υ στο Internet  Π.χ. Επιθέσεις Υπερχείλισης - buffer overflow (Περιπτώσεις blaster, Slammer, Code red…)  Χρήση κοινόχρηστων αρχείων και φακέλων στο LAN  Χρήση λειτουργιών προγραμμάτων συνομιλίας (IRC ή IΜ)  Χρήση προγραμμάτων ανταλλαγής αρχείων P2P

28 2. Worms Μολυσμένος Η/Υ infected computer mail server infected computer Μολυσμένοι Η/Υ Από x προς a Από x προς b Από x προς c Χρήστης: Ανοίγει συνημμένο αρχείο c b a

29 ANNAKOURNIKOVA.JPG.VBS (2001),

30  Τοπολογία Δικτύου Εξάπλωσης: Οι γείτονες του δικτύου είναι οι «διευθύνσεις» ηλεκτρονικής αλληλογραφίας στο βιβλίο διευθύνσεων του θύματος…

31 Μελέτη Περίπτωσης: «Σκουλήκι» ILOVEYOU 1. Μόλυνση: εκτέλεση συν. αρχείου 2. Αναπαραγωγή:  Εντοπίζει αρχεία.JPG, JPEG, MP3, MP2, VBS, JS, και τα αντικαθιστά με αντίγραφο του, με κατάληξη.vbs tec_n/f_il0005iloveyou.htm  Προσθέτει την ακόλουθη εγγραφή στο Μητρώο του συστήματος  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Win32DLL=WINDOWS\Win32DLL.vbs 3. Μετάδοση  Το worm στέλνει τον εαυτό του στις επαφές του βιβλίου διευθύνσεων  Επίσης χρησιμοποιεί λογισμικό IRC client (εάν είναι εγκατεστημένο) Εξάπλωση: 45 εκ. χρήστες έλαβαν το σε μία ημέρα (2000)

32 3. Scanning Worms  Random Scanning  Το σκουλήκι επιλέγει τυχαία μια διεύθυνση IP από το εύρος των πιθανών διευθύνσεων  Περιπτώσεις: Slammer, Code Red Ι,…  Local Preference  Το σκουλήκι επιλέγει με μεγαλύτερη πιθανότητα μια διεύθυνση από το ίδιο δίκτυο (π.χ. /16 ή /32)  Περιπτώσεις: Blaster, Code Red II,… IPv4 space  Ένα «Μελλοντικό» worm  Εφοδιασμένο με λίστα (hitlist) από «γνωστές» διευθύνσεις κόμβων με ευπαθές λογισμικό  Flash Worm [Staniford et al 2002]

33 Μελέτη Περίπτωσης: The Internet Worm (1988)  Μόλυνση & Μετάδοση: Εκμετάλλευση ευπάθειας των προγραμμάτων fingerd & sendmail σε συστήματα UNIX  Π.χ. Επίθεση στο fingerd  Επίθεση υπερχείλισης καταχωρητή (buffer overflow) στο σύστημα που «τρέχει» το fingerd  Το worm εκτελείται ως root και εγκαθίσταται στο σύστημα  Στη συνέχεια επιτίθεται σε άλλα συστήματα  Από λάθος, το worm επιτιθόταν σε Η/Υ που είχαν ήδη μολυνθεί!  υπολογιστές (10% του Internet) κατέρρευσαν

34 Μελέτη Περίπτωσης: Code Red I και ΙΙ (2001) 1. Μόλυνση  Υπερχείλιση καταχωρητή (IIS Web server 4.0) 2. Μετάδοση  Δημιουργία λίστας τυχαίων IP διευθύνσεων και απόπειρα μόλυνσης 3. Φορτίο  Επίθεση στο whitehouse.gov (Code Red I)whitehouse.gov bulletins/l-117.shtml  μολύνσεις- 14 ώρες ( CERT)

35 Slammer (Sapphire) Worm- January 25, μολυσμένοι κόμβοι μέσα σε 30 λεπτά !! – Το πλέον «γρήγορο» σκουλήκι μέχρι σήμερα

36 Slammer Worm  Ταχύτατη εξάπλωση  ανιχνεύσεις το δευτερόλεπτο !!  Ο μολυσμένος πληθυσμός διπλασιάζεται κάθε 8.5 ’’  90% των ευπαθών συστημάτων μολύνθηκαν σε 10’ από την εμφάνιση του worm 1. Μόλυνση  Υπερχείλιση (SQL server) 2. Μετάδοση  Δημιουργία λίστας τυχαίων IP διευθύνσεων  Αποστολή ενός πακέτου 376- bytes στην θύρα UDP/1434 για κάθε διεύθυνση IP της λίστας  Χρήση πρωτοκόλλου UDP στο επίπεδο μεταφοράς 3. Φορτίο  Όχι κακόβουλο

37 Blaster (worm) – Αύγουστος 2003

38 Μελέτη Περίπτωσης: Blaster (worm) 1. Μόλυνση & Μετάδοση: Αυτόματη (μέσω δικτύου)  Λ.Σ.: Windows 2000 & Windows XP  Ευπάθεια: υπηρεσία RPC (135 TCP)  Υπερχείλιση καταχωρητή (buffer overflow)  Λήψη και εκτέλεση του worm (msblast.exe)  Υπηρεσία tftp – (69 UDP) 2. Φορτίο (Payload)  Αλλαγή του Μητρώου..  Λογική Βόμβα: Επίθεση (DDOS) στο windowsupdate.com στις 16–  Μήνυμα σφάλματος στην υπηρεσία RPC  Επανεκκίνηση 3. Αντιμετώπιση  Απαιτείται και ενημέρωση του Λ.Σ. (patch)  Ωστόσο το ευπαθές σύστημα που συνδέεται στο δίκτυο υφίσταται (από γειτονικούς, μολυσμένους κόμβους) επιθέσεις υπερχείλισης  επανεκκίνηση

39 MyDoom (worm) vil.nai.com/vil/ content/v_ htm

40 Μελέτη Περίπτωσης: MyDoom (worm)  Μόλυνση: λήψη παραπλανητικού και εκτέλεση συν. αρχείου  Μετάδοση: μέσω ΚΑΙ μέσω δικτύων P2P 1. Αποστολή στις επαφές του βιβλίου διευθύνσεων 2. Αντιγραφή του worm στο διαμοιραζόμενο φάκελο του KAZAA  Φορτίο (Payload)  Αλλαγή στο Μητρώο…  «Κερκόπορτα» (backdoor) – στη θύρα 3127 (TCP)  Επίθεση (DDOS) στον δικτυακό τόπο (στις 1 ΦΕΒ 2004)www.sco.com  Παραλλαγές του worm: Επίθεση σε μηχανές αναζήτησης (26 ΙΟΥΛ)

41 Περίπτωση: Το Σκουλήκι Nimda (2001)

42 To Σκουλήκι QuickTime - XSS  Κατηγορία: XSS (Cross-Site Scripting)  Το σκουλήκι εκμεταλλεύεται 1. Ευπάθεια στην εφαρμογή QuickTime 2. Ευπάθεια στην εφαρμογή Web (MySpace)  Αρχική Μόλυνση: Αναπαραγωγή του «κακόβουλου» αρχείου video  Φορτίο: Αλλαγή προφίλ χρήστη  Οι σύνδεσμοι στη σελίδα του παραπέμπουν στο phishing site  Αντίγραφο κακόβουλου αρχείου video ενσωματώνεται στη σελίδα του χρήστη

43 To Σκουλήκι Warezov (2006)  «Κλασσική» εξάπλωση  Μετά την αρχική μόλυνση, στέλνει τον εαυτό του σε χρήστες του address book  Μετάλλαξη:  Συνδέεται σε απομακρυσμένο server και «κατεβάζει» μια ενημέρωση του κώδικά του  Πολυμορφικές Ιδιότητες !  Server-side polymorphism  Ανήκει στη λεγόμενη «νέα γενιά»

44

45 Bots & Botnets Introduction (Feily et al, 2009) (Liu et al, 2009) Bots  Self-propagating application that infects hosts through direct exploitation or Trojans… What makes them special?  Establish Command & Control cha- nnel (C&C) for updates & direction  Bots then run as an automated task over the Internet (“robot”)  Infected hosts: “zombies” Botnets  Many bots under control of a C&C server form a botnet  Difference with worms: bots coo- perate towards a common purpose Initial Infection: How?  Similar to other malware classes  Scanning for vulnerabilities (like scanning worms)  Send with attachments (like mail worms)  File sharing, P2P networks, IM,…  Drive-by downloads,  Social engineering,…  Combination of the above ! Other features  Some bots try to evade detection  like rootkits  Thousands of variants (Giu et al, 2007) * * * * (Bailey et al, 2009) * *

46 Bots & Botnets How it works: (Case) A Spamming Botnet 1. A botnet operator unleashes some malware (viruses, worms or trojans)  The bot is their payload ! 2. The bot logs into a particular C&C server (e.g., IRC or Web server). 3. A spammer purchases the services of the botnet from the operator & provides spam messages to operator 4. Operator instructs compromised machines via the control panel on C&C server, to send out spam msgs *

47 Botnet Attacks Economics  Collection of slave computing to be sold for illicit activities  Spamming: About 70%-90% of spam today is due to botnets  Phishing: Zombies may be used as web hosts for phishing attacks  Mounting DDOS attacks: TCP SYN, UDP flooding,…  Information leakage: retrieve (& sell) usernames & passwords  Click Fraud: promote CTR (clickthrough rate) artificially *,*, * * (Liu et al, 2009) * * * * € €

48 Bots & Botnets Life cycle of a Bot (Giu et al, 2007) * Cycle 1. Target scanning 2. infection exploit 3. binary egg download & exec 4. C&C channel establishment 5. outbound scanning

49 Cycle 1. Target scanning 2. infection exploit 3. binary egg download & exec 4. C&C channel establishment 5. outbound scanning Bots & Botnets Life cycle of a Bot (Giu et al, 2007) *

50 Bots & Botnets Life cycle * (Liu et al, 2009)

51 Taxonomy A. IRC-based botnets  Client-server model  Centralized architecture  Agobot (2002), SDBot (2002),  SpyBot (2003), GT bot (2004) B. Peer-to-Peer botnets  Decentralized architecture  More difficult to detect  No central server to shut down * (Liu et al, 2009) *  Slaper (2002)  Sinit (2003) (PKC for update auth)  Phatbot (2004), Storm worm (2007)  Conficker E (2009) * * * * (Zhu et al, 2006) * * * * * C. Other  HTTP-based (Rustock, Blackenergy, Conficker,… )  DNS-based (Fast-flux) * * * * *,*, *

52 Types of Bots * (Liu et al, 2009)

53 IRC-based Botnets The IRC Network IRC  Internet protocol for (one to many) real-time chat  Follows the client-server model (Legitimate) IRC-based bot  Scripts that perform automated actions in response of an event  Support IRC channel operations  Managing access lists, moving files, sharing clients, channel information etc... * (Puri, 2003) ♪ (Cooke et al, 2005) *

54 IRC-based Botnets * (Puri, 2003) (Cooke et al, 2005) * ♪

55 IRC-based Botnets Mitigating IRC-based botnets Botnet tracking 1. Step 1: Acquire and analyze a copy of a bot  Use Honeypots & special analysis software 2. Step 2: Connect to IRC channel, infiltrate & collect data from botnet  Use a specially crafted IRC client 3. Step 3: Central IRC server is taken offline by law enforcement (Holz et al, 2008) * Hint: Use same strategy for HTTP-based botnets *,*, *,*, * * *,*, *

56 P2P-based Botnets (Holz et al, 2008) *  P2P network architecture  All network nodes are both clients and servers  Any node can provide & retrie- ve information at same time  Resilience  Network robust against node failures  Loosely-coupled communication  No consumer knows who published information they get  No provider knows who gets published information «Τύπου» Napster «Τύπου» Kazaa «Τύπου» Gnutella

57 P2P-based Botnets Case: Storm Worm  Propagation mechanism  body contains a varying English text (soc. engineering)  Binary installation: 1. User opens attachment or 2. User clicks link that exploits a browser’s vulnerability or suggests a download !  Polymorphic features  Binary is always different (even from same web site)  Rootkit features  Goal: hide presence on host  P2P characteristics  File contains info on other peers  Each peer is identified via a hash value and IP address/port  Each infected machine has an accurate clock  System time is synchronized via Network Time Protocol (NTP)  Kademlia-based DHT routing for finding other bots & controller *,*, ♪,♪ *

58 Wikipedia *

59 HTTP-based Botnets Case: Conficker Bot * (SRI, 2009)

60 Case: Conficker Bot * (SRI, 2009)

61 Case: Conficker Bot * (SRI, 2009)

62 Case: Conficker Bot * (SRI, 2009)

63 Botnets Detection and Analysis Detection & Analysis 1. Traffic analysis (at network perimeter)  Monitor in-bound AND out-bound flows  Signature-based, anomaly- based, behavior-based 2. Honeypots & Honeynets  Computing “baits” attract mal- ware for analysis & detection  Goal: identify and take down controlling nodes 3. Other Techniques  Mining-based detection (Machine learning, clustering,…  Source-code analysis  DNS Tracking * * * * *,*, * * (Liu et al, 2009) * (Feily et al, 2009) * * * (Cooke et al, 2005) *

64

65 Botnets Detection and Analysis * (Feily et al, 2009)

66 Botnets Prevention and Response * (Liu et al, 2009) * (Puri, 2003)

67 Botnets Research challenges  Challenges & Future research  Arms race between controllers & researchers  Uneven playing field  Botnets are global  Detectors should be global (not easy: privacy issues)  Thus detectors are small-scale (not representative)  Challenges & Future research  Encrypted C&C channels  Obfuscation (e.g., alter traffic patterns)  Adaptive botnets  The untraceable feature of coordinated attacks  Detection of P2P botnets (Aviv & Haeberlen, 2011) * * * * * * *

68 Rootkits Introduction * (Arnold, 2011) * (Levine et al, 2005) *

69 Goal  Hiding the existence and actions of the malware History  Brain (1986): stealth code created to hide its presence  Botnet by Rustock: 50% of total spam detected (30 bpd) Today  Many worms, viruses & bots in- clude rootkits in their payload!! (to hide themselves) Rootkits Introduction Original Infection  Rootkits typically need root- level (administrative) privileges  Trojan-like: e.g., replace a program but keep functionality Functionality (after infection)  Opening system backdoors  Stealing private information  Escalating privileges of malicious processes  Disabling defense mechanisms  Hide, delete logs,… (Shields, 2008) * *,*, * * (Arnold, 2011) * ♥ (Joy et al, 2011) * (Levine et al, 2005) * (Wang et al, 2009) *

70 Kernel-level Rootkits Functionality 1. Hiding (HID)  Conceal info that may indicate the presence of the attacker  Files, connections, processes,… 2. Privilege Escalation (PE)  Change the user ID of process to “root” or “administrator”  Add capabilities to a process, change entries in ACLs,… 3. Reentry (REE)  Insert an alternate access path (backdoor)  e.g., command & control (botnets) (Petroni, 2008) * 4. Reconnaissance (REC)  Gather info from target system  Key-logging, packet sniffing,… 5. Defense neutralization (NEU)  Disable security and/or safety features of target system

71 Kernel-level Rootkits Mechanism 1. Kernel’s Machine code (TXT)  Overwrite a portion of kernel’s machine instructions  e.g., insert direct jumps 2. Processor registers (REG)  Manipulate registers used to control processor’s execution  cs, eip, esp, idtr, sysenter, dr0-dr3 3. Kernel control-flow data (FP)  Modify kernel function pointers  Statically or dynamically allocated kernel memory (Petroni, 2008) * 4. Kernel non-control data (NCD)  e.g. value changes to critical kernel identifiers  Process ids, user ids

72 Kernel-level Rootkits HowTo: Hide a Process (Control flow) (Petroni, 2008) *

73 Kernel-level Rootkits HowTo: Hide a Process (Non-Control data) (Petroni, 2008) *

74 1 st Generation:  User-land  Modified system binaries, log cleaning, library-level rootkits 2 nd Generation  Kernel-land  Modify OS at low level to eva- de user-land based detection  Kernel-mode hooking Rootkits Taxonomy 3 rd Generation  Virtualization  Inject stealth system at a SW layer lower than kernel  Direct Kernel Object Manipulation (DKOM)  Manipulate kernel data structures (Shields, 2008) * (Arnold, 2011) * (Joy et al, 2011) *

75 Application-level Rootkits (user-mode) Techniques 1. File Masquerading  Malicious binaries that replace or modify user-level programs  Malicious DIR, netstat, ps, ls,… 2. Userland Hooks  Patch, hook or replace calls to system libraries (API calls) Difference with masquerading  Affect large number of binaries without modifying more than just a few libraries Userland Hooking Mechanisms A. IAT Hooking  Modify a program’s IAT table B. Inline Hooking 1. Replace original system libra- ries with modified versions 2. Intercept request for the library API 3. Call the original API and filter responses to hide * (Ries, 2006) * * (Shields, 2008) * Also known as run-time library patching *

76 Application-level Rootkits (user-mode) Inline Hooking (Ries, 2006) *

77 *

78 Kernel-level Rootkits (Shields, 2008) * “Patching the Kernel”  Loadable Kernel Modules (Unix)  Extend functionality without re-compiling the kernel  Added / removed on the fly  Load device drivers (Windows) Kernel-mode Hooking  Hijack kernel control flow 1. Requests for kernel resources pass through a gate 2. This gate can be hooked to point to malicious code Hooking Targets 1. System Call Table (SSDT)  Redirection of system calls to rootkit-defined code 2. Interrupt Descriptor Table (IDT)  Rootkit can execute its subversion code before SSDT 3. Virtual File System (VFS)  Overwrite handler routines, which provide directory listings 4. … (Arnold, 2011) * (Joy et al, 2011) * (Levine et al, 2005) * (Petroni, 2008) *

79 Kernel-level Rootkits (Kozyrakis, 2009) *

80 Kernel-level Rootkits System Call Τable Ηooking (Joy et al, 2011) * Three approaches 1. System Call Table modification  Redirect a sys_call away from legitimate sys_call  e.g., Knark rootkit 2. System Call Target modification  Overwrite legitimate sys_call targets with malicious code  e.g., a jmp instruction 3. System Call Table Redirection  Redirect reference to the call table to a new system call table * * (Levine et al, 2005) *

81 Kernel-level Rootkits System Call Τable Ηooking (Levine et al, 2005) *

82 Kernel-level Rootkits System Call Τable Ηooking (Kozyrakis, 2009) *

83 Kernel-level Rootkits System Call Table Redirection (Kozyrakis, 2009) *

84 Kernel-level Rootkits Hooking Interrupt Descriptor Table (IDT) (Kozyrakis, 2009) *

85 Kernel-level Rootkits Hooking Virtual File System (VFS) (Kozyrakis, 2009) *

86  Direct Kernel Object Modification (DKOM)  Direct modification of dynamic kernel data objects in memory  Case: FU Rootkit (Windows) Kernel-level Rootkits DKOM (Arnold, 2011) * *

87 Virtualized Rootkits VMM (Hypervisor)  Visualization platform that allows multiple OS to run Hypervisor rootkits  Subvert user-land AND kernel- based detection engines  e.g., BluePill, SubVirt  Load host OS as guest and can monitor all host OS activities  Intercept the calls from the kernel to the HW itself  … even without requiring a reboot! Research challenges  How to trust the Hypervisor (Shields, 2008) * * * * * (Joy et al, 2011) * (King et al, 2006) * (Wang & Jiang, 2010) * *,*, * (Kozyrakis, 2009) *

88 Rootkits Detection Host-based Intrusion Detection 1. Signature-based techniques  Analyze the byte pattern to identify a unique fingerprint  Integrate the fingerprint “signature” into a DB  Scan the system 2. File integrity monitoring  Detect modification of sensitive binaries & libraries  User and/or kernel-level  Defeat user-or-kernel land rootkits that modify binaries  Tripwire, Samhain, AIDE,… 3. Hooking detection  Define “normal” memory range for function pointers  Tools: GMER, Rootkit Unhooker 4. Heuristics-Based detection (or, behaviour-based)  Classify malicious behavior ba- sed on pre-determined rules  Goal: detect zero-day malware  Drawback: false positives 5. Signed Kernel Modules  Verify signatures before install 6. … (Shields, 2008) * (Arnold, 2011) * * * * * * * * * (Joy et al, 2011) *

89

90  Answer 3: Differential approach  Some questions are asked to the OS on the host system  Then, the system is rebooted to a secure read-only OS  Typically located on a CD .. same questions are asked, look for differences (e.g., time)  Answer 4: Secure Logging Questions & Answers  Answer 1: Move at lower level  Virtualization techniques  Hardware-based (e.g., TPM )  Answer 2: Cross-View Analysis  Statically compiled tools: dire- ctly review kernel mem & HW  Booting from a safe medium  DKOM: Thread analysis, direct heuristic memory searching  Network-based detection, also using an external gateway Rootkits Detection (Shields, 2008) * If detection routine is run at kernel level, how to detect kernel-level rootkits? (Arnold, 2011) * *,*, * * * * * (Joy et al, 2011) * *,*, *

91 Case: Sleuthkit *

92 Rootkits Detection (Arnold, 2011) * * *

93 Rootkits Detection (Arnold, 2011) *

94 Rootkits Challenges (Shields, 2008) * Challenges  Migrate detection software to lower (-st) abstraction level  How to trust the core of OS  Anything in the kernel can be a target of kernel-level rootkits  Kernel-level & VM rootkits always difficult to detect  What about firmware-level rootkits *,*, * Εφαρμογή Χρήστη Λειτουργικό Σύστημα R o o t k i t

95

96 Δούρειοι Ίπποι (Trojan Horses)  Κακόβουλο λογισμικό, ενσωματωμένο σε φαινομενικά «ακίνδυνο» (benign) λογισμικό  π.χ. Screensaver, freeware-shareware, games,…  … που όμως «κρύβει» ανεπιθύμητες παρενέργειες  Adware, Browser Hijackers…  Spyware, Keyloggers, dialers, bots, downloaders, rootkits, back doorsKeyloggers  Διαφορά με ιούς  Τα trojans συνήθως δεν έχουν μηχανισμούς αναπαραγωγής & μετάδοσης  Ωστόσο συχνά αναφέρονται-αντιμετωπίζονται ως ιοί

97 Trojans - Backdoors  Αρχική μόλυνση  Τρόπος Α: το «φορτίο» περιέχεται σε ένα χρήσιμο πρόγραμμα  Τρόπος Β: Οι χρήστες εξαπατώνται νομίζοντας ότι είναι το εν λόγω πρόγραμμα είναι χρήσιμο, και το εκτελούν Λειτουργικότητα  Τα Trojans συχνά περιλαμβάνουν μη- χανισμούς διατήρησης της πρόσβασης  Backdoors  Περιπτώσεις  Tini  Netbus, Netcat  Back Orifice 2000,  Subseven

98 Trojan Horses Back Orifice 2000 ♪

99 Trojan Horses SubSeven ♪

100 Trojan Horses Wrappers  Γνωστοί και ως  wrappers, binders, packers  Εργαλεία  One file exe maker  Yet another binder (YAB)  Wrappers  SW που αναλαμβάνει να συνενώσει τον κακόβουλο κώδικα με ένα χρήσιμο πρόγραμμα (π.χ. παιχνίδι  Στο θύμα, το αρχείο εκτελείται ως δύο processes (μια «κρυφή» και μια «φανερή» εφαρμογή)

101 Διατήρηση της Πρόσβασης (Backdoors) 1. Δαίμονας telnet ή κέλυφος συνδεδεμένο με θύρα TCP  π.χ. χρησιμοποιώντας το εργαλείο Netcat 2. Δαίμονας SSH συνδεδεμένος με θύρα TCP  Μυστικότητα & αυθεντικοποίηση 3. Κέλυφος CGI ή PHP  To θύμα είναι διακομιστής Web 4. Ανάποδο Κέλυφος (reverse shell)  Το σύστημα συνδέεται πίσω στον εισβολέα 5. Ανάποδο κέλυφος με συρρά- γωση (reverse tunneled shell)  Παράκαμψη firewall όταν έστω μία θύρα είναι ενεργοποιημένη! 6. Κερκόπορτα βασισμένη σε πα- ρακολούθηση πακέτων δικτύου  Παρακολούθηση & ενεργοποίη- ση με το «κατάλληλο» πακέτο (Kozyrakis, 2009) *

102 Backdoors Netcat VICTIM ♪

103 Backdoors R everse shell  Η επίθεση είναι γνωστή και ως HTTP reverse shell  Επίθεση trojan μέσω HTTP  To trojan ανοίγει ανά τακτά χρονικά διαστήματα συνδέσεις στο port 80 του server (hacker)  Παράκαμψη firewall  O server «απαντά» με την εντολή που θέλει να εκτελεστεί

104 Άλλα Θέματα

105 Τεχνικές απόκρυψης – Stealth  Παράδειγμα ιού stealth 1. O ιός παραμένει ενεργός στη μνήμη (memory resident) 2. Μολύνει όσα προγράμματα τροποποιούν τον κώδικα τους κατόπιν μιας καθ’ όλα νόμιμης εντολής του χρήστη ή του προγράμματος  π.χ. λήψη και εγκατάσταση μιας επιδιόρθωσης (patch)  Κατ’ αυτόν τον τρόπο ο ιός «ξεγελάει» τα προγράμματα anti-virus που εκτελούν έλεγχο ακεραιότητας (integrity checking)  Ειδική περίπτωση: ΡΕΤΡΟ- ΙΟΙ (retrovirus)  Ιοί που επιτίθενται σε προγράμματα antivirus, προσπαθώντας να τα απενεργοποιήσουν ή να τα υπονομεύσουν  Αλλαγή αρχείου \etc\hosts για την παρεμπόδιση της ενημέρωσης  Τερματισμός σχετικού process (π.χ. navapw32.exe, vsmon.exe) &κατάργηση από τη λίστα αρχείων αυτόματης εκκίνησης από το Μητρώο

106 Τεχνικές Απόκρυψης Πολυμορφικοί Ιοί (polymorphic, self-mutating)  Ο ιός δημιουργεί αντίγραφα του εαυτού του, τα οποία διαφέρουν  … με ωστόσο τα ίδια καταστροφικά αποτελέσματα 1. Ο ιός κρυπτογραφεί τον εαυτό του με ένα κλειδί που αλλάζει  Εναλλακτικά: συμπίεση (compression) 2. O ιός εισάγει «θόρυβο» (noise) στα αντίγραφα του, π.χ. αλλάζοντας τη σειρά των εντολών ή εισάγοντας στον κώδικα άσκοπες εντολές 3. Τεχνικές μετάλλαξης ιών (virus mutation techniques)  Mutation Engines ή polymorphic engines  Μελέτη περίπτωσης: Whale virus

107 Παράδειγμα Πολυμορφικής Συμπεριφοράς- 1

108 Παράδειγμα Πολυμορφικής Συμπεριφοράς - 2

109 Παράδειγμα Πολυμορφικής Συμπεριφοράς - 3

110 Παράδειγμα Πολυμορφικής Συμπεριφοράς - 4

111 Λογισμικό Spyware  Παρακολούθηση συμπεριφοράς χρήστη ή υποκλοπή προσ. δεδομένων  Προσωπικά στοιχεία, Usernames, Passwords, TAN, κλειδιά,  Aριθμοί πιστωτικής κάρτας, λεπτομέρειες συναλλαγών  Σχόλιο: Συσχέτιση ή συνεργασία Spyware & Adware  Σχετιζόμενα Εργαλεία:  keyloggers, sniffers, cookies  Τρόποι Μόλυνσης  Το λογισμικό spyware είναι το φορτίο (payload) ενός trojan  Εγκατάσταση ως συνέπεια μιας επίθεσης phishing, π.χ. εκτέλεση συνημμένου ή επιλογή συνδέσμου που παραπέμπει σε site με κακόβουλο ενεργό κώδικα  Εγκατάσταση κατά την πλοήγηση στο Web (π.χ. ActiveX) Περίπτωση: καταγραφή αγοραστικής συμπεριφοράς χρήστη και αποστολή στοιχείων σε εταιρίες (tracking companies), που με τη σειρά τους προωθούν την πληροφορία σε διαφημιστές ή παροχείς υπηρεσιών

112 Λογισμικό Spyware German Law Enforcement to Use Custom Malware. (27 February 2007) German law enforcement agencies are pushing for a legal basis to be able to use malware and spyware in investigations. The malware will be used to "bug" suspect's computers. In addition to collecting information from the computer itself, cameras and microphones connected to these computers could be used to monitor conversations. german_state_hackers/ german_state_hackers/ --Proposed Swedish Wiretapping Law Met with Criticism (March 7 & 8, 2007) Proposed legislation in Sweden would give the National Defense Radio Establishment (FRA) the power to tap cross-border Internet traffic and phone calls without a court order. Current law allows FRA to monitor military radio communications; police may monitor communications only if they believe there is a crime being committed and they obtain a court order. The law would allow FRA to use data mining software to ferret out communications containing keywords. Communications within Sweden would be unaffected by the law. If the law is approved, it would go into effect on July 1.

113 Λογισμικό Adware  Τρόποι Μόλυνσης  Παρόμοιοι με τα προγράμματα τύπου spyware  Επιπλέον: Αυτόματη εγκατάσταση ως πρόσθετο στο πρόγραμμα περιήγησης  Περίπτωση: Browser Helper Objects στον Internet Explorer  Λογισμικό που μπορεί να σχετίζεται με: 1. Ζητηθείσα διαφήμιση  Συγκατάθεση του χρήστη (π.χ. κατά την εγκατάσταση δωρεάν λογισμικού) 2. Μη ζητηθείσα διαφήμιση  Χωρίς τη συγκατάθεση του χρήστη  Π.χ. παράθυρα Pop-up κατά την περιήγηση στο Web

114 Spyware - Adware

115 Λογισμικό Adware The AP recently ran a story about a substitute teacher who was convicted of exposing students to pornography. Her contention that it was inadvertent because she couldn't keep up with pop-ups seems plausible, but the equally non- tech-savvy jury didn't buy it (despite the fact that the prosecution never even made a reasonable case by checking for spyware). What seems particularly Kafka-esque is the potential 40-year sentence she faces apds.m0230.bc-ct-- teacfeb14,0, story apds.m0230.bc-ct-- teacfeb14,0, story

116 Hoax - Φάρσες Subject: FW: VIRUS IMPORTANT, URGENT - ALL SEEING EYE VIRUS! PASS THIS ON TO ANYONE YOU HAVE AN ADDRESS FOR. If you receive an titled "We Are Watching You!" DO NOT OPEN IT! It will erase everything on your hard drive. This information was announced yesterday morning from IBM, FBI and Microsoft states that this is a very dangerous and malicious virus, much worse than the "I Love You," virus and that there is NO remedy for it at this time.  Some very sick individual has succeeded in using the reformat function from Norton Utilities causing it to completely erase all documents on the hard drive. It has been designed to work with Netscape Navigator and Microsoft Internet Explorer. It destroys Macintosh and IBM compatible computers. This is a new, very malicious virus and not many people on your address book will know about it. Pass this warning along to EVERYONE in it and please share it with all your online friendsASAP so that this threat may be stopped.

117 Προστασία από Κακόβουλο λογισμικό Άλλα θέματα  Εκπαίδευση – Ενημέρωση των χρηστών  Κοινή λογική (Common Sense)  Ποιόν εμπιστευόμαστε;  Είναι ασφαλές το λογισμικό που «κατεβάζουμε» από το Internet;  Εμπιστεύομαι το αρχείο που έχει επισυναφθεί στο ;  Οργανισμοί για την ασφάλεια και προστασία από κακόβουλο λογισμικό  CERT (Computer Emergency Response Team)  OECD (Organisation for Economic Co-operation and Development)  …

118 1. Εγκατάσταση και λειτουργία ενός Προσωπικού Firewall 2. Λήψη Ενημερώσεων Ασφάλειας και Επιδιορθώσεων 3. Εγκατάσταση και λειτουργία (στο παρασκήνιο) προγράμματος Anitvirus 4. Περιοδικός Έλεγχος με τη χρήση προγραμμάτων AntiRootkit, Antispyware 5. Ρυθμίσεις Ασφάλειας στα προγράμματα περιήγησης στο web, ηλεκτρονικής αλληλογραφίας και εφαρμογών γραφείου 6. Εκτέλεση με ελάχιστα προνόμια (π.χ. σύνδεση στο Internet ως χρήστης χαμηλών δικαιωμάτων) 7. Δυσπιστία κατά τη λήψη συνημμένων ή/και επίσκεψη δικτυακών σελίδων 8. Φυσική ασφάλεια στο χώρο λειτουργίας του Η/Υ Πολιτικές Ασφάλειας

119 Κακόβουλο Λογισμικό: Κίνητρα και Αιτίες…  Κίνητρα  Διασκέδαση, Περιέργεια, Μίσος, εκδίκηση, ακτιβισμός,…  Χρήμα, Βιομηχανική κατασκοπία  Φήμη-Δόξα (Κοινωνίες Hakers)  Αιτίες  Ανεπαρκής Έλεγχος Πρόσβασης στα σύγχρονα Λ.Σ  Π.χ. εφαρμογή που εκτελείται με δικαιώματα administrator  Απροσεξία χρηστών, Ελλιπής εκπαίδευση  Π.χ. επιθέσεις κοινωνικής μηχανικής  Σχεδίαση εφαρμογών και Λ.Σ. χωρίς έμφαση στην ασφάλεια  Ασφάλεια: ένα χαρακτηριστικό που προστίθεται στην πορεία…

120 Μύθοι και Πραγματικότητα…  Μύθος 1  Στόχος είναι τα προγράμματα της ΧΧΧ διότι είναι περισσότερο ευπαθή…  Αλήθεια 1  Στόχος είναι τα προγράμματα της XXX διότι είναι τα πλέον δημοφιλή…  Μύθος 2  Τα κινητά τηλέφωνα είναι πιο ασφαλή…  Αλήθειες 2  Τα τηλέφωνα γίνονται ολοένα και πιο «έξυπνα», και οι συνδέσεις πιο γρήγορες  Διαβλέπετε τις προοπτικές;  Οι ιοί κινητών τηλεφώνων σήμερα μοιάζουν με τους ιούς τα πρώτα χρόνια του Internet  Hobbyist, amateurs  Σε αντίθεση με τους Η/Υ, τα κινητά έχουν ενσωματωμένο σύστημα χρέωσης !!!  Φαντάζεστε ένα worm-dialer σε συσκευές κινητής τηλεφωνίας  Μέλλον: Botnets από κινητά (?)

121 Συμπεράσματα  «Three basic things allow viruses to spread: sharing, programming, and changes. All we have to do is eliminate those three things and we will be perfectly free of viruses.» Fred Cohen, Short Course on Computer Viruses, 2nd Edition  «There is no such thing as absolute security. Whether a host is penetrated depends on the time, money and risk that an attacker is willing to spend, compared with the time, money, and diligence we are willing to commit to defending a host» Cheswick et al. 2003


Κατέβασμα ppt "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2011-2012 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα E: Κακόβουλο Λογισμικό."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google