| Περίληψη |
Η ασφάλεια υπολογιστών θεωρείται ολοένα και περισσότερο μια κρίσιμη λειτουργία για την διατήρηση μιας αξιόπιστης, διαθέσιμης και έμπιστης δικτυακής υποδομής. Ιοί, "σκουλήκια" (worms), "δούρειοι ίπποι" (trojans), καταγραφείς πληκτρολογίου (keyloggers) και άλλοι τύποι κακόβουλου λογισμικού αποθαρρύνουν την αποτελεσματική χρήση του Διαδικτύου και ακρωτηριάζουν την δικτυακή υποδομή. Η εκθετική αύξηση του αριθμού των επιθέσεων και η εξέλιξη του τρόπου που εκτελούνται κάνουν επιτακτική την ανάγκη για πιο αποδοτικούς και ακριβείς μηχανισμούς ασφαλείας. Ενώ ο τομέας της έρευνας και ανάπτυξης έχει παράγει δεκάδες προϊόντα ασφαλείας, όπως αντιπυρικά τείχη (firewalls), αντιϊκά συστήματα (antivirus) και συστήματα ανίχνευσης επιθέσεων, η ζήτηση για καλύτερη ασφάλεια μεγαλώνει πέρα από αυτά που μπορούν να προσφέρουν τα τρέχοντα συστήματα.
Πέρα από τις παραδοσιακές δικτυακές επιθέσεις, όπως worms και επιθέσεις άρνησης υπηρεσίας (DoS), νέοι μέθοδοι επιθέσεων έχουνε εμφανιστεί τα τελευταία χρόνια. Καθώς η επιφάνεια επίθεσης των απομακρυσμένων exploits έχει μειωθεί χάρη στην αναβάθμιση των αμυντικών συστημάτων και των λειτουργικών συστημάτων, νέοι μέθοδοι διάδοσης έχουν εφευρεθεί. Οι επιτιθέμενοι, στην προσπάθεια τους να προσαρμοστούν στα αμυντικά συστήματα, εξερευνούν νέες απειλές. Ο Παγκόσμιος Ιστός είναι μια πρώτης τάξεως πλατφόρμα για την εξαπόλυση επιθέσεων εξαιτίας του τεράστιου αριθμού χρηστών και την πληθώρα τεχνολογιών και αρχιτεκτονικών που μπορούν να παραβιαστούν. Αυτή η διατριβή διαπραγματεύεται έναν νέο τύπο επιθέσεων που εκμεταλλεύονται τον Παγκόσμιο Ιστό για να δημιουργήσουν μια υποδομή από υπολογιστές-bots, τους οποίους καλούμε «μαριονέτες» (puppetnets). Τα puppetnets βασίζονται σε ιστοσελίδες που αναγκάζουν τους browsers να συμμετάσχουν σε κακόβουλες δραστηριότητες χωρίς να το γνωρίζουν. Τέτοιες δραστηριότητες περιλαμβάνουν κατανεμημένες επιθέσεις DoS, εξάπλωση worms και ανίχνευση ανοιχτών πορτών, και μπορούν να δράσουν μυστικά, χωρίς καμία επίδραση σε μία, κατα τα άλλα, φαινομενικά αθώα ιστοσελίδα. Σε αυτή την εργασία μελετάμε πειραματικά το μέγεθος της απειλής. Συζητάμε τα βασικά δομικά στοιχεία για την κατασκευή puppetnets και προσπαθούμε να ποσοτικοποιήσουμε την απόδοση τους.
Στην προσπάθεια μας να αμυνθούμε από γνωστές και άγνωστες επιθέσεις, η διατριβή αυτή παρουσιάζει την υποδομή NoAH, ένα γεωγραφικά κατανεμημένο δίκτυο απο συνεργαζόμενους υπολογιστές-δολώματα (honeypots). Τα honeypots λειτουργούνε σαν παγίδες. Ο σκοπός τους είναι είναι να ανιχνεύσουν επιτιθέμενους παρακολουθώντας αχρησιμοποίητα κομμάτια του χώρου IP διευθύνσεων ή μιμούμενα την συμπεριφορά πραγματικών χρηστών. Τα honeypots έχουν αποδειχτεί χρήσιμα για τον ακριβή εντοπισμό επιθέσεων, συμπεριλαμβανομένων και άγνωστων απειλών, με προσιτό κόστος και χωρίς λανθασμένους συναγερμούς, σε αντίθεση με τα παραδοσιακά σύστηματα ανίχνευσης επιθέσεων. Η αρχιτεκτονική του ΝοΑΗ είναι αρκετά παραμετροποιήσιμη ώστε να επιτρέπει την ανίχνευση γνωστών και άγνωστων επιθέσεων. Η υποδομή του ΝοΑΗ δεν είναι μια κεντρική φάρμα από honeypots. Αντιθέτως, είναι ένα κατανεμημένο σύνολο από φάρμες που συνεργάζονται. Οι φάρμες αυτές είτε προωθούν κίνηση προς ένα κεντρικό σύνολο από honeypots, τον πυρήνα του ΝοΑΗ, ή παρέχουνε στατιστικά επιθέσεων για περαιτέρω ανάλυση και συσχέτιση με άλλα στατιστικά δεδομένα. Επιπρόσθετα, υπηρεσίες όπως αυτόματη παραγωγή υπογραφών για καινούργιες επιθέσεις και απεικόνιση στατιστικών τρέχουν στον πυρήνα του ΝοΑΗ. Προτείνουμε μια προσέγγιση για την έλεγχο ποιότητας των παραχθέντων υπογραφών. Η προσέγγιση μας, με το όνομα Sigval, μπορεί να δοκιμάσει υπογραφές πάνω απο τεράστιους όγκους αθώας κίνησης μέσα σε λίγα δευτερόλεπτα. Παρουσιάζουμε επίσης την πιλοτική εγκατάσταση και λειτουργία της υποδομής του ΝοΑΗ.
Η εγκατάσταση και συντήρηση honeypots απαιτεί τόσο διαχειριστικές ικανότητες όσο και αφοσιωμένους πόρους που αρκετοί οργανισμοί δεν μπορούν να έχουν. Επιπρόσθετα, η αποτελεσματικότητα των υπολογιστών-δολωμάτων εξαρτάται από το μέγεθος του χώρου ΙP διευθύνσεων που παρακολουθούν. Αχρησιμοποίητος χώρος IP διευθύνσεων μπορεί να βρεθεί σε κάθε οργανισμό και ίδρυμα εξαιτίας της ύπαρξης άδειων subnets ή subnets που χρησιμοποιούνται σε μικρό ποσοστό. Για την αντιμετώπιση αυτών των προβλημάτων, η διατριβή αυτή προτείνει το Honey@home, μια νέα αρχιτεκτονική που επιτρέπει την εγκατάσταση honeypots σε ευρεία κλίμακα με χαμηλό κόστος. Η αρχιτεκτονική του Honey@home βασίζεται σε κοινότητες απλών χρηστών που εγκαθιστούν ένα εικονικό honeypot το οποίο παρακολουθεί αχρησιμοποίητες IP διευθύνσεις. Το εργαλείο Honey@home είναι μια ελαφρία διεργασία που αυτόματα καταλαμβάνει μία ή περισσότερες IP διευθύνσεις και προωθεί όλη τη κίνηση προς αυτές στον πυρήνα του NoAH για περαιτέρω επεξεργασία. Οι απαντήσεις από τον πυρήνα του NoAH προωθούνται πίσω στους επιτιθέμενους, δημιουργώντας τους την ψευδαίσθηση ότι επικοινωνούνε με μια πραγματική υπηρεσία. Η προσέγγιση του Honey@home είναι ένας εξαιρετικός τρόπος για να επεκταθεί η κάλυψη που προσφέρει η υποδομή του ΝοΑΗ καθώς και να επιτρέψει σε χρήστες που δεν είναι γνώστες του τομέα ασφάλειας δικτύων να βοηθήσουν στην καταπολέμηση του κυβερνο-εγκλήματος.
|
Αναζήτηση
