Περίληψη
Η ασφάλεια υπολογιστών θεωρείται ολοένα και περισσότερο μια κρίσιμη λειτουργία για την δια- τήρηση μιας αξιόπιστης, διαθέσιμης και έμπιστης δικτυακής υποδομής. Ιοί, ‘σκουλήκια’ (worms), ‘δούρειοι ίπποι’ (trojans), καταγραφείς πληκτρολογίου (keyloggers) και άλλοι τύποι κακόβουλου λογισμικού αποθαρρύνουν την αποτελεσματική χρήση του Διαδικτύου και ακρωτηριάζουν την δικτυακή υποδομή. Η εκθετική αύξηση του αριθμού των επιθέσεων και η εξέλιξη του τρόπου που εκτελούνται κάνουν επιτακτική την ανάγκη για πιο αποδοτικούς και ακριβείς μηχανισμούς ασφαλείας. Ενώ ο τομέας της έρευνας και ανάπτυξης έχει παράγει δεκάδες προϊόντα ασφαλείας, όπως αντιπυρικά τείχη (firewalls), αντιϊκά συστήματα (antivirus) και συστήματα ανίχνευσης επι- θέσεων, η αναγκαιότητα για καλύτερη ασφάλεια μεγαλώνει και επεκτείνεται πέρα από αυτά που μπορούν να προσφέρουν τα τρέχοντα συστήματα. Πέρα από τις παραδοσιακές δικτυακές επιθέσεις, όπως worms και επιθέσεις άρνησης υπηρε- σίας (DoS), νέοι μέθοδοι επιθέσεων έχουνε εμφανισ ...
Η ασφάλεια υπολογιστών θεωρείται ολοένα και περισσότερο μια κρίσιμη λειτουργία για την δια- τήρηση μιας αξιόπιστης, διαθέσιμης και έμπιστης δικτυακής υποδομής. Ιοί, ‘σκουλήκια’ (worms), ‘δούρειοι ίπποι’ (trojans), καταγραφείς πληκτρολογίου (keyloggers) και άλλοι τύποι κακόβουλου λογισμικού αποθαρρύνουν την αποτελεσματική χρήση του Διαδικτύου και ακρωτηριάζουν την δικτυακή υποδομή. Η εκθετική αύξηση του αριθμού των επιθέσεων και η εξέλιξη του τρόπου που εκτελούνται κάνουν επιτακτική την ανάγκη για πιο αποδοτικούς και ακριβείς μηχανισμούς ασφαλείας. Ενώ ο τομέας της έρευνας και ανάπτυξης έχει παράγει δεκάδες προϊόντα ασφαλείας, όπως αντιπυρικά τείχη (firewalls), αντιϊκά συστήματα (antivirus) και συστήματα ανίχνευσης επι- θέσεων, η αναγκαιότητα για καλύτερη ασφάλεια μεγαλώνει και επεκτείνεται πέρα από αυτά που μπορούν να προσφέρουν τα τρέχοντα συστήματα. Πέρα από τις παραδοσιακές δικτυακές επιθέσεις, όπως worms και επιθέσεις άρνησης υπηρε- σίας (DoS), νέοι μέθοδοι επιθέσεων έχουνε εμφανιστεί τα τελευταία χρόνια. Καθώς η επιφάνεια επίθεσης των απομακρυσμένων exploits έχει μειωθεί χάρη στην αναβάθμιση των αμυντικών συ- στημάτων και των λειτουργικών συστημάτων, νέοι μέθοδοι διάδοσης έχουν εφευρεθεί. Οι επι- τιθέμενοι, στην προσπάθεια τους να προσαρμοστούν στα αμυντικά συστήματα, εξερευνούν νέες απειλές. Ο Παγκόσμιος Ιστός είναι μια πρώτης τάξεως πλατφόρμα για την εξαπόλυση επιθέσε- ων εξαιτίας του τεράστιου αριθμού χρηστών και την πληθώρα τεχνολογιών και αρχιτεκτονικών που μπορούν να παραβιαστούν. Αυτή η διατριβή διαπραγματεύεται έναν νέο τύπο επιθέσεων που εκμεταλλεύονται τον Παγκόσμιο Ιστό για να δημιουργήσουν μια υποδομή από υπολογιστές-bots, τους οποίους καλούμε ‘μαριονέτες’ (puppetnets). Τα puppetnets βασίζονται σε ιστοσελίδες που αναγκάζουν τους browsers να συμμετάσχουν σε κακόβουλες δραστηριότητες χωρίς να το γνωρίζουν. Τέτοιες δραστηριότητες περιλαμβάνουν τις κατανεμημένες επιθέσεις DoS, εξάπλωση worms και ανίχνευση ανοιχτών πορτών, και μπορούν να δράσουν μυστικά, χωρίς καμία επίδραση σε μία, κατα τα άλλα, φαινομενικά αθώα ιστοσελίδα. Σε αυτή την εργασία μελετάμε πειραματικά το μέγεθος της απειλής. Συζητάμε τα βασικά δομικά στοιχεία για την κατασκευή puppetnets και προσπαθούμε να ποσοτικοποιήσουμε την απόδοση τους. Στην προσπάθεια μας να αμυνθούμε από γνωστές και άγνωστες επιθέσεις, η διατριβή αυτή παρουσιάζει την υποδομή NoAH, ένα γεωγραφικά κατανεμημένο δίκτυο απο συνεργαζόμενους υπολογιστές-δολώματα (honeypots). Τα honeypots λειτουργούνε σαν παγίδες. Ο σκοπός τους είναι είναι να ανιχνεύσουν επιτιθέμενους παρακολουθώντας αχρησιμοποίητα κομμάτια του χώρου IP διευθύνσεων ή μιμούμενα την συμπεριφορά πραγματικών χρηστών. Τα honeypots έχουν αποδειχτεί χρήσιμα για τον ακριβή εντοπισμό επιθέσεων, συμπεριλαμβανομένων και άγνωστων α πειλών, με προσιτό κόστος και χωρίς λανθασμένους συναγερμούς, σε αντίθεση με τα παραδοσιακά σύστηματα ανίχνευσης επιθέσεων.
περισσότερα
Περίληψη σε άλλη γλώσσα
Security is increasingly regarded as an essential function for maintaining a reliable, available, and trustworthy network infrastructure. Viruses, worms, trojans, spyware and other types of malicious programs are discouraging the effective use of the Internet and crippling the network infrastructure. The exponential increase of attack volume and the evolution of attacking methods urge the need for efficient and accurate defense mechanisms. While research and development has produced a multitude of security products, including firewalls, antivirus systems and intrusion detection systems, demand for better security is growing far beyond what current systems can offer. Besides traditional network attacks, like worms and DoS attacks, new attack methods have appeared over the last few years. As the attack surface of remote exploits has been reduced due to advances in defenses and operating systems, new propagation methods are invented. Attackers, in their effort to adapt to security respons ...
Security is increasingly regarded as an essential function for maintaining a reliable, available, and trustworthy network infrastructure. Viruses, worms, trojans, spyware and other types of malicious programs are discouraging the effective use of the Internet and crippling the network infrastructure. The exponential increase of attack volume and the evolution of attacking methods urge the need for efficient and accurate defense mechanisms. While research and development has produced a multitude of security products, including firewalls, antivirus systems and intrusion detection systems, demand for better security is growing far beyond what current systems can offer. Besides traditional network attacks, like worms and DoS attacks, new attack methods have appeared over the last few years. As the attack surface of remote exploits has been reduced due to advances in defenses and operating systems, new propagation methods are invented. Attackers, in their effort to adapt to security response, proactively explore and mitigate new threats. The World Wide Web is an excellent platform for launching attacks due to the vast number of users and plethora of technologies and architectures available for exploitation. This thesis discusses a new class of attacks that misuses the World Wide Web to create botnet-like infrastructures, which we call puppetnets. Puppetnets rely on websites that coerce web browsers to (unknowingly) participate in malicious activities. Such activities include distributed denial-of-service, worm propagation and reconnaissance probing, and can be engineered to be carried out in stealth, without any observable impact on an otherwise innocent-looking website. In this thesis we experimentally assess the threat from puppetnets. We discuss the building blocks for engineering puppetnet attacks and attempt to quantify how puppetnets would perform. In an effort to defends against known and unknown attacks, this thesis presents the NoAH infrastructure, a Network Of Affined Honeypots geographically distributed around the world. Honeypots act like traps; their purpose is to lure attackers by monitoring unused portions of the IP address space or imitating the behavior of real users. Honeypots have been shown to be very useful for accurately detecting attacks, including zero-day threats, at a reasonable cost and without false positives, unlike intrusion and anomaly detection systems. The NoAH architecture is extensible enough to allow the detection of both known and unseen attacks. The NoAH infrastructure is not a centralized farm of honeypots. On the contrary, it is a distributed set of honeyfarms that collaborate. Deployed honeyfarms either forward traffic to a centralized set of honeypots, called the NoAH core, or provide attack statistics for analysis and correlation purposes. Services like automated signature generation for zero-day attacks and display of statistics also run inside the core. An approach to validate the signatures generated by the NoAH components is also proposed. Our approach, called Sigval, is able to test signatures against large volumes of benign traffic in the order of few seconds.
περισσότερα