Presentation laddar. Vänta.

Presentation laddar. Vänta.

Bedrägerier och intrångsdetektering Emilie Lundin Barse Datorteknik, Chalmers Tekniska Högskola.

Liknande presentationer


En presentation över ämnet: "Bedrägerier och intrångsdetektering Emilie Lundin Barse Datorteknik, Chalmers Tekniska Högskola."— Presentationens avskrift:

1 Bedrägerier och intrångsdetektering Emilie Lundin Barse Datorteknik, Chalmers Tekniska Högskola

2 Introduktion Telekom-operatörer förlorar uppskattningsvis 3-6% på grund av bedrägerier Telekom-operatörer förlorar uppskattningsvis 3-6% på grund av bedrägerier Svårare att mäta för dataintrång Svårare att mäta för dataintrång –kostnad för stöld av hemlig information? –kostnad för ”nertid” i systemet? –kostnad för dålig publicitet (t.ex. för banker)? Finns kommersiella intrångsdetekteringssystem (IDS) och bedrägeridetekteringssystem (FDS/FMS) Finns kommersiella intrångsdetekteringssystem (IDS) och bedrägeridetekteringssystem (FDS/FMS) –Inte särskilt effektiva... Händer intressanta saker inom forskningen Händer intressanta saker inom forskningen

3 Innehåll Bedrägerier och intrång Bedrägerier och intrång Hur detekteras intrång och bedrägerier? Hur detekteras intrång och bedrägerier? Kommersiella detekteringssystem Kommersiella detekteringssystem Problem och möjligheter Problem och möjligheter Lagar, regler och etik Lagar, regler och etik Framtiden Framtiden

4 Bedrägerier och intrång

5 Definition av “fraud” (bedrägeri) ”En medvetet vilseledande eller oriktig handling som resulterar i otillbörlig förmån/vinst åt sig själv eller någon annan” ”En medvetet vilseledande eller oriktig handling som resulterar i otillbörlig förmån/vinst åt sig själv eller någon annan” Definitionen inkluderar “insiders” Definitionen inkluderar “insiders” Fraud kan anses vara ett applikationsspecifikt specialfall av intrång Fraud kan anses vara ett applikationsspecifikt specialfall av intrång (Vi sysslar med bedrägerier mot tekniska system) (Vi sysslar med bedrägerier mot tekniska system)

6 Bedrägerier – historik John Draper, 1972 John Draper, 1972 –Visslade till sig gratis-samtal med hjälp av en visselpipa (2600 Hz) från ett flingpaket (Blue boxing) Kevin Poulsen, 1990 Kevin Poulsen, 1990 –Lurade till sig en Porsche 944 S2 genom att ta över alla inkommande telefonlinjer till radiostationen KIIS-FM. (102nd caller) –Fortsatte med att ”vinna”… 1 Porsche till, $22.000, två resor till Hawaii… 5 år i fängelse.

7 Telekom-bedrägerier – historik Fraud i fast telefoni (från tidigt 1970-tal) Fraud i fast telefoni (från tidigt 1970-tal) –Clip-on fraud (mycket enkelt och fungerar ännu, kräver dock fysisk access till kablarna vilket begränsar missbruket). –Signalling abuse. Fungerar ej längre (i Sverige). Fungerade tidigare pga att signalering och trafik utnyttjade samma nät. –Payphone fraud. Manipulerade telefonautomater eller telefonkort. –Card fraud. Stulna kreditkortsnummer och PIN används för att ringa via en operatörs växel. –CPE (PBX). Kundväxlar där man kan utnyttja vidarekoppling och möjligheter till extern access. –Premium rate services (PRS). Missbruk av betalsamtal. T.ex. fejkade betaltjänster som man ringer från stulna telefoner/abonnemang.

8 Telekom-bedrägerier – historik Fraud i mobil telefoni (1980-tal och 1990-tal) Fraud i mobil telefoni (1980-tal och 1990-tal) –Eavesdropping. NMT-systemet hade ej kryptering. –Tumbling. Byte av telefonens serienummer medgav fri access till nätet. Bristfällig accesskontroll i de analoga mobiltelefonisystemen. –Cloning. Duplicering och förfalskning av SIM-kort. Gör att någon annan får betala för samtalen. –Subscription fraud. Teckning av abonnemang under falskt namn. –Call selling. En variant av ”subscription fraud” med ett mer storskaligt syfte. –Roaming fraud. Utnyttjande av fördröjningar i kommunikation mellan roaming-partners.

9 Definition av intrång En samling handlingar som utförs med avsikten att påverka integritet, sekretess eller tillgänglighet för en datorresurs En samling handlingar som utförs med avsikten att påverka integritet, sekretess eller tillgänglighet för en datorresurs –inkluderar förutom attacker med lyckat resultat också attackförberedelse och attackförsök

10 Typer av intrång Vanliga typer Vanliga typer –vanligast är troligtvis ”attacker” som letar efter öppna portar och svagheter port-scanning: nmap port-scanning: nmap svaghets-scanning: satan, saint, nessus svaghets-scanning: satan, saint, nessus –buffer overflow, heap overflow, integer overflow och varianter dominerar stort bland attacker som påverkar systemets integritet och sekretess (t.ex. ger administratörs-rättigheter) –attacker mot tillgängligheten (denial-of-service) är vanliga och svåra att skydda sig mot

11 Klassificering av intrång Finns ingen klassificering av intrång som är användbar för att avgöra hur de ska detekteras Finns ingen klassificering av intrång som är användbar för att avgöra hur de ska detekteras De som finns visar attackmetod, attackmål eller vilka delar av systemet som påverkas De som finns visar attackmetod, attackmål eller vilka delar av systemet som påverkas –T.ex. MIT Lincoln Labs klassificering, som användes för DARPAs IDS-testning: probe probe remote-to-local remote-to-local user-to-root user-to-root denial-of-service denial-of-service data attack data attack –Har visats att dessa klasser inte motsvarar hur väl en detektor kan detektera attackerna (Killourhy et al. 2004) En viktig uppgift för säkerhetsforskare är att skapa en sådan klassificering En viktig uppgift för säkerhetsforskare är att skapa en sådan klassificering

12 Hur detekteras intrång och bedrägerier?

13 Komponenter i ett detekteringssystem Målsystem analys- motor respons- enhet sensor tillstånds-infodetekterings-policyåtgärds-policy sensor-konfig. logdata-lagring

14 Sensorer för intrångsdetektering Nätverkstrafik för att detektera ”nätverks”-attacker Nätverkstrafik för att detektera ”nätverks”-attacker Systemanrop för att detektera program som beter sig misstänkt Systemanrop för att detektera program som beter sig misstänkt Användarkommandon för att upptäcka ”masquerading”, dvs användarkonton som tagits över av angripare Användarkommandon för att upptäcka ”masquerading”, dvs användarkonton som tagits över av angripare Inloggningar för att veta vem som var inne i systemet vid tidpunkten för attacken Inloggningar för att veta vem som var inne i systemet vid tidpunkten för attacken Vanligt att dela upp IDSer i nätverks- baserade och ”host”-baserade Vanligt att dela upp IDSer i nätverks- baserade och ”host”-baserade inloggningar programbeteende (systemanrop) programbeteende (systemanrop) användar- kommandon användar- kommandon nätverks- trafik

15 Sensorer för bedrägeridetektering Samtalsinformation (call records) för att upptäcka misstänkt användarbeteende Samtalsinformation (call records) för att upptäcka misstänkt användarbeteende Kundinformation för att upptäcka kunder som registrerat sig med falsk identitet (subscription fraud) Kundinformation för att upptäcka kunder som registrerat sig med falsk identitet (subscription fraud) Betalningsinformation för att upptäcka höga kostnader eller avvikelser jämfört med andra informationskällor Betalningsinformation för att upptäcka höga kostnader eller avvikelser jämfört med andra informationskällortelekom-operatörtelekom-operatör kund- databas samtals- register samtals- register betalnings- information

16 Detekteringsmetoder Klassificering Klassificering –skilja normala händelser från misstänkta –görs genom att man tar reda på hur normalbeteende eller attackbeteende ser ut anomalidetektering – utgå från normalbeteende anomalidetektering – utgå från normalbeteende missbruksdetektering – utgå från attackbeteende missbruksdetektering – utgå från attackbeteende –inte alltid möjligt att få perfekt detektering, eftersom normala händelser överlappar med attackbeteende statistisk fördelning för normalbeteende statistisk fördelning för attackbeteende parameter- värde ?

17 Detekteringsmetoder Regelbaserade/ mönstermatchning Regelbaserade/ mönstermatchning Expertsystem Expertsystem Tröskelvärden Tröskelvärden Statistisk analys Statistisk analys Bayesianska nät Bayesianska nät Neurala nät Neurala nät Markov-modeller Markov-modeller HI ED AB G F Domestic User Commercial User Customer churn Profile Change ‘Hot’ Destinations Revenue Loss Propensity to Fraud Bad Debt C Low Income Pr{A}= 0.76Pr{B}= 0.24Pr{C}= 0.74 Pr{D|¬A}= 0.27Pr{D|A}= 0.73 Pr{E|¬A,¬B,x}= 0.01 Pr{E|¬A,B,¬C}= 0.02Pr{E|¬A,B,C}= 0.04Pr{E|A,x,x}= 0.03 Pr{F|¬B,x}= 0.00Pr{F|B,¬C}= 0.01Pr{F|B,C}= 0.04 Pr{G|¬D,¬E}= 0.03Pr{G|¬D,E}= 0.72 Pr{G|¬D,E}= 0.84Pr{G|D,E}= 0.96 Pr{H|¬E}= 0.58Pr{H|E}= 0.42 Pr{I|¬E,¬F}= 0.02Pr{I|¬E,F}= 0.98 Pr{I|E,¬F}= 1Pr{I|E,F}= 1

18 Vad är skillnaden mellan IDS och FDS? FDS kan ses som ett applikationsspecifikt IDS FDS kan ses som ett applikationsspecifikt IDS –FDS måste anpassas till varje unik applikation –Inga ”standardiserade” applikationer finns! FDS definierar ofta larm-trösklar vilket förenklar detekteringsproblemet FDS definierar ofta larm-trösklar vilket förenklar detekteringsproblemet En fördel med FD är att man enkelt kan väga investeringskostnaden mot dess nytta En fördel med FD är att man enkelt kan väga investeringskostnaden mot dess nytta Ett FDS detekterar konsekvensen av ett intrång eller missbruk Ett FDS detekterar konsekvensen av ett intrång eller missbruk Ett FDS detekterar missbruk av en tjänsts affärslogik Ett FDS detekterar missbruk av en tjänsts affärslogik

19 Kommersiella system

20 Kommersiella system - FDS Exempel från telekom (rapport från 2000) Exempel från telekom (rapport från 2000) –Sheriff, British Telecom –Fraud office, Ericsson –Cerebrus, Nortel Networks –Compaq FMS, Compaq –... (11 system har undersökts) –Indata: CDR (Call Data Record), CDR signaleringsdata, abonnent-databas, plats CDR (Call Data Record), CDR signaleringsdata, abonnent-databas, plats –Bedrägerier: subscription, bad dept, cloning, roaming, clip-on, call sell, prepaid, calling card,... subscription, bad dept, cloning, roaming, clip-on, call sell, prepaid, calling card, bedrägerier har undersökts i rapporten 11 bedrägerier har undersökts i rapporten

21 Kommersiella system – FDS (forts.) –Metoder: regelbaserad detektering (alla system) regelbaserad detektering (alla system) användar-profilering (de flesta system) användar-profilering (de flesta system) AI/”intelligenta metoder” (några system) AI/”intelligenta metoder” (några system) ”hot lists” ”hot lists” –Detektering några få har gett uppgift några få har gett uppgift lyckad detektering: 50%, 90%, 95% lyckad detektering: 50%, 90%, 95% falska larm: 50%, 60% falska larm: 50%, 60%

22 Kommersiella system - IDS Exempel (från Doidy 2004): Exempel (från Doidy 2004): –Snort – open source, nätverksbaserat –Prelude – open source, hybrid –LIDS – open source, hostbaserat –ISS RealSecure – finns både för nätverk och server –CISCO intrusion detection – nätverksbaserat –... –Indata: Nätverkstrafik, systemanrop, filsystemsinfo, brandväggsloggar, autentiseringsinfo,... Nätverkstrafik, systemanrop, filsystemsinfo, brandväggsloggar, autentiseringsinfo,... –Intrång: det finns inga system som specificerar vilka intrång de klarar och inte klarar?! det finns inga system som specificerar vilka intrång de klarar och inte klarar?!

23 Kommersiella system – IDS (forts.) –Metoder: regelbaserad detektering (alla system) regelbaserad detektering (alla system) anomalidetektering (i vissa system som komplement) anomalidetektering (i vissa system som komplement) –Detektering: Finns inga ”vetenskapliga” testresultat för kommersiella system Finns inga ”vetenskapliga” testresultat för kommersiella system svårt att mäta detekteringsresultat och falsklarm, pga problem med att skaffa testdata svårt att mäta detekteringsresultat och falsklarm, pga problem med att skaffa testdata Bästa testet av IDSer är gjort av DARPA: Bästa testet av IDSer är gjort av DARPA: –genererade testdata genom simulering av många datorer, användare och attacker –testade forskningsprototyperna de har finansierat –detekteringsresultat på ca %, mycket sämre för nya och ”smarta” attacker –ca 10 falsklarm per dag (ev. högre på mer realistiska data)

24 Intrusion prevention systems Nya ”inne”-grejen Nya ”inne”-grejen Gartner Group-rapport: ”IDS is dead, long live IPS” Gartner Group-rapport: ”IDS is dead, long live IPS” –orsakade en del rabalder Lite oklar terminologi, kan betyda olika saker Lite oklar terminologi, kan betyda olika saker Ofta avses IDS med automatisk återkoppling Ofta avses IDS med automatisk återkoppling –konfigurera om brandvägg –avbryt TCP-uppkopplingar –stäng ner tjänster –stoppa systemanrop i realtid

25 Problem och möjligheter med detekteringssystem

26 De största praktiska problemen 1. Falska larm 2. Anpassning 3. Detekteringsförmåga 4. Skalbarhet 5. Brist på mätmetoder

27 Problem 1 Falska larm Falska larm –Många larm –Om detekteringen är 95% korrekt och det finns 0.1% bedrägerier i den analyserade informationen så kommer 99% av alla larm att vara falsklarm! –Avvägning mellan att täcka in alla attacker och mängden falska larm man kan hantera –Tar mycket tid att utreda larm –Ingen skillnad mellan larm från attacker som drabbar aktiva/inaktiva IP-adresser eller känsliga/okänsliga system

28 Möjligheter 1 Korrelering av larm Korrelering av larm –högre trovärdighet till larm som rapporteras av mer än en källa ”Root cause analysis” ”Root cause analysis” –hitta orsaken till grupper av larm –att rapportera orsaken istället för larmen själva reducerar mängden larm kraftigt –(Avhandling, Julisch 2003) Indata med lägre ”brus”-nivå Indata med lägre ”brus”-nivå

29 Problem 2 Anpassning Anpassning –Går inte att köpa ett färdig-anpassat detekteringssystem –Ofta unika tjänster –Användarnas beteende varierar –Kan ta ca två veckor att anpassa ett enkelt nätverksbaserat IDS till ett specifikt system och då får man inaktivera regler som kan vara intressanta

30 Möjligheter 2 Automatisk justering av IDS Automatisk justering av IDS –vilka regler är intressanta för mitt system? –vilka regler ger för mycket falsklarm? –(exjobbare kollar på detta) Förbered systemet genom att träna det på syntetiska data Förbered systemet genom att träna det på syntetiska data –färdiganpassat IDS från början –kan träna det för intressanta attacker och situationer som inte tidigare har förekommit –(Barse, Kvarnström och Jonsson, 2003)

31 Problem 3 Detekteringsförmåga Detekteringsförmåga –Generaliseringsproblem kommersiella regelbaserade system upptäcker ofta bara en mycket specifik instans av attacken kommersiella regelbaserade system upptäcker ofta bara en mycket specifik instans av attacken nya intrång, nya varianter och dolda intrång upptäcks inte nya intrång, nya varianter och dolda intrång upptäcks inte –Bättre detektering får inte ske på bekostnad av fler falsklarm

32 Möjligheter 3 Nya detekteringsmetoder Nya detekteringsmetoder –Visualisering Hitta mönster och avvikande beteenden Hitta mönster och avvikande beteenden Använda den mänskliga hjärnans styrka! Använda den mänskliga hjärnans styrka! Kombinera metoder Kombinera metoder –måste avgöra vilka som täcker in olika områden bäst

33 Möjligheter 3 (forts.) Kombinera anomali- och missbruks- detekering Kombinera anomali- och missbruks- detekering –använd anomalidetektering kompletterad med regler för att identifiera attackerna –missbruksdetektering kompletterad med anomalidetektering för att avgöra vilka larm som är relevanta –metoder som kan konstruera egna regler baserat på träningsdata där både attacker och normalt beteende finns med (t.ex. RIPPER av Lee et al.) Bättre kvalité på indata Bättre kvalité på indata –logdata kan täcka in attacker bättre än vad som görs idag

34 Problem 4 Skalbarhet Skalbarhet –större bandbredd än 10Mbit/s på nätverket ger problem –antal regler påverkar prestanda kraftigt –problem med att korrelera information från många spridda sensorer

35 Möjligheter 4 Distribuera nätverkstrafik till flera sensorer Distribuera nätverkstrafik till flera sensorer –”smart” uppdelning krävs –(Kruegel et al. 2002) Applikations-baserade IDSer Applikations-baserade IDSer –skydda bara viktiga/känsliga resurser i systemet –t.ex. webserver-IDS, mailserver-IDS,... Minska mängden indata Minska mängden indata –filtrera bort ”onödigt” data vad är onödigt? vad är onödigt? –nya datakällor

36 Problem 5 Mätmetoder Mätmetoder –det finns ingen ”innehållsförteckning” på detekteringssystem som talar om vad de klarar och inte klarar –enda seriösa IDS-jämförelsen är DARPAs och den har fått mycket kritik

37 Möjligheter 5 Gemensamma testdata Gemensamma testdata –det går inte att jämföra resultat från IDSer som testats på olika data egenskaper hos data påverkar detekteringsresultaten egenskaper hos data påverkar detekteringsresultaten Metoder för att generera testdata Metoder för att generera testdata –syntetiska data (Barse, Kvarnström och Jonsson, 2003) Metoder för att analysera testdata Metoder för att analysera testdata –finns inte några enkla lösningar ännu

38 Bättre logdata för detektering Bättre indata ger Bättre indata ger –färre falska larm –bättre detektering –mindre skalbarhetsproblem Bättre täckning av attacker Bättre täckning av attacker –analysera vilka spår attacker lämnar i logdata och undersök hur användbara spåren är Filtrera bort onödiga data Filtrera bort onödiga data –hitta kombinationer av data som täcker in attacker och filtrera bort resten Pågående forskning... Pågående forskning...

39 Lagar, regler och etik

40 Personlig integritet och loggning går inte ihop? Personuppgiftslagen (1998) Personuppgiftslagen (1998) –personuppgifter ska endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål –personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in –de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen –personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke –... Säkerhet är viktig för att skydda kundernas personliga integritet Säkerhet är viktig för att skydda kundernas personliga integritet –tekniska åtgärder krävs

41 PUL och företagets intressen Är IP-adress en personuppgift? Är IP-adress en personuppgift? –oklart, men EU-kommissionen anser det –en person kan i vissa fall identifieras Är behandling tillåten? Är behandling tillåten? –om företagets intresse tydligt överväger kundens intresse av skydd av den personliga integriteten –upptäcka/förebygga brott skulle kunna berättiga behandling –finns ingen praxis Krävs samtycke? Krävs samtycke? –inte om företaget har berättigat intresse –oklart om kunderna måste informeras

42 Forskning För forskning inom bedrägeri- och intrångsdetektering behövs data För forskning inom bedrägeri- och intrångsdetektering behövs data Oklart om man får dela med sig av logdata från datorsystem/tjänster Oklart om man får dela med sig av logdata från datorsystem/tjänster –hur kan man avidentifiera data? Honeypots Honeypots –”lura” angriparen till att begå brott för att kunna övervaka –spridd användning, men oklart om lagligt –håller troligtvis inte i rättegång

43 Framtiden

44 Framtiden IDS blir som antivirusprogram? IDS blir som antivirusprogram? Övervakning av datorsystem behövs Övervakning av datorsystem behövs –vi kan inte betrakta dem som en ”svart låda” Datorsystemen sprids alltmer och allt viktigare funktioner i samhället datoriseras Datorsystemen sprids alltmer och allt viktigare funktioner i samhället datoriseras


Ladda ner ppt "Bedrägerier och intrångsdetektering Emilie Lundin Barse Datorteknik, Chalmers Tekniska Högskola."

Liknande presentationer


Google-annonser