Bedrägerier och intrångsdetektering Emilie Lundin Barse Datorteknik, Chalmers Tekniska Högskola Jag ska prata om intrångsdetektering och bedrägeridetektering. Intrusion detection och fraud detection på engelska. Det är det jag har forskat på de senaste åren på Chalmers. Jag tänkte prata lite om hur de fungerar, lite om hur dagens kommersiella system fungerar och vad problemen med dem är. Sedan kommer jag in på vad som händer inom forskningen och hur man försöker lösa problemen.
Introduktion Telekom-operatörer förlorar uppskattningsvis 3-6% på grund av bedrägerier Svårare att mäta för dataintrång kostnad för stöld av hemlig information? kostnad för ”nertid” i systemet? kostnad för dålig publicitet (t.ex. för banker)? Finns kommersiella intrångsdetekteringssystem (IDS) och bedrägeridetekteringssystem (FDS/FMS) Inte särskilt effektiva... Händer intressanta saker inom forskningen ... kolla upp om vad dataintrång kostar... Effektivitet kan mätas på många olika sätt. T.ex. antar missade intrång och antal falska larm. Man kan också titta på om totalkostnaden för att köpa in, finjustera och administrera systemet uppväger de attacker/intrång man hittar. Idag tror jag att totalkostnaden i vissa fall blir högre än nyttan om man inte använder systemet ”smart”
Innehåll Bedrägerier och intrång Hur detekteras intrång och bedrägerier? Kommersiella detekteringssystem Problem och möjligheter Lagar, regler och etik Framtiden
Bedrägerier och intrång
Definition av “fraud” (bedrägeri) ”En medvetet vilseledande eller oriktig handling som resulterar i otillbörlig förmån/vinst åt sig själv eller någon annan” Definitionen inkluderar “insiders” Fraud kan anses vara ett applikationsspecifikt specialfall av intrång (Vi sysslar med bedrägerier mot tekniska system)
Bedrägerier – historik John Draper, 1972 Visslade till sig gratis-samtal med hjälp av en visselpipa (2600 Hz) från ett flingpaket (Blue boxing) Kevin Poulsen, 1990 Lurade till sig en Porsche 944 S2 genom att ta över alla inkommande telefonlinjer till radiostationen KIIS-FM. (102nd caller) Fortsatte med att ”vinna”… 1 Porsche till, $22.000, två resor till Hawaii… 5 år i fängelse.
Telekom-bedrägerier – historik Fraud i fast telefoni (från tidigt 1970-tal) Clip-on fraud (mycket enkelt och fungerar ännu, kräver dock fysisk access till kablarna vilket begränsar missbruket). Signalling abuse. Fungerar ej längre (i Sverige). Fungerade tidigare pga att signalering och trafik utnyttjade samma nät. Payphone fraud. Manipulerade telefonautomater eller telefonkort. Card fraud. Stulna kreditkortsnummer och PIN används för att ringa via en operatörs växel. CPE (PBX). Kundväxlar där man kan utnyttja vidarekoppling och möjligheter till extern access. Premium rate services (PRS). Missbruk av betalsamtal. T.ex. fejkade betaltjänster som man ringer från stulna telefoner/abonnemang.
Telekom-bedrägerier – historik Fraud i mobil telefoni (1980-tal och 1990-tal) Eavesdropping. NMT-systemet hade ej kryptering. Tumbling. Byte av telefonens serienummer medgav fri access till nätet. Bristfällig accesskontroll i de analoga mobiltelefonisystemen. Cloning. Duplicering och förfalskning av SIM-kort. Gör att någon annan får betala för samtalen. Subscription fraud. Teckning av abonnemang under falskt namn. Call selling. En variant av ”subscription fraud” med ett mer storskaligt syfte. Roaming fraud. Utnyttjande av fördröjningar i kommunikation mellan roaming-partners.
Definition av intrång En samling handlingar som utförs med avsikten att påverka integritet, sekretess eller tillgänglighet för en datorresurs inkluderar förutom attacker med lyckat resultat också attackförberedelse och attackförsök Arbetsdefinition som är lämplig när man pratar om intrångsdetektering eftersom den innefattar allt som man kan tänkas vilja detektera. I andra sammanhang kan man uppfatta ”intrång” som en något som inte innefattar denial-of-service eller ens misslyckade attacker.
Typer av intrång Vanliga typer vanligast är troligtvis ”attacker” som letar efter öppna portar och svagheter port-scanning: nmap svaghets-scanning: satan, saint, nessus buffer overflow, heap overflow, integer overflow och varianter dominerar stort bland attacker som påverkar systemets integritet och sekretess (t.ex. ger administratörs-rättigheter) attacker mot tillgängligheten (denial-of-service) är vanliga och svåra att skydda sig mot buffer overflow har varit en stor del av attackerna i många år. Kanske inte i antal attacker... Probar står nog för 95%? av allt som ett system utsätts för, men det finns många fler varianter av attacker som baseras på buffer overflow Buffer overflow borde man kunna komma ifrån genom att använda andra programspråk eller med bättre programmeringsrutiner. Denial-of-service finns det inget standard-recept mot. Tillgänglighet står ibland i motsatsförhållande till integritet och sekretess, så detta är teoretiskt ett mycket mer svårlöst problem.
Klassificering av intrång Finns ingen klassificering av intrång som är användbar för att avgöra hur de ska detekteras De som finns visar attackmetod, attackmål eller vilka delar av systemet som påverkas T.ex. MIT Lincoln Labs klassificering, som användes för DARPAs IDS-testning: probe remote-to-local user-to-root denial-of-service data attack Har visats att dessa klasser inte motsvarar hur väl en detektor kan detektera attackerna (Killourhy et al. 2004) En viktig uppgift för säkerhetsforskare är att skapa en sådan klassificering Skulle vara väldigt användbart om man kunde utvärdera detekteringssystemens förmåga att upptäcka grupper av attacker baserat på vilken datakälla och detekteringsalgoritm som används Om vi t.ex. vet att alla user2root-attacker kan upptäckas om man loggar vissa bestämda systemanrop, så vet man iallafall vilka system som teoretiskt kan upptäcka attacken utan att behöva testa med experiment
Hur detekteras intrång och bedrägerier?
Komponenter i ett detekteringssystem Målsystem tillstånds- info detekterings- policy åtgärds- sensor- konfig. logdata- lagring sensor analys- motor respons- enhet Samma komponenter för IDS/FDS Olika sorters indata Olika sätt att behandla utdata
Sensorer för intrångsdetektering inloggningar programbeteende (systemanrop) användar- kommandon nätverks-trafik Nätverkstrafik för att detektera ”nätverks”-attacker Systemanrop för att detektera program som beter sig misstänkt Användarkommandon för att upptäcka ”masquerading”, dvs användarkonton som tagits över av angripare Inloggningar för att veta vem som var inne i systemet vid tidpunkten för attacken Vanligt att dela upp IDSer i nätverks-baserade och ”host”-baserade Väldigt lite forskning på vilka attacker som är lämpliga och olämpliga att detektera med olika datakällor. Jag har tittat lite på det och konstaterat att det troligtvis finns många attacker man inte kan detektera med nätverkstrafik (krypterad överföring) och andra attacker som faktiskt inte syns i systemanropsloggar som annars visar ganska väl vad som händer i systemet.
Sensorer för bedrägeridetektering telekom- operatör Samtalsinformation (call records) för att upptäcka misstänkt användarbeteende Kundinformation för att upptäcka kunder som registrerat sig med falsk identitet (subscription fraud) Betalningsinformation för att upptäcka höga kostnader eller avvikelser jämfört med andra informationskällor kund-databas samtals- register Oftast använder man information ”som ändå loggas” för bedrägeridetektering. Trots att många tjänster är datoriserade så används inte de vanliga datorsystemsloggarna. betalnings-information
Detekteringsmetoder Klassificering skilja normala händelser från misstänkta görs genom att man tar reda på hur normalbeteende eller attackbeteende ser ut anomalidetektering – utgå från normalbeteende missbruksdetektering – utgå från attackbeteende inte alltid möjligt att få perfekt detektering, eftersom normala händelser överlappar med attackbeteende statistisk fördelning för normalbeteende statistisk fördelning för attackbeteende parameter- värde ?
Detekteringsmetoder Regelbaserade/ mönstermatchning Expertsystem Tröskelvärden Statistisk analys Bayesianska nät Neurala nät Markov-modeller ... A Commercial B Domestic C Low User User Income D Customer E Propensity F Bad churn to Fraud Debt G Profile H ‘Hot’ I Revenue Change Destinations Loss Regelbaserade system och expertsystem är i princip helt Pr{A} = 0.76 Pr{B} = 0.24 Pr{C} = 0.74 Pr{D|¬A} = 0.27 Pr{D|A} = 0.73 Pr{E|¬A,¬B,x} = 0.01 Pr{E|¬A,B,¬C} = 0.02 Pr{E|¬A,B,C} = 0.04 Pr{E|A,x,x} = 0.03 Pr{F|¬B,x} = 0.00 Pr{F|B,¬C} = 0.01 Pr{F|B,C} = 0.04 Pr{G|¬D,¬E} = 0.03 Pr{G|¬D,E} = 0.72 Pr{G|¬D,E} = 0.84 Pr{G|D,E} = 0.96 Pr{H|¬E} = 0.58 Pr{H|E} = 0.42 Pr{I|¬E,¬F} = 0.02 Pr{I|¬E,F} = 0.98 Pr{I|E,¬F} = 1 Pr{I|E,F} = 1
Vad är skillnaden mellan IDS och FDS? FDS kan ses som ett applikationsspecifikt IDS FDS måste anpassas till varje unik applikation Inga ”standardiserade” applikationer finns! FDS definierar ofta larm-trösklar vilket förenklar detekteringsproblemet En fördel med FD är att man enkelt kan väga investeringskostnaden mot dess nytta Ett FDS detekterar konsekvensen av ett intrång eller missbruk Ett FDS detekterar missbruk av en tjänsts affärslogik
Kommersiella system
Kommersiella system - FDS Exempel från telekom (rapport från 2000) Sheriff, British Telecom Fraud office, Ericsson Cerebrus, Nortel Networks Compaq FMS, Compaq ... (11 system har undersökts) Indata: CDR (Call Data Record), CDR signaleringsdata, abonnent-databas, plats Bedrägerier: subscription, bad dept, cloning, roaming, clip-on, call sell, prepaid, calling card, ... 11 bedrägerier har undersökts i rapporten
Kommersiella system – FDS (forts.) Metoder: regelbaserad detektering (alla system) användar-profilering (de flesta system) AI/”intelligenta metoder” (några system) ”hot lists” Detektering några få har gett uppgift lyckad detektering: 50%, 90%, 95% falska larm: 50%, 60% Observera att detekteringsresultaten har företagen själva uppgett. Även om det kanske inte direkt är lögn, så har de nog räknat på ett fördelaktigt sätt för dem själva. Falska larm kan räknas på olika sätt: Här: 50 % av alla larm Ofta: 50% av alla ”händelser”, dvs logposter etc.
Kommersiella system - IDS Exempel (från Doidy 2004): Snort – open source, nätverksbaserat Prelude – open source, hybrid LIDS – open source, hostbaserat ISS RealSecure – finns både för nätverk och server CISCO intrusion detection – nätverksbaserat ... Indata: Nätverkstrafik, systemanrop, filsystemsinfo, brandväggsloggar, autentiseringsinfo, ... Intrång: det finns inga system som specificerar vilka intrång de klarar och inte klarar?!
Kommersiella system – IDS (forts.) Metoder: regelbaserad detektering (alla system) anomalidetektering (i vissa system som komplement) Detektering: Finns inga ”vetenskapliga” testresultat för kommersiella system svårt att mäta detekteringsresultat och falsklarm, pga problem med att skaffa testdata Bästa testet av IDSer är gjort av DARPA: genererade testdata genom simulering av många datorer, användare och attacker testade forskningsprototyperna de har finansierat detekteringsresultat på ca 40-100%, mycket sämre för nya och ”smarta” attacker ca 10 falsklarm per dag (ev. högre på mer realistiska data) Metoder: Snort – signatur/regel-baserat Prelude - signaturbaserat ISS – signaturbaserat CISCO – signatur och anomalibaserat (oklart vad det innebär), kollar på trafik-avvikelser och protokoll-avvikelser LIDS – anomali-baserat? (specification-based?) Jämförelser av kommersiella system tar oftast mest upp användarvänlighet, prestanda i form av hur mycket indata de kan processa och interoperabilitet etc. DARPA (Defence Advanced Research Projects Agency) har ändå fått mycket kritik för att de inte analyserade sina testdata ordentligt. Finns en artikel som visar att det finns problem med data som gör att jämförelser av anomali-baserade system kan bli orättvis.
Intrusion prevention systems Nya ”inne”-grejen Gartner Group-rapport: ”IDS is dead, long live IPS” orsakade en del rabalder Lite oklar terminologi, kan betyda olika saker Ofta avses IDS med automatisk återkoppling konfigurera om brandvägg avbryt TCP-uppkopplingar stäng ner tjänster stoppa systemanrop i realtid
Problem och möjligheter med detekteringssystem Nu kommer jag ta upp de problem som pekas ut som de främsta problemen för folk som använder IDSer
De största praktiska problemen Falska larm Anpassning Detekteringsförmåga Skalbarhet Brist på mätmetoder
Problem 1 Falska larm Många larm Om detekteringen är 95% korrekt och det finns 0.1% bedrägerier i den analyserade informationen så kommer 99% av alla larm att vara falsklarm! Avvägning mellan att täcka in alla attacker och mängden falska larm man kan hantera Tar mycket tid att utreda larm Ingen skillnad mellan larm från attacker som drabbar aktiva/inaktiva IP-adresser eller känsliga/okänsliga system
Möjligheter 1 Korrelering av larm ”Root cause analysis” högre trovärdighet till larm som rapporteras av mer än en källa ”Root cause analysis” hitta orsaken till grupper av larm att rapportera orsaken istället för larmen själva reducerar mängden larm kraftigt (Avhandling, Julisch 2003) Indata med lägre ”brus”-nivå
Problem 2 Anpassning Går inte att köpa ett färdig-anpassat detekteringssystem Ofta unika tjänster Användarnas beteende varierar Kan ta ca två veckor att anpassa ett enkelt nätverksbaserat IDS till ett specifikt system och då får man inaktivera regler som kan vara intressanta
Möjligheter 2 Automatisk justering av IDS vilka regler är intressanta för mitt system? vilka regler ger för mycket falsklarm? (exjobbare kollar på detta) Förbered systemet genom att träna det på syntetiska data färdiganpassat IDS från början kan träna det för intressanta attacker och situationer som inte tidigare har förekommit (Barse, Kvarnström och Jonsson, 2003)
Problem 3 Detekteringsförmåga Generaliseringsproblem kommersiella regelbaserade system upptäcker ofta bara en mycket specifik instans av attacken nya intrång, nya varianter och dolda intrång upptäcks inte Bättre detektering får inte ske på bekostnad av fler falsklarm Generalisering: T.ex. SYN flood-regel i Snort upptäcker att ett visst sekvensnummer på IP-paketet används. Ett attack-script som kallas Shaft använder detta sekvensnummer, men detta är inte alls en viktig del av attacken.
Möjligheter 3 Nya detekteringsmetoder Kombinera metoder Visualisering Hitta mönster och avvikande beteenden Använda den mänskliga hjärnans styrka! Kombinera metoder måste avgöra vilka som täcker in olika områden bäst
Möjligheter 3 (forts.) Kombinera anomali- och missbruks-detekering använd anomalidetektering kompletterad med regler för att identifiera attackerna missbruksdetektering kompletterad med anomalidetektering för att avgöra vilka larm som är relevanta metoder som kan konstruera egna regler baserat på träningsdata där både attacker och normalt beteende finns med (t.ex. RIPPER av Lee et al.) Bättre kvalité på indata logdata kan täcka in attacker bättre än vad som görs idag
Problem 4 Skalbarhet större bandbredd än 10Mbit/s på nätverket ger problem antal regler påverkar prestanda kraftigt problem med att korrelera information från många spridda sensorer
Möjligheter 4 Distribuera nätverkstrafik till flera sensorer ”smart” uppdelning krävs (Kruegel et al. 2002) Applikations-baserade IDSer skydda bara viktiga/känsliga resurser i systemet t.ex. webserver-IDS, mailserver-IDS, ... Minska mängden indata filtrera bort ”onödigt” data vad är onödigt? nya datakällor Kruegel, Valeur, Vigna, Kemmerer, Stateful intrusion detection for high-speed networks, IEEE S&P 2002
Problem 5 Mätmetoder det finns ingen ”innehållsförteckning” på detekteringssystem som talar om vad de klarar och inte klarar enda seriösa IDS-jämförelsen är DARPAs och den har fått mycket kritik DARPA - Defence Advanced Research Projects Agency MIT Lincoln Labs – DARPA intrusion detection evaluation http://www.ll.mit.edu/ideval/ Många publikationer, Richard Lippman är med på de flesta
Möjligheter 5 Gemensamma testdata Metoder för att generera testdata det går inte att jämföra resultat från IDSer som testats på olika data egenskaper hos data påverkar detekteringsresultaten Metoder för att generera testdata syntetiska data (Barse, Kvarnström och Jonsson, 2003) Metoder för att analysera testdata finns inte några enkla lösningar ännu Barse och Jonsson, Synthesizing test data for fraud detection systems, ACSAC2003.
Bättre logdata för detektering Bättre indata ger färre falska larm bättre detektering mindre skalbarhetsproblem Bättre täckning av attacker analysera vilka spår attacker lämnar i logdata och undersök hur användbara spåren är Filtrera bort onödiga data hitta kombinationer av data som täcker in attacker och filtrera bort resten Pågående forskning...
Lagar, regler och etik
Personlig integritet och loggning går inte ihop? Personuppgiftslagen (1998) personuppgifter ska endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke ... Säkerhet är viktig för att skydda kundernas personliga integritet tekniska åtgärder krävs
PUL och företagets intressen Är IP-adress en personuppgift? oklart, men EU-kommissionen anser det en person kan i vissa fall identifieras Är behandling tillåten? om företagets intresse tydligt överväger kundens intresse av skydd av den personliga integriteten upptäcka/förebygga brott skulle kunna berättiga behandling finns ingen praxis Krävs samtycke? inte om företaget har berättigat intresse oklart om kunderna måste informeras
Forskning För forskning inom bedrägeri- och intrångsdetektering behövs data Oklart om man får dela med sig av logdata från datorsystem/tjänster hur kan man avidentifiera data? Honeypots ”lura” angriparen till att begå brott för att kunna övervaka spridd användning, men oklart om lagligt håller troligtvis inte i rättegång
Framtiden Det här var lite smakprov på vad som händer inom forskningen och status på intrångs- och bedrägeridetekteringen idag. Nu bara några avslutande kommentarer om området.
Framtiden IDS blir som antivirusprogram? Övervakning av datorsystem behövs vi kan inte betrakta dem som en ”svart låda” Datorsystemen sprids alltmer och allt viktigare funktioner i samhället datoriseras